PCI DSS 準拠とは

2005 年以降、アメリカでは 9,000 件以上のデータ侵害により、100 億件以上の消費者記録が漏えいしています。これらは、2005 年にさかのぼって消費者に影響を与えたデータ侵害とセキュリティー侵害について報告している Privacy Rights Clearinghouse からの数値です。

消費者データの安全性と、決済エコシステムへの信頼を向上させるため、データセキュリティに対する最低限の基準が設けられました。Visa、MasterCard、アメリカン・エキスプレス、ディスカバー、および JCB が 2006 年に PCI セキュリティ基準審議会 (PCI SSC) を設立し、クレジットカードのデータを扱う企業のためのセキュリティ基準を運用・管理しています。

PCI DSS (Payment Card Industry Data Security Standard) は、カード保有者のデータや機密認証データを保存、処理、または転送するあらゆる組織のためのグローバル規模のセキュリティー基準です。消費者保護のベースラインレベルを規定し、決済エコシステム全体における不正利用やデータ侵害の削減に寄与しています。これは、カード決済を行うすべての組織に適用され、これらの基準を満たさない場合は多額の罰金や費用を支払うことになります。

PCI DSS 準拠には、主に次の 3 つの要素が含まれます。

顧客が提供するクレジットカード情報。具体的には、機密情報であるカード詳細の収集と安全な転送です。
データの安全な保存。PCI 基準の 12 のセキュリティー領域に属する、暗号化、継続的な監視、カードデータへのアクセスに関するセキュリティーテストなどが含まれます。
必要なセキュリティ管理の実施の有無を毎年検証すること。これには、フォーム、アンケート、外部の脆弱性スキャンサービス、第三者による監査などが含まれます (詳しくは、4段階のレベルを記した下記の表をご覧ください)。

クレジットカード決済を受け付けるすべてのビジネスは、取引量、地域、導入方法に関係なく、PCI DSS に準拠する必要があります。これにより、次のことが可能になります。

カードデータの安全性を確保することで顧客の信頼を構築
不正利用やデータ侵害からビジネスを保護
PCI 準拠の違反による罰金を回避

免責事項: この記事はガイダンス目的でのみ使用し、正式な助言として解釈しないでください。詳細については、Payment Card Industry Data Security Standard (PCI DSS) の認定審査機関 (QSA) に相談することをお勧めします。

PCI 準拠の達成と維持をサポートする Stripe の機能

ビジネスモデルがカードデータの処理を伴う場合は、PCI DSS が定める 300 以上のセキュリティ管理の各要素を満たす必要があります。

PCI DSS については、PCI セキュリティ基準審議会 (PCI Security Standards Council) が発行している 1,800 ページを超える公式ドキュメントに詳しく記されており、規制への準拠を検証する際に使用するフォームについての説明だけで 300 ページ以上が費やされています。

Stripe は、さまざまなトークン化された導入方法 (Checkout、Elements、モバイル SDK、Terminal SDK など) を提供することで、企業の PCI 準拠への負担を大幅に軽減し、機密性の高いクレジットカードデータを直接処理しなくても済むよう支援します。

Stripe Checkout と Stripe Elements では、すべてのカードデータの処理にオンライン決済フィールドを使用するため、カード保有者は、Stripe の PCI DSS 認証サーバーから直接提供される決済フィールドに、支払いに関する機密情報をすべて入力します。
Stripe のモバイル SDK と Terminal SDK でも、カード保有者は支払いに関する機密情報を PCI DSS 認証サーバーに直接送信できます。

Stripe では、すべてのユーザーが PCI 準拠を実現できるよう、各種サポートを提供しています。

Stripe PCI ウィザードが導入方法を分析し、準拠の負担を軽減する方法をアドバイス
取引量の増加に伴い、準拠の検証方法に変更が必要になった場合は、事前に通知
クレジットカードデータを保存したり、決済フローが複雑であったりするために PCI QSA を使用する必要のある大企業やエンタープライズ企業は、世界中に 400 社以上存在する QSA 企業を利用可能。また、Stripe の各種導入方法を深く理解している複数の監査人をご紹介可能

