PCI DSSとは？12の対応要件や準拠までの流れをわかりやすく解説

PCI DSSとは、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界の国際セキュリティ基準です。カード情報を扱う企業は、PCI DSSの要件を満たすことによってセキュリティを強化することができます。今回の記事では、カード情報をめぐる実際のインシデント事例に触れた上で、PCI DSSの12の対応要件や準拠のメリット（副次的効果）、認定取得の方法などについてわかりやすく解説します。準拠が必要な事業体の具体例や、実際に準拠に至るまでの流れについても紹介するので、「PCI DSSに準拠すべきかわからない」、「準拠したいがどう進めればいいのかわからない」といったお悩みをお持ちの方々の参考になれば幸いです。

PCI DSSとは？

PCI DSSの概要

読み方と概要

PCI DSS（ピーシーアイ・ディーエスエス/Payment Card Industry Data Security Standard）とは、加盟店やサービスプロバイダ（※）において、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。安全なネットワークの構築やカード会員データの保護など、12の要件に基づいて約460の要求事項から構成されています。

PCI DSSは、国際カードブランド6社（American Express、Discover、JCB、MasterCard、VISA、銀聯［ユニオンペイ・インターナショナル］）から成る組織「PCI SSC（Payment Card Industry Security Standards Council）」によって運用・管理されています。

要件書の現行バージョンは「バージョン4.0.1（v4.0.1）」です。

※「加盟店」とはクレジットカードが使用できる店舗のことを、「サービスプロバイダ」とはカードビジネスを提供する事業者のことをいいます。

v3.2.1からv4.0へのバージョンアップと主な変更ポイント

PCI DSSの最新版は2024年6月にリリースされたv4.0.1ですが、これはv4.0を改訂し、書式やタイプミスに関する修正や表現の明確化などを行ったバージョンで、要件の追加や削減など大きな変更があったわけではありません。一方で、要件に大幅な変更があったのはv3.2.1からv4.0（2022年3月リリース）への移行時です。

v4.0ではどのような変更がなされたのでしょうか？以下が主なポイントです。

新たな64の要件が追加

v4.0では、新たに64の要件が追加されました。なお、このうちアセスメントへ即時適用されたのは13件のみで、残りの51件は2025年3月31日以降に要件化されたため、それまでは「ベストプラクティス」として扱われていました。

「カスタマイズアプローチ」の導入

PCI DSSを実装・検証するための方法として、それまでの「定義されたアプローチ」（基準内で定義された要件とテスト手順を使用する方法）に加え、「カスタマイズアプローチ」が追加されました。カスタマイズアプローチは、定義された要件とは厳密には異なる方法を利用して、要件の目的を満たすためのコントロールを実装・検証するアプローチです。

なお、準拠の方法として自己問診（SAQ）を利用する企業はカスタマイズアプローチを使用できません。

※その他、変更点の詳しい概要は、「Payment Card Industry データセキュリティ基準　変更点のまとめ、PCI DSS のバージョン 3.2.1 から 4.0」という資料（こちらのページよりダウンロード可能）にまとめられています。

クレジットカード情報をめぐる脅威

PCI DSSが策定された背景には、インターネットの普及およびネット決済の普及とともに、大規模なクレジットカード被害も世界規模で発生し始め、ICカードによるカード偽造防止や対面取引における暗証番号での本人確認といった従来の対策だけでは不十分になってしまったという事情がありました。

では、そうしたクレジットカード被害はどのような脅威によって引き起こされるのでしょうか？以下に主要なものをいくつか挙げています。

・スキミング

「スキマー」というツールを使ってカード情報を盗み取る行為のことです。スキマーが設置される場所として一般的なのは、加盟店のクレジット決済用端末や、ATMのカード挿入口などです。

・webスキミング/Eスキミング

実店舗やATMではなく、ネット上のEコマースサイトにスキマー（webスキマー）が設置され、情報が抜き取られる被害も起きています。このような攻撃は、「Magecart攻撃（デジタルスキミング）」とも呼ばれます。

