はてなキーワード: 電子署名とは
「正当な手続きでの署名ではない」という書き方も、そもそもアレは「署名」では無いので、なんかズレてる。
法律上の「署名」というのは自分の名前を手書きすること又は手書きした筆跡を言う。だから「ネット署名」は「署名」では無い。例のオープンレターにあるのは署名ではなく記名に過ぎない。
日常用語にいわゆる署名つまり賛同者名簿作成手続のような用法は、地方自治法上のリコール手続等で若干の例があるが、基本的には区別した方が良い。
あと、「署名として私文書の成立要件を満たしておらず」という表現もおかしい。署名は私文書の成立要件ではない。立証手段の一つに過ぎない。
署名、つまり文書に本人直筆の氏名記載があれば、文書の成立の真正、つまり文書の内容が文書作成名義人の意思に基づいていることが、民訴法の規定により推定される。(「推定」なので、反証されれば覆る。)
ちなみに本人がハンコを押した場合も同様。ハンコの場合はさらに、本人のハンコの印影があれば本人が押したと事実上推定され、その結果、文書の成立の真正が法律上推定される。
真正に成立した文書というのは、なにも直筆サイン入りの文書に限らない。
たとえば本人がスマホで送ったLINEや本人のtweetを印刷した物は、内容が本人=作成名義人の意思に基づく文書なので、真正に成立したといえる。
もっと言えば、本人が「これは私の意思で作った文書です」と言えば、それで成立の真正を証明できる。(ここでいう「証明」というのは、自然科学的な証明ではなく、裁判官に『十中八九間違いない』との心証を抱かせることを言う。)
だから、署名というのは文書の成立要件ではなく、その成立の真正を証明する手段の一つに過ぎない。
電子署名法上の電子署名は、手書きサインと同様に、成立の真正を法律上推定させるものだ。
電子署名があれば、文書の内容が名義人の意思に基づくと推定されるので、「こんな契約知らん」と言いにくくなる。(あくまでも推定なので、反証されれば覆る。)
けれども、電子署名が無くても、他の手段で文書の成立の真正を証明することはできる。同内容が掲載されたままのTwitterの画面を証拠化するとか、本人が「これは私の意思に基づきます」と表明するとか。
もし、あの文書について、そこに記名(名前文字列が掲載)されている人々の意思に基づいている(真正である)ことを証明する必要に迫られたときに、電子署名が有れば、それが裁判手続きであれば真正が推定される。また、世間一般からもそれなりに信用してもらえるだろう。
もっとも、他の手段で成立の真正を証明できるなら、裁判上も世論形成上も問題は無い。
たとえば賛同者に「確かに賛同しました」とteeetしてもらうとか、賛同する旨のメールを送っておいてもらうとか。
電子署名も、将来的にはスマホとマイナンバーカードで電子署名を行えるようなプラットフォームが出てくるかもしれないが(出てきてほしい)、現時点では簡単なプラットフォームは存在せず、世間一般にいわゆる署名運動すなわち賛同者一覧作成プロセスに用いるには全く不適だ。
そして、いわゆる署名運動つまり賛同者一覧を作るだけなら、電話やメールやSNSで本人に確認を取れば充分だ。
このことは、文書が仮に法律行為として作成される処分証書であっても原理的には同様であるが、まして何か世間にアピールしたいというプロパガンダに過ぎぬ代物であればなおさら当てはまる。
署名の有効性に関して、事務局が本人確認を怠った事に謝罪が無いとか、後からでも良いので本人確認するべきとか言われてますけれども。
そもそもあのオープンレターの署名、正当な手続きでの署名ではないので、署名の部分は無効なんですよね。
元々署名とは
民事訴訟法228条
(省略)
また、
平成十二年法律第百二号電子署名及び認証業務に関する法律
https://elaws.e-gov.go.jp/document?lawid=412AC0000000102
が発令される際に、2020年9月4日、総務省・法務省・経済産業省の連名により、「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法第3条関係)」というものが公表されましたが、その中に「固有の要件」が満たされる場合には立会人型の電子契約でも真正に成立する、とされています。
https://www.meti.go.jp/covid-19/denshishomei_qa.html
例のオープンレターはGoogle Form使ったらしいけど、あれだと匿名で署名できてしまうし、主催者に投稿者情報はわたらないしでこの要件を満たしません。
せめてchange.org使えば、二要素認証はあるし、万一なりすましがあっても主催者のみに署名者の連絡先が公開されるので、身元確認は後からでも可能。
証跡を追える方法を確立できているか、という点が重要なところです。
ということで、そもそも例のオープンレターは署名として私文書の成立要件を満たしておらず、単なる数名の意見表明文書くらいの位置付けにしかならないんですよね。
あの文書が元で呉座先生が要職を辞されたという話もあるけど、数名の意見表明に左右されてしまって可哀想な気もします。
例のオープンレター、署名として成立させたいなら、今の方法では(署名部分は)全てが無効であり再度署名を取り直すしかありません。
今から本人確認やりなおそうが連絡先を追えないので不可能ですし、事務局が説明したところでそもそも効力無いので意味がりません。
実際に署名したよ!という方々もいらっしゃるとは思いますが、そもそも無効な手段によって集められた署名なので、署名としての有効性は最初から無かったわけです。残念。
ということで、今後Google Formで署名を集めてる文書にサインしようとするまえに、事務局に「その方法だと署名として成立しませんよ」とそっと教えて差し上げましょう。
オープンレターの本文自体の問題点については様々な方からご指摘がなされていますので、本文自体も見直して署名の取り直しをオススメいたします。
追伸.
