パスワードを忘れた? アカウント作成
15449986 story
政府

行政手続きに使われる「xID」がマイナンバー法違反の指摘。これを受け自治体でアプリ利用停止へ 57

ストーリー by nagazou
統合しました 部門より
自治体などの行政手続きで利用されているデジタルIDサービス「xID」に、法的な問題があるとして自治体の利用停止の動きが広がっているようだ(高木浩光@自宅の日記読売新聞なか2656のblog)。

xIDは本人がスマホアプリにマイナンバーを入力しxIDを生成する仕組み。このxIDのシステムに関して高木浩光氏がマイナンバー法2条8項にある「裏個人番号」に該当するのではないかと指摘している。同氏によれば「裏個人番号」は、法的にはマイナンバーと同等のものになるという。マイナンバーは桁数が少ないことから、不可逆なハッシュでも総当たりによって元の番号を特定することができるためのようだ。

マイナンバー法では、マイナンバーは税・社会保障・災害対応の3項目の利用目的以外は認められていない。また先の目的以外に本人や行政機関・事業者などがマイナンバーを提供することを禁止している。xIDアプリにマイナンバーを入力させることが違法なマイナンバーの収集にあたるのではないかということになる。

xIDは加賀市や三田市、町田市などが自治体の電子申請システムや施設予約システムなどに導入済。しかし高木氏などの指摘を受けて利用停止する動きが出ているという。読売新聞によれば、加賀市は9月末に全申請を停止。愛媛県はこのアプリ経由の登録者のデータを削除、別方式で再登録を行った。東京都渋谷区はアプリ導入を撤回。川崎市や岐阜県も使用できないように設定変更したとしている。
  • by oni-giri.rice (49266) on 2021年10月14日 18時42分 (#4132337)

    xID生成にマイナンバーを種にしてるとかで、
    不可逆であってもマイナンバーに類推するものにあたるからアウト、みたいな話でしたっけ。
    なんでわざわざ...て感じですが。

    ここに返信
    • by Anonymous Coward

      なんかあった時のパスワード再発行手続きなりを楽したいとかじゃないですかね。

      パスワードを忘れてログイン出来なくなったら終わりです、新たなメールアドレスで再登録してね、と出来たら楽なんだけど。
      そういうわけにも行かないので、厳重な手続きで本人確認が出来たらパスワードのリセットなり再発行なりしますよ、と手間が増える。
      本人確認のためにマイナンバーカードを見せろ、ならそこそこ手っ取り早し。

    • by Anonymous Coward

      企業情報とか創業者のプロフィールを見て思ったのですが、最近の自治体職員は、こういう「先端を走ってる」「意識高い系」に弱いんですよね。
      ひとつは、未だに、日本で、地方で、県内で、同規模の自治体で、「最初にした」ということが、やたらと評価される業界だからです。
      また、最近は国の補助が少なくなり、実験的なものばかりに補助が着くようになって、先頭を走ってるようにしないとお金がもらえないからです。
      だから、この企業みたいに「意識高いです」「最先端です」というアピールする者に、乗り遅れないように群がってしまう。

      自分がやってた頃のように「マイナンバーをアプリに入力させるなんて、それ、大丈夫なのか?」と言ってくれる人が、自治体担当者の周りに少なくなってるんでしょう。

      • by Anonymous Coward

        創業者って、どこの大学出たかも不明だし、TEDで目覚めたとか書いてあるよね。

      • by Anonymous Coward

        本当に法的倫理的問題がある業者とかコンセプトにしか金が出なくなってるんだよな
        ほとんど「で、どこが違法なの? 素人だよね? プロの合法じゃ金は出せないぞ」って言葉が飛んでてもおかしくないレベル
        まずい業者が紛れ込むんじゃなくて政治が科学技術全般を干す方針を取ってるからそういう所だけが選別されてる

  • by nnnhhh (47970) on 2021年10月14日 17時54分 (#4132282) 日記

    重複しなけりゃいいんだったらメールアドレスでも使えよ…
    ついでに確認もできてええやないか

    ここに返信
    • by Anonymous Coward

      明確な意図を持たず「ついでに」とかやらかす輩のせいで、めんどくせえ事になってくんでしょうね。

    • by Anonymous Coward

      公的身分証明で一意性を担保してアカウント発行すれば複垢ができないってのが肝なワケ
      そんでそうやって国が保証してる戸籍の一意性を民間で利用することは認められてないってワケ

      • by Anonymous Coward

        少なくとも今回のxIDの場合は入力されたマイナンバーをサーバーに送ってないんだから真贋判定できなさそうだし、偽のマイナンバー入力すれば複垢作れるんじゃないの?

