【やじうまWatch】教訓はどこへ? 32ビットIEとSafariのみ対応、Java必須のマイナンバーのポータルサイト
コメント
選択しているユーザー
今年の7月から正式稼働なので、ぜひ、いろいろな意見をいただき、反映させていきたいと思います。支えていただいているエンジニアやそのコミュニティの皆さんには、感謝しています。
外部サービスとAPI連携できるのが売りのひとつなので、ぜひ連携を試してください。例えば、電子母子手帳なら、今は手入力している予防接種の情報がここからとれます。引っ越した際には、新しい住所が、ここから金融機関などに送ることができます。
<追記の追記>
Takuさんからとても大事な質問をいただいたので、補足します(字数が足りないので整理しました)。
ポータルの目標:子育て、引越し、住宅ローン利用など、ライフイベントのときに、自分の情報を使った電子申請や通知受取が、マルチデバイスでできること。ただし、前提となるカードの発行や電子申請などのサービスは、基礎自治体の判断。トップダウンで目標を設定することはできないが、ロードマップを策定して、加速していきたい。
仕様について(専門的なコメントをいただけるので詳しめに):
前提1:認証にはICカードを使う。IT先進国として知られるエストニアも同じ方式で、従って、マイナポータルと同じ技術的課題がある。他の手段としては、英国が電子政府に採用しているOpenID Connectなど存在。
前提2:JPKIが、WindowsXP時代のドライバであること。従って、AxtiveX、javaアプレットが必要。ドライバ変更は、マイナポータル以外の行政サービス(eTax)に影響があり、先送りに。
前提3:Edgeは、国際標準に則ったICカード対応の実装が検討されている。それまでは、マイクロソフト社からはIEの利用を勧められている。今年9月にサポートが停止されるjavaアプレットについては、オラクル社と協議中。
官公庁の調達では過去に実績のあるものが優先される、というのは前提の1と2です。また、ICカードを認証に使うので、ポータル側だけでは解決しないものもあります(前提3)。
年内には技術的な課題を解消すべく動いています。また、そもそもICカードの仕様をオープンにすればいいという意見もあり、個人的には同感です。
注目のコメント
【緊急性高】はっきり申し上げますが、クソです。
私はこのサイトを危なっかしくて利用する気にはなりません。というか存在自体が危なっかしくていつ自分の情報がぶっこ抜かれるか気が気でなりません。
マニュアルが公開されてるのでシェアしますが、Cookie設定を全許可させる指示が記載されています(P22)。簡単に言うとブラウザでデフォルトで閉めているプライバシー設定を開けてくださいと指示しております。
https://img.myna.go.jp/manual/2.pdf
この設定では仮にこのサイトがクラックされた場合、XSS脆弱性から簡単に個人情報をぶっこ抜く事ができる可能性を高める行為に他ならず、これを国家行政サービスとして展開する事は甚だ危険です。Yahoo!やGoogleの情報漏えいとは意味が違います。
私のアカウントからJPCERTのTwitterアカウントに勝手ながら報告しましたので、大規模なプロモーションを展開する前に早急に対策をお願いします。
https://twitter.com/rawegg/status/821902061646139392