ECサイトのPCI DSS対策とは？EC担当者が知っておくべきセキュリティ対策

PCI DSS（Payment Card Industry Data Security Standard）とは、クレジットカード情報を安全に守るために定められた世界共通のセキュリティ基準です。

2025年3月末をもって旧バージョン（v3.2.1）の猶予期間が終了し、現在は最新版「v4.0.1」への準拠が実質義務化されています。この改定では、非保持化構成のECサイトにも影響する新要件が追加されており、「うちはトークン決済だから関係ない」という判断は今後通用しません。

本記事では、v4.0.1で何が変わったのか、自社ECの構成別にどう判断すべきかを具体的に整理します。明日から取り組むべき実務のポイントも解説しますので、ぜひ最後までお読みください。

『メルカート』サービス概要資料

こんな人におすすめ

・メルカートのサービス概要を詳しく知りたい方
・機能や料金プランを知りたい方
・一般的なカートシステムとの比較を知りたい方

今すぐホワイトペーパーを
無料ダウンロード

ECサイトで守るべき情報とセキュリティ対策の基本

ECサイトを運営する上で、セキュリティ対策は「万が一への備え」ではなく、ビジネスを継続するための必須条件です。まずは、守るべき情報の種類とその重要性を確認しましょう。

ECサイトが管理すべき3種類の情報

ECサイトでは、以下の3種類の情報を一体として管理する必要があります。

・顧客の個人情報：氏名・住所・電話番号・メールアドレス
・注文・購入履歴：いつ、何を、いくらで購入したかという行動記録
・クレジットカード情報：カード番号・有効期限・セキュリティコードなど

これらは一つひとつが独立しているのではなく、組み合わさることで「誰がどこで何を買ったか」という高い価値を持つデータになります。そのため、システム全体で一貫した保護体制を築くことが求められます。

クレジットカード情報の漏洩が特に深刻な理由

クレジットカード情報の漏洩は、被害の連鎖が速く、かつ取り返しがつかない点で他の情報漏洩とは性質が異なります。

漏洩が発覚した場合、原因究明のための専門調査費用・カード再発行の手数料・被害者への補償など、多額のコストが即座に発生します。しかしより深刻なのは、金銭的損失よりも顧客の信頼とブランドイメージの喪失です。一度の事故で失った信頼を回復するには、膨大な時間と労力が必要になります。

経済産業省ガイドラインが示すEC事業者の3つの対応義務

日本のECサイトが守るべきセキュリティ指針は、経済産業省（クレジット取引セキュリティ対策協議会）が策定した「クレジットカード・セキュリティガイドライン」に明記されています。割賦販売法とも紐づくため、クレジットカード決済を提供するEC事業者にとっては避けては通れない基準です。

①偽造カードによる不正利用対策

磁気カードからICチップ付きカードへの切り替えを促進し、物理的なコピーカードを作らせないための対策です。主に実店舗（対面決済）に関連する項目であり、カード会社や決済事業者側で実施される前提対策として、EC取引の安全性全体を支える土台となっています。

②ECサイトにおける本人認証・不正利用対策

カード番号が正しくても「利用者本人が決済しているか」を確認するための対策です。ガイドラインでは自社のリスク状況に応じ、以下を組み合わせて導入することが求められています。

・EMV 3-Dセキュア：決済時にカード発行会社が本人確認を行う仕組み。現在最も推奨されている対策です
・券面認証（セキュリティコード）：カード裏面の数字の入力により、手元にカードがあることを確認します
・不正検知システム：過去の不正パターンと照合し、不審な注文をリアルタイムでブロックします

これらはいずれか一つで十分というものではなく、不正の手口や被害状況に応じて複数を組み合わせることが重要です。

※関連記事：ECサイトはセキュリティ対策が重要！その理由や対策方法とは？

③クレジットカード情報の漏洩対策（非保持化 or PCI DSS準拠）

「カード番号そのものを盗ませない」ための対策です。EC事業者には大きく2つの選択肢があります。

カード情報の非保持化は、自社サーバーを通さずに決済代行会社へ直接情報を送る「トークン決済」などの導入を指します。自社サイトが攻撃を受けてもカード情報が手元にないため漏洩を防げる、現在もっとも一般的な選択肢です。

PCI DSSへの準拠は、自社でカード情報を扱う（保持する）場合に必須となる国際セキュリティ基準です。厳格な審査をクリアすることで、情報の取り扱いが安全であることを第三者機関が証明します。