署名としての効力は無いと言ってるだけで、オープンレター自体は有効も無効も無く「単なる数名の意見表明」と見なされる、というのが本文の趣旨です。
(私の書き方がまずい部分があったので、一部修正。文書全体ではなく署名部分が無効、という記載に統一します。ご指摘ありがとうございました)
転勤・単身赴任を原則廃止すると宣言した某グループだが今のままだと恐らく何にも変わらない
現状の転勤・単身赴任者は例外者としてエクセルに名前が記載され
四半期に一度名簿の確認とPDF出力された管理簿に部長の電子署名が行われるような儀式的業務が増えるだけのことが起きる
他にも紙の廃止とかも発表されていたが、同じように紙の使用時にエクセル管理簿に記載するという手順が増えたり
紙の使用時にはエクセルチェックシートの提出が求められたりして手間暇が増えて紙の使用は減らないということが冗談では無く本当に起きる
テレワークは持株やその他本社系組織では進んでいるが支店や営業なんかは全然進んでいない
このグループがなぜこんなにトップの言うことを聞かないかというと、実は原因は明らかで持株は戦略やビジョンを策定してもその実行を各事業会社に委任するからだ
もちろん迅速な遂行のために権限委譲するのは当然なのだが、委譲された組織もまたバカでかいので更に権限委譲する必要が出てくる
そうなると今度は人材不足に陥る
ぶっちゃけ持株や本社系ですらヤバい人が割といるのにそこから更に下の組織になるとまともな人を探す方が難しい
できることはエクセルとパワポを使ったアーティスティックな業務と聞いているだけのミーティング参加、という人が大半で
とてもじゃないが戦略やビジョンを理解して新しい取り組みを遂行できるわけがない
そんなところに「原則廃止」なんていう指示を出したら「例外の場合はどうするか」しか考えない
権限委譲された人も「そうだよね、無理だよね」ってなって何かを変えようなんていうしんどいことは誰もやらず
エクセル管理簿を更新していくというトータルで見るとしんどいことを皆がやるようになる
こういう現状を知っている上の方の偉い人達は権限委譲したがらないので管理するようになるが、そうすると今度は幹部が忙しいことを逆手に取った打ち合わせ・エスカレ調整による時間切れ作戦とかが出てきてしまい、結局幹部は疲弊してエクセル管理簿を承認することになる
とにかくこの企業の大半の人は今の仕事のやり方を変えたがらないので、ドラスティックな業務改革が必要なんだが、電話が止まると省庁に滅茶苦茶怒られるのでそうそう変えられない
恐らく仕事のやり方を変えてしまうとやっていける自信が無いので変えたがらない
管理簿やチェックシートを一度作ると廃止したことで何かが起きるかも知れないからどんどん増えていく
TLS接続するDaaS環境なのに念のためにVPN上で接続するような仕様にしてしまい、DaaS動作が重いだけじゃなくサーバ負荷も高くなって全社員から文句が出ているのにセキュリティはよく分かっていない人ばかりなので怖くてやめられない
能力が低い、というとそれまでだが、異動が多すぎて専門性を高められていないのも大きな要因だと考えられる
つまり、広くて凄く浅い知識を持った社員ばかりなので今の業務を変えるだとか新しい取り組みなんかの業務を持株から割り当てられてもとてもじゃないけれど実行できないのだ
文句ばかりになってしまったが、本当に改革したいなら持株でちゃんと優秀な人を集めた「特命改革チーム」を作り、社長レベルの権限と予算を持たせて事業会社に送り込めばいい
ぶっちゃけ社内にそんなことができる優秀な人はいないと思うからコンサルに大量発注すればいい
金で解決できるのに自前主義とか育成観点とか言い出すのでいつも失敗している
ただ失敗が分かる頃には今の社長は変わっているので、新しい社長がまた別のことを言い出して同じようなことを繰り返すだろう
どうせ今回も同じように失敗する
悪いけれどみんなそう思ってる
ブロックチェーンや暗号通貨、Web3.0、Dweb というのはここ数年、そしてこれからのバズワードであるようだ。
ここ一週間ぐらいだろうか。マイナンバーにブロックチェーンを導入しようとしている事業に関して色々な議論が発生しているようである。例によって議論に向かない Twitter 上で発生している。というか何が議論の中心になっているのかイマイチよく分からない。ただ雑然と荒れているという感覚がある。
私は技術・歴史・文化といった面からブロックチェーンや暗号通貨に対して知識がなく、学び始めたのはここ一ヶ月と言ってもいいだろう。学ぶ、といっても転がっている日本語の一般的なメディアの記事を気が向いたときに読み散らかすぐらいである。真に技術的なことは何一つ分からない。暗号通貨は Bitcoin とEthereum しか知らないし所持しているのはたまたま貰った僅かな ETH しかない。金銭的に貧しい多摩川に転がっている石くらいどこにでもいる17歳JKである。と逃げの文言を置いておく。
囲み取材で数十秒話したことが記事になっているので、正確に伝わって無さそうです。
・マイナンバーカードをいずれカード不要にしてスマホにインストールできるようにしたい
