LASSIC Media らしくメディア
PCI DSS準拠のシステム改修を委託する費用と進め方
LASSIC IT事業部|元請(プライムベンダー)としてシステム保守・運用を受託
この記事のポイント
- PCI DSS準拠は「改修して準拠する」か「非保持化でスコープを外す」かの2方向で対策が変わり、最初の方向性選択が費用を大きく左右します
- 委託費用はギャップ分析・改修・評価の3フェーズに分かれ、システム規模と現状成熟度によって幅が生じます(市場参考値であり一次資料ではありません)
- 委託先にはPCI DSSの技術知識と評価プロセスへの対応実績の両方が必要で、QSAとの関係性が審査スムーズさに影響します
目次
PCI DSSとは:カード情報を扱う事業者に課される国際セキュリティ標準
PCI DSS(Payment Card Industry Data Security Standard:ペイメントカード業界データセキュリティ標準)とは、クレジットカード会員データを保存・処理・伝送するすべての事業者が遵守すべき国際セキュリティ基準です。Visa・Mastercard・American Express・Discover・JCBの5大国際カードブランドが設立したPCI SSC(PCI Security Standards Council:PCI セキュリティスタンダードカウンシル)が策定・管理しています。
現行バージョンはv4.0系(v4.0.1)です。2024年3月にv3.2.1が廃止されv4.0への完全移行が求められ、2025年3月末にはv4.0の段階的導入要件(future-dated requirements)の必須化が完了しました。詳細な要件番号・移行スケジュールはPCI SSCの公式情報でご確認ください。
PCI DSSは12要件で構成されており、大きく6つのカテゴリに整理されています。ネットワークセキュリティ、カード会員データの保護、脆弱性管理プログラム、アクセス制御、ネットワーク監視・テスト、情報セキュリティポリシーがその骨格です。各要件の下に詳細なサブ要件が設けられており、システム・プロセス・人員の各レイヤーにまたがる包括的な対応が求められます。
対象となる事業者と「スコープ」の考え方
PCI DSSの対象は、カード会員データ(CHD:Cardholder Data)を保存・処理・伝送するシステムやネットワークです。この対象範囲を「カード会員データ環境(CDE:Cardholder Data Environment)」と呼び、CDEに接続・影響を与えるシステムも準拠対象に含まれます。
スコープが広いほど対応コストは高くなります。非保持化(後述)やネットワーク分離(セグメンテーション)によってCDEを最小化することが、準拠対応の費用を抑える上で中心的なアプローチになります。
準拠が求められる背景:割賦販売法とカードブランドの要求
日本においてPCI DSS準拠が実務上求められる背景には、2つの異なる要求源があります。ひとつはカードブランドによる加盟店契約上の要求、もうひとつは2018年に改正された割賦販売法に基づく行政上の対応要件です。
割賦販売法の改正により、クレジットカード番号等を取り扱う加盟店・決済代行事業者に対して、カード情報の「非保持化」またはPCI DSSに準じたセキュリティ対策の実施が実務上求められる枠組みが整備されました。条文の細部解釈は主務官庁の資料でご確認いただく必要がありますが、「何もしなくてよい」という状況ではないことは確かです。
カードブランド側でも、取引量に応じてPCI DSS準拠レベル(レベル1〜4)が設定されており、年間取引量が多い事業者ほど第三者によるオンサイト審査が必要になります。EC市場の拡大に伴い、中規模のECサイト事業者もレベル2以上に該当するケースが増えています。
準拠を怠った場合のリスク
PCI DSS非準拠が発覚した場合、カードブランドから加盟店資格の停止・罰則的な手数料の課徴・インシデント調査費用の負担を求められる可能性があります。カード情報漏洩インシデントが発生した際には、フォレンジック調査費用や被害補償費用がさらに加算されます。
