What does PCI DSS compliance mean?

PCI DSS stands for Payment Card Industry Data Security Standard, which sets the requirements for organizations and sellers to safely and securely accept, store, process, and transmit cardholder data during credit card transaction to prevent fraud and data breaches.

Who needs PCI DSS compliance certification?

Although there is technically no such thing as “PCI certification,” sellers of all sizes, service providers, banks, and any other organizations that process credit card payments need to prove they are PCI compliant.

What are the PCI DSS compliance levels?

There are four levels of PCI compliance; each level has unique requirements for a business to validate its compliance. The level under which your business falls is based on your total transaction volume, annually.

What does it cost to be PCI DSS compliant?

The fees to become PCI compliant, and maintain that standing annually, depends on the size of your business, the level of security you already have in place and the technology you use. Any of these things may need to be addressed, upgraded or overhauled completely in order to make your business completely PCI compliant.

Am I responsible for a PCI DSS Compliance Self-Assessment Questionnaire (SAQ)?

The PCI DSS Self-Assessment Questionnaire is a checklist ranging from 19 to 87 pages, created and distributed by the PCI Security Standards Council . It’s used as a mechanism for sellers to self-validate their PCI DSS compliance. Square sellers are not responsible for this SAQ, or for self-validating, since Square’s hardware and software complies with the Payment Card Industry Data Security Standard (PCI DSS) on your behalf.

Is there a PCI noncompliance fee?

Yes, there are typically fees associated with PCI noncompliance. If your business does not comply with PCI standards, you could be at risk for data breaches, fines, card replacement costs, costly forensic audits and investigations into your business, brand damage, and more.

PCI DSSとは？準拠しないことで発生するリスクや準拠方法を紹介

※2024年3月21日に情報を更新しています。

PCI DSSはクレジットカード情報を安全に取り扱うために策定されたセキュリティー基準です。クレジットカード決済を受け付けているお店やネットショップでは、「うちはPCI DSSへの準拠は必要？」「そもそもPCI DSSって何？」と疑問に思うビジネスオーナーも多いでしょう。

クレジットカードを扱ううえで知っておきたいPCI DSSの概要や要件、準拠が必要な場合、必要ない場合について詳しく紹介します。合わせて、安全にクレジットカードを扱うためのヒントや、PCI DSSの最高レベルである「レベル1」に準拠しているSquareのサービスについても触れていますので、新しくクレジットカード決済を取り扱うビジネスオーナーもぜひ参考にしてください。

PCI DSSとは
・PCI DSSが策定された背景
PCI DSS準拠は必要？
・カード情報の非保持化とは
非保持化のためにできること
・安全な決済にはSquare
PCI DSS準拠が必要な事業者とは
PCI DSSの要件と手続き
・12の要件を知る
・自社のレベルを知る
・準拠手続きを知る
準拠しないリスク
安全にクレジットカードを扱うために
・8個のヒント

PCI DSSとは

PCI DSSとは、「Payment Card Industry Data Security Standard（ペイメント・カード・インダストリー・データ・セキュリティー・スタンダード）」の略称で、クレジットカードの会員情報を扱う事業者や団体を対象に策定された国際的なセキュリティー基準です。

Credit card with EMV chip

クレジットカードの国際ブランドであるVisa、Mastercard、Discover、American Express、JCBの5社がPCI DSSを策定し、独立組織であるPCI Security Standards Council（以下、PCI SSC）が運用・管理を担っています。

PCI DSSが策定された背景

PCI DSSは2004年に初版が策定されました。その背景にはインターネットの普及があります。これまで対面で行っていた決済がインターネットを通して行われるようになったことで、安全性の低いネットワークや決済システムからカード情報が盗まれる大規模な被害が発生するようになりました。

実際、日本ではどの程度の被害が起きているのでしょうか。日本クレジット協会が行っているクレジットカードの不正利用額に関する調査によると、PCI DSSが策定された2004年の被害額は186億円、約57％が偽造カードによる被害です。被害額は一旦減少するものの、2013年頃から増加傾向に転じ、2021年には330億円にも及んでいます。2021年の被害額の内訳を見ると、偽造カードによる被害が0.5%にまで減った一方で、番号盗用による被害が94%にも上っています。

番号盗用の手口として多いのが、事業者からの情報漏えい、ハッキング、フィッシング、クレジットマスターです。クレジットマスターは、コンピューターのプログラムを使って、利用可能なクレジットカード番号を見つけ出す巧妙な手口で、偶然見つけた番号を悪用するため、対処が難しいとされています。

