PCI SSCから自己問診(SAQ)v4.0.1の日本語版が公開されました(2025年2月)
PCI SSCドキュメントライブラリ
https://www.pcisecuritystandards.org/document_library/


SAQ Aについては、注意が必要です。現在公開されているものは【改定1】バージョンです。
「2025年4月1日以降に有効」となっており、現時点では適用されません。
2025年3月末日まで適用されるSAQ A v4.0.1を確認するには、「v4.0.1 Jan.2025」をプルダウンし、「v4.0.1 Oct.2024」を選択してください。ただし、日本語版は提供されていません
したがって、現在有効なSAQ A v4.0.1の日本語版は存在せず、2025年4月1日以降に適用される【改定1】のみが日本語版として公開されています。

SAQ A【改定1】バージョンに関して、PCI SSCから重要な更新が発表されました。
https://blog.pcisecuritystandards.org/important-updates-announced-for-merchants-validating-to-self-assessment-questionnaire-a

SAQ Aの支払いページのセキュリティに関する要件6.4.3および11.6.112.3.1が削除されたSAQ A revision1が公開されました。
併せてSAQの冒頭にある「Completing the Self-Assessment Questionnaire」(自己問診の記入法)で加盟店が確認する事として
以下が追記されています。
The merchant has confirmed that their site is not susceptible to attacks from scripts that could affect the merchant's e-commerce system(s).

上記ソースにあるPCI SSCのブログの日本語訳を、参考までに下記に載せます。※公式ではないので、ご留意ください。
------抄訳ココカラ-------Important Updates Announced for Merchants Validating to Self-Assessment Questionnaire A --------------
PCIデータセキュリティ基準(PCI DSS)v4.0.1の新しい電子商取引セキュリティ要件6.4.3および11.6.1の実装に関する利害関係者からのフィードバックを受けて、PCIセキュリティ基準協議会(PCI SSC)は、加盟店向け自己問診(SAQ)Aに基づいて検証を行う重要な改訂を発表しました。

SAQ Aは、アカウントデータ機能が完全にPCI DSS準拠の第三者に委託されている加盟店に適用され、加盟店はアカウントデータを含む紙の報告書または領収書を保持するのみです。SAQ Aに該当する加盟店は、電子商取引加盟店または郵送/電話注文((card-not-present)加盟店であり、アカウントデータを電子形式で保存、処理、送信することはありません。

業界の利害関係者からの意見を詳細に検討した結果、PCI SSCはSAQ Aに関して以下の更新を行うことを決定しました。
・支払いページのセキュリティに関するPCI DSS要件6.4.3および11.6.1、および要件11.6.1をサポートするためのターゲットリスク分析を求める要件12.3.1の削除
・加盟店が「自社のサイトが、加盟店の電子商取引システムに影響を与える可能性のあるスクリプトによる攻撃に対して脆弱でないことを確認する」ための適格基準の追加

現在、当社のウェブサイトには2つのSAQ Aバージョン(英語版)が掲載されています。
一つは2024年10月に公開されたもので、もう一つは2025年1月に公開された新しいバージョンです。2024年10月に公開されたSAQ Aバージョンは、2025年3月31日に廃止されます。2025年1月に公開されたSAQ Aバージョンは現在レビュー用に利用可能ですが、2025年3月31日まで有効にはなりません。(この日は、新バージョンPCI DSS v4.0.1の要件が適用開始となる日でもあります)。

PCI DSS v4.0.1の要件6.4.3、11.6.1、および12.3.1は、2025年3月31日より適用されます。
これらのSAQ Aへの変更は、加盟店がこれらの要件に対するコンプライアンス報告のアプローチに影響を与えることになりますが、重要なのは、これらがPCI DSS内の基本的な要件を削除したり、軽減したりするものではないという点です。SAQ Aは、セキュリティニーズと合理的なセキュリティ要件のバランスを保ちつつ、コンプライアンスを強制する組織に対して選択肢と柔軟性を提供し続けます。

PCI SSCは、いかなる組織に対してもコンプライアンス要件を定義したり、コンプライアンス検証の責任を設定したりすることはありません。
PCI SSCは、コンプライアンス検証を円滑に進めるために使用できるツールを提供しています。コンプライアンス検証要件は、ブランド、取得業者、支払い処理業者などによって設定されており、これらは一般的に「コンプライアンス強制機関」と呼ばれます。組織は、PCI DSSコンプライアンス検証要件や適用可能な検証ツールについて質問がある場合、必ず自社のコンプライアンス強制機関に相談する必要があります。

これらの進展は、PCI基準および支援プログラム資料の策定と改良において、私たちの利害関係者コミュニティが果たす重要な役割を強調しています。
これらの変更に至った協力的なプロセスは、PCI SSCコミュニティの参加組織であることの利点を示しています。基準の今後の開発に貢献したい、または参加組織になる方法について詳しく知りたい組織は、当社のウェブサイトにて追加情報をご覧いただけます。
------抄訳ココマデ-------Important Updates Announced for Merchants Validating to Self-Assessment Questionnaire A --------------