デジタル時代となり、現在ではECビジネスへの参入のハードルは大幅に下がりました。Amazonのような大手マーケットプレイスを活用して小規模ビジネスをスタートさせることも、大規模なオンライン小売事業を自社で立ち上げることも可能です。実際、日本企業が海外進出を行う際に、ECビジネスの形態を取ることも多くなっています。

同時に、消費者のネットショッピング体験も以前とは変化を見せています。オンラインで商品やサービスを購入するのがこれまでになく簡単になっているのです。例えば、買い物客がクレジットカード番号や住所など、オンライン決済に必要なデータをWebブラウザー上に保存して、シームレスな支払を行うことも増えてきました。

ただし、カード会員情報などの機密データがインターネット上を飛び交うため、カード情報が漏洩してしまうリスクもあります。このようなデータ漏洩の原因の１つであるクレジットカード詐欺に対抗するために立ち上げられたのが、Payment Card Industry Data Security Standard（PCI DSS）です。

PCI DSSは、10年以上前に大手カード会社が共同で取り決めた一連のルールであり、EC企業も含め、ペイメントカード（クレジットカードやデビットカードなど支払機能の付いたカード全般）を扱うすべての組織が従う必要があります。

PCI DSSコンプライアンスを達成することは、ペイメントカードによる支払を採用しているEC企業が取るべき必須のステップともいえるでしょう。本稿では、PCIコンプライアンスの基本と、それを達成および維持するためにEC事業主が行う必要のあることについて説明します。

PCIコンプライアンスについて

ペイメントカード業界データセキュリティ基準（Payment Card Industry Data Security Standard ：PCI DSS）は、支払処理システムとしてペイメントカードを採用するために企業が従わなければならないルールです。

このデータセキュリティ基準は、ペイメントカードおよびカード会員のデータを収集、処理、保存、または送信するすべての企業にとって必須の要件であり、データ漏洩防止のための安全な環境の構築・維持に役立つ標準が定められています。

PCI DSSの設計を担当するグループは、Payment Card Industry Security Standards Council（PCI SSC）と呼ばれる主要なクレジットカード会社のコンソーシアムです。PCI SSCは、MasterCard、Visa、Discover、JCB、AmericanExpressなどの主要な国際カードブランド５社のネットワークで構成される独立した組織として、2006年に設立されました。ただし、コンプライアンス要件の実施および確認については、PCI SSC自体がその責任を負うわけではなく、個々のクレジットカード企業とその加盟契約会社が行う必要があります。代わりに、PCI SSCは、PCI準拠のデータセキュリティ標準の維持、改正、および促進を担当すると同時に、評価、トレーニングと教育、自己評価アンケート、製品認証プログラムなど、要件実装のためのツールを提供します。

ECビジネスにとってPCIコンプライアンスが重要である理由

ペイメントカードによる支払方法を準備しておくことは、ECビジネスにとって不可欠な要素です。したがって、ECビジネスにとってPCI DSSに準拠することは基本的に必須となります。

カード会員のデータ環境（CDE）保護に失敗すると、データ侵害が発生するリスクが高まり、大きな不利益をもたらす可能性があります。そして、いったんデータ漏えいが発生してしまうと、ブランドに対する消費者の信頼が低下するだけでなく、金銭的な損害も発生するのです。コンプライアンス違反に対する罰則は、罰金から、ペイメントカードの処理能力の取り消しまで多岐にわたりますが、いずれの罰則であっても企業にとってはビジネス存続に関わる不利益となり得るため、十分に注意しなければなりません。

例えば、企業の経済的負担として次のようなコストが考えられます。

• 政府・行政機関からの罰金
• 銀行からの罰金
• フォレンジック(不正)調査の費用
• 銀行との取引中止による損失
• 取引手数料の値上げ
• データ侵害の影響を受けた顧客のペイメントカード再発行にかかる費用
• コンプライアンスレベルを上げるために必要な費用
• データ侵害のあった顧客への説明と補償費用

そのため、ECビジネスでは、PCI DSSコンプライアンスをできるだけ早く整備することが必要です。

PCI DSSのレベル

すべての企業が1年に同じ金額のカード決済を処理するわけではなく、それに伴ってデータ侵害やセキュリティインシデントのリスクレベルもそれぞれ異なるものです。そのため、企業が処理するトランザクションの数に応じて、PCI DSSは4つのレベルに分けられています。ちなみに、PCI DSSレベル1が最も厳格です。

マーチャントとサービスプロバイダーの両方に独自のコンプライアンスレベルがありますが、ここではECビジネス事業者に求められるマーチャントのコンプライアンスレベルを紹介します。

• PCIマーチャントレベル1：
  すべてのチャネルで年間600万件を超えるトランザクションを行っているマーチャント、またはデータ侵害が発生したマーチャント
• PCIマーチャントレベル2：
  すべてのチャネルで年間100万から600万のトランザクションを持つマーチャント
• PCIマーチャントレベル3：
  年間20,000〜100万のオンライントランザクションを持つマーチャント
• PCIマーチャントレベル4：
  年間20,000未満のオンライントランザクションを持つマーチャント、または年間最大100万の通常トランザクションを処理するマーチャント

なお、ここでのマーチャントとは、PCI SSCの5つのメンバー（American Express、Discover、JCB、MasterCard、Visa）のいずれかのロゴが付いたペイメントカードを商品やサービスの支払として受け入れている法人のことです。 