関連記事：日本のカード侵害の現状と「Magecart」の脅威

・システムの脆弱性をついたサイバー攻撃

ECサイトなどのシステムに脆弱性が存在すると、それを利用した攻撃者からシステムへ不正に侵入される場合があります。そうなると、カード情報が保存されたデータベースにアクセスされて情報が盗まれたり、カード情報入力フォームなどが改ざんされて顧客が入力した情報が抜き取られたりする恐れがあります。

・フィッシング

有名企業などを装って支払いを請求するような内容のメールを消費者に送り、カード情報を入力するよう誘導して情報を騙し取るという行為です。消費者だけでなく、企業の従業員が標的になり、企業システムの認証情報などが騙し取られ、システムへの不正アクセスに利用されるケースもあります。

・クレジットマスター

クレジットカード番号自体は盗まず、他人のクレジットカード番号から確率的に狙ったカードの番号を割り出す手法のことを言います。

日本企業における近年のカード情報漏洩事例

ではここで、参考までに、日本企業で実際に発生したカード情報漏洩事例をいくつかご紹介します。クレジットカード情報の価値の高さゆえ、漏洩事件などが起きると企業の経営やブランドが揺るがされかねません。以下の事例の中でも、漏洩によりサイトが閉鎖に追い込まれたり、社長が辞任する事態に至ったりするケースがありました。こういった点を踏まえても、カード情報を扱う企業にとって強固なセキュリティ体制を構築・維持することは非常に重要であると言えます。

（表）2025年に報じられたカード情報漏洩事例

準拠が必要な事業体

では次に、PCI DSSへの準拠が必要な事業体について説明します。なお、「準拠」とは、一般的にはPCI DSSに規定される要求事項のうち、該当するすべて（ただし、その事業体に該当しない要件/準拠対象外とした項目を除く）に対応できている状態のことを指します。なお、一部のみに対応できている状態は「部分準拠」と表現されます。

PCI DSSの対象となる事業体

PCI DSSは、アカウントデータ（※）を保存、処理、または伝送するすべての事業体と、カード会員データ環境（CDE）のセキュリティに影響を与える可能性のあるすべての事業体を対象としています。

※アカウントデータとは、カード会員データと機密認証データを合わせたものを指します。カード会員データと機密認証データについては、以下の表をご覧ください。

（「Payment Card Industry データセキュリティ基準 v4.0」を参考に作成）

準拠が必要な企業の例

もう少しわかりやすくお伝えすると、以下のいずれかに当てはまる企業にはPCI DSSへの準拠が求められます。なお、いずれも前提として各カードブランドが制定しているセキュリティ基準プログラムに準拠する必要があります。

・カード情報を「保存、処理、または伝送する」企業（加盟店）

・イシュア（カードを発行する企業）

・アクワイアラ（加盟店と契約し、加盟店が適正な取引を行うように管理する役割や、加盟店に対し滞りなく代金を支払う役割などを果たす事業体）

・サービスプロバイダ（銀行や決済代行を行う企業など）

💡業界別の具体例

✔️金融：クレジットカード会社（プリペイド含む）、銀行等のクレジットカード発行金融機関

✔️流通、小売り： 大手百貨店、スーパー、コンビニ、量販店、鉄道、航空会社

✔️通信：携帯電話会社、通信会社、ISP

✔️製造：ガソリンスタンド等の石油業界

✔️その他：クラウドサービス事業者、ECサイト、決済代行業、QR決済、など

準拠しないとどうなる？PCI DSSの法的側面

PCI DSSはセキュリティ基準であり、これ自体に法的拘束力があるわけではありません。ただ、PCI DSSへの準拠（またはカード情報の非保持化）は、クレジット取引セキュリティ対策協議会（事務局：一般社団法人日本クレジット協会）が取りまとめた「クレジットカード・セキュリティガイドライン」で要求されている事項である、という点に注意が必要です。この点に関して、まずは同ガイドラインの法的位置付けについて説明します。

そもそもクレジットカードを規制しているのは、「割賦販売法」という法律です。この法律では、カード番号等の適切な管理と不正利用防止措置の実施が義務付けられています。そして、これらの措置の実務上の指針として位置付けられているのが、「クレジットカード・セキュリティガイドライン」です。このガイドラインでは、カード情報保護と不正利用防止のため、クレジットカード取引の関係事業者が講じるべきセキュリティ対策が定められているほか、その対策を有効に機能させるために取組むべき事項が記載されています。

