各種のコラム -- 　３ー１３７　”なぜ”携帯が乗っ取られたか？

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　２０２４年５月１５日　　

    ３ー１３７　”なぜ”携帯が乗っ取られたか？
    
　　   携帯の乗っ取りというと、ウィルスなどを侵入させ、携帯を遠隔操作するのが一般的ですが、
　　最近、携帯の機種変更を利用して、他人の番号の携帯を入手し、ＱＲコード決済や、信用販売を悪用するという事件が
　　発生しました。携帯の機種変更の際の身分証明書として、偽のマイナンバーカードが使われました。
　　
　　　原因として次のようなことが考えられます。
　　１．マイナンバーカードのセキュリティー対策が、実際の運用を考慮したものになっていない。
　　２．携帯電話会社や銀行のセキュリティー対策が、利用者に注意を呼びかけるだけで、
　　　　自らセキュリティーを向上する努力が不足している。
　　　　
　　この２つの点について、総務省、デジタル庁、携帯電話会社、金融機関がどのような対策をとれば、
　　事件の再発防止に効果があるかを検証します。
　　
　　まず、マイナンバーカードのセキュリティー対策ですが、総務省、デジタル庁は、
　　ＪＰＫＩ（公的個人認証サービス）の仕組みを解説するだけで、実際の本人確認の現場での運用についての、
　　考察が不足しています。
　　今回の、 携帯の機種変更の件では、携帯ショップに、 マイナンバーカードのＩＣチップの読み取り機が無かったために、
　　氏名、住所、生年月日、顔写真で確認しました。カードは偽造で、写真は、偽造した人の写真でした。
　　ＩＣチップの読み取り機が無い場合の、本人確認のガイドラインが必要でした。ところが、
　　他人がマイナンバーを見てはいけません。カードの写しを保管してはいけませんというガイドだけで、
　　セキュリティー対策のガイドラインはありませんでした。カードの写しを保管してはいけないというのは、
　　個人情報の漏洩を防ぐ対策が万全であるという、総務省側の都合であって、利用者のセキュリティーを考慮
　　したものではありません。運転免許証であれば、写しを保管できるので、最初に携帯を購入した時の
　　写しと免許証の番号を比較すれば偽造を見破ることができます。
　　ＩＣチップの読み取り機は、ＵＳＢ接続の機器で２、０００円程度から購入可能ですが、マイナンバーカード
　　を専用ケースに入れた状態で読み取ることが出来るものは、病院に置いてあるような機器以外、あまりありません。
　　犯罪を犯す人が、ＩＣチップを読み取ろうとすると、ケースに入った状態でもスキミングできますが、
　　一般にＰＣに接続する汎用品のカードリーダーでは、物理的にケースから出さないと読み取りできません。
　　机上の空論で考えた、機能しないセキュリティー対策です。
　　民間企業ならこのような不便な仕組みでは競争に負けるので、すぐ追放されますが、行政機関の場合
　　独占なので改められません。マイナンバーカードが健康保険証として使われるようになると、
　　身分証明書として、使われる機会が増えるので、今までにマイナンバーカードが不正使用された事件を
　　隠さず明らかにすると共に、現場の担当者の不注意が原因という対応ではなく、
　　実際に利用者のセキュリティーが担保される仕組みをガイドしなければなりません。
　　健康保険証とマイナンバーの紐付けに間違いがあった件も、マスコミが問題にしていた間は、
　　中央省庁から発表がありましたが、問題がないことを確認したと言う発表がないまま、
　　強制的にマイナ保険証に移行しようとしています。
　　通底する発想は、患者の発言を途中で打ち切った環境大臣と同じだと思います。
　　利用者や患者のことを考えることができなくて、急遽、あやまりに行くことを決めたのは、自分が批判されたので、
　　対処が必要だと考えただけです。
　　
　　携帯電話ショップの対応にも問題があります。住所と離れた場所で、しかも古い機器を無くしたから、
　　機種変更したいというのなら、通常以上に厳重な本人確認を行うべきでした。
　　新しい機器を現住所にしか郵送できないことにすれば解決します。旅行中に携帯電話が必要だということなら、
　　機能を限定した機器を貸し出すなど、携帯電話会社が本気でセキュリティー対策を考える必要があります。
