給使乖離現象


公開 (UL): 2023-03-30
更新 (UD): 2023-03-30
閲覧 (DL): 2024-04-15

この記事のもくじ

→本文へ
当サイトは SNS の公式アカウントがないので,「議論ネタ」にする際は,皆さんのブログ,メーリングリスト,SNS や掲示板などで,適当にハッシュタグを付けたりリンクを掲載するなどしてご利用ください。

前の記事

2022-12-01
「だし」に使われる障害者

次の記事

2023-04-08
オヤクショの「上から目線」という殺傷光線

最近の記事

2024-03-25
福祉改善を阻むオヤクショ思考
2024-02-04
玄関前手すりを DIY
2023-12-25
「理不尽採点」教育と「英語力低下」
2023-08-30
倫理意識の社会的低下
2023-05-18
「マイナンバー」が危険なこれだけの理由-2
新着情報
She appears also the top page.

新着情報 Recent docs.

Sorry, but most of these pages are only Japanese.
福祉改善を阻むオヤクショ思考 «Japanese subsidy system of communication aid device for disabilities cannot be applied those if it's with features except communication, IDK why.»
「意志伝達」しかできない高額な装置にのみ税金が使われる謎制度。
XMPP - 長く使える安心チャット «Gmail doesn't give you notices? Try to use XMPP chat!» (Japanese only)
Gmail 通知が来ない? XMPP チャットはいかが?
「理不尽採点」教育と「英語力低下」 «Japanese English skill ranking in the world has been down. I guess one of the reason is that the government's education policy lacks coherence.»
日本人の英語力が低下,しかも小学校から英語が必修になった世代ほど。「教育方針の一貫性のなさが原因」とする考察。
倫理意識の社会的低下 «One day, I set to stop DM from a banking corporation, but those continue to be sent after that. I'm feeling falling sense of ethics in Japanese society.»
某銀行からの DM が,およそ金融と関係ないもの多数。停止設定後も何ヶ月も配信が続く状況に,倫理意識の社会的低下を感じた話。
オヤクショの「上から目線」という殺傷光線 «Tokyo government gifted me "Okome(rice) coupon". But I have allergic to rice. The government officers often make services considering insufficiently, then people is leaded wrong by that.»
東京都から届いた「おこめクーポン」は,アレルギー持ちは頼みにくく,ウェブは「申し込めない」地雷だらけ。そうなる原因を考察。
給使乖離現象 «"Server and User Design Gap" phenomenon (abbr: SUDG), it's the trend to lack of considerations in design for user of the service.»
愚かな経営者たちが考えた劣悪なウェブサービスにより,人々が一方的に不利益を被るという話。
日本の「IT 人材不足」の正体 «The simple reason why Japanese companies lack IT-skill.»
保険会社からのセキュリティガバガバメールが「IT 人材不足」の正体を暴く。

人気記事 Frequent view pages.

表計算で「令和」に対応する方法
How to adapt the Gengo era "Reiwa" on spreadsheet applicaiton.

古いアプリも OK。「表計算 令和」の検索結果上位御礼!
表計算ソフトで予定表を自動作成する超便利な方法 «How to make the schedule table automatically on spread-sheet.»
「毎月第○×曜日」的な法則は自動で作らせてラクしよう!
表計算ソフトに「個人情報保護機能」を仕込む方法 «Prevention to leak private-data with spread-​sheet macro function.»
「漏えい」のためのフェイルセーフ。「表計算 個人情報」の検索結果上位御礼!
Wary-Basher (ワリバッシャー)
DIY device that enables the handicapped to operate many things with a switch like push-button.

障害者の様々な操作をスイッチ操作で実現する器具。キットも発売中! 「作り方」PDF ダウンロード多数御礼!←地方教育委で人気。
貧乏人を殺す行政の構造 «Structurally, the administrators kill the poors in Japan.»
ヘタすると多摩川に流されるところだった台風 19 号

この記事に対する → 調布市の反応

おすすめ! Recommend

現在当サイト人気 No.1!
Android のキーボード・ショートカット一覧 «The list of Android Keyboard Shortcuts (EN ready).»
Android のスマホやタブレットにキーボードをつないだ時に知っていると便利なキー操作。
[PDF 118KB] 生活保護申請時のオヤクショ対策
申請の「水際作戦」を突破するための心得。「ホームレス総合相談ネットワーク」製作の図解を小サイズ化したもの。

出典 ☞ 路上からもできるわたしの生活保護申請ガイド (2017 年版) (外部リンク)
文字ベース天気予報 «Weather forecast in text mainly from JMA Json-data.»
古いブラウザやスマホ,音読ソフトでも大丈夫! 気象庁の JSON データを利用した文字ベースの天気予報(試験版)。
「事故防シート」について «Cared persons taking with "Jiko-​Bow-​Sheet" prevents from accidents.»
介護現場の負担軽減と事故防止のアイデア
【連載】 キーボードの「キー」の詳しい使い方 «The detial of usage each key on keybord.»
各キーの機能詳細。機能別五十音順一覧。
和易ゐ記 (WAI-WIKI) «WAI-WIKI is light­weight markup language for Japanese, and generates HTML on this server on-​demand.»
当サイトで開発/使用中の日本語向けに特化した軽量マークアップ言語

ご連絡 Contact

▼ メールフォームはこちら
SSL 証明書の更新に不具合が多いため,期限切れエラーが出た際は,お手数ですが「例外指定」をお願いいたします。 一時期,送信できなかったようです。すみません。今は大丈夫だと思います(テストは OK)。

ファイルの暗号化
当サイト管理者(石川)宛にメール添付で送信するファイルを暗号化したい時は,唯一のパスワードを PPOP で取得できます。 PPOP gives a password for encryption of the file(s) attached your mail to the admini­strator of this site M.Ishikawa.
PPOP

MEMO / Email to the Author
あとで調べたい点のメモなどに利用可能。
下部ボタンでそのまま著者にメールできます。 一時期,送信できなかったようです。すみません。今は大丈夫だと思います(テストは OK)。


CAPTCHA: easy math prob in Japanese

時事川柳 News Senryu

パーティー券  
民意も一緒に
  蹴り返し
Kick back both party tickets and people's opinions.

 自民党の一部(?)派閥がパーティー券のノルマを上回る分の売上げを議員にキックバックしておきながら政治資金収支報告書に不記載だった問題が広がりを見せている。なるほど,こうしたことが党内で常套化していたのだとすれば,岸田総理はじめ同党政治家にことごとく「民意を蹴り返すクセ」が付いているのは当然という感じもする。これっぽっちも「悪いこと」と思わなかったのだろうな。そんな人たちに誰が票を入れるのだろうか。少なくとも,岸田の広島と「頭悪いねぇ」と暴言を吐いた議員を選出した長崎に「ふるさと納税」はしないことにしよう。
参考: 自民県 絶対しないぞ ふるさと税

今回はもう一句!

危機感の  
ワリに二階は
  誰も居ず
Having sense of crisis, but nobody takes shelter of 2F.

 大雨などで危機感を持ったら二階のような高い所へ避難すべき的な話を聞いたよーな気がするのだが? パーティー券のノルマ上回り分キックバックの政治資金収支報告書不記載問題で,安倍派は何人も辞任したのに,同じく捜索を受けている二階派に辞任する話があるかというと,今のところ誰もいない。総理は「危機感を持って」とか言っているらしいが,どこが「危機感」なのやら。

(⌚2023-12-19)

ご支援 Support this site.

まだまだ コロナ失業中!!
CORONA-NEET, seeking works now!

この活動をご支援いただける方はこちらへ Could you support this site, see here (but Japanese).
都道府県庁さん, 地方自治体さんや教育委員会さん, 障害者就労支援機関さんやその他公的機関,省官庁さん, 「タダ見」しているだけでは, 格差が広がるだけだと思いませんか?
Welcome!
Amazon    Google
The companies, thanks for many accesses every months! Are the articles I wrote helping for increasing your income? Although, I cannot get even a penny and jobs from that.

