本文へスキップ
>_ITDITDセキュリティ対策プラットフォーム

用語辞典

PCI DSS とは — クレジットカード情報を扱うためのセキュリティ基準

PCI DSS は、クレジットカード情報を扱う事業者が満たすべき国際的なセキュリティ基準です。誰に適用され、暗号化・アクセス制御・監視など何が求められるのか、そして『そもそもカード情報を自前で持たない』という最も安全な選択肢を、防御目線で解説します。

公開日 2026-07-04 更新日 2026-07-04 4分で読める

PCI DSS は、カード情報を扱うなら避けて通れないセキュリティ基準です。ここでは適用範囲と要点を、そして「そもそも持たない」という最も安全な選択を、防御目線で整理します。

何が求められるのか(大枠)

個別の技術というより、「機微データを最小の範囲で・多層で守り、記録する」という運用全体が問われます。

1

保護する(暗号化・アクセス制御)

保存データの暗号化と鍵管理、通信の暗号化、そして必要最小限のアクセス制御(誰がカード情報に触れてよいかを絞る)。認証と認可の考え方が土台になる。

2

固める(既定値の排除・脆弱性管理)

既定パスワードや弱い認証情報を排除し、依存の脆弱性(CVE)を監視してパッチを当てる。マルウェア対策も含む。

3

記録する(ログと監視・定期点検)

誰が・いつ・何をしたかのログを残し、監視する。定期的にスキャン・点検して基準を維持する。

最も安全な選択:適用範囲を縮小する

当サイトの視点:一番の防御は『持たないこと』

PCI DSS の要求を一つずつ満たすのは大変ですが、最も効くのは「そもそもカード番号を自分のシステムに保持しない」という設計です。準拠済みの決済代行にカード処理を委ね、トークン化された参照だけを扱えば、自分の環境の適用範囲(スコープ)が大きく縮む。当サイトの原則と同じで、機微データは持たない・置かない・最小化するのが、規制対応であると同時に最強の防御です。カード情報を扱う画面や通信も、公開ディレクトリやログに残さないよう点検します(→ 公開ディレクトリに秘密を置かない)。

関連する考え方

スコープを広げてしまう(大変)

  • 自前DBにカード番号を保存する
  • 多数のサーバ・担当者がカード情報に触れられる
  • 監査・暗号化の対象が広がり負担が増大

スコープを縮める(安全)

  • カード処理は準拠済みの決済代行に委ねる
  • 自分はトークン化された参照だけを扱う
  • 適用範囲が最小化され、漏洩リスクも縮小

次に読む

出典

よくある質問

QPCI DSS は誰に適用されますか?
A

クレジットカード情報(カード番号など)を保存・処理・伝送するすべての事業者が対象です。ECサイト・実店舗・決済を扱うSaaSなどが含まれます。取扱件数に応じて求められる証明の厳しさは変わりますが、『少額だから対象外』ではありません。カード情報に触れる時点で、基準を意識する必要があります。

QPCI DSS では具体的に何が求められますか?
A

大枠として、ネットワークの保護(ファイアウォール等)、保存データの暗号化と鍵管理、既定値・弱い認証情報の排除、必要最小限のアクセス制御、通信の暗号化、脆弱性管理(パッチ・マルウェア対策)、ログと監視、そして定期的な点検です。個別の技術というより、『機微データを最小の範囲で・多層で守り、記録する』という運用全体が問われます。

Q準拠の負担を減らす一番よい方法は?
A

『そもそもカード番号を自分のシステムに保持しない』ことです。準拠済みの決済代行サービスにカード処理を委ね、トークン化された参照だけを扱えば、自分の環境の適用範囲(スコープ)を大きく縮小できます。持たないデータは漏れません——これがカード情報に限らない、最も強い防御です。