クレジットカード×セキュリティ対策のリアル|2022年に売上を伸ばせるECサイトに求められるものとは
2020年の新型コロナウイルスの蔓延により、爆発的に成長した日本のECサイト市場。その一方でクレジットカードの情報漏洩などの課題が発生しています。ECサイトのセキュリティ事情に詳しい株式会社リンクの滝村享嗣と、ECサイトコンサルティングとして活躍するフォスター株式会社の川連一豊さんに、2022年の日本のECサイト市場について語ってもらいました。
1.2020年、爆発的に成長したEC市場
滝村 コロナ禍で ECサイトの売上がとても伸びたと思いますが、ECサイトのコンサルティングを提供されている川連さんもお忙しかったんじゃないですか?
川連 そうですね、おかげさまで大忙しです(笑)。 コロナ禍でお店にお客さまが足を運ぶ機会が減ったことで、ECサイトを始める会社が急に増えました。私たちのところも、社員研修依頼やサイト構築の相談、また、基幹システムを全部入れ替えるのでコンサルティングをしてほしいという壮大なプロジェクトまで、様々なお仕事をいただいています。
滝村 基幹システムを入れ替えるというのは大きなプロジェクトですね。時間もお金も随分かかりますが、どのような背景があるのでしょうか?
川連 ECの売上が伸び続けているので、既存のシステムではいずれパンクしてしまう。そうなる前に手を打ちたいということでした。2020年4月に新型コロナウイルスの流行で緊急事態宣言が出されたことで買い物に行けなくなり、日本のEC市場は売上が爆発的に伸びました。2021年は2020年よりも成長率は下がってはいますが、それでも109%程度と思われます。皆さんが想像していた以上にECの成長スピードが速まっているということだと思います。
滝村 確かに私自身もそうですし、今までECサイトを使っていなかった年配の方も使うようになったという話はよく聞きます。2020年というのはEC市場にとっては大きな分岐点となる年になりましたね。
川連 2020年はECサイトにとってまさに“バブル”でした。緊急事態宣言が出された直後からサーバが止まるということも頻繁にありましたし、Amazonですら注文が殺到して多くの商品で在庫が切れ、アクセスが下がった。それくらいすごい状況でした。マスクを売っていたECサイトでは月の売上が数百万円だったものが、いきなり2億円売れてしまった。ここまで急激にアクセスが殺到するとサーバがパンクするのは当たり前ですよね。
一方で、今までネットで買い物をしたことがない人が買うようになり、新規会員がすごく増えた。そのためにトラフィックが上がってサーバ負荷がとても高くなっただけでなく、それ以上にサポートが問題になりました。自動で回答してくれるチャットボットをサイトに組み込んでおけばよいのですが、組み込んでいないECサイトは1件1件メールを送り返さないといけないのでとんでもない手間がかかる。儲かったものの、それ以上に疲弊したという事業者も多かったですね。
川連 そうですね、おかげさまで大忙しです(笑)。 コロナ禍でお店にお客さまが足を運ぶ機会が減ったことで、ECサイトを始める会社が急に増えました。私たちのところも、社員研修依頼やサイト構築の相談、また、基幹システムを全部入れ替えるのでコンサルティングをしてほしいという壮大なプロジェクトまで、様々なお仕事をいただいています。
滝村 基幹システムを入れ替えるというのは大きなプロジェクトですね。時間もお金も随分かかりますが、どのような背景があるのでしょうか?