 "Server and User Design Gap" phenomenon (abbr: SUDG), it's the trend to lack of considerations in design for user of the service. Especially many services using infomation technologies like web services have such trend remarkable, I seem. And I think that has some possibilities becoming hotbeds of cyber crimes.

 表題は「きゅうしかいりげんしょう」と読む。筆者の造語なので必死で検索したりしないよーに。意味的には,サービスを供給する側の設計が使う側にとっての理想と乖離しがちになること。
 最近……特にウェブを利用した新しいサービスなどで,思い通りのことができずに困ることが多いような気がする。サービスの利用者側が,やりたい手続きを「ウェブでするように」と求められれば,ウェブ上で速やかに手続きを進められるのだろうと期待するわけで,それならば,サイトで画面を見れば「どうすればその手続きができるか」が直ぐ分かるようになっていて当然だと思うわけだが,実際のサービスはほど遠いものばかりのように思う。これほど多いということは,そうした分かりにくい設計になってしまう共通の原因があるのではないかと考え,その構造的要因に表題のような名前を付けてみた。
 要因として考えられるのは,サービス供給側の経営者や管理職が IT やネットワークなどについてよく理解していないまま設計方針や指示を出し,理解していないが故に不適切な内容を含んだまま,修正もされずに具体的な設計や製作に至ってしまい,しかもそれを利用させることを半ば強制的に推し進めようとする傾向があるような気がする。こうした性質上,特にウェブサービスのような IT 系のもので多くなる傾向は,ある意味「必然的」といえるかもしれない。
 「設計指示が適切にできていない」ということは,そうして作られたシステムが脆弱性を含んだままになる可能性を高め,また「分かりにくい」ことで誤操作を生み易くなり,これらの点を狙った犯罪の温床となる可能性も考えられるから,早めに対策したほうがいいようにも思う。
 以下では,具体例と,そうした状況に陥る背景について論じたい。

● 最近ありがちな傾向

 Author's experiences and some cases with troubles I heard in several years.

 ここ数年の間で最も代表的な例となり得そうなのは「セブンペイ」。不正使用が相次ぎ,サービスは開始からたった3ヶ月ほどで終了に追い込まれた。関わった企業は流通大手のセブンアンドアイホールディングスをはじめ大手ばかりだったと思うが,そうした大企業が関わっていながら,なぜ不正使用に無防備ともいえるシステムでサービスを開始してしまったのか。常識的なイメージとかけ離れている感じがした。

 初期の新型コロナウイルスワクチン接種予約システムは,高齢者だけ対象としていた時期に「令和生まれ(『乳児』やん)」の生年月日でも受け付けたりとか,予約券なしでもデタラメな予約番号で受け付けられたりとか,しかも番号がダブると前の予約がキャンセルされて,後からデタラメで予約したほうが優先されちゃったりするものだったらしい。おまけに,一旦ブラウザを閉じると,二度と予約画面を見れないとか。高齢者が画面を一度見れば確実に覚えられると思ったのだろうか。あるいは,全ての高齢者がプリンタを持っていて印刷保存できるとか,スクショ保存の方法を知っていていつでも見れると考えていたのだろうか。
 新型コロナウイルス感染者近接感知システムの COCOA については,河野太郎デジタル庁大臣も批判していたらしいが,実際に感染者が近接していても何の通知も届かないことが多発するポンコツだったようだ。

 昨年(2022)筆者の元に自治体(西東京市)から送付された「風しん予防接種」のチラシに掲載された QR コードはまともに読めなかった。詳細が何も分からないお知らせの印刷と送付に税金が使われていた。
 また,やはり同市から「給付金を受け取れる」という申請書が届いたんで手続きしたのだが,何度か返送されてきた。返送(ある意味「申請拒否」)の理由が「提示すべき書類の不足」だったのだが,当初届いた手続きの説明では,書類の提示の必要が筆者にあるかどうか明確に分からず,おまけに,書類の例として挙げられていた中に提出できるものがひとつもなかったのだ。結局,返送時に同封されていた説明に提示可能な書類の種類が追加されていて,その中に辛うじて筆者が提出できるものがあり,給付金は何とかなった。でもこれでは,最初の説明で「用意できる書類はない」と判断した人の中には,その時点で給付金の申請をあきらめてしまう人もいるのではないか。それとも,そうやって申請をあきらめさせて給付金を減らし,支出を抑える作戦だろうか。しかし,最初から全部分かるようにしておけば,何度も返送する郵送費や手間も不要だったはず。そうした無駄な経費を使って平気でいるとも考えられる。しかも,提出の期限をその当月初旬に突然「電話で知らせて来る」なんて手間までかけていた。その電話で期限が迫っていると初めて知り少々慌てた。期限なんか返送時の書類に記載しておけば慌てずに済む話で,そもそも記載しておくべきことだと思うが,まずそれがない。電話でそこをツッコんだら,「(期限は)市のホームページに掲載が……」などと言われた。返送された書類には,「掲載されている」どころか,市の URL の記載すらどこにもないのに分かるワケなかろう。

 他にも,電気やガスの使用量を知りたい……ただそれだけのために,何度も電話かけまくったり,支店まで自転車を走らせるハメになったりした。「そんなのウェブでできるだろう」と思っている人もいるかもしれないが,そのウェブ登録システムの造りが悪く何度も拒否されたり,あるいは手続きのための URL のドメインに会社名が一切含まれていなかったため,詐欺を疑い確認の必要を感じたりしたのだ。それで電話で問い合わせてもなかなかつながらず,数日繰り返してかけまくったり,電話をあきらめて,最寄りの支店まで直接聞きに行ったりしたわけだ。郵便受けに「検針票」が投函されていたアナログ時代と比べて,なんと面倒になったことかと思う。

 果たしてデジタル化で世の中は便利になっているのだろうか。新聞や雑誌といった文字や画像コンテンツは,読みたい記事に直ぐにアクセスできるようになり便利さを実感するが,一方で,述べたような「電気やガスの消費量確認」など,従来の個人向けサービスをウェブ化したものや,また「ワクチン予約」や「何とかペイ」のような新たに始められる個人向けサービスは,疑問を感じさせる事例ばかりのような気がする。

 その根底には,「作る側」と「使う側」が乖離した状態でシステムが設計されてしまう構造があるのではないかと考えた。どうして「乖離」してしまうのか。その背景に迫りたい。

● 「ウェブ」が絡むシステムの低品質度

 Mentioned examples making troubles are using web more or less.

 前章で述べた疑問だらけの事例に多く共通するのは,どこかでウェブサービスが絡む点。「セブンペイ」はウェブ決済だし,コロナのワクチン予約も COCOA(感染者近接通知システム)もウェブを利用している。自治体の「風しん予防接種」の読めない QR コードもウェブページのものだし,「給付金」の期限は送って来た書面に記載されておらず,ウェブに掲載しただけで周知させた気になっていた。電気やガスの使用量なんて,本来なら速やかに利用者が知れるようになっているべきなのに,ウェブで確認可能になるまで何日もかかる状態が放置されている。
 ほぼ全て,多かれ少なかれ「ウェブ」が絡んでいる。つまり「ウェブシステム」の設計や,それとの連携が適切ではないと言えるだろう。

◆ 「ウェブ化」がサービス品質を低下させる理由

 How does "using web" make services bad quality.

