今気がついたがモンテディオの会員申し込みページはSSLじゃない・・・

昨日は寝ぼけていたので、基本的な所のチェック漏れてた。

モンテディオのインターネット申し込み・・・SSL実装されていないじゃん・・・。

個人的意見としては実態として5000件近く、目標としては1万人の会員名簿を扱うSY21は個人情報保護法に定められた個人情報取り扱い事業者（5000人以上の個人情報を取り扱う事業体が対象）として考えなくてはいけません。

この法律でSSLを使えとか、プロトコルを指定しているわけじゃ当然無いのですが、申し込みページの通信経路が暗号化されていないのは非常にマズイと思います。顧客（後援会員）の接触媒体としてインターネットとの親和性が高いと仮定されるし、利用者は非常に多いはず・・・。

SY21か業務委託先のベンダーが「まあクレジットカードまだ聞がねがらいいべ」「時間ないからまずは早く始めっべ」と判断しているのか分かりませんが、数年前ならまだしも、フィッシングサイトやスニフィングのリスクが高まっている現在において、モンテディオの会員規模・入力情報を考えるとSSLを実装しないと言う判断が私には残念でなりません。

12月11日スタートのクレジットカード申し込みについてカードのオーソリがSSLなしとは考えられないのですが、他の申し込み方法についてもインターネットで申し込む際は住所・電話番号・生年月日（生年月日って個人認証では重要な要素。パスワードとか無くしたときって誕生日聞かれるでしょ。個人認証の材料としては重要な情報なので、信頼できないところには安易に答えない方がよかったりするのですよ）に加えて、家族情報まで書かなきゃ行けないんだからさー。あと、フォーム入力必須事項が視覚的に明示されていないのはページ作成の作法として大いに問題有りです。

確かにSSLのCA取得には業界でシェアが高いベリサインの証明書はそれなりのコストがかかります。取得にはエキスプレス申し込みを使わない限りはそれなりに時間が掛かります。

但し、SSL証明書は他にも廉価なところがありますし、高価なモノでは無くなっているはずです。個人情報漏洩事故は取得した後の情報運用方法に因る事例が多く、通信経路を暗号化したところで個人情報が絶対に漏れないという保証は無いわけですが、お金を掛けてでも担保すべきところは担保するべきです。担保出来ないのであれば、担保出来るまで始めない方がまだ良いと考えます。

前から書いているけど、こういった個人情報を取り扱うサービスは気をつけなくてはいけないポイントが多数あるから、実績のある外部サービスをASPとして使うのが様々な企業の事例に対応したノウハウが集積しており、コスト的にもかなり低廉に押さえられ、セキュリティ的にも寧ろ安心ですし、運用も手間がかかりません。

ASPは情報を外出しにするわけだからリスクは0じゃないんだが、SY21は規模が小さい法人だし、（何でも知っていて、24時間365日働けて、行動力が他の人の数十倍あるスーパーマンが居たら別ですが）運用に手間を掛けない、かつコストを低廉にするってのは必要命題だと思うんだがなー。

ひとりのカスタマーとしては、こういった状況じゃ、実際はしっかりしていても、内部での個人情報に対する認識も推して図るべしと個人情報の自己防衛のために考えざるを得ないし、送信した情報の取り扱いも心配になります。早急に改善を望みたいところ。