メインメニューをとばして、このページの本文エリアへ

news letter
RSS

朝日新聞出版、毎日新聞の「架空予約」報道は「悪質な妨害愉快犯」なのか?

自衛隊に無茶なシステム開発・運営を押し付けたために生じた失態

米山隆一 衆議院議員・弁護士・医学博士

驚くべき原始的な仕様

 まず、この問題について、主にSNS上で「システムのセキュリティホールをマスコミが公表するのは適当ではない」という趣旨の議論(参照)がなされています。

 しかし、問題となった朝日、毎日の記事と、なぜか問題視されていない日経xTechの記事の内容を読み、当該「自衛隊東京 | 予約システム」(参照)を確認し(議論を避ける為私はこの画面以上には進んでいません)、接種券の見本(参照)を見る限り、「東京大規模接種センターの予約サイトは、架空番号、対象外地域、対象期間外で予約できる問題」はセキュリティホールでもなんでもなく、ただ単に「そういう仕様」、つまり、①「任意の市町村コードと、任意の接種券番号と、任意の生年月日を入力すれば、それ以上一切の確認はなくそのまま予約をとれるという仕様」の問題だと思われます(そういう意味で、幾らでも予約が取れるのは誤作動でもバクでもなく、むしろ当然の挙動です)。

 さらに実際にこの予約サイトから予約を取った人のツイートを読むと、予約サイトから無事予約ができても、マイページには自らが入力した「市町村コード」「接種券番号」「生年月日」は表示されない事も分かります(参照)。

 つまり東京大規模接種センターの予約サイトは、
①「市町村コード」「接種券番号」「生年月日」に桁だけあった任意の数字を入力さえすれば予約ができる。
②自分が入力した「市町村コード」「接種券番号」「生年月日」はマイページに表示されず後から確認できない。
という仕様なのです。

 率直に言ってこれは、驚くほど原始的な仕様と言わざるを得ません。

拡大大規模接種の「編成完結式」に臨む自衛隊の医官、看護官と民間看護師ら=2021年5月17日、東京都千代田区

仕様から生じる問題とは

 こうした仕様は、少し考えただけで、以下の問題を生じえます。

(a) 報道されているとおり、架空予約が可能。また架空予約をされた場合、架空予約をした人を特定する手掛かりはIPアドレスしかなく、防衛省が打ち出している「法的手続き(参照)」は思いのほか困難。

(b) 悪意がなくても、「市町村コード」「接種券番号」「生年月日」の何れにおいても一定の誤入力が生じる。特に「接種券番号」を誤入力した場合、当該予約が自分のものであることを確認するすべはない。「末尾一桁だけ違う」の様ないかにもありそうな例で、現場で対応に苦慮することになる。

(c) 「市町村コード」については、順次接種対象地域を拡大するとされているなか、意図的・誤りの両方で対象地域外の人が予約を取る事態が生じ得る。この時、接種会場で「対象地域ではない」と言われる事になり、特に意図的でない誤りの場合、接種する、しないで現場で対応に苦慮することになる。

(d) 会場で接種した人の履歴がシステム上で正確に管理され、接種者の自治体の記録に正確に反映される保証はなく、今後の接種歴の把握に混乱が生じかねない。

簡便な修正で対応は可能

 これに対して、岸信夫防衛大臣が言うように、「不正な手段による虚偽予約を『完全に』防止する」(参照)のは確かに容易ではありませんし、それに要するコストと時間を考えたら『完全に』防止すること自体は「適切でない」のはその通りだと思います。しかし、これも少し考えただけで、
)少なくとも「市町村コード」を確認し、接種対象外の地域の番号を排除する、
)少なくとも市町村が発行している「接種券番号」を共有し、「市町村コード」との整合性を含め、無効な番号は排除する、
)少なくとも生年月日を確認し、接種対象でない生年月日を排除する、
)少なくとも自分が入力した「市町村コード」「接種券番号」「生年月日」をマイページに表示し確認できるようにする、
という、極めて簡便で、どうしてやっていないのか理解できない修正で、「完全」ではないにせよ、相当程度に対応可能です。

 これだけで、それこそ「愉快犯」的な架空予約のハードルは相当に上がり、「『完全に』防止する」ことはできませんが、実行する人はかなり減るでしょうし、誤入力や、接種対象地域外の誤予約も激減するでしょう。

 住所、氏名、電話番号、メールアドレスの個人情報はどこまで入力して貰い、どこまで管理するのか、システム構築・管理のコストや時間ともからんで問題になりますが、
)接種券に記載されている住所と氏名を記載し、連絡先のメールアドレスを入力して貰らって、そこで再度予約を確認して貰う仕様にすれば、例えフリーメールのアドレスであってもアドレス取得時に入力した個人情報を用いて、後から捜査機関が個人を特定することが大幅に容易になり、「愉快犯」のみならず「確信犯」も、ほとんど消滅する、

)住所と氏名を記載して貰えれば、接種券番号等の誤入力があっても、現場で接種券と個人のIDを見せる事で本人確認をして接種することが可能になる、
)その後、自治体の接種履歴管理システム(恐らく予防接種台帳だが、現在厚労省のV-SYSと、官邸が今後構築を打ち出した新システムが併存しておりそれ自体混乱している)に情報を統合することが容易になる、

というメリットがあります。

 接種券に記載されている住所と氏名とメールアドレス(インターネットから予約している以上、メールアドレスがないという事態はほとんど想定できません)は、最低限、入力して貰う方がよいと私は思います。

全ジャンルパックなら本の記事が読み放題。


筆者

米山隆一

米山隆一(よねやま・りゅういち) 衆議院議員・弁護士・医学博士

1967年生まれ。東京大学医学部卒業。東京大学医学系研究科単位取得退学 (2003年医学博士)。独立行政法人放射線医学総合研究所勤務 、ハーバード大学附属マサチューセッツ総合病院研究員、 東京大学先端科学技術研究センター医療政策人材養成講座特任講師、最高裁判所司法修習生、医療法人社団太陽会理事長などを経て、2016年に新潟県知事選に当選。18年4月までつとめる。2022年衆院選に当選(新潟5区)。2012年から弁護士法人おおたか総合法律事務所代表弁護士。

※プロフィールは原則として、論座に最後に執筆した当時のものです

米山隆一の記事

もっと見る