Googleが配布する人気ブラウザーChrome(クローム)は、2018年7月24日から、常時SSL化されていないサイトを閲覧すると「このサイトへの接続は保護されていません」という警告を出すようになりました。SSL(Secure Socket Layer)とは、別名サイト暗号化ともいいますが、クレジットカード情報や個人情報などの重要なデータを第三者に盗まれることを防ぐために、インターネット上でやりとりされるデータを暗号化する仕組みのことです。
ECサイトならいざ知らず、個人情報なんて取得してないからSSLなんて必要ないでしょ?というサイト運営者は多いですが、もはやSSL化は必須です。その理由を解説します。

理由その1:常時SSLはいまやSEOの一つである

日経新聞もサイト暗号化の遅れに警鐘

通常のWebサイトのURLは、"http:"で始まりますが、SSL化されたサイトは、"https:"(Secured=安全化されたという意味を示す”s”がつきます)で始まります。だから割と簡単にSSL化されているページか否かは割と簡単に見極めることができます。(みなさんがみてらっしゃる当社のサイトは全てSSL化されています)

2018年8月16日に公開された日経電子版の記事によると、全ての政府系サイトについては常時SSLを義務化されたものの「全国の都道府県、市区町村の役所のHPを調べたところ、6割以上がまだ常時SSL化に対応していなかった」そうです。

区役所のサイトを見てたら「安全じゃありません!」みたいなアラートがでたら、不安になりますよね?必ずしも個人情報を取得したりしないサイトなら、以前ならSSLは必要ないと判断しても間違いではなかったと思うのですが、前述のようにChromeがSSL化されていないサイトには絶対に”これ以上見ちゃいけません”的なアラートを出すとしたら、せっかく訪問してくれた方々もさすがに不安で速攻脱落してしまうと思います。それに、Googleは常時SSL化していないサイトは検索対象からも外していくと言っています。セキュリティ対策というより、SEO(検索エンジン最適化)の問題になってきているんですね、SSL化するか否かの問題は。

つまり、インターネット上で最大最強の影響力を持つGoogleが、非SSL化サイトをハブにする、言い換えれば常時SSL化されたサイトを優遇する、と言っているわけですから、常時SSL化するのはまさしくSEOに則る行為なんだ、ということなんです。

付け加えると、FacebookやTwitterなどで、せっかくシェアされたWebページの詳細を見ようとユーザーがクリックしてくれたとして(そのスマホがAndroidなら、当然ブラウザーはChromeでしょうね!)、「このサイトは安全じゃありません!」なんて警告されたら、そのユーザーは二度とWebページを見てくれなくなります。つまり、SEOに加えて、SMO(ソーシャルメディア&モバイル最適化)の問題でもあるということです。

理由その2:GDPR問題でわかる、やっぱりセキュリティ問題も大事

冒頭で書きましたが、もともとSSLはネット上でやりとりされるデータが、第三者に盗み見されないように暗号化する仕組み=プロトコルです。ECや会員制サイト(どちらもログインを必要とします)ならば、常時SSL化は絶対必須の対応になります。両方とも名前や住所など、さまざまな個人情報をそのサイトに提示することになりますし、ECはもちろん、会員制サイトでも課金があるならば、クレジットカード情報などの重要データを頻繁にやりとりすることになります。暗号化していなければ、そうした情報を盗まれて悪用されないとは限りません。

でも、ウチのサイトは個人情報なんて集めてないよ!という運営者の方、いらっしゃいますよね。
でも、例えば資料請求などの問い合わせフォームなどを設置していたとしたら、そのページ、SSL化する義務はありますよ。

え?ならば全サイトじゃなくて、該当ページだけ(問い合わせとか決済ページとか?)SSL化すればいいかって??まあそうですけど、だったら全ページを常時SSLしても同じじゃないですか??SSL化しなければならないページが増えるたびに気を使うのは管理コストの無駄だと思いますよ。

GDPR(EU一般データ保護規則)の衝撃

GDPRのことをご存じの読者は多いと思います。

”データ管理者(EU居住者からデータを収集する組織)、または、処理者(データ管理者の代理としてデータを処理する組織)または、データの主体(個人)がEU域内に拠点をおく場合に適用される(Wikipedia)”とされてはいますが、実際にはEU域外、つまり日本国内に拠点がある団体でも、EU加盟国に欧州3ヵ国を加えたEEA(欧州経済領域)域内31ヵ国に所在する全ての個人情報を取得するようなことがあれば、即刻適用され、違反した場合は”最高で数十億円以上の巨額の制裁金”が課せられるという、恐ろしい法規制です。

有識者に言わせると、このGDPRは、「欧州が、米国のグーグルやフェイスブックと、“一戦”を交える覚悟を決めたということ」(Diamond Online)とのこと。

いわゆるGAFA脅威論になるのでしょうが、個人情報を集めまくって、ビッグデータ化して、それを独占しつつある巨大IT企業に対して、国家のレベルで対抗措置をとりはじめた、ということです。

このこと自体が常時SSL化になんの関係があるの?と言われれば、実際には直接関係があるというわけではありません。ありませんが、地球上に存在するありとあらゆるサイトはこのGDPRに対する何らかの備えをする必要が出てきているし、賢い消費者たちもそうした態度をちゃんと気にするようになってきています。

つまり、これだけ世界的に個人情報、個人データの取り扱いに対してセンシティブになってきているのに、自社サイトを常時SSL化しないという選択を取り続けている感覚の鈍さを忌避する可能性が出てきているということです。

GDPR対応は単にSSL化すればいいというものではなく、結果的に集めた個人データの取り扱い方や目的の明記など、さまざまな対策が必要ですが、前述のようにSSL化しているかどうかは誰の目から見ても一目瞭然なので、せめてそのくらいしとかなきゃ的なレベルの対策になっているということなんです。

泥棒が入ってくる心配がなくても、ドアに鍵くらい閉めますよね。それと同じくらい、個人情報をそもそも取得してないけど、暗号化はしときますよ、という態度が大事になっているということなんですね。

面倒?いやいや、さほどのことはありません。dino上で作られたオウンドメディア でも、すぐに常時SSL化は可能ですので、いつでもお問い合わせくださいませ。

This article is a sponsored article by
''.