クロスサイトスクリプティング(XSS) についても、 Cookie の時と同様に IPA や METI から勧告がありましたが、どれくらい起こりやすいんでしょうかね？？

　まぁ、勧告があったので、 現地調査の段取り に入れてますが、審査では時間もないので、 ウェブで個人情報をやりとりしている事業者には、 「どういうものか知ってますか？」 ぐらいのヒアリングしかしてませんでした。
※話をすれば、相手の力量とか情報収集力とか分かるんで。。

　XSS については、 IPA のサイト に図付きの詳しい解説がありますが、

• 悪意のある人がニセサイト(誘導ページ)を作る
• ニセの通知メールや何かでこのサイトにアクセスさせる
• リンクなどで、ターゲットのサイトにアクセスさせる

　ただ、漏えいなどの被害を受ける可能性としては、 まったくゼロではないのと、 対処法が簡単なので、フォーム入力をしていて、確認画面とかで、 入力データを表示させるページがある場合には コードを見直すべきでしょう。 以前、掲示板とかでは、 変な画像データのタグを貼られるとかのいたずらとかあったので、 サニタイジングの手法は確立されているかと思います。 PHP だと「htmlspecialchars」コマンドひとつで サニタイジング ができますので、 余白のスペースの削除や改行コードを「<BR>」に変えるなどと同じように、 データの トリミング の一部として行うべき事項でしょう。

　また、ウェブサイトで個人情報を扱ってない場合でも、 セキュリティ的には、

• 踏み台として第三者に迷惑をかける
• 重箱の隅を突付かれて、ニュースネタになる(社名を公表されてしまう)

　ここ数年、 郊外での ATM機(自動現金支払機)がショベルカーなどの重機で壊され、 ATM 機ごと持ち去られるという事件が多く出てきてます。 最初設置した時は、「まさか機械丸ごと持って行くことはないだろう」 ということかもしれませんが、 ものすごい発想をし、実行する人たちも世の中にはいるのです。 将来のリスク回避という視点でも、 定期的に技術動向の収集を行い、早めに情報をキャッチし、 初期の設計に照らし合わせ、問題点を見つけ出し、 対処していくことが必要かと思います。