メルカートには、「非保持化を導入しているはずなのに、どこまで対応が必要か分からない」というEC事業者からの相談が多く寄せられます。実は非保持化であっても、一部のPCI DSS要件への対応が必要なケースがあるため、構成ごとの正確な判断が重要です（詳しくは後の章で解説します）。

PCI DSSとは？基礎と最新バージョン「v4.0.1」の重要ポイント

ECサイトのセキュリティを語る上で避けて通れないのが、国際基準「PCI DSS」です。2025年現在、最新バージョンは「v4.0.1」であり、担当者はこの内容を正しく把握しておく必要があります。

PCI DSSの概要と対象範囲

PCI DSS（Payment Card Industry Data Security Standard）とは、クレジットカード情報を安全に取り扱うために定められた国際的なセキュリティ基準です。Visa・Mastercard・JCB・American Express・Discoverの国際カードブランド5社が共同で設立した「PCI SSC」という団体が策定・運用しています。特定の国や企業が作ったものではなく、世界中のカード決済に関わるすべての事業者が守るべき「世界共通のルール」として位置づけられています。

対象となるのは、クレジットカード情報の「保存」「処理」「伝送」に関わるすべてのシステムと運用プロセスです。たとえ一瞬であっても、自社のサーバーをカード情報が「通過」すれば、そのサーバーや接続されたネットワーク全体がPCI DSSの基準を満たすべき対象となります。

v4.0.1で何が変わったか？ECサイトに影響する2つの新要件

2024年6月に正式リリースされた「PCI DSS v4.0.1」では、近年急増しているWebスキミング攻撃への対策として、ECサイト運営者に直接影響する2つの新要件が追加されました。旧バージョンでの猶予期間は2025年3月末に終了しており、現時点では対応が必須となっています。

要件6.4.3：消費者向け決済ページで使用されるスクリプトの管理
決済ページ上で動作するすべてのJavaScriptについて、承認済みリストの管理・完全性の確認・書面による正当性の記録が必要です。外部から埋め込まれた悪意のあるスクリプトによるカード情報の窃取（Webスキミング）を防ぐための要件です。

要件11.6.1：消費者向け決済ページへの改ざん検知
決済ページのHTTPヘッダーおよびページコンテンツが改ざんされていないかを定期的に検知・通知する仕組みの導入が必要です。

この2要件が重要なのは、非保持化を採用しているECサイトにも適用される可能性がある点です。自社サイト上でカード入力フォームやトークン化スクリプトを表示している場合、その画面が改ざんされないための管理がPCI DSS v4.0.1では明示的に求められます。

「非保持化＝PCI DSSが無関係」は2025年以降、通用しない

経済産業省のガイドラインでも推奨されている非保持化は、自社サーバー上でカード情報を保存・処理・伝送しない構成のため、PCI DSSの適用範囲を大幅に限定できます。しかし「一切無関係になる」わけではありません。

トークン決済を採用していても、自社サイト上に決済用のJavaScriptが置かれている場合、そのスクリプト管理と改ざん検知（要件6.4.3・11.6.1）への対応は必要です。v4.0.1の施行により、「非保持化だから安心」という認識だけでは不十分な状況になっています。自社の決済フロー全体を改めて確認することが、今求められる第一歩です。

ECサイトの構成別・PCI DSS対応の判断フロー

PCI DSSへの対応が必要かどうか、またその範囲は、自社のECサイトの決済フローによって大きく異なります。「すべてのEC事業者が完全な準拠審査を受けなければならない」わけではありませんが、全員が何らかの対応から逃れられるわけでもありません。

自社でカード情報を処理する構成の場合

顧客が入力したカード情報を自社システムで直接受け取り、決済処理を行う構成では、非常に厳格なPCI DSS準拠が必須となります。要件の数は300項目以上に及び、定期的な外部審査や脆弱性スキャンも求められます。自社でこの体制を維持するには、専門人材の確保と継続的なコストが発生するため、現実的には大手カード会社・決済ブランド直系の事業者に限られます。

決済代行・SaaS型カートを活用する構成の場合

決済代行会社が提供する外部画面へリダイレクトする構成や、すでにPCI DSS準拠済みのSaaS型ECプラットフォームを利用している場合は、自社が対応すべき範囲を大幅に限定できます。

ただし、前述のv4.0.1の新要件（スクリプト管理・改ざん検知）は、SaaSを利用していても「自社サイト上で動作するスクリプトの管理」として事業者側に責任が生じる場合があります。利用しているプラットフォームがv4.0.1に準拠しているかどうかを確認し、対応の分担を明確にすることが重要です。

整理すると、判断の起点は「カード情報が自社システムを通過するか否か」です。その上で、v4.0.1の新要件をふまえ、自社サイト上のスクリプト管理体制も合わせて見直すことが2026年時点での正しい対応判断といえます。

