マイナンバーと言うなんちゃってDX①
マイナンバーの記事を読むたびに違和感を感じていましたが、内情が分からず、エビデンスがないため、表立って批判することは避けていました。
今回の私のブログも、エビデンスがなく、単なる妄想で書いていますので、専門家以外のテレビのコメンテーターの発言と同様に割り引いて読んで頂ければ幸いです。
また、質の悪いクレーマーになっているかもしれませんので、その点もご容赦ください。
妄想の部分は、「?」を入れていますので、ご参考にしてください。
申し訳ございません。
関係者には深く謝罪いたします。
マイナンバーの仕組みについて、ぜひとも学びたいと思っていますので、事実と異なる点があれば、コメントで情報提供頂ければ幸いです。
さて、政府はマイナンバーカードの普及を促進するために、最大2万円分のマイナポイントがもらえるキャンペーンを行っています。
マイナポイントを受け取れる条件は、下記になります。
■条件
・マイナンバーカードの新規取得
・健康保険証としての利用申込を行った場合
・公金受取口座の登録を行った場合
マイナンバーカードの普及率は、8月時点で50%を超えていますので、現時点では60%を超えている可能性があると言われています。
マイナポイントのキャンペーンは、マイナンバーカードの申請期限を12月に延長することになりましたので、より普及は進むのではないかと思われます。
かく言う私もマイナポイントの申請を行いましたが、申請の際には、マイナポータルとマイナポイントのアプリを利用しました。
ただ、このアプリに問題があると思いますので、その課題を下記に書かせていただきます。
スマホの初期設定
アプリを活用してマイナポイントを申し込む場合、スマートフォンでマイナンバーカードを読み取って申請を行います。
読み取り(無線通信)の技術としてはNFCが採用されていますが、身近なところでは、SuicaやnanacoなどもNFCを活用しています。
(SuicaやnanacoなどはFeliCaを採用、マイナンバーはType-Bを採用)
スマートフォンでNFCを読み取る場合、下記設定が必要になります。
■設定(Android携帯の場合)
・おサイフケータイロックをOFFに変更する
NFCのReader/Writer・ P2PをONに変更する
・BluetoothをONにする
この程度の設定であれば、誰でもできるのではないかという意見もあると思いますが、中高年の内、スマートフォンが得意ではない方が対応できるのかは、疑問を感じえません。
実際に親御さんのために、息子・娘が代わりにマイナポイントを申請したという事例をうかがっています。
マイナンバーカードの読込
スマートフォンの初期設定が終われば、マイナンバーカードを読み取って申請するだけです。
さて、マイナンバーカードはType-Bで規格が異なるとは言え、Suicaやnanacoなどのように簡単に読み取ってくれるイメージですが、実際にスマートフォンで試すと上手く読み取ってくれませんでした。
マイポイントのサイトでは「機種ごとのカード読み取り位置」を紹介していますので、
場所がずれてしまうと読み取れない問題があるようです。
また、何度も読み込みを試すときに、マイナンバーカードを機器に付けたままだと、再読込できないため、一度、携帯電話からカードを離し、再接触させる必要があるようです。
他のブログでも同じ問題で読み取れなかった事例が紹介されていましたので、これも一部の人が苦労した点のようです。
私の携帯電話の機種では、40回に1回程度、読み取れるという厳しい結果でした。
コンビニなどの端末では、私のマイナンバーカードは100%で読み取ってくれますので、私の携帯電話の機種に依存した問題の可能性も考えられます(?)。
NFC対応機種にも限らず、上手く読み取れない場合、機種変更をお薦めしている携帯電話の販売代理店もあるようです(?)。
一部の機種だけの問題なのかもしれませんが、二要素認証の方式を検討する際、NFCを採用したのは正しい選択だったのでしょうか(?)。
二要素認証の検討時に、実際に日本で利用されている様々な携帯電話で、NFCを読み取るといったユースケースをテストしていなかったように思われます(?)。
また、セブンイレブンなどのコンビニでもマイナポイントの申請を行えますので、こちらのユースケースでマイナンバーカードを利用することを想定したのかもしれませんが、コンビニからは公金受取口座を登録することができないという制限がありますので、代替えになっておりません(?)。
