ほまるさんのページ | デジタル改革アイデアボックス

あなたと創るデジタル社会

デジタル改革アイデアボックス


ほまるさんのマイページ

ウェブサイト
http://
自己紹介文
自己紹介は未記入です。

投稿したアイデア 10

「デジタルの日」をシステムメンテナンスやBCP訓練の日としてください

ほまるさん

意見募集は12/11で終了してしまったようですが、ざっと見たところ類似するアイデアがなかったようなので書きます。 デジタルの日は、システムのメンテナンスあるいはBCP(事業継続計画)に沿った訓練を行う日とすることを提案します。 2か月ほど前、東証がシステムトラブルを起こして... » 詳しく

多重下請け構造の打破と内製化を促進するため、IT技術者の解雇規制を緩和してください

ほまるさん

IT業界(SIer)の悪評高い慣習である多重下請け構造について、その要因として日本は雇用の流動性が低い(解雇するためには整理解雇の4要件を満たさなければならずハードルが高い)ことが挙げられます。昔から言われていることですが、IdeaBox内を検索してもこれについてのアイデアがまだ... » 詳しく

デジタル庁が目指すシステム運用経費3割削減の方針について

ほまるさん

デジタル庁が目指すシステム運用経費3割削減という後ろ向きの取り組みに反対します。 報道によると、2025年度までにシステム運用経費を3割削減するとされています。 政府のIT予算に関する情報がまとまっているITダッシュボードによると、システム運用経費は2013年度比で2021年度まで... » 詳しく

マイナポータルをIDプロバイダとして広く提供することによる利便性向上とカード普及促進

ほまるさん

マイナポータルをIDプロバイダ(IdP)として、民間を含め広く活用できる認証基盤とすることを提案します。 これによって国民にとっての利便性向上と、それによるマイナンバーカードの普及促進が実現されると考えます。 利便性向上の内容は以下の通りです。 1. 民間サービスはGoogle... » 詳しく

公共系システムのUI/UX改善とアジャイル開発の適用、それに向けた政府の取り組みについて

ほまるさん

公共系システムの開発を外部のシステムベンダに発注する場合、納期に間に合うように予算内で機能を実装することが最優先となり、定量化が難しい「使いやすさ」は調達仕様に含まれないこともあって、UI/UXはなおざりになります。 (関連トピック ideabox:///idea/02857?%4002857 ) で... » 詳しく

UI/UXに優れた使いやすいシステム/サービスを作るにはどうしたらよいか(第2回対話を受けて)

ほまるさん

IdeaBox第2回の対話でも述べられていたように、公共系のシステムではUI/UXがなおざりになっていて使い勝手の悪いシステムが多く存在します。 これはメルカリのUI/UX担当者が優秀でシステムベンダがそうではない、という問題ではなくて(そういう側面もあるでしょうが)、公的なシステム... » 詳しく

クラウドを使ったシステム調達のモデルとなる調達仕様書の提供

ほまるさん

現状において、システムとして求められるサービス品質保証とクラウドサービスプロバイダがSLA(サービスレベルアグリーメント)で追う責任には大きな隔たりがある場合があります。一般的にクラウドサービスプロバイダは問題を起こしても利用料を返金するだけであり、生じた問題には責任を... » 詳しく

機械可読な法律の記述を実現することによるシステム保守コストの低減

ほまるさん

現在定められ運用されている法律の条文は、大変に解釈が難しくその道の専門家でも解釈がぶれてしまうことがありますが、条文の解釈にルールを定め、条文あるい法令に付随する文書の記法を工夫することで解釈の余地がないようにされることを期待します。 これが実現できると、法令が機械... » 詳しく

パーソナルデータストアの実現と、パーソナルデータストアを通じた各種手続きのワンストップ化

ほまるさん

国がパーソナルデータストアを運営し、国民がそこに情報を預けるとパーソナルデータストアから各種サービス(電話・電力・ガス・自治体・銀行・等々)に情報が自動で連携される仕組みを実現することで、手続きのワンストップ化が実現され、国民の負担を減らすことができるでしょう。 パ... » 詳しく

公的個人認証を用いた一人1アカウントの実現

ほまるさん

公的個人認証サービスをIdP(IDプロバイダ)として、民間事業者に個人を特定するトークンを連携することにより、民間事業者にて確実に「一人1アカウント」(複数アカウントを作れない)を実現できるようになります。 これを実現することにより、一人が多数のアカウントを使って買占めを... » 詳しく

お気に入りアイデア 3

三層分離の見直し(マイナンバー利用事務系とLGWAN接続系の統合)

あきさん

元々行政のネットワークは、住民情報系ネットワークとLGWAN・インターネット系ネットワークの2種類でした。年金事務所の情報流出事件を機にマイナンバー利用事務系、LGWAN系、インターネット系の三層分離されました。 今年の5月に「自治体情報セキュリティ対策の見直し」の方針が示され... » 詳しく

エストニアのDigiDocの実現

デジタルコンシェルさん

前職でエストニアの技術を提供する企業にいた関係で、自分自身もe-Residencyを持ち、エストニアの技術に触れて参りました。 その中で日本に居てもとても便利だと感じたのがDigiDoc(https://en.wikipedia.org/wiki/DigiDoc)でした。 これは、エストニア政府が発行しているIDカードを使... » 詳しく

自治体システムの共同利用の義務化

下書きさん

昨年より、総務省にて自治体システム等標準化検討会が立ち上がり 第1段として住民記録システム等標準仕様書が公表されています。 ・自治体システム等標準化検討会(住民記録システム等標準化検討会) https://www.soumu.go.jp/main_sosiki/kenkyu/jichitaishisutemu_hyojunka/index... » 詳しく

投稿したコメント 95

デジタル庁が目指すシステム運用経費3割削減の方針について

COCOAの問題が発生したので、こちらの問題にもあらためて触れておきます。
COCOAが「実はAndroidでは機能していなかった」(GitHub上では指摘されていたのにその確認や修正に取り組まれなかった)、ということが起きたのは、まさに運用保守が軽視されていたことの象徴であるとと思います。

お金だけの問題ではありません。システムの開発が終わった後もシステムを取り巻く環境の変化に追随すること(例えば、GoogleやAppleといった、システムが依存するプラットフォームの仕様変更や指示を受け対応する必要がある)、正しく機能しているかどうかをモニタリングし続けることやテストを回し続けていくこと、の重要性を発注者側が理解し、それに合わせた運用保守体制を構築・維持する必要があります。

by ほまるさん - 2021/02/06 10:08 問題を報告

日本企業運営のAWSのようなデジタルインフラが必要

いくら政府が国内ベンダを盛り立てようと発注しても、とてもAWS、Microsoft、Googleに追いつく見込みはありません。
@00895#006 にも書いたのですが、AWSやGoogle、Microsoftの年間研究開発費は数100億ドル単位です。一番多いAWSは360億ドル(4兆円近く)であり、それに対して日本の代表的国内ベンダの研究開発費は1,200億円くらいで、数十倍の差がつけられています。

