サービスプロバイダーのみの英語版リストですが、マスターカードとVISAが次のURLで公表しています。

• https://www.mastercard.us/en-us/merchants/safety-security/security-recommendations/merchants-need-to-know.html
• http://www.visa.com/splisting/searchGrsp.do

しかし加盟店を含めて公表されているリストは、現在のところありません。準拠済の加盟店を公表すると、準拠済でないところがハッカーに狙われる危険があるいっぽう、準拠済のセキュリティを破ろうと、アノニマスが“挑戦”することも考えられるため、公表は得策でないという意見があります。(2016.8.5)

PCISSCが定めた、PCI DSS認定マークは、現在のところありません。QSA(審査機関)各社が認定マークを独自に作成していて、認証を受けた企業がホームページなどに表示しているケースは多く見受けられます。

PCI DSSの普及のためには、プライバシーマークのように統一されたマークがあったほうがいいのでは、という意見が多いのですが、準拠済企業リストが公表されていない（J-101）と同じ理由で、PCISSCとしては発行に消極的です。

ただし2015年秋にPCISSCのゼネラルマネージャーが来日した折り、経済産業省が統一マークについて相談したところ、「SSCとしてはお勧めしないが、日本独自に作ることについて反対はしない」というコメントでした。日本側での今後の検討課題と言えましょう。(2016.8.5)

現在のところPCI DSS準拠が、日本の法令によって義務と定められていることは、ありません。ただし経済産業省が関与して、クレジット業界関係団体により構成された「クレジット取引セキュリティ対策協議会」が、2016年2月に決定して公表した“実行計画”では、すべての関係事業者はカード情報非保持かPCI DSS準拠完了を目指すことになりました。

達成できない場合の罰則というものは定められていませんが、クレジットカードを実際に使用する消費者からの評価や要請という社会的な力が、事業者に影響を及ぼすことは考えられます。また、加盟店契約を結んでいるカード会社（アクワイアラー）が、PCI DSS準拠達成の有無によって、契約内容を見直す動きが出るかも知れません。特にPSP（決済代行プロバイダー）について実行計画は、「カード会社は2018年4月を目処に、PCI DSSに準拠完了していないPSPとの取引の見直しについて検討を進める」と明記しており、規制の動きが出てくることも予想されます。(2016.8.5)

社名を出すことは控えますが、何件もあります。加盟店のセキュリティの弱さが原因で、カード情報の大量漏えい事故を発生させてしまった場合、加盟店がPCI DSS準拠を完了できるまで、カード会社（アクワイアラー）はカード決済を再開しないのが一般的です。

カード情報の大量漏えいで、社名まで報道される事件は、年に数えるほどの件数という印象がありますが、実際に経済産業省に報告されているカード情報漏えい事故は、2015年の1年間だけで30件も発生しています。

カード情報非保持かPCI DSS準拠を完了させていない場合の、ビジネス上の損害は決して対岸の火事でなく、今日にも起こり得る問題であると認識する必要があります。(2016.8.5)

PCI DSSの要件3.2で、「決済承認後に、たとえ暗号化されている場合でも、機密認証データを保存しない。」とされています。機密認証データとは、フルトラックデータ、カード検証コードまたは値、PINデータから構成されます。
したがって、通販受付センターの音声録音でも、カード決済後にこうした機密認証データを含めて保存することは禁止されます。 なお、国や地域の法令等が、音声記録の保存を義務づけている場合は、この限りではありません。
※参考/SSCのFAQ1210 (2016.8.26)

ISMS（ISO 27001）も、情報セキュリティに関する国際基準ですが、たとえばパスワードに関する要件を一例として見ると、対話式にすることと、良質なパスワードを確実にしなさい、というのが要件です。具体的に何文字以上にするとか、なりすましのログインをどのように防ぐか、といった要件は書かれていません。
これは、守るべき情報資産の機密度合いや、リスクの大きさを考慮した上で、具体的なルールについては、企業が自主的に定めればよい、というのがISMSの考え方なのです。
しかしクレジットカードという重要な情報の保護については、すべての事業者がセキュリティのレベルを一致させる必要がありますので、日本においてもPCI DSSを基準にすることに決めた次第です。(2016.8.26)

