マイナンバーカードに付属するカードケースに対しマイナンバーが格納されているQRコードを隠していないとの指摘 66
ストーリー by hylom
隠せてなかった 部門より
隠せてなかった 部門より
マイナンバーカード(個人番号カード)の交付時に一緒に渡されるカードケースでは、カードの個人番号が記載された部分を隠すようになっており、カードケースに入れたまま利用することで個人番号を提示せずに本人確認に利用できるとされている。しかし、このカードケースで隠されていないQRコードには個人番号が格納されており、スマホ等で撮影することで簡単に個人番号を得ることができるとの指摘がされている(ITmedia、日経ITpro)。
これを受けて、特定個人情報保護委員会が個人番号が格納されているQRコードを読み取る等して収集しないよう注意喚起を行っているようだ。なお、ケースを作成したのは個人情報保護委員会ではないとのこと。
カードケースを配布したのは地方公共団体情報システム機構 (J-LIS) (スコア:5, 参考になる)
2016年1月から、マイナンバーの個人番号カード配布が始まる。総務省は、そのカードを収納できる専用ケースを配布する方向で話を進めている。ケースに入れれば、カードに記載された情報の一部を隠すことができる。
総務省によると、個人番号カードケースの配布は地方公共団体情報システム機構(J-LIS)が担う。J-LISは地方公共団体の共同運営組織で、自治体からマイナンバーの通知カードや個人番号カードの発行に関連する事務を委託される。総務省は、ケースの配布方法は検討中で、自治体に新たな費用負担は発生しないとしている。自治体から住民にも、無料でケースが配られる可能性が高い。
配布を決めたのは総務省、実際に配布しているのは J-LIS だそうだ。
Re:カードケースを配布したのは地方公共団体情報システム機構 (J-LIS) (スコア:3)
マイナンバー カード交付工程のチェックリスト [soumu.go.jp]と、地域イノベーション・プラットフォーム構想 [soumu.go.jp]の 34 p に実際の交付時の流れが掲載されてる。
個人番号カード・公的個人認証サービス等の利活用推進の在り方に関する懇談会
公的個人認証サービス等を活用したICT利活用ワーキンググループ(第1回)
議事概要 [soumu.go.jp] 11 p より
【上仮屋住民制度課企画官】
○ 個人番号は、個人番号カードの裏面に記載されるが、視認性を落とすような工夫、番号の記載部分を見えにくくする、あるいはカードケースにいれて見えないようにするといった、心理的にも気にならない形でお持ちいただけるよう検討を実施。
月刊J-LIS 平成28年1月号 [j-lis.go.jp]の「特集/社会保障・税番号制度の運用に向けて」内「総務省自治行政局住民制度課/番号通知やカード交付等における留意点など」にも多少の情報がありそうだけど、ウェブではまだ一般向け公開は行われてない。霞が関の政府刊行物センターなどの官報販売所 [gov-book.or.jp]で購入するか国立国会図書館で閲覧 [ndl.go.jp]しなきゃならない…。
# 月刊J-LIS 平成27年7月号 [j-lis.go.jp]の「特集/番号制度に向けた自治体の取組み」内「長崎市/個人番号カードの普及促進や通知カード返戻対策の検討 [j-lis.go.jp]」によれば、ITpro の記事で言及されている「一部の地方自治体」とは長崎市らしい。
Re:カードケースを配布したのは地方公共団体情報システム機構 (J-LIS) (スコア:3)
ITmediaが伝えるところの「個人情報保護委員会ではケースの作成に関わっておらず、またケース作成の担当などについても分からない……」レベルの国家機密を暴いてしまったんですかね。
Re:カードケースを配布したのは地方公共団体情報システム機構 (J-LIS) (スコア:1)
赤の広場で「ソ連の書記長は大馬鹿野郎だ」と叫んだ人が求刑されるいくつかの罪状のうち、一番重い刑罰が課せられるアレですね。
http://www.geocities.co.jp/SiliconValley-Cupertino/2261/sekaishi/log-03.htm [geocities.co.jp]
Re:カードケースを配布したのは地方公共団体情報システム機構 (J-LIS) (スコア:1)
総務省がカードケースの配布を決めたのは2015年9月4日みたい(共同通信 [this.kiji.is])。
でもって、9月21日にはもうできあがっていたようだ(テレビ朝日 [tv-asahi.co.jp])。
Re:カードケースを配布したのは地方公共団体情報システム機構 (J-LIS) (スコア:2)
