マイナンバーカード運用の落とし穴

定額給付金のオンライン申請をきっかけとしてマイナンバーシステムへの批判が出ています。
その中にはITシステムの開発に携わる立場として「それはちょっと違うよ」というような批判もあります。

今回気になったのは西日本新聞さんの「10万円申請、記者もトライしたけど…やっぱりマイナンバーが落とし穴」という記事です。

これはシステムというより運用による落とし穴です。

まず、今回のオンライン申請はマイナンバーカード内の電子証明書を利用します。
これは全国統一の受付システムとしてはマイナポータルしかないために致し方ない点があります。

さて、電子証明書ですが、証明書として使用するのですから当然のことながら有効期間と発行元が重要になります。

マイナンバーカードの電子証明書の有効期間は5年となっていて、実は証明書のセキュリティを考えると長過ぎるのですが、電子証明書の更新の手間を考えると落としどころの年数ではないかと思われます。
早めにマイナンバーカードを作成した方々の電子証明書の有効期限が今年になるため、有効期限切れという事象が発生してしまったのですが、1~2ヶ月前には更新のお知らせが届くようになっています。
また、マイナンバーカードを見てもらうと電子証明書の有効期限を記入する欄があり、自治体で電子証明書を発行してもらったときにそこに「所有者自身で記入してもらう」運用になっています。

発行元は各自治体になりますので、引っ越しをした場合に証明書の発行元が証明書内の住所と異なる自治体では証明書としての信ぴょう性がなくなります。
そのため、マイナンバーカードの住所を変更するとマイナバーカードの青い箇所に新しい住所が印字されると同時に電子証明書を失効させます。
気を付けなければならないのは同一自治体内の住所変更であっても失効させるはずです。(この点は未確認です)

失効した電子証明書を再発行させるために再度パスワードが必要になるのですが、前回と同じパスワードでも問題ありません。

電子証明書のセキュリティを考えれば、これらの仕組みは当然のことで、例えばオンラインでパスワードを変更させろとかの指摘もありますが、そのためにセキュリティが低下してもいいのかという話になります。
少なくともマイナンバーカードについては、多少の運用で避けることのできるセキュリティリスクは負うべきではありません。

運用の落とし穴というのは、このマイナンバーカードの電子証明書の作成が任意であるために存在しています。

任意であるがために住所変更したときに自治体担当者が電子証明書の再発行について確認しないことがあるようです。

電子証明書の作成を必須にすれば、その穴はなくなるのですが「電子証明書って何?」「どんなときに使うの?」とか質問されると自治体の担当者も答えに窮するでしょう。
今回は、定額給付金の支給でたまたまマイナポータルを使うことになったので使い道が出てきましたが、今後はそんなに出てくるとも思えません。

健康保険証として使用するときにどのように運用するのか興味のあるところです。
マイナンバーの運用の仕組み上、医療機関に端末が必要なことは確かなのですから、本人がその端末で4桁の暗証番号を入力してマイナンバーカードを読み込ませるようになると予想しています。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)