個人情報の取扱いにあたっては、本人の権利利益の保護の観点から、要配慮個人情報のほか、クレジットカード番号やインターネットバンキングのID・パスワード等の財産的被害が発生するおそれがある情報については、その取扱いに特に配慮する必要があります。

これらの情報を取り扱うサービスの代表的なものはEC（電子商取引）サイトですが、近年、ECサイトの規模に限らず、広範囲で脆弱性を狙った不正アクセス等による漏えい事故が増加しています。また、決済代行会社を利用し、自社にクレジットカード情報を保持しないことでリスクを減らしている事業者も多いと思いますが、攻撃手法は日々巧妙さを増していることから、ECサイトでクレジットカード決済を導入する際に遵守すべき法令を確認し、適切な安全管理措置を講じましょう。

ECサイトの構築・運用における注意点

ECサイトの構築・運用にあたっては、脆弱性対策情報など最新情報の収集と適切なリスク対策を実施する必要があります。具体的には、以下の注意点を参考にして、必要な対策を実施してください。

１．全般的な注意点

• どのようなソフトウェアで構築されているかの把握
  
  • 実情に応じたセキュリティ対策が必要なため、現状を確認した上で必要な対策を検討・実施してください。
• OSやソフトウェア等の定期的な脆弱性情報の確認、セキュリティパッチ適用等に関する体制の構築・運用
• OSやソフトウェア等のバージョン管理（最新のバージョンへアップデート）
• 不正アクセス等へのリスク対策の実施
  ＜実施例＞
  • 不正アクセス検知の仕組み等の導入
  • 脆弱性診断の実施（導入前、及び導入後1年毎など）
• 従業者へのセキュリティ教育の徹底
• 緊急性の高い脆弱性や不正アクセスを検知した際の対応手順や体制を構築し、従業者へ周知すること

２．委託（受託）をする場合の注意点

• ECサイト構築・運用保守等を外部に委託している事業者においては
  
  • ECサイトで用いるソフトウェア等の必要な知識を有し、自社と同等の実施体制を構築できる委託先を選定してください。さらに、契約にあたっては実施業務をできる限り具体的かつ明確にしましょう。
• ECサイト構築・運用保守等を受託している事業者においては
  
  • 委託元に対して必要な情報（パッチ適用の必要性の提案等含む）を提供するようお願いします。

なお、ECサイトの構築にあたりクラウド型サービスを利用する場合は、サービス提供事業者が示す利用規約等を十分に確認した上で当該サービスを利用しましょう。

個人情報に関わる事故等を起こしてしまったら

プライバシーマーク付与事業者において個人情報の漏えい等の事故が発生した場合は、速やかな対応を行うとともに、プライバシーマーク付与に関する規約（PMK500）に基づき、審査を受けたプライバシーマーク指定審査機関へ事故報告書をご提出ください。

• 個人情報の取扱いに関する事故等の報告について

啓発セミナーのご案内

ECサイトを構築・運用する際のセキュリティ対策の参考としていただくため、オンラインセミナーを開催いたします。参加お申込みなどの詳細は以下の開催案内をご覧ください。

• 「ECサイトによる個人情報の漏えい事故を防ぐために」：10月28日開催（終了しました）

参考情報

• JPCERTコーディネーションセンター（JPCERT/CC）
  
  •  EC-CUBEのクロスサイトスクリプティングの脆弱性 (CVE-2021-20717)に関する注意喚起

• 情報処理推進機構（IPA）
  
  • 「EC-CUBE」におけるクロスサイトスクリプティングの脆弱性について
  • 安全なウェブサイトの作り方

• Japan Vulnerability Notes（JVN）
  
  • 脆弱性対策情報データベース

• 個人情報保護委員会
  
  • WARNING～ウェブサイトを運営している事業者の皆様への注意喚起

• 経済産業省
  
  • オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集
  • 割賦販売法

一覧に戻る