デジタル庁

「コロナワクチンの接種証明書(電子交付)の仕様に関するご意見」の取りまとめ結果を公表しました

デジタル庁では、9月17日 (金)から30日(木)まで「コロナワクチンの接種証明書(電子交付)の仕様に関するご意見募集」を実施し、総回答数は18,659件と多くの方にご協力いただき、ありがとうございました。

この度、具体的なユースケースを想定いただき、二次元コードやAPIをご利用予定の事業者、自治体、医療機関、公共機関等からいただきました主なご意見および対応方針について以下の通り取りまとめましたので、公表いたします。

アンケート結果概要

  • 設問数: 5問(必須3問)
  • 総ご意見数:計 18,659件

ご意見いただいた方の所属グループ

  • 事業者:3,966(21.3%)
  • 自治体:417(2.2%)
  • 公共機関:413(2.2%)
  • 医療機関:1,100(5.9%)

ご意見いただいた方の利用検討

  • 二次元コード利用:351(1.9%)
  • API利用:57(0.3%)
  • 両方利用:443(2.4%)
  • どちらも利用しない:17,808(95.4%)

主なユースケース

  • 飲食店、イベント、ライブ会場等への入場時
  • 宿泊や長距離移動の予約時
  • 接種証明書提示による特典サービス等の申込時
  • 医療機関への見舞い時
  • 3回目ワクチン接種の予約時

主なご意見と対応の方向性について(二次元コード)

二次元コードの仕様に関するご意見

【事業者】

  • 海外で利用できるもの/外国人への対応
    • 海外での利用を可能にするため、EU Digital COVID Certificateとの互換性の担保、IATAトラベルパスのような海外トラベルアプリとの統一に対応してほしい
    • 欧州等の海外で接種したQR証明書を読み込み、日本版へインポートする機能が必要
    • インバウンドユーザへの対応についても考慮してほしい
    • なるべく多くの言語対応をしてほしい
  • 二次元コードに含まれる情報
    • (カジュアルなユースケースに関しては)生年月日や氏名を知られたくないなど、利用者が表示する情報をコントロールできるようにすべき
    • セキュリティ上「プライバシー情報を含まず、接種したことのみを証明するコード」と「プライバシー情報を含むコード」の2つに分け、ユーザーが任意に選択できるようにするべき
    • 接種済みかどうかだけの表示を基本としてもらいたい
    • 二次元コードにどんな情報が含まれているか不明
  • 偽造に対する工夫
    • 二次元コードが本物か確認する術が必要
    • コードに生成日を表すタイムスタンプと信頼された電子証明書などによる署名情報をつけておくべき
    • 「スクリーンショット等での接種証明の偽証」を防止する【QR表示画面内でのタイマー表示】を標準搭載すべきではないか
    • サーバーサイドから接種証明書が有効かどうかの判定をしてその状態を返すトークン等を返すようにしてもらいたい
    • 顔写真も入れてほしい
  • マイナンバーカードの利用
    • 厳格な目的の時のみマイナンバーカードでの認証をすればいいのではないか
    • マイナンバーカード必須は避けるべき
    • 運転免許証でも対応できるようにしてもらいたい
  • 陽性者が出た場合の連絡先(電話番号等)も欲しい
  • 家族(こども)の情報も登録できるようにしてほしい
  • しっかり周知してもらいたい

【自治体】

  • VRSのデータの精度に懸念
  • 外字の場合の名前や外国人の通称名登録の名前表示に懸念
  • 二次元コードの持ち主との本人確認に懸念
  • 個別の事情があって接種できない方への配慮

【医療従事者】

  • ほかの予防接種も含めた統一的なコード体系にしてもらいたい(JAHISとも連携)
  • ブレイクスルー感染も踏まえ、陰性証明も同じアプリで表示できるようにしたい

【公共機関】

  • コンビニでの発行も検討してほしい
  • 通信環境整備(公衆wifiの整備)/通信なしでも利用可能な仕様

【その他】

  • マイナポータルへの統合
  • AppleWalletやAppleWatchへの対応もしてもらいたい
  • LINEやPayPayなどのアプリ経由でミニアプリとしての起動を希望
  • NFC(近距離無線通信)機能が使えないスマホでも対応可能としてもらいたい
  • マイナンバーカードではなく、マイナンバーで対応できるようにしてもらいたい

