トップへ戻る

技術情報/コラム TECHNICAL INFORMATION/COLUMN

PCI DSS2026.06.15

SAQ AでもASVスキャンは必要? 外部委託していても対象になるケースを解説

ECサイトで決済処理を外部委託している場合、
「PCI DSSの対応は最小限でいいのでは?」と考える方も多いのではないでしょうか。

特にSAQ Aを利用している事業者では、
「ASVスキャン(外部脆弱性スキャン)は不要では?」という疑問がよくあります。

この記事では、その疑問についてわかりやすく解説します。

結論:SAQ AでもASVスキャンは必要です。

PCI DSS v4.xでは、SAQ A対象の事業者でもASVスキャンが必要です。
これは以下の要件として明確に定義されています:

  • 要件11.3.2
  • 要件11.3.2.1

つまり、決済処理を完全に外部委託していても例外ではありません。

なぜ外部委託していても対象になるのか?

たとえカード情報を自社で保持していなくても、以下のようなケースでは「自社のWebページが攻撃されるリスク」が存在します。
ケース①:決済ページへリダイレクトする場合(自社サイト → 決済代行会社へ遷移)
ケース②iframeで決済画面を埋め込んでいる場合(自社ページ内に決済フォームを表示)

これらのページが改ざんされると、

  • 不正なサイトへ誘導される
  • 偽物の決済画面を表示される
  • カード情報が盗まれる

→結果的にカード情報漏えいにつながる可能性があります。

ケース①②の場合、なぜ自社のWebページが対象となるのかというと、PCI DSSでは以下のように考えられています。

カード情報を直接扱っていなくても、通信の流れに影響を与えている場合は対象になるそのため、これらのWebページは「カード会員データ環境(CDE)に影響するシステム」として扱われます。

まとめ

  • SAQ AでもASVスキャンは必須
  • 外部委託していても対象になる
  • 特に以下は注意
    - リダイレクト方式
    - iframe埋め込み方式
  • 理由は以下2点
    - 自社ページの改ざんリスク防止
    - カード会員データ環境(CDE)に影響するシステムであるため

「外部委託しているから自社は対象外」と考えるのではなく、自社サイトが関わる範囲については対策が必要になる、という点が重要です。
自社のECサイトがどの範囲まで責任を持つべきか、改めて確認してみることを推奨します。

<参考URL>
ASV Resource Guide「脆弱性スキャンと承認されたスキャンベンダー」
https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Supporting%20Document/PCI_SSC_ASV_Resource_Guide-JA.pdf

この記事をシェアする

関連記事

関連記事を見る

関連サービス

技術情報/コラム一覧へ戻る