ECサイト運営者必見「個人情報の取り扱い方」!リスクと対策を解説
ECサイトの運営において、個人情報を取り扱う場合は情報漏洩に気を付けなければなりません。個人情報の取り扱いに関する正しい知識を持ち、適切なセキュリティ対策を行えるようにしましょう。本記事では、ECサイトに潜むリスクや効果的な対策のポイントを解説します。
目次[非表示]
- 1.ECサイトが個人情報の取り扱いに注意すべき理由
- 2.セキュリティ対策を怠ったECサイトに起こり得るリスク
- 2.1.社会的信用を失う
- 2.2.損害賠償を命じられる
- 3.ECサイトに有効なセキュリティ対策6つ
- 3.1.1.アクセス権限を管理する
- 3.2.2.社員のセキュリティ教育を徹底する
- 3.3.3.OSは最新バージョンを利用する
- 3.4.4.サイトの脆弱性を的確に把握し対策する
- 3.5.5.ログイン方法を見直し不正アクセスを防ぐ
- 3.6.6.個人情報を適切な場所で保管・管理する
- 4.ECサイトの個人情報漏洩事例3つ
- 5.ECサイトのセキュリティ対策ポイント
- 5.1.個人情報保護法を正しく理解する
- 5.2.個人情報の管理体制を整える
- 6.まとめ
ECサイトが個人情報の取り扱いに注意すべき理由
オンラインショッピングの利用が増える中で、ECサイトにまつわる個人情報やクレジットカード情報の漏えい事件が発生しています。
ECサイトにおける個人情報の漏えい事件の主な原因は、次の2つです。
- 社員の作業ミス
- サイバー攻撃
個人情報の漏えいは企業の信用に傷がつくだけではなく、多くの関係者に影響が出てしまう可能性があります。ECサイトの運営と個人情報の取り扱いの重要性を確認しておきましょう。
社員の作業ミス
情報漏洩の多くは関係者の意図しない作業ミスによって発生しています。ECサイトを運営する企業は、顧客への商品の配送や決済に必要な機密情報を取り扱っているため、特に注意が必要です。
もしECサイトの運営担当者が顧客のクレジットカード情報や名前、住所などのデータファイルを誤って外部に流出させてしまうと、顧客だけでなく多くの関係者に被害が及ぶ可能性があります。
社内教育を徹底し、システムのセキュリティ対策を整えておくことが必要です。
サイバー攻撃
ECサイトを運営する企業は、顧客情報を多く保有しているため、サイバー攻撃の標的になりやすい傾向があります。ECサイトに搭載されているアプリケーションや情報システムに脆弱性がある場合は、サイバー攻撃のリスクがより高くなってしまいます。
特に誰でも気軽に利用できるオープンソースのソフトウェアは、脆弱性情報まで公開されているのがデメリットです。Webサイトのセキュリティを高めるために、ECサイトを構築するシステムやサービスのセキュリティを確認するようにしましょう。
\まずは無料相談/
セキュリティ対策を怠ったECサイトに起こり得るリスク
クレジットカード情報など重要な情報を取り扱うECサイトは、セキュリティ対策を怠ってしまうと大きな問題を引き起こしてしまいます。
個人情報の漏えいが起きてしまった場合のリスクは次の2つです。
- 社会的信用を失う
- 損害賠償を命じられる
機密情報を取り扱う危険性を知り、適切なセキュリティ対策を取れるようにしましょう。
社会的信用を失う
情報漏洩を起こしてしまうと、これまで築き上げてきた企業に対する信用が失われてしまいます。
ECサイトを利用するにあたって、顧客はクレジットカード情報や住所、名前などの個人情報を企業に預けなければなりません。
一度情報漏洩事故を起こしてしまうと、事故を起こした企業に、自分の個人情報を安心して預けられるだろうかと不安になる顧客も多いでしょう。社会的信用を取り戻すには多くの努力や時間が必要となります。
損害賠償を命じられる
流出した個人情報が悪用され被害が出てしまった場合には、損害賠償を命じられる可能性もあります。損害賠償の額は情報漏洩したデータの規模や内容にもよりますが、時には企業の存続が危ぶまれるほどの高額となってしまうケースもあります。
なんとか損害賠償を払い終えたとしても、風評被害により経営が落ち込んでしまえば立ち直るのもが難しいでしょう。情報漏洩は事前の対策を取り、事故の発生を防ぐのがなによりも大切です。
ECサイトに有効なセキュリティ対策6つ
ECサイトにとって致命的な個人情報の漏えいを防ぐ対策は以下の6つです。
- アクセス権限を管理する
- 社員のセキュリティ教育を徹底する
