カード会員データを取り扱う事業者にとって、PCI DSS(Payment Card Industry Data Security Standard)への準拠は避けられない要件です。2022年3月にリリースされたバージョン4.0、そして2024年6月に細部を整理したv4.0.1は、従来のv3.2.1から大きく踏み込んだ変更を含んでいます。
v3.2.1は2024年3月31日をもって廃止されており、現時点でPCI DSS準拠を維持するためにはv4.0.1への移行が必須です。さらに2026年3月31日には「フューチャーデイテッド要件」と呼ばれる追加要件が完全施行となるため、未対応の事業者は今すぐ対応計画を動かす必要があります。
本記事では、PCI DSS 4.0の核心的な変更点を整理し、2026年の完全施行に向けて企業が取るべき具体的な対応手順を解説します。
1. PCI DSS 4.0とは?v3.2.1からの主な変更点
PCI DSSの概要
PCI DSSは、Visa・Mastercard・American Express・Discover・JCBの5大カードブランドが設立したPCI SSC(Payment Card Industry Security Standards Council)が策定する国際セキュリティ標準です。クレジットカード・デビットカードのカード会員データ(CHD)を保存・処理・伝送するすべての事業者が準拠対象となります。
準拠レベルはカード処理件数に応じてLevel 1〜4に区分されます。Level 1(年間600万件以上)はQSA(認定セキュリティ評価機関)による訪問審査(ROC)が必要で、Level 2〜4はSAQ(自己問診票)での対応が認められます。
v3.2.1からv4.0への改訂背景
PCI SSCがv4.0を策定した主な背景は以下の3点です。
- 脅威の多様化への対応:クレジットカードスキミング(Magecart攻撃)やフィッシングの高度化に従来の要件では対応しきれなくなった
- 柔軟性の確保:規定の実装方法(Defined Approach)のみならず、セキュリティ目標の達成を証明する「カスタマイズドアプローチ」を導入
- 継続的なセキュリティ活動の強調:年1回の評価ではなく、日常的なセキュリティプロセスとして定着させる設計思想への転換
v3.2.1とv4.0の主要変更点対比表
項目 | v3.2.1 | v4.0 / v4.0.1 |
|---|---|---|
要件数 | 264 | 251(再編・統合) |
アプローチ | Defined Approachのみ | Defined Approach + Customized Approach |
MFA適用範囲 | 管理者アクセスのみ | CDE(カード会員データ環境)へのすべての非コンソールアクセス |
パスワード要件 | 最低7文字・英数字混在 | 最低12文字(システムが対応できる場合) |
スクリプト管理 | 規定なし | Eコマースページの全スクリプトの認可・整合性確認(要件6.4.3) |
ペンテスト頻度 | 年1回 | 年1回(ただし範囲の明確化・方法論の文書化が強化) |
フィッシング対策 | 年1回のセキュリティ意識向上トレーニング | 特定の脅威(フィッシング含む)を対象とした標的型トレーニング(要件12.6.3.1) |
ネットワーク監視 | IDS/IPS | すべての有線・無線のトラフィック監視(自動化ツール推奨) |
セキュリティポリシーレビュー | 年1回 | 年1回(変更があった場合は追加実施) |
ベンダー(TPSP)管理 | 年1回の確認 | 最低年1回のリスク評価と文書化の強化 |
この変更により、特にEコマース事業者・決済代行サービスを利用する加盟店・SaaS型決済システムを運用するプロバイダーへの影響が大きくなっています。
2. 注目すべき要件変更(MFA・スクリプト管理・ペンテスト)
多要素認証(MFA)の適用範囲拡大(要件8.4.2・8.4.3)
v3.2.1ではMFAの適用対象は「管理者コンソールへのリモートアクセス」に限定されていました。v4.0ではこれが「CDE内のすべてのシステムへの非コンソールアクセス」に拡大されています。
