「GET を使用するフォームで PII を収集するページ」レポート

このレポートは、フォームを使用して訪問者の情報を収集し、GET メソッドを使用してその情報を送信する、Web サイト上のページに関する情報を提供します。保護しなければならない情報が入力されるページについては、GET メソッドではなく POST メソッドを使用して情報を送信するように変更してください。

問題点

GET メソッドを使用してフォームが送信されると、データがサード・パーティーの Web サイトに誤って送信され、Web サイトのプライバシー・ポリシーに違反する可能性があります。基本的に、データは Web サイトの訪問者のコンピューターからサーバーに URL を使用して受け渡されます。フォームに入力された項目は、この URL にプレーン・テキストで含まれており、その URL にアクセスするすべてのユーザーに情報が公開されます。GET メソッドを使用すると、これらの URL (およびそこに含まれる個人情報) が、ブラウザー履歴およびサーバー・ログに残ります。多くの場合、この情報を共有することは意図的なものではありません。ただし、これが深刻なプライバシーの侵害やそれに関連するブランド侵害および費用のかかる訴訟につながる可能性があります。フォームが配置されている Web サイトの領域にサード・パーティーの要素 (例えば、広告バナーや Web ビーコン) が含まれていると、そのリスクは特に高くなります。

Web ページが POST メソッドを使用してプログラムされていると、送信された情報のみが ページ内容を送信するサーバーに送られます。データの送信に GET メソッドを使用するフォームは、セキュアな方式でデータを送信しません。GET メソッドを使用しなければならない場合は、フォームを送信するすべての Web ページを慎重に調べ、そのページ上の画像やリンクを参照する URL が、意図せず個人情報を送信することがないよう確認してください。

GET メソッドのトリガー要因

HTML ソース・コードをスキャンして、method="get" という構文を持つフォームを調べます。フォームでメソッドが使用されていない場合、スキャンでは、フォームの送信に GET メソッドが使用されると想定します。メソッド属性にはGET か POST のいずれか 1 つの値しか格納できないためです。GET がデフォルトであるため、文書の作成者が form タグにメソッド属性を組み込んでいない場合は、"method=get" が想定されます。

POST/GET メソッドの使用における修復とベスト・プラクティス

  • 可能なかぎりすべての場所で、フォーム送信の POST メソッドを使用します。
  • GET メソッドを使用する必要がある場合は、データ入力フォームのページを含む Web ページの URL が、ユーザーが送信する個人情報を取り込まないよう確認してください。
  • 各フォームにわかりやすい名前を使用します。
  • フォームを含むページで HTTPS プロトコルを使用します。