・その前にそもそも、普及のためマイナンバーカードの発行総数を増やす必要がある
という趣旨かと。
加納氏のこの時期のタイムラインから現在に向けて遡れば様々な第三者の感想や疑問を得ることができるだろう。これらに纏めて答えているのが以下の記事である。
ブロックチェーンの優位性①疎結合|加納裕三/Yuzo Kano
https://blog.blockchain.bitflyer.com/n/n4b45329e308c
加納氏とは一体何者なのかは以下を参照。
東京大学大学院工学系研究科修了。ゴールドマン・サックス証券会社に入社し、エンジニアとして決済システムの開発、その後デリバティブ・転換社債トレーディング業務に従事。
2014年1月に株式会社bitFlyerを共同創業し、2019年5月に株式会社bitFlyer BlockchainのCEOに就任。
bitFlyer創業以降、法改正に関する提言や自主規制ルールの策定等に尽力し、仮想通貨交換業業界の発展に貢献。
日本ブロックチェーン協会代表理事、ISO / TC307国内審議委員会委員、官民データ活用推進基本計画実行委員会委員。
2018年G7雇用イノベーション大臣会合、2019年V20 VASPサミットに出席。
ttps://finsum.jp/ja/2019/speakers/recQMoKK5nD9yb8Ht/profile/
ブロックチェーンを語るうえで何が重要かというと、その言葉の定義である。議論に参加している人が同じ言葉を使っているのに、各人の言葉に対する定義が異なっていると、言葉は理解できるが内容が理解できないといった状況に陥ってしまう。このことは実生活でも頻繁に起こっているように思えるが、Twitter という短文が好まれるプラットフォームでは著しくないがしろにされ不毛な議論を生む原因になっている。
加納氏が代表の JBA (日本ブロックチェーン協会)に依ると、ブロックチェーンの定義は以下の内容である。
ブロックチェーンの定義
1)「ビザンチン障害を含む不特定多数のノードを用い、時間の経過とともにその時点の合意が覆る確率が0へ収束するプロトコル、またはその実装をブロックチェーンと呼ぶ。」
2)「電子署名とハッシュポインタを使用し改竄検出が容易なデータ構造を持ち、且つ、当該データをネットワーク上に分散する多数のノードに保持させることで、高可用性及びデータ同一性等を実現する技術を広義のブロックチェーンと呼ぶ。」
定義策定のアプローチ
まず、Satoshi Nakamoto論文およびその実装である、ビットコインのブロックチェーンをオリジナルのブロックチェーン(以下「オリジナル」)として強く意識しています。
狭義のブロックチェーン(定義1)は、オリジナルを意識し、それが備える本質的で不可分な特徴を捉え、言語化しました。
広義のブロックチェーン(定義2)は、昨今〜今後の技術の展開を鑑み、オリジナルが備える特徴であっても、別の実装方式や別の目的への展開などにおいて、置換や変化が行われていく広がりを許容しながらも、特徴を捉えられるよう、言語化しました。
総務省のページも見つけたが JBA が定義するものを基礎としている。
ttps://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/html/nd133310.html
私が疑問と漠然としたモヤモヤ感を抱くのは、最近の一般層で使われているブロックチェーンの定義には「信頼できる第三者が不要である」という点が抜け落ちているように思われることだ。非中央集権SNSで暮らし脱中央集権を推進したい私にはこの点が"ブロックチェーン"の一番重要な点であると思うが、JBA の第一定義にはこの点が記載されている。不特定多数へのインセンティブによって不特定多数による合意を形成している。これによって「信頼できる第三者が不要である」は満たされている。
blockchain (3.6)
distributed ledger with confirmed blocks organized in an append-only, sequential chain using cryptographic links
Note: Blockchains are designed to be tamper resistant and to create final, definitive and immutable ledger records.
distributed ledger (3.22)
ledger that is shared across a set of DLT nodes and synchronized between the DLT nodes using a consensus mechanism
Note: A distributed ledger is designed to be tamper resistant, append-only and immutable containing confirmed and validated transactions.