具体的には、以下のすべてのアクセスシーンでMFAが必要となります。
- 社外からVPN・リモートデスクトップ経由でCDE内サーバーへ接続する場合
- CDE内のWebアプリケーション管理画面にアクセスする場合
- クラウド管理コンソール(AWS Management Console・Azure Portalなど)でCDE関連リソースを操作する場合
また、要件8.3.6では、パスワードの最低文字数がv3.2.1の7文字から12文字(システム上12文字に対応できない場合は最低8文字)に引き上げられています。パスワード単独でのアクセスが認められる場面が縮小されており、ID管理ポリシーの全面的な見直しが必要です。
Eコマースページのスクリプト管理(要件6.4.3)
Magecart攻撃に代表されるJavaScriptスキミングへの対策として、v4.0では要件6.4.3が新設されました。対象は「消費者のブラウザに読み込まれるすべての決済ページのスクリプト」です。
要求される管理内容は以下のとおりです。
- 各スクリプトの認可方法の文書化(誰が何の目的で読み込むと承認したか)
- スクリプトの整合性確認(改ざんを検知するSRI属性の付与、またはCSPによる制御)
- 認可されていないスクリプトが読み込まれていないことの定期確認
サードパーティ製タグ管理ツール(Google Tag Manager等)や広告・解析スクリプトをEコマースページに読み込んでいる事業者は、スクリプト棚卸しと承認プロセスの整備が急務です。整合性検証にはSRI(Subresource Integrity)ハッシュの設定、もしくはContent Security Policyのstrict-dynamic運用が有効です。
ペネトレーションテスト要件の強化(要件11.4)
ペンテストの実施頻度自体は年1回のままですが、v4.0では実施方法と範囲の文書化が厳格化されています。
- ペンテスト方法論を文書化し、業界標準(PTES・OWASP Testing Guide等)に沿っていることを示す
- 外部と内部ネットワーク層・アプリケーション層の両方をカバーすること
- セグメンテーション(ネットワーク分離)コントロールが有効であることを、ペンテストによって検証すること(要件11.4.5)
- ペンテスト後に発見された脆弱性を修正し、修正後の再テストを実施すること
特にセグメンテーションテストは見落とされがちです。CDE外からCDEへ到達できないことをペンテストで実証することが明示的に求められており、ファイアウォールルールの確認だけでは不十分です。
3. カスタマイズドアプローチとは何か
二つのアプローチの違い
v4.0の最も大きな構造的変更のひとつが、カスタマイズドアプローチ(Customized Approach) の導入です。
比較項目 | Defined Approach | Customized Approach |
|---|---|---|
対象 | すべての事業者 | セキュリティ成熟度が高い事業者向け |
実装方法 | 要件に記載された具体的な実装を採用 | セキュリティ目標(Customized Approach Objective)を満たす独自の実装を設計 |
評価方法 | 標準テスト手順(Testing Procedures) | 事業者が設計した「コントロール」をQSAが評価 |
文書化負荷 | 比較的低い | 高い(目標・設計・リスク分析の文書化が必要) |
向いている組織 | 標準的な実装で対応できる組織 | クラウドネイティブ・独自アーキテクチャを持つ組織 |
カスタマイズドアプローチを選ぶ判断基準
カスタマイズドアプローチは「規定の実装が技術的に難しい」場合に使うものではありません。「標準的な実装よりも高いセキュリティ水準を独自設計で達成できる」場合に適用するものです。
たとえば、要件8.4.2(MFA)に対して「生体認証+ハードウェアセキュリティキーの組み合わせ」で対応する場合、Customized Approachのもとで設計の有効性を文書化して評価を受けることができます。
