GXO
マーケティング・EC

PCI DSS v4.0 対応ガイド|EC・決済事業者の必須要件と移行スケジュール【2026年版】

16分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

5分で自社の状況を診断する

GXO COLUMN

セキュリティ

PCI DSS(Payment Card Industry Data Security Standard)v4.0は、クレジットカード情報を取り扱う全ての事業者に適用されるセキュリティ基準だ。2024年3月31日にv3.2.1が廃止され、v4.0が唯一の有効バージョンとなった。さらに、2025年3月31日には「将来日付要件(Future-Dated Requirements)」64項目も必須化されている。

EC事業者、決済代行業者、POS端末を扱う小売業者——カード情報に関わる全ての事業者が対応を迫られている。


1. PCI DSS v4.0とは

概要

PCI DSSは、Visa・Mastercard・JCB・American Express・Discoverの5大国際カードブランドが共同で策定したセキュリティ基準。PCI SSC(Payment Card Industry Security Standards Council)が管理・運営している。

バージョン履歴

横にスクロールして確認できます

バージョンリリース日廃止日
v3.2.12018年5月2024年3月31日
v4.02022年3月現行
v4.0.12024年6月現行(マイナー修正)

v3.2.1からの主な変更点

横にスクロールして確認できます

変更カテゴリ内容
カスタマイズアプローチ定められた管理策の代わりに、リスクベースで独自の対策を採用可能
認証の強化管理アクセスへの多要素認証(MFA)が全環境で必須に
パスワード要件最低12文字(従来8文字)、複雑性要件の強化
脆弱性管理内部脆弱性スキャンの認証スキャン化、重大脆弱性の修正期限明確化
ログ監視自動化されたログレビューメカニズムの導入
フィッシング対策フィッシング攻撃を検出・防止する技術的対策が新規要件に
スクリプト管理決済ページのスクリプトの完全性管理(Magecart対策)
リスク分析各要件に対するターゲットリスク分析の実施

RETAIL & EC DX

実店舗とECの在庫分断、1本のOMSで解消しませんか?

POS/自社EC/モールを統合するオムニチャネル基幹。同規模小売・D2Cの概算費用・導入期間・事例をその場で確認できます。

OMS/ヘッドレスECの概算を見る

2. 対象となる事業者

準拠レベル

横にスクロールして確認できます

レベル年間取引件数必要な対応
レベル1600万件以上QSA(認定評価者)による現地監査+ASVスキャン
レベル2100万〜600万件SAQ(自己問診)+ASVスキャン
レベル32万〜100万件SAQ+ASVスキャン
レベル42万件未満SAQ(簡易版)+ASVスキャン推奨

具体的な対象事業者

  • EC事業者 — カード決済を受け付けるオンラインショップ
  • 決済代行業者(PSP) — Stripe、GMOペイメント等
  • 加盟店 — カード決済端末を設置する店舗
  • カード発行会社(イシュアー) — クレジットカード発行元
  • サービスプロバイダー — カード情報を保管・処理・伝送する第三者

3. v4.0の12要件

PCI DSS v4.0は6つの目標と12の要件で構成される。

横にスクロールして確認できます

目標要件内容
安全なネットワーク構築要件1ネットワークセキュリティコントロールの導入・維持
要件2全システムコンポーネントへの安全な設定の適用
カード会員データの保護要件3保存されたアカウントデータの保護
要件4オープンな公共ネットワークでの暗号化
脆弱性管理要件5悪意のあるソフトウェアからの保護
要件6安全なシステム・ソフトウェアの開発・維持
アクセス制御要件7ビジネスニーズによるアクセス制限
要件8ユーザーの識別とアクセスの認証
要件9カード会員データへの物理的アクセス制限
監視・テスト要件10ネットワークとカード会員データへのアクセスの追跡・監視
要件11セキュリティシステム・プロセスの定期的テスト
セキュリティポリシー要件12情報セキュリティに対処するポリシーの維持

FREE DOWNLOAD

中小企業の脆弱性対応 月次運用テンプレ

情シス1人体制でも回せる脆弱性棚卸・対応フローのテンプレート(Excel版)。

4. 主な新規要件(Future-Dated:2025年3月31日必須化済み)

