不正アクセスによって情報漏えいが発生した電子商取引(EC)サイト事業者の多くが、システムの構築や運用を外部委託先に任せ切りにしており、契約書にセキュリティ対策事項を記載していないなどの実態が個人情報保護委員会の調査で分かった。
個人情報保護委員会は、3月に「ECサイトへの不正アクセスに関する実態調査」(PDF)と題する報告書を公開した。調査は、2018年4月~2021年3月に同委員会へ個人データの漏えいなどを報告したEC事業者を対象として、これに協力した71事業者に(1)発生原因、(2)検討された再発防止策、(3)損失――をアンケートしている。
目立つ外部委託先への丸投げ
サイト開発・構築の観点
まずECサイトの開発・構築形態は、自社開発(独自アプリケーション利用)が6%、自社開発(オープンソース利用)が14%、外部委託が77%、ECサイト構築のクラウドサービス利用が3%で、ショッピングモールサービスの利用は0%だった。
不正アクセスの直接的な原因では、37%が「不正アクセスの直接的な原因」、31%が「SQLインジェクション」、13%が「その他」、11%が「管理者画面へのアクセス制限不備」を挙げた。
不正アクセスの発生理由に対する事業者の認識状況は、「脆弱性についての理解不足」(該当する:66%、該当しない:32%)、「委託先任せの姿勢」(該当する:59%、該当しない:39%)、「技術的ノウハウの不足」(該当する:59%、該当しない:39%)、「リスク意識の欠如」(該当する:44%、該当しない:55%)、「予算・人的リソースの不足」(該当する:44%、該当しない:55%)だった。
ECサイトの開発・構築を外部委託やクラウドサービスとした事業者(該当57社)に、自自社と外部委託との責任範囲の状況を尋ねたところ、最多は「責任範囲を理解しておらず委託先とも合意していない」の38%(27社)だった。以下は「責任範囲を理解し委託先と合意」が25%(18社)、「責任範囲を理解していたが委託先と合意していない」が13%(9社)などで、大多数は責任範囲の取り決めに不備があった。
また、ECサイトの開発・構築における外部委託先との契約書、仕様書におけるセキュリティ対策の記載については、39%(28社)が「していない」、23%(16社)が「不明・無回答」、15%(11社)が「あるが具体的でない」という状況だった。外部委託先からのセキュリティ対策に関する提案についても、42%(30社)は「受けたことはない」、15%(11社)は「分からない」とした。
サイト運用・保守の観点
ECサイトの運用・保守形態は、開発・構築時の委託先と同じケースが56%で最も多く、開発・構築の委託先とは別のケースが11%、自社が21%で、「運用・保守は特にしていない」事業者も11%に上った。
外部委託(該当48社)における責任範囲の状況は、最多が「責任範囲を理解しておらず委託先とも合意していない」の34%(24社)だった。以下は「責任範囲を理解し委託先と合意」が20%(14社)、「責任範囲を理解していたが委託先と合意していない」が10%(7社)などで、サイトの開発・構築の際と同様に大多数で責任範囲の取り決めに不備があった。
外部委託先との契約書、仕様書におけるセキュリティ対策の記載についても、30%(21社)が「していない」、21%(15社)が「不明・無回答」14%(10社)が「あるが具体的でない」という状況だった。外部委託先からのセキュリティ対策に関する提案についても、28%(20社)は「受けたことはない」、20%(14社)は「分からない」とし、ここでもサイトの開発・構築の際と同様の結果だった。