こうしたリスクは、改修に投じるコストと比較したときに準拠対応を選択する合理的な根拠になります。決済機能を持つシステムのリプレースや新規開発時には、PCI DSSへの対応方針を設計段階から組み込むことが費用と工期の両面で有利です。
非保持化という選択肢 — 改修コストを大幅に抑えるアプローチ
PCI DSS準拠への道筋は「準拠改修」だけではありません。自社システムがカード番号を保存・処理・伝送しない構成に切り替える「非保持化」は、CDEそのものをなくすことでPCI DSS準拠スコープを大幅に縮小または免除できるアプローチです。
リダイレクト型決済代行への切り替え
ユーザーが決済画面に進む際、自社サイトから決済代行会社のページへリダイレクトする方式です。カード番号の入力・処理をすべて決済代行会社側で行うため、自社サーバーにはカード番号が届きません。
自社システムへの改修範囲は決済フローのUI変更にとどまるため、改修コストはPCI DSS準拠改修と比べて小さくなる傾向があります。ただし、決済画面のデザインカスタマイズに制約が生じる点と、決済代行サービスの月額費用・手数料が継続的に発生する点は事前に確認が必要です。
トークン化(Tokenization)
カード番号を決済代行会社または専用トークンサーバーが保管し、自社システムには番号の代替値(トークン)だけを返す方式です。リピート購入や定期課金を自社側で管理する必要がある場合でも、実際のカード番号を保持せずに繰り返し決済を処理できます。
トークン化を採用しても、トークンサーバーとの通信部分や自社システム内のトークン管理がCDEに含まれる可能性があります。スコープが完全にゼロになるかどうかはシステム構成次第ですので、導入前にQSAまたは専門ベンダーへの確認が欠かせません。
非保持化が難しいケース
加盟店管理システムや自社で構築した与信処理、カードネットワークへの直接接続が業務上必要な場合は、非保持化だけで対応を完結させることが難しくなります。こうしたケースでは、非保持化でスコープを最小化しつつ、残存するCDEについてPCI DSS準拠改修を行う組み合わせが現実的です。
準拠改修の中身:12要件をカバーするシステム変更の全体像
非保持化で対応しきれない部分について、PCI DSSの12要件に沿ったシステム改修が必要になります。改修の対象領域はネットワーク・アプリケーション・運用プロセス・ログ監視と幅広く、単純な機能追加では完結しないケースがほとんどです。
ネットワークセキュリティの改修
CDEを他のネットワークセグメントから分離するファイアウォール設定の見直し・ネットワーク構成の変更が含まれます。既存のフラットなネットワーク構成からCDEを切り出すには、スイッチ・ルーター・ファイアウォール機器の設定変更と、場合によってはネットワーク機器の追加調達が必要になります。
また、デフォルトのシステムパスワードや設定値を変更し、ベンダー提供のデフォルト値をすべて除去する作業も要件に含まれます。既存システムで長年使われているデフォルト設定が残っている場合、棚卸しと変更対応に相当の工数を要することがあります。
カード会員データの保護
保存するカード会員データの暗号化が必要です。AES-256など業界標準の暗号化アルゴリズムを採用し、鍵管理の仕組みも含めて実装します。既存のデータベースやファイルに平文でカード番号が格納されている場合は、既存データのマイグレーションも含む改修が必要です。
ネットワーク伝送中のカード会員データについては、TLS(Transport Layer Security)による暗号化が必要です。古いプロトコル(SSL、TLS 1.0・1.1)が残存しているシステムでは、対応バージョンへの更新が必要になります。
脆弱性管理とアクセス制御
CDEに関係するシステムへのセキュリティパッチ適用のプロセス整備、アンチウイルスソフトウェアの導入・維持、Webアプリケーションの脆弱性対策が求められます。特にWebアプリケーションについては、WAF(Web Application Firewall)の導入またはコードレビュー・ペネトレーションテストによる脆弱性対応が要件に含まれます。
アクセス制御では、カード会員データへのアクセスを業務上必要な担当者のみに限定する「最小権限の原則」の実装が求められます。システムアカウント・サービスアカウントの棚卸しと権限設定の見直し、個人認証(一意のIDと認証情報)の徹底が主な作業となります。
