接触確認アプリCOCOA」で新型コロナの陽性者との接触がユーザーに通知されない不具合が見つかった問題で、厚生労働省4月16日、検証結果を公表した。アプリの保守管理を巡り「適切にテストが行われなかった」「業者任せにしていた」などの課題が浮き彫りになった。

【その他の画像】

 厚労省は検証に当たり、職員や開発事業者など関係者にヒアリング。不具合が見逃された原因は「テスト環境が早期に整備されず、適切なテストが実施できなかった」と結論付けた。背景には厚労省側にアプリ開発に関する知識や経験を持った専門人材が不足していた点や、新型コロナ対応で人員体制が十分ではなかった点があるという。報告書は「発注者としてプロジェクト全体を適切に管理できていなかった」とした。

 不具合は2月3日Androidアプリで発覚。その後、iOSアプリでも初期化されてしまう不具合が見つかった。これらを受け、厚労省は修正版を配布した上で、内閣官房IT総合戦略室(IT室)との検証チームを立ち上げていた。

●「他でやっているだろう」の思い込み コミュニケーション不足の“多重下請け”

 ソースコード共有サイト「GitHub」では20年11月に、通知の不具合について指摘する声があったものの、迅速な改修に生かせなかった。

 厚労省GitHubに上がるさまざまな指摘事項への対応について、9月に事業者へ依頼。通知不具合の指摘については12月に検討リストへ追加したという。しかし事業者側での業務フローが曖昧で、明確な役割分担ができておらず、対応できなかったという。報告書は「事業者間の丁寧なコミュニケーションが不足しており、各々が『他がやっているだろう』という思い込みを持っていた」と指摘している。

 COCOAの開発は当初、パーソルプロセス&テクノロジー東京都江東区)が元請けとして工程管理を引き受け、同社が日本マイクロソフト、FIXER(港区)、エムティーアイ(新宿区)に再委託。さらにエムティーアイがディザイアード(千代田区)とイー・ガーディアン(港区)に再々委託をしていた。4月からは運用の委託先がパーソルプロセス&テクノロジーからエムティーアイに変更された。

 こうした結果を踏まえ、厚労省テスト環境を整備した上での動作検証の徹底や、関係者間の円滑なコミュニケーション、不具合の発生を想定した人材配置などを再発防止策に掲げた。職員全体のITリテラシーを高めるため、積極的な外部有識者の活用やIT室との連携も図る。不具合発生を受け、現在、COCOAの運用はIT室が主導する形に変更されている。

 ただ、今回の検証対象はAndroidアプリの不具合のみで、その後、発覚したiOS版の不具合や、米GoogleAppleの接触通知APIの最新版への対応が放置されていたことなどは検証の対象外。厚労省は「4カ月間放置されていたという事の重大性を鑑みて、Androidアプリの不具合のみを検証対象とすることを決めた」としている。

 COCOAの検証結果に対しては、IT室を所管する平井卓也デジタル改革担当相も言及した。16日の会見で平井大臣は「アプリの改修時に実機によるテストを事業者に求めている他、政府CIO補佐官がGitHubを確認して、有志の民間技術者コミュニティーとのコミュニケーションをすでに開始している」と報告。「IT室としても今回の事案への対応を教訓としてデジタル庁の設置準備に生かしていきたい」と話している。

厚生労働省