決済コンプライアンス：主要な規制とベストプラクティス

投稿日時 Jun 27, 2026 執筆者 Simon Chartan

資金のやり取りを行うすべての企業は、コンプライアンス上の問題を抱えています。カード決済、eコマースの決済、仮想通貨決済など、どのチャネルであっても関係ありません。規則は適用され、罰則は厳しく、規則を無視しても平穏な結末を迎えることはほとんどありません。

決済コンプライアンスが難しいのは、コンプライアンスの存在を知っているからではありません。自社の事業に適用される規制、それらの規制間の相互作用、そして実際に何をする必要があるのかを理解することが難しいのです。このガイドでは、その点について解説します。

決済コンプライアンスとは何か、そしてなぜそれが重要なのか

5つの異なる決済事業者に対し、「決済コンプライアンス」の意味を尋ねれば、おそらく5通りの異なる回答が返ってくるでしょう。実際には、これは企業が決済データを収集、保存、送信、処理する方法を規定する一連の規則を網羅しています。これらの規則が存在するのは、不正行為、マネーロンダリング、データ漏洩などによって決済システムに問題が生じた場合、被害が急速かつ広範囲に及ぶためです。

これらの義務の対象となる企業は、基本的にデジタル決済を扱うすべての企業です。オンライン小売業者、SaaSプラットフォーム、マーケットプレイス、フィンテック企業、暗号通貨販売業者などが含まれます。この規則には規模による免除規定はありません。従業員10人のスタートアップ企業も、大企業と同様の基本要件を満たす必要があります。

事態の深刻さを物語る数字を見てみよう。決済詐欺と電子商取引による損失は、 2023年から2027年の間に3,430億ドルに達すると予測されている。ベライゾンの2023年決済セキュリティレポートによると、企業の64%が依然としてPCI DSSの完全準拠を達成できていない。そして、たった一度のデータ漏洩が、訴訟、強制監査、カードネットワークによる制裁につながり、解決に何年もかかる可能性がある。

法令遵守を徹底することで、決済ネットワークへのアクセスを維持できます。違反や情報漏洩によってアクセスを失うと、その扉は永久に閉ざされてしまう可能性があります。

決済コンプライアンス：主要な規制とベストプラクティス

世界的に決済コンプライアンスを規制するのは誰か

世界中で決済コンプライアンスを統括する単一の機関は存在しない。様々な機関が管轄区域を超えて基準を設定し、規則を執行しており、ほとんどの企業は複数の機関の規制に従うことになる。

規制当局	管轄	範囲
PCI SSC （決済カード業界セキュリティ基準協議会）	グローバル	カード決済におけるデータセキュリティの基本基準であるPCI DSSを定める。
FATF （金融活動作業部会）	グローバル（40カ国以上が加盟）	マネーロンダリング対策およびテロ資金供与対策の基準を定める
EBA / ECB	欧州連合	PSD2を施行し、決済サービスプロバイダーにライセンスを付与する
FinCEN （金融犯罪取締ネットワーク）	アメリカ合衆国	AML（マネーロンダリング対策）の執行、銀行秘密法、暗号資産に関するガイダンス
FTC （連邦取引委員会）	アメリカ合衆国	消費者データ保護、不当な支払い慣行
ICO / データ保護当局	EUと英国	GDPRの施行
中央銀行	各国	現地で決済サービスプロバイダーの認可と監督を行う

例えば、EUに拠点を置く加盟店が海外の顧客から米国発行のクレジットカードを受け入れる場合、PCI DSS、GDPR、そして場合によってはFinCENのガイダンスといった複数の規制に同時に対応する必要があります。こうした重複する規制を管理することが、事業が国境を越える際に直面する決済コンプライアンスと規制遵守の課題です。

主要な決済コンプライアンス規制について解説します

5つの規制によって、ほとんどの企業が遵守しなければならない事項の大部分が規定されている。それぞれの規制は異なるリスク領域を対象としており、独自の罰則体系が設けられている。