川連 ECの売上が伸び続けているので、既存のシステムではいずれパンクしてしまう。そうなる前に手を打ちたいということでした。2020年4月に新型コロナウイルスの流行で緊急事態宣言が出されたことで買い物に行けなくなり、日本のEC市場は売上が爆発的に伸びました。2021年は2020年よりも成長率は下がってはいますが、それでも109%程度と思われます。皆さんが想像していた以上にECの成長スピードが速まっているということだと思います。
滝村 確かに私自身もそうですし、今までECサイトを使っていなかった年配の方も使うようになったという話はよく聞きます。2020年というのはEC市場にとっては大きな分岐点となる年になりましたね。
川連 2020年はECサイトにとってまさに“バブル”でした。緊急事態宣言が出された直後からサーバが止まるということも頻繁にありましたし、Amazonですら注文が殺到して多くの商品で在庫が切れ、アクセスが下がった。それくらいすごい状況でした。マスクを売っていたECサイトでは月の売上が数百万円だったものが、いきなり2億円売れてしまった。ここまで急激にアクセスが殺到するとサーバがパンクするのは当たり前ですよね。
一方で、今までネットで買い物をしたことがない人が買うようになり、新規会員がすごく増えた。そのためにトラフィックが上がってサーバ負荷がとても高くなっただけでなく、それ以上にサポートが問題になりました。自動で回答してくれるチャットボットをサイトに組み込んでおけばよいのですが、組み込んでいないECサイトは1件1件メールを送り返さないといけないのでとんでもない手間がかかる。儲かったものの、それ以上に疲弊したという事業者も多かったですね。
滝村 ECサイトの場合、一度商品が売れ出すと次々に売れていくように見えますが、こうすると商品が売れるというような法則というものがあるのでしょうか。
川連 僕らは竜巻のように商品が売れていくという話をよくしますね。ある商品がTwitterなどでちょっと話題になると、まずは検索ワードランキングで上位に上がってきます。そうすると購入者が増え、商品に高評価のレビューが付く。そこでまた勢いがついて、ECモールのランキングに載る。このスパイラルに乗ると商品が急激に売れるようになります。今はレビューでいかに高い評価が付くかがとても重要です。
さらにここ数年の傾向としては、ECモールに頼らず、自前サイトで顧客に直販するD2C(Direct to Consumer|ダイレクト・トゥ・コンシューマー)が増えてきました。
滝村 本当にD2Cは流行っていますよね。10億円程度の売上であれば、すぐ達成できたという話も伺います。
川連 元々はアメリカで、Z世代が「Amazonで買うのはクールじゃない」と商品を買わなくなったところから始まった流れです。日本でも今後はAmazonや楽天といったECモールではなく、自社ECサイトを開設してD2Cでやるというところがとても増えていくと思っています。
川連 僕らは竜巻のように商品が売れていくという話をよくしますね。ある商品がTwitterなどでちょっと話題になると、まずは検索ワードランキングで上位に上がってきます。そうすると購入者が増え、商品に高評価のレビューが付く。そこでまた勢いがついて、ECモールのランキングに載る。このスパイラルに乗ると商品が急激に売れるようになります。今はレビューでいかに高い評価が付くかがとても重要です。
さらにここ数年の傾向としては、ECモールに頼らず、自前サイトで顧客に直販するD2C(Direct to Consumer|ダイレクト・トゥ・コンシューマー)が増えてきました。
滝村 本当にD2Cは流行っていますよね。10億円程度の売上であれば、すぐ達成できたという話も伺います。
川連 元々はアメリカで、Z世代が「Amazonで買うのはクールじゃない」と商品を買わなくなったところから始まった流れです。日本でも今後はAmazonや楽天といったECモールではなく、自社ECサイトを開設してD2Cでやるというところがとても増えていくと思っています。
2.増え続けるクレジットカード情報漏えい
川連 ECサイトが増えたことで、問題になっているのがセキュリティ面ですね。みなさんどんなサイトにしようかとか、どんな商品を売ろうかは考えるんですけど、セキュリティのことはあまり考えない。これはセキュリティプラットフォーム事業を手掛けている滝村さんにぜひお聞きしたいのですが、どのようにすれば、セキュリティへの意識を高めることができますか?