Re:カードケースを配布したのは地方公共団体情報システム機構 (J-LIS) (スコア:1)
ケースの形状やカードのデザインは総務省の認可というか許可というかとにかくそんなものを得たうえで決定しているはずだが。まさかJ-LISに一任しチェックしていないなどということはあるまい。
Re:カードケースを配布したのは地方公共団体情報システム機構 (J-LIS) (スコア:1)
よくあることだな。
業者から総務省側担当に確認依頼→オッケー→実行→問題発生→総務省「お前が悪い」
「まだそんなことやってるの?」と思った。
Re:カードケースを配布したのは地方公共団体情報システム機構 (J-LIS) (スコア:1)
違いますよ。
業者「私も見逃した事はミスだが、総務省も見抜けなかった問題だった」
総務省「確認を実施した上で見逃したのはミスだが、業者も見抜けなかった」
業者&総務省「これだけたくさん確認のハンコついたのに誰も見抜けなかったんだから誰も悪くないよね」
これでしょ。
伝統のスタンプラリーで責任を分散して結局うやむやにする奴。
Re: (スコア:0)
「ひとみ」 ....orz
Re:カードケースを配布したのは地方公共団体情報システム機構 (J-LIS) (スコア:1)
業者から総務省側担当に確認依頼→オッケー→実行→問題発生→総務省「わかっているよな?」→業者「私が悪いです」
ここまでがテンプレート。
Re: (スコア:0)
「J-LISは地方公共団体のICTを指導しているIT意識が高い団体」と自分たちで思ってるんじゃないかと感じる。
J-LISが作って自治体に提供している某システムの仕様書があるんだが、こんな仕様でいいのか?
年金機構のインシデントで君たちは何を学んだんだ?というものがある。
けっこう間抜けだぞ、J-LISって。
総務省も無能なくせに横暴で威張ってるし、そこの意のままに動いてるJ-LISも無能。
だから全国でマイナンバー関連のトラブルが多発してんだよ。
試しに読ませてみた (スコア:5, 興味深い)
でも、ケースから抜けば個人番号が読めるし、わざわざ
ケースに入れたままQRコードをスキャンする場面というのが想像しにくい。
表側で性別と臓器提供の所がマスクされているのも謎。
余談ですが、臓器提供の意思表示って運転免許証の裏にもあるんですが、
両方で違ったことを書いておいたら、どうなるんでしょうね。
Re: (スコア:0)
・店頭で身分証として客から差し出されて、「カードケースにちゃんと入ってるからOKです」と受け取る
・それをうっかり免許証を扱うときのノリで両面をコピーしてしまう
とやったら、マイナンバー漏洩をおこした企業としてニュースに……
Re: (スコア:0)
メガネ型カメラなどでQRコードを記録すればマイナンバーを収集できます。
>表側で性別と臓器提供の所がマスクされているのも謎。
性別に関しては分かりませんが、臓器提供に関しては、臓器を提供する意思があると誰かに知られた場合に提供希望者が殺されるおそれがあるためではないでしょうか。
>両方で違ったことを書いておいたら、どうなるんでしょうね。
最新の署名が優先されます。
https://www.jotnw.or.jp/qa/ [jotnw.or.jp]
11. 署名年月日はいつを記入したらよいのですか?途中で書き換えた場合の年月日はどのようにしたらよいのでしょうか?
署名した日付にしてください。書き換えたい場合は新しいカードに必要項目を記入し、書き換えた日付を記入してください。
カードをいくつか持っている場合は、署名年月日が一番新しいものが有効となります。
Re: (スコア:0)
よく紹介されているカードの見本を読み込んだら 200716 出ました。
平成20年7月16日に作成したのかな?
Re:試しに読ませてみた (スコア:2)
住基カードにQRコードが付くようになったのが2009年(平成21年)4月20日発行から。
その検討は少し前からになるわけだから、そのころに作ったサンプル用QRコードを、以後連綿と使い続けているとかですかね。
#3033430 [srad.jp]でも言及しましたが、住基カードのQRコードでは、元号下2桁からの生年月日6桁を使っているようで。
Re: (スコア:0)
死んでからも他人に迷惑をかける奴だなって
思われるんじゃないんですか
Re: (スコア:0)
保険証の記述も異なっていると・・・
記述した年月日もあるから、それでソート出来るけれど、それも同じだったりしたら・・・
マジレスすると遺族の意思次第でしょ。
身寄りがいなければ・・・最小公約数で好きに使っていいんじゃね。
で、使えなければゴミと。
Re: (スコア:0)
最大公約数です
疲れてるんだ、もう寝よう...orz
Re: (スコア:0)
ふと思ったのですが、全部 and 条件だから、最小公倍数のほうが適当では?
