コロナウイルス感染症

当院の診療予約システムと防衛省のワクチン予約システムの性能を比較しました

当院では一昨年より日曜日午前は予約診療を行うようになりました。
当院の診療予約システムと現在話題になっている防衛省のワクチン予約システムの性能を比較してみます。

当院の診療予約システム

RESERVA(レゼルバ)という予約システムも考慮しましたが月額利用料が発生しそうでしたので採用は見送りました。

PHP(ウェブサーバー上で動作するプログラム)で作成されたフリーのソフトを見つけましたので用いることにしました。
病院のレンタルサーバー上にPHPプログラムを配置し、病院向けに修正しました。

患者さんにカレンダーから希望する日時を選んでもらい、「診察券番号」「氏名」「メールアドレス」「診察内容」を入力し、予約を取ってもらいます。
予約が完了すると患者さんと病院のメールに予約完了メールが届く仕組みです。

問題点は架空の情報が入力されてもチェック機能が無いことと、予約完了後は患者さんの側で修正が不可能なことです。

架空の情報で予約が完了しても予約完了メールで内容が確認でき、管理者である病院側で予約取り消しの処理が可能ですので使用上は問題ありません。

製作日数は半日で、製作費無料、維持費無料です。

防衛省のワクチン予約システム(改善前)

【独自】「誰でも何度でも予約可能」ワクチン大規模接種東京センターの予約システムに重大欠陥〈dot.〉

予約サイトでは接種券に記載されている市町村コード(6桁)と接種券番号(10桁)を入力し、さらに自身の生年月日を入力する必要がある。  そこから進むと、接種希望日時を選ぶ画面が出る。カレンダーから接種枠の空きがある日時を選び、予約をすることが簡単にできる。



AERAdot.編集部で東京の予約サイトで試してみると、6桁の市区町村コードには「654321」、10桁の接種券番号には「9876543210」と適当に番号を入力。生年月日も「1956年1月1日」と適当に入力したところ、そのまま進めて、5月29日8時から予約が取れてしまった。

https://news.yahoo.co.jp/articles/e3cd31c100652095e1479568e5988303a1cbcf2a
2021年5月17日

架空の情報が入力されてもチェック機能が無いのは当院のシステムと同じです。
当院では予約確認メールで不正な予約はキャンセル可能です。
防衛省の予約システムはどうなっているのでしょうか?

不備把握もスピード優先 防衛省、システム改修へ―大規模接種

自衛隊が東京と大阪で設置・運営する大規模接種センターの予約は17日に始まった。専用サイトにアクセスし、自治体から届く接種券に記載された番号や生年月日、市区町村コードを入力する。その際、実在しない情報で予約できることが分かった。ただ、会場では接種券などで本人確認するため、虚偽予約で接種はできない。

https://www.jiji.com/jc/article?k=2021051801022&g=soc
JIJI.com 2021年5月18日

不正予約の確認は当日会場で行うそうです。(混乱が起きなければ良いですが)
本来は膨大なデータの整合性のチェックは予約完了前に行うべきものです。

自衛隊大規模接種予約サイトの欠陥、防衛相の新聞社への抗議はお門違いだ

通常、この手のサイトでは、申込者が入力する情報(この場合は市区町村コード、接種券番号、生年月日)が正しいものであるかどうか、元データに照らし合わせてチェックを行い、間違っていれば先に進めないようになっているのが一般的だ。しかし今回は、防衛省の予約システムが市区町村の予約システムと連携しておらず、接種券番号の情報を収集できなかったため、架空の数字を入力しても予約ができる仕様になってしまったようだ。

https://diamond.jp/articles/-/271719
2021年5月20日

市町村ごとに独自の接種券番号が発行されており、データの正当性の確認が行われていないようです。

大規模接種予約システム改修表明 防衛相、架空番号で予約可能

一方、防衛省と市区町村の予約システムが連結していないために二重予約が生じる恐れがあることについては「全国民の個人情報を防衛省が把握するのは適切でない」と述べ、大規模改修を見送る考えを示した。「連結する作業自体に無理があり、システムの動作に支障が出る可能性もある」とも指摘した。岸氏は「二重予約はやろうと思えばできてしまうが、くれぐれもしないでほしい」と国民に改めて呼びかけた。

https://mainichi.jp/articles/20210518/k00/00m/010/045000c
2021年5月18日

市町村ごとの発行済の接種券番号一覧を入手することで、予約時に入力される「市区町村コード」と「接種券番号」から正当性のチェックは可能です。
(接種券番号一覧は個人情報との紐づけがないので個人情報には当たらないでしょう)

