EC運営者は要確認。個人情報漏洩時の会員への個別通知が2022年から義務化

新型コロナウイルス感染拡大のニュースが蔓延する今、感染拡大前に各企業がサイバー攻撃を受け、個人情報が流出する事件が多かったことをお忘れではありませんか?ECサイトにおいてもEC-CUBEを狙い撃ちしたサイバー攻撃が増え、多くのECサイトから個人情報が流出しました。

従来、このような個人情報の流出があった場合、企業はホームページにお詫びの記事を掲載したり、漏洩の発生だけをメールで伝えればよかったのですが、今後は個人情報の流出を一人ひとり通知することが義務化されそうです。すでに米国や欧州では本人への通知が義務化されており、日本もようやく世界の基準に並ぶことになります。

個人情報漏えい、通知義務化の概要

具体的には次の通りです。

  • サイバー攻撃で個人情報が流出した企業に対し、被害が発生した全員への通知を義務付ける
  • 違反には最高で1億円の罰金を課す
  • 悪質な場合は社名を公表する
  • 実施時期は2022年の春

このようなルールの厳格化により、今後個人情報漏洩に関する訴訟リスクが高まります。企業は対応を誤ると莫大な損害賠償金を支払わなければいけないこともあります。ECサイトなど事業に直結しているサービスが被害を受けた場合は、最悪の場合、サービス停止に追い込まれることもあるでしょう。米国の場合、最高で10億ドルの損害賠償が発生し、経営破綻に追い込まれたケースもあるようです。今回の義務化はこのようなグローバルスタンダードに近づくことになるため、損害賠償金も拡大すると推測できます。

一方、自分の個人情報が流出されてしまった個人は、その企業に対して損害賠償請求を行いやすくなるでしょう。従来はルールが明確でなかったが故に訴訟できるのかどうか判断しにくかったのですが、今後はより訴訟しやすい環境が整ったと言えるでしょう。

企業にとって今後は個人情報を保有することがビジネスを行う上でも必須となるのですが、それと同時に個人情報漏えい対策に相応の費用を割く必要に迫られるでしょう。また、万が一情報漏えいした場合に備えてサイバー保険への加入も必須になるでしょう。

ECサイトのプラットフォーム選びがより重要に

今後、ECサイトを自社で運営する企業は増えていくでしょう。その場合、個人情報漏えいの観点から意識しなければいけないことはプラットフォーム選びです。EC-CUBEがなぜ狙われやすいのか。それは運営者自身がサーバを管理したり、ソフトウエアのアップデートを行わなければいかないからです。つまり、セキュリティ意識の低い運営者がECを運営している場合、サイバー攻撃されやすい条件が整っているのです。

したがって、今後自社でECを運営する場合、社内にセキュリティに強い担当者が不在な場合は、BASEなどクラウドサービスを利用しましょう。クラウドサービスを運営している企業の多くは資金力があり、社内に優秀な人材が多く、サーバは常に監視され、セキュリティアップデートも勝手に行ってくれます。

もしEC-CUBEをどうしても使いたい場合は、クラウドサービスと同等のセキュリティ対策環境を自身で用意する必要があります。おそらく中小企業にとっては相当な負担増だと思われます。わざわざ高いリスクを負ってまでEC-CUBEを使わなければいけないのか。EC運営者は使いやすさとリスクを天秤にかけて判断することが求められます。

私個人的には小規模ECはBASE、中規模以上はshopifyを利用することをオススメします。

関連記事

  1. 【京都マラソン応援企画】ゴールに近い銭湯まとめ

  2. 個人用・業務用アルコールチェッカーを調べてみた

  3. いよいよ2020年1月に京都スタジアムが竣工。ボルダリング施設もあるぞ…

  4. 京都市内のセブン銀行ATM設置場所

  5. 関西で先端医療が受けられる病院一覧

  6. 沖縄でキャッシュレス決済するなら楽天ペイがおすすめ!