加盟店のWebセキュリティをどう捉えるべきか

はじめに

加盟店のWebセキュリティを考えるとき、いまはもう

• 「カード情報を保持しなければ責任は軽い」
• 「決済代行へリダイレクトするなら加盟店Webはほぼ対象外」

という整理だけでは、現行の資料体系を十分に説明できません。

2025年3月公表のガイドライン6.0版で、EC加盟店向けに「脆弱性対策」「EMV 3-Dセキュア」「適切な不正ログイン対策」が明示的に追加され、2026年3月公表の6.1版ではその指針対策が維持されました。つまり、2026年4月時点の一般論としては、加盟店に求められる中心線は「非保持化 又は PCI DSS準拠」だけではなく、自社のWebサイトやシステムを継続的に守り、不正利用を取引全体で抑止することまで含みます。¹²

本稿は、個別案件の法的助言ではなく、以下を一次資料ベースで整理するものです。

• 割賦販売法、監督の基本方針、ガイドライン、PCI DSSの関係
• 「非保持化 又は PCI DSS準拠」の読み方
• EC加盟店のWebサイトが負う責任の範囲
• PCI DSSのスコープの考え方と、日本の実務との接続

1. 法・ガイドライン・PCI DSSの関係

全体像は、次の順で捉えると分かりやすくなります。

層	位置付け	実務上の意味
割賦販売法	法令上の義務	加盟店等に、カード番号等の適切な管理や不正利用防止に必要な措置を求める。3
監督の基本方針	監督・運用の基準	何をもって「必要かつ適切な措置」とみるかの運用軸になる。2
クレジットカード・セキュリティガイドライン	実務上の指針	加盟店、カード会社、PSP等が講ずべき対策を整理する。14
PCI DSS	具体的な技術・運用基準	カード情報や決済ページの安全性に関係する実装・運用の基準になる。5

6.1版の改訂資料は、ガイドラインに掲げる措置またはそれと同等以上の措置を適切に講じている場合には、割賦販売法上の「必要かつ適切な措置」が講じられているとみなされる、と整理しています。一方で同じ資料は、指針対策が実務指針となっている措置のみならず、実施するべき措置が義務付けられているとも記載しています。したがって、ガイドラインは実務上の参照軸ですが、それだけで法令上の義務の全体を尽くすものではありません。²

2. 「加盟店」は物販だけを指さない

定義を先に置きます。

ガイドラインは、カード情報保護対策の対象となる2号事業者について、加盟店を次のように整理しています。

「２号事業者 割賦販売法第35条の16第1項第2号に規定されるクレジットカード等購入あっせん関係販売業者又はクレジットカード等購入あっせん関係役務提供事業者であり、具体的には加盟店を指す。」⁶

さらに、非対面取引とEC加盟店について、次のように定義しています。

「非対面取引 インターネット、電話等によりカード情報が通知される取引」

「EC加盟店：インターネットによりカード情報が通知される取引を行う加盟店」⁶

この定義では、対象は「物品のネット通販」に限られません。販売業者だけでなく役務提供事業者が含まれており、EC加盟店の定義も「インターネットによりカード情報が通知される取引を行う加盟店」となっています。そのため、加盟店のWebセキュリティは、物販サイトだけでなく、予約、チケット、会費、利用料のようなサービス提供型の非対面取引も対象に含む整理です。保険料納付のような非対面の継続課金・料金支払についても、少なくとも「物販のみを対象とする」整理にはなりません。⁶³

ガイドライン本文自体も、相対的にリスクの高い商材の例として次を挙げています。

「相対的にリスクの高い商材」は、①デジタルコンテンツ（オンラインゲームを含む）、②家電、③電子マネー、④チケット、⑤宿泊予約サービス⁶

この列挙からも、協議会資料が物販以外の取引類型を含めて整理していることが読み取れます。

3. EC加盟店に求められるもの

協議会資料を実務レベルで読むと、EC加盟店に求められるものは大きく次の2群に整理できます。⁷⁴

整理軸	主な内容
カード情報保護対策	非保持化 又は PCI DSS準拠、EC加盟店のシステム及びWebサイトの脆弱性対策
不正利用対策	オーソリゼーション処理の体制整備、善管注意義務の履行、EMV 3-Dセキュア、適切な不正ログイン対策、不正顕在化時の追加対策

加盟店の責任は、カード情報を保存するかどうかだけで完結しません。6.1版は、不正利用対策の章で「カード決済前」「カード決済時」「カード決済後」を通じて対策を講じる考え方を示しています。会員登録、ログイン、属性変更、決済、配送まで含めた一連の流れが対象になります。⁴⁸

