成功ノウハウ

ECサイト運営に絶対不可欠のリスク対策と回避するための対処法

ECサイト運営に絶対不可欠のリスク対策と回避するための対処法
日本においてECサイトの市場規模は増加傾向にあり、経済産業省が発表した「平成29年度 我が国におけるデータ駆動型社会に係る基盤整備 (電子商取引に関する市場調査)」では、BtoCのEC市場規模が、2017年の段階で16兆円を突破しています。[注1] さらに、ネットオークションやフリマアプリという個人でも行なえるCtoCの市場規模は、2017年には、2つを合せて8,404億円にのぼっています。[注1] このように企業はもちろん個人も運営できるECサイトですが、運営にあたってはリスクを確認しておく必要があります。 リスクを知らず運営してしまっては、後になってから重大な事態にもなりかねなません。 ECサイト運営のリスク、また回避する方法をしっかりと把握しておきましょう。

ECサイト運営での最大のリスクは個人情報の漏えい

ECサイトを運営するうえでの最大のリスクとして個人情報漏えいが挙げられます。 情報漏えいの主な原因として、*不正アクセス*ヒューマンエラーが挙げられます。 特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)の発表によると、2018年に発生した個人情報漏えい件数は443件と、前年の386件より増加しています。 個人情報漏えいの原因は、*不正アクセス:90件*ヒューマンエラー(誤操作、紛失置き忘れ、管理ミス):279件と報告されています。[注2]

個人情報が集まるECサイトはサイバー攻撃の格好の的

クレジットカードの暗証番号をはじめ、ECサイト利用には個人情報を入力する必要があり、不正アクセスに代表されるサイバー攻撃にあうリスクがあります。 ECサイト担当者を対象にしたアンケートでは、49.1%がサイバー攻撃を受けたことがあることが明らかになっています。[注3] サイバー攻撃により標的となったコンピューターは、個人情報が窃取されクレジットカード情報の不正利用や、闇サイトへ売買などの犯罪に使われてしまいます。 また、システムが改ざん・破壊されることで機能が停止してしまう恐れがあります。

ヒューマンエラー

サイバー攻撃だけでなく、社員によっておこるヒューマンエラーもECサイト運営のリスクです。 パソコンの誤操作や、情報が入ったパソコンやUSBの置き忘れや紛失といった人為的なミスで個人情報が漏えいしてしまうケースがあります。 ECサイトを運営するうえで、サイバー攻撃やヒューマンエラーのリスク対策を行なっていないと、自社に大きな損害を与えることとなりますし、社会的な信用も失うことになります。 事業を展開していくうえで、顧客や組織を守るためにECサイト担当者は、リスク回避の知識を持ち、常にそれを意識することが肝心です。

ECサイトにおける情報漏えい発生で想定されるダメージ

ECサイトにおける情報漏えい発生で想定されるダメージ
個人情報を漏えいさせてしまった場合、クレジットカードの不正利用、被害者への損害賠償、法的制裁のリスク、最悪の場合はサイトの閉鎖に追い込まれるケースもあります。

クレジットカード情報の不正利用が起こった場合

ネットショッピングではクレジットカード決済が多く導入されており、それに伴い、クレジットカードの不正利用が発生しています。 もしカード情報が漏えいし、不正利用が発覚した場合は「チャージバック」という措置がとられます。 チャージバックとは、クレジットカードの保有者が不正利用などの理由により、利用代金の支払いを取り消しや返金をクレジットカード会社に要求することを指します。 不正利用が行われた場合はクレジットカード会社に対してECサイト事業者が購入代金を返金しなくてはならず、ECサイト事業者に大きな損失をもたらしてしまうのです。

訴訟問題となる可能性

個人情報の漏えいは、被害を被った消費者から訴訟問題へと発展するケースもり、以下の責任が問われます。 *刑事上の責任*民事上の責任 刑事、民事のどちらかではなく、両方が課せられる場合もあるのです。 刑事上の責任では「最大6ヶ月の懲役、又は最大30万円の罰金」、民事上の責任では「損害賠償責任、又は謝罪金支払いの可能性」があります。 JNSAの発表によると、情報漏えいによる1人あたりの平均想定損害賠償額は2万9,768円、1件あたりとなると6億3,767万円が平均想定損害賠償額となっています。[注2]

事後対応費用(謝罪金)が総額5億円以上になったケースも

個人情報が漏えいしてしまった場合、被害にあった顧客に対して、1人あたり数百円~数万円のお詫び金・お詫び品を送ることがあります。 2009年には大手証券会社が顧客情報を漏えいさせたことによって、被害にあった顧客に対して1万円分の商品券を配布。 総額は5億円以上にのぼったとされています。

サイト閉鎖に追い込まれる

クレジットカード情報が流出した際は、流出原因や被害範囲の特定をするべく、「フォレンジック調査」が義務付けられています。 調査期間中サイトは一時的に閉鎖されてしまい、情報漏えいがあったECサイトは社会的信頼が失墜し、ユーザーの減少により本格的なサイト閉鎖へと追い込まれることにもなりかねません。 このようなリスクを避けるために、ECサイトを運営するうえで情報漏えいに関する対策は最も重要だということが分かります。

