ここから本文です

マイナンバーカード交付、お役所の残念すぎる運用実態

ITmedia エンタープライズ 7月5日(火)13時59分配信

 先日、やっと「マイナンバーカード」交付のお知らせが届きました。このコラムでも申請したというお話を書きましたが、申請したのは2016年1月末。そしてカード交付のお知らせが届いたのは2016年6月中旬で、なんと半年近くもかかったのです。

【画像】マイナンバーカードを使って各種証明書を受け取れるというが、この説明では……

 マイナンバーカード関連は省庁側のシステムがトラブル続きという話を聞いていましたが、まさかここまで待たされるとは思いませんでした。とはいえ、その半年間でマイナンバーカード自体が必要なことは1度もありませんでしたが……。

●マイナンバーカードの残念な運用実態

 さて、今回は、マイナンバーカードを受け取る時に感じた、本当にひどい運用を取り上げたいと思います。最初に断っておきますが、市役所の現場で働く方々に非はありません。マイナンバーのために特別な運用で対応していた職員の方々には同情せざるを得ないことばかりでした。

 「これはひどいなあ」と感じたのは、やっぱり暗証番号のお話です。マイナンバーと同じくらい重要な(しかも本人だけが知りうる情報のはずの)暗証番号について、交付のタイミングで1枚の紙を渡され、そこに「暗証番号を書いてくれ」と指示されたのです。

 恐らく、そこにメモをしておいて、タッチパネルの画面に入力しやすいように――という考えなのでしょうが、暗証番号を市役所の職員に見せるのは大きなリスクです。これは断ることができたので、あらかじめ記録していたスマートフォンのメモ(もちろん、パスワード管理ツールで誰にも見られないようにしたもの)を元に、タッチパネルの画面に向かいました。

 大きなタッチパネルには、マイナンバーで必要な4つの暗証番号を入力する画面が開かれています。必要なものは下記の内容で、1つは6文字以上16文字という、一般的な“パスワード”。しかし、ここには「大文字のみ」というルールがついています。そしてその他3つは数字4桁で、同じものを設定することが可能です。

●同じ暗証番号を設定することもできます→実際は同じものを推奨している?

 タッチパネルを前に、2点ほど「これはおかしい」と思うことがありました。1つは「暗証番号を全て同じものにする」というチェックボックスがあり、それが最初からオンになっていたこと。これはつまり「暗証番号は皆さん同じものを設定しましょう」というサインです。確かに、この3つの暗証番号を区別している方自体が少ないですし、私もいまだにこの3つの暗証番号を、それぞれどういったシーンで使うかという説明を聞いたことがありません。

 恐らく、セキュリティレベルを上げるためにパスワードを分けることを“上のえらい人”が考えたものの実運用上の利便性が完全に無視されていたため、実際は「わざわざ異なる暗証番号を付ける人はいないだろう」ということで、“運用”でカバーした――という、実によくある話に落ち着いたのでしょう。リスクと利便性のバランスが本当にひどいことになっています。

 それは、マイナンバーカードと一緒に配られた資料にも現れていました。

 マイナンバーカードの(現状数少ない)“利点”として、コンビニエンスストアなどでマイナンバーカードを使い、住民票の写しなどを取得できるサービスが順次スタートする予定です。

 その方法を記した解説には単に「暗証番号を入力」とあるのですが、どの暗証番号を入力すればいいのかが分かりません。このあたりにも、「そもそも暗証番号を分ける人などいないでしょ」、という考えが見え隠れします。すごく分かります。私もこのコラムを書いていなかったら、同じ暗証番号にしますからね……。

●暗証番号の正式名称は何?

 そしてもう1つおかしいと思ったのは、事前に決めてきた暗証番号の名前と、目の前に出されたタッチパネルの暗証番号の名称が合っていなかったのです。

 マイナンバーポータルなどで使われている名称は、

・署名用電子証明書
・利用者証明用電子証明書
・住民基本台帳
・券面事項入力補助用

 でした。

 しかしタッチパネル上には、

・個人番号カード
・券面事項入力補助情報
・公的個人認証情報の利用者証明用
・公的個人認証情報の署名用暗証番号

 と書かれています。

 入力欄から考えて「署名用電子証明書」=「公的個人認証情報の署名用暗証番号」ということは分かりましたが、その他のどれがどれに対応するのか、さっぱり分かりません。少なくとも、文言の統一はしてほしいと思います。

 ちなみにこれらの暗証番号は、入力を一定回数間違えるとロックされ、そのロックは「電子証明書の発行を受けた市区町村の窓口」でないと解除できない仕様です。内容を考えると間違ってはいない作りではありますが……。

●“ふつうの人”は同じ暗証番号を付けざるを得ない?

 マイナンバーカードの仕様はとても考えさせられると思います。マイナンバーという重要な情報を守るため、法整備を含めて“きっちりかっちりした仕組み”を作っています。しかしその実態は、その通りに運用することが不可能で、現場やエンドユーザーが運用を創意工夫し、決められたセキュリティが無きものになってしまうかのような実運用になっているようなのです。これは企業、個人とわず「セキュリティ」でよく見る風景ですよね。

 そもそもこれは、暗証番号を「使い回さない」と決めた人だけが感じるものかもしれません。このコラムでも常に「パスワードは使い回すな!」と言っていた私ですので、マイナンバーカードでも使い回すわけにはいきません。

 こんな現状なので、できれば全て別々の暗証番号を設定してほしいと思うものの、実際は「誕生日でも電話番号でも銀行の暗証番号でもない、新しく考えた数字4桁をマイナンバーカードに使いましょう」としか言えないのがもどかしいところです。

 まさかこんなにすぐにネタになると思ってなかったので、個人的にはありがたかったのですが……(苦笑)。

最終更新:7月5日(火)13時59分

ITmedia エンタープライズ