クレジットカード会員情報や取引情報の保護を目的とした、ネットワークなどの処理システムや情報管理に関するセキュリティの国際基準、Payment Card Industry Data Security Standardを略して「PCI DSS」といいます。VISA、JCB、マスターカード、アメリカン・エキスプレス、ディスカバー(※1)などの国際カードブランド5社が、共同で2004年に制定しました。
※1ディスカバー・カードは、おもに米国で5千万人に利用されている大手のクレジットカードですが、日本ではまだあまり知られていません。

PCI DSSは、�@安全なネットワークの構築や�Aカード会員データの保護など、12の要件に基づいて、約400の要求事項から構成されており、その基準書の日本語版も公開されています。
それ以前から、各カードブランドではそれぞれに、クレジット情報の安全を守るためのセキュリティ基準を策定して、加盟店やカード発行企業に遵守を求めてきました。そのセキュリティ・プログラムは、たとえばVISAはAIS(Account Information Security)、JCBはJDSP(JCB Data Security Program)、マスターカードはSDP(Site Data Protection)、アメリカン・エキスプレスはDSOP(Data Security Operating Policy)といった名称です。
そしてクレジットカードがますます普及する時代の流れに応えて、主要なカードブランドが連携し、カードセキュリティの国際基準として、PCI DSSを制定したわけです。また2006年9月には、この基準の維持管理や普及活動を行うために、国際評議会(PCISSC=PCI Security Standards Council LLC)が設立されました。

参考:PCI国際評議会は、米国マサチューセッツ州、ウェークフィールドに置かれています。

公式WEBサイト(英語版)　https://www.pcisecuritystandards.org/

(2016.8.5)

クレジットカード情報を取り扱う業務範囲において、PCI DSSが定める約400項目の要求事項に、すべて対応できていることをいいます。
PCI DSS準拠を認定されるには、カード情報の取扱い形態や規模によって、2つのやり方があります。

�@ QSAによる訪問審査
PCI国際評議会(PCISSC)によって認定された審査機関(QSA=Qualified Security Assessor)による訪問審査を受けて、認証を得ます。現在有効なQSAの一覧は、PCISSCのサイトに掲示されています。カード発行会社や大手加盟店、決済代行会社など、カード情報の取扱い規模の大きな事業者に、要請されている方法です。
・QSA一覧(PCISSCのサイト・英文)>>

�A 自己問診(SAQ)に回答して報告
PCI DSSの要求事項に基づいたチェック項目に回答して、すべて「Yes」と記入できた結果に、会社役員の署名を添えて、加盟店契約をしているカード会社か決済プロバイダーへ提出し、受理されることにより、準拠していると認められます。 カード情報取扱い件数の比較的少ない、中小加盟店などの事業者向けの方法です。加盟店やサービスプロバイダーなどの業態別に制作されています。
・自己問診書式のダウンロード ( (PCISSCのサイト・英文)>>　

なお、カード情報の取扱い件数がどれだけなら訪問審査が必要か、自己問診でよいのか、というレベル分けは、各カードブランドにより異なります。

(2016.8.5)

どの方法で準拠確認を行うべきか判断するのは、国際カードブランド、アクワイアラの役割となります。
一般的には一つの事業体として取り扱われるカード情報の総量によって判断されると思われます。(2016.8.5)

社員の経費精算用のカードについては、国際カードブランドが判断を行います。PCI SSCのFAQに同様の事例があります。（Article Number 1235）
(2016.8.5)

PCI DSSの認証を取得する上で、コンサル会社の支援は必須ではありません。自社にセキュリティの知識が充分なスタッフがいれば、QSA（審査会社）の改善指摘にしっかり対応して、準拠を達成することができるでしょう。
自社スタッフに、そうした知識がどの程度あるかを調べるには、まずSAQ（自己問診）に取り組んでみることです。SAQが尋ねている内容について、充分に理解できない場合は、コンサル会社の支援を受ける必要があるかも知れません。(2016.8.26)