PCI DSS 準拠の手順

1. 自社の PCI レベルを把握する

PCI に準拠するための最初のステップは、組織に適用される要件を知ることです。PCI 準拠には 4 つのレベルがあり、通常は 12 カ月間にビジネスが処理するクレジットカードでの取引量に基づきます。

レベルに応じて、認定スキャンベンダー (ASV) による定期的な脆弱性スキャンなどのさまざまな要件があります。また、別の事業体 (ペイメントゲートウェイ、決済サービスプロバイダー、独立した販売組織など) に代わって、カード保有者データ (CHD) や機密認証データ (SAD) の処理、保存、または転送に直接関与するサービスプロバイダーには、追加の要件もあります。

規制遵守レベル	対象	要件
レベル 1	年間の取引件数が Visa または MasterCard で 600 万件以上、またはアメリカン・エキスプレスで 250 万件以上の組織、または過去にデータ漏洩を経験した組織、またはカードブランド (Visa、MasterCard など) が「レベル 1」と判定した組織	認定審査機関 (QSA) による準拠証明書 (AOC) または年次コンプライアンスレポート (ROC) 認定スキャンベンダー (ASV) による四半期ごとのネットワークのスキャン
レベル 2	年間取引件数が 100 ～ 600 万件の組織	自己問診票 (SAQ)、または準拠証明書 (AOC)、またはコンプライアンスレポート (ROC) SAQ A、SAQ A-EP、SAQ D の文書について、PCI 認定審査機関 (QSA) または PCI から認定を受けた社内の認定担当者 (ISA) の署名が必要¹ 認定スキャンベンダー (ASV) による四半期ごとのネットワークのスキャン
レベル 3	年間オンライン取引件数が 2 万～ 100 万件の組織年間総取引件数が 100 万件未満の組織	レベル 3 とレベル 4 のユーザーは、自動的に弊社のリスク管理プログラムに登録されます。このプログラムは、導入方法など複数の要因に基づき、カスタマイズされたシンプルなプロセスを提供します。1 件以上の PCI DSS 自己問診票 (SAQ) の完了を求められる場合があります。レベル 3 のユーザーは、認定スキャンベンダー (ASV) によるネットワークのスキャンを四半期ごとに受ける必要もあります。
レベル 4	年間オンライン取引件数が 2 万件未満の組織、または年間総取引件数が 100 万件までの組織	レベル 4 のユーザーは、認定スキャンベンダー (ASV) によるネットワークのスキャンを四半期ごとに受ける必要もあります。

¹ SAQ A、SAQ A-EP または SAQ D を実施するレベル 2 の加盟店は、法令遵守の検証に QSA を利用する必要があります。

2. 導入タイプとドキュメント要件を把握する

PCI レベルがわかったら、次のステップは、準拠状態を検証するために完了すべき PCI ドキュメントを判別することです。Stripe で使用している導入のタイプや、貴社がサービスプロバイダーかどうかなどによって決まります。

レベル 1 ユーザー

レベル 1 のビジネスは、PCI 準拠の証明に自己問診票 (SAQ) を使用する資格がありません。認定審査機関 (QSA) が署名したコンプライアンスレポート (ROC) を毎年完了して PCI 準拠を検証します。

レベル 2 ～ 4 のユーザー

レベル 2 ～ 4 のユーザーの場合、決済の導入方法に応じて SAQ タイプが異なります。どの SAQ タイプが適切かわからない場合は、Stripe PCI ウィザードがお客様のビジネスに適したドキュメントのタイプを自動的に判別します。

