2021年2月に新型コロナウイルス接触確認アプリ「COCOA」のAndroid版にて不具合が判明したことは記憶に新しいと思います。
しかし、本件は2020年9月に発生した不具合が5か月も放置され、発覚しなかった点が大きな課題です。
また、細かな不具合であればそのようなケースもあり得ますが、内容が「陽性者と接触しても通知されない」という、アプリの機能そのものにかかわる内容でした。
なぜこのような事態になったのか、開発体制もあらためて含めて解説します。
COCOAの開発体制について概観
本件不具合について、公式にプレスリリース等で公表しているのは、発注者である厚生労働省と、元請けのパーソルプロセス&テクノロジーの2者です。
パーソルプロセス&テクノロジーが元請けであることは、厚労省の「企業支出詳細情報」サイトで間接的に確認可能で、「新型コロナウイルス感染者等情報把握・管理~設計・開発及び運用・保守一式(7月・8月)」として支出があります。
2か月分の支出を合計すると約4億4956万円となり、アプリ開発としては相当な予算が充てられています。
厚生労働省による公開資料「接触確認アプリCOCOAの 現状と課題」では、2020年8月以降の体制として下記であったことが示されています。
元請け:
パーソルプロセス&テクノロジー株式会社(PMO支援、工程管理、品質管理)再委託先:
株式会社 エムティーアイ (運用、保守開発、カスタマーサポート)
※一部業務をエムティーアイから再々委託
日本マイクロソフト 株式会社 (PMO支援、技術支援)
株式会社FIXER (クラウド監視)
ここからは、実質的な運用・保守開発を担っていたのは株式会社エムティーアイ(ルナルナなどが有名)であるとみてとることができます。
エムティーアイからの再々委託先については、有志の情報開示請求により、変更契約書が開示・公開されており、そこから判断できます。
この契約書によると、当初は株式会社FIXERのみに再委託していたところから、2020年5月段階で、多数の企業に再委託する形になったことがわかります。
<再委託変更後の事業者と業務範囲>
・株式会社FIXER:新型コロナ感染者等情報把握管理システムの開発、監視運用、サポートデスクの一部業務、およびサービスの提供
・株式会社エムティーアイ:接触確認アプリケーション開発の一部、リリース後のヘルプデスク/運用保守業務
・日本マイクロソフト株式会社:PMO支援、技術支援
・株式会社イーガーディアン(再々委託):アプリ利用者向けのサポート業務。メールサポート(日本語/英語)・接触者に対する電話サポート(日本語のみ)
・ディザイア―ド株式会社(再々委託):初期研修業務の一部、及び保守開発準備業務の一部
また、筆者が個人的に気になるのは、要件定義に相当する有識者会議の参加者に開発ベンダー所属の人物が見当たらないことです。
仮に私の想定する前提に立てば、開発現場の意見が全く吸い上げられないまま会議が進んでいる可能性もあり、開発現場は「上から降ってきた」要件を対応していた可能性が高いです。そうなっているのだとすれば、今回の不具合発生・不具合が長期に放置された遠因でしょう。