ECサイトを運営している会社から、よく聞く言葉があります。
「うちはカード情報を保存していないので大丈夫です」
「決済は外部の決済代行会社を使っています」
「カード番号は自社のデータベースには入っていません」
確かに、クレジットカード情報を自社で保存しないことは重要な対策です。
しかし、それだけでECサイトが安全になるわけではありません。
注意すべきなのは、保存されているカード情報が盗まれる場合だけではないという点です。
注文フォームや決済画面が改ざんされ、利用者が入力したカード情報や個人情報が、入力と同時に外部へ送信されることがあります。
つまり、カード情報を自社で保有していなくても、ECサイトの画面やプログラムが改ざんされれば、カード情報漏えいにつながるおそれがあります。
佐嘉平川屋オンラインショップで公表された事案
2026年6月15日、佐嘉平川屋は、同社が運営する「佐嘉平川屋オンラインショップ」への不正アクセスにより、個人情報およびクレジットカード情報が漏えいした可能性があると公表しました。公表資料では、個人情報73,213件、クレジットカード情報6,303件が漏えいした可能性があるとされています。
同社の公表によると、2026年3月9日に一部のクレジットカード会社から漏えい懸念の連絡を受け、同日、オンラインショップでのクレジットカード決済を停止しました。その後、第三者調査機関による調査が行われ、2025年3月21日から2026年3月10日までの期間にオンラインショップで購入した顧客のクレジットカード情報が漏えいし、一部の顧客のカード情報が不正利用された可能性があることを確認したと説明されています。
漏えいした可能性があるカード情報の対象は、2025年3月21日から2026年3月10日までに同オンラインショップでクレジットカード決済をした顧客5,783名で、項目はカード名義人名、カード番号、有効期限、セキュリティコードとされています。また、その他の個人情報については、2021年4月6日から2026年3月10日までに顧客情報を入力したことがある顧客30,170名が対象で、氏名、生年月日、住所、電話番号、メールアドレスが含まれるとされています。
原因について、同社は、オンラインショップのシステムの一部の脆弱性を突いた第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたためと説明しています。さらにFAQでは、同社は顧客のクレジットカード情報を一切保有していないものの、悪意ある第三者により委託先のサーバー上に不正なファイルが設置され、顧客が注文フォームに入力した情報を外部に送信する動作をしていたと説明しています。
この事案で中小企業が学ぶべき点は、特定企業の問題ではありません。
重要なのは、「カード情報を保存していない」ことと、「注文フォームが改ざんされない」ことは別の問題であるという点です。
「カード情報を保存していない」だけでは不十分な理由
クレジットカード取引では、加盟店がカード情報を保持しないこと、またはカード情報を保持する場合にPCI DSSへ準拠することが重要な対策として整理されています。日本クレジット協会は、EC加盟店について、カード情報を保持しない非保持化、またはカード情報を保持する場合のPCI DSS準拠に加え、EC加盟店のシステムおよびWebサイトの脆弱性対策を講じることを示しています。
また、日本クレジット協会は、近年の漏えい事故では、非保持化を実現したEC加盟店であっても、Webサイトの脆弱性等を原因としたカード情報の窃取が発生しているため、カード情報の保持・非保持にかかわらず、EC加盟店の自社システムおよびWebサイトを定期的に点検し、必要な対策を講じることが求められると説明しています。
経済産業省も、クレジットカード・セキュリティガイドラインについて、クレジットカード会社、加盟店、PSPなど関係事業者が実施すべき、カード情報漏えいおよび不正利用防止のためのセキュリティ対策を取りまとめたものだと説明し、同ガイドラインは割賦販売法に規定するセキュリティ対策義務の実務上の指針として位置づけられているとしています。
つまり、ECサイト運営者は、単に「カード番号を自社DBに保存していない」と確認するだけでは足りません。
注文フォーム、決済モジュール、CMS、プラグイン、管理画面、サーバー、委託先の運用まで含めて、カード情報や個人情報が入力される経路全体を確認する必要があります。
特に確認すべきは「入力フォーム」
