マイナンバーカードについて語るならば

暗証番号なしの「マイナンバーカード」に意味はある？　カギは「券面情報」

マイナンバーカードを用いたオンライン本人確認（eKYC）の手法とは？ | コラム・記事 | ソリューション／製品・サービス | DNP 大日本印刷

目視確認モードを御存知？

暗証番号なし目視確認でオン資確認すると言い出してますから、その場合電子証明書は使わないのでは？ https://t.co/KXag9WzhTX

— daiot (@daiot) August 11, 2023

　今は何系とかに関わらず色んな情報がネットで調べられますから、マイナンバー制度について語るならば法律や行政の仕組みについて調べる必要がありますし、マイナンバーカードについて語るなら多少は技術的なことを調べる必要があります。

　そうでないとつい頓珍漢なことを発言してしまい、後で恥を書くことになりかねません。

　さて、暗証番号なしのマイナンバーカードが発行され、目視確認が行われるとすると電子証明書、利用者証明用電子証明書は不要になるのでしょうか？

支払基金

　物凄くシンプルに、答えはノーです。

　現状においてもいざマイナンバーカードで本人確認しようとして暗証番号がロックされていた場合など、目視確認モードを利用して本人確認することができますが、この際もマイナンバーカードのICチップ内の利用者証明用電子証明書を利用しています。

／
📢11月から「#暗証番号 不要の #マイナカード」の受付・交付開始～‼
＼

✅#顔認証 入力が難しい場合は、受付職員が #オンライン資格確認 の #目視モード を立上げ、カードに記録されている顔写真と一致する本人であ ることを目視で確認することにより、オンライン資格確認が可能‼#オン資 pic.twitter.com/R0iUnmlJMF

— 『医科点数表の解釈』編集部　(株)社会保険研究所 (@ika_kaishaku) August 7, 2023

※ちなみにこの元ネタの平野啓一郎さんは、16進法のシリアル番号と四桁の暗証番号によるID・パスワード方式でのログインを想定してツイートされてないですかね。PKIで調べていただくと良いかもしれません。

　

https://wa3.i-3-i.info/

　というよりもこの手の人たち、そしてこの記事を読んで「ふーん」と立ち去る人たちは何故自分で一ミリも調べようとせず、思い込みで突き進むんでしょうか？

　なにか何文字以上文字を読んだら死ぬという難病にかかっているのでしょうか？

　オンライン資格確認に言及するのに健康保険法を読まないというのはどんな神経ですか？

　番号法、住基法も読まないで、なにを賛成反対しているんですかね。

　まず調べましょうよ。

　調べてから文句を言いましょう。

　でないとあほと一緒にされるのが我慢ならない人が離れていきます。

　

マイナンバーカードがなくてもオンライン資格確認できる？　

オンライン資格確認はマイナンバーカードがなくても可能。つまり、トラブルを起こすだけのプラスチックのゴミ https://t.co/qUpVadViTr pic.twitter.com/M66F3AmjF2

— ビキタン (@amagayeal) August 8, 2023

　この「できる」の意味するところは、医療機関が誰の監視も受けず保険者番号記号番号等を専用端末(当然電子証明書インストール済み)に入力することにより、資格情報等を取り出せる仕組みを指しています。

　ここは今後オンライン資格確認システムの利用が柔道整復師などにまで拡大する予定であることを考えると、もっとも問題のある点だと考えています。何故ならこの「オンライン資格確認」は運用上認められてはいるものの、法的な根拠がないのです。

この法律において「電子資格確認」とは、保険医療機関等（第六十三条第三項各号に掲げる病院若しくは診療所又は薬局をいう。以下同じ。）から療養を受けようとする者又は第八十八条第一項に規定する指定訪問看護事業者から同項に規定する指定訪問看護を受けようとする者が、保険者に対し、個人番号カード（行政手続における特定の個人を識別するための番号の利用等に関する法律（平成二十五年法律第二十七号）第二条第七項に規定する個人番号カードをいう。）に記録された利用者証明用電子証明書（電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律（平成十四年法律第百五十三号）第二十二条第一項に規定する利用者証明用電子証明書をいう。）を送信する方法その他の厚生労働省令で定める方法により、被保険者又は被扶養者の資格に係る情報（保険給付に係る費用の請求に必要な情報を含む。）の照会を行い、電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法により、保険者から回答を受けて当該情報を当該保険医療機関等又は指定訪問看護事業者に提供し、当該保険医療機関等又は指定訪問看護事業者から被保険者又は被扶養者であることの確認を受けることをいう。

健康保険法

　健康保険法に定める「電子資格確認」は飽くまで患者が利用者証明用電子証明書を送信する方法その他の厚生労働省令で定める方法により行うものであり、病院が行うものではないからです。

　つまり「できる」のはシステム上できるので間違いないのですが、法律上は、現行の保険者への直接の電話照会のような補助的な手段のように、何の規定もないまま放置されているやり方なのです。

　この仕組みの不味いところは制限や監視がないことです。仕組み上は目の前に患者がいようがいまいが適当な数字を打ち込めば情報が取れてしまうので、医療資格データを大量に引き抜くことが出来る危険な仕組みなのです。

　いわゆるマイナンバーを利用した情報連携における情報照会で全く関係ない情報を閲覧したりすると、こちらには監視が利いていて、事故報告が求められたり、始末書みたいなものを情報共有サイトに上げたり、オペレーターに直接電話がかかってきたりする仕組みで、「覗き見」があれば当然処罰されます。

　ところがオンライン資格確認システムを利用した医療機関側での情報収集に関してはそういう常時監視の仕組みが見当たらないのですね。(私も情報提供ネットワークの中の人ではないので常時監視システムの存在は曖昧だったのですが、会計検査院が常時監視システムが一時機能していなかったことを指摘したので常時監視システムがあるのだということが解りました。)情報漏洩だ、個人情報が危ないとマイナンバーカードの方ばかりを攻撃している人があほに見えるのはこのためです。

　批判すべきはそっちじゃないだろ、と思います。

　保険証の不正利用は減るかもしれませんが、医療機関の不正請求はむしろ増えるんじゃないでしょうか。

　情報が取りたい放題ですから。

　何でこんな仕組みにしちゃったのかなというと、おそらく災害時など非常事態でも通信さえできれば資格確認可能ということにしたかったんでしょうが、それにしても余りの縛りの無さに驚きます。

　医者も馬鹿ではないのでどこかにアクセスログが残ることは知っていても通信量が膨大でチェック機能が不十分と解れば、やることはやるでしょう。

　政府側は患者本人がマイナポータルから受信履歴を確認できる仕組みなので牽制が効くと考えているようですが、果たしてそううまくいくでしょうか？

　架空請求五件で保険医抹消くらいの厳罰にしなければ、不正請求は増えるんじゃないでしょうか。

うなぎ説