4. 「非保持化 又は PCI DSS準拠」の読み違い

加盟店実務で誤読が生じやすいのが、この文言です。

日本のガイドライン6.1版は、EC加盟店について

• カード情報を保持しない非保持化
• カード情報を保持する場合のPCI DSS準拠
• さらにWebサイトとシステムの脆弱性対策

を並べて示しています。⁴

ガイドライン本文は、この点を次のように記載しています。

「現在の主な情報漏えいは、非保持化を実現したEC加盟店においてWebサイトの脆弱性等を原因としてカード情報が窃取されているものである。このため、EC加盟店には、カード情報の保持又は非保持にかかわらず、EC加盟店の自社システム及びWebサイトのウイルス対策、管理者の権限の管理、デバイス管理等の脆弱性対策…に基づく定期的な点検を行い、この点検結果に基づき、追加的な対策を導入するなどの適切な対策を講じることが求められる。」⁹

この記載に沿うと、非保持化済みであることと、Webサイトやシステムの脆弱性対策が不要であることは結び付いていません。ガイドラインは、非保持化済み加盟店での漏えい事例を前提に、脆弱性対策をカード情報保護対策の一部として位置付けています。附属文書20でも、非保持化の実現に加えて、自社のシステムやWebサイトの脆弱性対策を継続することを求めています。⁴⁷

したがって、2026年4月時点の一般論としては、

• 非保持化: カード情報の直接取扱いリスクを減らすための重要対策
• しかし: それだけで加盟店Webの責任が消えるわけではない

という整理になります。

5. 2025年3月の6.0版で追加され、2026年3月の6.1版で維持されたもの

2025年3月公表の6.0版で、EC加盟店向けに追加されたポイントは次の3つでした。¹²

• カード情報保護対策としての「EC加盟店のシステム及びWebサイトの脆弱性対策」
• 不正利用対策としての「適切な不正ログイン対策」
• 不正利用対策としての「EMV 3-Dセキュア」

そして2026年3月公表の6.1版改訂資料では、6.0版から指針対策の追加・変更はないと明記されています。6.1版は、新しい対策を追加するのではなく、既に追加した対策の理解と着実な実施を進める整理です。²

6.0版で追加された項目は、6.1版でも維持されています。そのため、これらは一時的な注意喚起ではなく、現行の基準線として読む必要があります。

6. Webセキュリティは「明示的な対策項目」になった

附属文書20と別紙aでは、EC加盟店のWebセキュリティ対策が具体的な対策項目まで整理されています。⁷¹⁰

代表例を4層に整理すると、次のようになります。

層	例
基盤防御	管理画面のアクセス制限、推測困難なURL、2段階認証・多要素認証、ログイン失敗回数制限
設定・アプリ防御	公開ディレクトリへの重要ファイル配置禁止、アップロード拡張子制限、SQLインジェクション対策、クロスサイト・スクリプティング対策
開発・保守防御	脆弱性診断、ペネトレーションテスト、プラグイン更新、ソフトウェア更新、ソースコードレビュー
不正利用抑止	不審IPの遮断、スロットリング、CAPTCHA、クレジットマスター対策、有効性確認対策

これは参考例の列挙にとどまりません。ガイドライン本文が「附属文書20の第2部『1.脆弱性対策』に記載の対策を実施する」とし、別紙aが具体策と申告書上の対応関係まで整理しているためです。⁴¹⁰

EC加盟店に求められているのは「ECサイトを作ること」ではなく、攻撃を前提に保守し続けることです。

7. 不正利用対策は「線」で捉える

補足資料は、加盟店の不正利用対策を

• カード決済前
• カード決済時
• カード決済後

の流れで捉えるべきだと説明しています。⁸⁴

補足資料の表現をそのまま引くと、次のとおりです。

「EC加盟店における不正利用は、Webサイトにおける購入・決済の前から行われており、不正利用を防止するには、Webサイトの利用を開始する『カード決済前』、商品を購入する『カード決済時』、商品の受け渡しが行われる『カード決済後』の場面まで、取引の流れを考慮した場面ごとに対策を行い、不正利用対策の実効性を高めることが重要であり、これが『線の考え方』に基づく対策の導入である。」¹¹

