WEB担当者なら知るべきリスクマネジメント

リスクマネジメント、大丈夫ですか?

企業のWEB担当者やネットワーク担当者であれば、当然のことながらリスクマネジメントはしていると思います。ただ、知識や経験が浅いWEB担当者であれば、WEBの修正や運用だけで業務が追い付かず、リスクのことまでは頭が回らないということもあるでしょう。
特に、スタッフの少ない中小企業で少数精鋭で事業を進めている企業にとっては、マンパワーに委ねてしまっているケースも少なくありません。
しかし、今ではアカウント乗っ取りや個人情報の流出など様々なニュースが取り上げられ、中小企業においても、インターネットに接続している以上、リスクマネジメントは欠かせない業務となります。
ここでは、新人WEB担当者や、経験の浅いWEB担当者に向けて、WEBのリスクマネジメントについてご紹介していきます。

リスクマネジメントとは

リスクマネジメントとは、どのようなものでしょうか。
リスクマネジメントはその名の通りリスクを管理するというところからきています。
WEB担当者としてだけではなく、企業にはあらゆるリスクがありますが、それを識別し、評価し、対応するということがリスクマネジメントとなり、リスクを回避する上では欠かせない業務です。

リスクマネジメントを行う方法

ここからは、リスクマネジメントを行う方法についてみていきましょう。

リスクを識別する

リスクマネジメントを行う上では、リスクを識別することから始めます。
リスクを識別するというのは、どのようなリスクがあり、どのようなリスクが考えられるか、内部リスクや外部リスクなど、あらゆるリスクを想定して識別していきます。
識別していく方法としては、ブレーンストーミングなどで、まずはリスクと考えられるところを洗い出し、グループ化などを行っていくことでうまく整理できます。

リスクを評価する

続いては、リスクの評価です。
識別したリスクに対して、評価を行いますが、ポイントは以下の点となります。

・誰が評価するのか
・どんな基準で評価するのか
・評価を何段階に設定するのか
・どのレベルが危ないと判断するのか

評価する人や判断する人をしっかりと決めることで、判断を誤らず、正確にスピーディーに行動することが出来ます。
普段からある程度のリスクを考えておくことで、いざというときに対処が早いことで、企業が最悪の事態になることを避けられる可能性もあります。
逆に、評価基準が明確ではなく、誰が判断するのかもわからなければ、リスクはリスクのまま残り、無防備な状態で突然最悪な事態になってしまうということもあります。

リスクに対応する

リスクの評価が出来たら、今度はリスク対応をします。
評価した結果、リスクが高くすぐに対処しなければいけないことや、今すぐではなくてもリスクを回避しなければいけないものなどを対応していきます。
リスク対応については、誰がどのような責任で行うのか、又は誰が今後管理していくのかなどを明確にしておくことで、責任所在を明らかにすることができ、原因解明や改善策などを立てやすくなるでしょう。

このように、リスクマネジメントを行う上では、リスクの識別・評価・対応というものが必要になります。
WEB担当として抑えるべきリスクは?
ここからは、WEB担当として抑えておくべきリスクについてみていきましょう。

法務に関するリスク

WEB担当者として一番に抑えておかなければいけないのが法務に関してのリスクマネジメントです。
法務を守ることは日本という国で働く以上、必要なことで、法務が守られていないと罰せられ、企業存続も危ぶまれるものとなります。
具体的には、景品表示法・不正競争防止法・著作権法・商標法・意匠法・特定商取引法・特定電子メール法・個人情報保護法などがあります。

・景品表示法
実際の商品やサービスよりも良く見せている・お得に見せているなど価格などの表示に関しての法律です。

・不正競争防止法
多くの人に認知されている商品と似たような表示や、類似した商品を販売するなどを禁止している法律です。

・著作権法
他人の著作権を侵害することを禁止している法律です。

・商標法
商品名やサービス名、表現方法などで他社が利用している権利を侵害しないよう禁止している法律です。

・意匠法
デザインをマネしないように禁止している法律です。

・特定商取引法
インターネット上でモノやサービスを販売する際に契約解除に伴う債務不履行を禁止するなどを決めている法律です。

・特定電子メール法
不特定多数に一斉に電子メールを送るなどを禁止している法律です。

・個人情報保護法
個人情報を取り扱う場合に、その利用方法などを明示することを義務付けている法律です。

個人情報保護に関するリスク

法務に関してのリスクの中に個人情報保護に関してのリスクがあるとご紹介しましたが、個人情報の取り扱いについては現在では多くのユーザーが危機管理を持っており、個人情報を提供するのに抵抗を感じる方も多くなっています。
そのような中で、個人情報保護に関する法律を守ることは当たり前ですが、今ではプライバシーマークと言う個人情報保護に則った運用をしているという基準を定めている団体の評価を得ることで、企業としての信頼をアップさせることが出来るものもあります。

