「ECサイトの脆弱性診断は義務化されたのか」「費用はいくらかかるのか」——。2026年現在、脆弱性診断そのものを名指しした直罰規定の確認には至っていません。一方で、割賦販売法上、EC加盟店にはカード情報の適切管理と不正利用防止措置の義務があり、経済産業省(以下、経産省)はクレジットカード・セキュリティガイドラインをその実務基準として位置づけています。2025年4月以降は、全てのEC加盟店にセキュリティ・チェックリスト記載の脆弱性対策等の実施が求められており、実務上は脆弱性診断を含む対応が必須です。
本記事では、義務化の経緯と現状、対応しなかった場合のリスク、費用相場、今すぐ始められる対応ステップを解説します。
この記事を監修した人
橋爪 兼続
ライトハウスコンサルタント代表
2013年海上保安大学校本科第Ⅲ群(情報通信課程)卒業。巡視船主任通信士を歴任し、退職後、大手私鉄の鉄道運行の基幹システムの保守に従事。一般社団法人情報処理安全確保支援士会の前身団体である情報処理安全確保支援士会の発起人。情報処理安全確保支援士(第000049号)。
ECサイトの脆弱性診断は2026年現在、義務化されているのか?
結論から言えば、義務化されています。ただし「法律による罰則付きの義務」ではなく、割賦販売法上の義務を前提に、その実務基準として「ガイドライン上の対策」が求められています。
この義務化が進んだ背景には、クレジットカード不正利用被害の深刻化が挙げられます。2023年1月、経産省は報告書を公表し全ECサイトへの脆弱性対策を義務化する方針を示しました。これを受ける形で同年3月に経産省・IPA連携で「ECサイト構築・運用セキュリティガイドライン」が公表されました。2025年4月以降は割賦販売法の実務指針である「クレジットカード・セキュリティガイドライン」でEC加盟店への対策実施が義務化されています。
また、被害の状況は深刻な状態で、2024年の国内不正利用被害総額は555億円(前年比2.6%増)と過去最高を更新しました。2025年は510.5億円(前年比8.0%減)と2024年よりも少し減少はしましたが、依然として被害は深刻です。被害の9割超がECサイトでのカード番号盗用によるものです。対応しない事業者はクレジットカード決済を失うリスクが現実的に存在します。
※参照:
日本クレジット協会「クレジットカード不正利用被害の集計結果」
経済産業省「クレジットカード決済システムのセキュリティ対策強化検討会 報告書」
IPAガイドラインで「必須」に分類された意味
IPAのガイドラインでは対策要件を「必須」「必要」「推奨」の3段階で分類しており、脆弱性診断は「必須」に位置づけられています。被害を受けたECサイトの約97%が自社構築サイトであり、規模を問わず構築・運用のあらゆる段階での診断実施が求められています。
※参照:IPA「ECサイト構築・運用セキュリティガイドライン」
対応しなかった場合のリスク
法的リスク
個人情報保護法は事業者に適切な安全管理措置を義務付けており、脆弱性放置による情報漏洩は「措置が不十分」として法的責任を問われる可能性があります。不正アクセス禁止法においても、既知の脆弱性を放置したまま侵入された場合、事業者の過失が認定される可能性は否定できません。
ビジネスリスク
①売上損失・事故対応費用
被害を受けたECサイトの調査によると、閉鎖期間中の売上損失は1社あたり平均約5,700万円(個人情報保護委員会調査・従業員500名以下44社対象)、事故対応費用は平均約2,400万円(IPA調査・被害を受けた19社対象)。
それぞれ別調査のデータですが、いずれも1社あたりの経済的損失が甚大であることを示しています。平均閉鎖期間は8.6カ月に及びます。
これらの損失の多くは、脆弱性を事前に把握し対処していれば防げた可能性があります。脆弱性診断はまさに「事故が起きる前に穴を塞ぐ」ための手段です。
②顧客離れとブランド毀損
JNSAの調べでは、情報漏洩の平均被害額は3,843万円、復旧の平均工数は約13人月。一度失った信頼の回復には長期間を要します。
