アカウント名:
パスワード:
普通なら、既存の登録内容があるなら、それを表示させて「編集」なり「修正」なりのボタンを配置して、それで修正させるようにすると思うんだけど、そういう物もなく、ただただ、何度も申請操作が出来るの?
そんなクソ仕様でよく開発を請け負ったな。普通なら開発開始前に「その仕様だと問題あるよ」と客に伝えるのも開発者の義務だと思うんだけど。
> 普通なら、既存の登録内容があるなら、それを表示させて「編集」なり「修正」なりのボタンを配置して、それで修正させるようにすると思うんだけど……
いや、さすがにそれは安易に実装しちゃ良くないでしょ。氏名・年齢・住所・電話番号に加えて、振込先口座やクレジットカードの画像まで付いてくるんで、漏洩したら洒落にならない。超センシティブな情報だよ。
再編集機能を付けるとしたら、再編集前にマイナンバーカードの電子署名で本人確認した上で編集に入るような仕組みをつけなきゃならんだろうけど、それだってシステム不具合による漏洩の不安は付きまとう。開発期間は1カ月もなかっただろうしね。
それぐらいだったら、最初から再編集機能は付けないという判断は、そう間違っているとは思えないな。
# そもそも、登録内容の不備が不安ならアップロード前に自分で画面ショットなりを取っておけよ、と。
「役所で出す紙」をそのまんま紙に落としたもんなんでしょうな…さすがに全部印刷してから処理してるとかないよね…
全部印刷してから処理してるようですねhttps://note.com/politic/n/n445ebc670a87 [note.com]んーなんとも
今晩のNHKニュースでもどっかの自治体が全申請を印刷・目視確認してファイリングしてた
全ての工程がシステム自動化されない以上はその有様を批判するのは間違いだと感じた
間違いだと思っちゃいけないのなら、ずっと今のままだと思うw
だから、マイナンバーと振込先銀行口座紐づけて国の政策の給付を簡単に出来るよう法制化する動きが出てきたそれなら口座がないとか、DVや離婚協議中だから分けて配ってほしいとか、要らないとか住所がないとか例外的な人以外申請しなくて済む
そんなんならPDFを印刷して写真で撮ったのをメールで送っても良いんじゃ。
実際素晴らしいソリューションかもFAXでも良いんじゃ…?あー本人確認で問題になるんか
そもそも、本人確認を簡略化するためのマイナンバーだったし住基だったはずなんですけどねwww
普通に手続き申し込みのテンプレ使いまわしでも対応出来そうなのに不思議だよね。
行政がこういう案件で緊急発注する場合、あれこれ言っても、単に見積もり合わせの期限が過ぎたら別の会社が受注するだけ。
役人がヘボい仕様を作ってきたら、ヘボい仕様に対して製品を作るしかない。
Internetからアクセス可能なところに個人番号をキーとするデータが保持されていたらアウトじゃねーの?※ちなみにあの申請、途中で「ここまでの内容を保存する」を選択するとその内容が記載されたPDFが出てきます
「個人番号(又は個人番号と紐づいた識別子)をキーとするデータが保持されていたらアウト」というルールは無いのではないでしょうか。マイナポータルを通じて本人の様々の情報を確認できるようにすることは今も行われていて、今後も拡大していく方向でしょう。
マイナポータル あなたの情報を確認する [myna.go.jp]
地方公共団体における情報セキュリティポリシーに関するガイドライン(PDF) [soumu.go.jp]P108 図表15「三層の構えによる自治体情報システム例」
マイナンバー系はインターネット系とはこれだけ厳重に隔離することが求められていますインターネット側のWebサーバを経由した程度でDBにアクセスできるようじゃアウトです※ご提示の「あなたの情報を確認する」も役所への申請の中継機能であって何らかのデータを引いているわけではないです
だから最終的には目視確認 [togetter.com]なんて事態が起きるわけで
現状のマイナポータルは、マイナンバーを扱うシステムに求められているセキュリティ基準を満たしていない、という指摘でしょうか。その指摘が当たっているかは私にはわかりませんが。
この話の要点は、「電子証明書でログインして入力した個人情報を、サーバに保存し、別の機会に同じ方法でログインして当該個人情報を読み出す」というところだと思うので、既存行政システムのDBへのアクセスが求められているわけではないと思うのです。
「あなたの情報を確認する」で得られた個人情報をマイナポータル上に保存し、閲覧することが許されて、給付金申請で入力した個人情報をマイナポータル上に保存し、閲覧することが許されないとする理由はないだろうと。急ごしらえだからそこまで作れなかった、ならわかりますが、「アウト」と言われると、違うのではないかと。
データを格納しているDB自体は外部からアクセスできないように別ネットワークにして保護するなんて、今時やってないところの方が珍しい気がする。
Webサーバは外部に公開するとして、RDBはプライベートネットワーク側に置くとか初歩の段階でやってる対策じゃね?、そもそも、Webで使うポート以外のアクセスは禁止するなんてやってない方がおかしくない?
