PCI DSS(Payment Card Industry Data Security Standard)v4.0は、クレジットカード情報を取り扱う全ての事業者に適用されるセキュリティ基準だ。2024年3月31日にv3.2.1が廃止され、v4.0が唯一の有効バージョンとなった。さらに、2025年3月31日には「将来日付要件(Future-Dated Requirements)」64項目も必須化されている。
EC事業者、決済代行業者、POS端末を扱う小売業者——カード情報に関わる全ての事業者が対応を迫られている。
1. PCI DSS v4.0とは
概要
PCI DSSは、Visa・Mastercard・JCB・American Express・Discoverの5大国際カードブランドが共同で策定したセキュリティ基準。PCI SSC(Payment Card Industry Security Standards Council)が管理・運営している。
バージョン履歴
| バージョン | リリース日 | 廃止日 |
|---|---|---|
| v3.2.1 | 2018年5月 | 2024年3月31日 |
| v4.0 | 2022年3月 | 現行 |
| v4.0.1 | 2024年6月 | 現行(マイナー修正) |
v3.2.1からの主な変更点
| 変更カテゴリ | 内容 |
|---|---|
| カスタマイズアプローチ | 定められた管理策の代わりに、リスクベースで独自の対策を採用可能 |
| 認証の強化 | 管理アクセスへの多要素認証(MFA)が全環境で必須に |
| パスワード要件 | 最低12文字(従来8文字)、複雑性要件の強化 |
| 脆弱性管理 | 内部脆弱性スキャンの認証スキャン化、重大脆弱性の修正期限明確化 |
| ログ監視 | 自動化されたログレビューメカニズムの導入 |
| フィッシング対策 | フィッシング攻撃を検出・防止する技術的対策が新規要件に |
| スクリプト管理 | 決済ページのスクリプトの完全性管理(Magecart対策) |
| リスク分析 | 各要件に対するターゲットリスク分析の実施 |
2. 対象となる事業者
準拠レベル
| レベル | 年間取引件数 | 必要な対応 |
|---|---|---|
| レベル1 | 600万件以上 | QSA(認定評価者)による現地監査+ASVスキャン |
| レベル2 | 100万〜600万件 | SAQ(自己問診)+ASVスキャン |
| レベル3 | 2万〜100万件 | SAQ+ASVスキャン |
| レベル4 | 2万件未満 | SAQ(簡易版)+ASVスキャン推奨 |
具体的な対象事業者
- EC事業者 — カード決済を受け付けるオンラインショップ
- 決済代行業者(PSP) — Stripe、GMOペイメント等
- 加盟店 — カード決済端末を設置する店舗
- カード発行会社(イシュアー) — クレジットカード発行元
- サービスプロバイダー — カード情報を保管・処理・伝送する第三者
3. v4.0の12要件
PCI DSS v4.0は6つの目標と12の要件で構成される。
| 目標 | 要件 | 内容 |
|---|---|---|
| 安全なネットワーク構築 | 要件1 | ネットワークセキュリティコントロールの導入・維持 |
| 要件2 | 全システムコンポーネントへの安全な設定の適用 | |
| カード会員データの保護 | 要件3 | 保存されたアカウントデータの保護 |
| 要件4 | オープンな公共ネットワークでの暗号化 | |
| 脆弱性管理 | 要件5 | 悪意のあるソフトウェアからの保護 |
| 要件6 | 安全なシステム・ソフトウェアの開発・維持 | |
| アクセス制御 | 要件7 | ビジネスニーズによるアクセス制限 |
| 要件8 | ユーザーの識別とアクセスの認証 | |
| 要件9 | カード会員データへの物理的アクセス制限 | |
| 監視・テスト | 要件10 | ネットワークとカード会員データへのアクセスの追跡・監視 |
| 要件11 | セキュリティシステム・プロセスの定期的テスト | |
| セキュリティポリシー | 要件12 | 情報セキュリティに対処するポリシーの維持 |
4. 主な新規要件(Future-Dated:2025年3月31日必須化済み)
| 要件番号 | 内容 | 影響 |
|---|---|---|
| 3.5.1.2 | ディスク暗号化はリムーバブルメディアのみ許可 | ディスク全体暗号化だけでは不可 |