携帯電話でNFCを読み取れない課題を認識したのであれば、コンビニでも公金受取口座を登録できるように対応しておくべきでしたが、多くのSIerが参加したプロジェクトのため、システム全体としての検討が不足しており、個々のアプリがちぐはぐの仕様になっているように思われます(?)。
アイテムを購入しなければ無料で遊べるアプリが数多く出回っていますが、半無料で利用できるアプリですら、アジャイル開発を採用しています。
利用者からの意見を収集し、新しい機能を付け、より利用者に楽しんでもらえるように改善を続けています。
アプリ開発ではベータ版を提供し、利用者からのフィードバックを収集し、アプリを改善するアジャイル開発(開発⇔フィードバックを繰り返す)が求められますが、マイナポイントアプリは修正履歴上、軽微な変更しか行っていないようです。
マイナポイントアプリは初めから予算が決まっていて、ウォーターフォール(工程ごとに作業し、仕様変更不可)で開発したのではないでしょうか(?)。
携帯電話のアプリが人々の生活にこれだけ浸透したのは、利用者の要望を収集して機能改善を行った結果であり、形だけアプリを作成しても、使い勝手の悪いアプリは人々に受け入れられないでしょう。
パスワードロック
私は、何度もアプリでマイナンバーカードの読み取りを試しましたが、最終的にはパスワードロックとなってしまいました。
マイナポータルは3回連続でパスワードを間違って入力した場合、パスワードロックがかかってしまいます。
ロック解除のためには、平日に市区町村の窓口に訪れて、パスワード初期化の申請を行う必要があります。
デジタルに対応するためのマイナンバーカードが、アナログではないとパスワード解除できないというのは理解に苦しみます。
また、アプリの仕様にも問題があり、パスワードロックを誘発する仕組みとなってしまっています。
アプリ上、パスワードを入力してからマイナンバーカードを読み込ませる手順となっています。
前述の通り、マイナンバーカードが上手く読み取れない問題があるため、何度もマイナンバーカードをかざす必要がありますが、パスワードを一度でも間違って入力してしまうと、その後、何度もマイナンバーカードをかざすことで、複数回、認証を試したものとしてパスワードがロックされてしまいます。
また、マイナンバーカードが上手く読み取れず、何度か試していると、アプリがフリーズしてしまうため、パスワード入力画面に戻り、パスワードを再入力する必要があります。
何度もパスワードを入力していれば、1回くらいは間違えてしまいと思われます。
私は10回以上入力しましたが、途中で苛立ちも覚え、恐らく間違えて入力してしまったようです(笑)。
先にマイナンバーカードを読み込ませてから、パスワードを入力する仕様にするべきだったと思われます。
マイナンバーカードを正しく読み取った時だけ、パスワードを入力し、認証処理を行えば、このようなトラブルは軽減されたと思われます(?)。
また、マイナポータルのアプリは、利用者に何度もマイナンバーカードによる認証を要求する仕組みとなっており、すべてのマイナポイントの申請までには、4回の認証が必要なようです(?)。
2万円のマイナポイントをすべて取得するためには、公金受取口座の申請まで行う必要がありますが、何度もマイナンバーカードの認証があり、なかなか辿り着けません(?)。
アプリ側の仕様として、初めに「マイナポータルの利用者申請」を行った際、セッションを切断せず残しておき、他の申請も一緒に行えるようにするべきだったのではないでしょうか(?)。
■マイナポイント申請時の認証
・マイナポータルの利用者申請
・マイナポイントアプリへのログイン
・マイナポイントの申請
・公金受取口座の申請
銀行のアプリなども振込などの重要な処理を行う場合、追加で二要素認証を要求するアプリも多いので、セキュリティの観点からこのような仕組みにしたものと思われます。
ただし、セッションハイジャックに関しては、SSLが導入されているので、ある程度は防御されていますし、ログイン時にセッションIDを再発行し、ランダムのコードにすることでよりセキュリティを高められます。
ネイティブアプリの構成
スマートフォン用のアプリを、正式にはネイティブアプリと呼びます。
最近、自社のWebサイト上で提供していたサービスを、ネイティブアプリでも提供できるように変更することが増えています。
