法人番号システムWeb-APIについて考える。

公表される法人番号は誰でも利用できるのが特徴で、Web-APIも用意される。
仕様や規約はこちらのPDFにまとめられている。

マイナンバーのセミナーでAPIの存在を聞いた際、WEBサイトの入力フォームなどで[郵便番号]→[住所入力]のような企業情報の入力補助に使えるという印象を持っていた。

ただしこのAPI、利用するにはシステムごとの「アプリケーションID」が必要で、「アプリケーションID 発行届出書」を提出してIDを発行してもらう。（※PDF内別紙）
そこまでは良いのだが、「Web－API機能の利用規約」を読むと気になる一文が。

（IDの通知等）
第4条
2 利用者は、発行を受けたID の管理責任を負うものとし、第三者に譲渡、貸与又は開示してはならないものとします。

「開示してはならない」ということは、ソース内のjavascriptなどユーザが簡単に確認できる位置にアプリケーションIDを記載するのはNGなのだ。
サーバサイドで稼働するプログラム内に記載するのなら大丈夫なのだろうか、共有サーバでは危ないだろうか。
その際はアプリケーションIDを暗号化しなければならないのか、毎日暗号キーを変更する必要があるのか。POSTでサーバ側で処理するなら行けるか。

おそらくはクローズドな環境でのシステムだけ想定しているのか。
システムごとに取得が必要なアプリケーションIDの「発行届出書」に「使用予定ドメイン」の項目くらいあっても良いと思うのは私だけか。

オープンな一般ユーザ向けWEBサイトのシステムで利用できる日は来ないかもしれないが、「自社開発テスト用」という名目でアプリケーションIDを申請してみようと考えている。