コラム
【事例から学ぶ】ネットショップ事業者が行う個人情報漏えい対策とは
2018年1月7日に大規模な個人情報漏えい事故が発生してから、もう半年が経ちました。
既に忘れている方も多いかもしれません。
「GMOペパボ 不正アクセスで個人情報8万件が流出」
という事故です。
同社では初となる情報流出事案で、発生当時は各メディアでも大きく取り上げられていました。
GMOペパボとは、レンタルサーバー「ロリポップ!」やネットショップ運営サービス「カラーミーショップ」を運営している会社です。
ロリポップと言えばレンタルサーバーでは日本で3本の指に入るほど有名なサービスで、利用実績200万サイト以上で利用者数も170万人を超えるほどです。ここまで広く利用されているサービスを運営する会社でも事故が発生してしまいます。
では、どうやって個人情報が流出し、原因は何だったのでしょうか?
本コラムでは上記内容を10分で理解できるように、簡単に解説します。
セキュリティ事故が発生したときの金銭面・信用面でもリスクを考えるとぞっとします。
セキュリティに関しては問題が起きてからでは手遅れなので、未然に対策しておく必要があります。
一体何が起きたのか?
GMOペパボで発生した不正アクセスによる個人情報流出は、ネットショップ運営サービス「カラーミーショップ」で起こりました。
カラーミーショップとは月額900円で始められるネットショップ作成サービスです。利用者数は国内No.1です。販売手数料が不要で、350種類以上の機能がありデザインも自由自在に決められるということで人気の高いサービスです。 ・・・ https://shop-pro.jp/
GMOペパボが管理するシステムへ不正アクセスが発生し、ネットショップを運営する事業者(以下、ショップオーナー)とネットショップを利用した顧客の「カード情報」「ログインID・パスワード」「住所」「氏名」「生年月日」などが流出しました。
大まかな対応の経緯と内容
2018年1月7日 不正プログラムが実行されたことを検知→2時間後には不正実行されないように対応完了
2018年1月8日 個人情報が漏えいしたことが発覚
2018年1月9日 クレジットカード情報も漏えいしたことが判明
2018年1月22日 全てのショップオーナーのパスワードリセットが完了
2018年1月8日 個人情報が漏えいしたことが発覚
2018年1月25日 セキュリティ専門機関による調査が完了
クレジットカード情報まで流出した理由
クレジットカード決済は、外部の決済代行会社のサービスを利用していたため、実はGMOペパボではクレジットカード情報は保持していないハズでした。
(2018年3月のクレジットカード情報非保持化の対応で自社サーバーには一時的でもカード情報を通さないようにしていました)
ではなぜクレジットカード情報まで流出してしまったのでしょうか?
以下の2点が主な原因でした。
1)システムを変更した際の不具合があった(クレジットカード情報が意図せず自社サーバに残るようになってしまった)
2)利用者が間違えて、電話番号や氏名の欄にクレジットカード情報を入力していた
1)については人間がシステムを作る以上はどうしても発生してしまうものですが(とはいっても不具合を限りなくゼロに近づけることは当然の義務です)、個人的には2)の原因は驚きました。
運営側が想定しないエリアに利用者が間違ってクレジットカード情報を入力してしまうとは……
利用者のせいにはできないので、システムを運営する企業としては「利用者が間違えないような画面にすること」は行うべきと考えます。
もし情報漏えい事故が起きてしまったら・・・
あまり想定はしたくないですが、、、万が一事故が起きてしまったら、被害を拡大させないためにも『いかに早く対応できるか』ということが重要です。
そのためには、事故発生時に「誰から誰に報告するのか」「どうやって報告するのか」「利用者に対して誰がいつどうやって連絡をするのか」といった手順と体制を作っておく必要があります。
最近では、不正アクセスやサイバー攻撃による被害の増加に伴って、情報流出事故に対応するための専門チーム「CSIRT(シーサート:Computer Security Incident Response Team)」を作る企業が増えています。
CSIRTとは組織内の情報セキュリティ問題を専門に扱う、インシデント対応チームのことです。
※ https://www.jpcert.or.jp/csirt_material/ より
CSIRTという専門組織まで作らないにしても、対応手順や体制だけは事前に準備しておくべきです。
大事なことは1つだけ
情報漏えい・セキュリティに関して大事なことは
①未然に防止するための対策を打つ
②もし発生してしまった場合の対応手順と体制を立てる
ということです。
そして、それ以上に重要なことが1つあります。
それは『自分たちが普段扱っている情報が、いかに重大な情報であるか理解すること』です。
個人情報とは「個人を特定できる情報」です。普段何気なく仕事で扱っているお客様の情報は、大事な個人情報に該当することが多いです。
自分たちが扱っている情報の重大さを理解できれば、おのずと情報の扱い方も変わってくるのではないでしょうか。
今回の話については、ネットショップ(ECサイト)を運営する事業者・企業の方は特に注意が必要です。
「うちは大丈夫かな……」という不安が少しでもあるならば、まずはお気軽にご相談いただければと思います。