閉じる

会社運営に役立つ法令情報

【経営】

個人情報保護委員会がウェブサイトを運営している事業者に注意喚起

 個人情報保護委員会事務局は、平成30年6月28日、「ウェブサイトを運営している事業者の皆様への注意喚起」を公表しました。ここでは、個人情報取扱事業者が、個人情報を取り扱う上で、発生しやすいヒヤリハット事例を紹介しています。これらの事例を参考にするとともに、職場で発生したヒヤリハット事例を、蓄積、共有することで、個人データの漏えい等のトラブル発生を未然に防止するよう呼びかけています。

■ウェブサイトを取り巻くリスク
 同委員会において報告を受けた不正アクセスに起因する漏えい等事案の中でも、ECサイト※や会員用ウェブサイトにおける情報漏えい事案が多く報告されてます。ECサイトはクレジットカード情報を含む個人データを盗むことを、会員用ウェブサイトはポイントの不正利用や個人データを盗むことを目的として、攻撃の対象になりやすい傾向にあります。こうした不正アクセスは、企業規模の大小や業種に関係なく、様々なECサイトや会員用ウェブサイトなどに対して仕掛けられています。そのため、ウェブサイトを運営する事業者は、こうした脅威を認識し、不正アクセスによる情報漏えいを防ぐために適切なセキュリティ対策を講じる必要があります。

※ ECサイトとは、インターネット上で商品を販売するウェブサイト、いわゆるインターネットショップのこと。

 本資料は「ウェブサイト運営事業者がセキュリティ対策を行うに当たり、実際に発生した不正アクセスによる情報漏えい等事案を踏まえて、注意いただきたい事項を示す」ことを目的としてまとめられています。本資料に示す内容は、あくまでセキュリティ対策の一例であり、必ずしもこれらの対策を実施すれば十分というものではなく、個々のウェブサイトに応じて、システム担当者やシステム開発・保守運用の委託先と相談の上、必要な対策の実施が求められます。

■ウェブサイト運営事業者がセキュリティ対策を行う上で主に注意すべき事項
(1) まずは現状を確認
・ウェブサイトの構築手法は様々であるため、それぞれの実状に応じたセキュリティ対策が必要になります。まずは、自組織でどのようなシステム等を使用しており、誰が管理しているのか、どのようなセキュリティ対策を実施しているのか確認し、その上で必要な対策を検討・実施することが必要です。

(2) ウェブサイト構築時に注意すべき事項
・ウェブサイトの構築(制作)・導入にあたっては、デザインやコストを重視しがちですが、セキュリティ対策についても十分に行うこと。
・サイトの構築(プログラミング等)の段階で脆弱性に関する対策が不十分であったケースは決して少なくないため、公開前に脆弱性診断等を行い、見つかった脆弱性については確実に対策を行うこと。

(3) ウェブサイト運用時に注意すべき事項
・ウェブサイトの運用にあたっては、OSやソフトウェアの脆弱性対策情報を収集し、必要に応じ速やかにセキュリティパッチを適用すること。
・攻撃を感知・防御する体制や仕組み(例えばIDS/IPS※1、WAF※2の導入等)を整えることが望ましいと考えられます。
※1 IDS/IPS:IDS(Intrusion Detection System)不正侵入検知システム、 IPS(Intrusion Prevention System)不正侵入防御システム
※2 WAF:(Web Application Firewall)ウェブアプリケーションの脆弱性を狙った攻撃を防御するシステム

(4) 委託先業者の監督における注意すべき事項
・委託先業者に任せきりにしていませんか? 委託元には委託先の監督義務があります。
・ウェブサイトの構築や、その保守・運用を委託している場合は、委託先との契約時にセキュリティ対策の内容を明確にした上で契約をすること。
・委託先にセキュリティ監査の実施、及び報告を求め、契約書に記載されたセキュリティ対策が委託先で適切に実施されていることを定期的に確認すること。
<<脆弱性とは>>
脆弱性とは、広義には外部からの不正アクセスに対してシステムの安全性が損なわれる弱点のことを指します。ウェブサイトを構成するネットワーク機器やサーバ機器における不適切な設定が脆弱性となり不正アクセスを受ける場合があります。
また、ウェブサイトの利用者が直接操作する、ウェブサイト上で動作しているソフトウェア(ウェブアプリケーション含む)のセキュリティ上における弱点も脆弱性と言います。
ウェブサイトを建物に例えると、脆弱性とは建物の外から入る抜け穴(外壁のほころびなど)で、攻撃者はこの抜け穴をから侵入(攻撃)してきます。セキュリティーホールと言われることもあります。
脆弱性対策とは、この抜け穴を塞ぐための対策(セキュアなシステム構築、セキュリティパッチやアップデートの適用等)を実施することです。

 同委員会で受付けた不正アクセスを起因とする漏えい等事案の中でも、頻繁に発生している事例、自組織でも同様の事例が発生することがないか確認してほしい事例が紹介されており、自組織のウェブサイトにも同様のセキュリティリスクがないか確認する際の参考になるかもしれません。
  対策が実施済みかチェックするために、システム担当者やシステム開発・保守運用の委託先などに対策の実施内容及び実施結果(証跡)などを確認し、不十分であれば必要な対策の検討・実施を促しています。

詳しくは下記参照先をご覧ください。

参照ホームページ [ 個人情報保護委員会事務局 ]
http://www.ppc.go.jp/files/pdf/20180628_warning.pdf

ページTOPへ