損失額と事故対応費用で約8,000万円 一度のリスクが事業存続の危機に
顧客から個人情報を預かる立場でありながら、EC事業者のセキュリティ対策が後手に回ってしまう理由はどこにあるのか。大久保氏は「セキュリティ対策から売上は生まれないと考えられているからだろう」と分析しながらも、「ECサイト構築・運用セキュリティガイドライン」に記載されている、実際の被害額から算出した“ある数字”を共有してくれた。
「サイバー攻撃を受け、対応のためにECサイトを閉鎖した場合、売上高の平均損失額は1社あたり約5,700万円、事故対応費用の平均額は1社あたり2,400万円といわれています。事業規模が大きければこの額はより大きくなりますし、中小の事業者の場合、一度の事故が事業撤退や倒産といった最悪の事態を招く可能性もあります。
また、金銭的な被害以上に深刻なのが『信頼の失墜』です。どんなに良い商品を取り扱い、サービスを向上させても『個人情報が漏れるECサイト』とレッテルを貼られてしまった後に離れた顧客を取り戻すのは、容易ではありません」(大久保氏)
主治医や相談相手を見つけ「何も起きていない」という最大の成果を得よう
では、こうした脅威から自社の身を守るには、何から手をつけたら良いのだろうか。板橋氏は「現場だけの努力では限界があるので、経営者の理解やコスト捻出面での協力も必要」とした上で、ECサイトの“健康診断”を定期的に受けるよう呼びかけた。
「IPAが実施するヒアリングでも、『担当者の入れ替わりや退職によって、現在のシステム構成やプラグインのバージョンが正確に把握できていない』といった声をよく耳にします。そもそも、現状がわからなければ的確な対策も打てませんので、信頼できる外部のセキュリティベンダーを見つけ、脆弱性診断から始めることをおすすめします。
実績豊富なパートナー企業を“主治医”として見つけられれば、予算に応じた段階的な修正計画を立てられますし、平時の安全確保に加え、有事の際の命綱にもなります。依頼時には、責任分界点を明確にすることも意識すると良いでしょう」(板橋氏)
また、セキュリティ事故発生時の負担を最小限に抑えるために、「保険会社各社が取り扱っている『サイバー保険制度』を活用するのも一つの手」だと同氏は補足。IPAでも「情報セキュリティ安心相談窓口」を設け、技術的な相談に対するアドバイスを提供しているため、「対策の入り口から迷っている場合は、ぜひ一度活用してみてほしい」と続けた。
「セキュリティ担当者は、扱う情報の機密性から相談相手を見つけづらいと思います。しかし、万が一被害が発生した際に右往左往して時間をロスすると、損失が拡大してしまいます。一人で抱え込まずに相談できるルートは、必ず確保しておきましょう」(大久保氏)
SNSの発展などにより、特にマイナスな情報の拡散スピードが格段に上がる昨今。消費者のデジタルリテラシーの高まりも後押しし、「セキュリティ対策をしていることをプラスの価値に転換する視点がもてると良いのではないか」と大久保氏は提案する。
「たとえば、EC業界ではJADMA(公益社団法人日本通信販売協会)が発行する『データ保護マーク』、IoT機器には『JC-STAR』といったように製品やサービスの安全性を示す公式的なマークが存在します。顧客にとって初見のECサイトや商品でも、これらを明示してアピールすることで不安の払拭やコンバージョン向上に期待ができるはずです」(板橋氏)
「信頼はお金では買えませんが、セキュリティへの投資によって『しっかり守りの施策も行う事業者』というイメージを育てることは可能です。『何も起きていない平和な状態』こそが最大の成果と捉え、経営者も担当者もセキュリティ対策に取り組んでいただきたいと思います」(大久保氏)
「わからないから後回し」ではなく、「わからないからこそ先回り」が功を奏すセキュリティ対策。ぜひ「ECサイト構築・運用セキュリティガイドライン」を地図とし、主治医となるパートナー企業とともに正しく恐れ、立ち向かえる体制を構築してみてはいかがだろうか。
