金融取引を処理する企業は、お金を追い求めるサイバー犯罪者の標的となります。 オンライン決済詐欺に起因する E コマースの損失額は、2023 年末までに世界全体で総額 480 億ドル超に達すると予想されています。 また、 PwC が実施した Global Economic Crime and Fraud Survey 2022（2022 年グローバル経済の犯罪と不正行為に関する調査）では、回答者の半数以上が過去 2 年間に金融詐欺にあっていることがわかりました。 Verizon の 2023 Data Breach Investigations Report（DBIR）によると、金融セクターではほとんどのデータ漏えいの背後に権限の悪用があります。

PCI DSS 基準はカード所有者データの受け入れ、処理、保存、または送信を行うすべての組織に適用されるため、次の種類の組織はこの基準に準拠していることを証明する必要があります。

あらゆる規模の販売業者

金融機関

決済処理業者（ハードウェアベースとソフトウェアベースの両方）

POS ベンダー

PCI DSS の影響を受ける組織の例には、次のようなものがあります。



小規模な販売業者や小売企業

中小企業（SMB）は、大企業と同じくらい、深刻なデータ漏えいのリスクにさらされています。2022 年の DBIR によると、中小企業の 61% が少なくとも 1 回のデータ漏えいを経験しています。小規模な販売業者は PCI DSS の原則に準拠する必要があり、PCI DSS では販売業者のコンプライアンスレベルは次の 4 つに分けられています。

Level 1：年間 600 万件以上のカード取引を処理

Level 2：年間 100 万～600 万件の取引を処理

Level 3：年間 2 万～100 万件の取引を処理

Level 4：年間 2 万件未満の取引を処理

小規模な販売業者は、ファイアウォールを使用した IT システムの保護、堅牢なアクセス制御の実装、カード所有者データの暗号化という包括的な取り組みとしてセキュリティにアプローチする必要があります。このレベルの 360 度セキュリティを実現してシンプル化するために、SMB はデータ、デバイス、人のセキュリティを確保できるソリューションを探さなければなりません。

サービスプロバイダー

サービスプロバイダーとは、決済データのセキュリティに影響を与える可能性のあるあらゆる企業を指し、他の組織に属している場合もあります。PCI DSS には、サービスプロバイダーが処理する取引レベルに応じて、次の 2 つのコンプライアンスレベルがあります。

Level 1 Service Provider：年間取引数が 30 万件以上（American Express の場合は 250 万件以上）

Level 2 Service Provider：年間取引数 30 万件未満（American Express の場合は 250 万件未満）

中小企業の販売業者と同様に、サービスプロバイダーは PCI DSS のセキュリティ対策と管理を順守する必要があります。