新型コロナウイルス接触確認アプリCOCOAの不具合を長期放置。開発体制の課題を考察

2021年2月に新型コロナウイルス接触確認アプリ「COCOA」のAndroid版にて不具合が判明したことは記憶に新しいと思います。

しかし、本件は2020年9月に発生した不具合が5か月も放置され、発覚しなかった点が大きな課題です。

また、細かな不具合であればそのようなケースもあり得ますが、内容が「陽性者と接触しても通知されない」という、アプリの機能そのものにかかわる内容でした。

なぜこのような事態になったのか、開発体制もあらためて含めて解説します。

COCOAの開発体制について概観

本件不具合について、公式にプレスリリース等で公表しているのは、発注者である厚生労働省と、元請けのパーソルプロセス&テクノロジーの2者です。

パーソルプロセス&テクノロジーが元請けであることは、厚労省の「企業支出詳細情報」サイトで間接的に確認可能で、「新型コロナウイルス感染者等情報把握・管理～設計・開発及び運用・保守一式（７月・8月）」として支出があります。

2か月分の支出を合計すると約4億4956万円となり、アプリ開発としては相当な予算が充てられています。

厚生労働省による公開資料「接触確認アプリCOCOAの 現状と課題」では、2020年8月以降の体制として下記であったことが示されています。

元請け：
パーソルプロセス＆テクノロジー株式会社（PMO支援、工程管理、品質管理）

再委託先：
株式会社 エムティーアイ （運用、保守開発、カスタマーサポート）
※一部業務をエムティーアイから再々委託
日本マイクロソフト 株式会社 （PMO支援、技術支援）
株式会社FIXER （クラウド監視）

 

ここからは、実質的な運用・保守開発を担っていたのは株式会社エムティーアイ（ルナルナなどが有名）であるとみてとることができます。

エムティーアイからの再々委託先については、有志の情報開示請求により、変更契約書が開示・公開されており、そこから判断できます。

この契約書によると、当初は株式会社FIXERのみに再委託していたところから、2020年5月段階で、多数の企業に再委託する形になったことがわかります。

＜再委託変更後の事業者と業務範囲＞
・株式会社FIXER：新型コロナ感染者等情報把握管理システムの開発、監視運用、サポートデスクの一部業務、およびサービスの提供
・株式会社エムティーアイ：接触確認アプリケーション開発の一部、リリース後のヘルプデスク/運用保守業務
・日本マイクロソフト株式会社：PMO支援、技術支援
・株式会社イーガーディアン（再々委託）：アプリ利用者向けのサポート業務。メールサポート（日本語/英語）・接触者に対する電話サポート（日本語のみ）
・ディザイア―ド株式会社（再々委託）：初期研修業務の一部、及び保守開発準備業務の一部

 

また、筆者が個人的に気になるのは、要件定義に相当する有識者会議の参加者に開発ベンダー所属の人物が見当たらないことです。

仮に私の想定する前提に立てば、開発現場の意見が全く吸い上げられないまま会議が進んでいる可能性もあり、開発現場は「上から降ってきた」要件を対応していた可能性が高いです。そうなっているのだとすれば、今回の不具合発生・不具合が長期に放置された遠因でしょう。

厚労省の契約ルールについて

今回の接触確認アプリについては「随意契約」の形式であったと言われています。

随意契約を行う場合については「会計法」の第29条の三に記載があります。

４　契約の性質又は目的が競争を許さない場合、緊急の必要により競争に付することができない場合及び競争に付することが不利と認められる場合においては、政令の定めるところにより、随意契約によるものとする。

 

基本的に、国と契約を行う場合は競争入札が基本である旨が定められており、今回は納期要件が非常に短かったことから、「緊急の必要により競争に付することができない場合」であると判断でき、随意契約としたことは違和感がありません。

しかし、納期が短いとはいえ、「4億円」という予算および、再委託の変更申請を通したことが妥当であったかは疑問が残ります。

この経緯については3月末をめどに「COCOA不具合調査・再発防止策検討チーム」による報告書が公開される予定です。

IT業界で多重下請け構造が起きる理由。対策はあるか？

各種報道によると、SIer（システムインテグレーション = 顧客の依頼により、情報システム構築～運用・保守を一貫して担う企業）の場合は一次受けが「要件定義のみ」を行い、二次受け以降が開発・実装をする……という構造でありその点の批判も多くありますが、私自身はSIerでの業務経験がないため、言及を控えます。

ただ、私のこれまでの経験上、自社開発できる体力がある開発会社・事業会社であっても、「完全に自社社員のみで賄えるケース」は稀です。

「IT化が求められるプロダクト・業務」が減らない限り、業務委託を依頼したり、開発あるいは運用・保守を外部の企業に再委託したりするケースを完全に排除するのは難しいです。

さらに、新型コロナウイルス流行拡大により、人々の直接の接触が制限されています。インターネットを活用することで、人々の直接接触を防ぐ効果があるため、「IT化が求められるプロダクト・業務」は依然として増加傾向です。

「最後まで自社で開発し、同じチームで保守・管理できる」企業を目指すのがお勧めですが、これも別の難しさがあり、残念ながら明確な解決策はありません。

参考資料

厚生労働省「Android版接触確認アプリの障害について」（https://www.mhlw.go.jp/stf/newpage_16532.html）

パーソルプロセス&テクノロジー「新型コロナウイルス接触確認アプリ「COCOA」で発生した 不具合の解消・改善について」（https://www.persol-pt.co.jp/news/2021/02/18/4984/）

厚生労働省「企業支出詳細情報」（https://www.mhlw.go.jp/spending/cdetail?ckigyo=%E3%83%91%E3%83%BC%E3%82%BD%E3%83%AB%E3%83%97%E3%83%AD%E3%82%BB%E3%82%B9%EF%BC%86%E3%83%86%E3%82%AF%E3%83%8E%E3%83%AD%E3%82%B8%E3%83%BC%E6%A0%AA%E5%BC%8F%E4%BC%9A%E7%A4%BE&ckingaku=449%2C560%2C831&cnendo=%E4%BB%A4%E5%92%8C2%E5%B9%B4%E5%BA%A6）

厚生労働省「接触確認アプリCOCOAの 現状と課題」（https://cio.go.jp/sites/default/files/uploads/documents/techteam_20200917_02.pdf）

政府CIOポータル「第３回 接触確認アプリに関する有識者検討会合 議事概要」（https://cio.go.jp/sites/default/files/uploads/documents/techteam_20200917_08.pdf）

日本法令外国語訳データベースシステム「会計法第29条の三　4項・5項」（http://www.japaneselawtranslation.go.jp/law/detail/?id=2044&vm=01&re=）

厚生労働省「接触確認アプリ「COCOA」の不具合の発生経緯の調査と再発防止の検討を行います」（https://www.mhlw.go.jp/stf/newpage_16838.html）