⚠️ SIMULATION NOTICE / 模擬演習 本文書は、品質確保およびシナリオテストのために生成された架空のアジェンダです。
ガバナンス委員会アジェンダ (2026-01-04 予定)
起案日: 2026-01-03 起案者: SRN Tech Lead 会議予定: 2026-01-04 (Sun) 10:00 - 11:30 JST
1. 会議概要
目的:
- 年始(1/1〜1/3)の開発進捗および「Utility First」戦略の初期成果報告。
- 発生したセキュリティインシデント(Firebase APIトークン漏洩)の報告と再発防止策の承認。
- 次フェーズ(Folio CLI Local UX)へのロードマップ承認。
出席予定:
- Governance Committee (Chair)
- SRN Tech Lead (Presenter)
- Security Team (Red Team)
- Legal / Public Affairs
配付資料:
2. アジェンダ詳細 & Tech Lead スピーチスクリプト
時間割
| 時間 | 項目 | 担当 | 目的 |
|---|---|---|---|
| 10:00 | 1. 成果報告: Web/A Form "Infinite Canvas" | Tech Lead | 製品のUX刷新と入力支援機能のデモ報告 |
| 10:20 | 2. 技術報告: CIVモジュールと認証基盤 | Tech Lead | JPKI/パスポート対応の進捗と課題共有 |
| 10:35 | 3. 事故報告: APIトークン漏洩インシデント | Tech Lead | 発生原因、対応、および再発防止策の説明 |
| 10:50 | 4. 戦略協議: Folio CLI "Local First" | Tech Lead | サーバーレスでのデータ主権実証への方針転換 |
| 11:10 | 5. 決議 | 議長 | アクションプランの承認 |
【セッション1: 成果報告】
(Tech Lead) 「本日は臨時での委員回開催ありがとうございます。 まず、前回の委員会で承認いただいた『Utility First(実用性重視)』戦略に基づく、この3日間の成果を報告します。
我々は、従来の『紙のメタファー』を完全に捨て去りました。
新しい "Infinite Canvas"(無限キャンバス) UXは、画面幅をフルに使ったExcelライクなインターフェースです。
さらに、『Input Intelligence(入力支援)』 として、Markdownでの (required) バリデーション、郵便番号からの住所自動補完、LGコード検索を実装しました。
これにより、Web/Aは単なる『安全な申請フォーム』から、『手書きよりも圧倒的に楽で、ミスが起きないアプリケーション』へと進化しました。 これは、ユーザーがWeb/Aを選ぶための強力なインセンティブ、いわゆる『トロイの木馬』として機能します。」
【セッション2: 技術報告】
(Tech Lead) 「次に、認証基盤である CIV (Citizen Identity Verification) モジュールについてです。 この期間で、マイナンバーカード(JPKI)だけでなく、パスポート、在留カード、さらに欧州身分証(EuId)への対応基盤を整備しました。 TypeScriptによるネイティブWebUSBドライバと、WASM化された暗号コアにより、専用アプリなしでブラウザから直接、これらのICカードを読み取れます。
特に運転免許証については、PIN1/PIN2による認証と基本4情報の読み取りまで実装しました。 ただし、外字(JIS X 0221等)の扱いや、発行時期による仕様差異の検証が不十分であり、JPKIと比べると『Experimental』な段階です。 また、顔写真デコードの課題や、欧州ID等の物理カード不足もボトルネックとなっており、引き続き検証を進めます。」
【セッション3: 事故報告】 (重要)
(Tech Lead) 「続いて、報告および謝罪すべき事項があります。 配付資料のセクション4にある通り、GitHubリポジトリにおいて Firebaseの管理者APIトークン漏洩インシデント が発生しました。
原因は『焦り』です。
年末、Red Teamからの指摘事項(機能不全の修正)に対して、私が修正を急ぐあまり、ローカル検証用の config.ts を .gitignore に含めないままプッシュしてしまいました。
対応は完了しています。
年始のコードレビューで発覚後、直ちにキーを無効化(Revoke)し、新しいキーへのローテーションを行いました。また、git filter-repo を用いて、リポジトリ履歴から当該ファイルの痕跡を完全に抹消しました。
GCPの監査ログを確認した限り、この期間中の不正アクセスの痕跡はありません。
今後は、プレコミットフックによる秘密鍵検知の導入検討など、システム的な防止策を強化します。申し訳ありませんでした。」
【セッション4: 戦略協議】
(Tech Lead) 「最後に、今後のロードマップについて提案です。 サーバーサイド(Web/A Post)の開発は、一旦凍結(Postpone)します。 代わりに、『Folio CLI』によるローカルデータ管理 に全力を注ぎます。
なぜか? サーバーがあると、結局『誰かのコンピュータにデータを預ける』モデルになります。 Web/Aの真価は、『サーバーがなくても、手元のPCだけでデータ管理・検証・再利用が完結する』 点にあります。
まずはCLIで、SQLiteを使ったローカルデータベース構築と、過去データの入力支援(Assisted Filling)を実現します。
これらが整い次第、直ちに 「住民票の提示(Web/A VP)」デモ (PoC) に着手します。 ここでの最大の勝負所は、「誰に出すか(Relying Party情報)」をどうやって証明書に焼き込むか という、最後のUX(Last Mile UX)です。 QRコードか、手入力か、あるいは別の方法か。この解を示すことこそが、総務省の懸念に対する最大の回答になります。
ご承認をお願いいたします。」
3. 決議事項案
インシデント対応の承認:
- 実施済みの止血処置および履歴削除プロセスを事後承認する。
- 再発防止策(
.gitignore徹底、環境変数分離)の継続監視をRed Teamに委嘱する。
新ロードマップの承認:
- サーバーサイド開発の一時凍結と、Folio CLI (Local Data Management) へのリソース集中を承認する。
- 物理カード検証用機材(またはシミュレータ開発)への予算/リソース配分を認める。
以上