- OSは最新バージョンを利用する
- サイトの脆弱性を的確に把握し対策する
- ログイン方法を見直し不正アクセスを防ぐ
- 個人情報を適切な場所で保管・管理する
6つの情報セキュリティ対策について、詳しく内容を解説します。
1.アクセス権限を管理する
関係者のミスや不正による個人情報の漏えいを防ぐには、データへのアクセス権限を制限し、管理する方法があります。ECサイトの管理画面へのログイン権限はもちろん、より丁重に扱う必要がある個人情報データへは、リーチできる人を絞り、アクセス権限を管理します。
複数の管理者を置く場合でも、権限レベルを設定すれば、重要な情報にアクセスできる人数を制限できます。管理が徹底されていれば、万が一情報漏洩が発生した場合でも、原因追及や追加の対策が取りやすくなるでしょう。
2.社員のセキュリティ教育を徹底する
いくら精度の高いセキュリティ対策を取っていても、実際に業務にあたる職員の情報セキュリティ知識が乏しいと思わぬ事故が発生する可能性があります。
想定できる被害としては、不審なメールに対し誤った対応をしたことによるマルウェア感染や、持ち出したデータの紛失などが挙げられます。情報セキュリティ教育を徹底し、誰もが責任感を持って情報を取り扱えるようにしましょう。
3.OSは最新バージョンを利用する
OSのアップデートを怠っているとセキュリティ状態が万全に保たれず、サイバー攻撃を受けやすくなってしまいます。定期的にOSのアップデート情報を確認し、高いセキュリティレベルを保てるようにしましょう。
4.サイトの脆弱性を的確に把握し対策する
ECサイトは、さまざまなシステムやアプリを組み合わせて構成されています。それぞれの要素が正しく機能することが、安全性の高いECサイトの基本です。
サイトのどこかに脆弱性が生じてしまうと、その抜け穴を見つけた第三者に個人情報を悪用されてしまう可能性があります。セキュリティ対策ソフトを使うなどして、いち早く自社サイトの脆弱性を把握し対策を講じることが大切です。
5.ログイン方法を見直し不正アクセスを防ぐ
ECサイトのログイン方法が単純だと、会員情報リストが流出してしまった場合に誰でも簡単にアクセスできてしまいます。不正アクセスを防ぐには、IDとパスワードのみではなく、セキュリティ効果の高い二要素認証を採用するのも有効です。
指紋やワンタイムパスコードでの確認を導入すれば、不正アクセスされるリスクは大幅に軽減できるでしょう。
6.個人情報を適切な場所で保管・管理する
個人情報は、インターネットから切り離して、安全な場所で保管・管理する必要があります。URLを知っていれば閲覧できてしまうような場所に個人情報が放置されていると、トラブルが起きた際に誰が情報を持ち出したのかを把握できません。
個人情報がインターネット上に一度公開されてしまうと、元データを削除してもキャッシュが残ってしまう可能性も否めません。ECサイト運営開始前に、個人情報の保管場所は慎重に検討しておきましょう。
\社員の教育にも使えるツールをお探しの方はこちら/
ECサイトの個人情報漏洩事例3つ
ECサイトで個人情報漏洩対策を施す際には、実際に起きた事例を知り、備えることも大切です。今回は、以下の3つの情報漏洩事例をご紹介します。
- 不正アクセスにより個人情報が漏えいした事例
- システムの脆弱性が個人情報流出につながった事例
- 社員のミスで個人情報漏洩被害が広がった事例
トラブルが起きた原因や被害の大きさにも注目してみてください。
1.不正アクセスにより個人情報が漏えいした事例
まずは玩具メーカーで起きた不正アクセスによる情報漏洩事例をご紹介します。
同社のサーバーが不正アクセスを受け、最大10万件以上の個人情報が漏えいした可能性があると発表された事例です。
運よくクレジットカード情報や支払い情報は含まれていませんでしたが、多くの会員情報が流出してしまいました。
2.システムの脆弱性が個人情報流出につながった事例
とあるECサイトの事例では、搭載しているアプリケーションシステムの脆弱性を突かれ、1万件を超える個人情報が漏えいしました。
アプリケーションやシステムの脆弱性を巧妙に見つけ出し、個人情報を盗み取ろうとする犯罪者は後を絶ちません。利用する場合はしっかりと選別し安全性を確認したうえで、最新バージョンへのアップデートを欠かさないようにしましょう。
3.社員のミスで個人情報漏洩被害が広がった事例
