ワクパスという民間のワクチン接種記録アプリが発表されました*1, *2。近日、リリース予定とのこと。
簡単にレビューしました。
(ワクパスのホームページより引用)
1. ワクパスとは?
ワクパスは、メディカルチェック推進機構とICheck株式会社が提供するコロナワクチン接種証明のためのアプリです。賛同企業の対象店舗やICheckのオンラインストアで特典を受けることができます。いまのところは、優待クーポンアプリとしての位置づけでしょうかね。
- ワクパスのホームページ:https://wakupass.org/
自治体が緊急事態宣言などの規制下での店舗入店条件などに利用するであろうワクチン・検査パッケージとは位置付けが異なりますが、このアプリが普及すればワクパスの接種証明も公的利用に認めることや店舗側が独自にサービス利用にワクチン接種証明を求めることがあるかもしれません。
なお、メディカルチェック推進機構は、役員名簿からするとかなり政治力がありそうな社団法人です(付録A)。この社団法人と組むと、いろいろと有利なことがあるかもしれませんね。
2. ワクパスの利用フロー
利用のフローは、①アプリをダウンロードして、②ワクチン接種記録や本人確認証明書・本人プロフィールを登録して、③接種証明・優待を利用するということです。
ワクパスの利用フロー。
これで利用方法・利用シーンは分かりますが、レビューするにはさすがに情報不足です。
利用方法のビデオもあるので、こちらからも抜粋します。
①必要なもの:予防接種済証
②必要なもの:身分証明書 (運転免許証・旅券・マイナンバーカード・在留カード)
③ワクチン接種日とワクチンメーカーを入力、接種済証を撮影
④本人確認書類を撮影
また、ITmediaの記事には、次の記載があります。
iCheckによると、登録時にアップロードされた個人情報、本人確認書類、接種証明書を基に目視で本人確認するという。本人確認書類は暗号化を施したクラウド上に画像として保管。スマホを機種変更した際の確認や、「CommonPass」などワクチン接種記録アプリとの連携、ブースター接種時の本人確認の他、クーポン提示時にアプリで表示される顔写真データとしても利用する。クラウドサービスはAWSを採用。本人確認書類、接種証明書ともにテキストデータ化はしないという。
https://www.itmedia.co.jp/news/articles/2110/06/news120.html
3. ワクパスではなりすましは簡単
基本的に紙の券面(予防接種済証と身分証明書)を目視でチェックしているだけなので、破り方は簡単です。紙の券面を偽造すればよいです。
偽造しやすいのは、予防接種済証でしょうね。ワクチン接種した人から、接種済証を借りてきて、氏名・住所・生年月日を身分証明書と一致するように偽造すればよいでしょう。スキャンして、ちょこっと編集して、プリントアウトで十分ですかね?接種済証の偽造は、身分証明書を偽造するよりは簡単と思いますが、どうせなら、両方とも偽造して架空の人物になるという手もあります(笑)。
もちろん、両方とも犯罪ですから、やっては駄目ですよ。
このため、ワクパスは、政府が行うような規制のための証明書としては使い物になりませんし、使ってはなりません。この目的のためには、政府が作る予定のSMART Health CardsベースのスマホQRの接種証明*3, *4を使うべきでしょう。
4. ワクパスのセキュリティを向上させる
優待クーポンぐらいなら、わざわざ偽造してまで、ワクパスを使う人もいないでしょうから、この程度のやっている感だけの接種証明でもよいのかもしれません。
とはいえ、次の二つの対策をすれば、なりすましに対する耐性を大幅に向上できるでしょう。
① ワクチン接種記録システム(VRS)に問い合わせて、接種申請内容の検証を行う。
② 公的身分証明書の電子データを読み取る。
4.1 VRSデータの利用
デジタル庁は、民間事業者のためにVRSアクセスのためのAPIを作りますので、VRSデータから接種データを入手して、データの真正性を検証をすればよいでしょう。現時点では、VRSデータを利用できないので、仕方がないですが、近いうちに民間に開放されるでしょうから、そのときには利用すべきでしょう。
現状のVRSのAPI仕様では、接種券番号と生年月日を使って、VRSデータにアクセスします。生年月日と身分証明書の整合性をチェックすれば、生年月日が同じ人から、ワクチン接種券番号を借りてこないといけないので、なりすましのハードルが高くなります。
