電子商取引におけるセキュリティ対策の動向に関する調査報告書平成 18 年 3 月株式会社三菱総合研究所

(1)

電子商取引におけるセキュリティ対策の

動向に関する調査報告書

平成１８年３月

(2)

(3)

序章調査の概要 ... 1 ０．１調査目的 ... 1 ０．２調査仮説 ... 2 ０．３調査フロー ... 3 第１章安全な電子商取引に向けた取り組みに関する調査 ... 4 １．１電子商取引に関するインシデントの状況 ... 4 １．２電子商取引のセキュリティ対策に向けた制度的な取り組み ... 6 第２章安全な電子商取引のための対策に関する実態（企業向けアンケート結果） . 17 ２．１アンケート実施方針 ... 17 ２．２アンケート分析結果 ... 18 第３章安全な電子商取引に対する意識と対策の実態（消費者向けアンケート結果） .... 30 ３．１アンケート実施方針 ... 30 ３．２アンケート分析結果 ... 32 第４章電子商取引の安全性確保のための米国の先進的事例 ... 64 ４．１ヒアリング調査概要 ... 64 ４．２ヒアリング調査結果 ... 66 ４．３ヒアリング調査のまとめ ... 67 第５章今後の電子商取引の安全性推進に向けた提言 ... 69 ５．１電子商取引に関わるセキュリティにおけるビジネスチャンス ... 69 ５．２調査結果に基づく提言 ... 70

(4)

(5)

序章

調査の概要

０．１調査目的近年、ＩＴは産業基盤としての位置づけをますます高めており、重要な企業活動を支える上で、そのプラットフォーム自身の信頼性はもちろん、それらを活用する事業者は一般消費者相互の信頼関係を高次元で確立することが不可欠となっている。それにも関わらず、ＩＴに関わるインシデントの問題は深刻化しつつあるのが現状である。2003 年 8 月に発生した「MS BLASTER」のように、単純なウイルスファイルを電子メールに添付して広めるものから、スパイウエア、ボットネットなど、ソフトウエアが持つ脆弱性を直接攻撃するものへと高度化している。一方、フィッシングの事例に見られるよう、ＩＴインシデントが自らの技術を誇示する愉快犯的傾向から、金銭目的とした悪意を持った犯罪的傾向へとシフトしているのも最近の傾向である。さらに、感染が明確に認識できるような従来のウイルスではなく、被害者自体がその被害に気づかないような巧妙化した手口によるインシデントも増加している。 JEITA 会員企業にとっても、電子商取引を行う事業者からの要望に的確に応えることが今後ますます重要となる。そこで、本年度調査においては、電子商取引を行う事業者や電子商取引を利用する一般消費者の安全な電子商取引に対するニーズを把握し、ニーズに応えるためのビジネス戦略を策定することを目的とする。図表０－１スパイウエアの認知・対策状況今後の対策をしようと思うか今後の対策をしようと思うか今後の対策をしようと思うか今後の対策をしようと思うか資料：インフォプラント（2005/01/25 10 代～60 代の全国のインターネット・ユーザ 300 人）

(6)

０．２調査仮説前節のような背景により、昨今の情報セキュリティ市場を電子商取引という観点から眺めると、下記のような仮説が考えられる。本調査は、この仮説に基づき行うものとする。１．EC（ユーザ）企業は情報漏えいを懸念しているが、適切な対策を適切な規模で行っていない。対策の進展状況と対策規模、また各対策に対する有効性・満足度を見ることで、業種・規模・あるいは業務形態毎に、情報漏えい対策について適切な対象と適切な投資規模が見えるのではないか。製品・サービスを導入する際に、何を決め手として選定しているのか見えるのではないか。２．日本においては、インシデントに対する予防策はある程度進んでいるが、インシデントが発生した際の対策が遅れている。リスク・脅威の認識と対策状況（BCP 策定状況等）と、のインシデント発生時の対策費用の関係を見ることで、最適なコストモデルが見えるのではないか。３．日本においては、情報セキュリティの観点からのガバナンスが十分でない。日本における情報セキュリティガバナンスの現状、必要性について探ることで、今後の情報セキュリティガバナンス普及に関する施策を検討できるのではないか。米国の情報セキュリティガバナンスの実現状況を参考にすることで、日本の情報セキュリティガバナンス普及に関する施策を検討できるのではないか。４．消費者は電子商取引（EC）自体に漠然とした不安を抱えている。安全なEC を実現することが可能な技術と開発途上である技術を明確にし、技術によって解決可能な消費者の不安は安全性をアピールすることで、EC が活発化するのではないか。

(7)

０．３調査フロー調査の流れは、以下のフロー（図表０－２）の通りとする。（１）電子商取引の安全を脅かすインシデントの現状について把握し、安全な電子商取引に向けた社会的な動向、政府・業界団体等の取り組みを文献調査により整理する。（２）事業者の対策の現状をWeb アンケートにより調査する。（３）安全な電子商取引に関する一般消費者の意識・対策状況等をWeb アンケートにより調査する。（４）安全な電子商取引を行うため、日米において先進的な製品・サービスを提供する事業者や先端技術を開発する企業・研究機関に対してヒアリング調査を実施し、製品・サービスの特徴、今後のビジネス（開発）意向について調査する。（５）安全な電子商取引を行う際の課題を検討する。また、上記により把握された事業者や一般消費者における安全な電子商取引実現に向けた課題より、今後の電子商取引の安全性推進に向けた社会的課題の検討、および他事業者との差別化が図れるJEITA 会員企業として望ましいビジネス展開の方向性を探る。図表０－２本調査のフロー（４）電子商取引の安全性確保のための日米の先進的事例調査（４）電子商取引の安全性確保のための日米の先進的事例調査（５）今後の電子商取引の安全性推進に向けた提言（５）今後の電子商取引の安全性推進に向けた提言文献調査（１）安全な電子商取引に向けた取組に関する調査（被害の現状、政府・業界団体の取り組み、等）（１）安全な電子商取引に向けた取組に関する調査（被害の現状、政府・業界団体の取り組み、等）ヒアリング調査 Webアンケート調査（２）安全な電子商取引のための対策に関する実態調査（事業者向け）（２）安全な電子商取引のための対策に関する実態調査（事業者向け）本調査のフロー（３）安全な電子商取引に対する意識と対策の実態調査（消費者向け）（３）安全な電子商取引に対する意識と対策の実態調査（消費者向け）（４）電子商取引の安全性確保のための日米の先進的事例調査（４）電子商取引の安全性確保のための日米の先進的事例調査（５）今後の電子商取引の安全性推進に向けた提言（５）今後の電子商取引の安全性推進に向けた提言文献調査（１）安全な電子商取引に向けた取組に関する調査（被害の現状、政府・業界団体の取り組み、等）（１）安全な電子商取引に向けた取組に関する調査（被害の現状、政府・業界団体の取り組み、等）ヒアリング調査 Webアンケート調査（２）安全な電子商取引のための対策に関する実態調査（事業者向け）（２）安全な電子商取引のための対策に関する実態調査（事業者向け）本調査のフロー（３）安全な電子商取引に対する意識と対策の実態調査（消費者向け）（３）安全な電子商取引に対する意識と対策の実態調査（消費者向け）

(8)

第１章

安全な電子商取引に向けた取り組みに関する調査

１．１電子商取引に関するインシデントの状況近年、電子商取引に関連したインシデントが急激に増加している。最近の情報セキュリティに関わるインシデントの特徴は、第一に、ウイルスやワームという経済的利益を意図しない愉快犯から、フィッシングやボットネットを利用して攻撃者の経済的利益を確保する攻撃への変化を挙げることができる。第二には、2005 年 4 月の個人情報保護法の施行に伴う個人情報漏えいへの注目と、大規模な個人情報漏えい事件の発生であり、現代の社会における個人情報の価値と個人情報漏えい対策の困難さを見せつけられている。日本でのフィッシングによる被害が初めて報告されたのは2004 年 11 月であり、被害者は日本語のメールで偽の Web サイトに誘導され、ID とパスワードを入力したところ数十万円の損害を受けたという。後になって、2004 年 2 月に UFJ カード（現在は UFJ ニコス）の利用者がフィッシングの被害を受けていたことも明らかとなった。33 人のクレジットカードが偽装され、8 人分が不正利用された。被害総額は約 150 万円に上る。最近のインシデントの件数を見てみると、JPCERT/CC へのインシデント報告の件数はスキャン（ポート・スキャン）に関するものが圧倒的に多い。ただし件数の推移を見ると，フィッシングが著しく増加しており、2005 年 4～6 月に報告された件数では，スキャンは 575 件なのに対して，フィッシングは 78 件だった。だが，スキャンは数年前から多数報告されて、それほど増減がないものの、フィッシングだけは2004 年の同時期と比較するとおよそ10 倍になっているという。フィッシングは犯罪行為に直接関係するため、この増加がもたらす社会的な意味合いは大きい。

