ほまるさんのページ | デジタル改革アイデアボックス

あなたと創るデジタル社会

デジタル改革アイデアボックス


ほまるさんのマイページ

ウェブサイト
http://
自己紹介文
自己紹介は未記入です。

投稿したアイデア 10

「デジタルの日」をシステムメンテナンスやBCP訓練の日としてください

ほまるさん

意見募集は12/11で終了してしまったようですが、ざっと見たところ類似するアイデアがなかったようなので書きます。 デジタルの日は、システムのメンテナンスあるいはBCP(事業継続計画)に沿った訓練を行う日とすることを提案します。 2か月ほど前、東証がシステムトラブルを起こして... » 詳しく

  • 1ポイント
  • 3
  • 2コメント

多重下請け構造の打破と内製化を促進するため、IT技術者の解雇規制を緩和してください

ほまるさん

IT業界(SIer)の悪評高い慣習である多重下請け構造について、その要因として日本は雇用の流動性が低い(解雇するためには整理解雇の4要件を満たさなければならずハードルが高い)ことが挙げられます。昔から言われていることですが、IdeaBox内を検索してもこれについてのアイデアがまだ... » 詳しく

  • -3ポイント
  • 8
  • 19コメント

デジタル庁が目指すシステム運用経費3割削減の方針について

ほまるさん

デジタル庁が目指すシステム運用経費3割削減という後ろ向きの取り組みに反対します。 報道によると、2025年度までにシステム運用経費を3割削減するとされています。 政府のIT予算に関する情報がまとまっているITダッシュボードによると、システム運用経費は2013年度比で2021年度まで... » 詳しく

  • 6ポイント
  • 7
  • 5コメント

マイナポータルをIDプロバイダとして広く提供することによる利便性向上とカード普及促進

ほまるさん

マイナポータルをIDプロバイダ(IdP)として、民間を含め広く活用できる認証基盤とすることを提案します。 これによって国民にとっての利便性向上と、それによるマイナンバーカードの普及促進が実現されると考えます。 利便性向上の内容は以下の通りです。 1. 民間サービスはGoogle... » 詳しく

  • 6ポイント
  • 9
  • 3コメント

公共系システムのUI/UX改善とアジャイル開発の適用、それに向けた政府の取り組みについて

ほまるさん

公共系システムの開発を外部のシステムベンダに発注する場合、納期に間に合うように予算内で機能を実装することが最優先となり、定量化が難しい「使いやすさ」は調達仕様に含まれないこともあって、UI/UXはなおざりになります。 (関連トピック ideabox:///idea/02857?%4002857 ) で... » 詳しく

  • 9ポイント
  • 10
  • 9コメント

UI/UXに優れた使いやすいシステム/サービスを作るにはどうしたらよいか(第2回対話を受けて)

ほまるさん

IdeaBox第2回の対話でも述べられていたように、公共系のシステムではUI/UXがなおざりになっていて使い勝手の悪いシステムが多く存在します。 これはメルカリのUI/UX担当者が優秀でシステムベンダがそうではない、という問題ではなくて(そういう側面もあるでしょうが)、公的なシステム... » 詳しく

  • 17ポイント
  • 18
  • 17コメント

クラウドを使ったシステム調達のモデルとなる調達仕様書の提供

ほまるさん

現状において、システムとして求められるサービス品質保証とクラウドサービスプロバイダがSLA(サービスレベルアグリーメント)で追う責任には大きな隔たりがある場合があります。一般的にクラウドサービスプロバイダは問題を起こしても利用料を返金するだけであり、生じた問題には責任を... » 詳しく

  • 11ポイント
  • 12
  • 3コメント

機械可読な法律の記述を実現することによるシステム保守コストの低減

ほまるさん

現在定められ運用されている法律の条文は、大変に解釈が難しくその道の専門家でも解釈がぶれてしまうことがありますが、条文の解釈にルールを定め、条文あるい法令に付随する文書の記法を工夫することで解釈の余地がないようにされることを期待します。 これが実現できると、法令が機械... » 詳しく

  • 10ポイント
  • 16
  • 11コメント

パーソナルデータストアの実現と、パーソナルデータストアを通じた各種手続きのワンストップ化

ほまるさん

国がパーソナルデータストアを運営し、国民がそこに情報を預けるとパーソナルデータストアから各種サービス(電話・電力・ガス・自治体・銀行・等々)に情報が自動で連携される仕組みを実現することで、手続きのワンストップ化が実現され、国民の負担を減らすことができるでしょう。 パ... » 詳しく

  • 4ポイント
  • 4
  • 2コメント

公的個人認証を用いた一人1アカウントの実現

ほまるさん

公的個人認証サービスをIdP(IDプロバイダ)として、民間事業者に個人を特定するトークンを連携することにより、民間事業者にて確実に「一人1アカウント」(複数アカウントを作れない)を実現できるようになります。 これを実現することにより、一人が多数のアカウントを使って買占めを... » 詳しく

  • 25ポイント
  • 28
  • 33コメント

お気に入りアイデア 3

三層分離の見直し(マイナンバー利用事務系とLGWAN接続系の統合)

あきさん

元々行政のネットワークは、住民情報系ネットワークとLGWAN・インターネット系ネットワークの2種類でした。年金事務所の情報流出事件を機にマイナンバー利用事務系、LGWAN系、インターネット系の三層分離されました。 今年の5月に「自治体情報セキュリティ対策の見直し」の方針が示され... » 詳しく

  • 35ポイント
  • 36
  • 16コメント

エストニアのDigiDocの実現

デジタルコンシェルさん

前職でエストニアの技術を提供する企業にいた関係で、自分自身もe-Residencyを持ち、エストニアの技術に触れて参りました。 その中で日本に居てもとても便利だと感じたのがDigiDoc(https://en.wikipedia.org/wiki/DigiDoc)でした。 これは、エストニア政府が発行しているIDカードを使... » 詳しく

  • 7ポイント
  • 7
  • 1コメント

自治体システムの共同利用の義務化

下書きさん

昨年より、総務省にて自治体システム等標準化検討会が立ち上がり 第1段として住民記録システム等標準仕様書が公表されています。 ・自治体システム等標準化検討会(住民記録システム等標準化検討会) https://www.soumu.go.jp/main_sosiki/kenkyu/jichitaishisutemu_hyojunka/index... » 詳しく

  • 44ポイント
  • 45
  • 27コメント

投稿したコメント 95

デジタル庁が目指すシステム運用経費3割削減の方針について

COCOAの問題が発生したので、こちらの問題にもあらためて触れておきます。
COCOAが「実はAndroidでは機能していなかった」(GitHub上では指摘されていたのにその確認や修正に取り組まれなかった)、ということが起きたのは、まさに運用保守が軽視されていたことの象徴であるとと思います。

お金だけの問題ではありません。システムの開発が終わった後もシステムを取り巻く環境の変化に追随すること(例えば、GoogleやAppleといった、システムが依存するプラットフォームの仕様変更や指示を受け対応する必要がある)、正しく機能しているかどうかをモニタリングし続けることやテストを回し続けていくこと、の重要性を発注者側が理解し、それに合わせた運用保守体制を構築・維持する必要があります。

by ほまるさん - 2021/02/06 10:08 問題を報告

日本企業運営のAWSのようなデジタルインフラが必要

いくら政府が国内ベンダを盛り立てようと発注しても、とてもAWS、Microsoft、Googleに追いつく見込みはありません。
@00895#006 にも書いたのですが、AWSやGoogle、Microsoftの年間研究開発費は数100億ドル単位です。一番多いAWSは360億ドル(4兆円近く)であり、それに対して日本の代表的国内ベンダの研究開発費は1,200億円くらいで、数十倍の差がつけられています。

また、国の年間のIT支出は8,000億円程度であり、これを全部国内ベンダへの発注に回しても、国内ベンダの売上高研究開発費比率が1~5%くらいなので研究開発費は100~400億円くらいしか増えないでしょう。というか現状でもほぼ国内ベンダを使っているはずなので、ほとんど増える余地はありません。

こうした現実を見ると、どうやってもAWSやMicrosoft、Googleに勝てないどころか差が開く一方では…と思ってしまいます。

by ほまるさん - 2021/01/14 20:51 問題を報告

公共システム開発案件での準委任契約

いわゆるフェージング契約を採用すべき、というアイデアだと思います。
しかし上流工程でスコープ・工数が確定する、という考え方はアジャイル開発にそぐわないものです。「スコープや工数が確定した」とする時点でそれ以降はウォーターフォール開発になっていると考えるべきです。

開発する機能を確定して契約し、開発が終わったら運用に引き継いでお終い、とするのではなく、本質的に価値のあるサービスに育てていくため、一度リリースした後も改善のために要件定義からリリースのサイクルを回し続けることが、アジャイル開発になるのではないでしょうか。

私も以前に公共向けシステムでどうすればアジャイルを実現できるのか、という問題意識を持って投稿したので、リンクしておきます。

@02857 UI/UXに優れた使いやすいシステム/サービスを作るにはどうしたらよいか(第2回対話を受けて)
@03016 公共系システムのUI/UX改善とアジャイル開発の適用、それに向けた政府の取り組みについて

by ほまるさん - 2021/01/12 20:50 問題を報告

マイナンバーに顔認証を

ここまでのコメントで、本アイデアを提案、賛成されている方は現時点で顔認証が本人認証として十分なセキュリティを備えているかどうかは問題にしておらず、将来こうあるべきだという理想像を述べられているのだと理解しました。
そうだとわかっていれば最初からコメントしないのですが、まあ、不便な点を指摘し、より良い方法がないかという課題を示すことには確かに意味はあると思います。

顔認証という手段が目的になっていないかとは思いますが、マイナンバーカードの代替として顔認証を使うにあたっての複数の課題が全て解決する未来も、いずれやってくるかもしれませんね。

by ほまるさん - 2021/01/08 00:11 問題を報告

私はあらゆる場面で顔認証が使えないと主張している訳ではありません。
セキュリティというものは常に100%を目指すものではなく(そもそも100%安全ということはあり得ません)、リスクの発生確率やそれが顕在化したときの損失と、利便性やコストなどのバランスを取って実現手段が選択されるものです。それ単体で認証して誤認識が起きたり攻撃者に突破されてもさほど支障がないなら、顔認証も選択肢になります。

ただ、デジタル手続法によりあらゆる行政手続がオンラインで実現されるにあたって採用される認証・署名の方式としては、安全性を重視すべきであり、マイナンバーカードに搭載された耐タンパ性のあるICチップ(近い将来にはスマホとその中のセキュアエレメント)、およびその中の秘密鍵を使ったPKI技術、そしてカードをかざしつつPINなどを使った多要素で行われる認証や署名が、より安全性が高く妥当な方式だと考えます。

しかし将来、より利便性が高く安全性も高い方式が現実的なコストで実現できるようになれば、それに置き換わっていくでしょう。
そしてそれが顔認証である可能性は否定しません。

by ほまるさん - 2021/01/08 00:07 問題を報告

また #027 で「ニュー・ジャージー州の住民が顔認証システムのミスで禁固刑 間違って泥棒と認識」みたいな記事を示しながら、マイナンバーカードを廃し、顔だけで行政手続きもできるようにすべきだとする本アイデアに賛成している、というのはどういうことなのでしょうか。

「顔認証に関する法整備」が行われることには私も賛成ですし、すでに顔認証(顔認識)が様々なところで使われていることに異論もないのですが、それが本アイデアに賛成することにつながるとは思えないのですが…。

by ほまるさん - 2021/01/06 22:33 問題を報告

#026 に顔認証による万引防止システムがリンクされていて、監視はすでに行われている、というコメントがなされていますが、それによってマイナンバーカードを使わず顔認証によりオンラインでの行政サービスや要配慮個人情報を含む情報を参照したりすることが正当化される、とお考えでしょうか?