セキュリティに関するリスク

続いて、セキュリティに関するリスクがあります。

・情報の暗号化
現在では情報の暗号化(https)をするのは当然のこととして知られており、これが行われていないとGoogleからの評価も下がり、SEO対策としても必ず行うべきものです。

・不正ログインの防止
不正なログインを防止するためにパスワードやIDを定期的に更新することや、ロボットからのログインを防止するなどのリスク管理が必要です。

・不要なページの削除
不要なページを残しておくことで、放置されたページが存在してしまい、そこに不正アクセスされてデータ改ざんされるなどの被害が起きる可能性があります。
不要なページは削除するなどの対策が必要です。

・PCのアップデート
ログインしたり、データをアップデートしたりするPCに対して、常に最新のセキュリティを入れる・OSをアップデートするなどの対策が必要です。
PCの方が脆弱性になり、ハッキングされるという恐れがあります。

・パスワードの設定
パスワードはわかりやすいものにしないことはもちろんのこと、8桁以上で英語や数字、記号や大文字小文字が混ざったようなパスワードが最適です。
出来れば3か月ごとに更新することが望ましいです。

・アクセス制限
ログインしてアクセスできる制限をかけることも大切です。
WordPressなどを利用している場合には、管理者権限によりログインしたユーザーに特定の作業が出来ないようにすることや、ユーザーがサイトを訪れた際に、ログインパスワードが無いとは入れないように設定するなど、管理が必要な場合があります。

・ファイアウォールの設定
セキュリティ対策としてファイアウォールの設定は不可欠です。
身近なところから不正アクセスされないようにファイアウォールの設定は欠かせません。

サーバー・ネットワークに関するリスク

サーバーやネットワークに関するリスクも挙げられます。
サーバーのセキュリティリスクを対策するためには、セキュリティパッチの適用をすることや、不要なアカウントを削除しておくこと、ログを取得しておくことなどが挙げられ、外からの不正アクセスを防ぐことが必要です。
また、社外だけの問題だけではなく、社内においても、サーバーに関してはサーバー管理者しか入れないようにすることが常識で、サーバーにアクセスできる人を制限することが大切です。
また、サーバーだけではなく、WEBサイトにおいても、WEBサービスの利用においても、企業として誰にどのサービス利用やサイト内の権利を与えているかを明確にし、管理する人が必要です。

SEOに関するリスク

次に、SEOに関するリスクです。
これまでのリスクはハッキングされることやデータ改ざんされるといった恐れに対してのリスクが強かったですが、SEOに関してのリスクは、サービスや商品を販売する上で集客や売り上げダウンを起こしてしまうといったリスクです。
GoogleやYahoo!などの検索エンジンにおいて、自社サービスや商品を紹介するWEBサイトが、検索結果で表示されるようにしますが、出来るだけ上位表示された方が多くのユーザーに閲覧されるため、どの企業でもSEOを意識したWEBサイト制作をしているはずです。
しかし、Googleが定めているルールを破り、不正な方法で上位表示を目指すようなことをした場合、Googleからの評価を下げることになり、結果的に検索結果の上位には上がらず、かえって下げてしまう結果に繋がります。
SEOを理解することは、WEB担当者にとって必要不可欠となり、自分勝手な想像でWEBサイトの運営を行うと、結果的に企業の損失を与えることになってしまいます。

WEB担当として抑えておきたいリスク回避のポイント

ここからはWEB担当者として、リスクを回避するために抑えておきたいポイントをご紹介していきます。

制作会社に制作をお願いするとき

WEB制作や修正などを制作企業にお願いするときに発生するリスクがあります。
WEB担当者として、自分たちでWEB制作が出来れば良いですが、一般的には制作会社に依頼することが多く、制作企業を選定するところから始めることでしょう。
その際、制作をしてもらうにあたり、契約を進めていく中で、「言った・言わない」が発生することや、企業が求めるものと制作会社がイメージしたものが違う可能性があります。
出来上がってから「こうじゃなかった」とならないように、多くのコミュニケーションや意識統一が必要ですが、WEB制作会社がコントロールしてコミュニケーションを図ることが大切なのですが、それを苦手とする制作会社もいるため、制作会社の選定には十分注意が必要です。

