ウェブで個人情報を入力させたり、修正・閲覧をする場合、 伝送経路であるインターネット上を個人情報が流れるため、 暗号化しない場合には、情報主体との同意が必要であると思われます。 情報主体と事前同意があれば、 暗号化しなくてもいいということになりますが、 一般消費者の中には、

個人情報保護 ＝ SSL

　企業だとファイアウォールなどでパケットモニタリングしたりすることもあるようで、 実際どれくらいの割合(確率)で HTTP 通信が盗聴されるのかはわかりませんが、 SSL には「暗号通信」だけではなく、「サーバ認証」の意味もあるので、 SSL を使用するのが望ましいでしょう。 ベンダーにもよりますが、SSL 証明書取得にかかる費用は、 年間数万円から十数万円程度であり、 申請から証明書取得まで、24 時間から２週間程度かかるようです。

　JIS Q 15001 に照らし合わせて考えてみれば、 SSL を使わなくても事前同意があればいいということになりますが、 電話・郵送やFAXなどの“代替措置”がない場合には、 SSL は必須となるかと思われます。 また、ユーザ登録などで、登録は代替措置が用意されていても、 修正・削除はウェブだけしか用意されていない場合は、 代替措置がないので SSL は必須となるでしょう。

　というわけで、ウェブ上で個人情報をやりとりする場合には、 SSL に関することを、Cookie 同様、個人情報保護方針の安全管理に関する項目、 またはウェブサーバの プライバシーポリシー に記載すべき事項であると思われます。 当然のことながら、 サーバから自社のサイトまでのデータ転送をインターネット経由である場合、 例えば平文のままでメールで送ったりすれば意味がないので、 バックエンドでの措置 もきちんとケアしなければならないでしょう。