ISO の定義によれば、ブロックチェーンは、暗号化リンクを使用した一連の鎖で、追記のみで構成された確認済みブロックからなる分散台帳を指す。改ざんに強く、最終的で確定的で不変の台帳記録を作成するように設計されている。分散台帳は、一連の DTL(分散台帳技術)ノードで共有され、合意メカニズムを使用して DTL ノード間で同期される台帳である。確認された有効なトランザクションを含む全てが、改ざん耐性、追記のみの不変性を持つように設計されている。
さて、加納氏の投稿やその他の加納氏に批判的/賛同的な人たちの反応を見ても、彼らの言っている内容がブロックチェーンの定義を満たすものなのかいまいち分からなかった。
・ビザンチン耐性(BFT)
・改ざん耐性
私はブロックチェーンの主な利点はこの5つ(ただし5つにだけではない)だと考えています。これをここでは5大利点と呼びます。
なおかつ、この5大利点を概ね満たしているものをブロックチェーンと呼んでいます(ただしブロックチェーンと呼んでいるものは、すべてこの定義だとは言ってない。かつ、ブロックチェーンの厳密な定義はこれではない。)
なぜ前提として厳密な定義を加納氏の言葉で説明せずに、勝手に加納氏が定義した内容を”ブロックチェーンである”と語っているのか理解に苦しむが、加納氏の説明したい"プライベート・ブロックチェーン"を ISO の定義を基に判断すると、
加納氏の上記の2つの投稿からは、"プライベート・ブロックチェーン"と"パブリック・ブロックチェーン"のどちらを指しているのか不鮮明ではあるが、note の記事では"プライベート・ブロックチェーン"を想定している、と明記されており、議論の発端となったマイナンバーとブロックチェーンに関しても"プライベート・ブロックチェーン"を指していると思われる。5大利点を満たす"プライベート・ブロックチェーン"は存在しないのでは…。
"一方で、誤解と批判を恐れずに書けば、ブロックチェーンがBitcoinの論文に端を発するものであるとするならば、いわゆるプラベートブロックチェーンやコンソーシアムブロックチェーンと呼ばれているものは、ブロックチェーンと呼ぶのをやめて、「タイムスタンプ2.0」のような別の言葉を使うことも考えてはどうだろうか。それは、これらの技術が、リンクトークン型タイムスタンプのデータ構造の上に、決められたノードによる合意アルゴリズムを加え、記録した情報に対するビジネスロジックに応じた情報処理を加えたものであるからだ。根っこの技術は、同じHaberらによるタイムスタンプを元にしているものの、ブロックチェーンの発端となったBitcoinの論文が目指した「信頼できる第三者機関を不要にする」という方向とは別の方向の進化をしているもので、その別の2つの方向のものを同一の枠で扱うことには無理があり、理解や発展を考える上で両方にとって弊害がある。"
https://link.medium.com/TgeOXv8Dlab
https://link.medium.com/4pz5oNlHpab
これらの記事を読むと、そもそもブロックチェーンと呼ばれるものにおいてパブリックではないものは、なんびとも信用しない状況において根本的に非改ざん性を保障することができないのではないかと感じる。"パブリック・ブロックチェーン"こそがブロックチェーンであり、他のものはブロックチェーンから発展してきた技術を使ったブロックチェーンの定義を満たさない分散台帳なのではないか。
加納氏に関して覚えておきたいことは、彼は bitFlyer の CEO であり bitFlyer は miyabi という"コンソーシアム・プライベートブロックチェーン"を開発しているという点だ。当然行政に対して彼がブロックチェーンを推しているのはこれを売り込むためなのであろう。これが厳密にブロックチェーンなのかは置いておいて、このプロダクト自体は素晴らしい取り組みだと私は感じる。デジタル化によって今までの煩雑な手続きが簡単になる可能性は大いにあるし、公的文書の保存にも役にたつ。黒塗り秘匿文書を撲滅しろ。
ただ、ブロックチェーンをただの空虚なバズワードとして扱うのではなく、厳密な定義の上で使うのは大事なことだ。今回の件は、果たして全てにおいて加納氏が良くない、と言えるのだろうか。言葉というのは多数が使うことによって定義が決まる。時代が変われば定義が変わってしまうこともある。ブロックチェーンという言葉を便利な魔法の言葉にしてしまったのは誰だろう。本質を見極めない我々だ。AI 搭載!!といたるところで見る言葉だが、何をもって AI と呼んでいるのか不思議になる。実際のところ今まで"システム"と呼んでいたものなのに。日々の中で言葉をしっかりと見つめ直すのは大事だ。
この記事は、そもそもブロックチェーンとは何か、という個人的な疑問をまとめたものであり、加納氏を批判する意図は無かったわけで、最後の締めはやんわりとしたかった。だが、加納氏は立場的には日本ブロックチェーン協会の会長で、言葉を定義する立場である。言葉を定義した側がこの有様というのは遺憾である。日本の行政のデジタル化の推進は頑張って欲しい。
元記事はこれです https://note.com/yoshiaono/n/n4cd37820faf0
・そもそもマイナンバーカードの目的がよくわからない。身分証明のためなら運転免許証や健康保険証でよくね?そもそも何が問題なの?
身分証明だけなら運転免許証で良いが(健康保険証は顔写真が無い)、誰でも取得出来る顔写真付き身分証明書は必要(追記)
マイナンバーカードのICチップによる身分証明と正しいマイナンバーの検証が同時に確認できるのが肝
・カードに書かれたマイナンバーが漏れるとまずいらしい。漏れるとまずいのに印刷するの?みんなで便利に使うための番号じゃないの?
