お役立ち資料
オンライン決済

PCI DSSとは?準拠するメリットや認定方法、最新要件を解説

更新日:

クレジットカードの利用環境整備に向けて割賦販売法が改正されて以降、クレジットカード情報を取り扱う事業者さまには、継続的なセキュリティ強化が求められています。2025年3月には「クレジットカード・セキュリティガイドライン6.0版」が改定され、さらにPCI DSS(Payment Card Industry Data Security Standard)もv4.0.1が最新版となっています。

本記事では、PCI DSS準拠を視野に入れている事業者さま向けに、PCI DSSの概要やPCI DSS認定取得に向けたポイントなどを解説いたします。

オンライン向け決済

「決済手段が限られている」「利用されやすい決済がわからない」そんな悩みはありませんか?
SBペイメントサービスでは、オンライン決済サービスの機能紹介に加え、ユーザーがよく利用する決済手段に関する調査結果をまとめた資料をご用意しました。

オンライン決済の導入検討に役立つ資料の無料ダウンロードはこちら

オンライン決済の導入検討に役立つ資料の無料ダウンロードはこちら

目次

PCI DSSとは

PCI DSSとは、クレジットカード情報の安全な取り扱いを目的に策定されたクレジットカード業界における国際セキュリティ基準です。国際クレジットカードブランドであるVISA、MasterCard、JCB、American Express、Discover(以下「国際カードブランド5社」といいます)によって策定されました。また、国際カードブランド5社によって組織されたPCI SSC(Payment Card Industry Security Standards Council)によって運用・管理が行われています。

PCI DSS策定の背景

PCI DSSが策定される以前は、国際カードブランドごとに独自のリスク管理プログラムがありました。そのため、事業者さまは各ブランドが求めるセキュリティ要件に個別に対応する必要があり、運用コストと管理負担が大きな課題となっていたのです。

2000年代初頭から、インターネットの急速な普及により、ECサイトにおけるクレジットカード決済の取引件数が爆発的に増加しました。これに伴い、クレジットカード情報の漏えいや不正利用の被害は世界規模で深刻化し、従来のセキュリティ対策では対応が困難な状況となりました。特に、クレジットカードのIC化による偽造防止や、暗証番号による本人確認といった物理的なセキュリティ対策だけでは、オンライン取り引きにおける新しいサイバー攻撃手法に対して十分なセキュリティが確保できなくなっていたのです。

こうした背景を踏まえ、国際カードブランド5社は事業者さまのコストとセキュリティリスクに対応した仕組み作りに乗り出し、2004年にPCI DSSが策定されました。その後も改訂を繰り返し、PCI DSSの最新版は「v4.0.1」(2024年6月公開)となっています。

PCI DSS v4.0.1とは?改訂のポイント

PCI DSS v4.0.1は、2024年6月に、約8年ぶりにメジャーアップデートされたPCI DSS v4.0に対して、関係者からのフィードバックを反映して公開された 限定的な改訂版 です。従来のv3.2.1からの移行を前提とするv4.0の流れを継承しつつ、新たな要求事項の追加/削除は無く、現行運用における解釈や適用性を明確化することに主眼が置かれています。

移行期間として2024年3月31日まではv3.2.1との併用が可能でしたが、現在はv4.0系へ移行することが前提となり、なおかつ v4.0は2024年12月31日をもって廃止され、以降はv4.0.1が唯一の有効バージョン となります。主な変更点としては、技術的制約を問わず代替手段での要件達成を可能とする仕組みや、従来「記憶装置全体の暗号化による保護」が原則として認められなくなる旨の記載 など、現代的な脅威に対応した対策強化が図られています。

PCI DSS準拠のメリット

PCI DSS準拠および認定取得により、事業者さまは多面的な恩恵を享受できます。

PCI DSS v4.0.1に準拠し、認定を取得することで、事業者さまは多方面にわたる恩恵を受けられます。国際的な最新セキュリティ基準に従ってクレジットカード情報を適切に管理していることを対外的に示し、お客さまからの信頼を得られるとともに、企業ブランドの価値向上にもつながります。

また、巧妙化するサイバー攻撃や不正アクセスから自社の決済システムを保護し、サイトの改ざんや機密情報の漏えいといった深刻な被害を未然に防ぐことが可能です。万が一、情報漏えいが発生しても、PCI DSSに準拠した適切な対策を講じていたと認められれば、クレジットカード会社からの制裁金や損害賠償が免責される可能性もあります。

さらに、技術的な制約によりクレジットカード情報の非保持化の導入が難しい事業者さまであっても、改正割賦販売法やクレジットカード・セキュリティガイドライン(6.0版)に対応した体制を整えることで、法的な義務を確実に果たせ、コンプライアンス面でも安心感が得られます。

クレジットカード・セキュリティガイドライン(6.0版)については、以下の記事で詳しく説明しております。
【2025年最新版】クレジットカード・セキュリティガイドライン6.0で必要な対策を解説

PCI DSS準拠の重要性と怠った場合のリスク

PCI DSS準拠を怠った場合、現時点で法的な罰則こそ明確ではありませんが、事業者さまは深刻な経営リスクに直面する可能性があります。セキュリティ体制の不備は、情報漏えいや制裁金、さらには取引停止といった致命的な結果を招きかねません。以下にPCI DSS準拠を軽視した場合の主なリスクを整理します。

