【編集部コラム】接触確認アプリ「COCOA」の開発体制が確認できないのはなぜ?

COLUMN,COVID-19

 Android版が昨年9月末から事実上機能していなかったことが明らかになった接触確認アプリ「COCOA」。不具合の深刻さもさることながら、事実上4ヵ月以上も放置されていたことに、一般市民のみならず開発者コミュニティからも批判と落胆の声が渦巻いている。田村憲久厚生労働大臣は会見で何度も謝罪し「信頼を取り戻すために頑張る」と述べたが、今回の不具合があまりにも基本的な見落としだっただけに、果たして大丈夫なのか誰しも不安がよぎるのではないだろうか。現在外部から確認できる開発状況を見る限り分かるのは、開発体制の不透明さだけだった。

GitHubで上がった指摘に2ヵ月以上反応なし

 「COCOA」は、昨年春の開発時に多くのメディアで報じられた通り、多くの開発者が善意で参加し一定条件のもとで開発コードを共有するオープンソースプロジェクトで作られていた「Covid19Radar」をベースにしたアプリだ。このアプリ、そして「COCOA」もライセンス(MPL2.0:リンク先は第三者による非公式日本語訳)に基づいて、開発コードの共有サイト「GitHub」上にソースが公開されている。ライセンスに基づく運用がなされているならば、「COCOA」の開発コードもこのサイト上に随時共有され、不具合情報の共有や修正にあたっての議論も公開で行われるはずだ。

 しかしCOCOAのGitHub上の共有ページ(通常リポジトリと呼ぶ)にある不具合報告掲示板を見ると、あまり活発な議論が行われているようには見えない。掲示板に列挙されている不具合自体も多くないが、実は今回発覚した不具合を昨年11月25日に有志の開発者が指摘していたがまったく反応がなかったのだ。

 技術的な用語説明を割愛した上でかなりざっくりな説明で恐縮だが、Covid19Radar(およびCOCOA)はGoogleとAppleが世界各国の公衆衛生当局のために用意したAPIを利用し、それぞれのAPIが出力する値をもとに、アプリ上で接触確認の判断および通知を行なっている。両社のAPIは目的は同じだが、もちろん細かな動作や出力値まで同じというわけではない。ここに挙げられた指摘は、GoogleのAPIの出力値を受け止める側のある設定値が悪影響を及ぼし、どんな場合でも「接触なし」と判断される可能性があるというものだった。まさに先日厚生労働省が発表した不具合の内容と一致しており、かなり前から不具合は確認されていたと言うべきだろう。

 しかし、この指摘に反応があったのはなんと2ヵ月以上もたった今月。しかも反応したのは受託事業者の開発者ではなく別の第三者だった。この関係者は指摘した協力者に対し改善策について助言を求めているが、不思議なのは厚生労働省からCOCOAの開発運用を受託しているはずの事業者の影がまったく見えないことだ。善意の第三者が不具合を指摘しその証明をするためテストを行い、その際のデータまで共有しているにもかかわらず、反応すら示さないのはあまりにも不自然だろう。

開発の動きは確認できないが、事業者と投下予算は確認

 もちろん、受託事業者がGitHub上の開発ソースを別のところへ持っていき、そちらで開発と管理を行なっていることも十分あり得る話だが、だとしても、自分たちでは見つけられない不具合を善意で見つけてくれているにも関わらず「ほぼ無視」というのは考えられない。3日の会見で田村厚労相は「模擬的なテストだけで実機によるテストをしていなかった」と話したが、それすら本当なのか、果たして「開発チーム」そのものが存在するのかすら疑いたくなるような動きの悪さだ。

 なおCOCOAの開発を受託した事業者については昨年「パーソルプロセス&テクノロジー」であることが明らかにされており、受託予算についても丸山穂高議員の質問主意書に政府が「9460万円」であることを明らかにしている。

関連記事