こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

SSLにて個人情報を守る基準は?

現在、ホームページを作成中です。
会員を募るサイトのため、下記の情報がPHPフォームにて送られてきます。
・氏名
・住所
・電話
・メールアドレス

「個人情報保護法」に対し、どの程度対処したらよいのかを悩んでいます。
クレジットカードなどの情報はありませんが、やはり、
会員からネットを経由して個人情報が流れてくる以上、
それを守る義務が生じると思います。

プライバシーポリシーは明記してあり、読み取られる可能性もゼロではないことは示唆してあります。
しかし、SSL非対応の格安レンタルサーバーを利用中のため、
サーバーを替え、SSL導入となると費用がかかります。
とはいえ、個人情報を守ることは義務だと思いますので、
その方向でも検討しています。

そこで、質問です。
SSL導入には、どのくらいの費用がかかるのでしょうか?
ご自分がサイトを介して会員になる場合(もちろん、内容にもよるでしょうけれど)、
最初に記載した氏名や住所などの情報をフォームを介して送る際、
SSLにて保護されているかどうかをどの程度確認しますか?

基準を探している最中です。
みなさんのご意見をお聞かせいただけますか?

投稿日時 - 2005-02-21 23:05:22

QNo.1230867

困ってます

質問者が選んだベストアンサー

> SSL導入には、どのくらいの費用がかかるのでしょうか?
一番安いのだと年間2000円くらいであるんじゃないかな。今日本ベリサインを見てきたら年間8万5千円て書いてたけど。まぁ価格はピンきりですな。

 現行のレンタルサーバーをそのまま使いたいなら(SSL対応のプランがあるかどうかなどを)業者に相談してみるのが一番手っ取りばやいだろう。そこで高いと思ったら初めてホスティング先の変更を考えれば良いと思う。

> SSLにて保護されているかどうかをどの程度確認しますか?
SSLの暗号化強度くらいかなぁ・・・・指針になるのは。1024bit以上で作っていれば問題はないと思うけどな。現時点では。ちなみに、例えば自宅サーバなどに変更したとして、SSL通信をする際に必ず証明サービスが必要な訳ではない。つまり、自宅サーバまたは証明書の発行は自由に行えるホスティングにした場合、SSL通信の際にブラウザ上で警告が出るだけで、VeriSignなどの第三者機関に証明してもらおうがもらわまいがSSLの安全性自体には変わりない(信用性は変わるが)。

ところで、個人情報保護法では、「何の目的で」個人情報を入力させるのか、収集するのかを明記しなくてはならない。「会員として登録するため」などの抽象的な内容ではダメで、「緊急時にメールをお送りするためで、それ以外の用途には使用しない」などの具体的な用途と、具体的な「使用しない範囲」を表示しなければならない。その辺は入力画面にちょっちょっと書いておけば良いと思うので、参考にしていただければ。

投稿日時 - 2005-02-22 00:00:47

お礼

さっそくのご回答、どうもありがとうございます!

>一番安いのだと年間2000円くらいであるんじゃないかな。
本当にピンキリなんですね。びっくりしました…
私は全く詳しくないので「半額激安!」として見つけたこれが、最低ラインかなぁと考えていました…
http://www.securestage.com/jp/index.php

現在のレンタルサーバーはSSL対応ではないので、替える必要があります。

>SSLの暗号化強度くらいかなぁ・・・
ああ、「強度」なるものが存在するのですね。
そんなことも知らなかった…
「SSL」と示されれば保護されている、という認識は甘いのですねぇ。
ごめんなさい。お話が専門的過ぎて、私の知識がなくあまり理解できなかったのですが、
ホームページで調べていても、SSLには「証明書」という言葉がよくでてきました。
要するに、その証明書を得るために費用が必要で、
その証明書の認証を受けて、暗号がどこかで解読(元に戻される)ということですか?
「どこか」ってどこでしょう・・・
よけい分からなくなってきました・・・(泣)

>具体的な用途と、具体的な「使用しない範囲」を表示しなければならない。
よく、最初のページにのっているプライバシーポリシーってやつですよね?
わかりました。具体的に書くように心がけます。

とても参考になりました。
ご回答、どうもありがとうございました!

投稿日時 - 2005-02-22 01:05:50

ANo.1

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(2)

ANo.2

> その証明書を得るために費用が必要で、
半分正解だ。ちょっとその前にhttpsの簡単な動作原理を説明しておこう。

1.Webサーバがサーバ証明書(a)と公開鍵(b)をブラウザに渡す。(クリアテキスト:渡す証明書自体は別の方法で暗号化されている)
2.ブラウザは公開鍵(b)でリクエストを暗号化してWebサーバに送る。(暗号化データ)
3.Webサーバは秘密鍵(c)で復号化して読めればOK。

 (a)も(b)も(c)も君自身が作成するものだ。無料だ。「じゃあどこにお金がかかるんだよ!」と思うだろう。(a)はWebサーバが自分自身が正しいものであると主張するための文書だが、ブラウザは基本的にこれを信用しない。
 ここでVeriSignの登場となる。ブラウザはVeriSignを信用している。これをルート証明書という。WindowsUpdateでもたまに出てくるので知っているかもしれないな。つまり、

ブラウザはVeriSignを信用する→VeriSignは(a)が正しいものだと証明する(※)→ブラウザは(a)を信用する

という三段論法でWebサーバはブラウザに信用されるというわけだ。この、※に対してお金がかかるわけだな。

 最後に悪いお知らせがあります。年間2000円ちょっとの証明書を紹介してしまったが、さっき探したらもう無くなってた。あはははは。アメリカかどこか(要は外国)のものだったんだけど、20US$~30US$くらいやったんよね~。残念。日本(の証明機関)って高いんよね・・・・。君もよくこんなの(securestage)見つけてきたね。かなり安いと思うよ、これ。

投稿日時 - 2005-03-01 22:10:34

お礼

せっかくご回答下さっていたのに、ご連絡が遅くなってしまい、申し訳ございませんでした。
そして、お詳しい説明、どうもありがとうございました。

自分が普段何気なく使っているhttpsは、そのような原理になっていたのですね・・・

やはり、サーバーもそうですが、アメリカなど海外のものの方が格安ですよね。なぜ日本はこんなに高いのだろう?と思ってしまうくらい・・・

securestageも、日本では安いほうなのですね?よく知っている方にそういって頂けると安心できます。

まずはプライバシーポリシーをもう少し具体的に仕上げ、それからSSL導入を検討したいと思います。

どうもありがとうございました。

投稿日時 - 2005-03-29 16:02:22

あなたにオススメの質問