更新日:2024/09/18
PCI DSSとは? 定義や認証取得の方法、準拠が必要な事業者を解説
【監修】株式会社ジオコード マーケティング責任者
渡辺 友馬
クレジットカード決済を行っている方であれば、「PCI DSS」という言葉を聞いたことがあるかもしれません。PCI DSSはクレジットカードのデータ保護を目的として策定された国際的な情報セキュリティ基準です。PCI DSSとはどのようなもので、どのような事業者・業界が準拠しなければならないのでしょうか。
本記事ではPCI DSSの概要や策定の背景、定められる目標・要件、認証取得のメリットや方法、PCI DSSに準拠する必要がある事業者・業界や対応の流れなどを解説します。クレジットカード情報に関する情報セキュリティ基準には、日本独自のものもあります。日本独自の基準についても解説するので、クレジットカード決済に対応している事業者の方は本記事を参考にして、重要なカード会員データを安全に扱いましょう。
おすすめの決済代行サービス
scroll →
サービス名 | 特長 | 決済手数料 | 費用 | 対応している決済方法 | こんな企業におすすめ |
---|---|---|---|---|---|
サブスクペイ |
|
2.65% | 要お問い合わせ |
クレジットカード決済(LINK方式、トークン方式、メール配信方式、メールリンク方式、CSV決済方式、バーチャル決済方式) 銀行振込 コンビニペーパーレス キャリア決済 |
|
アルファポータブル |
|
1.9%~ 3.24%~ |
端末価格:74,800円 【今だけ!端末料金無料キャンペーン実施中!】 月額費用:0円~ 入金手数料:0円~ 解約金:0円 |
クレジットカード決済 QRコード決済(Wechatペイやアリペイなども可) 電子マネー ICカード など |
|
GMO掛け払い |
|
~3.4%(個別相談) |
初期費用 0円 月額固定 0~14,000円 お問い合わせ |
- |
|
BizPay |
|
- | - |
クレジットカード決済 コンビニ決済 ATM決済(ペイジー) 銀行ネット決済(ネットバンキング) スマートフォンキャリア決済 など |
|
ユビレジ |
|
決済方法による 要問合せ |
ユビレジ プレミアムプラン:月額6,900円~ ユビレジ お試しプラン:月額0円~ |
楽天ペイ(実店舗決済) stera terminal(ステラターミナル) StarPay STORES 決済 Square JMSおまかせサービス オムニカードペイメント |
|
掛売決済 |
|
- | - | - | - |
Victory-ONE【決済管理】 |
|
- | - | - |
|
@払い(スコア後払い) |
|
決済手数料:2.7%~4.7% 払込票発行手数料:117円~220円 |
初期費用0円~ 月額0円~45,700円 |
全国の主要なコンビニ d払い LINEpay 楽天銀行 ファミペイ |
- |
アナザーレーン |
|
- | - |
クレジット決済 コンビニ決済 銀行振込管理サービス 電子マネー決済 メールクレジット決済 |
|
AXES Payment |
|
- | - |
クレジットカード決済 銀行振込決済 電子マネー決済 楽天Edy ちょコムeマネー Bitcash C-CHECK など |
|
e-SCOTT Smart |
|
- | - |
クレジットカード決済 コンビニ決済 オンラインID決済 コード決済 など |
|
会費ペイ |
|
手数料 3.5% 決済が成功した請求1件につき100 円 |
初期費用 0 円 月額費用 0 円 |
カード決済 口座振替 コンビニ決済 単発決済 |
|
GMOレンシュ |
|
決済手数料:1決済につき3.5% 振込手数料:275円(税込み) |
初期費用、更新料:0円 月額料金:1教室あたり4378円(税込み) |
クレジットカード決済 口座振替 コンビニ払い |
|
リコーリース集金代行 |
|
- |
導入費用は0円 使わない月は基本料金も0円 |
口座振替 コンビニ決済 スマホ決済 |
|
後払い.com |
|
リスクフリー:4.8% スタンダード:4.2% エキスパート:3.5% スペシャル:2.8% |
-リスクフリー 月額固定費/0円 紙(請求書)/224円(税込)~ -スタンダード 月額固定費/4950円(税込) 紙(請求書)/224円(税込)~ -エキスパート 月額固定費/19,800円(税込) 紙(請求書)/224円(税込)~ -スペシャル 月額固定費/49,500円(税込) 紙(請求書)/224円(税込)~ |
コンビニ後払い決済 | - |
アプラス集金代行 |
|
- | - |
口座振替 コンビニ収納 スマホアプリ請求書払いサービス ペイジー決済 家賃サービス(入居希望者の与信審査、集金代行、滞納者への督促) |
|
届いてから払い |
|
- | - |
クレジットカード決済 スマホ決済 キャリア決済 請求書払い コンビニ 郵便局 銀行 |
|
stera pack SMBC×GMO |
|
クレジット(Visa、Mastercard) 2.70% その他の決済手数料率 3.24% |
月額3,300円 |
クレジットカード決済 電子マネー コード決済 |
|
EPARKペイメントサービス |
|
- | 初期費用、端末代金、月額費用 0円 |
クレジットカード決済 デビットカード決済 プリペイド決済 電子マネー決済 QRコード決済 |
|
PayCAS Mobile |
|
- | - |
クレジットカード決済 QR決済 電子マネー決済 |
|
CASHIER PAYMENT A920 |
|
クレジット(Visa、Mastercard)2.98% クレジット 3.25%〜 電子マネー決済 3.25% QRコード決済 2.8%~ |
初期費用 / 端末費用 0円 月額利用料 1台あたり2,200円 |
クレジットカード決済 電子マネー決済 QRコード決済 |
|
Square Terminal |
|
3.25% |
初期費用 0円 端末本体価格 ¥39,980 または ¥3,332 /月の12 回払い |
クレジットカード決済 電子マネー決済 QRコード決済 |
|
Square Reader |
|
3.25% | 端末本体価格 ¥4,980(税込) |
クレジットカード 電子マネー QRコード Apple Payなど |
- |
Squareレジスター |
|
3.25% |
初期費用 0円 端末本体価格 ¥84,980 または¥3,541 /月の24 回払い |
クレジットカード 電子マネー QRコード Apple Payなど |
- |
RP掛け払い |
|
0.5%~ | 請求書の郵送費は0円 | - |
|
請求まるなげロボ |
|
要お問い合わせ | - | - |
|
makeshop |
|
プレミアムプラン 3.19%~ VISA/Mastercard 3.19% JCB/American Express/Diners makeshopエンタープライズ 3.14%~ VISA/Mastercard 3.14% JCB/American Express/Diners |
プレミアムプラン 12,100円(月額料金) 初期費用:11,000円 エンタープライズ 60,500円~(月額料金) 初期費用:110,000円~ |
クレジットカード |
|
スクエア |
|
対面 3.25%(決済ごと) オンライン(決済ごと) 3.6% 非対面(決済ごと) 3.75% 請求書(決済ごと) 3.25% |
- |
クレジット決済 電子マネー決済 PayPay決済 オンラインストア オンライン請求書 ブラウザ決済 |
- |
BOTCHAN Payment |
|
- | - |
クレカ決済 各種後払い Amazon PAY PayPay |
|
PayPay(オンライン決済) |
|
物販:3.8% デジタルコンテンツ:10% |
- | - |
|
PGマルチペイメントサービス |
|
- | - |
クレジットカード決済 コンビニ決済 auかんたん決済 d払い など |
|
電算システム |
|
サービスにより異なる (例)コンビニ コンビニ取扱手数料 130円/件 振込事務手数料(銀行振込手数料含む)500円/回 |
サービスにより異なる (例)コンビニ 初期費用 0円 月額基本料金 15,000円/月 |
コンビニ収納代行 PAYSLE ペーパーレス決済 SMSを利用した決済 DSK後払い TREE PAYMENT口振-100%入金保証型- DSK口座振替 クレジットカード決済 アプリ払込票決済 ゆうちょ振替MT代行 モバライ☆DSK |
|
セゾンインボイス |
|
取引金額の1.5~5.5%(目安) | 月額費用 0円 | - | - |
JMSおまかせサービス |
|
3.24% | 導入費用0円 |
クレジットカード 電子マネー コード決済 ギフトカード デビットカード JCBプレモ |
|
この記事の目次はこちら
PCI DSSとは
PCI DSSとは「Payment Card Industry Data Security Standard」の略称で、クレジットカードのデータ保護を目的として策定された国際規格の情報セキュリティ基準です。
国際カードブランド5社(American Express・Discover・JCB・MasterCard・Visa)によって策定され、この5社が2006年に共同で設立した「PCI SSC(Payment Card Industry Standards Council」によって運営・管理が行われています。2020年には中国の銀聯(Union Pay)も、6ブランド目としてPCI SSCに参加しています。
※参考:PCI Security Standards Council. 「FIVE LEADING PAYMENT BRANDS UNITE TO STRENGTHEN GLOBAL DATA SECURITY」. https://listings.pcisecuritystandards.org/pdfs/09-07-06.pdf , (2006-09-07).
