数年前に、LCCのエアアジアで個人情報の流出がありましたが、先日中国東方航空(チャイナイースタン)のウェブサイトを見ていてえらいことに気づきました。予約を進めていくと、個人情報の入力からクレジットカード情報の入力まで、いっさい暗号化がされておらず、個人情報の安全性に疑問があります。

クレジットカード情報の入力画面に「保護されていない通信」と表示され…

ceair.comは中国東方航空(ChinaEasternAIRline)のこと。アドレスバーに「保護されていない通信」と表示されている。

アドレスバーに「保護されていない通信」と表示されている。2018年6月13日現在。

上記がその画面である。ご覧いただくとわかるとおり、アドレスバーに「保護されていない通信」と表示されている。また、Google Chromeではいちど記憶されたクレジットカード情報は自動入力されるようになっているが、サイトが安全ではないため「このフォームは安全な接続を使用していないため、クレジットカードの自動入力が無効になっています」とも表示されている。

他の一般的な航空会社では、「保護された通信」と表示される

他の一般的な航空会社では、アドレスバーに鍵マークとともに「保護された通信」と表示される(画面はキャセイパシフィック航空)

他の一般的な航空会社では、アドレスバーに鍵マークとともに「保護された通信」と表示される(画面はキャセイパシフィック航空)

他の一般的な航空会社では、もちろん個人情報の入力画面のみではなく、サイトそのものがSSL/TLSという暗号化技術で暗号化され、第三者には内容が見られないようになっている。

サイトを訪問すると、ブラウザのアドレスバーには鍵マークとともに「保護された通信」と表示され、パスワードやクレジットカード番号などの個人番号等を入力しても問題ないことが表示される(画面はキャセイパシフィック航空)。

なお、JALやANAでももちろん同様だ。

HPのプライバシーポリシーには「SSLによる暗号化を使用」と書かれている

中国東方航空HPのプライバシーポリシー

中国東方航空HPのプライバシーポリシー

ところが、中国東方航空のプライバシーポリシーのページを見ると、個人情報やクレジットカードなどの個人情報を入力した場合はSSLによって暗号化してから送信されると書いてある。

たとえば、当社では、当社がオンラインで収集する個人情報をその送信時に保護するために、インターネット上の暗号化に関する業界標準であるSecure Socket Layer(SSL)プロトコルを使用しています。お客様がクレジットカードの詳細など機密性のある情報を入力する際、その情報は、自動的にコード変換されてからインターネット上で安全な形で送信されます。当社が保持しているすべての電子的形式の個人情報は、安全な形で保存されており、さらに、当社での適切なアクセス制御の使用を通じて保護されています。個人情報を処分する際には、個人情報を含んだ紙媒体の書類は、安全な形で破棄され、個人情報を保存した電子ファイルは、永久的に削除されます。
プライバシーポリシー | China Eastern Airlines

SSLを使用してないだけならまだしも、嘘はなおさら良くない。

中国東方航空東京支店の反応は…?

この件について中国東方航空の東京支店に電話で問い合わせてみたところ、日本人とおぼしき女性の方が応答し、

ウェブサイトに関しては中国本国が仕様を決定しているので(それ以上お答えすることはできません)

とのことでした。

さらに日本語サイトそのものが表示されなくなった

この記事を書いているのが7月7日ですが、中国東方航空の日本ウェブサイト(http://jp.ceair.com/ja/)にアクセスしてみたところ、下記のように「エラーが発生しました」とメッセージがあり、サイト自体が表示されませんでした。

中国東方航空の日本語サイト自体が表示されなかった。(2018年7月7日)

中国東方航空の日本語サイト自体が表示されなかった。(2018年7月7日)

搭乗が迫っていて、予約番号や搭乗ゲートなどを確認したい方の場合、困ってしまいますね。

これがホームページの暗号化工事中であることを祈るばかりです。それでも通常はお詫びや案内があるはずなのですが…。

中国東方航空はLCC並の価格でレガシーキャリア(並み)のサービスが受けられる、知る人ぞ知るエアラインですが、利用するかどうかには個人の自己責任による判断が求められそうです。

もし何らかの、やむにやまれぬ事情で利用する場合も、直接航空会社のホームページから予約するのではなく、航空券予約サイトからの予約するほうが良いかもしれません。