go.jpじゃない税金支払いサイトが話題です
このサイト、属性ドメインじゃないし、SSL証明書の発行対象が「GMO Payment Gateway, Inc」なんだけど、サイトの説明に書かれている委託企業はトヨタファイナンス株式会社だから整合性とれてないし、怪しさ大爆発だ kokuzei.noufu.jp
うはー、zei.tokyo貶してたらもっと大物が来た。国税庁はNISC統一基準を読む国語力もないのか。.go.jp使ってください。NISCから何か言ってやってください。 / “国税クレジットお支払サイト” htn.to/Le97Xj
想像するに、納付受託者は国そのものではないのでgo.jpは出せんとかいう論理が展開されたのではないかと思うのだけど、一般のWeb業務受託者(多くのgo.jpをやってるところ)と何か違うのか。国民からの見え方からしたらトヨタファイナンスは代行でしかない。事故ってからでは遅いですよ。
国民にとってはgo.jpで終わるかどうかで国のサイトかどうか確認するのが一番簡単に決まってる。それが徹底されないからこんな虚しいリストができるのだけど、これのせいでgo.jpが徹底できないのだろうか…
cio.go.jp/domains
noufu\.jp 登録者が「トヨタファイナンス株式会社」でなく「GMOペイメントゲートウェイ株式会社」なのは corp.gmo-pg.com/newsroom/press… ということのようだ。nouhu\.jp は一般人の登録みたい
n0ufu.jpはさっき取り急ぎ私が自腹切って押さえておきました。3000円… https://t.co/mpxFDURrOj
EVSSL じゃないのかと思って Subject 確認したら GMO だったのでそっ閉じ。なんで go.jp じゃないの?あとロゴ押してトップへ戻れるがトップからのみになってて残念。 / 国税クレジットお支払サイト kokuzei.noufu.jp
n0uhu.jpなどいろいろありそう RT @tetsutalow: n0ufu.jpはさっき取り急ぎ私が自腹切って押さえておきました。3000円… twitter.com/h_okumura/stat…
kokuzei.noufu.jp という国税庁のクレジットカード納付サイト見て、とりあえずこれは危険だと思って良心に満ちあふれた私がnouhu.jpを抑えておきました。 pic.twitter.com/myyzbCcDAi
EV証明書とか言っても、大多数の一般ユーザーは理解できないだろうし、kokuzei.noufu.jp とgo.jp下のページで目立つところに相互リンク貼っておくだけでも分かりやすくなるんじゃないかな。
kokuzei.noufu.jpの件はやはり話題になりましたね。
12/5にGMO-PGのプレスで初めて存在を知り、似たドメイン押さえておこうかなとは一瞬は思いましたけど、jpドメインは少し高いので断念してました。既に今持っているドメインを整理しないといけないですし
これ本物のサイト?っていう気持ちもわかる。国ではなく納付受託者なる民間企業が運営するサイトだから、NISC(内閣サイバーセキュリティセンター)統一基準は適用外ってことかも。 twitter.com/tetsutalow/sta…
統一基準には「府省庁外の者が提供するアプリケーション・コンテンツを告知する場合は、告知するURL等の有効性を保つこと。」というのがあるのでこれで満たすとしてるのかもしれませんけど、nta.go.jpには… twitter.com/i/web/status/8…
銀行や郵便局は窓口に行く限りは金融機関が預かってくれると信じられる証拠があるし、何より納付書に基づいてやりますからねぇ。それに引き替えどうもkokuzei.noufu.jpはその手のものがないので、Pay-easyを… twitter.com/i/web/status/8…
これは見当違い。当該サイトは国税庁の運営するサイトではない。「指定納付受託者」とは国税庁が委託しているのではなく、納税者が委託するもの。
https://t.co/eIHMac5J2f
https://t.co/Fjww4yWGMK
https://t.co/wCLrYk2Gsl
指定納付受託者とは、国税通則法34条の3が規定する「納付受託者に対する納付の委託」による納付を認める受託事業者として同法34条の4が規定するところにより、国税庁長官が指定するもの。この34条の3は「国税を納付しようとする者は…納付受託者に納付を委託することができる。」というもの。
つまりgo.jpの運用側でなんとかするべき話ということですかね?
