~eLTAXをお使いの皆様へ~
 Java実行環境が不要になります
 (中略)
 ※電子署名を付与する場合に、ActiveXコントロールのインストールが必要です
 

 地方税電子化協議会が運営する地方税電子申告システム「eLTAX(エルタックス)」のWebサイト上で2016年3月3日に掲載された案内(PDF)が、IT技術者の間で波紋を呼んでいる。

「eLTAX(エルタックス)」のWebサイト
「eLTAX(エルタックス)」のWebサイト
[画像のクリックで拡大表示]

 eLTAXではこれまで、Web上で利用届出や申請などを行う際の電子署名を、Javaアプレットで実行していた。だが、Java実行環境(JRE)の更新に伴うJavaアプレットの動作確認が間に合わず、旧バージョンのJREのインストールを利用者に求めることがたびたびあった。

 eLTAXでは、2016年3月14日からJREに代わり、動作確認が不要なActiveXを採用。このとき掲載した利用案内では、Internet Explorer(IE)設定で「署名済みActiveXコントロールのダウンロード」を「有効」にすることを利用者に求めた。

 この設定を有効にすると、IEによる事前の警告なしにActiveXコントールがインストールされるため、サイバー攻撃に悪用されるリスクが高まる。セキュリティ研究者の高木浩光氏は2016年3月14日に公開したブログで、eLTAXがセキュリティを低下させる設定を利用者に強いた点を痛烈に批判した。

 これに加え、eLTAXがJREに代わってActiveXを採用したこと自体についても、IT技術者から疑問の声が挙がっている。ActiveXは米マイクロソフトの最新Webブラウザー「Edge」が非対応を表明するなど、中長期的にはサポート外となることが見込まれる技術だからだ。ActiveX大国とされる韓国でも、脱ActiveXへの取り組みを官民挙げて進めている。

 今後、マイナンバーカードの普及や利用拡大が見込まれるとすれば、WebブラウザーでICカードの電子署名や利用者証明の機能を使う場面が増えることも予想される。なぜeLTAXは、電子署名に当たってActiveXの採用を迫られたのか。eLTAXを運営する地方税電子化協議会 システム部 部長の松山正男氏に聞いた。

現行のeLTAXでは、どのようなプロセスにActiveXを使っていますか。

 地方税の電子申告そのものには、ActiveXは不要です。ActiveXが必要になるのは、eLTAXの新規利用届出を受け付けるシステムで、これは初回登録として1回だけ使うものです。一度登録が完了すれば、あとはeLTAXサイトで無償配布しているWindowsアプリケーション「PCdesk」を使い、電子申告データの入力、ICカードやソフトウエア電子証明書による電子署名、署名済みデータの送信まで行えます。市販の税務ソフトを使っても構いません。

 eLTAXは2005年1月に運用を始め、バージョンアップを重ねながら今に至っています。利用者は、法人の委託を受けた税理士や、大企業であれば企業内税理士が多いです。複数の認証局に対応し、住民基本台帳カードやマイナンバーカードなども使えますが、多くのユーザーは日本税理士連合会が発行するICカードを使っています。

電子署名のためにJavaアプレットを採用したのはいつからですか。

 2005年1月にeLTAXの運用を始めた当初から、Webフォームで入力した利用届出データへの電子署名にJavaアプレットを使っていました。ここで登録した電子証明書を、電子申告における証明書と照合することで、利用者IDや暗証番号と合わせて本人を確認します。初回登録のためだけにソフトウエアをインストールしてもらうのは煩雑なので、インストールの手間が不要なJavaアプレットを採用しました。

 システムの開発と運用を委託したのはNTTデータで、その後に運用委託先がNECフィールディングに変わり、2014年9月からは再度NTTデータに委託しています。