カード決済を扱うEC事業者に求められるPCIコンプライアンス(準拠)とは?
通販サイトやオンラインモールなどのECサイトにおいて、クレジットカード決済を扱う企業の担当者の皆様は次のようなお悩みや課題があるのではないでしょうか。
「顧客のクレジットカードの情報漏えいを防止するためにはどのようなことに気を付ければいいのだろうか?」
「“PCI”という言葉は聞いたことがあるが、具体的にどのような決まりで、企業としては何をすれば良いのか?」
「事業を拡大するにあたり、顧客の情報についてより適切な管理を目指したいけれど、何から始めれば良いか分からない。」
この記事では、EC事業者がクレジットカードデータのセキュリティを強化し、カード情報を保護するために必ず対応しなくてはならない、PCI DSSの基準に基づくコンプライアンス対策の方法について、EC専門の弁護士が詳しく解説します。
目次
PCIコンプライアンスについて


クレジットカードの加盟店やサービスプロバイダが、クレジットカードの会員データを安全に扱うために策定されたのが、ペイメントカード業界データセキュリティ基準(PCI DSS)であり、PCI DSSは、Payment Card Industry Data Security Standardの頭文字です。
PCI DSSの運用、管理は、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によってなされています。
国際カードブランド5社が共同で運用、管理することになった経緯として、加盟店側の負担軽減、世界規模のクレジットカード被害の拡大があります。元々、国際カードブランドによってリスク管理プログラムは様々であり、取扱うカードブランドによって異なるリスク管理を講じることは加盟店にとっては大きな負担となっていたのです。また、インターネットの普及とともに、国境を越えたネット決済も普及しました。それに伴い、世界規模のクレジットカード被害が発生するようになり、クレジットカード被害において、加盟店側の協力はより重要なものとなりました。
上記の経緯から、加盟店のリスクと負担に対応できる仕組みを作るべく、国際カードブランド5社により、PCI SSCの設立、PCI DSSの策定がなされました。
PCI DSSは、支払処理システムとしてペイメントカードを採用するために企業が従わなければならないセキュリティ基準です。このデータセキュリティ基準は、ペイメントカードおよびカード会員のデータを収集、処理、保存、または送信するすべての企業にとって必須の要件であり、データ漏洩防止のための安全な環境の構築・維持に役立つ標準が定められています。
前述のとおり、PCI DSSの設計を担当するグループは、Payment Card Industry Security Standards Council(PCI SSC)と呼ばれる主要なクレジットカード会社のコンソーシアムです。PCI SSCは、主要な国際カードブランド5社のネットワークで構成される独立した組織として、2006年に設立されました。ただし、コンプライアンス要件の実施および確認については、PCI SSC自体がその責任を負うわけではなく、個々のクレジットカード企業とその加盟契約会社が行う必要があります。代わりに、PCI SSCは、PCI準拠のデータセキュリティ標準の維持、改正、および促進を担当すると同時に、評価、トレーニングと教育、自己評価アンケート、製品認証プログラムなど、要件実装のためのツールを提供します。
ECビジネスにとってPCIコンプライアンスが重要である理由


カード会員のデータ環境(CDE)保護に失敗すると、データ侵害が発生するリスクが高まり、大きな不利益をもたらす可能性があります。そして、いったんデータ漏えいが発生してしまうと、ブランドに対する消費者の信頼が低下するだけでなく、金銭的な損害も発生するのです。コンプライアンス違反に対する罰則は、罰金から、ペイメントカードの処理能力の取り消しまで多岐にわたりますが、いずれの罰則であっても企業にとってはビジネス存続に関わる不利益となり得るため、十分に注意しなければなりません。
例えば、企業の経済的負担として次のようなコストが考えられます。
- 政府・行政機関からの罰金
- 銀行からの罰金
- フォレンジック(不正)調査の費用
- 銀行との取引中止による損失
- 取引手数料の値上げ
- データ侵害の影響を受けた顧客のペイメントカード再発行にかかる費用
- コンプライアンスレベルを上げるために必要な費用
- データ侵害のあった顧客への説明と補償費用
そのため、ECビジネスでは、PCI DSSコンプライアンスをできるだけ早く整備することが必要です。
- PCIコンプライアンスと個人情報保護法
-
個人情報保護法を遵守することは、カード決済に関するものに限らず、消費者の情報を守る観点からPCIコンプライアンスと同様に重要です。欧州、米国、アジアなどの諸外国で個人情報保護のための法律や規制が存在しており、規制の厳しさや罰則についても国によって運用が異なります。越境EC事業を行う場合には、取引の相手方となる国の中で一番厳しい基準や罰則を設けている国の法律や規制に合わせて、プライバシーポリシーの作成や個人情報保護のための取り組みを行うことをお勧めします。
ここでは、日本の個人情報保護法の概要について解説します。
<個人情報とは>
「個人情報」とは、生存する個人に関する情報であって、①当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)② 個人識別符号が含まれるもののことをいいます。例えば、メールアドレスであっても、メールアドレスの記述から会社名、名前など個人を特定できる場合には、個人情報に該当する可能性があります。
<個人情報取扱事業者に課される義務>
一例ですが、個人情報取扱事業者には下記のような義務が課されています。
- 個人情報の利用目的の特定
- 利用目的の変更をする場合の本人からの同意の取得
- 個人情報の目的外利用、第三者に提供する際の本人からの同意の取得
- 不適正利用の禁止
- 適正取得
- 委託先の監督
<個人情報保護違反による罰則>
個人情報データベース等を自己若しくは第三者の不正な利用を図る目的で提供又は盗用した場合には、刑事罰(1年以下の懲役又は50万円以下の罰金)が科される可能性があります(個人情報保護法第179条)。
また、個人情報保護委員会からの勧告、命令、緊急命令に違反した場合には1年以下の懲役又は100万円以下の罰金が科される可能性や、違反の事実が公表され、企業の信用を損なう可能性があります。
越境EC事業における個人情報の取扱いについては、海外法務に詳しい専門家にきちんと相談し、相手国の規制や罰則をきちんと精査されることをお勧めします。
・個人情報漏洩の危機!損害賠償等のリスクについてEC企業がとるべき対策とは?
PCI DSSのレベル