法の建てつけはともかく、委託先の選択が自由なわけではない国民にとっては国税庁長官が指定した納付受託者は国の仕事を代行してるようにしか見えてないと思うのです。 twitter.com/hiromitsutakag…
Webサイトからのクレジットカードによる国税の納付は、所得税法等の一部を改正する法律(平成28年3月31日法律15号)での改正により認められたもので、この改正部分は、附則1条ニの通り、平成29年1月1日に施行された。
改正国税通則法34条の3 1項1号及び2号(e-gov未掲載)
一 第34条第1項(納付の手続)に規定する納付書で財務省令で定めるものに基づき納付しようとするとき。
二 電子情報処理組織を使用して行う納付受託者に対する通知で財務省令で定めるものに基づき納付しようとするとき。
この1号に当たる納付を認める事業者として国税庁長官が指定した事業者は以下の通り。
nta.go.jp/shiraberu/zeih…
ファミリーマート、セブンイレブン、ローソンなど各コンビニ事業者が指定されている。
そして2号に当たる納付を認める事業者として国税庁長官が指定した事業者は以下。
nta.go.jp/shiraberu/zeih…
トヨタファイナンス一社となっている。
(これが1社でいいのか個人的には疑問を感じる。競争上の観点と、セキュリティ事故を前提とした国民の選択の余地から。)
そっち向きに考えるべきなのか。でも、トヨタファイナンスは国税から1円受注してるんだよなあ。 twitter.com/HiromitsuTakag…
twitter.com/shigeo_t/statu…
確かに「インターネット上でのクレジットカードによる国税の納付受託業務の委託」という政府調達があったようで、ここに「委託」とあるものの、どういう部分を委託しているのかが鍵。仕様書を見ればわかりそう。Webサイト運営の委託ではないはず。
「1円調達」という点についても、この調達が「単価契約 5,280,000件」とあるので、Webサイト構築のようなものは含まない、1件ごとの何かの作業が1円ということではないか。
twitter.com/rc31e/status/8…
確かに国が委託していると誤読しがちであるが、利用者は、自分(納税者)がトヨタファイナンスに納付を委託するのだということをちゃんと理解した方がよい。そのために、本来、このサイトは、「納… twitter.com/i/web/status/8…
そういう意味で、このサイトが、画面のデザイン上、あたかも国税庁運営サイトであるかのように装っていないことは良い。画面左隅に国税庁のロゴは貼られていない。これは、国税庁の指導(要求)があったのかもしれない。
それに対して東京都の都税に関する同様のサイトはどうか。
zei.tokyoの件は先月見たときは酷いと思ったが、今になってみると「指定代理納付者(トヨタファイナンス…)が納税者の皆様に代わって都税を立替払する」とあるので、今回の国税の件と同じ構造ではないか。東京都条例によって同じように指定されているのだろう。
そのように理解すると、zei.tokyo の何が酷いのかが見えてくる。このように、画面左隅に「東京都主税局」のロゴを表示して、あたかも東京都が運営するサイトであるかのように誤認させている。ここは、トヨタ… twitter.com/i/web/status/8…
トヨタファイナンスは懸命にさも東京都のサイトであるかのように装い「公式」などと強調しているが、事実と異なる方面に安心させようとしてかえってインチキ臭くなってしまった。もっとも、こういうデザインを担当しているのは委託先のGMOだろうが。pic.twitter.com/QRGpDImRTN
それにしても、なぜ東京都のフリをしたがるのだろうか。「納税者の皆様に代わって都税を立替払する」事業者として、今後も継続して行くためには、トヨタファイナンスブランドを全面に押し出して、利用者に認知してもらうことこそが営業上得策のはずなのに、なぜ目立たないようにするのか不可解だ。
そのなぞを解く鍵がGMOだろう。「都税クレジットカードお支払サイト」の運営者は誰なのか。東京都の指定事業者であるトヨタファイナンスであるはずが、「このサイトの運営者であるGMOペイメントゲートウェイ株式会社の個人情報保護方針…」などという記述があり、GMOが運営者だと称している。
これは脱法行為ではないのか。おそらく、このサイトを企画し運営している実態的運営者は実はGMOであって、指定事業者になる資格要件を満たさないのか、トヨタファイナンスに顔を貸してもらっているような状況ではないのか。とすれば、運営者としてGMOのロゴをデカデカと貼れない事情が見える。
