提出前チェックリスト
提出前チェック:EC/決済システムのログ要件
最終更新: 2026-02-06
### このページの目的
ECサイトや決済機能を持つアプリが、監査で厳しく見られるポイントを潰します。
### チェックリスト
#### A. 決済データの保護
- [ ] **クレジットカード番号をログに出していないか?**
- 意図せずURLパラメータやPOSTボディのログに残っていませんか?(即死案件)
- [ ] **決済完了/失敗のログはあるか?**
- 金額の不整合が起きた時に追跡できますか?
#### B. 注文データの保護
- [ ] **注文データの変更履歴(誰が書き換えたか)はあるか?**
- 従業員による不正な価格操作や宛先変更を検知できますか?
---
### 「No」の時の言い訳
- **Q. PCI DSS準拠ですか?**
- A. 「カード情報の非保持化(決済代行への委託)により、準拠範囲を最小化しています。」
この記事について
想定読者
BtoB SaaSの開発・運用担当者、情報システム部門
記事の目的
監査人や取引先への回答作成時間を短縮し、抜け漏れのない回答を作成する
根拠・参照情報
- •IPA 安全なウェブサイトの作り方
最終更新日
2026-02-06
免責事項: 本記事は監査対応における判断支援を目的としており、法的・監査上の最終判断を保証するものではありません。 最終的な意思決定は、必ず関連規格(PCI DSS, SOC2等)の公式文書や、貴社の法務・監査部門の判断を参照してください。