また、国の年間のIT支出は8,000億円程度であり、これを全部国内ベンダへの発注に回しても、国内ベンダの売上高研究開発費比率が1~5%くらいなので研究開発費は100~400億円くらいしか増えないでしょう。というか現状でもほぼ国内ベンダを使っているはずなので、ほとんど増える余地はありません。

こうした現実を見ると、どうやってもAWSやMicrosoft、Googleに勝てないどころか差が開く一方では…と思ってしまいます。

by ほまるさん - 2021/01/14 20:51 問題を報告

公共システム開発案件での準委任契約

いわゆるフェージング契約を採用すべき、というアイデアだと思います。
しかし上流工程でスコープ・工数が確定する、という考え方はアジャイル開発にそぐわないものです。「スコープや工数が確定した」とする時点でそれ以降はウォーターフォール開発になっていると考えるべきです。

開発する機能を確定して契約し、開発が終わったら運用に引き継いでお終い、とするのではなく、本質的に価値のあるサービスに育てていくため、一度リリースした後も改善のために要件定義からリリースのサイクルを回し続けることが、アジャイル開発になるのではないでしょうか。

私も以前に公共向けシステムでどうすればアジャイルを実現できるのか、という問題意識を持って投稿したので、リンクしておきます。

@02857 UI/UXに優れた使いやすいシステム/サービスを作るにはどうしたらよいか(第2回対話を受けて)
@03016 公共系システムのUI/UX改善とアジャイル開発の適用、それに向けた政府の取り組みについて

by ほまるさん - 2021/01/12 20:50 問題を報告

マイナンバーに顔認証を

ここまでのコメントで、本アイデアを提案、賛成されている方は現時点で顔認証が本人認証として十分なセキュリティを備えているかどうかは問題にしておらず、将来こうあるべきだという理想像を述べられているのだと理解しました。
そうだとわかっていれば最初からコメントしないのですが、まあ、不便な点を指摘し、より良い方法がないかという課題を示すことには確かに意味はあると思います。

顔認証という手段が目的になっていないかとは思いますが、マイナンバーカードの代替として顔認証を使うにあたっての複数の課題が全て解決する未来も、いずれやってくるかもしれませんね。

by ほまるさん - 2021/01/08 00:11 問題を報告

私はあらゆる場面で顔認証が使えないと主張している訳ではありません。
セキュリティというものは常に100%を目指すものではなく(そもそも100%安全ということはあり得ません)、リスクの発生確率やそれが顕在化したときの損失と、利便性やコストなどのバランスを取って実現手段が選択されるものです。それ単体で認証して誤認識が起きたり攻撃者に突破されてもさほど支障がないなら、顔認証も選択肢になります。

ただ、デジタル手続法によりあらゆる行政手続がオンラインで実現されるにあたって採用される認証・署名の方式としては、安全性を重視すべきであり、マイナンバーカードに搭載された耐タンパ性のあるICチップ(近い将来にはスマホとその中のセキュアエレメント)、およびその中の秘密鍵を使ったPKI技術、そしてカードをかざしつつPINなどを使った多要素で行われる認証や署名が、より安全性が高く妥当な方式だと考えます。

しかし将来、より利便性が高く安全性も高い方式が現実的なコストで実現できるようになれば、それに置き換わっていくでしょう。
そしてそれが顔認証である可能性は否定しません。

by ほまるさん - 2021/01/08 00:07 問題を報告

また #027 で「ニュー・ジャージー州の住民が顔認証システムのミスで禁固刑 間違って泥棒と認識」みたいな記事を示しながら、マイナンバーカードを廃し、顔だけで行政手続きもできるようにすべきだとする本アイデアに賛成している、というのはどういうことなのでしょうか。

「顔認証に関する法整備」が行われることには私も賛成ですし、すでに顔認証(顔認識)が様々なところで使われていることに異論もないのですが、それが本アイデアに賛成することにつながるとは思えないのですが…。

by ほまるさん - 2021/01/06 22:33 問題を報告

#026 に顔認証による万引防止システムがリンクされていて、監視はすでに行われている、というコメントがなされていますが、それによってマイナンバーカードを使わず顔認証によりオンラインでの行政サービスや要配慮個人情報を含む情報を参照したりすることが正当化される、とお考えでしょうか?

Wikipedia「本人認証」からの引用ですが、「本人認証は何らかの経済的・法的行為の入り口となるものであり、本人の意思の確認が必要であって、権利義務の主体の確定にかかわる分野で適用される。これに対して、個人識別では識別対象となる個人の意思は問題とされず、識別される側は主体ではなく客体として登場する。」とされています。
ここで問題にしているのは「本人認証」が顔で行われることの是非であり、#026 の万引き防止システムの例は「個人識別」にあたるものであって、別物です。顔で個人識別が行われていることやそれに対する個人情報保護法での扱いが議論されていることをもって、本人認証としてのマイナンバーカードを顔認証に置き換えることを正当化する理屈が成り立つとは思えません。

by ほまるさん - 2021/01/06 22:32 問題を報告

#022 #024
オンライン資格確認は、マイナンバーカード(所有)と顔認証(生体)という多要素の認証になります。認証用のリーダーは国が認めた機器になります。
台湾のATMでの顔認証利用は、まずIDを入力させた上で顔(生体)とパスワード(知識)を使って多要素認証する仕組みです。認証するATMは銀行に管理されたものを使います。また引き出し1回の上限は1万元に制限されることでリスクコントロールされています。

どちらも顔だけで個人を識別しているわけではなく、マイナンバーカードあるいは入力されたIDで個人の識別が行われた上で、顔の特徴を照合しています。
本アイデアに記載されているように、手ぶらで顔をかざしただけで認証が終わったり、その辺のスマホで顔認証すればよい、というものではないですね。

#003 に書きましたが、利便性と安全性(リスク)を天秤にかけて利便性が勝ると判断できるなら生体認証を使うことも選択肢になると思います。
ただ、今後要配慮個人情報の連携に使われたりあらゆる行政手続を実現するマイナンバーカードを置き換えるものになるとは思いません。

by ほまるさん - 2021/01/06 08:47 問題を報告

#015
>それらが仮に知られたとして直接的にどのような被害と結びつくのか

マイナンバーという番号そのものは流出しても直ちに問題は起きませんが、認証となると話は別です。

今後、マイナンバーカードを活用した医療情報の連携もされることになっています。病歴などの医療情報は要配慮個人情報であり、流出すれば差別・偏見につながる恐れがあります。
またデジタル手続法の成立により、行政のあらゆるサービスが最初から最後までデジタルで完結されるよう、行政サービスの100%デジタル化・オンライン化の実現に向けて取り組まれるとされています。これを実現するにあたっては厳格な本人認証が必要になることは想像に難くありません。