そういう事情からか、大ぴらに誰が運営しているか隠そうとするから、個人情報保護方針の画面が酷いことになっている。冒頭、「当社は」とあるが、社名が表記されておらず、東京都主税局のロゴがあるので、あたかも東京都が「当社は」といっているか… twitter.com/i/web/status/8…
そして、「このサイトについて」はこうなっている。指定代理納付者はトヨタファイナンスなのに、「都税クレジットカードお支払いサイト」の運営者はGMOだという。それなのに、特定商取引法に基づく記載で「サービス提供事業者」はトヨタファイナ… twitter.com/i/web/status/8…
本来、GMOはトヨタファイナンスからの委託によってWebサイト運営をしている裏方ではないのか。「ペイメントゲートウェイ」とやらはASPサービス(トヨタファイナンスに提供する)にすぎないのではないのか。裏方が「当社は」と自社の個人情報保護方針を掲げるのは実におかしい。
その異常さが端的に表れているのは、このサイトにトヨタファイナンス株式会社の個人情報保護法に基づく公表事項が一切掲載されていない点だ。トヨタファイナンスが本件の個人情報取扱いの主体(data controller)であって、GMOはdata processorにすぎないだろうに。
この異常さは、地方銀行のインターネットバンキングと比べるとよくわかるだろう。例えば、青森銀行の当該サイトparasol.anser.ne.jp/ib/index.do?PT… は、NTTデータが(青森銀行に)提供するASPサービスだが、画面の運営主体の説明は青森銀行で書かれていて、NTTデータではない。
逆に、仮にこの見立てが間違いだとして、真の運営主体はGMOなのであって、トヨタファイナンスはGMOの委託先にすぎないのだとすると、今度は、個人情報の取扱いは正しいことになる一方、東京都の条例に対して脱法的あるいは違法な運営ということになるのではないか。
このサイトの事業が違法であるかどうかは、東京都の条例がトヨタファイナンスを指定事業者としているのが、どういう部分の業務となっているのかによりそうだ。GMOが担当している業務部分を含まないのであれば、合法ということになるが、事実はどうだろうか。
東京都条例の趣旨は確認していないが、国税の方については、国税通則法34条の4(納付受託者)が「国税の納付に関する事務を適正かつ確実に実施することができると認められる者であり、かつ、政令で定める要件に該当する者として国税庁長官が指定するもの」としている。
その国税通則法施行令7条の2が以下。
一 納付受託者…として納付事務…を行うことが国税の徴収の確保及び納税者の便益の増進に寄与すると認められること。
二 納付事務を適正かつ確実に遂行するに足りる経理的及び技術的な基礎を有するものとして財務省令で定める基準を満たしていること。
この「納付事務を適正かつ確実に遂行するに足りる経理的及び技術的な基礎を有する」の「技術」が何を意味するのか未確認だが、Webサイト運営やその背後の仕組み(GMOが言うところの「決済プロセスインフラ」)を含むのであれば、指定事業者でないGMOが全面に出るのは脱法又は違法だろう。
こうした問題は、事故を起こしたとき誰が責任を持つのかを考えてみればわかるだろう。当初、国税庁のサイトなんだから政府ドメイン名のサイトに置くべきだと主張していた人の視点からすれば、国税庁が事故の責任を負うことになるが、ここまでに示したように、この事業はそうではない。
GMOが事故を起こしたとき、国税庁は、指定事業者としての指定を取り消すことを検討しこそすれ、直接的に責任を負うものではない(だから政府ドメイン名での運営は不適切)わけで、トヨタファイナンスが責任を負うというのが、国税通則法34条の4の趣旨であろう。
指定事業者の要件に安全管理も含まれるなら、事故の責任はトヨタファイナンスが主体的に責任を負わねばならないところ、肝心の当該Webサイト画面は、トヨタファイナンスが責任主体であるようには見えない構成になっている。GMOが勝手にいいようにやっているからではないのか。
このような、委託元と委託先の主従逆転的な混乱は他の場面でもしばしば見られる。個人情報取扱事業者が保有個人データをクラウドに置いて管理することが、個人データの委託に当たるのかというときに、クラウド事業者がGoogleのような大手だったら、預ける側は約款に同意するしかなく、委託先の…
