ECサイトのセキュリティ

2005年07月27日

ECサイトのセキュリティは厳しいものでなくてはならない。

まぁ、当たり前のことだ。理由は言うまでもないが、商品配送のために名前・住所・電話番号など正確な個人情報が蓄積されており、また連絡手段としてのメールアドレスや、決済方法にクレジットカードを利用した場合は、カードNoも一定期間保持されることが通常であろう。

個人情報が漏洩したときの損害を「精神的苦痛」「経済的損失」とするとECサイトの個人情報は経済的損失が大きい。

未だ原因は不明ながら今回の楽天の漏洩事件を検証してみたい。楽天自体は一定レベルのセキュリティを確保しており(と思いたい)、たぶん漏洩したデータも位置店舗だけであることから、店舗側の問題であろうと推測できる。

しかし、今回の問題で楽天が受けた被害は甚大だ。
・対応コスト
事故対応の人件費、弁護士相談コストなど
・ブランド価値
一般ユーザは楽天ブランドでサイトに訪れ、欲しい商品があれば買い物をするのがほとんどだろう。リピータであれば「あの店のこの商品を」という場合もあろうが、最初のきっかけはやはり楽天ブランドであろう。
今回の漏洩事件で、いくら楽天がしっかりしていても店舗側から漏れてしまう危険性をはらんでいることを露呈してしまった。しかもクレジットカード番号までも。

そう楽天は所詮ショッピングモールであり、店舗ではない。
与信チェックのサービスはするが、決済は各店舗がカード会社を行っている。各店舗がクレジットカード番号を持たなければならない理由がそこにある。

クレジットカード番号を持つ企業はもっとセキュリティレベルをあげるべきだ!

ごもっともである。VISAカードなどは契約店舗や決済代行会社に対してガイドラインを設け、一定量のトランザクションがある店舗には定期的に監査をしている。
アカウント情報セキュリティ(AIS)

楽天くらいの規模になれば監査を受けているはずだ。これを守っていて情報が漏れることは常識的には考えられない。(もちろん内部不正は防げない部分もあろうが)

やはり店舗である。ガイドラインはあるものの、小規模な店舗がここまでの対策を遵守できているとは思えない。コストもかかるし、監査もされないのであれば....なんてところがほとんどだろう。

楽天はモールだけではなく、決済や物流機能を提供しない限りこの問題とは一生付き合うことになる。
楽天の情報流出事件、「誰の責任なのかはっきりして」--出店者の苦悩と不安
さぁ、どうするのか。引き続きウォッチしたい。


一方でそろそろクレジットカード番号だけで買い物ができるというシステムは限界かとも思う。
その点Edyなどの電子マネーはID番号(Edyナンバーなど)が知られても経済的な損失が発生することはない。Felicaカードを偽造されない限り大丈夫だ。Edyナンバーなんてam/pmのレシートに印字されるが、そのままゴミ箱に捨てても大丈夫ってことだ。
posted by CISO見習い at 19:38 | Comment(0) | TrackBack(0) | 個人情報保護




この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

この記事へのTrackBack URL
http://blog.seesaa.jp/tb/5625274
ほっとけない 世界の貧しさ
当サイトでは頂く「トラックバック」は 訪問して頂いた方にとても、大変お役に立つ情報であると考えています。 そのため、記事に少しでも関係のある物に関しましては大歓迎ですが
■記事と全く関連がないと判断される物
■「宣伝」「誘導」を目的とした物

これらに該当すると判断される「トラックバック」つきましては「削除」させて頂いておりますのであらかじめご了承下さい。 同様に「宣伝と判断されるコメント」も削除させて頂きます。



これだけは知っておきたい個人情報保護
岡村 久道 鈴木 正朝
日本経済新聞社 (2005/01)
売り上げランキング: 3,036
おすすめ度の平均: 4.39
4 とりあえず本
4 フレームワークを知るには良い本
5 「これで十分!!」
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。