※参考:PCI Security Standards Council. 「UnionPay Joins PCI SSC as Strategic Member」. https://www.pcisecuritystandards.org/about_us/press_releases/unionpay-joins-pci-ssc-as-strategic-member/ , (2020-11-02).
PCI DSS策定の背景
PCI DSSが策定される前は、各クレジットカードブランドが独自のセキュリティ基準を設けていました。クレジットカード決済を行う事業者は、複数のクレジットカードブランドの加盟店となるのが一般的なので、各社の基準にそれぞれ対応しなければならず、大きな負担が掛かっていました。この負担を軽減する目的が、PCI DSS策定の背景の一つです。
それに加え、インターネットの普及とともにオンラインショッピングの利用が急速に増加したことも、PCI DSS策定の背景にあります。国を超えてオンライン決済が行われるようになったことで国境を超えたサイバー攻撃の手口も多様化し、世界規模で大規模なクレジットカードデータの盗難・流出や不正アクセスといったトラブルの件数も増大して、世界的に大きな問題となっていました。そこで、クレジットカードブランドが統一の基準を作り、リスクを軽減できるセキュリティ対策として、PCI DSSが策定されるに至りました。
PCI DSSで定められる目標・要件
PCI DSSでは以下6つの目標と12の要件が定められています。PCI DSSの認証を受けるには、この目標と要件を全て満たさなければなりません。
どのような目標・要件があるか、詳しくみていきましょう。
安全なネットワークとシステムの構築・維持
安全なネットワークとシステムの構築・維持の要件は以下の2つです。
- ネットワークのセキュリティコントロールを導入・維持する
- 全てのシステムコンポーネントに対し、安全な設定を適用する
「ネットワークのセキュリティコントロールを導入・維持する」では、カード会員データを保管するサーバーや、オンライン決済を行うサイトのサーバーなどを含めたネットワークを、ファイアウォールに加え、ネットワークセキュリティコントロールを用いて保護し、維持することを求めています。
「全てのシステムコンポーネントに対し、安全な設定を適用する」では、サーバー機器やネットワーク機器など、システムを構成するものに対し、セキュリティの安全性が高い設定を行うことを求めています。具体的には、初期パスワードや初期設定をそのまま使うのではなく、堅牢性の高いパスワードの設定やシステム設定が必要です。
カード会員データの保護
カード会員データの保護の要件は以下の2つです。
- 保存されたアカウントデータを保護する
- オープンな公共ネットワークでカード会員データを送信する際は、強力な暗号技術を用いてデータを保護する
「保存されたアカウントデータを保護する」では、アカウントデータを暗号化やハッシュ化などによって保護することを求めています。また不要になったデータを適切に削除し、リスクを抑えることも必要です。
「オープンな公共ネットワークでカード会員データを送信する際は、強力な暗号技術を用いてデータを保護する」では、インターネットなどに接続したネットワーク環境でカード会員データの送信を行う際にデータを暗号に変換する技術を用いて、データを保護することが求められます。
脆弱性管理プログラムの整備
脆弱性管理プログラムの整備の要件は以下の2つです。
- 全てのシステム・ネットワークを悪意あるソフトウェアから保護する
- 安全性の高いシステム・ソフトウェアの開発を行い、保守する
「全てのシステム・ネットワークを悪意あるソフトウェアから保護する」では、決済に用いる全てのシステム・ネットワークを、マルウェアなどの悪意あるソフトウェアから保護するために、ウィルス対策ソフトウェアの導入が求められます。ウィルス対策ソフトウェアを導入して放置したままではセキュリティに堅牢性があるとは言えないため、定期的な更新を実施し、常に最新の状態を維持しなければなりません。
「安全性の高いシステム・ソフトウェアの開発を行い、保守する」では、カード会員データを扱うシステムやソフトウェア、アプリケーションなどは、高い安全性が認められるものを開発し、保守運用を行うことが求められます。全てのシステムコンポーネントに対し、適切なセキュリティパッチ(ベンダーが利用者に定期的に提供するプログラム)を利用し、常に最新の状態を維持することも必要です。
強力なアクセス制御手法の導入
強力なアクセス制御手法の導入は以下の3つです。
- システムコンポーネントとカード会員データへのアクセスを、業務上必要な適用範囲内に制限する
- ユーザーを識別し、システムコンポーネントへのアクセス認証を行う
- カード会員データへの物理的なアクセスを制限する
「システムコンポーネントとカード会員データへのアクセスを、業務上必要な適用範囲内に制限する」では、全てのシステムコンポーネントとカード会員データへのアクセスを必要最低限にとどめることが求められます。またアクセス権限も必要最低限にとどめなければなりません。特定のユーザーがアクセスする必要がなくなった場合、すぐにアクセス権限を削除して、セキュリティリスクを軽減することも必要です。
「ユーザーを識別し、システムコンポーネントへのアクセス認証を行う」では、カード会員データにアクセスするユーザーにそれぞれ個別のアカウントを作成し、アクセスする際はパスワードやトークン、生体認証などのいずれかから、複数を組み合わせて認証を行う「多要素認証」を実施することが求められます。
「カード会員データへの物理的なアクセスを制限する」では、カード会員データ情報を保管するサーバーが設置されているビル・データセンター・サーバールームへの入室制限をかけ、入室ログを残したり監視カメラを設置したりすることが求められます。
ネットワークの定期的な監視およびテスト
ネットワークの定期的な監視およびテストの要件は以下の2つです。
- システムコンポーネントとカード会員データへの全アクセスを記録・監視する
- システムとネットワークのセキュリティテストを定期的に実施する
「システムコンポーネントとカード会員データへの全アクセスを記録・監視する」では、システムコンポーネントとカード会員データへの全てのアクセスに対して、「誰が、いつ、何を行ったか」が分かるようにログ管理を行い、アクセス履歴を監視することが求められます。
「システムとネットワークのセキュリティテストを定期的に実施する」では、システムやネットワークに対して適切なタイミングでセキュリティテストを行うことが求められます。サイバー攻撃の手法は日々進化し、システムアップデートによって発生する可能性があるリスクも変わってくるため、定期的なテストで新たなリスクを見つけて、必要に応じた修正を行わなければなりません。
情報セキュリティポリシーの整備
情報セキュリティポリシーの整備の要件は以下の通りです。
- 事業体のポリシーとプログラムを元に、情報セキュリティを維持する
「事業体のポリシーとプログラムを元に、情報セキュリティを維持する」では、正当性のあるリスク評価手順を元に情報セキュリティポリシーを定め、運用することが求められます。また、不正アクセスやウィルス攻撃、サイバー攻撃などのセキュリティインシデントが発生した際の対応を組織内でマニュアル化し、一年に一度テストの実施も必要です。
PCI DSS認定取得のメリット
PCI DSS認証を取得する3つのメリットをご紹介します。
セキュリティレベルが向上する
PCI DSS認証を取得するメリットの一つは、セキュリティレベルが向上することです。
PCI DSS認証を取得するには前述したPCI DSSの目的・要件を満たし、PCI DSS基準の審査に通過する必要があります。審査に通過したということは、国際規格の情報セキュリティ基準を満たしている証なので、高いセキュリティレベルであることを意味します。
カード会員データの盗難・流出、不正アクセスなどから自社サイトを守ることにつながるため、セキュリティリスクを軽減できるでしょう。
企業の信頼性やブランド価値が向上する
企業の信頼性やブランド価値が向上することも、PCI DSS認証を取得するメリットです。
PCI DSS認証を取得すれば、国際規格の情報セキュリティ基準を満たしていることをアピールできます。クレジットカードを利用する際の高い安全性が保証されるため、自社の信頼性がアップし、ブランド価値も向上するでしょう。
クレジットカード決済を行う顧客にとっても、安全にクレジットカードが使えることは大きなメリットなので、売上アップにつながる可能性もあります。
セキュリティインシデント発生時にペナルティが一部免除になる可能性がある
PCI DSS認証を取得すると、セキュリティインシデント発生時にペナルティが一部免除になる可能性があります。
一定条件下でカード会員データの盗難・流出、不正アクセスが発生した場合、PCI DSS認証を取得していれば、損害賠償などのペナルティが一部免除されるかもしれません。
PCI DSSに準拠していても、何らかのセキュリティインシデントが発生する可能性はあります。全ての状況に対してペナルティが免除になるわけではありませんが、万が一の際にペナルティが免除されれば、負担を大きく軽減できるでしょう。