導入方法	要件	推奨事項
Checkout または Elements	SAQ A	Checkout と Stripe.js and Elements は、すべてのカードデータ収集入力を (お客様のドメインではなく) Stripe のドメインが提供する iframe 内でホストします。このため、顧客のカード情報がお客様のサーバーに接触することはありません。
Connect	SAQ A	Connect プラットフォーム (Squarespace など) 経由でのみカードデータを収集する場合、そのプラットフォームが必要な PCI 文書を提供しているかどうかを弊社で確認できます。
モバイル SDK	SAQ A	Stripe のモバイル SDK の開発および変更管理は、PCI DSS (要求事項 6.3 から 6.5) に準拠しており、弊社の PCI 検証済みのシステム経由でデプロイされます。iOS または Android 向けの Stripe 公式 SDK の UI コンポーネントのみを使用するか、WebView で Elements を使用して決済フォームを作成する場合は、カード番号が顧客から Stripe に直接渡されるため、PCI 準拠の負担が最も軽くなります。カード情報を処理するためのコードを社内で作成するなど、他の方法を採用する場合は、追加の PCI DSS 要求事項 (6.3 〜 6.5) に対する責任を負う可能性があり、SAQ A の適格対象になりません。この場合は、PCI QSA に連絡して、PCI Security Standards Council の現在のガイダンスに従って法令に遵守していることを検証するための最良の方法を決定してください。お客様のアプリケーションで顧客が自身のデバイスから情報を入力する必要がある場合、SAQ A の対象となります。アプリケーションがデバイス上 (POS アプリなど) で複数の顧客のカード情報を受け付ける場合、PCI 準拠を検証する最適な方法について PCI QSA にご相談ください。
Stripe.js v2	SAQ A-EP	自社サイトでホストされているフォームに入力されたカードデータを Stripe.js v2 で送信する場合、毎年 SAQ A-EP を完了させ、ビジネスが PCI に準拠していることを証明する必要があります。別の方法として、Checkout と Elements はどちらもセルフホスト型のフォームの柔軟性とカスタマイズ可能性を維持しつつ、SAQ A に対する PCI 適格性を満たしています。
Terminal	SAQ C	Stripe Terminal を使用してカードデータのみを収集する場合、SAQ C を使用して検証できます。 Stripe を導入する際に、この表に記載されている追加の方法を使用する場合、別途記載されている通り、法令に遵守していることを説明する必要があります。
ダッシュボード	SAQ C-VT	ダッシュボードから手動でカード支払いを作成する方法は、例外的な状況においてのみ使用が可能であり、通常の決済処理では使用できません。顧客がカード情報を入力できる適切な支払いフォームまたはモバイルアプリケーションを用意してください。手動で入力されたカード情報が Stripe の外部で安全であることを確認できません。このため、PCI 準拠要件に従ってカードデータを保護し、毎年 SAQ C-VT を完了させ、ビジネスが PCI に準拠していることを証明していただく必要があります。
Direct API	SAQ D	Stripe の API にカード情報を渡すと、お客様の実装システムがそのデータを直接処理します。お客様は、SAQ の中で最も要件が厳しい SAQ D を使用して、毎年 PCI 準拠を証明する必要があります。この負担を軽減するには、次のようにします。 Checkout や Elements、モバイル SDK と連携します。カード情報の処理をクライアント側でのトークン化に切り替えます。また、Stripe の不正防止ツールである Radar には、リスク評価、ルールなどが含まれ、クライアント側でのトークン化メソッドを使用している場合のみ利用可能です。

サービスプロバイダー

貴社が別の事業体 (ペイメントゲートウェイ、決済サービスプロバイダー、独立した販売組織など) に代わって、カード保有者データ (CHD) や機密認証データ (SAD) の処理、保存、または転送に直接関与している場合は、サービスプロバイダーとして分類される可能性があります。つまり、検証が必要な追加要件があるということです。

3. 評価を完了し、SAQ ドキュメントを提出する

必要な評価を特定したら、次のステップは評価を実行し、関連する SAQ または ROC ドキュメントに記入し、レビューのために Stripe に送信します。

取引量の多いユーザーは、自社が営業している地域で事業登録している QSA のサービスを利用することも考えられます。QSA は、PCI 要件に照らしてシステムを確認し、不備の修正についてのアドバイスを提供します。また、適切なドキュメントを作成して署名し、Stripe と毎年共有します。