参考：クレジットカード不正利用被害の発生状況（2022年12月）（日本クレジット協会）

PCI DSS準拠は必要？

コンビニエンスストアでの買い物から、サブスクの登録やホテルの予約まで、生活のさまざまな場面で利用されているクレジットカード。「うちのお店でもクレジットカードを受け付けているけど、PCI DSSを取得する必要はある？」と疑問に思う事業者も多いでしょう。

結論からいうと、クレジットカード情報を保持しないのなら、準拠する必要はありません。逆にいえば、クレジットカード情報を保持するのなら、PCI DSSへの準拠が必要です。

クレジットカードを扱う事業者は加盟店と呼ばれています。後払いや分割払いに関するルールを定めた「割賦販売法」では、加盟店に対してクレジットカード情報を適切に管理し、不正利用対策を行うように義務付けています。この適切な管理や不正利用対策について具体的な方法を記載しているのが、「クレジットカード・セキュリティガイドライン」です。

クレジットカード・セキュリティガイドラインでは、加盟店に対して以下を求めています。

カード情報を保持しない非保持化(非保持と同等／相当を含む)、またはカード情報を保持する場合はPCI DSSに準拠する。

後述しますが、PCI DSSに準拠するには、12の要件に基づく400もの要求事項に対応しなければいけません。多くの加盟店がPCI DSS準拠よりも、カード情報の非保持化を選ぶでしょう。

カード情報の非保持化とは

カード情報についてもう少し詳しく見ていきましょう。クレジットカードは下記の図のような作りになっています。

Anatomy of a credit card

カード情報とは、カード番号、会員氏名、有効期限、サービスコード、機密認証データ（全トラックデータ、セキュリティーコード、PINなど）を指します。

「非保持化」とは上記のカード情報を、自社や自店舗の機器やネットワークで「保存」「処理」「通過」しないことです。もう少し具体的にいうと、お客さまから預かったカード情報を所有しているパソコンやタブレット、サーバーで保存、処理、通過させないことです。ここでいう「非保持化」は電磁的な送受信に限っており、紙の資料でカード情報を保存していても「保持している」とはみなされません。

非保持化のためにできること

対面で決済を行うお店では、まず自店舗で使っている決済端末を確認しましょう。ICチップ付きクレジットカードに対応した決済端末を使っており、かつ、カード情報を外部の情報処理センターに直接送信しているのなら、対策はもうすでに済んでいます。

もし、ICチップ付きクレジットカードに対応していない決済端末を使っていたり、自店舗のパソコンにカード情報を保存していたりしている場合は、早急な対策をおすすめします。

ネットショップを運営している場合、ネットショップ作成サービスを使っていたり、決済代行会社のシステムを自社のウェブサイトに組み込んでいたりすることが多いでしょう。カード情報が自社のサーバーなどを通過していないかどうか、チェックしてみましょう。わからない場合は、ネットショップ作成サービスや決済代行会社に確認することをおすすめします。

安全な決済にはSquare

ICチップ付きクレジットカードにまだ対応していないお店や、安全なネットショップ作成サービスを探している事業者におすすめなのが、Squareです。

Squareの特徴は、対面決済と非対面決済の両方に対応しており、無料のアカウントさえあれば両方を好きに利用できるところです。

たとえば、対面決済ではICチップ付きクレジットカードに対応した決済端末を用意しています。カード情報はSquareのサーバーに送られるため、お店がカード情報を保持することはありません。磁気ストライプと比べてICチップはセキュリティー面で格段に優れています。日本ではICチップ付きクレジットカードの普及が進んでおり、「クレジットカード・セキュリティガイドライン」でもICチップに対応した決済端末を設置することを求めています。未対応の場合、直ちに対応しましょう。

Squareでは、手のひらサイズのコンパクトな決済端末Square リーダー（4,980円）、レシートプリンター内蔵のSquare ターミナル（39,980円）、スタッフ用の大きなタッチスクリーンとお客さま用ディスプレイの2画面を搭載したSquare レジスター（84,980円）、iPad用レジスタンドのSquare スタンド（29,980円）の4種類の決済端末から選ぶことができます。どの決済端末でも、クレジットカード決済をはじめ、QRコード決済、電子マネー決済に対応可能です。

jp-blog-hardware-X2

▲Squareが提供している決済端末一覧

また非対面決済に関しては、Square 請求書、Square オンラインビジネス（ネットショップ作成機能）、Square オンラインチェックアウト（リンク型決済）など、ビジネスの形態に合わせて使える複数の方法があります。もちろん、カード情報はSquareで処理しているので、手元に残ることはありません。各決済方法に関して詳しくは「5分でわかるSquareの使い方〜オンライン決済編〜」で紹介しています。

jp-blog-ig-makemoney05

対面決済でも非対面決済でも、PCI DSSの最高レベルである「レベル1」に準拠したSquareがカード情報を加盟店に代わってしっかりと保護するので、安心してクレジットカードを取り扱うことができます。

