会員サイトの構築には会員情報のデータベースを必要とするため、個人情報の取り扱いやセキュリティリスクへの対応が求められます。

この記事では、会員サイトを運用するにあたって身につけておきたい個人情報管理の基礎知識やサイバー攻撃への対策などについて解説します。

PマークやISMSなどの第三者セキュリティ認証を取得。高セキュリティな会員サイト構築ならクライゼルの会員サイト作成機能をご利用ください。

会員サイトの情報漏洩は事業リスク

会員サイトはログイン機能やプロフィール機能、決済機能などを搭載するにあたって、サーバー内に会員情報のデータベースを備えています。

そのため、通常のWebサイト以上にセキュリティ対策を講じておく必要が出てきます。

会員サイトに脆弱性があれば、会員情報の漏洩などの重大な事故を引き起こしかねません。

情報漏洩事故は、企業としての信頼を失うばかりでなく、損害賠償、サイトや事業自体の停止など経営にも甚大な影響を及ぼします。

こうした事態を招くことのないよう、会員サイトを運用する際はセキュリティ対策は必要コストとして見ておく必要があるでしょう。

また万が一、データの漏洩等が発覚した場合は、以下を参考に迅速に対応しましょう。

■個人情報保護委員会「漏えい等の対応とお役立ち資料」

https://www.ppc.go.jp/personalinfo/legal/leakAction/

個人情報とは人物の特定ができる情報

次に、個人情報を取り扱う際の基礎知識として、個人情報の定義や個人情報を取り扱う上での義務について押さえておきましょう。

個人情報の定義

個人情報保護法では、個人情報は「生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報」と定義されています。

政府の広報オンライン（https://www.gov-online.go.jp/useful/article/201703/1.html）では以下のように説明されています。

• 個人情報保護法において「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。
  これには、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものも含まれます。例えば、生年月日や電話番号などは、それ単体では特定の個人を識別できないような情報ですが、氏名などと組み合わせることで特定の個人を識別できるため、個人情報に該当する場合があります。
  また、メールアドレスについてもユーザー名やドメイン名から特定の個人を識別することができる場合は、それ自体が単体で、個人情報に該当します。

  このほか、番号、記号、符号などで、その情報単体から特定の個人を識別できる情報で、政令・規則で定められたものを「個人識別符号」といい、個人識別符号が含まれる情報は個人情報となります。
  例えば、次のようなものです。

  （1）　 身体の一部の特徴を電子処理のために変換した符号で、顔認証データ、指紋認証データ、虹彩、声紋、歩行の態様、手指の静脈、掌紋などのデータがあります。

  （2）　 サービス利用や書類において利用者ごとに割り振られる符号で、パスポート番号、基礎年金番号、運転免許証番号、住民票コード、マイナンバー、保険者番号などがあります。

会員サイトを運営する上で、個人情報の取り扱いは避けては通れないものと言えるでしょう。

個人情報を扱う際の義務

事業にあたって個人情報を使用する「個人情報取扱事業者」に対しては、以下のことが義務付けられています。

• 利用目的の特定と利用目的による制限
• 適正な取得、取得に際しての利用目的の通知
• 正確性・最新性の確保
• 安全管理措置、従業員・委託先への監督
• 第三者提供の制限
• 保有個人データに関する事項の公表、保有個人データの本人開示、訂正、利用停止

違反した場合には罰則規定も設けられています。

事業者の義務として、適正な運用・管理体制を構築しておくことが重要です。

個人情報漏洩原因の種類

個人情報漏洩の原因は、社内と社外の2つに大別できます。

両方の対策を講じることが必要になりますので、それぞれ詳しく見ていきましょう。

ヒューマンエラー

原因の1つはヒューマンエラーなど内部からの流出です。

誤表示・誤送信、紛失・盗難、故意による持ち出しなどが内部要因として挙げられます。

過失にせよ、故意にせよ、従業員が加害者となるような状況を作らないことが重要です。

外部攻撃・サイバー攻撃

もう一つが悪意のある第三者による外部からの攻撃です。

総当たり攻撃やリスト型攻撃、SQLインジェクション、OSコマンドインジェクションなど、さまざまな手口で攻撃が仕掛けられる可能性があります。

また手口は進化していますので、常に対策も更新し続ける必要があるでしょう。

官公庁にも選ばれる

高セキュリティな会員サイト構築ならクライゼル

ヒューマンエラーの主な対策

ここからは、情報漏洩事故を防ぐための対策について解説します。

まずは、ヒューマンエラーや内部からの漏洩に対する防止策から見ていきましょう。

個人情報のデジタルでの格納を徹底する

1つ目は個人情報のデジタルデータでの格納を徹底することです。

システム内で運用すれば内部統制を取りやすいですが、紙で運用すると他の書類に紛れてしまったり、外部への持ち出しを発見しづらくなったりします。

個人情報はプリントアウトができないようにする、ローカルPC等にダウンロードできないようにするなどして、システム内で運用できるようにしましょう。

デバイスの持ち出しを禁止する

2つ目は個人情報を閲覧・編集できるデバイスの持ち出しや、私物のデバイスの持ち込みを禁止する方法です。デバイスを持ち出せば紛失や盗難に合うリスクもありますし、外出先での利用にも危険が潜んでいます。

全社員への定期的なセキュリティ教育をする

危機管理は、1箇所でもほころびがあればそこから破綻していくものです。

個人情報保護は社員一人ひとりが責任を持って果たすべき義務であり、全社員への定期的なセキュリティ教育によって、全社員のセキュリティ意識の底上げを行うことが重要です。

外部攻撃・サイバー攻撃の主な対策

続いて、外部からの攻撃に対する主な対策について見ていきましょう。

セキュアなサーバー環境を構築する

1つ目は、セキュアなサーバー環境で会員サイトを運用することです。

SQLインジェクションやDDoS攻撃など、サーバーを標的とした攻撃に合わないよう、アクセス制限やログ管理、脆弱性テストなどでセキュアな環境を維持しましょう。

不正アクセス検知システムの導入する

不正アクセスや異常な通信があった際に管理者に通知するIDSや、自動で通信を遮断するIPSなどの導入も効果的です。

ファイアウォールなどと組み合わせて多層防御しておくと安心です。

システムの脆弱性診断を定期的に行う

サイバー攻撃の手法は巧妙化し続けているため、定期的に脆弱性がないか確認しておく必要があります。

脆弱性が見つかった場合には、システム改修や新たなセキュリティツールの導入など、速やかに対策を講じましょう。

クラウド会員サイトならクライゼル

会員サイトは会員とのコミュニケーション・情報の窓口の役割を果たすものであり、セキュアな環境や体制での運用が欠かせません。

しかし、自社でサイバー攻撃に対するあらゆる対策を講じるのは困難を極めます。

会員サイト構築用のASPツールなどを活用して、サーバー・システムのセキュリティ対策を任せるのが効果的な運用方法と言えるでしょう。

高セキュリティな会員サイトASPツールとして官公庁や金融機関にも導入実績を持つのが「クライゼル」です。

サービス開始以来、事故0のセキュアな環境ですので、安心して会員サイトの運用が可能です。

さらに、ログイン機能やマイページ機能、クーポン発行など、会員サイトに求められる機能が充実。スピーディーに会員サイトを構築することができます。

会員サイトをセキュアに運用したい方はぜひクライゼルをご活用ください。

会員サイト作成するなら、

高セキュリティで使いやすいクライゼル