海外では顔認証すること自体が人権侵害だとして問題になっていたりもします(検索すればたくさん出てきます)し、こんな記事もあります。

中国で脆弱さを指摘され見直される顔認証
https://japan.zdnet.com/article/35162372/

将来画期的な技術が生まれるかどうかはわかりませんが、現時点で顔認証がマイナンバーカードに取って代われるとは思えません。

by ほまるさん - 2021/01/04 20:43 問題を報告

#015
スマホの生体認証は、認証される本人が認証するデバイスに対してあらかじめ生体情報を登録して成り立つものです。つまり「認証される当人がデバイスを信頼しており、そのデバイスの中だけで生体認証が完結する」仕組みです。不特定多数のセンサーに生体情報をさらす必要はなく、サーバに生体情報が送られることもありません。
FIDOと呼ばれる技術では、生体認証はデバイスの認証機能のロックを解除するために使われ、サーバとデバイスの間で秘密鍵を使った認証が行われるという仕組みになっています。私も、FIDOのようにスマホに格納されたマイナンバーカード認証機能をPINではなく生体認証で解除して認証に使う、という方式ならアリではなかろうかと思います。(ほげさんに示していただいているリンク先の資料にもFIDOの仕組みを参考にすると書かれていますね)

しかしこのアイデアでは、認証される本人は何も持ち歩かずに顔をさらすだけで認証される、ということを述べているため、スマホで使われる生体認証やFIDOとは異なります。スマホで生体認証が使われているから、顔だけの認証でも安全性は十分だ、という理屈は成り立ちません。

by ほまるさん - 2021/01/04 20:17 問題を報告

生体認証をマイナンバーカードに代わる認証方式とした場合、不正なセンサーや改造されたセンサーなどを使ってナマの生体情報を窃取される可能性も考慮すべきでしょう。それを窃取されてしまえばサーバ側でいくら堅牢に守っても意味を成しません。センサーに問題があれば指を何本使おうがまとめて窃取されます。顔と指紋と静脈と…と組み合わせればコストが跳ね上がります。生体認証とカードなどの方式を組み合わせる、ということであればそもそも解決したかったであろう利便性の向上(モノを持ち歩かなくてもセンサーにかざすだけで認証)は実現しません。
マイナンバーカードの場合不正なリーダーを使われても耐タンパ性のあるICチップ内の秘密鍵を盗むことはできないため、現時点の技術として生体認証より安全です。カード紛失についてはコールセンター(24時間/365日対応)に電話すれば一時利用停止させることができますし、PINを一定回数間違えればロックされるので不正利用される可能性は低いでしょう。

まあ、生体認証にまつわる課題は時間さえかければ新しい技術により解決されるという前提であれば、反論の余地はありません。

by ほまるさん - 2021/01/03 23:48 問題を報告

#009
>カードが認証時になければ本人であっても証明できない点に不利益を感じます。

このような問題点を解決する方法として、ICチップを皮下に埋め込むというのも解決策になり得ます。実際に埋め込んでいる人もいます。生体認証の課題が技術で解決できるとするなら、ICチップ方式の課題もこうした方法で解決することができます。

by ほまるさん - 2021/01/03 17:59 問題を報告

単に生体情報を使って認証するよりもマイナンバーカードが優れているのは、耐タンパ性(外部から読み取られない性質)のあるICチップ内で秘密鍵を使って演算し、その演算結果で認証が行われる点です。この方式であれば認証時であっても秘密鍵をICチップ外に出す必要はなく、物理的にICチップを所有していれば他者になりすまされることもコピーして拡散されることもありません。
一方指紋や静脈では生体の持つ特徴が流出しコピーされる可能性があるし、流出したとしても気づけないかもしれず、また交換もできません。

生体認証の優位点だけを示して劣っている点について解決策を示さず将来的に技術で解決すればよい、というのならそれはマイナンバーカード(の中のICチップ)による認証でも同じことが言えます。
マイナンバーカードによる認証が絶対的に優れていると思っているわけではありませんが、かといって生体認証ありきではなく、フラットに評価するべきではないでしょうか?

by ほまるさん - 2021/01/03 16:16 問題を報告

マイナンバーに紐づく本人認証APIの提供

>→メールアドレスとパスワードのみでは流出した時のダメージが大きすぎる

OpenID ConnectはID連携の仕組みですが、認証方法そのものについては規定されません。そのため、ID・パスワードではなくにはマイナンバーカードを使って認証し、その結果を連携することができます。

>→マイナンバーを利用できる企業を許可制または免許制で管理するべき

マイナンバーそのものは認証に使われることはありません。マイナンバーカードによる認証では、カードに搭載されたICチップ内に格納されている電子証明書と秘密鍵を使って認証が行われます。
またOpenID Connectにより連携されるのは仮名化されたID(連携対象の事業者毎かつ個人ごとに異なるID)にすることができます。マイナンバーを使うことはありません。

>→有効期限や認証取消機能を認証サーバ側に持たせる必要がある

履歴の用途はわかりませんでしたが、マイナンバーカードの有効期限や失効であれば公的個人認証サービス(JPKI)で行われ、マイナンバーカードで認証するたびにその有効性が確認されます。

by ほまるさん - 2020/12/31 15:27 問題を報告

似たアイデアとして以下の投稿を過去にしました。

@00139 公的個人認証を用いた一人1アカウントの実現
@03704 マイナポータルをIDプロバイダとして広く提供することによる利便性向上とカード普及促進

APIとしてはOpenID Connectを使うアイデアで投稿していますが、目指すところは同じなのではないかと思います。

by ほまるさん - 2020/12/30 17:51 問題を報告

マイナンバーに顔認証を

ちょうど生体認証について、マイクロソフトのクラウド認証サービスに関するサポート情報のブログに生体認証に関するリスクをしっかり説明した記事が公開されていたので、一読されることをお勧めします。
https://jpazureid.github.io/blog/azure-active-directory/biometrics-keep-your-fingers-close/

また政府CIOポータルの標準ガイドラインでは、オンラインにおける本人確認手法の評価がされています。生体情報のみでの認証はマイナンバーカードによる認証と比べて2段階低いレベルに位置付けられています。
https://cio.go.jp/sites/default/files/uploads/documents/hyoujun_guideline_honninkakunin_20190225.pdf