Re: (スコア:0)
まあね、本人の意思で提供するとしていても、遺族がやだって言えばそちらが優先されるから。
#大好きだった父(or母or祖父or祖母or…)の身体を実験で切り刻むなんて、という話は何度も聞いた
住基カードのQRコード (スコア:4, 興味深い)
住基カードのQRコードは、公式案内ではカードが新版か旧版かを見分けるマークで、生年月日(有効期限も?)が記録されているらしい。
少なくとも住民票コードなどではなく、法律上特別に保護される秘密情報ではない。
番号カードは住基カードの新版という性質もあるので、従来制度に詳しい人ほど、番号カードのQRコードに不自然さを感じないことはありうるように思う。
役所職員も知らなかったという話もあるようで、当然、住民にも案内されずと。
(強調筆者。QRコードの内容は書かれていない)
今検索したところ、住基カードのころから、QRコードの内容はほとんど案内されてないように感じる。
(強調筆者。QRコードに含まれているとは書かれていない)
(生年月日等とは書かれていない)
(テーブルを整形。QRコードに含まれているとは書かれていない)
参考
Re:住基カードのQRコード (スコア:2)
根拠規定を拾ってきた。
写真付きの場合、生年月日だけっぽいな。
照合番号が記録されているかのような記述があるから、有効期限も含まれているかと思った。
(当該告示は番号法施行に伴い廃止のため、本体は見つけられず、告示案 [e-gov.go.jp]から抽出した)
Re: (スコア:0)
住基カードにしろ、マイナンバーカードにしろ、QRコードの内容を暗号化もしてないお馬鹿仕様にした役人が悪い。
このQRを読みだす必要があるのは役所関係だけなんだから、暗号化して解読キーを役所側だけ持ってれば読みだされても問題ない。
もちろんQRコード隠れないようなバカケース作ったバカも相当に悪い。
がそもそも生データそのまま保存すんな。
Re:住基カードのQRコード (スコア:2)
使うのは役所関係だけではないでしょう。
両カードとも、QRコードは券面記載事項の偽造を見抜く目的で使うことが想定されています。
個人番号は民間も使うもので、その際の身分証明書として使うのが番号カードですし、住基カードにしても、民間で一般的な身分証明書として使います。
そういう場面でカードの提示を受けた場合に、ICとQRコードを読み取って偽造でないことを確認することができるようになっていると。
この偽造検査はQRコードなしでもできるはずですが、その場合はIC読み出しの照合番号(番号カードの場合は個人番号)で手入力が必要になるので、それをQRコードで自動化しているんだと思います。
実際にこんな偽造検査をしている所があるのか、というのはさておき。
Re:住基カードのQRコード (スコア:2)
ふと思った。
よく、「Q. 個人番号がばれたら何ができるのか」「A. 何もできない」という問答がある。
これは基本的にはその通り。
しかし、番号カードのICから券面記載事項を読み出すアクセスキーが個人番号そのものということは、個人番号がわかっている場合、当人に一時的に近づくことができれば、非接触ICリーダーを通じて、住所などの非公開情報を読み出せるのではないか。
住所を知らない同僚や著名人をストーキングするとか。
Re: (スコア:0)
>>暗号化して解読キーを役所側だけ持ってれば読みだされても問題ない。
もしかして、全員同じ鍵で暗号化するつもりですか?
Re: (スコア:0)
それでも生のままよりマシだろ。
Re: (スコア:0)
下手に無きに等しいセキュリティもどきかけて、変に無理解な人間に勘違いされるよりは、
ノーガードで「危ないんだよ!」って言い張れる方が圧倒的にマシ。
Re: (スコア:0)
じゃ家の鍵もかけないで出るのね?あなた?
なきに等しいセキュリティならしない方がいいんだろ?
ノーガードの方がマシとか脳みそくさってるW
少しでもガードした上でそれでも危ないと言えばいいだけ。
収集しないよう (スコア:3)
>これを受けて、特定個人情報保護委員会が
> 個人番号が格納されているQRコードを読み取る等して収集しないよう
> 注意喚起を行っているようだ。
収集するなよ!収集するなよ!収集するなよ!
