パスワードを忘れた? アカウント作成
17451984 story
変なモノ

マイナ制度は「なりすまし犯罪の温床」。情報システム学会が制度設計に根本的な問題と提言 198

ストーリー by nagazou
課題 部門より
情報システム学会は10月、マイナンバー制度について制度設計には根本的な問題があると指摘する提言をまとめた。この提言は、マイナンバーカードと他の公的証明書との一体化などについて警鐘を鳴らすもの。この提言では、マイナンバーカードと他の公的証明書との一体化などについて警鐘を鳴らし、国民にとって不利益が大きくなる可能性があると指摘し、見直しを求めている(「マイナンバー制度の問題点と解決策」に関する提言[PDF] 東京新聞)。

指摘されている現在のマイナンバー制度の問題点は大きく二つに分けられる。一つは「マイナンバー制度の導入初期に発生した問題」、もう一つは「マイナンバー制度の根本的な設計不良に起因して発生する問題」。導入初期に発生した問題には、誤った名寄せとコンビニでの証明書誤発行がある。誤った名寄せは、複数のデータソースから個人情報をまとめる名寄せ作業が曖昧な基準で行われ、コンピュータやコンピュータでのチェックが不足したためにコンビニでの証明書誤発行問題が発生した。

また根本的な設計不良があり、それが原因で社会問題が引き起こされる懸念があると指摘。例えば、高齢者施設の利用者がマイナカードと暗証番号を施設に預けざるを得ない場合、なりすまし犯罪のリスクが高まる可能性があると指摘している。設計不良の主な原因は、マイナンバー制度で実現させようとしていることが多すぎ、情報システムの設計・開発の目標が不明確かつ曖昧になっている点にあるとし、1枚のマイナンバーカードにすべての機能を詰め込んだことから、カードの実装が複雑になっているとしている。

上記の理由から現在のマイナンバー制度は、制度目的達成のための最適なシステム設計になっておらず、システム運用上の齟齬、情報セキュリティ上の問題、システム開発の投資対効果の問題、国民がマイナンバーとマイナンバーカードの取り扱い方法を理解できないなどの多くの問題が発生しているとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 根本的な設計不良 (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2023年11月02日 7時58分 (#4556960)

    >高齢者施設の利用者がマイナカードと暗証番号を施設に預けざるを得ない場合
    例としてこれが挙げられている。

    マイナンバーカードと暗証番号を預けるのは、「個人認証」の権限を委ねるという事だよね。本人に管理能力があればやらないだろう。ただ、ないんだろう。
    で、それを預かった側が「自由になりすましができる」のが根本的な設計不良だと言うんだけど、これは従来の認証手段でも起こりうるんじゃないだろうか。

    「認証手段」と「意思確認」を別にしないといけないが、それはマイナンバー、マイナンバーカードの設計の問題じゃない気がする。

    • Re:根本的な設計不良 (スコア:4, すばらしい洞察)

      by Anonymous Coward on 2023年11月02日 9時45分 (#4557031)

      この論法で批判していいなら
      「今の選挙システムも結局の所、痴呆症の老人とか知的障がいの方とかは
      職員付き添いで投票したりしてるわけでその場合、なりすましで職員の意図する候補に投票が出来てしまう」って批判出来るんだから

      問題点としての振り分けが足りてないような気がするな、これ

      親コメント
    • Re:根本的な設計不良 (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2023年11月02日 10時03分 (#4557048)

      マイナンバー「カード」の問題はそこに情報の秘匿や悪用に対する脅威度と無関係にすべてを結び付けようとしている点でしょ?
      マイナンバーとして裏の紐づけを役所側が持つのは構わないが、それを利用する場面全てにおいて同じ一つの「カード」の認証強度にしちゃってるから問題が起きる。
      高齢者施設の保険証管理なんてその典型で、別に高齢者施設は他のサービスの情報まで求めているわけじゃない。

      親コメント
    • by Anonymous Coward on 2023年11月02日 9時46分 (#4557033)

      今現在、何処の市町村も、そういった事のガイドラインが作られてないから、何処の施設も困ってるよ。
      施設基準として、診療所置かないといけないから、診療所登録していて、診療所があるから義務化だから設置しろって言われて機器置いてる状態。
      実運用されてない。
      施設としては、マイナンバーカードは、委託を受けても預かりたくない。