ここは政府の雑な説明がほぼ悪いのだが、青野社長レベルで「漏れるとまずいらしい」という認識なのか…
「みんなで便利に使うための番号じゃないの?」その議論もあったがマイナンバー法で目的外利用が厳しく制限された。アメリカでのSocial Security Numberの濫用を危険視したのだろう。
それ運転免許証落としても同じですよね?
・だから、付属のビニールのカードケースを使って個人情報を目隠しする。仕様としておかしすぎない?誰かツッコんでくれなかったの?
これはご指摘の通りで「マイナンバーの流出」に対して行政側も過敏に反応しているしバランスが取れてない、何とかしてくれデジタル庁!
・費用がかかり過ぎ。もう一兆円くらい使ってない?
費用がかかってるとは思うが一兆円は盛り過ぎてない? https://jp.ub-speeda.com/ex/analysis/archive/38/ では立ち上げで2700億円
住基ネット一兆円も盛り過ぎてない? また住基ネットの失敗って何?全国の市区町村で分かれていた個人情報フォーマットをまとめたのが失敗なの?それをサイボウズの社長が言います?
大量投入も盛ってない?日本のIT化の未来は暗いって言いたいだけでは?
・マイナンバーシステムの管理項目が、住民記録システム(住民票)や戸籍システムとかぶっている。いい機会だから統合して効率化しようって話にならなかったの?それとも無駄が好きなの?
選択的夫婦別姓で国を訴えている青野社長が住民票は総務省、戸籍は法務省管轄であるのを知らないはずが無い。それぞれ目的が違うものを統合して効率化する大変さを知らない訳ではないですよね。
・4種類のパスワードを組み合わせて利用。それ、忘れる人が続出するよ。というか覚えられる人が珍しいと思う。
「利用者証明用パスワード」「券面事項入力補助用パスワード」「個人番号カード用パスワード」は4桁数字で3つ同じも可能、「署名用パスワード」は数字とアルファベットの組み合わせで6文字から16文字までと実質2種類に出来るし窓口でもそう勧めている。
・生体認証を使えない。やっぱり4種類のパスワードを覚えるしかないのかー。仕方ないからメモに書いてマイナンバーカードと一緒に持ち運ぶか...あれ?
一生変更不可能な生体情報を結びつけることには検討が必要(銀行は生体認証の有無を選べるし、乗り換えることも出来る)。また先ほども書いたがパスワードは実質2種類でしかも複雑な署名用パスワードを覚えておかなければいけないシチュが分からない。電子署名にしか使わないからだ。つまり覚えるのは4桁の暗証番号1つで良い。(これはこれで問題がとも言われるが、カード実物と組み合わせなので仕方ない点も)
・利便性が低い。マイナンバーカードを使って給付金を申し込むと、もらえるのが遅くなるという逆利便性。ここまでくると、日本の生産性を下げるのが目的としか思えない。
これは自治体による。マイナンバーカードを使った申請で紙ベースより早く給付される自治体もあった。https://twitter.com/kumagai_chiba/status/1262640109762908168 給付金自体が想定外のオペレーションだったのは大きい。
・普及してない。そりゃそうなるよね。一回、落ち着いて反省した方がいいと思うよ。
・にもかかわらず、自民党はさらに大量の税金をぶっこんで普及に躍起になっている。これ、やめられなくなった負け戦に似てない?後で責任取るつもりないよね。
私はマイナンバーカードは必要だと思っている派だが、マイナポイント事業は正直分からない。一回落ち着いた方が良いのは同意するが日本で止められなくなった負け戦は沢山あるので不安…
・マイナンバーカードを持っている人は、引っ越しして転出・転入手続きをするときに暗証番号が必要になる。つまり、持っていない方が無難ということですね。
「遅滞なく返納」とはなっていますがそもそも国外に転出した時点でマイナンバーカードは失効します。
デジタルな世界とアナログな人間社会を紐つける物理媒体なので物理的な制限があるのは仕方ないのでは、嫌なのは同意する。例えば電子ペーパーにした場合、破損して真っ白になったらなど考えることは多い。
(追記)それでは困るというので捻り出されたのが利用者証明用電子証明書を利用したマイキーID
・マイナンバーカードに運転免許や健康保険証を集約しようとしている。返納や再発行が必要で目的外利用禁止のカードに集約するだと?生活できなくなるぞ!
運転免許証や健康保険証だって返納や再発行が必要なのは同じ。今の法律では出来ないので法改正が必要。
マイナンバーカードの有効期限は印字されています。手書きなのは電子証明書の有効期限。マイナンバーカードと電子証明書の有効期限はまず期間が違うし、同時に発行されるとも限らない。身分証明時に確認するのは印字された有効期限。
・自治体に業務の負荷をかけ過ぎ。発行・再発行だけでも大きな負荷。でもって、月数百万枚しか発行できないそうよ。自治体職員を殺す気?