二次元コードの仕様に関するご意見に対する対応方向性について

(1)国際互換性/多言語対応

ご指摘のEU-DCCとの互換性等についても考慮し、ICAO規格を採用しております。引き続き、国際的な動向を踏まえ、国境を越えた相互運用性にしっかりと対応してまいります。

国内利用向けの規格であるSMART Health Cardsについても英語対応をすれば海外でも利用できるのではないかとのご指摘をいただいておりましたので、こちらはアプリケーション提供時より渡航向けを申請される方に関しましては英語表記対応させていただく予定です。

また、申請の多言語対応につきましては、ご意見も受けまして、日本語のみではなく、英語への対応も検討いたします。

(2)接種証明書への情報追加・削除等

接種証明で提示される情報について追加・削除等のご意見も多くいただきましたが、アプリケーション提供タイミングでは、接種記録情報としては十分な情報を提供できておりますので、情報の追加予定はありません。状況を見つつ、必要に応じて対応を検討いたします。

アプリケーションでの表示情報につきましては、接種証明を確認する側や情報を提示する側としても個人情報に関する懸念を感じられているご意見が多かったことから、利用者が自分で情報提示レベルを選択できるように、アプリの画面上、以下3つのレベルに分けて情報を表示できるように変更いたします。

(A)接種済みであることのみを確認できるレベル
(B)二次元コードのみを確認できるレベル
(C)二次元コード+(コードに含まれる)情報が表示できるレベル

(3)偽造防止

簡易的な確認として、アプリの情報提示の画面での時計表示を行うことで、アプリで表示されているかどうか識別が可能となります。また、二次元コードに含まれるデータは公開鍵暗号方式により生成された秘密鍵により電子署名が付されており、記載事項が改ざんされているかどうかの判断は可能です。アプリ利用開始後も、偽造方法等を把握しつつ、必要に応じて対応を見直してまいります。

(4)アプリ形式

今回は利用目的が明確であり、一定期間を過ぎれば不要となるであろう機能実装であり、且つ短期間での実装であり、他機能への影響範囲等に関する検証等の時間を削減する観点から、個別のアプリケーションとして提供させていただく想定です。また、AppleWallet等ユーザー利便性が高まる機能との連携対応については検討を進めてまいります。

主なご意見と対応の方向性について(API)

APIに関する仕様提案について

多要素認証

  • 個人情報の漏洩が懸念されるため、多要素認証を導入してください
  • 二段階認証は必須である

セキュリティ

  • 個人情報の漏洩(セキュリティ)が心配である
  • なりすましの恐れから、生年月日をAPIのパスワードとする運用はセキュリティの観点から相応しくないと感じる
  • API応答には個人情報を含めず、接種済みかどうかを返すべきで、詳細なAPI応答として最終接種回数・最終接種日まで要求する場合は、APIアクセス主体の身元確認要件を厳重にすべき

APIの仕様に関するご意見に対する対応方向性について

ご意見を確認したところ、セキュリティ上の懸念もあり、慎重な対応を求められている状況で、且つAPI利用のためのシステム開発コストに見合うユースケースが、現時点であまり想定できず、利用の予定はないとの事業者の声が多く確認されました。このため、APIの事業者への提供は、今後の政府施策などにおける接種証明の活用方法が明らかになるのを待ってから、詳細を検討することといたします。

主なご意見と対応の方向性について(その他)

その他として以下のような貴重なご意見を頂戴しておりますが、今回は当アプリケーションを利用予定である方のご意見を中心に方針を示させていただきました。

今後方向性を検討・判断していく上で参考にさせていただきます。

  • 接種証明書を持つことができない。持つことが難しい市民がいる中で差別を助長するのではないか。また、持っていない人が不利益をこうむるのではないか。
  • ワクチン効果がわからない前提において、接種証明書を活用することにより人流の増加を助長し、結果としてさらなる感染拡大を招くのではないか。
  • 海外での取り扱い事例として、ネガティブな事例も多いのではないか。

今回の二次元コードは、予防接種法に基づく接種証明書を提供するものであり、その接種証明をどのように活用するかは、各自治体や事業者によって、厳密に本人確認を求めるもの、単に提示を求めるものなど、様々な利用方法があると考えています。

接種証明を適切に利用したコロナ対応策の普及に向け、内閣官房新型コロナウイルス感染症対策推進室をはじめ、対応関係部署に適切に働きかけてまいります。

シェアする: