プロジェクトオーガナイザの吉田聖書です。
5月23日に福島市がプレスリリースを出しまして、マイナポイント支援窓口において、公金受取口座に別人の情報を登録するミスがあったと発表しました。
マイナポイント支援窓口における公金受取口座の誤登録について
(2023/5/23 福島市デジタル 推進課デジタル推進係)
この事故についてはニュースも聞いて知っていたのですが、「マイナポータルからログアウトしなかったため」と言っていて、断片的に聞いただけではどうしてミスが起こったのか、そのメカニズムが全く理解できなかったので、ずっと気になっていました。「そんなことある~?」「ネットカフェでやったのか?」など、様々な疑問が湧いてきます。今回改めてプレスリリースを読み込みましたので解説してみたいと思います。
これ、全ての自治体にあるわけではないと思うんですけれども、少なくとも福島市では「マイナポイント支援窓口」というコーナーを市役所とか支所に設置していて、マイナポイントの申込みとか、マイナンバーカードを健康保険証として利用するための申込みとか、公金受取口座の登録などの手続きが一人でできない人向けに、その手続きを職員がサポートしているようです。まあ、お年寄りだと一人では難しいですよね。
で、今回ミスが発生した公金受取口座の登録なんですが、役所のシステムで職員が登録するのではなくて、マイナポータルを使ってあくまでも市民が自分で操作するのを手伝うというスタンスのようです。まず個人的にはここが違和感ありました。そして、おそらくなんですけれども、窓口にはマイナポータルに接続するための専用端末というか共用端末があって、その端末を使って職員が市民にマイナポータルにログインしてもらって、職員のガイドの下で公金受取口座の登録を市民が自ら行うようです。
ところが、職員のガイドの下で公金受取口座を登録したその市民が、マイナポータルからログアウトしないままで、次の市民が公金受取口座の登録にやってきて、そのまま、つまり前の人のアカウントでログインしたままのマイナポータルで、自分の銀行口座を前の市民の公金受取口座に登録してしまったということです。そして、そのような事例が4件あったということがプレスリリースに記載されています。
※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。
これ、悩ましいのが、最近採り上げていたコンビニの証明書交付サービスにおける事故の場合はシステムの不備でしたが、今回はシステムの不備ではなく、使い方の問題(運用の問題)だということです。いわゆるヒューマンエラーというやつですよね。エンジニアやベンダーとしては、作ったシステムがどう使われるかはなかなか想定できないし制限もできない。それが社内システムではない一般公開システムの難しさです。
なので、プレスリリースにも書かれているように、再発防止策はマニュアル通りに運用してもらう、それに加えて作業後の確認をしっかり行う…という極々当たり前の対応に終始せざるを得ません。それだと限界があると思うんですよね。そこで仮に、マイナポータルがこのような窓口で共用端末で利用されることを想定した安全策を、ここは一旦採算度外視で純粋に技術的な観点から考えてみたいと思います。
マイナポータルをパソコンで使うには大きく2つのログイン方法がありまして、それはカードリーダーを使う方法、そしてQRコードを専用アプリで読取る方法です。ここでは窓口利用を想定しますから、PCと一緒にカードリーダーも設置しておけばいい話ですので、カードリーダーでログインする方式に限定します。
で、利用者はマイナンバーカードをカードリーダーの上に置いてログインするのですから、例えば、マイナンバーカードをカードリーダーから外した瞬間にログアウト処理を走らせると良いかと思います。そうすれば、利用者が手続きを終えてマイナンバーカードを持ち帰ってしまえば、その時点でもうその利用者としての操作はできないので、今回のような事故は防げることになります。
補足ですが、カードが外れるのが意図していない場合もあるでしょうから、ログアウトせずに画面をロックするだけにして、その状態であれば職員が強制的にログアウトもできるような仕組みにしておくということも考えられます。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。