目次
管理しているホームページに障害が発生したらどうする?
ホームページを制作管理されている企業なら必ず経験がある「サーバー障害」「ホームページに対するサイバー攻撃」。
あなたの会社は発生時の対応フローや責任範囲についてクライアントとしっかり共有されてますか?
今この時間にもそれらトラブルは発生するリスクがあり、それは年々増加しています。
リスクやセキュリティ管理が放置されていたり、クライアントとの責任範囲が明確化されていない場合、トラブルの責任はホームページを制作した会社、管理している会社になってしまいます。
自社の責任以外の損害を賠償することにならない為に、事前の対策はしっかり行いましょう。
サイバー攻撃や個人情報漏洩事故の現状
ここ10年でインターネット環境は大きく変化し、それに伴いサイバー攻撃の手法も変化、拡大しています。
10年前はWinnyといった「ファイル共有ソフトからの情報漏洩」や現在でも大きな脅威の「標的型攻撃(攻撃者が送っ たメールに添付されているファイルを実行してしまう事でウイルスに感染させ、機密情報を抜き取る方法)」が主な脅威でしたが、5年ほど前になるとガンブラーによるWEBサイト改ざん被害、そして現在はスマートフォン偽アプリからの情報窃取、ランサムウェアによる身代金請求など、被害は拡大、手法も高度化、複雑化しており、WEB制作会社も「知りませんでした。対策していませんでした。」では済まされない時代です。
個人情報漏洩での損害賠償ですと「宇治市住民基本台帳データ大量漏洩事件」にて、個人情報基本4情報(氏名・住所・性別・生年月日)を漏洩した場合は、慰謝料は1件1万円が基準になっているとの事。これはECサイトや多くの会員データを保持しているサイト管理をしている制作会社はそれだけの責任を負う可能性があるという事です。
また攻撃代行業者といった存在も多くなり、高校生が800円の代行で900万の被害を与えた事件もあり、リスクは拡大する一方です。
これら詳細情報は下記サイトをご確認ください。
●情報セキュリティ10大脅威 2016(該当ページからダウンロードできるPDF資料は必読)
https://www.ipa.go.jp/security/vuln/10threats2016.html
●Security NEXT 個人情報漏洩事件・事故一覧
http://www.security-next.com/category/cat191/cat25
●個人情報を漏洩・流出させたら、損害賠償や処罰はどのくらい?過去の事例より ニャート
http://nyaaat.hatenablog.com/entry/2015/06/10/143446
●サイバー攻撃、ネットで取引=海外サイト、800円で代行―依頼者の高校生摘発も
http://mainichigoemon.blog.so-net.ne.jp/2014-12-29
●セキュリティ関連チェックサイト
サイバーセキュリティ.com
IPA 独立行政法人 情報処理推進機構
バイラルクラブ WordPressのセキュリティ対策でしておくべき11の項目
対策その1 契約書の整備とクライアントとの契約内容再確認
まず重要な事がクライアントとの契約内容の確認です。
特にホームページの保守契約で月額をいただいている場合はとても重要です。
保守の範囲が「ホームページの文字修正」だけなのか、「ワードプレスや各種システムのアップデート対応」まで含むのか、これら保守の範囲を細かく明確化した「保守契約書」が無い場合は要注意です。システムの脆弱性を突かれた攻撃で、サイトサービス停止、個人情報漏洩など発生した場合は一方的にホームーページを保守している制作会社の責任となってしまう可能性が高いです。
これらを事前に防ぐため、まずはしっかりとした契約書を制作し、それを元にクライアントと契約内容の確認を徹底することが大切です。
●契約書参考サイト
LEGAL MALL Web制作会社必見!損しないWeb制作業務委託契約書の作り方
ホームページ制作・保守契約書書式例 | IT契約書書式例
Web制作会社のみなさまへ(ダウンロード資料集)
Web系フリーランスをモンスタークライアントから守る契約書
契約書作成・チェック・雛形提供や著作権相談は藤枝法務事務所へ
対策その2 管理しているホームページのセキュリティチェック
次に管理している各種ホームページのセキュリティチェック、現状把握を行いましょう。