ECサイトのリスクは、購入後のデータベースだけではありません。
利用者が情報を入力する画面そのものが狙われることがあります。
特に確認したいのは、次のような入力フォームです。
- 注文フォーム
- 会員登録フォーム
- ログインフォーム
- クレジットカード入力画面
- 問い合わせフォーム
- 資料請求フォーム
- 予約フォーム
- キャンペーン応募フォーム
- メールマガジン登録フォーム
- 返品、交換、修理受付フォーム
フォームに入力される情報には、氏名、住所、電話番号、メールアドレス、購入履歴、配送先、問い合わせ内容、場合によっては決済情報が含まれます。
フォーム改ざんが起きると、サイト運営者のデータベースに保存される前、または保存とは別の経路で、入力内容が外部へ送信されるおそれがあります。
個人情報保護委員会も、漏えい等報告が必要となる例として、ウェブサイトが改ざんされ、ユーザーが入力した個人情報が第三者に送信された場合を示しています。
そのため、ECサイトの点検では、顧客データベースだけでなく、フォームのHTML、JavaScript、決済モジュール、外部連携タグ、サーバー上の不審ファイルを確認する必要があります。
CMS、プラグイン、決済モジュールを放置しない
中小企業のECサイトでは、CMS、ショッピングカート、決済モジュール、プラグイン、テーマ、アクセス解析タグ、広告タグなど、複数の部品が組み合わさって動いていることがあります。
IPAは、ウェブアプリケーションはソフトウェア、フレームワーク、CMSなどで構成されており、これらに脆弱性が発見された場合は、適宜バージョンアップ等の対策が必要だと説明しています。また、自組織のウェブサイトがどのようなソフトウェアで作られているか把握して、脆弱性対策を取る必要があるとしています。
ECサイトで特に確認すべきものは、次のとおりです。
- CMS本体
- ショッピングカートシステム
- 決済モジュール、ペイメントアプリケーション
- テーマ、テンプレート
- プラグイン、拡張機能
- 問い合わせフォーム部品
- 会員管理機能
- アクセス解析タグ
- 広告タグ、計測タグ
- チャットボット、レビュー機能
- サーバーOS、ミドルウェア
- 管理画面、FTP、SFTP、SSHアカウント
「制作会社に作ってもらったまま」「数年前から更新していない」「どのプラグインを使っているか分からない」という状態は危険です。
ECサイトは公開している限り、外部から常にアクセスされます。更新されていない部品が1つ残っているだけでも、攻撃の入口になる可能性があります。
不要なページや古いサイトも確認する
ECサイト本体だけでなく、古いキャンペーンページ、テスト環境、旧サイト、使わなくなったフォームも確認してください。
IPAは、期間限定ページや不要になったウェブサイトを公開したまま放置していると、脆弱性が発覚しても管理が及ばず、結果として脆弱性の影響を受けるおそれがあるため、不要なページや管理できていないウェブサイトは閉鎖を検討する必要があると説明しています。
中小企業では、次のようなものが残りがちです。
- 古いキャンペーン応募フォーム
- 以前使っていたショッピングカート
- テスト用の注文フォーム
- 制作会社が残した確認用ページ
- 旧ドメイン、旧サブドメイン
- 使わなくなった問い合わせフォーム
- 昔の採用応募フォーム
- 旧管理画面
- バックアップとして残したフォルダ
test、old、backupのような名前のディレクトリ
これらが公開されたままになっていると、現在の担当者が存在を把握していないページから不正アクセスされるおそれがあります。
ECサイトのセキュリティ点検では、現在のトップページだけを見るのではなく、公開中のURL、サブドメイン、管理画面、旧フォルダまで確認することが重要です。
委託先に任せきりにしない
ECサイトの構築、保守、サーバー管理、決済連携を外部に委託している会社は多いと思います。
外部委託そのものは悪いことではありません。むしろ、専門知識が必要な部分を委託することは現実的な選択です。
ただし、「委託しているから大丈夫」とは言えません。
佐嘉平川屋のFAQでは、同社はクレジットカード情報を一切保有していない一方で、悪意ある第三者により委託先のサーバー上に不正なファイルが設置され、注文フォームに入力した情報を外部送信する動作をしていたと説明されています。
自社でECサイトを運営している場合、委託先に少なくとも次の点を確認してください。
| 確認項目 | 委託先に聞くこと |