PCI QSAの審査費用について、一律に定められた料金はありません。受審する事業者のシステム内容や審査の範囲（スコープ）によって、審査の工数が多岐にわたり、体系化することが困難なためです。 したがって審査費用の見積りも、QSAによって異なることが予想されます。高いから、安いから良いというものではありませんので、何社かのQSAと面談して、選択していくのがよいでしょう。なお審査の品質については、PCISSCからのガイドラインによって保たれています。(2016.8.26)

日本の「実行計画2016」に基づいた、「日本におけるクレジットカード情報管理スキーム改訂版」によれば、VISAやマスターカードが定める「レベル1」加盟店がQSAの訪問審査を必須として、「レベル2」加盟店はSAQ（自己問診）の対象です。
もちろんレベル2加盟店でも、訪問審査による認証を取得することは推奨されます。レベル1とレベル2の事業者では、年間のカード決済件数に差がありますので、店舗の数やシステム規模にも同様の差があることが想定されます。そのためQSA審査の工数が異なり、審査費用もレベル2事業者のほうが、一般的には安くなると思われます。
いずれにしても、システムの規模や審査範囲（スコープ）を踏まえて、QSAからの見積りを比較検討いただくことになるでしょう。(2016.8.26)

ISA（Internal Security Assessor）とは、PCISSCによって認定された、PCI DSSの社内審査資格者です。日本では、まだ数人しかいません。QSAと同等の審査資格を保有していますので、ISAが審査して合格であれば、PCI DSS準拠と認められます。
とはいえ内部統制の観点からは、第三者による監査が望ましいとされるので、ISAを保有している事業者でも、審査はQSAに依頼し、ISAはPCI DSS準拠をしっかり維持するための、日常チェックや改善活動に従事しているケースが多いようです。(2016.8.26)

QSAは基本的に審査機関ですから、コンサルタントのように具体的な改善対策を提示したり、指導したりはしません。ただし指摘したギャップに対する改善対策を、自社で立案できる場合は、その方向性が合っているかどうかについて、QSAは回答できます。(2016.8.26)

ISMSの場合は、たとえば本社部門や工場など、認証を取得したい範囲を企業側があらかじめ決めて、ISMSの審査会社に頼むことができます。
しかしPCI DSSの場合は、クレジットカード情報にアクセスできる範囲が、すべて対象になります。まずは本社だけで認証を取りたいと考えても、支店や店舗から本社のカード情報にアクセスできる仕組みになっているなら、それらも審査対象に含めないと、カード情報の安全が図れないからです。(2016.8.26)

全国に何百も店舗があって、POSで全部つながっている大企業の場合は、もちろん全部の店舗を審査することは困難ですから、おもな拠点をいくつかしぼって、審査することになります。それでも、どの店舗を審査対象にするかは、企業側が自由に決めることはできません。QSAが納得する説明が必要になります。QSAは審査レポートに、どうしてこの店舗を選んだのかの理由を書く必要があって、企業側の言いなりで審査拠点を選定していないか、QSAもチェックされる仕組みになっています。(2016.8.26)

カード会社はPCI DSSの審査機関ではありませんので、SAQに記入した内容について審査することはありません。そのために、SAQには記入に際して相談したQSAがいるか、そのQSAにサインをいただく欄があります。したがって、カード会社がそのQSAに照会することがあります。また、PCI DSSの主要なポイントについて、エビデンスの添付を求めることがあるかも知れません。ただしこれらのチェックを行うかどうかは、カード会社の裁量です。
なお、SAQ提出先のカード会社が、「受領」や「受理」の旨を発行することは、カード会社の義務とはされていません。受領書を発行すると、PCI DSSに準拠したことをカード会社が認定したかのような意味合いになりかねないからです。 SAQ（Self-Assessment Questionnaire）は、「自己問診」という名前のとおり、提出側の自己申告であり、その内容については提出側が責任を持つものなのです。
(2016.9.15)

