2003年に成立した個人情報保護法の影響もあり、ますます個人情報の取り扱いには敏感になってきた。もし漏洩してしまおうものなら、社会的制裁も厳しくなっている。今では人・物・金・情報が商売の4大要素と言われているように、情報はその量と使い方によっては金銭的価値を生む、大切なリソース(資源)なのである。
そして個人情報の取り扱いに慎重であるべきなのは、ネットショップを営むEC事業者も例外ではない。ネットショップは商品発送のために、お客様の連絡先メールアドレスだけでなく、氏名や住所情報も入手する必要がある。場合によってはクレジットカード番号も管理しなければならない。
今回は個人情報の漏洩防止に役立つ、ネットショップのセキュリティ対策についてご説明していく。
使用するPCには必ずウィルス対策ソフトをインストール
趣味で使用しているPCならまだしも、ビジネスで使用するPCには、必ずウィルス対策ソフトをインストールしておくことをおすすめする。インターネットを利用するユーザーの全てが善人なわけではない。ときには悪意のあるウィルスを感染させようと企んでいる者もいるのだ。
それもウィルスに感染するルートは、ウェブサイトからやメールからなど多岐にわたり、ネットにつなげている以上は、ウィルスに感染するリスクが常に発生していることを忘れてはいけない。PCの中にある個人情報を吸い取られてしまうような、悪質なウィルスに感染してしまえば、個人情報の漏洩という最悪の結果にもなりかねない。
無料ソフトよりも有料ソフトがおすすめ
実はウィルス対策ソフトは、無料で利用できるフリーソフトも充実している。有名どころだとavast!やAVGなどがあるが、やはり大切な個人情報を扱うPCなら、有料ソフトを利用することを推奨する。有料ソフトをインストールしたから絶対に大丈夫と言うわけではないが、やはり無料ソフトよりも有料ソフトの方が、ウィルスの検出率や、マルウェアなどの悪意のあるプログラムへの対策が手厚い。
有料ソフトなら、マカフィーやノートンなどの企業が有名どころ。何かあってからでは莫大な損失になりかねないので、お金をかけてでもウィルス対策を講じておくようにしよう。
ウィルス対策ソフトも万全ではない
ただしウィルス対策ソフトをインストールしたからと言って、全てのウィルスを検知して駆除してくれるわけではない。この世界はウィルスを作る側と、駆除する側の”いたちごっこ”のようなものである。新しいウィルスを生み出す側は、ウィルス対策ソフトの穴を突くような、新型ウィルスを常に考えている。
PCを利用する者としては、あやしいサイトにはアクセスしないことや、よく分からないメールの添付ファイルは安易に開かないなど、セキュリティに対する意識を高めておくことも大切なのである。
管理画面のパスワードは複雑なものに
ネットショップ管理者が普段から操作するのは、ストア画面ではなく、専用の管理画面になるはずだ。その管理画面にログインするには、ログインIDやパスワードの入力が求められることが一般的だが、パスワードは単純なものにはなっていないだろうか?
