会員管理システムとセキュリティ

会員管理システムはその特性上、数多くの人々の個人情報を一元管理する必要があり、情報漏えいや不正アクセスのリスクをコントロールするセキュリティ対策が不可欠です。会員管理システムにおけるセキュリティ対策について詳しく紹介します。

会員管理システムにおけるセキュリティ対策の重要性

会員管理システムがインターネット上で晒されているリスクやトラブルとして、以下のような例が挙げられます。

会員情報・個人情報の流出

会員として登録しているユーザーの個人情報が流出し、ダークウェブなどに公開されることで、プライバシーの問題や経済的損失など様々なリスクが増大します。

会員情報・個人情報の流出の事例

商品の販売に関するテレマーケティング業務を外部に委託していたたところ、委託企業の関係会社のシステム運用保守業務を担当している従業員によって不正に顧客の個人情報を持ち出され、第三者に流出される事案が起こりました。

その結果、商品を購入していた顧客18万人以上の会員IDや氏名、電話番号、住所、性別、年齢、生年月日などの情報が流出する被害に遭ってしまいました。

発覚後に業務委託との取引は停止。これまでに個人情報の不正利用は確認されていませんが、顧客に対しては文書で通知とともに謝罪対応を取らざるを得なくなりました。

参照元:株式会社フォーマルクライン公式HP(https://www.formalklein.com/other/preview.php?qFnm=news#news_20231017

機密情報の漏えい

企業として未公開の情報や、取引先との契約によって公開するタイミングを待っている情報などが、不正なアクセスによって盗まれたり強制的に公開されたりする恐れも深刻です。

情報の種類や性質によっては株式市場などにおいて莫大な損失を生みかねない上、取引先との契約不履行によって高額な違約金や損害賠償責任が発生するリスクもあります。

機密情報の漏えいの事例

機密情報の漏洩リスクは、世界に知られる大企業であっても起こるものです。電気自動車の製造・販売を行うテスラでは、社内システムから100GBに相当する機密データが不正に盗まれてしまいました。

漏洩が発覚したのはドイツの新聞社、つまり「外部の第三者」による通報からで、機密情報にはテスラの内部報告文書や現従業員・元従業員の社会保障番号と氏名、住所、電話番号、メールアドレスが含まれていました。

データを盗んだのは、テスラの元従業員2名による犯行と発覚。テスラは、法執行機関や専門家と協力し、必要に応じて適切な措置を講じるとコメントしています。

参照元:GIZMODO(https://www.gizmodo.jp/2023/08/tesla-says-massive-data-breach-was-an-inside-job.html

第三者によるホームページの改ざん

悪意ある第三者によってホームページやサイトの情報が改ざんされたり、公序良俗に反するような画像・動画などを貼り付けられたりと、悪質な不正操作リスクにも対処しておかなければなりません。

第三者によるホームページの改ざんの事例

ボウリングなどのアミューズメント施設で知られる「ラウンドワン(Round-1)」は、第三者からの不正アクセスによってホームページの改ざん被害に遭いました。

店舗の料金案内ページが改ざんされていたほか、被害に遭った時間帯は不適切なWebページへ誘導する状態となっていました。その後は改ざんされたページの削除など、ホームページの復旧対応に追われる結果となっています。

ホームページからの個人情報などの流出はなかったものの、今後はセキュリティ強化を進めていくと発表しています。

参照元:+Digital(https://news.mynavi.jp/article/20230307-security/

基幹システムへの攻撃による停止

基幹システムやクラウドサーバに対する攻撃が行われた場合、状況によってはシステムやサービスそのものが動作を停止して営業を続けられなくなるリスクがあります。

基幹システムへの攻撃による停止の事例

大阪市のある病院では、身代金要求型ウイルス「ランサムウェア」によるサイバー攻撃による被害に遭いました。

外部の給食業者のVPNから病院の基幹システムに侵入され、ウイルス対策ソフトが無効化されてウイルスに感染。システム障害が発生し、診療を長期間停止せざるを得なくなってしまいました。

給食管理用サーバーのパスワードと基幹システムサーバーのパスワードが同じだったことが大きな被害を生んだ要因とされています。

参照元:産経新聞デジタル(https://www.sankei.com/article/20230328-26PKY2QEEBODZN7FYBAJ7U7X7I/

マルウェアへの感染・拡大

サーバにマルウェアやウイルスが感染すれば、サイトやサービスへアクセスした会員やユーザーにもそれらのセキュリティリスクが拡散していきます。また、DMなどのアプローチ機能が連携されている場合、自社のサービスが能動的に会員や登録者へウイルスをまき散らしてしまう恐れもあるでしょう。

