先日,割と大手のオンラインショップで買い物をしました。
購入する際に会員登録手続きが必要だったので登録して,購入画面に進みました。手数料が安いクレジットカードを選択し,番号を入力し,確認画面をクリックした時に気付きました。
アドレスが,http://から始まっていたのです。
web業界の方ならこれが何を意味するか解るでしょう。通常,個人情報やクレジットカード情報は,通信を暗号化してSSLで送受信します。SSL通信を行っている場合,アドレスはhttps://から始まるのです。
これはまずいと思い,お問い合わせフォームから,こういう手順でこういう操作すると,こんな風にSSLがかかっていない状態でデータが処理されていますよ。と送りました。
翌日,私が記述した操作で,SSL通信無しに作動するという動作が確認されたというメールが来て,数日後にはそれらに対する調査結果のメールと,利用者向けのお知らせ&お詫びページが公開されました。お礼及びお礼としてポイントの付加までされていました。
その対応を見て,企業体質が解るな,と思いました。
他に利用している会員登録制のサイトでも,バグを見つけて同業の老婆心(?)で2度バグ報告をしたことがあるのですが,何の報告も連絡もありませんでした。
前述ののショッピングサイトでは,このようなセキュリティの甘い状態になってしまった期間,その後の対応がきちんとお知らせ頂き,さらにそれらの情報を私だけに知らせるのではなく,公開する,ということをされていました。その結果,私は少なくとも「またこのサイトで買い物をしよう」という気になれたのです。
何かミスをしてしまうことは,もちろん避けなければなりませんが,チェックをすり抜けて発生してしまうことはあるでしょう。大手企業が製造している自動車や家電でさえリコールは起こっています。きちんとしたものを作成していても,ブラウザやプラグインプレイヤーのバグで何かおかしな事態が起こってしまうこともあります。
何かミスや事故があった後,その後どうするか,どんな対応をするか,どんな対応をできるような体制になっているかが,web制作企業に問われることだと思います。
特にセキュリティ関係はお客様に損害を与えかねません。日々勉強だけでなく,社内の連絡体制,制作体制もきちんとしておかなければならないのです。
