昨日2017年1月4日から、国税のクレジットカード納付サイトが開設された。
実際のサイトは下記。
国税庁のほうには国税クレジットカードお支払いサイトの説明がある。
[手続名]クレジットカード納付の手続|納税証明書及び納税手続関係|国税庁
色々謎の部分があるので、謎は謎のままとして、判明した部分も含めてまとめた。
https://t.co/2qk4MlTVvI の謎
— 🐶 (@shigeo_t) 2017年1月4日
・トヨタファイナンス受託だけどサーバ証明書はGMOペイメント
・受託案件だからgo.jpは取れないにせよ、EVじゃないのはどうなの?
・そして1円で落札した案件(手数料収入で運営費用を賄うのか?)
続きもある。県税や市税でも、同じ問題を抱えるサイトが出てきた。
謎1 トヨタファイナンスの受託案件だけど
国税クレジットお支払サイトには先頭に、
本サイトは、国税庁長官が指定した納付受託者(トヨタファイナンス株式会社)が運営する国税のクレジットカード納付専用のサイトです。
と書いてある。
最初のブックマークの通り、国税庁からトヨタファイナンスが受託した案件であることは、国税庁の調達サイトでも示されている。2016年5月分(Excel)である。
https://www.nta.go.jp/sonota/chotatsu-kobai/chotatsu/tekiseika/documents/2805-3.xlsx
これだと単位が分からないけど、1円受注だった。調べてみると、単価1円で5,280,000件の契約ということらしい。
最初、この件数を見落としていた。
ところがである。国税クレジットお支払サイトの最下部にある「プライバシーポリシー」や、「このサイトについて」「個人情報の取り扱いについて」などには全部GMOペイメントゲートウェイ株式会社の名前が出てくる。
そして運営形態は下記の通り。ツイートでは書いていないけどDNSはIIJ。
国税クレジットカードお支払サイトは、ネットブロックのオーナーは株式会社アイネット、ホスティングはSB、サーバ証明書はGMOペイメントだな。受託者はトヨタファイナンスだけど、GMOペイメント運営ってこと?まあ、ありうる組合せかも。 https://t.co/M6BCV3YUVL
— 🐶 (@shigeo_t) 2017年1月4日
サーバ証明書はブラウザでわかるが、それ以外もaguse.jp: ウェブ調査やNetcraft Site report for kokuzei.noufu.jp で調べてみるとわかる。
運営実態はどう見てもGMOペイメントゲートウェイ。トヨタファイナンスが運営しているという部分が見えてこない。
これは脱法行為ではないのか。おそらく、このサイトを企画し運営している実態的運営者は実はGMOであって、指定事業者になる資格要件を満たさないのか、トヨタファイナンスに顔を貸してもらっているような状況ではないのか。とすれば、運営者としてGMOのロゴをデカデカと貼れない事情が見える。
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
この説なんだろうなあ。都税 クレジットカードお支払サイトも同じくGMOペイメントゲートウェイ。都税のほうも東京都とトヨタファイナンスの契約なんだが、サイト内のあちこちにGMOペイメントゲートウェイが出てくる。この納付サイトは、国税庁や東京都主税局とGMOペイメントゲートウェイが直契約できる要件を満たさない部分があって、トヨタファイナンスに前に立ってもらったのかも。
GMOペイメントゲートウェイってたくさん書くと、ゲシュタルト崩壊するw
GMOペイメントゲートウェイは、決済代行できる会社を調べると必ず名前が出る大手。なので、この手の案件でGMOペイメントゲートウェイが出てくることについては、契約形態を除けば違和感は無い。
一方のトヨタファイナンスは、クレジットカード事業についてはイシュアーやアクワイアラ業務はやっているけど、決済代行はやっている様子が無い。
発注元の国税は、再委託を許可している案件なんだろうか? https://t.co/Uf3rglupVG
— 🐶 (@shigeo_t) 2017年1月4日
『国税庁より納付受託者の指定を受け、GMOペイメントゲートウェイとの提携により』 /トヨタファイナンス、国税のクレジットカード納付開始へ | マイナビニュース https://t.co/zwOdS06T0B #マイナビニュース
— 🐶 (@shigeo_t) 2017年1月4日
「提携」って微妙な表現だな。
— 🐶 (@shigeo_t) 2017年1月4日
謎2 なぜgo.jpじゃないの?なぜEV SSLじゃないの?
