1. HOME
  2. ブログ
  3. IPA 「ECサイト構築・運用セキュリティガイドライン」を公開

IPA 「ECサイト構築・運用セキュリティガイドライン」を公開

独立行政法人情報処理推進機構(IPA)は、ECサイトを構築・運用する中小企業向けに、必要となるセキュリティ対策と実践方法をとりまとめた「ECサイト構築・運用セキュリティガイドライン」を公開した。

1.背景・趣旨

近年、ECサイトへのサイバー攻撃により個人情報やクレジットカード情報が漏えいする事案が多数発生している。情報が漏えいされた個人の被害だけでなく、漏えいを起こした事業者にとっても、ECサイトの長期間の閉鎖や、原因調査や被害の補償等、甚大な経済的損失が発生するとともに、顧客の信用を失うことにもつながりかねない。
 
そこで、独立行政法人情報処理推進機構(以下、IPA)は経済産業省と連携し、ECサイトを構築・運用する中小企業向けに、ECサイトにおけるセキュリティ対策の重要性の理解をすすめ、具体的に対策を講じてもらうべく、ECサイトのセキュリティ確保のために経営者が実行すべき項目、実務担当者が具体的に実践すべきセキュリティ対策の内容をまとめた「ECサイト構築・運用セキュリティガイドライン」を策定した。

2.概要

「ECサイト構築・運用セキュリティガイドライン」は、ECサイトにおけるセキュリティ対策に関して、経営者が認識し、自らの責任で実践しなければならない事項について説明した「経営者編」とECサイトにおけるセキュリティ対策を実践する責任者および担当者が、講じるべきセキュリティ対策要件に関して認識し、ECサイトの安全な構築および運用を実践するうえで検討および確認すべき事項について説明した「実践編」の2部で構成されている。

「経営者編」では、IPAの「中小企業の情報セキュリティ対策ガイドライン」を基に、経営者が実行すべきセキュリティの基本対策を挙げるとともに、ECサイトの構築時及び運営時に、経営者が認識し、実務担当者に実施させるべき取組を整理されている。

「実践編」では、ECサイトの構築時及び運営時におけるセキュリティ対策要件をまとめるとともに、「経営者編」で挙げた実施すべき取組について、責任者および担当者が行うべき具体的な実践内容をチェックリスト形式でまとめられている。

さらに、チェックリストに沿って、自社で対応可能な要件と対応困難な要件を分類するといった手順も詳しく解説している。自社で対応困難な要件を外部委託先に依頼するうえでの契約上の確認事項や、さらには契約関係書類のひな型を付録に収録するなど、実践に必要な情報を一気通貫かつ全般的にまとめている。

(1)「経営者編」
<セキュリティ基本対策及び実行すべき取組>

(2)「実践編」
<セキュリティ対策要件及び具体的な実践内容>

・ECサイトの構築時におけるセキュリティ対策要件一覧

・ECサイトの運用時におけるセキュリティ対策要件一覧

・新規にECサイトを構築する場合において実務担当者が実践すべき内容

・ECサイトを運営中の場合において実務担当者が実践すべき内容

出典:経済産業省 「ECサイト構築・運用セキュリティガイドライン」を公開しました

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!