三重県には「薬事工業情報提供システム(PIIS)」という情報公開の仕組みがある。厚生労働省が2001年以降に各都道府県に発出した通知などをウェブ上で閲覧することができるという全国でも珍しい取り組みで、日本薬事法務学会はサイトポリシーの中で厚生労働省や官報に並ぶ情報ソースと位置付けている。

証明書エラー

ある日検索エンジンで調べものをしていると、このPIISに掲載された資料にアクセスした際に証明書エラーが表示されることに気付いた。

サーバ証明書の有効期限が2021年12月20日で切れているようだ。証明書の期限切れトラブル自体はまれによくあることで、担当者が証明書を更新すればほどなく問題は解消されるはずだ。しかし、いくら年末年始を挟んだといっても、2週間以上も放置されているのは何かおかしい。

アドレス変更

さらに調べたところ、PIISは2019年にアドレス(URL)の変更を行っていたことがわかった。期限切れとなっていたのは変更前の旧アドレスに対する証明書だった。

トップページが三重県ホームページのドメイン下に統合されているが、システムの実体は別のドメイン(www.db.pref.mie.lg.jp)下にあり、外観も変わっていた。過去の通知については一部見当たらないものもあるが、多くは移行され、引き続き閲覧できるようだ。

なお、上記のホームページアドレス（URL）変更のお知らせでは平文HTTPのアドレスが記載されているが、三重県公式ホームページでは2020年に常時SSL/TLS暗号化を実施したと発表されているため、その際にPIISもHTTPS対応したと考えられる。

301リダイレクト

それでは、なぜ検索エンジンの検索結果から旧システムのアドレスに飛んでしまったのだろうか？ 答えは簡単で、県が301リダイレクト(301 Moved Permanently)による検索エンジン最適化(SEO)を怠ったからだ。

総務省が定めた「地方公共団体における情報セキュリティポリシーに関するガイドライン（令和 2 年 12 月版）」ii－99には次のように記載されている。

PIISの場合、トップページにだけ301リダイレクトが設定されており、普段トップページを訪れる人間にだけアドレス変更が分かるようになっていた。これではトップページを迂回する人間や、クロールボットには変更が伝わらない。そのため、旧ドメインが検索サイトの上位に表示される状態となっていた。

こういうシステムはSIerに任せているだろうから、その気になれば細やかに301リダイレクトをすることも出来たはずだし、そこまで手間を掛けたくないなら旧ドメイン下を丸ごと301リダイレクトすれば良かったはずだ。

なぜそれをしなかったのかは分からないが、現状PIISはアドレス変更から2年経った今でも新旧両方のシステムを並行して運用するという歪な状態が続いている。

県が取るべき対応

証明書の更新をうっかり忘れたのか、意図的に更新しなかったのかは不明だが、そもそも301リダイレクトを活用した移行が行われていないことに根本的な問題がある。

今更301リダイレクトを設定しても証明書エラーの方が先に表示されてしまい、リダイレクトが有効とならないため、とにかく証明書を更新する必要がある。三重県が利用しているセコムパスポートfor Web SR3.0の通常価格は6万円/年だそうだ。

地方自治体しか利用できないはずの lg.jp ドメインで実在認証型(OV)証明書を利用する意味はよく分からないが、県の予算規模からすれば微々たる無駄遣いだろう。

本件に関して1月8日に三重県へ質問メールを送ったが、それから1週間以上経った1月17日現在も受信確認すら返ってこない。リマインドメールを送信したところで記事を公開し、進展があれば追記する。

1月18日追記

県に電話で確認を取ったところ、こちらのメールは届いているといい、今回の事態についても大筋で認めた。なお、Google検索においてはすでに旧アドレスのページは表示されなくなっているといい、それについてはこちらでも確認できた。正式な回答は追ってメールで寄越すとのことであった。