Shopifyで今すぐ販売を始めましょう

Shopifyの無料体験を今すぐ始めましょう。これらのリソースを使用して、プロセスの全ステップをご案内します。

無料で始める
ブログ

ECサイト事業者必見|PCI DSS v4.0対応の必須要件チェックリスト

EC事業者がPCI DSS v4.0に適合するための要件、確認方法、準備ステップをチェックリスト形式で整理しました。

執筆者:
更新日

オンラインでのクレジットカード決済は、ECサイトにとって不可欠な機能ですが、その裏側には顧客のカード情報を狙うサイバー攻撃のリスクが常に存在します。顧客が安心して買い物を楽しむためには、事業者がカード情報を安全に取り扱う仕組みを構築することが絶対条件です。

その国際的な統一基準となるのが「PCI DSS(Payment Card Industry Data Security Standard)」です。

本記事では、ECサイト運営者が知っておくべきPCI DSSの基本から、最新バージョンである「v4.0」で求められる12の要件、そして事業規模に応じた準拠レベルまでを分かりやすく解説します。自社のセキュリティ体制を見直すためのチェックリストとしてご活用ください。

PCI DSSとは?

PCI DSSとは、クレジットカードの国際ブランド5社(Visa, Mastercard, American Express, Discover, JCB)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって定められた、カード会員データを保護するための情報セキュリティ基準です。

クレジットカード情報を「保存、処理、伝送」するすべての事業者は、PCI DSSに準拠する義務があります。これは、単なる推奨事項ではなく、カードブランドとの契約上、遵守が求められる要件です。

PCI DSSは、サイバーセキュリティの脅威の変化に対応するため、定期的に改訂されています。最新版であるPCI DSS v4.0では、多要素認証の要件拡大やパスワード要件の更新など、セキュリティ対策の継続的なプロセスとしての側面がより一層強調されています。

PCI DSSに準拠しない場合のリスク

PCI DSSへの準拠は、日本の法律(例えば個人情報保護法など)で直接的に義務付けられているわけではありません。しかし、カードブランドとの契約上、すべてのカード加盟店に遵守が求められる、事実上の業界標準です。非準拠の状態で情報漏洩などのインシデントが発生した場合、カードブランドから以下のような厳しいペナルティを課される可能性があります。

  • 罰金の請求: カードブランドや決済代行会社から、月額数千ドルから数十万ドルに及ぶ高額な罰金が課される可能性があります。
  • 取引手数料の引き上げ: カード決済ごとの手数料率が引き上げられ、日々のオペレーションコストが増加し、収益を圧迫します。
  • カード決済機能の停止: 最も厳しい措置として、クレジットカード決済自体が利用できなくなる可能性があります。これは、オンラインビジネスにとって致命的な打撃となり得ます。

しかし、最大のリスクは金銭的な損失だけではありません。情報漏洩インシデントが発生した場合、顧客からの信頼は失墜し、ブランドイメージは大きく損なわれます。PCI DSSへの準拠は、ペナルティを回避するためだけでなく、顧客の信頼を守り、ビジネスを継続させるための重要な取り組みなのです。

PCI DSS v4.0が定める12の要件

PCI DSS v4.0では、カード会員データを保護するための要件が6つの目標と12の要件に整理されています。自社のECサイトがこれらの要件を満たしているか、一つずつ確認していきましょう。

目標1:安全なネットワークとシステムの構築・維持

  1. ネットワークセキュリティコントロール(NSC)の導入と維持: ファイアウォールやルーターの設定を適切に行い、外部からの不正なアクセスをブロックします。カード会員データ環境(CDE:Cardholder Data Environment、カード情報を取り扱うシステムやネットワークのこと)と、それ以外の社内システムとのネットワークを分離することも重要です。
  2. すべてのシステムコンポーネントへの安全な設定の適用: システム導入時に設定されているデフォルトのパスワードやアカウントは、攻撃者に推測されやすいため、すべて独自の安全なものに変更します。不要な機能やサービスは無効化し、攻撃の足がかりを減らします。

目標2:アカウントデータ保護

  1. 保存されるアカウントデータの保護: 保存するカード情報は、法律や規制で定められた保持期間などを除き、必要最小限に留めるのが原則です。保存が必要な場合でも、カード番号全体を保存するのではなく、トークナイゼーション(カード番号を、それとは全く別の意味のない文字列(トークン)に置き換えて決済する技術)や、マスキング(例:「**1234」のように一部を隠す)、ハッシュ化などの技術を用いて、万が一漏洩した際のリスクを最小化します。
  2. 強力な暗号技術によるカード会員データの保護: 顧客がブラウザから入力したカード情報がサーバーに送信される際や、決済代行会社に伝送される際など、特に公衆ネットワーク(インターネット)上をデータが通過する際には、TLS(Transport Layer Security)などの強力な暗号化プロトコルを用いて通信を保護します。

目標3:脆弱性管理プログラムの維持

  1. マルウェアからの全システムとネットワークの保護: すべてのサーバーや従業員が使用するPCに、信頼できるウイルス対策ソフトウェアを導入し、常に最新の状態に保ちます。不審なメールやWebサイトからのマルウェア感染を防ぐための対策も不可欠です。
  2. 安全なシステムとソフトウェアの開発・維持: ECサイトの構築に使用しているプラットフォームやプラグイン、アプリケーションのベンダーから提供されるセキュリティパッチは、脆弱性を修正するために非常に重要です。リリースされたら速やかに適用し、システムを常に最新の状態に保ちます。