企業は、本ガイドラインで示されている措置、またはそれと同等以上の措置を適切に講じている場合、法令上の基準となる「必要かつ適切な措置」を満たしていると認められます。逆にいえば、ガイドラインで示された措置を適切に講じない場合、法令上の義務を満たしていないとみなされる恐れがあるということです。つまり、本ガイドラインにて要求されるPCI DSSへの準拠またはカード情報の非保持化に従わない企業は、割賦販売法に違反してしまう場合があります。

「クレジットカード・セキュリティガイドライン（3.0版）」が要求するクレジットカード情報保護対策

・加盟店におけるクレジットカード情報の「非保持化」（カード情報を保持する場合はPCI  DSS準拠）に加え、脆弱性対策、ウイルス対策、管理者権限の管理、デバイス管理等の漏えい防止対策の実施

・カード会社、決済代行会社、ECモール事業者、コード決済事業者、ECシステム提供会社等の「PCI DSS準拠」

・加盟店でのPIN（暗証番号）入力のスキップ機能の廃止（2025年3月までに実施）

（参考：経済産業省のページ「クレジットカード・セキュリティガイドライン【3.0版】が取りまとめられました」）

クレジットカード情報の非保持化とは？

では、先ほどから登場している「クレジットカード情報の非保持化」とはどのような措置を指すのでしょうか？

クレジットカード情報の非保持化とは？

「非保持化」は、クレジット取引セキュリティ対策協議会が定めた、加盟店におけるクレジットカード情報保護対策の1つの方法です。具体的には、自社で保有する機器・ネットワークにおいてカード情報を「保存」、「処理」、「通過」しないことを指します。なお、非保持化の実現方法については、前述の「クレジットカード・セキュリティガイドライン」に詳しく記載されています。

非保持の場合、PCI DSSへの準拠は不要？

非保持化をしているからといっても、PCI DSSへの準拠が一律不要という訳ではありません。これについては、カード情報を扱う際の契約先に確認する必要があります。どのような企業においても、クレジットカードを取り扱う場合はアクワイアラなどの関連事業体との間で何らかの契約を結ぶ必要があるため、契約先にPCI DSS準拠の必要有無や準拠種別を確認し、PCI DSS準拠準備の基本要件を確定させる必要があります。

法的には準拠しなくても問題ない（つまり非保持相当なので何もしなくても違反とみなされない）場合でも、契約/セキュリティ的にはNG、ということはあり得ます。実際に、非保持としているECサイトからの情報漏洩も多発しているからです。

　例）

　・カード発行会社なら →契約しているカードブランドに確認する

　・対面加盟店なら →契約しているカード会社に確認する

　・ECサイトなら →契約しているPSP（※）に確認する

※PSPとは「Payment Service Provider」の略で、インターネット上の取引において EC加盟店にクレジットカード決済スキームを提供し、カード情報を処理する事業者のことをいいます。

PCI DSSの6つの目標と12の対応要件

では次に、PCI DSSの内容について見ていきましょう。PCI DSSでは、6つの目標とそれに対応する12の対応要件が以下のように定められています。

なお、以下に示すのはv4.0以降のバージョンの目標・要件です。v3.2.1からv4.0への変更点については、新旧比較表をご覧ください。

目標①：安全なネットワークとシステムの構築と維持

要件1：ネットワークセキュリティコントロールの導入と維持

要件2：すべてのシステムコンポーネントにセキュアな設定を適用する

目標②：アカウントデータの保護

要件3：保存されたアカウントデータの保護

要件4：オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する

目標③：脆弱性管理プログラムの維持

要件5：悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する

要件6：安全なシステムおよびソフトウェアの開発と維持

目標④：強固なアクセス制御の実施

要件7：システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲（Need to Know）によって制限する