マルウェアへの感染・拡大の事例

埼玉大学では、大学の教職員が利用していたパソコンがマルウェアに感染。マルウェアによって抜き取られた情報が、ウイルスメールの送信に使用されるという事案が発生しました。

幸いにも他の端末へ感染を拡大させた可能性は低い結果に終わりましたが、保存されていたメール関連の情報が窃取され、外部に漏えいした可能性があると確認されました。

これを受け、「不審なメールの添付ファイルは開かない」など、改めてマルウェアに関する注意喚起を行って再発防止に努めていると言います。

参照元:埼玉大学(https://www.saitama-u.ac.jp/etc_archives/2022-1013-1134-9.html

会員管理システムの具体的なセキュリティ対策

不正アクセス対策

IPアドレス制限

IPアドレス制限は、サービスやサイトへアクセスできるIPアドレスについて、特定の範囲に許可を与えたり、逆に排除したりといった対策です。IPアドレスはインターネット上の住所のようなものであり、IPアドレス制限を活用することで海外からのサイバー攻撃に対抗できます。

二段階認証・多段階認証

メールアドレスとパスワードだけでログインできるようにするのでなく、ログイン時にユーザーのスマートフォンへSMSを送信して時間制限付きログインコードを知らせるといった、二段階認証・多段階認証も有効です。

多段階認証の方法としては他にもスマホの指紋読み取り機能を使った生体認証や、カメラ機能を活用した顔認識システムなども挙げられます。

シングルサインオン

シングルサインオンとは、一度のユーザー認証を完了することで、独立した他のシステムについても利用可能にするシステムです。システムを利用するたびにユーザー認証をする必要がなくなる上、最初に認証完了したユーザーしかシステムを利用できないという特性があります。

そのため、不正ユーザーがなりすましを行おうとしても、認証を得られないためアクセスが拒否されるという対策です。

アカウントロック機能の設定

パスワードやメールアドレス、その他ユーザーの任意のコマンドなどの入力について、一定以上のエラーが生じた場合にアカウントそのものをロックして利用できなくするシステムです。

ロック解除にはサポートセンターなどに連絡した上で、改めて本人確認作業が必要になり、不正ななりすまし被害を防止できます。

ウイルス対策

SSL/TLSによる通信の暗号化

「SSL/TLS」はパソコンなどでウェブブラウザを使ってインターネットを利用する際、ブラウザとサーバの間でやりとりする通信内容を暗号化するシステムです。

コンピュータウイルスへの感染などによってセキュリティホールが生じ、ブラウザで操作した情報が第三者からアクセスされたとしても、暗号化していることでデータの中身を知られない点がメリットです。

障害対策

データセンターの選定・活用等

データセンターは専門業者が設ける施設であり、サーバやストレージ、ネットワーク機器といったITシステムや関連機器が設置・保護されている場所です。自社でサーバを構築するのでなく、専門業者のデータセンターを利用することでセキュリティ対策を強化し、障害発生リスクなどを軽減できる可能性があります。

ただし、データセンターの選定をしっかりと行わなければ、データセンター自体に障害が発生した際に自社では対応できなくなるといった恐れもある点に注意してください。

バックアップ

データを様々な場所でバックアップ保管しておくことで、万が一に特定サーバが攻撃・破壊されても速やかにシステムや情報を復旧させることが可能です。

バックアップデータは情報処理におけるリスク分散として効果的ですが、同時に分散させているデータごとにセキュリティ対策が必要となります。

パフォーマンス管理

機器の加熱や処理能力を超えた同時アクセスなど、ハードウェアやソフトウェアが限界を超えるとシステムダウンのリスクが増大するため、安定的なパフォーマンス管理とモニタリングが重要です。

セキュリティ対策の判断基準

国際標準化規格ISO 27001(ISMS)

ISO 27001は情報セキュリティマネジメントシステム(ISMS)に関する国際規格であり、取り扱い情報に関する完全性や機密性、可用性といった要素が適切にマネジメントされ安定的に運用されているか評価するための指標です。

ISO 27001を取得している場合、セキュリティ対策環境として国際的に認められるという目安になります。

プライバシーマーク認証

プライバシーマークは、個人情報の保護と取り扱いに関して、一般財団法人日本情報経済社会推進協会の定めるセキュリティ対策や安全環境を適切に講じている事業者に対し認める第三者認証制度です。「Pマーク」と呼ばれることもあります。

業界別の
おすすめ会員管理システム

ジム・フィットネスに
おすすめの
会員管理システム3選

【選定理由】2022年2月1日時点で「会員管理システム」のGoogle検索で上位2P目までに出てきた54システムからピックアップ。
「会員管理」「予約機能」「入会受付」「分析機能」が備わっていて、
公式HPに導入費用と月額費用の記載がある中で、初年度にかかる費用が安い順にシステムを選定。