 なぜウェブサービスの品質は低下するのか。
 「セブンペイ」の社長は,記者会見で「二段階認証」について聞かれて,首を傾げていたみたいな話を聞いた。「二段階認証」といえば,パスワードがばれてしまって,たとえば「成りすましログイン」をされても,ログイン中に悪意ある「やりたい放題」の操作を防止するために,特定の手続きで「別のパスワード」の入力を求めるような仕組み。「セブンペイ」のできる前から一部では当然のセキュリティの仕組みとされていた。「首を傾げていた」ということは,果たしてそれを知っていたかどうかも疑わしいが,ああいった方は,たとえ知らなかったとしても「知らなかった」とは言わないと思われる。せいぜい「認識が不足していた」的に言葉を濁すだろう。
 似たようなことが,他の事例にもあるような気がしている。もしサービスを供給するためにシステムの設計を指示する経営者や管理職が IT やネットワークを理解しないまま基本の設計や指示を出せば,不具合が多発するのは当然だ。たとえば「二段階認証を採用せよ」という内容を含まない指示を出したりするだろう。それでもシステム設計を請け負う側が気付けば,「二段階認証にしないでいいの?」と発注者側に確認できそうにも思うが,「下請け」で設計している者は,それを指摘したため元請け側から「何だコイツ!? 指示にケチ付けようってのか!」と思われることを避けるため,指示に異を唱えることなく,セキュリティリスクを含んだままシステム設計をしてしまうことは十分考えられる。

 さらには,他社との競争にさらされるなどで設計に時間をかけさせてもらえず,公開されているソフトウエアの部品で済ませてしまったり,しかもその動作検証も十分にできなかったりとか,経費を抑えようとして依頼先を「価格」のみで決めてしまい,気心知れた長年の得意先以外の企業や,ウェブで受け付けている顔の見えないアウトソーシング先に依頼した結果,意思の疎通がうまくできず出来上がるものが意図していたものと違ってしまったり,保守したい時は既に相手と連絡がつかなくなっていたり,そのため継続した改良も進まなくなり「どういった状態が利用者にとって『使い易い』と言えるか」のノウハウも蓄積されなくなり,品質の低下が避けられなくなっているのが現状のように思う。

◆ 今どきの経営者や管理職の傾向

 The company's managers or officers lack capacities of prediction and reflection.

 始末が悪いのは,その手の「IT やネットワークを理解していない」経営者や管理職に独善的な傾向を感じる点。どういうことかというと,「きっとこうすれば便利だからみんな使う(お金になる)だろう」程度の感覚で思い付いたウェブサービスを正しいと思い込み,IT やネットワークの仕組み上適切かどうか考えずに,強制的に推し進める傾向。
 リーダー的立場の者に必要な素質は,自分の持つ考えに対して,事前には「果たして的を得ているのか?」とシミュレーションなどする予測能力,また事後的には「果たして適切だったか?」と省みる能力であると思うのだが,最近の経営者や管理職にはどちらも欠落している……つまり,「うまくいく」ことを前提としてしまって先にあるリスクを予測せず,その結果不祥事が起きても「それは予測できなかったから仕方がない」で済ませて,事後的な反省もできなくなっているように思う。
 「東京電力」はなぜ原発をメルトダウンさせたのか,「東芝」はなぜ凋落したのか,「セブンペイ」はなぜあんなガバガバのセキュリティでゴーサインを出したのか,「みずほ銀行」はなぜシステム不具合を繰り返したのか……で,それらの不祥事で誰がどう責任をとっただろうか。当時の経営者や管理職は会社や利用者が受けた損害や不利益相応のペナルティを科されただろうか。経営者や管理職たちに「事前予測力と事後反省力」が欠落していると考えれば,述べたような不祥事が起きた理由もその後の対応も,「そんな程度だろう」という気がしないだろうか。
 「予測力」なら,自分で予測できなくても,たとえばどこかリサーチのできる担当者なり企業なりに頼んで,上がってきた結果を判断材料とすることはできそうに思う。せめてそれをしていれば,前述した企業の不祥事も,知られているほどひどい状況にまでならなかったのではないかという気もするが,「独善的」が過ぎてしまうと,自分の考えが正しいことが「前提」となってしまっているため,リサーチさえしなくなる……つまり「独善的」こそ,ひどい不祥事の原因にあるのではないか。

 今そんな傾向が,サービスを提供する側で指示を出している経営者や管理職などに全体的に蔓延していると仮定し,述べてきた現実と照らし合わせてみる。

 「セブンペイ」については,既述の通り社長が「二段階認証」を知らないままシステムの設計を指示してゴーサインを出した可能性があり,だとすれば当然の結果のように思える。「予測」以前の問題なのかもしれない。では「反省」はどうか。セブンペイの責任問題に言及している当事者のウェブ記事がどれほど出てくるかを検索すれば分かるだろう。

 高齢者向けなのに令和生まれの乳児やデタラメ番号でも予約できてしまうコロナウイルスワクチン予約システムは,どこが作ったか詳しくは知らないが……ウワサでは,過去に「非正規雇用」を推し進めたと言われている人が顧問を務める会社とか。「非正規雇用」のためにどれだけ格差が広がり,少子高齢化が悪化したか考えると,やはり「予測できない人」が作るシステムは,その程度のものなのだなという気がする。
  COCOA(コロナウイルス感染者近接通知システム)も,製作した会社はよく知らないが,少なくとも近接していても通知されなかったケースも多かったようで,「動作試験をしていなかった」なんてウワサも聞いたくらいだから,様々な状況を「予測」したうえで作られたものでないのはほぼ確実。それで感染に気付くのが遅れて悪化し,ヘタすると亡くなっているケースも考えられるが,それを調査した的な話も聞かない。かろうじて責任問題について触れた記事は読んだ気がするが,システム製作を請け負った会社の経営陣は,感染を十分防ぎきれなかった可能性があるシステムに注ぎ込まれた数億円の税金のほとんどを持っていったままではないのか。それが果たして「反省」と言えるのか。

 自治体(西東京市)の「風しん検査」のお知らせについては,そもそも QR コードを記載した時に,「実際にそれで該当のウェブ記事が呼び出せるか」を検証したのかどうか。まぁ,検証していれば「呼び出せない」ことは分かるはず。「うまく読めない機器があるのでは?」と予測できずに検証を指示しない人が主導して作成したであろうことは確実。
 給付金に至っては,グダグダが過ぎる。そもそも郵送物なのだから,最初に送る書面に「これらのうちいずれかが必要です」といった書類の種類を「全て」記載しておくことくらいできたはず。まずそれをしていない。数点挙げたたけで,「みんなそのうちのどれかは持っているだろう」という一方的な判断で書類を送付し,「その数種類では持っていない人もいるかもしれない」といった予測まではできなかったのだ。で,「締切り」的なものがあるならそれは記載しなければ分からないのに,それもしていない。こっそりウェブページにだけ掲載して,告知したつもりになっていて,しかもその「掲載した」こともその URL の記載もない。あるのは「ネットに掲載すればみんな見るだろう」という勝手な思い込みだけ。記載がなければ知られないままになり,ヘタすると申請をあきらめたり,期限を過ぎ給付金を受け取れなくなる可能性もある。筆者の元にはかろうじて締切り月の初旬に自宅の固定電話に連絡が来たが,怪我や病気で入院していたりで出られなかったらアウト……そんな状況も「予測」されるが,市にその予測能力まではなかったのだろう。ただまぁ,この点については,「当初の指定書類を用意できない人」や「期限を知らずに間に合わなかった人」に給付の受け取りをあきらめさせて,市の財政を温存する意味もありそうだが。そうではなく,担当者が単にそうした予測ができなかっただけだとすると,「給付金」の支給対象である低収入な者は,提示書類や期限を知る機会を逃して給付金を受け取れなくなる可能性を高められていることになるが,一方で,その「予測できなかった」オヤクニンは,何の責任も問われず税金から報酬を受け取れる。たとえ必要な書類や締切りなどを適切に知らせなかったため給付金をもらい損ねる人がいても,もちろんそれら「オヤクニン」が受け取る報酬が減らされることはない。「ホームページに掲載しました」と唱えれば,たとえそのホームページとやらを見れる環境を整えられないほど低収入な「給付金対象者」が居ようと,免罪符になるのだ。
 他の記事でもよく書くことだが,オヤクショをはじめとしたサイトでは,「サポートするブラウザ」などとして,そのウェブ記事をほぼ確実に見れると保証するブラウザを,新しめのものに限定することがある。一方で障害者などは,自分の障害に合わせて機器を操作したり,内容を読み上げたりするソフトなどが,最新のブラウザや機器に対応できないため,古い機器を使い続けざるを得ない方もわりと多い。つまり,最新機器を使えないのは,低収入が原因とは限らないのだ。機器が古くてサポート対象外になってしまうと,たとえその「ホームページ」とやらに期限を掲載しても,それらの方が見れなくなる可能性を高めてしまう。でも,オヤクショはそんな「予測」も一切しない。障害者のパソコンからその「ホームページ」とやらが見れず,「見れないのですが」と言ったところで,「サポート対象の最新のブラウザでご覧ください」などと言って済ますことだろう。するとその「ホームページ」を見れなかったことで期限を知ることができず,過ぎてしまったため申請をあきらめる障害者が出る可能性があるが,そんなことは知ったこっちゃないのだ。オヤクニンが揃って「格差」を広げているようなものだ。
 ちなみに「ホームページ」という言い方は,ブラウザを起動した時に最初に表示されるサイトの設定を「ホーム」と呼んだことが大元。だから本来,最初に表示するもの以外の記事を「ホームページ」と呼ぶのは的外れ。筆者は「ウェブ記事」または「ウェブページ」と呼ぶ。「ホームページに掲載しました」と言ったら,各ウェブ利用者が使うブラウザの「ホーム」に設定したような意味になるが,オヤクショから操作して閲覧する人のブラウザにそれができるかといえば,仕組み的に不可能。だから「ホームページ」と呼ぶと紛らわしいのだが,それを「予測できない」オヤクショがいまだにそう呼ぶので,ここでも「ホームページ」と記載したら,オヤクショが伝える内容だと思ってほしい。