認証取得の方法
PCI DSS認証の取得方法は3つありますが、扱うカード会員データの量や情報の取り扱い方法によって取得方法は異なります。どのような方法があるか見ていきましょう。
訪問審査を受ける
認証取得方法の一つは、QSA(Qualified Security Assessor)と呼ばれる審査機関から訪問審査を受ける方法です。
カード発行会社など、膨大なカード会員データを扱う事業者はこの方法で認証取得を行わなければなりません。
訪問審査を行える機関
訪問審査を行える機関であるQSAは、PCI SCCの認定を受けた機関です。QSA一覧は、PCI SSCのホームページで確認できます。日本国内のQSA一覧は、日本カード情報セキュリティ協議会のホームページでも確認可能です。
サイトスキャンを受ける
サイトスキャンを受けることでも、PCI DSS認証を取得できます。
サイトスキャンを受ける場合、PCI国際協議会から受けたASV(Approved Scanning Vendor)と呼ばれるベンダーのスキャンツールを用います。四半期に一度サイトスキャンを実施してサイトの堅牢性が認められれば、合格レポートが発行され、認証の取得が可能です。
AVS一覧は、PCI SSCのホームページで確認できます。日本国内のAVS一覧は、日本カード情報セキュリティ協議会のホームページでも確認可能です。
扱うカード会員データ量が中規模の事業者、またインターネットに接続している事業者は、サイトスキャンによる認証取得が求められます。
自己問診を行う
自己問診を行って、PCI DSS認証を取得することも可能です。
PCI DSSの要求に準じたアンケート形式による自己問診を行い、全ての項目が「YES」だった場合、PCI DSS認証が与えられます。
扱うカード会員データ量が小規模の一般的な加盟店などは、この方法で取得が可能です。
PCI DSSに準拠する必要がある事業者・業界
PCI DSSに準拠する必要がある事業者や業界をご紹介します。
【事業者】クレジットカード発行会社
クレジットカードの入会手続きや審査を実施し、クレジットカードの発行や会員管理を担うクレジットカード発行会社は、PCI DSSに準拠しなければなりません。クレジットカード発行会社は「イシュアー」と呼ばれます。
【事業者】クレジットカード加盟店管理会社
クレジットカードブランドのライセンスを取得し、加盟店の開拓を行ったり契約を結んだりして、加盟店を管理するクレジットカード加盟店管理会社もPCI DSSに準拠しなければなりません。クレジットカード加盟店管理会社は「アクワイアラー」と呼ばれます。
【事業者】決済代行会社
クレジットカード会社の決済機関と加盟店を仲介して、審査や契約手続きの代行、売上管理、入金管理などを行っている決済代行会社も、PCI DSSに準拠しなければなりません。決済代行会社は「決済サービスプロバイダー」とも呼ばれます。
【事業者】クレジットカードの加盟店
クレジットカード会社と契約を結んだ加盟店も、PCI DSSに準拠しなければなりません。クレジットカード加盟店管理会社による審査を受け、契約を結ぶことで加盟店になれます。
【業界】金融業
金融業はPCI DSSに準拠する必要のある代表的な業界の一つです。
代表的なものには、クレジットカード会社やクレジットカード発行金融機関などがあります。
【業界】流通業
流通業もPCI DSSに準拠する必要のある業界です。
代表的なものには、大手百貨店やスーパー、量販店、鉄道、航空会社などがあります。
【業界】通信業・メディア
通信業・メディアもPCI DSSに準拠する必要のある業界です。
代表的なものには、携帯電話会社や通信会社、ユーティリティ、新聞などがあります。
PCI DSSに対応する流れ
PCI DSSに対応する一般的な流れを解説します。
対象範囲の策定
まずPCI DSSの対象範囲を策定します。
カード会員データの伝送や処理、保管などに利用しているものは、PCI DSSの対象範囲となります。対象範囲はスコープとも呼ばれ、このプロセスはPCI DSS認証を取得する上でとても重要なプロセスです。自社が展開しているサービスや利用しているシステムを考慮して慎重に対象範囲を策定しましょう。
現状を把握し要求事項とのギャップを分析
次に現状を把握し、要求事項とのギャップを分析します。
要求事項とは、前述したPCI DSSの要件のことです。各要求事項をどの程度満たしているのか、一つずつギャップを分析し、不足部分を洗い出します。また分析結果を元に、不足している点に対してどのような対策を講じるか検討することも必要です。
