厚生労働省は4月16日、新型コロナウイルス接触確認アプリ「COCOA」(Android版)で発生したアプリ利用者に接触通知が到達しない不具合について、報告書をまとめ公表した。
新型コロナウイルス接触確認アプリ「COCOA」(Android版)では、2020年9月28日のバージョンアップ(1.1.4 バージョンアップ)以降に利用者に対し接触通知が到達しない不具合が発生しており、厚生労働省では「COCOA 不具合調査・再発防止策検討チーム」を設置、1.1.4 バージョンアップとその後の経過について関係者へヒアリング等を行い、事実関係を調査整理するとともに外部のIT専門家から技術的助言を得ながら、再発防止策等をまとめた。
COCOAは2020年5月27日に、厚生労働省からパーソルプロセス&テクノロジー株式会社に開発と7月31日までの運用保守を委託、株式会社エムティーアイ、日本マイクロソフト株式会社、株式会社IXER、株式会社イーガーディアン、ディザイアード株式会社への再委託を承認し、6月19日にはバージョン1.1.0版をリリース、7月31日にはパーソルプロセス&テクノロジー社との契約を2021年3月31日まで延長していた。また9月1日に、ソースコードをGitHub上で公開、11月25日にはGitHub上でAndroid版の「接触があっても検知・通知が行われない障害」について指摘があり、12月4日に検討リストに追加していた。
同報告書によると、「接触通知までの一連の流れに係る結合テスト」は行わずに1.1.4 バージョンのリリースを行った判断について、当時はテスト環境が整備されておらず一定程度やむを得ない判断であったとしているが、テストを行わずにリリースするリスクを、厚生労働省もCIO補佐官や事業者と同程度に認識していれば、2020年10月12日以降にテスト環境が整備された後に、事後的に当該テストを行うことが優先的な課題として位置付けられた可能性もあったと指摘している。また、関係者間でテスト環境の整備の目的自体が認識共有されていなかった点を問題視している。
テスト環境整備後も、厚生労働省側の問題点として、テストに対する認識が低く業者任せにしたことを、事業者側の問題点として、厚生労働省と具体的かつ明確な認識共有が図れておらず、テスト環境の整備後において標準的なテストケース等の検討・提案などが行われなかったこと等を挙げている。
GitHub上で問題が指摘されたが対応が行われなかったこと等について、2020年9月頃に厚生労働省は GitHub の Issue についての管理を追加依頼したが、事業者側では、誰がいつどのように行うか具体的な業務フローがあいまいであり、その原因として、明確な役割分担が行われておらず、事業者間のコミュニケーションが不足していたため、各々が「他がやっているだろう」という思い込みを持っていたこと等が考えられるとしている。
同報告書では以上を含めたまとめとして、不具合が発生したこと以上に、不具合が4ヶ月間にわたって見逃されたことがより大きな問題であったとしている。
再発防止策として、同報告書では事業の委託・再委託等に当たり、文書等により明確かつ継続的なコミュニケーションの徹底と指示内容の明確化等、重層的な確認を行うことが適切として挙げている。
同報告書で取り上げられた、テストを行わずにリリースするリスクの認識、関係者間でテスト環境の整備の目的自体が認識共有されていなかったこと、業務フローがあいまいで明確な役割分担が行われていなかった点、コミュニケーションが不足し、各々が「他がやっているだろう」という思い込みを持っていた点などは、不正アクセス対策やヒューマンエラーによる情報漏えい等の全てのセキュリティ管理に関わることと言えるだろう。
新型コロナウイルス接触確認アプリ「COCOA」(Android版)では、2020年9月28日のバージョンアップ(1.1.4 バージョンアップ)以降に利用者に対し接触通知が到達しない不具合が発生しており、厚生労働省では「COCOA 不具合調査・再発防止策検討チーム」を設置、1.1.4 バージョンアップとその後の経過について関係者へヒアリング等を行い、事実関係を調査整理するとともに外部のIT専門家から技術的助言を得ながら、再発防止策等をまとめた。
COCOAは2020年5月27日に、厚生労働省からパーソルプロセス&テクノロジー株式会社に開発と7月31日までの運用保守を委託、株式会社エムティーアイ、日本マイクロソフト株式会社、株式会社IXER、株式会社イーガーディアン、ディザイアード株式会社への再委託を承認し、6月19日にはバージョン1.1.0版をリリース、7月31日にはパーソルプロセス&テクノロジー社との契約を2021年3月31日まで延長していた。また9月1日に、ソースコードをGitHub上で公開、11月25日にはGitHub上でAndroid版の「接触があっても検知・通知が行われない障害」について指摘があり、12月4日に検討リストに追加していた。
同報告書によると、「接触通知までの一連の流れに係る結合テスト」は行わずに1.1.4 バージョンのリリースを行った判断について、当時はテスト環境が整備されておらず一定程度やむを得ない判断であったとしているが、テストを行わずにリリースするリスクを、厚生労働省もCIO補佐官や事業者と同程度に認識していれば、2020年10月12日以降にテスト環境が整備された後に、事後的に当該テストを行うことが優先的な課題として位置付けられた可能性もあったと指摘している。また、関係者間でテスト環境の整備の目的自体が認識共有されていなかった点を問題視している。
テスト環境整備後も、厚生労働省側の問題点として、テストに対する認識が低く業者任せにしたことを、事業者側の問題点として、厚生労働省と具体的かつ明確な認識共有が図れておらず、テスト環境の整備後において標準的なテストケース等の検討・提案などが行われなかったこと等を挙げている。
GitHub上で問題が指摘されたが対応が行われなかったこと等について、2020年9月頃に厚生労働省は GitHub の Issue についての管理を追加依頼したが、事業者側では、誰がいつどのように行うか具体的な業務フローがあいまいであり、その原因として、明確な役割分担が行われておらず、事業者間のコミュニケーションが不足していたため、各々が「他がやっているだろう」という思い込みを持っていたこと等が考えられるとしている。
同報告書では以上を含めたまとめとして、不具合が発生したこと以上に、不具合が4ヶ月間にわたって見逃されたことがより大きな問題であったとしている。
再発防止策として、同報告書では事業の委託・再委託等に当たり、文書等により明確かつ継続的なコミュニケーションの徹底と指示内容の明確化等、重層的な確認を行うことが適切として挙げている。
同報告書で取り上げられた、テストを行わずにリリースするリスクの認識、関係者間でテスト環境の整備の目的自体が認識共有されていなかったこと、業務フローがあいまいで明確な役割分担が行われていなかった点、コミュニケーションが不足し、各々が「他がやっているだろう」という思い込みを持っていた点などは、不正アクセス対策やヒューマンエラーによる情報漏えい等の全てのセキュリティ管理に関わることと言えるだろう。