Wikipedia「本人認証」からの引用ですが、「本人認証は何らかの経済的・法的行為の入り口となるものであり、本人の意思の確認が必要であって、権利義務の主体の確定にかかわる分野で適用される。これに対して、個人識別では識別対象となる個人の意思は問題とされず、識別される側は主体ではなく客体として登場する。」とされています。
ここで問題にしているのは「本人認証」が顔で行われることの是非であり、#026 の万引き防止システムの例は「個人識別」にあたるものであって、別物です。顔で個人識別が行われていることやそれに対する個人情報保護法での扱いが議論されていることをもって、本人認証としてのマイナンバーカードを顔認証に置き換えることを正当化する理屈が成り立つとは思えません。

by ほまるさん - 2021/01/06 22:32 問題を報告

#022 #024
オンライン資格確認は、マイナンバーカード(所有)と顔認証(生体)という多要素の認証になります。認証用のリーダーは国が認めた機器になります。
台湾のATMでの顔認証利用は、まずIDを入力させた上で顔(生体)とパスワード(知識)を使って多要素認証する仕組みです。認証するATMは銀行に管理されたものを使います。また引き出し1回の上限は1万元に制限されることでリスクコントロールされています。

どちらも顔だけで個人を識別しているわけではなく、マイナンバーカードあるいは入力されたIDで個人の識別が行われた上で、顔の特徴を照合しています。
本アイデアに記載されているように、手ぶらで顔をかざしただけで認証が終わったり、その辺のスマホで顔認証すればよい、というものではないですね。

#003 に書きましたが、利便性と安全性(リスク)を天秤にかけて利便性が勝ると判断できるなら生体認証を使うことも選択肢になると思います。
ただ、今後要配慮個人情報の連携に使われたりあらゆる行政手続を実現するマイナンバーカードを置き換えるものになるとは思いません。

by ほまるさん - 2021/01/06 08:47 問題を報告

#015
>それらが仮に知られたとして直接的にどのような被害と結びつくのか

マイナンバーという番号そのものは流出しても直ちに問題は起きませんが、認証となると話は別です。

今後、マイナンバーカードを活用した医療情報の連携もされることになっています。病歴などの医療情報は要配慮個人情報であり、流出すれば差別・偏見につながる恐れがあります。
またデジタル手続法の成立により、行政のあらゆるサービスが最初から最後までデジタルで完結されるよう、行政サービスの100%デジタル化・オンライン化の実現に向けて取り組まれるとされています。これを実現するにあたっては厳格な本人認証が必要になることは想像に難くありません。

海外では顔認証すること自体が人権侵害だとして問題になっていたりもします(検索すればたくさん出てきます)し、こんな記事もあります。

中国で脆弱さを指摘され見直される顔認証
https://japan.zdnet.com/article/35162372/

将来画期的な技術が生まれるかどうかはわかりませんが、現時点で顔認証がマイナンバーカードに取って代われるとは思えません。

by ほまるさん - 2021/01/04 20:43 問題を報告

#015
スマホの生体認証は、認証される本人が認証するデバイスに対してあらかじめ生体情報を登録して成り立つものです。つまり「認証される当人がデバイスを信頼しており、そのデバイスの中だけで生体認証が完結する」仕組みです。不特定多数のセンサーに生体情報をさらす必要はなく、サーバに生体情報が送られることもありません。
FIDOと呼ばれる技術では、生体認証はデバイスの認証機能のロックを解除するために使われ、サーバとデバイスの間で秘密鍵を使った認証が行われるという仕組みになっています。私も、FIDOのようにスマホに格納されたマイナンバーカード認証機能をPINではなく生体認証で解除して認証に使う、という方式ならアリではなかろうかと思います。(ほげさんに示していただいているリンク先の資料にもFIDOの仕組みを参考にすると書かれていますね)

しかしこのアイデアでは、認証される本人は何も持ち歩かずに顔をさらすだけで認証される、ということを述べているため、スマホで使われる生体認証やFIDOとは異なります。スマホで生体認証が使われているから、顔だけの認証でも安全性は十分だ、という理屈は成り立ちません。

by ほまるさん - 2021/01/04 20:17 問題を報告

生体認証をマイナンバーカードに代わる認証方式とした場合、不正なセンサーや改造されたセンサーなどを使ってナマの生体情報を窃取される可能性も考慮すべきでしょう。それを窃取されてしまえばサーバ側でいくら堅牢に守っても意味を成しません。センサーに問題があれば指を何本使おうがまとめて窃取されます。顔と指紋と静脈と…と組み合わせればコストが跳ね上がります。生体認証とカードなどの方式を組み合わせる、ということであればそもそも解決したかったであろう利便性の向上(モノを持ち歩かなくてもセンサーにかざすだけで認証)は実現しません。
マイナンバーカードの場合不正なリーダーを使われても耐タンパ性のあるICチップ内の秘密鍵を盗むことはできないため、現時点の技術として生体認証より安全です。カード紛失についてはコールセンター(24時間/365日対応)に電話すれば一時利用停止させることができますし、PINを一定回数間違えればロックされるので不正利用される可能性は低いでしょう。

まあ、生体認証にまつわる課題は時間さえかければ新しい技術により解決されるという前提であれば、反論の余地はありません。

by ほまるさん - 2021/01/03 23:48 問題を報告

#009
>カードが認証時になければ本人であっても証明できない点に不利益を感じます。

このような問題点を解決する方法として、ICチップを皮下に埋め込むというのも解決策になり得ます。実際に埋め込んでいる人もいます。生体認証の課題が技術で解決できるとするなら、ICチップ方式の課題もこうした方法で解決することができます。

by ほまるさん - 2021/01/03 17:59 問題を報告

単に生体情報を使って認証するよりもマイナンバーカードが優れているのは、耐タンパ性(外部から読み取られない性質)のあるICチップ内で秘密鍵を使って演算し、その演算結果で認証が行われる点です。この方式であれば認証時であっても秘密鍵をICチップ外に出す必要はなく、物理的にICチップを所有していれば他者になりすまされることもコピーして拡散されることもありません。
一方指紋や静脈では生体の持つ特徴が流出しコピーされる可能性があるし、流出したとしても気づけないかもしれず、また交換もできません。

生体認証の優位点だけを示して劣っている点について解決策を示さず将来的に技術で解決すればよい、というのならそれはマイナンバーカード(の中のICチップ)による認証でも同じことが言えます。
マイナンバーカードによる認証が絶対的に優れていると思っているわけではありませんが、かといって生体認証ありきではなく、フラットに評価するべきではないでしょうか?

by ほまるさん - 2021/01/03 16:16 問題を報告

マイナンバーに紐づく本人認証APIの提供

>→メールアドレスとパスワードのみでは流出した時のダメージが大きすぎる

OpenID ConnectはID連携の仕組みですが、認証方法そのものについては規定されません。そのため、ID・パスワードではなくにはマイナンバーカードを使って認証し、その結果を連携することができます。

>→マイナンバーを利用できる企業を許可制または免許制で管理するべき

マイナンバーそのものは認証に使われることはありません。マイナンバーカードによる認証では、カードに搭載されたICチップ内に格納されている電子証明書と秘密鍵を使って認証が行われます。
またOpenID Connectにより連携されるのは仮名化されたID(連携対象の事業者毎かつ個人ごとに異なるID)にすることができます。マイナンバーを使うことはありません。

>→有効期限や認証取消機能を認証サーバ側に持たせる必要がある

履歴の用途はわかりませんでしたが、マイナンバーカードの有効期限や失効であれば公的個人認証サービス(JPKI)で行われ、マイナンバーカードで認証するたびにその有効性が確認されます。

by ほまるさん - 2020/12/31 15:27 問題を報告

似たアイデアとして以下の投稿を過去にしました。

@00139 公的個人認証を用いた一人1アカウントの実現
@03704 マイナポータルをIDプロバイダとして広く提供することによる利便性向上とカード普及促進

APIとしてはOpenID Connectを使うアイデアで投稿していますが、目指すところは同じなのではないかと思います。

by ほまるさん - 2020/12/30 17:51 問題を報告

マイナンバーに顔認証を

ちょうど生体認証について、マイクロソフトのクラウド認証サービスに関するサポート情報のブログに生体認証に関するリスクをしっかり説明した記事が公開されていたので、一読されることをお勧めします。
https://jpazureid.github.io/blog/azure-active-directory/biometrics-keep-your-fingers-close/

また政府CIOポータルの標準ガイドラインでは、オンラインにおける本人確認手法の評価がされています。生体情報のみでの認証はマイナンバーカードによる認証と比べて2段階低いレベルに位置付けられています。
https://cio.go.jp/sites/default/files/uploads/documents/hyoujun_guideline_honninkakunin_20190225.pdf

とはいえ安全性と利便性を天秤にかけて利便性を優先すべき用途であれば、生体情報のみによる認証も選択肢になるかもしれません。
あるいはFIDOならある程度安全性も確保できるかもしれませんが、デバイスは必要です。

by ほまるさん - 2020/12/30 17:34 問題を報告

公的個人認証を用いた一人1アカウントの実現

#028
>日本国内居住者に対してはある程度の規制がかけられるでしょうが、海外の方がネットショッピングなり、来日して実店舗にて買占めを行った場合は、複数策を徹底したとしても抜け漏れが生じるかも

本アイデアの通り、公的個人認証サービスを使って認証連携されたアカウントのみで購入できる流通と、そうでなくても買える従来通りの流通に分けることが考えられます。台湾のマスク販売もそうなっています。
ネットショッピングにしろ来日しての購入にしろ、買占めが可能なのは従来通りの販売のみであり、公的個人認証サービスを使って認証連携されたアカウント向けに流通させた分については買占めできません。

by ほまるさん - 2020/12/27 00:18 問題を報告

#027
#010 のようなシステムを作る場合、名寄せのデータをどこに持たせるかがピンと来ていません

「商品の購入状況を集約するシステム」のことであれば、OpenID Connectとは無関係に新しいサーバを立てることになりますね。
自治体の中間サーバは自治体ごとに立てられていますが、 「商品の購入状況を集約するシステム」はECサイトなどの事業者(SP/RP)が中間サーバを立てる必要はなく、IdPとなる組織がサーバを立てるイメージです。事業者側からそのサーバ(システム)に商品の購入状況を問い合わせることになります。

>事業者ごとに別々のトークン(Pairwise Identifier)を持たせるんですよね?

そうです。Pairwise Pseudonymous Identifier(PPID。仮名化ID)ですね。この名前が出てこず安直に「トークン」と表現してしまっていたのですがあまりいい名前付けではなかったと思っていたところです。このアイデアに関してトークンと読んでいる箇所は、PPIDに読み替えていただければと思います。

by ほまるさん - 2020/12/27 00:08 問題を報告

#022
>公的個人認証を用いてその ID を複数の事業者を跨いで紐付けて IdP のように第三者提供するような使い方はそれが出来るとするのであれば恐らく許されていないのではないか

マイナンバーのように悉皆性・唯一無二性を持つ番号を直接第三者提供するような使い方は、番号法で規制されています。しかし、このアイデアで述べている「トークン」のように対象組織毎に個人に異なる番号を振った場合はその限りではありません。
主に自治体間の個人情報流通に使われている情報提供NWSでも「機関別符号」として機関毎に個人に異なる番号を振る仕組みを使っており、運用されています。

by ほまるさん - 2020/12/23 23:51 問題を報告

#022
>例えばコンサートチケット等を旅行者が渡航前に海外から購入するというシチュエーションは珍しくはありません。

海外の購買者層が見込まれるなら、それに合わせて流通させればいいですよね。一部のチケットは海外の旅行会社やチケット会社に流すとか。すべての流通量をここで提案した仕組みに乗せることを強制するものではなく、あくまで選択肢になります。
台湾では、健康保険カードを使って一人当たりの購入数を制限する形でマスクを流通させました。カードを持たない外国人旅行者や在外台湾人はそれが活用できるわけではなかったのですが、成功モデルとして広く知られています。(システム普及後は買占めが起きないためか市中でも買いやすくなったようです)

>提案されている内容はその集合が限定され

平井大臣は、デジタルだけで100%解決するのではなく、デジタルで効率化したリソースでアナログで対応しなければならない部分をサポートする、といったことを発言されています。
デジタルに対応できる人にはそれに応じた手段で対処し、そこに乗れない人がいればアナログも含めた対処をしていけばいいのではないでしょうか。

by ほまるさん - 2020/12/23 23:49 問題を報告

#021
>実店舗であろうと、マイナンバーカード提示により(店側がシステム上でチェックを行い販売可能か否かの判断を行い対応)、同商品(類似機能商品含?)を購入済であることが判明すれば購入不可ということですね。

台湾のeマスクシステムでは、健康保険カードを使ってオンラインで購入(一人あたり買える枚数が制限されている)・受取予約をして、コンビニで受け取ることができたようです。

by ほまるさん - 2020/12/23 23:45 問題を報告

#019
@03704 みたいなイメージでしょうか?

その通りです。

>公的個人認証サービスとマイナポータルの関係がイマイチピンと来ていませんが。。。

公的個人認証サービスは、マイナンバーカードに格納される電子証明書・鍵の発行や、その証明書が失効していないかどうかを確認する機能を持ちます(PKIでいうところの認証局)が、直接個人の認証(ログイン)を行う画面などの機能は提供していません。
マイナポータルは、マイナンバーカードに格納された電子証明書を使って個人の認証(ログイン)を行います。その際に電子証明書が失効していないかどうかを、公的個人認証サービスから提供される失効情報によって確認します。

>中間サーバとECサイトのプロトコルを独自にすることを考えていました。

オープンスタンダードであるOpenID Connectであれば、世の中に広く普及しており、事業者のサービス(ECサイトなど)がIdPと接続するための各プログラミング言語のライブラリ(部品)がオープンソースで公開されています。中間サーバも必要ありません。

by ほまるさん - 2020/12/23 23:41 問題を報告

#013
>マイナンバーカードの取得は国内に住民票を持つ国内居住者に限られるので、海外の在外居住者や国外からの旅行者はマイナンバーカードを持つ事ができません。

在外邦人は海外のサービス(海外のECサイト)を使えばいいと思います。
国外からの旅行者は確かにそうですが、海外からの旅行者の平均滞在期間はおよそ9~10日間です。留学生や技能実習生といった国内居住者はマイナンバーカードを取得できますし、外国人旅行者が帰国を待てないほど緊急であれば、大使館なり観光庁なり入官庁なりが個別に対応することになるのでは。
日本国民1億2千万人を対象に力技は通じませんが、旅行者に限定するならパスポートの提示を受けて個別対応する、といった対応も現実的にはなると思います。

by ほまるさん - 2020/12/21 23:54 問題を報告

#013
ちなみに現在一般にIdPとして使われる認証サービスはほぼ海外のサービスになっています。このデジタル改革アイデアボックスで採用されているのは、Google、Facebook、Twitter、LINE、Instagramですね。国内でOpenID Connectに対応しているサービスとしてはYahoo! JAPANもありますがデジタル改革アイデアボックスでは採用されていないようです。

IdPに監査が必要だとして(監査なんて必要ない、という意見もあるとは思いますが)、例えば海外企業のサービスであるGoogleが日本の個人情報保護委員会の監査を受けるというのも想像しにくいし、民間サービスの監査をするということになると個人情報保護委員会も監査体制の増強とか、そのための費用負担をどうするかといった課題が出ます。まあ、Googleだったら余裕で費用負担しそうですが。

by ほまるさん - 2020/12/21 23:44 問題を報告

#013
>直接 IdP を提供してしまうと民業圧迫…

IdPは、個人がどのサービスを使っているか、どの程度の頻度でログインしているかを知ることができるので、IdPは自社のためにその情報を使おうとするでしょう。場合によってはプライバシーの侵害と受け取られるかもしれません。
また本アイデアでは、トークンという仕組みで、事業者間の名寄せができないようにすることを提案しています。これは、自治体間で個人情報を連携する際の情報提供NWSの仕組みを参考にしたものです。仕組み上、IdPは連携される各事業者の間で名寄せをできることになりますが、勝手に個人の情報を名寄せしてプライバシーを脅かすことがないようにする必要があります。
上述の情報提供NWSでは、その運営が個人情報保護委員会という第三者組織によって監査されることにより、そのようなことが行われないように担保しています。

上記のようなプライバシーの問題、および公的個人認証サービスを用いたIdPは社会インフラの意味合いを帯びることから、IdPは公的機関によって運営され、個人情報保護委員会の監査のもと運営されるのが良いと考えています。

by ほまるさん - 2020/12/21 23:36 問題を報告

#012
>マイナポータルから見たらSP、ECサイトから見たらIdPのように見える感じのシステムを作るイメージでしょうか?

イメージとしては近いのですが、実際にはマイナポータルと公的個人認証サービスが組み合わさってIdPの機能を提供し、ECサイトがSPとなります。
マイナポータルと公的個人認証サービスとの間のプロトコル(電子証明書が失効していないかどうかの確認)はOpenID Connectの範疇外になります。

by ほまるさん - 2020/12/21 23:29 問題を報告

#006
>小売そのものをマイナンバーカードを持つ人に限る事が出来る/許されるような商品にしか適用出来ないという問題がありますね。

その通りです。販売側としても転売を防止したい商品はありますので、販売側にこの仕組みに乗ってもらうことで、マイナンバーカードの普及にもつながるものと考えています。
マイナンバーカードの利便性を高めることで、2022年度末までにマイナンバーカードの普及率をほぼ100%にする、という政府方針の後押しをする提案でもあります。

転売(買占め)防止を一例として挙げましたが、一人1アカウントが簡単に実現できることで、民間サービスにおいて #001#002 にコメントいただいたような「信頼性の高いアカウント」を起点に新たな価値を生み出すことも可能になるだろうと考えています。

公的なIdPによるサービスの向上として、以下のようなアイデアも投稿していますのでよろしければご参照ください。
@03704 マイナポータルをIDプロバイダとして広く提供することによる利便性向上とカード普及促進

by ほまるさん - 2020/12/20 17:16 問題を報告

#006
>個別の IdP でユニークでも複数の IdP を跨げば複数人格が出来てしまう

例えばPS5は多くのECサイトで一台までしか購入しないように呼び掛けたり、実際に1つのアカウントで複数台購入できないように制限しています。本提案の仕組みを活用することで、複数アカウントを使った大量購入については抑止できます。ただ、ECサイトを跨ると複数台購入できてしまうのはその通りです。

さらに追加で、転売を防止したい商品の購入状況を集約するシステムを構築して、ECサイトがそこに問い合わせて購入履歴がなければ購入を許可し、購入したらそこに履歴として記録する、という仕組みを作れば、ECサイトに跨っても大量購入を防ぐこともできるようになります。
(名寄せができてしまうシステムになるので、このシステムは公的機関に運用される必要があります)

by ほまるさん - 2020/12/20 17:07 問題を報告

#006
>技術的には民間が頑張れば既に出来るのでは

その通りです。障壁としては、公的個人認証サービスへの接続が高額であったり総務大臣の認定が必要であることがあります。ただ、マイナポータルがIdPになってOpenID Connectで連携できれば直接公的個人認証サービスへ接続する必要がないので費用面は心配ないかもしれません。ただし今度はマイナポータルの認証連携の仕様が公開されていない(NDAを結べば知ることはできる?)のでそれを公開してもらうこと、そして実際にそれで連携した事例が出てきて広く周知されると、民間でも普及するのではないか、と思っています。

by ほまるさん - 2020/12/20 17:04 問題を報告

#003
>何か事情があって複数アカウントを作って使い分けている方もいるかもしれず。

公的個人認証と紐づけたアカウントを一つだけに限定することができる、ということを目的としています。例えばコロナ禍初期におけるマスクなどの、買占めが想定される商品を購入できるアカウントは公的個人認証と紐づけたアカウントだけに限定する、といった使い方を想定しています。
複数アカウントを使えなくすることは意図していません。

#006
民間がIdPになるのではなく、公的な認証サービスがIdPになります。例えばマイナポータルがIdPになれば、マイナンバーカードを使って認証されますので、一人1アカウントが徹底されます。
簡単にフローを説明すると、民間のサービスにログインしようとするとマイナポータルに転送され、マイナンバーカードを使ってマイナポータルで認証されたら認証された個人を識別するトークンとともにまた元のサービスに戻ってくる、という仕組みになります。なので、民間サービスにとっても、マイナポータルにより認証された個人は一人1アカウントが保証されます。

by ほまるさん - 2020/12/20 17:02 問題を報告

#003
久々にこのアイデアを掘り起こしていただき、ありがとうございます。

>買占め自体それほど起こることでなく、

マスクのときは社会問題になりましたし、健康・生命に関わる問題でしたので軽くは扱えないと思います。
またPS5や鬼滅の刃関連商品などは転売のせいで市中価格が高騰していますし、コロナ禍以前はライブやスポーツなどの人気イベントのチケットも転売のターゲットとなっており、継続的な社会問題になっていると感じます。

>個人情報保護の観点(ショッピングの嗜好性プライバシーまで連携される)

本アイデアでは、認証サービスから連携されるのは対象個人と事業者ごとに異なるID(仮にトークンと呼んでいます)として、他事業者の持つデータと組み合わせて個人の嗜好性を分析したりはできないようにすることを提案しています。あくまで対象事業者の持つサービスにおける個人の実在性・一意性を保証するための仕組みであり、国や他の事業者と購買データを連携・共有するものではありません。

by ほまるさん - 2020/12/20 16:59 問題を報告

マイナンバーカードや行政の効率化で大丈夫なのだろうか?もっと別のプランもガンガン示してほしい。

政府CIOポータルで公開されている「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」を参照されると良いかと思います。
https://cio.go.jp/sites/default/files/uploads/documents/hyoujun_guideline_honninkakunin_20190225.pdf
こちらは米国政府機関(米国標準技術研究所)が定めるセキュリティ関連文書を参考としてまとめられたものです。

生体認証やマイナンバーカードによる認証といった認証方法は、このガイドラインの当人認証保証レベルに関係します。

オンラインでの本人確認における保証レベルについて、最も厳格な本人確認であるレベルAに求められる当人認証は、耐タンパ性が確保されたハードウェアトークン(つまりマイナンバーカードのようなもの)による認証となります。
一段劣る本人確認レベルであるレベルBでは、多要素認証が許容されます。ID・パスワード+生体認証の多要素認証はこのレベルです。
さらにもう一段低いレベルCでようやく、生体認証のみによる単要素認証が認められます。

by ほまるさん - 2020/12/16 22:41 問題を報告

実は機関別識別符号だけで情報連携できるのでは

機関別符号は住民票コードから生成されています。(住民票コードは住民基本台帳のシステム上で個人に振られている番号です)
マイナンバーも住民票コードから生成されたものではありますが、マイナンバーがなくても機関別符号は生成できます。

参考
http://www.moj.go.jp/content/001154671.pdf

by ほまるさん - 2020/12/16 21:59 問題を報告

システムや番号の名前付けが良くないせいで非常に混乱を招いているのですが、以下のように言い換えてそれぞれ別物であると認識すると、少しはわかりやすくなると思います。

マイナンバー → 税・社会保障番号
マイナンバーカード → 公的個人認証カード
情報提供ネットワークシステム → 公的機関間個人情報連携システム

by ほまるさん - 2020/12/16 21:50 問題を報告

その通りで、情報提供NWSを介した情報連携には、実は仕組み上マイナンバーは必要なく、機関別符号で連携が行われます。

また、マイナンバーカードで重要なのは耐タンパ性のあるICチップに格納されている「電子証明書」や「秘密鍵」であり、これらを使って電子認証や電子署名が行われます。こちらでもマイナンバーは使いません。

マイナンバーは、社会保障、税、災害対策の3分野で、複数の機関に存在する個人の情報が同一人の情報であることを確認するために活用される、とされています。(法改正により金融や医療の分野での利用も認められるようになっているようです)
例えば税務関連では申告書などにマイナンバーが記載されており、これを使って税務署は名寄せし、効率的に個人の所得を把握しています。

by ほまるさん - 2020/12/16 21:46 問題を報告

「デジタルの日」をシステムメンテナンスやBCP訓練の日としてください

#001
ご指摘の通り、1日では足りないシステムも多いだろうな、とは私も思っていました。
要は、BCP訓練が重要であることと、それを実施するタイミングについての共通認識ができればいいな、というのが本提案の主眼です。

by ほまるさん - 2020/12/15 00:05 問題を報告

多重下請け構造の打破と内製化を促進するため、IT技術者の解雇規制を緩和してください

#017
経営リソースをどこに配分するかは経営者の専権事項ですから、ITに予算を配分されないことがあってもしょうがないといえばしょうがないことではあります。アナログに徹することで成功する場合もあるかもしれませんし、成功とは言わずとも細々と事業は継続できるかもしれません。そうでなければ市場に淘汰されるでしょう。畢竟、予算も人事も経営者の権限であり責任なので、仕方のないことです。
被雇用者としては、予算が少なくて身動きが取れないなら、予算の必要性を訴えて予算を獲得する努力をするか、低予算でもできることに専念するか、転職するか、そういった選択肢から選んでいくしかないですね。

#007 に書きましたが、ジョブ型雇用に助成金を出すことを追加で提案しています。ジョブ型雇用・ジョブディスクリプションが普及することで、雇用者・被雇用者双方にとって不幸なミスマッチを防げないかと思っています。

by ほまるさん - 2020/12/14 23:59 問題を報告

#013
> 現実的にはそこそこ大きい企業でもITに全く関わってこなくて、今頃募集しているケースもあります。

こちらはむしろ面白そうだと思いました。ITを活用できていなくても経営を続けてこれるだけの商品力や営業力があった会社であれば、ITを活用すれば大きく飛躍できるかもしれません。複雑なシステムがごろごろしていて運用だけで手一杯になっている会社よりはデジタル化に取り組みやすそうです。
最近はクラウドのおかげで、初期投資にそれほどコストをかけずスモールスタートでSaaSなりローコードプラットフォームを導入するのもやりやすくなっていますし、IT化・デジタル化でその会社を発展させることができれば素晴らしいキャリアになるのではないでしょうか。

むしろ地雷は、デジタル化と思って行ってみたらただの運用保守の補充・交代要員だった、みたいな募集でしょうか。ジョブディスクリプションが明確であれば見極められるとは思いますが。

by ほまるさん - 2020/12/13 23:33 問題を報告

#011 #012
セーフティネットは必要ですね。失業手当などの雇用保険制度の充実、特に職業訓練は重要になるでしょう。
環境に恵まれなかったにしろ何にしろ、スキルが身につかない仕事に安住してしまうと、解雇されなかったとしても会社が潰れてしまえば、それこそスキルがなく立ち行かなくなってしまいかねません。
@04749 コロナ禍に適応しITを活用した職業訓練、年齢・性別などにこだわらない中途採用の推進
というアイデアが投稿で紹介されているように、デジタル化に対応するスキルを職業訓練していくような取り組みを進めていくべきであろうと思います。上記アイデアに「日本社会ではリスタートや社会人が新規の仕事を学ぶ事への忌避感が強いですが、そのような社会の空気を変えるPRをしていけないでしょうか」ともありますが、こちらも地味ですが大事だと思います。

by ほまるさん - 2020/12/13 23:28 問題を報告

私自身、これまでいくつものシステム開発の現場を経験する中で、過酷な労働環境からメンタルに不調を抱え出社できなくなった人を見てきたし、中には亡くなって過労死認定された方もいました。
そんな中でもSIerトップ・元トップの中には「(業績が悪いのは)従業員が働かないからいけない」とか「10年は泥のように働け」といった発言も見られました。
そうした時代から比べると最近は労働環境も改善されてきているようには思いますが、まだまだ厳しい現場はあります。IT技術者の転職のハードルが下がって転職を繰り返しながらキャリアを積み上げることが当たり前となり、そういったブラックな現場からは早々に人が辞め、適切な待遇を得て、技量を活かせる環境に移っていくことを願っています。

