パスワードを忘れた? アカウント作成
12819844 story
プライバシ

マイナンバーカードに付属するカードケースに対しマイナンバーが格納されているQRコードを隠していないとの指摘 66

ストーリー by hylom
隠せてなかった 部門より

マイナンバーカード(個人番号カード)の交付時に一緒に渡されるカードケースでは、カードの個人番号が記載された部分を隠すようになっており、カードケースに入れたまま利用することで個人番号を提示せずに本人確認に利用できるとされている。しかし、このカードケースで隠されていないQRコードには個人番号が格納されており、スマホ等で撮影することで簡単に個人番号を得ることができるとの指摘がされている(ITmedia日経ITpro)。

これを受けて、特定個人情報保護委員会が個人番号が格納されているQRコードを読み取る等して収集しないよう注意喚起を行っているようだ。なお、ケースを作成したのは個人情報保護委員会ではないとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • News & Trend - 個人番号カード普及に妙手?総務省がカードケースを配布へ:ITpro [nikkeibp.co.jp] より

     2016年1月から、マイナンバーの個人番号カード配布が始まる。総務省は、そのカードを収納できる専用ケースを配布する方向で話を進めている。ケースに入れれば、カードに記載された情報の一部を隠すことができる。

     総務省によると、個人番号カードケースの配布は地方公共団体情報システム機構(J-LIS)が担う。J-LISは地方公共団体の共同運営組織で、自治体からマイナンバーの通知カードや個人番号カードの発行に関連する事務を委託される。総務省は、ケースの配布方法は検討中で、自治体に新たな費用負担は発生しないとしている。自治体から住民にも、無料でケースが配られる可能性が高い。

    配布を決めたのは総務省、実際に配布しているのは J-LIS だそうだ。

  • by NOBAX (21937) on 2016年06月21日 20時00分 (#3033455)
    個人番号が入っていましたよ。

    でも、ケースから抜けば個人番号が読めるし、わざわざ
    ケースに入れたままQRコードをスキャンする場面というのが想像しにくい。

    表側で性別と臓器提供の所がマスクされているのも謎。

    余談ですが、臓器提供の意思表示って運転免許証の裏にもあるんですが、
    両方で違ったことを書いておいたら、どうなるんでしょうね。
    • by Anonymous Coward

      ・店頭で身分証として客から差し出されて、「カードケースにちゃんと入ってるからOKです」と受け取る
      ・それをうっかり免許証を扱うときのノリで両面をコピーしてしまう

      とやったら、マイナンバー漏洩をおこした企業としてニュースに……

    • by Anonymous Coward

      メガネ型カメラなどでQRコードを記録すればマイナンバーを収集できます。

      >表側で性別と臓器提供の所がマスクされているのも謎。
      性別に関しては分かりませんが、臓器提供に関しては、臓器を提供する意思があると誰かに知られた場合に提供希望者が殺されるおそれがあるためではないでしょうか。

      >両方で違ったことを書いておいたら、どうなるんでしょうね。
      最新の署名が優先されます。
      https://www.jotnw.or.jp/qa/ [jotnw.or.jp]
      11. 署名年月日はいつを記入したらよいのですか?途中で書き換えた場合の年月日はどのようにしたらよいのでしょうか?
      署名した日付にしてください。書き換えたい場合は新しいカードに必要項目を記入し、書き換えた日付を記入してください。
      カードをいくつか持っている場合は、署名年月日が一番新しいものが有効となります。

    • by Anonymous Coward

      よく紹介されているカードの見本を読み込んだら 200716 出ました。
      平成20年7月16日に作成したのかな?

      • by Y-taro (38255) on 2016年06月21日 21時36分 (#3033529)

        住基カードにQRコードが付くようになったのが2009年(平成21年)4月20日発行から。
        その検討は少し前からになるわけだから、そのころに作ったサンプル用QRコードを、以後連綿と使い続けているとかですかね。

        #3033430 [srad.jp]でも言及しましたが、住基カードのQRコードでは、元号下2桁からの生年月日6桁を使っているようで。

        親コメント
    • by Anonymous Coward

      死んでからも他人に迷惑をかける奴だなって
      思われるんじゃないんですか

    • by Anonymous Coward

      保険証の記述も異なっていると・・・
      記述した年月日もあるから、それでソート出来るけれど、それも同じだったりしたら・・・

      マジレスすると遺族の意思次第でしょ。
      身寄りがいなければ・・・最小公約数で好きに使っていいんじゃね。
      で、使えなければゴミと。

      • by Anonymous Coward

        最大公約数です

        疲れてるんだ、もう寝よう...orz

      • by Anonymous Coward

        ふと思ったのですが、全部 and 条件だから、最小公倍数のほうが適当では?

