海外からの不正アクセスにより、デジタルダイレクトの通販サイトから顧客の個人情報が漏えいした事件が発覚して約1カ月が経過した。この問題は「対岸の火事」ではなく、すべての通販企業に降りかかりうる業界全体の懸念事項と言える。この事件を教訓に「第2の情報漏えい事件」を防ぐにはどうすればいいのか。同事件の経緯やその対応、考え方などを踏まえて通販企業がとるべきセキュリティ対応の方向性について考察する。
「通販企業は消費者からの信頼を損ねないよう万全なセキュリティ対策を施すのは当然。情報漏えいなど、とんでもない」。今回のデジタルダイレクト(DD)の顧客の個人情報漏えいを受けての一般紙などの報道の論調はこうだ。同社のセキュリティ対策の甘さや漏えい発覚後の対応などについても厳しく断じている報道もあった。
ネット販売実施企業は日ごろからセキュリティ対策には万全を期し、不正なサイト攻撃には素早く対策してその芽を摘む。それでも個人情報が漏えいしてしまった場合は「漏えいの可能性があり」の時点で迅速に通販サイトを停止し、世間にその事実を公表。事後は素早く調査を行ない、問題点を洗い出し、顧客にはお詫びの金券などを配布。今後は2度と情報漏えいが起こらないようにさらにセキュリティ対策を強化する。
「外野」の意見をまとめるとこれらが模範的な通販企業のセキュリティ対策と事後の対応なのだろう。ただし、「外野」ではなく実際に商売を行なっている通販実施企業の多くは、これらが口で言うほど、簡単ではないことは分かるだろう。
そうした「模範的な対応」を阻む、または「したくてもできない」理由があるからだ。後述するがそれを無理にやろうとすれば、多くの企業にとってネットで商売ができなくなってしまう。とは言え、「できない」と立ち止まってしまえば、DDのようなケースは後を絶たず、ネット販売自体が信用を失い、市場全体が縮小してしまう危険性を孕む。
では、どうすることがベストなのだろうか。そのためにはまず、ネット販売実施企業にとって、個人情報の漏えいを防ぐ、または被害を最小限に食い止めることがいかに困難なものなのか。DDの事例を元にその「困難な現実」から見ていきたい。
◇
「個人情報が流出した以上、申し開きできる立場にないが、決してセキュリティ対策を軽視してきたわけではない」。顧客の個人情報の漏えいが発覚後、本紙の取材に応じたDDの重光社長は本紙の「これまでのセキュリティ対策が甘かったのでは?」との質問に対してこう話した。
重光社長が言うように、同社は決してセキュリティ対策を軽視していたわけではない。通販サイトのセキュリティ対策として、今回の不正アクセスで使用された「SQLインジェクション」と呼ばれる攻撃手法に対応したセキュリティソフトを使用してきた。また、昨年に同手法による被害が増え始めた際には、担当部署がサイト構築に使っているパッケージの供給元に安全性を確認するなどの情報収集は欠かさなかった。
ベストな対策としては、専門会社を定期的に入れて、常に最新の対策と情報を入手していくことやクレジットカード会社などが推奨するセキュリティ基準「PCI DSS」の準拠などが挙げられる。ただ、恐らく通常のネット販売実施企業のセキュリティ対策としては、DDのような対策が一般的なものではなかろうか。「個人情報漏えい」という事態が実際に起こらない限り、なかなかセキュリティ対策は打ちにくい。多額のコストがかかってくるからだ。
通販サイトには集客や販促などやらねばならないことが数多くある。これら優先事項とともに先の「PCIDSS」の準拠などのセキュリティ対策に多額のコストを投入できるネット通販実施企業はどれほど存在するのか。一部の大手企業ではあればそれも可能だが、ネット販売を支える数多くの中小サイトでは現実問題として拠出できる金額ではない。相次ぐ個人情報漏えい事件がきっかけに「万全なセキュリティ対策」が半ば通販サイトに強制される自体に陥れば、多くのサイトは商売ができなくなってしまうだろう。
いたずらに通販サイトに個人情報の流出を避けるために、セキュリティを強化せよ、というお題目を掲げても、前述したようにそれは無理な話だ。それには業界をあげて、何らかの対策を講じる必要があるだろう。
今回は事前に情報漏えいを防ぐ難しさを見てきたが次回は「情報流出の可能性がある」という一報を通販企業がカード会社等から受けた際の被害を最小限に食い止めるための「迅速な対応」の難しさについて、同じくDDの事例を踏まえながら見ていく。(次回以降の連載は本紙で掲載)
