防衛省はワクチン予約システムの欠陥を知っていた

ワクチン予約サイトへの不正アクセスをアエラや毎日新聞が報道した件は、ネット上で大きな波紋を呼んでいる。予約サイトの脆弱性を批判する意見がある一方、岸防衛相は朝日新聞出版社と毎日新聞社にツイッターで抗議し、加藤官房長官は記者会見で「悪質なケースについては法的措置をとることも排除していない」と答えた。

現行法では架空予約は防げない

それに対して毎日新聞は「事実であれば放置することで接種に影響が出る恐れもあり、公益性の高さから報道する必要があると判断」したと開き直っているが、官房長官も指摘するように不正アクセスは犯罪(偽計業務妨害)であり、これは公益性や報道の自由とは別の問題である。

これを野党は「報道の自由を否定する脅しだ」と批判しているが、お門違いである。岸氏も認めているように、マスコミの指摘しているような欠陥は最初からわかっていたのだ。彼は報道の翌日ツイッターでこう書いている。

もともとワクチン接種は市町村単位でやる予定だったが、接種が滞って1000万本以上も余り、自衛隊が大規模接種をすることが決まったのが4月下旬。予約の受け付けの始まる5月17日まで3週間で、毎日1万5000人の予約を受け付ける予約サーバをつくらなければならない。民間だとありえない仕事である。

こういうとき二重予約や不正予約を防ぐためには本人確認が必要だが、今回の接種はもともと市町村でやることになっていたので、接種券番号は市町村ごとにバラバラで重複している。それを東京センターは1都3県に拡大したため、データに整合性がない。

これは岸氏もいうように、最初からわかっていたことである。防衛省が各市町村の接種券番号を集計して予約番号と照合することはできないし、自衛隊が独自に個人情報を収集することもできない。それなら誰でも予約できるシステムにして、会場で接種券によって本人確認しようと割り切ったわけだ。

存在しない市区町村コードや日付で入力できるのは単純なバグなので改修できるが、接種券番号の照合は技術的に不可能だ。つまりこの予約サーバは最初から架空の予約を防げない仕様であり、それは法改正しない限り変えられない。この欠陥は防衛省もシステム開発者も知っていたはずだ。

マイナンバーを国民IDとして位置づけよ

これは予約システムの本質的な限界なので、マスコミが報道しなくても、ネットユーザーが見つけていたずらする可能性がある。北朝鮮の工作員が、大量に架空予約をして接種を妨害することも防げない。それは防衛省もわかっていたから、報道の翌日すぐ大臣がツイッターで異例の警告をしたのだ。

不正アクセスが技術的に防げないときは、逮捕や起訴などの法的手段で防ぐしかない。これは偽札が技術的に防げないため、法的に禁止しているのと同じである。アエラや毎日新聞のやったことは、偽札をカラーコピーして「偽札はこんなに簡単につくれる」という記事を書くのと同じで、まったく公益性はない。

こういう問題が起こる根本的な原因は、日本には国民IDがなく、個人情報がバラバラに管理されていることだ。マイナンバーを使えば、市町村が接種券番号を振らなくても、政府が機械的に65歳以上に接種日を割り当てて通知し、それに返事を出した人が打てるようにすればいい。早い者勝ちの予約システムにするから、電話が混雑するのだ。

しかし現在の法律では、市町村がマイナンバーを使う用途は限定列挙され、ワクチン接種はその例外として認められるだけだ。自衛隊がマイナンバーを使うことは認められていない。それを可能にするには行政個人情報保護法の改正が必要で、何ヶ月かかるかわからない。

こういう問題は、非常事態では今後も考えられる。そのためには個人情報保護法を全面改正し、国民の生命を個人単位で守るシステムを整備する必要がある。まず緊急に必要なのは、マイナンバー法を改正して全国民にマイナンバーカードを配布し、それを国民IDとしてすべての役所で利用できるようにすることだ。