Datapository
AIによるデータ収集プラットフォーム
無料で始める
決済・フィンテック 2026年更新

PCI DSS準拠の決済サービス提供企業一覧

PCI DSS認証レベル1を取得した決済代行・ペイメントゲートウェイ事業者のリスト。EC事業者のカード情報非保持化・セキュリティ基準対応に必要な認証レベルと審査機関を網羅的に掲載。

収録データ項目

認証レベル
事業者名
認証バージョン
審査機関(QSA)
本社所在地
取扱高/年
主要サービス
Visa Registry登録
対応決済方法

データプレビュー

※ 全件データの閲覧には会員登録が必要です
事業者名認証レベル認証バージョンVisa Registry登録
GMOペイメントゲートウェイLevel 1PCI DSS v4.0.1登録済
DGフィナンシャルテクノロジーLevel 1PCI DSS準拠
ゼウスLevel 1PCI DSS v4.0.1
SBペイメントサービスLevel 1PCI DSS v4.0.1
StripeLevel 1PCI DSS準拠

残り300+のデータを
今すぐ取得できます。

※ 無料プレビューの続きから取得できます

PCI DSS準拠決済サービスプロバイダーとは

PCI DSS(Payment Card Industry Data Security Standard)は、VISA、MasterCard、American Express、Discover、JCBの国際カード5ブランドが共同策定したクレジットカード情報セキュリティの国際基準です。カード情報を保存・処理・伝送する決済代行会社やサービスプロバイダーは、年間取引量に応じて認証レベル1〜4の準拠が求められます。

2025年3月にはPCI DSS v4.0.1への完全移行が義務化され、日本では経済産業省の「クレジットカード・セキュリティガイドライン6.0版」により、EC事業者は「カード情報の非保持化」またはPCI DSS準拠のいずれかの対応が必須となりました。準拠事業者と契約することで、EC事業者は自社でのPCI DSS認証取得という膨大なコスト・時間を回避できます。

認証レベルの違い

Level 1(最高レベル)
年間600万件以上のVisa/MasterCard取引、または250万件以上のAmEx取引を処理する事業者。認定セキュリティ評価機関(QSA)による年次監査とROC(Report on Compliance)提出が必須。GMOペイメントゲートウェイ、DGフィナンシャルテクノロジー、ゼウス、Stripeなど大手決済代行はこのレベルです。
Level 2
年間100万〜600万件の取引を処理。QSA監査またはSAQ提出。
Level 3/4
取引量が少ない小規模事業者向け。自己評価アンケート(SAQ)による準拠確認。

日本市場の状況

日本国内の決済代行市場は中堅中小含め300社超が競合する巨大市場です。2024年度のネット決済代行サービス市場規模は6,812億円、2029年度には1兆2,904億円に達すると予測されています(デロイト トーマツ ミック経済研究所)。市場拡大の背景には、PayPayなどID決済の普及と、PCI DSS対応業務のアウトソース化需要があります。

日本国内で訪問審査が可能なQSA(認定審査機関)は20社以上に増え、BSI Management Systems Japan、ICMSなどが活動しています。日本カード情報セキュリティ協議会(JCDSC)と日本クレジット協会(JCA)がPCI SSCと連携し、国内での準拠推進を支援しています。

主要プレーヤー

国内トップシェアを争うのはGMOペイメントゲートウェイSBペイメントサービスで、両社ともPCI DSS v4.0.1に完全準拠。DGフィナンシャルテクノロジー(旧ベリトランス)は日本で初めてPCI DSS準拠を達成した先駆者で、年間11.8億件・6.2兆円の決済処理を行っています。ゼウスは2007年からPCI DSS準拠を継続し、現在v4.0.1に対応。

グローバル勢ではStripePayPalがLevel 1認証を保持し、日本でもサービス展開。楽天ペイはPCI DSS v3.2.1準拠、PaidyはLevel 1準拠を明示しています。AWS、Google Cloud、Microsoft AzureなどクラウドインフラもLevel 1認証を取得し、決済サービスの基盤を提供しています。

Visa Global Registryの活用

Visa Global Registry of Service Providers(visa.com/splisting/searchGrsp.do)は、VISAが公開するPCI DSS準拠プロバイダーの検索データベースです。企業名、所在地、認証日、QSA名で検索でき、月次更新されます。アジア太平洋(AP)地域でフィルタリングすれば日本のプロバイダーを抽出可能です。MastercardもSDP Compliant Service Provider Listを公開しています。

選定時のチェックポイント

  • 認証レベルの確認: Level 1認証は最も厳格な監査を経ているため信頼性が高い
  • 認証バージョン: v4.0.1対応済みか(2025年3月以降義務化)
  • QSAの信頼性: PCI SSC認定の正規QSAによる監査か
  • Visa/Mastercard Registry登録: 国際カードブランドの公式認定リストに掲載されているか
  • 取扱高・実績: 年間処理件数・金額が大きいほどシステム安定性が高い
  • 非保持・非通過対応: EC事業者側でカード情報を扱わないソリューションがあるか
  • 多様な決済手段: クレカ以外にQR決済、電子マネー、後払い等に対応しているか

重要: PCI DSS準拠は年次監査が必須です。AOC(Attestation of Compliance)の有効期限は1年間のため、継続的な更新が行われているかを確認してください。過去の認証だけでは不十分です。

非保持化という選択肢

日本では「カード情報の非保持化」がPCI DSS準拠の代替手段として認められています。決済代行会社が提供するトークン決済やリダイレクト型決済を利用すれば、EC事業者のシステムにカード情報が一切通過・保存されないため、PCI DSS監査対象外となります。GMOペイメントゲートウェイ、DGフィナンシャルテクノロジー、ゼウスなど主要事業者は全て非保持化ソリューションを提供しています。

よくある質問

Q.PCI DSS Level 1とLevel 2の違いは何ですか?

Level 1は年間600万件以上(Visa/MasterCard)または250万件以上(AmEx)の取引を処理する最高レベルで、QSA(認定セキュリティ評価機関)による年次監査とROC(コンプライアンス報告書)提出が必須です。Level 2は100万〜600万件の取引量で、QSA監査またはSAQ(自己評価アンケート)での対応が可能です。Level 1の方が審査が厳格で信頼性が高いため、大規模EC事業者との取引では重視されます。

Q.PCI DSS v4.0.1への対応期限はいつですか?

2025年3月31日をもって、PCI DSS v4.0の新要件51件が全て必須化されました。既にv4.0.1が最新バージョンとして公開されており、決済サービスプロバイダーは年次監査で最新版への対応が求められます。事業者選定時は必ずv4.0.1対応済みかを確認してください。

Q.Visa Global Registryに載っていない事業者は使えませんか?

Visa Global Registryへの登録は任意ですが、登録されている事業者はVISAの公式認定を受けた証明となり信頼性が高まります。未登録でもPCI DSS準拠は可能ですが、QSAによるAOC(準拠証明書)とROCの提出を確認し、MastercardのSDP Listなど他のカードブランドのリストもチェックすることを推奨します。

Q.このデータの更新頻度はどれくらいですか?

リクエスト時にAIがWebをクロールして最新情報を取得します。Visa Global Registryは月次更新、各事業者のPCI DSS認証は年次更新のため、常に最新の認証状況を反映したデータを提供できます。

Q.海外のEC事業者向けにグローバル対応の決済プロバイダーだけ抽出できますか?

はい、フィルタリング機能で「多通貨対応」「グローバル展開」「複数地域でのライセンス取得」などの条件を指定すれば、Stripe、PayPal、Adyenなど国際決済に強いプロバイダーを抽出できます。各地域の規制対応状況やローカル決済手段の対応範囲も含めて提供します。