すべての企業が1年に同じ金額のカード決済を処理するわけではなく、それに伴ってデータ侵害やセキュリティインシデントのリスクレベルもそれぞれ異なるものです。そのため、企業が処理するトランザクション(カード認証処理)の数に応じて、PCI DSSは4つのレベルに分けられています。ちなみに、PCI DSSレベル1が最も厳格です。
マーチャントとサービスプロバイダーの両方に独自のコンプライアンスレベルがありますが、ここではECビジネス事業者に求められるマーチャントのコンプライアンスレベルを紹介します。
- PCIマーチャントレベル1
すべてのチャネルで年間600万件を超えるトランザクションを行っているマーチャント、またはデータ侵害が発生したマーチャント - PCIマーチャントレベル2
すべてのチャネルで年間100万から600万のトランザクションを持つマーチャント - PCIマーチャントレベル3
年間2万〜100万のオンライントランザクションを持つマーチャント - PCIマーチャントレベル4:
年間2万未満のオンライントランザクションを持つマーチャント、または年間最大100万の通常トランザクションを処理するマーチャント
なお、ここでのマーチャントとは、PCI SSCの5つのメンバー(American Express、Discover、JCB、MasterCard、Visa)のいずれかのロゴが付いたペイメントカードを商品やサービスの支払として受け入れている法人のことです。
EC企業向けのPCI DSS準拠のためのチェックリスト


6つの項目 | 12の要件 |
安全なネットワークのシステムの構築と維持 | ・ネットワークセキュリティコントロールの導入と維持
・すべてのシステムコンポーネントにセキュアな設定を適用する |
アカウントデータの保護 | ・保存されたアカウントデータの保護
・オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する |
脆弱性管理プログラムの維持 | ・悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する
・安全なシステムおよびソフトウェアの開発と維持 |
強力なアクセス制御の実施 | ・システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲によって制限する
・ユーザーの識別とシステムコンポーネントへのアクセスの認証 ・カード会員データへの物理アクセスを制限する |
ネットワークの定期的な監視とテスト | ・システムコンポーネントおよび会員データへのすべてのアクセスをログに記録し、監視すること
・システムおよびネットワークのセキュリティを定期的にテストする |
情報セキュリティ・ポリシーの維持 | 組織の方針とプログラムによって情報セキュリティをサポートする |
対象となる範囲において、上記の要求基準をすべて遵守し、これを自己問診(SAQ)または第三者機関(QSA)の確認によって証明することを、PCI DSS準拠といいます。
ECビジネス事業者がPCI DSS準拠として認証を受けるまでの実務対応


Step1. 自社要件の把握
最初に行うことは、会社、システム、およびサードパーティベンダー内のカード会員データのフローとライフサイクルを理解することです。それを元に自社に適用される要件レベル(前述の PCI DSSのレベルを参照)を特定します。
Step2. データフローのマッピング
データフロー、システムアーキテクチャ、パブリックネットワーク、ビジネスプロセス評価、アーキテクチャ評価など、システムに関連する部分の範囲とインベントリをマッピングします。IT チームやセキュリティチームと協力する必要があります。
Step3. セキュリティの管理とプロトコルの確認
適切なセキュリティ設定とプロトコルが正常に実施されているかどうかを確認します (前述の PCI DSS の 12 のセキュリティ要件リストを参照)。同時に、自己問診(SAQ)、コンプライアンスに関するレポート(ROC)またはコンプライアンスの証明(AOC)など、システムのセキュリティをどのように保護および維持したかについての証拠書類を準備します。
Step4. 監視と保守
PCI 準拠は 1 回対応すれば良いというわけではなく、企業が準拠し続けなければならない継続的なプロセスです。そのため、データフローや顧客とのタッチポイントが変化する場合には特に注意が必要です。また、定期的にレポートの提出を求められる場合や、準拠継続を検証するオンサイト評価を毎年実行しなければならない場合もあります。
ここまでを自社で対応するのは、知識や経験面から難しいという場合も多いでしょう。また、ゼロから準備する場合、PCIレベル1では、その認証取得に6〜12か月(またはそれ以上)かかることもあります。そのため、準拠対応作業をアウトソースすることも選択肢になります。この場合、アウトソーサーが持つ専門知識と経験を活用することができるため、PCIレベル1の認証であっても3週間ほどで取得することも可能になります。
また、気軽にECビジネスを始めたい場合には、サードパーティ(Amazonなど)のマーケットプレイスを利用するのも一つの有効な手段です。その際には、利用するマーケットプレイスがPCI DSSに準拠していることを資料などでしっかりと確認してください。社内のリソースやノウハウ、また必要なコストなどによって最適な方法を選択することが重要です。
海外進出・海外展開への影響


例えば、PCI DSSに準拠しておらず、データ侵害やネットワーク違反が発生した場合、EU一般データ保護規則(GDPR)違反とみなされ、最大2,000万ユーロあるいは年間売上高の4%のいずれか大きい方という、多大な罰金を科される可能性があります。越境ECビジネスは、日本企業が海外進出、海外展開する際のよいきっかけとなり得ますが、セキュリティ関連の対策不足は多大な損害を発生させる原因にもなることに注意してください。
PCIコンプライアンスについてのお悩み、リスク、課題は解決できます


この記事では、EC関連サービスの企業の皆さまが、クレジットカード決済を取り扱う場合に、直面すると思われるお悩み、リスク、課題について、ヒントになる基本的な知識をお伝えしました。これらの情報を、皆さまの会社にうまくあてはめて、一つずつ実行していくことで、貴社のお悩みや課題が解決し、貴社のサービスへのユーザーや社会の信頼が大きく増え、ビジネスが成功する未来が実現すると信じています。
しかも、頼りになる専門家と一緒に、解決できます!
弁護士法人ファースト&タンデムスプリント法律事務所では、多くの企業様へのご支援を通じて、EC事業における広告表示、広告運用についての専門的な法律の課題を解決してきた実績があります。
「助ネコ」の株式会社アクアリーフ様、「CROSS MALL」の株式会社アイル様など、著名なECシステム企業が多数、当法律事務所の顧問契約サービスを利用されています。
企業の皆様は、ビジネスのリスクは何なのか、リスクが発生する可能性はどれくらいあるのか、リスクを無くしたり減らしたりする方法はないのか、結局会社としてどうすれば良いのか、どの方法が一番オススメなのか、そこまで踏み込んだアドバイスを、弁護士に求めています。当法律事務所は、できない理由を探すのではなく、できる方法を考えます。クライアントのビジネスを加速させるために、知恵を絞り、責任をもってアドバイスをします。多数のEC企業様が、当事務所の、オンラインを活用したスピード感のあるサービスを活用されています。
当事務所にご依頼いただくことで、
「PCIコンプライアンス・個人情報保護法等、EC事業者が守るべき法令・ルールについて、きちんと理解することができる。」
「PCIコンプライアンス準拠のための実務、準拠後にすべきことを仕組化していけるようになる。」
「カード決済情報や個人情報以外の、ビジネスにおける高リスク箇所についても洗い出しができ、その都度解決していけるようになる。」
このようなメリットがあります。
顧問先企業様からは、
「研修を通じて、PCIコンプライアンスについての担当部署の知識が深まり、日々の業務にも活用できるようになった。」
「カード決済を導入するにあたり、PCIコンプライアンスだけでなく、各種契約の締結や進め方についても相談することができた。」
「分からないところはすぐに質問ができるので、不安をきちんと解消しながら、スピーディーにECビジネスを開始することができた。」
このようなフィードバックをいただいております。
当事務所では、問題解決に向けてスピード感を重視する企業の皆さまにご対応させていただきたく、「メールでスピード相談」をご提供しています。
初回の相談は無料です。24時間、全国対応で受付しています。
問題解決の第一歩としてお問い合わせ下さい。
こちらから「メールでスピード相談」ができます。
※本稿の記載内容は、2025年1月現在の法令・情報等に基づいています。
本稿は一般的な情報提供であり、法的助言ではありません。正確な情報を掲載するよう努めておりますが、内容について保証するものではありません。