内部対策

ECサイトを運営する企業における内部対策について

監修者:金子 雅和

自社の商品、サービスをネット上のサイトで販売する“ECサイト”は、数多くの個人情報を取り扱っているサービスの1つです。
ECサイトは決済のためのクレジットカード情報なども取り扱うため、運営する企業は個人情報漏えいに備えた内部対策をするべきです。
それでは、具体的にどんな内部対策があるのかを解説しましょう。

ECサイト運営企業の内部対策って?

先ほども触れたように、ECサイトでは決済のためのクレジットカード情報などを取り扱います。
したがってECサイト運営企業では、決済に関する内部対策を重点的に行うべきだと言えます。
クレジットカードのカード番号や名義人などの個人情報が漏えいすると、二次被害のリスクが高くなるためです。
またECサイトを始め、クレジットカード情報を取り扱う企業は、クレジットカード情報の管理、不正利用に対する内部対策を取ることが義務付けられています。
ECサイト運営企業は、以下の2つの決済に関する内部対策を実施しましょう。

ECサイト運営企業が取るべき決済に関する内部対策①カード情報の非保持化

ECサイト運営企業が取るべき決済に関する内部対策には、まず“カード情報の非保持化”が挙げられます。
カード情報の非保持化とは、クレジットカードの情報をECサイト運営企業のネットワークで保存したり、処理したりしないことを言います。
非保持化の方法には“トークン方式”と“リンク方式”の2種類があります。
トークン方式は、クレジットカードの情報をトークンに置換し、決済代行業者に情報を送信するという方法です。
この方法では、クレジットカード情報がECサイト運営企業のサーバに保存されず、もしトークンが漏えいしたとしても、文字に置換されているため二次被害のリスクを抑えられます。
リンク方式は、クレジットカードで決済をする際のみ、決済代行業者のサイトにジャンプして、決済処理をするという方法です。
こちらの方法でも、クレジットカード情報はECサイト運営企業のサーバに保存されません。
また、非常に導入コストが安い内部対策だというところも特徴です。

ECサイト運営企業が取るべき決済に関する内部対策②PCIDSSの取得

ECサイト運営企業は、内部対策として“PCIDSS”の取得を目指すべきです。
PCIDSSとは、世界中で利用されているカードブランド5社(AMEX、Discover、VISA、MasterCard、JCB)が策定したセキュリティ基準のことです。
つまりECサイト運営企業が内部対策としてPCIDSSを取得することによって、ユーザーから絶大な信頼を得られるということです。
ただPCIDSSを取得するには、約400もの要件をクリアしなければいけないため、非常に難易度は高いです。
また取得するためのコストは1,000万円を超え、維持するために毎月支払う費用は100万円を超えているため、取得できる企業はある程度限定されます。

まとめ

ECサイト運営企業は、決済に関する内部対策を随時導入し、ユーザーへの被害を未然に防がなければいけません。
いきなりPCIDSSを取得するのはハードルが高いため、まずは情報の非保持化から導入を検討しましょう。
1度クレジットカード情報が漏えいしてしまうと、企業がこれまでに積み上げた実績と信頼は水泡と化してしまいます。
企業は個人情報保護の第三者認証制度’’JAPHIC(ジャフィック)マーク’’などを取得し、社内外にその取り組みを認知してもらうのが良いでしょう。

ピックアップ記事

  1. 宅ファイル便の480万件の漏えい事件について解説します
  2. 【印刷・広告・DM】個人情報対策の為にどうやって企業を選べばいい?
  3. 【不動産業界】個人情報漏えいに備えた対策を考えよう
  4. 医療機関におけるセキュリティの内部対策と重要性
  5. 印刷・広告・DM業の個人情報の扱い方について解説します

関連記事

  1. 内部対策

    企業が行うべきウェブ会議における内部対策について

    近年、オンラインサービスを利用したウェブ会議を行う企業が増加し…

  2. 内部対策

    こんなときどうする?情報セキュリティ対策の種類について

    企業において、情報セキュリティ事故の発生は付き物と言っても過言…

  3. 内部対策

    個人情報保護法における“削除請求”には必ず対応すべき?

    個人情報保護法には、企業が対応することになる“削除請求”について記…

  4. 内部対策

    企業が社員教育の方針を機能させるために心掛けることは?

    企業が情報セキュリティを守るための内部対策として、適切な社員教…

  5. サイバー攻撃

    【セキュリティ対策】サイバー攻撃を可視化できる内部対策

    企業のセキュリティ対策として、サイバー攻撃を“可視化”できる内…

  6. 内部対策

    【個人向け】パソコンにおけるウイルスメールの特徴を知ろう

    企業のパソコンだけでなく家庭にある個人のパソコンにおいても、悪…

業種別記事

おすすめ記事

人気のある記事

最大700万の損害賠償保険が自動付帯

JAPHICマークの詳細・無料セミナーはこちら
PAGE TOP