今すぐ試す  営業にお問い合わせ 
今すぐ試す  お問い合わせ 

PCI 認証の要件とプロセス: 企業向けの実践ガイド

Payments
Payments

成長中のスタートアップからグローバル企業まで、あらゆるビジネスに対応できる決済ソリューションを利用して、オンライン決済、対面支払いなど、世界中のあらゆる場所で決済を受け付けます。

もっと知る 
  1. はじめに
  2. PCI 認証とは
  3. PCI 認証プロセスの仕組み
  4. 認証に必要な PCI DSS 要件
  5. PCI 認証の種類
    1. SAQ
    2. QSA監査
  6. PCI コンプライアンス証明書フォームへの記入方法
  7. PCI 認証の主な利点
  8. PCI 認証に関して企業が直面する課題
  9. Stripe Payments の活用方法
  10. Stripe を始める 

カード決済を受け付けているすべてのビジネスは、顧客データを安全に処理できることを証明する必要があります。ペイメントカードインダストリー (PCI) 認証は、決済システムが業界のセキュリティ標準を満たしていることを示す正式なプロセスです。通常、これは、銀行と決済パートナーが大規模な取引を処理することを承認する前に確認するものです。

データ侵害によるコストは、2025 年の世界平均で [440 万ドル] に達しており](https://www.ibm.com/reports/data-breach)、コンプライアンスの実証はデータ漏洩のコストの増加に対する重要な財務的保護策となります。以下では、コンプライアンス証明書 (AOC) とは何か、プロセスがどのように機能しているのか、その背後にある要件、および企業にとっての利点と課題について説明します。

目次

  • PCI 認証とは
  • PCI 認証プロセスの仕組み
  • 認証に必要な PCI DSS 要件
  • PCI 認証の種類
  • PCI コンプライアンス証明書フォームへの記入方法
  • PCI 認証の主な利点
  • PCI 認証に関して企業が直面する課題
  • Stripe Payments の活用方法

PCI 認証とは

PCI 認証は、企業が Payment Card Industry Data Security Standard (PCI データセキュリティー基準、PCI DSS) に準拠していることを正式に宣言するものです。カード会員データの保護に必要なセキュリティ管理を実装したことを確認するもので、コンプライアンス証明書という短い文書の形式で提供されます。

AOCは、独立した 認定セキュリティ評価者 (QSA) または、自己評価アンケート (SAQ) に回答した後、権限のある幹部によって署名されます。PCI 評価がどのように実施されたか、何がレビューされたか、要件を満たしたかどうかが要約されます。大企業は通常 QSA 監査を受けますが、中小企業は SAQ に依存しています。

認証は 12 か月間有効で、その後は更新する必要があります。常時内部にとどまる詳細コンプライアンスに関する報告書 (ROC) とは異なり、AOC は決済システムが業界標準を満たしていることを証明する目的で銀行、パートナー、またはクライアントと共有する文書です。

PCI 認証プロセスの仕組み

PCI 認証は、対象範囲、セキュリティ保護、評価、証明、保守までを含む長いサイクルの中での 1 つのステップです。各フェーズでは、カード所有者のデータが確実に識別、保護、テストされ、継続的に監視されなければなりません。

認証プロセスを段階的に説明します。

  • 対象範囲とレベルの定義: カードデータがシステム内のどこにあるかをマッピングし、取引量に基づいて加盟店レベルを決定します。これにより、評価がどれほど厳密でなければならないかが決まります。

  • 制御を実装: ファイアウォール、暗号化、アクセス制限、監視、および研修などの PCI DSS 要件を実装します。この段階には、システムのアップグレード、構成の変更、新しいポリシーが含まれる可能性があるため、通常は最も困難なものとなります。

  • コンプライアンス評価: 小規模な販売業者 (レベル 2 ~ 4) は、設定に合わせてカスタマイズされた SAQ を完了します。大手加盟店 (レベル 1) は QSA によるオンサイト監査を受け、その結果、詳細な ROC が得られます。いずれにせよ、特にオンライン環境では、脆弱性スキャンや侵入テストも行う必要があります。