但し、VRSから得られる情報は、最終接種回数と最終接種日だけです。これ以外の情報(1回目、2回目のワクチン接種日とワクチンメーカーなど)を登録したい場合には、その入力をユーザにしてもらう、その内容が正しいことを確認したいなら、接種済券の券面と入力データを(目視、半自動などで)比較して確認することが必要になります(が、そこまでやる必要ありますかね?)。
4.2 身分証明書の電子データの利用
接種券の生年月日が偽造できないとなれば、身分証明書の生年月日を偽造すればよいということになりますが、これは、次の対策で防げます。
ワクパスで認めている身分証明書は、運転免許証・パスポート・在留カード・マイナンバーカードです。これらの身分証明書には、既にICチップが入っていて、券面情報を電子的に読み取れます(付録B)。電子署名を使って読取データの真正性を検証することもできます。
ICカードが偽造困難とすれば、この電子データとして登録されている氏名・生年月日・住所等の真正性が保証されます。
これで、生年月日が同じ人のワクチン接種券を偽造したなりすましを除いて、なりすましを防止できると思います。
それでも、ワクチン接種券番号と生年月日の組み合わせを公開や販売する裏サイトなどができたら、破れるでしょう。まあ、ワクパスのためにそこまでやる人はいないと思いますが、政府版のワクチン証明の場合は、どうなるかは良く分からないです(たぶん、ないと思いますが、あることを想定してシステムは構築しないといけないです)。
但し、ICチップの情報を読み出しは難しくないと思いますが、ユーザーがICカード読み出しのためのパスワードを忘れているという問題はあるでしょう。
試しに後述のIDリーダーを使ったときに、運転免許証の暗証番号*5を要求されたのですが、設定したことすら忘れていました。全く使わないですからね。
4.3 マイナンバーの法規制
現状のワクパスでは、カードの表側だけを使えば、裏面のマイナンバーを取得しなくて済むので、マイナンバー法*6, *7に抵触しないと思います。
しかし、マイナンバーカードのデータを電子的に読み出すと、マイナンバーも読み出せてしまいます。厳しく利用制限されているマイナンバーの規制に違反する可能性がありますので、導入検討の際には、担当官庁に相談する方が良いかもしれません。
4.4 不毛な目視チェックは不要
身分証明書の電子データとVRSデータを用いれば、事業者側では送られた券面データを目視でチェックするという不毛な作業をする必要はありません。
さらにいうと、事業者としては、券面データも、VRSデータも保有する必要はなく、すべてアプリ単独でスマホ用接種証明を作れるはずです(VRSへのアクセスAPIにも依存する)。事業者側は、サービスに必要な個人データだけをアプリから送信してもらえばよいことになり、もしかしたら、マイナンバーの規制も回避できるかもしれません。
5. 最後に
ワクパスアプリは、作り直し。以上。
(あくまでも個人的な感想です)
(2021/10/16)
(追記:2021/10/28)
東京都が 「TOKYOワクション」というワクパスと同様なサービスを開始します*8, *9。接種済証と身分証明書の写真をアップロードして、目視確認する点も同じです*10。スマホアプリではなく、LINEを使います。
(追記:2021/10/28)
ワクチン接種記録システム(VRS)へ民間事業者がアクセスするためのAPIは、ペンディングになりました*11。民間事業者がスマホのワクチン証明をしようとすると、接種済証と身分証明書の目視確認をする必要がありそうです。不毛です。
関連記事
付録A:社団法人メディカルチェック推進機構
ホームページによれば、社団法人メディカルチェック推進機構の主な事業内容は、次の3つです。
① 国民の健康診断の受診率の向上のための活動
② 子宮頸がん検査の普及・啓発
③ 感染症対策の充実
ホームページはスカスカで事業報告書なども公開されていないので、法人規模や事業規模、具体的な事業内容はさっぱり分かりませんが、役員名簿を見ると、なんか凄そうな社団法人であることは分かります。
- 最高顧問:石原 信雄 (元内閣官房副長官、元自治事務次官)
- 最高顧問:小長 啓一 (元通商産業事務次官、元総理大臣秘書官)
- 最高顧問:古川 貞二郎 (元内閣官房副長官、元厚生事務次官)
- 最高顧問:國松 孝次 (NPO 法人 救急ヘリ病院ネットワーク会長、元スイス大使、元警察庁長官)
- 会長 :横倉 義武 (日本医師会名誉会長、前日本医師会会長、元世界医師会会長)
- 副会長 :鳥井 信吾 (サントリーホールディングス株式会社代表取締役副会長)
- 理事長 :香山 充弘 (一般財団法人 地方債協会会長、前自治医科大学理事長、元総務事務次官)
- 専務理事:鶴谷 明憲 (プルデンシャル・ホールディング・オブ・ジャパン株式会社 顧問、元警察庁近畿管区警察局長)