何故この程度のことすら、行われていなかったのかは謎です。
(この方法では悪意の無い入力ミスにより偶然他人の番号を入力し、予約が取れることは防げませんが何もしないよりはマシでしょう)

ワクチン大規模接種の予約システムに欠陥 マイナンバー追跡でも不具合…関連会社の顧問に竹中平蔵氏

この予約システムにどんな問題があるのか、実際に試してみた。 東京、埼玉、千葉、神奈川の1都3県の住民を対象とした防衛省の「東京大規模接種センター」の予約サイトを訪れると、最初に、自治体から届いた接種券に記載される「市区町村コード(6桁)」と「接種券番号(10桁)」、それに加えて「生年月日」の3項目の入力が求められた。 記者は券を持っていないため、適当な乱数字を打ち込み、生年月日は入力できるうち、最も古い「1901年1月1日」を選択。年齢にすると120歳だ。認証ボタンを押したところ、あっさり認証され、次の画面へ進んだ。

https://www.tokyo-np.co.jp/article/105475/1
2021年5月20日 東京新聞

2月31日生まれでも認証されたという話があります。
データの正当性をチェックしないのであれば生年月日の入力は不要ですし、不正な生年月日をチェックする機能すらありません。
これは問題外でしょう。

生年月日の正当性のチェックは個人情報を登録するような場合には必須の機能です。
防衛省はこの程度の機能すら実装できない何の実績も無い会社に開発を依頼したのでしょうか?

大規模接種予約 システムに設定ミス

自衛隊が運営する大規模ワクチン接種センターの予約システムにミス。

本来予約できない期間の予約ができるようになっていた。

17日から始まった、東京の「大規模接種センター」の予約は、23区に住む65歳以上を対象に、5月24日から30日までの接種の予約を受け付けている。

しかし、システム設定のミスで、本来はまだ予約を受け付けない6月12日から18日の接種の予約も可能となっており、772人が予約を入れたことがわかった。

防衛省は、これらの予約は有効として扱い、「今後はミスが起きないよう対応していく」としている。

https://www.fnn.jp/articles/-/183556
2021年5月17日

予約時に本人確認を行っていませんので予約した人に対して連絡は取れませんし、不正予約は当日チェックすることになっていますので有効にする他ないでしょう。
ケアレスミスですがきちんとチェックする人がいないのでしょうか?

正しい番号でもワクチン予約できず 板橋、目黒で数十件…防衛省の大規模接種システムに新たな欠陥か

予約受け付けは、東京23区の65歳以上を対象に、17日に始まった。東京都板橋区によると、予約開始以降、「区から配布された接種券番号を認証画面に入力したが予約できない」「接種券番号が間違っているのでは」など数十件の相談が寄せられた。本紙の取材に、同区内の70代の男性は「何度やっても『入力に誤りがあります』というメッセージが出て先に進めなかった」と話す。 

目黒区にも、予約できなかった人から数件の問い合わせがあった。同区の担当者は「接種券番号を入力し確認画面に移った後、生年月日の入力誤りに気付いて認証画面に戻ると、入力が進まなくなるという共通点があった」と語った。



◆有識者「自治体超えて番号重複か」

ITに詳しい立命館大の上原哲太郎教授(情報セキュリティー)は、接種券番号は10ケタであることだけが全国一律で、各自治体が独自に番号を発行しているため、自治体をまたいだ重複番号がある可能性を指摘。その上で「このシステムでは、ある接種券番号と生年月日の組み合わせで認証が完了すると、同じ接種券番号では、別の自治体のものでも受け付けなくなる仕組みだったのでは。これでは後に入力した人は正しい番号でも予約できないはずだ」と話した。

