情報処理推進機構(IPA)は3月16日、中小企業向けにECサイト構築・運用セキュリティガイドラインを公表しました。セキュリティ対策の重要性を発信するとともに、中小企業の経営者や実務担当者がECサイトを構築・運用する際に取り組むべきことをまとめました。
ガイドラインは本編と付録資料からなり、本編は経営者編と実践編の2部構成です。個人情報保護委員会の調査によると、サイバー被害を受けたECサイトの97%は自社構築サイトでした。そのため、ガイドラインではスクラッチ開発などによる自社構築サイトに焦点を当ててセキュリティ対策を解説しています。
経営者編ではまず、ひとたびサイバー被害に遭うと、長期間のECサイト閉鎖に伴う売り上げ減のみならず、原因調査や被害の補償など事故対応費用による損失が発生することを具体的に示し、対策の必要性を認識してもらえるよう調査データを示しました。
具体的には、ECサイトの平均閉鎖期間は、1社当たり約8.6か月であり、事故対応費用の平均額は同約2,400万円と紹介されています。続いて、IPAの「中小企業の情報セキュリティ対策ガイドライン」の重要項目に基づき、経営者が実行すべき対策の基本として7項目を明示しました。
実践編では、実務担当者向けにECサイト構築時と運用時のそれぞれにおけるセキュリティ対策要件を示しました。具体的には、構築では14、運用では7の要件を提示し、指標として必須・必要・推奨の3段階の区分を要件ごとに記載しました。
