ECビジネスにおける情報漏えいリスクとそのセキュリティ対策①

f:id:PentaSecurity:20190926095043j:plain

 

ECビジネスにおける

情報漏えいリスクとセキュリティ対策

 

インターネットで日用品から家電、食料品、家具等あらゆるものが気軽に注文できる便利なEC(ネット通販)は私たちの生活に浸透しつつあります。HPを立ち上げたりモールに出店したりすれば、リアルな店舗を持たない事業者が簡単にECビジネスを始められる時代になりました。そのように広がりを見せるECビジネスですが、運営するにあたっては「情報セキュリティ」に伴うリスクマネジメントをしっかり認識しておく必要があります。そこでEC事業者にとって考慮すべきセキュリティ対策について2回に分けてお届けします。1回目は「クレジットカードに関するセキュリティ対策」について見ていきたいと思います。

 

ECビジネスにおけるリスクとは?

経済産業省が行った『平成 30年度 我が国におけるデータ駆動型社会に係る基盤整備(電子商取引に関する市場調査)』によると、2018年度のBtoCにおける日本国内のEC市場規模は17兆9,845億円で、EC化率は6.22%、市場規模が対前年比8.12%増になりました。

 

f:id:PentaSecurity:20190926100355j:plain

引用:https://www.meti.go.jp/policy/it_policy/statistics/outlook/H30_hokokusho_new.pdf

 

年々右肩あがりに伸び続けているEC業界ですが、クレジットカード情報を狙ったサイバー攻撃リスクに昔から晒されてきました。

 

ECサイトの情報漏えい事例

2019年7月4日

石井スポーツECサイト不正アクセス、カード情報が最大650件漏えいの可能性

石井スポーツ(旧ICI石井スポーツ)は7月3日、運営する「Ski&Winter Sports Online Shop」が第三者による不正アクセスによって、クレジットカード情報が最大で650件流出した可能性があると発表した。一部顧客のクレジットカード情報が不正利用された可能性があることを確認したという。

 

システムの一部の脆弱(ぜいじゃく)性を突いた第三者不正アクセスを受け、ペイメントアプリケーションが改ざんされたという。「Ski&Winter Sports Online Shop」はすでに運営を停止している。

引用:https://headlines.yahoo.co.jp/hl?a=20190704-00000003-netshop-sci

 

 2019年4月4日

子供服サーカス、子供服ミリバールに外部から不正アクセス、カード情報2,200件が流出

株式会社サーカスは4月2日、同社が運営する「子供服サーカス」と「子供服ミリバール」にて外部からの不正アクセスにより一部顧客のクレジットカード情報が流出した可能性が判明したと発表した。

 

流出の対象となるのは、2018年10月1日から2019年1月18日の期間に「子供服サーカス」、「子供服ミリバール」でクレジット決済を利用した顧客のカード情報(名義人名、番号、有効期限、セキュリティコード)2,200件。

引用:https://scan.netsecurity.ne.jp/article/2019/04/04/42178.html

 

2018年6月4日

森永カード情報流出、不正使用300件 被害約2000万円

森永乳業の健康食品通販サイトから顧客の個人情報が流出した問題で、同社は4日、流出後にクレジットカードの不正利用を300件強確認したと発表した。被害総額は約2千万円に上る。現在も被害調査を継続中で、今後、被害額が膨らむ恐れもあるという。

同社は5月9日に情報流出を発表した際は最大約12万人のカード情報などが流出した恐れがあるとしていたが、第三者機関の調査で、カード情報を含む個人情報が漏洩した可能性があるのは最大9万2822人と修正した。

引用:https://www.nikkei.com/article/DGXMZO31333690U8A600C1CR8000/

 

こうした事例は頻繁に起こっていますが、情報漏えいを起こしてしまうと、賠償を始めとして企業は法的な責任を負うことにもなります。漏えいした個人情報について、1人当たりの損害賠償額は2万8,000円と算出されています。これは各漏えい事故・事件における損害賠償額を漏えい人数で割った金額の平均値になります。仮に2000人の情報流出が起こった場合、単純に5,000万円以上の損害賠償が発生します。損害賠償の重みだけでなく、企業の信用も失墜し、ネット通販の事業も一時的に停止してしまえば、その間の損失もはかり知れません。

 

クレジットカードに関するセキュリティ対策

f:id:PentaSecurity:20190926101202j:plain


 ECサイト運営で最も大切なセキュリティ対策は決済方法に関わる事項です。中でもクレジットカードは決済方法の中で一番利用されているので、カード番号、名義人、有効期限といった情報の漏えいには気を付ける必要があります。まだ、法的には、2018年6月1日には「割賦販売法の一部を改正する法律」(改正割賦販売法)が施行され、クレジットカードを取り扱う加盟店において、「クレジットカード番号等の適切な管理」と「クレジットカード番号の不正利用の防止」を講じることが義務付けられました。EC事業者のような非対面(通信販売)加盟店においては、改正法第35条において、2018年3月末までに次のような対応を取る必要を既に課せられています。

 

ECカード情報のサイトの非保持

「カード番号等の適切な管理」においては、カード情報の非保持化またはPCIDSSへの準拠が求められています。カード情報の非保持化とは、「カード情報」を電磁的に送受信しないことです。カード情報がサーバに保存されない決済方法を利用します。例えばカード情報をトークン(文字)に置き換えて決済代行業者へ決済情報を送信する「トークン方式」や、クレジットカード決済時のみ、決済代行業者のサイトへ遷移し決済処理を行う「リンク方式」といった決済方法を利用することで、カード情報を自社ネットワーク内において保存・処理・通過させないで決済を行う事が可能です。

 

PCI DSSへの準拠

カード情報を保持する場合は、カード情報セキュリティの国際基準であるPCI DSS(Payment Card Industry Data Security Standard)に準拠する必要があります。PCI DSSは次のような方法で認証を得ることができます。

 

  • 訪問審査

PCI SSCによって認定された審査機関(QSA=Qualified Security Assessor)による訪問審査です。カード発行会社や多量の情報を取り扱っている事業者などに求められる認証方法です。年1回の定期審査が必要です。

 

  • ネットワークスキャン(外部ネットワークシステムの脆弱性スキャン)

外部に接しているサーバ機器やネットワーク機器、アプリケーションに対して、PCI SSC認定のスキャニングベンダー(ASV=Approved Scanning Vendor)が、PCI DSSで要求されているセキュリティ要件を満たしているかをチェックします。年4回のチェックが必要で、中規模事業者やインターネットを利用している事業者にとって必要な審査です。

 

PCIDSSは約400の要求事項から構成されており、その全てをクリアしなければ取得できない厳しいものです。また、取得には初期費用として1,000万円以上、月額100万円以上がかかるとされていて取得にはハードルが高いものとなっています。

 

EC事業者は、2018年7月以降はカード情報の非保持化かPCIDSSへの準拠が既に義務となっていますので、今現在どちらかに対応していない場合は改正割賦販売法違反となりますので注意してください。

 

PCI DSS(Payment Card Industry Data Security Standard)とは

加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用・管理されています。 

 

不正利用防止対策の実施

「不正利用防止対策」は盗難カードの使用やなりすましなどによる不正使用被害リスクを避けるための対応です。改正法では偽造カードによる不正利用対策とネット取引等における不正利用対策を掲げていますが、具体的には以下のような方法を用いて不正使用対策を行います。

 

  • 本人認証(3Dセキュア)

クレジットカード決済時に、クレジットカード番号と有効期限の入力に加え、カード会員自身が設定したパスワードを入力することで、より確実な本人認証をする方法です。

 

  • セキュリティコード

クレジットカード裏面に記載された番号を決済画面に入力してカードの真正を確認する方法です。セキュリティコードはカードを実際に所有しているお客さまだけが知り得る情報であるため、なりすましによる不正使用のリスクを抑制できます。

 

  • 不正検知

電話番号や住所などのお客さま情報を専用ページに入力し、商品発送やサービス提供前に不正使用を検知する方法です。過去の取引情報からリスク評価を行い、不正取引を判定する「属性・行動分析」や、データベースに蓄積された不正配送先情報を利用して商品の配送を停止する「配送先情報」の対策があります。

 

最後に

カード加盟店であるEC事業者は、決済代行会社やカード会社によりクレジットカード情報のセキュリティ対策を十分に行っているかどうか定期的に調査を受けます。その際セキュリティ対策が不十分であると加盟店契約が解除され、クレジットカード決済ができなくなるリスクがあります。また先に述べたように賠償責任も回避するには日ごろから非常に高い危機管理意識を持ってECビジネスに取組む必要があります。