厚労省は１６日、新型コロナウイルスの接触確認アプリ「COCOA（ココア）」の不具合が長期間放置された問題の内部調査を下記のとおり公表した。
専門人材がおらず、
業者任せの役所の体質。
再委託、再々委託による無責任の連鎖。
コロナ対策の重要なツールになるはずだったアプリに霞が関の悪弊が凝集していた。

以下、厚労省報告書抜粋
１．調査の目的等
○ 新型コロナウイルス接触確認アプリ「COCOA」（以下「COCOA」という。）を Android 端末で利用する者に対し接触通知が到達していない不具合が、令和2年9月28日のアプリのバージョンアップ（1.1.4バージョンアップ）以降に発生していた。

○ 厚生労働省において「COCOA 不具合調査・再発防止策検討チーム」を設置。
1.1.4 バージョンアップとその後の経過について関係者へのヒアリング等を行い、事実関係を調査整理するとともに外部のIT専門家から技術的助言を得ながら、再発防止策等をまとめた。

２．評価
（１）各局面での対応
① 「接触通知までの一連の流れに係る結合テスト」（以下「一連の流れに係るテスト」）は行わず1.1.4バージョンのリリースを行った判断について
○ プッシュ通知が多発する問題について、保健所の負担軽減のため改修を急ぐ必要があったこと、テスト環境が整備されていなかったことを踏まえると、一定程度やむを得ない判断であった。ただし、一連の流れに係るテストを行わずにリリースするリスクを、厚生労働省も CIO補佐官や事業者と同程度に認識していれば、テスト環境が整備された後に事後的に当該テストを行うことが優先的な課題として位置付けられた可能性もあった。 また、テスト環境がない当時においても、他のテスト方法によって、（不具合の原因の特定までは難しかったかもしれないが）Android 端末で通知がされない状況自体は把握できていた可能性はあった。

② 昨年10月12日にテスト環境が整ったことについて
○ 事業者側から厚生労働省を含む関係者に報告があったが、関係者全体でその重要性が認識・共有されていたとは考えにくく、結果として、一連の流れに係るテストの実施を優先的課題として位置づけることが、明示的に検討されることもなかった。関係者間でテスト環境の整備の目的自体が認識共有されていなかった点も問題であった。

③ テスト環境が整ったあとのテスト実施について
○ 厚生労働省側の問題として、一連の流れに係るテストという重要課題に対する認識が低く、業者任せにしてしまっていたこと、事業者が厚生労働省から指示された優先課題への対応に追われて、当該テストの実施にまで手が回らない状況を結果として作り出していたことが挙げられる。

○ 事業者側の問題点として、
各作業項目に係る最終的な品質管理の実施主体について厚生労働省と具体的かつ明確な認識共有が図れていなかったこと、関係者間の打ち合わせは頻度として相当数行われていたが、丁寧なコミュニケーションが行われていたとは必ずしもいえないこと、テスト環境の整備後において標準的なテストケース等の検討・提案などが行われなかったこと等が挙げられる。

④ GitHub上に指摘が掲載されたが、その対応の検討が行われなかったこと等について
○ 昨年9月頃に厚生労働省はGitHubのIssueについての管理を追加で依頼したが、事業者側は、誰がいつどのように行うか具体的な業務フローがあいまいであった。その原因は、明確な役割分担が行われなかったこと、事業者間の丁寧なコミュニケーションが不足しており、各々が「他がやっているだろう」という思い込みを持っていたこと等が考えられる。

（２）業務体制等
① 厚生労働省の体制等について
○ COCOAの開発や運用保守を引き受ける上で必要となる体制強化について、幹部職員を含めて、十分な状況把握及び対応がなされていなかったと考えられる。アプリの開発・運用保守は不具合の検証・修正を継続的に行っていくことが通常である点を踏まえれば、組織としてノウハウを蓄積する観点から人員体制が講じられるべきであった。
○ また、意思決定等は数名の職員に集中し、専門性が高いことも相まって、幹部を含めて他の職員によるチェックが働きにくい状態であった。CIO補佐官の配置も含め、専門的判断を行うことができる人員が不足していた点も指摘せざるを得ない。