J-301で述べたように、自己問診の内容は、提出側の自己申告です。一例として、次のような文で、ホームページ等に掲示するのがよいでしょう。
「当社は所定のSAQにより、PCI DSSのすべての要求事項に対応済であることを確認できましたので、○年○月○日に契約アクワイアラーへ提出いたしました。今後も毎年の更新を行ってまいります。」
なお、「PCI DSS認証済み」または「PCI DSS認証を取得済み」と言うためには、第三者機関(QSA)の審査を受けて合格する必要があります。(2016.9.15掲載, 2017.11.10更新)

SAQ記入者がセキュリティ資格者であることは、求められていません。とはいえPCI DSSの要求事項を見れば分かるように、ネットワークやセキュリティのIT分野に通じたシステム部門のスタッフでないと、SAQの質問内容を理解して、回答を記入することは、事実上むずかしいと思われます。
また、署名する役員は、英文でもExecutive Officer（役員）となっており、とくにPresident（社長）を求めているわけではありません。内容に対して、会社としての責任を持てる役員であれば、結構です。(2016.9.15)

クレジットカード会社には「SAQ-D S(タイプDのサービスプロバイダー用)」をおすすめします。(2016.8.5)

PCI DSSは国際標準の規格ですから、新しいバージョンを使用する指示が出ている場合には、日本語版がまだ発行されていなくとも、最新バージョンのSAQを適用する必要があります。
ただし新しいバージョンでも、部分的な改訂が一般的ですし、変更部分の解説も公開されますから、ひとつ前の日本語版と変更解説を照合しながら対応することは、難しい作業ではありません。そのように現場を対応させている間に、日本語版も発行されてきますから、新しい日本語バージョンのSAQで申告できることでしょう。 (2016.8.5)

ASVスキャン検査以外の、内部ネットワークスキャンや内部外部のペネトレーションテストなどの実施については、検査機関に対する認定制度がありません。ただし、たとえばペネトレーションテストについて、どのような内容の検査を含めなければならないかは、要件11.3などに書かれています。したがって検査会社に対して、こうしたPCI DSSが要求している検査内容が、もれなく含まれているかを確認し、これまでの検査実績などを検討して、選定していくのがよいでしょう。(2016.9.15)

ASVスキャン検査だけでは、PCI DSSの準拠要件に不足です。事業内容に応じたSAQ（自己問診）を用いて、すべての要件に対応していることをチェックする必要があります。ASVスキャン検査の実施は、その要件のひとつにすぎません。(2016.9.15)

対面加盟店の場合、サービスプロバイダー等より提供される単独の端末で処理を行い、カード情報を電子的に保持していないとしてもPCI DSSの適用範囲となります。 対応すべき要件や範囲は少なくなりますが、カード情報を取り扱っている業務や保存されている紙媒体、委託先の管理など、該当する要件をご確認ください。 また、マスキングについてはPCI DSSの要件(3.3）を満たしていない場合、カード番号として取り扱われますので、お気をつけ下さい。(2016.8.8)

・プライマリーアカウント番号（PAN）
※以下の要素は、PANと共に保存、処理、送信される場合、またはカード会員データ環境（CDE）に存在する場合、カード会員データとして保護される必要があります。
・カード会員名
・有効期限
・サービスコード
(2016.8.5)

・フルトラックデータ（磁気ストライプデータまたはチップ上の同等データ）
・CAV2/CVC2/CVV2/CID
・PIN または PIN ブロック
※これらはオーソリゼーション（承認）後、暗号化していても保存してはいけません。これは環境内にPANがない場合にも当てはまります。(2016.8.5)

PCI DSSに定義が記載されています。自組織のシステムだけでなく、委託先の業務やシステムも含まれることがあります。業務フロー図やシステム構成図から、カード情報が取り扱われている範囲を確認してください。難しい場合はQSAにご相談されることをお勧めします。（PCI DSS v3.2　「PCI DSS要件の適用範囲」より）

“PCI DSS のセキュリティ要件は、カード会員データ環境に含まれる、または接続されるすべてのシステムコンポーネントに適用されます。カード会員データ環境（CDE）は、カード会員データまたは機密認証データを保存、処理、または送信する人、処理、およびテクノロジーで構成されます。「システムコンポーネント」には、ネットワークデバイス、サーバー、コンピューター、アプリケーションが含まれます。（以下略）”

