情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)は3月16日、ECサイトを構築および運用する際のセキュリティ対策を強化するための対策をまとめた「ECサイト構築・運用セキュリティガイドライン」を公開した。

同ガイドラインは、近年ECサイトからの個人情報やクレジットカード情報などの流出事件が相次いで発生していることを受けて、IPAが適切なセキュリティ対策の必要性とその具体的な方法を周知するために作成したもの。「経営者編」と「実践編」の2部構成となっており、経営者編ではECサイトの構築や運用を行う企業の経営者に向けたセキュリティ対策の重要性が、実践編では実際にECサイトのセキュリティ対策を実施する責任者および担当者に向けた具体的な対策の内容や実現方法がまとめられている。

  • ガイドラインが示すセキュリティ対策を実施する箇所と実施内容

    ガイドラインが示すセキュリティ対策を実施する箇所と実施内容

実践編では特にECサイトを新規に構築する場合と、すでに運営している場合のそれぞれのケースにおいて実施するべきセキュリティ対策の要件を挙げ、それぞれについてその要点や実施方法について解説している。また要件ごとに、求められるセキュリティの水準に応じて「必須」「必要」「推奨」の区分が指定されており、実施する優先度の目安にすることができる。

  • ECサイトの構築時におけるセキュリティ対策要件

    ECサイトの構築時におけるセキュリティ対策要件

  • ECサイトの運用時おけるセキュリティ対策要件

    ECサイトの運用時おけるセキュリティ対策要件

その他、ECサイトの構築時および運用時のセキュリティ対策の実施状況を確認するチェックリストも付録として公開されている。IPAでは、中小企業の経営者や実務担当者に向けて、ガイドラインを参考にしてECサイトに対して適切なセキュリティ対策を実施するよう呼びかけている。