② 事業者の体制等について
○ 事業者の役割分担や担当業務に不明瞭な部分があった点は、今回の事態を招く要因の一つ。具体的には、厚生労働省と委託事業者との間で、委託事業者の業務範囲に認識のずれがあったこと、GitHub の指摘の重要性を判断・検討してプロジェクトチームにエスカレーションするという業務フローが明確になっていなかったこと等が挙げられる。

③ 厚生労働省と事業者、事業者間の連携について
○ 関係者間で業務の進捗状況を共有する等のため打ち合わせは頻繁に行われていたが、優先順位付けの見直しについての検討が提案された事実は見受けられない。また、そのような検討を行うプロセス自体、業務フローとして明確に組み込まれていない。関係者間で一つ一つの問い合わせや課題が確実に認識共有され、必要に応じてエスカレーションされる業務フローであったとは言い難い。

（３）全体を通して
○ アプリで不具合が発生してしまうこと自体は避けられない面もあるが、感染防止対策をしっかりと講じていく必要があるという点からは、発生した不具合に早く気づき、原因を突き止め、迅速に対応していくことが非常に重要。

○ 今回の不具合のシステム上の原因は、AndroidとiOSの挙動の差異であったが、1.1.4バージョンのリリース前後において当該挙動の差異に気が付くことは難しい面があった。

○ 不具合が発生したこと以上に、不具合が４ヶ月にわたって見逃されたことがより大きな問題であった。不具合が見逃された原因は、一連の流れに係るテストの環境が早期に整備されず、また適切なテストが実施されなかったことであり、かつ GitHub の指摘などを不具合の発見や改修に活かすことができなかったこと等であった。

○ その背景には、昨年６月の COCOA リリース時点でテスト環境が整備されておらず、また不具合の原因を調べるためのログ送信機能も実装されていない状況で、頻発する不具合への対応や公衆衛生上の観点から必要な改修に追われていたことがあった。

○ また、厚生労働省職員にはアプリの開発や運用に関する知識や経験が乏しく、人員体制も十分とは言えない中で、発注者としてプロジェクト全体を適切に管理できていなかった。厚生労働省と事業者、事業者間での責任や役割分担が不明確であった面もあり、契約の在り方も影響していると考えられる。

○ なお、不具合発覚から修正版リリースまでの一連の対応は、比較的迅速に行われたと考えられる。また、不具合を把握していたにもかかわらず隠していた等の事実は確認されていない。

３．再発防止策
（１）システム関連事業の実施方法等について
○ 国が主導的にアプリ等を開発・運用保守を行う事業では、開発当初より外部システムとの結合テストを実施するための環境を整備し、一連の動作検証を行うことが適切（品質管理徹底のため、定点観測的に動作確認を行うことも考えられる。）。

（２）業務体制・関係者の連携体制等について
○ 「思い込み」の発生を防止するため、関係者間のより継続的かつ明確なコミュニケーションをより緊密に行っていくこと、事業者側のプロジェクトマネジメントの機能強化や、厚生労働省側における開発・運用保守を委託した立場として全体の進捗管理や優先順位付けの見直し等を行うための体制・機能強化を講じていくことが必要。

○ アプリ開発・運用保守に当たって、不具合等が発生することをあらかじめ織り込んだ人員体制の確保、外部からの指摘等を適時・適切に把握し、その重要性等について、専門的視点も含めて判断しプロジェクトチーム内へエスカレーションを行うことができる体制の整備、事業全体における優先順位等を俯瞰的に検討・判断する人員の配置等が求められる。

○ 事業の委託・再委託等に当たって、文書等により明確かつ継続的なコミュニケーションの徹底、指示内容の明確化等、重層的な確認を行うことが適切。
○ システム関連の事業等に係る重要性を改めて組織として認識するとともに、要所要所で適切な判断・進行管理等を行えるよう、政策判断を担う管理職自身が一定のITリテラシーを持つこと、加えて、職員全体の IT リテラシーの底上げを図っていくことが求められる。並行して、今後のシステム関連の事業実施に当たって、積極的に、外部の有識者の活用や内閣官房情報通信技術（IT）総合戦略室との連携・協力を図っていく必要。