総じて青野社長のマイナンバーカードへの不満には納得できるものもあるが、日本を代表するIT企業の社長としては理解が雑すぎる。
選択的夫婦別姓の裁判を戦っている割には関連法律の理解もイマイチだ。(弁護士の仕事だろと言われるかもしれないが、青野社長には選択的夫婦別姓についての発信者でもあるので正しく知って欲しいと思っている)
またマイナンバーカードと言う物理媒体への不満が主で、ICチップを利用した電子署名に全く触れていないのも不思議だ。
企業のペーパレス、DXを進めるサイボウズとしては電子署名は絶対必要になるものだ。
それに必要な認証局と電子証明書とICチップ搭載の一式を税金で作ったマイナンバーカードは民業圧迫では無いのか?と思わなくも無いが一番お手頃に導入出来るのは確かだ。
その点がサイボウズと競合分野であるので触れないのかなと思った。
電子署名の話でマイナンバーカードは目的外利用禁止だろ!と突っ込まれるかもしれないと思ったので書いておく。
大変紛らわしいことに利用目的が厳しく制限されているのはマイナンバーである。身分証明時に免許証をコピーされることがあると思うが、マイナンバーカードで断られるのは
マイナンバーカードにマイナンバーが記載されているからであってそれをコピーした時点で目的外利用になってしまうからだ。(あの変なスリーブが出来た理由の一つ)
つまりマイナンバーカードでマイナンバーが関わらない部分、つまりICチップの電子証明書を利用することは自由に出来る。
今回のマイナンバーカードを利用した給付金のオンライン申請でも、マイナンバーの認められた利用目的に給付金申請なんて入って無いのでマイナンバー自体は一切使われていないし使えない。
自治体に届く情報は申請者が記入した世帯の氏名や振込先口座情報をマイナンバーカードの電子署名用証明書で署名したデータであり、マイナンバーは含まれていない。
オンライン申請で時間がかかる場合があったのは申請者が記入した振込先口座情報などが間違えていることが多々ありその確認作業に手間取ったからだ。
今回の想定外の事務処理で突合処理を楽にするため一部の自治体では奇策を取った。
マイナンバーカードには電子署名用と利用者証明用、2種類の電子証明書が含まれておりそれぞれ固有のシリアル番号を持つ。
利用者証明用のシリアル番号はコンビニコピー機での住民票発行で使われており自治体にも身近な存在(という自治体がありますというレベルですが)だ
そこで電子署名用と利用者証明用のシリアル番号の対応表を取り寄せ、給付金の申請情報に含まれる電子署名用証明書シリアル番号→利用者証明用のシリアル番号→住民票というルートで突合したのだ。
あれ?そのシリアル番号で個人を判別出来ちゃってない?と思う方が居るだろうが電子証明書のシリアル番号はマイナンバーでは無いのでこんな利用をしても良いのだ。
(電子証明書の有効期限は5年で再発行時シリアル番号も切り替わるがマイナンバーは原則一生変わらないという違いはあります)
追記2
コメントやブコメを思っていた以上に頂いた、ありがとうございます。
「結構同意してるじゃん」との指摘にそうだなと思ったのでタイトルを「サイボウズ青野社長のマイナンバーカードdisに反論する」から
「サイボウズ青野社長のマイナンバーカードdis批判に一部反論指摘する」に修正した。
マイナンバーカードはICチップに搭載された電子証明書により利用者証明と電子署名が出来る、で良いだろうか。
偽造に対抗する券面事項をICチップから読み出す機能は運転免許証にもあるからなぁ。
「それ運転免許証落としても同じですよね?」
これはそういう意味だったのか、完全に私が読み違えていた。ご指摘ありがとう。
同レベルのセキュリティなら枚数が増えた分だけ落とすリスクが増えるのはその通り、で政府は運転免許証のマイナンバーカードとの一体化を検討しているのでこれが進めば枚数は減る。
「名前や住所や顔写真など個人情報がプリントされている」のを防ぐには電子ペーパー等のデバイスと生体認証等の組み合わせが考えられるが
住所記入欄のところでも指摘したが、壊れたときに何も表示出来ないというデメリットが大きすぎる。
スマホにアプリとして入れる?それでは日本政府がコントロール出来なくなってしまう…
これは後出しだがマイナンバーカードの有効期限を5年にして電子証明書と期限を揃えるべきだった。
現在のマイナンバーカードの有効期限は10年だが、日本で一番使われているであろう運転免許証も有効期限が最長5年なので許されるだろう。
10年という期間は住民基本台帳カードに引っ張られたのではないか。
電子証明書の有効期限を10年に延ばすというのは電子証明書の危惧危殆化の観点から許されないだろう。
https://www.cao.go.jp/bangouseido/mailmagazine/backnumber/2020/20200221_01.html
また現在のマイナンバーカードでは申請時に電子証明書無しで後から追加が可能になっており、これが給付金申請のときにトラブルにもなったのだが、
これもまた住民基本台帳カードに悪い意味で引っ張られてしまったのではないか。(住民基本台帳カードサービス開始時は電子証明書を入れるサービスが無く、約半年遅れのスタートになっている)
https://internet.watch.impress.co.jp/cda/news/2004/01/23/1851.html
制度設計的にここまでマイナンバーカードを急速に普及させる気が無かった感がある。
それが給付金申請や政府のデジタル化といったもので急速に注目が集まり負荷も高まってしまった。
想定時より状況が大きく変わった以上先に法整備しろというのは無理がある。
早急な法改正をすべきであるしそれについては他の項目でも指摘している。
ブコメであったが「青野社長に厳しすぎないか?」という意見だが
サイボウズ社長ならマイナンバーカードの電子署名などにも言及してくれると思ったのでそこは残念だったと感じたのでこの文章を書いた。
また「マイナンバーシステムの管理項目が、住民記録システム(住民票)や戸籍システムとかぶっている。いい機会だから統合して効率化しようって話にならなかったの?それとも無駄が好きなの?」
「青野氏らは戸籍法に着目。同法の規定では日本人が外国人と結婚した場合、同姓か別姓かを選べることになっているのに、日本人同士の結婚で選べないのは不平等だと訴えた。」
https://www.nikkei.com/article/DGXMZO56062670W0A220C2CR8000/
戸籍法に焦点を合わせて戦っている方が「いい機会だから統合して効率化しよう」というのはいくらなんでも乱暴すぎるだろう。
追記3
最近のスマホ(NFC対応のiPhone8以降、Android機種等)では読み取り可能で、給付金のオンライン申請でも既に使用されています!
