コンビニ交付サービスで別人の証明書が発行された件

　ゴールデンウィーク前までに、コンビニ交付サービスの件で、問題が幾つか発生しました。

マイナカードで別人の証明書が発行された！河野太郎デジ相「開発会社のアプリが原因」に大批判「責任取れ」「政府の不具合」 - Smart FLASH/スマフラ[光文社週刊誌]

　記事の通り、３月から５月にかけて、東京都足立区、神奈川県横浜市、川崎市の3地方自治体で計13件もの誤発行が発生しました。
　この問題を受けて９日に行われた河野大臣の記者会見に対し、SNSを始めとして、「責任取れ！」と言う声が上がっています。

　たびたび、私のnoteでもマイナンバー、およびマイナンバーカードについて取り上げているため、一度整理したいと思います。

　マイナンバーカードは、裏面にマイナンバーが記載されているため、便宜上個人番号カード、いわゆるマイナンバーカードと呼んでいるだけで、実際には、マイナンバーを含まない利用者証明用電子証明書というのを最も良く使用するため、公的個人認証カードと呼んでも差し支えないかと考えています。
　利用者証明用電子証明書は、健康保険証、e-Tax、コンビニ交付サービス、マイナポータルへのログイン、PayPayやメルカリなどの本人確認機能などに使用しています。
　この最も良く使用する利用者証明用電子証明書には上にも書きましたがマイナンバーは含まれません。この証明書自体、マイナンバーカードの前身である住基カードにも搭載されており、コンビニのマルチコピー機で住民票が取得できるサービスであるコンビニ交付は、この時代から搭載された機能をそのまま使用しています。
　したがって、マイナンバーカードを使用しても、住民基本台帳ネットワークシステムに参加していなかった地方自治体はコンビニ交付が出来ない可能性があります（代表的な地方自治体として名古屋市があります）。

地方公共団体情報システム機構のコンビニ交付導入のメリットと参加要件（市区町村向け）から拝借したシステム構成図

　この図の右側が地方自治体であり、今回問題が発生した東京都足立区、神奈川県横浜市、川崎市は、証明発行サーバと書かれている部分に富士通Japanのシステムを導入していることになります。
　この証明発行サーバは、住民基本台帳ネットワークシステムの時代に導入されたものを更新しながら使用されているようです。このシステムの導入にどのベンダーのものを採用するのかは、地方自治体に任されており、NECを採用した自治体もあれば、日立を採用した自治体もあります。
　あくまでも、地方自治体の予算の中で、見積もりをとった上で、どのベンダーのシステムを採用するかは、地方自治体に任されているものです。
　よって、今回の問題に関して、もし責任をとるのであれば、河野大臣と言うより、その問題が発生した東京都足立区、神奈川県横浜市、川崎市、それぞれの首長が筋ではと考えています。そのシステムを導入するように決定したのは誰？と言う事です。
　マスコミの取り上げ方の問題かもしれませんが、それぞれの首長の会見の様子が見えないので、このあたりはどう考えているのかと言うのが一番気になります。まさかと思いますが、全く自分たち（地方自治体）には非はないと考えていないとは思いますが、動きが見えません。

　このように書いてしまうと、私が河野大臣を擁護しているように思われる方がいらっしゃるかもしれませんが、そんな気持ちは全くもっていません。どちらかと言えば、河野大臣はあまり好きな政治家ではありませんので。あくまでも責任問題に言及するならば、河野大臣と言うより地方自治体の首長だろうという考えのもと書いています。

　さて、今回発生した問題で一番驚いた、というより呆れたのは、川崎市の事例です。

川崎市様における証明書誤交付ついて（お詫び）

　原因が書かれている箇所ですが「2か所のコンビニで、2名の住民の方が同一タイミング（時間間隔1秒以内）で証明書の交付申請を行った際に、後続の処理が先行する処理を上書きしてしまうことによるものです。」とあります。
　この文章を読んだ時、最初何を言っているんだろうか？と一瞬悩みました。補足すると、役所の窓口などにある受付番号を受け取り、手続を行ったとします。手続が完了するまで、その受け取り番号でやりとりが行われ、最終的な結果である住民票ができあがったとして、その受付番号の人に渡したら別人だった、と言うことです。なぜならば、その受付番号が１番からカウントアップされる番号ではなく、時刻を元にした番号で、たまたた受け取った番号が同じ人が別にいてしまったために発生してしまったようです。同じ窓口で受け取るんであればあり得ないんでしょうけど、別々の窓口で同じ時間に受け取ってしまったら、たまたま時刻が同じだったと言うことですね。
　おそらく、住基ネット時代は、カード自体持っている人も一桁%であり（私もそのうちの一人です）、コンビニ交付する人もいなかったため、全く同時になると言うことを考慮しなくても良かったのでしょうけど、運転免許証の発行枚数を超えるぐらいの枚数が発行されている場合、このようなケースは発生しうるでしょうし、もし可能性がなくても、排他処理等で回避できたはずです。

　ちなみに、この問題について、noteで考察を書いていらっしゃる方で、以下のように解説している内容がありました。正しいか正しくないかで言えば、正しくありません。カードに含まれる証明書が使えるかどうかを必ずJ-LIS側に問い合わせる必要がありますので、J-LISとは連携しなければなりません。

2.マイナンバーのシステムで個人を特定するためには裏で動いている住基ネットのシステムにアクセスする必要があり、その際にJ-LISなる団体に住基ネットの照会手数料として10円支払われる

そして、上記2つの理由から発注者側も現場も「お、マイナンバーも使わないし10円も払わないで済む方法あるじゃん」とタイムスタンプを個人特定のIDとして用いてしまった

　この方の他の記事で、マイナンバーカードを保険証として使用した場合に、想定される動作を書かれている記事があったのですが、マイナンバーを絡めた内容となっており、実際の動作とはかなり違っています。保険証として使用した際も、マイナンバーは全く使いません。使用するのは、J-LISが発行する証明書のシリアル番号です。
　デジタル政策に詳しいある自民党議員が、かつて「もう一つの番号は使い勝手がめちゃくちゃ良い。マイナンバー制度の肝はここにあるんですよ」と口にしてプチ炎上したシリアル番号です。
　いまだに、マイナンバーカードを使用すると必ずマイナンバーが関係すると誤解されている方が結構いらっしゃるようなので、このあたりは、技術的に整理して改めて記事に出来ればと考えています。