厚労省がCOCOA不具合の検証報告書、体制不足および関係者の認識不足を明らかに
厚生労働省の調査検討チームが16日、今年2月に発覚した接触確認アプリ「COCOA」のAndroid版がまともに動作していなかった不具合を4ヵ月あまりも放置していた件などについての報告書をまとめ、公開した。アプリ開発当初からの主な関係者に聞き取り調査し、厚労省担当部局のリソース不足や担当者の認識不足、受託事業者側の情報共有・意識共有の欠如、また両者間で取り交わされた契約内容に起因する認識のズレなど多くの点を指摘している。
テスト環境構築遅れ、完成後も周知されず
「COCOA不具合調査・再発防止策検討チーム」によって41ページにまとめられた今回の報告書は、昨年の開発開始当初から関係していた歴代の政府CIO担当補佐官、のちに担当となった厚生労働省、受託事業者側の関係者に聞き取り調査した内容とその評価を記載したもの。開発過程と不具合が放置された過程を時系列に追いつつ、聞き取り内容を詳述している。
その中でまず明らかになった点として、問題となった不具合を発生させたバージョンをリリースした昨年9月28日以後の10月12日に、一貫したテストが行える環境が構築されたものの十分に関係者に周知されていなかった事実があげられている。周知されなかったことで、十分なテストを経ていなかった当時の最新版の再テストがなされず、不具合が長期間放置される一因となったとされた。そもそも開発当初からテスト環境は構築されていてしかるべきだが、報告書が示す聞き取り内容によると、受託事業者内での優先度が高くなく、リソース不足もありエンジニアの手があいたときに作業するような状態だったという。また厚労省の関係者も、契約は請負契約であり成果物責任は受託事業者側にあって、品質管理は事業者側でするものという認識だったと明かしている。
GitHubの不具合報告関連は「当初契約書に記載なし」、対応有無の認識共有もなし
またもっとも批判された点である、COCOAの元ソースを公開している共有サービス「GitHub(ギットハブ)」に寄せられていた不具合報告がほとんど無視されていた事実に関しても聞き取りがなされた。受託事業者によると、そもそも当初契約にはGitHubへの対応は盛り込まれておらず、あくまで自主的にエンジニアがフォローするような状態だったが、厚生労働省側の懸念もあり追加で契約内容に盛り込まれたという。その後再委託事業者が、GitHubで報告されている事象を開発チーム間で共有する掲示板に転記するフローが追加され、問題の不具合(昨年11月25日にGitHubに投稿されたもの。既報)も、昨年12月4日に転記したという。しかし結局、ほかの不具合対応もありその重要度が共有されることはなかった。
転記を担当していた再委託事業者は、転記するまでがタスクであり重要度の評価については責任を持っていないとし、転記したリストは関係者が見られる状況にあったとしているが、厚労省の担当者は聞き取りに対し「週1回打ち合わせしているのに、転記しただけで報告しないのはちょっと違うのではないか」と反論している。またこの再委託事業者の上流にある委託事業者は、再委託事業者に対し「重要度の確認」も要請していたとしているが、転記を担当した再委託事業者内ではそのような認識はなかったとしている。
不具合放置を加速させた「誰かがやっているだろう」という思い込み
報告書ではさまざまな場面で、こうした関係者の思い込みや誤認識が明らかになっている。報告書では改めて以下のようにまとめている。
・ 厚生労働省が、GitHub の確認は事業者に依頼しているのだから、事業者側が確認し、必要なエスカレーションをしてくるものだと思っていた点
・ また、1.1.4 バージョン(不具合を発生させた9月28日リリースのバージョン)は通知対象者を適正化することを目的としていたので、通知件数が減ったのは意図した改修結果だと思っていた点
・ 委託事業者が、プロジェクトマネジメント側として、再委託事業者に重要度の確認をお願いしたつもりでいた一方、再委託事業者は、自分たちの役割は表を作るところまでであって、優先順位をつけるのは別のところでやるという認識であった点
特に散見されるのは厚生労働省は「事業者側がやっているだろう」、委託事業者は「再委託事業者がやっているだろう」、再委託事業者は「それは自分たちの役割ではない」と他者に責任を押し付けたいかのような発言をしている点。確かに、税金を投入した案件でこれだけ騒ぎになり批判を受けているだけに、発言した内容如何では法的な紛争や行政処分の要因になりかねないという面もあるが、真相解明という点において関係者が真摯に協力したのか疑問を持たざるを得ない。
ただし、報告書は大きな原因のひとつとして「厚生労働省職員にはアプリの開発や運用に関する知識や経験が乏しく、人員体制も十分とは言えない中で、発注者としてプロジェクト全体を適切に管理できていなかった。厚生労働省と事業者、事業者間での責任や役割分担が不明確であった面もあり、そこには契約の在り方も影響している」と発注者側の責任について明確に指摘。そのほかにテスト環境の重要性認識と整備の遅れも原因のひとつとし、再発防止策としてこれらの解消のため、テスト環境とテストシナリオの整備を開発当初から行うこと、発注者(厚生労働省)と委託事業者双方のプロジェクトマネジメント能力の強化、常に不具合対応を求められるアプリの性質を考慮した概算契約の必要性などを求めている。
【2021/4/16 21:00追記】COCOAの開発委託先であるパーソル プロセス&テクノロジーは16日、報告書の発表を受け、不具合を発見できなかった事実を重く見て受託金額の一部1200万円を自主的に返納すると発表した。なお厚労省の資料によれば、同社は厚労省からCOCOAの開発運用を3億9036万円で受託しており、日本マイクロソフトら3社などに計3億6842万円で再委託している。
外部リンク:COCOA不具合調査・再発防止策検討チーム報告書ページ(厚生労働省)
外部リンク:新型コロナウイルス接触確認アプリ「COCOA」受託金額の一部自主返納に関するお知らせ(パーソル プロセス&テクノロジー)