PayPayのセキュリティに対する取り組み

PayPay独自の検知システム、外部の脅威情報収集機関からフィッシングサイトの情報を取得し、PayPayを騙るフィッシングであった場合は迅速にサイト閉鎖と社内/社外への注意喚起を行っています。PayPayを騙るフィッシングサイトについては下記を参考ください。

フィッシングサイトについて

そのようなサイトが発見された場合は迅速にサイトの閉鎖対応を行い、お客様の被害を最小限に抑えるよう努めています。

PayPayでは外部機関による脆弱性診断とペネトレーションテスト※を実施しています。また、社内にRed Teamを設け、24時間365日脆弱性診断を実施しています。社内外から脆弱性を発見する体制を整え、お客様の安全安心を守っています。

ペネトレーションテスト：様々なサイバー攻撃手法を使って、システムなどへの侵入を試みるテスト

PayPayではお客様からお預かりしている個人情報（電話番号、名前など）や決済情報などが通る通信経路を暗号化して保存しています。採用する暗号化、ハッシュ化技術はすべてNIST※（米国標準技術研究所）が推奨する基準を遵守しています。現在、PayPayが開発しているシステムに保存されるデータは、業界のベストプラクティス標準（AES-128、AES-256、または2048ビットのキーサイズ（またはそれ以上）のRSAなど）に基づいて、暗号化またはハッシュ化した上で保存しています。技術革新等で暗号化技術が陳腐化した場合は、採用基準を変更し、お預かりしているデータの安全性確保を行います。

PayPayのユーザープライバシーについて

NIST：米国標準技術研究所（National Institute of Standards and Technology）の略称で、測定科学、技術標準の策定、技術革新の公的サポートを行っている。NISTで定められた基準は、アメリカのみならず世界的な技術基準として多くの組織や国家が参考にしている。

PayPayではSOC（Security Operation Center）によるネットワークやシステムの不正な通信の監視を実施しています。異常が発生した場合は迅速に調査/分析を行える体制（24時間365日）を整えており、即時に対応します。

社員のセキュリティ意識向上を目的に入社時および定期的に社内教育を実施しています。また、社内教育が浸透したかを確認するため不定期で訓練を実施し、意識向上を図っています。

PayPayは2021年、クレジットカード決済に関する会員情報や取引情報および決済プロセス等におけるセキュリティ基準である「PCI DSS」の認定を取得しました。この認定により決済アプリ「PayPay」におけるクレジットカードに関する情報の管理に関して、その安全性が国際水準であること認められました。なお、PayPayに登録されたクレジットカードの情報は「Yahoo!ウォレット（LINEヤフー株式会社が運営するインターネット上の決済サービス）」で管理※2されています。

1. PCI DSS：Payment Card Industry Data Security Standardの略で、クレジットカード会員データを安全に取り扱う事を目的として策定されたクレジットカード業界のセキュリティ基準
2. 保管業務をYahoo! JAPANへ委託

PayPayでは情報セキュリティマネジメントシステム（ISMS）の国際規格であるISO27001認証を取得しています。引き続き認証基準に基づき情報セキュリティマネジメントシステムの継続的な運用・改善に取り組んでいきます。

PayPayに登録されたクレジットカードの情報は「Yahoo!ウォレット（LINEヤフー株式会社のインターネット上の決済サービス）」で管理されています。LINEヤフー株式会社は、全事業を対象に第三者機関の審査を受け、ISMS国際規格 「ISO/IEC 27001:2013」および日本国内規格である「JIS Q 27001:2014」の認証をグループとして取得しています。また、LINEヤフー株式会社は「Yahoo!ウォレット」において、クレジットカード決済に関する会員情報や取引情報および決済プロセス等におけるセキュリティ基準である「PCI DSS」の認定を取得しています。

PayPayでは最新のサイバー攻撃動向を踏まえ、セキュリティリスクが高いデータ送受信方式を制限し、よりセキュアなデータ送受信方式を採用することで、セキュリティ対策を強化しています。

上記対策強化の一環として、当社従業員が業務で使用する電子メールへの「パスワード付き圧縮ファイル」ならびに「Microsoft Office マクロファイル」の添付を制限しております。