|---|---|
| ECサイトの方式 | 自社構築、ASPカート、SaaS、モール、スクラッチ開発のどれか |
| カード情報の扱い | 自社サーバーで保存、処理、通過があるか |
| 決済画面 | 決済代行会社の画面か、自社サイト内のフォームか |
| 更新管理 | CMS、プラグイン、決済モジュールを誰がいつ更新するか |
| 管理者権限 | 管理画面、FTP、SFTP、SSHに誰が入れるか |
| 多要素認証 | 管理画面やサーバー管理にMFAを使っているか |
| 改ざん検知 | 不正ファイルやスクリプト変更を検知できるか |
| ログ保存 | Webサーバー、管理画面、決済連携のログをどれだけ保存するか |
| 脆弱性診断 | いつ、どの範囲で診断し、指摘事項をどう直したか |
| 緊急時連絡 | 不審な通信や改ざんを見つけた時、誰に何時間以内に連絡するか |
委託契約や保守契約に、セキュリティ更新、脆弱性対応、ログ提供、事故時の協力、再発防止策の報告が含まれていない場合は、契約内容の見直しが必要です。
ECサイトの点検表を作る
ECサイトのセキュリティ対策は、抽象的に「気をつける」だけでは続きません。
まずは、月1回または四半期に1回確認する点検表を作ることをおすすめします。
以下は、中小企業向けの簡易点検表です。
| 点検項目 | 確認内容 | 結果 |
|---|---|---|
| 公開ページ | 不要なページ、旧フォーム、テストページが残っていないか | 済・未・対象外 |
| CMS | 本体が最新または保守対象バージョンか | 済・未・対象外 |
| プラグイン | 不要なプラグインを削除し、必要なものを更新しているか | 済・未・対象外 |
| 決済モジュール | 決済代行会社または保守会社の案内に従い更新しているか | 済・未・対象外 |
| 管理者アカウント | 退職者、制作会社の旧アカウント、共有アカウントが残っていないか | 済・未・対象外 |
| パスワード | 管理者パスワードを使い回していないか | 済・未・対象外 |
| 多要素認証 | 管理画面、サーバー管理、決済管理画面で有効か | 済・未・対象外 |
| 不審ファイル | 最近追加・変更された不明なファイルがないか | 済・未・対象外 |
| 外部送信 | 不明なJavaScript、外部ドメインへの通信がないか | 済・未・対象外 |
| ログ | 管理画面ログ、Webサーバーログ、決済関連ログを確認できるか | 済・未・対象外 |
| バックアップ | 改ざん前の状態に戻せるバックアップがあるか | 済・未・対象外 |
| 脆弱性診断 | 診断実施日、指摘事項、対応状況を記録しているか | 済・未・対象外 |
| 委託先 | 保守範囲、緊急連絡先、対応時間を確認しているか | 済・未・対象外 |
| 事故時対応 | 決済停止、顧客連絡、PPC報告、警察相談の手順があるか | 済・未・対象外 |
IPAは、ECサイト構築・運用セキュリティガイドラインについて、ECサイトの構築時および運用時に必要なセキュリティ対策を検討するための内容であり、チェックリスト形式のセキュリティ対策要件も含むと説明しています。
最初から完璧な管理表を作る必要はありません。
重要なのは、誰が、いつ、何を確認したかを記録することです。
不審な連絡を受けた時の初動
ECサイトのカード情報漏えいは、自社が最初に気づくとは限りません。
カード会社、決済代行会社、顧客、外部の調査機関から「不正利用の懸念がある」「不審な通信がある」と連絡を受けて発覚することがあります。
その場合、最初に行うべきことは、事実確認と被害拡大防止です。
具体的には、次の順番で対応します。
- 連絡元が本物か確認する
- 決済代行会社、保守会社、サーバー会社へ連絡する
- 必要に応じてクレジットカード決済を一時停止する
- サーバー、ログ、ファイルを不用意に削除しない
- 不審ファイル、改ざん箇所、外部通信の有無を確認する
- 第三者調査が必要か判断する
- 対象期間、対象顧客、対象情報を整理する
- 顧客への通知文、FAQ、問い合わせ窓口を準備する
- 個人情報保護委員会への報告要否を確認する
- 警察、カード会社、決済代行会社と連携する
個人情報保護委員会は、漏えい等報告の期限について、発覚したらまず速やかに報告し、速報は発覚日から3〜5日以内、確報は発覚日から30日以内、不正目的で行われたおそれがある場合は60日以内と案内しています。また、ECサイトからクレジットカード番号を含む個人データが漏えいした場合は、報告が必要となる例として示されています。