とはいえ安全性と利便性を天秤にかけて利便性を優先すべき用途であれば、生体情報のみによる認証も選択肢になるかもしれません。
あるいはFIDOならある程度安全性も確保できるかもしれませんが、デバイスは必要です。

by ほまるさん - 2020/12/30 17:34 問題を報告

公的個人認証を用いた一人1アカウントの実現

#028
>日本国内居住者に対してはある程度の規制がかけられるでしょうが、海外の方がネットショッピングなり、来日して実店舗にて買占めを行った場合は、複数策を徹底したとしても抜け漏れが生じるかも

本アイデアの通り、公的個人認証サービスを使って認証連携されたアカウントのみで購入できる流通と、そうでなくても買える従来通りの流通に分けることが考えられます。台湾のマスク販売もそうなっています。
ネットショッピングにしろ来日しての購入にしろ、買占めが可能なのは従来通りの販売のみであり、公的個人認証サービスを使って認証連携されたアカウント向けに流通させた分については買占めできません。

by ほまるさん - 2020/12/27 00:18 問題を報告

#027
#010 のようなシステムを作る場合、名寄せのデータをどこに持たせるかがピンと来ていません

「商品の購入状況を集約するシステム」のことであれば、OpenID Connectとは無関係に新しいサーバを立てることになりますね。
自治体の中間サーバは自治体ごとに立てられていますが、 「商品の購入状況を集約するシステム」はECサイトなどの事業者(SP/RP)が中間サーバを立てる必要はなく、IdPとなる組織がサーバを立てるイメージです。事業者側からそのサーバ(システム)に商品の購入状況を問い合わせることになります。

>事業者ごとに別々のトークン(Pairwise Identifier)を持たせるんですよね?

そうです。Pairwise Pseudonymous Identifier(PPID。仮名化ID)ですね。この名前が出てこず安直に「トークン」と表現してしまっていたのですがあまりいい名前付けではなかったと思っていたところです。このアイデアに関してトークンと読んでいる箇所は、PPIDに読み替えていただければと思います。

by ほまるさん - 2020/12/27 00:08 問題を報告

#022
>公的個人認証を用いてその ID を複数の事業者を跨いで紐付けて IdP のように第三者提供するような使い方はそれが出来るとするのであれば恐らく許されていないのではないか

マイナンバーのように悉皆性・唯一無二性を持つ番号を直接第三者提供するような使い方は、番号法で規制されています。しかし、このアイデアで述べている「トークン」のように対象組織毎に個人に異なる番号を振った場合はその限りではありません。
主に自治体間の個人情報流通に使われている情報提供NWSでも「機関別符号」として機関毎に個人に異なる番号を振る仕組みを使っており、運用されています。

by ほまるさん - 2020/12/23 23:51 問題を報告

#022
>例えばコンサートチケット等を旅行者が渡航前に海外から購入するというシチュエーションは珍しくはありません。

海外の購買者層が見込まれるなら、それに合わせて流通させればいいですよね。一部のチケットは海外の旅行会社やチケット会社に流すとか。すべての流通量をここで提案した仕組みに乗せることを強制するものではなく、あくまで選択肢になります。
台湾では、健康保険カードを使って一人当たりの購入数を制限する形でマスクを流通させました。カードを持たない外国人旅行者や在外台湾人はそれが活用できるわけではなかったのですが、成功モデルとして広く知られています。(システム普及後は買占めが起きないためか市中でも買いやすくなったようです)

>提案されている内容はその集合が限定され

平井大臣は、デジタルだけで100%解決するのではなく、デジタルで効率化したリソースでアナログで対応しなければならない部分をサポートする、といったことを発言されています。
デジタルに対応できる人にはそれに応じた手段で対処し、そこに乗れない人がいればアナログも含めた対処をしていけばいいのではないでしょうか。

by ほまるさん - 2020/12/23 23:49 問題を報告

#021
>実店舗であろうと、マイナンバーカード提示により(店側がシステム上でチェックを行い販売可能か否かの判断を行い対応)、同商品(類似機能商品含?)を購入済であることが判明すれば購入不可ということですね。

台湾のeマスクシステムでは、健康保険カードを使ってオンラインで購入(一人あたり買える枚数が制限されている)・受取予約をして、コンビニで受け取ることができたようです。

by ほまるさん - 2020/12/23 23:45 問題を報告

#019
@03704 みたいなイメージでしょうか?

その通りです。

>公的個人認証サービスとマイナポータルの関係がイマイチピンと来ていませんが。。。

公的個人認証サービスは、マイナンバーカードに格納される電子証明書・鍵の発行や、その証明書が失効していないかどうかを確認する機能を持ちます(PKIでいうところの認証局)が、直接個人の認証(ログイン)を行う画面などの機能は提供していません。
マイナポータルは、マイナンバーカードに格納された電子証明書を使って個人の認証(ログイン)を行います。その際に電子証明書が失効していないかどうかを、公的個人認証サービスから提供される失効情報によって確認します。

>中間サーバとECサイトのプロトコルを独自にすることを考えていました。

オープンスタンダードであるOpenID Connectであれば、世の中に広く普及しており、事業者のサービス(ECサイトなど)がIdPと接続するための各プログラミング言語のライブラリ(部品)がオープンソースで公開されています。中間サーバも必要ありません。

by ほまるさん - 2020/12/23 23:41 問題を報告

#013
>マイナンバーカードの取得は国内に住民票を持つ国内居住者に限られるので、海外の在外居住者や国外からの旅行者はマイナンバーカードを持つ事ができません。

在外邦人は海外のサービス(海外のECサイト)を使えばいいと思います。
国外からの旅行者は確かにそうですが、海外からの旅行者の平均滞在期間はおよそ9~10日間です。留学生や技能実習生といった国内居住者はマイナンバーカードを取得できますし、外国人旅行者が帰国を待てないほど緊急であれば、大使館なり観光庁なり入官庁なりが個別に対応することになるのでは。
日本国民1億2千万人を対象に力技は通じませんが、旅行者に限定するならパスポートの提示を受けて個別対応する、といった対応も現実的にはなると思います。

by ほまるさん - 2020/12/21 23:54 問題を報告

#013
ちなみに現在一般にIdPとして使われる認証サービスはほぼ海外のサービスになっています。このデジタル改革アイデアボックスで採用されているのは、Google、Facebook、Twitter、LINE、Instagramですね。国内でOpenID Connectに対応しているサービスとしてはYahoo! JAPANもありますがデジタル改革アイデアボックスでは採用されていないようです。