  • ギャップを埋める: 事業は最初の審査では合格しない可能性があります。この一般的な理由には、パッチの欠落、脆弱なパスワードルール、セグメント化されていないネットワークなどがあります。補償コントロールは許可されていますが、文書化して正当化する必要があります。

  • AOC を完了する: 問題が解決されたら、公式の AOC フォームに会社情報、評価範囲、コンプライアンスの概要、および幹部 (および関係している場合は QSA) からの署名を記入します。これは、銀行やパートナーにとってコンプライアンス証明書となります。

  • 年間を通じてコンプライアンスを維持: 四半期ごとのスキャン、システム監視、スタッフのトレーニングにより、次回の年次更新まで標準に準拠した状態が維持されます。

認証に必要な PCI DSS 要件

コンプライアンス証明書に署名するには、企業は 12 の PCI DSS の要件に準拠していることの証明が必要です。ネットワークセキュリティから従業員トレーニングまで、あらゆるものをカバーしています。12 の要件は広範ですが、それぞれが多くのサブ要件に分類され、総数は 300 以上になります。大まかに言えば、これらはカード所有者データを保護するための常識的な慣行に対応しています。

要件は 12 件あります。

  • ファイヤーウォール: 強力なネットワーク防御を維持し、カード所有者のデータから不正なトラフィックを遠ざけます。

  • デフォルト利用しない: ベンダーから提供されたパスワードと設定は必ず変更します。

  • データストレージ: カード保有者のデータは、どうしても必要な場合にのみ保存し、暗号化またはトークン化によって読み取れないようにします。カード検証値 (CVV) コードのような機密データは絶対に保存しないでください。

  • 転送中の暗号化: トランスポートレイヤーセキュリティ (TLS) などの強力な暗号化を使用し、オープンネットワーク上を移動するカードデータを保護します。

  • マルウェアの防御: ウイルス対策ソフトウェアとマルウェア対策ソフトウェアをシステム全体でアクティブに保ち、最新の状態に保ちます。

  • パッチ管理: セキュリティ更新プログラムを速やかに適用し、カスタムコードの安全な開発プラクティスに従います。

  • アクセス制御: データへのアクセスを、仕事に必要な人に厳密に制限します。

  • ユーザー認証: すべてのユーザーに一意の ID を付与し、強力なパスワードを適用し、該当する場合は多要素認証を要求します。

  • 物理保護措置: カードデータを保持するサーバー、端末、およびストレージ領域への物理的なアクセスを制限します。

  • ログ取りと監視: カードデータに触れるシステム上のアクティビティを追跡およびレビューします。

  • テスト: 定期的なスキャン、侵入テスト、システムチェックを実行して、防御が機能していることを確認します。

  • ポリシーの用意と研修: セキュリティポリシーを文書化し、最新の状態に保ち、従業員がそれに従うようにトレーニングします。

ここで挙げたすべての要件があらゆる環境に適用されるわけではありません。たとえば、カードデータを保存しない企業は、ストレージコントロールを「該当なし」としてマークできます。しかし、組織は通常、何らかの方法で 12 つすべてに対処する必要があります。PCI DSS v4.0.1 (英語) 最新バージョンは、これらの基本を損なわずに柔軟性を重視した内容に更新されています。

PCI 認証の種類

PCI 準拠の検証方法は、トランザクション量と支払いチェーンにおける役割によって異なります。主要なものに、SAQ 監査と QSA 監査の 2 つのルートがあります。PCI ルールは、どちらをビジネスに適用するかを規定します。