ただしカスタマイズドアプローチを採用するには、QSAとの緊密な連携と高度な文書化能力が必要です。初めてv4.0に対応する事業者や、セキュリティ体制をこれから整備する段階の組織には、Defined Approachでの対応が現実的です。
4. 対応スケジュールと2026年の施行状況
主要なマイルストーン
日付 | 内容 |
|---|---|
2022年3月31日 | PCI DSS v4.0 正式公開 |
2024年3月31日 | PCI DSS v3.2.1 廃止(v4.0への移行が必須に) |
2024年6月 | PCI DSS v4.0.1 公開(軽微な表記修正・明確化) |
2025年4月1日 | v4.0.1が正式な最新バージョンとして有効化 |
2026年3月31日 | フューチャーデイテッド要件(64項目)が完全施行 |
フューチャーデイテッド要件とは
v4.0では64項目の要件が「フューチャーデイテッド(Future-dated)」とマークされており、2026年3月31日まで準拠評価において「ベストプラクティス」扱いでした。この猶予期間が2026年3月31日をもって終了し、すべて必須要件となっています(2026年6月時点では既に全施行済みです)。
フューチャーデイテッド要件の代表例は以下のとおりです。
- 要件6.4.3:Eコマースページのスクリプト管理(前述)
- 要件11.6.1:決済ページへの改ざん検知メカニズムの実装(週1回以上のチェックまたはリアルタイム検知)
- 要件12.3.2:カスタマイズドアプローチを選択した要件ごとのターゲットリスク分析の実施と文書化
- 要件8.4.2:CDE内すべての非コンソールアクセスへのMFA適用(前述)
- 要件8.3.6:パスワード最低12文字要件
現時点(2026年6月)でこれらの要件に未対応の場合、次回のQSA評価・SAQ提出時に非準拠と判定されます。
5. 対応手順(ギャップ分析→対策→評価)
ステップ1:スコープの確定
PCI DSS対応の出発点は「カード会員データ環境(CDE)のスコープ確定」です。スコープが広すぎると対応コストが膨らみ、狭すぎると準拠漏れが生じます。
スコープ削減の基本戦略はネットワーク分離(セグメンテーション) です。CDEとその他のネットワークをファイアウォール・VLANで分離し、CDEに接触するシステムの範囲を最小化します。また、決済処理を決済代行サービス(PSP)やP2PE(Point-to-Point Encryption)ソリューションに外出しすることで、自社のスコープを大幅に削減できます。
ステップ2:ギャップ分析の実施
現状の統制とv4.0.1の各要件を照合し、対応済み・一部対応・未対応に分類します。ギャップ分析の主な確認領域は以下のとおりです。
確認領域 | 主なチェックポイント |
|---|---|
アクセス制御 | MFA適用範囲・パスワードポリシー・特権アカウント管理 |
脆弱性管理 | 内部・外部スキャンの実施頻度・Webアプリファイアウォール(WAF)の運用 |
ログ管理 | ログの保存期間・改ざん防止・自動アラート |
ネットワーク | セグメンテーションの有効性・ファイアウォールルールの定期レビュー |
暗号化 | 保存データの暗号化方式・TLSバージョン(v1.2以上必須) |
スクリプト管理 | Eコマースページに読み込まれるスクリプトの棚卸し |
サードパーティ管理 | TPSPとのPCI DSS責任分担の文書化 |
トレーニング | フィッシング等の脅威を対象とした標的型トレーニングの実施状況 |
ステップ3:対策の実施と優先順位付け
ギャップ分析の結果をもとに、リスクの高い領域から優先的に対策を進めます。対応優先順位の目安は以下のとおりです。
最優先(2026年3月31日施行済みのフューチャーデイテッド要件)
- MFAの全CDEアクセスへの展開
- Eコマースページのスクリプト棚卸しとSRI/CSP実装
- 決済ページの改ざん検知メカニズムの導入
高優先度(基本要件の強化)
- パスワードポリシーの12文字対応
- ペンテスト方法論の文書化と再テスト手順の整備
- ログ管理の自動化・アラート設定
中優先度(プロセス整備)
