見出し画像

2021年4月までに発生した国内三大障害事例の調査報告書から学んだ3つのこと

あれっくす / 株式会社マンハッタンコード



■ケース1:みずほ銀行におけるシステム障害に関わる応対状況

調査報告書のPDFはこちら

2021年2月28日から始まり、3月3日、3月7日、3月12日と立て続けに障害が発生したみずほ銀行から4月5日に調査報告書が発表されました。

【発生事案】
2月28日:ATMが停止、カードや通帳が取り込まれる
3月3日:ATMが停止、カードや通帳が取り込まれる
3月7日:みずほダイレクト取引不能
3月12日:外為送金遅延、到着案内遅延

ぜひ報告書を一読してほしいと思いますが、忙しい人向けのまとめです。

【原因】
・取引量の多い月末にリリースした判断ミス
・開発時の考慮漏れや誤認識、テスト不十分 x 2回
・ハード不良(基板、ネットワーク機器故障)x 2回
・ソフト不良(システム間連携を考慮しない)

【影響】
・システムのバグ探しに注目してて、顧客対応が後回しになった
・ATMがエラー出した時にカード、通帳を取り込む状態になってる


■ケース2:コロナ接触確認アプリのAndroid版不具合

調査報告書のPDFはこちら

2020年9月28日にAndroid向けアプリでバージョンアップ時に発生した不具合を、2021年2月18日に修正バージョンアップまでの間4ヶ月間ほど放置することになり、対応することができなかった。2021年4月16日に調査報告書が発表されました。

【発生事象】
・Android端末で利用する者に対し接触通知が到達していなかった
・不具合が生じるのは仕方ないが、約4ヶ月に渡って問題が見逃されていた

こちらも報告書を一読してほしいですが、忙しい人向けのまとめです。

【原因】
・テスト環境が整備されないままリリースした
・判断すべき厚生労働省側の担当が問題が重要だと認識されていなかった
・厚生労働省側の担当がテストを事業者任せにしてしまった
・事業者側は厚生労働省から指示された優先課題を対応していた
・品質管理体制について具体的かつ明確な認識共有が図れていなかった
・担当者と事業者、事業者間でのコミュニケーションが適切ではなかった
・GitHubの指摘などを不具合発見や改修に活かすことができなかった
・契約のあり方も影響していると考えられる

【影響】
・特段の記述なし
(利用者の3割にあたる772万人が影響を受けたとの報道あり)


■ケース3:ジェネリック薬製造大手の違法処理

小林化工の調査報告書のPDFはこちら

爪水虫などの治療薬に睡眠導入剤成分が混入していた問題で、2020年11月に服用した80代男性が亡くなっていたと発表。12月10日にも70代女性が亡くなっている。この問題について2021年4月16日に調査報告書が発表されました。
当該の企業は医薬品の自主回収を行っていますが、ジェネリック医薬品による治療を行っている人の数を考えると世の中に与える影響は計り知れません。

【発生事象】
・水虫薬に睡眠薬成分が混入して多数の健康被害が発生(死亡事故も?)

製造業に関わる人は是非一読してほしいですが、忙しい人向けのまとめです。

【原因】
・品質検査テストを通過させるために意図的に検査設定値を改竄
・部署全体が試験は適合するもの前提で動いているので異常検知できない
・品質保証部による異常検知が隠蔽され、報告されていなかった
・上位者の指示が絶対であり、下からの問題提起が許されない風潮
・軍隊のような組織で従業員は管理の対象であり、育成の対象では無い
・問題発生時に上司に相談しても「でしゃばるな」と叱責を受ける
・現場からの報告が何度も無視される環境が出来上がっていた

【影響】
・1,105品目 2,514アイテムの自主回収
・売れ筋のアレルギーの薬が世の中から消える
・同業他社が需要を受けすぎてパンク状態


■学んだ3つのこと

各事例においては人為的なコントロールの効かない事故などもあったでしょうが、全ての事例に共通して見られる事象が以下の通りでした。

【共通して発生したこと】
1、品質管理機能に課題がある
2、専門知識を持って業務判断できる担当者が不足している
3、ユーザーのことが考えられていない

1、品質管理機能に課題がある
品質管理は製造業において最も重要なセクションでもあります。
品質保証を専門的に担当する人がいる現場と、いない現場では製品の性能に雲泥の差が出ます。
私は長らくシステム開発やソフトウェア開発の仕事をしてきましたが、テスター軽視・テスト工程軽視は未だ業界に根強く残っています。要件定義や設計フェーズの遅れをテスト工程で賄おうとする文化はそこかしこで見られます。
一方でアジャイル開発を主体とする現場ではテストが資産という認識があり、QAエンジニア(Quality Assurance=品質保証)などという専門職も生まれ、こちらの認識も広がりつつあります。

