PCI DSS2026.06.15
ECサイトで決済処理を外部委託している場合、
「PCI DSSの対応は最小限でいいのでは?」と考える方も多いのではないでしょうか。
特にSAQ Aを利用している事業者では、
「ASVスキャン(外部脆弱性スキャン)は不要では?」という疑問がよくあります。
この記事では、その疑問についてわかりやすく解説します。
PCI DSS v4.xでは、SAQ A対象の事業者でもASVスキャンが必要です。
これは以下の要件として明確に定義されています:
つまり、決済処理を完全に外部委託していても例外ではありません。
たとえカード情報を自社で保持していなくても、以下のようなケースでは「自社のWebページが攻撃されるリスク」が存在します。
ケース①:決済ページへリダイレクトする場合(自社サイト → 決済代行会社へ遷移)
ケース②iframeで決済画面を埋め込んでいる場合(自社ページ内に決済フォームを表示)
これらのページが改ざんされると、
→結果的にカード情報漏えいにつながる可能性があります。
ケース①②の場合、なぜ自社のWebページが対象となるのかというと、PCI DSSでは以下のように考えられています。
カード情報を直接扱っていなくても、通信の流れに影響を与えている場合は対象になるそのため、これらのWebページは「カード会員データ環境(CDE)に影響するシステム」として扱われます。
「外部委託しているから自社は対象外」と考えるのではなく、自社サイトが関わる範囲については対策が必要になる、という点が重要です。
自社のECサイトがどの範囲まで責任を持つべきか、改めて確認してみることを推奨します。
<参考URL>
ASV Resource Guide「脆弱性スキャンと承認されたスキャンベンダー」
https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Supporting%20Document/PCI_SSC_ASV_Resource_Guide-JA.pdf
この記事をシェアする
PCI DSS Ver4.0.1 SAQ(D-SP)
記入例サンプル提供サービス
新書式への対応を最短支援。記載例サンプルや自社内にサーバ類を多くお持ちの環境向けサンプルなど、実践的な記載文面を多く含むサンプルをご提供予定です。
クレジットカード業界の国際的セキュリティ基準 “PCI DSS” “PCI P2PE” “PCI 3DS”への準拠をめざす企業を支援しています。
“PCI DSS” “PCI P2PE” “PCI 3DS”の準拠維持におけるコンサルティングサービスを提供しています。
“PCI DSS” への準拠及び維持に役立つ各種ソリューションを提供しています。