今までのPCとカードリーダーとの組み合わせから手間が大幅に削減されました。
お手持ちのマイナンバーカードがの真正性を検証してみたい方は「IDリーダー」というアプリで確認出来るので気になる方は試してみてはいかがでしょう。
https://play.google.com/store/apps/details?id=jp.co.osstech.jeidreader
https://apps.apple.com/jp/app/id%E3%83%AA%E3%83%BC%E3%83%80%E3%83%BC/id1480652022
https://b.hatena.ne.jp/entry/s/www.itmedia.co.jp/news/articles/2009/11/news131.html
マイナンバーカードの電子署名による確認が唯一の解みたいな総務省の言説にはどうにも違和感があるけどね
例えば小物商に何かを売る時は本人確認が義務付けられてる(根拠法は犯罪収益移転防止法)けど
https://www.police.pref.osaka.lg.jp/tetsuduki/ninkyoka/1/1/3673.html
2 相手から印鑑登録証明書と登録した印鑑を押印した書面の交付を受けること。
3 相手に本人限定受取郵便等を送付して、その到達を確かめること。
4 相手に本人限定受取郵便等により古物の代金を送付する契約を結ぶこと。
5-1 相手から住民票の写し等の送付を受け、そこに記載された住所宛に簡易書留等を転送しない取扱いで送付して、その到達を確かめること。
5-2 当該相手方の本人確認書類(運転免許証、マイナンバーカード等)に組み込まれたICチップの情報の送信を受け、そこに記載された住所宛に簡易書留等を転送しない取扱いで送付して、その到達を確かめること。
5-3 当該相手方の本人確認書類(運転免許証、マイナンバーカード等)の画像情報の送信を受け、そこに記載された住所宛に簡易書留等を転送しない取扱いで送付して、その到達を確かめること
6 相手方から本人確認書類(運転免許証、マイナンバーカード等)又は住民票の写し等のうち異なる2種類の書類の写しの送付を受けるか、又は本人確認書類1種類のコピーと補完書類1種類の送付を受け、そこに記載された住所宛に簡易留等を転送しない取扱いで送付して、その到達を確かめること
7 相手から住民票の写し等の送付を受けて、そこに記載された本人の名義の預貯金口座に古物の代金を入金する契約を結ぶこと。
8 相手から本人確認書類(運転免許証、国民健康保険者証等)のコピー等の送付を受け、そこに記載された住所宛に簡易書留等を転送しない取扱いで送付して、その到達を確かめ、あわせてそのコピー等に記載された本人名義の預貯金口座等に代金を入金する契約を結ぶこと。
9 相手方から、古物商が提供するソフトウェアを使用して、相手方の容貌及び写真付身分証明書等の送信を受けること(写真付身分証明書の画像データを取引の記録とともに保存する場合に限ります)
10 相手方から、古物商が提供するソフトウェアを使用して、相手方の容貌の画像を送信させるとともに、当該相手方の写真付き身分証明書等でICチップが組み込まれたもので、その組み込まれたICチップ情報の送信を受けること
11 相手方から地方公共団体情報システム機構が発行した電子証明書(マイナンバーカードに記録されたもの)と電子署名が行われた当該相手方の住所、氏名、職業並びに年齢についての電磁的記録の提供を受けること。
12 相手方から公的個人認定法で電子署名の認証業務を行うとして認定を受けた署名検証者が発行した電子証明書と電子署名が行われた当該相手方の住所、氏名、職業並びに年齢についての電磁的記録の提供を受けること
元エントリーの人がどこまで理解しているか不明だけど、自分が初心者だったときこういう説明がほしかったという話をしてみる。
暗号方式、特に公開鍵暗号の理解が難しいのはいくつか理由がある。
②素朴な利用例が少なく応用的な利用がいくつもある
また、ざっくりした概念以上のものをきちんと理解しようと思うと
④何がどのくらい安全で何がどのくらい危険かセキュリティ的な概念の説明
ここでは自分的にこういう順番で概念を把握していったという流れを書いてみる。
まず、物理的な錠前や書留郵便をイメージするのはあきらめてほしい。
あくまでもデジタルデータを別のデジタルデータに変換して再び元に戻すためのものだ。
