小さなニュースを共同通信と時事通信が伝えている。マイナポイント・プログラムで471件の重複申し込みがあったが問題は解決したためプログラムは止めずに実行するというのだ。確かに結果的に被害が出なかったのであればこのまま実行しても構わないのではないかと思える。だが、実はかなり重要なことを見逃している。
この記事は時事通信と共同通信で書いていることが異なっている。時事通信は総務省の「自治体のミスでした」「でも問題は解決されています」という発表を右から左に流している。共同通信は「きちんと本人確認ができなかった」ことが原因だったと書いている。これを読むと、自治体が本人確認できなかったんだろうなという印象になる。
だがこれは実は総務省が「自分たちの問題ではなく」「プログラムの実行には支障がない」という弁明をそのまま流しているだけだ。
実際に自分でマイナポイント申請をしたことがある人なら、記事に違和感を感じるだろう。そもそも自治体がマイナポイントの申請を確認するプロセスなどない。仮にこの記事の印象を正当化するなら「アプリ以外に窓口で申請できるのかもしれない」ということになる。
なんとなくモヤモヤするので別の記事を探すことにした。スマホの技術者がよく読んでいる媒体には原因が次のように書いてある。技術者が読むとは言っても「ケータイWatch」という媒体である。松本和大さんという人の記名記事なのだが、きちんと取材されている。
しかし、市区町村において、“法律で想定されていない場面”で証明書の失効を行うと、新たな証明書の発行後も新旧の証明書のひも付けが行われず、本来不可能であるはずの複数回の申込みが可能になったという。
「マイナポイント」で複数回申し込める不具合発覚、総務省が防止策
この記事に書いてあることは「システムが想定しないオペレーションが行われており、同じマイナンバーカードでも別人・別アカウント扱いになることが起こり得た」という意味である。つまり、システムの不具合であって自治体の事務処理の問題ではなかったのだ。
システムと言っても開発と運用の両側面がある。松本さんは解決策も書いている。
- 開発側の対応:(おそらくシステムで)防止策を講じる。総務省ではこのようなケースについて、新たな証明書とのひも付けを行うなどの防止策を講じている。
- 運用川の対応:自治体にも「例外的な事務処理をやらないように」通達する。
1はよさそうなのだが2には心配もある。要するに運用でカバーするということになるが、今後も運用を間違えれば同じような問題が出かねない。つまり、マイナンバーカードシステムそのものに「運用を気をつけなければならない」脆弱性が残るということだ。
ただし実際のシステム運用でも「運用でカバー」することはある。全てのオペレーションミスを開発でカバーすると開発費が想定を超えて嵩むことがあるため、運用でカバーしたほうが安上がりなケースというものが存在するのである。
ただ、今回感じた違和感の正体はおそらく別のところにあるのだろうなと思った。共同通信と時事通信は総務省の発表をそのまま書いている。おそらく記者は技術的な仕組みをあまり理解していないものと思われる。そのためそもそも疑問に思ったり質問をしたりすることはできない。つまり課題が発見できないのだ。時事通信と共同通信が書いているのは「たいしたことなかったああよかった」ということだけだ。
これが問題になるのは大規模障害が起きた時だろう。回復がなかなか難しい問題が起きた時に大騒ぎになり「想定されていなかったがマイナンバーシステムそのものが危ないのではないか」となってしまう可能性が高い。つまり、受け手にリテラシがないと問題が生じた時に「システム全体がもう使えないのではないか」という大げさな不安が生じる。そして大抵問題は大きくなって初めて露見する。
おそらく、これまでもこの「同じマイナンバーカードでも別人・別アカウント扱いになることが起こり得る」という問題は存在し放置されてきた。今回は幸いなことに「一人5,000円の配布でたった471件の被害」で済んだため人の手を使って回復処理ができたのだろう。つまり今回のマイナポイントプログラムは壮大なβテストだったということになるのかもしれない。
健康保険のような複雑な制度が初めてのケースにならなくてよかったなとは思うのだが、実際には十分な対策が取られたのかは確かめようがない。取材するマスコミにこの問題を理解する能力がないからだ。
ケータイWatchの記事は気になることを書いている。2回ならミスかもしれないのだが「3回申し込めた」人が1名いるそうだ。偶然間違えて3回申し込みましたということは考えにくいのだが、この件がきちんと発表されて報道されるのかはきちんと注目してみたほうが良いのだと思う。仕組みの脆弱性に気がついて意図的に実行した人がいる可能性があるからである。今後こうしたことが起こらないように気をつけるのも重要なのだが、なぜこのような脆弱性が見過ごされてきたかはきちんと検証したほうが良さそうだ。そしてそのためにはおそらく専門知識を持った人が取材に同行する必要がある。