用語集
PCI DSS
クレジットカード情報を取り扱う事業者に課せられる、非常に厳格なセキュリティ基準。
### 概要
国際カードブランド5社が策定したセキュリティ基準。カード情報を保存・処理・伝送するすべての事業者が対象です。
ログ管理に関しては「要件10」にて詳細に規定されています。
### 厳格な要件(要件10)
- すべてのユーザーアクセスを記録すること。
- ログを**毎日**レビューすること(人間には事実上不可能→SIEM必須)。
- ログは少なくとも1年間保存し、直近3ヶ月は即時分析可能にすること。
### 実務のポイント
自社でこれに対応するのはコストが莫大になるため、そもそも「カード情報を自社サーバーで通過させない(非保持化)」ことで、対象範囲(スコープ)を縮小する戦略が一般的です。
この記事について
想定読者
監査対応を初めて担当するエンジニア、PM
記事の目的
専門用語の実務的な意味を解説し、監査での問われ方や運用上の注意点を理解する
根拠・参照情報
- •AWS CloudTrail Documentation
- •PCI DSS v4.0 Official Standard
最終更新日
2026-02-06
免責事項: 本記事は監査対応における判断支援を目的としており、法的・監査上の最終判断を保証するものではありません。 最終的な意思決定は、必ず関連規格(PCI DSS, SOC2等)の公式文書や、貴社の法務・監査部門の判断を参照してください。