| 5.4.1 | フィッシング攻撃の検出・防止メカニズム | 技術的対策が必須(メールフィルタ等) |
| 6.4.3 | 決済ページのスクリプト管理・完全性確認 | ECサイトのJS管理が必須 |
| 8.4.2 | CDE(カードデータ環境)への全アクセスにMFA | 全管理者アクセスにMFA必須 |
| 8.6.3 | サービスアカウント・アプリケーションパスワードの管理 | 定期ローテーション or セキュリティ分析 |
| 10.4.1.1 | 自動化されたログレビューメカニズム | SIEM等によるログ自動分析 |
| 11.6.1 | 決済ページの変更検知メカニズム | 改ざん検知の自動化 |
| 12.10.4.1 | インシデント対応訓練の年1回以上実施 | テーブルトップ演習等 |
5. EC事業者の対応手順
Step 1: 現状把握(1ヶ月)
- カード情報の取り扱いフローの可視化
- 準拠レベルの確認
- 現行のSAQ/QSA報告書の確認
Step 2: ギャップ分析(1〜2ヶ月)
- v4.0の要件と現状の差分を特定
- 特にFuture-Dated要件64項目の対応状況を確認
Step 3: 対策実装(2〜6ヶ月)
- MFAの全面導入
- ログ監視の自動化(SIEM導入)
- 決済ページのスクリプト管理(CSP、SRI)
- パスワードポリシーの更新(12文字以上)
- フィッシング対策の技術的実装
Step 4: 評価・報告(1〜2ヶ月)
- ASVスキャンの実施
- SAQの作成 or QSA監査の実施
- 是正措置の完了
6. 費用の目安
| 項目 | レベル4(小規模EC) | レベル2-3(中規模) | レベル1(大規模) |
|---|---|---|---|
| 準拠評価(SAQ/QSA) | 20〜50万円 | 100〜300万円 | 500〜1,500万円 |
| ASVスキャン | 10〜30万円/年 | 30〜80万円/年 | 50〜150万円/年 |
| セキュリティ対策実装 | 50〜200万円 | 200〜500万円 | 500〜2,000万円 |
| コンサルティング | 30〜80万円 | 100〜300万円 | 300〜800万円 |
| 合計目安 | 110〜360万円 | 430〜1,180万円 | 1,350〜4,450万円 |
7. 非準拠のリスク
| リスク | 内容 |
|---|---|
| 罰金 | カードブランドからの罰金(月額$5,000〜$100,000) |
| 加盟店契約の解除 | カード決済の利用停止 |
| データ侵害時の賠償 | カード再発行費用(1枚$3〜$10×流出件数) |
| ブランド毀損 | 顧客の信頼喪失、メディア報道 |
| 法的責任 | 個人情報保護法違反との複合リスク |
まとめ
PCI DSS v4.0は「いつか対応する」ではなく「今すぐ対応すべき」フェーズに入っている。
- v3.2.1は2024年3月に廃止済み — v4.0が唯一の有効基準
- Future-Dated要件は2025年3月に必須化済み — 64項目の対応確認を
- EC事業者は決済ページのスクリプト管理が新たな必須項目 — Magecart対策
カード決済を扱う以上、PCI DSSへの準拠は「やるかやらないか」ではなく「どう効率的に対応するか」の問題だ。
GXO実務追記: レガシー刷新で発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、現行調査、刷新範囲、段階移行、ROI、ベンダー切替リスクを決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- [ ] 現行システムの機能、利用部署、データ、外部連携を一覧化したか
- [ ] 保守切れ、属人化、障害頻度、セキュリティリスクを金額換算したか
- [ ] 全面刷新、段階移行、SaaS置換、リホストの比較表を作ったか
- [ ] 移行中に止められない業務と、止めてもよい業務を分けたか
- [ ] 既存ベンダー依存から抜けるためのドキュメント/コード引継ぎ条件を決めたか
- [ ] 稟議で説明する投資回収、リスク低減、保守費削減の根拠を整理したか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
PCI DSS v4.0 対応ガイド|EC・決済事業者の必須要件と移行スケジュール【2026年版】を自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。