　　個人情報の保護と関係するので、携帯電話ショップで独自の規定を作るのは難しいでしょうが、
　　必要な法改正も含めて、古い機器を無くした人には、遺失物届けが提出されている事を確認する規定にするとか、
　　携帯基地局へのアクセスの記録から、無くした当日の本人の行動を確認する権限がある規定にするなどの対策が
　　必要です。
　　携帯電話ショップにとって、機種変更や、他社からの移行が収入源なので、自分の店の利益を優先して、
　　利用者のセキュリティー対策が疎かになっている面があります。
　　ＳＭＳ（ショート・メッセージ・サービス）にワン・タイム・パスワードを送るというのは、
　　違法に機種変更を行われた後では、機能しません。携帯メール以外のメールにも同じメッセージを送るとか、
　　機種変更が行われた事自体を携帯メール以外のメールに通知するなど、利用者のＩＴシステムの利用状況を
　　中心とした、セキュリティー対策を取らなければなりません。
　　ＳＭＳにだけメッセージを送るというのは、携帯電話を中心とした世界でしか考えていない、
　　ＩＴシステム全体の利用状況を考慮していない、企業側の発想です。
　　ＱＲコード決済で、銀行口座からチャージできるのは便利ですが、銀行口座の出金見守りサービスと組み合わせて
　　利用するなど、ＩＴシステム全体の利用状況を考慮した利用者のためのセキュリティー対策を考える必要があります。
　　運転免許証の番号を確認する事だけで、万全のセキュリティーが実現するわけではありません。しかし、組み合わせる
　　要素の一つとしては機能します。公的個人認証サービスの仕組みが高度なセキュリティー確保の仕組みだとしても、
　　急患の人が持っていたマイナンバーカードのＩＣチップが何かの理由で読み取りできない時の手順を決めておかないと、
　　セキュリティーは確保できません。アマゾンなどのＥＣサイトでは、商品を購入するたびに取引パスワードを
　　入力するなどのセキュリティー対策はありません。そして不正がまったくないわけではありませんが、
　　購入したものを現住所に送るという仕組みが比較的安全な仕組みです。セキュリティー対策はこのように、
　　一連の業務手順のなかで、相当に高いレベルのセキュリティーが確保されることを考えなければなりません。
　　　　　　　
　　現金取引が中心だった当時は、偽札が少ない日本は、安全な国だったのですが、デジタルの時代になって
　　状況が変わってきました。　　
　　
　　話が変わりますが、駅にホームドアが設置されているところが増えています。
　　通過列車があるなどで、ホームドアがホームの端から少し内側に設置されている場合は、ホームドアが閉まった後、
　　ホームドアと列車の間に、人が取り残されていないことを確認することが重要です。ホームドアにはカメラがついていて、
　　自動的に確認するようになっています。ところが、レンズの表面が汚れたり、虫が飛んでいて、人と誤認することがあります。
　　それで列車が遅れることがありますが、安全を最優先する判断に、不満はありません。
　　また、誤認を防ぐために、レンズの表面を定期的に洗浄しています。
　　通過列車があるので、危険があり、見張りを立てるなど、面倒な作業です。そこで、ある駅で考えました。
　　各駅停車が来る時に、駅員の人が一番前で待っていて、人が乗り降りしている間に洗浄します。
　　このような現場での作業を改善する能力は、日本人は非常に優れています。ただ、このニュースを聞いて疑問があります。
　　複数のカメラで監視していて、組み合わせて判断すれば、汚れや虫と人間を見誤ることはないはずです。
　　各カメラで監視可能な範囲が異なるとか、安全を最優先するためには、列車の遅延は止む終えないのでしょうが、
　　現場の人の改善活動が素晴らしいと思う割に、ＩＴシステムやＡＩの利用で、日本が素晴らしいと思うことが
　　少ないのは残念です。
　　
　　みどりの窓口が減少して、長蛇の列ができて困っています。対面のサービスが必要だという面があるのですが、
　　モバイル・サービスの利便性に問題があるのも、原因のようです。２０年あまり前に、Ｓｕｉｃａのカードが登場
　　した時は、社会全体のＩＴの利用状況から見て優れたシステムだと感じましたが、モバイルＳｕｉｃａは、
　　その当時ほど画期的と感じません。　　　