4コメントにわたる長文乱文、失礼しました。

by ほまるさん - 2020/12/13 19:57 問題を報告

なお、アメリカではAt-Will Employmentという概念が浸透していて解雇規制は非常に緩く、いつでも雇用関係を解消することができます。しかしアメリカではIT技術者の地位が低いかというとそんなことはなく、IT技術者は勝ち組の職業であり、その年収は日本の倍近いと言われています。アメリカではユーザ企業に所属するIT技術者が多く、内製化も進んでいます。
そして言うまでもなくアメリカはITビジネスの中心地であり、GAFAMのようなビッグテックも皆アメリカ企業です。Amazon、Tesla、Uber、AirBnBなどはITとIT以外を組み合わせた業態で市場から高い評価を得ています。
つまり、雇用規制が厳しくないにも関わらず、アメリカのIT技術者は非常に高い成果を生み出していると言って良い。解雇規制が緩いと研鑽できない、ということはないでしょう。

by ほまるさん - 2020/12/13 19:55 問題を報告

もう一つ私が問題だと思っているのは、多重下請け構造の中で優秀な技術者が能力を十分に発揮できず、また高いとは言えない給与と長時間労働の中で働いている現状です。
待遇が良くないのは、IT技術者の活躍の場がユーザ企業が生み出すビジネスと距離があることや、新卒からあまり給与を上げられないまま据え置かれているにも関わらず終身雇用に縛られ辞めない人が多いこと、などがあるのではないかと思います。

システム開発現場のIT技術者は、高い技術力を持っており先行してアーキテクチャを固め、お手本になるアウトプットを作成して展開し、全体の生産性向上に寄与する技術者と、あまり技術力が高くなくお手本の真似やコピペでなんとかこなしている技術者とに二分されます。
問題は前者と後者の給与にあまり差がないこと、また前者の優秀な技術者には仕事が集中し、ブラックな労働環境に置かれがちであることです。
このような優秀な技術者が、下請けに甘んじることなく目線を上げてビジネスに近いユーザ企業の立場でデジタル化を主導することができれば、日本の各産業のサービスや生産性の向上が見込めるのではないでしょうか。

by ほまるさん - 2020/12/13 19:54 問題を報告

ユーザ企業(あるいは自治体や省庁等)が自ら技術者を雇い入れ、内製化を進めることが望ましいと考え、このアイデアを投稿しました。
「令和2年度 年次経済財政報告」の中( https://www5.cao.go.jp/j-j/wp/wp-je20/pdf/p04023.pdf )で、日本ではSIerのようなIT産業にIT技術者が集中しており、それ以外の産業(ユーザ企業や公務員・教育関係)にIT人材が少ないことが示されています。ユーザ企業に所属するIT人材が少なければ、内製化が進まないのは必然です。

解雇規制の緩和は不評のようですが、それでは「デジタル化を推進するための雇用」(ジョブ型雇用)に助成金を出すことを組み合わせてもよいかもしれません。(解雇規制の緩和とセットの方が効果的だと思いますが)
ユーザ企業により高い待遇での雇用が発生すれば、SIerやSESでの技術者派遣業からIT技術者が移り「年次経済財政報告」の中で示されているようなIT人材配置のバランスの悪さを改善できる可能性があります。

by ほまるさん - 2020/12/13 19:53 問題を報告

デジタル庁が目指すシステム運用経費3割削減の方針について

「デジタル改革関連法案ワーキンググループ作業部会のとりまとめ」資料が公開されていたため、確認しました。
これによると「政府情報システムの統合・一体化を促進」することによって、令和7年度までに運用経費等を3割削減する、としています。つまり政府情報システムの統合・一体化ができるという見込みのようです。
しかし1700以上で同じ業務をしている自治体のシステムならともかく、政府システムでそんなに簡単に統合・一体化ができるものでしょうか?

ITダッシュボード(2017年度データ)により政府情報システムの運用費を確認したところ上位に来ているのは、年金関連システム、ハローワークシステム、国税のシステム、登記情報システム、特許事務システム、出入国管理システム、政府共通プラットフォーム、…等です。
上記のようなシステムは一品モノのシステムであり統合・一体化できるようなシステムではないと思いますが、どうやって統合・一体化ができ、3割削減が達成できると目論んでいるのでしょうか。

デジタル庁には運用軽視で事故を発生させることのないよう、何卒ご留意いただければと思います。

by ほまるさん - 2020/12/06 20:57 問題を報告

ついでに本投稿の元ネタとなったITダッシュボード( https://www.itdashboard.go.jp/ )についてコメントします。
掲載されているデータが古くて2016年とか2017年くらいまでのデータしかないものが散見されますので、最新化をお願いします。
内閣官房IT総合戦略室で整備されているようですが、データ戦略の旗振り役であるIT室がこの状況で大丈夫だろうかと。
今多忙で手が回らないのだろうと推察はしますが、しっかり予算を付けて体制を整備し、やることをやるのが重要ではないでしょうか。システム運用も同様です。

by ほまるさん - 2020/11/29 01:08 問題を報告

[事務局]第3回データ戦略TFへのご意見をお願いします。

#014 の続き

■コードやIDの整備について
データ間の連携にあたっては、ベースレジストリを構成する複数のデータベース間、あるいはベースレジストリと民間との間で個人に関するデータをどうやって紐づけるのかが課題になるはずです。(紐づけのためにマイナンバーを使えるように法整備するのか、マイナンバーに代わる紐づけ用のIDを作るのか、あるいは情報提供NWSのような仕組みを作るのか…)
また複数のデータベースにまたがって検索したくなるケースもあるはずで、それができる仕組みも念頭に入れておいた方が良いでしょう。(児童手当対象かどうかの判定のため、世帯のデータと個人の所得のデータを組み合わせて、世帯所得を算出するなど)

by ほまるさん - 2020/11/28 23:38 問題を報告

データ戦略 第一次とりまとめ(案)にコメントします。

■図3 データ戦略のアーキテクチャ について
利活用環境がルールの下に置かれていることには違和感があります。ルールそのものは価値を生むわけではなく、利活用環境を通じて価値が提供されるわけでなので。ルールはデータから行政・民間までの縦軸を貫く概念になるのではないでしょうか?

■基盤となるデータについて
携帯電話会社、鉄道会社や日本郵便などの運輸業を営む事業者、電力・ガス・水道会社、MaaSを展開する自動車メーカー、気象情報を提供する会社、などの社会インフラを担う企業を巻き込むことが重要だと思います。
また災害時には、CivicTechの力を発揮できるように、それらのインフラ企業のデータを即座に無償で一般公開できるようにするなどのルールができると良いのではないでしょうか。

(次のコメントに続きます)

by ほまるさん - 2020/11/28 23:36 問題を報告

国産OAuthでWeb会員登録を撲滅しよう

似たアイデアを過去に投稿していますので、こちらもご参照いただければと思います。

@00139 公的個人認証を用いた一人1アカウントの実現
@03704 マイナポータルをIDプロバイダとして広く提供することによる利便性向上とカード普及促進

これらのアイデアでは、公的個人認証と結びついていることがGoogleなどとの差別化となっています。公的に存在が確認された個人を認証することができ、また一人1アカウントが保証されます。
また個人情報の連携は本人同意を前提としています。(それに加えて、利用目的を偽ることがないよう国の認定があると確かに良いかもしれません。運用は大変になりそうですが)

by ほまるさん - 2020/11/27 23:13 問題を報告

官公庁では、多段階契約で安くならず、高くなるおそれ

1円入札は公正取引委員会が低入札価格調査を入れて独禁法違反になるので、今時はなかなかないのでは。
とはいえ多段階契約で工程で契約を分ける場合、ウォーターフォール型の開発が前提になってしまいます。ウォーターフォール型開発ではUI/UXがおろそかになりがちなので、現代的な開発手法として好ましいとは言えません。また途中で事業者が変わる場合、上流を受注した事業者が低品質の成果物を納入することで、実際にその成果物をインプットとしてシステムを構築する事業者が設計からやり直しになってしまうこともあるため、そういった意味でも問題があります。
多段階契約と似ていますが、IPAが基本/個別契約モデルという開発サイクルごとに契約するモデルを示しているので、こちらを検討してもいいかもしれません。

by ほまるさん - 2020/11/23 21:03 問題を報告

マイナポータルの課題

同感です。
@03679#016 のコメントでも書きましたが、世帯という管理単位は税や社会保障の観点で重要であると思います。

例えば特別定額給付金の例でいうと世帯人数を把握するため世帯の情報が必要で、また世帯単位で振込先の口座の登録が必要でした。
また例えば現在検討されている児童手当ならば、収入が多い世帯は給付の対象外にする案が出ていますが、夫の収入・妻の収入ではなく世帯収入が必要になります。世帯情報と、国税庁が保持しているであろう収入データとの紐づけが必要になるはずですがどうやって紐づけるか。給付に使うなら「世帯所得が〇〇万円以下の世帯を抽出」といった条件による対象世帯抽出ができることが要件になってきます。

富士通総研の研究レポートにおいても「世帯」に注目した研究レポートが出されているので、参考にしてほしいと思います。

マイナンバーの検証と今後の展開に関する研究
https://www.fujitsu.com/jp/group/fri/knowledge/research/2019/report-465.html

by ほまるさん - 2020/11/23 17:27 問題を報告

法律をわかりやすく

近いアイデアを投稿しています。
@00180 機械可読な法律の記述を実現することによるシステム保守コストの低減

法律家、SEやプログラマ、あるいはシステムにとっても読みやすく解釈がぶれない記述ルールを確立することで、様々な業種・業務で生産性の向上が図れるのではないかと思います。

by ほまるさん - 2020/11/22 13:10 問題を報告

診療報酬のオンライン化について

近いアイデアを投稿しています。

@00180 機械可読な法律の記述を実現することによるシステム保守コストの低減

システムの改修コスト低減や改修にかかる期間の短縮することにも寄与すると思います。
コメント欄で「医科点数表」を例として取り上げています。

by ほまるさん - 2020/11/19 08:42 問題を報告

国のシステムもOpenID採用すべき

同様のアイデアを投稿しています。

@03704 マイナポータルをIDプロバイダとして広く提供することによる利便性向上とカード普及促進

by ほまるさん - 2020/11/19 08:36 問題を報告

アイデアボックス投稿者へのインセンティブ付与

アイデアボックスとしては幅広いアイデアを募るべきであり、バッジ制度では逆効果になってしまうのではないでしょうか。(少数の投稿者による大量投稿を助長する)
多くの意見を募るにあたっては広報を強化すべきだと思います。

私としては、何より意思決定で参考にしていただくのが何よりのモチベーションになります。
その意味では、先日公開された「デジタル改革アイデアボックス
(取りまとめ)」を見る限り(一人一人の意見を見るとは言いつつも)結局は人気ランキング上位のものだけがピックアップされているようで少し萎えました。

by ほまるさん - 2020/11/15 00:34 問題を報告

デジタル政府の実現には専門IT人材が不可欠

CITP認定情報技術者のサイトを確認しましたが、現時点での認定者は「社内資格制度が本制度に適合すると認定された企業」の従業員ばかりとなっているようです。そして「社内資格制度が本制度に適合すると認定された企業」の多くは国の調達案件に入札するような大手です。
一方で、現在デジタル庁の設立に向けての採用では、当該職員が現在所属するか過去2年間所属していた事業者はその職員が関わる調達案件には入札できない、という留意事項がついています。

要するに、CITP認定を保持する人材のうちの多くは、今いる会社に迷惑をかけることになるためデジタル庁の創設に向けた採用には応募できない、ということになりそうです。

民間から起用するとしていながら、国の調達案件に詳しいベンダ側の実務経験者を実質的に弾き出すような留意事項をつけているのはいかがなものか、と思いますが…。理由は理解できますが、デジタル庁に国のシステムの予算や権限を集中させる中で本当にそれで成り立つのか心配です。

by ほまるさん - 2020/11/15 00:16 問題を報告

[事務局]第2回データ戦略TFへのご意見をお願いします。(データ整備)

想定されるユースケースで検証してみると、足りないものが見えてくるのではないでしょうか。
例えば特別低額給付金の例でいうと世帯人数を把握するため世帯の情報が必要で、また世帯単位で振込先の口座の登録が必要でした。
また例えば現在検討されている児童手当ならば、収入が多い世帯は給付の対象外にする案が出ていますが、夫の収入・妻の収入ではなく世帯収入が必要になります。世帯情報と、国税庁が保持しているであろう収入データとの紐づけが必要になるはずですがどうやって紐づけるか。給付に使うなら「世帯所得が〇〇万円以下の世帯を抽出」といった条件による対象世帯抽出ができることが要件になってきます。

ベースレジストリが一元管理でないとするなら、データベース間のデータの紐づけは何かしら必要です。情報提供NWSではマイナンバーを使わずに、情報保有機関間で個人に関するデータを紐づける仕組みが提供されていますが、それを踏襲するのか新しい仕組みを作るのかも検討が必要になると思います。

by ほまるさん - 2020/11/15 00:11 問題を報告

[事務局]第2回データ戦略TFへのご意見をお願いします。(プラットフォーム整備)

なお、個人情報と個人情報以外ではデータの流通方法は変わると思います。上記 #013 のプラットフォームで提供される情報は個人情報でないもの、匿名加工がされ個人を特定できない状態になっているものでなければなりません。
匿名加工されない個人情報は、マイナポータルを通じて利用用途を含めて本人の同意を得た上で、官民に提供されるのが良いと思います。
民間サービスに個人情報を提供する仕組みとしてはOpenID Connectを使ったアイデアを @03704 に投稿しています。

by ほまるさん - 2020/11/14 23:57 問題を報告

オープンデータはAPIがRead Onlyに特化した一形態だと考えると良いです。そして民間のデータを流通させるにはデータそのものをプラットフォームに提供させるのではなくデータそのものは民間が保有したままとした上で、APIへのアクセスにサブスクリプションとして課金するAPIマーケットをプラットフォームとして提供するといいのではないでしょうか。プラットフォームにデータを提供させる場合、データの量によっては時間や通信コストがかかるし、データのリアルタイム性が失われることになります。
APIの可用性はデータ(API)提供組織に依存することになるのが課題ですね。
行政からのオープンデータ提供は無償でアクセスできるべきですが、プラットフォームとしては同じものが使えるはずです。

また、流通されるデータの匿名加工が十分であるかについて、個人情報保護委員会に監査してもらってはいかがでしょうか。

by ほまるさん - 2020/11/14 23:53 問題を報告

マイナポータルをIDプロバイダとして広く提供することによる利便性向上とカード普及促進

本アイデアは @00139 「公的個人認証を用いた一人1アカウントの実現」をベースにしています。
OpenID Connectに詳しい識者の方に、本アイデアに穴や課題がないかご指摘いただければ幸いです。

by ほまるさん - 2020/11/11 21:17 問題を報告

マイナンバーやそのカードに関する「仕組み」を説明サイトを作る

こちらではいかがでしょうか。
マイナンバー 社会保障・税番号制度 概要資料
https://www.cao.go.jp/bangouseido/pdf/seidogaiyou.pdf
21ページ目で情報提供ネットワークシステムを使った情報連携の仕組みが表現されています。
個人に紐づく属性情報は一元管理されず、各情報保有機関に分散管理される仕組みとなっています。

マイナンバーカードの証明書を使った認証や署名については、この資料ではわかりませんが、一般的な公開鍵認証基盤(PKI)の仕組みになります。
少し話がずれますが、義務教育ではプログラミングよりもPKIを情報リテラシーとして教えてほしいと思います。

by ほまるさん - 2020/11/09 22:19 問題を報告

「データ共同利用権」という基本的人権に反した権利の新設に反対します。

この資料の序文でGDPRが取り上げられているように、データの活用にあたっては「個人の情報自己決定権」が重要であるという考え方のもと、ルールが整備されてきています。自己決定権というとわかりにくいですが、自己の個人データ開示や利用を自身で決定する権利を意味しています。
一方、この資料中の本旨である「データ共同利用権」は、個人の同意を得ることなくデータを利用できるようにしよう(公益性があればいいでしょ)、ということを言っているようです。これは個人の情報自己決定権と相反する内容にも読めます。

どのようにデータの利用に関して同意を得て、またプライバシーを守る枠組みが作れるか、ということがまず議論されるべきであり、それを飛び越えて同意なしに個人データの共同利用を進めよう、という路線で議論を進めることには反対します。

by ほまるさん - 2020/11/08 22:36 問題を報告

データ戦略へのご意見をお願いします!![事務局]

データ戦略やベースレジストリの議論にあたり、データ戦略タスクフォースでは以下の研究・提言を参考にされているでしょうか。

マイナンバーの検証と今後の展開に関する研究 ―「マイナンバー世帯」についての試論 ―
https://www.fujitsu.com/jp/group/fri/knowledge/research/2019/report-465.html

住民サービス、給付や税等を考えるにあたり「世帯」や「戸籍」をどう扱うかが重要な課題になると思いますが、データ戦略タスクフォースの資料上はそれらについて触れられていませんでした。
上記の研究レポートの特に後半第5章、第6章では「世帯」等をどう扱うか、制度設計やデータ整備にも踏み込んで将来像を描いた提言になっています。
もしまだであれば、このレポートから論点を抽出し、しっかり議論されてはいかがでしょうか。

by ほまるさん - 2020/11/07 12:16 問題を報告

ゼロトラストネットワークの導入

リモートワークについては、自宅からクラウド上の仮想デスクトップ(DaaS)に画面転送方式で接続しつつクラウドからVPN(仮想閉域網)経由でオンプレミス環境のシステムにアクセスするとか、あるいは自宅から直接VPN接続して画面転送方式でオンプレミス上の仮想デスクトップ(VDI)に接続する、というのも現実的な解です。
ゼロトラストは一般企業にとってはまだ先に書いたように課題も多く、またガートナーのハイプサイクルでいうところの「過度な期待」期にあり、幻滅期を乗り越えて一般普及するかまだ見極めが必要なコンセプトです。

三層分離のようなネットワーク分離は標的型攻撃やランサムウェア対策として民間でも導入が進んでおり、一概に時代遅れだとも言い切れませんが、業務に支障が出ないよう対策は必要です。とはいえゼロトラストとはまた別の議論かと思います。

by ほまるさん - 2020/11/03 21:47 問題を報告

ゼロトラストは、モダンなクラウドサービス(SaaS)を中心としたシステムと統一された認証基盤、そして従業員の高いITリテラシーがあってようやく成り立つものであろうと思います。
これまでネットワーク境界で守られていてセキュリティパッチの適用もさほど急がなくても何とかなっていたようなシステムがインターネットにさらされれば、すぐに脆弱性を突かれて不正アクセスを受けてしまうでしょう。
また不審なデバイスやアカウントからのアクセスであればポリシーにより検知して防止することはできても、逆に言うと不審だとシステムが判断できなければ自由にアクセスできてしまうことになります。例えば未知だったり世に出て間もないウィルスに感染したデバイスは検知できないかもしれません。クレジットカードには不正利用を検知するシステムがありますが100%検知できるわけではないのと似たようなものです。

ITリテラシーの高い先進的な企業、あるいは既存システムのしがらみのないスタートアップ企業などであれば導入しやすいでしょうが、行政システムでの導入に向けてはまだ慎重な判断と検証が必要だと思います。

by ほまるさん - 2020/11/03 09:59 問題を報告

システムベンダー間の競争性確保が必要

(続き)
ベンダにドキュメントを求めるのは当然だと思いますが、重要なドキュメントとそうでないドキュメントはメリハリをつけ、いらないものはいらないと整理した方がいいと考えます。
納品物として定めた瞬間、それが後から使われるかどうかにかかわらず網羅的かつ均質に作成する必要が出てきます。当然開発コストや納期に大きく跳ねます。
重要な機能やアーキテクチャの設計書についてはしっかり残す、そうでない機能については省略を許す、といった判断ができると良いでしょうね。

監視制御システムには詳しくないので、ポイントずれていたらすみません。

by ほまるさん - 2020/11/01 16:43 問題を報告

より重視すべきは、ソフトウェア内部の詳細な仕様・設計ではなく、外部的な仕様やビジネスルールとなります。

システムそのものの内部設計書があってもベンダロックインは解消は難しく、より大事なのは外部的な仕様が明確であることです。
そのシステムを使った業務が何を目的としていて、そのためにシステムがどのようなサポートをするのか、そしてシステムがユーザや他システムとどのようなインタフェースを持つのか、インプットに何を与えればどのようなアウトプットが得られるのか、ということが明確であれば、老朽化したシステムを別のベンダが新しいアーキテクチャで作り直すにあたってのリスクは軽減します。

逆にソフトウェア内部の詳細設計書があったとしても、多くの場合信用はできません。
詳細設計書とプログラムコードの情報量は大して違いがないうえに、プログラムと詳細設計書は多くの場合乖離してしまっているため、結局はプログラムコードを読み解き、そもそも何をやりたくてこんなプログラムになったのかを推測するという非常に難解な作業が必要になるため他ベンダは手を出しにくくなります。

by ほまるさん - 2020/11/01 16:38 問題を報告

公共系システムのUI/UX改善とアジャイル開発の適用、それに向けた政府の取り組みについて

#001
コメントありがとうございます。
アジャイル開発には準委任契約がふさわしいとされているのはIPAの出しているモデル契約によるものかと思います。
https://www.ipa.go.jp/files/000081484.pdf

ただ、実のところ準委任契約であっても「発注者側が直接指示できない(受注者側の判断で作業を行う)」契約形態であり、上記のモデル契約の16~18ページにも書かれているのですが、発注者から指示に相当するコミュニケーションがとられた場合は偽装請負(偽装準委任)に相当する可能性があります。

つまり準委任契約であったとしても、発注者側の代表者がプロダクトオーナーとなりまたチームが一体となりコミュニケーションを重視しながら開発するアジャイル開発では、発注者側からチームメンバへのコミュニケーションに指示が一切含まれないということは考えにくく、コンプライアンス上問題になる可能性が非常に高い、というのが私の理解となります。

by ほまるさん - 2020/10/31 00:31 問題を報告

UI/UXに優れた使いやすいシステム/サービスを作るにはどうしたらよいか(第2回対話を受けて)

皆様コメントありがとうございます。大変共感・納得できる意見ばかりです。
特に公共系のシステムでは、前年度に予算要求して実施年度に仕様を決めて調達し、その時に決めた内容を開発中に変更することが容易でないというプロセスの問題が大きいのではないかと感じました。
発注者側にプロダクトオーナーを立て、その人に開発中であっても仕様・納期等を調整する裁量と権限を与えるような仕組みが実現できないかと思います。

by ほまるさん - 2020/10/30 22:56 問題を報告

データ戦略へのご意見をお願いします!![事務局]

システム屋の観点で思うこと。

・データの構造・形式も大事だが正規化も重要。第三正規形まではやっとかないとデータの整合性が維持できなくなる。
・データのライフサイクルの検討。発生・消去のタイミングを明確にする。例えば死亡した人のデータは何年残す?
・ベースレジストリとして一元管理するのではなく、種類ごとに分けて管理する方が良い。
 ・モノリシックなシステムにするのではなく、マイクロサービスとして設計して必要なタイミングで連携する。例えば個人データと収入・税データ、資格データは分けて管理する。
 ・個人や法人などはマスタデータ、収入・税はトランザクションデータとなる。ライフサイクルも違う。
 ・データの種類によって所管も違うだろうし、分けておいた方が万が一情報流出した場合の影響が限定される
・オープンデータの機械可読性は必須。機械可読じゃないと分析できず活用できない。

by ほまるさん - 2020/10/28 22:27 問題を報告

課題と思うことを挙げておきます。

・例外の扱いを十分に配慮する必要がある。例えば、
 ・男性でも女性でもない人
 ・戸籍を持たない人、住民登録がない人(管理対象外?)
 ・生年月日が不明な人
・ベースレジストリへの個人データ登録が強制かオプトインかオプトアウトか
・個人データ一元管理の合憲性
 ・住基ネット訴訟判決を踏まえる必要があるのでは。
・属性(学歴・資格など)をどう証明するか
 ・個人・法人に対する属性を証明するトラストアンカーと認証パスの構築が必要。国がトラストアンカーとなり、大学とか認定機関に対する認証パスを構築する? 海外の学歴・資格はどうする?
・奇麗でないデータをどうクレンジングするか。そもそもクレンジングしていいのか。
・誰が、何の目的でベースレジストリにアクセスできるのか。参照・更新権限をどう設定するか。
・アクセスに対する監査ログを残す必要がある
・データ活用にあたっての匿名化、プライバシー保護をどう実現するか
・データの鮮度をどう保つか

by ほまるさん - 2020/10/28 22:26 問題を報告

個人認証システムXidを参考に

#004 #005
マイナンバーに乱数など別の情報も追加してから非可逆変換してIDにするなら確かに戻すのは難しそうですが、詳細な仕様は不明なのでわかりませんね。でもそうなるとそもそもUUID使えばいいのではないかと思いますので、マイナンバーを入力させる意味はよくわかりません。
本物のマイナンバーカードで認証・署名するときも使っているのは証明書とカード内の秘密鍵であってマイナンバーそのものは使っていないはずなので、何のために入力させているのか…。

xIDの是非はともかく、日本が学ぶならエストニアで使われている実績があるものを、セキュリティ仕様やユーザエクスペリエンス、サービスデザインの観点で学ぶのが良いと思います。

by ほまるさん - 2020/10/25 20:14 問題を報告

ちなみに個人的にはxIDに違法性がないか懸念しています。

■根拠
・xIDのFAQに「なぜマイナンバーを入力する必要があるんですか?」とあるが、番号法第15条や第19条により、規定された事務以外でマイナンバーの提供を求めてはならないはず。
・上記FAQの回答として「マイナンバーをもとに一意のIDを生成するために、マイナンバーをご入力いただいています。非可逆な形で生成していますので、IDをものにマイナンバーを検出することはできません。」とあるが、元が12桁の数字列(チェックデジット除くと11桁)とわかっているので、非可逆であっても総当たり攻撃で簡単にもとに戻すことができる(対応表を事前に作っておけばミリ秒で戻せる)。

あとは個人認証や署名にかかるセキュリティを一企業に任せることに対する不安もあります。自治体が採用に動いているようなので尚更心配。マイナンバーカードの代わりとして使えるものではないはずなのですが。

by ほまるさん - 2020/10/25 16:07 問題を報告

エストニアに学ぶのは同意ですが、それならエストニアで使われているMobile-IDやSmart-ID、X-Road等に学ぶべきであって、xIDがエストニアで使われているわけではないようです。(エストニアで生まれた、と言っているだけ)
https://www.jeeadis.jp/jeeadis-blog/9108878
> なお、日本でサービスを提供しているblockhive(ブロックハイブ)社の電子契約サービス「e-sign」やデジタル身分証アプリ「xID(クロスID)」は、エストニアのスマートIDとは全く関係がありません。
>
> 「e-sign」や「xID」は、エストニアの電子政府における利用実績は無く、eIDAS規則による適格電子署名等の認定を得たものではないことを理解した上で、ご利用ください。

by ほまるさん - 2020/10/25 16:05 問題を報告

機械可読な法律の記述を実現することによるシステム保守コストの低減

実現手段としては、ドメイン特化言語(Domain Specific Language。以下DSL)と呼ばれる手法を使う想定です。
DSLは特定の領域(ドメイン)に特化した記述法を言語として設計し、それをプログラムに実行させる手法です。DSLでは「どんな条件のときに、どうあるべきか」を宣言的に記述し、どのようにデータにアクセスするかとかどう表示するか、といった処理は書きません。(そのような処理はDSL以外の外部のプログラムに任せます)
例えば上記の診療報酬を題材とするならば、医科点数表に特化した言語を設計することになるでしょう。医科点数表というドメインに特化することで、プログラマやSEでなくても理解しやすい・記述できる言語にすることができます。

by ほまるさん - 2020/10/25 12:00 問題を報告

このアイデアで何がよくなるのかイメージしにくい方も多いと思うので、具体例を出します。
題材として @01991 「システム改修を考慮した診療報酬改定の提案」というアイデアが投稿されており、以下のような課題が読み取れます。

・改定内容の公示から適用までが短期間でシステム改修の時間的余裕がない
・明確でなかった表現に対する疑義解釈が次から次へと通知される
・改定にかかる費用を負担しなければならない

実際に厚生労働省の「令和2年度診療報酬改定について」を見てみましたが、大変にボリュームがあり、改定についていくのは本当に大変だと思います。
システムベンダは改定の度に差分を抽出してシステムへの影響箇所を調査し、難解な日本語を読み解いてシステムに修正を入れているわけです。

「診療報酬の算定方法」の別表第1(医科点数表)などは機械可読にできそうな気がします。
この点数表で示される条件とその条件で判断される結果が機械可読になって、条件に使われるインプット情報さえ外部から与えることができれば、システム改修の短期間やコスト低減に大きな効果があるはずです。

by ほまるさん - 2020/10/25 11:58 問題を報告

#005
> 法律の文章が変わると政府のシステムが自動的に変わるのですか?

法令の解釈を示す機械可読な文書をシステムに読み込ませることで、システムの挙動を変えることができるようになることが理想です。

> 発注者である行政組織に尋ねたら教えてくれると思いますが。

ベンダがシステム仕様を調整する先のシステム課が法令に詳しいわけではないですし、現場の担当者もシステムに頼って仕事をしていますから法令の解釈を知っているわけではありません。
聞いたところで回答を得られるまでに時間がかかったり、回答をもらえなかったり、今動いているシステムの挙動が正しいからそれを同じにしてくれ、と言われることになります。(そして現在動いているシステムのプログラムコードを読み解いて調査することになるわけですが、大きいシステムだとプログラムコードが数百万行あってあちこちにロジックの欠片が散らばっていたりするので、これがまた大変です)
結果としてシステムの改修にかかる期間とコスト、そしてプロジェクトがデスマーチに陥ったり失敗するリスクは膨らんでしまうわけです。

by ほまるさん - 2020/10/25 11:55 問題を報告

AWS等のインフラ契約を中央一括とする

省庁向けにはもうやっていますが、これの自治体版でしょうか。

日本政府、AWSベースの情報システム基盤を運用開始
https://www.itmedia.co.jp/news/articles/2010/14/news053.html

by ほまるさん - 2020/10/18 17:26 問題を報告

デジタル改革アイデアボックス オープン対話について

#001
> 匿名でしかも複数ID持てるから、私はその日ごとにID再作成して投稿してますよ。もう50個位作りました。自分が作成したアイディアに自分で賛成票15票入れたりとか。管理者が適当だから何でもできちゃいますよ、この掲示板。

上記のようなことができないようにするための仕組みとして、公的個人認証サービスやマイナポータルとこのサイトが連携するといいですよね。
このサイトは今のところ Google、Facebook、Twitter、LINE、Instagramと認証連携できる仕組みですが、公的個人認証サービスやマイナポータルと認証連携できれば、それで認証されたアカウントは確実に一人1アカウントが保証されます。
ということができるようにするためのアイデアを以前投稿しましたので、内閣官房IT総合戦略室にはぜひご検討いただきたいなあと思います。
https://ideabox.cio.go.jp/ja/idea/00139/

by ほまるさん - 2020/10/18 12:43 問題を報告

すでに実現のために動いている、検討しているアイデアが選ばれている印象は持ちました。
政治ですしある程度恣意的に選ばれるのは仕方がないかなと思いますが、次回以降の対話では、これまで検討していなかったけど新しいアイデアとして取り組みたいと内閣官房IT総合戦略室で判断したアイデアや、中身をもう少し掘り下げたいようなアイデアを積極的に取り上げてほしいと思います。

選ばれなかった人の中には「自分のアイデアが選ばれないなんておかしい」「透明性がない」などと思う人もいるでしょうが、そんな文句ばかりが寄せられてしまえば対話の場そのものがなくなってしまうので、少なくともこのような対話が行われたこと自体は歓迎すべきではないでしょうか。

by ほまるさん - 2020/10/18 12:27 問題を報告

マイナンバーと生体認証の連携を!

マイナンバーカードによる認証はすでに「(マイナンバーカードの)所有」と「(パスワード・PINの)知識」という二要素を用いる強固な認証となっています。
パスワードやPINの代わりに生体認証を使うというアイデアは利便性の面では理解できますが、以下のような問題もあります。

・生体認証には「本人拒否」や「他人受入」が発生する可能性がある
・それらの発生率はセンサーの精度によっても変わる
・生体認証の種類によってはセンサーが高額だったり大きかったりして導入しにくい
・パスワードやPINと違い、生体情報が流出してしまっても変更できない
・生体情報が偽造される可能性がある(指紋などは簡単に偽造できる)
・生体情報を取られることに拒否感を示す人も多い

ということで生体認証は、サーバでの認証ではなく端末上に閉じた認証として使われたり、あるいはATMのようにしっかり管理されている端末上で使われることが多い印象です。
パスワードやPINを憶えられない人のために生体認証を組み合わせるなら、管理された端末を自治体の窓口等に設置してそこからのみ生体認証を許可するのが良いのでは。

by ほまるさん - 2020/10/18 12:13 問題を報告

InternetExplorer(IE)の規制

#019
マイナンバーカードで認証・電子署名するアプリについては、公的機関の配布するアプリであることを証明するコード署名を入れたものを用意して、利用者にその署名を検証するよう注意を促した方がよいです。
そうでないと、偽物のアプリを使って本来提出しようとした申請とは全然違う内容のデータに電子署名させられたりする可能性があります(クライアント側でデータに署名したものをサーバに送ることになるので)し、そもそもマルウェアを掴まされるかもしれません。

by ほまるさん - 2020/10/15 00:42 問題を報告

マイナンバーのワンタイム化

いいアイデアかもしれません。
マイナンバーが秘匿すべき情報とされているのは、本人の預かり知らぬところで勝手に名寄せに使われるリスクがあるから、という点にあります。どういうことかというと、マイナンバーは通常は一生変わらないため、その番号を使って勝手に買い物履歴や図書館で本を借りた履歴など様々な情報を紐づけされると、その人の行動履歴というプライバシーが丸裸にされてしまいかねない、ということです。
ワンタイム化でもいいのですが、例えばマイナンバーカードの更新期限ごとにマイナンバーが変更されれば、そこで一旦は履歴を切ることができるので、一生ついて回る問題にはならないわけです。
つまり、マイナンバーが変わることによってマイナンバーと紐づけられた情報について「忘れられる権利」が実現されるということになります。

そもそも漏洩した場合など正当な理由があればマイナンバーは変更可能ですし、これによって大きなシステムの変更は必要ないはず。
これが実現すれば、マイナンバーは特に秘密にしなくてもよい情報として法改正ができ、事業者やシステム上でのマイナンバー管理も特別な対応が不要になるかもしれません

by ほまるさん - 2020/10/14 23:51 問題を報告

ブロックチェーンを国家戦略にしないでください。

賛成です。新しい技術=良い技術 ではありません。
推進派は制約やデメリットに触れていません。

ブロックチェーンのメリットとしては以下のようなことが挙げられます。
・管理主体が必要ない
・改ざん耐性が高い
・システムが停止しない

ただし上記のメリットを享受するためにはブロックチェーンを構成するノードが大規模分散している必要があり、以下のような課題が出てきます。

・ブロックチェーンノードを誰が運用するか。政府管理ならブロックチェーンである必要はない。改ざん耐性や透明性を求めるなら政府以外の組織・団体にも運営に加わってもらう必要がある。
・政府以外の組織・団体がブロックチェーンのノードを運用するのであればそのモチベーションは何か。運用にかかるコストをどうまかなうか。
・ノードが多数の組織・ノードに分散しているとシステムのバージョンアップが困難。
・攻撃者の保有するノードの計算能力が高ければ改ざん可能(51%攻撃)
・攻撃により不正なトランザクションが記録された場合に正しい状態に戻すことが困難。
・情報流出に対して無力、というか積極的に流出させる技術である

by ほまるさん - 2020/10/14 09:40 問題を報告

国産クラウドの推進を

AWSやMicrosoft、Googleは自前でクラウド基盤技術を開発しており、クラウドを構成するオープンソースコミュニティへの貢献もしています。それらの企業の研究開発費は年間100億ドル単位(Amazonの2019年のR&Dが360億ドル)です。一方で代表的国内ベンダの2019年度の研究開発費は1,230億円くらいです。約30倍差。
オープンソースへの貢献に関するある調査ではトップ30位に日本企業は一つも入っていません。(Microsoft、Google、Amazonはトップ層にいます)

国内ベンダはオープンソースのクラウド基盤ソフトウェアであるOpenStackを使ってクラウド(IaaS)サービスを提供していますが、OpenStackに対してはどれだけ貢献できているでしょうか…。ほとんどフリーライダーに近い状態では。
またクラウドのベースとなるデータセンターの運用についても、三大クラウドは世界中に大量のリソースを抱えているのに比べると、国内中心の小規模なスケールでしか展開できておらず、運用ノウハウの蓄積もできていません。

それでも国産クラウドを推進したいですか?

by ほまるさん - 2020/10/13 00:39 問題を報告

自治体業務システムの機能サービス化(API化)を必須要件に

#003
APIさえしっかり設計されていれば、ユーザインタフェースは後から改善したり、または多様なデバイスに対応したりできますね。
逆にAPIがいけてないとユーザインタフェースだけでは根本的な使いにくさを改善できない場合もありますので、ここが肝要だと思っています。

オープンデータの掛け声が上がった時にも、いけてないデータ(
神Excel、神CSVとか)のせいで機械的な処理が難しい、ということがあったりしました。
データ設計・インタフェース設計はそれなりに専門的な能力が必要なので、それを意識した進め方・体制が必要になると思います。

by ほまるさん - 2020/10/12 01:10 問題を報告

APIの設計には、データ設計に対する理解やインタフェース設計についてのセンスが必要です。
ベンダに任せても使いにくいAPIを設計される可能性があるし、認証・セキュリティをシステムごとに設計するのも大変です。
内閣官房やデジタル庁にAPIの認証に対する指針を提示していただいたり、横串を通してAPIをデザインしたりレビューする組織があると良いと思います。

by ほまるさん - 2020/10/11 23:40 問題を報告

デジタル化にブロックチェーン技術を

文書に対するはんこの代わりになる技術としては電子署名になります。
ブロックチェーンははんこの代用としては適しません。

ブロックチェーンのメリットとしては以下のようなことが挙げられます。
・管理主体が必要ない
・改ざん耐性が高い
・システムが停止しない

ただし上記のメリットを享受するためには、ブロックチェーンを構成するノードが大規模に分散している必要があり、そうした場合に以下のような課題が出てきます。

・ブロックチェーンのノードを誰が運用するか。政府が管理するならブロックチェーンである必要はない。改ざん耐性や透明性を求めるなら政府以外の組織・団体にも運営に加わってもらう必要がある。
・政府以外の組織・団体がブロックチェーンのノードを運用するのであればそのモチベーションは何か。どうやって運用にかかるコストをまかなうのか。
・ノードが多数の組織・ノードに分散しているとシステムのバージョンアップが難しい。
・攻撃者の保有するノードの計算能力が高ければ改ざん可能
・攻撃により不正なトランザクションが記録された場合に、正しい状態に戻すことが困難。

by ほまるさん - 2020/10/11 23:23 問題を報告

PDF 文書を受け付けて欲しい

PDFでは、Readerソフトウェアで入力欄に入力可能となるフォームを作ることができます。
役所側で入力可能なPDFフォームを準備しておいて、そのフォームに入力したものの提出でも受け付けますよ、ということができればいいですね。
マイナンバーカードを使って電子署名を付けることも技術的には可能なので、入力可能なPDFフォームを表示して入力を受け付け、マイナンバーカードを使って電子署名をする、ということをシンプルに実現できるクライアントが用意されると良いなあと思います。