ログ監視と情報セキュリティポリシー
CDEへのすべてのアクセスを記録・監視する仕組みの構築が必要です。ログの改ざん防止、一定期間の保管、異常検知の仕組みを含む包括的なログ管理が対象です。既存のSIEM(Security Information and Event Management)ツールがない場合、導入または監視サービスの活用が選択肢に入ります。
情報セキュリティポリシーの整備も要件のひとつです。書面としてのポリシー文書だけでなく、従業員への教育・訓練の実施記録まで含めて準備することが求められます。システム改修と並行して、組織としての対応体制整備が必要になる点を見落とすと審査で指摘を受けます。
委託の進め方:ギャップ分析→改修→評価の3フェーズ
PCI DSS準拠改修の委託を進める際は、ギャップ分析・改修実施・評価取得という3つのフェーズに分けて考えると工程と費用を整理しやすくなります。
フェーズ1:ギャップ分析(現状評価)
最初のステップは現状のシステムとPCI DSSの要件とのギャップを明らかにする「ギャップ分析」です。この段階で、自社システムの準拠スコープ(CDE)の範囲確定、各要件への現状の対応状況、改修が必要な項目と優先順位が整理されます。
ギャップ分析の精度が後工程全体の品質を左右します。スコープを広く取りすぎると改修コストが膨らみ、狭く見積もりすぎると後から改修が追加発生します。非保持化の実現可能性もこの段階で評価します。ギャップ分析は1〜2か月程度で完了するケースが多く、この結果をもとに改修計画の費用見積もりが可能になります。
フェーズ2:改修実施
ギャップ分析の結果に基づき、優先度の高い項目から改修を進めます。セキュリティ関連の改修はシステムの根幹に関わる変更を伴うため、既存機能への影響を考慮しながら慎重に進める必要があります。テストフェーズでは改修箇所の機能テストに加え、セキュリティテスト(脆弱性スキャン・ペネトレーションテスト等)が必要になります。
改修中にシステムへの変更が発生した場合(新機能追加・インフラ変更等)は、CDEへの影響評価が都度必要になります。改修フェーズでは変更管理プロセスも並行して整備しておくことが、評価フェーズでの指摘を減らすことにつながります。
フェーズ3:評価取得
改修完了後は、PCI DSSの評価プロセスを通じて準拠状況を確認します。主な評価方法は取引量に応じた準拠レベルによって異なります。
- ROC(Report on Compliance):主にレベル1事業者に求められる、QSA(Qualified Security Assessor:認定セキュリティ評価機関)によるオンサイト審査と報告書作成
- SAQ(Self-Assessment Questionnaire):レベル2〜4事業者が自己評価で用いる様式(タイプによってA〜D等があり、該当するシステム構成によって使用する様式が異なります)
- ASVスキャン(Approved Scanning Vendor scan):PCI SSCに認定されたスキャニングベンダーによる外部脆弱性スキャン(四半期ごとに実施)
評価プロセスで指摘が出た場合は追加改修が必要になります。初回評価での完全合格が理想ですが、改修計画に指摘対応の工程バッファを設けておくことが現実的です。
費用相場:規模と現状成熟度で変わるレンジ感
PCI DSS準拠改修の委託費用は、システム規模・現状のセキュリティ成熟度・非保持化の採否・評価方法によって大きく異なります。以下の数値はあくまで市場参考値であり一次資料ではありません。実際の費用は委託先への個別見積もりでご確認ください。
| フェーズ | 主な作業内容 | 費用レンジ(市場参考値) | 留意点 |
|---|---|---|---|
| ギャップ分析 | スコープ特定・現状評価・改修要件整理・非保持化可否の判断 | 数十万円〜数百万円程度 | システム規模・ドキュメント整備状況によって変動。 この段階の精度が後工程全体の費用を左右します。 |
| 改修実施 | ネットワーク分離・暗号化実装・アクセス制御・ログ監視・ポリシー整備 | 数百万円〜数千万円程度 | 既存システムの改修範囲が広いほど費用が増加。 テスト・ペネトレーションテストの費用を別途含めることが一般的です。 |
