jeyseni's diary

「ジェイセニ」と呼んでください。批判ではなく提案をするのが生き甲斐です。

日本のデジタルプラットフォームの不安--エンジニアが桁違いに少ない

菅義偉内閣が発足したのが2020年9月16日。官僚を巻き込んでこれまで官房長官として数々の改革を裏で推進してきた実績があるという。行政改革担当に河野太郎氏を指名し,デジタル改革担当に平井卓也氏を指名した。外務大臣防衛大臣となかなか無茶をしてきた河野氏をどう使うか見ものだが,デジタル改革についても不安が残る。

 年金制度,ゆうちょ銀行,マイナンバー制度,キャッシュレス・ポイント還元のいずれも,システムの不具合が露呈している。新型コロナウイルス対策の接触確認アプリCOCOAの不具合も2回目である。

 システムに不具合が発生するのは,複雑なコンピュータシステムなので仕方がないことである。WindowsでもMacOSでも不具合は発生する。しかし不具合のレベルが違う。コンピュータのOSが動かないことはない。セキュリティーホールが基本的な問題である。しかも,それをサポートするエンジニアの人数も能力も桁違いに多い。

 設計どおりに機能が動かない,間違った動作をするなどという日本のシステムのレベルの低さに,呆れ返ってしまうのである。セキュリティーホールに至っては,どれほどあるのか想像もつかない。NTTドコモのユーザー登録手続きの手抜きなど,まったく呆れ返ってしまう。ここからの侵入を許したゆうちょ銀行をはじめとする大手中小銀行のシステムにしても,お寒い限りである。今回の犯罪はおそらく日本人ハッカーないしグループによる犯罪だと思うが,これに海外からのハッキングが加わったら,被害額は桁違いになることだろう。

 以前から,匿名によるアクセスは犯罪の温床になると思っていた。始まりは「2ちゃんねる」という掲示板システムだろう(1999年~)。匿名によって自由なコメントの書き込みができ,大バトルになることもあった。誹謗中傷,個人情報の流出,そして犯行予告や脅迫などの犯罪につながることもあった。個人が特定されないことから,自由勝手無責任な発現が掲載されていた。管理人も責任を取ろうとしなかった。

 Googleのメールシステムgmailなどのフリーメールにおける匿名登録,Facebooktwitter,LINE,そしてこのHatenaブログにしても,匿名による情報発信が当たり前に行われている。個人が特定された場合は,個人攻撃,個人情報の流出という別の危険性はある。

 「国民総背番号制」は各国で進められてきた。アメリカのグリーンカードがその代表だろう。日本では議論が出ては消え,ようやく2015年からスタートしたマイナンバーがこれに当たる。やっとまともな考えで進められるのかと思ったのだが,当初から「マイナンバー制度」と「マイナンバーカード」という別物が混同して使われたため,国民が混乱した。

 国民一人ひとりに番号を付けたのがマイナンバー制度であり,これはデータとして総務省が管理している。これに対して「マイナンバーカード」は,個人を証明するICカードのことで,顔写真が印刷され,顔の情報と個人番号としてのマイナンバーがICカードには記録されている。ここに将来的にさまざまなサービスの情報がつながってくると言われている。

 マイナンバーという個人番号は国民全員に振られており,登録されているが,個人カードであるマイナンバーカードを所持している人は2016年の発行後4年の6月1日で2,100万人程度で,人口比16.8%にとどまっている。2020年9月から始まったマイナポイントで,「マイナンバーカード」と「キャッシュレス決済」を紐付け登録すれば,購入額の25%を還元する,という“金で釣る”作戦を展開しているが,2021年3月までにさらに1,900万人に「マイナンバーカード」を作成させるという。

 第一関門が「マイナンバーカード」の発行手続きである。アナログ的に手続きするには,最初に送られてきた「通知カード」(マイナンバーが印字され,マイナンバーカード発行用のハガキがセットされている)のハガキ部分に名前や誕生日などの情報を記入し,規定サイズの写真を同封して自治体に送ると発行される。発行まで2週間から1ヶ月かかる。デジタル的な手続きは,総務省のWebサイト「マイナポータル」で必要事項を入力し,写真はデジタルデータを添付して送信すると手続きは完了する。こちらも発行までは2週間から1ヶ月かかる。

 発行されたカードは,自治体の窓口に出頭しないと受け取ることができない。代理人が出頭することもできない。本人だけである。窓口で本人の顔とカードに印刷された写真を担当者が目視で確認する。そして端末で暗証コードを登録し,この情報を書き込んで初めて手渡される。カードを発行してもらおうと決めてから,だいたい1ヶ月は必要であることをまず認識してほしい。

 次に,キャッシュレス決済との紐付けだが,ここにも関門が待ち構えている。まず,キャッシュレス決済を使っていることが前提になる。これまで使っていない人もまだ多い。決済口座を銀行やゆうちょに持っているのは,基本的に大学生以上である。オンラインで雨後のタケノコのように次々と登場した「ペイ」系のキャッシュレス決済サービスも,基本的には銀行口座と紐付けることが多い。口座と紐付けない場合は,スマホでチャージする必要がある。チャージのためにはコンビニの端末や窓口を利用しなければならない。クレジットカードは銀行口座との紐付けが前提となる。あとは交通系SuicaPasumoなど)カードとの紐付け(チャージは駅の出札)が比較的使いやすいかもしれない。スマホ系の決済は,通信料との合算になり,その支払は親の口座からかもしれない。