米国の状況を見ると、APWG Phishing Activity Trends Report （2005 年 8 月日本語版）ではフィッシングに関するデータは下記の通り報告されている。・8 月期のフィッシングに関する報告件数 13,776 ・8 月期に報告されたフィッシング・サイト数 5259 ・8 月中にフィッシングによりハイジャックされた商標数 84 ・8 月中にフィッシング行為を受けた上位 80％に属する商標数 3 ・8 月期最も多くのフィッシング・ウェブサイトのホストとなった国米国・標的となりうる名称がなんらかの形で含まれているＵＲＬ 49％・ＩＰアドレスのみでホストネームなし 36％

(9)

・ポート80 を使用しないサイトの割合 6％・サイトのオンライン上の平均残存期間 5.5 日間・サイトの最長オンライン残存期間 31 日間

図表１－１稼動中フィッシング・サイト報告件数（月単位／2004 年 10 月～2005 年 8 月）（サイト数）

資料：APWG Phishing Activity Trends Report 2005 年 8 月日本語版

APWG の報告からも分かるようにフィッシングの攻撃は続いており、しかも振り込め詐欺や架空請求と同様、その手口も次第に巧妙になっている。今後もますます悪質化していくことが予想されることから、ユーザはフィッシングの手口を理解し、自衛することが不可欠であると同時に、サービス提供側としても適切なセキュリティ対策を行い、ユーザの不安感を低減させる方策が求められている。

(10)

１．２電子商取引のセキュリティ対策に向けた制度的な取り組み本節では、電子商取引のセキュリティ対策に向けた法的・制度的な取り組みについて整理する。まず、我が国における電子商取引に関わる法令、ガイドラインの概要について述べる。そして、電子商取引を行うにあたって、昨今脅威となっている、フィッシングとスパイウエアに関する我が国及び米国の取組状況について述べる。（１）電子商取引に関連する法令、ガイドライン我が国における電子商取引に関わる法令、ガイドラインは以下のとおりである：（ⅰ）法令・特定商取引に関する法律（特定商取引法）訪問販売など消費者トラブルを生じやすい特定の取引類型を対象に、トラブル防止のルールを定め、事業者による不公正な勧誘行為等を取り締まることにより、消費者取引の公正を確保するための法律。訪問販売法の法改正を機会に、法律の名称も「特定商取引に関する法律」と改められ、平成13 年 6 月により施行された。消費者向けの電子商取引は、その前からも訪問販売法で、通信販売として規制対象になっていたが、改名された特定商取引法では「無料と思ってクリックしたら有料申し込みになってしまった」といったトラブルの増加に対応し、新たに、申し込みに関してわかりやすい画面表示を行うことを事業者に義務づける規定が設けられた1_{。具体的には、申し込みに関して分かりにくい画面表示等} を行っている事業者に対し、主務大臣が必要な措置を取るべきことを指示できるようになった。・特定商取引法施行規則「顧客の意に反して契約の申込みをさせようとする行為」について、 -あるボタンをクリックすれば、それが有料の申し込みとなることを、消費者に分かるよう明確に示していないこと。 -申し込みをする際に、消費者が申し込み内容を確認し、かつ、訂正できるように措置していないこと。としている2_。 1 _{経済産業省「特集特定商取引法の施行について」：http://www.meti.go.jp/discussion/t} opic_2001_6/kikou_03.htm 2 _{経済産業省「訪問販売法施行規則（特定商取引法施行規則）の改正事項：} http://www.meti.go.jp/policy/consumer/tokushoho/20010601_gaiyou_hhh_shourei.pdf

(11)

・電子商取引等に関する準則（平成16 年 6 月改訂）電子商取引等に関する様々な法的問題点について、民法をはじめとする関係する法律がどのように適用されるのか、その解釈を示している。・電子消費者契約及び電子承諾通知に関する民法の特例に関する法律（電子契約法）事業者が消費者の申込内容を確認したり、意思表示を訂正する措置を講じたりしていない場合、消費者のパソコン操作ミスによる申込は無効となる等、電子商取引などにおける消費者の操作ミスの救済を規定している。また、それまで契約の成立は、承諾の通知の発信時だったが、承諾の通知が申込者に到達した時点で成立するという到達主義に転換した。3 ・その他関連法令：民法，刑法、商法、著作権、特許法、商標法、不正競争防止法、独占禁止法，景品表示法、IT 書面一括法、電子署名法、e 文書法、電子帳簿保存法（ⅱ）ガイドライン・通信販売業における電子商取引ガイドラインインターネットを用いた通信販売（インターネット・ショッピング）において、健全な電子商取引の普及に寄与し、消費者の信頼を確保するために、特定商取引法及びその他の関係法令に基づき、事業者が遵守すべき基本的方針を定めたもの4_{。当ガイドラ} インは日本国内に事業所をもつ事業者が日本国内の消費者に対して行う電子商取引に適用される。（２）フィッシング対策（ⅰ）日本のフィッシングに関する法令と取り組みフィッシングとは、企業や組織などからの内容であると偽った電子メールを送りつけ、偽のホームページに接続させて、個人情報やクレジットカード番号、ログイン情報などを入手する詐欺行為のことである5_。フィッシング詐欺とも呼ばれるが、現在、我が国では、フィッシング行為そのものは、刑法第246 条の詐欺にも第 246 条の 2 の電子計算機使用詐欺罪にも該当しない。なぜな 3_{経済産業省「電子契約法について」：}_{http://www.meti.go.jp/topic/downloadfiles/e1121} 3aj.pdf 4 _{日本通信販売協会(JADMA)：http://www.jadma.org/guid_mai/guidelin.html} 5_{総務省「国民のための情報セキュリティサイト」より。}

(12)

ら、詐欺罪の客体は、財産的利益に限定されているからである6_{。したがって、現在のと} ころ、金銭的被害がないものについては、著作権法や不正アクセス禁止法違反で対応されている（例：2005 年 6 月のヤフー（フィッシング詐欺）事件）。しかしながら、著作権法では、量刑の判断ができないことが問題とされる。省庁の取り組みとしては、例えば以下のようなものがある。警察庁－フィッシング110 番を設置。 http://www.npa.go.jp/cyber/policy/phishing/phishing110.htm 総務省－「フィッシング対策検討連絡会」を2005 年 1 月から開催。 http://www.soumu.go.jp/s-news/2005/050810_4.html 経済産業省―フィッシング対策協議会を2005 年 4 月に設置。 http://www.antiphishing.jp/aboutus/ （ⅱ）米国のフィッシング対策法 A. 連邦レベル米国では、まだフィッシングに対する連邦法は成立していないが、下記の2 つの法案が現在審議されている。 - H.R.1099 Anti-Phishing Act of 2005：悪意をもってホームページのリンクを流用する活動を違法とする。また、正当なオンライン・ビジネスであることを装い、電子メールで個人情報を求める行為も違法としている。現在、下院の司法委員会の犯罪・テロ・国家安全保障小委員会で審議中であるが、法案通過にはしばらく時間がかかると思われる。 - S.472 Anti-Phishing Act of 2005：現行の連邦刑法を改正し、フィッシング行為を刑罰化する。 2005 年 2 月に上院に提出された法案で、現在上院司法委員会で審議中である。S. 2636 Anti-Phishing Act of 2004 法案が否決されたのにも関わらず、リー（Leahy）上院議員が提出した法案である。 B. 州レベル連邦レベルと比較して、州レベルにおいてはフィッシング対策法が積極的に立法されている。2005 年には 15 州でフィッシング対策法案が提出され、そのうちの 10 州が法律を成立させている。フィッシング対策法を新たにつくる州もあれば、フィッシング対策条項 6 _{刑法上、情報そのものを財産として保護する規定はない。}

(13)

を既存の州法に挿入している州もある。後者の最初の例は、バージニア州である。同州は、既存のComputer Crimes Actにフィッシング対策条項を挿入し、2005 年 7 月にその条項を有効化している。2006 年 2 月には、America Online社が当該条項を根拠に、電子メールを使ってAOLのユーザに個人情報を漏らすよう騙した被告を提訴している。カリフォル