IdPに監査が必要だとして(監査なんて必要ない、という意見もあるとは思いますが)、例えば海外企業のサービスであるGoogleが日本の個人情報保護委員会の監査を受けるというのも想像しにくいし、民間サービスの監査をするということになると個人情報保護委員会も監査体制の増強とか、そのための費用負担をどうするかといった課題が出ます。まあ、Googleだったら余裕で費用負担しそうですが。

by ほまるさん - 2020/12/21 23:44 問題を報告

#013
>直接 IdP を提供してしまうと民業圧迫…

IdPは、個人がどのサービスを使っているか、どの程度の頻度でログインしているかを知ることができるので、IdPは自社のためにその情報を使おうとするでしょう。場合によってはプライバシーの侵害と受け取られるかもしれません。
また本アイデアでは、トークンという仕組みで、事業者間の名寄せができないようにすることを提案しています。これは、自治体間で個人情報を連携する際の情報提供NWSの仕組みを参考にしたものです。仕組み上、IdPは連携される各事業者の間で名寄せをできることになりますが、勝手に個人の情報を名寄せしてプライバシーを脅かすことがないようにする必要があります。
上述の情報提供NWSでは、その運営が個人情報保護委員会という第三者組織によって監査されることにより、そのようなことが行われないように担保しています。

上記のようなプライバシーの問題、および公的個人認証サービスを用いたIdPは社会インフラの意味合いを帯びることから、IdPは公的機関によって運営され、個人情報保護委員会の監査のもと運営されるのが良いと考えています。

by ほまるさん - 2020/12/21 23:36 問題を報告

#012
>マイナポータルから見たらSP、ECサイトから見たらIdPのように見える感じのシステムを作るイメージでしょうか?

イメージとしては近いのですが、実際にはマイナポータルと公的個人認証サービスが組み合わさってIdPの機能を提供し、ECサイトがSPとなります。
マイナポータルと公的個人認証サービスとの間のプロトコル(電子証明書が失効していないかどうかの確認)はOpenID Connectの範疇外になります。

by ほまるさん - 2020/12/21 23:29 問題を報告

#006
>小売そのものをマイナンバーカードを持つ人に限る事が出来る/許されるような商品にしか適用出来ないという問題がありますね。

その通りです。販売側としても転売を防止したい商品はありますので、販売側にこの仕組みに乗ってもらうことで、マイナンバーカードの普及にもつながるものと考えています。
マイナンバーカードの利便性を高めることで、2022年度末までにマイナンバーカードの普及率をほぼ100%にする、という政府方針の後押しをする提案でもあります。

転売(買占め)防止を一例として挙げましたが、一人1アカウントが簡単に実現できることで、民間サービスにおいて #001#002 にコメントいただいたような「信頼性の高いアカウント」を起点に新たな価値を生み出すことも可能になるだろうと考えています。

公的なIdPによるサービスの向上として、以下のようなアイデアも投稿していますのでよろしければご参照ください。
@03704 マイナポータルをIDプロバイダとして広く提供することによる利便性向上とカード普及促進

by ほまるさん - 2020/12/20 17:16 問題を報告

#006
>個別の IdP でユニークでも複数の IdP を跨げば複数人格が出来てしまう

例えばPS5は多くのECサイトで一台までしか購入しないように呼び掛けたり、実際に1つのアカウントで複数台購入できないように制限しています。本提案の仕組みを活用することで、複数アカウントを使った大量購入については抑止できます。ただ、ECサイトを跨ると複数台購入できてしまうのはその通りです。

さらに追加で、転売を防止したい商品の購入状況を集約するシステムを構築して、ECサイトがそこに問い合わせて購入履歴がなければ購入を許可し、購入したらそこに履歴として記録する、という仕組みを作れば、ECサイトに跨っても大量購入を防ぐこともできるようになります。
(名寄せができてしまうシステムになるので、このシステムは公的機関に運用される必要があります)

by ほまるさん - 2020/12/20 17:07 問題を報告

#006
>技術的には民間が頑張れば既に出来るのでは

その通りです。障壁としては、公的個人認証サービスへの接続が高額であったり総務大臣の認定が必要であることがあります。ただ、マイナポータルがIdPになってOpenID Connectで連携できれば直接公的個人認証サービスへ接続する必要がないので費用面は心配ないかもしれません。ただし今度はマイナポータルの認証連携の仕様が公開されていない(NDAを結べば知ることはできる?)のでそれを公開してもらうこと、そして実際にそれで連携した事例が出てきて広く周知されると、民間でも普及するのではないか、と思っています。

by ほまるさん - 2020/12/20 17:04 問題を報告

#003
>何か事情があって複数アカウントを作って使い分けている方もいるかもしれず。

公的個人認証と紐づけたアカウントを一つだけに限定することができる、ということを目的としています。例えばコロナ禍初期におけるマスクなどの、買占めが想定される商品を購入できるアカウントは公的個人認証と紐づけたアカウントだけに限定する、といった使い方を想定しています。
複数アカウントを使えなくすることは意図していません。

#006
民間がIdPになるのではなく、公的な認証サービスがIdPになります。例えばマイナポータルがIdPになれば、マイナンバーカードを使って認証されますので、一人1アカウントが徹底されます。
簡単にフローを説明すると、民間のサービスにログインしようとするとマイナポータルに転送され、マイナンバーカードを使ってマイナポータルで認証されたら認証された個人を識別するトークンとともにまた元のサービスに戻ってくる、という仕組みになります。なので、民間サービスにとっても、マイナポータルにより認証された個人は一人1アカウントが保証されます。

by ほまるさん - 2020/12/20 17:02 問題を報告

投票履歴 47

法律をわかりやすく
法律記述言語の整備

高評価コメント 23

他のユーザからの評価(★の数)の平均が4以上のコメントを表示しています。

評価の平均値
5
コメント日時
コメントしたアイデア

COCOAの問題が発生したので、こちらの問題にもあらためて触れておきます。
COCOAが「実はAndroidでは機能していなかった」(GitHub上では指摘されていたのにその確認や修正に取り組まれなかった)、ということが起きたのは、まさに運用保守が軽視されていたことの象徴であるとと思います。

お金だけの問題ではありません。システムの開発が終わった後もシステムを取り巻く環境の変化に追随すること(例えば、GoogleやAppleといった、システムが依存するプラットフォームの仕様変更や指示を受け対応する必要がある)、正しく機能しているかどうかをモニタリングし続けることやテストを回し続けていくこと、の重要性を発注者側が理解し、それに合わせた運用保守体制を構築・維持する必要があります。

評価の平均値
5
コメント日時
コメントしたアイデア

私はあらゆる場面で顔認証が使えないと主張している訳ではありません。
セキュリティというものは常に100%を目指すものではなく(そもそも100%安全ということはあり得ません)、リスクの発生確率やそれが顕在化したときの損失と、利便性やコストなどのバランスを取って実現手段が選択されるものです。それ単体で認証して誤認識が起きたり攻撃者に突破されてもさほど支障がないなら、顔認証も選択肢になります。

ただ、デジタル手続法によりあらゆる行政手続がオンラインで実現されるにあたって採用される認証・署名の方式としては、安全性を重視すべきであり、マイナンバーカードに搭載された耐タンパ性のあるICチップ(近い将来にはスマホとその中のセキュアエレメント)、およびその中の秘密鍵を使ったPKI技術、そしてカードをかざしつつPINなどを使った多要素で行われる認証や署名が、より安全性が高く妥当な方式だと考えます。

しかし将来、より利便性が高く安全性も高い方式が現実的なコストで実現できるようになれば、それに置き換わっていくでしょう。
そしてそれが顔認証である可能性は否定しません。

評価の平均値
5
コメント日時
コメントしたアイデア

#026 に顔認証による万引防止システムがリンクされていて、監視はすでに行われている、というコメントがなされていますが、それによってマイナンバーカードを使わず顔認証によりオンラインでの行政サービスや要配慮個人情報を含む情報を参照したりすることが正当化される、とお考えでしょうか?