情報漏えいのリスク

PCI DSS準拠がなされていない環境は、悪質なサイバー攻撃の標的となりやすく、大量のクレジットカード情報が流出する危険性があります。ひとたび事故が起きれば、数万件から数十万件規模の情報が流出することも珍しくありません。PCI DSS準拠によるセキュリティ基盤の構築は、こうした情報漏えいを未然に防ぐための最低限の対策です。

カード会社からのペナルティ

PCI DSS準拠を怠った場合、法的な直接罰則はなくとも、カード会社から高額な制裁金や業務停止命令を受けるリスクがあります。さらに、被害者への損害賠償責任が加われば、事業者さまにとって財務的に大きな打撃となり、経営基盤を揺るがす事態にもつながりかねません。PCI DSS準拠は、こうしたリスクを回避する上でも不可欠です。

顧客離れ・取引停止のリスク

PCI DSS準拠を軽視した結果、セキュリティ事故が発生すれば、カード会社から決済取引の停止措置を受ける可能性があります。これは単なる売上減少にとどまらず、顧客の信頼失墜や大量離脱、新規顧客獲得の困難さにつながります。事業を継続する上で、PCI DSS準拠は顧客基盤を守るための不可欠な要件です。

PCI DSS準拠認定の方法

PCI DSS v4.0.1の認定取得方法は、年間のクレジットカード取引量に基づくレベル分類(Level 1-4)により決定され、各レベルに応じた認証プロセスが適用されます。

訪問審査

年間600万件以上の取り引きを処理する大規模事業者さまには、PCI SSC認定の審査機関であるQSA(Qualified Security Assessor)による訪問審査が実施されます。この審査ではROC(Report on Compliance)作成が必要となり、最も厳格な認証プロセスです。

サイトスキャン(脆弱性スキャン)

全てのレベルの事業者さまに対して、PCI SSC認定ベンダーであるASV(Approved Scanning Vendor)によるスキャンツールを用いた点検が四半期ごとに義務付けられています。中規模のクレジットカード情報量を取り扱う事業者さま向けの認定取得方法です。

自己問診

中小規模事業者さま向けには、PCI DSS要件に基づくアンケート形式の認証方法が利用可能です。

各認証方法とも年次更新が必要であり、継続的なセキュリティ水準の維持が求められています。

PCI DSS認定取得に向けた対策までの流れ

PCI DSS認定取得に向けた一般的な流れをご紹介します。

1.事前準備

自社の展開サービス、システムを踏まえて、PCI DSSに準拠する必要のある範囲を選定します。

2.ギャップ分析

PCI DSS v4.0.1の要求事項と現在の自社のセキュリティ状況とのギャップを洗い出します。特に新要件への対応状況を精査し、優先度を考慮した改善計画を策定します。

3.対策実行

改善計画に基づき対策を実行します。プロセスやポリシーの文書化、必要に応じたシステムの再設計、実装も行います。

4.テスト実施

システムスキャンやセキュリティチェックテストを実施します。そのテスト結果に応じて、システム改修を行います。そのほかにも、PCI DSS認定審査に向けた準備や調整を行います。

PCI DSS準拠が必要な事業者さま

PCI DSS v4.0.1への準拠は、カード会員データを保存・処理・伝送するすべての組織が対象となります。

  • ・イシュア(カード発行会社)
  • ・アクワイアラ(加盟店管理会社)
  • ・PSP(決済代行会社)
  • ・クレジットカード加盟店
  • ・サービスプロバイダ

また、業種としては以下が例にあげられます。

  • ・小売・流通:百貨店、小売店、航空会社、鉄道会社
  • ・金融:クレジットカード会社、金融機関、保険会社
  • ・通信、メディア:通信事業者、新聞社、インターネットサービスプロバイダ
  • ・製造:ガス、電力、石油産業、自動車メーカー

非保持化が難しい場合はPCI DSSが必要

自社によるクレジットカード情報非保持化の実現が難しい事業者さまにおいては、PCI DSS準拠によるセキュリティ対策が必要です。

例えば、決済代行会社の環境を利用してクレジットカード決済を行っている事業者さまの場合、決済代行会社が提供するサービスを利用することで非保持化が実現できます。

まずは非保持化の検討を優先し、実現困難な場合にPCI DSS準拠を選択することが、コストと運用負荷の観点から推奨されます。

PCI DSS認定取得のためのさまざまサービスをご用意

PCI DSSの認定取得には多くの時間と労力が必要となるため、認定取得を支援するサービスのご利用をおすすめします。

当社では、PCI DSS認定取得に向けた多くのサービスを取り扱っております。

PCI DSS認定取得をご検討されている事業者さまは、ぜひご相談ください。

監修者情報

SBペイメントサービス編集部

SBペイメントサービスはソフトバンクグループの一員として決済事業を担い、2004年に設立以降、幅広い業界の事業者さまに決済システムの導入を行っている。
当社のコラムでは、決済分野だけでなく、ECサイト運営やビジネスに役立つ情報を継続的に事業者さまに発信している。

記事一覧に戻る

関連の記事

もっと見る

ビジネスにあった
オンライン決済を一括導入

40種類以上の
決済ブランドに対応!

関連の記事

もっと見る

関連サービスのご紹介

  • オンライン決済サービス

    あらゆるビジネスやデバイスに対応し、
    安心でスムーズなオンライン決済体験を提供

    サービス情報を見る

  • 店舗向け決済サービス

    幅広い決済方法に対応し、店舗運営の
    スマート化へ貢献

    サービス情報を見る

  • 連携可能な
    ECカートパッケージ

    20種類以上のECカートに対応し、
    開発負担少なく決済導入が可能

    連携可能なシステムを見る

SBペイメントサービス
について


TOP