メルカートならPCI DSS v4.0.1準拠済みで「攻め」のEC運営に集中できる

ECサイトのセキュリティ対策において、最も効率的な選択肢の一つが「すでに準拠済みのプラットフォームを基盤として使う」ことです。

メルカートは、2026年にクラウドECプラットフォームとして国際セキュリティ基準「PCI DSS v4.0.1」への準拠を完了しています。これにより、メルカートを基盤とするEC事業者は、v4.0.1の厳格な要件をプラットフォーム側で担保した状態でECサイトを運営できます。

セキュリティ対応における最大のリスクの一つは、万が一の事故発生時に決済が止まることです。情報漏洩などのセキュリティ事故が発生した場合、カード決済の継続や再開にはPCI DSS準拠が条件となるケースがあります。自社対応では、原因究明と再認定に数ヶ月を要することも珍しくなく、その間の機会損失と風評被害は計り知れません。

メルカートはPCI DSS v4.0.1準拠に加え、ISMS認証取得・セキュリティ事故0件という実績を持ちます。WAF・ファイアウォール・DDoS対策・なりすまし対策・3Dセキュア2.0対応など、ECサイトに必要なセキュリティ機能を標準搭載しており、導入企業はセキュリティの維持管理コストを大幅に削減できます。

セキュリティを「守りの課題」として自社で抱え込むのではなく、準拠済みのプラットフォームに任せることで、AI活用・CRM施策・売上成長といった「攻めのEC戦略」に人とコストを集中できる環境が整います。

『メルカート』サービス概要資料

こんな人におすすめ

・メルカートのサービス概要を詳しく知りたい方
・機能や料金プランを知りたい方
・一般的なカートシステムとの比較を知りたい方

今すぐホワイトペーパーを
無料ダウンロード

メルカートのセキュリティ機能の詳細はこちら：メルカートのセキュリティ

よくある質問（FAQ）

PCI DSS v4.0.1に関するよくある質問とその回答についてまとめました。

Q1: 非保持化していれば、PCI DSSは全く関係ありませんか？

A: いいえ、全く無関係にはなりません。非保持化によって「準拠審査」の対象範囲は大幅に限定されますが、自社サイト上にカード入力用のJavaScriptや決済スクリプトを置いている場合、PCI DSS v4.0.1の要件6.4.3（スクリプト管理）および11.6.1（改ざん検知）への対応が必要です。2025年3月末に猶予期間が終了しているため、現時点で対応が完了しているか確認することをおすすめします。

Q2: 小規模なECサイトでもPCI DSS対応は必要ですか？

A: はい、規模に関わらず必要です。クレジットカードを取り扱うすべての事業者は、経済産業省のガイドラインに基づき「非保持化」または「PCI DSS準拠」のいずれかを選択して対応する義務があります。小規模事業者ほど専任のセキュリティ担当者を置くことが難しいため、準拠済みのSaaS型カートシステムを活用することが現実的かつ効率的な選択肢になります。

Q3: PCI DSS v4.0.1で、ECサイト担当者が特に注意すべき変更点はどこですか？

A: 特に注意すべきは「Webスキミング対策」として追加された2つの要件です。要件6.4.3では決済ページ上のすべてのJavaScriptの管理・正当性の記録が、要件11.6.1では決済ページの改ざん検知の仕組みの構築が求められます。これらは2025年3月末に猶予期間が終了した「即時対応必須」の要件であり、トークン決済など非保持化構成のECサイトも対象となるため、早急な確認が必要です。

まとめ

ECサイトにおけるPCI DSS対応は、「準拠するかどうか」を選ぶ時代から、「最新基準v4.0.1にどう対応するか」を実務レベルで判断する時代に移っています。

特に2025年3月末をもって旧バージョンの猶予期間が終了したことで、非保持化構成のECサイトも含め、スクリプト管理と改ざん検知への対応が新たに求められるようになりました。「自社ECは非保持化だから大丈夫」という認識は、今後通用しない可能性があります。

まずは自社の決済フローにおいて「カード情報がどこを通っているか」「自社サイト上にどのようなスクリプトが動作しているか」を正確に把握し、v4.0.1の要件に照らして対応状況を確認することが第一歩です。

継続的なセキュリティ維持を効率的に実現するには、PCI DSS v4.0.1準拠済みのECプラットフォームを賢く活用することも有力な選択肢の一つです。安全性の基盤を整えた上で、売上成長や顧客体験の向上といった攻めの施策に注力できる体制を構築していきましょう。