カード決済を扱うEC事業者に求められるPCIコンプライアンスとは

公開日2024/07/19 更新日2024/07/18 ブックマーク数

目次本記事の内容

PCIコンプライアンスについて
ECビジネスにとってPCIコンプライアンスが重要である理由
PCI DSSのレベル
EC企業向けのPCI DSS準拠のためのチェックリスト
ECビジネス事業者がPCI DSS準拠として認証を受けるまでの実務対応
海外進出・海外展開への影響

デジタル時代となり、現在ではECビジネスへの参入のハードルは大幅に下がりました。Amazonのような大手マーケットプレイスを活用して小規模ビジネスをスタートさせることも、大規模なオンライン小売事業を自社で立ち上げることも可能です。実際、日本企業が海外進出を行う際に、ECビジネスの形態を取ることも多くなっています。

同時に、消費者のネットショッピング体験も以前とは変化を見せています。オンラインで商品やサービスを購入するのがこれまでになく簡単になっているのです。例えば、買い物客がクレジットカード番号や住所など、オンライン決済に必要なデータをWebブラウザー上に保存して、シームレスな支払を行うことも増えてきました。

ただし、カード会員情報などの機密データがインターネット上を飛び交うため、カード情報が漏洩してしまうリスクもあります。このようなデータ漏洩の原因の１つであるクレジットカード詐欺に対抗するために立ち上げられたのが、Payment Card Industry Data Security Standard（PCI DSS）です。

PCI DSSは、10年以上前に大手カード会社が共同で取り決めた一連のルールであり、EC企業も含め、ペイメントカード（クレジットカードやデビットカードなど支払機能の付いたカード全般）を扱うすべての組織が従う必要があります。

PCI DSSコンプライアンスを達成することは、ペイメントカードによる支払を採用しているEC企業が取るべき必須のステップともいえるでしょう。本稿では、PCIコンプライアンスの基本と、それを達成および維持するためにEC事業主が行う必要のあることについて説明します。

PCIコンプライアンスについて

ペイメントカード業界データセキュリティ基準（Payment Card Industry Data Security Standard ：PCI DSS）は、支払処理システムとしてペイメントカードを採用するために企業が従わなければならないルールです。

このデータセキュリティ基準は、ペイメントカードおよびカード会員のデータを収集、処理、保存、または送信するすべての企業にとって必須の要件であり、データ漏洩防止のための安全な環境の構築・維持に役立つ標準が定められています。

PCI DSSの設計を担当するグループは、Payment Card Industry Security Standards Council（PCI SSC）と呼ばれる主要なクレジットカード会社のコンソーシアムです。PCI SSCは、MasterCard、Visa、Discover、JCB、AmericanExpressなどの主要な国際カードブランド５社のネットワークで構成される独立した組織として、2006年に設立されました。ただし、コンプライアンス要件の実施および確認については、PCI SSC自体がその責任を負うわけではなく、個々のクレジットカード企業とその加盟契約会社が行う必要があります。代わりに、PCI SSCは、PCI準拠のデータセキュリティ標準の維持、改正、および促進を担当すると同時に、評価、トレーニングと教育、自己評価アンケート、製品認証プログラムなど、要件実装のためのツールを提供します。