残念なニュースが入ってきた。
このサイトについては、今年の正月早々に以下の件で話題になっていた。
このとき、タイトルには「国税……」とあるが、「国税クレジットカードお支払サイト」と「都税クレジットカードお支払サイト」の両方を話題にしていた。
これは、GMOペイメントゲートウェイ株式会社とトヨタファイナンス株式会社が組んで、東京都への都税の納税代行と、国税庁への国税の納税代行をする「クレジットカードお支払いサイト」を運営している*1のだが、サイトの画面構成からして、誰が運営主体なのか不明だということが問題となっていた。
国税の方については、少なくとも国税庁が運営しているものではないことは(比較的*2)明白であり、サイトのドメイン名が「noufu.jp」となっていて政府ドメイン名「.go.jp」でないことについては何ら問題がなく*3、しかし、民間事業者のどこが運営してるのかが、画面構成からはいまいちハッキリしない(本文中に一応「国税庁長官が指定した納付受託者(トヨタファイナンス株式会社)が運営する」とは書かれているものの、トヨタファイナンスのロゴ等はどこにもなく、正体が隠されたような感じになっている。)ことが問題点であった。
うはー、https://t.co/l4YBMG3Gwo貶してたらもっと大物が来た。国税庁はNISC統一基準を読む国語力もないのか。.go.jp使ってください。NISCから何か言ってやってください。 / “国税クレジットお支払サイト” https://t.co/oLXSjrsxRe
— 上原 哲太郎/Tetsu. Uehara (@tetsutalow) 2017年1月4日
これは見当違い。当該サイトは国税庁の運営するサイトではない。「指定納付受託者」とは国税庁が委託しているのではなく、納税者が委託するもの。https://t.co/eIHMac5J2fhttps://t.co/Fjww4yWGMKhttps://t.co/wCLrYk2Gsl
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
指定納付受託者とは、国税通則法34条の3が規定する「納付受託者に対する納付の委託」による納付を認める受託事業者として同法34条の4が規定するところにより、国税庁長官が指定するもの。この34条の3は「国税を納付しようとする者は…納付受託者に納付を委託することができる。」というもの。
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
まぁ、サイトに「本サイトは、国税庁長官が指定した納付受託者(トヨタファイナンス株式会社)が運営する国税のクレジットカード納付専用のサイトです。」って書いてあったら国が委託してるように見えちゃうよねぇ。
— でんぱ☆フレンズ (BROS-P1復活) (@RC31E) 2017年1月4日
https://t.co/ytW7pbNenf
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
確かに国が委託していると誤読しがちであるが、利用者は、自分(納税者)がトヨタファイナンスに納付を委託するのだということをちゃんと理解した方がよい。そのために、本来、このサイトは、「納税は当社に委託してください」と書くべきだろう。 pic.twitter.com/tnFgRjLV6Y
そういう意味で、このサイトが、画面のデザイン上、あたかも国税庁運営サイトであるかのように装っていないことは良い。画面左隅に国税庁のロゴは貼られていない。これは、国税庁の指導(要求)があったのかもしれない。
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
それに対して東京都の都税に関する同様のサイトはどうか。
それに対して、「都税クレジットカードお支払サイト」は違っていた。
そのように理解すると、https://t.co/cFhserRH0o の何が酷いのかが見えてくる。このように、画面左隅に「東京都主税局」のロゴを表示して、あたかも東京都が運営するサイトであるかのように誤認させている。ここは、トヨタファイナンスのロゴを貼るところだ。 pic.twitter.com/QRGpDImRTN
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
トヨタファイナンスは懸命にさも東京都のサイトであるかのように装い「公式」などと強調しているが、事実と異なる方面に安心させようとしてかえってインチキ臭くなってしまった。もっとも、こういうデザインを担当しているのは委託先のGMOだろうが。pic.twitter.com/QRGpDImRTN
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
そういう事情からか、大ぴらに誰が運営しているか隠そうとするから、個人情報保護方針の画面が酷いことになっている。冒頭、「当社は」とあるが、社名が表記されておらず、東京都主税局のロゴがあるので、あたかも東京都が「当社は」といっているかの如しだ。 pic.twitter.com/iLy2IcNWTI
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
そして、「このサイトについて」はこうなっている。指定代理納付者はトヨタファイナンスなのに、「都税クレジットカードお支払いサイト」の運営者はGMOだという。それなのに、特定商取引法に基づく記載で「サービス提供事業者」はトヨタファイナンスだという。これはおかしいだろう。 pic.twitter.com/uSxyGV9npy