 電気,ガスの使用量に至っては,使用者が速やかに知ることができるようになっていてしかるべきなのに,そうはなっていない。これでは,どんな空調器具をどのくらいの時間使うとどれくらいの消費量になるか見当がつけられないから,省エネをしようにも参考にできない。ウェブでの手続きがうまくいかなくても,電話番号を伝えておけば済むと思っているのかもしれないが,電力会社につながるまで筆者は数日にわたり 20 回くらい電話した。ウェブで確認できるようにすればみんな見れるだろう……といった一方的な思い込みだけで,サポート体制を敷いたのだろう。電話がつながらないことまで「予測」できていないのだ。もちろんそんな劣悪なサポート状態を経営者や管理職が知ることはないだろうから,反省することもないだろう。劣悪なサポートは残り続ける。
 それで政府は「節電,省エネをお願いします」とか言っているのだ。

 これらが,今どきの企業の経営者,管理職や,オヤクショに共通して見られる傾向。最低限の予測さえまともにできていないだけではなく,「反省」さえできなくなっているように見える。
 なぜこんな状況になったのか,次節で考えてみる。

◆ 予測力と反省力欠如の悪循環

 Lacking capacities prediction and reflection constitutes vicious circle each other.

 最近の企業経営者や管理職,オヤクショが「リスク予測」や「反省」がまともにできなくなっているのは,彼らが「悪い点」を見る機会がなくなっていて,「反省をせずに済む」状況が出来上がってしまっているからではないかと考えている。すると「自分の主導で構築したシステムは,正しく機能している」と思い込んで疑いを持たないから,悪い点を見直す「フィードバック」も働かない。結果として「悪い要因を排除するにはどうするか」といったリスク予測能力も落ちていくことが予想される。つまり,「予測できない」ことと,「反省できない」こととが,互いに「悪循環」となって増強されて来たのではないかと考えている。
 すると,「自分が主導した考えはいつもうまくいく(ように見えている)」ことになるため,自分が主導した結果でき上がって来たものを,末端の利用者にゴリ押しするようになる。しかし,当然ながらそれは,うまくいっているように見えるだけで,じつは様々な地雷が埋まっていることは確実。もちろんその「地雷」というのは,主導した企業経営者や管理職に「リスク予測能力」がないことが要因となるものなワケだ。社長が「二段階認証」を知らなかった「セブンペイ」で不正が相次いだのは分かり易い例だ。しかし経営者や管理職の方々は,具体的な部分は現場に任せきりにしておいて「そこは自分には責任はない」と解釈し,責任は「下(部下や下請け)」に押し付けるかガン無視するか……のどちらかになる。つまり,自分の主導や考えによってできたものに不具合が起きても,その責任は取らず「成果だけ持って行きたい」人たち……それが今どきの経営者や管理職だ。

◆ 電力会社のサポートの例

 An example, the support of the electric power company for me.

 そう考えるようになったひとつの例を挙げてみる。
 「電力会社の電話がなかなかつながらなかった」と書いたが,じつはその前に別の方法で電力会社にアクセスしていた。使用量を知るべく,まずはウェブ登録を試した。何度かやって「そんな契約者は居ねーよ」みたいな結果が繰り返され,登録出来なかったから,次に「チャット」を使った。「チャットなら直ぐ対応してくれるだろう」と思われる方もいるかもしれないが,とんでもない。やはり,実際にオペレーターにつながるまで 30 分ほどかかった。で,やっとつながり事情を伝えたら,「こちらからお手続きください」と URL を教えられたのだが,そこにアクセスしてもエラーの表示だけ。チャットでそれを伝えると,あちらの不具合でうまく動作しなくなっていると言われて……結局,電話番号を伝えられた。そもそも,電話がつながりにくそうだからチャットしたようなところもあるのに,結局は電話かよって感じ。そこで,「電話はどれほどでつながりますか?」と聞いてみた。すると,部署が違うから分からないとか。というわけで,待ち時間だけで 30 分,全部で1時間ほど費やしたが,チャットでは「電気使用量を知る」という目的は果たせなかった。
 で,気になったんで最後に「そちらの部署の『責任者の名前』を教えてください」と聞いた。そしたら「チャットサポートの責任者」の名前は何とか聞き出せたが,サポート全体の責任者の名前は「分からない」ということだった。あの人たちは,自分たちが誰の責任の元で働いているのか知らされずにサポートを任されているらしい。まるで,何も告げられずに戦地へ連れて行かれて戦わされるどこかの国の兵士のようだ。
 筆者がなぜ「サポート全体の責任者の名前」を聞いたのかというと,「サポート全体の整合性」がどうなっているのか確認したかったため。ウェブサイトでできることが何と何で,チャットでサポートできるのが何と何で,それでダメなら電話でこれとこれができる……そうした体制を整備していないと,対応に一貫性がなくなりちぐはぐになってしまうのは明白。そのためにも「それらのサポート全体を統括する責任者」が居て当然と思ったのだが……「分からない」という。
 これが何を意味するか。つまり,末端で何か不祥事が起きても,責任が誰にあるのか分からない仕組みができているのではないか。チャット担当の責任者は分かっても,サポート全体の責任者まで分からないとなると,何かサポート上のトラブルが生じた時,その要因が身内にあっても分からないままになる可能性が出てくる。たとえば,ウェブサイト上の説明事項や FAQ,チャット,電話……と,いずれでも不明となってしまうような事項があっても,それらサポート全体を統制する仕組みがなく管理がバラバラでは,気付かないままになる可能性が高くなる。もちろん,最近は「モンスタークレーマー」と呼ばれる人たちも居るから,必ずしもその原因がサポート側の不適切な対応とは限らないが,あくまでも「限らない」という話で,サポート側に「絶対に」責任がない事例ばかりではないはずだ。でも,責任者が不明であれば,その責任の所在はうやむやになり易くなる。考えてもみてほしい。筆者は,最初にウェブを試し,次にチャットを試し,そして電話を何度もするハメになったわけだが,それらのサポートを統括する人がいなければ,それぞれのサポート管理もバラバラになり,いずれのサポートでも解決に至らないままになってしまうような事項があっても「ここでは分からないので他のサポートに聞いてください」とたらい回しにされてしまったり,それで他のサポートに怒鳴り込んだところで,「どーせモンスタークレーマーの言いがかりだろう」と解釈されてしまうと,永遠に不明なままにされてしまうことになる。サポート全体を統制する人がいないと,「全てのサポートで不明になってしまう事項」の存在を把握できる人がいないことになるから,どのサポートでも分からない内容が分からないまま放置されることにつながる。当然それは企業側の問題のはずだが,各部署内で「どーせ今どきのモンスタークレーマーだろ」という扱いにされてしまうと,その「分からないこと」は上に「問題」として上げられなくなる。これでは「問題解消の仕組み」が全くないのと同じではないのか。

 「末端に存在する問題が上に上げられない」と,どうなるか。これを上の立場から見ると,「問題(クレーム)は『無い』」ように見える。これこそ,経営者や管理職が責任を感じずに済む仕組みのように思う。
 筆者が電力会社から伝えれた番号に電話して,通じるまで 20 回ほどかかったのは,既述の通り。この電力会社のサポート体制がうまく整えられていない証拠だ。

◆ 「サポート」を劣化させる元凶

 Why the managers or officers cannot struct honest support.

