プロジェクトオーガナイザの吉田聖書です。
3月16日に、独立行政法人 情報処理推進機構(IPA)が公式サイト上で「ECサイト構築・運用セキュリティガイドライン」を公開しました。
ECサイト構築・運用セキュリティガイドライン(2023/3/16更新 独立行政法人情報処理推進機構 セキュリティセンター)
これは何かというと、ECサイトをこれから構築しようと考えている、あるいは既に運営している中小企業向けに、セキュリティ意識を高めて実践してもらうためのドキュメントです。対象は一応「中小企業」と書かれていますけれども、大企業の中でも一部門の少人数の取組みでECサイトを運営している場合には対象に含めてもいいのではないかと個人的には思います。
このガイドラインが作成された背景として、近年多発している顧客情報の流出事故があります。顧客情報の中には住所・氏名・生年月日などの個人情報だけでなく、クレカ情報も含まれます。むしろクレカ情報の方が影響が大きいと言えます。顧客情報の流出というとニュースになるのは大企業が多いですけれども、実態としては中小企業が自前で構築したECサイトの被害が、1つ1つの件数は大きくないかもしれませんが、束ねると大企業といい勝負になるようです。
想定読者は経営者とECサイトの担当者や責任者、そして外部委託している場合はその委託先事業者となっています。ECサイトと言っても、CMで見かけるようなSaaS型のサービスとか、大手のモール型ECサイトなど様々な形態がありますけれども、セキュリティ的に一番危ないのは自前で構築したECサイトということですから、それに該当するのであれば関係者は必読です。
公開されたガイドラインはPDFで大体80ページくらいありまして、最初の4分の1が経営者向け、最後の4分の1が付録、真ん中の2分の1が現場向けというような構成です。このガイドラインの画期的な点は、経営者に向けた部分と、実務担当者に向けた部分の両方が含まれているというところです。こういったセキュリティ意識を高めるドキュメントは、往々にして、実践的で実務担当者に向けたものになりがちです。そうすると、経営者の意識として、セキュリティのことは現場の担当者に任せればいいや、と思って丸投げしてしまいます。
ですが、実際に事故が発生すると、売上が減るだけではなく、事故対応費用も発生するので、そのインパクトはかなりのものです。ガイドラインの中にも実際の被害について事例が紹介されています。つまり、経営者であっても、いやむしろ、経営者だからこそ、ECサイトのセキュリティについて無関心であってはならないと思います。あってはならないというか、無関心だとしたらもはや経営者ではないですよね。もし今まで無関心だったのであれば、これを機に意識を変えていただければよろしいかと思います。
※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。
実務担当者向けのところは、よくあるセキュリティについてのドキュメントですが、やはり中小企業を念頭に置いている感じがします。というのも、大企業と違って中小企業はセキュリティの担当者は置いているかもしれませんが、専門的な技能や知識を持ち合わせているとは限りません。ですので、実作業は外部の協力会社に任せるとしても、協力会社の言いなりになったり、適切な依頼ができない状態とならないように、必要最低限の技術的な内容について解説されています。
あと特徴として付録が面白いですね。付録1として実際に被害を受けたECサイトの担当者の声を掲載している点です。被害に遭った原因や、被害に遭って困ったこと、やっておけばよかったと後悔していることについて、もちろん個人名は伏せた状態でまとめられています。自動車の運転免許を更新する時の講習みたいですけど、やはり実際の被害をリアルに知ってもらって、意識を高めたいというIPAの熱意を感じました。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。