（３）システム関連事業の契約について
○ アプリ開発・運用保守のようなリリース後も都度不具合の対応が必要な事業は、概算契約のような不確定要素がある契約の在り方を検討する必要。
○ 契約締結に当たり、適切な工数や納期及びそれらに見合った体制等の設定が必要。オープンソースコミュニティーの関与の在り方や責任の所在をどのように位置づけるか等も整理が必要。

（４）その他、COCOA を国民の皆さまに安心してお使いいただくために、COCOA に関する情報を分かりやすく適時・適切に提供していくことも含め、上述の再発防止策と相まって、しっかりとした運用につなげていくことが重要。

【参考】 COCOAの開発から今回の不具合解消に至るまでの事実関係（抄）
日時 事実関係等
R2年 5/8(金) ○テックチーム第３回会合 ※接触確認アプリの実装に向けて以下の役割分担で進めていくことを確認。
テックチーム（コロナ対策室、IT室事務局） 仕様書案の策定、Apple と Google の仕様評価、プライバシー保護の評価、アプリ普及につき厚生労働省と連携 協力企業 (一社)Code for Japan・(株)楽天等アプリの仕様案策定等に協力、アプリ普及に向けた周知活動等の協力 厚生労働省 テックチームから提供された仕様書案を用いてアプリ開発・実装・運用、アプリ普及につきテックチームと連携

5/27(水) ○パーソルプロセス＆テクノロジー株式会社に接触確認アプリ開発及び7/31までの運用保守を委託。（HER-SYSの開発・運用保守に係る契約の追加契約）

○エムティーアイ、日本マイクロソフト、FIXER、イーガーディアン、ディザイアードへの再委託を承認。
6/19(金) ○バージョン「1.1.0」版をリリース。
7/31(金) ○パーソルプロセス＆テクノロジー株式会社との契約を翌年３/31まで延長。（契約変更）
9/1(火) ○COCOAのソースコードをGitHub1上で公開。（厚生労働省HPで周知）
9/28(月) ○Android版バージョン「1.1.4」を配布。
10/12(月) ○テスト2環境の整備が完了。
11/25(水) ○GitHub上でAndroid版の「接触があっても検知・通知が行われない障害」について指摘。
12/4(金) ○GitHub上の当該指摘について、検討リストに追加。
R3年1/8-25 ○SNS・報道を通じてアプリ通知に関わる情報が増加している状況を受け、事業者においてテストを実施。
1/25(月) ○厚生労働省と事業者との打ち合わせにおいて、Android 端末が想定と異なる出力をしていること等が報告された。
2/1(月) ○1/29 までの報告により、障害の全体像・詳細が概ね明らかになったことから、事務次官及び医務技監に報告。同日、大臣に報告。
2/2-3 ○厚生労働省と事業者との間で継続的に打ち合わせを行い、不具合が判明した経緯の事実関係や技術的詳細等を確認。
2/3(水) ○大臣が夕方に記者会見。プレスリリース。
2/18(木) ○バージョン「1.2.2」配布
○「COCOA 不具合調査・再発防止策検討チーム」で、昨年９月 28 日のバージョンアップとその後の経過について事実関係を調査整理し、再発防止策等をとりまとめる旨を発表。
以上、

政府に巣食う方々が関与する企業への発注が際立ち、組んずほぐれずの関係の電通様への発注やプレハブ小屋が本社の会社へのアベノマスク発注、機能しないHER-SYSなど、異常さが際立っている。巣食った人物が関与する会社が新コンピュータ開発で１００億円以上を使い込まれた総務省など各省庁。
世界一の借金大国になった原因は政府に巣食う人物たちのご意見によるものだろうか。
COCOAの問題は再委託を続けた結果、各社利益だけをとり予算もなくなり、最後の業者は仕事を丸投げされ、やってられるかと・・・。

厚労省のお役人も受注先もヒトの命にかかわるアプリだという認識が０だったことにすべてが起因している。
オープンソース利用でもろくにシステム開発できない日本政府のひも付き軍団の現実ではないのだろうか。