データダイオード使ってたら胸熱ですなぁ。(無いだろうけども。。)
当たり前を期待するな当たり前のことを当たり前にやっていたのなら、そもそもこんなクソ仕様になっていない
当たり前のことをやってないのは民間の方が多いと思うぞ。
そもそも住基の部分は物理的に切り離されてる。だからインターネットで申請受けたデータを別のところへ持って行ってはじめてデータのチェックができる。当然申請時に候補を表示したりとかできないしデータのチェックもできない。入力フォーム内で完結するバリデーションだけ実施できる。
大昔のオンライン端末やCICSのようなものが(使われて)なかった頃のシステムと同じ構造をしてるわけ。時間切ってデータ集めてバッチ処理してサマリとエラーリスト出して各部署に配って回る。今だって手動でxlsx配って集めてやってる人いくらでもいるけどそれと同じ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
そんなクソ仕様でよく開発を請け負ったな (スコア:1)
普通なら、既存の登録内容があるなら、それを表示させて「編集」なり「修正」なりのボタンを配置して、それで修正させるようにすると思うんだけど、そういう物もなく、ただただ、何度も申請操作が出来るの?
そんなクソ仕様でよく開発を請け負ったな。普通なら開発開始前に「その仕様だと問題あるよ」と客に伝えるのも開発者の義務だと思うんだけど。
Re:そんなクソ仕様でよく開発を請け負ったな (スコア:3, すばらしい洞察)
> 普通なら、既存の登録内容があるなら、それを表示させて「編集」なり「修正」なりのボタンを配置して、それで修正させるようにすると思うんだけど……
いや、さすがにそれは安易に実装しちゃ良くないでしょ。
氏名・年齢・住所・電話番号に加えて、振込先口座やクレジットカードの画像まで付いてくるんで、漏洩したら洒落にならない。
超センシティブな情報だよ。
再編集機能を付けるとしたら、再編集前にマイナンバーカードの電子署名で本人確認した上で編集に入るような仕組みをつけなきゃならんだろうけど、それだってシステム不具合による漏洩の不安は付きまとう。
開発期間は1カ月もなかっただろうしね。
それぐらいだったら、最初から再編集機能は付けないという判断は、そう間違っているとは思えないな。
# そもそも、登録内容の不備が不安ならアップロード前に自分で画面ショットなりを取っておけよ、と。
Re:そんなクソ仕様でよく開発を請け負ったな (スコア:2)
「役所で出す紙」をそのまんま紙に落としたもんなんでしょうな
…さすがに全部印刷してから処理してるとかないよね…
Re:そんなクソ仕様でよく開発を請け負ったな (スコア:2)
全部印刷してから処理してるようですね
https://note.com/politic/n/n445ebc670a87 [note.com]
んーなんとも
Re: (スコア:0)
今晩のNHKニュースでもどっかの自治体が全申請を印刷・目視確認してファイリングしてた
全ての工程がシステム自動化されない以上はその有様を批判するのは間違いだと感じた
Re:そんなクソ仕様でよく開発を請け負ったな (スコア:1)
間違いだと思っちゃいけないのなら、ずっと今のままだと思うw
Re: (スコア:0)
だから、マイナンバーと振込先銀行口座紐づけて国の政策の給付を簡単に出来るよう法制化する動きが出てきた
それなら口座がないとか、DVや離婚協議中だから分けて配ってほしいとか、要らないとか住所がないとか例外的な人以外申請しなくて済む
Re: (スコア:0)
そんなんならPDFを印刷して写真で撮ったのをメールで送っても良いんじゃ。
Re:そんなクソ仕様でよく開発を請け負ったな (スコア:2)
実際素晴らしいソリューションかも
FAXでも良いんじゃ…?