金銭的な損失は保険や補償でカバーできる部分もありますが、顧客の信頼は診断や対策を「やっていなかった」という事実が公になった時点で、取り戻す手段がありません。事前の対策実施とその記録が、万一の際の説明責任にもなります。
※参照:JNSA「情報セキュリティインシデントに関する調査報告書」
③PCI DSS違反によるクレジットカード決済停止
PCI DSSでは定期的な脆弱性診断が義務付けられており、未対応の場合、是正要求やクレジットカード決済の制限・停止につながるリスクがあります。
ECサイトにとってクレジットカード決済の停止は、即日売上に直結する致命的なリスクです。PCI DSSへの対応状況を確認する意味でも、脆弱性診断は有効な手段のひとつです。
ガイドラインで求められる診断の内容
実施すべき診断の2種類
ガイドラインでは「原則、第三者による脆弱性診断を実施すること」と明記され、①Webアプリケーション診断(SQLインジェクション・認証不備などを検出)と②プラットフォーム診断(OS・ミドルウェアの設定ミスや更新漏れを検出)の2種類が指定されています。
実施タイミング
| タイミング | 対象診断 | 備考 |
|---|---|---|
| ECサイト公開前 | Webアプリ診断・プラットフォーム診断(両方) | 危険度「高」「中」を解消してからリリース |
| 定期診断 | プラットフォーム診断 | 四半期に1回が推奨 |
| 機能追加・改修のたびに | Webアプリケーション診断 | 新機能リリースごとに都度実施 |
診断結果への対応
危険度「高」は発見後すみやかに対処し、公開前は解消してからリリースすることが必須です。危険度「中」は3カ月以内の対処が推奨されます。公開前診断では「中」も解消してからリリースすることが求められます。
脆弱性診断の費用相場と診断会社の選び方
費用相場の目安
| 診断の種類 | 診断方法 | 費用の目安 |
|---|---|---|
| Webアプリケーション診断 | ツール診断(自動) | 数万円〜30万円程度 |
| Webアプリケーション診断 | 手動診断(専門家) | 30万円〜100万円以上 |
| Webアプリケーション診断 | ハイブリッド(ツール+手動) | 30万円〜150万円程度 |
| プラットフォーム診断 | ツール診断 | 10万円〜30万円程度 |
| プラットフォーム診断 | 手動診断 | 15万円〜50万円程度 |
費用はリクエスト数・診断方法・再診断の有無により変動します。Webアプリケーションとプラットフォーム診断の2種類の診断を合わせると通常100万円以上になるケースも珍しくありませんが、事故発生時の損失規模と比較すれば、診断コストの位置づけを改めて考えるきっかけになるのではないでしょうか。
※参照:IPA「中小企業が運営するECサイト向け無償脆弱性診断の募集」(募集は締め切り済)
診断会社を選ぶ際のチェックポイント
診断会社の選定は、費用だけで判断するのは禁物です。診断の質や事後サポートの充実度によって、同じコストでも得られる安心感は大きく異なります。以下のポイントを参考に選定してください。
- IPAの「情報セキュリティサービス基準適合サービスリスト」に掲載されているか
- ECサイト診断の実績があり、ハイブリッド診断(ツール+手動)が可能か
- 診断後のサポート(質問対応・再診断)と対策方法の記載が含まれているか
※参照:IPA「情報セキュリティサービス基準適合サービスリスト」
より詳しいポイントはこちらの記事でご紹介しています。
今すぐ始める義務化対応の4ステップ
ステップ1:IPAのチェックリストで現状を確認する
IPAガイドライン巻末のチェックリストで、何が「必須」で何が未対応かを可視化します。チェックリストは構築時・運用時それぞれ用意されており、技術的な専門知識がなくても「対応済み/未対応/不明」の3択で確認できます。まず「不明」が多い項目を洗い出すだけでも、自社サイトのリスクの輪郭が見えてきます。
※参照:IPA「ECサイト構築・運用セキュリティガイドライン」(チェックリストを含む)