EC企業向けのPCI DSS準拠のためのチェックリスト

PCI DSSに準拠するためには、企業のコンプライアンスチームは多くのタスクに取り組む必要があります。PCI DSSは、データセキュリティシステムの「ビルディングブロック」と呼ばれる、6つの目標で構成されています。そして、これらの6つの目標の中には、12のセキュリティ要件があります（https://www.pcisecuritystandards.org/pci_security/maintaining_payment_security）。

目標	各目標の要件
安全なネットワークとシステムの構築と維持	カード会員データを保護するために、ファイアウォールをインストールして維持する システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護	保存されるカード会員データを保護する オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの整備	マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する 安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御手法の導入	カード会員データへのアクセスを、業務上必要な範囲内に制限する システムコンポーネントへのアクセスを識別・認証する カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト	ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備	すべての担当者の情報セキュリティに対応するポリシーを整備する

 

ECビジネス事業者がPCI DSS準拠として認証を受けるまでの実務対応

 PCI DSSに準拠していることの認証は、訪問審査あるいはネットワークスキャン（外部ネットワークシステムの脆弱性スキャン）によって行われます。以下の手順で認証の準備を行うことになります。

Step1. 自社要件の把握
最初に行うことは、会社、システム、およびサードパーティベンダー内のカード会員データのフローとライフサイクルを理解することです。それを元に自社に適用される要件レベル (前述の PCI DSSのレベルを参照)を特定します。

Step2. データフローのマッピング
データフロー、システムアーキテクチャ、パブリックネットワーク、ビジネスプロセス評価、アーキテクチャ評価など、システムに関連する部分の範囲とインベントリをマッピングします。IT チームやセキュリティチームと協力する必要があります。

Step3. セキュリティの管理とプロトコルの確認
適切なセキュリティ設定とプロトコルが正常に実施されているかどうかを確認します (前述の PCI DSS の 12 のセキュリティ要件リストを参照)。同時に、自己問診（SAQ）、コンプライアンスに関するレポート（ROC）またはコンプライアンスの証明（AOC）など、システムのセキュリティをどのように保護および維持したかについての証拠書類を準備します。

Step4. 監視と保守
PCI 準拠は 1 回対応すれば良いというわけではなく、企業が準拠し続けなければならない継続的なプロセスです。そのため、データフローや顧客とのタッチポイントが変化する場合には特に注意が必要です。また、定期的にレポートの提出を求められる場合や、準拠継続を検証するオンサイト評価を毎年実行しなければならない場合もあります。

ここまでを自社で対応するのは、知識や経験面から難しいという場合も多いでしょう。また、ゼロから準備する場合、PCIレベル1では、その認証取得に6〜12か月（またはそれ以上）かかることもあります。そのため、準拠対応作業をアウトソースすることも選択肢になります。この場合、アウトソーサーが持つ専門知識と経験を活用することができるため、PCIレベル1の認証であっても3週間ほどで取得することも可能になります。

また、気軽にECビジネスを始めたい場合には、サードパーティ（Amazonなど）のマーケットプレイスを利用するのも一つの有効な手段です。その際には、利用するマーケットプレイスがPCI DSSに準拠していることをしっかりと確認してください。

社内のリソースやノウハウ、また必要なコストなどによって最適な方法を選択することが重要です。

海外進出・海外展開への影響

 本稿で紹介したPCI DSSコンプライアンスは規制基準であり、法律そのものではありません。 ただし、データ侵害が発生した場合に、PCI DSSに準拠していなかった場合の法的影響と罰金は大きなものになるでしょう。例えば、PCI DSSに準拠しておらず、データ侵害やネットワーク違反が発生した場合、EU 一般データ保護規則（GDPR）違反とみなされ、「最大2,000万ユーロあるいは年間売上高の4％のいずれか大きい方」という多大な罰金を科される可能性もあるのです。

越境ECビジネスは、日本企業が海外進出、海外展開する際のよいきっかけとなり得ますが、セキュリティ関連の対策不足は多大な損害を発生させる原因にもなることに注意してください。

ファースト＆タンデムスプリント法律事務所では、弁護士によるご相談やリーガルチェックのご依頼をお受けしていますので、いつでもお問合せください。

弁護士法人ファースト&タンデムスプリント法律事務所は、EC・通販法務には特に高い知見と経験を有しています。
「助ネコ」の株式会社アクアリーフ様、「CROSS MALL」の株式会社アイル様など、著名なECシステム企業が多数、当法律事務所の顧問契約サービスを利用されています。
企業の皆様は、ビジネスのリスクは何なのか、リスクが発生する可能性はどれくらいあるのか、リスクを無くしたり減らしたりする方法はないのか、結局会社としてどうすれば良いのか、どの方法が一番オススメなのか、そこまで踏み込んだアドバイスを、弁護士に求めています。当法律事務所は、できない理由を探すのではなく、できる方法を考えます。クライアントのビジネスを加速させるために、知恵を絞り、責任をもってアドバイスをします。多数のEC企業様が、サービス設計や利用規約・契約書レビューなどにあたり当事務所を活用されていますので、いつでもご相談ください。

執筆者：弁護士小野智博
弁護士法人ファースト&タンデムスプリント法律事務所

※本稿の記載内容は、2022年3月現在の法令・情報等に基づいています。
本稿は一般的な情報提供であり、法的助言ではありません。正確な情報を掲載するよう努めておりますが、内容について保証するものではありません。