ニア州は、2005 年 9 月にS.B.355 Anti-Phishing Act of 2005（2005 年対フィッシング法）

を成立させている。同法は、インターネットでビジネスのように装い、IDを提供させるよ

うに導く行為を処罰し、現実的損害賠償(actual damage)または各侵害につき 50 万ドル以下のどちらか大きい方を賠償する罰則を規定する。検事(Attorney General or district attorney)は、各フィッシング侵害につき 2,500 ドルの罰則まで追及できる。カリフォルニア州のフィッシング法については、効果があるのか疑問視の声もあがっている。結局、民事的制裁に留まり、刑事的制裁ではないことや、フィッシング行為者による電子メールアカウントの搾取から、カリフォルニア州の住民を守る名目で、フィッシング行為者自身によってフィッシング対策登録（Anti-Phishing Registration）なるものが出てくる可能性もあるという批判もある7_。また、多くの州では、スパイウエア法でフィッシング対策の条項が盛り込まれている8_。フィッシング被害者（原告）は、州外の者、また国外のフィッシング行為者を州法を根拠に提訴することができるが、執行力の点で限界はある。（３）スパイウエア対策（ⅰ）日本のスパイウエアに関する法令と取り組みスパイウエアとは、ユーザの使用するコンピュータから、インターネットに対して個人情報やコンピュータの情報などを送信するソフトウエアのことである。一般的には、そのようなソフトウエアがインストールされていることや動作していることにユーザが気付いていない状態で、自動的に情報を送信するソフトウエアをスパイウエアと呼ぶ9_。我が国では、スパイウエアそのものに対する法的規制はない。例えば、2005 年 11 月のスパイウエアを使った不正振り込み事件では、不正アクセス禁止法や電子計算機使用詐欺罪違反となっている。省庁の取組みとしては、例えば、下記のような注意喚起がある：内閣官房、警察庁、金融庁、総務省、経済産業省「夏休み期間における情報セキュリティにかかる注意喚起」 http://www.meti.go.jp/press/20050720001/chuuikannki-set.pdf

7 _{Domain News, National Arbitration Forum: http://www.arb-forum.com/resources/d} omain_news/6.10.htm

8_{アーカンソー州法はフィッシングに関する条項を含まない。} 9_{総務省「国民のための情報セキュリティサイト」より。}

(14)

総務省「情報セキュリティサイト」 http://www.soumu.go.jp/joho_tsusin/security/enduser/ippan13.htm （ⅱ）米国のスパイウエア対策法 A. 連邦レベル米国では、スパイウエアに関しても連邦法は成立していないが、下記の法案が現在審議されている。

- H.R.29 Securely Protect Yourself Against Cyber Trespass Act (SPY Act)

スパイウエアの例として、「キー・ロギング，Web サイト改ざん／乗っ取り，フィッシングなどを行う目的で，ユーザの許可を得ず侵入するソフトウエア」をあげ、下記を規定する。・ユーザの行動を監視するソフトウエアをダウンロードさせる場合には消費者の同意を求めること（オプト・イン）・ソフトウエアを容易に削除できるようにすること。違反者には最高300 万ドルの民事制裁金を科す。 2005 年 1 月に Bono 下院議員によって提出され、前会期（第 108 回議会）に提出されたものに、法の有効期限を変更して再提出されたものである。2005 年 5 月 23 日に下院で可決され、その後上院司法委員会に提出、現在同委員会で審議中である。 - H.R.744 Internet Spyware Prevention Act of 2005 (I-SPY Act) （下院法案 744 号）

犯罪目的で不正アクセスした違反者には罰金または最高5 年の懲役を，犯罪／破壊目的で個人情報を転送するため不正アクセスした違反者には最高 2 年の懲役を科す内容である。同法案には司法省がスパイウエア及びフィッシング対策を行うための予算配分も記している。同法案は、2005 年 2 月 10 日に Goodlatte 下院議員により提出され、前会期（第 108 回議会）中に提出された法案の再提出である。同年5 月 23 日に下院で可決され、その後上院商業・科学・輸送委員会に提出、現在同委員会で審議中である。いまだに「スパイウエア」とは何かの定義に関して議論している段階で、通過にはしばらく時間がかかる模様である。

-S.687 Software Principles Yielding Better Levels of Consumer Knowledge Act (SPYBLOCK Act)：

ソフトウエアの設置にユーザの同意を得て、合理的と思われるアンインストール方法を提供し、アドウエアであることの表示を要求する。ソフトウエア企業を取るに足ら

(15)

ない訴訟から守る「よきサマリア人(Good Samaritan)」条項10_{を含む。また、法執行}

機関としてFTC と州の司法府を指定している。

2005 年 3 月に Burns と Wyden 上院議員によって提出され、2005 年 11 月に上院商業・科学・輸送委員会で承認、上院本会議で審議される予定となっている。

-S.1004 Enhanced Consumer Protection Against Spyware Act of 2005

インターネット・ユーザをスパイウエアに関する非公正で詐欺的行為から保護するた

めに必要なリソースをFTC に提供する法案である。

2005 年 5 月に Allen 上院議員により上院商業・科学・輸送委員会に提出された。 -S.1608 Undertaking Spam, Spyware, And Fraud Enforcement beyond Borders Act of 2005 (U.S. SAFE WEB Act)

既存のFTC 法を改正するもので、スパイウエアに関する捜査について、FTC が他国との捜査協力を可能とする権利を与える。 2005 年 7 月 29 日に Smith 上院議員により提出され、2006 年 3 月 16 日に上院が全会一致で修正なしに通過させた。今年は中間選挙年なので、スパイウエア法案をめぐり様々な議論が展開される見通しで、複数の法案が今年中に提出される可能性があるが、連邦法の法案のテキストはカリフォルニア州法の影響を受けていると思われる。連邦レベルで成立が難航している理由としては、スパイウエアの定義が挙げられる。すなわち、アドウエア11_{を規制するか否かが問題とな} っている。 B. 州レベル12 カリフォルニア州法に倣ってスパイウエア法を立法している州が多いが、スパイウエア 10_{他人を救助する者の責任を軽減する不法行為法の一原則。困っている人に同情して援} 助する人（聖書ルカ伝10. 30-37）に由来する（『英米法辞典』東京大学出版会）。 11_{インターネット・ユーザの利用動向を追跡し、利用者が関心のあると思われるポップ} アップ広告を表示する機能を有するソフトウエアのことを指す。

12_{H.B.: House Bill（下院法案）、S.B.: Senate Bill（上院法案）}

_、

_{A.B.: Assembly Bill（下}

院法案）、H.F: House File （下院法案）、S.F.: Senate File（上院法案）、L.B.: Legislative Bill（下院法案）の略である。各州によって法案の呼称が異なる。例えば、カリフォルニア州とニューヨーク州は、A.B.を使用している。L.B.は特殊で、一院制を採用しているネブラスカ州の法案の呼び方である。また、立法過程も州によって異なる。

(16)

の定義にアドウエアを含む州と含まない州がある。また、提訴権者を個人とする州と、電気通信事業者など特定の業者のみにする州がある。このように、州レベルでは、定義や提訴権者が統一されていない。したがって、州を越えて活動する企業にとっては関係する州法すべてを遵守しなければならないため、多大なコストとなっている。以下、ご参考（アルファベット順）：アラバマ州

- 2005 年 5 月 16 日に S.B. 122 Consumer Protection Against Computer Spyware Act 審議中止。アラスカ州 - 2005 年 9 月 1 日に S.B. 140 が州知事により署名（つまり法案成立・施行）。Chapter 97 が追加された。アリゾナ州 - 2005 年 4 月 18 日に H.B. 2414 が州知事により署名。Chapter 136 が追加された。アーカンソー州 - 2005 年 4 月 14 日に H.B. 2261 と H.B. 2344 が州知事により署名。Act 2312 と Act 2313 成立・発効。スパイウエア対策予算関連法。

- 2005 年 4 月 13 日に Act 2255 (Consumer Protection Against Computer Spyware Act) 施行。

カリフォルニア州

- 2005 年 5 月 23 日に S.B. 92（ペナルティに関する法案）は上院を通過したが、その後下院で審議中止。

- 2005 年 9 月 30 日に S.B. 355 (既存の Consumer Protection Against Computer Spyware Act 修正法案)施行。Chapter 437 が追加された。 - 2004 年 6 月 30 日に A.B. 2787 は下院司法委員会に差し戻し。スパイウエア・アドウエアが含まれているソフトウエアを提供する者に対し、プライバシー・ポリシーを提供先に提示することを義務づける。 - 2004 年 9 月 28 日に S.B. 1436 施行、Chap. 843 追加。許可なしに他人のコンピュータ上の操作（ソフトウエアの無断コピー、個人情報を盗み取ること）を禁じる。 - 2004 年 3 月 4 日に S.B. 1530 は上院ルール委員会に付託。スパイウエアを全般的に取り扱う法案。

(17)

