全3600文字
PR

2021年2月、厚生労働省は接触確認アプリ「COCOA」の障害を明らかにした。Android版で「接触を検知・通知できない」不具合を4カ月以上放置していた。障害の直接の原因は2020年9月に実施した改修時のパラメーター変更ミス。2020年11月には外部の第三者がバグを指摘したものの開発チームは見逃した。テストにも問題があったが、根本には調達時の不透明なベンダー選定が影を落とす。

 新型コロナウイルス感染症対策の切り札として期待されていた「COCOA(ココア)」。そのCOCOAを「無用の長物」と化すバグが4カ月以上も見過ごされていた。厚生労働省は2021年2月3日、COCOAのAndroid版に陽性登録したアプリ利用者と接触しても検知しないという接触確認の根幹に関わる不具合があると明らかにした。

 直接の原因は2020年9月28日のAndroid版「1.1.4」への改修にある。COCOAのベースである米アップルと米グーグルが提供するソフト基盤「Exposure Notification API」は「接触あり」と判定するパラメーターがiOSとAndroidで異なる。開発チームは改修の際、アップルの指示に従ってパラメーターを変更した。そのとき誤ってAndroid版のパラメーターも変更してしまい、接触を判定できなくなった。

省かれていた「実機テスト」

 実はCOCOAの不具合が放置されたのは今回が初めてではない。初期バージョンにあった通知機能のバグの修正に3カ月を要するなど、不具合の発見と修正が遅れる傾向が続いていた。厚労省は自ら実施するはずの受け入れテストの環境を持たず、ベンダーからの各種報告の「レビュー」だけで「動作確認」ができていたと判断していたのだ。

 今回の不具合については厚労省が公表する前の2020年11月にはアプリ利用者や独自にアプリを解析した開発者がその可能性を指摘しており、2021年1月にはそれらを基に複数のメディアが不具合の可能性を報じた。ここでようやく厚労省が動く。「報道などを受けて、実機を用いてベンダーとともにテストした」(COCOAを担当する厚労省健康局結核感染症課)ことで、ようやくバグに気がついた。

 COCOAの開発において、ベンダーは模擬的な環境でアプリの機能をテストしていた。ただ、1.1.4に限らず、それ以前からリリース時に実機を用いたテストをしないケースが多かったという。厚労省はベンダーのこうしたテストのやり方を認識していたものの、厚労省側もベンダー側も実機を用いたテストをしていない点を、品質上のリスクと認識していなかった。

「元請けに再委託先の選考を一任」

 テストの状況からも分かるように、COCOAの保守開発体制は、厚労省と発注先ベンダーの両方が問題を抱えている。ただ根本原因を究明するならば、厚労省の前任者らが関わっていた発注プロセスが最善だったのかという点まで遡って検証すべきだ。

 というのも厚労省の説明や関係者の話を総合すると、厚労省は発注当初、接触確認アプリに十分な知見がないベンダーや、公平に開発グループを選べない立場にあったベンダーに実質的にベンダー選考を委ねていたからだ。コロナ禍で発注を急いだとはいえ、「技術や開発体制の優劣で選ぶ」という選択肢を放棄したことが、現在まで続くバグの遠因になった可能性がある。

 遡ると厚労省は2020年5月下旬、COCOAの開発をパーソルプロセス&テクノロジー(パーソルP&T)に発注した。当時同じく開発を急いでいた「HER-SYS(新型コロナウイルス感染者等情報把握・管理支援システム)」の発注先が同社だったからだ。

図 厚生労働省が調達したシステムとベンダー発注体制
図 厚生労働省が調達したシステムとベンダー発注体制
HER-SYSで確保した予算の一部を振り分ける形でCOCOAを発注(出所:厚生労働省の資料を基に日経コンピュータ作成)
[画像のクリックで拡大表示]

 厚労省がCOCOAの開発を発注した2020年5月当時、HER-SYSプロジェクトのために元請けベンダーとなったパーソルP&Tにとって降って湧いた接触確認アプリの開発は単独で請け負えるものではなかった。HER-SYS開発が佳境を迎えていたうえ、何より同社は実態として接触確認アプリの調達に十分な知見がなかったからだ。

 そこで同社は2020年5~6月のCOCOA開発初期、「アプリの調達やプロジェクト管理を日本マイクロソフトに全面的に頼った」(パーソルP&TのDXソリューション統括部の責任者)。日本マイクロソフトはパーソルP&Tの下請けとしてHER-SYSの工程管理などを担当していた。

 その結果、パーソルP&Tを元請けに、PMO(プロジェクト・マネジメント・オフィス)や技術支援で日本マイクロソフトが、COCOA向けクラウドの監視でFIXERが、COCOAの保守開発でエムティーアイが再委託先に名を連ねた。このとき発注者である厚労省は「再委託先はパーソルP&Tに一任しており、厚労省は一切関与していない」(健康局結核感染症課)という。

 厚労省はHER-SYSで確保した予算9億4000万円(2020年度第1次補正予算時点)の一部を振り分ける形で、COCOAの開発をパーソルP&Tに発注。同社はそのうち1615万円をエムティーアイに支払う契約を結んだ。契約当初は保守開発でなく主にユーザーサポート業務を想定していた。その後厚労省は予算を積み増し、2021年2月時点でパーソルP&Tがエムティーアイなどに支払ったCOCOA開発関連費は約3億9000万円になっている。