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
本来、GMOはトヨタファイナンスからの委託によってWebサイト運営をしている裏方ではないのか。「ペイメントゲートウェイ」とやらはASPサービス(トヨタファイナンスに提供する)にすぎないのではないのか。裏方が「当社は」と自社の個人情報保護方針を掲げるのは実におかしい。
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
その異常さが端的に表れているのは、このサイトにトヨタファイナンス株式会社の個人情報保護法に基づく公表事項が一切掲載されていない点だ。トヨタファイナンスが本件の個人情報取扱いの主体(data controller)であって、GMOはdata processorにすぎないだろうに。
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
こうした問題は、事故を起こしたとき誰が責任を持つのかを考えてみればわかるだろう。当初、国税庁のサイトなんだから政府ドメイン名のサイトに置くべきだと主張していた人の視点からすれば、国税庁が事故の責任を負うことになるが、ここまでに示したように、この事業はそうではない。
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
GMOが事故を起こしたとき、国税庁は、指定事業者としての指定を取り消すことを検討しこそすれ、直接的に責任を負うものではない(だから政府ドメイン名での運営は不適切)わけで、トヨタファイナンスが責任を負うというのが、国税通則法34条の4の趣旨であろう。
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
本来、東京都は「こんなところに東京都主税局のロゴを貼るな」と指導すべき立場にあるはずだ。その点、同じ業者らが関与しているにもかかわらず、国税の同様のサイトでは国税庁のロゴは貼られておらず、国税庁からの指導があったのだろう。さすが国は地方公共団体とは違って有能だなと感心させられる。 pic.twitter.com/96wskvY2qH
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
.@tocho_syuzei こんにちわ〜o(^^)o 東京都主税局ロゴの輝く「都税クレジットカードお支払いサイト」すごいですね\(^o^)/ 事故が起きたときも東京都主税局が責任を負うのです?(・_・)https://t.co/fI3JV4QAmO
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月5日
それから2か月、本当に事故が起きてしまった。
今回、国税の方では被害がないようだ*4が、もし仮に、国税の方で被害が出た場合、正月に上記のようにツイートしていたように、国税庁には直接の責任がないだろう。国税のコンビニ払いでコンビニが事故を起こしても、コンビニ事業者の責任であって、国税庁には、そのような事業者を指定してしまったことに過失はなかったかという限度の責任しかないのと同様にである。(それに対して、もし、e-Taxで事故が起きたら、たとえサーバ保守をどこかの業者に委託していようとも国税庁が直接の責任を負うわけだが、それとは異なる。)
しかし、今回の事件で、都税について出た被害で、東京都主税局の責任はどうか。都税の方では、サイトの左隅上に「東京都主税局」のロゴが貼られており、「公式」との表記もあることから、多くの人が、これを東京都主税局が運営するサイトと誤認していた。「https://zei.tokyo/」というドメイン名がふざけていると(「.lg.jp」ドメインを使うべきと)怒っていたセキュリティ専門家のような人々でさえ、東京都主税局が運営していると思い込んでいた。
したがって、今回の事件での被害者の何十万人は、東京都主税局が運営するサイトだから安全だろうと思って利用したであろう。すると、東京都主税局がそのような誤認サイトを放置した(もしくは積極的にロゴの使用を認めていた)のであれば、東京都主税局にもサイト運営社並みの責任が問われるのではなかろうか。
なお、今回の事件で、東京都は、以下のように、およそ運営主体には見えない(単にサービスが停止していることを迷惑としているだけなので)発表をしている。
【「都税クレジットカードお支払サイト」における不正アクセスについて】
— 東京都主税局 (@tocho_syuzei) 2017年3月10日
上記サイトについては、外部からの不正アクセスにより、現在運用を停止しております。詳細については現在調査中です。関係者の皆様には、大変ご迷惑をおかけしております。https://t.co/yNvp8dix1i
都税のクレジットカード納付を行うために、受託事業者が運営している「都税クレジットカードお支払サイト」について、外部からの不正アクセスにより、クレジットカード情報とメールアドレスが流出したおそれがあることが判明しました。
このため、「都税クレジットカードお支払サイト」については、平成29年3月10日11時15分より利用を停止しております。関係者の皆様には、多大なご迷惑をおかけし、深くお詫びを申し上げます。