Wikipedia「本人認証」からの引用ですが、「本人認証は何らかの経済的・法的行為の入り口となるものであり、本人の意思の確認が必要であって、権利義務の主体の確定にかかわる分野で適用される。これに対して、個人識別では識別対象となる個人の意思は問題とされず、識別される側は主体ではなく客体として登場する。」とされています。
ここで問題にしているのは「本人認証」が顔で行われることの是非であり、#026 の万引き防止システムの例は「個人識別」にあたるものであって、別物です。顔で個人識別が行われていることやそれに対する個人情報保護法での扱いが議論されていることをもって、本人認証としてのマイナンバーカードを顔認証に置き換えることを正当化する理屈が成り立つとは思えません。

評価の平均値
5
コメント日時
コメントしたアイデア

#022 #024
オンライン資格確認は、マイナンバーカード(所有)と顔認証(生体)という多要素の認証になります。認証用のリーダーは国が認めた機器になります。
台湾のATMでの顔認証利用は、まずIDを入力させた上で顔(生体)とパスワード(知識)を使って多要素認証する仕組みです。認証するATMは銀行に管理されたものを使います。また引き出し1回の上限は1万元に制限されることでリスクコントロールされています。

どちらも顔だけで個人を識別しているわけではなく、マイナンバーカードあるいは入力されたIDで個人の識別が行われた上で、顔の特徴を照合しています。
本アイデアに記載されているように、手ぶらで顔をかざしただけで認証が終わったり、その辺のスマホで顔認証すればよい、というものではないですね。

#003 に書きましたが、利便性と安全性(リスク)を天秤にかけて利便性が勝ると判断できるなら生体認証を使うことも選択肢になると思います。
ただ、今後要配慮個人情報の連携に使われたりあらゆる行政手続を実現するマイナンバーカードを置き換えるものになるとは思いません。

評価の平均値
5
コメント日時
コメントしたアイデア

#015
>それらが仮に知られたとして直接的にどのような被害と結びつくのか

マイナンバーという番号そのものは流出しても直ちに問題は起きませんが、認証となると話は別です。

今後、マイナンバーカードを活用した医療情報の連携もされることになっています。病歴などの医療情報は要配慮個人情報であり、流出すれば差別・偏見につながる恐れがあります。
またデジタル手続法の成立により、行政のあらゆるサービスが最初から最後までデジタルで完結されるよう、行政サービスの100%デジタル化・オンライン化の実現に向けて取り組まれるとされています。これを実現するにあたっては厳格な本人認証が必要になることは想像に難くありません。

海外では顔認証すること自体が人権侵害だとして問題になっていたりもします(検索すればたくさん出てきます)し、こんな記事もあります。

中国で脆弱さを指摘され見直される顔認証
https://japan.zdnet.com/article/35162372/

将来画期的な技術が生まれるかどうかはわかりませんが、現時点で顔認証がマイナンバーカードに取って代われるとは思えません。

評価の平均値
5
コメント日時
コメントしたアイデア

#015
スマホの生体認証は、認証される本人が認証するデバイスに対してあらかじめ生体情報を登録して成り立つものです。つまり「認証される当人がデバイスを信頼しており、そのデバイスの中だけで生体認証が完結する」仕組みです。不特定多数のセンサーに生体情報をさらす必要はなく、サーバに生体情報が送られることもありません。
FIDOと呼ばれる技術では、生体認証はデバイスの認証機能のロックを解除するために使われ、サーバとデバイスの間で秘密鍵を使った認証が行われるという仕組みになっています。私も、FIDOのようにスマホに格納されたマイナンバーカード認証機能をPINではなく生体認証で解除して認証に使う、という方式ならアリではなかろうかと思います。(ほげさんに示していただいているリンク先の資料にもFIDOの仕組みを参考にすると書かれていますね)

しかしこのアイデアでは、認証される本人は何も持ち歩かずに顔をさらすだけで認証される、ということを述べているため、スマホで使われる生体認証やFIDOとは異なります。スマホで生体認証が使われているから、顔だけの認証でも安全性は十分だ、という理屈は成り立ちません。

評価の平均値
5
コメント日時
コメントしたアイデア

生体認証をマイナンバーカードに代わる認証方式とした場合、不正なセンサーや改造されたセンサーなどを使ってナマの生体情報を窃取される可能性も考慮すべきでしょう。それを窃取されてしまえばサーバ側でいくら堅牢に守っても意味を成しません。センサーに問題があれば指を何本使おうがまとめて窃取されます。顔と指紋と静脈と…と組み合わせればコストが跳ね上がります。生体認証とカードなどの方式を組み合わせる、ということであればそもそも解決したかったであろう利便性の向上(モノを持ち歩かなくてもセンサーにかざすだけで認証)は実現しません。
マイナンバーカードの場合不正なリーダーを使われても耐タンパ性のあるICチップ内の秘密鍵を盗むことはできないため、現時点の技術として生体認証より安全です。カード紛失についてはコールセンター(24時間/365日対応)に電話すれば一時利用停止させることができますし、PINを一定回数間違えればロックされるので不正利用される可能性は低いでしょう。

まあ、生体認証にまつわる課題は時間さえかければ新しい技術により解決されるという前提であれば、反論の余地はありません。

評価の平均値
5
コメント日時
コメントしたアイデア

単に生体情報を使って認証するよりもマイナンバーカードが優れているのは、耐タンパ性(外部から読み取られない性質)のあるICチップ内で秘密鍵を使って演算し、その演算結果で認証が行われる点です。この方式であれば認証時であっても秘密鍵をICチップ外に出す必要はなく、物理的にICチップを所有していれば他者になりすまされることもコピーして拡散されることもありません。
一方指紋や静脈では生体の持つ特徴が流出しコピーされる可能性があるし、流出したとしても気づけないかもしれず、また交換もできません。

生体認証の優位点だけを示して劣っている点について解決策を示さず将来的に技術で解決すればよい、というのならそれはマイナンバーカード(の中のICチップ)による認証でも同じことが言えます。
マイナンバーカードによる認証が絶対的に優れていると思っているわけではありませんが、かといって生体認証ありきではなく、フラットに評価するべきではないでしょうか?