デラウェア州

- 2005 年 7 月 1 日に S.B. 124 は審議中止。フロリダ州

- 2005 年 5 月 6 日に S.B. 2162 審議中止。ジョージア州

- 2005 年 5 月 10 日に S.B. 127 通過、Act 389(Georgia Computer Security Act of 2005) 施行。

イリノイ州

- 2005 年 2 月 8 日に H.B. 380（Illinois Spyware Prevention Initiative Act）は下院を通

過。同年11 月 4 日に、上院で同法案の 2007 年 1 月 9 日まで審議継続決定。インディアナ州 - 2005 年 4 月 29 日に H.B. 1714(まさにスパイウエアの設置自体を禁じるものを対象とした法案。S.B.49 と異なる。)審議中止。 - 2005 年 5 月 4 日に S.B. 49 は Public Law 115 として施行される。特定のスパイウエアの使用を禁ずる。アイオワ州 - 2005 年 5 月 3 日に H.F. 614 通過、Chapter 94 追加。スパイウエアが無断でインストールされることから消費者を守る法。 - 2005 年 5 月 20 日に S.F. 465 は審議中止。無断でソフトウエアを他者のコンピュータにインストールすることを規制する。 - 2004 年 4 月 20 日に S.F. 2200 審議中止。無断で個人情報を収集し、公開することを処罰する。カンザス州 - 2005 年 5 月 20 日に H.B. 2343 審議中止。スパイウエア対策法。メリーランド州 - 2005 年 4 月 11 日に H.B. 780 審議中止。無断で他人のコンピュータ設定を変更することを禁ずる。 - 2005 年 4 月 11 日に H.B. 945 審議中止。上記と内容が相似した法案。 - 2005 年 4 月 11 日に S.B. 492 審議中止。上記と内容が相似した法案。

(18)

- 2005 年 4 月 11 日に S.B. 801 審議中止。上記と内容が相似した法案。マサチューセッツ州

- 2005 年に H.B. 1444(Consumer Protection Against Spyware Act)提出。

- 2005 年に H.B. 3739(Providing for the Control of Spyware Act)提出。上記法案と競う。 - 2005 年に S.B. 273 提出。スパイウエア及びアドウエアを禁ずる。 - 2005 年に S.B. 286 提出。スパイウエアを禁ずる。ミシガン州 - 2005 年 3 月 9 日に S.B. 53 は上院通過。スパイウエアを無断で設置することを違法とする法案。 - 2005 年 3 月 9 日に S.B. 54 は上院を通過。不正目的でコンピュータ、コンピューター・システム及びネットワークにアクセスことを禁ずる法案。 - 2005 年 3 月 9 日に S.B. 151 は上院通過。無断でスパイウエア・アドウエアを他者のコンピュータに設置することを禁じ、設置された場合の救済措置を記した法案。 - 2004 年 6 月 22 日に S.B. 1315 は上院技術・エネルギー委員会に提出。不正目的でコンピュータ、コンピューター・システム及びネットワークにアクセスことを禁ずる法案。 - 2004 年 6 月 22 日に S.B. 1316 は上院技術・エネルギー委員会に提出。無断でスパイウエア・アドウエアを他者のコンピュータに設置することを禁じ、設置された場合の救済措置を記した法案。 - 2004 年 9 月 8 日 S.B. 1361 上院司法委員会に提出。不正目的でコンピュータ、コンピューター・システム及びネットワークにアクセスことを禁じ、無断でスパイウエア・アドウエアを他者のコンピュータに設置することを禁じ、設置された場合の救済措置を記した法案。ミズーリ州 - 2005 年 5 月 26 日に H.B. 902 審議中止。ネブラスカ州

- 2005 年 6 月 3 日に L.B. 316(Consumer Protection Against Computer Spyware Act)審議中止。

ニューハンプシャー州

- 2005 年 7 月 14 日に H.B. 47 施行、Chapter 238 追加。ニューヨーク州

(19)

- 2005 年 1 月 13 日に A.B. 549(consumer protection against computer spyware act)提出。現在審議中。 - 2004 年 6 月 15 日に上院法典委員会に A.B. 11531 提出。不法なスパイウエアの設置を刑罰対象とする。 - 2004 年 6 月 17 日に下院法典委員会に S.B. 7141 提出。上記と同様の法案。 - 2004 年に A.B. 2682 上院で可決、下院で審議。上記と同様の法案。 - 2005 年 6 月 23 日に S.B. 186 上院で可決。上記と同様の法案。 - 2005 年に S.B. 3600 上院に提出。上記と同様の法案。オレゴン州 - 2005 年に H.B. 2302 提出。ペンシルバニア州 - 2005 年に H.B. 574 提出される。アドウエア・スパイウエアの不正な使用を違法とする法案。 - 2005 年 12 月 6 日に H.B. 1697 は下院で可決。不正なアドウエアとスパイウエアの配布を禁ずる法案。 - 2005 年 9 月 27 日に S.B. 711 は上院で可決。無断若しくは紛らわしい言動により、ソフトウエアをコンピュータに設置することから消費者を守る法案。 - 2004 年 7 月 1 日に H.B. 2788 は下院消費者関係委員会に付託。アドウエア・スパイウエアの不正な使用を違法とする法案。ロードアイランド州 - 2005 年 5 月 12 日に H.B. 6211 は下院を通過したが、その後上院で審議中止。テネシー州

- 2005 年 5 月 28 日に H.B. 1742・S.B. 2069(Internet Spyware Control Act of 2005)審議中止。テキサス州 - 2005 年 5 月 30 日に H.B. 1351 審議中止。無許可の目的でソフトウエアを他者のコンピュータに設置することにペナルティを科す法案。 - 2005 年 4 月 26 日に H.B. 1430 は下院で可決されたが、2005 年 5 月 30 日に上院で審議中止となった。上記と同様の内容の法案。 - 2005 年 6 月 17 日に S.B. 327 は成立し、Chapter 298 追加。無断でコンピュータにより特定の情報を収集することを罰する法。

(20)

- 2005 年 5 月 30 日に S.B. 958 は審議中止。上記と同様の内容の法案。ユタ州

- 2005 年 3 月 17 日に H.B. 104 成立、Chapter 168 追加。Spyware Control Act の修正。 - 2004 年 3 月 23 日に H.B. 323 成立。

バージニア州

- 2005 年 2 月 27 日に H.B. 1729 審議中止。Computer Crimes Act 修正法案。

- 2005 年 2 月 27 日に H.B. 1304 審議中止。州政府当局に、スパイウエアなどの技術の使用の許可授与・禁止する権利を与える法案。

- 2005 年 4 月 4 日に H.B. 2215 成立、Chapter 812 追加。Computer Crimes Act の修正。 - 2005 年 3 月 26 日に S.B. 1163 成立、Chapter 761 追加。Computer Crimes Act の修正。 - 2004 年に下院科学技術委員会に H.B. 1304 付託、現在も審議中。州政府当局に、スパイウエアなどの技術の使用の許可授与・禁止する権利を与える法案。

ワシントン州

- 2005 年 5 月 17 日に H.B. 1012 成立、Chapter 500 追加。ウエスト・バージニア州

- 2005 年 4 月 9 日に H.B. 3246 審議中止。West Virginia Computer Crime and Abuse Act 修正法案。

(21)

第２章

安全な電子商取引のための対策に関する実態

（企業向けアンケート結果）

２．１アンケート実施方針（１）調査の概要全国の企業に対してアンケート調査を実施した。実施概要は以下の通りである。・調査目的企業の情報セキュリティ対策に関する調査、今後の方向性の検討等・調査期間平成17 年 9 月 26 日～同年 9 月 28 日・調査方法 Web アンケート調査（goo リサーチビジネスモニタ利用）調査主体：（株）三菱総合研究所社団法人電子情報技術産業協会の委託を受け実施・調査対象企業における情報システム企画・設計・運用責任者企業規模は50 名以上など限定、業種は特に限定せずただし、インターネットを用いて関連会社・取引会社・ユーザ企業・一般消費者等と商取引を実施している企業とする（２段階抽出＝１段階調査で上記業務を実施している企業を抽出し、対象となった企業に対し、下記詳細項目を尋ねる）・調査項目 - 企業属性（業種・従業員規模・資本金・売上高・経常利益） - ビジネス形態（BtoB／BtoC） - 重要な情報の保有状況（個人情報（一般消費者／企業）、機密情報等） - 構築しているサイトで行う業務（決済まで含むか、他部門との連携の有無等） - その他、ユーザ向けサービスの有無（ML 活用、会員サービスの有無等） - 脅威の認識 - インシデント経験（直近１年間の件数、内容、影響） - 電子商取引の安全性対策の現状（システム・実装面、運用面） - 情報セキュリティ推進体制（専門部門・責任者の有無、内部監査の実施有無、各種認証取得の有無等） - 情報セキュリティ対策予算（対策毎） - 対策を進める上での課題 - ベンダへの要望等・回収数 512