      • by Anonymous Coward

        まあね、本人の意思で提供するとしていても、遺族がやだって言えばそちらが優先されるから。

        #大好きだった父(or母or祖父or祖母or…)の身体を実験で切り刻むなんて、という話は何度も聞いた

  • by Y-taro (38255) on 2016年06月21日 19時22分 (#3033430)

    住基カードのQRコードは、公式案内ではカードが新版か旧版かを見分けるマークで、生年月日(有効期限も?)が記録されているらしい
    少なくとも住民票コードなどではなく、法律上特別に保護される秘密情報ではない。

    番号カードは住基カードの新版という性質もあるので、従来制度に詳しい人ほど、番号カードのQRコードに不自然さを感じないことはありうるように思う。
    役所職員も知らなかったという話もあるようで、当然、住民にも案内されずと。

    QRコード
    平成21年4月20日以降に発行されている住基カードのICチップ内には、新たに券面事項確認利用領域が設けられ、券面事項が記録されています。QRコードは、券面事項をICチップに記録したカードであることが見て分かるように印刷されています。QRコードと ICチップ内の情報の組み合わせにより、年齢確認が可能であり、年齢別の優待割引など将来的に様々な分野での利用拡大も期待されています。
    「住基カード」とは?|住民基本台帳カード総合情報サイト|総務省 [juki-card.com]」

    (強調筆者。QRコードの内容は書かれていない)

    今検索したところ、住基カードのころから、QRコードの内容はほとんど案内されてないように感じる。

    Q 5-2 券面事項の確認はどうやってするのですか?
    A 5-2 専用のソフトウェアをインストールしたパソコン等で有効期限と生年月日(※)で構成される 照合番号を入力し、確認します。
    なお、住基カード等のICチップに記録された券面事項等を表示する券面事項等表示ソフトウェアについては、こちらよりダウンロードができます。
    ※照合番号の生年は、日本人の場合は券面に記載されている和暦表記の二桁、外国人住民の場合は券面に記載されている西暦表記の下二桁となります。
    こんな時、どうすればいいの?(FAQ)|住民基本台帳カード総合情報サイト|総務省 [juki-card.com]」

    (強調筆者。QRコードに含まれているとは書かれていない)

    住民基本台帳カードのQRコードに記録される情報は、下記のとおりです。
    顔写真付き住民基本台帳カードの場合
      →ICチップに書き込まれた生年月日の読み出しのための番号

    顔写真なし住民基本台帳カードの場合
      →顔写真なしということ
    住民基本台帳カードのQRコードにはどのような情報が入っていますか。 | 住民基本台帳ネットワークシステム | 戸籍・住民・印鑑業務 | くらしの手続き | 西宮市ホームページ」2014年11月17日 [nishi.or.jp]

    (生年月日等とは書かれていない)

    (4)平成21年4月20日発行分(有効期限が2019年4月19日以降)からQRコードが印刷されています。
    ※ QRコードが印刷されているカードの機能
    金融機関窓口等がICチップ内のデータを専用端末で読み取り、券面の内容と照らし合わせることにより厳格な本人確認ができるようになりました(すべての窓口とは限りません)。その際には照合番号が必要です。登録した暗証番号とは異なります。

    住基カードの種類 ── 照合番号
    ────────────────────
    Aタイプ(顔写真なし)── 有効期限(西暦8桁)
    Bタイプ(顔写真あり)── 有効期限(西暦8桁)+生年月日(※6桁)
    吹田市|住民基本台帳カードについて [osaka.jp]」

    (テーブルを整形。QRコードに含まれているとは書かれていない)

    参考

    確定申告のために10年ぶりに住基カードを取得した。QRコードが付いていたので、試しに読み取ってみたら、生年月日(元号の下2桁+月+日)が書かれていた。

    「住基カード」でイメージ検索をしてみると、カードに印字されている生年月日は塗りつぶしているのに、QRコードはそのままの人がいる。一応消しているけど、消し方が甘い人もいる。QRコードの訂正能力ならかなり潰しても情報は読み取れそう。

    住基カードをネットに晒してしまう人が悪いのか、個人情報をぱっと見では分からない形(QRコード)にして印刷するほうが悪いのか……。
    住基カードのQRコード - kusano_k’s blog [hatenablog.com]」2015-03-05

    • 根拠規定を拾ってきた。
      写真付きの場合、生年月日だけっぽいな。
      照合番号が記録されているかのような記述があるから、有効期限も含まれているかと思った。

      エ アにより券面事項確認情報を券面事項確認利用領域に記録した住民基本台帳カードについては、次に掲げる情報について国際標準化機構及び国際電気標準会議の規格第18004を用いて格納した図形をカード券面に施すこと。当該図形の大きさは、縦8.89mm横8.89mmとすること。
      (ア) 規則別記様式第1の住民基本台帳カードにあっては、写真が印刷されていないことに関する情報
      (イ) 規則別記様式第2の住民基本台帳カードにあっては、券面に記載した出生の年月日に関する情報
      「住民基本台帳カードに関する技術的基準」(平成15年総務省告示第392号)第2の2(7)エ

