ECサイトのPCI DSS対策とは？EC担当者が知っておくべきセキュリティ対策

PCI DSSとは、クレジットカード情報を安全に守るために定められた世界共通のセキュリティ基準です。

 

ECサイトを運営する上で、この基準への理解と対応は避けて通れない重要な課題となっています。

 

本記事では、最新のガイドラインに基づいた具体的な対策や、非保持化との関係をわかりやすく整理しました。

 

自社サイトに求める対応レベルと、明日から取り組むべき実務のポイントを詳しく解説します。

ECサイトにおけるセキュリティ対策の考え方

ECサイトを運営する上で、セキュリティ対策は万が一への備えではなく、ビジネスを継続するための必須条件です。

 

まずは、守るべき情報の種類と、その重要性を再確認しましょう。

 

ECサイトで守るべき情報

ECサイトでは、以下の情報を一体として管理する必要があります。

 

・顧客の個人情報：氏名、住所、電話番号、メールアドレス ・注文・購入履歴：いつ、何を、いくらで買ったかという行動記録 ・クレジットカード情報：カード番号、有効期限、セキュリティコードなど

 

これらの情報は、一つひとつが独立しているのではなく、組み合わさることで「誰がどこで何を買ったか」という価値のあるデータになります。

 

そのため、システム全体で一貫した保護体制を築くことが求められます。

 

ECにおいてクレジットカード情報の管理が重要な理由

なぜ、特にクレジットカード情報の取り扱いが厳しく問われるのでしょうか。それは、漏洩時の被害が極めて甚大だからです。

 

・事業リスクへの直結

カード情報の漏えいが発生すると、原因究明のための専門調査費用や、カード再発行の手数料、被害者への補償など、多額のコストが発生し、経営を大きく圧迫します。

 

・信頼低下・ブランド毀損

一度失ったお客様の信頼やブランドイメージを回復するには、膨大な時間と労力が必要になります。

 

経済産業省が示すECサイトのセキュリティ対応策

日本のECサイトが守るべきセキュリティの指針は、経済産業省が主導してまとめたガイドラインに明記されています。

 

EC事業者は、このガイドラインに沿って適切な対策を講じることが求められています。

 

クレジットカード・セキュリティガイドラインの位置づけ

このガイドラインは、クレジット取引の安全を守るために、国が中心となって策定した公式な指針です。

 

EC事業者に対して、お客様のカード情報をいかに安全に管理すべきかという具体的な基準を示しています。

 

割賦販売法に基づいた実務運用と紐づいているため、クレジットカード決済を提供するEC事業者にとって、避けては通れない重要な指標となっています。

 

経済産業省が示した3つのセキュリティ対応策

経済産業省（クレジット取引セキュリティ対策協議会）が定めるガイドラインでは、EC事業者が取り組むべき対策を以下の3点に集約しています。

 

偽造カードによる不正利用対策

主に実店舗（対面決済）に関連する項目ですが、磁気カードからICチップ付きカードへの切り替えを促進し、物理的なコピーカードを作らせないための対策です。

 

EC事業者自身が直接実装するケースは少ないものの、カード会社や決済事業者側で実施される前提対策として、EC取引の安全性を支える重要な土台となっています。

 

ECサイトにおける不正利用対策

カード番号が正しくても、「利用者本人が決済しているか」を確認する対策です。現在、ガイドラインでは以下の「多重対策」の中から、自社のリスク状況に応じて導入することが求められています。

 

・EMV 3-Dセキュア（本人認証）：決済時にカード発行会社が本人確認を行う仕組みで、現在最も推奨されている対策の一つです。

・券面認証（セキュリティコード）：カード裏面の数字を入力させ、手元にカードがあることを確認します。

・属性確認：入力された住所などの情報が、カード会社に登録されている情報と一致するかを照会します。

・不正検知システム：過去の不正パターンと照らし合わせ、不審な注文をリアルタイムでブロックします。

 

これらの対策は、いずれか一つを導入すれば十分というものではなく、不正の手口や被害状況に応じて複数を組み合わせることが重要とされています。

関連記事： ECサイトはセキュリティ対策が重要！その理由や対策方法とは？

 