(22)

２．２アンケート分析結果（１）回答企業属性今回のアンケートにおける回答企業を業種別に見ると、情報サービス業が3 割を超え最も多く、製造業が2 割強で続いている。図表２－１回答企業の業種 0.4% 4.5% 23.8% 1.6% 0.6% 11.4% 3.3% 1.0% 3.5% 2.3% 31.6% 8.9% 1.7% 0.0% 1.9% 3.5% 0% 20% 40% 60% 80% 農業・林業・漁業・鉱業建設業製造業電気・ガス・熱供給・水道業運輸業商社・卸売・小売業、飲食店金融・保険業不動産業電気通信業放送、出版、印刷業情報サービス業（ソフトウェア、情報処理）サービス業（IT以外）医療・福祉調査研究機関教育・学習支援業その他 (N=516) 従業員規模では、300 人未満の中小企業が 3 割を超える一方、10,000 人以上の企業も 1 割弱である。回答企業の平均は4,969 人である。図表２－２回答企業の従業員規模 11.8 24.6 12.0 11.8 24.4 5.4 8.7 1.2 0% 20% 40% 60% 80% 100% 100人未満 100～300人未満 300～500人未満 500～1,000人未満 1,000～5,000人未満 5,000～10,000人未満 10,000人以上不明 (N=516)

(23)

資本金は、1 億～10 億円未満の層が最も多く 3 割程度である。図表２－３回答企業の資本金 1.6 24.8 30.6 20.9 18.6 3.5 0% 20% 40% 60% 80% 100% 1千万円未満 1千万～1億円未満 1億～10億円未満 10億～100億円未満 100億円以上不明 (N=516) 売上高は、10 億～100 億円未満の層が最も多く 3 割程度であるが、10 億円未満の小規模事業者も2 割程度存在する。図表２－４回答企業の売上高 4.3 15.1 30.0 26.0 20.3 4.3 0% 20% 40% 60% 80% 100% 1億円未満 1億～10億円未満 10億～100億円未満 100億～1,000億円未満 1,000億円以上不明 (N=516) 拠点数は、1 ヵ所のみの企業が 1 割弱、2～5 ヵ所が 3 割強であり、10 ヵ所以下の企業が半数を超える。図表２－５回答企業の拠点数 8.3 33.1 17.4 23.1 6.6 8.7 2.7 0% 20% 40% 60% 80% 100% 1ヵ所 2～5ヵ所 6～10ヵ所 11～50ヵ所 51～100ヵ所 101ヵ所以上不明 (N=516)

(24)

（２）PC の保有状況企業が保有するPC 台数は、クライアント系で 100～499 台がもっとも多く 3 割を超える。全ての企業がPC を複数台保有している。これらのクライアント系 PC がインターネットに接続している割合は80%という企業が 7 割近くに達する。図表２－６保有 PC 台数（クライアント系） 0.0% 0.0% 1.7% 16.9% 35.5% 11.6% 18.6% 15.7% 0% 20% 40% 60% 80% なし 1台 2台－9台 10台－99台 100台－499台 500台－999台 1，000台－4，999台 5，000台以上 (N=516) 図表２－７インターネット接続可能な PC 台数の割合（クライアント系） 2.3% 9.3% 4.1% 6.4% 10.9% 67.1% 0% 20% 40% 60% 80% 接続なし 20％未満 20－40％未満 40－60％未満 60－80％未満 80％以上 (N=516)

(25)

（３）電子商取引（EC）の実施状況 BtoB の EC は回答企業のほぼ 5 割が実施しており、実施企業の 9 割近くが個別企業間での受発注・決済目的でEC を実施している。BtoC の EC は回答企業の 7 割以上が実施しており、実施企業の約9 割は自社サイトで EC を実施している。ただし、電子決済を含むEC を行っているのは、BtoC-EC 実施企業の 6 割弱である。また、EC ではなくとも、IT を活用して何らかの顧客向けサービスを実施している企業は4 割近くに上る。図表２－８ BtoB の EC 実施状況 49.2% 15.7% 35.1% 取り組んでいないし、予定していない現在取り組んでいないが、取り組みに向けて準備中である取り組んでいる (N=516) 図表２－９ BtoC の EC 実施状況 71.9% 9.9% 18.2% 取り組んでいないし、予定していない現在取り組んでいないが、取り組みに向けて準備中である取り組んでいる (N=516) 図表２－１０ IT を活用した顧客向けサービス実施状況 21.1% 15.1% 16.7% 1.7% 63.2% 0% 20% 40% 60% 80% メールマガジンの発行（自社で顧客アドレスを管理）顧客毎にカスタマイズされたポータルサイトの提供顧客の購買履歴や興味分野に応じた情報提供その他実施していない (N=516)

(26)

（４）アウトソーシングの利用状況 BtoB-EC 実施企業のうち 5 割近くが一部、もしくは全面的にアウトソーシングを利用または利用希望している。その選定基準としては、「データそのものへの安全対策の充実」、「運用体制の充実」を挙げる企業がいずれも4 割を超える。後述する BtoC-EC 実施企業の選定基準と比較すると、「物理的な安全対策の充実」「コンサルティング機能の充実」などの項目の比率がやや高い。図表２－１１アウトソーシングの利用状況（BtoB-EC 実施企業） 51.5% 32.8% 14.5% 1.2% 自社で行っている（行おうとしている）一部アウトソーシングしている（しようとしている）全面的にアウトソーシングしている（しようとしている）その他 (N=262) 図表２－１２アウトソーシングサービスの選定基準（BtoB-EC 実施、アウトソーシング利用・利用希望企業） 18.6% 35.5% 46.0% 42.7% 6.5% 11.3% 21.0% 39.5% 2.4% 20.2% 6.5% 4.0% 0% 20% 40% 60% 80% 回線速度の速さ物理的な安全対策の充実（耐火、自家発電、電源、空調等）データそのものへの安全対策の充実（バックアップ、入退室管理等）運用体制の充実（迅速な連絡、24時間365日の有人監視体制等）データセンターへのアクセス、立地の良さコンサルティング機能の充実システム構築サービスの充実価格評判既存の他システム、ネットワークとの整合性既存のベンダの推薦その他 (N=124)

(27)

BtoC-EC 実施企業のうち 6 割近くが一部、もしくは全面的にアウトソーシングを利用または利用希望しており、その比率はBtoB-EC 実施企業より高い。その選定基準としては、「データそのものへの安全対策の充実」が5 割を超え最も多く、BtoB-EC 実施企業の回答より約8 ポイント高い。また、「運用体制の充実」を挙げる企業も 5 割近くに達し、この回答もBtoB-EC 実施企業より 5 ポイント以上高い。図表２－１３アウトソーシングの利用状況（BtoC-EC 実施企業） 39.3% 40.0% 17.2% 3.5% 自社で行っている（行おうとしている）一部アウトソーシングしている（しようとしている）全面的にアウトソーシングしている（しようとしている）その他 (N=145) 図表２－１４アウトソーシングサービスの選定基準（BtoC-EC 実施、アウトソーシング利用・利用希望企業） 15.7% 31.3% 54.2% 48.2% 7.2% 8.4% 18.1% 42.2% 6.0% 22.9% 4.8% 2.4% 0% 20% 40% 60% 80% 100% 回線速度の速さ物理的な安全対策の充実（耐火、自家発電、電源、空調等）データそのものへの安全対策の充実（バックアップ、入退室管理等）運用体制の充実（迅速な連絡、24時間365日の有人監視体制等）データセンターへのアクセス、立地の良さコンサルティング機能の充実システム構築サービスの充実価格評判既存の他システム、ネットワークとの整合性既存のベンダの推薦その他 (N=83)

(28)

（５）安全性のアピール安全性をアピールするために工夫していることとして最も多いのは「プライバシーポリシーや個人情報保護方針を策定し、表示している」（66.0%）であり、その他「鍵マークを表示している」（55.3%）や「情報セキュリティ対策への取り組みについて、CSR 報告書やHP 等に明記している」（45.7%）が多い。また、回答企業に情報サービス業が多いことも一因だが、「プライバシーマークを取得し、表示している」（38.3%）や「ISMS 認証を取得し、表示している」（34.0%）のいずれも 3 割を超えるという結果であった。特に、プライバシーマークの取得・表示の回答は、1,000 人以上の企業で 4 割を超え、10,000 人以上の企業では6 割を超える。ISMS の取得・表示も、10,000 人以上の企業で 6 割を超え、各種認証を取得する企業は、従業員規模が大きなところがほとんどである。ただ、中小企業もコストがかからないプライバシーポリシー表示などには対応しており、BtoC EC を行う企業の多くは安全性のアピールを意識していることが言える。図表２－１５安全性をアピールするために工夫していること 38.3% 14.9% 55.3% 66.0% 34.0% 45.7% 13.8% 0% 20% 40% 60% 80% 100% プライバシーマークを取得し、表示している TRUSTe※1マークを表示している鍵マーク（ベリサインの証明書等）を表示しているプライバシーポリシーや個人情報保護方針を策定し、表示している ISMS認証※2を取得し、表示している情報セキュリティ対策への取り込みについて、CSR報告書 ※3やHP等に明記しているその他特になし (N=94)