この整理では、加盟店の責任範囲は決済処理の瞬間だけではなく、アカウント作成やログインから、配送停止・保留のような事後対応まで、一連の取引フロー全体に及びます。

実務に落とすと、典型的には次のようになります。

場面	例
カード決済前	会員登録、会員ログイン、属性情報変更、不審IP遮断、MFA、ログイン試行制限、メール/SMS通知、デバイスフィンガープリント
カード決済時	EMV 3-Dセキュア、券面認証、属性・行動分析、PSP等の追加認証
カード決済後	配送停止・配送保留、配送先確認、アカウント停止、モニタリング連携

これは、加盟店のWebセキュリティを「カード入力画面だけ守ればよい」という発想から切り離します。ログインや属性変更が破られれば、その先の決済時点でカード会員になりすました取引が成立し得るからです。補足資料も、攻撃の起点として「会員登録」「会員ログイン」「属性情報変更」を明示しています。⁸

8. 外部委託しても責任は残る

補足資料は、委託時の留意点として次のように記載しています。

「ECサイトを構築し、運用・保守業務を外部に委託する場合は、委託先がEC加盟店が実施すべき『カード情報保護対策』『不正利用対策』を理解のもと構築・運用を行うことを求め、EC加盟店の責任において適切なセキュリティ対策を講じる必要がある。」¹²

この記載に沿うと、ECサイトの構築、運用、保守を外部委託する場合でも、加盟店は委託先に対し、自社が実施すべき「脆弱性対策」「不正利用対策」を理解した上で構築・運用することを求めなければなりません。委託先への委任は、加盟店責任が消える根拠にはなりません。⁷⁸

同じ資料は、オープンソースソフトウェアを利用している場合、セキュリティパッチやバージョンアップへの対応は加盟店側の責任で行う必要があるとも整理しています。⁷⁸

したがって、実務上の整理は次の方が正確です。

• 委託は責任移転ではなく、実施手段の委譲
• PSPやECベンダの利用は有効な手段だが、加盟店側の統制責任は残る
• 契約、責任分界、パッチ適用、漏えい時対応、定期確認まで見ないと不十分

9. 漏えい時の実務インパクト

EC加盟店にとってのWebセキュリティは、単なるIT改善テーマではなく事業継続テーマです。補足資料は、情報漏えい時の影響として次を挙げています。⁸

• カード取引の即時停止
• フォレンジック調査
• 再発防止策の整備
• 再開許可まで概ね3か月から12か月
• 逸失利益
• 調査費用
• コールセンターや通知対応費用
• 不正利用被害補償額
• 被害カードの差替え費用
• 個人情報保護委員会対応
• 信用失墜

ガイドライン本文でも、漏えい時にはカード会社やPSPへの連絡、カード決済の一時停止、フォレンジック調査、再発防止措置、再開前の協議と判断が必要になると記載されています。⁴

このため、加盟店Webの保護は、事業停止リスクや費用負担を左右する前提整備として扱う必要があります。

10. PCI DSSのスコープをどう読むか

PCI SSCの公式FAQも、日本のガイドラインと整合する内容です。

まず、PCI DSS自体は、cardholder data を保存・処理・送信する環境だけでなく、カード会員データ環境の安全性に影響し得る主体を対象にしています。PCI SSCのPCI DSS overviewも、対象読者を「CHD/SADを保存・処理・送信する、またはCDEの安全性に影響し得る主体」と説明しています。⁵

その上で、eコマースについて参照すべきFAQは次のとおりです。

• FAQ 1092: 決済処理を第三者へ全面委託し、加盟店がカード情報を保存・処理・送信しなくても、PCI DSS上の責任が消えるわけではない。加盟店は、委託先のPCI DSS準拠確認、書面契約、年次確認、責任分界の理解が必要。¹³
• FAQ 1332: SAQ A の要件を満たす場合でも、加盟店のWebサーバは、リダイレクト機構や設定確認のためスコープに残る。¹⁴
• FAQ 1291: Direct Postのように加盟店Webサイトが支払データ受付ページの一部または全部を生成する実装は、iFrameやURL redirectより重い扱いになり、SAQ A-EP側で考える。¹⁵
• FAQ 1438 / 1293: iFrame型でも、カードデータ収集や処理に関わる要素の一部でも加盟店側サイトが配信していれば、SAQ A には乗らない。¹⁶¹⁷
• FAQ 1588: 2025年2月のFAQ追加では、TPSPの埋め込み型決済フォームを使うeコマース加盟店でも、自社ページがスクリプト攻撃に対して脆弱でないことの確認が SAQ A の適格条件として明示された。¹⁸