評価の平均値
5
コメント日時
コメントしたアイデア

ちょうど生体認証について、マイクロソフトのクラウド認証サービスに関するサポート情報のブログに生体認証に関するリスクをしっかり説明した記事が公開されていたので、一読されることをお勧めします。
https://jpazureid.githu...eep-your-fingers-close/

また政府CIOポータルの標準ガイドラインでは、オンラインにおける本人確認手法の評価がされています。生体情報のみでの認証はマイナンバーカードによる認証と比べて2段階低いレベルに位置付けられています。
https://cio.go.jp/sites...ninkakunin_20190225.pdf

とはいえ安全性と利便性を天秤にかけて利便性を優先すべき用途であれば、生体情報のみによる認証も選択肢になるかもしれません。
あるいはFIDOならある程度安全性も確保できるかもしれませんが、デバイスは必要です。

評価の平均値
5
コメント日時
コメントしたアイデア

機関別符号は住民票コードから生成されています。(住民票コードは住民基本台帳のシステム上で個人に振られている番号です)
マイナンバーも住民票コードから生成されたものではありますが、マイナンバーがなくても機関別符号は生成できます。

参考
http://www.moj.go.jp/content/001154671.pdf

評価の平均値
5
コメント日時
コメントしたアイデア

システムや番号の名前付けが良くないせいで非常に混乱を招いているのですが、以下のように言い換えてそれぞれ別物であると認識すると、少しはわかりやすくなると思います。

マイナンバー → 税・社会保障番号
マイナンバーカード → 公的個人認証カード
情報提供ネットワークシステム → 公的機関間個人情報連携システム

評価の平均値
5
コメント日時
コメントしたアイデア

その通りで、情報提供NWSを介した情報連携には、実は仕組み上マイナンバーは必要なく、機関別符号で連携が行われます。

また、マイナンバーカードで重要なのは耐タンパ性のあるICチップに格納されている「電子証明書」や「秘密鍵」であり、これらを使って電子認証や電子署名が行われます。こちらでもマイナンバーは使いません。

マイナンバーは、社会保障、税、災害対策の3分野で、複数の機関に存在する個人の情報が同一人の情報であることを確認するために活用される、とされています。(法改正により金融や医療の分野での利用も認められるようになっているようです)
例えば税務関連では申告書などにマイナンバーが記載されており、これを使って税務署は名寄せし、効率的に個人の所得を把握しています。

評価の平均値
5
コメント日時
コメントしたアイデア

「デジタル改革関連法案ワーキンググループ作業部会のとりまとめ」資料が公開されていたため、確認しました。
これによると「政府情報システムの統合・一体化を促進」することによって、令和7年度までに運用経費等を3割削減する、としています。つまり政府情報システムの統合・一体化ができるという見込みのようです。
しかし1700以上で同じ業務をしている自治体のシステムならともかく、政府システムでそんなに簡単に統合・一体化ができるものでしょうか?

ITダッシュボード(2017年度データ)により政府情報システムの運用費を確認したところ上位に来ているのは、年金関連システム、ハローワークシステム、国税のシステム、登記情報システム、特許事務システム、出入国管理システム、政府共通プラットフォーム、…等です。
上記のようなシステムは一品モノのシステムであり統合・一体化できるようなシステムではないと思いますが、どうやって統合・一体化ができ、3割削減が達成できると目論んでいるのでしょうか。

デジタル庁には運用軽視で事故を発生させることのないよう、何卒ご留意いただければと思います。

評価の平均値
5
コメント日時
コメントしたアイデア

同感です。
@03679#016 のコメントでも書きましたが、世帯という管理単位は税や社会保障の観点で重要であると思います。

例えば特別定額給付金の例でいうと世帯人数を把握するため世帯の情報が必要で、また世帯単位で振込先の口座の登録が必要でした。
また例えば現在検討されている児童手当ならば、収入が多い世帯は給付の対象外にする案が出ていますが、夫の収入・妻の収入ではなく世帯収入が必要になります。世帯情報と、国税庁が保持しているであろう収入データとの紐づけが必要になるはずですがどうやって紐づけるか。給付に使うなら「世帯所得が〇〇万円以下の世帯を抽出」といった条件による対象世帯抽出ができることが要件になってきます。

富士通総研の研究レポートにおいても「世帯」に注目した研究レポートが出されているので、参考にしてほしいと思います。

マイナンバーの検証と今後の展開に関する研究
https://www.fujitsu.com...ch/2019/report-465.html

評価の平均値
4
コメント日時
コメントしたアイデア

CITP認定情報技術者のサイトを確認しましたが、現時点での認定者は「社内資格制度が本制度に適合すると認定された企業」の従業員ばかりとなっているようです。そして「社内資格制度が本制度に適合すると認定された企業」の多くは国の調達案件に入札するような大手です。
一方で、現在デジタル庁の設立に向けての採用では、当該職員が現在所属するか過去2年間所属していた事業者はその職員が関わる調達案件には入札できない、という留意事項がついています。

要するに、CITP認定を保持する人材のうちの多くは、今いる会社に迷惑をかけることになるためデジタル庁の創設に向けた採用には応募できない、ということになりそうです。

民間から起用するとしていながら、国の調達案件に詳しいベンダ側の実務経験者を実質的に弾き出すような留意事項をつけているのはいかがなものか、と思いますが…。理由は理解できますが、デジタル庁に国のシステムの予算や権限を集中させる中で本当にそれで成り立つのか心配です。

評価の平均値
4.5
コメント日時
コメントしたアイデア

システム屋の観点で思うこと。

・データの構造・形式も大事だが正規化も重要。第三正規形まではやっとかないとデータの整合性が維持できなくなる。
・データのライフサイクルの検討。発生・消去のタイミングを明確にする。例えば死亡した人のデータは何年残す?
・ベースレジストリとして一元管理するのではなく、種類ごとに分けて管理する方が良い。
 ・モノリシックなシステムにするのではなく、マイクロサービスとして設計して必要なタイミングで連携する。例えば個人データと収入・税データ、資格データは分けて管理する。
 ・個人や法人などはマスタデータ、収入・税はトランザクションデータとなる。ライフサイクルも違う。
 ・データの種類によって所管も違うだろうし、分けておいた方が万が一情報流出した場合の影響が限定される
・オープンデータの機械可読性は必須。機械可読じゃないと分析できず活用できない。