(29)

（５）脅威の認識状況情報セキュリティに関する様々な脅威について、最も強く脅威だと感じる割合が高いのは、「データそのものへの脅威」であり4 割以上の企業が最も脅威だと感じるとしている。次いで、「資産（PC、デバイス等）の管理不備による脅威」「ネットワーク・インフラにおける脅威」「組織全体におけるガバナンス不足による脅威」と続く。脅威に感じる順位から5 点、4 点。。。1 点とポイントを付けて換算すると、「データそのものへの脅威」と「資産（PC、デバイス等）の管理不備による脅威」のポイントが高い。特に業種で見ると、データそのものへの脅威を強く感じているのは、「電気・ガス・熱供給・水道」や「医療・福祉」である。また、BtoC EC の実施状況別に脅威の認識の差異を見ると、「データそのものへの対策」（16 ポイント）、「資産の管理」（14.8 ポイント）、「ネットワーク・インフラへの対策」（14.2 ポイント）、「組織全体におけるガバナンス確保」（13.6 ポイント）とも、BtoC EC 実施企業の方が脅威をより高く認識している。一方、インシデント対策を進める上での課題を見ると、最も高いのは「データそのものへの対策」（67.8%）であるが、「組織全体におけるガバナンス確保」（63.4%）が続いている。脅威に対する意識の順位付けは低いが、対策を進めるのが難しいと感じている率が高いことが示されている。図表２－１６情報セキュリティに関する脅威ポイントデータそのものへの脅威 1,883 資産（PC、デバイス等）の管理不備による脅威 1,805 ネットワーク・インフラにおける脅威 1,582 組織全体におけるガバナンス不足による脅威 1,415 その他 ₆₅ 図表２－１７インシデント対策を進める上での課題 57.4% 55.4% 2.9% 16.9% 63.4% 67.8% 0% 20% 40% 60% 80% 100% データそのものへの対策資産（PC、デバイス等）の管理ネットワーク・インフラへの対策組織全体におけるガバナンス確保法整備その他（N=516）

(30)

（７）セキュリティ製品・サービスの導入状況と有用性製品・サービスの導入率を見ると、ウイルス対策ツールやファイアウォール／VPN は数年前から9 割程度の導入率に達しているが、その他のものについては、最大でも 6 割強に留まる。スパイウエア、フォレンジックなど新たな脅威に対する対策もこれから検討という状況である。 IC カードの入退室管理を行っているのは、「電気通信業」「運輸業」「情報サービス業」「電気・ガス・熱供給・水道」、監視カメラは「金融・保険」、バイオメトリクスは「電気通信業」「電気・ガス・熱供給・水道」が多い。また、IC カードの入退室管理を行っているのは、従業員が多いほど導入率が高い。従業員の個人認証でバイオを取り入れているのは、「電気・ガス・熱供給・水道」である。10,000 人以上の企業では 2 割が導入している。 BtoC EC を実施している企業における入退室管理システム導入率は高い。ユーザ認証で 9 割近くはID,PW のみであり、PKI を取り入れているのは 2 割未満。これらより、入退室管理の普及は広がりつつあるが、ユーザ認証を強固に行うBtoC- EC 実施企業はまだ少ないことがわかる。図表２－１８情報セキュリティ製品・サービスに関する導入状況 (N=516）導入済み導入検討中未導入わからない (N=516）導入済み導入検討中未導入わからない入退室管理（ICカード） 47.7% 8.0% 42.8% 1.6% ユーザ管理（その他 0.6% 0.0% 51.6% 47.9% 入退室管理（監視カメラ） 41.3% 4.8% 49.0% 4.8%端末／デスクトップ管理ツール・サービス 33.0% 11.6% 46.5% 8.9% 入退室管理（バイオメトリクス） 10.5% 7.4% 70.9% 11.2% データ暗号化ソフトウェア 38.0% 14.2% 40.9% 7.0% 入退室管理（その他） 2.7% 0.0% 50.0% 47.3% 電子透かしによるコンテンツ管理 6.0% 8.0% 72.9% 13.2% 情報漏えい対応複写機・プリンタ 11.2% 11.4% 67.4% 9.9% 不正利用ログ解析ツール 31.0% 10.7% 47.5% 10.9% ウイルス対策ツール・ウイルス監視サービス 94.4% 2.1% 2.1% 1.4% データバックアップ・保管サービス 56.4% 7.6% 28.5% 7.6% ファイアウォール／VPN製品・運用サービス 89.0% 4.3% 5.0% 1.7% データ消去／破壊ツール・サービス 40.1% 9.9% 39.3% 10.7% 侵入検知ツール・侵入監視サービス 47.5% 14.5% 30.8% 7.2% セキュリティコンサルティング 22.5% 8.9% 54.5% 14.2% web/メールフィルタリング・監視ツール 64.5% 9.9% 21.3% 4.3% 情報セキュリティ保険 10.1% 9.9% 61.4% 18.6% アンチスパイウェア 42.1% 16.3% 30.2% 11.4% セキュリティ教育サービス 32.4% 8.1% 48.8% 10.7% 従業員管理（ID・パスワードのみ） 83.3% 2.7% 10.9% 3.1% セキュリティ監査サービス 25.4% 9.9% 51.9% 12.8% 従業員管理（バイオメトリクス） 6.2% 9.3% 73.3% 11.2% 検疫ネットワーク 16.7% 9.3% 56.6% 17.4% 従業員管理（その他） 1.2% 0.4% 51.6% 46.9% フォレンジクス 4.7% 4.8% 60.9% 29.7% ユーザ管理（ID・パスワードのみ） 81.2% 2.5% 12.8% 3.5% フィッシング対策ソフトウェア 10.5% 8.3% 60.5% 20.7% ユーザ管理（PKI） 9.1% 7.8% 63.2% 20.0%

(31)

しかし、現在、導入率は高くないが有用性の高い製品・サービスについては、今後の導入進展が期待される。BtoC -EC 実施企業を見ると、導入率が中程度の製品・サービスでは、データ暗号化、入退室管理（IC カード）、データバックアップ保管サービスの有効性が 9 割を超えている。また、侵入検知ツール・監視サービスや Web／メールフィルタリングツールの有用性も高く認識されている。導入率はまだ 1 割を下回るが、入退室管理（バイオメトリクス）、電子透かしによるコンテンツ管理、ユーザ認証（PKI）の有用性も評価されている。一方で、セキュリティ教育、セキュリティ監査サービスに関する利用率は 2～3 割程度であり、有用性は 9 割を下回る。セキュリティ教育については、セキュリティ投資比率が 10% 以上の企業において実施率が高く、投資比率が低い企業においては内部 e-ラーニングや内部セミナーなどで対応している。図表２－１９情報セキュリティ製品・サービスに関する導入率と有用性（BtoC-EC 企業）入退室管理（監視カメラ）不正利用ログ解析ツールフォレンジクス情報漏えい対応複写機・プリンタフィッシング対策ソフトウェアセキュリティコンサルティング入退室管理（その他）従業員認証（バイオメトリクス）情報セキュリティ保険検疫ネットワークユーザ認証（PKI）電子透かしによるコンテンツ管理入退室管理（バイオメトリクス）セキュリティ監査サービス端末／デスクトップ管理ツール・サービスデータ消去／破壊ツール・サービスセキュリティ教育サービスアンチスパイウェアデータ暗号化ソフトウェア入退室管理（ICカード）侵入検知ツール・侵入監視サービスデータバックアップ・保管サービス web/メールフィルタリング・監視ツールユーザ認証（ID・パスワードのみ）従業員認証（ID・パスワードのみ）ファイアウォール／VPN製品・運用サービスウィルス対策ツール・ウィルス監視サービス従業員認証（その他）ユーザ認証（その他） 60% 70% 80% 90% 100% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 導入率有効性

(32)

