ECサイトの情報流出被害、4割で1000万円超 - 責任範囲や技術の理解乏しく

eコマースサイトにおける不正アクセス被害が相次いでいるが、4割強で1000万円以上の被害が生じており、10億円を超えるケースも発生していることがわかった。開発や運用を外部に委託しているケースが多いが、技術的な知識が乏しく責任範囲が曖昧なまま、被害に至ったケースも多い。

2018年4月から2021年3月までに事故報告を行ったオンライン通信販売などを行うEC事業者を対象に、個人情報保護委員会が調査を実施し、被害状況や原因、再発防止策などを調べたもの。71社が回答した。

ECサイトの構築方法（グラフ：個情委の発表をもとに独自に作成）

今回の調査では、事故が発生した多くの事業者がECサイトの開発、構築、運用などを外部に委託している実態が明らかとなった。

サイトを自社開発した事業者は20％にとどまり、77％は外部委託先がオープンソースなどを用いて構築。3％はEC構築向けのクラウドサービスを利用していた。ショッピングモールを利用していて事故が生じた事業者は回答者にいなかった。

運用に関しても、自社で運用していた事業者は21％。67％は外部に委託していた。また11％は保守運用を特に行っていなかったとしている。

回答全体の93％にあたる66社でクレジットカードの情報流出被害があり、1社を除いた65社でカードの差し替え手数料といった費用の負担が発生。またクレジットカードの流出被害があった事業者の83％でクレジットカードの不正利用が発生しており、同じく83％が不正利用の補填を行っていた。

（Security NEXT - 2022/03/18 ）ツイート