近年、ウェブサイトを用いたサービスが増加・多様化しており、企業活動の中核として位置づけられているものも少なくありません。こうしたサービスでは、氏名や住所、電話番号などの個人情報のほか、クレジットカード情報など重要な情報が取り扱われています。

　2005年4月の「個人情報保護基本法」の施行以降、ガイドラインの公開^（*1） や各組織における様々な対策が実施されてきましたが、毎年1,000件前後の情報漏えい事件・事故が報告されており、2008年以降は1,500件近くになってきています^（*2）。情報漏えいの中でも、ネットワークを経由し、特定の企業を標的としたサイバー攻撃では、大量の個人情報が漏えいするという大きな特徴があります。直近では、ウェブサイトを経由し、ソフトウェアの脆弱性(ぜいじゃくせい)を狙ったサイバー攻撃により、1億件を超える個人情報が漏えいしています。

　IPAでは、このような事態を受け、ウェブサイト運営者に対して、日頃からのセキュリティチェックと対策を呼びかけるため、注意喚起を発することとしました。経営者やウェブサイト運営者は、下記の対応策および別紙のチェックリストを活用し、日頃からの対策を徹底してください。

対応策

　インターネットやウェブサイトを利用している事業者や組織においては、改めて、セキュリティ対策を検証し、便利でより安全なインターネット社会の確立と維持に向けた継続的な尽力をお願いいたします。対策の基本的な観点は以下のとおりです。

• 【Step1】：入口（ネットワーク経路）をしっかり守る
• 【Step2】：入られてもシステムにつけ入られる隙（脆弱性）を与えない
• 【Step3】：重要な情報はその利用を制限（アクセス制御）する
• 【Step4】：情報にアクセスされても保護するための鍵（暗号）をかける
• 【Step5】：操作や動き（ログ証跡）を監視・分析し不審な行為を早期に発見する
• 【Step6】：万一被害が発生したら早急な対応（ポリシーと体制）をとる

　検討にあたっては、取り扱う個人情報の量や組織情報の重要度、機密度を精査し、企業の社会的責任と事業継続性の観点から、相応の対策を選択することが重要となります。また、グループ企業や連携している組織では、統制されたポリシーと対策が必要となります。

（*1） 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf

（*2） NPO日本ネットワークセキュリティ協会
http://www.jnsa.org/result/index.html

• プレスリリース全文 (PDFファイル 106KB)

• 別紙 (PDFファイル 90KB)

IPA　セキュリティセンター　小林／金野／大森

Tel: 03-5978-7527 　Fax: 03-5978-7518 　E-mail:

IPA　戦略企画部広報グループ　横山／大海

Tel: 03-5978-7503 　Fax: 03-5978-7510 　E-mail: