コロナワクチン

ワクチン接種予約管理システムのセキュリティ対策

最終更新日:2021年3月19日

この記事は、音声認識システムやLINEミニアプリなどの先端システムを使って、『お問い合わせ革命』を実現する株式会社サイシードが作成しています。

代表 松尾
サイシード代表の松尾です。
今週、LINEアプリの取り扱いについて報道がされており、自治体様からの問い合わせも頂いております。
情報取得の仕組みについて説明するとともに、システムのセキュリティ対策についても詳しくお伝えします。

急ぎ見積もりが必要な方は、こちらのフォームよりお問い合わせください。
>>ワクチン接種予約システムの予算お見積りフォーム

また、弊社サイシードが提供する予約管理システムに関する情報は全てこちらのページにまとめているので、合わせてご確認ください。

LINE公式アカウントを使用することによる影響

セキュリティ関係で自治体の皆様が一番気にされることとしては、
「LINE公式アカウントを使用することで個人情報が流出するのではないか?」という点ではないでしょうか。
今回一連の報道で出ている内容は、弊社の予約管理システムおよび住民向けサイトに一切影響はありませんので詳しく説明します。

LINEアプリに関する報道の経緯

まず報道の経緯を簡単におさらいします。
1,3/17に日経新聞から「中国の関連会社の従業員が国内サーバーにある個人情報にアクセス可能な状態だった。」という報道がされました。

2,その日中にLINE社からプレスリリースが提出され、情報流出の類ではないと説明されています。

3,そして、3/19にNHK NEWSで「総務省から行政サービスにLINEを活用しているすべての自治体に対し、3月26日までにLINEの利用状況を報告するよう依頼した」と報道されて今に至っているかと思います。

[21/3/17 日経新聞]LINE、個人データ管理不備で謝罪 中国委託先で閲覧可能
[21/3/17 LINE社] ユーザーの個人情報に関する一部報道について
[21/3/19 NHK NEWS] LINEでの行政サービス停止 総務省

LINE公式アカウント経由のデータが保存される場所

まず結論として、弊社の予約サイトで登録される情報は、LINE社のサーバーには一切保存されず、全て弊社のサーバーに保存されます。

LINE社のサーバーとサイシード社のサーバーに保存される情報

LINE公式アカウントは大きく、「トーク」エリアと「リッチメニュー」エリアに分かれます。
弊社の予約システムはリッチメニューからリンクしたwebサイトを開くことで利用するので、トークエリアは使用しません。
また同様に、AIチャットボットもwebページ上で利用するものでありLINE公式アカウントのトークエリアを使用しません。
したがって、弊社のサーバーに登録される情報とLINE社のサーバーに保管される情報は完全に独立しており、連携しておりません。

【補足】LINE公式アカウントのトーク画面を使って、情報の入力や予約操作を行うシステムの場合、登録情報はLINE社のサーバーにも保存されます。
その場合でも、「中国への委託はしていない」と下記のリリースで明言されています。

[21/3/17 LINE社公共政策・ CSR 担当] ユーザーの個人情報に関する一部報道についてのご説明と「LINE 公式アカウント」におけるデータの取り扱いについて(pdf)

サイシードのサーバー管理体制

次に気になるのは、弊社サイシードのサーバーの管理体制についてかと思います。 仕様書にも明記しておりますが、改めて記載いたします。

●サーバー所在地
弊社はアマゾン社が提供するAWSを利用しており、データセンターはAWSの東京リージョンを使用しております。
本番環境、テスト環境、バックアップ含め全て東京リージョンに保管されています。

●アクセス権限
自治体ごとの情報には弊社側からはアクセスしません。
またDBにアクセスできる権限を持つのは自社社員のうち限られた技術者のみであり、外部委託や派遣社員がアクセスすることは出来ません。

●海外からのアクセスの遮断
不正アクセスのみならず海外からのアクセスについては、Web Application Firewall(WAF)で遮断しております。

ワクチン接種予約システムの3種類のログイン機構

サーバーに関して説明を行ったので、次にシステムについてのセキュリティ対策を説明していきます。
ワクチンを接種するためには住民票がある住所に送付される「接種券」が必要になりますが、接種券情報の扱い方によってシステムのログイン機構は3種類に分けられます。

そしてそれぞれに、メリットデメリットがありますので、本章でわかりやすく説明します。

1, 接種券と予約情報紐付けないシステム

接種券の情報をログインに利用しない方法です。
通常の予約サイトのように新規で会員登録を行います。フォームの入力項目として接種券番号を入力することがあってもアンケートと同じような扱いで、それを認証情報としては利用しません。

当日、接種会場に訪れた際にはじめて接種券番号が有効かどうか/本人かどうかを確認する運用になります。

【メリット】
・セキュリティ対策を考える必要がない

【デメリット】
・会場の受付で有効な予約かどうかを確認するのに手間がかかる
・接種実績を管理できないので、細かい接種制限ができない

2, 接種券番号と生年月日をIDとパスワードにする方法

この方法が最も一般的かと思います。
郵送される接種券に、接種券番号と生年月日が記載されているので、それをログインIDとパスワードに対応させる方法になります。

【メリット】
・会員登録の手間がないため、ユーザーとしては楽
・問い合わせがほぼ発生しないので対応が楽
・確実に有効な接種券でないと予約できないので会場での確認がスムーズ
・接種実績の管理ができて、細かい接種制限ができる

