EC・通販サイトを運営する上で、注意しなければならないポイントに、情報漏洩があります。EC・通販サイトを運営する際には、個人情報を取得するため、情報漏洩に関する対策を講じておかないと大きな問題に発展してしまうことがあります。本稿では、個人情報の取扱いや、情報漏洩対策及びその必要性について解説します。

EC・通販サイトの情報漏洩とは

EC・通販サイトの情報漏洩とは、EC・通販サイトの運営にあたって取得した顧客の個人情報等が社外に流出してしまうことです。

個人情報保護法では、個人情報を以下のように定義しています。

法第2条（第1項） この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。 （1）当該情報に含まれる氏名、生年月日その他の記述等に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。） （2）個人識別符号が含まれるもの

つまり、個人に関する情報であり、特定の個人を識別できる情報であれば、個人情報となるのです。
また、EC・通販サイトの場合には、第三者の手に渡ると不正購入などに利用されかねないIDとパスワード、クレジットカード等の支払情報に関する情報漏洩も問題となります。

EC・通販サイトを運営する上で取得する顧客の情報には、下記等が挙げられます。その他、顧客が購入した商品やサービスの内容も、情報として蓄積されます。

• 氏名
• 住所
• 生年月日
• 電話番号
• メールアドレス
• ID
• パスワード
• クレジットカードや口座番号等の支払いに関する情報

EC・通販サイトの情報漏洩が問題となる背景には、これらの顧客情報をデータベース化して管理しているケースが多いことや、SNSの普及により個人でも情報を公開できる手段が多くなってきていること等が挙げられます。つまり、一度に大量の情報が、ちょっとした不注意によって漏洩しやすくなっているという状況にあるのです。

情報漏洩にはどのようなリスクがあるのか

EC・通販サイトで情報漏洩が起こってしまうと、さまざまな問題が起こる可能性があります。ここでは、どのような問題が生じる可能性があるのか見ていきます。

営業停止

EC・通販サイトで管理している顧客の情報が流出してしまった場合、サイトのデータベースシステム自体に問題が発生している可能性があります。そのため、情報漏洩の原因がはっきりするまでは個人情報を利用する業務を全て停止する必要が出てきます。EC・通販サイトによっては、全ての業務を停止させ、サイトの営業自体を停止しなければならない可能性もあるでしょう。

信用を失う

情報漏洩が発覚すれば、そのEC・通販サイト自体や運営している企業、その企業の行っている事業に対する信用が低下してしまうことは間違いありません。自分の情報が今後も漏洩してしまう可能性があるのであれば、顧客による利用控えも発生するでしょう。また顧客だけではなく、取引先企業からも情報管理ができていないという印象を持たれ、取引停止などの判断をされてしまう可能性もあります。

対応にコストがかかる

情報漏洩が起これば、まずは原因を究明し、再発防止の対策をする必要があります。そのほかにも、顧客や取引先に対するお詫びなどの対応をとる必要が出てきます。情報漏洩が起こったことによる顧客離れを防ぐためには、お詫びとしてポイントや商品券のプレゼント等を行うケースもあり、これらの対応には相当なコストがかかることが予測されます。

損害賠償

個人情報の漏洩により、顧客に損害を生じさせてしまった場合、民事上の不法行為責任に基づき、損害賠償を請求される可能性があります。一度に多くの個人情報が流出してしまった場合には、その額も大きなものになってしまいます。特に、ＩＤやパスワード、クレジットカード等の情報が流出して不正購入などの直接的な被害が出てしまった場合には、損害賠償を請求される可能性はさらに高くなるでしょう。

法律違反の罰則

この度、令和２年６月12日に「個人情報の保護に関する法律等の一部を改正する法律」が公布されました。そして、本改正により、個人情報保護委員会による命令違反・委員会に対する虚偽報告等の法定刑が引き上げられました。
たとえば、情報漏洩が起こってしまった場合、個人情報保護法に違反している可能性がありますが、そうした場合、個人情報保護委員会から措置命令等が出されます。そしてその命令に違反した者は、１年以下の懲役又は100万円以下の罰金に処するとされています（改正法83条）。また、個人情報保護委員会に対して虚偽の報告等をした者は、50万円以下の罰金に処するとされており（改正法85条）、刑事責任を問われることになります。
さらに、命令違反等の罰金について、法人に対しては個人よりも罰金刑の最高額が引き上げられ、1億円以下の罰金が科せられることになり、厳罰化が図られています（法87条1項）。

情報漏洩はどのようにして起こるのか

では、情報漏洩はどのようにして起こるのか、大きく分けて2つの経路が挙げられます。

人為的ミス

EC・通販サイトの情報漏洩では、人為的ミスによるものが多く発生しています。つまり、EC・通販サイトを運営している担当者の誤操作によって、情報が漏れてしまうということです。具体的には、社内秘である情報を社外宛てのメールに添付して送信してしまったり、ノートパソコンやUSBなどのデータが入った端末を紛失してしまったりして、そこから情報が流出してしまうようなケースが挙げられます。
このように、悪意のない人為的ミスから情報が漏えいしているケースは多数存在しています。