ここから導ける実務的な読み方は、次のとおりです。

見るべきスコープ	何を見るか
カード情報の直接取扱いスコープ	保存、処理、通過の有無
決済ページ・決済導線のスコープ	誰が payment page の要素を配信するか、リダイレクトやiframeの保護、スクリプト攻撃耐性
委託・運用のスコープ	PSPやベンダの準拠状況、責任分界、年次確認、変更管理

日本のガイドラインが「非保持化でも脆弱性対策は必要」と言い、PCI SSCが「アウトソースしても加盟店Webや決済導線の責任は残る」と言っているので、両者は矛盾していません。むしろ同じ方向を見ています。

したがって、非保持化 = 加盟店責任の消滅ではなく、

• 非保持化 = カード情報の直接取扱いリスクを下げる
• それとは別に = 加盟店Web資産、決済導線、委託管理の責任は残る

と理解するのが安全です。

11. まとめ

2026年4月時点の一般論として整理すると、加盟店が最低限持つべき認識は次の5点です。

1. 非保持化は重要だが、それで終わりではない。⁴⁷
2. ECサイト・Webサイトの脆弱性対策は、いまは明示的な対策項目である。¹¹⁰
3. 不正利用対策は、決済前・決済時・決済後を「線」で捉える必要がある。⁸⁴
4. 外部委託しても加盟店責任は残る。⁷⁸¹³
5. リダイレクトや埋め込み型決済を使っても、加盟店Webや決済導線の責任はゼロにならない。^14151618

一文で言い切るなら、いまの加盟店に求められているのは、

カード情報を持たないことを目指すだけでなく、決済安全性に影響する自社Web資産全体を継続的に守ること

です。

参考資料（出典）

Footnotes

1. 経済産業省, 「クレジットカード・セキュリティガイドライン」が改訂されました（2025年3月5日）。ガイドラインの位置付けと、6.0版で追加されたEC加盟店向け対策の整理。 https://www.meti.go.jp/press/2024/03/20250305002/20250305002.html ↩ ↩² ↩³ ↩⁴

2. クレジット取引セキュリティ対策協議会, 『クレジットカード・セキュリティガイドラインの改訂について【2026年3月】』（2026年3月）, pp. 2, 9, 12. https://www.j-credit.or.jp/security/pdf/Creditcardsecurityguidelines_6.1_revisionpoint.pdf ↩ ↩² ↩³ ↩⁴ ↩⁵

3. 経済産業省, 『割賦販売法（後払信用）の概要』。法第35条の16に関する説明として、クレジットカード番号等の適切な管理のために必要な措置を求める整理を掲載。 https://www.meti.go.jp/policy/economy/consumer/credit/2301atobaraigaiyousiryou.pdf ↩ ↩²

4. クレジット取引セキュリティ対策協議会, 『クレジットカード・セキュリティガイドライン［6.1版］』（2026年3月）, pp. 20, 32-39, 60-63. https://www.j-credit.or.jp/security/pdf/Creditcardsecurityguidelines_6.1_published.pdf ↩ ↩² ↩³ ↩⁴ ↩⁵ ↩⁶ ↩⁷ ↩⁸ ↩⁹ ↩¹⁰

5. PCI Security Standards Council, PCI Data Security Standard (PCI DSS). 「Intended Audience」として、CHD/SADを保存・処理・送信する主体に加えて、CDEの安全性に影響し得る主体も対象と説明。 https://www.pcisecuritystandards.org/standards/pci-dss/ ↩ ↩²

6. クレジット取引セキュリティ対策協議会, 『クレジットカード・セキュリティガイドライン［6.1版］』（2026年3月）, pp. 16, 20-21, 37. 2号事業者の定義、EC加盟店の定義、相対的にリスクの高い商材の例を参照。 https://www.j-credit.or.jp/security/pdf/Creditcardsecurityguidelines_6.1_published.pdf ↩ ↩² ↩³ ↩⁴

7. クレジット取引セキュリティ対策協議会, 『EC加盟店におけるセキュリティ対策 導入ガイド【附属文書20】』2.1版, pp. 4-15. 非保持化、脆弱性対策、不正利用対策、外部委託時の留意点を整理。 https://www.j-credit.or.jp/security/pdf/security_measures_for_EC_member_stores_installation_guide.pdf ↩ ↩² ↩³ ↩⁴ ↩⁵ ↩⁶ ↩⁷

8. クレジット取引セキュリティ対策協議会, 『【附属文書20 別紙b】EC加盟店におけるセキュリティ対策 導入ガイド 補足資料』1.1版, pp. 4-36. 「線の考え方」、不正ログイン対策、決済時・決済後対策、委託、漏えい影響、改訂履歴を整理。 https://www.j-credit.or.jp/security/pdf/supporting_document_b.pdf ↩ ↩² ↩³ ↩⁴ ↩⁵ ↩⁶ ↩⁷ ↩⁸

