日本年金機構の加入者情報流出事件が大きな波紋を呼んでいる。報道によれば、職員宛てに送られてきたメールに添付されていたファイルを開いたことでウイルスに感染し、情報が流出したとみられる。こうした事件は、インターネットにつながった端末で個人情報を扱うのであれば、どの企業や組織でも起こりうるだけに、ネット販売実施企業もしっかりとした対策を練るべきだ。

　今回の事件では、職員が安易にメールに添付されたファイルを開いたことが問題とする向きもある。ただ、メールの送信者やタイトル、メールアドレスを偽装するなど、攻撃側の手口が巧妙化しているのも事実で、仮に年金機構のセキュリティー体制や職員の意識に問題があったにせよ、一組織の失態として片付けてしまうのは危険だろう。こうした事故は、インターネットにつながった端末で個人情報を扱っている以上、どの企業でも起こりうることを肝に銘じなければならない。

　また、年金機構だけではなく、日本の他の官公庁や大企業がいわゆる「標的型攻撃メール」により、サイバー攻撃を受けているとも言われている。ネット販売企業にしても、大量の個人情報を扱っている以上、攻撃者の標的とされる可能性は十分にある。クレジットカード情報はもちろん、サイトのＩＤやパスワードも、他サイトでも使い回しているユーザーが多いだけに、利用価値は十分にあるからだ。特に中小通販企業の場合、セキュリティー対策が甘いことが多く、攻撃者がそれを承知している可能性は高い。

　標的型攻撃メールについては、明らかに出所が怪しいメールは誰も開かないだろうが、攻撃者も工夫しており、社員が「業務に関係がある」と誤認すれば添付ファイルをクリックする恐れはある。サポート用のメールアドレスに、消費者を装ってウイルスを添付したメールを送りつけるケースもありうるだろう。

　まずは、現在のセキュリティー体制に問題がないかをもう一度確認する必要がある。重要なのは、添付ファイルのあるメールに対してどうすべきか社内や部署で意思統一すること、そしてウイルスの可能性がある添付ファイルを開いてしまった場合、どう対処すべきかを決めておくことだ。「事故は起こりうるもの」という考えに基づいたセキュリティー体制の構築が求められる。サイト運営や個人情報の管理を外部に委託している場合もあるが、事故が起きれば自社の責任は免れない。委託先のセキュリティー体制を把握し、問題がないかどうかを再確認しなければならない。

　また、年金機構のケースでは、事故後の対応の遅れも指摘されている。流出が起きた場合、どういった措置を取るべきなのか、マニュアル化しておくなどの対策をしておくべきではないか。

　セキュリティー関連の事件が相次ぐ中、消費者の意識も高まっており、通販企業は今まで以上に安全管理に注意を払う必要がある。「不正アクセスを受けない安全なサイトを構築する」ことが重要なのは当然だが、最悪の事態を想定したリスク管理が肝要だ。