パスワードを忘れた? アカウント作成
13272351 journal
日記

chuukaiの日記: 都税クレジットカードお支払サイトと税の実務的要請 4

日記 by chuukai

0.まえがき
 都税クレジットカードお支払サイト(以下「お支払いサイト」)については、トヨタファイナンス株式会社が運営を行っているにもかかわらず、東京都のシンボルマークと主税局のロゴ(GIFファイル)を使用し、https://zei.metro.tokyo.lg.jpという地方公共団体を表す属性型JPドメイン名(以下「lg.jp」)で公開されています。
 lg.jpで公開されている理由については、よくある質問のページの「なぜ都税クレジットカードお支払サイトのURLを変更したのですか。」という質問への回答で

地方公共団体以外は使用できないため、疑似ドメイン名を使用したフィッシングサイト等への対策として有効なほか、地方公共団体が管理するサイトであることが分かり易くなります。

と記載されています。
 この日記では、東京都やトヨタファイナンス、GMOペイメントゲートウェイの関係者ではない私が、この回答の他にロゴの使用やlg.jpでの公開の至らせた税の実務的要請について書いてみたいと思います。なお、以下に書くことは「事実ではない、推論である」ことにご注意下さい。

1.納税通知書・納付書が入っている封筒の実務的な機能(効果)
 東京都の税金には色々な種類があるのですが、お支払いサイトで納付できる税金は、納税通知書が送られてくるような税金(自動車税、固定資産税・都市計画税、個人事業税、不動産取得税)になっています。
 その納税通知書は普通郵便で封筒に入れられて東京都から送られてきます。東京都から納税通知書をもらったことはないので画像検索をしてみると、東京都から送られてきたことが分かるように、封筒には「東京都」という文言と東京都のシンボルマークが印刷されています。
 この封筒には、納税通知書や納付書を入れて送付するだけではない、税の実務的な意味合いがあります。
 仮に、業者との契約で、あなたが上記の種類の税金を負担することになったとしましょう。業者がやってきて「東京都からこの納付書が送られてきたから払っておいて」といって、納付書を裸のまま(どんなものにも入れずに)渡された場合と、東京都が使っている封筒に入れて渡された場合とでは、納付書自体や相手の言うことへの信用が変わってくるのではないでしょうか。少なくとも、業者の側から見れば、東京都の封筒に入れて渡したほうが、信用度が高く、従ってあなたが納付する確率が高くなる効果があると考えています(あなたが納付してくれなかったら自分が東京都に強制的に納付させられることになるのだから、考えられる手を尽くす)。
 そのため、納税通知書・納付書と、役所(この場合は東京都)が使っている封筒を合わせて手に入れて、両方を納付させたい相手に渡すということが税の(一部で)実務として行われています。
 人は、手続(納税証明書・納付書)だけを見るのではなく、それに付帯するもの(封筒)も見て、安心することで、納付率が上がるのです。
 納税通知書・納付書が入っている封筒にはそのような機能(効果)が税の実務的にあるのだと個人的に考えています。

2.お支払いサイトを封筒と同様に考えてみる
 翻って、お支払いサイトについて考えてみましょう。
 あなたがこのサイトで行う行為はなにかというと、トヨタファイナンスに対してあなた名義の税金を東京都に納付するよう委託する(立て替え払いをしてもらう)ことであって、行為の相手はトヨタファイナンスであり、東京都は相手ではありません。
 ではなぜ、東京都はまるで行為の相手方であるかのように、お支払いサイトに東京都のシンボルマークと主税局のロゴを掲げさせ、lg.jpドメインを使用させているのかについて、理由を推測してみます。
 牽強付会で申し訳ないのですが、1.で書いたとおり、人は、手続(納税証明書・納付書、この場合はサイトの内容)だけを見るのではなく、それに付帯するもの(封筒、この場合はlg.jpのアドレスや、アドレスバーに表示される東京都の文言、掲示されているシンボルマーク、ロゴ)も見て、安心し、実務的には納付率が上がると考えられます。逆に、EV証明書が普通のSSLサーバー証明書よりも厳格な審査に基づいて発行されているとしても、アドレスバーに表示される運営者がトヨタファイナンスなら「なにこれ?」で終わってしまいます(失礼)。実務的には「東京都」と表示されることのほうが(封筒の例で見た通り)重要であり、そう表示されることが税の実務上の強い要請であり、そこも含めて、フィッシングサイト対策という形で、お支払いサイトはlg.jpドメインになり、ロゴが掲載されたのだろうと推測しています。

3.アドレスバーに「東京都」という名称が表示されても東京都に対するようにサイトを信頼してはいけない
 税の実務としての要請があるとしても、その要請を実現する手段として、サイトをlg.jpで公開し、そのEV証明書でブラウザに東京都の名称を表示させるという方法を使うことは、本来は筋違いです。なぜなら、アドレスバーに東京都の名称を表示させているEV証明書は、東京都のような地方公共団体、それと同種の権威を持つ団体などが信頼を与えて発行しているのではなく、東京都とは無関係に設立された団体が運営する認証局が発行しているものだからです。アドレスバーに東京都と表示するようなEV証明書は厳格な審査があって発行されるのでそれなりに価値はありそうですが、東京都がEV証明書の発行過程において信頼を付与するものではないのです。
(お支払いサイトのEV証明書を発行した認証局の一般名称は、現時点で確認したところSymantec Class 3 EV SSL CA - G3です。この認証局はEV証明書を発行するときに証明書発行の請求をした主体が東京都であることを確認しているはずです。でも、Symantecがずぼらをしている可能性が考えられますし、過去のサーバー証明書発行の歴史では無関係な主体に対する証明書誤発行がありました。)
 この筋違いな状態が将来的に改善するかというと、私は悲観的です。
 理由は2つあります。
 ひとつは、税の実務的要請は強いので、そこを引っ込め(させ)にくいだろうと予測します。
 もうひとつは、いままでのフィッシングサイト対策として、アドレスバーを見ろという教育がされてきましたが、アドレスバーの表示の内容(その表示はどこから来て、どのような主体がどのように信頼を与えているのか)については説明が省略されてきましたから、東京都を再教育することにより本来の考え方に戻すことは難しいのではないかと思います。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年05月06日 9時41分 (#3205778)

    地方公共団体ではないトヨタ・ファイナンスに使わせた理由が「地方公共団体以外は使用できないため」って、うん、わからん。

  • by Anonymous Coward on 2017年05月06日 10時59分 (#3205792)

    「東京都」ロゴとイチョウマークの入った名刺を出してきた相手が、
    実は都庁の職員でありませんでした、とたとえてよいでしょうか。
    (これだと詐欺としか思えませんが)

    • by Anonymous Coward

      実際詐欺としか思えないような話だから仕方ない

      • by Anonymous Coward

        ただしそのロゴの使用は東京都が認めているどころか、むしろ使うようにしているところが通常の詐欺とは違うところ。
        なぜ東京都がそれを認めたのかというと、民間企業は利用できないので。
        では他の業者は使って良いかというと当然ダメ(コンビニ支払いの例)。

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...