アカウント名:
パスワード:
普通なら、既存の登録内容があるなら、それを表示させて「編集」なり「修正」なりのボタンを配置して、それで修正させるようにすると思うんだけど、そういう物もなく、ただただ、何度も申請操作が出来るの?
そんなクソ仕様でよく開発を請け負ったな。普通なら開発開始前に「その仕様だと問題あるよ」と客に伝えるのも開発者の義務だと思うんだけど。
Internetからアクセス可能なところに個人番号をキーとするデータが保持されていたらアウトじゃねーの?※ちなみにあの申請、途中で「ここまでの内容を保存する」を選択するとその内容が記載されたPDFが出てきます
「個人番号(又は個人番号と紐づいた識別子)をキーとするデータが保持されていたらアウト」というルールは無いのではないでしょうか。マイナポータルを通じて本人の様々の情報を確認できるようにすることは今も行われていて、今後も拡大していく方向でしょう。
マイナポータル あなたの情報を確認する [myna.go.jp]
地方公共団体における情報セキュリティポリシーに関するガイドライン(PDF) [soumu.go.jp]P108 図表15「三層の構えによる自治体情報システム例」
マイナンバー系はインターネット系とはこれだけ厳重に隔離することが求められていますインターネット側のWebサーバを経由した程度でDBにアクセスできるようじゃアウトです※ご提示の「あなたの情報を確認する」も役所への申請の中継機能であって何らかのデータを引いているわけではないです
だから最終的には目視確認 [togetter.com]なんて事態が起きるわけで
現状のマイナポータルは、マイナンバーを扱うシステムに求められているセキュリティ基準を満たしていない、という指摘でしょうか。その指摘が当たっているかは私にはわかりませんが。
この話の要点は、「電子証明書でログインして入力した個人情報を、サーバに保存し、別の機会に同じ方法でログインして当該個人情報を読み出す」というところだと思うので、既存行政システムのDBへのアクセスが求められているわけではないと思うのです。
「あなたの情報を確認する」で得られた個人情報をマイナポータル上に保存し、閲覧することが許されて、給付金申請で入力した個人情報をマイナポータル上に保存し、閲覧することが許されないとする理由はないだろうと。急ごしらえだからそこまで作れなかった、ならわかりますが、「アウト」と言われると、違うのではないかと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
そんなクソ仕様でよく開発を請け負ったな (スコア:1)
普通なら、既存の登録内容があるなら、それを表示させて「編集」なり「修正」なりのボタンを配置して、それで修正させるようにすると思うんだけど、そういう物もなく、ただただ、何度も申請操作が出来るの?
そんなクソ仕様でよく開発を請け負ったな。普通なら開発開始前に「その仕様だと問題あるよ」と客に伝えるのも開発者の義務だと思うんだけど。
Re: (スコア:0)
Internetからアクセス可能なところに個人番号をキーとするデータが保持されていたらアウトじゃねーの?
※ちなみにあの申請、途中で「ここまでの内容を保存する」を選択するとその内容が記載されたPDFが出てきます
Re: (スコア:2)
「個人番号(又は個人番号と紐づいた識別子)をキーとするデータが保持されていたらアウト」というルールは無いのではないでしょうか。
マイナポータルを通じて本人の様々の情報を確認できるようにすることは今も行われていて、今後も拡大していく方向でしょう。
マイナポータル あなたの情報を確認する [myna.go.jp]
Re: (スコア:0)
地方公共団体における情報セキュリティポリシーに関するガイドライン(PDF) [soumu.go.jp]
P108 図表15「三層の構えによる自治体情報システム例」
マイナンバー系はインターネット系とはこれだけ厳重に隔離することが求められています
インターネット側のWebサーバを経由した程度でDBにアクセスできるようじゃアウトです
※ご提示の「あなたの情報を確認する」も役所への申請の中継機能であって何らかのデータを引いているわけではないです
だから最終的には目視確認 [togetter.com]なんて事態が起きるわけで
Re:そんなクソ仕様でよく開発を請け負ったな (スコア:2)
現状のマイナポータルは、マイナンバーを扱うシステムに求められているセキュリティ基準を満たしていない、という指摘でしょうか。
その指摘が当たっているかは私にはわかりませんが。
この話の要点は、「電子証明書でログインして入力した個人情報を、サーバに保存し、別の機会に同じ方法でログインして当該個人情報を読み出す」というところだと思うので、既存行政システムのDBへのアクセスが求められているわけではないと思うのです。
「あなたの情報を確認する」で得られた個人情報をマイナポータル上に保存し、閲覧することが許されて、給付金申請で入力した個人情報をマイナポータル上に保存し、閲覧することが許されないとする理由はないだろうと。
急ごしらえだからそこまで作れなかった、ならわかりますが、「アウト」と言われると、違うのではないかと。