 たぶん,サポート担当者から見ると,筆者のような論点の者は「モンスタークレーマー」扱いされるだろう。強く迫ったところで,サポートする側は「それは人員が足りないのだから,仕方のないこと」と感じ,無理な要求を突きつけられたような気がするのではないか。
 しかし,今は電力の供給が不足気味で,電力会社が政府と共に国民に節電を要請するなどしている。が,電気の使用量を知ることが出来ないと,いつ使った空調機具でどほれど電気を消費したか分からないから,「適切な節電」はむずかしくなる。節電を求めるなら「検針票」を廃止して電子化を決めた段階で,速やかに移行できる「使用量の伝達方法」も考えておくべきなのに,その企業責任を果たしていないことになる。
 企業責任を果たせない人がその企業の経営者や管理職でいてはいけないし,責任を果たせていない以上,経営者や管理職としての報酬を持っていくべきではないと思う。経営者や管理職としての報酬を削ってでもサポート人員を増やし,速やかに対応できようにしてこそ,その責任を果たしていると言えるはずだ。
 筆者に言わせれば,本来速やかに分かるようになっていていいはずの電気使用量なのだから「分かんねーぞ,ゴルァ!」とモンクが出るのは当然で,それをモンスタークレーマー扱いするほうが間違いだし,そのサポート体制もまともに整えられない企業の経営者や管理職が,責任を果たしているかのような報酬を持って行くのも間違いなのだ。ところが今どきの経営者や管理職というのは,それほどまともにサポート体制も整えられていないのに,会社の収入から,まず経営者や管理職としてのそれなりに高額な報酬を持って行くのだろう。すると,残りを末端のサポート担当者に分け与えても大した額にはならないだろうし,ましてや人員を増やすことなどできなくなるというわけだ。これが筆者の考える「人手不足」の正体。つまり,サポートを劣化させているのは,それら企業責任者による貪欲的報酬配分に大きな原因があると思っている。
 企業責任者として優先すべき順番は逆だろう。まず「企業責任」としては,速やかなサポート体制が整えられてあって当然なのだから,その実現のためにそちらの人員を充実させてその報酬の配分を優先すべきなのだ。それができないのなら経営者や管理職など辞めるべきだ。
 おそらくこれを読んだ当事者は「でも,経営者や管理職はそれなりに責任が重いし,高額な報酬は当然」と思っているかもしれないが,もう一度言うと,まともなサポート体制も整えられないのに「責任を果たしている」とは言えないだろうと言っているのだよ。責任を果たせてもいないのに,「責任が重い」もヘッタクレもなかろう。

 「格差」が広がる理由の一端が見えるのではないだろうか。つまり,企業責任を果たせない人たちが経営者や管理職として高額報酬を持って行くため,企業に入るお金が末端に行き渡らないのではないかということ。それでそうした企業が「SDGs」を掲げていたりしないか? SDGs では「格差をなくそう」と謳っていなかったか? 格差を広げている元凶のような方々が,SDGs のバッヂを誇らしげに付けていたりしないか?

● IT 化やデジタル化が格差を広げる

 How does introduction of IT and digitalization magnify the gap?

 前章では,筆者の体験を元に,末端サポートなどのサービスが悪化する原因が「経営者や管理職の予測力と反省力の衰え」にあり,それらが「悪循環」となっているのではないかと述べた。この章では,そうした状況に陥る主な要因が,IT やデジタル化にある点を指摘したい。
  IT やデジタル化でサービスが劣化する理由の概要は,以下の通り。

◆ 「細分化」の悪影響

 The harmful effect by division of work for specialization.

 IT 化やデジタル化は,それを言い出すのが経営者あたりだったとしても,実際にそのシステム設計や製作をするのは末端の技術者になるだろう。それらを社内でできるなら,UI(ユーザインターフェイス=表示や操作手順など)を決める仕様の細かな意思疎通もし易いと思われる。が,たいていは「下請け」などに外注することになるだろう。仕様書がよほどキッチリ作られて「それに沿って作れば OK」でもない限りは,下請けと元請けの間で調整も必要。すると,何段階かの「伝言ゲーム」のような状態になる可能性が出てくる。そんな状態で製作されたシステムが,果たしてその企業や組織にとって適切といえるものになるだろうか。引いては末端の利用者にとって使い易いものになるだろうか。かなり疑わしい気がしないだろうか。しかし,現在利用されているシステムの多くが,そのようにして製作されたものだと言えるのではないか。

 その「設計の仕様書」とやらがキチンと作れれば,それを受け取った下請けは,その仕様書通りのものに仕上げればいいだけの話になるが,たいていそうはいかない。特にウェブサービスの場合,元請けはネットワークの仕組みやそのセキュリティ,ウェブブラウザの細かな仕様などよく知らないまま仕様を決めることが多くなるだろうから,仕様書通りには設計の実現が困難な場合もあると思われる。すると「仕様書通りの実現は困難」ということをまず元請けに説明して納得してもらわなければならなくなり,またその代替案的な仕様を再設計する必要に迫られる可能性も生じる。それも「下請け→元請け」といった単純二極のやりとりで済めばいいが,下請け,孫請け,曾孫請け……と,間に中継業者がいくつも挟まっていたりすると,まさに「伝言ゲーム」状態となる。特に日本の場合,「上の人」が気を悪くするような報告をしたくないという「忖度」と呼ばれるバイアスがかかりがちだ。末端で「できません」と上に伝えられたことが,上げられる度に「できない→実現の可能性は低い→実現の可能性は高くない→困難ではあるが実現の可能性はなくもない→実現は不可能ではない→実現は何とか可能」といったふうに少しずつ解釈にバイアスがかかり,末端的な元請けには「実現できます」と伝えられてしまう可能性は十分にある。
 しかも,下請けはひとつとは限らない。複数あった場合,下請け同士で相互的に仕様の整合性を保つためのやりとりが必要になることもあるだろうが,元請けの機密保持などの関係で,お互いに直接的なやりとりが制限されることも考えられる。すると,ある下請けからの報告が一旦上に上げられて,そこでバイアスがかかったものが別の下請けに伝達される可能性も出てくる。こうなってしまうと,他がどのような設計であるのか正確さを欠く状態で,「それに合わせた設計」を余儀なくされる状況が生まれる。特にその「元請け」がネットワークやセキュリティなど IT の重要な部分をよく理解していないと,「バイアス」によってその「重要な部分」が歪がめられて伝達されてしまう可能性もある。
 このように「元請けが IT やデジタル化,そのセキュリティについてよく知らない状態で『下請け』に発注する」ことの多い現代の状況は,まともなシステムができにくい構造であると考えられる。

◆ IT 化が愚かな経営者を増やす構造

 Introduction of IT and digitalization enhances stupid managers or officers.