(2016.8.8)

原則は国際カードブランドのPANとなりますが、「日本におけるクレジットカード情報管理強化に向けた実行計画」には次の記載があります。

“…なお、保護すべきカード情報とは、国際ブランドが付与されたクレジットカードにかかるカード情報とし、ハウスカード等にかかるカード情報は、「本実行計画」の趣旨を尊重し、適切な保護に努めるものとする。”

(2016.8.5)

PANとともに保存、処理、送信されていない場合で、かつCDEの外にある場合は、保護の対象となりません。(2016.8.5)

環境内にPANがない場合でも機密認証データの取り扱いは変わらず「承認後、保存不可」です。
また、全トラックデータにはPANが必ず含まれます。(2016.8.5)

カード情報が処理、通過、保存されている場合はスコープの範囲となりますので、レンタルサーバー業者にも協力をして頂く必要があります。

契約段階で委託先とPCI DSSの各要件について、どちらが責任を持って対応するのか明確にしておくのが良いでしょう。（要件12.8）
サーバーが業者の敷地内にあれば、物理的な対策（要件9）の責任はレンタルサーバー業者に負っていただくべきです。 PCIDSS準拠済みのレンタルサーバー業者を利用すれば、加盟店の準拠も容易になります。

(2016.8.5)

PANを取り扱うことで発生するリスクを低減するため、PANをある種の方法で他の値に置き換えたものです。トークン単体ではPANを推測、復元できません。(2016.8.5)

暗号化は暗号アルゴリズムと暗号鍵によってPANを難読化する方法。 トークン化は暗号化も含む様々な手法でPANを置き換えることです。

（１）不可逆的トークン
・一方向ハッシュ（SHA-256など）。数学的に元の数字には戻せない方法。
（２）可逆的トークン
・一定の手順で元のPANを知ることができるトークン。暗号化を用いるのはこちら。
・複数のトークンが１つのPANに紐づく可能性もあります。

細かい話は「Tokenization_Product_Security_Guidelines」などを見ていただくと良いと思います。
※こちらからご覧ください（PDF）

PCI DSSの定義では、CDE外にカード会員名だけで存在する場合は、PCI DSSの保護の対象となりません。(2016.8.5)

現在は要件に記載の通りとなります。ただし、パスワードの強度についてはNIST SP 800-63を参照するよう記載がありますので、NISTでの議論の結果次第では、要件が見直される可能性もあります。(2016.8.5)

トランケーションは、PANデータの一部を恒久的に削除することで、完全なPANを読み取り不能にする方法であり、電子的に格納（たとえばファイル、データベースなど）されているPANに適用されます。

異なるPAN桁数の許容可能なトランケーション形式は、次のとおりです。

・全ペイメントブランドおよび全PAN桁数において現在許容されている形式では、最大でPANの最初の6桁と最後の4桁を保持することが認められています（「最初の6桁、最後の4桁」と記載）。

・現在許容されているトランケーション形式以上に柔軟な対応が必要な事業体は、変更を行う前に、満たされる必要のある内部および/または外部の制約（ペイメントブランドの要件を含む）に加えてトランケーションされたデータが格納される目的を理解する必要があります。それらの制約がすべて満たされている場合、柔軟な対応が必要な事業体は、下記の対応を検討することが可能です。■図表を別ウインドゥで開く

保存以外の目的でトランケーション形式を使用する場合、事業体は、その形式が該当する各ペイメントネットワークと互換性があることを確認する必要があります。

注：同一のPANの異なるトランケーション形式の利用は、完全なPANを再構築させる可能性を大幅に高め、かつ、トランケーションによる個々のPANのセキュリティ効用を大幅に低下させます。複数のトランケーション形式を使用して同一のPANをトランケーションした場合（たとえば、異なるトランケーション形式を異なるシステムで使用する場合）、元のPANを再構築させないために、トランケーションされたPANを関連付けることができないようにする追加のコントロールを実施する必要があります。

以上は　PCI SSCのFAQ_2017年5月Article Number 1091から引用