ECサイトで続く情報漏洩について

１．最近発生するECサイトの情報漏洩

　最近、ECサイトにて不正アクセスによる情報漏洩が頻発しているように感じます。1万件以上の被害が起きているケースだけでも以下のように散見されます。地政学リスクや貧富の差が広がるとこういった犯罪は増えるので、今後も増加していく可能性があると思います。

ECサイトでクレジットカード情報漏洩のマルカワみそ、2万人超のパスワードも対象に

「ジョイフル本田」オンラインサイトに不正アクセス、顧客ら２万１３２人分の個人情報流出か（読売新聞オンライン） - Yahoo!ニュース

クレカ情報1.5万件、平文で流出か　美容室向けECサイト「fofo」に不正アクセス（ITmedia NEWS） - Yahoo!ニュース

関連するサイトに登録されている方は、不正利用がないかクレジットカードや銀行口座の履歴を確認しておくとよいかと思います。
また以下のサイトを参考に、「Have I Been Pwned?」でダークウェブへの流出がないか確認しておくのもよいと思います。
（ただしここになければ安心ということではないです。
たとえば悪い人たちがしっかり管理している場合は、ダークウェブへの流出はないのですが悪用されます。）

データ漏洩の有無を調べられるサイト「Have I Been Pwned?」の信頼性は？

パスワードが漏洩している場合、そのパスワードを使い回している他のサイトがあれば変更しておくことをお勧めします。
パスワードリスト攻撃（別のサービスやシステムから流出したアカウント名とパスワードのリストを用いてログインを試みる手法）もあり得るためです。

２．これからECサイトを作るなら

　私はプログラミングの実務経験はありますが、ECサイトを作成したことはないです。そのため専門分野ではないですが、参考までにかんがえたことを記載します。

１）なるべく個人情報を取得しない

　漏洩を完全に防ぐことは難しいので、なるべく持たないのがいいのではないかと思います。
ID,年齢,性別、居住地(県まで)、メールアドレスくらい取得すれば顧客の購買データ解析はできると思います。
もちろん漏洩リスクは下げるべきですが、同時に漏洩した時の被害も抑制したほうがよいと考えます。

２）（手数料を払うが）決済サービスを利用

　以下のようなサービスを使えば手数料を払いますが、自社のデータベースに顧客のカード情報を登録しないで決済できます。

Stripe | インターネット向け金融インフラ

決済代行・オンライン決済サービスの導入ならSBペイメントサービス（旧：ソフトバンク・ペイメント・サービス株式会社)

３）住所はブラウザに登録しているアドレスを使用して、送る際に入力してもらう

　Webブラウザでは、住所などのデータをフォームに自動入力するオートコンプリート機能が備わっていますので、それを使用してもらうことで自分たちのDBには登録しないという方針です。
以下のサイトが参考になると思います。

これだけは押さえよう！住所フォームの作り方 - ケンオールブログ

４）利便性より安全性なのかも

　離脱率を下げるためにも、顧客が同じ情報を何度も入力せずに済むようにすることを中心に考えてきたと思います。
ただサイトが攻撃されることはもう当然、といった心構えでサイトを作っていかなければならない時代になってきたのではないかと感じています。
そのため手数料を払ったり、不便になる側面も覚悟していかなければならないのかなと思いました。
大きな企業でセキュリティーに対して多くのコストが払える企業であれば、上記対応とは異なるとは思います。