acidendさん、こんばんは。 ＞＞送信フォームからウェブ注文頂き、その送信先が同じドメインのメールアドレスになっていて、受信をメールソフトで受信し、… ↓ メールサーバーは同じレンタル・サーバー会社内のもの（ノード）なのでしょうか？ そうだとすれば、そこからacidendさんの会社のローカル・マシンのメーラー（正確にはアナログ化される場所）までの経路は暗号化など、セキュリティー対策がされているでしょうか？（対策済みであれば、以下しばらくは読み飛ばしてください。） ご存知かと思いますが、現状のメール送/受信プロトコル（SMTP・POP3）は基本的に平文（正確にはASCIIコード）でデータ-をやりとりする”仕様”（*）ですから、公衆回線など不特定多数が接続できる通信路では、盗聴・改ざんといった危険に対し、まったくセキュリティーは確保されません。 （*）レンタル・サーバー利用環境でのメール利用のセキュリティーについては、参考URLにて解説されています。 何れにしても、完全に排他的ではない通信経路で秘匿データをメールで扱う場合、「PGP」、「SSL+Webメール」などを利用しメールのデータを暗号化するか、「VPN」や「SSH・トンネリング」などで、通信経路そのものを排他的に（トンネル化）する対策が必須でしょう。 もちろんメール受信用のメーラーが利用する技術に対応している必要もあります。 また、排他的な（トンネリングされた）経路ではあるが、通信内容そのものは秘匿されない「IP-VPN」環境や、ローカル（社内）でのデータ移動の際、無線LANを暗号化（WEP）しない状態で安易に利用してしまうと、盗聴の危険が非常に高まってしまいます。 要は、メールのデータが安全にアナログ化されるまで（アナログ化後もですが）保護されれば良いわけで、利用されているレンタル・サーバー会社に相談してみて、ご自分の環境に最適な手段を選べばよいと思います。 ＞＞送信フォームで必要になるCGIも、SSLかどうかは関係しないので普通につくっておけば良いでしょうし。 ↓ CGIプログラムには、SSLの有無に関係なく、「クロスサイト・スクリプティング」という脆弱性を生んでしまう可能性があります。 くわしいことは、http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html　など、Web上に多くの情報があるので参考にしていただきたいのですが、要するに「フォームの入力フィールドに特殊な文字列を入力されると、顧客が悪意あるサイトに誘導されてしまったり、個人情報を盗まれたりといった被害を受けてしまう。」というものです。 これについては、プログラムそのもので対策（サニタイジング）するか、安全と確認できたものを利用しない限り、抜本的な対処法がありません。 運用する側から見れば、診断ツールを利用するか、セキュリティー・ベンダーなどによる「診断サービス」を利用し、安全性を確認する位しか手が無いでしょう。 これらの条件が整えば、「個人情報の保護」という意味でのセキュリティー・レベルはかなり向上すると思います。 ここからは余談ですが、acidendさんがシステム管理者のお立場にない場合は、なるべく足を突っ込まなくてすむ方向で調整されることをおすすめします。 セキュリティー対策（システム管理）には終わりがないので、下手に頼られると深みにはまっていくのではないかと、心配です。 自己防衛としてのセキュリティー知識は役に立つと思いますが、自分なら普段は”死んだフリ”したいところです。 予算がおりる限り、レンタル・サーバー会社のサービスを最大限に利用したいところですね。 場当たり的に構築した特殊なシステムにしてしまうと、人事異動などで混乱が起きがちです。（人の苦労も知らず、上司からも社員からも非難の嵐とい悲しい結末が待っていそうな気がします。） また、”セキュリティーにうるさい顧客”としてレンタル・サーバー会社にプレッシャーをかけ続ければ、セキュリティー対策の優先順位を上げてもらえるかもしれませんし…。（すいません、何の根拠もありません。） 余計なお世話な上、大変な長文になりました、すみません。 それでは。