ECサイト事業者が行うべきセキュリティ対策とPCI DSSの必要性を解説

クレジットカード決済の普及に伴い、ECサイトでは不正利用や個人情報漏えいのリスクが増加しています。
ECサイトで安全に取引を行い顧客情報を守るためには、国際的なセキュリティ基準「PCI DSS」への準拠が不可欠といえます。
この記事では、決済代行事業者やECサイト運営者に向けて、PCI DSSの概要と必要性、さらにクレジットカード情報の漏えいを防ぐ具体的な対策について解説します。

PCI DSSの課題を最短距離で解決した「お客さま事例 3点セット」の ダウンロードはこちらから

PCI DSSとは？

PCI DSSとは、クレジットカード情報を安全に扱うために策定された世界共通のセキュリティ基準です。
「Payment Card Industry Data Security Standard」の略称で、American Express、Discover、JCB、MasterCard、VISAの主要クレジットカードブランドが共同で策定しました。
クレジットカードが盗まれて悪用されることを防ぐための基準であり、12の要件と約400の要求事項から構成されています。
クレジットカード決済を利用する店舗やオンラインショップ、クレジットカード情報を取り扱う決済代行会社などは、取引の安全性を確保するためPCI DSSへの準拠が求められます。

加えて、PCI DSSは一度導入すればいいわけではなく、高いセキュリティが保たれているかを確認するため、継続的に監査を受けなければならない点も特徴の1つです。
PCI DSS準拠のためには、導入だけでも1,000万円以上の費用がかかります。
厳しい基準をクリアし続けるため、毎月100万円以上の費用がかかり、中小のオンラインショップやECサイトが導入するのは簡単ではありません。

しかし、PCI DSSの準拠により、得られるメリットも多くあります。
たとえば、高いセキュリティ基準に準拠していることを示せば、顧客からの信頼を得やすくなるでしょう。
PCI DSSに準拠していることを証明できれば、クレジットカード情報の漏えいや不正利用が発生した場合でも、補償義務が免責される可能性があります。
PCI DSSに準拠していれば、ビジネスリスクを最小限に抑えられるため、安心してECサイトの運営を続けられるでしょう。

関連記事：PCI DSSとは | 基準・認証における要件、対応方法を解説【図解付き】

ECサイトにおいてPCI DSSが必要な理由

ECサイトでは、クレジットカードの不正利用や個人情報の漏えいを防ぐための手段の一つがPCI DSS準拠です。
ECサイトの決済では、クレジットカード情報がやり取りされ、その過程でクレジットカード情報が盗まれるケースが少なくありません。
不正アクセスやWebサイトの改ざんにより、顧客情報が抜き取られることもあります。
ECサイトや決済フォームにスキミング用のコードを埋め込み、気づかれずにクレジットカード情報を盗む「Webスキミング」も巧妙化しているため注意が必要です。
とくにWebスキミングは、一部コードの追加・変更で行われるため、被害者だけでなくECサイト事業者も気づきにくく、検知が遅れることで被害が拡大する恐れがあります。

一般社団法人日本クレジット協会が2025年6月に行った、クレジットカード不正利用被害の発生状況の調査によると、ECサイトでよく見られる番号盗用被害は2025年1月から3月のわずか3カ月間で182.9億円に上ります。※1
被害が過去最高であった2024年の番号盗用被害総額は513.5億円であるため、このままであれば2025年は2024年をはるかに上回る被害の発生が予想されるでしょう。加えて、個人情報漏えいも年々深刻化しています。

かっこ株式会社と株式会社リンクが行ったCashless Security Reportによれば、2024年4月から6月の3カ月で、ECサイトからの情報漏えい件数は12万727件でした。※2
上場企業を含むさまざまな形態の企業・サイトが被害に遭っており、手口も年々巧妙化しています。
PCI DSSに準拠することで、通信の暗号化やカード情報の非保持化、サイトの脆弱性診断、監視体制の強化などが可能になるでしょう。
クレジットカードブランドによっては、PCI DSS準拠を契約の条件にしている会社もあるため、ECサイト運営にとってPCI DSS準拠が標準となりつつあります。

※1（出典：一般社団法人日本クレジット協会「クレジットカード不正利用被害の発生状況」）
※2（出典：かっこ株式会社・株式会社リンク「キャッシュレス・セキュリティレポート」）