ネイティブアプリは入力画面やボタンなどを作って、スマートフォン上の操作をやり易くするためのもの(UI)になります。
ネイティブアプリはUIのみのため、実際の業務処理は裏側のWebサーバー内で行っています。
予約アプリの場合、アプリ上で入力しやすい画面を作って、ボタンをクリックすると、Webサーバー側で予約情報をデータベースに保存し、各店舗に共有しています。
さて、マイナアプリはどのような構成になっていますでしょうか。
マイナアプリのボタンをクリックすると、マイナポータルのWebサイトに移動してしまいます。
マイナアプリはNFCの読み込みだけで利用されているようで、実際の申請などの処理は、Webサイト上で行うようになっています。
すべての操作をアプリ化しなければ、使い勝手が良くなりませんので、これではアプリを作成した意味がありません。
NFCの読み込みはクライアント(携帯電話)側で処理する必要があり、アプリ化が必須だったので、技術上の課題でアプリ化したのだと思われます(?)。
マイナポイントでしか利用しないアプリのため、予算を削減するために当該の仕様にした可能性も考えられますが、将来的にはマイナンバーカードを様々なサービスに活用して生活を便利にするという目標を掲げていますので、中途半端な対応ではなく、
その他のサービスにも転用可能な基盤として、アプリを開発する必要があったのではないかと思います(?)。
二要素認証
金融関連は高レベルのセキュリティを実現していますが、アプリであっても、ログイン時にNFC認証を採用しているケースは見たことがありません(?)。
そもそもマイナンバーカードの発行時に、Webシステム側のユーザIDも発行し、二要素認証を導入すれば良いように思われます。
二要素認証は静脈や指紋、YubiKey、SMSやメールのワンタイムパスワード(二段階認証)などから選択制にすれば良いと思われます。
昨今、有名なサービスでも、情報漏えいなどのセキュリティ事故が発生していますので、二要素認証は必須だと思われますが、NFCの認証まで行う必要があるのか疑問です。
まとめ
当初、マイナンバーのシステムは、NTTコミュニケーションズを代表とし、NTTデータ、富士通、NEC、日立製作所が参加するコンソーシアムが、114億円で落札しています。
入札に提案を提出したのはコンソーシアムだけで、競争なく落札者が決定しています。
それ以降もマイナンバー関連事業の74%が、競争を経ずに受注先を選ぶ随意契約で、競争入札に一事業者しか参加しない一者入札を含めると、全体の81%と言われています。
2021年3月に当時の菅義偉首相がマイナンバー制度の支出の累計が過去9年で約8800億円になることを明らかにし、コストパフォーマンスが悪すぎるのではないかとも指摘を受けています。
ただし、個人的にはシステム開発は、現行仕様を把握していないと対応できませんので、随意契約で既存SIerに作業を依頼するのは、逆に正しいような気がします(?)。
システム開発は他の外部委託と異なり、単純作業ではない為、複雑な現行仕様と知らないSIerが開発し、影響範囲を見誤り、全国民が利用するアプリで、不具合を発生させる方が問題のような気がします。
サヨクを代表した政治家を中心に、コストが問題視されていますが、指摘が誤っているように思われます。
それよりも問題なのは、累計で約8800億円も投入した大規模のシステム開発で、将来ビジョンを描けるコンサルタントが参加しておらず、現行業務に合わせ、言われたとおりに、システムを構築することしかできないSIer陣営しかコンソーシアムに参加していないことだと考えられます。
マイナンバーを日本のイノベーションの足掛かりにするためには、これまでのシステムの延長線ではなく、デザイン思考により、新たな発想で業務やシステムを再定義する必要がありますが、そのような人材がプロジェクトに参加していません。
また、公共事業のように、初めから決まった予算でのシステム開発を依頼することになり、あるべき姿を模索しながら開発するアジャイル採用できず、契約時点でシステムのあるべき姿が分からない中で、システム要件や作業範囲を確定する必要があります。
政府や行政側が、これまでのやり方やSIerの体制を変更できていない点が問題のように思われます。
デジタルを推進する政府や行政が、そもそも現行システムも理解していない状況では、マイナンバーを活用し、イノベーションを起こすことはできないものと思われます。