  • by Anonymous Coward on 2021年10月14日 18時21分 (#4132316)

    桁数が少ないからとか、可逆だからとか全く関係ないから。
    完全に不可逆だとしても、というか趣旨から言えば完全に不可逆な方がアウトだろ。

    適当な解説加えて誤解広めてどうすんだよ。

    ここに返信
    • 高木説は不可逆でもアウトというもの、宇賀説は可逆的に識別できる場合にアウトというもの、東京都説は直接かつ可逆的に識別できる場合にアウトというもの。断定はだめよ。

      • 高木説が不可逆でもアウトと言っているのは、同じ関数が使われることで、(たとえ元の個人番号を復元できなくとも)ハッシュ値同士を照合することで個人を識別できるようになってしまうから。

        • by Anonymous Coward

          一億人程度ならスマホ程度の計算能力でも総当たりで変換表を構築できるから匿名でもランダムでもないってのが
          どうもITに詳しい人以外にはピンと来なくてどう抜け道になるのか分からないらしいな
          運が絡むんじゃないの? とか確実性がないんじゃないの? とか色々疑問を思い付くらしい

          • by Anonymous Coward

            このツリー含め、ここまで散々変換表ができるかどうかなんて関係ないって話をしてるのに、なにをどう解釈したらこうなるのか。

            自称ITに詳しい人が一番厄介って証明でもしたいの?

            • by Anonymous Coward

              「マイナンバーが計算に絡んだ時点で汚染されるからダメ」って話じゃなくて
              マイナンバーを元に個人を同定する限りダメと決まってるって話じゃないの?

              実装上はマイナンバーの末尾ビット1つでもダメかもしれないけど趣旨は違うでしょ

    • by Anonymous Coward

      個人番号のハッシュを個人番号と扱うか、そうでないかにかかわらず、違法である可能性があると言う話ですよ。

      • by Anonymous Coward

        ??

        だからそういってるんじゃん。

      • by Anonymous Coward

        「マイナンバーは桁数が少ないことから、不可逆なハッシュでも総当たりによって元の番号を特定することができるためのようだ。」
        ↑この部分が余計だって言ってるんでしょ。
        そんな事書いていないと思う。

        そして、「元の番号を特定することができるため」は嘘。
        日記は全く逆の趣旨で記載されている。

        • by Anonymous Coward

          > 日記は全く逆の趣旨で記載されている。
          ほのかにミステリ感がありますね。
          ただの駄文なんかじゃなかったんだ!的な。

        • by Anonymous Coward

          なるほど、「完全に不可逆だとしても」以降を除けばそう読めるのか。理解した。

        • by Anonymous Coward

          逆算不能でも特定できる場合は裏番号として禁止対象って規定じゃないの?
          その上で別途そもそも目的外利用なので違法という話が重なってくるんだと思った

          日記は可逆暗号の場合のみ禁止なのか不可逆でも特定できれば禁止なのか
          最終的に特定できれば禁止になったが経緯はどうだったのかって話でしょ

    • by Anonymous Coward

      自分でも理解できるレベルに強引に端折る人達ほど
      発信意欲が旺盛ですから困り者ですね。
      昨今のスラドにも決して少なくないので、辞世を促したい。

  • by Anonymous Coward on 2021年10月14日 18時08分 (#4132297)
    最初っからどーんと桁数多くすればよかったのでは
    ここに返信
    • by mchep (48337) on 2021年10月14日 18時28分 (#4132324)
      「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号」も含めて規制の対象になっているので、元の番号を特定することができるかどうかは問題ではないと、高木先生は仰っているのでは。
    • by Anonymous Coward

      そして配布するマイナンバー自体がハッシュであればかなり強固だった。
      桁数が少ないからもとの値が推測可能なのは設計としてちょっとひどい。

    • by Anonymous Coward

      マイナンバーはやめてNFCのカードでタッチで手続きすべきだった。
      番号を入力させるなんて馬鹿げてる。

    • by Anonymous Coward

      あんちゃん、スラドは初めて?
      スラドの記事は編集者が少ない時間で書いているせいもあって間違っている事が少なくない。
      リンク先(これも間違っている事が稀にあるけど)を見ないと本来の意味はわからないよ?

