初めに断っておきたいですが、僕はSEではなく、システムのことは詳しくありません。それでも今回のワクチン予約システムの欠陥に関する報道や反応には違和感を感じるので、書き留めておきたいと思います。結論からいうと「確かにクソシステムであるかもしれないが、超短納期と防衛省固有の事情を考慮するとやむをえなかった可能性があるし、システム会社には責任はなかった」というものです。

 ----------------------------------------------------------------------------------------------

twitterを見ていたらこんなニュースが流れてきた

毎日新聞 on Twitter: "東京と大阪で始まったワクチンの高齢者向け大規模集団接種。架空の接種券番号や、65歳未満となる生年月日でもウェブ予約できることについて、防衛省の担当者は「善意に頼ったシンプルな予約システム。いたずらで予約されては必要な人の予約が取れない」と呼びかけています。
https://t.co/OGvOABpEsx"

 さらに予約システムの欠陥が端的にまとめられた５ちゃんのコピペも回ってきた

このニュースを聞いた各位の反応は「日本も終わったな。。」「これはひどいし、情けない」というような反応だった。システム開発に詳しそうな方も以下のようなコメントをしていた

「システム開発に疎い人だからかスピード優先なら理解できるみたいなの流れてきたけど、まともなエンジニアなら悪意持たなきゃ起きないレベルの瑕疵なんだよね。。。海自の調理担当がネットで調べて一夜漬けで作ったっていうならわかるけど。。。」

「「防衛庁から随意で委託した先の会社に派遣されてきたパソナの名ばかり派遣SE(パソナの研修受けただけで経験無し0年生、氷河期世代)1人に丸投げされて、その人がググりながら一晩で作ったみたいなレベル」という表現に改めさせていただきます。」

散々な言われようだ。また、開発を請け負った会社の経営顧問に竹中平蔵氏がいることがわかり、ネットでは、「また竹中か！」「どうせ竹中の利権で受注をとった会社が中抜きしてクソ安いコストで適当なシステムを作ったからこうなったんだろう」という声があがり、炎上気味になりつつあった。

しかし本当にそうなのだろうか。。ワクチンはどれだけ早く打てるかの勝負だ。「予約システム開発が遅れたからワクチンが打てませんでした」では話にならんので、スピード優先で開発するという方向性は間違っていないと思う。そして今回の欠陥は要件定義の不備に起因しているので、開発を担当したにすぎず、おそらく火中の栗を拾ったであろうシステム会社が叩かれるのは違うと思う。受注したシステム会社のグーグルマップにはいやがらせのコメントが集中しているようだ

前提条件の整理

今回のワクチン予約の件、結局何が問題かといえば、「架空の接種券番号や65歳未満となる生年月日でも予約できてしまう」ことにつきる。つまりシステムでは本人確認がほぼできていないといっていい（SQLインジェクションの話や同じ番号を入れて予約するとその前の予約がキャンセルされる話は、ガセの可能性があるので除外）

なぜこんなことが起きたのか？

一言でいえば、納期の都合で「接種券番号を含む個人情報をDBに持たせない」構成にしたからだ。接種番号はそれぞれの自治体が発番するため、接種番号と接種者の情報を紐づけるデータをシステムが持っておらず、そのため65歳以上だろうと架空の人物だろうと予約ができてしまう（と理解している）。

システム会社の責任は？

上記の問題だとしたら、これは要件定義の問題である。システム開発は要件定義→論理設計→物理設計・開発→移行運用と進むところを、今回の問題は要件定義に問題があったという話であって、このシステム要件は防衛省が決定した話ではないのだろうか。

竹中さんが経営顧問をやっているシステム会社が、請負責任を負って開発するのは、物理設計・開発工程からであって、システム会社は、防衛省に言われたとおりのシステムを、超短納期（3週間ともいわれている。unbelivable...）でおそらく血反吐を吐きながら作っただけなのではないだろうか。開発工程にミスがあったならシステム会社が責められるのはわかるが、そうではなく、要件は防衛省が決めている以上、システム会社は何かできたのだろうか。

IT業界の多重下請け構造は今に始まったことではないから、その中でひどい中抜きがあったのか、竹中氏のコネを使って受注したのかどうかはわからないが、もしそれが仮にあったにせよ、この予約システムの不備とは直接何にも関係しない話である。少なくともこの要件定義が悪いのだとしたら、責任を負うべきなのは一義的には防衛省であって、この会社ではないはずである。

個人的には、コネ入札どころか、超短納期の官公庁案件で大手はどこも逃げたところを自治体向けのweb予約サービスの導入実績を買われて小規模ながら抜擢され、火中の栗を拾ったのが現実ではないかと推測している。

なぜ防衛省はそんな要件定義をしたのか？

納期が非常に短かったからだろうと思っていた。それは間違っていなかったが、岸大臣から5月17日に以下のツイートがあった。

本センターの予約システムで、不正な手段による虚偽予約を完全に防止する為には、全市長区町村が管理する接種券番号を含む個人情報を予め防衛省が把握し、予約番号と照合する必要があり、実施まで短期間等の観点から困難かつ、全国民の個人情報を防衛省が把握する事は適切でないと判断いたしました。

— 岸信夫 (@KishiNobuo) 2021年5月17日

 つまり接種券番号を個人と紐づけるためには当然に全国民の個人情報を防衛省が抑えることが必要にあるが、もしそんなことをしたら本邦サヨクが何と言って抗議するかわからず、いまだにマイナンバー制度すらうまく機能しないほど個人情報にうるさい国で、これは無理だと判断したのだろう。さらに、ワクチンの予約システムを早期に完成させることは官邸からの必達事項であったから、これらの問題を同時に解決するウルトラＣとして、おそらく通常のシステム開発ではありえないであろう「接種券番号を含む個人情報をDBに持たせない構成」を思いついたのではないだろうか。

「そもそもなんで防衛省が管轄するんだ」とか、「もはや予約システムなくてもよくね」という疑問はあるものの、防衛省の立場になって、やらなければならない立場に追い込まれていたとしたら、この選択しかなかったという気もする。仮に不正な予約をしても現場で本人確認をすれば不正な接種は防げるので、若干の混乱は生じえるものの、大した話ではないような気もするし、現場の運用でカバーできるなら、早期リリースを重視した判断は理解できる。そして攻撃を仕掛ける側も仮にワクチン予約を混乱させたところで、金銭的な利益を得られるわけではない。

これ以外によくみた批判として、「ワクチン接種がこの時期に来ることはわかっていたのだからなぜもっと早期に準備できなかったのか。時間は1年あったはずである」というものがある。

Hiromitsu Takagi on Twitter: "接種券と予約方式の設計を1年前からやっておくべきだったということでしょうね。
https://t.co/79te6HUyDd"

これは一理あると思う。しかし、ワクチンが5月に届いたのは結果論で、ファイザーとの交渉は難航し、これだけのワクチンが確保できるとわかったのはつい最近のことである。現在の官公庁の発注システムで、来るかどうかもわからないワクチンのために、予算をとって予約システムを先行して発注することはできるのだろうか。。1年前なんてワクチンができるかどうかすら全く判明していなかった。

いや、もちろんそれができるシステムを構築してほしいと思うが、官公庁相手にほぼ奇跡的にワクチンが1年でできたことを見越して行動しとけというのは無理がある気がする。。 

コロナに対する政府の対応は問題は多いし、ワクチン接種ももっと早くできたのではという気もするが、結局、現場でなければ見えない風景はあると思うので、批判するにしてもできるだけそれを想像しながら慎重にやりたいとは思っている。