ECサイトの情報漏洩はどのように発生し、どのように防ぐことが出来るのか

 

情報漏洩は近年非常に増えてきており、いつ自分たちが当事者になってもおかしくない問題だ。東京商工リサーチが上場企業と子会社の情報漏洩・紛失事故を独自に集計しているが、2012年から2021年までの期間で事故を起こした企業は、全上場企業の1割以上を占める。また、漏洩・紛失した可能性のある個人情報は、実に日本の人口に匹敵する累計1億1,979万人分にもなっている。不正アクセスなどのサイバー攻撃による事故は近年深刻化しており、それがECサイトにおける情報漏洩の原因の多くを占めているのだ。そこで今回は、オンライン上での情報漏洩の概要や事例を把握し、いざ直面してしまった場合にどう対処すべきかを考えていく。

 

 

近年の情報漏洩事故の状況

 

情報漏洩は、オンライン・オフライン関係なく発生する可能性がある。そこで最初に情報漏洩の全体的な状況について整理し、続いてECサイトに絞って情報漏洩の被害状況を見ていこう。なお、事故報告と不正アクセスの分け方については、ここでは「不正アクセスという原因があって個人情報の漏洩事・紛失事故につながっている」と考えている(原因=不正アクセス/結果=個人情報の漏えい・紛失事故)。

 

それでは事故の概況を見ていこう。

 

情報漏洩の被害状況

東京商工リサーチの集計によると、上場企業とその子会社における2021年の情報漏洩・紛失事故件数は前年比の3割増で、2012年に調査を開始して以降、最多となってしまった。

rouei001

公表されているものだけで、2021年は120社、事故件数は137件で、漏洩した個人情報は574万9,773人分にのぼる。その前年にあたる2020年は、88社で103件の事故報告があり、漏洩した個人情報は実に約5倍の2,515万47人分という結果が出ている。2020年と比較すると2021年の情報漏洩の延べ人数は減っているが、企業数と事故件数は揃って増加し、過去10年間の調査の中で最多となる結果だった。情報漏洩の原因として多かったのは、2020年、2021年ともに「ウイルス感染・不正アクセス」が約50%。続いて「誤表示・誤送信」が約30%、「紛失・誤破棄」が約10%程度で、いかに「ウイルス感染・不正アクセス」の割合が高いかが分かる。

 

また、通販通信のサイトによると、近年ECサイトにおける不正アクセス被害が相次いでおり、ECサイトのクレジットカード情報を含む個人情報流出事故は、公表されているものだけで2018年は18件、2019年においては2.3倍の42件に達し、うち7件はサイト自体が閉鎖に追い込まれるという残念な結果になっている。

 

 

情報漏洩の原因

 

情報漏洩の原因は、主に「①ネットワークやサイトへのウイルス感染・不正アクセス」、「②誤表示・誤送信」、「③紛失・誤破棄」の3つと前述したが、ここからはそれぞれ詳しく見ていこう。

rouei002

 

 

外部からの不正アクセス

まず、情報漏洩の原因の約半数を占める「ネットワークやサイトへのウイルス感染・不正アクセス」。個人情報保護委員会のECサイトへの不正アクセスに関する実態調査によると、発生理由についての自社の認識は「脆弱性についての理解不足」が66%、「技術的ノウハウの不足」が59%と、総じて「情報セキュリティに関する知識不足」という意見が目立った。使用しているアプリやシステムの脆弱性といった欠陥があることで、サイバー攻撃され、悪用されると個人情報漏洩のリスクが高まってしまうのだ。

 

 

誤表示・誤送信

外部からの不正アクセスに次いで多かったのが「誤表示・誤送信(31.3%)」だが、これは人為的ミスによるものの1つだ。特に多いのがメールの誤操作による情報漏洩で、送信先や送信設定を誤ったり社内秘の情報を社外宛に送ってしまうことにより、個人情報や顧客情報が流出するケースが多い。

 

 

紛失・誤破棄

3番目に多かった「紛失・誤破棄(11.6%)」も、顧客情報が入ったパソコンやタブレット等の端末を社員の不注意によって置き忘れたり紛失し、取得した第三者に情報が漏洩するケースが発生している。これは社員が紛失のリスクをしっかりと理解できていないことに問題があり、企業側は徹底した教育が必要と言える。

情報漏洩の原因の第2位と3位(誤表示・誤送信/紛失・誤破棄)は予期せぬ事態で、本人の悪意はないが、一方で、社内データベースにアクセスできる社員が、「転売等の目的で意図的に顧客情報を持ち出すこと」も原因の1つとして挙げられる。

 

 

ECサイトの情報漏洩事例

 

それでは、近年発生しているECサイトにおける情報漏洩事件について事例を見ていこう。

 

不正アクセスによる情報漏洩

  • 2022年3月22日、森永製菓のECサイト「森永ダイレクトストア」において、不正アクセスによって個人情報が流出した可能性があると発表。流出したとみられる個人情報は、2018年5月1日~2022年3月13日の間に同サイトを利用した164万8,922人。流出した可能性のある情報は、氏名、住所、電話番号、生年月日、性別、メールアドレス、購入履歴で、クレジットカード情報は含まれていなかった。
  • 2021年10月27日、ジーンズセレクトショップのライトオンが運営する「ライトオン公式オンラインショップ」に対して外部からの不正アクセスがあり、ライトオンメンバーズ情報のうち、247,600人分の氏名、住所、電話番号、生年月日、性別、メールアドレスの情報流出があった。一方で、クレジットカード情報、オンラインショップのパスワードは漏洩していない。
  • 2021年3月24日、料理家 栗原はるみ・栗原心平の「ゆとりの空間オンラインショップ」にて、氏名、住所、電話番号、性別、メールアドレス、パスワード等の個人情報5,009件が流出した可能性があると公表された。さらに、同サイトでクレジットカード情報の登録または決済が行われた4,509件のセキュリティコードを含むクレジットカード情報についても、漏洩した可能性がある。Webセキュリティ対策を行う株式会社サンエイの独自試算では、想定被害額は約1,021万円としている。

