ベンチャー企業法務 IT企業法務
まだHTTP使っているの?HTTPS化してないサイトは「安全ではない」と表示される時代に
杉浦健二Google Chromeでは、今年7月リリース予定の「Chrome 68」からHTTPを使っている全てのWebサイトについてアドレスバーに「安全でない」(not secure)と表示されるようになるとのことです。
HTTPを使うWebサイトはすべて「安全ではない」――Google Chromeで明示へ
2018年7月にリリース予定の「Chrome 68」からは、HTTPを使っている全てのWebサイトについて、アドレスバーに「非安全」(not secure)の文字を表示する。
Googleは、通信の内容が暗号化されるHTTPS接続を推進する立場から、検索順位の決定にも影響を与えるなどの措置を通じ、HTTPからHTTPSへの切り替えを強く促してきた。
HTTPを使うWebサイトはすべて「安全ではない」――Google Chromeで明示へ/ITmediaエンタープライズ
HTTPのままだと、どのような不都合があるのでしょうか。HTTPとHTTPSの違いを知っておきましょう。
■HTTPとHTTPSの違いはセキュリティにある
ウェブサイトのアドレスを見ると、HTTPで始まるものとHTTPSで始まるものがあります。
HTTP(Hyper Text Transfer Protocol)とHTTPS(Hypertext Transfer Protocol Secure)の違いはそのセキュリティ。
Google ChromeでHTTPから始まるサイトを閲覧すると、「保護されていません」と表示されます。
これに対してHTTPSから始まるサイトを閲覧すると、「保護された通信」と鍵マークが表示されます(いずれも2018年2月13日現在)。
HTTP通信では、通信内容が暗号化されません(暗号化されていない文字列は平文と呼ばれます)。
そのためカフェや空港にある公衆無線LANでHTTPから始まるサイトを閲覧する場合、専用のソフトを使われれば通信内容が盗み見られる危険性があります(このようなソフトは簡単に手に入ります)。
無料の公衆無線LANでHTTPサイトにIDやパスワードを入力する行為は極めて危険。ID・パスワードが盗まれれば、同じパスワードを使いまわしていた他のサイトでも根こそぎ串刺しで不正アクセスされかねず、被害は甚大となります。
これに対してHTTPS通信の場合、通信内容は暗号化されるので、通信内容が閲覧されても内容の解読は困難となります。単にサイトを閲覧して情報を得るのみだったらHTTPサイトでも問題は生じづらいですが、お問い合わせフォーム等からこちらの個人情報を入力する場合、通信内容が暗号化されないHTTPサイトでは盗み見られるリスクが生じることになります。
ウェブサイト全体をHTTPS化することは、常時SSL化(Secure Socket Layer)/常時TLS化(Transport Layer Security)とも呼ばれます。
■個人情報保護法ガイドラインでも通信の暗号化は求められている
個人情報保護法第20条は、個人情報取扱事業者に対して、個人データの安全管理のために必要かつ適切な措置を講じることを求めています。
個人情報保護法第20条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
「個人データの安全管理のために必要かつ適切な措置」の内容については、個人情報保護法ガイドライン(通則法)「8(別添)講ずべき安全管理措置の内容」8-6 技術的安全管理措置(ガイドラインP96以下)において、個人データの漏えい等を防止するための措置の手法例として「個人データを含む通信の経路又は内容を暗号化する」ことが明示されています。
8-6 技術的安全管理措置
個人情報取扱事業者は、情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)、技術的安全管理措置として、次に掲げる措置を講じなければならない。
(略)
(4)情報システムの使用に伴う漏えい等の防止
情報システムの使用に伴う個人データの漏えい等を防止するための措置を講じ、適切に運用しなければならない。
手法の例示
・個人データを含む通信の経路又は内容を暗号化する。
サイト利用者から個人情報を取得するウェブサイトのHTTPS化(常時SSL/TLS化)は、上記の「個人データを含む通信の経路又は内容を暗号化する手法」にあたります。(「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A・P46Q7-20参照)。
HTTPS化を行わなければただちに安全管理措置を講じる義務に違反するわけではありませんが、個人情報を入力させるウェブページでHTTPS化を行っていなければ、実際に個人情報漏えいが発生し、損害賠償請求等を受ける場面で不利に働くことは間違いありません。
■ウェブビジネスではHTTPS化していることが必須の時代に
冒頭で触れた通り、Google Chromeでは、今後HTTPサイトについて現在の「保護されていません」との表示を更に進めて「安全でない」(not secure)と表示するようになります。
お客様の大切な個人情報を預かる企業であれば、HTTP化(常時SSL/TLS化)していることは社会的に求められることはもちろん、技術的安全管理措置(個人情報保護法第20条・個人情報保護法ガイドライン)の一環として法的にも求められる時代が訪れつつあります。
STORIA法律事務所のウェブサイトでもお問い合わせフォームから個人情報を入力いただく以上、法律事務所のウェブサイトではまだ少ないであろうHTTP化(常時SSL/TLS化)を導入済です。今後も安心してお問い合わせ下さい。(弁護士杉浦健二)
・ブログ更新その他の最新情報はツイッターで流しております⇒@kenjisugiura01