　　
　　交通系のサービスこそ、マイナンバーカードの利便性が最大限活かせる領域だと、思います。
　　モバイル乗車券でも、会社毎に別れていて、新幹線と他の路線との乗り換え改札機の通過方法で迷う時があります。
　　携帯電話にマイナンバーカードと連携する情報が保存されていて、全国、どこの公共交通機関を利用しても、
　　携帯だけで利用できて、後から、移動した距離に応じて料金が請求され、請求した金額を
　　各交通機関に、按分するシステムがあれば、移動の利便性が大きく向上します。
　　利便性が向上するのに対して、セキュリティー上の重大な懸念はありません。
　　不正利用がまったくないわけではありませんが、カードの不正利用のように、ブランド物を購入して、
　　現金化するような、多額の不正はあまりありません。また、不正利用すると何処で使ったかの
　　文字通り、足がつきますから、発見が容易です。ＩＴシステムのセキュリティーの技術以前に、
　　業務として、大きな利用者の利便性の向上が期待でき、セキュリティー上の重大な懸念がないような
　　分野を選んで、マイナンバーカードを広める必要があります。
　　ＡＮＡが加盟するスターアライアンスという航空連合は、座席予約だけでなく、
　　手荷物の管理のためのＩＴハブのシステムも運用しています。
　　航空機を乗り継ぐ利用客にとって、どこの航空会社が管理するかが重要なのではなく、
　　預けてから出てくるまで自分の荷物が管理されることが重要です。また、スターアライアンスには、
　　ドイツ鉄道も加盟しており、日本からフランクフルト経由で、高速鉄道を利用してドイツの各都市までという
　　予約が可能です。運ぶ会社が、エアラインか鉄道かが重要なのではなく、出発地から目的地まで
　　旅行の計画を立てて予約できることが重要です。
　　
　　ＪＲ東日本が、楽天銀行と連携して金融サービスを初めました。ネット銀行の楽天銀行にとって、
　　駅の改札の前という超一等地にＡＴＭを設置できるメリットは非常に大きいです。
　　ＩＣ乗車券が広まっても、券売機を無くすことができない鉄道会社にとって、券売機で入金されたお金を
　　銀行まで運ぶ代わりにＡＴＭで出金するメリットは無視できません。ＡＴＭと券売機は共用のデバイスにできます。
　　そして、ＪＲＥバンクのポイントにもビジネスの秘訣が感じられます。
　　旅客輸送サービスは、在庫が効かないので、ピーク時に合わせて設備投資する必要があります。
　　しかし、一旦空席で走り始めると、売上には貢献しません。商品廃棄損です。
　　通常ポイントを付与すると、負債に計上し、ポイントが使われた時に売上原価が発生します。
　　しかし、ポイントを利用者が少ない空席がある時間帯に利用してもらえれば、企業全体でみれば追加の売上原価は発生しません。
　　個人情報は保護した上で、どのような人がＪＲＥバンクのポイントをいつどこで利用しているかの情報を
　　取得すれば、ポイント付与率を高くしても、企業全体でみれば追加の売上原価は発生しません。
　　評判が良ければ、宣伝報告費に支出するのとポイントを付与するのとどちらか経営効率が良いかという
　　分析も行う価値があります。
　　ＩＴ技術は、このように人間が分析すれば経営に資する事でも、人件費を考えたら実施できないようなことを
　　ＩＴシステムで行うという、コンビニでＰＯＳシステムを導入した時のような、古典的と思われる使い方
　　をした時に生産性を向上するという面が今もあります。
　　ガバメントクラウドやマイナポータルのシステムを見る時、これとまったく逆の価値観で運用されているのでは
　　ないかという疑問があります。確認したわけではありませんが、現状で順調に行われている、
　　健康保険証を利用した病院の受付のような業務をデジタル化すれば、失敗がなく、企画した中央省庁の
　　評価があがるという価値観のように見えます。現状の業務に問題があって、利用者の不満が溜まっているような
　　業務や、まったく新しい付加価値を生み出すような業務をデジタル化してこそ、
　　多少の不具合を受け入れてでも業務のデジタル化が必要だという利用者の理解が得られます。
　　　　
　　そして最後に、セキュリティー上の不安を払拭し、マイナンバーの利用を促進するには、今回の、携帯乗っ取りの
　　犯人を検挙し、事件の背景を明らかにすることが、必須です。