      オンライン資格確認は、目視確認モードがあるので、パスワード使う必要無いです。

      親コメント
    • by Anonymous Coward on 2023年11月02日 10時36分 (#4557085)

      難癖つける為のによく言われてることだからね

      もっとシステム設計的に何かあるのかと期待して読んだのに
      これこそ期待はずれだったなw

      親コメント
    • by Anonymous Coward

      マイナカードが「個人証明書+金庫の鍵」のような高い価値を持つようになれば、高齢者施設の職員が欲に流されて悪事を働きかねない。
      なりすまして暗号通貨を買ったり。
      ハッカー集団なら高齢者施設がお宝の山に見えてターゲットにするだろう。

      あとは気に入らないやつを病院に行けなくして殺すとか。

      >他人のマイナンバーカードを自分のスマホにかざして、暗証番号を数度適当に入力すれば、悪戯で簡単に他人のマイナンバーカードを使用不可にすることもできてしまう。
      >暗証番号間違いでマイナンバーカードが使用不可になった場合、保険証として使用することができず、医療機関にかかる前に、一度役所まで行かなければならないという設計になっている。
      >他人のマイナンバーカードを自分のスマホにかざして、暗証番号を数度適当に入力すれば、悪戯で簡単に他人のマイナンバーカードを使用不可にすることもできてしまう。
      >さらに、カードを紛失したり盗難に遭った場合は、役所に行き再発行の手続きをすることになるが、現時点では再発行に1~2ヵ月かかる

      • by Anonymous Coward

        保険称して使えないからって治療しないってコタないよ
        ためにする批判だよな

    • by Anonymous Coward

      それ、なんてOAuth?

    • by Anonymous Coward

      そしてマイナカード返納制度が新設された..

  • 完璧じゃなければだめだ (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2023年11月02日 7時42分 (#4556956)

    完璧かどうかは俺たちが決める みたいな
    人間なんて欠陥だらけなので直ちに滅ぼすべきだな

    • by Anonymous Coward

      これは「警鐘を鳴らす」とあるようにただの意見の表明であって、別に決めてるわけじゃない。
      決めるのは政治だから。
      まあ学会の権威とかは多少あるかもしれないが。

    • by Anonymous Coward

      完璧以前に不具合ばかりで期待されたとおりに運用できていない
      自治体役所関係でも当初期待の一部しか稼働していない
      病院や調剤薬局ではほぼ運用できていない、いつになれば運用できるのか見通しが立たない
      詰め込みすぎて歪であちこちで不整合が生じてそうな

      ほんとにこれこの先どうするんだろう
      無限に予算注ぎ続けて無限に中抜きできる案件として存続するのかな

  • by Anonymous Coward on 2023年11月02日 8時27分 (#4556978)

    基本的に個人情報は個人に属しており、その原本は戸籍や各種情報として国や自治体が保持している。
    この情報をだれがいつどう使うかを許可したり拒否するのは、マイナンバーとカードだけでは不可能。
    例えば「個人情報へのアクセス許可を民間または公機関が要求し、必要に応じて各個人が一定期間の情報の閲覧を許可する」仕組み。
    そういった補助システムなしでマイナカードの使い方だけにすべてを委ねるから、なりすましのような問題も起きるだろう。

    他の問題、名寄せや誤発行などはマイナンバーカードの設計の問題というより、実装時に解決すべき課題や利用側の不手際であって、マイナンバーカードに問題があるという言い方はおかしい気がする。

  • by Anonymous Coward on 2023年11月02日 7時12分 (#4556948)

    マイナンバー士を作ろうぜ

    • by Anonymous Coward

      マイナンバー士を作ろうぜ

      うむ土に返そう(違

    • by Anonymous Coward

      マイナンバー農
      マイナンバー工
      マイナンバー商

      • by Anonymous Coward

        それ以上いけない

      • by Anonymous Coward

        マイナンバー農
        マイナンバー工
        マイナンバー商
        マイナンバー士



        マイナンバー保守CE

  • by Anonymous Coward on 2023年11月02日 7時25分 (#4556949)

    タレコミ者の日記 [srad.jp]でも盛り上がってたけど、
    マイナンバーをオープンにor第2マイナンバーを作れという提案。

    どうでもいいけど、作文した

    誤った名寄せは、複数のデータソースから個人情報をまとめる名寄せ作業が曖昧な基準で行われ、コンピュータやコンピュータでのチェックが不足したためにコンビニでの証明書誤発行問題が発生した。

    は言葉足らずで現実離れしてますね。
    元の文章でもそんな事は言ってないよ。

    • by Anonymous Coward

      スラドで何回かあった
      マイナンバーだけ漏れてもセキュリティの問題は生じない
      だったらお前のマイナンバー公開しろよ
      マイナンバーを公開したら法律違反なんだな

      を解消しろってことだよね

      • by Anonymous Coward

        マイナンバーだけ漏れてもセキュリティの問題は生じない

        逆デポジットで事前の詫び2万貰ってるし(違、、うよな、、、?