標準のReaderだとマイナンバーカードによる署名に対応していないため、マイナンバーカードに標準対応するようにAdobe社などに働きかけてもらえないかな。

by ほまるさん - 2020/10/11 10:08 問題を報告

いろんなカードの統一

ほとんどのポイントカードはgoogle payでまとめられますよ。
買い物履歴はプライバシー情報でもあるのでマイナンバーのように厳密に本人と紐づいて管理されると、一生付きまとうことになりかねません。
あまり厳密な管理が必要でないものはマイナンバーカードにまとめなくてよいと思います。

by ほまるさん - 2020/10/11 09:15 問題を報告

クラウドを使ったシステム調達のモデルとなる調達仕様書の提供

#001
クラウドの利点は理解しているつもりですし、私企業のサービス方針に対してどうこう言っているつもりもありません。
オンプレミスも当然選択肢にはなると思いますが、政府としてクラウド・バイ・デフォルト原則を示した「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を出しており、オンプレミスは排除されていく方向にあります。これを受けて公共の調達案件においてもクラウド以外の提案はしにくくなっている状況です。
それに対して、クラウドサービスを利用するリスクを調達する側が(受託側も、ですが)よく理解されておらずクラウド・バイ・デフォルト原則のためクラウドで提案せざるを得ない受託企業側にリスクを押し付けている形になっていないか、クラウドを安心して調達・提案するにあたり調達側・受託側がクラウドのリスクを共有し、その扱いを整理した調達仕様書のモデルなどが提供できないか、ということがこの提言となります。

by ほまるさん - 2020/10/11 02:24 問題を報告

個人認証方法の多様化を〜印鑑証明に変わるデジタル個人証明方法の確立

xIDにはいくつか疑問があります。

1.「エストニアで誕生した」とはあるが「エストニアで使われている」わけではない
2.マイナンバーカードから公的個人認証に使われる秘密鍵を取り出すことはできないので「マイナンバーカードの代わりに認証・署名できる」わけではないはず。
3.マイナンバーをもとに一意のIDを生成するためでありマイナンバーそのものは扱わないから大丈夫、といったことが書かれているが、番号法第2条第8項によると「個人番号」とは「個人番号に対応し、当該個人番号に変わって用いられる番号」が含まれる、とあるためマイナンバーから生成したIDは個人番号扱いになる。この使い方は違法である可能性がある。
4.エストニアで使われるアプリ方式の電子認証・電子署名であるSmart-IDは、アプリとサーバに秘密鍵を分散させる方式を採用しており、当然サーバ上でHSM(ハードウェアセキュリティモジュール)で厳重に管理されていて、アプリ内の秘密鍵とサーバの秘密鍵を両方組み合わせないと使えないセキュアな仕組みになっている。このアプリは秘密鍵はどう扱っているのか不明。

by ほまるさん - 2020/10/11 01:18 問題を報告

InternetExplorer(IE)の規制

なぜ公的機関のシステムでIEがよく使われてきたのかは、楠CIO補佐官のブログに詳しく経緯が書かれており、この話題に興味のある方、特に技術者であればぜひ読まれるとよいでしょう。
https://comemo.nikkei.com/n/n1c9103c81c79

マイナンバーカードを使うシステムにおいてブラウザをフロントに使うには、大変に技術的な困難があったことがよくわかります。
ブラウザは時代とともにセキュリティに関する仕様も変わっていくので、マイナンバーを使うシステムではブラウザにこだわらず全てネイティブアプリとして実装したほうがいいのでは、と個人的には思います。

by ほまるさん - 2020/10/10 13:21 問題を報告

マイナンバー連携システムの疎結合化

・個人の秘密鍵はマイナンバーカードの中の耐タンパ性のあるICチップ(取り出せない)の中に保管されています。
・マイナンバーカードを使った認証は公的個人認証サービスが提供しており、このサービスを使って各システムは個人を識別して利用できるようになります。
・個人番号は公開情報として扱うためには、個人番号によって様々な事業者・機関で管理される個人に関する情報が名寄せされてプライバシーが侵害されるのではないか、という過去の議論に立ち戻る必要があります。
・マイナンバーを使った個人情報の流通には情報提供ネットワークシステムが使われます。
・マイナンバーを使った疎結合な連携の仕組みについては、この資料の21ページ目あたりに仕組みが分かりやすく示されています。
https://www.cao.go.jp/bangouseido/pdf/seidogaiyou.pdf
・ただし情報提供ネットワークシステムを使って情報を流通させることができるのは、マイナンバー法で規定される機関と事務に限定されています。
・情情報提供ネットワークシステムの運営については個人情報保護委員会が監視しています。

by ほまるさん - 2020/10/10 13:00 問題を報告

パーソナルデータストアの実現と、パーソナルデータストアを通じた各種手続きのワンストップ化

#001
民間で進められている情報銀行は、収集したデータを分析してビジネスに活かす、という観点であり、手続きのワンストップ化は視野に入っていないように思われます。
民間にやってもらってもよいのですが、民間の情報銀行を経由して行政・自治体に対する手続きを代行させるのは個人としても抵抗があります。
官民の手続きのワンストップ化、行政手続きの効率化につなげるためのプラットフォームとしては、官がこの仕組みを構築するのがよいのではないでしょうか。

by ほまるさん - 2020/10/10 09:51 問題を報告

機械可読な法律の記述を実現することによるシステム保守コストの低減

#001
コメントいただいたように法改正は現実的には難しいですね。
法解釈を示す文書・ガイドラインに機械可読な文書を付けるのではいかがでしょうか。

by ほまるさん - 2020/10/10 09:43 問題を報告

投票履歴 47

法律をわかりやすく
法律記述言語の整備

高評価コメント 21

他のユーザからの評価(★の数)の平均が4以上のコメントを表示しています。

評価の平均値
5
コメント日時
コメントしたアイデア

マイナンバーに顔認証を

私はあらゆる場面で顔認証が使えないと主張している訳ではありません。
セキュリティというものは常に100%を目指すものではなく(そもそも100%安全ということはあり得ません)、リスクの発生確率やそれが顕在化したときの損失と、利便性やコストなどのバランスを取って実現手段が選択されるものです。それ単体で認証して誤認識が起きたり攻撃者に突破されてもさほど支障がないなら、顔認証も選択肢になります。

ただ、デジタル手続法によりあらゆる行政手続がオンラインで実現されるにあたって採用される認証・署名の方式としては、安全性を重視すべきであり、マイナンバーカードに搭載された耐タンパ性のあるICチップ(近い将来にはスマホとその中のセキュアエレメント)、およびその中の秘密鍵を使ったPKI技術、そしてカードをかざしつつPINなどを使った多要素で行われる認証や署名が、より安全性が高く妥当な方式だと考えます。

しかし将来、より利便性が高く安全性も高い方式が現実的なコストで実現できるようになれば、それに置き換わっていくでしょう。
そしてそれが顔認証である可能性は否定しません。

評価の平均値
5
コメント日時
コメントしたアイデア

マイナンバーに顔認証を

#026 に顔認証による万引防止システムがリンクされていて、監視はすでに行われている、というコメントがなされていますが、それによってマイナンバーカードを使わず顔認証によりオンラインでの行政サービスや要配慮個人情報を含む情報を参照したりすることが正当化される、とお考えでしょうか?

Wikipedia「本人認証」からの引用ですが、「本人認証は何らかの経済的・法的行為の入り口となるものであり、本人の意思の確認が必要であって、権利義務の主体の確定にかかわる分野で適用される。これに対して、個人識別では識別対象となる個人の意思は問題とされず、識別される側は主体ではなく客体として登場する。」とされています。
ここで問題にしているのは「本人認証」が顔で行われることの是非であり、#026 の万引き防止システムの例は「個人識別」にあたるものであって、別物です。顔で個人識別が行われていることやそれに対する個人情報保護法での扱いが議論されていることをもって、本人認証としてのマイナンバーカードを顔認証に置き換えることを正当化する理屈が成り立つとは思えません。

評価の平均値
5
コメント日時
コメントしたアイデア

マイナンバーに顔認証を

#022 #024
オンライン資格確認は、マイナンバーカード(所有)と顔認証(生体)という多要素の認証になります。認証用のリーダーは国が認めた機器になります。
台湾のATMでの顔認証利用は、まずIDを入力させた上で顔(生体)とパスワード(知識)を使って多要素認証する仕組みです。認証するATMは銀行に管理されたものを使います。また引き出し1回の上限は1万元に制限されることでリスクコントロールされています。

どちらも顔だけで個人を識別しているわけではなく、マイナンバーカードあるいは入力されたIDで個人の識別が行われた上で、顔の特徴を照合しています。
本アイデアに記載されているように、手ぶらで顔をかざしただけで認証が終わったり、その辺のスマホで顔認証すればよい、というものではないですね。

#003 に書きましたが、利便性と安全性(リスク)を天秤にかけて利便性が勝ると判断できるなら生体認証を使うことも選択肢になると思います。
ただ、今後要配慮個人情報の連携に使われたりあらゆる行政手続を実現するマイナンバーカードを置き換えるものになるとは思いません。

評価の平均値
5
コメント日時
コメントしたアイデア

マイナンバーに顔認証を

#015
>それらが仮に知られたとして直接的にどのような被害と結びつくのか

マイナンバーという番号そのものは流出しても直ちに問題は起きませんが、認証となると話は別です。

今後、マイナンバーカードを活用した医療情報の連携もされることになっています。病歴などの医療情報は要配慮個人情報であり、流出すれば差別・偏見につながる恐れがあります。
またデジタル手続法の成立により、行政のあらゆるサービスが最初から最後までデジタルで完結されるよう、行政サービスの100%デジタル化・オンライン化の実現に向けて取り組まれるとされています。これを実現するにあたっては厳格な本人認証が必要になることは想像に難くありません。

海外では顔認証すること自体が人権侵害だとして問題になっていたりもします(検索すればたくさん出てきます)し、こんな記事もあります。

中国で脆弱さを指摘され見直される顔認証
https://japan.zdnet.com/article/35162372/

将来画期的な技術が生まれるかどうかはわかりませんが、現時点で顔認証がマイナンバーカードに取って代われるとは思えません。

評価の平均値
5
コメント日時
コメントしたアイデア

マイナンバーに顔認証を

#015
スマホの生体認証は、認証される本人が認証するデバイスに対してあらかじめ生体情報を登録して成り立つものです。つまり「認証される当人がデバイスを信頼しており、そのデバイスの中だけで生体認証が完結する」仕組みです。不特定多数のセンサーに生体情報をさらす必要はなく、サーバに生体情報が送られることもありません。
FIDOと呼ばれる技術では、生体認証はデバイスの認証機能のロックを解除するために使われ、サーバとデバイスの間で秘密鍵を使った認証が行われるという仕組みになっています。私も、FIDOのようにスマホに格納されたマイナンバーカード認証機能をPINではなく生体認証で解除して認証に使う、という方式ならアリではなかろうかと思います。(ほげさんに示していただいているリンク先の資料にもFIDOの仕組みを参考にすると書かれていますね)

しかしこのアイデアでは、認証される本人は何も持ち歩かずに顔をさらすだけで認証される、ということを述べているため、スマホで使われる生体認証やFIDOとは異なります。スマホで生体認証が使われているから、顔だけの認証でも安全性は十分だ、という理屈は成り立ちません。

評価の平均値
5
コメント日時
コメントしたアイデア

マイナンバーに顔認証を

生体認証をマイナンバーカードに代わる認証方式とした場合、不正なセンサーや改造されたセンサーなどを使ってナマの生体情報を窃取される可能性も考慮すべきでしょう。それを窃取されてしまえばサーバ側でいくら堅牢に守っても意味を成しません。センサーに問題があれば指を何本使おうがまとめて窃取されます。顔と指紋と静脈と…と組み合わせればコストが跳ね上がります。生体認証とカードなどの方式を組み合わせる、ということであればそもそも解決したかったであろう利便性の向上(モノを持ち歩かなくてもセンサーにかざすだけで認証)は実現しません。
マイナンバーカードの場合不正なリーダーを使われても耐タンパ性のあるICチップ内の秘密鍵を盗むことはできないため、現時点の技術として生体認証より安全です。カード紛失についてはコールセンター(24時間/365日対応)に電話すれば一時利用停止させることができますし、PINを一定回数間違えればロックされるので不正利用される可能性は低いでしょう。

まあ、生体認証にまつわる課題は時間さえかければ新しい技術により解決されるという前提であれば、反論の余地はありません。

評価の平均値
5
コメント日時
コメントしたアイデア

マイナンバーに顔認証を

単に生体情報を使って認証するよりもマイナンバーカードが優れているのは、耐タンパ性(外部から読み取られない性質)のあるICチップ内で秘密鍵を使って演算し、その演算結果で認証が行われる点です。この方式であれば認証時であっても秘密鍵をICチップ外に出す必要はなく、物理的にICチップを所有していれば他者になりすまされることもコピーして拡散されることもありません。
一方指紋や静脈では生体の持つ特徴が流出しコピーされる可能性があるし、流出したとしても気づけないかもしれず、また交換もできません。

生体認証の優位点だけを示して劣っている点について解決策を示さず将来的に技術で解決すればよい、というのならそれはマイナンバーカード(の中のICチップ)による認証でも同じことが言えます。
マイナンバーカードによる認証が絶対的に優れていると思っているわけではありませんが、かといって生体認証ありきではなく、フラットに評価するべきではないでしょうか?

