パスワードを忘れた? アカウント作成

特別定額給付金のオンライン申請は何度も手続きできる仕様になっている」記事へのコメント

  • 普通なら、既存の登録内容があるなら、それを表示させて「編集」なり「修正」なりのボタンを配置して、それで修正させるようにすると思うんだけど、そういう物もなく、ただただ、何度も申請操作が出来るの?

    そんなクソ仕様でよく開発を請け負ったな。普通なら開発開始前に「その仕様だと問題あるよ」と客に伝えるのも開発者の義務だと思うんだけど。

    ここに返信
    • by Anonymous Coward on 2020年05月19日 17時39分 (#3818098)

      > 普通なら、既存の登録内容があるなら、それを表示させて「編集」なり「修正」なりのボタンを配置して、それで修正させるようにすると思うんだけど……

      いや、さすがにそれは安易に実装しちゃ良くないでしょ。
      氏名・年齢・住所・電話番号に加えて、振込先口座やクレジットカードの画像まで付いてくるんで、漏洩したら洒落にならない。
      超センシティブな情報だよ。

      再編集機能を付けるとしたら、再編集前にマイナンバーカードの電子署名で本人確認した上で編集に入るような仕組みをつけなきゃならんだろうけど、それだってシステム不具合による漏洩の不安は付きまとう。
      開発期間は1カ月もなかっただろうしね。

      それぐらいだったら、最初から再編集機能は付けないという判断は、そう間違っているとは思えないな。

      # そもそも、登録内容の不備が不安ならアップロード前に自分で画面ショットなりを取っておけよ、と。

    • 「役所で出す紙」をそのまんま紙に落としたもんなんでしょうな
      …さすがに全部印刷してから処理してるとかないよね…

    • by Anonymous Coward

      普通に手続き申し込みのテンプレ使いまわしでも対応出来そうなのに不思議だよね。

    • by Anonymous Coward

      行政がこういう案件で緊急発注する場合、あれこれ言っても、単に見積もり合わせの期限が過ぎたら別の会社が受注するだけ。

      役人がヘボい仕様を作ってきたら、ヘボい仕様に対して製品を作るしかない。

    • by Anonymous Coward

      Internetからアクセス可能なところに個人番号をキーとするデータが保持されていたらアウトじゃねーの?
      ※ちなみにあの申請、途中で「ここまでの内容を保存する」を選択するとその内容が記載されたPDFが出てきます

      • 「個人番号(又は個人番号と紐づいた識別子)をキーとするデータが保持されていたらアウト」というルールは無いのではないでしょうか。
        マイナポータルを通じて本人の様々の情報を確認できるようにすることは今も行われていて、今後も拡大していく方向でしょう。

        マイナポータル あなたの情報を確認する [myna.go.jp]

        • by Anonymous Coward

          地方公共団体における情報セキュリティポリシーに関するガイドライン(PDF) [soumu.go.jp]
          P108 図表15「三層の構えによる自治体情報システム例」

          マイナンバー系はインターネット系とはこれだけ厳重に隔離することが求められています
          インターネット側のWebサーバを経由した程度でDBにアクセスできるようじゃアウトです
          ※ご提示の「あなたの情報を確認する」も役所への申請の中継機能であって何らかのデータを引いているわけではないです

          だから最終的には目視確認 [togetter.com]なんて事態が起きるわけで

          • 現状のマイナポータルは、マイナンバーを扱うシステムに求められているセキュリティ基準を満たしていない、という指摘でしょうか。
            その指摘が当たっているかは私にはわかりませんが。

            この話の要点は、「電子証明書でログインして入力した個人情報を、サーバに保存し、別の機会に同じ方法でログインして当該個人情報を読み出す」というところだと思うので、既存行政システムのDBへのアクセスが求められているわけではないと思うのです。

            「あなたの情報を確認する」で得られた個人情報をマイナポータル上に保存し、閲覧することが許されて、給付金申請で入力した個人情報をマイナポータル上に保存し、閲覧することが許されないとする理由はないだろうと。
            急ごしらえだからそこまで作れなかった、ならわかりますが、「アウト」と言われると、違うのではないかと。

      • データを格納しているDB自体は外部からアクセスできないように別ネットワークにして保護するなんて、今時やってないところの方が珍しい気がする。

        Webサーバは外部に公開するとして、RDBはプライベートネットワーク側に置くとか初歩の段階でやってる対策じゃね?、そもそも、Webで使うポート以外のアクセスは禁止するなんてやってない方がおかしくない?

        • by Anonymous Coward

          データダイオード使ってたら胸熱ですなぁ。(無いだろうけども。。)

        • by Anonymous Coward

          当たり前を期待するな
          当たり前のことを当たり前にやっていたのなら、そもそもこんなクソ仕様になっていない

          • by Anonymous Coward

            当たり前のことをやってないのは民間の方が多いと思うぞ。

        • by Anonymous Coward

          そもそも住基の部分は物理的に切り離されてる。
          だからインターネットで申請受けたデータを別のところへ持って行ってはじめてデータのチェックができる。
          当然申請時に候補を表示したりとかできないしデータのチェックもできない。入力フォーム内で完結するバリデーションだけ実施できる。

          大昔のオンライン端末やCICSのようなものが(使われて)なかった頃のシステムと同じ構造をしてるわけ。
          時間切ってデータ集めてバッチ処理してサマリとエラーリスト出して各部署に配って回る。
          今だって手動でxlsx配って集めてやってる人いくらでもいるけどそれと同じ。

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...