◆防衛省「把握せず」 開発会社「防衛省に聞いて」

防衛省は本紙の取材に「現時点では把握していない」と回答した。予約サイトの開発会社「MRSO」(港区)の担当者は「防衛省に聞いてほしい」と述べるにとどまった。

https://www.tokyo-np.co.jp/article/105522
2021年5月21日 東京新聞

認証が完了した段階でデータベースに登録されてしまい、修正が不可能になっている可能性があります。
(入力データの正当性のチェックは何も行われていないので「認証」という表現もおかしいですが)

「市区町村コード」+「接種券番号」がアカウント、生年月日がパスワードというような仕様になっている可能性があります。
(「接種券番号」がアカウント、生年月日がパスワードではないとは思いますが・・・)

ワクチン大規模接種の予約システムに欠陥 マイナンバー追跡でも不具合…関連会社の顧問に竹中平蔵氏

このシステムを作ったのは、人間ドックの予約ポータルサイトの開発・運営を手掛ける東京都港区の「MRSO(マーソ)」という会社。菅内閣の成長戦略会議委員を務める竹中平蔵元経済財政担当相が経営顧問に名を連ねる。今回の東京大規模ワクチン接種センターでは、大手旅行代理店「日本旅行」が会場運営業務を約19億円で受注しており、マーソ社と日本旅行は2月、業務提携している。

https://www.tokyo-np.co.jp/article/105475/2
2021年5月20日 東京新聞

予約システム構築には会場運営業務費用19億円の一部が充てられているのでしょうか?
(200億円という話もありますがソースが確認できませんでした)

性能比較

当院の診療予約システム防衛省のワクチン予約システム
システム構築者防衛省
MRSO(マーソ)
予約件数月間50件程度
(上限は無制限)
東京 5万件
大阪 2万5000件
入力データの正当性チェックなしなし
不正予約への対処当日までにメールで予約データを確認当日、身分証明書を確認
製作日数半日1ヶ月程度?
製作費、維持費0円会場運営業務費用19億円の一部?

防衛省のワクチン予約システムは私が「この程度でいいだろう」と製作日数半日、製作費0円で作成した当院の診療予約システムと大差ありません。

[主張]ワクチン架空予約 「報道の自由」に値しない

防衛省はシステム改修を行うことを決めたが、報道時点では不正アクセスができるままだった。歯止めがないままの架空入力の手口の実例の指摘は、悪質行為の教唆、奨励と読むことも可能で極めて重大な事態を招きかねない。

「公益性」を主張するなら、せめてシステムの改修後に報道すべきだった。

もちろん、不正アクセスそのものが問題であり、報道目的だから許されるとの考えなら、それは思い上がりであろう。

東京、大阪を会場とする大規模接種は高齢者を対象に、一人でも多く、一日でも早くワクチン接種を完了させるためのものだ。

自治体との二重予約が防げないなど、システムの不備はある程度織り込み済みで、広範、迅速性を優先させたと解すべきである。

新型コロナの克服は、時間との戦いだ。遺漏のないシステム構築に時間がかかるなら、これを犠牲にしてでも接種を急ぐことは緊急時の判断として妥当である。悪意の助長はこれを妨げるものだ。

https://www.sankei.com/affairs/news/210520/afr2105200001-n1.html
2021年5月20日 産経新聞

産経新聞をはじめとする自称保守派の人達は常日頃から「戦争ができる国にならなければいけない」という趣旨の主張を行っています。
(私はこの主張そのものには反対ではありません)
自称保守派の主張から考えると防衛省の体たらくには厳しい批判を行うべきはずです。
ワクチン予約システムは戦争遂行とは直接関係ありません。
しかし、この程度の仕事をまともにこなせないようでは防衛省という組織のレベルを疑ってしまいます。

この記事が気に入ったらフォローして下さい