⚠️ SIMULATION NOTICE / 模擬演習 本文書は、品質確保およびシナリオテストのために生成された架空の議事録です。 実在する組織や政府機関による実際の意思決定を反映したものではありません。

ガバナンスTF議事録:行政証明書提示ツール仕様およびPoC計画

日時: 2025年12月31日 10:00 - 11:30 JST 場所: オンライン会議 出席者:

  • Chair: ガバナンス委員長
  • Tech Lead: SRN Core Team (提案者)
  • Red Team: セキュリティ監査責任者
  • Legal: 法務責任者 (CLO)
  • Public Affairs: 政策渉外責任者 (GR)

1. 提案説明 (Tech Lead)

Tech Leadより、事前に配布されたアジェンダおよび仕様書案(Draft v2)に基づき説明が行われた。

  • 総務省要件への対応: 真正性、見読性(HMP)、なりすまし防止、ベンダー中立性の「4つの壁」に対し、Web/A (+WASM) が最適解であること。
  • プライバシー設計: JPKIによる本人特定を避け、FIDO鍵を用いた「Targeted Issuance + Client-side VP」モデルにより、名寄せ防止と法的整合性を両立させたこと。
  • PoC計画: まずCLIでプロトコル検証を行い、そのWASM資産を用いてWebアプリ化、最終的にSDK化する3段階アプローチであること。

2. 質疑応答および議論

論点1:法的整合性と「定型パターン」の扱い (Legal)

Legal: 「Targeted Issuance(宛先限定発行)」の実装方法について確認したい。当初案の『相手の要求に応じて項目を削る』方式は、住民基本台帳法上の『写し』の定義から外れる懸念があったが、修正案の『定型パターン』とは具体的に何か?

Tech Lead: 法で認められている省略可能項目(本籍、世帯主氏名、続柄、マイナンバー等)の組み合わせである。例えば「世帯全員・本籍あり」「本人のみ・本籍なし」といった、自治体窓口で通常選択できる4〜5種類のパターンを指す。これなら法的な「写し」の範疇を逸脱しない。

Legal: 理解した。であれば、システム側で**「法的にあり得ない組み合わせ(例:氏名のない住民票)」が発行されないようなハード制約**を仕様に明記すること。また、PoCにおいてもこの制約の実装を必須とする。

Tech Lead: 承知した。バリデーションロジックに組み込む。

論点2:FIDO鍵管理と紛失時の対応 (Red Team)

Red Team: FIDO鍵によるIdentity Bindingは強力だが、「端末紛失・故障時」のリカバリはどう考えているか? 証明書(Web/Aファイル)はクラウドにバックアップできても、復号するためのFIDO鍵が端末依存だと、端末が変われば開けなくなる。

Tech Lead: その通りである。本仕様では、セキュリティを最優先し、**「端末を紛失したら、証明書も失効(アクセス不能)する」**という設計思想を採っている。これは「紙の住民票を紛失したら、再発行してもらうしかない」のと同じであり、安易な鍵リカバリ手段を用意してなりすましリスクを招くより健全である。

Red Team: セキュリティ原則としては正しい。しかし、UXの観点からはユーザーの混乱を招く。「この証明書はこの端末でしか開けません」という警告UIを徹底すること。それを条件に承認する。

論点3:行政・政治的受容性 (Public Affairs)

Public Affairs: 総務省やデジタル庁への見せ方について。「CLIでPoCをする」という点は、彼らに理解されるか? 「画面がないと実感が湧かない」「オタク向けのツール」と切り捨てられるリスクがある。

Tech Lead: その点はスクリプトにも反映したが、WASM(WebAssembly)の採用が鍵となる。CLIで検証したロジックは、コード修正なしでブラウザで動く。行政向けのデモでは、CLI画面を見せるのではなく、このWASMを組み込んだ**「スマホモックアップ画面」を早期に用意**し、裏側でCLIと同じ検証ロジックが走っていることを示す。

Public Affairs: それなら良い。「相互運用性」の観点でも、LINE等特定のプラットフォーム名を出さず、「銀行アプリ」等を例示したのは賢明だ。Web/Aが**「デジタル公共財(Public Good)」**としての標準実装であることを強調するナラティブを維持してほしい。

3. 決議事項

議論の結果、ガバナンスTFは以下の通り決議する。

  1. 仕様書の承認:

    • 「Web/A + VP 行政証明書提示ツール仕様書 (Draft v2)」を承認する。
    • ただし、Legal指摘の「発行パターンの法的制約」および、Red Team指摘の「端末依存性への警告UI」を仕様に追記すること。

  2. PoCフェーズへの移行:

    • 直ちに Phase 1 (CLIによるプロトコル検証) に着手することを承認する。
    • 併せて、行政説明用の Webブラウザ版簡易デモ の開発も許可する。

  3. 対外コミュニケーション:

    • 本件をSRNの「Rebranding Strategy」における主要ユースケースと位置づけ、"Signed Resource Network" の具体例として広報資料に含める。

決議: 全会一致で承認

次回アクション:

  • Tech Lead: PoCリポジトリのセットアップおよびCLI実装開始。
  • Legal: 定型パターンの法的妥当性に関する意見書作成。
  • Public Affairs: 総務省担当者への非公式ブリーフィング調整。