 IT 化すると,いちどに多数のアクセスが可能になり,運営する企業や組織側で担当者を増やさなくても,増える「利用者」への対応はある程度可能になる。性能の高いコンピュータを導入したり,ネットワークをうまく使えば,むしろ人員を少し減らしても対応できる場合もある。筆者はそこに経営者や管理職を劣化させる問題があると思っている。
  UI が非常に分かりにくいなど,たとえどんなに粗悪なシステムであろうと,IT 化やデジタル化すれば利用者は多少は増えることも多いだろうから,それらの企業や組織の収入も多少は押し上げる方向に働くだろう。あるいは,IT 化やデジタル化で自動化することにより人員あたりの利用者数を増やせる,いわば「コストダウン」であるから,利用者は増えなくても対応人員を減らすことで収益を増やせる可能性は高い。いずれにせよ,収益が減るのを避けるためにも,IT 化やデジタル化により「末端の担当者を大幅増強する」ことなどしないだろう。すると,増えた「お金」の行き先は,そのサービスを提供する企業や組織の大元の提案者や指示を出す立場の数人に集中しがちなる。つまり,どんなに粗悪なシステムであろうとも,そんな指示を出す/出した者……すなわち経営者や管理職などに向かうお金の流れを作ってしまうことになる。その最初と最後をつなげると,「IT 化やデジタル化をすると,それだけで企業やその経営者や管理職あたりにお金が多く入ってくるようになる」ということ。
 だが述べたように,それらのシステムは経営者や管理職の考案内容や指示で具体的設計ができるものではなく,多くは下請けに丸投げしている。でも「収益は増える」のだから,それらの指示が「奏功した」気になるだろう。すると「たとえどんなに粗悪なシステムでも」という点が問題を広げることになる。この「粗悪なシステム」の粗悪さとは,利用されているものの,「使いづらさ」などで実際には多数の利用者が迷惑しているようなものを指すが,その原因は当然,そのようなシステムになってしまう指示を出した経営者や管理職にあるはず。ところが,結果として「収益は増える」のだから,「収益が増えたのは,自分の指示でよい成果が出たのだろう」と解釈されてしまう可能性が高い……つまり「お金の流れによる認識」と実態との間に「乖離」が生じるのだ。
 さらに悪いことに,これも述べたように,末端のクレームが下から上に向かって報告されにくい構造ができてしまっている。確実に企業側の「悪い点」を指摘するクレームであっても,「どーせモンスタークレーマーだろう」といった扱いをされ,上に報告されない可能性は十分にある。また最近は,サポートも外部委託であることも多い。すると「明らかに会社側が悪い点」などは,元請けに忖度して言いづらかったりで,上げられないことも十分考えられる。上としても,いちいちクレームを報告して「どう対処します?」と対応を求めるサポセンの下請けより,黙殺するなど,そもそもクレームを報告して来ない業者のほうが「対処せずに済む」のでラクだから,そうした業者を選ぶ傾向が強くなることは十分考えられる。かくして「悪い点が改善されず残り続ける」のだ。
 しかし,そんなことが実際にあるのか。もう少しあとに,カード詐欺の現場と思われるネットの書き込みを見ているという話を出すのだが,その犯罪を匂わす投稿に筆者の利用しているカード会社の記載があったため,同社に報告している。アヤシい投稿の引用と共に「この書き込みどう思います?」と問い合わせをしたのだ。すると,「頂いた情報は、社内にて共有させて頂きます。」などといったテンプレ返信が来たが,その後は音沙汰なし。もしサポセンに「犯罪では?」と危機感を感じる人がいて,その危機感が下から上に適切に伝わっていれば,防犯対策の部署あたりから,どこで見たのかなどを詳しく聞いて来てもよさそうなのに,何も聞いてこない。末端のサポセンから上への「伝言ゲーム」のどこかで危機感が途切れてしまうのだろう。これが今どきのカード会社の危機管理意識と考えるしかない。「犯罪要因を野放し」に近いものを感じる。犯罪の温床が放置されれば,どこかでその犯罪被害に遭う人が発生し,場合によってはお金が奪われ返って来ないまま泣き寝入りだ。一方,筆者の報告を無視した会社の経営者や管理職などは,「サポートの報告を受ける仕組みではなかった」と言えば責任は問われずに済み,高額な報酬が減らされることもないだろうから,将来も安泰だ。

 これこそ,IT 化やデジタル化を導入したり,サポートを下請け化する「部署の細分化」により,企業の作るシステムが劣化していき,それに気付かない経営者や管理職がのさばり,格差が拡大する構造的要因。

◆ IT 化やデジタル化が格差を広げる理由

 Why does introduction of IT and digitalization magnify the gap?

 いい例は,何度か例に出している「電気やガスの使用量確認」などで最近多い「ウェブ化」だ。以前は「検針票」が郵便受けに投函されていたから,電気やガスの使用量を調べるためにこちらからどこかへ聞きに行ったり電話をしたりなど,何か手間や経費をかける必要は無かった。が,会社都合でウェブで確認させるようにすると,確認にかかる通信費や機器の整備費用などは使用者側で負担する必要がある。片や会社側は「検針票」を廃止することで,検針員にかかる人件費,その用紙や印刷機器,時として送料などの経費も削減できることになる。
 もう分かると思うが,この時点で会社側は諸経費を削減できる一方,その分利用者側は負担が否応なく増やされるわけだ。

 述べているように,この原稿を書いている間も,自分の消費電力量を知ろうとして東京電力に問い合わせていたが,最初の連絡から最終的に知ることができるまで 19 日間ほどかかった。
 「そんなのウェブで簡単に知ることができるだろう」と思う方もいるかもしれないが,それは最初のウェブ登録などがたまたま速やかに済ませられた人。筆者もそこはウェブ登録を試みたが「そんな人は契約者にいません」というエラーが出て,それ以上進めなくなった。問い合わせる以外に手がなくなったが,電話はいつつながるか分かったもんじゃないので,東電サイトにあった「チャット」を試した。だが,これも既に述べたが,オペレーターにつながるまで 30 分ほどかかった。ようやくオペレーターにつながり,そこで使用量を教えてもらえるのかというとそうではなく,(別の?)URL を伝えられる。そこでなら使用量が分かるのかというとそうもいかず,そのウェブページはエラーで機能せず。チャット相手にそれを伝えたところ,結局電話番号を教えられ「こちらに……」と言われた。
 で,その電話は,案の定何度かけてもつながらない。かけまくること 20 回,やっとつながり,そこで使用量を教えてもらえる……かというとそうではなく,ウェブ登録するための仮 URL を発行するとのこと。それが郵送で到着するまで1週間ほどかかるとか。
 結局 10 日以上かかって到着した書類には,URL が記載されていた。そこにアクセスすれば使用量が分かる……かというとそうではなく,そこでまた登録手続きが要るみたいな説明。確認用の番号を届けるメールアドレスが要るらしかったので入力したが,届かなかった。まぁ,メールというのは直ぐに届くとは限らないこともある。少し待つために別の作業をしていた。しばらくして届いていることに気付いてメールを読んだら,「10 分以内にお手続きください」だと。「10 分以内」っていつからの話だ? いやな予感しかしなかったが,登録用のメールアドレスを入れた手続きページに戻りメールに記載された番号を入れたところ,案の定エラーが出た。10 分以内に手続きして……と,必ずしも 10 分以内に届くとは限らないメールに書いて意味があるのか。残念ながら,これが今どきのシステム設計者の思考レベルなのだろう。
 結局,同じ URL に再度アクセスして,「10 分以内」に届くメールを見逃すまいとメールボックスを監視し続けたりなんかして,やっとログインが可能になり,使用量を知ることができたのだった。東電に最初に問い合わせてから 19 日目のことだった。
 まとめると,ウェブで登録を試みること数十分。チャットでオペレーターを待つこと 30 分と,役に立たないサイトを伝えられたことを含めたチャットでのやりとり 30 分の合わせて1時間前後。最終的に伝えられた番号に電話すること数日にわたり 20 回ほどに,やっと通じた電話のやりとり 20 分。URL を伝える書面が届くまで 10 日あまり。それを元に手続きすること約 30 分と……以前なら手元の「検針票」を見れば一瞬で済んでいたことに,これだけ手間がかかるようになってしまっている。しかも,電話番号はフリーダイヤルだったから通話料負担はないものの,チャットやウェブ登録の時の通信費などはこちら持ちだ。オペレーターの応答を待つ間に「あと○人です」と表示されるデータのやりとりも含めると,いったいどれほどパケットを消費させられたのか。

 自分の使った電気量を知るためだけになぜにこれほどいろいろ負担させられるようになったのか。それは,会社側が負担を利用者側にいくらでも押し付けられる仕組みになっているからだ。
 述べたように,電気やガスの検針はデジタル通信により自動化され,「検針票」と「検針員」は不要になっている。それは,郵便受けに投函していた検針票のための用紙,その印刷機,そしてデータの入力や印刷をしていた検針員も一切不要になったことを意味する。その分「通信」とその機器に経費がかかるのだろうが,それは「検針票」によるものと比べて軽くなったはず。でなければ検針票を廃止したりしないだろう。
 一方,「検針票」によって,使用量を利用者に伝えることもできていたため,それがなくなれば,利用者は使用量を知る手段が断たれることにもなる。本来なら,「検針票」に代わる使用量の伝達手段を用意しておくべきで,会社側としては,それを「ウェブ登録」によって果たしているつもりなのだろう。ところが述べたように「ウェブ登録」というのは,スマホなどの通信機器を用意したうえでパケット代などの通信料金をかけないと見れないから,利用者側に様々な負担を生じさせる。言ってみれば,電力やガス会社側が検針票を廃止してコストを削減した分だけ,利用者側の負担が増したような感じになる。「検針員」という人員コストが削減できるのは大きいかもしれないが,その代わり通信設備と通信費がかかるわけだから,全体的に見れば「検針員の人件費が削減できる」というだけの単純なコスト削減ではないわけだが,重要なのは,その検針員廃止により「会社側は確実にコスト削減できている」という点。代わりに導入した通信にかかる負担の一部が,利用者側に押し付けられたかたちになっているわけだ。
 しかも,電力やガスなどのインフラ系の会社は,どんなにお金がない人も利用せざるを得ないようなところがある。「使用量」は,そんな人でも今までは「検針票」によって知ることが出来ていたのに,ウェブ化されると,スマホかパソコンを購入することができ,しかも「モバイル回線」あるいは「光ファイバー」などの通信契約ができる程度の経済力のある人しか知ることが出来なくなる。ある意味「否応なく」負担させられ,負担できない人は使用量を知ることが出来ないまま放置される。すると,「省エネ」しようにもどんな時にどれほど使ったか分からないから,適切な「省エネ」はむずかしくなることが考えられる。寒い中でも暖房を我慢したり,暑い中で冷房を我慢したり……それで病気になったり死に至ったりするリスクも高まってしまうのではないか。すると,「社会的負担」を大きくしてしまう可能性も出て来る。

 それだけではない。「チャット」とか「電話」とか,対応してくれる相手が出るまで待っている時間と実際に対応している間は,こちらは他のことは何もできない。「検針票」があれば見るだけで済んでいたが,チャットや電話している間は仕事が進められない分,やはり「検針票」を廃止したためこちらに負担が回ってきたと考えることもできる。でも本来,会社側は,その「検針員廃止」により削減できた経費を,それらチャットや電話サポートの拡充に充ててもいいはず。が,一部でも充てさえすれば,それがたとえどんなに不十分で,利用者が何時間待たされようと知ったこっちゃない……それが現実ではないか。述べてきた電力会社の対応がまさにそんな感じだろう。会社側は削減できたコスト以上の負担を抑える。それで会社側の利益は上がるだろうが,サポート体制が不十分になり,そのために利用者側が長く待たされて,その分仕事が進まなくなるなどの負担を負わされるというわけだ。このような点でも「ウェブ化」は会社側にだけ一方的に有利になる仕組みなのだと思う。

 これが,筆者が「ウェブ化」により格差が広がると考える理由。電気やガスの使用量は,本来その企業の利用者の誰もが知れるようになっているべき情報のはずだが,ウェブでの確認を強制されると,そのサポート対象のスマホや通信料金への支出が困難な人は見れなくなってしまう可能性が高くなる。すると「省エネ」に関する情報も得られず,無理して空調の利用を抑えたりすれば,低体温症,熱中症,その影響で身体に負担がかかれば他の病気のリスクも増え,最悪の場合死に至る。しかし経営者や管理職は,死に至る低収入者のことなど知ったこっちゃないのだ。どんなに不適切なサポートを放置しても,自分の報酬を減らさずに済むことを優先する。ある意味「自分の報酬を減らしたくないがために低収入者に負担を押し付ける」ことで高額報酬を確保し,人生は安泰。そんな人たちが「格差をなくそう」と謳う SDGs のバッヂを誇らしげに付けていたりしないだろうか。
 電力会社やガス会社は,こうした状態を放置し「インフラ企業」として責任を果たしていると言えるだろうか。筆者はおおいに疑問である。

 まとめると,電気やガスなどのインフラを提供する企業は確実に利益が増すような運営方針を一方的に決めることができ,その中身として,経営者や管理職が高額な報酬を優先的に持って行けるような配分を盛り込むこともできてしまう。実際には,経営者や管理職に適切な統制能力がなく,末端のサポート体制整備の指示も不十分でまともにサポートを受けられない利用者をどんなに放置しても,優先的に決められる彼らの報酬は減らないから,「改善が必要」と気づかずますます放置される。そのサポートの経費の一部を利用者に負担させる仕組みが,低収入なため負担できずにサポートを受けられなくなる利用者を発生させて,さらに不利な方向に追いやり,格差を広げてしまう……という構図だ。
 一般論的に言うと,低収入者でも利用せざるをえないインフラ的サービスの提供側が,「使用量の通知」などの「最低限必要なサポート」の経費まで利用者に強制負担させるような仕組みにして,経営者や管理職の高額報酬を確保するようなやり方がまかり通っているということだ。

◆ Windows が広げる「格差」

 "Windows" extends the gap.

 「インフラ」といえば,コンピュータの OS にもそんな性質がある。おそらく現在最も使われている OS は,マイクロソフトの Windows だろう。別に「低収入」でなくても,Windows に「振り回された」ような経験がないだろうか。聞いた話では,アップデートすることによって,移動しただけのはずのファイルが勝手に消えたり,アイコンが変わってしまってファイルがどこだか分からなくなったり,インストールしたはずのアプリがまともに動作しなくなるため,アップデートする度に再インストールが要る……などの影響が出ると聞いている。これはつまり,消えたファイルを作り直したり,変わってしまったアイコンのファイルを探したり,アプリをインストールし直したり……Windows のためにその時間と手間をかけさせられている,ということ。その時間,実質的に「余計な業務」であれば,それは Windows にお金を吸い取られているのと同じだ。一方のマイクロソフトは,そのような「アップデート」と称した「改悪」をして,時として新しいアプリを作り,さもそのソフトを使えば不具合が解消するように思わせて買わせたりとか,いくらでも自社に向かうお金の流れを作ることができるというわけだ。
 「インフラ」を担う企業がいかに一方的に優位な立場であり,それゆえ格差を広げる元凶になりうるという点は,やはり同じだと言える。

 ちなみに筆者は,Windows はほとんど使用していない。Apple なんて「囲い込み」の権化みたいな会社だから,Mac も i-ナントカも使っていない。主に Linux,サブとして Android だ。

● 犯罪の温床となるウェブ化やデジタル化

 IT technologies and digitalization become a hotbed of crimes.

 述べてきたように,IT 化やウェブ化,デジタル化は,企業の経営者や管理職の出す指示が,必ずしも適切ではない場合も多いと思われる。すると何が起きるか……やはり「セブンペイ」の例が分かり易い。設計や運営する側が,IT やデジタル化,通信やそのセキュリティについて深く考慮していないサービスは,「犯罪」に悪用されるのだ。

◆ ATM 特殊詐欺

 The scam inducing misoperation at ATM.

 最近はどうなのかよく知らないが,一時期は ATM を操作させてお金を他へ送金させて騙し取る特殊詐欺が横行していた。これなども,お金の取扱いが自動化……ある意味「デジタル化」されたことと,それについていけず操作がよく分からない人との「乖離」が狙われた好例だ。
 「手口」はというと,筆者はひっかかったことがないので想像も含むが,高齢者の携帯電話を狙って電話をかけ,「給付金が受け取れる」などとウソを言ってコンビニなどの ATM 前まで連れ出し,「こちらから『振込み』をしますので『振込』を押してください」などと言って機械を操作させ,じつはその人の預金などから別の口座に「振込手続き」をさせる……つまり,お金を搾取するというものだと思う。
 これなど,もし UI(ユーザ・インターフェイス=機器の操作性)が「誰でも分かるように」作ってあって,たとえば,振込の操作をすると「操作者の預金が減る」と明確に分かるような表示が出れば,「お金が受け取れますので『振込』を押してください」などと言われたら「おかしい!」と気付くだろう。そうなっていないことが問題だと思うのだ。「振込」などの用語を「全ての人が理解している」こと前提で「ATM」を設計してしまったために,こうした詐欺が横行したのだと思う。
 前章で述べて来た「ウェブ化」でも,「スマホを所有してそれで通信も使える」と,「全ての人ができる」こと前提でサービスを始めてしまうから,そこから漏れる人が出てしまう……と考えれば,似た構図だと言えるだろう。
 いずれにしても,サービスの設計が「全ての人がそうだろう」といった勝手な予測を元にしていて,あまりに配慮不足ではないか。サービスの設計が,末端で使う人の実態を考慮せず,乖離している証左だ。

◆ アンダーグラウンドで暗躍する人々

 Underground, "Im hacker, money maker, good seller"...