横にスクロールして確認できます

要件番号内容影響
3.5.1.2ディスク暗号化はリムーバブルメディアのみ許可ディスク全体暗号化だけでは不可
5.4.1フィッシング攻撃の検出・防止メカニズム技術的対策が必須(メールフィルタ等)
6.4.3決済ページのスクリプト管理・完全性確認ECサイトのJS管理が必須
8.4.2CDE(カードデータ環境)への全アクセスにMFA全管理者アクセスにMFA必須
8.6.3サービスアカウント・アプリケーションパスワードの管理定期ローテーション or セキュリティ分析
10.4.1.1自動化されたログレビューメカニズムSIEM等によるログ自動分析
11.6.1決済ページの変更検知メカニズム改ざん検知の自動化
12.10.4.1インシデント対応訓練の年1回以上実施テーブルトップ演習等

5. EC事業者の対応手順

Step 1: 現状把握(1ヶ月)

  • カード情報の取り扱いフローの可視化
  • 準拠レベルの確認
  • 現行のSAQ/QSA報告書の確認

Step 2: ギャップ分析(1〜2ヶ月)

  • v4.0の要件と現状の差分を特定
  • 特にFuture-Dated要件64項目の対応状況を確認

Step 3: 対策実装(2〜6ヶ月)

  • MFAの全面導入
  • ログ監視の自動化(SIEM導入)
  • 決済ページのスクリプト管理(CSP、SRI)
  • パスワードポリシーの更新(12文字以上)
  • フィッシング対策の技術的実装

Step 4: 評価・報告(1〜2ヶ月)

  • ASVスキャンの実施
  • SAQの作成 or QSA監査の実施
  • 是正措置の完了

6. 費用の目安

横にスクロールして確認できます

項目レベル4(小規模EC)レベル2-3(中規模)レベル1(大規模)
準拠評価(SAQ/QSA)20〜50万円100〜300万円500〜1,500万円
ASVスキャン10〜30万円/年30〜80万円/年50〜150万円/年
セキュリティ対策実装50〜200万円200〜500万円500〜2,000万円
コンサルティング30〜80万円100〜300万円300〜800万円
合計目安110〜360万円430〜1,180万円1,350〜4,450万円

7. 非準拠のリスク

横にスクロールして確認できます

リスク内容
罰金カードブランドからの罰金(月額$5,000〜$100,000)
加盟店契約の解除カード決済の利用停止
データ侵害時の賠償カード再発行費用(1枚$3〜$10×流出件数)
ブランド毀損顧客の信頼喪失、メディア報道
法的責任個人情報保護法違反との複合リスク

まとめ

PCI DSS v4.0は「いつか対応する」ではなく「今すぐ対応すべき」フェーズに入っている。

  1. v3.2.1は2024年3月に廃止済み — v4.0が唯一の有効基準
  2. Future-Dated要件は2025年3月に必須化済み — 64項目の対応確認を
  3. EC事業者は決済ページのスクリプト管理が新たな必須項目 — Magecart対策

カード決済を扱う以上、PCI DSSへの準拠は「やるかやらないか」ではなく「どう効率的に対応するか」の問題だ。

PCI DSS v4.0への対応をサポートします。 GXOではギャップ分析からセキュリティ実装、ASVスキャン、QSA監査対応まで一貫して支援。EC事業者のカード情報保護を包括的にサポートします。PCI DSS相談はこちら

GXO実務追記: レガシー刷新で発注前に確認すべきこと

この記事のテーマは、単なるトレンド紹介ではなく、現行調査、刷新範囲、段階移行、ROI、ベンダー切替リスクを決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。

まず決めるべき3つの論点

横にスクロールして確認できます

論点確認する内容未整理のまま進めた場合のリスク
目的売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか成果指標が曖昧になり、PoCや開発が終わっても投資判断できない
範囲対象部署、対象業務、対象データ、対象システムをどこまで含めるか見積もりが膨らむ、または重要な連携が後から漏れる
体制自社責任者、現場担当、ベンダー、保守運用者をどう置くか要件確認が遅れ、納期遅延や品質低下につながる

費用・期間・体制の目安

横にスクロールして確認できます

フェーズ期間目安主な成果物GXOが見るポイント
事前診断1〜2週間課題整理、現行確認、投資判断メモ目的と範囲が商談前に整理されているか
要件定義 / 設計3〜6週間要件一覧、RFP、概算見積、ロードマップ見積比較できる粒度になっているか
PoC / MVP1〜3ヶ月検証環境、効果測定、リスク評価本番化判断に必要な数値が取れるか
本番導入3〜6ヶ月本番環境、運用設計、教育、改善計画導入後の運用責任と改善サイクルがあるか

発注前チェックリスト

  • 現行システムの機能、利用部署、データ、外部連携を一覧化したか
  • 保守切れ、属人化、障害頻度、セキュリティリスクを金額換算したか
  • 全面刷新、段階移行、SaaS置換、リホストの比較表を作ったか
  • 移行中に止められない業務と、止めてもよい業務を分けたか
  • 既存ベンダー依存から抜けるためのドキュメント/コード引継ぎ条件を決めたか
  • 稟議で説明する投資回収、リスク低減、保守費削減の根拠を整理したか