海外からの不正アクセスにより、デジタルダイレクトの通販サイトから顧客の個人情報が漏えいした事件が発覚して約1カ月が経過した。この問題は「対岸の火事」ではなく、すべての通販企業に降りかかりうる業界全体の懸念事項と言える。この事件を教訓に「第2の情報漏えい事件」を防ぐにはどうすればいいのか。同事件の経緯やその対応、考え方などを踏まえて通販企業がとるべきセキュリティ対応の方向性について考察する。
「通販企業は消費者からの信頼を損ねないよう万全なセキュリティ対策を施すのは当然。情報漏えいなど、とんでもない」。今回のデジタルダイレクト(DD)の顧客の個人情報漏えいを受けての一般紙などの報道の論調はこうだ。同社のセキュリティ対策の甘さや漏えい発覚後の対応などについても厳しく断じている報道もあった。
ネット販売実施企業は日ごろからセキュリティ対策には万全を期し、不正なサイト攻撃には素早く対策してその芽を摘む。それでも個人情報が漏えいしてしまった場合は「漏えいの可能性があり」の時点で迅速に通販サイトを停止し、世間にその事実を公表。事後は素早く調査を行ない、問題点を洗い出し、顧客にはお詫びの金券などを配布。今後は2度と情報漏えいが起こらないようにさらにセキュリティ対策を強化する。
「外野」の意見をまとめるとこれらが模範的な通販企業のセキュリティ対策と事後の対応なのだろう。ただし、「外野」ではなく実際に商売を行なっている通販実施企業の多くは、これらが口で言うほど、簡単ではないことは分かるだろう。
そうした「模範的な対応」を阻む、または「したくてもできない」理由があるからだ。後述するがそれを無理にやろうとすれば、多くの企業にとってネットで商売ができなくなってしまう。とは言え、「できない」と立ち止まってしまえば、DDのようなケースは後を絶たず、ネット販売自体が信用を失い、市場全体が縮小してしまう危険性を孕む。
では、どうすることがベストなのだろうか。そのためにはまず、ネット販売実施企業にとって、個人情報の漏えいを防ぐ、または被害を最小限に食い止めることがいかに困難なものなのか。DDの事例を元にその「困難な現実」から見ていきたい。
◇
「個人情報が流出した以上、申し開きできる立場にないが、決してセキュリティ対策を軽視してきたわけではない」。顧客の個人情報の漏えいが発覚後、本紙の取材に応じたDDの重光社長は本紙の「これまでのセキュリティ対策が甘かったのでは?」との質問に対してこう話した。
重光社長が言うように、同社は決してセキュリティ対策を軽視していたわけではない。通販サイトのセキュリティ対策として、今回の不正アクセスで使用された「SQLインジェクション」と呼ばれる攻撃手法に対応したセキュリティソフトを使用してきた。また、昨年に同手法による被害が増え始めた際には、担当部署がサイト構築に使っているパッケージの供給元に安全性を確認するなどの情報収集は欠かさなかった。
ベストな対策としては、専門会社を定期的に入れて、常に最新の対策と情報を入手していくことやクレジットカード会社などが推奨するセキュリティ基準「PCI DSS」の準拠などが挙げられる。ただ、恐らく通常のネット販売実施企業のセキュリティ対策としては、DDのような対策が一般的なものではなかろうか。「個人情報漏えい」という事態が実際に起こらない限り、なかなかセキュリティ対策は打ちにくい。多額のコストがかかってくるからだ。
通販サイトには集客や販促などやらねばならないことが数多くある。これら優先事項とともに先の「PCIDSS」の準拠などのセキュリティ対策に多額のコストを投入できるネット通販実施企業はどれほど存在するのか。一部の大手企業ではあればそれも可能だが、ネット販売を支える数多くの中小サイトでは現実問題として拠出できる金額ではない。相次ぐ個人情報漏えい事件がきっかけに「万全なセキュリティ対策」が半ば通販サイトに強制される自体に陥れば、多くのサイトは商売ができなくなってしまうだろう。
いたずらに通販サイトに個人情報の流出を避けるために、セキュリティを強化せよ、というお題目を掲げても、前述したようにそれは無理な話だ。それには業界をあげて、何らかの対策を講じる必要があるだろう。
今回は事前に情報漏えいを防ぐ難しさを見てきたが次回は「情報流出の可能性がある」という一報を通販企業がカード会社等から受けた際の被害を最小限に食い止めるための「迅速な対応」の難しさについて、同じくDDの事例を踏まえながら見ていく。(次回以降の連載は本紙で掲載)