多機能・低価格...3社の中で最も価格が安く、オプションなしで出来る機能が多い。
豊富な連携機能...選定基準を満たしている企業で、唯一LINE連携に対応している。
健康管理...健康管理ができるクラウドサービスとの連携がある。

※1年目費用目安:「月額料金×12ヶ月分+初期費用」で算出。
機能:基本機能で対応できるものは〇、対応できないものは-、オプションで対応できるものは△で表示。

システム名 1年目費用目安 機能
多機能・
低価格なら
Smart Hello

公式サイトを
見る

詳しく見る

374,000円
内訳初期費用:110,000円
月額費用:22,000円
※ライトフィット・スクールプラン
会員管理 会費/請求管理 受付管理(入会/変更)
予約管理 スクール管理(欠席/振替、進級) 売上管理
来場・入退館管理 クレジットカード決済 口座決済
POS機能 多店舗管理 アンケート作成
メルマガ・DM配信 LINE連携 テクノジムMyWellness連携
- - -
豊富な
連携機能なら
hacomono

公式サイトを
見る

詳しく見る

627,000円
内訳初期費用:165,000円
月額費用:38,500円
※基本プラン
会員管理 会費/請求管理 受付管理(入会/変更)
予約管理 スクール管理(欠席/振替、進級) 売上管理
来場・入退館管理 クレジットカード決済 口座決済
POS機能 多店舗管理 アンケート作成
メルマガ・DM配信 LINE連携 テクノジムMyWellness連携
-
健康管理も
行うなら
SLIM

公式サイトを
見る

詳しく見る

805,000円
内訳初期費用:385,000円
月額費用:35,000円
※総合フィットネスパック
会員管理 会費/請求管理 受付管理(入会/変更)
予約管理 スクール管理(欠席/振替、進級) 売上管理
来場・入退館管理 クレジットカード決済 口座決済
POS機能 多店舗管理 アンケート作成
-
メルマガ・DM配信 LINE連携 テクノジムMyWellness連携
- -

ジム・フィットネスにおすすめの
会員管理システムを詳しく見る

サービス業におすすめの
会員管理システム3選

【選定理由】2022年2月1日時点で「会員管理システム」のGoogle検索で上位2P目までに出てきた54システムから、
公式HPにホテル・飲食業の事例や説明の記載があった3社をピックアップ。

※1年目費用目安:「月額料金×12ヶ月分+初期費用」で算出。
機能:基本機能で対応できるものは〇、対応できないものは-で表示。

システム名 1年目費用目安 機能
Prius Pro

公式サイトを
見る

18,700円
内訳初期費用:5,500円
月額費用:1,100円
予約管理 予約フォーム作成 データ分析
メルマガ・DM配信 入会受付 チェックイン機能
-
Ambassador Relations Tool

公式サイトを
見る

353,760円
内訳初期費用:0円
月額費用:29,480円
※クラウドプラン
予約管理 予約フォーム作成 データ分析
- -
メルマガ・DM配信 入会受付 チェックイン機能
- -
WEBCAS CRM

公式サイトを
見る

400,000円~
内訳初期費用:100,000円
月額費用:25,000円~
予約管理 予約フォーム作成 データ分析
-
メルマガ・DM配信 入会受付 チェックイン機能
- -

サービス業(ホテル・飲食)におすすめの
会員管理システムを詳しく見る

学会におすすめの
会員管理システム3選

【選定理由】2022年2月1日時点で「会員管理システム」のGoogle検索で上位2P目までに出てきた54システムから、
公式HPに学会または協会、団体の事例や説明の記載があった3社をピックアップ。

※1年目費用目安:「月額料金×12ヶ月分+初期費用」で算出。
機能:基本機能で対応できるものは〇、対応できないものは-で表示。

システム名 1年目費用目安 機能
MiiT+

公式サイトを
見る

0円
内訳初期費用:0円
月額費用:0円
※MiiT+を利用した決済がある場合のみ、1決済ごとにシステム利用料が発生
予約管理 会費管理 会員交流機能
- -
データ分析 メルマガ・DM配信 入会受付
-
スマートコア

公式サイトを
見る

168,000円~
内訳初期費用:0円
月額費用:14,000円~
※スタンダードプラン
予約管理 会費管理 会員交流機能
-
データ分析 メルマガ・DM配信 入会受付
- -
SMOOSY

公式サイトを
見る

300,000円
内訳初期費用:0円
月額費用:25,000円 ※スタンダードプランかつ200名以下
予約管理 会費管理 会員交流機能
-
データ分析 メルマガ・DM配信 入会受付

学会におすすめの
会員管理システムを詳しく見る