ネット店舗運営者は、2024年3月末までに、脆弱性対策と本人認証の導入を。経産省がすべてのネット通販サイトにセキュリティー対策を義務づけ。

こんにちは。
弁護士の浅見隆行です。

昨日は、6月1日からBtoCの取引に新しいルールが追加されるという、消費者契約法の改正に関わる投稿をしました。

今日は、これに関連して、ネット通販サイトの運営者に、セキュリティに関わる新しい義務が増えそうだ、という話しをします。

通信販売に関するルール

特定商取引法

amazon、楽天、Yahoo!ショッピングなどのネット通販は、欲しい商品が手頃な価格で簡単に手に入れられるということで、広く浸透しています。
私も年中、何かしらを購入しています。

こうしたネット通販については、消費者契約法にプラスαして特定商取引法というルールが存在します。

楽天やYahoo!ショッピングに出店している店舗のページを見ると「特定商取引法に基づく表示」として、店舗運営者が誰なのかなどが表示されているのを見たことがあるのではないでしょうか。

ネット通販は対面とは違うのでトラブルが多く、特定商取引法では表示以外にも多くの規制をしています。

詳細は消費者庁のサイトに説明されていますので、そちらを見てください。

特定商取引法ガイド

インターネットで通信販売を行う場合のルール｜通信販売｜特定商取引法ガイド

https://www.no-trouble.caa.go.jp/what/mailorder/rule.html

特定商取引法は、消費者トラブルを生じやすい特定の取引類型を対象に、トラブル防止のルールを定め、事業者による不公正な勧誘行為を取り締まることにより、消費者取引の公正を確保するための法律です。規制内容などをわかりやすく解説しています。

情報漏えいトラブルの増加

クレジットカード情報の漏えい

ネット通販で最近増えているトラブルの一つは、クレジットカードの番号の情報漏えいです。

ネット通販のシステムを提供している会社や出店している店舗のサーバーが不正アクセスされ、その結果、商品を購入した人や会員になった人の氏名、住所、電話番号、クレジットカードの名義・番号などの個人情報が漏えいするケースが相次いでいます。

最近では、2023年2月14日、ソースネクストが、第三者による不正アクセスを受け、クレジットカード情報112,132件および個人情報120,982件が漏えいした可能性があることを公表しています。

ソースネクスト

当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ｜ソース...

https://www.sourcenext.com/support/i/2023/0214_info/

クレジットカードの情報が漏えいするということは、それを不正アクセスによって入手した者が不正利用するケースも増えているということです。

詳しい数字は、日本クレジット協会が公表した資料を見てください。

新しいルールに向けた経産省の動き

計算書が発表した報告書のポイント

こうしたクレジットカードの情報の漏えいや被害があることから、経産省は、1月20日、すべてのネット通販サイトにセキュリティ対策を義務づける報告書を発表しました。

www.meti.go.jp

クレジットカード決済システムのセキュリティ対策強化検討会 報告書（METI/経済産...

https://www.meti.go.jp/shingikai/mono_info_service/credit_card_payment/20230120_report.html

クレジットカード決済システムのセキュリティ対策強化検討会 報告書

ポイントは3つです。

1. クレジットカード情報の漏洩を防止する対策の導入（適切な管理の強化）

2. 漏洩したクレジットカード情報が不正に利用されることへの対策の導入

3. フィッシング詐欺などの犯罪を抑える方法の導入と、犯罪の存在を広報して消費者に周知させること

1では、通販サイトの運営者（ECサイト加盟店）、決済代行業者、クレジットカード番号等の取扱業者別に、対策と漏えいした時の対応を求めています。

2は、主に通販サイトの運営者（ECサイト加盟店）向けの義務づけです。

3は、通販サイトの運営者（ECサイト加盟店）には、警察と連携して犯罪を抑えることを求めているだけです。広報周知などは日本クレジット協会役になどが役割を担います。

以下では、通販サイトの運営者（ECサイト加盟店）に的を絞って説明します。

まだ経産省が報告書を出しただけ具体的なガイドラインに落とし込まれたわけではないので、今後、この方向で規制されていくのだと理解してください。

1-1.情報漏えいの防止策

クレジットカードの情報の漏えいの防止策としては、具体的に以下のことが義務づけられるようです。

• EC サイト自体の脆弱性対策を必須化（システム上の設定不備改善、脆弱性診断、ウイルス対策等）
  ※今後セキュリティ対策ガイドラインが作られる予定です

• ECサイトの脆弱性対策の実施状況を申告

• IPA（情報処理推進機構）が作る「ECサイト構築・運用セキュリティガイドライン」を踏まえた自主的取組の実施

1-2.不正利用対策

クレジットカードの情報の不正利用対策としては、具体的に以下のことが義務づけられるようです。

• ワンタイ ムパスワード・生体認証等による利用者の本人認証の仕組みを 順次導入する（2024年度末までに）
  ※今後セキュリティ対策ガイドラインが作られる予定です

• 国際的な本人認証手法「EMV 3DS」の導入
  ※今後セキュリティ対策ガイドラインが作られる予定です

• 利用者の行動分析、AI等を活用した利用者の行動分析等
  要するに、怪しい動きや普段とは違う動きをしているかどうかで不正利用かどうかを判断する仕組みです
  ※リスクや取引規模が大きい加盟店での更なる不正利用防止措置の運用として検討されています

1-3.犯罪を抑える方策

犯罪を抑える方策としては、警察庁サイバー警察局や都道府県警等の連携を強化することを業界マ ニュアルに反映等することが考えられています。

まとめ

まだ経産省から報告書が出されただけでガイドラインにはなっていないので具体的に何をするかが決まっていません。
しかし、報告書で出された内容を見る限り、ネット通販サイトの運営者（ECサイト加盟店）の負担は増えそうです。

ECサイトのシステムを利用している場合には、おそらくシステムを提供する会社が対策を講じてくれるとは思いますが、少なくとも、ECサイト加盟店は管理画面での設定作業が必要になるでしょう。

また、そうした対策を利用することについて、ECサイトに加盟している店舗はシステムを提供する会社に支払うお金が増えることも予想されます。