予想しない事態が起こるECビジネス

私自身、ECにおけるセキュリティやリスクマネジメントについては今までいろんなことがありました。例えば、「ある日、FBIから警告メールがくる事件」「店舗スタッフが夜中にデータ消去事件」「サーバに勝手に変なプログラムをアップロードした事件」「勝手に銀行口座に入金事件」「C国、B国、I国、M国などからの攻撃を受けまくりサイト連続ダウン事件」「連続100万円近い金額の詐欺事件」「データセンターのスタッフがコンセントを抜いてしまいECサイトダウン事件」「電力会社からすべて電源落とします通達事件」…などなど。

最近の社会的な事件でいえば、ロシアがウクライナに侵攻する前日に、日本のある企業がマルウェアの一種である「Emotet（エモテット）」にやられてしまい、サーバが大規模なダウンに襲われました。その後、Emotetは日本中に猛威を奮って私の関係者からもどうすればよいかという相談がたくさん来ておりました（図01）。

Emotetは自分の会社やお客様の名前を使ってメールを送り付けてきます。しかし、メールを開いただけでは侵されず、添付ファイルを開くと侵される仕組みになっており、メールの連絡先にまたスパムメールをばらまいてしまいます。大事なお客様からのメールだとついつい添付ファイルを開こうとしてしまいがちですが、それは明らかにおかしなメールですので、本来ならそこで気づかなければなりません。常日頃からセキュリティやリスクについて教育をしておく必要があります。

モールだからって安心はできない＆不正注文・転売ヤー問題

また、デジタルプラットフォーム側が実施しているからとか、ASP提供会社側がセキュリティ対応しているからといって、事業者側は安心してはいけません。どんなに優れたシステムでも仕組みで避けられない場合や双方の運用のミスでリスクが発生することはあります。先日も、とある有名グローバル企業のサービスが落ちてしまい、多くのWebサイトの閲覧ができなくなる事象も発生しました。このような時にどのように対応すべきかは、あらかじめ整理しておくとよいでしょう。

例えば、モールに出店している場合であれば本店サイトや他のショッピングモールに誘導するのもありですし、SNSやブログで進捗状況を報告するのもよい手です。社内も情報が来ないと混乱しますので、ユーザーへの対応だけでなく、社内外のチームにも情報共有できるような仕組みにしておくと安心です。起きてしまったことについては罪を憎んで人を憎まず。暫定対策と恒久対策を立ててコトに当たるのがよいです。ISOやISMSなどの仕組みを取り入れることで教育の体制をつくっておきましょう。

その他、EC運営していると気になるのは、「不正注文」や「転売ヤー」です。不正注文は、最近では多様化しており、アパート・マンションの空室での受取や、海外転送サービスの悪用、ブラックリストをかいくぐる小技などがあり、あのAmazonでも仕組みのスキを突かれたりします。

転売ヤー問題も頭が痛く、ある店舗さんは50店舗ほど転売サイトをつくられていました。しかもデジタルプラットフォーム内にも出現し、対策を取ってもなかなか追いつかない状態で、まさにイタチゴッコになっています。デジタルプラットフォーム側も対策を立てようとしていますが、ゼロにはなかなかできないのが現状です。

この対策としてはやはりブランディングでしょう。Amazonでもブランド登録を勧めていますが、今後は偽物対策を行うにしてもブランディングはもう一度考えておいたほうがよいでしょう。

ECでの3つの対策

ECサイトのセキュリティとリスクの対策は、大きく分けて3つです。ひとつは「テクノロジー」。日進月歩の施術革新を背景に、最新版化していくことでかなりいろんな課題を解決できます。2つ目に「教育」です。テレワークも進んでいますのでセキュリティの甘さを突かれやすくなっています。経営者から社員、アルバイトやパートさんまでしっかり教育することが必要です。特に経営層への教育と、退職したアルバイトさんは要注意です。3つ目の対策は、社内外の仕組みづくりです。テクノロジーと教育で対策を取った後、運用できるように仕組みをつくっていくことが大切です。

セキュリティのリスクはますます多様化し、複雑化していきます。今後はコストセンターになることは間違いありません。社内外のチームづくりはもちろん、AIをうまく使用したりして、先手を打つリスクマネジメントがECサイト運営には今後ますます重要になります。