7payの破綻と日本のIT事情

2019年08月04日

今年7月に サービスを開始した
セブンイレブンの決済サービス『7pay』が、
開始2日で 脆弱性を突かれて不正利用が相次ぐ事件が発生。
このニュースには 本当に驚かされました。

さらに驚愕なのは、9月末で終了するという事に。
まともに稼働していたのは、実質4日程度。
それも、まともな使われ方は されずに、
3861万円の被害を残しただけと言う・・・

開発費用は142億円と言われ、
55億円もかけて失敗した 特許庁のシステムを軽く上回っています。

私が思うには、上層がITに知識が足りなかったとかよりも、
日本の開発方式に疑問を感じます。

日本のIT開発は、下請けに投げるのが 当たり前のように なっており、
それだけなら まだいいのですが、
実質開発能力を持たない会社が仲介に入る事があり、
多重下請け構造に なってしまう場合が ほとんどです。
これを俗に『SES(システム・エンジニアリング・サービス)』と呼ばれ、
その下請け構造から『IT土方』とも揶揄されています。

仲介業者は、自社で開発環境を持つ事すらなく、
その会社自体も ノウハウや教育環境もなく、
実質エンジニアを雇っては、客先に配属するだけと なっていたりします。

一件すると 派遣のようですが、実際の契約は 派遣ではなく、
準委任契約といった 請負契約の類です。

そうなると、エンジニアは客先から
指揮命令を受ける事ができないなどの制約がありますが、
あまり気にされている様子は ないようです。

そして、派遣では 派遣先から さらに派遣されるという
「多重派遣」は禁止されていますが、
「請負契約」であれば、いくら中間業者が関わっていても、
問題はないという事でしょう。

しかし、多重派遣が禁止されている 主な理由は、
中間搾取の禁止と、責任の所在が曖昧になるからです。

前者は 労働基準法第6条でも禁止されており、
中間業者からも報酬の一部を取られる分、
エンジニアの報酬も少なくなり、
それがエンジニアを苛める要因とも言われています。

後者は 複数の中間業者が関わっていると、
それだけ配属される人間の素性が うやむやになり、
何かが起きたときの責任の所在も、
どこにあるのかが わからなくなってしまいます。

特に、責任の所在が曖昧になったり、
どこの所属しているのかも わからないような人間が、
現場に入る時点で、セキュリティ事故が起きている
と言っても
過言ではないでしょう。
もし その人間が情報を他の業者に売り渡したりしても、
うかつには捜査できなくなってしまうはずです。
なぜなら捜査で事件が公になれば、
偽装請負の事実もバレる可能性があるからです。

7payの脆弱性の問題に関しても、おそらく関わった開発者の人なら、
多くの人が わかっていたと思います。
しかし、それでも忠告できなかった、しても聞かれなかったというのは、
多重下請けの仕組みや、上流工程や下流工程と分けた仕組みにも
あるのではないかと思います。

上流で設計書さえ書いてしまえば、
後はプログラマーが プログラムを書くだけの簡単な仕事。
そのような考えが 根付いているから、
多重下請けで作業を行うプログラマーは、
案件をこなして報酬を得るだけでよく、
設計書通りだから『脆弱性も見つからなかった』というワケでしょう。

関わった中間業者も、実質開発環境やノウハウもない、
ペーパーカンパニーのようなものなので、責任の持ちようが ありません。

開発を内製に こだわったのが悪いという声も ありますが、
残念ながら 業界自体が そのような状況であると、
内製にしようが下請けにしようが 同じようなもの
です。
また、このデキで142億円もかかったというという点からも、
多重下請け構造が噂されています。

内製または協力会社の1・2社程度で、
ここまで開発費用が 跳ね上がる事は まずないでしょう。
特許庁のシステムでさえも、
1000人以上かき集めても、55億円なのですから。

個人的には 7payの事件は、
単純に 決済システムの信頼を落としただけでなく、
IT業界の問題点も 露呈された結果ではないかなと思っています。
システム開発と いうものは、このような金銭的被害も もたらすものであり、
多重下請け構造を もっと厳格に取り締まり、
強固な組織を作るようにしなければ、
日本のITそのものも、危機的な状態となるでしょう。

Pocket