    • by Anonymous Coward

      誤った名寄せ、曖昧な基準の名寄せを今後解消するためのマイナンバーだろうにね。

  • by Anonymous Coward on 2023年11月02日 7時54分 (#4556959)

    > そもそもは、富士通 Japan が設計・開発した排他制御プログラムの単純なミス(バグ)の問題である。IT 業界では、排他制御プログラムは基本中の基本であり、何故このような単純なミスが発生したのか信じがたいものがある。

    いい加減不実に発注するのヤメロ。損害しか生まん。

    • by Anonymous Coward

      ちなみに富士通以外だったら大丈夫なの?

      • by Anonymous Coward

        そして誰もいなくなった

        • by Anonymous Coward

          IT敗戦の元凶の元請けは全員いなくなって正解。上流工程は政府で内製しろ。

    • by Anonymous Coward

      かといって、入札条件に無限責任とか入れたら、誰も応札しないだろうし。。。

  • by Anonymous Coward on 2023年11月02日 8時21分 (#4556974)

    マイナンバーは納税者番号で置き換え。機密情報じゃなくす チェックデジットはもっといいアルゴリズムに変更
    身分証明書を新規に作る。NFC,暗証番号はなし
    電子証明書カードは別にして必要な人に発行
    運転免許証からNFC,暗証番号をなくす
    保険証はプラスチックカードで写真ありにする

    • Re:作り直すなら (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2023年11月02日 9時16分 (#4557001)

      マイナンバーは名寄せできちゃうから危険なのであってほかの番号に置き換えても危険性は変わらない。
      学会の提言も特定個人情報でない別の番号を印刷するとあり(図9)、法の要件を変えたところで危険性がなくなるわけではない。

      マイナンバーカードについてはいろいろ改善すべきことはあるけど番号回りについては
      ・一切の番号を印刷しない
      ・カードは国のサーバーから払い出された1000個のワンタイム番号を記憶しておき使用のたびに1つ電磁的に渡す
      ・国からオーソライズされた機関は許可された最低限の個人情報を国のサーバーから引き出す
      ・ワンタイム番号を使い切ったら再払い出し
      ・マイナンバー自体は本人も知る必要なし
      あたりじゃないかな。

      親コメント
      • たしか、マイナンバーが始まる前にひろみちゅ氏が提案してたと思うんですが、
        (今探したら見つからない…)

        OAuthのような仕組みで
        ・各個人はマイナ認証に関しては、国の中央の認証サーバーとだけを相手にする。
        ・他のサービスは、中央認証サーバから認証結果を貰う。
        という方式にして、
        その際、個人を識別する番号はサービス毎に割り振られるようにすれば、
        それぞれのサービスは個人を特定できるけど、
        異なるサービス間で名寄せができない、
        って案が落とし所として順当なのかな、と思ってます。

        マイナカードの証明書を使って、
        中央認証サーバが「証明書とマイナンバーの紐付け」を行えば、
        中央認証サーバ以外にマイナンバーが出てくることはない。

        xIDはアイデア的にはいい線いってそうかなと思いつつも、なんかツメが甘い感じで。

        親コメント
    • by Anonymous Coward

      劣化してて草
      身分証明書にもならないゴミを生成するだけじゃん

  • by Anonymous Coward on 2023年11月02日 9時10分 (#4556998)

    提言を見ると、「マイナンバーとマイナンバーカードを一緒にするな」って話(簡略化しすぎ)みたいね。

    提言では、
    >「本人確認」には「身元確認」「当人確認」「真正性確認+ 属性情報確認」の3 種類が含まれる。
    >解決策としては、3 つの本人確認機能を分離したうえで、ユーザーや運用面まで考慮に入れた制
    度を再設計すべきである。

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...