Re: (スコア:0)
そんなんが認められるなら、カードケースなんか配らずに
「他人のマイナンバーを控えたり記憶するなよ!」って
注意喚起すりゃあ済む話なんじゃないの。
……って思ってしまう。
総務省の見解 (スコア:2)
総務省|マイナンバー制度とマイナンバーカード [soumu.go.jp]
マイナンバーカードの裏面にQRコードが記載されている趣旨及びカードケースのマスキングの考え方について [soumu.go.jp]
無理筋。
QRコードに特別な機器が必要なわけではなく。
番号利用時もケース付きで使うことを推奨していたわけでもなく。
逆に、番号利用時にコピーを取る際は、ケースを外すように指示している。
Re:総務省の見解 (スコア:2)
マイナンバーのコピーを防ぐためのケースって書いているよねえ。
QRコードも保護の対象かどうか (スコア:1)
個人番号そのものは漏洩させないよう注意する必要があるけど、それを符号化したQRコードは単なる画像なので秘匿するべき個人情報になるか気になって調べてみた。
第二条
8 この法律において「特定個人情報」とは、個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。第七条第一項及び第二項、第八条並びに第四十八条並びに附則第三条第一項から第三項まで及び第五項を除き、以下同じ。)をその内容に含む個人情報をいう。
行政手続における特定の個人を識別するための番号の利用等に関する法律 [e-gov.go.jp]
ちゃんと法律上の穴はふさがれてました。
ということは、QRコードは特定個人情報にあたるので丸見えケースの配布は
第三条
四 個人番号を用いて収集され、又は整理された個人情報が法令に定められた範囲を超えて利用され、又は漏えいすることがないよう、その管理の適正を確保すること。
これに違反してますね。
くだらなすぎ (スコア:0)
ケースにもいちゃもんとかアホすぎ。
目隠し付きケースっていうのもバカだがね。
そもそも、マイナンバーカードに印刷されてるQRコードに
マイナンバーが格納されていないと考えられる方がどうかしてると思うが…
##つーか俺はいつマイナンバーカードが発行されるんだろ…申し込んでかなり経つが…
Re:くだらなすぎ (スコア:1)
まぁ、気になる奴は、マジックで塗りつぶせばいい話だからな
Re:くだらなすぎ (スコア:1)
まず今回の問題を指摘した人にケチをつけ、次に目隠しケースにケチをつける。
そこからさらにマイナンバーカード自体にケチをつける。
これはかなり芸術点が高いと思うのですが、いかがでしょうか?
Re: (スコア:0)
出た、マイナンバー関連にいちゃもん付ける人にいちゃもん付けたくてしょうがない人。
>マイナンバーが格納されていないと考えられる方がどうかしてると思うが…
どうかしてると思うから、全く目的を果たせていないケースを設計した奴、アホやろ、とツッコミを入れてるんじゃん。
Re: (スコア:0)
つーか俺はいつマイナンバーカードが発行されるんだろ…申し込んでかなり経つが…
マイナンバーカード滞留 8月末にほぼ解消へ 6月17日 12時39分
http://www3.nhk.or.jp/news/html/20160617/k10010559721000.html [nhk.or.jp]
Re: (スコア:0)
でも、あのケース(というかビニール袋)を使うことが前提で
使用方法の説明をされるんだけど。
入れて出せば相手に番号は見えないと、はっきり説明されました。
申し込んだならわかっているはずなんだけど、マイナンバーを
見せないで使用する用途もあるんですよ。オープンになっている
QRコードにマイナンバーが含まるのが当然とは思えません。
Re: (スコア:0)
自治体がマイナンバーが格納されていないと考えてるから問題にしてんだろバカ
全く良くわからないけど (スコア:0)
ソーシャルナンバーとセキュリティナンバーを発行して
セキュリティナンバーを使わないと個人情報が取れないようにする事はできないの?
Re: (スコア:0)
アクセス権の制御てのがあって くわしくはココ読め
http://www.soumu.go.jp/kojinbango_card/03.html#card [soumu.go.jp]
Re: (スコア:0)
なんでアクセス権があるのに個人番号が漏れただけで不正アクセスできるの?
Re: (スコア:0)
どこの誰が、アクセスできると?
マイナンバーカードにはマイナンバーは記載されていないっ (スコア:0)
ってだれか言ってたような気がするんですが、実際のところはどーなんですか?
#マイナンバーカードなんか作る気がないAC
どうせ、このケース使わんだろ... (スコア:0)
解かってる奴はサードパーティ製のケース使うでしょ
解かってない奴はどんなケースに入れたって漏らすでしょ
Re: (スコア:0)
解ってる奴は他人に見せたりしない
実質は確定申告カードです