ステップ2:外部専門機関に診断を依頼する
ガイドラインが「原則、第三者による実施」を求めているため、IPAの適合サービスリスト掲載事業者にWebアプリケーション診断・プラットフォーム診断の依頼を検討します。問い合わせ時には「自社構築サイトか否か」「使用しているCMSやフレームワーク」「ページ数・機能数の概算」を事前に整理しておくと、見積もりがスムーズです。複数社に見積もりを取り、診断範囲や再診断の有無も合わせて確認しましょう。
※参照:IPA「情報セキュリティサービス基準適合サービスリスト」
ステップ3:危険度の高い脆弱性から順に対処する
診断結果は「高・中・低」の3段階で報告されます。危険度「高」は放置すると直接的な被害につながるため、開発担当者・外部委託先と対処期限を即座に設定します。
対処とは必ずしもゼロから作り直すことではなく、バージョンアップや設定変更で解決できるケースも多くあります。対処内容と完了日は記録として残し、次回診断での確認材料にします。
ステップ4:定期診断をスケジュール化して運用フローに組み込む
一度診断して終わりではなく、継続的な実施が重要です。
プラットフォーム診断は四半期に1回を目安とし、機能追加・改修のたびにWebアプリケーション診断を実施するサイクルを、開発・運用スケジュールに組み込みます。「誰が発注するか」「予算はどこから出るか」を担当者レベルで決めておかないと、異動や繁忙期に後回しになりがちです。運用ルールとして文書化しておくことが、継続のカギになります。
よくある質問(FAQ)
Q. 義務化に違反した場合、すぐに罰則はありますか?
A. 2026年3月現在、脆弱性診断の不実施を直接罰する規定は整備途上です。ただし、事故発生時は個人情報保護法・不正アクセス禁止法による法的責任が問われるほか、クレジットカード決済の停止リスクが現実的に存在します。
Q. 小規模なECサイトでも診断が必要ですか?
A. はい。ガイドラインは中小企業を含む全事業者が対象です。被害を受けたECサイトの約97%が自社構築サイトであり、セキュリティ対策が不十分なECサイトを狙った攻撃が増加しています。
Q. ASP型ECカートを利用している場合も診断は必要ですか?
A. ASP型ECカートの場合、プラットフォーム部分のセキュリティはASP事業者が管理していますが、自社でカスタマイズしている部分や連携システムについては独自の診断が必要です。ASP事業者が提供するセキュリティ仕様を確認した上で、自社責任範囲を明確にすることが重要です。
Q. 自社内で脆弱性診断を実施することはできますか?
A. ガイドラインは「原則、第三者による実施」を求めており、自社内診断は補完的な位置づけです。ツール診断は月額数万円から内製化できますが、固有の脆弱性を確実に発見するには専門家による手動診断との併用が推奨されます。
Q. 診断から修正まで、どのくらいの期間を見込むべきですか?
A. 診断自体は規模によりますが1〜2週間程度が目安です。その後の脆弱性修正に約1カ月、修正後の再診断を含めると、初期準備から完了まで1〜3カ月程度を見込むことが一般的です。定期診断のスケジュールを組む際はこの期間を考慮して計画することが重要です。
まとめ
2026年現在、脆弱性診断への対応を先送りにしているECサイトは、いつ被害に遭ってもおかしくない状況に置かれています。「自社がどんなリスクを抱えているか分からない」——。その状態こそが最大のリスクです。
本記事で解説した通り、脆弱性診断はIPAガイドラインで「必須」とされ、2025年4月以降はクレジットカード・セキュリティガイドラインでも全EC加盟店に義務化されています。万一、事故が発生した場合の売上損失・事故対応費用は合計で数千万円規模に上ることもあり、法的責任やクレジットカード決済の停止リスクも同時に生じます。
「まず何をすればいいか分からない」という場合は、自己判断せずにセキュリティ専門家への相談から始めることをおすすめします。現状のリスクを把握するだけでも、次に打つべき手が明確になります。