PCI DSS準拠が必要な事業者とは

「PCI DSS準拠は必要？」の項目では、カード情報を非保持化するのならPCI DSS準拠は必要ないとお伝えしました。一方で、準拠が必要なのはどんな事業者なのでしょうか。

具体的には下記のような事業者です。

・業務上、カード情報の保持をする加盟店
・イシュア（消費者にクレジットカードを発行する）
・アクワイアラーや決済代行会社（カードブランドと加盟店の間に入り契約を行う）

次項以降では、業務上カード情報の保持をする必要があり、PCI DSSへの準拠を検討している加盟店向けに要件などを説明していきます。

PCI DSS準拠に必要な6つの目標と12の要件

PCI DSSは、6つの目標と12の要件、さらに細かい要求事項で構成されています。

目標1：安全なネットワークとシステムの構築と維持

要件1：ネットワークのセキュリティーコントロールを導入し、維持します
要件2：すべてのシステムコンポーネントに安全な設定を適用します

目標2：アカウントデータの保護

要件3：保存されたアカウントデータを保護します
要件4：オープンな公共ネットワークでカード会員データを伝送する場合、強力な暗号化技術でカード会員データを保護します

目標3：脆弱性管理プログラムの維持

要件5：すべてのシステムとネットワークを悪意のあるソフトウェアから保護します
要件6：安全性の高いシステムおよびソフトウエアを開発し、保守します

目標4：強力なアクセス制御手法の導入

要件7：システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲に制限します
要件8：ユーザーを識別し、システムコンポーネントへのアクセスを認証します
要件9：カード会員データへの物理的なアクセスを制限します

目標5：ネットワークの定期的な監視およびテスト

要件10：システムコンポーネントおよびカード会員データへのすべてのアクセスを記録し、監視します
要件11：システムおよびネットワークのセキュリティーを定期的にテストします

目標6：情報セキュリティーポリシーの維持

要件12：事業体のポリシーとプログラムにより、情報セキュリティーを維持します

12の要件に加えて400以上の要求事項があり、準拠の過程ではこれらの要求事項にすべて対応しなければいけません。

PCI DSS準拠における加盟店レベル

加盟店は年間取引件数などの条件に合わせてレベル1からレベル4に分けられ、レベルごとに準拠手続きが異なります。レベル1が最高レベルにあたり、準拠手続きも厳しいものとなっています。レベル1に準拠している企業としては、SquareやLINE Pay、アマゾンウェブサービスなどがあります。

取引件数などの条件は各カードブランドが定めており、ここではMastercardを例に挙げます。

レベル1：MastercardとMaestro（※）の年間取引総件数が600万件を超える加盟店
レベル2：MastercardとMaestroの年間取引総件数が100万超、600万件未満の加盟店
レベル3：MastercardとMaestroの年間Eコマース取引総件数が2万件超、MastercardとMaestroの年間取引総件数が100万件以下の加盟店
レベル4：それ以外の加盟店

※ MasetroはMastercardが提供しているデビットカードのブランドです

レベル毎の準拠手続き

次にレベル毎の準拠手続きを紹介します。手続きも各カードブランドによって微妙に異なります。ここではMastercardを例にしてます。

レベル1：年に1回の社内監査人（ISA）または認定監査機関（QSA)による現場監査。4半期ごとの認定セキュリティー評価ベンダー（ASV）によるネットワークのスキャン

レベル2：年に1回の自己問診（SAQ）による評価。加盟店の裁量による年に1回の認定監査機関（QSA)による現場監査。4半期ごとの認定セキュリティ評価ベンダー（ASV）によるネットワークスキャン

レベル3とレベル4：年に1回の自己問診（SAQ）による評価。4半期ごとの認定セキュリティ評価ベンダー（ASV）によるネットワークスキャン

現場監査（オンサイトアセスメント）

PCI SSCから認定を受けた監査機関（Qualified Security Assessor、QAS）が会社を訪問し、システムなどが要件を満たしているかどうかの監査を行います。日本のQASの一覧は日本カード情報セキュリティ協議会のウェブサイトで公開されています。社内監査人（Internal Security Assessor、ISA）が、QASの代わりに監査を行うこともできます。監査人は誰でもなれるわけではなく、QASと同じレベルの知識や技術が求められ、ISA資格を取得しなければなりません。ISAの育成講座は日本語でも開催されていますが、受講には30万円ほどかかるようです。

ネットワークのスキャン

PCI SSCから認定を受けたセキュリティー評価ベンダー（Approved Scanning Vendors、ASV）が、要件11で求められているネットワークとシステムの脆弱性スキャンを行います。日本のASVの一覧は日本カード情報セキュリティ協議会のウェブサイトで公開されています。