意図的な犯行

前述のような悪意のない人為的ミス以外にも、悪意をもった人物が意図的に行うことによる情報漏洩もあります。

たとえば、社外からサーバーに不正にアクセスされるサイバー攻撃や、アプリやシステムのセキュリティ上の欠陥が悪用されることで、個人情報へのアクセスを許してしまうというケースもあります。

また、社外からの不正アクセスによる犯行以外にも、社内データベースにアクセスできる従業員が、転売目的で顧客情報を持ち出すといったケースもあります。

EC・通販サイトが行うべきセキュリティ対策

このような情報漏洩を防ぐためには、EC・通販サイトは事前に対策を行う必要があります。では、どのような対策が必要なのか、解説をしていきます。

プログラムに脆弱性はないか？

EC・通販サイトのプログラムに脆弱性があれば、悪意のある人物により外部からサイバー攻撃を受けることや、プログラムの穴から知らないうちに個人情報が流出してしまう可能性も高まります。そのため、まずはセキュリティを保つことのできるプログラムを使用するということが大前提となります。

EC・通販サイトの運営者としては、常に最新のセキュリティ情報を収集し、セキュリティを保つための対策を講じる必要があります。

具体的な対策としては、アプリやシステムを最新版にアップデートしておく必要があるでしょう。その他、自社サイトやプログラムに脆弱性がないかを、常に見極められるようにチェック体制を整えておくことも大切です。

情報のアクセス権限は適切か？

EC・通販サイトには、顧客が見ることのできる画面の他に、管理画面が存在します。その管理画面のどこまでを誰が閲覧することができるか、社内でもしっかりと管理体制を整えておく必要があります。また、ID・パスワード・クレジットカード情報などは、漏洩してしまうと特に大きな被害につながってしまう可能性が高いため、セキュリティレベルを上げて管理するべきです。

人為的ミスによる情報漏洩だけでなく、悪意のある情報搾取を防ぐためにも、社内で使用するパソコンのアクセス制限やアクセスした個人が特定できるようにするなどの対策を行っておくといいでしょう。

ASPのショッピングカートを利用する

自社でプログラムを製作し自社独自のシステムを持つことは、EC・通販サイトの一つのステータスといえるかもしれません。しかし、その分クレジットカード等の支払情報を直接管理する必要性や、プログラム自体を管理する必要性が発生してしまいます。入手する個人情報をできるだけ少なくし、管理を簡素化するという点でも、ASP型のショッピングカートを利用するのも一つの方法として有効です。

ASP型のショッピングカートであれば利用料はかかりますが、新たな脆弱性が見つかった場合やシステムトラブルがあった際の対応は、専門知識をもったサービス事業者が実施してくれるというメリットがあります。また、ASP型のショッピングカートを利用する際には、常時SSL・トークン決済などに対応したセキュリティの高いサービスを選ぶとより安心です。

保有する個人情報の管理方法

取得した顧客の個人情報の保管には特に注意が必要です。個人情報をオンラインで接続された場所・インターネットから直接閲覧できる場所に保管しておくのは大変危険です。オフラインの環境に保管しておき、ユーザーID・パスワードの付与などにより、情報システムにアクセスできるのは必要最低限の担当者に限定しておきましょう。

また、情報システムにおいて、個人情報を削除する場合には、容易に復元できない手段を利用し、個人情報が記録された機器、電子媒体等を廃棄する場合には、専用のデータ削除ソフトウェアの利用や、物理的な破壊等の手段を講じるなどの対策をとるとより安心です。

セキュリティ対策サービスの導入

上記の対策を講じていたとしても、最新のコンピューターウイルスや未知の攻撃手法によって情報漏洩が起こってしまうリスクは常にあります。そのため、セキュリティのための製品やサービスを積極的に活用することも必要です。

EC・通販サイトのサーバーには、ファイアウォール・アンチウイルスソフト等を導入し、細心の注意をはらいましょう。サーバーだけでなく、日常の管理業務に使うPCにもそれぞれに適したセキュリティ対策を導入しておく必要があります。

情報はどこから漏れるかわからないという緊張感を持ち、事前に対策を行うことが大切です。

情報漏洩に関する社内教育の徹底

いくらシステムのセキュリティを高めても、それを扱う担当者の意識次第では簡単に情報が漏洩してしまう可能性もあります。情報漏洩は社内の担当者の不注意が引き起こすこともあり、悪意がない単純な操作ミスで情報が流出してしまう可能性もあります。

そのような事態を防ぐためには、個人情報の取扱いに関する社内のルールを徹底することが大切です。個人情報の取扱い手順をマニュアル化し、EC・通販サイト運営に携わる担当者に周知徹底するとともに適切な教育を行う必要があります。

まとめ

このように、情報漏洩は一度起こってしまうと企業にとって大きな悪影響を及ぼしてしまいます。情報漏洩を起こさないためには、事前の対策がとても大切なのです。EC・通販サイトを運営する上で不安があれば、ファースト＆タンデムスプリント法律事務所では、上記のような技術的な対策と法律的な対策をあわせてアドバイスすることが可能ですので、いつでもご相談ください。

※本稿の内容は、2021年7月現在の法令・情報等に基づいています。
本稿は一般的な情報提供であり、法的助言ではありません。正確な情報を掲載するよう努めておりますが、内容について保証するものではありません。

執筆者：弁護士小野智博
弁護士法人ファースト&タンデムスプリント法律事務所