ニュース

アフィリエイトプログラム

Manegyを運営するMS-Japanが提供する転職エージェントサービス「MS Agent」を、ブログやSNS、LINE等で紹介することで報酬が得られるアフィリエイトプログラムです。

新規会員登録

詳細はこちら

カード決済を扱うEC事業者に求められるPCIコンプライアンスとは

公開日2024/07/19 更新日2024/07/18 ブックマーク数

目次本記事の内容

PCIコンプライアンスについて
ECビジネスにとってPCIコンプライアンスが重要である理由
PCI DSSのレベル
EC企業向けのPCI DSS準拠のためのチェックリスト
ECビジネス事業者がPCI DSS準拠として認証を受けるまでの実務対応
海外進出・海外展開への影響

デジタル時代となり、現在ではECビジネスへの参入のハードルは大幅に下がりました。Amazonのような大手マーケットプレイスを活用して小規模ビジネスをスタートさせることも、大規模なオンライン小売事業を自社で立ち上げることも可能です。実際、日本企業が海外進出を行う際に、ECビジネスの形態を取ることも多くなっています。

同時に、消費者のネットショッピング体験も以前とは変化を見せています。オンラインで商品やサービスを購入するのがこれまでになく簡単になっているのです。例えば、買い物客がクレジットカード番号や住所など、オンライン決済に必要なデータをWebブラウザー上に保存して、シームレスな支払を行うことも増えてきました。

ただし、カード会員情報などの機密データがインターネット上を飛び交うため、カード情報が漏洩してしまうリスクもあります。このようなデータ漏洩の原因の１つであるクレジットカード詐欺に対抗するために立ち上げられたのが、Payment Card Industry Data Security Standard（PCI DSS）です。

PCI DSSは、10年以上前に大手カード会社が共同で取り決めた一連のルールであり、EC企業も含め、ペイメントカード（クレジットカードやデビットカードなど支払機能の付いたカード全般）を扱うすべての組織が従う必要があります。

PCI DSSコンプライアンスを達成することは、ペイメントカードによる支払を採用しているEC企業が取るべき必須のステップともいえるでしょう。本稿では、PCIコンプライアンスの基本と、それを達成および維持するためにEC事業主が行う必要のあることについて説明します。

PCIコンプライアンスについて

ペイメントカード業界データセキュリティ基準（Payment Card Industry Data Security Standard ：PCI DSS）は、支払処理システムとしてペイメントカードを採用するために企業が従わなければならないルールです。

このデータセキュリティ基準は、ペイメントカードおよびカード会員のデータを収集、処理、保存、または送信するすべての企業にとって必須の要件であり、データ漏洩防止のための安全な環境の構築・維持に役立つ標準が定められています。

PCI DSSの設計を担当するグループは、Payment Card Industry Security Standards Council（PCI SSC）と呼ばれる主要なクレジットカード会社のコンソーシアムです。PCI SSCは、MasterCard、Visa、Discover、JCB、AmericanExpressなどの主要な国際カードブランド５社のネットワークで構成される独立した組織として、2006年に設立されました。ただし、コンプライアンス要件の実施および確認については、PCI SSC自体がその責任を負うわけではなく、個々のクレジットカード企業とその加盟契約会社が行う必要があります。代わりに、PCI SSCは、PCI準拠のデータセキュリティ標準の維持、改正、および促進を担当すると同時に、評価、トレーニングと教育、自己評価アンケート、製品認証プログラムなど、要件実装のためのツールを提供します。