      (当該告示は番号法施行に伴い廃止のため、本体は見つけられず、告示案 [e-gov.go.jp]から抽出した)

      親コメント
    • by Anonymous Coward

      住基カードにしろ、マイナンバーカードにしろ、QRコードの内容を暗号化もしてないお馬鹿仕様にした役人が悪い。
      このQRを読みだす必要があるのは役所関係だけなんだから、暗号化して解読キーを役所側だけ持ってれば読みだされても問題ない。

      もちろんQRコード隠れないようなバカケース作ったバカも相当に悪い。

      がそもそも生データそのまま保存すんな。

      • by Y-taro (38255) on 2016年06月22日 17時54分 (#3034126)

        使うのは役所関係だけではないでしょう。

        両カードとも、QRコードは券面記載事項の偽造を見抜く目的で使うことが想定されています。
        個人番号は民間も使うもので、その際の身分証明書として使うのが番号カードですし、住基カードにしても、民間で一般的な身分証明書として使います。
        そういう場面でカードの提示を受けた場合に、ICとQRコードを読み取って偽造でないことを確認することができるようになっていると。

        この偽造検査はQRコードなしでもできるはずですが、その場合はIC読み出しの照合番号(番号カードの場合は個人番号)で手入力が必要になるので、それをQRコードで自動化しているんだと思います。

        実際にこんな偽造検査をしている所があるのか、というのはさておき。

        親コメント
        • by Y-taro (38255) on 2016年06月22日 23時35分 (#3034332)

          ふと思った。

          よく、「Q. 個人番号がばれたら何ができるのか」「A. 何もできない」という問答がある。
          これは基本的にはその通り。

          しかし、番号カードのICから券面記載事項を読み出すアクセスキーが個人番号そのものということは、個人番号がわかっている場合、当人に一時的に近づくことができれば、非接触ICリーダーを通じて、住所などの非公開情報を読み出せるのではないか。
          住所を知らない同僚や著名人をストーキングするとか。

          親コメント
      • by Anonymous Coward

        >>暗号化して解読キーを役所側だけ持ってれば読みだされても問題ない。

        もしかして、全員同じ鍵で暗号化するつもりですか?

        • by Anonymous Coward

          それでも生のままよりマシだろ。

          • by Anonymous Coward

            下手に無きに等しいセキュリティもどきかけて、変に無理解な人間に勘違いされるよりは、
            ノーガードで「危ないんだよ!」って言い張れる方が圧倒的にマシ。

            • by Anonymous Coward

              じゃ家の鍵もかけないで出るのね?あなた?

              なきに等しいセキュリティならしない方がいいんだろ?

              ノーガードの方がマシとか脳みそくさってるW
              少しでもガードした上でそれでも危ないと言えばいいだけ。

  • by ymasa (31598) on 2016年06月21日 18時53分 (#3033414) 日記

    >これを受けて、特定個人情報保護委員会が
    > 個人番号が格納されているQRコードを読み取る等して収集しないよう
    > 注意喚起を行っているようだ。

    収集するなよ!収集するなよ!収集するなよ!

    • by Anonymous Coward

      そんなんが認められるなら、カードケースなんか配らずに
      「他人のマイナンバーを控えたり記憶するなよ!」って
      注意喚起すりゃあ済む話なんじゃないの。
      ……って思ってしまう。

  • by Y-taro (38255) on 2016年06月24日 16時55分 (#3035386)

    総務省|マイナンバー制度とマイナンバーカード [soumu.go.jp]
    マイナンバーカードの裏面にQRコードが記載されている趣旨及びカードケースのマスキングの考え方について [soumu.go.jp]

    1. QRコード読み取り機を使うのは、ケースを外すのと同程度に不自然
    2. ケースに入れたまま番号が読み取れ、第三者が見る機会が減る

    無理筋。
    QRコードに特別な機器が必要なわけではなく。
    番号利用時もケース付きで使うことを推奨していたわけでもなく。
    逆に、番号利用時にコピーを取る際は、ケースを外すように指示している。

    Q4-3-1-1 従業員などのマイナンバーを取得するときは、どのように本人確認を行えばよいのでしょうか。また、対面以外の方法(郵送、オンライン、電話)でマイナンバーを取得する場合はどのように本人確認を行えばよいのでしょうか。

