フリーランスも一読しておくべき「EC サイト構築・運用セキュリティガイドライン」について

EC サイトは商品を仕入れて販売する卸業者だけでなく、製造者もウェブサイトを設けて直接販売できる売上に直結する重要なツールだが、会員情報の漏洩や EC サイトの改ざんなど素人が見様見真似で構築して被害に遭うと会社の名前や商品ブランドの低下を招くため、担当者は一読しておくべき IPA が公開する「EC サイト構築・運用セキュリティガイドライン」について紹介する。

フリーランスも一読しておくべき「EC サイト構築・運用セキュリティガイドライン」について

1.EC サイトがサイバー攻撃を受けている背景

EC サイトがサイバー攻撃を受けている背景としては、近年、EC サイトへのサイバー攻撃により個人情報やクレジットカード情報が漏洩する事案が多数発生していることである。
EC サイトが取り扱う情報は商品データだけでなく、購入者の氏名や配送先となる住所や電話番号、クレジットカードなど重要な個人情報があり、情報価値としては非常に高いことから攻撃対象になりやすい。



情報を漏洩された個人の被害だけでなく、漏洩を起こした EC サイトの管理者側にとっても、原因調査や被害の補償など、経済的損失が発生するとともに、漏洩したニュースがネット上に残ることで長期に渡り顧客の信用を失うことにもつながる。

そこで、独立行政法人情報処理推進機構(IPA)が EC サイトを構築・運用する中小企業向けに、EC サイトのセキュリティ確保のために経営者が実行すべき項目、実務担当者が具体的に実践すべきセキュリティ対策の内容をまとめた「EC サイト構築・運用セキュリティガイドライン」を策定した。

2.IPA がガイドラインを策定する目的

IPA がガイドラインを策定する目的としては、セキュリティ対策が講じられていない EC サイトを公開したり、運用されることで個人の被害を防ぐだけでなく、EC サイトを運営する事業者にも不利益が生じないように経済産業省と連携して経済の安定を図るものである。

「EC サイト構築・運用セキュリティガイドライン」の表紙

EC サイトはシステム会社や IT スキルのあるフリーランスに構築依頼されることも多いことから、発注する事業者がセキュリティ意識を持つと同時に、 EC サイトの構築運用を請け負った業者も一読しておくとよい。

3.「EC サイト構築・運用セキュリティガイドライン」の概要

「EC サイト構築・運用セキュリティガイドライン」の概要としては、「経営者編」と「実践編」の 2 部で構成されている。
「経営者編」では、EC サイトにおけるセキュリティ対策に関して、経営者が認識し、自らの責任で実践しなければならない事項が説明されている。

「EC サイト構築・運用セキュリティガイドライン」の掲載内容


また、「実践編」では EC サイトの安全な構築および運用を実践するうえで検討および確認すべき事項について説明されている。

さらに、チェックリストに沿って、自社で対応可能な要件と対応困難な要件を分類するといった手順も解説していおり、自社で対応困難な要件を外部委託先に依頼するうえでの契約上の確認事項や、契約関係書類のひな型を付録に収録するなど、実践に必要な情報を全般的にまとめられている。

EC サイト構築・運用のチェックリスト


チェックリストは Excel でダウンロードすることが可能で、シートが「構築時チェックリスト」と「運用時チェックリスト」に分かれている。
必要に応じてチェック項目を増減することができ、さらに委託業者はチェックした上で成果物として利用することができる。

4.「EC サイト構築・運用セキュリティガイドライン」の入手方法

「EC サイト構築・運用セキュリティガイドライン」の入手方法は、IPA のサイトよりダウンロード可能である。
「EC サイト構築・運用セキュリティガイドライン」は PDF で、チェックリストは Excel で公開されている。
下記のリンクをブラウザでアクセスして「資料のダウンロード」より入手できる。

-> ECサイト構築・運用セキュリティガイドライン(外部サイト:IPA)

関連記事

コメントを残す