本来ならば、そのような突っぱねた態度(事故は指定事業者の問題であると)で正しいのだが、「東京都主税局」のロゴを貼らせ(貼ることを許し)、東京都主税局運営サイトであるかのように利用者が誤認していたことについて、何か言うことはないのか。
なお、正月にこの件が話題になった後も、改善はされていなかったようだ*5。
他方、GMOペイメントゲートウェイ社の発表は、以下のようになっており、東京都から自ら受託しているかのような記述になっている。今になってもなお依然としてトヨタファイナンスからの受託であることを理解していないのだろうか。
GMOペイメントゲートウェイ株式会社(以下、当社)において運営受託しております東京都様の都税クレジットカードお支払サイトおよび独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトにおいて、第三者による不正アクセスが確認され、情報が流出した可能性があることが判明いたしました。
このような事態を起こし、お客様および関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますこと、心より深くお詫び申し上げます。
その点、トヨタファイナンス社の発表では、この点が正確な記述になっている。
当社が東京都様より都税の収納代行業務の指定を受け、運営しております「都税クレジットカードお支払いサイト」におきまして、サイトの運営を委託しておりますGMOペイメントゲートウェイ株式会社(以下、GMO-PG社)のサイトに第三者による不正アクセスが確認され、情報が流出した可能性があることが判明いたしました。
このような事態を起こし、お客さまおよび関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますこと、心より深くお詫び申し上げます。
ちなみに、本来どうあるべきかについては、正月のときにもツイートしていた。
それにしても、なぜ東京都のフリをしたがるのだろうか。「納税者の皆様に代わって都税を立替払する」事業者として、今後も継続して行くためには、トヨタファイナンスブランドを全面に押し出して、利用者に認知してもらうことこそが営業上得策のはずなのに、なぜ目立たないようにするのか不可解だ。
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
実際に将来、2号指定受託事業者が複数になるのかは定かでない。改正法の趣旨が複数を想定しているのか未確認。仮に複数にする場合に会計検査院が無駄だと言ってこないかが論点となりそう。コンビニを複数社許すこととWebサイトを複数許すことは同じなのか違うのか。私は許す意義があると考える。
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
こういう事故が起きても、2つ以上の事業者を指定してサービスが提供されていれば、片方が停止しても、納税者はもう一方を利用することができる。複数の事業者らは、それぞれのブランドを前面に出して利用者の信頼を得て、競争するのが本来の形であろう。
それから、トヨタファイナンス社が、この事業についての利用目的の公表義務(18条1項)と直接書面取得時の利用目的明示義務(18条2項)を怠り、個人情報保護法に違反している*6ことも、この際ちゃんと*7追求してほしいところだ。
その異常さが端的に表れているのは、このサイトにトヨタファイナンス株式会社の個人情報保護法に基づく公表事項が一切掲載されていない点だ。トヨタファイナンスが本件の個人情報取扱いの主体(data controller)であって、GMOはdata processorにすぎないだろうに。
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
*1 他にも、「愛知県県税クレジットカードお支払サイト」(zei.aichi.jp)や「大阪府自動車税お支払サイト」(publicservice.jp/osaka)、「三重県自動車税お支払サイト」((publicservice.jp/mie))、「福岡市税クレジットカードお支払サイト」(zei.gmopg.jp/city/fukuoka)などがあるようだが、なぜか一覧表が存在しない。トヨタファイナンス社はこのビジネスをやる気があるのだろうか。
*2 それでもなお、当該サイトのフッタには、「国税庁HP」とのリンクがあり、国税庁運営であるかのような誤解を若干与える部分は残存しているが。
*3 ただし、民間事業者が金銭関係のサービスを運営するサイトのドメイン名としては、運営者を明確にした「.co.jp」のドメイン名の方が望ましく、「.noufu.jp」というのはあまりに拙く、「ナメとんのか」という印象を拭えない。
*4 トヨタファイナンスの発表文によれば、「尚、当社が収納代行業者と指定されております国税及び他の自治体のサイトのご利用中のサービスにつきましては、現時点では同様の問題が発生していないことを確認しております。」とある。
*5 当該サイトのGoogleの「キャッシュ」と称した半永続コピー(2017年3月8日 22:40:47 GMT 時点)による。
*6 現在でも、「国税クレジットカードお支払いサイト」は、「個人情報の取り扱いについて」や「プライバシーポリシー」といったページに、トヨタファイナンス社の公表事項を記載していない。(今回の事故の発表で、トヨタファイナンス社は「当社が運営」「GMOに委託」と認めている。)
*7 安全管理措置ばっかじゃなくて、利用目的義務違反もちゃんと執行しろって。