要件8：ユーザの識別とシステムコンポーネントへのアクセスの認証

要件9：カード会員データへの物理アクセスを制限する

目標⑤：ネットワークの定期的な監視とテスト

要件10：システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること

要件11：システムおよびネットワークのセキュリティを定期的にテストする

目標⑥：情報セキュリティポリシーの維持

要件12：組織の方針とプログラムによって情報セキュリティをサポートする

v4.0とv3.2.1の要件比較

v4.0では、いくつかの要件のタイトルが更新されたり、使用用語が変更されたりしています。詳しくは以下の新旧比較表をご覧ください。

　（v4.0とv3.2.1、各要件書の日本語版を参考に作成）

PCI DSSの認定取得

では、PCI DSSへの準拠を証明（認定取得）するためには何をすれば良いのでしょうか？

認定取得の方法

PCI DSSの認定取得には、以下の3つの方法があります。いずれか1つの適用というわけでなく、カード情報の取り扱い規模や事業形態に応じて、複数を実施する必要があります。なお、いずれの方法を利用すべきかについては、該当する準拠レベル（詳しくは後述）によって異なります。

訪問審査（オンサイト審査）

PCI SSCにより認定された審査機関（QSA：Qualified Security Assessor）の訪問審査を受け、認証を得るという方法です。すべてのイシュア、アクワイアラ、PSP、および大手サービスプロバイダなど、取り扱い規模が大きな（年間取引件数600万件以上）事業者の多くでこの方法が要求されます。また、カードブランドやPSPと直接接続する場合には、訪問審査を受けることが必須事項として求められます。

監査は規模に応じて、数日から場合によっては数週間に及び、審査後には、AOC（コンプライアンス証明書/準拠証明書）とROC（コンプライアンス報告書/準拠報告書）が発行されます。

自己問診（SAQ、Self Assessment Questionnaire）

PCIDSSの要求事項に基づいたアンケート形式のチェック項目に回答していき、すべて「Yes」であれば準拠が認められるというもので、カード情報取扱い件数の比較的少ない、一般加盟店などの事業者向けの方法です。SAQにはさまざまな種類があり、内容も専門的であるため、PCI DSSの要件書や用語集などを読み解きながら、チェック項目に記載されている意図を理解した上で回答していく必要があります。なお、自己問診の場合、AOCはPCI SSCのサイトからダウンロードして自ら記入することになります。

一方で、SAQが有効とみなされるためには、回答者の署名に加え、その内容に責任を持つ所属事業体の経営層の署名が必要なケースも多いです。そのため、問診内容についてQSAの認証を得る「SAQ AOC」という準拠証明方式も用意されています。

ASVスキャン

PCI SSCによって認定されたスキャンベンダー（ASV：Approved Scanning Vendor）のスキャンツールによってテストを受け、サイトに脆弱性が存在しないことを証明する方法です。テストは四半期に1回以上行い、Webサイトから侵入されて情報を盗み取られる可能性がないかを確かめます。このテストにパスできなかった場合はプログラムの修正を行い、パスできるようになるまで再診断を受ける必要があります。

オンサイト監査を受ける企業もSAQで自己問診を行う企業も、Webサイトでクレジットカード情報を扱っている場合は、ASVの証明書を四半期に1回入手することが、PCI DSS準拠の条件となります。

準拠証明の期間

通常は1年間（年1回準拠状況を確認されるケースが多い）ですが、対象範囲に変更があった場合は再監査が必要になります。

PCI SSCが認定するベンダー

QSA、ASV、PFI（準拠後、カード情報の漏洩事故があった場合等にフォレンジック調査をする認定専門機関）など、PCI SSCが認定するベンダーについては、PCI SSCの英語サイトで検索できます。日本語サイトには限られた情報しか掲載されないため、英語サイトを定期的にチェックすることが重要です。

PCI DSS準拠における「レベル」とは？

PCI DSSの準拠には、取引量などに応じて「レベル」が定められています。対象企業は自身がどのレベルに該当するかを確認し、そのレベルの要件に従わなければなりません。

VISAのレベル分類と要件

各レベルで求められる要件はカードブランドによって異なりますが、ここでは例としてVISAのレベル分類・要件を紹介します。

（表）加盟店のレベル分類・要件

（VISAのサイトを参考に作成）

（表）サービスプロバイダのレベル分類・要件

（VISAのサイトを参考に作成）

認定取得による副次的効果

PCI DSSに準拠する副次的効果としては、以下のようなものが挙げられます。

企業価値（信用、ブランド力）の向上

PCI DSSはセキュリティの国際基準であることに加え、かなりの時間や手間をかけなければ準拠できないことで知られています。しかしその分、認定を取得している企業に対する外部からの信頼は増すことが期待できます。