…委託先の安全管理について監督することも現実に不可能であり、せいぜい真っ当そうな事業者を選択することしかできない。このような委託先の方が実質的に力が強い場合に「委託」の概念を当てはめることができるのか?という疑問が呈されることがあるが、個人データの取扱いとしては、データを預ける…
…データを預ける側がcontroller(委託元)であり、クラウド事業者側がprocessor(委託先)である。こうしたことは、英国ICOのガイドにも書かれている。
ico.org.uk/media/for-orga…
ここで思い起こされるのが、CoCo壱番屋が廃棄物処理を委託していた委託先産廃業者が廃棄物であるビーフカツを転売していた事件。委託元に責任があるとされたのは個人データの委託とパラレル。
twilog.org/HiromitsuTakag…
twitter.com/ngs_haitaika/s…
横道に逸れたが話を戻すと、この納税代行サービスを企画し主体的に動いているのがGMOだとすれば、GMOやトヨタファイナンスから見ればGMOが強い立場なのかもしれないが、行政からの指定事業者として初めて可能な事業である以上、トヨタファイナンスが主でなければならないわけで、だからこそ…
…だからこそ、掲げるべきはトヨタファイナンスのロゴであるのに、それができないのは、GMOとの力関係であり、GMOは自社をアピールしたいところ、自社ロゴを掲げるのはさすがにマズいと気づいていて、東京都を装う結果になったのではないか。
twitter.com/hiromitsutakag…
その他に気になったことはこのあたり。
MongoDBに大量のランサムウェアの攻撃。2000のインスタンスがデータを消され、身代金を要求されている。犯人は0.2BTC ($202.89 USD) の支払いを要求。ポート27017を閉じる、 “–auth”オプションを付け… twitter.com/i/web/status/8…
ネルケプランニングの公式サイトがカラッキング被害、個人情報流出か – デグ速 degusoku.2chblog.jp/archives/15378…
【仕事始め ウイルスメール注意】年末年始のあいさつを装って実在の企業や個人名でウイルス付きのメールを送りつけるケースがあるとして、情報セキュリティーの専門機関は、官公庁や多く… www3.nhk.or.jp/shutoken-news/… #nhk
2017年にいったいどのようなサイバー脅威が発生するのか? トレンドマイクロ、カスペルスキー、マカフィーが発表したレポートを読み解く! THE ZERO/ONE新着記事:セキュリティ企業の「2017年のサイバー脅威レポート」ガイド bit.ly/2hNoAUU
Windows 10のデータ収集、プライバシーとセキュリティのバランスは(中)(Windows 10のデータ収集、プライバシーとセキュリティのバランスは) itpro.nikkeibp.co.jp/atcl/idg/16/12…
「IDDoS攻撃」、IoT機器から超弩級のサイバー攻撃(新ITキーワード2017) itpro.nikkeibp.co.jp/atcl/column/16… pic.twitter.com/DnDmLUJ21U
「対サイバー攻撃」安全とインフラ輸出“一挙両得”狙う
sankei.com/west/news/1701…
通信記録の保存不十分…サイバー攻撃調査できず
yomiuri.co.jp/national/20170… 大陽日酸がサイバー攻撃を受け、大量の内部情報が盗まれた恐れがある問題で、社内システムの通信記録(ログ)の保存が不十分だったため、侵入の経緯などの詳しい調査ができていないことが分かった
「CSIRTやSOCがアラートに対処しきれない」–McAfee調査 japan.zdnet.com/article/350941…
タイ政府職員を対象にした「実践的サイバー防御演習」提供–NEC japan.zdnet.com/article/350938…
2016年はランサムウェアの年、そして2017年は――セキュリティ各社の脅威予測 internet.watch.impress.co.jp/docs/news/1037… pic.twitter.com/VLy6ooINRP
サイバー攻撃に対し、安心なネット社会構築に貢献-カスペルスキー川合社長 news.mynavi.jp/news/2017/01/0…
Microsoft、死のブルースクリーンをグリーンスクリーンに変更か news.mynavi.jp/news/2017/01/0…
Microsoft、Windows 10に自動アップデート一時停止オプションを導入 news.mynavi.jp/news/2017/01/0…