アメリカのSplashDataというパスワード管理サービスを提供する団体が発表した、2015年度版「最悪のパスワード」によると、最悪のパスワード1位は「123456」、2位は「password」とのことだ。その他にもキーボードの上から2番目の行を左から並べた「qwerty」というパスワードも危ない。
ブルートフォースアタックに要注意
なぜ単純なパスワードが危険なのかと言うと、やはりログイン画面を突破される可能性が高くなるからだ。サイバー攻撃の一種にブルートフォースアタック(総当たり攻撃)というものがあり、何万通りものログインIDとパスワードの組み合わせを機械的に作りあげ、力ずくで不正ログインを試みる方式の攻撃である。
ブルートフォースアタックを仕掛けられた場合、単純なパスワードほどログインされる可能性が高くなる。第三者によってショップの管理画面にログインされてしまえば、そこから顧客情報などを抜き取られてしまうこともある。もし先に記したような単純なパスワードを設定しているのなら、すぐにパスワードを変更するようにしてほしい。
パスワードは大文字・小文字を使い分けたり、数字や記号も含ませるなどして、ログインIDについてもショップ名にするのではなく複雑なものにしておくことが理想である。
カートシステムにはSSL機能を付ける
インターネットでの通信は、悪意ある第三者にそのやり取りを覗かれてしまうリスクがある。ただのウェブサイトの閲覧であればいくら覗かれたところで不利益は生じないが、もしそれがネットショップの住所情報やクレジットカード番号の入力画面なら、覗かれた情報を悪用されてしまうことだってある。
ネットショップ運営者としては、そうしたトラブルを防ぐためにも、お客様が個人情報を入力するページにはSSLの導入をしておく必要がある。
SSLとは
SSLとは”Secure Sockets Layer”の略語であり、簡単に説明するならインターネット上の通信を暗号化する技術のことである。クライアントPCとサーバー間でやり取りするデータを暗号化することで、第三者に覗かれたとしても、内容まで盗み見られる心配がなくなる。
いちいちSSLでの通信になっているかを気にしているユーザーは少ないが、ウェブ担当者としてはセキュリティ強化という意味でも、絶対に意識するべき対策の一つである。特に顧客情報を管理するEC事業者ならなおさらのことである。
ショップシステムを一から構築する場合は特に意識する
カラーミーショップやショップサーブなどのASPサービスを利用するのであれば、顧客情報の入力を行うカート画面にはSSL通信が標準で導入されていることが一般的。これといった作業も必要なく済む場合が多い。
ただしウェブ制作会社に一からネットショップの構築を依頼する場合には、顧客情報のやり取りをする画面はSSL通信にしてもらうことを、必ず依頼するようにしてほしい。カート画面だけでなく、会員情報の登録画面も忘れずに。
制作費用は若干高くなってしまうが、顧客情報の流出というリスクを減らすことを考えれば、安いものである。
プライバシーマークを取得する
プライバシーマークとは一般財団法人日本情報経済社会推進協会 (JIPDEC) によって認定されている、個人情報をしかるべき体制で管理していることを証明するためのマークである。”Pマーク”と省略されて呼ばれることもある。
ちなみに上記のマークがプライバシーマークのロゴである。見覚えがある方もいるのではないだろうか。
※実際はPのロゴの下に、事業者ごとに割り振られる特定の認定番号が記載される
プライバシーマークの認定がされれば、パンフレットやウェブサイトにロゴを掲載することが可能になり、ユーザーへのアピールにもなる。ただし取得することが最終的な目標ではなく、継続的に適切に個人情報を管理する体制を維持していくことが重要である。
おわりに 今の時代だからこそセキュリティは万全に対策を
一昔前なら個人情報に対して、それほど世間も敏感ではなかったが、近年は個人情報の取扱いに対して慎重にならざるを得ない状況になっている。一度でも個人情報を漏洩させてしまえば、資本力の乏しい中小企業は、一気に経営が傾いてしまうことにもなりかねない。
だからこそ今回ご紹介したような対策を事前に施しておき、万が一のためのリスク回避をしておくことが大事である。セキュリティ対策について甘い考えをお持ちのEC事業者は多いので、その重要性を理解して、できるだけ早めの対策を心がけるようにしてほしい。
【著者からの一言】
鍵谷 隆 -KAGIYA TAKASHI-
当記事は2016年ごろ、私がECサイトのコンサル経営をしていた時期にまとめたノウハウ集だ。そのため外部サイトへのリンクが切れていたり、Googleや各種ASPなどの外部システムの仕様変更などで状況が変わっている可能性があることだけは了承してくれ!
ただ商いの本質は変わることはない。ネットショップ運営でお困りの経営者や担当者なら、当サイトの記事も必ず役に立つはずだ。全てのEC関係者に幸あれ。検討を祈る!