※本記事は2026年1月実施のセミナー記事のダイジェストです。

2025年11月タイのバンコクで開催されたPCI SSCアジアパシフィック コミュニティミーティングにおけるPCI SSCの発表を基に、PCI DSS（Payment Card Industry Data Security Standard）が今まさに迎えようとしている大きな転換点と、企業がこれから意識すべき「備え」のポイントについて詳しく解説します。

今回のテーマは、PCI DSS v4.0.1の細かい要件解説ではありません。
PCI DSSという「考え方そのもの」がどう変わろうとしているのか、そしてその変化を受けて業界は何を考えておくべきか、という本質的な視点でお話しします。

1. PCI DSSを取り巻く環境の劇的な変化

まず前提として、PCI DSSを取り巻く環境はかつてないスピードで変化しています。

2006年の策定以降、決済環境は長らく対面決済中心で、システムはオンプレミス、物理的な場所も限定されていました。そのため、リスクの所在も「どこにカード会員データがあり、誰が触れるのか」が比較的明確な世界でした。

しかし現在は、クラウドや仮想化によってシステムの境界は曖昧になり、AIや自動化によって処理の主体も人からシステムへと移っています。攻撃手法も高度化し、スピードも規模も桁違いです。

このような変化の中では、「場所を固定して守る」「人の目で運用をチェックする」といった従来の前提はすでに崩れています。

PCI DSSは今、単なる運用ルールから、環境全体をどう設計し、リスクを誰が引き受けるかという「設計思想」そのものへと進化しています。

2. 「PAN（カード番号）があるかどうか」が基準ではなくなる

環境の変化において象徴的なのが、トークン化の急速な普及です。
今やトークン化は単なるPANの保管手段ではなく、クラウド連携やサブスクリプション、バックエンドの完全委託モデルなど、決済フローの中核に組み込まれています。

その結果、環境によっては「PANそのものが存在しない、あるいは一瞬しか現れない」というケースも珍しくありません。

ここでよくある誤解が、「PANが無いから、PCI DSSは関係ないのではないか」というものです。

しかし、PANが見えなくなったからといって、リスクがなくなったわけではありません。
トークンそのものや、それを管理する仕組み、認証情報は、依然として価値のある攻撃対象です。

これからのセキュリティにおいて問われるのは、「PANがあるかどうか」ではなく、その決済環境が不正や事業の存続に耐えられる「設計」になっているか、という点です。

3. PCI SSCの問題意識と「プロダクト中心」への転換

現在、PCIの標準は15個も存在し、非常に複雑化しています。
アクセス管理やログ管理といった本質的に同じ要件が複数の標準に重複して登場するため、現場では「何度も同じことに対応している」という感覚になりがちです。

こうした課題を踏まえ、PCI SSCは「単体の標準」という考え方から、関連標準を横断的に整理した「プロダクトファミリー」という考え方へシフトしようとしています。

企業ごとの決済構成やリスクに応じて、どの標準をどう組み合わせるかを整理する、より実態に即したセキュリティ管理への転換です。

4. 将来像「Target State」と新しいプロダクトファミリー

PCI SSCが示した将来像である「Target State」では、15の標準が7つのプロダクトファミリーに再編されます。
その中心となるのが、PCI DSS、3DS Core、Token Service Providerの3つを統合した「Data & Environment（D&E）」という新しい枠組みです。

ここで注目すべきは、名称に「Environment（環境）」が含まれていることです。
これは、PANが存在しなくても保護の対象とすべき環境という、拡張された概念を意味しています。

また、これまでPCI DSSとは別物だった3DS Coreがこの枠組みに統合されることも、非常に大きな変化といえます。

PCI DSSは、単体ではなく、3つの標準が1つに統合されたプロダクトファミリーになります。
今のPCI DSSでは、PANの難読化は暗号化を前提としているといっても過言ではありません。

しかし、PANの代わりとしてトークンの使用が急激に増えているので、暗号化ソリューションを実装しない企業も増えています。今後、トークンはPANの暗号化と同等の地位を得ることになるでしょう。

