ワクチンパスポートパブリックコメント要請に対する返答

デジタル庁からのワクチンパスポートに関するパブリックコメント要請が出ていたのでそれに返答しました。以下はそのコピーです。記録のために収録しておきます。

短期間の間に簡潔な仕様をおまとめいただきありがとうございます。
【海外渡航分】

  • 海外渡航分に関しては、ICAOの規定が世界で通用するようになることが想定されますので、この採用には賛成です。
  • 取得に関しては、OCR読み取りを想定されておられますが、実際にやってみるとパスポートのICカードも比較的簡単に読めます。しかもこの場合署名検証もでき、データとしての顔写真も取得可能です。これは実は利用者にとっても検証者にとっても使い勝手が良いと思っています。

【国内分】

  • 国内分もSmartHealth Card (SHC)ベースということで国際規格に配慮していることが感じ取れ好感が持てました。
  • 一方で、いくつか気になった点がありますので以下記載いたします。
  • ICAOから鍵取得ができる海外渡航分と違い、国内向けの記載の内容からは当該SHCの検証に使う鍵をどこから取得するのか、発行者の正当性をどのように確認するのかがわかりませんでした。米国のSHCの場合、この辺りはトラストフレームワークとして別途策定するというようなことであろうかと思います。したがって、日本での実装のための規格である本書でも、そこを明確化する必要があると思われます。この時に、署名者のリストと鍵は誰でも取得できるようにしていただければと思います
  • また、SHCではVerifiable Credential(VC)は使いますが、Verifiable Presentationが定義されていません。そのため、VCのメリットとしてよく言われる選択的属性提供が実現できません。結果、二次元バーコードに含まれる情報は常に全て店舗に渡ってしまいます。海外渡航用は全提示でも、そもそも国境検査における使い方が想定されるものなので問題は少ないのに対し、国内利用を想定する場合、提供対象が不特定多数になりますので望ましくありません。
  • 加えて、顔写真など肉体と情報を結びつける情報がないため、ワクチン接種証明書を貸し出すことも可能です。結果、得られる果実は、1) ワクチン非接種者への社会的圧力としての機能に期待して実際の店舗等での接種の証明性には目を瞑る、2) 顔写真付きの身分証明書の提出を同時に求めることによって実効性を担保する、のどちらかになるように思われます。実際、欧州では国によっていずれかの対応になっているようです。後者は当然より大きな過剰提供問題を産んでいます。
  • この属性の過剰な提供問題は、米国のSHCにせよ、欧州のDigital Green Certificate (DGC) にせよ共通します。これは、それぞれの域内での雑多な事情を鑑みて、最大公約数的な規格にしたため、もっと言うと紙を前提としたためと考えられます。
  • しかし、日本においてはマイナンバーカードを必須としていることから、対象人口にはより効果的なソリューションも提供可能かと思います。これは、ICカードから券面記載事項である顔写真を抜き出し、これとワクチン情報を共に署名付きで保存することによって接種情報と肉体情報を結びつけるというものです。
  • 店舗などの受け取り手には、状況に合わせてエンコーディングして渡す形になります。出し手、受け手共にネットワーク接続ができる場合には、ISO/IEC JTC 1/SC 17や米国DHSで検討されているSelf-Issued OpenID Provider (SIOP)方式などが考えられるでしょうし(方式1)、受け手のみがネットワーク接続できる場合には、NFCないしQRコードでアクセス用のワンタイムコードと情報の格納先を引き渡し、そこから情報を取得することも考えられます(方式2)。最後のどちらもネットワークに繋がらない場合は仕方がありませんから、顔写真の検証は諦めるフォールバックも用意(方式3)しておけば、これらで大半は、{顔写真, ワクチン名, ワクチン有効開始日, 発行者, 発行日, 発行者署名}の提供だけで事足りるはずです。
  • これによって、氏名や生年月日やこれと組み合わせることでスーパークッキーとなり得るロット番号などの提供はしないですみます。(顔写真の提供は、本人がそこにいるのですからプライバシーインパクトは少ないと考えられます。なお、検証に使われるクライアントの認証と、正当なクライアントのリストは必要です。)

【接種情報取得API】

  • 接種券番号と生年月日は確かに簡便ですが、やり方によってはこれは生年月日という人によってはセンシティブな情報を予約サイトに入力させることになるように思われます。そもそもこれだと認証も何もしていないことになりますし、この場合のセキュリティターゲットはどうなっているのでしょうか?場合によっては単に接種券番号だけでも目的は達せられるように思います。
  • もしこれが上記の二次元コード付き証明書を前提にしている場合は、上記の(方式1)のようなものを使うことによってより確実な情報提供が可能になると考えられます。

【全体に対して】今回の資料は大変簡潔であり感銘を受けましたが、一方では以下のことが不明であります。

  • ステークホルダーの一覧(衛生当局, 本人, 店舗等)
  • ステークホルダーの関心事
  • セキュリティ目標(本人以外が提示していたら検出できる、発行者を確認できる、改ざんを検知できる等)
  • プライバシー評価(そのサービスにおいて元々提供されていたもの以上の、ワクチン有効期間内か以外の個人を選別することに使える情報を追加で提供していないかなど)

こういったことの記載があれば、より適切なコメントができたと思います。最終版の発行に当たってはこうしたことも合わせてまとめていただければ幸甚です。

コメントを残す

メールアドレスが公開されることはありません。

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください