接触確認アプリ「COCOA」 無責任・無関心な厚生労働省と請け負った企業は94%の再委託

COCOA_アマビエ 政治・経済

新型コロナウイルス感染者との濃厚接触を知らせるアプリ「COCOA」の不具合は4か月以上放置されていた。修正版を2月18日に配布したが、まだ一部にバグが残っている。

アプリはリリースすれば、それですべてOKとはならない。必ずバグが見つかったり、利用者が想定を超えた使い方で不具合が生じたりするからだ。

4か月もの間、不具合に気づかなかった原因は、厚生労働省と請け負った業者にある。無責任・無関心な厚生労働省だが、業者は請け負うだけの能力がある企業なのか、疑問を感じる。

厚生労働省は、2月18日に接触確認アプリ「COCOA」の修正版を配布。ただし、一部に不具合残る

新型コロナウイルスの感染者と濃厚接触した可能性を知らせるスマートフォンの接触確認アプリ「COCOA」の一部の利用者に接触通知が届いていなかった問題で、厚生労働省は2月18日、修正版の配布を始めた。

ただ、アプリを再起動しないと正確な通知を受けられない不具合が残る上に、外部から新たな問題を指摘されるなど課題は山積している。

厚生労働省によると、

① 基本ソフト(OS)が米グーグルの「アンドロイド」の場合、昨年9月以降は陽性者と接触しても正確な通知が受け取れない。
② 米アップルのiPhoneのOS「iOS」の旧型で接触通知を受け取れない。
③ iOSとアンドロイド双方でアプリが勝手に初期化される。
④ 接触件数が実際より多く通知される。

などの不具合があった。

修正版では、①③④の不具合に対応。ただし、アンドロイドでは不具合が残り、正確な通知を受け取るために利用者に1日1回のアプリの再起動を求める。

②は利用者にiOSのアップデートを求める。一方、iOSで、これらと異なる原因で接触の通知が届かないケースがあるとの外部からの指摘があり、厚労省は調査を進める。

今後は内閣官房IT総合戦略室と厚労省が連携してアプリを運用する。厚生労働省は一連の問題に関する検証チームを省内に発足させ、年度内に再発防止策をとりまとめる方針を示した。

接触確認アプリ「COCOA」不具合、厚労省が修正版配布(毎日新聞 2021/2/18 19:47 最終更新 2/18 23:05)より

不具合を4か月以上も放置した業者丸投げの無責任ぶり

COCOAは、陽性登録者と1メートル以内で15分以上接触をした利用者に通知が送られるスマートフォンアプリ。政府が感染拡大防止の重点施策の一つとして昨年6月から配信を開始し、約2500万人が利用している。

このうち3割強、約770万人に昨年9月末から接触情報が送られていなかった、という。アプリを修正した際、一部の基本ソフトの仕様に適合しなかったとみられる。

アプリに不具合が生じるのは仕方ない。問題は重大な欠陥が4か月以上も放置されたことだ。

技術者が利用するネットサイトでは、昨年11月にCOCOAのプログラムミスが指摘されていたという。年明けには「家族が感染したのに通知が来ない」などとSNSに投稿されるようになり、1月下旬になってようやく、業者から厚労省に不具合が報告された。

厚労省側が気付かなかったのは、アプリの開発も保守管理も業者に丸投げていたからだ。業者の選定、監督に問題はなかったのか、徹底的な検証が必要だ。

<社説>コロナ接触確認アプリ「COCOA」不具合放置は「お粗末」では済まない(東京新聞 2021年2月12日 08時03分)より

丸投げされた開発受注企業も能力の限界を超えていた

現在の体制は、厚生労働省と発注先ベンダー(vendor)の両方が問題を抱えている。

厚生労働省の説明や関係者の話を総合すると、厚労省は発注当初、接触確認アプリに十分な知見のないベンダーや、開発グループを公平に選べない立場にあったベンダーに実質的にベンダー選考を委ねていたからだ。

新型コロナ禍でリリースを急いだとは言え、「技術や開発体制の優劣で開発ベンダーを選ぶ」という選択肢を放棄したことが、現在まで続くバグの遠因になった可能性がある。

遡ると厚生労働省は2020年5月下旬、COCOAの開発をパーソルプロセス&テクノロジー(パーソルP&T)に発注した。当時同じく開発を急いでいた「HER-SYS(新型コロナウイルス感染者等情報把握・管理支援システム、ハーシス)」の発注先が同社だったからだ。