評価の平均値
5
コメント日時
コメントしたアイデア

マイナンバーに顔認証を

ちょうど生体認証について、マイクロソフトのクラウド認証サービスに関するサポート情報のブログに生体認証に関するリスクをしっかり説明した記事が公開されていたので、一読されることをお勧めします。
https://jpazureid.githu...eep-your-fingers-close/

また政府CIOポータルの標準ガイドラインでは、オンラインにおける本人確認手法の評価がされています。生体情報のみでの認証はマイナンバーカードによる認証と比べて2段階低いレベルに位置付けられています。
https://cio.go.jp/sites...ninkakunin_20190225.pdf

とはいえ安全性と利便性を天秤にかけて利便性を優先すべき用途であれば、生体情報のみによる認証も選択肢になるかもしれません。
あるいはFIDOならある程度安全性も確保できるかもしれませんが、デバイスは必要です。

評価の平均値
5
コメント日時
コメントしたアイデア

実は機関別識別符号だけで情報連携できるのでは

機関別符号は住民票コードから生成されています。(住民票コードは住民基本台帳のシステム上で個人に振られている番号です)
マイナンバーも住民票コードから生成されたものではありますが、マイナンバーがなくても機関別符号は生成できます。

参考
http://www.moj.go.jp/content/001154671.pdf

評価の平均値
5
コメント日時
コメントしたアイデア

実は機関別識別符号だけで情報連携できるのでは

システムや番号の名前付けが良くないせいで非常に混乱を招いているのですが、以下のように言い換えてそれぞれ別物であると認識すると、少しはわかりやすくなると思います。

マイナンバー → 税・社会保障番号
マイナンバーカード → 公的個人認証カード
情報提供ネットワークシステム → 公的機関間個人情報連携システム

評価の平均値
5
コメント日時
コメントしたアイデア

実は機関別識別符号だけで情報連携できるのでは

その通りで、情報提供NWSを介した情報連携には、実は仕組み上マイナンバーは必要なく、機関別符号で連携が行われます。

また、マイナンバーカードで重要なのは耐タンパ性のあるICチップに格納されている「電子証明書」や「秘密鍵」であり、これらを使って電子認証や電子署名が行われます。こちらでもマイナンバーは使いません。

マイナンバーは、社会保障、税、災害対策の3分野で、複数の機関に存在する個人の情報が同一人の情報であることを確認するために活用される、とされています。(法改正により金融や医療の分野での利用も認められるようになっているようです)
例えば税務関連では申告書などにマイナンバーが記載されており、これを使って税務署は名寄せし、効率的に個人の所得を把握しています。

評価の平均値
5
コメント日時
コメントしたアイデア

マイナポータルの課題

同感です。
@03679#016 のコメントでも書きましたが、世帯という管理単位は税や社会保障の観点で重要であると思います。

例えば特別定額給付金の例でいうと世帯人数を把握するため世帯の情報が必要で、また世帯単位で振込先の口座の登録が必要でした。
また例えば現在検討されている児童手当ならば、収入が多い世帯は給付の対象外にする案が出ていますが、夫の収入・妻の収入ではなく世帯収入が必要になります。世帯情報と、国税庁が保持しているであろう収入データとの紐づけが必要になるはずですがどうやって紐づけるか。給付に使うなら「世帯所得が〇〇万円以下の世帯を抽出」といった条件による対象世帯抽出ができることが要件になってきます。

富士通総研の研究レポートにおいても「世帯」に注目した研究レポートが出されているので、参考にしてほしいと思います。

マイナンバーの検証と今後の展開に関する研究
https://www.fujitsu.com...ch/2019/report-465.html

評価の平均値
4
コメント日時
コメントしたアイデア

デジタル政府の実現には専門IT人材が不可欠

CITP認定情報技術者のサイトを確認しましたが、現時点での認定者は「社内資格制度が本制度に適合すると認定された企業」の従業員ばかりとなっているようです。そして「社内資格制度が本制度に適合すると認定された企業」の多くは国の調達案件に入札するような大手です。
一方で、現在デジタル庁の設立に向けての採用では、当該職員が現在所属するか過去2年間所属していた事業者はその職員が関わる調達案件には入札できない、という留意事項がついています。

要するに、CITP認定を保持する人材のうちの多くは、今いる会社に迷惑をかけることになるためデジタル庁の創設に向けた採用には応募できない、ということになりそうです。

民間から起用するとしていながら、国の調達案件に詳しいベンダ側の実務経験者を実質的に弾き出すような留意事項をつけているのはいかがなものか、と思いますが…。理由は理解できますが、デジタル庁に国のシステムの予算や権限を集中させる中で本当にそれで成り立つのか心配です。

評価の平均値
4.5
コメント日時
コメントしたアイデア

データ戦略へのご意見をお願いします!![事務局]

システム屋の観点で思うこと。

・データの構造・形式も大事だが正規化も重要。第三正規形まではやっとかないとデータの整合性が維持できなくなる。
・データのライフサイクルの検討。発生・消去のタイミングを明確にする。例えば死亡した人のデータは何年残す?
・ベースレジストリとして一元管理するのではなく、種類ごとに分けて管理する方が良い。
 ・モノリシックなシステムにするのではなく、マイクロサービスとして設計して必要なタイミングで連携する。例えば個人データと収入・税データ、資格データは分けて管理する。
 ・個人や法人などはマスタデータ、収入・税はトランザクションデータとなる。ライフサイクルも違う。
 ・データの種類によって所管も違うだろうし、分けておいた方が万が一情報流出した場合の影響が限定される
・オープンデータの機械可読性は必須。機械可読じゃないと分析できず活用できない。

評価の平均値
5
コメント日時
コメントしたアイデア

データ戦略へのご意見をお願いします!![事務局]

課題と思うことを挙げておきます。

・例外の扱いを十分に配慮する必要がある。例えば、
 ・男性でも女性でもない人
 ・戸籍を持たない人、住民登録がない人(管理対象外?)
 ・生年月日が不明な人
・ベースレジストリへの個人データ登録が強制かオプトインかオプトアウトか
・個人データ一元管理の合憲性
 ・住基ネット訴訟判決を踏まえる必要があるのでは。
・属性(学歴・資格など)をどう証明するか
 ・個人・法人に対する属性を証明するトラストアンカーと認証パスの構築が必要。国がトラストアンカーとなり、大学とか認定機関に対する認証パスを構築する? 海外の学歴・資格はどうする?
・奇麗でないデータをどうクレンジングするか。そもそもクレンジングしていいのか。
・誰が、何の目的でベースレジストリにアクセスできるのか。参照・更新権限をどう設定するか。
・アクセスに対する監査ログを残す必要がある
・データ活用にあたっての匿名化、プライバシー保護をどう実現するか
・データの鮮度をどう保つか

評価の平均値
5
コメント日時
コメントしたアイデア

デジタル改革アイデアボックス オープン対話について

すでに実現のために動いている、検討しているアイデアが選ばれている印象は持ちました。
政治ですしある程度恣意的に選ばれるのは仕方がないかなと思いますが、次回以降の対話では、これまで検討していなかったけど新しいアイデアとして取り組みたいと内閣官房IT総合戦略室で判断したアイデアや、中身をもう少し掘り下げたいようなアイデアを積極的に取り上げてほしいと思います。

選ばれなかった人の中には「自分のアイデアが選ばれないなんておかしい」「透明性がない」などと思う人もいるでしょうが、そんな文句ばかりが寄せられてしまえば対話の場そのものがなくなってしまうので、少なくともこのような対話が行われたこと自体は歓迎すべきではないでしょうか。

評価の平均値
5
コメント日時
コメントしたアイデア

マイナンバーのワンタイム化

いいアイデアかもしれません。
マイナンバーが秘匿すべき情報とされているのは、本人の預かり知らぬところで勝手に名寄せに使われるリスクがあるから、という点にあります。どういうことかというと、マイナンバーは通常は一生変わらないため、その番号を使って勝手に買い物履歴や図書館で本を借りた履歴など様々な情報を紐づけされると、その人の行動履歴というプライバシーが丸裸にされてしまいかねない、ということです。
ワンタイム化でもいいのですが、例えばマイナンバーカードの更新期限ごとにマイナンバーが変更されれば、そこで一旦は履歴を切ることができるので、一生ついて回る問題にはならないわけです。
つまり、マイナンバーが変わることによってマイナンバーと紐づけられた情報について「忘れられる権利」が実現されるということになります。

そもそも漏洩した場合など正当な理由があればマイナンバーは変更可能ですし、これによって大きなシステムの変更は必要ないはず。
これが実現すれば、マイナンバーは特に秘密にしなくてもよい情報として法改正ができ、事業者やシステム上でのマイナンバー管理も特別な対応が不要になるかもしれません

評価の平均値
5
コメント日時
コメントしたアイデア

ブロックチェーンを国家戦略にしないでください。

賛成です。新しい技術=良い技術 ではありません。
推進派は制約やデメリットに触れていません。

ブロックチェーンのメリットとしては以下のようなことが挙げられます。
・管理主体が必要ない
・改ざん耐性が高い
・システムが停止しない

ただし上記のメリットを享受するためにはブロックチェーンを構成するノードが大規模分散している必要があり、以下のような課題が出てきます。

・ブロックチェーンノードを誰が運用するか。政府管理ならブロックチェーンである必要はない。改ざん耐性や透明性を求めるなら政府以外の組織・団体にも運営に加わってもらう必要がある。
・政府以外の組織・団体がブロックチェーンのノードを運用するのであればそのモチベーションは何か。運用にかかるコストをどうまかなうか。
・ノードが多数の組織・ノードに分散しているとシステムのバージョンアップが困難。
・攻撃者の保有するノードの計算能力が高ければ改ざん可能(51%攻撃)
・攻撃により不正なトランザクションが記録された場合に正しい状態に戻すことが困難。
・情報流出に対して無力、というか積極的に流出させる技術である

評価の平均値
5
コメント日時
コメントしたアイデア

国産クラウドの推進を

AWSやMicrosoft、Googleは自前でクラウド基盤技術を開発しており、クラウドを構成するオープンソースコミュニティへの貢献もしています。それらの企業の研究開発費は年間100億ドル単位(Amazonの2019年のR&Dが360億ドル)です。一方で代表的国内ベンダの2019年度の研究開発費は1,230億円くらいです。約30倍差。
オープンソースへの貢献に関するある調査ではトップ30位に日本企業は一つも入っていません。(Microsoft、Google、Amazonはトップ層にいます)

国内ベンダはオープンソースのクラウド基盤ソフトウェアであるOpenStackを使ってクラウド(IaaS)サービスを提供していますが、OpenStackに対してはどれだけ貢献できているでしょうか…。ほとんどフリーライダーに近い状態では。
またクラウドのベースとなるデータセンターの運用についても、三大クラウドは世界中に大量のリソースを抱えているのに比べると、国内中心の小規模なスケールでしか展開できておらず、運用ノウハウの蓄積もできていません。

それでも国産クラウドを推進したいですか?

評価の平均値
5
コメント日時
コメントしたアイデア

デジタル化にブロックチェーン技術を

文書に対するはんこの代わりになる技術としては電子署名になります。
ブロックチェーンははんこの代用としては適しません。

ブロックチェーンのメリットとしては以下のようなことが挙げられます。
・管理主体が必要ない
・改ざん耐性が高い
・システムが停止しない

ただし上記のメリットを享受するためには、ブロックチェーンを構成するノードが大規模に分散している必要があり、そうした場合に以下のような課題が出てきます。

・ブロックチェーンのノードを誰が運用するか。政府が管理するならブロックチェーンである必要はない。改ざん耐性や透明性を求めるなら政府以外の組織・団体にも運営に加わってもらう必要がある。
・政府以外の組織・団体がブロックチェーンのノードを運用するのであればそのモチベーションは何か。どうやって運用にかかるコストをまかなうのか。
・ノードが多数の組織・ノードに分散しているとシステムのバージョンアップが難しい。
・攻撃者の保有するノードの計算能力が高ければ改ざん可能
・攻撃により不正なトランザクションが記録された場合に、正しい状態に戻すことが困難。

評価の平均値
5
コメント日時
コメントしたアイデア

InternetExplorer(IE)の規制

なぜ公的機関のシステムでIEがよく使われてきたのかは、楠CIO補佐官のブログに詳しく経緯が書かれており、この話題に興味のある方、特に技術者であればぜひ読まれるとよいでしょう。
https://comemo.nikkei.com/n/n1c9103c81c79

マイナンバーカードを使うシステムにおいてブラウザをフロントに使うには、大変に技術的な困難があったことがよくわかります。
ブラウザは時代とともにセキュリティに関する仕様も変わっていくので、マイナンバーを使うシステムではブラウザにこだわらず全てネイティブアプリとして実装したほうがいいのでは、と個人的には思います。

ページの先頭へ