クレジットカード情報の漏えい対策

これは「カード番号そのものを盗ませない」ための対策です。

 

原則として、EC事業者はカード情報を自社システムで「保存・処理・伝送しない（非保持化）」構成を採用するか、やむを得ずカード情報を扱う場合には、国際基準である「PCI DSS」に準拠した運用を行うことが求められています。

 

・クレジットカード情報の非保持化

自社のサーバーを通さずに決済代行会社へ直接情報を送る「トークン決済」などの導入を指します。万が一、自社サイトが攻撃を受けても、カード情報が手元にないため漏えいを防ぐことができます。

 

非保持化は、EC事業者にとってセキュリティ対策と運用負荷を両立しやすい方法として、現在もっとも一般的な選択肢となっています。

 

PCI DSSへの準拠

自社でカード情報を扱う（保持する）場合に必須となる、世界共通のセキュリティ基準です。厳格な審査をクリアすることで、情報の取り扱いが安全であることを証明します。

 

ECサイトの構成や決済方法によっては、外部サービスを利用していてもPCI DSSへの対応が必要となる場合があるため、決済フロー全体の確認が重要です。

 

不正利用対策（本人認証・不正検知など）

盗まれたカードの悪用を防ぐため、後述する3Dセキュアや不正検知システムを組み合わせて運用することが求められます。

 

メルカートのセキュリティ対策はこちら： メルカートのセキュリティ

 

PCI DSSとは

ECサイトのセキュリティを語る上で、避けて通れないのが国際基準である「PCI DSS」です。

 

ここでは、その定義や対象となる範囲について、担当者が押さえておくべき基本事項を解説します。

 

PCI DSSの概要

PCI DSS（Payment Card Industry Data Security Standard）とは、クレジットカード情報を安全に取り扱うために定められた、国際的なセキュリティ基準のことです。

 

この基準は、Visa、Mastercard、JCB、American Express、Discoverの国際カードブランド5社が共同で設立した「PCI SSC」という団体によって策定・運用されています。

 

特定の企業や国が作ったものではなく、世界中のカード決済に関わるすべての事業者が守るべき「世界共通のルール」として位置づけられています。

 

PCI DSSが対象とする範囲

PCI DSSが対象とするのは、クレジットカード情報の「保存」「処理」「伝送」に関わるすべてのシステムや場所、および運用プロセスです。

 

具体的には、以下のような状態が対象となります。

 

・保存：データベースやログファイル、ハードディスクなどにカード番号を記録している状態

・処理：決済を実行するために、カード番号をシステム上で計算や加工をしている状態

・伝送：インターネットや社内ネットワークを通じて、カード情報を別のシステムへ送っている状態

 

たとえ一瞬であっても、自社のサーバーをカード情報が「通過」すれば、そのサーバーや接続されているネットワーク全体がPCI DSSの基準を満たすべき対象となります。

 

ECサイトにPCI DSSとはが関係する理由

「ECサイトを運営するなら、必ずPCI DSSの認定を受けなければならない」と思われがちですが、実はそうではありません。

 

自社のサイト構成によって、PCI DSSとの関わり方は大きく変わります。

 

ECサイトの構成とPCI DSSの関係

PCI DSSへの対応が必要かどうかは、お客様が入力したカード情報が「自社のシステムを通過するかどうか」で決まります。

 

自社でカード情報を直接受け取り、決済処理を行う構成の場合は、非常に厳格なPCI DSS準拠が必須となります。

 

一方で、決済代行会社が提供する外部画面へリダイレクトさせるなどの構成であれば、対応すべき範囲は大幅に限定されます。

 

つまり、すべてのEC事業者が「完全な準拠」を求められるわけではなく、決済フローの組み方次第で負担を軽減できる仕組みになっています。

 

非保持化とPCI DSSの関係性

経済産業省のガイドラインでも推奨されている「カード情報の非保持化」は、カード情報の漏洩対策として非常に有効な方法です。

 

非保持化を実現していれば、自社のサーバー上でカードを保存・処理・伝送しない構成となるため、PCI DSSの適用範囲を大幅に限定できるケースがあります。

 

ただし、注意が必要なのは「非保持化＝PCI DSSが一切無関係になる」わけではないという点です。

 