クレジットカード取引における代表的な被害

クレジットカード取引における代表的な被害は「不正利用」と「個人情報の漏えい」です。
被害が発生すると、ECサイト運営者も大きな影響を受けます。
返金対応や原因調査、セキュリティチェック、サイトの見直しなど、本業以外の業務が発生し負担が増大します。

さらに、被害が長期化すれば行政処分や訴訟のリスク、加盟店契約解除などにつながる恐れもあります。
ここでは、クレジットカードの不正利用と個人情報漏えいについて詳しく解説します。

被害① クレジットカードの不正利用

クレジットカードの不正利用の一つとして、Webスキミングと呼ばれるものがあります。決済画面を通してカード情報を盗み取り、他のECサイトの商品やサービスを購入する方法で行われます。

多くの場合、ECサイトで商品を購入し決済に進み、クレジットカード情報を入力します。
攻撃者はその決済画面に手を加え、入力された情報が自分のデータベースにも送られるようにするのです。結果として、外見上は問題のない決済画面であっても、知らないうちにクレジットカード情報が抜き取られることになります。

現在増加している別の手口は、ECサイトの決済画面から決済代行会社の画面に変遷する際、攻撃者が作成した偽の決済画面に誘導するものです。偽の決済画面でクレジットカード情報を入力し決済を完了しようとすると、エラー画面になり、今度は正規の決済代行会社の画面に移動します。
消費者は何らかのエラーが発生したと考え、再度正規の決済画面で支払いを行います。

今度は正常に支払いが行えるため、消費者もクレジットカード情報が盗まれたことに気づかないのです。ECサイト側も消費者側も盗まれたカード情報による不正利用に気づくのが遅れ、被害が拡大するケースも少なくありません。
ECサイトの信頼性にも甚大な被害が及ぶため、被害発生前に対策を講じることが重要です。

被害② 個人情報の漏えい

ECサイトで懸念される別のセキュリティリスクは個人情報の漏えいです。
とくにECサイトを利用して商品・サービスを購入した顧客の情報が盗まれることにより、多くの問題が引き起こされます。
顧客の氏名、住所、電話番号、メールアドレス、購買履歴などが漏えいすると、なりすましやフィッシング詐欺、迷惑メールなどの犯罪行為に悪用されるケースが少なくありません。
多くの人はユーザー名として使用するメールアドレスやパスワードを使いまわしているため、ECサイトから情報が漏れると芋づる式に他のサイトへの侵入を許してしまう恐れがあります。

加えて、インターネット上に流出した情報は、完全な削除がほぼ不可能であり、半永久的にリスクが残ることも懸念点です。情報漏えいが発生したECサイトに関する情報は、SNSで拡散されるケースも多く、サイトの信頼を回復するには長い時間と大きな費用がかかる場合があります。

経済産業省から発表された3つのセキュリティ対応策

クレジットカード決済を安全に利用するため、経済産業省は以下の3つのセキュリティ対応策を示しています。

1.ECサイトにおける不正利用対策
2.偽造カードによる不正利用対策
3.カード情報の漏えい対策

3つの対応策はいずれも重要で効果的ですが、これらのうち2つもしくは3つを組み合わせることでさらに高い効果を発揮します。

経済産業省は今後、企業に対するサイバーセキュリティ対策の格付け制度の導入を検討しており、個人レベルを超えてECサイトを運営しようと考えている企業はセキュリティ対策の強化が急務です。
経済産業省が発表した3つの対応策について詳しく解説します

対応策① ECサイトにおける不正利用対策

ECサイトの不正利用を防ぐには、3Dセキュアの導入、不正注文検知システムの活用、二段階認証の実施が有効です。
不正利用の大きな目的は「なりすまし」であり、とくに被害額が大きいため注意が必要です。
なりすまし注文はECサイトが注意すべき不正利用の中でもとくに被害額が大きなものといえます。
盗まれたクレジットカード情報を用いて、本人確認があまり厳しくないECサイトで商品を大量購入する手口が一般的です。
消費者がクレジットカード会社に返金を請求した場合、ECサイトに金銭的な損失が発生します。

3Dセキュアは、クレジットカード情報に表れないパスワードによって行う本人確認であり、不正利用を防ぐのに効果的です。
不正注文検知システムを導入すれば、端末情報や配送先情報、IPアドレスなどをチェックすることで不正利用のリスクを最小限に抑えられます。