ECサイト閉鎖に追い込まれた情報漏えいの実例

ECサイト閉鎖に追い込まれた情報漏えいの実例
サイバー攻撃を受けたことによって、実際に閉鎖へと追い込まれたECサイトはいくつもあります。 企業の規模は関係なく、セキュリティ対策に不備がある場合は、サイバー攻撃の格好の的となってしまいます。

DLmarket

デジタルコンテンツのダウンロード販売をするDLmarketでは、2018年11月に不正アクセスが発生。 その結果、7,741件の個人情報を漏えいさせてしまいました。 サービスを一時停止し、セキュリティ対策の強化を行っていましたが、2019年3月にサイトが閉鎖されました。 DLmarketへの不正アクセスの原因は、サイト内システムの脆弱性です。 サイバー犯罪者がセキュリティを破り、システムを改ざんして偽の決済フォームへ誘導するという犯行でした。

老舗和菓子店の藤い屋

広島県にある老舗和菓子店、藤い屋は実店舗に加えてオンラインショップを運営。 そのオンラインショップは、決済代行会社から指摘されたことで2019年の2月に情報漏えいが発覚しました。 警察、個人情報保護委員会に報告後、被害対象となった顧客に身に覚えのない請求はなかったか確認するように求めています。 同オンラインショップは再開せず、閉鎖されたままです。

ななつ星Gallery

九州旅客鉄道株式会社が運営する、ななつ星Galleryにも不正アクセスがありました。 2019年3月、顧客のカード情報や個人情報の流出が決済代行会社から指摘されたことが発覚のきっかけです。 流出したと思われる顧客情報は最大7,996名に及んでいます。 同年の3月11日にサイトは閉鎖されています。

岩手ワイン醸造所のエーデルワイン

岩手のワイン醸造所、エーデルワインが運営するオンラインショップでも不正アクセスがあり、クレジットカード情報3万1,231件が流出した可能性があります。 流出が発表された2019年4月の段階では、該当サイトは既に閉鎖されており、その後も再開されていません。

ECサイトの水際のリスク対策にはセキュリティー強化が必須

ECサイトの水際のリスク対策にはセキュリティー強化が必須
サイバー攻撃の新しい手口は次々と生まれているため、セキュリティ対策ソフトやアプリケーションも頻繁にアップデートされています。 ECサイトを運営するためには、情報漏えいを防ぐためにも、常にセキュリティを強化する意識を持たなくてはいけません。

OSやソフトウェアは常に最新バージョンで

OSやソフトウェアをアップデートせず、古いバージョンを使い続けるのは、サイバー攻撃のリスクを高めてしまいます。 古いバージョンのOSやソフトウェアに存在する脆弱性を、サイバー攻撃で狙われる危険性が高くなります。 現在使用しているOSやソフトウェアになんらからの脆弱性が見つかった場合、ベンダー側からその旨がアナウンスされ、修正プログラムが配布されるので、常に最新のヴァージョンを維持することを心がけましょう。

サイバー攻撃をブロックするシステムを導入する

IPS(侵入防止システム)や、WAF(Webアプリケーションファイアウォール)の導入はセキュリティー強化にとても効果的です。 WAFはクラウド型もあるため、状況に合わせて確認してください。

強固なプラットフォームを利用する

ECサイトのセキュリティ強化を考えるのであれば、強固なプラットフォームを利用することが重要です。 ECサイトの運営はプラットフォーム上で行われるため、セキュリティ対策に強いプラットフォームを利用することが、ECサイトのセキュリティ強化につながります。 ECサイトの構築がオープンソースとなっている場合は、アプリケーションとサーバーを分けて考え、両方を個別に選定しましょう。 ASPでの構築は常に最新のセキュリティ状態をキープできるため、セキュリティが強化されます。

セキュリティーに関するルールを定めて教育する

情報漏えいはサイバー攻撃だけではなく、コンピューターの操作ミスや誤送信などの人的ミスも原因に挙げられます。 セキュリティー対策もさることながら、人的ミスによる情報漏えいを防ぐためにも、セキュリティーに関するルールや教育も大変重要といえます。 社員1人1人の意識付け、メールの暗号化、誤送信対策のソフトやサービス、システムの導入なども検討しましょう。

【まとめ】ECサイト運営はリスク回避を念頭に置くこと

ECサイトを運営するうえで、売り上げのアップの戦略や業務の効率化だけにとらわれず、情報漏えいリスクについて理解して、対策をとっておくことが重要です。 専門的な知識が必要となるため、外部のサービスと連携をとりながら自社や顧客を守っていきましょう。  [注1] 平成29年度 我が国におけるデータ駆動型社会に係る基盤整備 (電子商取引に関する市場調査) 経済産業省https://www.meti.go.jp/press/2018/04/20180425001/20180425001-2.pdf[注2] 018年 情報セキュリティインシデントに 関する調査結果 ~個人情報漏えい編〜 特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf [注3] トレンドマイクロ株式会社 企業におけるECサイトのセキュリティ実態調査 2016https://www.trendmicro.com/ja_jp/about/press-release/2017/pr-20170131-01.html

RELATED POST