 

誤送信による情報漏洩

  • 2021年10月26日、「ユーグレナ・オンライン」にて、「からだにユーグレナ Green Powder 乳酸菌」を注文していない利用者に対して、購入の御礼メールを誤送信していたことが判明した。ただし、誤送信による不正アクセス・個人情報の漏洩などは発生していない。

 

 

情報漏洩を防ぐにはどうすればいいのか

 

情報漏洩が起こることで、当然社会的信用は失われてしまう。事業において機会損失が起こってしまう可能性も多いにあるため、EC事業者には積極的に情報漏洩を未然に防ぐ対策を考えていただきたい。ここでは、外部からの攻撃に備えてできること、そして社内で人為的ミスを減らす2つの側面から見ていく。

 

外部からの攻撃に備えてできること

まず、外部からの攻撃に対しては主に「セキュリティの向上」が重要になるため、現時点で下記の3点がしっかり押さえられているかを確認し、できていない部分は早急に対策を実施する。

 

ポイント①セキュリティを強化する:OS自体にセキュリティの機能があったとしても、セキュリティに特化したソフトを導入することで、幅広いウイルスを防ぐことが可能となる。もしコストをかけられるのであれば、セキュリティ対策を専門に行っている業者に依頼するのも1つの手だ。

ポイント②顧客の個人情報を適切な場所に保管する:個人情報へのアクセスにつながるパスワードなどの管理情報やサーバーの設定ファイルは、ネットから直接閲覧できないよう厳重に管理し、不要になった情報はすぐに削除する。

ポイント③システムの脆弱性チェック:セキュリティの弱点や欠陥を利用して不正アクセスされることがあるため、自社が使っているシステムにどのような脆弱性があるのかをチェックし、状況に応じて最新版にアップデートを行う。また、パスワードの定期的な変更やセキュリティサービスの導入、パソコンのウイルス対策ソフトを常に最新の状態にするなど、日頃からリスク管理を行うことが重要だ。

 

社内で人為的ミスを減らす方法

一方、人為的ミスによる情報漏洩は、社員が適切な行動を取ればその多くは防ぐことができるため、下記のような対策を行うことが重要だ。

ポイント①情報や機器の不要な持ち出し・持ち込みをさせない:基本的に、不用意な持ち出しをしないことはもちろん、機器を持ち出す必要がある場合は、データ暗号化や端末ロックなどの対策を施す。また、許可されていないオンラインストレージに情報を保存しない。

ポイント②会員情報へのアクセス権限を限定する:管理画面のIDとパスワードを特定の管理者のみに付与することで、社員が不用意に情報を持ち出す可能性を減らすことができる。

ポイント③管理者を教育する:社員のセキュリティ意識・知識が足りないことで発生する情報漏洩事故が多いため、情報を安全に管理するための手順をマニュアル化し、ECサイト運営に関わる全員が定期的なセキュリティ教育を受け、周知・徹底する。

 

 

情報漏洩が起きたら何をするべきか

 

近年のサイバー犯罪は手口も複雑化しており、いつ自社のECサイトが攻撃を受けてもおかしくない状況だ。そこで予期せず情報漏洩が起こってしまった場合に、どのような行動を取るべきかを見ていく。

 

発覚したらどうすべきか

情報漏洩が発覚したら、まず発生日、流出内容、流出件数などの発生状況を把握し、今後の動きについて社内で情報共有する。この時、憶測による曖昧な判断を行ってしまうと誤った情報で原因を判断しかねないので、何より「発生状況を正確に把握すること」が重要になってくる。状況を判断し、正しい情報を社内で共有できたら、二次被害を防ぐことを考えよう。情報漏洩の収拾を一刻も早く図るために緊急対策本部を設置し、情報漏洩したことをできるだけ早く公表する。これにより、最悪の状況の中でも社会的信用の失墜を最小限に抑え、企業の信頼維持につなげることができる。

 

原因の調査と再発防止策の検討

また、情報漏洩が発生した後は、再発防止を踏まえて「なぜ漏洩してしまったのか」を早い段階から徹底的に調査する。例えばPCを紛失した場合、紛失した事実だけではなく、なぜPCを紛失してしまったのか、社員がどのように情報を持ち出せたのかまで深堀することで、原因の根源を理解し、情報漏洩を未然に防ぐことができる。

 

 

情報漏洩事故を起さないために、そして起きてから適切に行動を取るために

 

情報漏洩はいつどこで起きるかわからないため、普段からセキュリティ対策を徹底し、管理体制を整えることが必要になってくる。もし情報漏洩が起こってしまった時は、迅速かつ正確に状況を把握し、被害を最小限に抑えることを重視し、行動することが重要だ。また、情報漏洩が起こるとサイトの営業停止や社会的信用を失う恐れがあり、それを防ぐためには漏洩後に原因を追究し、対策を練っていく必要がある。この機会に、もしも自社で情報漏洩が起こったらと想定し、対応方法を今一度検討してみてはどうだろうか。