システムへの実装と確認
ギャップの分析結果に基づいた対策方法に基づき、システムを実装します。同時に運用手順や帳票などのポリシーを作成し、確認を行います。
テストを実施
内部スキャン・外部スキャン・ペネトレーションテストを実施し、結果を元にしてシステム改修など必要な対応があれば実施します。訪問審査・サイトスキャン・自己問診を行うための準備や調整も必要です。
PCI DSSへの対応はアウトソーシングも可能
PCI DSSに対応するためには、前述した6つの目標と12の要件を満たさなければなりません。要件の一部を満たすためには、脆弱性診断やテストも実施する必要があります。
準拠するために必要なプロセスは複雑で、自社でPCI DSSに準拠したシステムを構築するには多くの費用がかかる上、運用にも手間とコストがかかります。自社内に専門知識を持つ人材がいなければ、「何から取り掛かるべきか分からない」という企業もあるでしょう。それらがネックになって、PCI DSSに対応できていない加盟店も少なくありません。
PCI DSSへの対応を検討しているのなら、アウトソーシングによる取得支援を利用するのも一つの方法です。アウトソーシングを利用すれば、PCI DSSの対象範囲の策定からテストを実施までの一連のプロセスはもちろん、認証取得のための審査もサポートしてもらえます。取得後の定期的な診断や監査をサポートしてもらうことも可能です。
PCI DSS認証の取得支援を行っている会社は多くあり、提供するサービスやサポート内容は異なります。アウトソーシングの利用を検討しているのなら、複数の会社を比較した上で自社に合った会社に依頼すると良いでしょう。
最新版PCI DSS v4.0は2022年にリリース
2024年7月現在最新版のPCI DSSは、2020年にリリースされたPCI DSS v4.0です。
2013年にリリースされた「PCI DSS v3.0」からは、約8年ぶりに大幅な改訂が行われています。すでにPCI DSS v.3.2.1の移行期間は終了しており、現在はPCI DSS v4.0に準拠しなければなりません。
追加された要件や削除された要件はありませんが、2024年6月にはPCI DSS 4.0.1がリリースされました。また、PCI DSS v4.0 は 2024 年 12月31日に廃止予定のため、それ以降はPCI DSS v4.0.1に準拠する必要があります。
※参考:国際マネジメントシステム認証機構. 「PCI DSS Version3.0 発行のお知らせ」. https://www.icms.co.jp/news/2013/11/20131107-802.html , (2013-11-07).
※参考:国際マネジメントシステム認証機構. 「Pick UP!情報セキュリティトレンド」. https://www.icms.co.jp/column/ , (参照 2024-07-20).
日本独自のクレジットカード情報の非保持にも対応しよう
PCI DSSは国際規格の情報セキュリティ基準ですが、日本独自の情報セキュリティ基準として「クレジットカード情報の非保持化」があります。
クレジットカード情報の非保持化とは、事業者が扱う機器やサーバーで、カード会員データを保存・処理・通過しないことを意味するものです。また実際にカード会員データを保存・処理・通過しないだけでなく、カード会員データを暗号化し、事業者がデータを復元できない仕組みを構築することでも、クレジットカード情報の非保持化に相当すると見なされます。
政府が推進している「クレジットカード・セキュリティガイドライン」では、「カード情報の漏えい対策」「偽装カードによる不正利用対策」「ECにおける利用対策」の3つが掲げられています。このうち「カード情報の漏えい対策」では、PCI DSS準拠もしくはクレジットカード情報の非保持化への対応が必要です。加盟店においては、PCI DSS準拠とクレジットカード情報の非保持化が同等と認められています。
PCI DSS認証取得はコストも手間もかかり、対応するにはハードルが高いため、クレジットカード情報の非保持化で同等と認められる加盟店であれば、こちらを選択するのも一つの方法です。
クレジットカード情報の非保持化を実現するシステム
クレジットカード情報の非保持化を実現する決済システムは、大きく分けて以下の2つです。
- リンク型(リダイレクト型):顧客が決済を行う際にECサイトのサーバー上で決済を行うのではなく、決済代行会社のドメインのWebサイトに一度遷移させて決済を行うシステム