滝村 私たちはEC サイト事業者向けに定期的にオンラインセミナーを開催しています。そこでは「カードの情報漏えいが怖いので参加しました」という人が結構多いですね。
2018年に経済産業省が EC 加盟店に対して「セキュリティ対応を行ってください」という通達を出しました(※)。対応方法は2つあって、1つめがクレジットカード業界の世界的なセキュリティ基準であるPCI DSSに準拠するというもの、2つめは決済代行事業者が用意しているプラットフォームを利用する方法です。
PCI DSSに準拠するのはコストがかかるので、ECサイトの多くは2つ目の決済代行事業者のプラットフォームを利用する方法を選んでいます。決済代行事業者は加盟店に対し、プラットフォームを安全に利用していただくために、「サーバーでクレジットカード情報を保管、処理、通過しないカード情報非保持化対策をおこなってください」と要請しています。これが徹底できていれば問題ないのですが、きちんとできていないために、カード情報が漏えいしてしまう事件が多発しています。その背景にはうちのECサイトなんて小さいから大丈夫という勝手な思い込みがあります。
※クレジットカード取引に関わる事業者が実施するべきセキュリティ対策(2021年3月10日改訂版)
https://www.meti.go.jp/policy/economy/consumer/credit/2103creditsecurity.html
川連 そうですよね。みなさんうちのECサイトなんて誰も狙わない、危ないのは大手だけでしょうと思っていますけど、今はそういう時代じゃないというのを理解していない人が多いですね。
滝村 迷惑メールを自動で送るプログラミングがあるように、穴があるサイトを自動で探すプログラムがあるので、それを使用して見つけられると、どんどん攻撃されます。特に脆弱性があることが分かっているeコマースプラットフォームをバージョンアップせず、そのまま使用していたために情報漏えいすることが本当に多いですね。カード会員の情報というのはブラックマーケットで売れます。仮に1件10円とか20円で売れるとすると、100万件あったら、それだけで1,000万円になります。いいお金になるから後を絶たないですよね。一方、売却せず、愉快犯的にただ嫌がらせをしたいだけというケースもあります。情報を漏洩させて、それをわざとリークしてその会社にダメージを与えるという事件もよく発生しています。
川連 海外で長期の連休があるときも危険ですよね。学生がいたずらで作ったプログラミングで一斉に攻撃をしかけてくることがありますから……。
滝村 日本だけではなく、世界中から狙われているという意識を持つことが大切ですよね。セキュリティ対策ができないのであれば、Amazonや楽天といったECモールに出店すればセキュリティがしっかりしているし、万が一情報漏えいをすることがあったとしても、責任の所在が明確なので安心ではあります。とはいえD2Cの時代になると自社でECサイトを運営することになりますから、セキュリティ意識が低いと、とても危険です。ただ、 自社でPCI DSSに準拠しようとするとコストも人手も時間もかかります。私達の会社ではプライベートクラウドとAWSでPCI DSS準拠をサポートする「PCI DSS Ready Cloud」をサービス提供しています。もともとは決済代行事業者やカード会社に向けたサービスでしたが、最近はECサイトを運営する会社の利用も増えています。
川連 小さいお店だったら「BASE」や「STORES」といったPCI DSSに準拠しているショッピングサイトプラットフォームで作るのが安心ですけど、それなりの規模のD2Cとなると、自社サイトがどうしても必要となります。そういったときに「PCI DSS Ready Cloud」のようなサービスは心強いですね。
滝村さんが考える、セキュリティ意識を高く持っている事業者はどういった特徴があるのでしょうか?