図表２－２０情報セキュリティ製品・サービスに関する導入率と有用性（BtoB-EC 企業）電子透かしによるコンテンツ管理従業員認証（その他）ウィルス対策ツール・ウィルス監視サービスファイアウォール／VPN製品・運用サービス情報セキュリティ保険入退室管理（バイオメトリクス）情報漏えい対応複写機・プリンタデータ暗号化ソフトウェアデータ消去／破壊ツール・サービス web/メールフィルタリング・監視ツールデータバックアップ・保管サービス入退室管理（ICカード）侵入検知ツール・侵入監視サービスアンチスパイウェアセキュリティ教育サービス端末／デスクトップ管理ツール・サービス入退室管理（監視カメラ）不正利用ログ解析ツールセキュリティ監査サービスセキュリティコンサルティング検疫ネットワークフィッシング対策ソフトウェアユーザ認証（PKI）入退室管理（その他）従業員認証（バイオメトリクス）フォレンジクス従業員認証（ID・パスワードのみ）ユーザ認証（ID・パスワードのみ） 60% 70% 80% 90% 100% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 有効性図表２－２１セキュリティ投資比率別セキュリティ教育の実施状況 0.5 31.6 10.7 24.8 15.0 6.0 16.3 9.5 4.4 9.0 7.6 17.4 3.4 1.3 4.0 13.4 14.8 10.1 0% 20% 40% 60% 80% 100% 投資なし 1％未満 1－3％未満 3－5％未満 5－10％未満 10－20％未満 20－30％未満 30％以上わからない有り無し N=516

(33)

（８）IT 投資・セキュリティ投資の動向 IT 投資額を見ると、4 割以上が 5,000 万円未満にとどまる。セキュリティ投資比率は、 3 割未満が 3 割弱である。従業員規模が大きいほど高い。また、BtoB-EC 実施企業のセキュリティ投資比率が高いが、BtoC-EC 実施企業は最低 3％程度は実施しているものの投資規模は大きいわけではない。セキュリティ投資の予定については、3 割弱が増加予定、4 割程度が「現状と変わらない」としていることから、今後もセキュリティ対策に対しては引き続き投資がなされるものと見られる。図表２－２２ IT 投資比率 21.9% 22.5% 9.7% 10.5% 3.9% 5.6% 2.3% 2.5% 21.1% 0% 20% 40% 60% 80% 1，000万円未満 1，000万－5，000万円未満 5，000万－1億円未満 1億－5億円未満 5億－10億円未満 10億－50億円未満 50億－100億円未満 100億円以上わからない N=516 図表２－２３セキュリティ投資比率 1.4% 6.2% 10.7% 10.7% 15.7% 14.5% 6.6% 4.7% 29.7% 0% 20% 40% 60% 80% 投資なし 1％未満 1－3％未満 3－5％未満 5－10％未満 10－20％未満 20－30％未満 30％以上わからない N=516

(34)

第３章

安全な電子商取引に対する意識と対策の実態

（消費者向けアンケート結果）

３．１アンケート実施方針消費者に対して「電子商取引に関するアンケート」を実施した。実施概要は以下の通りである。・調査目的消費者の電子商取引に関する実態の把握今後の方向性の検討等・調査期間平成17 年 9 月 22 日～同年 9 月 27 日・調査方法 Web アンケート調査（楽天リサーチの一般モニタ利用）調査主体：（株）三菱総合研究所社団法人電子情報技術産業協会の委託を受け実施・調査対象一般消費者・調査項目 - 回答者の属性（年齢、性別、職業） - クレジットカード、携帯電話保有状況 - インターネット（PC/携帯電話）の利用状況 - 電子商取引の利用状況 - 電子商取引（と関連した事項）に関する不安感（不安の度合い、不安の内容） ※ キャッシュカードスキミング等も含む - 脅威の認知状況（フィッシング、スパイウエア、個人情報漏えい等） - 脅威への対策状況（OS・ソフトウエアのアップデート、信頼できないサイトで個人情報を入力しない、個人情報送信の際のＳＳＬ通信かどうかの確認、怪しいファイルは開かない等） - 今後の対策意向等・回収数 10 代～60 代男女 1,100 名（10 代、60 代は 55 名、その他年代は 110 名ずつ）アンケート回答者の性別年齢毎の職業構成は、図表3－1 のとおり。

(35)

図表３－１性別年齢別職業構成合計 20歳未満 -男性 20歳未満 -女性 20～30歳未満-男性 20～30歳未満-女性 30～40歳未満-男性 30～40歳未満-女性 40～50歳未満-男性 40～50歳未満-女性 50～60歳未満-男性 50～60歳未満-女性 60歳以上 -男性 60歳以上 -女性全体 1100 55 55 110 110 110 110 110 110 110 110 55 55 100.0 5.0 5.0 10.0 10.0 10.0 10.0 10.0 10.0 10.0 10.0 5.0 5.0 14 0 1 10 1 1 0 0 0 0 0 1 0 100.0 0.0 7.1 71.4 7.1 7.1 0.0 0.0 0.0 0.0 0.0 7.1 0.0 47 0 0 12 2 14 0 11 2 6 0 0 0 100.0 0.0 0.0 25.5 4.3 29.8 0.0 23.4 4.3 12.8 0.0 0.0 0.0 38 0 2 6 3 12 3 6 0 2 3 1 0 100.0 0.0 5.3 15.8 7.9 31.6 7.9 15.8 0.0 5.3 7.9 2.6 0.0 108 0 1 10 15 21 16 17 5 14 6 1 100.0 0.0 0.9 9.3 13.9 19.4 14.8 15.7 4.6 13.0 5.6 0.9 1.9 73 0 0 8 3 18 2 18 5 16 0 2 1 100.0 0.0 0.0 11.0 4.1 24.7 2.7 24.7 6.8 21.9 0.0 2.7 1.4 70 0 0 9 1 10 4 14 3 19 5 4 1 100.0 0.0 0.0 12.9 1.4 14.3 5.7 20.0 4.3 27.1 7.1 5.7 1.4 118 0 0 15 17 3 26 4 28 4 11 5 5 100.0 0.0 0.0 12.7 14.4 2.5 22.0 3.4 23.7 3.4 9.3 4.2 4.2 48 0 0 5 5 11 1 12 1 11 1 1 0 100.0 0.0 0.0 10.4 10.4 22.9 2.1 25.0 2.1 22.9 2.1 2.1 0.0 22 0 0 0 1 1 5 6 2 4 1 1 1 100.0 0.0 0.0 0.0 4.5 4.5 22.7 27.3 9.1 18.2 4.5 4.5 4.5 33 0 0 5 4 1 2 5 7 3 4 0 2 100.0 0.0 0.0 15.2 12.1 3.0 6.1 15.2 21.2 9.1 12.1 0.0 6.1 80 0 0 3 0 7 1 12 14 21 12 7 3 100.0 0.0 0.0 3.8 0.0 8.8 1.3 15.0 17.5 26.3 15.0 8.8 3.8 19 0 0 2 2 3 3 0 2 4 1 0 2 100.0 0.0 0.0 10.5 10.5 15.8 15.8 0.0 10.5 21.1 5.3 0.0 10.5 1 0 1 0 0 0 0 0 0 0 0 0 0 100.0 0.0 100.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 26 14 12 0 0 0 0 0 0 0 0 0 0 100.0 53.8 46.2 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 53 29 24 0 0 0 0 0 0 0 0 0 0 100.0 54.7 45.3 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 11 2 7 0 2 0 0 0 0 0 0 0 0 100.0 18.2 63.6 0.0 18.2 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 29 8 4 11 5 0 0 0 1 0 0 0 0 100.0 27.6 13.8 37.9 17.2 0.0 0.0 0.0 3.4 0.0 0.0 0.0 0.0 7 0 0 5 1 1 0 0 0 0 0 0 0 100.0 0.0 0.0 71.4 14.3 14.3 0.0 0.0 0.0 0.0 0.0 0.0 0.0 203 0 0 0 37 0 41 0 33 0 60 0 100.0 0.0 0.0 0.0 18.2 0.0 20.2 0.0 16.3 0.0 29.6 0.0 15.8 74 1 3 5 6 5 3 3 7 3 3 30 5 100.0 1.4 4.1 6.8 8.1 6.8 4.1 4.1 9.5 4.1 4.1 40.5 6.8 その他 26 1 0 4 5 2 3 2 0 3 3 2 1 100.0 3.8 0.0 15.4 19.2 7.7 11.5 7.7 0.0 11.5 11.5 7.7 3.8 公務員・団体職員教職員会社員（インターネット関連）会社員（コンピュータ関連）会社員（販売・サービス）会社員（営業・事務）会社員（製造業）会社員（その他）パート・アルバイト・契約社員専門職（医師・医療関係）自営業自由業小学生大学院生専業主婦無職中学生高校生短大・専門学生大学生 2 32

