ECサイトで情報漏えいが起こるとどうなる？ 安心できるサイト作りに欠かせない対策方法

ECサイトの運営において、特に注意しなければいけないのが「情報漏えい」です。万が一情報漏えいが起こった場合は、損害賠償の発生や社会的な信用の低下など、さまざまな損失を受ける恐れがあります。

ほとんどの企業が対策を行っているはずですが、情報漏えい事故は毎年のように発生しています。ECサイトにおいては、どのように対策すれば良いのでしょうか。

ここでは、ECサイトで情報漏えいが起こった際のリスクや、行いたい対策の例をご紹介します。

ECサイトで情報漏えいが起こった場合のリスク

ECサイトには、クレジットカード情報や顧客の住所など、たくさんの重要な情報が保存されています。万が一それらが漏えいした場合、どのような問題につながるのでしょうか。

高い将来性が期待できるEC市場

ECサイトを運営している企業が情報漏えい事故を起こした場合、損害賠償として莫大な賠償金を支払う可能性があります。

数千万～数億円という賠償金を支払うことになった例もあるため、企業にとって大きなダメージになりかねません。賠償金の額によっては、事業を継続するのが難しくなることも考えられます。

ブランドイメージの低下

情報漏えいを起こした結果、「情報管理がずさん」「セキュリティ対策がされていない」といったイメージを持たれる恐れがあります。企業やブランドの印象が悪くなった結果、顧客離れや業績の悪化につながる可能性も高いです。

一度低下したイメージの回復には、多くの時間と労力が必要になります。ブランドイメージを損なわないためにも、情報漏えいのリスクを理解して、対策を講じることが重要です。

ECサイトの情報漏えい事例

経済産業省の資料では、サイトが改ざんされてカード番号が流出したケースや、ECシステムを提供する事業者への不正アクセスが原因で、情報漏えいにつながったケースなどが挙げられています。

特に、サイト改ざんが原因の情報漏えいは、オープンソースで構築されたECサイトによく見られるようです。※

他にも、2021年にはメールの誤送信が原因の情報漏えい事故が、2022年にも不正アクセスによるクレジットカード情報の漏えい事故が発生しています。

情報漏えいはどのサイトでも起こる可能性があるため、万全の対策を行う必要があります。

※出典：経済産業省「最近の主な漏えい事案」

https://www.meti.go.jp/shingikai/mono_info_service/credit_card_payment/pdf/001_04_02.pdf

情報漏えいを防ぐ対策

ECサイトにおいて、情報漏えいを防ぐためのセキュリティ対策は重要度が高いですが、具体的にどのような対策が有効なのでしょうか。

情報漏えいを防ぐために行いたい対策の一例としては、以下が考えられます。

システムを最新に保つ

情報漏えいの原因で多くを占めるのが、ウイルス感染や不正アクセスです。サーバーのOSや使用しているアプリケーションのアップデートを行い、システムを最新の状態に保つことが重要です。

特に、クラウドECやASPは、サービスを提供する事業者が定期的にシステムのアップデートを行っていますが、オープンソースや自社でECサイトを構築・運営する「オンプレミス」の場合は、バージョンアップによるセキュリティ対策が欠かせません。

システムが古いままだと、脆弱性（セキュリティホール）を攻撃され、情報漏えいにつながる恐れがあります。

従業員にセキュリティ教育を行う

情報漏えいの原因は、外部からのウイルス攻撃や不正アクセスだけではありません。内部の従業員の操作ミスや故意のデータ持ち出し、不審なメールを開いたことによるウイルス感染、機器の紛失といった人為的ミスが原因になるケースも見られます。

従業員による情報漏えいを防ぐために、日頃からセキュリティ教育を行うことも重要です。

また、システムの操作ログを取得する仕組みを導入して、内部の犯行を抑止するのも、情報漏えいを防ぐことにつながります。

情報を厳重に保管する

従業員にセキュリティ教育を行っていても、パスワードや顧客データといった重要な情報を多くの人が見ることができる状況だと、情報漏えいにつながるリスクは高まります。

担当者以外は情報を閲覧できないように設定し、情報を閲覧できる人の数を減らすことも重要です。

あらかじめ担当者を決めておけば、万が一ミスや情報漏えいが起こったとしても、原因を見つけやすくなります。

強固なログイン方法を取り入れる

ECサイトへのログイン方法もポイントです。IDとパスワードだけでログインできるサイトの場合、しらみつぶしに入力を繰り返したり、何らかの方法でアカウント情報を取得したりすれば、不正にログインできてしまいます。

不正ログインを防ぐために、「二要素認証」を取り入れるのがおすすめです。二要素認証とは、方法の異なる2つの要素を組み合わせた認証のことを指します。

スマホに1回しか使えないパスワードが届く「ワンタイムパスワード」や、本人の指紋や静脈を使う「生体認証」、本人しか知らない「パスワード」などが、二要素認証に使われる方法です。

二要素認証を取り入れていれば、万が一IDとパスワードが漏れたとしても、不正アクセスを防ぐことができます。

決済方法の変更

決済方法の再検討も重要です。例えば、クレジットカードの情報を自社サイトで保持しないようにすれば、クレジットカードの情報漏えいが起こる可能性は減らせます。

クレジットカードの情報を保持しない方法としては、情報を暗号化されたトークン（文字列）に置き換える「トークン型接続」や、決済代行会社のページに遷移して決済を行う「リンク型接続」などが挙げられます。

ただし、決済画面やカード情報の送信処理が改ざんされていて情報を抜かれるなど、情報の非保持化は万能の対策ではありません。

クレジットカード情報の非保持化だけではなく、サイトの脆弱性そのものを減らす対策も必要です。

高セキュリティで安全に使える「メルカート」

メルカートは、ECサイト構築実績ナンバー1の「ecbeing」から生まれた、クラウド型のECサイトです。最高水準のセキュリティや、自社運用のEC専用インフラサービスで、お客様のネットショップの情報漏えいを防ぎます。

また、無料で定期バージョンアップを行うクラウド型のサービスなので、アップデートを意識する必要もありません。

カード不正決済防止ツールとの連携も可能で、セキュリティが強固なECサイトを構築することができます。

情報漏えい対策で安心に使えるECサイト構築を

ECサイトは住所や氏名、クレジットカード番号といった重要な情報を多く扱います。不正アクセスや内部のミスにより情報漏えいが発生すると、被害者に対する莫大な損害賠償や社会的信用の失墜など、サイトの存続が危ぶまれる事態に発展しかねません。

システムの定期的なアップデートや、従業員への教育、情報の保管方法の見直しなどを行い、情報漏えいのリスクを下げることを心がけましょう。

また、ECカートシステムを、セキュリティ対策が整っているものに変更するのもおすすめです。

ecbeingから生まれたメルカートは、防御システムの完備や万全のセキュリティルームなど、強固なセキュリティでお客様のネットショップを守ります。

現状のECサイトのセキュリティに不安がある場合は、お気軽にお問い合わせください。