サイバー保険ガイドColumn

サイバー攻撃、情報漏洩のリスクに備えるための情報発信コラム

2023.11.10 サイバー保険(業種・事業別)

飲食店にもサイバー攻撃が増えている理由は?過去の事例と対策を解説

近年ではサイバー攻撃が急増しており、手法も多様化してきているため、パソコンやタブレット端末のほかPOSレジもサイバー攻撃の標的となることをご存じでしょうか。
本記事では飲食業で発生した過去の事例をもとに、サイバー攻撃への対策について解説していきます。



飲食店にも個人情報漏えいのリスクが

近年の飲食業界では、デリバリーサービスによるの導入とともに、キャッシュレス決済に対応した「POSシステム」を導入するケースが増えています。
ご存じのとおり、POSシステムはポイント機能やさまざまな決済と連携できて便利な反面、個人情報や決済の機密情報などが一元管理されているため、サイバー攻撃のターゲットとして狙われるという被害が発生しています。

もし、POSシステムが攻撃者により不正にアクセスされてしまったら、顧客情報や個人情報データが不正に盗まれ販売されてしまうことも考えられます。
また、POSシステムやパソコンを乗っ取られてしまった場合、乗っ取った端末を踏み台にして取引先などに攻撃する可能性もあります。
以上のことから、POSシステムを取り入れてはいけないわけではなく、正しいセキュリティ対策をしながら利用することが大切です。

ECサイトを運営している飲食店の注意点

近年ではお取り寄せグルメの需要が高まっていることもあり、飲食店がECサイトの運営も行っているケースが増えているのではないでしょうか。
ECサイトを運営している場合は顧客の氏名や住所だけでなく、クレジットカード決済やキャッシュレス決済等に関わる情報も管理することになります。
顧客の情報を自社で管理する場合は、自社のHPや商品を掲載するWebサイトのセキュリティ対策をこまめに整備しておく必要があります。
特にHPを開設したまま放置している場合は要注意で、いつの間にか自社のサーバーにマルウェアウイルスが仕込まれているかもしれません。マルウェアウイルスがHPに仕込まれていると、HPの閲覧者や商品の購入者はウイルスに感染してしまい、個人情報が窃取されてしまいます。

ECサイトのについての詳しい被害は下記の記事をお読みください。
▼【EC事業者必見】ECサイトの運営にサイバー保険が必要な理由とは

フリーWi-Fiの提供もさらに注意

また近年ではお客様の利便性アップのために、店内へフリーWi-Fi(公衆無線LANスポット)を提供することが急増しています。 しかし正しいセキュリティ対策を行わずにフリーWi-Fiを提供した場合、サイバー攻撃の被害に遭い前述したPOSシステムへの不正アクセスや顧客データの漏洩に巻き込まれる以外にも、下記のような被害が出てしまう可能性があります。

【フリーWi-Fiが不正利用されるケース】
・盗聴されてIDやパスワードが盗まれる
・迷惑メールの送信や掲示板への悪意ある書き込みに悪用される
・第三者への攻撃等に悪用される

このような事態に巻き込まれないようにするためにも、Wi-Fiのセキュリティ対策を強化しておきましょう。
詳しくは、総務省発行のWi-Fi提供者向け セキュリティ対策の手引きをご確認ください。
総務省「公衆Wi-Fi提供者向け セキュリティ対策の手引き(令和6年3月版)PDF」

飲食業で発生したサイバー攻撃の事例と対策について解説

ここからは、飲食業で発生したサイバー攻撃や人的ミスによる情報漏えい事故の事例について解説していきます。

【不正アクセス】デザートバイキングチェーンS社の事例

●事案の経緯
不正アクセスにより、顧客のクレジットカード情報7,645件が漏えいした可能性のあることが発表されました。S社は同社のサイトを利用した一部の顧客から、クレジットカード情報の漏えい懸念について連絡を受けました。その翌日にクレジットカード会社からも、S社のサイトを利用した顧客のクレジットカード情報の漏えい懸念に関する連絡を受け、同日中にS社が運営するオンラインショップでのクレジットカード決済を停止。第三者調査機関による調査も開始しました。

●調査により判明したこと
情報漏えいの原因は、S社が運営するオンラインショップのシステムの一部のぜい弱性をついたことによる、第三者の不正アクセスであると判明しました。ペイメントアプリケーションの改ざんが行われたことにより、顧客のクレジットカード情報が窃取されたようです。
S社は個人情報が漏えいした可能性のある顧客に対して、電子メールまたは書状にてお詫びとお知らせの連絡を行ったとしています。またクレジットカードの再発行を希望する場合の再発行手数料については顧客の負担にならないよう、S社が負担するようです。
今後は、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図っていくとしています。

【不正アクセス】西京漬お取り寄せサイトK社の事例

●事案の経緯
不正アクセスにより、クレジットカード情報を含む約10万件の個人情報が流出した可能性のあることを発表しました。K社はクレジットカード決済代行会社より、クレジットカード情報流出の可能性があると指摘を受け、同日中に当該サイトでのクレジットカード決済を停止しました。本件の全容解明および被害状況を把握するため、社内調査を進めるとともに、第三者の調査会社による調査を実施したとしています。