(36)

３．２アンケート分析結果【基本情報】 ○パソコン利用状況性別で見ると、どの年代も男性のほうが女性よりも「自分のパソコン」を持っている比率が高い（図表3－2）。20 歳未満、特に小中高生は 5 割以上、専業主婦の４割近くが「家族のパソコン」を利用しているが、それ以外は概ね「自分のパソコン」を利用している（図表3－3）。図表３－２利用しているパソコン（年齢性別） 47.3 40.0 90.9 86.4 72.7 96.4 69.1 23.6 27.3 71.8 69.1 67.3 89.1 95.5 23.6 5.5 30.0 52.7 7.3 56.4 3.6 25.5 1.8 3.6 1.8 3.6 2.7 8.2 7.3 3.6 3.6 5.5 3.6 0% 20% 40% 60% 80% 100% 20歳未満-男性 20歳未満-女性 20～30歳未満-男性 20～30歳未満-女性 30～40歳未満-男性 30～40歳未満-女性 40～50歳未満-男性 40～50歳未満-女性 50～60歳未満-男性 50～60歳未満-女性 60歳以上-男性 60歳以上-女性自分のパソコンを持っている家族のパソコンを使っている会社・学校のパソコンを使っているパソコンは使っていない N=1100 図表３－３利用しているパソコン（職業別） 85.7 76.3 83.5 62.6 21.3 7.7 92.3 36.3 93.2 72.3 87.9 7.8 22.9 63.8 6.6 5.4 37.4 7.1 6.4 0.8 7.7 8.7 5.1 0% 20% 40% 60% 80% 100% 会社員パート・アルバイト・契約社員公務員・教職員・専門職自営・自由業小・中・高校生短大・大学・大学院生専業主婦無職その他自分のパソコンを持っている家族のパソコンを使っている会社・学校のパソコンを使っているパソコンは使っていない N=1100

(37)

○携帯・PHS 所有状況どの年代も、携帯・PHS ともにインターネット可能なものを所有している割合が高いが、年代があがるごとに、通話のみに携帯・PHS を所有している。60 代以上になると、通話のみの携帯電話・PHS か、持っていない割合が 5 割近くに及ぶ（図表３－４）。図表３－４携帯・PHS 所有状況（年齢性別） 58.2 78.2 90.9 91.8 82.7 88.2 78.2 75.5 70.9 70.0 50.9 54.5 5.5 5.5 6.4 14.5 12.7 20.0 20.0 8.2 11.8 25.5 11.8 5.5 12.7 14.5 6.4 8.2 36.4 16.4 5.5 0.9 5.5 13.6 29.1 15.5 0% 20% 40% 60% 80% 100% 20歳未満-男性 20歳未満-女性 20～30歳未満-男性 20～30歳未満-女性 30～40歳未満-男性 30～40歳未満-女性 40～50歳未満-男性 40～50歳未満-女性 50～60歳未満-男性 50～60歳未満-女性 60歳以上-男性 60歳以上-女性携帯・PHS（ネット可能）所有携帯・PHS（通話のみ）所有 PHS（データ通信用）所有携帯もPHSも持っていない N=1100

(38)

○クレジットカード所有状況 20 代以上は、約 9 割が名義の本人・家族問わず自身が利用できるクレジットカードを持っており、電子商取引の際もインターネット上で決済が完結できる環境にあると言える。図表３－５クレジットカード所有状況（年齢性別） 7.3 10.9 89.1 93.6 88.2 89.1 87.3 8.2 12.7 92.7 91.8 91.8 91.8 80.9 7.3 10.9 11.8 10.9 89.1 8.2 92.7 8.2 6.4 19.1 0% 20% 40% 60% 80% 100% 20歳未満-男性 20歳未満-女性 20～30歳未満-男性 20～30歳未満-女性 30～40歳未満-男性 30～40歳未満-女性 40～50歳未満-男性 40～50歳未満-女性 50～60歳未満-男性 50～60歳未満-女性 60歳以上-男性 60歳以上-女性持っている持っていない N=1100 ○ 電子商取引の利用状況電子商取引は、男女とも9 割以上がパソコンによって行っているが、女性は、携帯電話による購入率が男性よりも若干高い（図表3－6）。20 歳未満と 60 歳以上は、電子商取引を利用したことがない割合が他の年齢層に比べて高い（図表3－7）。図表３－６ PC や携帯電話による電子商取引（性別） 16.0 6.4 7.5 75.8 82.2 0.2 0.7 11.3 0% 20% 40% 60% 80% 100% 男性女性パソコンで購入したことがある携帯で購入したことがあるパソコンおよび携帯で購入したことがある購入したことがない N=1100

(39)

図表３－７ PC や携帯電話による電子商取引（年齢性別） 64.5 73.2 76.4 21.8 18.6 13.6 3.6 3.6 16.4 84.5 80.9 88.2 0.5 1.8 0.5 17.3 4.5 4.5 1.4 8.2 15.5 0% 20% 40% 60% 80% 100% 20歳未満 20～30歳未満 30～40歳未満 40～50歳未満 50～60歳未満 60歳以上パソコンで購入したことがある携帯で購入したことがあるパソコンおよび携帯で購入したことがある購入したことがない N=1100

(40)

【電子商取引】 ○商品別購入状況＜ビジネス＞ビジネス商品については、パソコンによる購入で、書籍、宿泊予約、パソコンや周辺機器に関する購入が多い（図表 3－8）。業種別に見ても、製造業以外は、書籍の購入率が他の商品よりも高い（図表3－9）。図表３－８パソコンによるビジネス商品の購入図表３－９パソコンによるビジネス商品購入状況（職業別） 78.6 63.8 61.1 53.3 49.3 53.8 48.1 47.8 61.9 68.8 61.0 57.9 48.9 44.4 47.7 42.9 34.4 51.9 31.6 25.7 32.5 26.3 14.4 26.1 42.1 35.7 51.1 36.1 41.0 49.3 52.3 34.6 45.7 47.6 53.1 39.0 26.3 54.9 71.4 37.0 26.0 30.5 24.6 50.0 14.9 25.0 28.2 17.3 13.0 42.9 25.0 21.4 36.9 46.8 22.2 35.2 29.6 28.6 27.3 28.1 0% 20% 40% 60% 80% 100% 会社員（インターネット関連）(N=14) 会社員（コンピュータ関連）(N=47) 会社員（販売・サービス）(N=36) 会社員（営業・事務）(N=105) 会社員（製造業）(N=71) 会社員（その他）(N=65) パート・アルバイト・契約社員(N=104) 公務員・団体職員(N=46) 教職員(N=21) 専門職（医師・医療関係）(N=32) 自営業(N=77) 自由業(N=19) 書籍 PC機器文房具交通機関チケット宿泊予約 N=637 36.5 36.8 24.0 20.6 54.1 34.3 0 20 40 60 80 100 書籍（本・雑誌）パソコンや周辺機器文房具類、オフィス用品等航空機や新幹線等交通機宿泊予約その他

(41)

＜プライベート＞パソコンによる商品購入では、書籍、CD、装飾品（中古品）、交通機関チケットには性別でそれほど差異がないものの、趣味やコレクションについては、男性の方が女性よりもパソコンから購入する傾向が高い。逆に、装飾品（新品）、衣類、日用品、食品については女性の方が男性より購入する傾向が高い。携帯電話による商品購入でも、装飾品（新品）、衣類、日用品、食品については女性の方が男性より購入する傾向が高くなっている。図表３－１０プライベート商品購入状況（性別）＜パソコン＞ 61.5 36.4 28.8 5.1 27.2 27.8 38.7 26.3 16.0 11.3 5.1 20.6 34.1 61.2 55.6 16.0 62.0 40.8 21.8 19.6 0% 20% 40% 60% 80% 100% 書籍(N=316) 　　　(N=309) 装飾新品(N=148) (N=206) 趣味・コレクション(N=106) 日用品(N=143) (N=214) 交通機関チケット(N=135) その他(N=58) (N=81) 系列1 系列2 ＜携帯電話＞ 38.1 23.8 17.5 4.8 11.1 17.5 17.5 27.0 14.3 6.3 3.3 9.5 8.7 7.6 26.1 32.6 12.0 32.6 26.1 14.1 0% 20% 40% 60% 80% 100% 書籍(N=24) 　　　(N=24) 装飾新品(N=11) (N=24) 趣味・コレクション(N=6) 日用品(N=11) (N=26) 交通機関チケット(N=17) その他(N=4) (N=11) 男性女性

電子商取引におけるセキュリティ対策の 動向に関する調査報告書 平成 18 年 3 月 株式会社三菱総合研究所