FC2ブログ

記事一覧

COCOAバグ放置 繰り返された「丸投げ」の実態(2021年2月25日配信『日本経済新聞』)

キャプチャ

新型コロナウイルス感染症対策の切り札と期待されていた厚生労働省の接触確認アプリ「COCOA(ココア)」。そのAndroid(アンドロイド)スマートフォン版で「接触を検知・通知できない」という根幹機能に関わる不具合(バグ)が4カ月以上放置されていた問題は、開発体制の見直しや原因調査に波及しようとしている。

「アプリそのものの出来があまりよくなかった」――。平井卓也デジタル改革相は2月9日、現状のCOCOAについてこう断じ、今後は内閣官房IT総合戦略室がCOCOAの保守・運用などに関与していく考えを示した。一方でCOCOAを担当してきた厚労省は2月18日、バグ発見が遅れた原因について厚労省職員らで構成するチームによる調査を実施すると発表した。

現在の体制は、厚労省と発注先のIT(情報技術)ベンダーの両方が問題を抱えている。ただ原因を究明するならば、厚労省の前任者らが関わっていた発注プロセスが最善だったのかという点まで踏み込んで検証すべきだ。

というのも厚労省の説明や関係者の話を総合すると、厚労省は発注当初、接触確認アプリに十分な知見がないITベンダーや、開発グループを公平に選べない立場にあったITベンダーに実質的に選考を委ねていたからだ。コロナ禍でリリースを急いだとはいえ、「技術や開発体制の優劣で開発企業を選ぶ」という選択肢を放棄したことが、現在まで続くバグの遠因になった可能性がある。

「元請けに再委託先の選考を一任」

遡ると厚労省は2020年5月下旬、COCOAの開発をパーソルプロセス&テクノロジー(パーソルP&T)に発注した。当時同じく開発を急いでいた「新型コロナウイルス感染者等情報把握・管理支援システム(HER-SYS)」の発注先が同社だったからだ。

厚労省がCOCOA開発を発注した20年5月当時、HER-SYSプロジェクトのために元請け企業となったパーソルP&Tにとって降って湧いた接触確認アプリの開発は単独で請け負えるものではなかった。HER-SYS開発が佳境を迎えていたうえ、何より同社は実態として接触確認アプリ調達に十分な知見がなかったからだ。

「20年5月当時は接触確認アプリの開発が複数のグループで進んでいることは認識していたが、詳しい開発状況を把握していなかった」。パーソルP&Tで一連の厚労省案件を担当しているDXソリューション統括部の責任者は20年9月に日経クロステックの取材にこう答えている。

そこで同社は20年5月~6月のCOCOA開発初期、「アプリの調達やプロジェクト管理を日本マイクロソフトに全面的に頼った」(パーソルP&TのDXソリューション統括部の責任者)。日本マイクロソフトはパーソルP&Tの下請けとしてHER-SYSの工程管理などを担当していた。

その結果、パーソルP&Tを元請けに、PMO(プロジェクト・マネジメント・オフィス)や技術支援で日本マイクロソフトが、COCOA向けクラウドの監視でFIXER(東京・港)が、COCOAの保守開発でエムティーアイが再委託先に名を連ねた。このとき発注者である厚労省は「再委託先はパーソルP&Tに一任しており、厚労省は一切関与していない」(健康局結核感染症課)という。

キャプチャ3
厚労省が調達したシステムとITベンダー発注体制

厚労省が調達したシステムとITベンダー発注体制

開発費の流れはこうだ。厚労省はHER-SYSで確保した予算9億4000万円(20年度第1次補正予算時点)の一部を振り分ける形で、COCOAの開発をパーソルP&Tに発注した。パーソルP&Tはそのうち1615万円をエムティーアイに支払う契約を結んだ。ただし契約当初は保守開発でなく主にユーザーサポート業務を想定したものだった。

その後、厚労省は予算を積み増して、最終的にパーソルP&Tからエムティーアイなどに支払われたCOCOAの開発関連費は約3億9000万円にのぼるという。21年2月8日に田村憲久厚労相が国会で答弁した。

