連合会への提言

都道府県会ウェブサイトのSSL化対応

確認したかった理由

単純です。
今どきのウェブサイト(ホームページ)は、常時SSL化が時代の流れ、そして個人情報を扱う事業者の団体である都道府県社会保険労務士会の対応を調べたかったので。

SSL/TLSされていると、グーグル・クローム(ブラウザのアプリ)では、URLの前のところに緑色の鍵マーク が出ます。URL自体も、http ではなく、https とが付きます。

来月10月の下旬には、グーグル・クロームでは検索ボックス、フォームがある場合、入力しようとしたら「保護されていない」旨の表示がされますし。いわゆる個人情報を盗み見される可能性があると言うことを指摘してくれているのですが。

リンクは、連合会のページから飛びました。
(これが、また…)
https://www.shakaihokenroumushi.jp/organization/tabid/238/Default.aspx

現状

確認したのは、平成29年9月16日(土)です。
その後に、常時SSL化の対応を済ませたところまではチェックしていません。

  • 対応済みの会
    • 兵庫県社会保険労務士会
      惜しい、実は連合会からのリンクでは、セキュア接続ではない方のhttpが表示される。たまたま知っていたのですが、なぜ301リダイレクトを掛けないのでしょうか。もったいないです。まあ、SEOは関係ないなら、転送も必要なしとか、って閲覧者の安全&親切のためです。グーグルの検索結果は、httpsで出てきます。
    • 山口県社会保険労務士会
      転送されていました。少し前に調べた時は、まだhttpだったような…。
    • 福岡県社会保険労務士会
      技術担当者=ウエブサイト制作会社は、西日本新聞メディアラボさん。今も同じでしょうか。スマホ対応も済んでいる数少ない都道府県会です。
    • 東京都社会保険労務士会
      「もしや」と思いチェックしてみたら、httpsもありました。やはり、転送掛けていません。(平成29年9月17日午前10時調べ)
    • 岩手県・長野県・奈良県
      追加で調べました。転送掛かっていませんが、常時SSL化されていました。長野県会だけグーグルでもhttpsの方でリストされていました。(平成29年9月17日午前10時調べ)
    • 実は対応してる都道府県会
      メールフォームまでは、個別にチェックしていませんので、そこだけSSL化している会があるかも。
  • 未対応の会
    • 次の道府県会
      北海道・青森県・宮城県・秋田県・山形県・福島県・茨城県・栃木県・群馬県・埼玉県・千葉県・神奈川県・新潟県・山梨県・富山県・石川県・福井県・岐阜県・静岡県・愛知県・三重県・滋賀県・京都府・大阪府・和歌山県・鳥取県・島根県・岡山県・広島県・山口県・徳島県・香川県・愛媛県・高知県・佐賀県・長崎県・熊本県・大分県・宮崎県・鹿児島県・沖縄県
    • 栃木県社会保険労務士会
      404エラーが出ました。index.htmlではなく、現在はたぶんindex.phpです。連合会に連絡した方が良いと思います。

ちなみに、対応済みの会でも、一度こちらを使ってSSLチェックをした方が良いと思います。
https://globalsign.ssllabs.com/
URLを入力するだけで、チェックしてもらえます。
「A」が出て、当たり前。それ以外なら、設定ミスか何かです。ホームページ制作会社うんぬんとは言いたくないです。
(東京:B、京都:評価不可(理由不明)、大阪:T(証明書が通らない)、兵庫:F(致命的に設定がまずい)、奈良:A、山口:A。平成30年の年末までの調べ)

個人情報保護方針(プライバシーポリシー)を掲げていて、SSL対応していないのは、ポリシー違反かも知れませんが、何か?? 

未対応の都道府県会が多い理由を推測

  1. シンプルに「意識が無い」
    おそらくセキュアな接続でないことで、フォームに入力した情報が盗み見される可能性があると言うことを知らないからです。ウエブサイト(ホームページ)があれば十分という認識なのでしょう。
     
  2. ウェブサイト制作会社の不十分なアドバイス
    多くの都道府県会が、ウエブサイト制作会社を利用されていることでしょう。whois情報で、技術連絡担当者を調べたのは、福岡県会だけですが。今年平成29年になった時点で、グーグルの対応は分かっていた訳ですから。
     
    ウエブサイト制作会社にとっては、営業・売上げ拡大とともに、常時SSL化はアドバイスすべき点だろうと思います。この辺りは、会の担当委員会・担当者でないと分からないですね。
     
  3. 適材適所を行っていない結果
    書くと批判されそうですが、そういうことです。神奈川県・愛知県・大阪府なら、それなりに会員数があるので、それなりの人材もいるでしょうに。ウエブサイトに少しでも興味があり、自分で作成しているのなら、セキュア接続=httpsに移行するのは当然と思っています。

大阪会の各支部の対応状況

令和3年10月4日16:00確認。
大阪会のホームページで、研修を確認しようとして、ついでにチェック。

約半数が対応していました。(未対応:大阪東、大阪中央、大阪西。大阪いずみは評価できません。301リダイレクト使っているかどうかまでは、チェックしていません。)
他の支部へのリンクは、httpsに変更されていないのですが、301リダイレクトで処理されているようでした。

大阪会のドメイン(URL)変更

この項、令和4年8月4日追記。
まあ、笑うしかありませんが、ドメインをうちの社会保険労務士事務所のハイフン(-)を抜いた形に変更。ドメインはある程度自由に取得できるとは言え、倫理観に欠けるんじゃないの?? 7月25日から変更運用しているらしい。

トップページ以外は、301リダイレクトを掛けないのは、何ででしょ。非セキュアのトップページも出てくるし、ホームページ屋の選定自体間違ってない??

すべきことは?

  • フォーム、検索ボックスを無くす
  • グーグル・クローム、モジラ・ファイアフォックスの警告なんて、無視する
  • フォームだけSSL化する
  • 素直に常時SSL化する

これら以外にも選択肢はありますが、リストに挙げたように、何もしない=無視するのもアリです。ブラウザの日本でのシェアを考えれば、クローム+ファイアフォックスで5割くらいですから。

都道府県会のことを調べましたが、個人の事務所であれば、死活問題にもなり得ます。対個人との商売が多い社会保険労務士=障害年金代行や労働者からの労務相談を受け付けている社会保険労務士事務所であれば、常時SSL化が当たり前でしょう。個人情報を盗み見される「可能性」、ブラウザの警告を考えれば、何をすべきかは自明です。対法人でも「個人情報の盗み見を気にしない」と思われれば…。

常時SSL化、費用が掛かります。
無料のサーバ証明書以外は、費用が年に数千円から数万円。プラス、SSL化の手数料も必要でしょう。制作会社にお願いしているなら、当然でしょうね。リダイレクトの設定も忘れずに、お願いします。

この手の情報は、連合会で共有または連合会経由で通達しないんでしょうか。

「○○会では、予算の都合で、平成30年度から対応します。」
まあ、別に知らんけど。




2017年9月17日の提案(提案になっていないけど)
a:804 t:2 y:0