      まあ、今回もリンクが足りてない。
      「マイナンバーは桁数が少ない~元の番号を特定することができる」は
      恐らくヤフコメ [yahoo.co.jp]を元にしたもので、
      これは、裏個人番号がマイナンバーと同等に扱う理由を説明したものではなく
      xIDの言い分「ID生成にマイナンバーを使っているが、ハッシュ化してるので復元はできない」に対する反論

      • by Anonymous Coward

        そもそも復元できるかどうかは関係ないよね。ヤフコメ自体が的外れ。

        • by Anonymous Coward

          xIDが違法行為を働いていたのみに焦点をあてるのであればそう。

      • by Anonymous Coward

        当該アプリでは独自のデジタルID生成にマイナンバーを用いており、そこからマイナンバーを復元することはできないと説明していました。しかしマイナンバー法ではこうした不可逆的な変換をした番号についても同様の扱いとしています。不可逆といってもマイナンバーは12桁の数字であり、アルゴリズムが分かれば総当たりで復元される恐れがあります。

        このヤフコメの解説を読んだら普通は「復元される恐れがあるから同様の扱いにしてるんだ」と思うよ。誤読しないだけの知識がある人にはこの解説は不要だし。なんでこんなこと書くのかな。

        • by Anonymous Coward

          解説者が理解していないから。
          マイナンバーで最も警戒されているのは名寄せだってことを理解しているかしていないかの差。

  • by Anonymous Coward on 2021年10月14日 18時36分 (#4132331)

    スマホメーカーだとアプリのサンドボックスも触り放題だし
    このアプリで入力した文字や画像なんかも吸い出して
    好きなところに送れたりしますよね?

    中華スマホとかでこのアプリ使うとかヤバい気がしますなw

    ここに返信
    • by Anonymous Coward

      自分はそれが怖いのでカスタムROM入れて使用しています

      # なお技適

  • by Anonymous Coward on 2021年10月14日 20時40分 (#4132413)

    これに関連する背景となる法整備の条文等、関連する質疑応答の公文書を、
    やたら量が有り過ぎて読み切る自信が無くて
    全く読まないまま、マイナンバーカードを取得しているw
    これを機に読むしかないのか・・・
    まぁ、クロスIDを使わなければ何の問題も無いんだろうけど。

    ここに返信
    • by Anonymous Coward

      いや、利用者側にはそんなに難しい点はないですよ。
      「マイナンバーは基本的に、行政機関(+それに準ずる者)以外から提供を求められることはない」
      という点だけ知っておけば。
      (会社勤めの人は会社から提供を求められるけど、これは税務署関連の書類に記載する必要があるので)
      なので、行政機関以外からマイナンバーの12桁数字を求められたときは、ちょっと疑った方がいい程度。
      xIDは一見すると行政の代行サービスに見えるので(実際には違う)、利用者が入力してしまうのは仕方がない。
      これはxIDと地方自治体のポカだから。

      • by Anonymous Coward

        おっしゃって下さっている点については理解しております。
        ご心配をおかけしたみたいで申し訳ありません。
        個人的に、学ぶ事、知識を得続ける行為の一環として、特に法関連は意外と難解な点が多いので、
        そこに挑んで丁寧に理解しておきたいという欲求ですねw
        マイナンバーが発行されるまでの間に多くの議論が有り、
        だいぶ前に内閣府で資料を漁ってみたら、ページ総数だけでも、数百ページあったんですが、
        当時は読んでいる時間が無かったので投げちゃったんですよね(汗
        なので、改めて読まないといけないなぁと思った次第です。

      • by Anonymous Coward

        何で利用者証明用電子証明書のシリアルナンバー(発行の番号)が裏番号扱いにならないのかよくわからない……

  • by Anonymous Coward on 2021年10月14日 20時58分 (#4132428)

    民のみならず官も誰も理解していなかったのである!
    選挙終わったら野党から突き上げ食らって廃止論出されそう。

    ここに返信
    • by Anonymous Coward

      そもそもデータの管理方法としての通番管理程度の話のはずが、国民感情に配慮した結果わけわからん矛盾したルールになった。
      野党もどうしていいかわかるはずもないので、攻める口実に使うならせいぜい「不適切だ」くらい。
      なにが「適切」かは知らんけど、みたいな。

      • 矛盾も何もその通番が民間の名寄せに使われるのを避けたいという立法意図なので
        その抜け道を探して名寄せや本人確認に使おうとするのは本質的に無理筋なのですよ。
        しょせんはただの番号だし大丈夫でしょ、という話ではないのです。

        もし反対するなら立法前にその意図をくじいておくべきでしたね。
        「うるせー、官民一体で通番を使って便利に全部紐づけしたいんじゃ!
        複垢で自演するやつとかこらしめたいんじゃ!個人情報保護?クソクラエ!!」ってね。

        むしろ知らなかった人が今更不便だこんなのどう使うんだと騒いでるレベル。
        立法意図は立派に機能してますよ。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...