IPA 「ECサイト構築・運用セキュリティガイドライン」を公開

2023.03.24

独立行政法人情報処理推進機構（IPA）は、ECサイトを構築・運用する中小企業向けに、必要となるセキュリティ対策と実践方法をとりまとめた「ECサイト構築・運用セキュリティガイドライン」を公開した。

１．背景・趣旨

近年、ECサイトへのサイバー攻撃により個人情報やクレジットカード情報が漏えいする事案が多数発生している。情報が漏えいされた個人の被害だけでなく、漏えいを起こした事業者にとっても、ECサイトの長期間の閉鎖や、原因調査や被害の補償等、甚大な経済的損失が発生するとともに、顧客の信用を失うことにもつながりかねない。

そこで、独立行政法人情報処理推進機構（以下、IPA）は経済産業省と連携し、ECサイトを構築・運用する中小企業向けに、ECサイトにおけるセキュリティ対策の重要性の理解をすすめ、具体的に対策を講じてもらうべく、ECサイトのセキュリティ確保のために経営者が実行すべき項目、実務担当者が具体的に実践すべきセキュリティ対策の内容をまとめた「ECサイト構築・運用セキュリティガイドライン」を策定した。

２．概要

「ECサイト構築・運用セキュリティガイドライン」は、ECサイトにおけるセキュリティ対策に関して、経営者が認識し、自らの責任で実践しなければならない事項について説明した「経営者編」とECサイトにおけるセキュリティ対策を実践する責任者および担当者が、講じるべきセキュリティ対策要件に関して認識し、ECサイトの安全な構築および運用を実践するうえで検討および確認すべき事項について説明した「実践編」の２部で構成されている。

「経営者編」では、IPAの「中小企業の情報セキュリティ対策ガイドライン」を基に、経営者が実行すべきセキュリティの基本対策を挙げるとともに、ECサイトの構築時及び運営時に、経営者が認識し、実務担当者に実施させるべき取組を整理されている。

「実践編」では、ECサイトの構築時及び運営時におけるセキュリティ対策要件をまとめるとともに、「経営者編」で挙げた実施すべき取組について、責任者および担当者が行うべき具体的な実践内容をチェックリスト形式でまとめられている。

さらに、チェックリストに沿って、自社で対応可能な要件と対応困難な要件を分類するといった手順も詳しく解説している。自社で対応困難な要件を外部委託先に依頼するうえでの契約上の確認事項や、さらには契約関係書類のひな型を付録に収録するなど、実践に必要な情報を一気通貫かつ全般的にまとめている。