謎1にも挙げたように、運営実態がトヨタファイナンス/GMOペイメントゲートウェイだとすると、go.jpが取得できないというところまでは分かる。しかし、このようなサイトでEV SSL証明書を使わない理由は謎のままである。単にケチなのか、GMOペイメントゲートウェイの担当者がEVを知らないだけなのかも謎である。都税のほうも同じ。
でも、サイト内にはトヨタファイナンスが受託って書いているのに、サーバ証明書を受けているのがGMOペイメントってマズいんじゃねーの? https://t.co/M6BCV3YUVL https://t.co/drilThk1QA
— 🐶 (@shigeo_t) 2017年1月4日
発注形態上go.jpが使えないというところまでは仕方ないが、(URLやサーバ証明書まできっちり見たりしない一般人にとって)フィッシングサイトと見分けが付けにくいOV SSL証明書はまずい。
都税のほうはこういうサイトもある。
と思ったら、国税の方もこういうサイトができていた。
謎3 単価1円×5,280,000件の契約
再掲だが落札情報一覧4(政府調達) : インターネット上でのクレジットカードによる国税の納付受託業務の委託(単価契約)5,280,000件という国税庁からトヨタファイナンスが受託した落札情報がある。
落札内容には期間が無い。5,280,000件で打ち切りなのかな。で、受託者トヨタファイナンス、実質的な運営者GMOペイメントゲートウェイとして、なんらかの分け前の分配がある5,280,000円で、このようなサイトというか納付事務を運営できるものなんだろうか。それとも5,280,000円以外にも手数料収入があるスキームなんだろうか。実入りが少ないからケチってEV SSL証明書にしなかった?
もうひとつは、法的な問題。オレも国税通則法を見てみたけど、どう解釈すべきかは分からなかったので意見は無し。だからこのエントリのタイトルも「謎」とした。
代わりにひろみちゅ先生のツイートを貼っておく。多分このように解釈するんだろうなとは思うが、今のところ同意でも不同意でもない。
指定納付受託者とは、国税通則法34条の3が規定する「納付受託者に対する納付の委託」による納付を認める受託事業者として同法34条の4が規定するところにより、国税庁長官が指定するもの。この34条の3は「国税を納付しようとする者は…納付受託者に納付を委託することができる。」というもの。
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
Webサイトからのクレジットカードによる国税の納付は、所得税法等の一部を改正する法律(平成28年3月31日法律15号)での改正により認められたもので、この改正部分は、附則1条ニの通り、平成29年1月1日に施行された。
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
https://t.co/ZlPXgoxyL1
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
確かに「インターネット上でのクレジットカードによる国税の納付受託業務の委託」という政府調達があったようで、ここに「委託」とあるものの、どういう部分を委託しているのかが鍵。仕様書を見ればわかりそう。Webサイト運営の委託ではないはず。
https://t.co/ytW7pbNenf
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
確かに国が委託していると誤読しがちであるが、利用者は、自分(納税者)がトヨタファイナンスに納付を委託するのだということをちゃんと理解した方がよい。そのために、本来、このサイトは、「納税は当社に委託してください」と書くべきだろう。 pic.twitter.com/tnFgRjLV6Y
改正国税通則法34条の3 1項1号及び2号(e-gov未掲載)
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
一 第34条第1項(納付の手続)に規定する納付書で財務省令で定めるものに基づき納付しようとするとき。
二 電子情報処理組織を使用して行う納付受託者に対する通知で財務省令で定めるものに基づき納付しようとするとき。
この1号に当たる納付を認める事業者として国税庁長官が指定した事業者は以下の通り。https://t.co/MZuIcDoNvx
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
ファミリーマート、セブンイレブン、ローソンなど各コンビニ事業者が指定されている。
そして2号に当たる納付を認める事業者として国税庁長官が指定した事業者は以下。https://t.co/PO8b5aSTza
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
トヨタファイナンス一社となっている。
(これが1社でいいのか個人的には疑問を感じる。競争上の観点と、セキュリティ事故を前提とした国民の選択の余地から。)
GMOが事故を起こしたとき、国税庁は、指定事業者としての指定を取り消すことを検討しこそすれ、直接的に責任を負うものではない(だから政府ドメイン名での運営は不適切)わけで、トヨタファイナンスが責任を負うというのが、国税通則法34条の4の趣旨であろう。
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
この注意事項の直上には「利用規約確認」とあるが、利用規約は存在しない。こんな素人業者をよく指定したものだ。国税通則法34条の4の趣旨に照らして、不適合事業者として指定を取り消す事案ではなかろうか。今後もこのようなサービスを継続していくには、こんな前例を許してはならないだろう。 pic.twitter.com/dazYTQnwot
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
https://t.co/nUKpinrJow
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
まさにそうで、「国税クレジットカードお支払サイト」がローソンやセブンイレブン等の各コンビニ会社と横並びであるのは、改正国税通則法34条の3 1項各号の通りだ。だからこそ、最初の話に戻って政府ドメイン名で運営すべきとする事案ではない。
https://t.co/nUKpinrJow
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年1月4日
まさにそうで、「国税クレジットカードお支払サイト」がローソンやセブンイレブン等の各コンビニ会社と横並びであるのは、改正国税通則法34条の3 1項各号の通りだ。だからこそ、最初の話に戻って政府ドメイン名で運営すべきとする事案ではない。