【デメリット】
・最初にシステムに有効な接種券情報を登録する必要がある
・接種券が連番で、生年月日も数千パターンしかないので第三者がログインするのが容易

3, 接種券番号と生年月日を初期ID、パスワードにするがログイン後に変更する方法

2つ目の方法のデメリットである第三者ログインを防ぐための方法です。
初回ログイン時に、IDとパスワードを両方とも変更するかパスワードを変更することで、不正ログインを防ぎます。

【メリット】
・確実に有効な接種券でないと予約できないので会場での確認がスムーズ
・接種実績の管理ができて、細かい接種制限ができる
・セキュリティ水準が高い

【デメリット】
・最初にシステムに有効な接種券情報を登録する必要がある
・パスワードを忘れたユーザーからの問い合わせがコールセンターに来る

不正ログインされた場合に考えられる問題点

前の章ではログイン機構から見たシステムの種類について説明しましたが、ここでは不正ログインされた際に起こりうる問題点について1つずつ考察していきます。

1, 他人のアカウントで勝手に予約をする、キャンセルをする愉快犯

まず、イタズラ目的で勝手に予約・キャンセルをする場合です。
当事者からしてみれば迷惑な話ですが、再度予約をすればよいし会場で対応できるので大きな問題ではありません。

2, 他人になりすまして接種をしようとするケース

接種会場では接種券と本人確認書類で本人確認をするので、他人のアカウントで予約したからといって、ワクチンを接種することは出来ません。

3, 個人情報取得目的の大規模攻撃

この場合、予約システムに登録されている個人情報(+ワクチンを接種しているかどうかという若干センシティブ情報)が流出してしまうことになります。
自治体は更なる流出を止めるべく、サイトを閉じるという判断が必要になる可能性があります。

その場合は予約依頼がコールセンターに集中してしまうという実務的な問題も発生しますが、情報流出を起こした自治体・事業者(アウトソーサー)としてメディアで批判されるリスクもあります。
これが一番防がなければならない課題になります。

想定される課題に対するサイシードの解決策

弊社では、個人情報を取得しないことを推奨し「2,接種券番号と生年月日をIDとパスワードにする方法」で進めてきました。
しかし予想以上に個人情報を取得する自治体が増えたことから、「3,接種券番号と生年月日を初期ID、パスワードにするがログイン後に変更する方法」に変更しました。(実は、システムとしてはかなり大きな改修です)

それに合わせて、下記の対策も行います。全ての自治体に対して一律の仕様変更になります。

1,初回ログイン後のパスワード設定

接種券番号と生年月日での認証を強化する方法として、ログイン後のパスワード設定を行います。設定後は生年月日ではなく、パスワードでログインする形になります。

初回ログイン後のパスワード設定

【補足】パスワードを忘れた場合、コールセンターに連絡してパスワードをリセットしてもらう必要があります。
セイ・メイ・電話番号を取得する場合はその情報を元に確認できますが、それらを取得しない場合は接種券と生年月日のみで本人確認をすることになります。
この部分の運用フローと合わせて、弊社のシステムで取得する情報をご検討ください。

2,住民向け予約サイトの無効化機能

弊社のシステムは、異なる手段で取った予約も全て予約管理システムと住民向け予約サイトに反映されるという特徴があります。
これはとても便利な一方で、「コールセンターで登録をしたあと、第三者が住民向け予約サイトに不正に初回ログインをし、適当なパスワードを設定する」ことが可能になってしまいます。

そこで、オペレーターが個別に予約サイトを無効化(有効接種券が登録されていてもログインできない)する機能を追加します。

予約サイト無効化制御

3,マイページに表示される情報のマスク

上記の無効化を行うかどうかはオペレーターの判断に委ねられるため完璧ではありません。
そこで、もしログインを突破されても個人情報が流出しないように表示される情報を最低限にし、電話番号とメールアドレスは一部しか表示しないようにします。

マイページに表示される情報のマスク

まとめ

弊社が提供する予約システムは、一般的なWEBサービスよりも高度なセキュリティ水準にすることとしました。
というのも、自らの意志で登録する一般的なWEBサービスと異なり、接種予約システムは住民の意思に関わらず強制的に利用者になるからです。

個人情報を取得する以上、問題が起こった際には一般的なWEBサービスより強く自治体側の責任を追求される可能性が高く、未然に防ぐことが非常に重要になると判断しました。
セキュリティの強化に伴い、

  • パスワードを忘れたユーザーからの問い合わせ増加
  • マイページの利便性低下
  • 他の機能開発の後ろ倒し

というマイナスの影響が生じてしまいます。
これは当初の仕様になかったものなのでご迷惑をおかけしますが、ご理解いただければと思います。

見積もりが必要な方は、こちらのフォームよりお問い合わせください。
>>ワクチン接種予約システムの予算お見積りフォーム

『コロナワクチン接種予約管理システム』に求められる仕様一覧

ワクチン接種予約管理システムでは、迅速かつ安全に接種を進めていくために、細かい多くの要件が必要です。自治体独自で考慮し切るのは難しいと思うので、ぜひ弊社の予約管理システムの仕様書を参考にしてみてください!

この記事をかいた人

東京大学工学部および同大学院工学系研究科修了。マッキンゼー&カンパニーでM&Aや製造業での成長戦略のコンサルティングを経験。2015年に株式会社サイシードを創業。