PCI DSS （ペイメントカード業界データセキュリティ基準）は、カード所有者データを保存、処理、または送信するすべての組織に適用されます。この基準は、12の技術的および運用上の要件を定めています。違反の重大度に応じて、違反に対する罰金は月額5,000ドルから100,000ドルに及びます。
PSD2 （欧州連合の決済サービス指令2）は、欧州経済領域（EEA）全域の決済サービスプロバイダーを規制するものです。主な要件は、電子取引における強力な顧客認証（SCA）です。違反した場合、罰金は500万ユーロまたは全世界年間収益の3%に達する可能性があります。
AML/KYC （マネーロンダリング対策）規制では、企業は顧客の身元確認（顧客確認）、不審な取引の監視、および不審取引報告書の提出が義務付けられています。これらの規則は、FATF（金融活動作業部会）の勧告に基づいて制定された国内法に由来します。
GDPR / CCPA — EUの一般データ保護規則（GDPR）とカリフォルニア州消費者プライバシー法（CCPA）は、決済におけるデータプライバシーに関する規則を定め、個人データと決済情報の収集、保存、処理方法を規定しています。GDPRの罰金は、最高で2,000万ユーロ、または全世界の年間売上高の4%です。2022年にMetaが受けた4億500万ユーロの罰金は、規制当局が大規模に執行する姿勢を裏付けるものでした。
BSA/FinCEN規則― 米国の銀行秘密法（BSA）は、金融機関および資金サービス事業者に対し、AML（マネーロンダリング対策）プログラムの維持、1万ドルを超える現金取引の報告、および疑わしい取引報告書（SAR）の提出を義務付けています。FinCENは、これらの義務を米国で事業を展開する暗号資産事業者にも拡大しました。

PCI DSS 4.0：決済データセキュリティの基盤

ほとんどのオンラインビジネスは、他のどの規制よりも先にPCI DSSに準拠する必要がありました。バージョン4.0は2022年に最終決定され、2025年4月から全面的に施行されました。これにより、加盟店や決済プロバイダーが知っておくべき重要な変更点がもたらされました。

コンプライアンスレベルは、年間カード取引量によって異なります。

レベル1 ：年間600万件以上の取引 — 認定セキュリティ評価者（QSA）による年次オンサイト監査
レベル2 ：年間100万～600万件の取引 — 年1回の自己評価アンケート（SAQ）と四半期ごとのネットワークスキャン
レベル3 ：年間2万～100万件の電子商取引取引 — SAQ（自己評価質問票）および四半期ごとのスキャン
レベル4 ：年間2万件未満の電子商取引取引 — SAQ推奨

バージョン4.0とバージョン3.2.1で何が変わったのか：

カスタマイズされたアプローチ：企業は、規定された技術仕様を文字通りに遵守するのではなく、要件の意図を満たす代替制御を導入できるようになりました。
必須MFA ：カード所有者データ環境へのすべてのアクセスに多要素認証が必要となり、リモートセッションだけでなく、すべてのアクセスに必須となりました。
フィッシングとソーシャルエンジニアリングに関するトレーニング：対象を絞った意識向上トレーニングは、推奨事項ではなく、正式な要件です。
パスワードの強化：最低12文字（従来は8文字）、高権限アカウントの場合は90日ごとに自動更新

PCI DSSを無視した場合の代償は甚大だ。2008年にハートランド・ペイメント・システムズが情報漏洩に見舞われた際、総損失額は2億ドルを超えた。株価は数日で50%下落し、回復するまでに77%もの価値を失った。中小企業は通常、このような事態を乗り越えることはできない。

AMLとKYC：金融犯罪を発生源で検知する

AML（マネーロンダリング対策）コンプライアンスとは、金融犯罪が自社のプラットフォームを通過する前に検知するシステムを構築することを意味します。本人確認（KYC）は、そもそもそのような監視を可能にするものです。

AMLコンプライアンスが実際に要求するもの：

取引監視：異常なパターン（高額送金、資金の急速な移動、ストラクチャリング（報告基準額を下回るように取引を分割すること））を自動的に検出するシステム
SARの提出：不審な活動が発覚した場合、指定された期間内に関係当局に不審活動報告書を提出しなければならない。
制裁スクリーニング：すべての顧客および取引相手は、OFAC、国連、EUの制裁リストとリアルタイムで照合されます。
顧客デューデリジェンス（CDD） ：リスクプロファイルの継続的なレビューであり、単なる一度限りのオンボーディングチェックではない
強化されたデューデリジェンス（EDD） ：高リスク顧客（政治的に重要な人物（PEP）および高リスク管轄区域出身者）に対するより厳格な審査

オンボーディングにおけるKYC（顧客確認）とは、通常、書類確認（政府発行の身分証明書、住所証明書など）と生体認証を組み合わせたものです。現在では、AIを活用したeKYCソリューションがこれを数秒で処理しており、大規模な企業オンボーディングにおいては、これが標準となっています。

FATFトラベルルールには、仮想通貨に特化した規定が追加されている。仮想資産サービスプロバイダーは、1,000ドルを超える送金について、送金者と受取人の情報を収集し、送信しなければならない。具体的な金額は管轄区域によって若干異なるが、この義務は送金がビットコイン、ステーブルコイン、その他のデジタル資産のいずれであっても適用される。

PSD2、SCA、およびオープンバンキングの要件

PSD2は、EU全域の決済サービスプロバイダーにおける認証のあり方を根本的に変革しました。その中核となる要件である「強力な顧客認証」は、現在、欧州経済領域で事業を展開するあらゆる決済サービスの標準となっています。

SCAでは、以下の3つの独立した要素のうち少なくとも2つを使用した認証が必要です。

あなたが知っていること：パスワード、PIN、秘密の質問
あなたが持っているもの：携帯電話、ハードウェアトークン、スマートカード
あなた自身を表すもの：指紋、顔認識、音声パターン

3Dセキュア2.0は、カード非提示取引におけるSCA（強力な顧客認証）を実装するための主要な技術標準です。加盟店、カードネットワーク、発行銀行間でリスクシグナルを伝達し、リスクの低い取引はスムーズに通過させることができます。

SCAの免除規定は、不必要な摩擦を軽減するために設けられています。

免除	状態
少額取引	30ユーロ未満（連続5回まで、または累計100ユーロまで）
信頼できる受益者	顧客は受取人を事前承認しました
定期的な定額支払い	各期間、同じ受取人に同額を送金
法人向け決済ツール	専用のビジネス決済プロトコル
取引リスク分析	リアルタイムの不正スコアが規定のしきい値を下回っています

PSD2はオープンバンキングも義務付けています。銀行は、顧客の同意を得た上で、ライセンスを取得した第三者プロバイダーにAPIを通じて顧客口座データへのアクセスを許可しなければなりません。これらのアクセス規則の遵守はライセンス取得の条件であり、任意ではありません。

暗号資産およびデジタル資産分野における決済コンプライアンス

ほとんどの決済コンプライアンスガイドは、カード決済と電信送金で止まっています。これは大きなギャップです。暗号資産販売業者、決済ゲートウェイ、デジタル資産事業者は、AML/KYC規制の全面的な適用に加え、暗号資産特有の規制も増え続けており、それらにも対応しなければなりません。

仮想資産サービスプロバイダー（VASP）――暗号資産取引所、ウォレット、決済ゲートウェイ――は、FATFのガイダンスに基づき、AML（マネーロンダリング対策）の目的においては金融機関として扱われます。実際には、これは以下のことを意味します。

オンボーディング時の完全なKYC（顧客確認）、継続的な取引監視、およびSAR（疑わしい取引報告書）提出義務
FATFトラベルルール：1,000ドルを超える送金には、送金者の氏名、送金元口座番号、受取人の詳細情報を取引情報とともに携帯する必要があります。
米国を拠点とする暗号資産事業者が、金融犯罪取締ネットワーク（FinCEN）に資金サービス事業者として登録する
EUの暗号資産市場規制（MiCA ）に基づくライセンス制度は2024年から施行されており、ステーブルコイン発行者および暗号資産サービスプロバイダーに対する準備金要件、消費者保護規則、情報開示義務などを規定している。

実際的な課題は、コンプライアンスが数百もの資産とブロックチェーンにわたって機能する必要があり、それぞれ決済の最終性や追跡可能性が異なる点にある。これをゼロから構築するのは費用も時間もかかる。

Plisioはゲートウェイレベルでコンプライアンスに対応し、200種類以上の仮想通貨をサポートするとともに、AML（マネーロンダリング対策）に準拠した取引監視とKYC（顧客確認）に対応した加盟店登録機能を提供します。コンプライアンスインフラを自社で構築することなく仮想通貨決済を受け入れたいeコマース企業にとって、規制上の複雑さを吸収してくれるゲートウェイを選択することは、現実的な選択肢と言えるでしょう。

決済コンプライアンス：主要な規制とベストプラクティス

支払いコンプライアンスワークフローの構築方法

コンプライアンスは、スイッチを入れるだけのツールではありません。継続的に実行されるプロセスであり、一度きりのプロジェクトとして扱うと機能不全に陥ります。

環境の範囲を明確にしましょう。決済データに接するすべてのシステム（チェックアウトページ、決済処理業者、データベース、サードパーティ統合など）をマッピングしてください。PCI DSSは対象範囲内のものしかカバーしておらず、ほとんどの侵害は対象範囲外の領域で発生しています。
コンプライアンスギャップ分析を実施する— 現在の管理体制をPCI DSS、AML/KYC要件、GDPR（またはCCPA）に照らし合わせて評価する。実施されている内容だけでなく、不足している内容も書き出す。
技術的な対策を実施する― トークン化によってカード番号を機密性の低いトークンに置き換え、暗号化によって転送中および保存中のデータを保護します。この2つの対策だけで、PCI DSSの適用範囲のほとんどを回避できます。
取引監視システムを構築する― 自動化システムは、疑わしい取引をリアルタイムで検知する必要があります。アラートルール、レビューキュー、エスカレーションパスは、運用開始後ではなく、運用開始前に定義してください。
従業員の研修を実施しましょう。ソーシャルエンジニアリングやフィッシングは、技術的な障害よりも多くの情報漏洩を引き起こします。PCI DSS 4.0では、対象を絞ったセキュリティ意識向上研修が義務付けられています。これを実際のセキュリティ対策として捉えましょう。
あらゆることを文書化しましょう。ポリシー、手順、監査証跡、インシデント対応計画など、すべてです。規制当局は、単にシステムが機能しているだけでなく、意図と能力があることの証拠として文書化を求めています。
定期的な監査を実施しましょう。年次のPCI DSS評価、四半期ごとのネットワークスキャン、継続的なAMLプログラムレビューなどです。適切なメンテナンスを行わないと、コンプライアンスが緩んでしまいます。
コンプライアンスに準拠した決済パートナーを選びましょう。決済処理業者、ゲートウェイ、銀行パートナーは、共通の責任を負います。インフラレベルでPCI DSSに対応できるパートナーを選ぶことで、自社の負担を大幅に軽減できます。

電子商取引における決済コンプライアンスのベストプラクティス

支払いコンプライアンスプログラムが稼働し始めたら、以下の対策を講じることで、プログラムがひっそりと崩壊するのを防ぐことができます。

PCI DSSレベル1認定ゲートウェイを使用する— カード所有者データの処理をプロバイダーにオフロードし、通常、PCI DSSの範囲をSAQ Aに縮小します
3Dセキュア2.0を有効にすると、カード非提示取引における不正利用リスクが軽減され、EUのSCA要件を満たします。
すべてをトークン化する― カード番号は入力時にトークンに置き換える。生のカード所有者データはシステムに保管してはならない。
デバイスフィンガープリンティングとIPジオロケーションを導入することで、チェックアウト時の煩雑さを増やすことなく、行動データから不正防止シグナルを構築できます。
データ最小化の原則を適用する― GDPRに基づき、必要なデータのみを収集し、必要な期間だけ保持し、定期的に削除する。
マーケットプレイスやプラットフォームでは、決済を有効にする前に加盟店を検証する必要があります。オンボーディングのコンプライアンスは、サブ加盟店にも適用されます。
インシデント対応計画を策定・維持する― GDPRでは、72時間以内に規制当局に情報漏洩を通知することが義務付けられており、米国のほとんどの州では30日以内の通知が求められています。テストされていない計画は、単なる文書に過ぎません。

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.