管理サイトが多くなり時間が経過すると、各ホームページで使用しているシステムやプラグインのバージョン管理がおろそかになってしまいがちですが、ワードプレスなど、旧バージョンを使用し続けることはサイバー攻撃のリスクをわかっていて放置している事となり、これもまた制作会社の責任となります。
他社裁判事例ですが、クレジットカード情報がサーバーから漏洩した事案で、制作会社は「00万円でサーバーにカード情報を補完しないシステムに変更できますよ」とクライアントに案内し、クライアントがその改修を見送る判断をしたにもかかわらず、漏洩の責任として、カード情報をサーバーに補完する対応をとった制作会社に損害賠償の支払いが命じられたとの判例がありました。
これは制作会社としてはとても怖い判例です。クライアントが「お金がかかるなら対応しない」と判断しても、制作会社の責任になってしまうからです。
これは弁護士さんの見解ですと、第三者が一般的に考えて「これは危険だろう」と判断される場合は、その説明義務、対応義務を怠ったとして、制作会社の責任になる可能性が高いそうです。
では回避するためにはどうしたら良いか。。。
対応策としては「選択肢をしっかり提示し、リスクに対しては定期的に案内をする」事が重要との事です。
サーバースペックやセキュリティ対策は上を見れば切りがありませんが、お金をかければリスクを軽減できる事は確かです。
その為、プランA.B.C.Dと言うように、セキュリティレベルと価格を提示し、クライアントに選択してもらう事で、トラブル発生時も「もっと安全なプランがあるならそれを契約していた。損害賠償だ」という事を未然に防止します。
またシステムアップデートにつきましては、サイトの作りやカスタマイズの複雑さに応じて、それなりのコストが必要になる為、どうしても「今支障がないからそのままでいいよ」と判断されるクライアントがほとんどだと思います。
そんな場合も、現代のセキュリティ被害拡大、損害が発生した場合のリスクをしっかり説明し、アップデートコストの捻出を定期的に案内することで、管理会社としての説明責任を果たします。
またクライアントに対しても下記診断シートなどを活用してもらい、セキュリティ向上に努めてもらうよう啓蒙活動を行いましょう。
セキュリティチェック参考サイト
安全なウェブサイトの作り方(各種チェックシートあり)
5分でできる!自社診断シート・パンフレット(チェックシートあり)
対策その3 セキュリティ対策の強化。トラブル発生時のサポート対応をしっかり整備
かなり複雑なシステム構成で、「アップデートするには新規構築と同等の費用がかかる」など、費用面で早急なシステムアップデートができない場合も多いと思います。そう言った場合は「WAF(Webアプリケーションファイアウォール)」や「セキュリティ診断」など、セキュリティサービスの活用対策もクライアントへ提示してあげましょう。
レンタルサーバー付属に多いWAF「SiteGuard」や、
クラウド型(SaaS型)WAF「Scutum(スキュータム)」、
脆弱性診断&マルウェア駆除 「SiteLock(サイトロック)」
の導入もセキュリティレベル向上や脆弱性診断に役立ちますので、それぞれの特徴を理解して導入提案を行いましょう。
サーバー障害やサイバー攻撃被害は100%防げない事をしっかり説明
これはどんなにコストをかけても100%完全に防ぐ事は困難です。
メールもそうですが、サーバーは稼働して当たり前、障害が発生する事自体、管理業務の怠慢だと考えるクライアントも少なくはありません。それはしょうがない事だと思います。私も制作する立場ではなかったら、きっとその様に考えるでしょう。
しかし管理する側に立って考えると、「クライアントに対する説明不足」を痛感します。
物事のトラブル拡大の原因の大半は「コミュニケーション不足」と言われますが、このサーバー関連トラブルに関しても同様です。
起こりうるリスクと対応策をしっかり提示して、クライアントが自分で考え納得して選択する。
何事も契約書の免責事項で逃げるだけではなく、クライアントの立場になって「安全なサイト運営のバランス」をしっかりと話し合う事が重要です。
あとこの書籍はオススメ!WEB業界に特化した契約のポイントやよくあるトラブル事例の回避方法などが記載されてます。デスクに置いておきたい一冊ですね!