●調査により判明したこと
個人情報流出の原因は、システムの一部のぜい弱性を突いた第三者による不正アクセスを受けたことであることが判明しました。ペイメントモジュールの改ざんが行われたことにより、数万件の顧客の個人情報が窃取されたようです。

不正アクセスにより、クレジットカード番号、クレジットカード有効期限、セキュリティコードのほか、 注文者情報・発送先情報・会員情報の住所氏名、電話番号のほか、メールアドレス、パスワード、性別・生年月日まで流出した可能性があるようです。
今後は決済代行会社が提供する決済方式のセキュリティ強化を進めるとともに、システムのぜい弱性診断を定期的に実施するとしています。また、ぜい弱性対策として必要なプログラムの修正や適切な対処を実施、運用していくようです。

【メールの誤送信】洋菓子店H社の事例

●事案の経緯
メールの誤送信により、メールマガジン登録者2,350人のメールアドレスが流出したことが発表されました。H社ではサイトにおけるメールマガジン登録者に対して「シュークリームの日」のお知らせをメールマガジンで送信しました。その際に受信者のメールアドレスを本来「BCC」で送信すべきところ、誤って「宛先」に設定し、送信してしまったようです。
当該メールの受信者に対しては、メールアドレス流出関するお詫びと当該メールの破棄・削除を依頼するメールを当日中に配信しています。
今後は誤送信の防止策として、メールマガジンや重要な個人情報等を含むメールを送信する際は、他の従業員によるダブルチェックの実施を徹底するようです。また従業員に対しては、改めて適切な個人情報等の管理について周知徹底するとしています。

サイバー攻撃により想定される飲食業の費用損害額

もし実際に飲食店がサイバー攻撃の被害に遭ってしまったら、想定される損害額は以下のとおりです。

飲食業A社(従業員数10名・年間売上3億円)の事例

ショッピングサイトへの不正アクセスで1万件の会員情報が漏えい
想定被害額3,570万円(年間売上の約12%の損害)

【賠償損害】
・損害賠償:100万円
・訴訟費用:300万円
【費用損害】
・調査・復旧費用:1,650万円
・顧客対応費用(お詫び・見舞金など):600万円
・新聞への社告掲載:500万円
・弁護士への法律相談費用:20万円
【利益損害】
・逸失利益:400万円

実際に情報漏えい事故が発生した場合は原因を特定するためのパソコンなどの調査(フォレンジック調査)が必要となり、店内や事務所内のPCやタブレット、専用端末などにウイルス被害や不正アクセスがないかの調査を行うことになります。
フォレンジック調査を行う場合はPC1台あたり数十万円の費用がかかるため、端末の台数が多い場合は莫大な調査費用がかかってしまいます。 また、流出した個人情報が不正送金やクレジットカードの不正利用などの被害を引き起こした場合は、訴訟へ発展し法律相談費用・弁護士費用・損害賠償費用が必要となってきます。

なお、2022年の個人情報保護法の改正により、個人情報を漏えいさせた場合、企業は関係省庁への報告義務を負います。以下の罰則規定もあるため「知らなかった」では済まされません。
・個人情報保護委員会の命令に違反した場合は、6カ月以下の懲役または30万円以下の罰金
・報告義務に違反した場合は30万円以下の罰金
このようなサイバー攻撃のリスクに備えて、サイバー保険を検討してみてください。

被害を最小限に留めてくれるサイバー保険

サイバー保険とは、サイバー事故で生ずる損害をカバーする目的で設けられている損害保険です。
サイバー攻撃は年々増え続けており、そのリスクが日々変化し手法が巧妙化すると共に、被害も複雑化しています。
まずはしっかりとセキュリティ対策を行い、万一の際の備えとして「被害を最小限に留めてくれるサイバー保険」の加入もご検討ください。

サイバー保険についての詳細は、下記の記事をお読みください。
▼自社は本当に大丈夫?中小企業の情報セキュリティの重要性

まとめ

本記事では、飲食業で発生した情報漏えい事故の事例について解説してきました。セキュリティ対策を整備しておくことはもちろん必要ですが、どれだけセキュリティ対策を施していたとしても、サイバー攻撃を完全に防ぐことはできません。 情報漏えい事故が発生した場合は多額の費用が必要になるため、万が一の場合に備えて、サイバー保険へ加入しておくと安心できるのではないでしょうか。

サイバー保険コラムの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手5社の保険料を無料で一括見積もり・比較いたします。

【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社

ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。

▼サイバー保険 一括見積りサイト

関連タグ

関連記事
ACCSS RANKING アクセスランキング
CATEGORY カテゴリ

運営会社について

ファーストプレイスは、
サイバー保険を扱うプロフェッショナルです

当社は2001年の創業以来、法人向けに企業の経営をサポートする保険のご提案を数多く行っております。
貴社の状況に合わせ、サイバー保険のご提案が可能です。まずはお問い合わせください。

運営会社について

pagetopへ