滝村 私たちはEC サイト事業者向けに定期的にオンラインセミナーを開催しています。そこでは「カードの情報漏えいが怖いので参加しました」という人が結構多いですね。
2018年に経済産業省が EC 加盟店に対して「セキュリティ対応を行ってください」という通達を出しました(※)。対応方法は2つあって、1つめがクレジットカード業界の世界的なセキュリティ基準であるPCI DSSに準拠するというもの、2つめは決済代行事業者が用意しているプラットフォームを利用する方法です。
PCI DSSに準拠するのはコストがかかるので、ECサイトの多くは2つ目の決済代行事業者のプラットフォームを利用する方法を選んでいます。決済代行事業者は加盟店に対し、プラットフォームを安全に利用していただくために、「サーバーでクレジットカード情報を保管、処理、通過しないカード情報非保持化対策をおこなってください」と要請しています。これが徹底できていれば問題ないのですが、きちんとできていないために、カード情報が漏えいしてしまう事件が多発しています。その背景にはうちのECサイトなんて小さいから大丈夫という勝手な思い込みがあります。
※クレジットカード取引に関わる事業者が実施するべきセキュリティ対策(2021年3月10日改訂版)
https://www.meti.go.jp/policy/economy/consumer/credit/2103creditsecurity.html
川連 そうですよね。みなさんうちのECサイトなんて誰も狙わない、危ないのは大手だけでしょうと思っていますけど、今はそういう時代じゃないというのを理解していない人が多いですね。
滝村 迷惑メールを自動で送るプログラミングがあるように、穴があるサイトを自動で探すプログラムがあるので、それを使用して見つけられると、どんどん攻撃されます。特に脆弱性があることが分かっているeコマースプラットフォームをバージョンアップせず、そのまま使用していたために情報漏えいすることが本当に多いですね。カード会員の情報というのはブラックマーケットで売れます。仮に1件10円とか20円で売れるとすると、100万件あったら、それだけで1,000万円になります。いいお金になるから後を絶たないですよね。一方、売却せず、愉快犯的にただ嫌がらせをしたいだけというケースもあります。情報を漏洩させて、それをわざとリークしてその会社にダメージを与えるという事件もよく発生しています。
川連 海外で長期の連休があるときも危険ですよね。学生がいたずらで作ったプログラミングで一斉に攻撃をしかけてくることがありますから……。
滝村 日本だけではなく、世界中から狙われているという意識を持つことが大切ですよね。セキュリティ対策ができないのであれば、Amazonや楽天といったECモールに出店すればセキュリティがしっかりしているし、万が一情報漏えいをすることがあったとしても、責任の所在が明確なので安心ではあります。とはいえD2Cの時代になると自社でECサイトを運営することになりますから、セキュリティ意識が低いと、とても危険です。ただ、 自社でPCI DSSに準拠しようとするとコストも人手も時間もかかります。私達の会社ではプライベートクラウドとAWSでPCI DSS準拠をサポートする「PCI DSS Ready Cloud」をサービス提供しています。もともとは決済代行事業者やカード会社に向けたサービスでしたが、最近はECサイトを運営する会社の利用も増えています。
川連 小さいお店だったら「BASE」や「STORES」といったPCI DSSに準拠しているショッピングサイトプラットフォームで作るのが安心ですけど、それなりの規模のD2Cとなると、自社サイトがどうしても必要となります。そういったときに「PCI DSS Ready Cloud」のようなサービスは心強いですね。
滝村さんが考える、セキュリティ意識を高く持っている事業者はどういった特徴があるのでしょうか?
滝村 「情報漏えいがどれだけ会社にとって大きなダメージを与えるかをしっかり認識しているか」だと思います。カード情報が抜き取られるという話をしましたが、多くのECサイトは情報が漏れていることに気がついていないケースがほとんどです。ある日カード会社から「カードの不正利用があって調べたところ、貴社のECサイトから情報が抜き取られていました」と連絡が入って初めて気がつく。その時点でカード会社は、そのECサイトでの、クレジットカード決済を停止します。多くのECサイトは支払いの5割以上がクレジットカード決済ですから、それだけで売上が5割以上減ることになります。さらに情報漏えいさせたすべてのお客さまへお詫び金の支払いや、クレジットカードの再発行費用、クレジットカード会社へ問い合わせが殺到しオペレーターを増やしたその人件費まで請求されることもあります。
川連 セキュリティ対策の話をすると、コストがかかるからと躊躇する企業もありますけど、今の滝村さんのお話を聞いているとセキュリティにかかるコストの方がよっぽど安いですよね。
滝村 私達が思っている以上に一般の人のセキュリティリテラシーというのはまだまだ低いですよね。パソコンにアンチウイルスソフトを入れているから大丈夫という人もいますが、それはそのパソコン1台のことで、サーバの対策はどうするの?と思います。自社のECサイトをどう守っていくのか、そのためにどういう仕組みが必要なのかをぜひ考えて、行動してほしいと思います。
川連 セキュリティ対策の話をすると、コストがかかるからと躊躇する企業もありますけど、今の滝村さんのお話を聞いているとセキュリティにかかるコストの方がよっぽど安いですよね。
滝村 私達が思っている以上に一般の人のセキュリティリテラシーというのはまだまだ低いですよね。パソコンにアンチウイルスソフトを入れているから大丈夫という人もいますが、それはそのパソコン1台のことで、サーバの対策はどうするの?と思います。自社のECサイトをどう守っていくのか、そのためにどういう仕組みが必要なのかをぜひ考えて、行動してほしいと思います。
3.これから伸びるECサイトとは
滝村 これからもECサイトはどんどん増えていくと思いますが、2022年に川連さんが注目しているのはどんなECサイトですか?