公開鍵暗号登場以前は、パスワードを使って変換(暗号化)して、同じパスワードを使って元に戻す(復号化)という共通鍵暗号の時代が長く続いた。
それが暗号化のパスワードと復号化のパスワードで異なるものを使うという技術だ。
・特殊な数学的アルゴリズムでパスワード1から、それと対になるパスワード2を生成する
・パスワード1で暗号化したものがパスワード2で復号できるだけでなく、その逆つまりパスワード2で暗号化したものがパスワード1で復号できる(※)
今はその数学的アルゴリズムまで理解する必要はない。ただそういうことが可能になったというだけでいい。
パスワード1(秘密鍵)を自分以外が見られないように保管して、パスワード2(公開鍵)を通信相手に渡せば暗号通信ができそうということは理解できると思う。
ちなみにこのパスワードの長さは、プログラムで生成した100桁以上の数字が使われることが多く、それを定型的な千文字程度のテキストにして使われるのが一般的。
ツールで生成すると千文字程度のテキストファイルが秘密鍵用と公開鍵用の2個できる。
これだけの桁数なので暗号化復号化の計算はそれなりに時間がかかる。(※)
(※) このあたりは一般的な公開鍵暗号というよりRSA公開鍵暗号特有の話も混ざってます。詳しくは専門書参照
次にこの発明を使ったらどういうことができるだろうか、応用できる先を考えてみよう。
誰でも最初に思いつく例だけどシンプルすぎて共通鍵と変わらなくありがたみがない。
(b)僕にメッセージを送るときは僕の公開鍵で暗号化してね(いわゆる公開鍵暗号)
メッセージの送信先を間違って別人に送ってしまっても他人は読めないし、経路のどこかで盗み見や内容の一部を改竄されたりすることがない。
メッセージに返信するときは今度は「僕」ではなく相手の公開鍵を使って暗号化する。
(c)本文を毎回全部暗号化すると時間がかかるから共通鍵を君の公開鍵で暗号化したものを送るね。それを君の秘密鍵で復号したら以降は高速な共通鍵暗号で通信しよう(鍵交換)
共通鍵暗号の高速性というメリットを利用できて、かつ生の共通鍵がネットに流れるリスクを排除した良いとこ取りの方式。
(d)暗号化しない本文と、本文から計算したハッシュ値を秘密鍵で暗号化したものを送るね。公開鍵で復号化したハッシュ値がそっちで計算したハッシュ値と同じなら本文は改竄されてないよ。
それからこの暗号化は僕しかできないから確かに僕から送られた文書、僕から送られた内容であると保証できるよ。(電子署名)
この「電子署名」の実現により、さらに次のような応用が可能になる。
(e)ログイン時に毎回パスワードを打つと見られたりして危険だからユーザ名等に署名したものを送るね。公開鍵で復号(検証)OKならログインさせて(公開鍵認証)
(f)僕は信頼できるよ。これがAさんの署名入りのお墨付き。検証してみて。
Aさんは信頼できるよ。これがBさんの署名入りのお墨付き。検証してみて。
Bさんは信頼できるよ。これが世界一信頼できる人の署名入りのお墨付き。検証してみて。
(サーバ証明書)
前項のようなやりとりはほとんどアプリが自動的にやってくれるので、コンピュータ技術者以外の人が公開鍵や秘密鍵を直接扱う機会は現状ほとんどないと思う。
ウェブブラウザのアドレス欄に鍵マークが表示されていたらそれは鍵交換やサーバ証明書技術が使われていて、鍵マークを右クリックすると証明書を表示できる。
メールアプリでも最近は自動的に鍵交換やサーバ証明書が使われている。
もしメールアプリにPGPの設定オプションがあればそこで公開鍵と秘密鍵を設定すると特定の相手と本格的な暗号化メールがやり取り可能になる。
サーバ操作するコンピュータ技術者だと公開鍵認証もよく使われていて、ツールで生成した公開鍵をサーバに登録してログインに利用してる。
ハンコがいまだに日本の企業活動で利用されているのは圧倒的なコスパだよね。
ハンコより高くつくITサービスに客を誘引するにはこれら以上のメリットを提供しないといけない。
特に「代理人がハンコ押してもバレない」ってのはメリットとして広く使われちゃってるから
本人がハンコ押したのか代理人がハンコ押したのかきっちりトレースできます!ってのは
監査系の部署は喜ぶかもしれんけど、一般的な部署ではあんまりメリットとして受け止められないと思うんだよなぁ。
印影の画像貼り付けなんていうクソみたいな代替案は無しにしても、Adobe Signみたいな電子署名サービスって