9. クレジット取引セキュリティ対策協議会, 『クレジットカード・セキュリティガイドライン［6.1版］』（2026年3月）, p. 9. 「カード情報の保持又は非保持にかかわらず」として、EC加盟店の脆弱性対策が必要と整理。 https://www.j-credit.or.jp/security/pdf/Creditcardsecurityguidelines_6.1_published.pdf ↩

10. クレジット取引セキュリティ対策協議会, 『【附属文書20 別紙a】EC加盟店におけるセキュリティ対策一覧』1.1版, pp. 3-5. 脆弱性対策、不正ログイン対策、決済時・決済後対策の具体項目を一覧化。 https://www.j-credit.or.jp/security/pdf/supporting_document_a.pdf ↩ ↩² ↩³

11. クレジット取引セキュリティ対策協議会, 『【附属文書20 別紙b】EC加盟店におけるセキュリティ対策 導入ガイド 補足資料』1.1版, pp. 24-25. 不正利用対策を「カード決済前」「カード決済時」「カード決済後」の「線の考え方」で整理。 https://www.j-credit.or.jp/security/pdf/supporting_document_b.pdf ↩

12. クレジット取引セキュリティ対策協議会, 『【附属文書20 別紙b】EC加盟店におけるセキュリティ対策 導入ガイド 補足資料』1.1版, pp. 7-8, 33. 外部委託時も「EC加盟店の責任において」適切な対策を講じる必要があると整理。 https://www.j-credit.or.jp/security/pdf/supporting_document_b.pdf ↩

13. PCI Security Standards Council, FAQ 1092, Does PCI DSS apply to merchants who outsource all payment processing operations and never store, process or transmit cardholder data?（2025年6月）。アウトソースしても加盟店責任は残ることを説明。 https://www.pcisecuritystandards.org/faqs/does-pci-dss-apply-to-merchants-who-outsource-all-payment-processing-operations-and-never-store-process-or-transmit-cardholder-data/ ↩ ↩²

14. PCI Security Standards Council, FAQ 1332, Is a merchant website still in scope for PCI DSS if it meets all the criteria for SAQ A?（2015年7月）。SAQ A要件を満たしても加盟店Webサーバがスコープに残ることを説明。 https://www.pcisecuritystandards.org/faqs/is-a-merchant-website-still-in-scope-for-pci-dss-if-it-meets-all-the-criteria-for-saq-a/ ↩ ↩²

15. PCI Security Standards Council, FAQ 1291, Why is SAQ A-EP used for Direct Post while SAQ A is used for iFrame or URL redirect?（2015年8月）。payment pageを誰が生成するかでSAQ AとA-EPの考え方が分かれることを説明。 https://www.pcisecuritystandards.org/faq/articles/Frequently_Asked_Question/why-is-saq-a-ep-used-for-direct-post-while-saq-a-is-used-for-iframe-or-url-redirect/ ↩ ↩²

16. PCI Security Standards Council, FAQ 1438, How is the payment page determined for SAQ A merchants using iframe?（2016年9月）。iframe型でも、カードデータ収集・処理に関わる要素が加盟店サイト側にあればSAQ A不適格となることを説明。 https://www.pcisecuritystandards.org/faq/articles/Frequently_Asked_Question/how-is-the-payment-page-determined-for-saq-a-merchants-using-iframe/ ↩ ↩²

17. PCI Security Standards Council, FAQ 1293, If a merchant's e-commerce implementation meets the criteria that all elements of payment pages originate from a PCI DSS compliant service provider, is the merchant eligible to complete SAQ A or SAQ A-EP?（2014年6月）。payment pageのどの要素が誰から配信されるかでSAQ適格性が変わることを説明。 https://www.pcisecuritystandards.org/faq/articles/Frequently_Asked_Question/if-a-merchant-s-e-commerce-implementation-meets-the-criteria-that-all-elements-of-payment-pages-originate-from-a-pci-dss-compliant-service-provider-is-the-merchant-eligible-to-complete-saq-a-or-saq-a-ep/ ↩

18. PCI Security Standards Council, FAQ 1588, How does an e-commerce merchant meet the SAQ A eligibility criteria for scripts?（2025年2月）。TPSP埋め込み型決済フォームを使う加盟店ページについて、スクリプト攻撃に対する耐性確認をSAQ A適格条件として説明。 https://www.pcisecuritystandards.org/faqs/1588/ ↩ ↩²