川連 やはりD2Cがますます盛り上がっていくと思います。D2Cで成功するためには、ほかのECサイトでは売っていない、個性が重要です。
滝村 独特な世界観があるECサイトは目を惹かれますね。写真もきれいだし、サイトのデザインも素敵です。一昔前のECサイトとは比べものにならないくらいこだわっていますよね。
川連 やはりD2Cがますます盛り上がっていくと思います。D2Cで成功するためには、ほかのECサイトでは売っていない、個性が重要です。
滝村 独特な世界観があるECサイトは目を惹かれますね。写真もきれいだし、サイトのデザインも素敵です。一昔前のECサイトとは比べものにならないくらいこだわっていますよね。
川連 さらに、良い商品を持っているというのは最低条件で、売る仕組みを持っているところは強いですよね。ECを作って終わりでは、もう勝負にならない。お客さまが来てくれるような仕掛けや、個性的な商品や世界観と、これは私が常々言っていることですが、お客さまを満足させる“ネットのおもてなし”がますます大切になってきます。実店舗の場合はお店の中に入ってくれれば何か買ってくれますけど、ECサイトはぱっと見て、気に入らなければすぐに違うお店を検索してしまう。お客さまとしっかりつながるおもてなしが求められる時代になっていくと思います。セキュリティもそのおもてなしの一つだと思っていて、世界観を出すことや良い商品を売ることも大切ですが、まずはセキュリティがあってこそと、今回滝村さんと話していて実感しました。
滝村 本当にそうですね。 PCI DSSも2022年にバージョンアップされる予定で、要件が厳しくなります。ECサイトはますますしっかりとしたセキュリティ対応を求められる時代になってきました。ただこれは当たり前のことで、「このお店、大丈夫なの?」と不安に思うようなところで買い物は絶対しないですよね。当たり前のことを当たり前にやることがやっぱり大切だと思います。
川連 お客さまはセキュリティの話になるとどうしても関心が低いので……、ぜひ今後もセミナーで啓蒙活動を続けてほしいです。
滝村 今度はぜひ川連さんも一緒にセキュリティセミナーを開催しましょう。今日は本当にありがとうございました。
滝村 本当にそうですね。 PCI DSSも2022年にバージョンアップされる予定で、要件が厳しくなります。ECサイトはますますしっかりとしたセキュリティ対応を求められる時代になってきました。ただこれは当たり前のことで、「このお店、大丈夫なの?」と不安に思うようなところで買い物は絶対しないですよね。当たり前のことを当たり前にやることがやっぱり大切だと思います。
川連 お客さまはセキュリティの話になるとどうしても関心が低いので……、ぜひ今後もセミナーで啓蒙活動を続けてほしいです。
滝村 今度はぜひ川連さんも一緒にセキュリティセミナーを開催しましょう。今日は本当にありがとうございました。
フォスター株式会社
代表取締役社長
川連 一豊
1999年よりEコマースを始め倍々で業績を伸ばし楽天市場2003年ショップ・オブ・ザ・イヤー受賞。1万社以上の企業、モール、ネットショップへのアドバイスやコンサルティングを行う。2013年ECシステム流通総額を月間150億円、年間1700億円以上に育てる。オムニチャネル、クロスボーダーEC、システム開発、Eコマースに精通した専門家。
株式会社リンク
セキュリティプラットフォーム事業部
事業部長
滝村 享嗣
群馬県高崎市出身。1999年、新卒で大手商社(情報通信系サービス)に入社。その後、ITベンチャーの営業責任者、ソフトウエアベンチャーの営業/マーケティング/財務責任者に従事。2011年にリンクに入社し、セキュリティプラットフォーム事業の事業責任者として、クレジットカード業界のセキュリティ基準であるPCI DSS準拠を促進するクラウドサービスなどを企画・事業化している。