SAQ

PCI 規格のレベル 2 ~ 4 事業者に分類される中小企業は、SAQ を完了します。加盟店レベルは主に、毎年処理するカード取引の数によって異なります。レベル 1 は大企業向けであり、レベル 2 〜 4 は取引数の少ない企業に適用されます。SAQ は、PCI 要件を網羅する内容で標準化された「はい」または「いいえ」で答える一連の質問であり、さまざまな決済設定に対し固有のバージョンがあります (たとえば、完全アウトソーシングの EC には SAQ A、カードデータを保存する企業の場合は SAQ D、など)。カード会員データの処理方法に基づいて適切な SAQ を選択していきます。完了すると、役員がコンプライアンス証明書フォームに署名して、回答が正確であることを証明します。

QSA監査

レベル 1 の加盟店と大手サービスプロバイダーは、QSA 主導の監査の対象となります。評価者は、システム、ポリシー、およびコントロールを詳細にレビューし、ROC と AOC を作成します。この場合の AOC には、独立したレビューが実施されたことを確認するための QSA の署名が含まれます。

サービスプロバイダーには独自のレベルがあり、多くの場合、加盟店よりも厳しい要件があります。いずれの場合も、最終製品は同じで、評価がどのように行われ、誰が検証したかを文書化する AOC となっています。

PCI コンプライアンス証明書フォームへの記入方法

コンプライアンス証明書に到達するまでに、大変な作業はほぼ完了しています。フォームは評価の記録であり、評価そのものではありません。これは銀行やパートナーと共有する文書であるため、ここでは正確性と明確さが重要になります。完了方法は次のとおりです。

  • 正しいフォームではじめる: PCI SSC は、加盟店やサービスプロバイダー、SAQ ベースの評価や QSA 主導の監査向けに、さまざまな AOC テンプレートを公開しています。間違ったものを使用すると、遅延が発生する可能性があります。

  • ビジネスの詳細を入力: 会社情報、連絡先の詳細、評価日を入力します。これにより、構成証明が組織に関連付けられます。

  • カード会員データ環境を記述: 使用する決済チャネル、対象となるシステムと場所、関与しているサードパーティプロバイダーに注意してください。正確にしてください。このセクションでは、コンプライアンスの境界を定義します。

  • コンプライアンスを要約: フォームには、12 の PCI DSS 要件領域がリストされています。それぞれを「実施済」、「未実施」、または「該当なし」としてマークします。署名するまでにすべてを整えるのが理想です。

  • 署名して提出: 役員は常に AOC に署名し、レベル 1 監査では QSA が署名を追加します。要件が満たされていない場合、改善策のための文書化されたアクションプランを含めます。

AOC が完成したら、慎重に確認し、アクワイアラーに提出し、コピーをファイルに保管してください。

PCI 認証の主な利点

PCI 認証は、ビジネスがカードネットワークが期待するセキュリティ基準を満たしていることを確認するものです。この確認により、侵害に対する防御が強化され、顧客からの信頼が高まり、パートナーと協力する際の障壁が減るなどの利点がもたらされます。

ここでは、PCI 認証がビジネスにどのようなメリットをもたらすかを詳しく見ていきます。

  • 顧客からの信頼: 認証を完了すると、データ保護を真剣に受け止めていることがわかり、カード詳細の保護を信頼している顧客やパートナーを安心させることができます。

  • リスクの低減: PCI フレームワークに従うことで、暗号化、監視、定期的なテストなどの制御を実施することで、コストのかかる侵害の可能性が低くなります。

  • 罰則適用数の低減: 違反があると、罰金や責任が科せられる可能性があります。AOC はデューデリジェンスを実証するのに役立ち、リスクを制限する可能性があります。

  • より多くのパートナーにアクセスできるようになる: 一部のパートナーは、ビジネスを行うために PCI 準拠の証明を必要とします。AOC を準備しておくと、障壁が取り除かれ、新しい機会を生み出すことさえできます。

  • (適切なプロバイダーを使用することで) コンプライアンス対象範囲が狭くなる: Stripe のようなレベル 1 サービスプロバイダーを使用することで、機密データがシステムに触れないことがよくあります。これにより、ご自身の義務が簡素化され、認証プロセスが容易になります。