テストは製品が仕様通りに動いているかの確認工程で、リリースをする前に想定通り動くのかという製品の機能性の確認工程でもあります。
ここの部分を抜かしてしまうと業務やチームの都合が優先されて、想定通り動かないものが世に出され、事例に共通する事象を巻き起こすことになります。
また継続的に良いものを作っている企業やチームは品質管理や品質保証に強いケースが多いです。
ブラザー工業という会社はDXにより不具合発生を未然に防止できるようになり、製造効率向上だけでなく品質向上やサービス改善にも役立てているそうです。

ソフトウェア開発にも古くからテストの自動化という取り組みがあります。

品質管理というのは会社の製品だけでなく、サービスや信用を支える重要な要素なんだと改めて学ぶことができました。


2、専門知識を持って業務判断できる担当者が不足している
これは環境の作り方にも課題があるのかもしれないと考えました。

みずほ銀行のケースでは開発時考慮漏れを再鑑者=許可のハンコ押す人/発注側が防ぐことができなかったと報告があり、COCOAアプリのケースでは厚生労働省側の担当者/発注側が発生している問題を重要だと認識することができなかったと報告があります。
これらのケースは担当者側にソフトウェアの専門知識がないことであると外側からは見えますが、製薬会社のケースだと専門知識を有する者が報告しても受け入れられなかったと報告があります。
各調査報告書では「体制を再検討する必要がある」と記載がありましたが、これは環境依存の問題ではないかと考えています。

もし仮にみずほ銀行や厚生労働省の担当者がソフトウェアの知識を持っていたとしても、業務都合などに振り回されてしまえば同じような事象が発生していたのではないかと考えることもできます。
なぜ1つの銀行で立て続けにこんなにも障害が発生したのか、なぜ厚生労働省では4ヶ月も継続して問題が放置されることになっていたのか、なぜ10年以上も製薬業界では真実が明るみに出なかったのかを考えると、これは文化や仕組みによる環境依存の問題だったのではないかとも考えられます。

2018年頃から経済産業省によるDX推進が進められてきましたが、2020年12月28日に発表された中間報告書「DXレポート2」によると「多くの企業は未だ現状維持を前提としてDXへの危機感は低い」などと書かれていました。
みずほ銀行のケースや厚生労働省のケースはまさに2018年に懸念されていた「保守運用の担い手不在で、サイバーセイキュリティや事故・災害によるシステムトラブルやデータ滅失等のリスクの高まり」と、予期した通りになったと思います。

声を大にして言いたいんですが、DXをやりましょう。


3、ユーザーのことが考えられていない
調査報告書を通して3事例共に、ユーザー関連の報告がほとんどありませんでした。厚生労働省のCOCOAアプリや、ジェネリック製薬会社においてはユーザーへの影響報告はなく、みずほ銀行の報告書のみ影響のあった件数の報告をしていました。
前項で「環境・文化を変えなければ」ということを学びましたが、このユーザー軽視こそ問題を起こしている大きな要因の1つに思えました。

利用している人がいてくれて初めて商品やサービスは成り立ちます。
少し乱暴な言い方してしまいますが、ユーザー=お客様からすると担当者の能力の有無や責任の所在、体制なんか究極はどうでも良いんです。
信頼回復のために事実として事情をありのままに報告するのは大事なことだと思いますが、どの報告書にもユーザーの存在が希薄すぎると私は読み取りました。
報告書の後に会見等で「申し訳ありませんでした」と謝罪をすることも必要だとは思いますが、ユーザーが一連の騒動や問題に関われるポイントが少なすぎると思うんです。
悪気があってやったことではないことでユーザーが受け入れなければいけないのはわかりますが、各事例の起承転結があまりに一方的すぎてこれでは問題の解消やサービス・製品の向上への活動を理解してもらうのには程遠いなと考えてしまいます。

最近のニュースではありますが、AIを駆使して文書をデジタル化するためのサービスを提供していた会社が大多数のユーザーに使用されていないことで契約更新がされないというニュースがありました。
ラインセンス9284件のうち、7636件が更新を見送るというニュースです。
実に82%のユーザーがサービスから離れてしまいました。
自社製品の販売委託することで、メーカーがサービス向上や開発に集中したいという意図があったのでしょうが、ユーザーから距離を取った結果多くのユーザーが離れることになったのではないかと読み解くこともできます。
確かに品質向上はユーザーにとってメリットがありますが、それを理由にユーザーと距離を置いてしまえば誰のための製品・サービスなのかという矛盾が生じてしまいます。

シリコンバレー型企業やDXに成功している企業、成長めざましい中国企業の実例を見ているといかにユーザーと向き合うか、触れ合うか、意見を汲み取れるか、課題を解決できるかということに特徴があります。
ユーザー軽視の状態では前に進むどころか、問題の解消はまだまだ先の話になってしまうかもしれません。

この記事が気に入ったらサポートをしてみませんか?