見出し画像

ECサイトの脆弱性診断が必須化の動きへ?

U@EC支援歴15年目突入

昨今、ECサイトのセキュリティを強化するために国が力を入れているようです。
つい先日には、特定商取引法の改定が行われ、カートの確認画面の表記義務が厳しくなり、直近では2025年3月末までに「EMV3-D セキュア」の必須化が求められておりますが、今後はさらに、脆弱性診断についても必須化の流れになりそうです。

経済産業省の動きとガイドライン改訂

経済産業省では、近年増加するクレジットカードの不正利用に対抗するため、決済システムのセキュリティ強化に力を入れています。2023年1月に発表された「クレジットカード決済システムのセキュリティ対策強化検討会報告書」では、特に脆弱性診断を含むセキュリティ対策の重要性が強調され、2024年度末までに「クレジットカード・セキュリティガイドライン」への記載が求められています。

この報告書では、特に以下の点が強調されています。

  1. 脆弱性診断の必須化: ECサイトを運営するすべての加盟店は、定期的な脆弱性診断を実施し、その結果を元に適切な対策を講じることが義務付けられます。これにより、サイバー攻撃によるクレジットカード情報の漏洩や不正利用を未然に防ぐことが目的です。

  2. 本人認証の強化: 「EMV 3Dセキュア」などの最新の本人認証技術を導入することが求められています。これにより、不正な取引を未然に防ぎ、クレジットカード決済の安全性を高めることが目指されています。

  3. 監督と管理の強化: 脆弱性対策や本人認証の実施状況については、カード会社や決済代行会社が加盟店を監督・管理し、対応が不十分な場合には契約解除の可能性も示唆されています。

これらの対策は、今後改定される「クレジットカード・セキュリティガイドライン」に反映される予定であり、業界全体でのセキュリティ強化が進められます。
この動きは、ECサイト運営者にとってセキュリティ投資やリソース確保の必要性が高まる一方で、ユーザーにとっては安心して利用できる環境が整うことにつながります。

具体的にどのような内容が求められるのか

具体的な内容についてはまだ検討中のようですが、ECサイト構築時や運用時に指針となる「セキュリティチェックリスト」が設けられるようです。
ECサイトにクレジットカードを導入する場合には、決済代行会社との契約が必要となりますが、ECサイト事業者が新たに決済代行会社と契約を結ぶ際には、「セキュリティ・チェックリストに基づく対策措置状況申告書」の提出が求められたり、対策が講じられていない場合には契約解除されてしまう可能性があるようです。
いままでの流れから察するに、法的な罰則が設けられるわけではなさそうに予想されますが、対策を行わないとクレジットカードが使えないことになるかと予想されますので、実質的な罰則化になると思われます。

ECサイト運営者にとっての負担増

脆弱性診断を行うには、専門的な知識と高額な費用が必要となります。
一般的には、簡易な診断であれば数十万円から、本格的な診断では100万円を超える費用がかかることがあります。

もちろん、適切に脆弱性診断や定期的なECサイトのメンテナンスを行っていける企業であれば問題はないのですが、売上規模の小さいECサイトではこのような費用を負担しながら運営を行うことは実質的に難しいでしょう。

実際、経済産業省の報告書においても、EC運営者側に脆弱性診断について知見を有している人材が 不足していること等から、どの程度の有効性が期待できるのは不明である。との見解もあります。

考えられる落としどころ

考えられる落としどころとしては、チェックリストの提出時が形式的な自己申告に留められることが予想されますので、何かあった際には契約解除になったり、場合によっては責任を追求されたりするといった、事後罰則が考えられます。

また、おそらく国内のクラウド型ECプラットフォームではこのチェックリストを意識して、脆弱性診断に対してもなんらかの対策を講じるはずです。この場合には、EC運営者側の負担は減ってくるかと思いますが、一方で、自由に改変できる余地は限られてくる可能性もあります。場合によっては、クラウド型のプラットフォームでも「改変すると自己責任」という規約がつくかもしれません。

今後のEC業界の予想

EC業界の今後の流れとしては、オープンソースやオリジナルのECプログラムを自前のサーバーに設置するタイプの独自ショップを維持できる企業がどんどん少なくなっていき、小さい規模のECサイトはクラウド型のECプラットフォームを使うしか選択肢はない状況になるのではないかと予想しています。

これまでのように、ECサイトに独自の機能を追加カスタマイズして差別化や囲い込みを図ったり、コンバージョン率を高めていくようなマーケティング思考だけではなく、
コンテンツやSNSなどの認知強化を図り、じわじわとブランドのファンを獲得していくブランディング思考がより重要になってくると思います。
(ブランドにファンがついていれば、プラットフォームが変わっても売上に影響は少なくなります。)

一方、技術的にも期待されるのは、かつてのSSLやWAFのように、安価で導入できる脆弱性診断ツールがレンタルサーバーなどに導入されるのが理想的です。これがどこまで実現可能なのかは今後も注視していきたいと思っています。


この記事が気に入ったらサポートをしてみませんか?