2023年3月16日に経済産業省は独立行政法人情報処理推進機構（以下、IPA）と連携し、ECサイトを構築・運用する中小企業向けに、ECサイトにおけるセキュリティ対策の重要性を理解し、具体的に対策を講じるよう、ECサイトのセキュリティ確保のために経営者が実行すべき項目、実務担当者が具体的に実践すべきセキュリティ対策の内容をまとめた「ECサイト構築・運用セキュリティガイドライン」を策定しました。

現在自社にてECサイトを運用している場合はもちろん、今後ECサイトを構築・運用する場合は本ガイドラインを参考にして、必ずセキュリティ対策を講じましょう。ECサイト構築を外部に委託する場合であっても、セキュリティ対策は自社にて方針を固め、決して外部に丸投げしないようにしましょう。

 対象読者

このガイドラインは中小企業の以下の方々を対象としています。

• ECサイトを新規に構築しようとしている経営者
• SaaS型サービスの利用も含む既にECサイトを運営している経営者
• 経営者から指示を受けたECサイトの構築および運用担当者、関係者および外部委託先事業者

実際にECサイトを構築・運用するのは運用担当者や外部委託事業者であったとしても、まずは経営者が高い意識を持ってセキュリティ対策に取り組むことが重要です。本ガイドラインも経営者が読むことを前提としており、現場だけが理解していてもあまり意味はありません。

 ガイドラインの構成

本ガイドラインは「経営者編」と「実践編」の2つに分かれています。

「経営者編」では、IPAの「中小企業の情報セキュリティ対策ガイドライン」を基に、経営者が実行すべきセキュリティの基本対策を挙げるとともに、ECサイトの構築時及び運営時に、経営者が認識し、実務担当者に実施させるべき取組が整理されています。

「実践編」では、ECサイトの構築時及び運営時におけるセキュリティ対策要件をまとめるとともに、「経営者編」で挙げた実施すべき取組について、責任者および担当者が行うべき具体的な実践内容をチェックリスト形式でまとめています。

チェックリストは

• 構築時チェックリスト
• 運用時チェックリスト

に分かれていて、必要最小限の項目でまとめられているため現場でも活用しやすいと思います。

詳しくは独立行政法人情報処理推進機構（IPA）の公式ページにてご確認ください。