参考にすべき一次情報・公的情報

上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。

GXOに相談するタイミング

次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。

  • 見積もり依頼前に、要件やRFPの粒度を整えたい
  • 既存ベンダーの提案が妥当か第三者視点で確認したい
  • 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
  • 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
  • PoCや診断で終わらせず、本番導入と運用改善まで進めたい

PCI DSS v4.0 対応ガイド|EC・決済事業者の必須要件と移行スケジュール【2026年版】を自社条件で診断したい方へ

GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。

レガシー刷新ROI診断を相談する

※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。

実務判断のポイント

この記事は、経営者、情シス、業務責任者、発注担当向けです。要件定義、RFP作成、見積比較、レガシー刷新、業務システム再構築を自社で進めるか、外部の専門家と整理するかを判断する材料として使えます。

GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。PCI DSS v4.0 対応ガイド|EC・決済事業者の必須要件と移行スケジュール【2026年版】に関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。

放置した場合と整備した場合の違い

横にスクロールして確認できます

観点放置した場合整備した場合
業務影響属人的な判断が増え、対応の優先順位がぶれやすい影響範囲、期限、責任者を決めて進められる
投資判断ツール導入や外注費だけが先行し、効果測定が曖昧になる売上、工数削減、リスク低減の指標にひも付けられる
現場運用例外処理や承認フローが残り、定着しにくい権限、ログ、教育、改善サイクルまで設計できる
経営報告問題が発生してから説明資料を作ることになる月次で状況、課題、次の打ち手を説明できる

導入・改善前のチェックリスト

  • 対象業務、対象部門、対象データを明文化しているか
  • 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
  • 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
  • 例外処理、承認、差し戻し、監査証跡まで確認しているか
  • 社内で判断できる範囲と外部支援が必要な範囲を分けているか
  • 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
  • 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
  • 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
  • セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
  • 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
  • 経営判断に必要な資料を1枚で説明できる状態にしているか
  • 次の90日で検証する範囲と、やらない範囲を明確にしているか

GXOの見解

システム開発の成否は開発会社選びの前に、業務要件、既存データ、運用責任、段階移行をどこまで整理できるかで決まる。

GXOは見積比較だけでなく、発注前の論点整理とRFP設計が手戻りと追加費用を減らすと見る。

自社だけで整理が難しい場合、GXOは業務整理、要件定義、RFP、開発、保守、レガシー刷新まで接続できる。最初から大規模な発注を前提にせず、現状整理や診断から必要な範囲を確認できます。

実行までの進め方

  1. 現在の業務、データ、ツール、担当者を棚卸しする
  2. 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
  3. 初期対応、90日以内の改善、半年以上の投資を分ける
  4. 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
  5. 小さく検証し、効果測定後に本番化や横展開を判断する

FAQ

まず何から確認すべきですか?

最初に確認すべきなのは、対象業務、対象データ、責任者、判断期限です。情報収集だけで終えると、導入可否や対応優先順位を決められません。

社内だけで進めるべきですか?

既存業務の棚卸しは社内で進められます。ただし、要件定義、セキュリティ、費用対効果、ベンダー比較が絡む場合は、外部視点を入れた方が手戻りを抑えやすくなります。

GXOにはどの段階で相談できますか?

構想段階、予算化前、RFP作成前、既存システムの見直し段階から相談できます。要件定義、RFP作成、見積比較、レガシー刷新、業務システム再構築の相談を入口に、実装や運用改善まで整理できます。

公式・一次情報(最終確認: 2026年7月12日)

制度、仕様、価格、法令、脆弱性情報は改定されるため、発注・申請・対応の直前にリンク先の最新版と適用条件を再確認してください。

ISSUE HUB

売上・顧客対応を改善したいの全体像を見る

関連する中カテゴリ・小カテゴリ・記事を横断し、課題の整理、優先順位、解決策をまとめて確認できます。

課題別ハブを見る

CATEGORY CLUSTER

同じ課題で読む

この記事の親カテゴリと近い小カテゴリをたどると、課題の全体像から具体的な解決策まで順に確認できます。

関連 HUB

この記事は以下の業種・悩み hub にも掲載されています。同じテーマの実務ナレッジと支援サービスをまとめてご覧いただけます。

お気軽にご相談ください

AI・DXに関するご質問やお見積もりなど

無料相談する

CONTACT

まずは 無料相談 から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK