← POSレジガイド トップへ

POSレジのセキュリティ対策と注意点

基礎知識

POSレジからクレジットカード情報が流出した場合、カードブランド(VisaやMastercard)から課される罰則金は1件あたり最大5,000〜10万ドルに上ることがある。さらに被害を受けた顧客への補償、ブランドイメージの毀損、最悪の場合はカード決済の停止——小規模な店舗が一度のインシデントで廃業に追い込まれたケースも実際に存在する。

「うちは小さいから狙われない」は通用しない。むしろセキュリティ投資が少ない中小規模の加盟店は、攻撃者にとってコスパのいい標的だ。大企業より穴が多く、発覚も遅い。

この記事では、POSレジが直面する具体的なリスクと、2026年時点で事業者が最低限やるべき対策を整理する。PCI DSS v4.0の変更点も含め、セキュリティの素人でも理解できるように書いた。

クラウド型か、オンプレ型か——セキュリティの責任範囲がまず変わる

POSレジのセキュリティを考えるうえで最初に確認すべきは、使っているシステムの種類だ。クラウド型とオンプレ(ローカル設置)型では、事業者が担うべきセキュリティの範囲がまったく異なる。

クラウド型POSレジ(スマレジ、Airレジ、Squareなど)の場合、データの保管・暗号化・バックアップはサービス提供会社のサーバー側で管理される。事業者がやるべきことは、ログイン認証の強化と端末の物理的管理が中心になる。セキュリティの難易度が低い分、小規模店舗にはクラウド型のほうが現実的だ。

一方、オンプレ型(専用ハードウェアに直接データを保存するタイプ)は、データ管理の全責任が自社に来る。OSのアップデート対応、バックアップ設計、ネットワーク設定——これを自社でこなすには、ある程度のITリテラシーか、専門業者との契約が必要になる。

クラウド型だからといって完全に安心できるわけでもない。端末側にマルウェアが仕込まれれば、入力されたカード番号はサーバーに届く前に盗まれる可能性がある。サービス側のセキュリティが万全でも、端末管理が甘ければ意味がない——これが意外と見落とされるポイントだ。

POSレジの選び方についてはPOSレジ入門ガイドでも触れているので、あわせて読んでほしい。

POSレジが抱える3つの主要リスク

① スキミング(端末の物理改ざん)

カードリーダーに不正なデバイス(スキマー)を取り付けて、カード情報を読み取る手口だ。国内でも過去にコンビニやガソリンスタンドのPOS端末にスキマーが仕込まれた事例がある。従業員が気付かないほど精巧に作られたものも多く、外見だけでは判別が難しい。

対策の基本は「端末の定期確認」と「改ざん防止シール」の活用。端末に異物が付着していないか、ケーブルが不審な箇所につながっていないかを、開店前に確認する習慣をつけること。PCI DSS v4.0でも端末の物理的なチェックを定期的に実施することを要求している。

② マルウェア・不正ネットワークアクセス

POSシステムを狙ったマルウェアは、カードリーダーとPOSソフトの間でデータを傍受するタイプが主流だ。「POSマルウェア」とも呼ばれ、端末のメモリ上に一時的に平文で存在するカード情報を抜き出す。アメリカの大手小売チェーンが過去に数千万件規模の情報漏洩被害を受けた「Target事件(2013年)」もこの手口だった。

ネットワーク経由での侵入を防ぐには、POSシステム用のネットワークセグメントをほかの業務系ネットワーク(Wi-Fiや社内PCなど)から分離することが有効だ。ルーターのVLAN機能を使えば、ある程度は対応できる。ただし設定を誤ると逆に穴が生まれるため、自信がなければ業者に依頼した方が安全だと思う。

③ 内部不正

統計上、情報漏洩の原因の30〜40%は内部者(従業員・元従業員)によるものとされている。アクセス権限の管理が不十分な場合、退職した従業員のアカウントが残り続けていたり、必要以上の権限を持ったスタッフが顧客データにアクセスできたりする。

対策は「最小権限の原則」を徹底すること。レジ担当者には売上操作の権限だけを付与し、顧客データの閲覧・エクスポートはマネージャー以上に限定する。退職時には即日アカウントを無効化するフローを社内に作っておく。

PCI DSS v4.0——2025年から何が義務になったか

PCI DSS(Payment Card Industry Data Security Standard)は、VisaやMastercardなど主要5ブランドが共同で策定した、クレジットカード情報を扱う事業者向けのセキュリティ基準だ。2022年3月にv4.0が公開され、旧バージョン(v3.2.1)からの移行期間を経て、2025年4月1日をもって新要件が完全施行された。

PCI DSS v4.0の主な変更ポイント

フィッシング対策(DMARC・SPF設定)の義務化、多要素認証(MFA)の適用範囲拡大、継続的なリスク分析の実施が新たに要求されている。

法律上の義務ではなく、カードブランドの会員規約上の要件という位置付けだ。ただし準拠しない場合、カード決済自体を停止されるリスクがある。「PCI DSS認定」を取得していなくても、基準を満たしている状態を維持することが重要で、大規模加盟店(年間600万件以上の取引)には第三者監査が必要になる。中小規模の加盟店は自己問診票(SAQ)への回答で対応できる場合が多い。

ただし、正直なところ、認定取得にかかる具体的なコストや工数は事業者の規模・システム構成によって大きく変わるため、ここでは確定的な数字を出せない。詳細は認定QSA(審査機関)に相談するのが現実的だ。

日本では「クレジットカード・セキュリティガイドライン【6.0版】」(クレジット取引セキュリティ対策協議会)がPCI DSSの実務指針として位置付けられており、2025年4月以降はすべてのEC加盟店でEMV 3-Dセキュア(3Dセキュア2.0)の導入が原則必須になっている。

クラウド型とオンプレ型の違いについてはクラウドPOS vs オンプレの違いの記事でも詳しく触れているので参考にしてほしい。

今すぐ確認すべき5つのポイント

理論より実務。以下の5つは、規模に関係なくすべての事業者が確認しておくべき最低限のチェックリストだ。

1. デフォルトのパスワードを変えているか

POSシステムや決済端末の初期パスワード(「1234」「admin」「password」など)をそのまま使い続けているケースが、驚くほど多い。攻撃者はこれを知っていて、出荷時の初期値を片っ端から試す。PCI DSS v4.0の要件2でも、すべてのシステムコンポーネントでデフォルトパスワードを変更することが明確に求められている。

2. ソフトウェア・ファームウェアを最新に保っているか

OSやPOSソフトのアップデートを「面倒だから後回し」にしていると、既知の脆弱性を突かれる。特にWindowsベースのPOS端末は、Windowsのサポート切れ(EOL)後も使い続けるケースが多く、セキュリティパッチが届かなくなる。端末の更新スケジュールはOSのEOL日程にあわせて計画しておく必要がある。

3. ネットワークを分離しているか

POSシステムと店舗の業務Wi-Fi(お客様向けフリーWi-Fiも含む)が同じネットワーク上にあるのは危険だ。フリーWi-Fi経由で侵入した攻撃者がPOS端末に到達できてしまう。ルーターのVLAN設定またはネットワーク分割で、POS専用のセグメントを切り出す。

4. アクセス権限を最小化しているか

先述の内部不正対策と重なるが、誰がどのデータにアクセスできるかを定期的に棚卸しする。クラウドPOSの場合、管理画面のユーザー権限設定を確認してほしい。スマレジやAirレジなど主要サービスには役割別の権限設定機能があるので、活用する。

5. 端末を物理的に管理しているか

タブレット型のPOSレジはスキミングデバイスの取り付けこそ難しいが、端末ごと盗難されるリスクがある。端末に保存された認証情報やキャッシュデータが漏れる可能性がある。閉店後はロック・収納を徹底し、紛失時のリモートワイプ設定も確認しておく。

よくある疑問

クレジットカードを扱わなければPCI DSSは関係ない?

基本的にはそうだ。PCI DSSはカード情報を「保存・処理・伝送」する事業者を対象にした基準なので、現金のみの業態なら直接関係しない。ただし将来的にキャッシュレス決済を導入する予定があるなら、あらかじめシステム設計の段階でPCI DSS対応を見越しておく方が後からコストがかからない。

クラウドPOSを使えばPCI DSS対応は不要?

そうとは言い切れない。クラウドPOS側がPCI DSSに準拠していても、加盟店(事業者)側の端末管理・ネットワーク管理まではカバーされない。事業者自身がSAQ(自己問診票)に回答し、自分たちの環境が基準を満たしているかを確認する義務は残る。使っているクラウドPOSがどのSAQタイプに対応しているかは、各サービスの公式ページで確認してほしい——ここは自分も各サービスの最新状況を完全には把握しきれていないので、直接問い合わせるのが確実だ。

万が一、情報漏洩が発覚したらどうする?

まずカードブランドや決済代行会社への即時報告が必要だ。発覚から72時間以内の報告が求められるケースもある。並行して当該端末をネットワークから切り離し、ログの保全を行う。この流れを事前にマニュアル化しておくかどうかで、実際に起きたときの対応速度が大きく変わる。障害・インシデント対応の流れについてはPOSレジ障害時の対応マニュアルも参考にしてほしい。

セキュリティ対策の負担を減らすには、クラウドPOSを選ぶのが近道

結局のところ、セキュリティ対策に割けるリソースが限られている中小規模の事業者にとって、一番現実的な方法はクラウドPOSを選ぶことだ。データの暗号化・バックアップ・セキュリティパッチの適用をサービス事業者が担ってくれるため、自社で管理すべき範囲が大幅に減る。

スマレジは月額0円から使えるクラウドPOSで、決済機能を含めた場合でもプランによっては低コストで導入できる。PCI DSS対応のカード決済機能を内包しており、独自にセキュリティ設備を整える負担を最小化できる。規模が小さい段階で無料プランから始め、業容にあわせて拡張できる柔軟性も選ばれる理由の一つだ。

もちろんクラウドPOSを使っていても、パスワード管理・ネットワーク分離・端末の物理管理という事業者側の基本対策は変わらない。ツールに頼るだけでなく、運用のルールを作ることが最終的には一番の防衛線になる。

関連ツール

競合サイトの変更をAIが自動検知

まもなく公開。事前登録受付中。

詳細を見る →

比較ツール

POSレジ比較

スマレジ・Airレジ・SquareなどPOSレジを業種・機能・料金で比較

無料で比較する →