自己問診（SAQ）

自己問診（Self-Assessment Questionnaire、SAQ）では、アンケートのような形で一つずつ設問に答えていきます。業種やデータの取り扱い方によって、SAQ A、SAQ B、SAQ P2PEなど自己問診の内容が異なります。PCI SSCのドキュメントライブラリーからSAQの日本語版をダウンロードすることができます。前述で紹介したQASによる現場監査やASVによるネットワークスキャンとは異なり、自己申告による手続きです。

準拠にかかる費用

上記の準拠手続きをクリアするには、認定を受けた内部監査人（ISA）や監査機関（QSA）、セキュリティー評価ベンダー（ASV）といった、担当者や第三者機関の存在が必要になってきます。たとえば、ISAの育成講座には約30万円という高額な費用がかかりますが、ISA資格取得後も定期的なトレーニングの受講が求められます。担当者はそれだけの労力と時間を割いて、資格の取得と維持に努めることになります。また、SAQも「アンケートに答えるだけなら自社でできそうだ」とも思えますが、回答項目が膨大で専門用語も多いため、対応は簡単ではないでしょう。外部のコンサルタント会社に頼る企業も多く、SAQだけで年間数十万円、レベル1に該当する場合は年間数百万のコストがかかることも少なくありません。

準拠しないリスク

PCI DSSに準拠せず、またICチップや非保持化にも対応していない場合、どんなリスクを負うことになるのでしょうか。

PCI DSSや割賦販売法では、加盟店に対して法的な罰則を定めていません。ただし、カード情報を安全に取り扱うための義務を怠ることで、場合によっては、加盟店契約を打ち切られ、クレジットカードを扱うことができなくなる可能性があります。また、安全性が低い環境でクレジットカードを扱い、情報漏えいが起きた場合、監査や調査に伴うコストが発生するのみならず、信用低下による顧客離れや売上減少につながる可能性も高いでしょう。

特にコロナ禍の影響により、接触を伴わないキャッシュレス決済やインターネットショッピングを利用する消費者は増えています。PCI SSCが公表している資料によれば、小規模事業者のうち4割が情報漏えい被害からの回復に5万ドル以上を支払っています。さらに、3割の消費者は情報漏えい被害を受けた事業者は二度と利用しないと答えています。

安全にクレジットカードを扱うために

規模の小さなビジネスにとって、情報漏えいに伴うコストやダメージは経営に大きな影響を及ぼします。信用や売上の回復には何年も時間がかかるでしょう。最悪の場合、ビジネスをたたまざるを得ない状況に追い込まれるかもしれません。こうしたダメージを避けるためにも、安全な環境でクレジットカード情報を取り扱いましょう。

PCI SSCが公開している8個のヒント

PCI SSCでは小規模事業者に向けて、安全のためにできる8個のヒントを公開しています。どれも今すぐにでもできることばかりです。

1:カード情報をまったく保存しない。カード情報は安全な決済端末に入力する
2:強力なパスワードを使う
3:ソフトウェアは最新の状態に保つ
4:強力な暗号化を使う
5:安全なリモートアクセスを使う
6:ファイアウォールが正しく設定されていることを確認する
7:リンクはクリックする前に考える
8:信頼できる決済プロバイダーを選ぶ

PCI DSS準拠は一朝一夕でできることではありません。業務上カード情報を保持する必要のある加盟店は、すぐにでもPCI DSS準拠に向けて行動したほうがいいでしょう。

クレジットカードを安全に扱うには、Squareが最適！

カード情報を保持する必要がない場合は、前述で紹介したヒントにもあるように安全性の高い決済代行会社への移行をおすすめします。SquareはPCI DSSのレベル1に準拠しており、加盟店に代わってカード情報の保存や処理を行います。また、アルゴリズムを活用しながら不正取引を検出し、取引完了まで加盟店とお客さまの両方を見守っています。ぜひ、Squareの導入をご検討ください。

Squareのブログでは、起業したい、自分のビジネスをさらに発展させたい、と考える人に向けて情報を発信しています。お届けするのは集客に使えるアイデア、資金運用や税金の知識、最新のキャッシュレス事情など。また、Square加盟店の取材記事では、日々経営に向き合う人たちの試行錯誤の様子や、乗り越えてきた壁を垣間見ることができます。Squareブログ編集チームでは、記事を通してビジネスの立ち上げから日々の運営、成長をサポートします。

執筆は2020年7月16日時点の情報を参照しています。2024年3月21日に記事の一部情報を更新しました。当ウェブサイトからリンクした外部のウェブサイトの内容については、Squareは責任を負いません。Photography provided by, Unsplash

PCI DSSとは？準拠しないことで発生するリスクや準拠方法を紹介