例えば、自社サイト上でカード入力フォームを表示させる「トークン決済」などの場合、入力画面の改ざんを防ぐための対策など、PCI DSSの一部要件への対応が求められるケースがあります。

 

最新の基準である「PCI DSS v4.0」では、こうした非保持化サイトに対するセキュリティ要求も強化されているため、構成に合わせた適切な判断が重要です。

 

EC担当者が理解しておきたいPCI DSS対応の考え方

PCI DSSへの対応は、単に「基準を満たす」ことだけが目的ではありません。

 

自社の状況に合わせ、いかに効率的かつ確実にセキュリティレベルを高めるかが重要です。

 

ECサイトの構成を踏まえた対応判断

まずは、自社の決済フローにおいて「カード情報がどこを通っているか」を正確に把握することから始めましょう。

 

チェックすべきポイントは、カード情報を自社システムで「扱っているか（保持しているか）」、あるいは「完全に外部へ任せているか」の境界線です。

 

決済代行会社や外部パートナーと、どこまでが自社の責任範囲で、どこからが委託先の範囲なのかという「役割分担」を明確にすることが、正しい対応判断に繋がります。

 

ECセキュリティ対策としての現実的な進め方

すべてのセキュリティ要件を自社だけで抱え込もうとするのは、コストや運用の面で非常にリスクが高くなります。

 

まずは、すでにPCI DSSに準拠している「決済代行サービス」や「SaaS型カートシステム」を賢く活用することを検討してください。

 

外部の認定済みサービスを利用することで、自社で対応すべき範囲を最小限に抑えつつ、高い安全性を確保することが可能になります。

 

また、セキュリティ基準は時代とともにアップデートされるため、一度対応して終わりではなく、定期的に仕組みを見直す「継続的な運用」の意識を持つことが大切です。

 

堅牢なセキュリティのECプラットフォーム「メルカート」

安心なECサイト運営において、何より重要なのがECサイト構築・リニューアルの際にセキュリティが強固なカートシステムを選定することです。

 

「メルカート」は、ECに特化した強固なセキュリティ体制を整えています。

 

業界随一のセキュリティ基盤に加え、運用に関しても高水準のセキュリティ対策を徹底しています。基盤・運用のハイブリッドなセキュリティ対策により、お客様が安心してECサイトを運用できる環境を提供いたします。

 

メルカートのセキュリティ機能はこちら： セキュリティ機能

 

まとめ

ECサイトでは、個人情報や購入履歴、クレジットカード情報を一体として守る総合的なセキュリティ対策が欠かせません。

 

その中でも、クレジットカード情報の漏えい対策は重要であり、経済産業省のガイドラインではECサイトにおけるPCI DSSへの対応やカード情報の非保持化が基本的な考え方として示されています。

 

ECサイトの構成や決済フローによって、PCI DSS対応が必要となる範囲は異なるため、まずは自社の運用を正しく把握することが重要です。

 

外部サービスやパートナーを適切に活用しながら、継続的にECサイトのセキュリティとPCI DSS対応を見直していきましょう。

EC PCI DSSについてよくある質問

PCI DSSについてのよくある質問を紹介いたします。

Q1. 「非保持化」していれば、PCI DSSは全く関係ありませんか？

A1. いいえ、全く無関係にはなりません。非保持化によって「準拠（認定）」の手間は大幅に減りますが、お客様のブラウザからカード情報を送る仕組み（JavaScript等）を自社サイトに置いている場合、その画面が改ざんされないための管理など、PCI DSSの一部の基準が適用されます。

 

Q2. 小規模なECサイトでもPCI DSSへの対応は必須ですか？

A2. はい。規模に関わらず、クレジットカードを取り扱うすべての事業者は、経済産業省のガイドラインに基づき「非保持化」または「PCI DSS準拠」のいずれかを選択して対応する必要があります。

 

Q3. 3Dセキュアを導入すればPCI DSSは不要になりますか？

A3. いいえ、両方は役割が異なります。3Dセキュアは「盗まれたカードの悪用を防ぐ対策」であり、PCI DSSは「カード情報を盗ませないための対策」です。安全なEC運営のためには、両方を組み合わせて実施することが求められています。