- 理事 :羽毛田 信吾 (社会福祉法人 恩賜財団 母子愛育会 会長、元宮内庁長官、元厚生事務次官)
- 理事 :安藤 隆春 (三井住友海上火災保険株式会社 顧問、元警察庁長官)
- 理事 :宿利 正史 (一般財団法人 運輸総合研究所 会長、元国土交通事務次官)
- 理事 :岡本 保 (一般財団法人 自治体国際化協会 理事長、元総務事務次官)
- 理事 :小笠原 倫明 (一般財団法人 マルチメディア振興センター理事長、元総務事務次官)
- 理事 :二川 一男 (株式会社日本ヘルスケア総合研究所 上席研究員、元厚生労働事務次官)
- 理事 :三浦 公嗣 (慶応義塾大学教授、元厚生労働省老健局長)
- 理事 :石井 伸一 (城西国際大学大学院 准教授、早稲田大学総合研究機構 招聘研究員)
- 理事 :大西 壯司 (一般社団法人 日の出医療福祉グループ 代表理事)
- 理事 :有岡 和彦 (ジャパン・メディカル・リーフ株式会社 社長)
- 監事 :島田 邦雄 (島田法律事務所代表パートナー弁護士)
- 監事 :井上 宜也 (一般社団法人 地域総合整備財団 参与、元総務省自治財政局室長)
- 広報アドバイザー:村田 博文 (株式会社 財界研究所 社長・主幹)
これだけの大物役員を抱える社団法人をググっても、今回の発表ぐらいしかでてこないのは、なぜなんでしょう?謎です。
付録B:公的身分証明書の電子データの読み出し
マイナンバーカード等の公的身分証明書を用いたサービスのための開発環境は多数あります。適当に検索しただけでも、以下のものがありました。
- OSSTech社のLibJeID:https://www.osstech.co.jp/product/libjeid/
- cybertrust社のiTrust: https://www.cybertrust.co.jp/itrust/*12
- Liquid社のeKYC:https://liquidinc.asia/liquid-ekyc/ekyc-products/
- NTTデータのBizPICO:https://www.nttdata.com/jp/ja/lineup/bizpico/
このうち、個人でもお試しで使えるのは、OSSTech社のLibJeIDを使ったスマホアプリです。実際に運転免許証とマイナンバーカードで試してみましたが、ちゃんと読み取れました。署名検証もできるようです。
パスポート・在留カードについて検証していません。
パスポートについては外務省が公開鍵を公開しないなど少し苦労していたようですが*13、いまはどうなっているのでしょうかね。
IDリーダーによるマイナンバーカードと運転免許証の読取・検証結果。
LibJeIDのライブラリ機能
OSSTech社のLibJeIDライブラリの機能*14
LibJeIDを使ったスマホアプリ「IDリーダー」
Google PlayでのIDリーダーの説明*15
AppStoreでのIDリーダーの説明画像
*1:PRTIMES「メディカルチェック推進機構とICheck、ワクチン接種記録アプリ「ワクパス」の共同提供を発表」(2021.10.6).
*2:ITmedia「民間初のワクチンパスポートアプリ「ワクパス」 接種証明でアパホテルやかっぱ寿司など優待に」(2021.10.6).
*3:デジタル庁「二次元コード及びAPIの仕様」(2021.9.22).
*4:時事随想「【コロナ】 デジタル庁のワクチン接種証明のAPI仕様をざっとみた。残念!」(2021.10.3).
*5:警察庁「ICカード免許証-運転免許証がICカード化されました!」.
*6:内閣府「マイナンバー(社会保障・税番号制度)-マイナンバー法」.
*7:e-GOV検索「行政手続における特定の個人を識別するための番号の利用等に関する法律」.
*8:東京都「新型コロナウイルスワクチン接種促進キャンペーン「TOKYOワクションアプリ」を開始します(第2581報)ワクションアプリに賛同する事業者を募集します」(2021.10.15).
*10:TOKYO MX「飲食店での「接種証明」提示のルールは? 東京都、5人以上のグループに提示求める」(2021.10.28).
*11:デジタル庁「「コロナワクチンの接種証明書(電子交付)の仕様に関するご意見」の取りまとめ結果を公表しました」(2021.10.19).
*12:cybertrust「サイバートラスト「iTrust 本人確認サービス」を拡充し、犯収法に対応した IC 身分証での券面情報の真贋判定を API で実現」(2020.7.1)
*15:OSSTech「IDリーダー(マイナンバーカード、運転免許証、パスポート、在留カード)」Google Play.