- トークン型:カード情報をトークン(文字列)に置き換えて、決済代行業者との通信を行うシステム
これらの決済システムを利用すれば、クレジットカード情報の非保持化で求められる条件をクリアできます。決済システムのうち「モジュール型」は、カード会員データが加盟店を通過してしまうため、クレジットカード情報の非保持化には対応できません。
まとめ
本記事ではPCI DSSの概要や策定の背景、定められる目標・要件、認証取得のメリットや方法、PCI DSSに準拠する必要がある事業者・業界や対応の流れなどを解説しました。国際的な情報セキュリティ基準であるPCI DSSに準拠すれば、セキュリティリスクを軽減でき、自社の信頼性向上にもつながります。ただし、PCI DSS取得のハードルは高いため、クレジットカード情報の非保持化で対応できる場合は、そちらでの対応を検討しても良いでしょう。
クレジットカード決済を行う場合、自社に代わって決済業務を行ってくれる決済代行サービスの利用がおすすめです。決済代行サービスはさまざまなものがあり、対応しているキャッシュレス決済や搭載している機能も異なります。決済代行サービスを利用する場合は、各サービスを比較し、自社に合ったものを選びましょう。
おすすめの決済代行サービス
scroll →
サービス名 | 特長 | 決済手数料 | 費用 | 対応している決済方法 | こんな企業におすすめ |
---|---|---|---|---|---|
サブスクペイ |
|
2.65% | 要お問い合わせ |
クレジットカード決済(LINK方式、トークン方式、メール配信方式、メールリンク方式、CSV決済方式、バーチャル決済方式) 銀行振込 コンビニペーパーレス キャリア決済 |
|
アルファポータブル |
|
1.9%~ 3.24%~ |
端末価格:74,800円 【今だけ!端末料金無料キャンペーン実施中!】 月額費用:0円~ 入金手数料:0円~ 解約金:0円 |
クレジットカード決済 QRコード決済(Wechatペイやアリペイなども可) 電子マネー ICカード など |
|
GMO掛け払い |
|
~3.4%(個別相談) |
初期費用 0円 月額固定 0~14,000円 お問い合わせ |
- |
|
BizPay |
|
- | - |
クレジットカード決済 コンビニ決済 ATM決済(ペイジー) 銀行ネット決済(ネットバンキング) スマートフォンキャリア決済 など |
|
ユビレジ |
|
決済方法による 要問合せ |
ユビレジ プレミアムプラン:月額6,900円~ ユビレジ お試しプラン:月額0円~ |
楽天ペイ(実店舗決済) stera terminal(ステラターミナル) StarPay STORES 決済 Square JMSおまかせサービス オムニカードペイメント |
|
掛売決済 |
|
- | - | - | - |
Victory-ONE【決済管理】 |
|
- | - | - |
|
@払い(スコア後払い) |
|
決済手数料:2.7%~4.7% 払込票発行手数料:117円~220円 |
初期費用0円~ 月額0円~45,700円 |
全国の主要なコンビニ d払い LINEpay 楽天銀行 ファミペイ |
- |
アナザーレーン |
|
- | - |
クレジット決済 コンビニ決済 銀行振込管理サービス 電子マネー決済 メールクレジット決済 |
|
AXES Payment |
|
- | - |
クレジットカード決済 銀行振込決済 電子マネー決済 楽天Edy ちょコムeマネー Bitcash C-CHECK など |
|
e-SCOTT Smart |
|
- | - |
クレジットカード決済 コンビニ決済 オンラインID決済 コード決済 など |
|
会費ペイ |
|
手数料 3.5% 決済が成功した請求1件につき100 円 |
初期費用 0 円 月額費用 0 円 |
カード決済 口座振替 コンビニ決済 単発決済 |
|
GMOレンシュ |
|
決済手数料:1決済につき3.5% 振込手数料:275円(税込み) |
初期費用、更新料:0円 月額料金:1教室あたり4378円(税込み) |
クレジットカード決済 口座振替 コンビニ払い |
|
リコーリース集金代行 |
|
- |
導入費用は0円 使わない月は基本料金も0円 |
口座振替 コンビニ決済 スマホ決済 |
|
後払い.com |
|
リスクフリー:4.8% スタンダード:4.2% エキスパート:3.5% スペシャル:2.8% |