3DS Coreも新しいプロダクトファミリーの一員になります。トークンとは違って、3DS Coreは全く別の標準であるため、DSSとは縁がありませんでした。
これが、新しいTarget Stateでは、「Data & Environment」の一部に統合されます。これも非常に大きな変化です。

5. PCI DSSの進化のゴール

では、PCI DSSが目指している進化のゴールは何でしょうか。
私は以下のように理解しています。

5-1. PANに依存しない基盤セキュリティです。
これまでPCI DSSは、PANを中心にスコープや統制を定義してきました。
しかし現在では、トークン化やサービスプロバイダーへの外部委託などによって、PANを直接扱わない環境が当たり前になっています。

そのためPCI DSSは、PANがあるかどうかだけで判断するのではなく、決済データと決済環境全体をどう守っているかを見る枠組みへ移行しようとしています。

5-2. リスクに応じたセキュリティ適用の柔軟性について
すべての環境に同じレベルのセキュリティを求めることは、現実的でも合理的でもありません。
これからは、環境ごとのリスクに応じて、どこにどのレベルの統制が必要かを説明できることが重視されます。

新しい「Data & Environment」のプロダクトファミリーでは、環境の複雑性に応じて要件への対応をリスクベースで調整することが可能になります。

複数のサービスプロバイダーが関わる複雑な決済環境と、限定的な機能だけを持つシンプルな環境を、同じ前提で評価することには限界があります。
PCI DSSは、環境構成や役割分担を前提に評価する方向へ進化しようとしています。

5-3. 自律的な統制設計と評価能力の向上
これは、今後審査を受ける企業と審査を行うQSA両方にとって、チャレンジにもなります。
要件で決められたレベルが達成できているかを見るだけにとどまらず、企業には自分の環境のリスクをベースに、独自に統制のメリハリを設計する能力が要求されますし、QSAにはその統制が適切であるかを判断する技量が求められます。

今後、皆様が準拠維持・GAP分析・審査を依頼する QSA を選定するときに、この新しい仕組みをちゃんと理解している QSA を見極めることが非常に重要になると思います。

5-4. PCI SSC認定ソリューションを利用する時のスコープ明確化
認定ソリューションを使った場合、どこまでが自社の責任で、どこからがサードパーティーの責任なのか。そのスコープと責任分界点をより明確にすることが、ゴールとして示されています。

6. 今、そしてこれから備えるべきポイント

PCI DSSは一度対応したら終わりの標準ではなく、継続的に進化し続けるものです。 今後の備えとして、以下のポイントを意識することが重要です。

• 「改定対応」から「変化前提の運用」へ
要件が変わってから動くのではなく、背景にある「なぜこの要件が必要なのか」というリスクの意図を読み取り、先回りして運用を設計する必要があります。

• 「チェックリスト」から「説明可能性」へ
単に要件を満たしている（In Place）かどうかだけでなく、「この環境で、なぜその管理が有効なのか」を自ら説明できる能力が求められます。

• 「スコープ縮小＝責任減」ではない
トークン化などでスコープが小さくなっても、委託先管理や全体設計の妥当性についての説明責任は残ります。

• 中長期的な設計：
認定ソリューションや外部委託を含めた全体構成を前提に、将来に対応できる選択肢を持つ準備が必要です。

7. 終わりに

PCI DSSは、守らされるための「ルール」ではなく、決済を安全に成立させるための「枠組み」へと変わってきています。
この変化はリスクではなく、自社のセキュリティをより本質的なものへと進化させる機会です。
標準の意図を理解し、主体的に向き合うことで、セキュリティはコストではなく、事業の信頼性や競争力を支える基盤となります。

弊社では、PCI DSSだけでなく、3DS Coreやトークンに関しても専門的な知見を持って皆様の対応をサポートしております。 今後の対応についてお悩みやご相談がありましたら、ぜひお気軽にお問い合わせください。

▼関連サービスはこちら
>>>PCI DSS準拠支援
>>>PCI DSS審査