実質的にはマイクロソフトが選考か

COCOAやHER-SYSの開発において、日本マイクロソフトは厚労省との契約主体ではない。しかし厚労省がHER-SYSの開発企業を急ぎ探していた20年4月、ITベンダーの選考会に参加して営業活動を展開していたのは実は同社だった。

パーソルP&TやFIXER、エムティーアイは、いずれも日本マイクロソフトのクラウドサービス「Azure(アジュール)」の有力な開発パートナーでもある。各社は厚労省の選考に勝ち残った「日本マイクロソフトの呼びかけでプロジェクトに参加した」(パーソルP&TのDXソリューション統括部の責任者)。

契約段階でパーソルP&Tが元請け企業となった理由は、関係者によれば「製品の提供に徹してシステム開発案件の契約は開発パートナーに任せる」という、日本マイクロソフトの方針によるものだった。

20年4月当時、接触確認アプリを巡っては、民間の3グループが開発を進めていた。行政のIT化を支援する非営利団体のコード・フォー・ジャパンと、日本マイクロソフトの技術者らが中心となった有志の開発グループ「COVID-19 Radar」、そして開発意向を内々に表明していた楽天だ。内閣官房IT総合戦略室や経済産業省などが3者の一本化に動いたが調整がつかず、当時は3グループそれぞれが独自にアプリを開発・配布し、政府がそれを容認しながら普及を図る方針だった。

だが20年4月下旬に事情が変わった。接触確認アプリの基盤を世界的に提供していた米アップルと米グーグルが、接触確認アプリの提供元は各国の公衆衛生当局に限るという「1国1アプリ」と打ち出したからだ。厚労省はそれまで「接触確認アプリ導入に冷ややかだった」(関係者)が、アップルとグーグルの鶴の一声で「公衆衛生当局」として調達を担当することになったのだ。

前述の通り、ここで厚労省は接触確認アプリの開発先の調達をパーソルP&Tに「一任した」。さらに接触確認アプリの十分な知見がなかったパーソルP&Tは日本マイクロソフトにCOCOAの調達やプロジェクト管理を任せる形を取った。「丸投げ」が連鎖したわけだ。

注意が必要なのは、日本マイクロソフトは接触アプリを公正に選べる立場になかった点だ。COVID-19 Radarには同社社員もおり、その接触確認アプリはサーバーの稼働環境にAzureを使い、グーグルの基本ソフト(OS)AndroidとアップルのOSであるiOSで共通に稼働するコードを開発するツールには同社の「Xamarin(ザマリン)」を使っているなど関係が深かった。

厚労省は当時、こうしたITベンダー側の事情も知る立場にあったとみられる。事前に日本マイクロソフトなどと調達方針について話し合いや調整があった可能性もある。

事実を明らかにすべく、日経クロステックは日本マイクロソフトと厚労省に対して、COCOAの開発先を選んだ当時の経緯について20年9月から複数回取材を申し込んできた。これに対して日本マイクロソフトは取材に応じず、厚労省は当時の経緯の説明を避けている。事実として残っているのは、COCOAの原型にはCOVID-19 Radarが開発したソースコードが採用されたことだ。

さらに、現状では調達方法が最善だったかを外部から検証することが難しくなっている。厚労省が20年6月19日にCOCOAの最初のバージョンをリリースした後、COVID-19 Radarの中心メンバーは接触確認アプリの開発から離れることを表明し、6月末には当時の調達に関わった厚労省の担当者も異動したからだ。

COCOAは基盤の要件がころころ変わるなか、国民にどれぐらい使ってもらえるかを効果検証しながら開発しなければいけない種類のアプリである。厚労省は今回の失敗を繰り返さないためにも調達プロセスなどを徹底的に正す必要がある。

(日経クロステック/日経コンピュータ 玄忠雄




スポンサーサイト



プロフィール

gogotamu2019

Author:gogotamu2019
障害福祉・政治・平和問題の最新ニュース・論説紹介

最新記事

カテゴリ