目標4:強固なアクセス制御対策の実施

  1. カード会員データへのアクセスを業務上の必要性に限定する: データへのアクセス権は、「知る必要性(Need to Know)」の原則に基づき、注文処理担当者や顧客対応担当者など、業務上どうしてもカード情報にアクセスする必要がある従業員にのみ限定して付与します。
  2. ユーザーの識別とシステムコンポーネントへのアクセス認証: ECサイトの管理画面など、カード情報にアクセスできるシステムには、担当者ごとに固有のIDを割り当てます。パスワードは定期的に変更し、推測されにくい複雑なものを設定します。さらに、IDとパスワードだけでなく、SMS認証や認証アプリなどを組み合わせた多要素認証(MFA)を導入し、セキュリティを強化します。
  3. カード会員データへの物理的なアクセス制限: カード情報が保存されているサーバーが自社内にある場合、サーバー室への入退室管理を徹底します。また、カード情報が記載された申込書や帳票などの書類は、施錠可能なキャビネットや金庫で厳重に保管し、不要になったものは復元不可能な形で廃棄します。

目標5:ネットワークの定期的な監視・テスト

  1. システムコンポーネントとカード会員データへのすべてのアクセスをログに記録し、監視する: 誰が、いつ、どのデータにアクセスしたかのログ(操作履歴)を自動的に記録し、定期的にレビューする体制を整えます。これにより、万が一不正アクセスが発生した場合でも、原因究明や影響範囲の特定が迅速に行えます。
  2. システムとネットワークのセキュリティを定期的にテストする: ASV(認定スキャンベンダー)による定期的な脆弱性スキャンや、専門家による侵入テスト(ペネトレーションテスト、実際にシステムに攻撃を試みることで脆弱性を診断するテスト)を実施し、自社のシステムに潜在的なセキュリティホールがないかを継続的に評価・改善します。

目標6:情報セキュリティポリシーの維持

  1. 組織のポリシーとプログラムによる情報セキュリティのサポート: 全従業員を対象としたセキュリティ教育を含め、組織全体で情報セキュリティを維持・向上させるための明確なポリシーを策定し、周知徹底します。

事業規模で異なる4つのPCIコンプライアンスレベル

PCI DSSが要求する準拠の証明方法は、年間のクレジットカード取引量に応じて4つのレベルに分類されます。

  • レベル1: 年間600万件以上の取引を行う事業者。最も厳格なレベルで、QSA(認定セキュリティ評価機関)による年1回のオンサイト評価が必須です。
  • レベル2: 年間100万〜600万件の取引を行う事業者。
  • レベル3: 年間2万〜100万件の取引を行う事業者。
  • レベル4: 年間2万件未満の取引を行う事業者。

レベル2〜4の事業者は、基本的にはSAQ(自己問診票)への回答と、ASV(認定スキャンベンダー)による四半期ごとのネットワークスキャンを通じて準拠を証明します。

ECプラットフォーム選定の重要性

これら12の要件をすべて自社で満たし、準拠を維持し続けることは、特に専門のIT部門を持たない中小規模の事業者にとっては、技術的にもコスト的にも大きな負担となります。多額の設備投資や、高度な専門知識を持つ人材の確保が必要です。

この課題を解決する最も現実的で効果的な方法の一つが、初めからPCI DSSに準拠しているSaaS型のECプラットフォームを選択することです。

Shopifyのようなグローバル基準のプラットフォームは、最高レベルである「PCI DSSレベル1」に準拠しています。これにより、事業者はサーバーの物理的なセキュリティ管理や、OS・ミドルウェアへのセキュリティパッチの適用、ネットワークの監視といった、専門的で負担の大きい技術的要件の多くをプラットフォーム側に委ねることができます。

その結果、事業者は複雑なセキュリティ要件への対応から解放され、本来最も注力すべき商品開発やブランディング、マーケティングといったコア業務にリソースを集中させることが可能になるのです。

ただし、プラットフォームを利用する場合でも、管理画面へのアクセスパスワードの厳重な管理や、連携するアプリの選定など、事業者側で果たすべき「共有責任」の範囲が存在することを忘れてはなりません。しかし、PCI DSS準拠における最も困難でコストのかかる大部分をプラットフォームが担ってくれるというメリットは、計り知れないほど大きいと言えるでしょう。

まとめ

サイバー攻撃の手法が日々巧妙化する現代において、顧客データの保護はEC事業者の最優先課題です。PCI DSSへの準拠は、単なる義務ではなく、顧客からの信頼を勝ち取り、ビジネスを長期的に成長させるための基盤となります。

自社のセキュリティ体制を過信せず、本記事のチェックリストを参考に、顧客が安全に買い物ができる環境を構築・維持していきましょう。

ビジネスの成長、"見えないコスト"や"国境"が足かせになっていませんか?

システムの維持コスト、複雑な海外対応など、事業責任者が本来向き合うべき「どう売上を伸ばすか」という課題に、集中できていますか?

Shopifyは、国内の流通だけでなく、グローバル展開を両立し、貴社のビジネスを加速させるプラットフォームです。

守りのコストを削減し、攻めの成長投資へ。そのための具体的なソリューションを、まずはご確認ください。

Shopifyについて詳しく知る

専門家に相談する
JM
執筆者:
更新日
記事を共有する
subscription banner
Shopifyの最新情報を入手
ブログの購読に登録しましょう。Eコマースのコツやヒント、リソースを無料でメールでお届けいたします。

登録はいつでも解除できます。メールアドレスを入力することにより、Shopifyからのメールマガジンを受信することに同意したものとみなされます。

Shopifyであらゆる場所で販売

まずはお試しください。Shopifyを無料で試して、ビジネスの立ち上げから運営、そして成長に役立つすべてのツールを体験しましょう。

無料で始める

まずは無料でお試しいただき、その後も3か月間、月額150円でご利用いただけます