サイトの改ざんや悪用、情報盗用などのリスク低減

先ほど紹介した近年のインシデント事例からもお分かりいただけるように、システムの脆弱性を利用した不正アクセスを受けてペイメントアプリケーション等が改ざんされ、カード情報の漏洩に至るというケースが多々報告されています。PCI DSSの要件に従うことでセキュリティは確実に強化されるため、上記のようなカード情報関連のインシデントが発生する確率を下げることができます。特に、PCI DSSでは「脆弱性管理プログラムの維持」が目標の1つとして掲げられており、準拠によって脆弱性対策を効果的に実施することが可能です。

PCI DSS準拠までのプロセス

最後に、PCI DSS準拠に至るまでの大まかな流れや準拠にかかる費用などについて紹介します。

認定取得までの流れ・費用

認定取得までの流れ

①準備段階

・外部要求整理

・認証種別の決定

・適用範囲の決定

②環境整備

・セグメンテーションの実施

・文書整備

・システム改修、など

③診断およびスキャン

・脆弱性診断

・ASVスキャン

④診断・スキャン結果への対応

・脆弱性対応

・プログラム修正

⑤その他の対応

・セキュリティ教育

・委託先評価

・運用記録取得

認定取得にかかる費用

以下は、認定取得に必要な費用・期間の一例です。

・体制構築支援などのコンサルティングサービス利用費用：約400万円

コンサル会社との1年契約（準備段階の支援から監査同席、準拠証明取得までの支援契約）の費用です。

・監査費用：約250万円（5日間のオンサイト監査の場合）

・ASVスキャン費用：約50万円（年4回、3サイトの場合）

・システム改修費

マキナレコードのPCI DSS認定取得支援サービス

PCI DSSの要件は高度で専門性が高いものが多く、対応にはかなりの時間と労力が必要です。そのため、認定を取得する際には専門のコンサルティングサービスを利用することをお勧めします。

株式会社マキナレコードでは、「『認定取得』で終わらせない、ちゃんとしたセキュリティを」をモットーに、PCI DSSの取得から維持運用・更新までを幅広くサポートしています。認定審査機関（QSA）にて実際にPCI DSS監査や準拠に向けた体制/業務構築支援を実施した経験を持つ、専任のコンサルタントが支援を担当いたします。

＜充実の支援オプション＞

PCI DSSトータルサービス

準備から監査立ち会い、是正対応、そして準拠後の運用に至るまでのすべてのプロセスを通じて必要な支援を提供します。

SAQ作成支援

具体的には、以下のような支援を行います。

・対象範囲の決定

・該当するSAQ種別の確定

・運用体制の構築、確認

・必要な対応の実施（文書、システム実装）

個別サービス

個別の不足要素にフォーカスしたコンサルサービスを提供します。

・教育（PCI DSS関係者への教育、開発担当者への教育など）

・対象範囲の決定、セグメンテーション

・Fit＆Gap（12要件と現状のGap分析、要件を満たすための実装方法の検討）

・文書化、システム実装

・監査対応（内部監査、オンサイト監査への立ち会いおよび指摘是正事項への対応）

・準拠後の運用支援、年次監査準備の支援

PCI DSS認定取得支援サービスについて詳しくは、弊社ホームページをご覧ください。

情報源

https://www.pcisecuritystandards.org/document_library/?category=pcidss&document=pci_dss（PCI DSS v4.0関連文書一覧）

https://ja.pcisecuritystandards.org/_onelink_/pcisecurity/en2ja/minisite/en/docs/PCI_DSS_v3%202_JA-JP_20170816.pdf（Payment Card Industry データセキュリティ基準 v3.2）

https://www.meti.go.jp/press/2021/03/20220309003/20220309003.html（「クレジットカード・セキュリティガイドライン」）

https://www.j-credit.or.jp/download/news20220309b3.pdf（ 「クレジットカード・セキュリティガイドライン ＦＡＱ」）

https://www.jcdsc.org/pci_dss.php（日本カード情報セキュリティ協議会）