評価の平均値
5
コメント日時
コメントしたアイデア

課題と思うことを挙げておきます。

・例外の扱いを十分に配慮する必要がある。例えば、
 ・男性でも女性でもない人
 ・戸籍を持たない人、住民登録がない人(管理対象外?)
 ・生年月日が不明な人
・ベースレジストリへの個人データ登録が強制かオプトインかオプトアウトか
・個人データ一元管理の合憲性
 ・住基ネット訴訟判決を踏まえる必要があるのでは。
・属性(学歴・資格など)をどう証明するか
 ・個人・法人に対する属性を証明するトラストアンカーと認証パスの構築が必要。国がトラストアンカーとなり、大学とか認定機関に対する認証パスを構築する? 海外の学歴・資格はどうする?
・奇麗でないデータをどうクレンジングするか。そもそもクレンジングしていいのか。
・誰が、何の目的でベースレジストリにアクセスできるのか。参照・更新権限をどう設定するか。
・アクセスに対する監査ログを残す必要がある
・データ活用にあたっての匿名化、プライバシー保護をどう実現するか
・データの鮮度をどう保つか

評価の平均値
5
コメント日時
コメントしたアイデア

すでに実現のために動いている、検討しているアイデアが選ばれている印象は持ちました。
政治ですしある程度恣意的に選ばれるのは仕方がないかなと思いますが、次回以降の対話では、これまで検討していなかったけど新しいアイデアとして取り組みたいと内閣官房IT総合戦略室で判断したアイデアや、中身をもう少し掘り下げたいようなアイデアを積極的に取り上げてほしいと思います。

選ばれなかった人の中には「自分のアイデアが選ばれないなんておかしい」「透明性がない」などと思う人もいるでしょうが、そんな文句ばかりが寄せられてしまえば対話の場そのものがなくなってしまうので、少なくともこのような対話が行われたこと自体は歓迎すべきではないでしょうか。

評価の平均値
5
コメント日時
コメントしたアイデア

いいアイデアかもしれません。
マイナンバーが秘匿すべき情報とされているのは、本人の預かり知らぬところで勝手に名寄せに使われるリスクがあるから、という点にあります。どういうことかというと、マイナンバーは通常は一生変わらないため、その番号を使って勝手に買い物履歴や図書館で本を借りた履歴など様々な情報を紐づけされると、その人の行動履歴というプライバシーが丸裸にされてしまいかねない、ということです。
ワンタイム化でもいいのですが、例えばマイナンバーカードの更新期限ごとにマイナンバーが変更されれば、そこで一旦は履歴を切ることができるので、一生ついて回る問題にはならないわけです。
つまり、マイナンバーが変わることによってマイナンバーと紐づけられた情報について「忘れられる権利」が実現されるということになります。

そもそも漏洩した場合など正当な理由があればマイナンバーは変更可能ですし、これによって大きなシステムの変更は必要ないはず。
これが実現すれば、マイナンバーは特に秘密にしなくてもよい情報として法改正ができ、事業者やシステム上でのマイナンバー管理も特別な対応が不要になるかもしれません

評価の平均値
5
コメント日時
コメントしたアイデア

賛成です。新しい技術=良い技術 ではありません。
推進派は制約やデメリットに触れていません。

ブロックチェーンのメリットとしては以下のようなことが挙げられます。
・管理主体が必要ない
・改ざん耐性が高い
・システムが停止しない

ただし上記のメリットを享受するためにはブロックチェーンを構成するノードが大規模分散している必要があり、以下のような課題が出てきます。

・ブロックチェーンノードを誰が運用するか。政府管理ならブロックチェーンである必要はない。改ざん耐性や透明性を求めるなら政府以外の組織・団体にも運営に加わってもらう必要がある。
・政府以外の組織・団体がブロックチェーンのノードを運用するのであればそのモチベーションは何か。運用にかかるコストをどうまかなうか。
・ノードが多数の組織・ノードに分散しているとシステムのバージョンアップが困難。
・攻撃者の保有するノードの計算能力が高ければ改ざん可能(51%攻撃)
・攻撃により不正なトランザクションが記録された場合に正しい状態に戻すことが困難。
・情報流出に対して無力、というか積極的に流出させる技術である

評価の平均値
5
コメント日時
コメントしたアイデア

AWSやMicrosoft、Googleは自前でクラウド基盤技術を開発しており、クラウドを構成するオープンソースコミュニティへの貢献もしています。それらの企業の研究開発費は年間100億ドル単位(Amazonの2019年のR&Dが360億ドル)です。一方で代表的国内ベンダの2019年度の研究開発費は1,230億円くらいです。約30倍差。
オープンソースへの貢献に関するある調査ではトップ30位に日本企業は一つも入っていません。(Microsoft、Google、Amazonはトップ層にいます)

国内ベンダはオープンソースのクラウド基盤ソフトウェアであるOpenStackを使ってクラウド(IaaS)サービスを提供していますが、OpenStackに対してはどれだけ貢献できているでしょうか…。ほとんどフリーライダーに近い状態では。
またクラウドのベースとなるデータセンターの運用についても、三大クラウドは世界中に大量のリソースを抱えているのに比べると、国内中心の小規模なスケールでしか展開できておらず、運用ノウハウの蓄積もできていません。

それでも国産クラウドを推進したいですか?

評価の平均値
5
コメント日時
コメントしたアイデア

文書に対するはんこの代わりになる技術としては電子署名になります。
ブロックチェーンははんこの代用としては適しません。

ブロックチェーンのメリットとしては以下のようなことが挙げられます。
・管理主体が必要ない
・改ざん耐性が高い
・システムが停止しない

ただし上記のメリットを享受するためには、ブロックチェーンを構成するノードが大規模に分散している必要があり、そうした場合に以下のような課題が出てきます。

・ブロックチェーンのノードを誰が運用するか。政府が管理するならブロックチェーンである必要はない。改ざん耐性や透明性を求めるなら政府以外の組織・団体にも運営に加わってもらう必要がある。
・政府以外の組織・団体がブロックチェーンのノードを運用するのであればそのモチベーションは何か。どうやって運用にかかるコストをまかなうのか。
・ノードが多数の組織・ノードに分散しているとシステムのバージョンアップが難しい。
・攻撃者の保有するノードの計算能力が高ければ改ざん可能
・攻撃により不正なトランザクションが記録された場合に、正しい状態に戻すことが困難。

評価の平均値
5
コメント日時
コメントしたアイデア

なぜ公的機関のシステムでIEがよく使われてきたのかは、楠CIO補佐官のブログに詳しく経緯が書かれており、この話題に興味のある方、特に技術者であればぜひ読まれるとよいでしょう。
https://comemo.nikkei.com/n/n1c9103c81c79

マイナンバーカードを使うシステムにおいてブラウザをフロントに使うには、大変に技術的な困難があったことがよくわかります。
ブラウザは時代とともにセキュリティに関する仕様も変わっていくので、マイナンバーを使うシステムではブラウザにこだわらず全てネイティブアプリとして実装したほうがいいのでは、と個人的には思います。

ページの先頭へ