| 評価取得(SAQ) | ASVスキャン・SAQ対応支援・評価資料作成 | 数十万円〜数百万円程度 | SAQの種類(A/B/D等)によって対応範囲が異なります。 |
| 評価取得(ROC) | QSAによるオンサイト審査・ROC作成支援・改善対応 | 数百万円〜数千万円程度 | QSA費用は別途発生します。 レベル1事業者に原則適用されます。 |
| 準拠維持(年次) | 四半期ASVスキャン・年次評価更新・パッチ適用・監視継続 | 年間数十万円〜数百万円程度 | 監視運用をマネージドサービスで委託する場合は月額費用が加算されます。 |
費用を左右する主要な要因は「現状のCDEスコープの広さ」と「既存システムのセキュリティ成熟度」です。セキュリティ対策がほとんど手付かずの状態から始める場合と、すでにISMSを取得・運用中で一定の対策が済んでいる場合とでは、同じシステム規模でも改修費用に大きな差が生まれます。
費用を抑えるための考え方
非保持化でCDEを最小化することが費用削減に直結します。EC決済にリダイレクト型を採用するだけで、スコープが大幅に縮小し改修費用が下がるケースがあります。また、ギャップ分析の段階で改修項目の優先度を明確にし、必須要件への対応から順に進めることで、限られた予算内での準拠達成をめざすことができます。
一方、内製対応を無理に進めて審査で指摘が出た場合は、追加の改修費用と評価の遅延が発生します。PCI DSSは要件の技術的詳細度が高いため、専門知識を持つベンダーへの委託がトータルコストを抑えることにつながるケースが少なくありません。
委託先の選び方:QSA連携・技術実績・準拠維持サポートで見極める
PCI DSS準拠改修を委託する先を選ぶ際は、一般的なシステム開発会社への依頼とは異なる確認軸が必要です。PCI DSSは技術要件と審査プロセスの両方に専門性が求められる領域です。以下の観点で委託先を評価することをお勧めします。
PCI DSS固有の技術実績
暗号化実装・ネットワーク分離・ログ管理・脆弱性管理など、PCI DSS特有の要件への対応実績を確認します。単に「セキュリティ対応経験あり」ではなく、PCI DSS準拠改修を完了させた実績が重要です。対応したシステムの規模・業種・評価取得方法(SAQ/ROC)を確認すると信頼性を判断しやすくなります。
PCI DSSのバージョン移行(v3.2.1からv4.0系への移行)に関与した実績があるかどうかも確認ポイントになります。v4.0では新規要件が追加されており、最新バージョンへの対応知識を持つかどうかは委託先の選定で差が出るポイントです。
QSAとの関係性・評価プロセスのサポート
改修だけでなく、評価取得フェーズまで一貫してサポートできるかどうかを確認します。改修ベンダーがQSAと日常的に連携しているか、あるいはQSAサービスを自社で提供しているかによって、審査プロセスのスムーズさが変わります。
「改修は完了したが審査で不合格になった」というケースは、改修段階でQSAの視点が入っていないことで生じます。改修計画の段階からQSAまたはQSAと連携するベンダーが関与する体制が、審査での指摘を減らすために有効です。
準拠維持・運用サポートの範囲
PCI DSS準拠は一度取得すれば終わりではありません。ASVスキャンの定期実施・年次評価の更新・システム変更時の影響評価を継続して対応できるかどうかを確認します。システム変更のたびにセキュリティ影響評価が必要になるため、改修後も継続的に関与できるベンダーを選ぶことが準拠維持コストの安定化につながります。
費用見積もりの透明性
PCI DSS対応は途中で追加作業が発生しやすい領域です。ギャップ分析の結果を踏まえた明細付きの見積もりを提示できるかどうかを確認します。「一式いくら」という見積もりでは、追加費用が発生したときに根拠が不透明になります。フェーズ別・作業内容別の費用内訳を示せるベンダーを選ぶことが後々のトラブルを防ぎます。
委託形態と契約の確認ポイント
準拠改修を委託する際の契約形態は、工期・費用・責任範囲の観点から慎重に確認する必要があります。内製と委託の組み合わせを検討する場合は、どの部分を委託先が担うかを明確にしておかないと、後で責任の所在が曖昧になりやすいです。また、カード会員データを扱うシステムの開発・テスト工程では、委託先がアクセスするデータの範囲と取り扱いについて契約上の取り決めが必要です。