あー本人確認で問題になるんか
Re:そんなクソ仕様でよく開発を請け負ったな (スコア:1)
そもそも、本人確認を簡略化するためのマイナンバーだったし住基だったはずなんですけどねwww
Re: (スコア:0)
普通に手続き申し込みのテンプレ使いまわしでも対応出来そうなのに不思議だよね。
Re: (スコア:0)
行政がこういう案件で緊急発注する場合、あれこれ言っても、単に見積もり合わせの期限が過ぎたら別の会社が受注するだけ。
役人がヘボい仕様を作ってきたら、ヘボい仕様に対して製品を作るしかない。
Re: (スコア:0)
Internetからアクセス可能なところに個人番号をキーとするデータが保持されていたらアウトじゃねーの?
※ちなみにあの申請、途中で「ここまでの内容を保存する」を選択するとその内容が記載されたPDFが出てきます
Re:そんなクソ仕様でよく開発を請け負ったな (スコア:2)
「個人番号(又は個人番号と紐づいた識別子)をキーとするデータが保持されていたらアウト」というルールは無いのではないでしょうか。
マイナポータルを通じて本人の様々の情報を確認できるようにすることは今も行われていて、今後も拡大していく方向でしょう。
マイナポータル あなたの情報を確認する [myna.go.jp]
Re: (スコア:0)
地方公共団体における情報セキュリティポリシーに関するガイドライン(PDF) [soumu.go.jp]
P108 図表15「三層の構えによる自治体情報システム例」
マイナンバー系はインターネット系とはこれだけ厳重に隔離することが求められています
インターネット側のWebサーバを経由した程度でDBにアクセスできるようじゃアウトです
※ご提示の「あなたの情報を確認する」も役所への申請の中継機能であって何らかのデータを引いているわけではないです
だから最終的には目視確認 [togetter.com]なんて事態が起きるわけで
Re:そんなクソ仕様でよく開発を請け負ったな (スコア:2)
現状のマイナポータルは、マイナンバーを扱うシステムに求められているセキュリティ基準を満たしていない、という指摘でしょうか。
その指摘が当たっているかは私にはわかりませんが。
この話の要点は、「電子証明書でログインして入力した個人情報を、サーバに保存し、別の機会に同じ方法でログインして当該個人情報を読み出す」というところだと思うので、既存行政システムのDBへのアクセスが求められているわけではないと思うのです。
「あなたの情報を確認する」で得られた個人情報をマイナポータル上に保存し、閲覧することが許されて、給付金申請で入力した個人情報をマイナポータル上に保存し、閲覧することが許されないとする理由はないだろうと。
急ごしらえだからそこまで作れなかった、ならわかりますが、「アウト」と言われると、違うのではないかと。
Re:そんなクソ仕様でよく開発を請け負ったな (スコア:1)
データを格納しているDB自体は外部からアクセスできないように別ネットワークにして保護するなんて、今時やってないところの方が珍しい気がする。
Webサーバは外部に公開するとして、RDBはプライベートネットワーク側に置くとか初歩の段階でやってる対策じゃね?、そもそも、Webで使うポート以外のアクセスは禁止するなんてやってない方がおかしくない?
Re: (スコア:0)
データダイオード使ってたら胸熱ですなぁ。(無いだろうけども。。)
Re: (スコア:0)
当たり前を期待するな
当たり前のことを当たり前にやっていたのなら、そもそもこんなクソ仕様になっていない
Re: (スコア:0)
当たり前のことをやってないのは民間の方が多いと思うぞ。
Re: (スコア:0)
そもそも住基の部分は物理的に切り離されてる。
だからインターネットで申請受けたデータを別のところへ持って行ってはじめてデータのチェックができる。
当然申請時に候補を表示したりとかできないしデータのチェックもできない。入力フォーム内で完結するバリデーションだけ実施できる。
大昔のオンライン端末やCICSのようなものが(使われて)なかった頃のシステムと同じ構造をしてるわけ。
時間切ってデータ集めてバッチ処理してサマリとエラーリスト出して各部署に配って回る。
今だって手動でxlsx配って集めてやってる人いくらでもいるけどそれと同じ。