    A4-3-1-1 
    (略)
    なお、マイナンバーカードの表面のコピーにより本人確認を行う場合、表面は臓器提供意思表示欄など高度な個人情報も含まれることから、マイナンバーカード交付時にお渡しするカードケースに入れたままでのコピーを可としますが、裏面はマイナンバーを表示しなければならないことから、ケースを外してコピーをしてください。
    内閣官房「マイナンバー社会保障・税番号制度」 / 「よくある質問(FAQ)」 / 「(4)民間事業者における取扱いに関する質問」 / Q4-3-1-1 [cas.go.jp]、2015年11月更新

    • by Y-taro (38255) on 2016年06月24日 17時14分 (#3035400)

      本人確認書類としてマイナンバーカードを取り扱う際、必要があれば、マイナンバーカードの表面の基本4情報や顔写真のコピーを取ることも可能です。ただし、裏面に記載されたマイナンバーは、法律上利用が認められた手続を除き、コピーを取ることはできません。そのため、マイナンバーカードを交付する際には、裏面のマイナンバー部分を隠すカードケースと一緒にお渡ししています。
      内閣官房「マイナンバーメールマガジン 第10号 [cas.go.jp]」平成28年5月20日

      マイナンバーのコピーを防ぐためのケースって書いているよねえ。

      親コメント
  • by Anonymous Coward on 2016年06月21日 21時45分 (#3033539)

    個人番号そのものは漏洩させないよう注意する必要があるけど、それを符号化したQRコードは単なる画像なので秘匿するべき個人情報になるか気になって調べてみた。

    第二条
    8  この法律において「特定個人情報」とは、個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。第七条第一項及び第二項、第八条並びに第四十八条並びに附則第三条第一項から第三項まで及び第五項を除き、以下同じ。)をその内容に含む個人情報をいう。
    行政手続における特定の個人を識別するための番号の利用等に関する法律 [e-gov.go.jp]

    ちゃんと法律上の穴はふさがれてました。

    ということは、QRコードは特定個人情報にあたるので丸見えケースの配布は

    第三条
    四  個人番号を用いて収集され、又は整理された個人情報が法令に定められた範囲を超えて利用され、又は漏えいすることがないよう、その管理の適正を確保すること。

    これに違反してますね。

  • by Anonymous Coward on 2016年06月21日 18時21分 (#3033393)

    ケースにもいちゃもんとかアホすぎ。
    目隠し付きケースっていうのもバカだがね。

    そもそも、マイナンバーカードに印刷されてるQRコードに
    マイナンバーが格納されていないと考えられる方がどうかしてると思うが…

    ##つーか俺はいつマイナンバーカードが発行されるんだろ…申し込んでかなり経つが…

    • by Anonymous Coward on 2016年06月21日 18時56分 (#3033418)

      まぁ、気になる奴は、マジックで塗りつぶせばいい話だからな

      親コメント
    • by Anonymous Coward on 2016年06月21日 19時13分 (#3033427)

      まず今回の問題を指摘した人にケチをつけ、次に目隠しケースにケチをつける。
      そこからさらにマイナンバーカード自体にケチをつける。

      これはかなり芸術点が高いと思うのですが、いかがでしょうか?

      親コメント
    • by Anonymous Coward

      出た、マイナンバー関連にいちゃもん付ける人にいちゃもん付けたくてしょうがない人。

      >マイナンバーが格納されていないと考えられる方がどうかしてると思うが…

      どうかしてると思うから、全く目的を果たせていないケースを設計した奴、アホやろ、とツッコミを入れてるんじゃん。

    • by Anonymous Coward

      つーか俺はいつマイナンバーカードが発行されるんだろ…申し込んでかなり経つが…

      マイナンバーカード滞留 8月末にほぼ解消へ 6月17日 12時39分
      http://www3.nhk.or.jp/news/html/20160617/k10010559721000.html [nhk.or.jp]

    • by Anonymous Coward

      でも、あのケース(というかビニール袋)を使うことが前提で
      使用方法の説明をされるんだけど。
      入れて出せば相手に番号は見えないと、はっきり説明されました。

      申し込んだならわかっているはずなんだけど、マイナンバーを
      見せないで使用する用途もあるんですよ。オープンになっている
      QRコードにマイナンバーが含まるのが当然とは思えません。

    • by Anonymous Coward

      自治体がマイナンバーが格納されていないと考えてるから問題にしてんだろバカ

  • by Anonymous Coward on 2016年06月21日 21時53分 (#3033543)

    ソーシャルナンバーとセキュリティナンバーを発行して
    セキュリティナンバーを使わないと個人情報が取れないようにする事はできないの?

  • ってだれか言ってたような気がするんですが、実際のところはどーなんですか?
    #マイナンバーカードなんか作る気がないAC

  • by Anonymous Coward on 2016年06月22日 0時56分 (#3033642)

    解かってる奴はサードパーティ製のケース使うでしょ
    解かってない奴はどんなケースに入れたって漏らすでしょ

    • by Anonymous Coward

      解ってる奴は他人に見せたりしない
      実質は確定申告カードです

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...