まとめ:PCI DSS対応を成功させる3つの判断軸
PCI DSS準拠への道筋は、非保持化でスコープを最小化するか・スコープ内を準拠改修するか・その組み合わせかによって、費用・工期・リスクが大きく変わります。本稿で整理した内容を3点に集約します。
第一に、方向性の選択が費用を決める中心的な分岐点です。非保持化でCDEを最小化できるかどうかを、改修着手前にギャップ分析で評価することが出発点になります。第二に、費用はギャップ分析・改修・評価の3フェーズに分かれており、現状の成熟度と改修範囲の広さで大きく変動します(市場参考値は前掲の表を参照)。第三に、委託先にはPCI DSS技術実績とQSAとの連携実績の両方を確認し、準拠維持まで見据えた長期的なサポート体制があるかを判断軸にすることが大切です。
PCI DSS対応は一度対応すれば終わりではなく、システム変更のたびに影響評価が必要な継続的な取り組みです。早期に専門知識を持つパートナーを選定し、ギャップ分析の段階から関与させることが、結果的に費用・スケジュール双方のリスクを抑える最も有効な手段です。
よくある質問
PCI DSSの準拠が必要な事業者はどのような企業ですか?
カード会員データ(クレジットカード番号等)を自社システムで保存・処理・伝送するすべての事業者が対象です。ECサイト・実店舗の決済端末オーナー・決済処理を受託するシステム会社などが主な対象となります。ただし、非保持化(トークン化・リダイレクト型決済)を完全に実施してカード番号を自社システムで扱わない構成にすることで、準拠スコープを大幅に縮小または免除できる場合があります。詳細な対象範囲はPCI SSCの公式資料でご確認ください。
PCI DSS準拠の改修にかかる期間の目安はどのくらいですか?
ギャップ分析から準拠評価完了まで、規模や現状のセキュリティ成熟度によって異なります。中規模のWebシステムで半年から1年以上を要するケースが多く見られます。ギャップ分析に1〜2か月、改修計画・設計に1〜2か月、実装・テストに3〜6か月程度が目安です。改修範囲が広い場合や、評価が複数ラウンドにまたがる場合はさらに時間がかかります。早期着手が費用・スケジュール双方のリスクを下げる最も有効な手段です。
QSA(認定セキュリティ評価機関)は委託先に含める必要がありますか?
取引量が多い事業者(レベル1)は、QSA(Qualified Security Assessor)によるオンサイト審査(ROC)が原則必要です。レベル2〜4の事業者は自己評価(SAQ)を用いる場合がありますが、カードブランドやアクワイアラの要求によって異なります。改修ベンダーとQSAは同一でも別々でも構いませんが、改修ベンダーがQSAと連携実績を持っているか、または自社でQSAサービスを提供しているかを確認すると審査プロセスがスムーズになります。
準拠後も毎年費用がかかりますか?
はい、PCI DSSは一度取得して終わりではなく、年次での評価維持が求められます。ASVスキャン(外部脆弱性スキャン)は四半期ごと、SAQまたはROCは年次で更新が必要です。これに加え、システムへの変更が生じた際は都度セキュリティレビューが求められます。年間の維持コストとして、スキャン費用・内部評価工数・運用監視費用を見込んでおくことが大切です。
非保持化と準拠改修、どちらを選ぶべきですか?
どちらが最適かは、事業モデルや既存システムの構成によって異なります。決済のカスタマイズ性が不要でEC決済が中心の場合は、リダイレクト型決済代行やトークン化サービスへの切り替えによる非保持化が費用・期間の両面でメリットが出やすいです。自社専用の決済処理や加盟店管理が必要な場合は、準拠改修を選択せざるを得ないケースがあります。まずギャップ分析とともに非保持化の実現可能性を評価することをお勧めします。
著者:テレリモ総研編集部 鈴木 亮佑
ご不明な点はお問い合わせフォームからもご連絡いただけます。
- 出典:PCI SSC(PCI Security Standards Council)「PCI DSS v4.0.1」(2024年公表)
