官民会議体「Code for e-Gov」に見るAPI連携とID管理の難しさ

今回は「官民会議体「Code for e-Gov」に見るAPI連携とID管理の難しさ」についてご紹介します。

関連ワード （ソフトウェア等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　官民の会議体「Code for e-Gov」第2期第2回が8月29日に開催された。電子政府の総合窓口「e-Gov」（イーガブ）は、各種手続きの案内・申請のオンライン化を実現する基盤だが、同時にAPI刷新の仕様検討にあたり、民間企業と共創するのがCode for e-Govである。

　2021年9月1日から「e-Gov電子申請サービス『電子申請API』」バージョン1.05が提供されているが、現時点で民間企業での利用は芳しくない。デジタル庁はCode for e-Govを通じて、幅広いAPI利用者の利便性向上を目指している。

　最初は前回（7月26日）の振り返りと今回の要約説明を行ってから、参画企業によって、外部連携APIから電子申請APIへの移行に伴う申請データのひもづけ状況を解説した。電子申請APIは検証環境用e-GovアカウントとAPIキーを取得し、本番環境運用時は別のアカウントが必要になる。

　だが、外部参照APIの利用者IDをe-Govアカウントへ切り替えると、それまで検証、運用していた環境から外部参照APIが使えなくなる仕様だった。前回の会議で「両APIからの参照は可能」との意見が上がったところから、検証結果が報告された。

　切り替え後はユーザー情報がe-Govアカウントに書き出されるため、基本的は不可能だが、新たにライブ連携機能を使用した新規申請時は対応可能だと説明する。ID統合は、労多くして功少なしプロジェクトになりがちだが、同様の課題がe-GovのID基盤運用でも見受けられた。

　電子申請APIは同じIPアドレスからの同時接続数が30アクセス、1分あたり360回のアクセスを超えると遮断する仕組み。だが、新たに同時接続数を200まで拡張した。実際は100アクセスで制限がかかる状況ながらも、参加者からは「制限をなくせばよい」なども意見も寄せられた。

　e-Govアカウントは新規作成の他、「GビズID」や「Microsoftアカウント」を利用した認証も可能である。一般的な利用形態では問題がないものの、参画メーカーによれば「システムで扱っていない手続きが行われるとハッシュ値が異なり、未読の公文書が既読になるなどの弊害がある」という。

　マイナポータルでも同様の事象が発生し、システム改修に至ったことからe-Govの対応を尋ねると、明確な回答に至らなかったものの、複数の改善案を提示した。他にも複数e-Govアカウントの切り替え簡略化や、gビズIDを利用する開発者向けの対応緩和化といった議論も行われた。

　電子申請APIの課題に話がおよぶと、「e-Gov検証環境のAPIレスポンス値が本番を想定しないデータを返す」「申請データのバルク送信時に電子証明書が失効して検知できない」など、複数の問題が議題に挙がった。いずれも証明書に起因する問題だが、デジタル庁の担当者は改善方法を示しつつ、政府内に認証局（CA）や共通機能を用意するといった個人的意見を述べている。

　他にもホワイトリスト／ブラックリストでアクセスを制御している企業向けに、eーGov利用に必要なIP/URLの開示要求も行われたが、政府の重い腰では数年かかる旨が説明された。鳴り物入りで始まったe-Govだが、今回参加した限りでは、ID基盤で多くの課題を抱えているように見える。同会議は今後、月1回開催する予定だ。