社内システムがHTTPで運営されている企業へのHTTPS化の指摘・要望はどのようにするべきでしょうか？

１．そもそもインターネットを使う社内システムはSSL対応しなくても問題ないのでしょうか？ 

この問いにストレートに答えようとすれば問題がないとは言えませんね。ですが何もしていないとは思いません。
HTTP通信のSSL対応しなくても良い方法を使っていると思います。
名前を出せば多くの人が知っている保険会社であれば、閉塞網（セキュアモバイル網）程度は使っているでしょう。
端末紛失の恐れもあるでしょうから、BitLocker等でのストレージ暗号化もかけていると思います。
セキュアBizクライアント等も導入して使用後の端末内データ削除もしているのではないでしょうか。

個人情報をSSL対応しなくても良いといのではという発想は、もう少し考えを巡らせると気づきがあると思います。
SSL通信を行うことで何が行われ、誰が何を守っているのか。SSLによってそれが守れるものか辺り。
発想されたことはとても大事な気づきです。私もそう思った時期がありました。
個人情報を扱う者やエンジニアとしてはさらに踏み込んで問題の本質に迫る必要があると思います。

２．１の答えが「No」であればこういった企業のSSL対応への指摘・要望はどのように進めるべきでしょうか？

一般的には、問い合わせ窓口に指摘・要望をするのが良いと思いますが、効果はないでしょう。
これには先の問題の本質も関わってきます。
その企業が信用ならないのであれば、使わない（=契約しない）ことですね。
「それはできない」という事情がおありのようですが、こんな厳しい見方もできます。
「リスクを知りながらも回避することを避け、リスクの担保は企業や社会的制度がすべきと考えている。」
自発的にリスクを避けることが肝要です。

指摘・要望を伝え企業に対応を促す現実的な方法は「解決方法をソリューションにして売り込む」ことです。
その企業がSSL対応をしていないのは、「必要ない」か「事情があってできない」と思っているかなので、
リスクを示し課題を解決できるように、気づいたあなた自身が企業のパートナーとして動くのです。

ご担当者に「そのシステムは PCIDSS を考慮したものですか？」と尋ねて下さい。

「PCIDSS」 は、本来カード会社のための基準ですが、国内金融業界では標準的な基準として考慮されています。安全なネットワークの構築と維持が要件として定義されるので、肯定であれば、何らかの仕組みで simotin さんの心配している状況は回避されています。

実際の仕組みとしては、すでに回答された方がいますが、閉域網サービスを使用しているのだと思います。キャリア網＋専用線（または類似サービス）の形で提供され、イメージとしては一昔前のRASのようなものです。その為、インターネット上を素のデータが流れることはありません。モバイルルータを使用しているということなので、若干の隙間はありますが、それも真っ先に考慮されるべき項目なので対処されていると思います。

問題は外資系の保険会社と保険代理店の場合です。こちらはどのようなシステムが動いていても不思議ではありません。システムを個人なり代理店が勝手に作っている可能性があります。その場合、大元の保険会社にクレームを上げても意味が無いので、まずご担当にクレームをあげると良いと思います。

現実問題として、きちんとした対応さえできていれば HTTPS である必要性はないと思われますが、HTTPS 化はユーザの信頼根拠の側面もあるので、これからは、外部の方が目にするシステムには、HTTPSを採用することが必要かもしれないですね。

パブリックに立てたHTTPサーバではなく、社内VPN上にあるサーバへ接続するのであれば、さらにHTTPSをかけるのは煩雑になるだけで、あまりメリットはないかもしれません。

ご回答・コメント頂きました皆様ありがとうございました。
いろいろなご意見など頂けて勉強になる点が多かったです。

私の反省点として、投稿・質問の前提や意図を十分に説明できていなかったように思いますので、
今更感はあるのですが、少し記載させて頂ければと思います。

私がもやもやして、皆様に聞いてみたいと思ったのは技術的な側面というよりは、

「明らかにセキュアでない通信をしている社内システムを見つけてしまった(気付いてしまった)時に、人としてどう行動すべきか？」

という点で皆様のご意見を聞いてみたいという思いがありました。
※前提としてこのことを質問の意図として投稿時に記載していなかったのは、投稿の書き方としてよくなかったなと反省しております、申し訳ありません。

例えば、

不審者をみたら →警察
ボヤをみたら →消防
動物虐待をみたら→保健所

というように自ずと連絡先やするべき行動は決まってきますが、

明らかにセキュアでない通信をしている社内システムをみたら→ ？？？

というのが私のもやもやとして頭にありました。

例えばRubyの
https://www.ruby-lang.org/ja/news/2005/07/02/20050702/
security@ruby-lang.org
のような窓口的なものがあったりするんだろうか・・・

やっぱりIPAとかに相談するのが一般的なんだろうか・・・

などなど。

公開しているWebサービスやソフトの脆弱性報告にに賞金を出すIT系企業は増えてきていると思いますが、
インターネットを利用する社内システムは、完全にオープンなサービスというよりはいわば「セミオープン」なシステムなので盲点になりそうで怖いなというのが私の印象です。

「閉域網・VPN」という点で見れば「(HTTPだから)セキュアでない」と一概に判断はできないのは当然ですが、社内システムに対して「閉域網・VPN」を使っているというということを調べることは難しいように思います。
いわば白か黒かがはっきりしない状態になるかと思いますが、経験として明らかに黒のシステムを見たことがありましたので私の頭の中にはそういった前提がありました。

そういう意味では、質問の内容として１と２の質問を書かせて頂きましたが、２の方が私が皆様に意見を伺いたかった点になります。
Hiroshi-Aoki様が２についてもご回答くださっておりましたので、ベストアンサーとさせて頂き解決済みとさせて頂きました。

皆様からのご回答を元に自分でももう一度考えてみたのですが、外部から白か黒かが分からないのであればこの問いに対する明確な答えというのは無いような気がしました。
個人的には、危険そうなサービスや会社には近寄らないという行動をとる以外に選択肢はないように思いました。あるいは企業の側が(社内システムを含めて)「ちゃんとセキュアなシステムを構築してますよ」ということをアピールできたり、認証するような仕組みなどが必要な気がしますが、そんなことが現実的なのか、そもそも必要なのかどうかよく分かりません。

ご回答・コメント頂きました皆様、どうもありがとうございました。

すでに答えは出ていますが、私も社内ネットワークを構築しているものとして一言。

社内ネットワークを外部から接続する場合、私はVPNを採用しています。理由はいくつかありますが、最大の理由は「VPNを貼るだけで社内のシステムへの接続を担保できる」です。

では外部から使う場合、「http」で接続していて不安になるならいくつかチェック項目があります。
Windowsの場合しかなく申し訳ないのですが、時計の横のアイコンでネットワーク接続アイコンが複数あればそれはネットワークに仮想ネットワークを重ねている「VPN接続」をしています。シスコなどはルータに専用のVPNソフトがあり、そのアイコンも出ています。

Android接続の場合は、これも上のアイコンのところに「カギ」マークが出ます。（iphoneは手元にないのでわかりません）

https に目が行くのであればこの2点も確認すれば精神安定上、よろしいかと思います。

なんにせよ、無意識化で「安全」が確保できるように作っていかないと利用者は「めんどう」といって利用を避けます。安全確保を実施している教育は必要ですが、実際の現場では「つながればよい」です。
社員とはいえ利用しやすい工夫を構築者の皆さんはされていると思います。そうなると外部の人は更にわかりにくいものとなってしまいますが。。。。
安全ステッカーでも貼ればよいかもしれませんね。