PCI 認証に関して企業が直面する課題

PCI 認証を実現するには、時間、調整、および標準の明確な理解が必要です。

主な障害はいくつかのカテゴリに分類されます。

  • 対象範囲の定義:最も難しいステップの 1 つは、カード会員データフローをどこに正確にマッピングするかになります。データベースやバックアップを見逃すと、環境の一部がセキュリティで保護されなくなるリスクがあります。スコープを間違えると、間違った SAQ を選択する原因にもなり、認証が無効になる可能性があります。

  • 複雑性とスケール: PCI DSS には、12 の要件にわたる 300 を超える管理対象が含まれています。小規模なチームの場合、圧倒される量となり得ます。一方、大企業は多くの部門やシステムにわたる変更を調整する必要があります。ビジネスの規模に関係なく、文書化と証拠の収集には時間がかかります。

  • コンプライアンスの維持: PCI 認証を毎年の演習として扱うことは危険を伴う可能性があります。管理が場違いになり、適切な保護手段がなくても新しいシステムが稼働する可能性があります。PCI DSS v4.0.1 は、この「チェックボックス」アプローチに対抗するために継続的な監視を推進しています。

  • 要件の変更: 規格には変更があります。PCI DSS v4.0.1 では、認証、テスト、リスク分析に関する新しいルールが導入されました。企業は最新の状態を維持し、要件の変化に迅速に適応する必要があります。

  • 正確さと誠実さ: 証明は、法的声明となります。不完全または不正確な応答、または補償管理対象項目を無視することは、侵害が発生した場合、自身に降りかかる脅威となります。

  • コスト: 独立した監査、セキュリティツール、スキャン、スタッフの時間はすべて合計されます。これらの費用は中小企業にとって重く感じるかもしれませんが、コンプライアンス違反による経済的影響ははるかに大きくなります。

これらの課題は、計画、適切な専門知識、そして多くの場合、適切なパートナーを選ぶことで解決できます。

Stripe Payments の活用方法

Stripe Payments は統合型のグローバル決済ソリューションです。成長中のスタートアップから大企業まで、あらゆるビジネスがオンライン、対面、世界各地で決済を受け付けられます。

Stripe Payments は以下のような場面でご活用いただけます。

  • 決済体験の最適化: 構築済みの決済 UI、125 種類以上の決済手段へのアクセス、Stripe が構築したウォレットである Link により、スムーズな顧客体験を実現し、エンジニアリングの工数を何千時間も節約できます。

  • 新市場への迅速な展開: 195 カ国、135 以上の通貨で利用可能な国際間決済オプションにより、世界中の顧客にリーチし、多通貨管理の複雑性とコストを軽減できます。

  • 対面とオンライン決済の統合: オンラインと対面チャネルにまたがるユニファイドコマース体験を構築することにより、顧客ごとにパーソナライズされたサービスを提供し、ロイヤルティを高め、収益を伸ばします。

  • 決済パフォーマンスの向上: ノーコードの不正利用防止機能や承認率向上のための高度な機能を含む、カスタマイズ可能で設定が簡単な各種決済ツールにより、収益を向上させます。

  • 柔軟で信頼性の高いプラットフォームによる迅速な成長:99.999% の過去の稼働率と業界トップクラスの信頼性を備え、スケールに合わせて拡張可能なプラットフォーム上で構築できます。

Stripe Payments のオンラインおよび対面決済がビジネスにどのように役立つかについて、詳しくはこちらをご覧ください。または、今すぐ始めることもできます。

この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。

その他の記事

  • 問題が発生しました。もう一度お試しいただくか、サポートにお問い合わせください。

今すぐ始めましょう

アカウントを作成し、支払いの受け付けを開始しましょう。契約や、銀行情報の提出などの手続きは不要です。貴社ビジネスに合わせたカスタムパッケージのご提案については、営業担当にお問い合わせください。
Payments

Payments

あらゆるビジネスに対応できる決済ソリューションを利用して、世界中のあらゆる場所でオンライン決済と対面決済を受け付けましょう。

Payments のドキュメント

Stripe の支払い API の導入方法について、ガイドをご覧ください。