コンサルに集客などをアドバイスもらうとき

WEBコンサルタントからアドバイスをもらう際にも注意が必要です。
コンサルタントとして働く人の中で、マーケティングの部分は理解していても、実際の制作については知識が薄かったり、リスクマネジメントに関しての知識がなかったりというコンサルタントも存在します。
マーケティングや集客の部分で強い信頼を持てるコンサルタントだとしても、WEBに関しての知識があるかは見極めていかなければ、アドバイスしてもらった結果Googleからの評価を下げてしまったということにもなりかねません。

自分でツールを検証するとき

WEB担当者としては世の中に出てくる様々なサービスや情報を取り入れて、より運用しやすいようにしていくことも必要です。
その際に、WEB上での無料ツールなどを利用する際にもリスクが発生します。
無料ツール自体は多くのユーザーが使っている場合安心して使えることが多いですが、パスワードの設定やログインしたままにするなど、企業としてログインしている場合にはそこに不正アクセスされ情報がもれてしまうことがあります。
また、無料ツールのタグを自社のサイトに設置することで、他の情報を間違って削除してしまうなどの恐れもありますので、バックアップを取っておくなど細心の注意が必要です。

WEBで重大な事故を起こした例

ここからは、WEBで重大な事故を起こした例についてご紹介していきます。

メルカリが個人情報流出

フリマアプリというジャンルを作ったといっても過言ではないメルカリは以前個人情報流出という事件がありました。
名前や口座番号などが他社から閲覧できるような状態になっていたことを発表し、最大で最大5万4千人にも被害が及んでいると言われています。

ヤフーも個人情報流出

ヤフーでおなじみのソフトバンクは、Yahoo!BBというADSLのブロードバンドサービスを展開していますが、その会員の個人情報が流出した事件がありました。
最大で450万人と言う多くの顧客の個人情報が流れ、ソフトバンクは会員に謝罪として500円の金券を渡すということを行いました。
情報が流出して信頼を無くしただけではなく、金銭面でも大きなマイナスを生んでしまいました。

角川書店のサイト改ざん

角川書店などを統括するKADOKAWAホールディングスのサイトが改ざんされた事件がありました。
発覚まで時間がかかり、気づいたのは外部の方だったようです。
自社サイトが改ざんされても気づくのが遅くなってしまうのは、チェックポイントやチェック体制がしっかりできていなかったことが挙げられるかもしれません。

WEB上でのリスクのトレンド

ここからは、WEB上でのリスクについて、最近気を付けなければいけないリスクの種類をご紹介いたします。

SNSアカウント乗っ取り

SNSが普及し、インフルエンサーが登場してから企業もSNSを使ったSMM(ソーシャルメディアマーケティング)を行うようになりました。
その一方で、アカウントが乗っ取られ企業が被害に遭うという事件も起きています。
また、インフルエンサー自体がアカウントを乗っ取られるという事件も起き、インフルエンサーを利用していた企業にも被害が及ぶということも出てきています。

ランサムウェアによる被害

ランサムウェアは、身代金ウイルスとも呼ばれており、感染したPCから特定のサイトへのアクセスが出来なくなったり、ログインできなくなったりするのもので、それを解除するための身代金を要求するというものです。
職員がランサムウェアに感染してしまうというケースが多く発覚してニュースなどにも取り上げられています。

標的型攻撃による被害

その名の通り標的を決めて攻撃をするという方法のサイバー攻撃です。
今までは不特定多数の企業や個人が狙われていましたが、今ではある特定の企業に対して情報を盗もうとしたり、データ改ざんしたり、営業活動を停止させるような攻撃を行ったりしています。
狙われた場合には、メールによるウイルスや、特定のサイトを閲覧した場合にウイルスを送り付けるなど様々な方法で行われます。

ビジネスメール詐欺による被害

こちらも最近流行っている詐欺で、取引先などを装ってメールを送り、URLを指定してアクセスさせ、アクセスした際にウイルスに感染させるという手法です。
次々と被害が大きくなり、特に郵便局やヤマトなどの配達業者を装ったメールが有名です。

まとめ

ここまで、WEB担当者が理解しておくべきリスクマネジメントについてご紹介してきました。
WEB担当者は、制作や修正、運用だけではなく、リスクに関しても幅広く知識を持っていなければならず、リスク管理はWEBサイト上のみならず、SNSやサーバー、ネットワークに関しても、リスクマネジメントが必要となります。
また、企業としてはWEB担当者とネットワーク担当者が分かれているケースがほとんどだと思いますが、その場合には、ネットワーク担当者との連携も強化していかなければいけないでしょう。
WEBサイトやSNSは企業にとって唯一世界に発信できるツールです。
その運用を任されていることを認識して、十分注意して運用しましょう。