- サードパーティ(TPSP)のPCI DSS準拠状況の年次確認体制の構築
- セキュリティ意識向上トレーニングの内容更新(標的型脅威対応)
ステップ4:評価・審査の実施
対策完了後、準拠レベルに応じた評価を受けます。
- Level 1事業者:QSAによるROC(Report on Compliance)審査
- Level 2〜4事業者:SAQ(Self-Assessment Questionnaire)の該当タイプを選択して自己問診を実施し、ASV(認定スキャニングベンダー)による外部脆弱性スキャンを年4回実施
SAQのタイプはカード受付方式・決済フローによって異なります(SAQ A・A-EP・B・B-IP・C・C-VT・D・P2PEなど)。Eコマースサイトでリダイレクト型の決済を利用している場合はSAQ A、自社ページでカード入力フォームを持つ場合はSAQ A-EPまたはSAQ Dが適用されます。
6. 費用の目安
PCI DSS対応にかかる費用は、事業者の規模・現状の対応状況・審査レベルによって大きく異なります。以下は一般的な費用レンジの目安です。
項目 | Level 1(ROC審査) | Level 2〜4(SAQ) |
|---|---|---|
ギャップ分析 | 50万〜150万円 | 20万〜80万円 |
QSA審査(ROC) | 500万〜2,000万円 | — |
SAQ作成支援 | — | 10万〜50万円 |
ASV脆弱性スキャン(年4回) | 15万〜40万円 | 10万〜30万円 |
ペネトレーションテスト | 100万〜500万円 | 50万〜200万円 |
WAF・ログ管理ツール導入 | 環境による | 月額10万〜100万円 |
MFA・ID管理基盤整備 | 100万〜300万円 | 30万〜100万円 |
スクリプト管理ツール(CSP/SRI対応) | 月額5万〜30万円 | 月額5万〜20万円 |
費用を抑えるための有効な手段として、以下が挙げられます。
- P2PEソリューションの活用:PCI SSCが認定したP2PEを導入することでCDEスコープを最小化し、審査範囲を大幅に削減できる
- 認定PSPへの決済処理の外部委託:SAQ AやA-EPで対応できる構成にすることで、Level 1相当の審査コストを回避できる
- QSAとの早期連携:対策前にQSAのアドバイスを受けることで、過剰投資と見落としの両方を防ぐ
7. AEVUSのPCI DSS準拠支援
AEVUSは、カード会員データを取り扱う事業者のPCI DSS対応を包括的に支援します。
提供サービス
PCI DSS ギャップ分析 現状環境をv4.0.1の全要件と照合し、未対応項目をリストアップします。対応工数・費用の見積もりも含めてレポートを提供するため、経営層への報告資料としてもご活用いただけます。
ペネトレーションテスト(PCI DSS準拠対応) PCI DSS v4.0が要求するペンテスト方法論を文書化し、外部・内部ネットワーク層とアプリケーション層を網羅した検査を実施します。セグメンテーション有効性検証(要件11.4.5)にも対応しており、QSA提出用レポートの形式で成果物を納品します。
Eコマースセキュリティ診断 要件6.4.3・11.6.1に対応したEコマースページのスクリプト棚卸しと改ざん検知の実装支援を行います。CSP・SRI設定のレビューからMagecart攻撃を想定した侵入テストまでカバーします。
ASV外部脆弱性スキャン PCI SSC認定ASVとして、準拠要件を満たした外部脆弱性スキャンを年4回提供します。スキャン結果の解釈と修正対応のサポートも含みます。
PCI DSS 4.0への対応は、単なるコンプライアンス作業ではありません。スキミング・不正アクセス・フィッシングといった実際の脅威に対して有効なセキュリティ統制を組織に根付かせるための取り組みです。
2026年3月31日のフューチャーデイテッド要件完全施行は既に到来しており、未対応の状態での評価は非準拠判定につながります。現状の対応状況に不安のある場合は、まずギャップ分析から着手することを推奨します。
AEVUSへのお問い合わせはこちらから受け付けています。