厚生労働省がCOCOA開発を発注した2020年5月当時、パーソルP&Tは単独で請け負えるものではなかった。HER-SYS開発が佳境を迎えていた上、何より同社は接触確認アプリ調達に十分な知見がなかったからだ。

COCOA不具合放置の遠因か、開発ベンダー選定で繰り返された「丸投げ」の実態(日経クロステック/日経コンピュータ 2021.02.15)より

COCOA開発受注企業が事業費94%を3社に再委託、さらに2社に

新型コロナウイルス陽性者との接触を知らせるアプリ「COCOA」の開発で、厚生労働省の委託先の企業が別の3社に、契約金額の94%で事業を再委託していた。同省は再委託比率を「原則2分の1未満」とする規定を設けているが、それを大きく超える比率だった。

厚労省の資料によると、同省はココアの開発業務を3億9000万円でパーソルプロセス&テクノロジーに随意契約で委託している。同社は日本マイクロソフトなど3社に計3億6800万円で再委託し、さらに2社に再々委託もされている。

パーソルは感染者情報を共有するシステム「HER-SYS」の委託先でもあり、その業務と連携するためCOCOAも受注。HER-SYSでも再委託比率は契約金額の93%に上り、COCOAと同様に再委託先の企業が事業の大半を担う構図となっている。

業務の大半が再委託されると、事業の責任が曖昧になる他、役所の監督が及びにくくなるなどの懸念があるため、厚労省は再委託比率が50%を超えることを原則禁止している。

COCOAで94%の再委託を認めた理由について、田村憲久厚労相は19日の衆院予算委員会で「それぞれの得意分野があり、チームで対応して頂くため」と説明した。

厚生労働省の正林督章健康局長は予算委で、どの企業の業務が不具合につながったかは「現時点で分からない」と述べた。

平井卓也デジタル改革担当相は、「アプリそのものの出来があまりよくなかった」「管理も含めて発注者の能力が低いことが一番の問題だ」と指摘した。今後は内閣官房IT総合戦略室がCOCOAの保守・運用などに関与していく考えを示した。

COCOA開発受注企業が事業費94%を3社に再委託、さらに2社に…不具合の原因企業「分からない」(東京新聞 2021年2月20日 06時00分)より

新型コロナウイルス接触確認アプリ「COCOA」って何?

接触確認アプリ「COCOA」とは何か。

スマホにアプリを入れると、他のスマホとブルートゥース(無線通信)機能でやりとりし、接触履歴を自動的に記録していく。1メートル以内の至近距離に15分以上いた相手の情報が暗号化され、14日間記録される仕組みだ。米グーグル・アップルの共通規格を使って運用される。

陽性者との接触はどうやって分かる。

検査で陽性と分かった利用者が自分でアプリに入力すると、14日以内に接触したスマホには「感染者と濃厚接触した可能性」が警告される。

アプリから個人情報が流出しないか心配だ。

アプリは名前や住所、電話番号、位置情報などを記録しない。利用者は無作為の記号で分類され、接触履歴も匿名化される。アプリからは「誰と接触し、誰が陽性だった」といった情報は漏れないはずだ。政府は集まるデータに関し、刑事事件捜査を含め「目的外利用」を禁止する方針だ。

スマホを持つ人は全員導入するのか。

義務ではないし、スマホにアプリを入れる際は本人同意が必要だ。子どもらの利用には親を含む代理人同意が必要になる。

導入されれば、感染拡大は防げるのか。

この仕組みは、一定の割合の人が使わなければ成り立たない。陽性者がアプリを使っていない人と会い続けても、接触履歴として検出されないからだ。英オックスフォード大の研究では「人口の6割がアプリを利用すれば感染拡大を制御できる」とされる。ただ、緊急事態宣言は全面解除され、コロナへの危機感が薄れる中、国民の6割に使ってもらうのは容易ではない。

海外はどういうアプリがあるの。

中国は電話番号や位置情報を集めるタイプ。シンガポールのアプリは電話番号を入力し、無線通信を活用する。オーストリアやスイスなど20以上の国が日本同様、グーグル・アップル規格を使うと表明している。

「コロナ接触確認アプリ」って何? 個人情報に配慮―ニュースQ&A(JIJI.COM 2020年06月02日16時25分)より

厚生労働省 接触確認アプリ よくある質問