-リスクフリー 月額固定費/0円 紙(請求書)/224円(税込)~ -スタンダード 月額固定費/4950円(税込) 紙(請求書)/224円(税込)~ -エキスパート 月額固定費/19,800円(税込) 紙(請求書)/224円(税込)~ -スペシャル 月額固定費/49,500円(税込) 紙(請求書)/224円(税込)~ |
コンビニ後払い決済 | - |
アプラス集金代行 |
|
- | - |
口座振替 コンビニ収納 スマホアプリ請求書払いサービス ペイジー決済 家賃サービス(入居希望者の与信審査、集金代行、滞納者への督促) |
|
届いてから払い |
|
- | - |
クレジットカード決済 スマホ決済 キャリア決済 請求書払い コンビニ 郵便局 銀行 |
|
stera pack SMBC×GMO |
|
クレジット(Visa、Mastercard) 2.70% その他の決済手数料率 3.24% |
月額3,300円 |
クレジットカード決済 電子マネー コード決済 |
|
EPARKペイメントサービス |
|
- | 初期費用、端末代金、月額費用 0円 |
クレジットカード決済 デビットカード決済 プリペイド決済 電子マネー決済 QRコード決済 |
|
PayCAS Mobile |
|
- | - |
クレジットカード決済 QR決済 電子マネー決済 |
|
CASHIER PAYMENT A920 |
|
クレジット(Visa、Mastercard)2.98% クレジット 3.25%〜 電子マネー決済 3.25% QRコード決済 2.8%~ |
初期費用 / 端末費用 0円 月額利用料 1台あたり2,200円 |
クレジットカード決済 電子マネー決済 QRコード決済 |
|
Square Terminal |
|
3.25% |
初期費用 0円 端末本体価格 ¥39,980 または ¥3,332 /月の12 回払い |
クレジットカード決済 電子マネー決済 QRコード決済 |
|
Square Reader |
|
3.25% | 端末本体価格 ¥4,980(税込) |
クレジットカード 電子マネー QRコード Apple Payなど |
- |
Squareレジスター |
|
3.25% |
初期費用 0円 端末本体価格 ¥84,980 または¥3,541 /月の24 回払い |
クレジットカード 電子マネー QRコード Apple Payなど |
- |
RP掛け払い |
|
0.5%~ | 請求書の郵送費は0円 | - |
|
請求まるなげロボ |
|
要お問い合わせ | - | - |
|
makeshop |
|
プレミアムプラン 3.19%~ VISA/Mastercard 3.19% JCB/American Express/Diners makeshopエンタープライズ 3.14%~ VISA/Mastercard 3.14% JCB/American Express/Diners |
プレミアムプラン 12,100円(月額料金) 初期費用:11,000円 エンタープライズ 60,500円~(月額料金) 初期費用:110,000円~ |
クレジットカード |
|
スクエア |
|
対面 3.25%(決済ごと) オンライン(決済ごと) 3.6% 非対面(決済ごと) 3.75% 請求書(決済ごと) 3.25% |
- |
クレジット決済 電子マネー決済 PayPay決済 オンラインストア オンライン請求書 ブラウザ決済 |
- |
BOTCHAN Payment |
|
- | - |
クレカ決済 各種後払い Amazon PAY PayPay |
|
PayPay(オンライン決済) |
|
物販:3.8% デジタルコンテンツ:10% |
- | - |
|
PGマルチペイメントサービス |
|
- | - |
クレジットカード決済 コンビニ決済 auかんたん決済 d払い など |
|
電算システム |
|
サービスにより異なる (例)コンビニ コンビニ取扱手数料 130円/件 振込事務手数料(銀行振込手数料含む)500円/回 |
サービスにより異なる (例)コンビニ 初期費用 0円 月額基本料金 15,000円/月 |
コンビニ収納代行 PAYSLE ペーパーレス決済 SMSを利用した決済 DSK後払い TREE PAYMENT口振-100%入金保証型- DSK口座振替 クレジットカード決済 アプリ払込票決済 ゆうちょ振替MT代行 モバライ☆DSK |
|
セゾンインボイス |
|
取引金額の1.5~5.5%(目安) | 月額費用 0円 | - | - |
JMSおまかせサービス |
|
3.24% | 導入費用0円 |
クレジットカード 電子マネー コード決済 ギフトカード デビットカード JCBプレモ |
|