大手化粧品メーカーの子会社では、不正アクセスによりクレジットカード情報と個人情報が流出しました。情報漏洩の主な原因は不正アクセスですが、実際には社員の管理ミスやセキュリティ対策の甘さも関係していたとされる事例です。
親会社のデータには問題はなかったものの、関連会社で情報漏洩が起きてしまったことへの風評被害は避けられなかったようです。
ECサイトのセキュリティ対策ポイント
商品配送のための顧客住所や名前、クレジットカード情報などの個人情報を取り扱うECサイトでは、以下の2点に気を付けてセキュリティ対策を講じる必要があります。
- 個人情報保護法を正しく理解する
- 個人情報の管理体制を整える
ECサイト運営者であれば、個人情報保護法の内容を正しく理解しておく必要があります。また、普段から個人情報の管理体制を整えておくことで、情報漏洩リスクを避けることができるでしょう。
ECサイトのセキュリティ対策のポイントを解説します。
個人情報保護法を正しく理解する
そもそも個人情報とは、その情報によってある個人を識別できる情報を意味します。個人情報を取り扱う全ての事業者に、個人情報の取り扱いに関する法令遵守の義務が課されています。
もちろんECサイトも例外ではなく、個人情報保護法に則ったサイト運営が基本です。個人情報保護委員会事務局が発表している「個人情報保護法の基本」によると、事業者が守るべきルールには次のようなものがあります。
- 個人情報の取得・利用に関するルール
- 個人情報の保管に関するルール
- 個人情報の譲渡に関するルール
- 個人情報の海外第三者への譲渡に関するルール
- 本人からの個人情報開示請求に関するルール
今回は細かい内容まではご紹介できませんが、リンク先の資料に一度目を通しておくと安心です。
個人情報保護法が改正された場合は、改正内容を理解し、その都度個人情報の管理体制をアップデートしておく必要があるでしょう。令和2年に法改正された内容には、法人へのペナルティ額引き上げが含まれています。
改正前 |
改正後 |
|
個人情報保護委員会からの 命令への違反 |
30万円以下 |
1億円以下 |
個人情報データベース等の 不正提供等 |
50万円以下 |
1億円以下 |
個人情報保護委員会への 虚偽報告等 |
30万円以下 |
50万円以下 |
罰金刑の大幅な引き上げにより、個人情報の取り扱いを誤った際に企業が受けるダメージも大きくなっています。個人情報保護法を正しく理解したうえでECサイトを運営できるようにしましょう。
参照:個人情報保護委員会事務局ー「個人情報保護法の基本」
参照:個人情報保護委員会ー「令和2年 改正個人情報保護法について」
個人情報の管理体制を整える
ECサイト運営企業が個人情報漏洩リスクに備えるためには、日々の情報管理を徹底することから始めると良いでしょう。社内にどれだけの個人情報がどのように保存・管理されているかを把握できていない場合は要注意です。
人の手で膨大な数の個人情報を管理するのが難しい場合もあるでしょう。そのような時は個人情報の管理に特化したツールを導入するのも効果的です。
P-Pointerは、社内のパソコンやファイルサーバの中から、ファイルの内容や属性情報をもとに保管ルールに違反している個人情報ファイルを検出する「個人情報ファイル検出・管理ソリューション」です。
ファイルの所在をチェックし、自動で移動や削除が可能なため、個人情報ファイルの把握と安全管理に課題をお持ちの企業様に最適なツールです。
どこにどのような情報が保存されているかを事前に把握しておくことで、効果的な情報漏洩対策が図れます。
まとめ
ECサイトは、数多くの個人情報を取り扱っているため、セキュリティ対策には特に気を使う必要があります。万が一個人情報が漏えいしてしまうと、賠償金を支払わなければならないだけではなく、社会的信用まで失ってしまうかもしれません。
ご紹介したセキュリティ対策や個人情報漏洩事例、対策のポイントを参考にしながら利用者が安心して利用できるECサイトの作成、運用を目指しましょう。
個人情報を確実に管理するための専用ツールもあるので、導入してみるのも手でしょう。例えば、P-Pointerなどのツールを活用すれば、PCやファイルサーバにある個人情報を含むファイルがどこにどれだけあるか自動で検出できます。
以下より資料をダウンロードできますので、参考にしてください。
\P-Pointerの資料はこちら/
\自身のPCの個人情報を「無料体験版」でチェック/