事故対応では、慌ててサイトを初期化したり、ログを削除したりすることは避けてください。
原因調査や被害範囲の確認に必要な証拠が失われるおそれがあります。
再開前に確認すべきこと
ECサイトで不正アクセスやフォーム改ざんが起きた場合、単に不正ファイルを削除して再開するだけでは不十分です。
再開前には、少なくとも次の点を確認します。
- 侵入経路を特定したか
- 脆弱性を修正したか
- CMS、プラグイン、決済モジュールを更新したか
- 不要なファイル、不要なアカウントを削除したか
- 管理者パスワードを変更したか
- 管理画面に多要素認証を設定したか
- サーバー上に不審ファイルが残っていないか
- フォームの外部送信先を確認したか
- WAFや改ざん検知を設定したか
- ログ監視の体制を決めたか
- 委託先との役割分担を見直したか
- 顧客説明、FAQ、問い合わせ窓口を整備したか
- カード会社、決済代行会社、監督官庁への対応を確認したか
佐嘉平川屋は、公表資料の中で、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ると説明しています。また、同社は個人情報保護委員会へ2026年3月12日に報告済みであり、所轄警察署にも2026年3月9日に被害申告していると説明しています。
ECサイトは、売上に直結するため、早く再開したいという判断になりがちです。
しかし、原因が残ったまま再開すると、再度漏えいが起きるおそれがあります。
再開判断は、売上だけでなく、顧客保護、再発防止、説明責任を含めて行う必要があります。
今すぐ確認したい5つのこと
ECサイトを運営している中小企業は、まず次の5点を確認してください。
- カード情報の流れ
自社サーバーでカード情報を保存、処理、通過していないか。決済代行会社の画面へ遷移しているのか、自社サイト内で入力しているのかを確認します。 - フォームの改ざん確認
注文フォーム、問い合わせフォーム、会員登録フォームに不審なスクリプトや外部送信がないか確認します。 - CMS・プラグイン・決済モジュールの更新
古いCMS、使っていないプラグイン、未更新の決済モジュールが残っていないか確認します。 - 管理者アカウントの棚卸し
退職者、旧制作会社、外部委託先、共有アカウントが残っていないか確認し、不要な権限を停止します。 - 委託先との役割分担
更新、ログ確認、改ざん検知、緊急時対応を誰が行うのかを確認し、契約や運用手順に落とし込みます。
IPAは、ECサイトからの個人情報およびクレジットカード情報の流出事件が多数発生しており、被害の大半を中小企業の自社構築サイトが占めると説明しています。また、ECサイトで事故が発生した場合、長期間の閉鎖に伴う売上減少や、原因調査、被害補償などの事故対応費用を含む大きな経済的損失が発生するとしています。
まとめ
ECサイトでは、「カード情報を保存していない」ことは重要ですが、それだけで安全とは言えません。
注文フォームや決済画面が改ざんされ、入力された情報が外部送信されれば、カード情報を自社で保有していなくても漏えいにつながるおそれがあります。佐嘉平川屋の公表事案でも、同社はクレジットカード情報を一切保有していないと説明する一方で、委託先サーバー上に不正ファイルが設置され、注文フォームに入力した情報を外部送信する動作があったと説明しています。
中小企業が確認すべきことは、次の5つです。
- カード情報がどこを通るのかを確認する
- 注文フォームや決済画面が改ざんされていないか確認する
- CMS、プラグイン、決済モジュールを更新する
- 管理者アカウントと委託先権限を棚卸しする
- 不審な連絡を受けた時の決済停止、調査、報告、顧客連絡の手順を決める
ECサイトは、会社の売上を支える重要な窓口です。
同時に、顧客の個人情報や決済情報が集まる場所でもあります。
ライトハウスコンサルタントでは、中小企業向けに、ECサイトの簡易セキュリティ点検、委託先確認項目の整理、個人情報漏えい時の初動対応、PPC報告要否の整理、顧客向け説明文の作成支援を行っています。まずは、自社ECサイトの注文フォーム、管理画面、委託先、決済方式を一覧化するところから始めてください。
- 投稿タグ
- CMS更新, ECサイト, PCI DSS, クレジットカード情報, フォーム改ざん, 不正アクセス, 中小企業のセキュリティ, 個人情報漏えい, 委託先管理, 脆弱性対策