 初めてキャッシュレスサービスを登録する場合,大人はクレジットカードとの紐付けが便利と思うだろうし,若者は交通系カードやデビットカードで銀行口座とつなぐ方法を選ぶのが無難かもしれない。では,中高生以下はどうするか,乳幼児はどうするか,などと考えると,なんだか不公平なシステムに見える。

 ここでさらに壁となるのが,クレジットカードとの紐付けである。筆者の手元には数十枚のクレジットカードがあるが,マイナポイントとつなげられるカードは1枚しかなかった。これにはまず驚いた。デビットカードも種類が限られている。「ペイ」系はすべてOK。交通系もすべてOKなのに,この対応はどうかと思う。

 さらに,このマイナポイント登録を総務省のマイナポータルで手続きしようとすると,カード読み取りアダプターの付いたパソコンか,マイナンバーカードを読み取ることができるスマホが必要になる。カード読み取りアダプターは,2003年にシステムを稼働した「住民基本台帳カード」(住基カード)が使える専用のアダプターが使える。筆者も購入し,確定申告のオンライン申請(e-tax)でも使用してきた。当時のWindowsのOSと,最新OSは異なるため,使えるかどうか不安だったが,何とか使えた。しかし,このアダプターを所持している人はそれほど多くないと思われるし,マイナポータルのためにわざわざ購入する人もないだろう。

 すると,スマホが便利なのだが,すべてのスマホが使えるわけではない。キャリアによっては数種類しか対応していない。

 結局,自治体の窓口に行き,先に発行されたマイナンバーカードを見せながら手続きをするのが便利ということになる。このためか,自治体の窓口に人が殺到し,新型コロナウイルスがまだ収まらない中,自治体の窓口周辺で三密状態が発生し,しかも数時間待ちというような事態も起きてしまった。

 個人認証を何でするか,という基本的な問題だと思われる。マイナンバーカードもグリーンカードも,基本的には顔写真を基準とし,これを担当者が目視で確認する方式である。パスポートと同じ方式である。偽造されにくさをどんどん追究しているパスポートだが,顔写真と本人を担当者が目視で判断する方法は,化粧や変装,整形などによって確実性が担保されない。顔認証システムを使うことも考えられるが,個人情報としての顔をだれがどう管理するのか,そこも安全なシステムを構築するのは難しい。

 指紋や静脈パターンの登録も,なかなか難しい。銀行では標準的に導入されているが,特に指紋登録は偽装も可能と言われている。瞳のパターンを登録する光彩認証は,さらに登録システムが煩雑になる。

 いずれにしても,個人を確実に抜けなく登録すること,個人情報を破られない,しかも日本だけでなく世界中からのアタックにも耐えられるシステムを構築すること,という両輪が必要である。しかし,日本のIT技術者は数が極端に少ない。システムの構築もまともにできていない現状では,システムへの侵入などのアタックから防御する仕組みを構築できる技術者も少ない。アメリカやロシア,中国が数万人規模,韓国や北朝鮮,中東諸国が数千人規模でサイバー攻撃への対応人員を運用しているのに対し,日本では自衛隊に数百人,民間に数百人という人材しかいない。まともなシステムを作ることすら難しい。コンピュータやネットワークのインフラ,さまざまなオンラインアプリケーションのプラットフォームを海外企業に牛耳られており,OSや通信レベルで情報漏えいを防ぐ方法もないのが現状である。

 これまで,海に囲まれて物理的に独立していた日本だが,人の流れ,モノの流れ,情報の流れを考えると,世界と地続きになっているのとほぼ同じである。新型コロナウイルスも,物理的な人・モノの流れの中で日本に上陸してしまった。デジタルに関しては,国境はもはやなく,しかも日本はほぼ無防備状態である。日本語という2バイト系の特殊な環境があるため,多少はバイアスがあるものの,世界からのサイバーアタックは1秒間に数億回に及ぶという。

 新型コロナウイルス禍も含めて,これは世界戦争状態である。もう一度,デジタルプラットフォームを真剣に独自に構築する必要があるのではないかと考える。それを担うのは,かつての電電公社系の大手通信会社(N社,F社,O社)か,それとも・・・。のんきに「スマホ決済でxx%還元」で喜ばせている場合ではない。2011年9月11日のアメリカ貿易センタービル攻撃と同じような一瞬で破壊される物理的なアタックの危険性も秘めている現在,防衛面,通信プラットフォーム面でも超緊急事態状態にあると筆者は認識している。何が起こってもおかしくない。性善説だけでは防ぐことができない。

 デジタル庁の設置は2021年だという。遅すぎるのではないか。安倍前首相が辞任を表明してから,菅首相が任命されるまで2週間。長すぎないか。国会やデジタル担当会議がリアルで行われている。ノンビリしすぎていないか。菅内閣の「破壊力」にスピード感が加わることを望みたい。