対応策② 偽造カードによる不正利用対策

ECサイトが偽造カードによる不正利用を防ぐため、セキュリティコードの確認や購入承認フローの強化などが効果的です。

スキミングによりクレジットカードがコピーされると、容易に不正利用が行われます。
ICチップのクレジットカードが増えているため、セキュリティは向上しているものの、スキミング・偽造のリスクはゼロになりません。

決済の際に、クレジットカードの裏側にあるセキュリティコードを入力してもらう、高額商品が大量に購入された場合には承認プロセスを一時的に保留するなどの方法で、消費者を守れます

対応策③ カード情報の漏えい対策

カード情報の漏えい対策のため、以下の対策が役立ちます。

・クレジットカード情報の非保持化
・PCI DSSの準拠
・サイトの脆弱性診断の実施
・不正アクセスの監視体制強化
・運用体制の強化

カード情報の漏えい対策は、後述するクレジットカード情報の非保持化とPCI DSS準拠が重要なポイントです。加えて、定期的なECサイトの脆弱性診断や不正アクセスに対する監視体制の強化により、情報漏えいのリスクを抑えられます。
人為的ミスによってクレジットカード情報や顧客情報が漏れることがないよう、情報の取り扱いに関するルール作りを行うべきです。

運用体制を整えた後は、社員にルールを徹底的に周知し、研修を通じて順守を促す必要があります。
クレジットカード情報の漏えい対策は1度導入すれば完了ではなく、継続的な監視・改善が求められます。では、漏えい対策の柱であるクレジットカード情報の非保持化とPCI DSS準拠についてさらに詳しく解説します。

クレジットカード情報の非保持化

クレジットカード情報の非保持化とは、顧客のクレジットカード情報の非保存・非処理・非通過によって達成できるセキュリティ強化策です。単にECサイト内に情報を保存しないだけでなく、ネットワーク内で処理や通過をさせないことも含まれます。

クレジットカード情報の非保持化を実現しつつ決済を行うため、決済代行会社の利用や、クレジットカード情報を暗号化したトークン決済を取り入れているECサイトも少なくありません。
ECサイト内でクレジットカード情報を取り扱わないことで、サイバー攻撃を受けても情報の漏えいを防げます。

クレジットカード情報を保持していないことを示すことができれば、顧客も安心して決済を行え、顧客満足度の向上にも役立つでしょう。加えて、クレジットカード情報を保持していない場合には、PCI DSSに準拠するための要求範囲が狭くなるため、コストカットにも効果的です。

PCI DSSの準拠

クレジットカード決済を導入しているECサイトや企業は、PCI DSSへの準拠を行うことも有効です。
PCI DSSには6つの目的と12の要件があり、すべての要件を満たさなければなりません。加えて、PCI DSSに準拠し続けているかどうかが定期的にチェックされるため、セキュリティ体制の見直しも求められます。

PCI DSSの要件を満たすためには、まず自社のセキュリティ対策の状況やレベルを調査し、PCI DSSとどの程度の差があるのかを把握しなければなりません。PCI DSSへの準拠には導入時だけで1,000万円前後、維持のために毎月100万円前後の費用がかかると言われているため、適用範囲を正確に見定めることが重要です。

実行計画を守らないことによるリスク

経済産業省が推奨するセキュリティ対策を実行しなければ、顧客情報漏えいや不正利用のリスクが高まります。導入には一定のコストがかかりますが、不正利用や情報漏えいが発生した場合の損害は比較にならないほど大きくなります。

金銭的損失だけでなく、行政指導や加盟店契約の解除、顧客からの信頼喪失といった深刻な影響を受ける可能性があります。一度失った信頼を取り戻すのは容易ではなく、場合によっては事業継続が困難になることもあります。

消費者が安心してクレジットカード決済を利用できる環境を整えることが、ECサイトの安定した運営に不可欠です。

ECサイトのセキュリティ対策の一つ、PCI DSS準拠

この記事ではクレジットカード決済のセキュリティ対策について解説しました。
PCI DSSは取引の国際的な安全基準であり、ECサイトはカード情報の非保持化またはPCI DSS準拠が必要です。サイトの安全性を高め、顧客からの信頼を勝ち得るために、費用がかかるとしても重層的なセキュリティ対策が必要で、さらにPCI DSSに準拠まで対応できるとベストです。

PCI DSS Ready Cloudは、PCI DSS に準拠するために必要なリソースを提供しているため、ECサイトを運用中の事業者の方は、ぜひ一度ご相談ください。

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する

■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適

■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス