オンラインショップなどで、SSLを使ったフォームに入力した住所や名前などが、暗号化されていないメールに書かれて送られてくることがある。そのフォームがSSLであった理由はクレジットカードの番号を収集するためであり、送信先サーバの実在を証明するためであったということで、住所や名前はそもそも郵便物の誰でも見られる場所などに書かれる、それほどセンシティブな情報ではないのだから、暗号化されていないメールに書いたっていいじゃない、ということなんだろう。

だったら、クレジットカード番号を取得するページだけをSSLにして、住所や名前は(クレジットカード番号に比べれば)センシティブな情報としては扱わないことを明示して欲しい気もするんだが、そうなると住所や名前などを入力するページから、クレジットカード番号を入力するページに遷移するときにサーバが変わってしまうから、これはこれでなんか気味悪いだろうと。

住所や名前もクレジットカード番号と同じように(暗号化されていないメールに不必要に書かない、など)取り扱ってもらえると考えていた僕が認識違いをしていた、ということになるのかな。

とはいえ、アマゾンのように商品を届けるにあたって住所や名前、連絡先を確認することが合理的であるサービスであるならともかく、iTunes Music Storeで1曲買っただけなのに、わざわざ住所と名前を書いた暗号化されていないメールを送る合理性ってあるのかなぁ。