レベル 3 および 4 のユーザーは、自分の事業分野に適した PCI DSS 自己問診票に回答する必要があります。その他の加盟店向けリソースは、PCI セキュリティ基準審議会を通じて入手できます。Stripe はこの点についてもサポートを提供しています。PCI ダッシュボードのカスタマイズされたウィザードで一連の質問に回答すると、必要なドキュメントが生成されます。また、Stripe PCI ダッシュボードを使用して、自社で記入済みの SAQ または ROC ドキュメントをアップロードできます。

4. 監視と保守

PCI 準拠は単発の業務ではありません。これは、データフローや顧客との関係が構築され、続いていく上で、ビジネスの準拠状態を維持するための年次プロセスです。

PCI DSS は、カード保有者のデータの処理と保存に関する重要な基準を定めていますが、それだけではすべての決済環境を十分に保護できるわけではありません。代わりに、トークン化されたデータ (Stripe Checkout、Elements、モバイル SDK など) を使用する、より安全なカード承認方法に移行する方が、はるかに効果的に組織を保護できます。このアプローチを採用すると、俊敏性の高い企業は、潜在的なデータ侵害を軽減し、PCI を検証するために時間とコストのかかる従来のアプローチを使用する必要がなくなります。

企業が成長するにつれて、中核となるビジネスロジックとプロセスも進化するため、準拠要件も進化します。たとえば、オンラインビジネスでは、実店舗の開設、新しい市場への参入、カスタマーサポートセンターの立ち上げなどを決定する場合があります。決済カードデータに関する新しい決定がある場合は、選択した PCI 検証方法に影響を与えるかどうかを事前に確認し、必要に応じて PCI 準拠を再検証することをお勧めします。

複雑な PCI 準拠の詳細については、PCI セキュリティ基準審議会のウェブサイトを参照してください。このガイドと他のいくつかの PCI ドキュメントのみをご覧になっている場合は、以下の資料もお勧めします。

PCI DSS の優先的アプローチ
SAQ の手順とガイドライン
SAQ 適格基準を使用したオンサイト評価要件の決定に関するよくあるご質問
決済カードデータを受け付ける消費者向け端末のアプリ開発事業者の義務に関するよくあるご質問

PCI 準拠をサポートする Stripe の機能

PCI レベル 1 のサービスプロバイダーである Stripe は、独立した PCI 認定審査機関によって、すべての PCI DSS 要件について毎年認定を受けています。つまり、すべての Stripe プロダクトはデフォルトでセキュリティー保護されているため、Stripe を利用することでビジネスの準拠要件が軽減されます。

Stripe では、すべてのユーザーが PCI 準拠を実現できるよう、各種サポートを提供しています。

中小企業向けのサポート

Stripe は、Checkout、Elements、モバイル SDK、Terminal SDK などのより安全な導入方法を活用する一部のユーザー向けに、事前入力済みの SAQ やガイド付きフローなど、準拠のためのカスタマイズされたジャーニーを提供することで、小規模ユーザーの PCI に関する負担を大幅に軽減します。

カスタマイズされたダッシュボード体験

Stripe は、利用を開始したお客様の取引履歴を分析し、カスタマイズされたダッシュボード体験を通じて準拠に関する負担を軽減する方法についてアドバイスします。

ビジネスの成長に合わせたサポート

年間取引量が増えると、1 年以内に PCI レベルが変わることがあります。Stripe は、PCI の更新日が近づいたタイミングで新しい要件を通知することで、こうした移行をサポートします。

複数のサービスプロバイダー

ビジネスで複数の業者を使用している場合、PCI 準拠プロセスが複雑になる可能性があります。Stripe は、プロバイダーからの AOC の提出をサポートすることで、スムーズに準拠できるようにします。
PCI 準拠状態の維持をサポートする Stripe の機能

グローバル決済プラットフォーム

資金管理

収益・財務オートメーション

その他

企業規模別

ビジネスモデル別

ユースケース別

エコシステム

利用を始める

ガイド