 前の章で「Windows は使っていない」などと書いたが,じつは持っているパソコンが古くて,新しいバージョンの OS に対応できないため,古い機械で動く Linux の OS を仕方なく使っているような面もある。
 昨秋,家族が一人スマホデビューしたので,電話とメール以外に予備の連絡手段があるといいかと思ったのだが,LINE や Google Chat などは,専用のアプリが最新版かそれに近いパソコンにしか対応していないため,筆者の古いパソコンではそれらは利用できない。
 これもまた,末端の人の持つ様々な事情を考えずに,サポート対象を「新しめの機器や OS」に限定したため,それらが使えない人を見捨てたような状況になって利便性が犠牲になる例だ。しかも LINE などは,お役所のコロナウイルスワクチン接種予約や,税務署の来署予約などにも使われていたようだが,筆者を含め LINE が使えない者は利用できないから,相対的に不利になる状況を放置しているようなものでもある。お役所は憲法の「平等の原則」というものを理解しているのだろうか。
 それはともかく,電話とメール以外の連絡手段を探していた時に思い当たったのは,XMPP というチャットの規格。LINE も Google Chat もチャットではあるが,それぞれ LINE と Google のアカウントを持っている人同士でしか会話出来ない。一方この XMPP という規格は,登録したサーバが別であっても会話できる。しかも,そのやり取りに使用する「クライアント」と呼ばれるアプリが,LINE や Google では対応しない古い機械で使えるものがあり,さらに,Android など他の機械用クライアントも使えたため,アカウントを作ってみたのだった。
 結局,他の家族が誰も XMPP のアカウントを作らなかったので,筆者一人で使うことになった。「ひとりでチャット?」と思われるかも知れないが,じつはチャットというのは,「チャットルーム」という複数の人が会話する場もあるのは,ご存知の方も多いと思う。筆者がアカウントを作ったサーバに,同じサーバのアカウントを持つ不特定多数の人が集う場があったので,そこで投稿されるものを眺めていた。
 「どこのサーバの人でも書き込める」わけだから,さすがにインターナショナル。投稿はほとんど英語で,筆者が自分で書き込んだもの以外で日本語を見たことがない。ところが,それらの中にはアヤシイものもある。ひとつ引用すると,以下のようなもの。

 Hello all clients !
  - Im hacker, money maker, good seller, best tools, sell online 24/24.
  - I want introduce to you my services and sell fresh cvv (visa,master,amex,dis,bin,dob,fullz..) all country, Dumps track 1&2, Account Paypal, Bank Login, do WU transfer and Gift Card.
  - I sell cvv Fresh - Fast and Good price.
  - And I need good buyer for business long-term.

 勘のいい方は,かなりアヤシイものと気付くだろう。「cvv」というのは,どうやらクレジットカードの裏に記載されている「セキュリティコード」と呼ばれる3~4桁の番号のことらしい。クレジットカードと言えば,既にその名前のいくつかが記載されているのも分かるだろう。つまりそれらクレカの cvv の「新鮮(fresh)なのがありまっせ」という「お誘い」だ。また「fullz」とは,どうやら「個人情報」のことらしい。そうした「Account Paypal, Bank Login」のものを売る(sell)よ,という投稿である。こんなのが日常茶飯事に書き込まれている。

 こうした書き込みをする人は,それらのデータをどのようにして手に入れるのか。そのヒントになりそうなことが,別の日に起こっていた。
 筆者がウェブ閲覧に使っているブラウザは,パソコンでは FireFox,スマホでは Google Chrome なのだが,普段どちらも JavaScript(ジャバスクリプト)と呼ばれるブラウザの機能を無効にしてある。というのも,ウェブ記事内容と直接関係ない広告データなどはスクリプトにより読み込まれることが多いため。無効にしておけばそのデータは読まないから通信量の削減になり,その分読み込み時間の短縮にもなる。ただ,その機能を有効にしておかないとまともに表示しないウェブ記事なども存在する。ある時,そんなサイトを見るためだったか,スマホのブラウザ Chrome でたまたまスクリプトを有効にした状態で閲覧していたところ,画面いっぱいに,くす玉が割れて紙吹雪が舞うド派手なアニメイラストと共にこう表示された。

おめでとうございます! Chrome をお使いの方限定でプレゼント!

 直感的に「詐欺」を疑い,直ぐ閉じた。そしてスクリプトを「無効」に戻したのだった。
 もちろん,そうした広告が表示されそうなリンクをタップした覚えはない。しかも,そんな画面を見たのはその時だけ。普段,スクリプトを無効にして閲覧している時は,見たことがないのだ。
 これらが何を意味するか。まずリンクをタップ(クリック)してもいないのにそれが表示されたということは,Chrome が勝手にその記事を表示した可能性が高い。そしてそれが,スクリプトを無効にした状態では起きたことがなく,たまたま有効にしていた時に起きた現象である点を考えると,スクリプトによって表示されたものである可能性がある。まとめると,「Chrome のスクリプトを有効にしておくと,勝手に詐欺紛いの記事に誘導されることがある」ということだ。
 筆者が普段スクリプトを無効にしているのは,こうしたリスクを回避する意味もある。裏を返せば,「スクリプトを有効にしてください」などと要求して来るサイトは,その運営者が,いかにセキュリティ意識が薄いかを示しているようなものだと思う。

 もちろん,直ぐ閉じたから,それが本当に詐欺だったかどうかまでは分からない。かといって,試すわけにもいかないだろう。
 だからここからは想像になる。もしその「おめでとうございます!」を信じて,「こちらからお手続きください」みたいなリンクの先に進んでいたら,どうなっただろうか。
 サーバに対する攻撃ではなく,パソコンやスマホなどの個々の機械を狙うネット犯罪では,「ウイルス」のようなソフトウエアを読み込ませて動作させ,それが「悪さ」をするものが一般的だと思う。とはいえ,通常は操作者が「このソフトを起動したい」という意思を持ち,ダブルクリックしたりタップしたりしなければ,勝手に機械内で動作したりしない。だから,まず何らかの方法で機械に忍び込んで,操作者に起動してもらう必要がある……と言えば,「おめでとうございます!」の表示の正体が何なのか想像が付くだろう。その「悪さ」をするソフトウエアをダウンロードさせ,起動してもらうきっかけとしてはうってつけだ。
 それにしても,わざわざ「Chrome 限定」であるのはなぜか。
 じつは Chrome にはクレジットカードなどの「支払方法」を登録する機能がある。またメールアドレスを含む住所録一覧である「連絡先」にアクセスする権限を与えることもできる。Chrome といえば,ほとんどのスマホにインストールされているブラウザ。そのスクリプトの脆弱性を突いて,Chrome にアクセス権限が与えられている支払方法や連絡先の個人情報などのデータを,犯罪者が管理するサーバにこっそりと送る機能のソフトウエアをスマホで動かすことができれば,世界中のスマホから犯罪者の元にそれらのデータがドカドカ送り込まれることだろう。
 そのサーバの管理者が,前述したアヤシゲなチャットの投稿をしているのだとすれば,点と点が線でつながる。

 また最近はフィンテック(FinTech)と呼ばれる業種がある。簡単に言えば「お金を扱うウェブサービス」だ。前述のいかがわしい投稿中にも記述がある PayPal もそのひとつだが,それに限ったものではなく,一般的なクレジットカード会社や銀行のサイトも,ウェブでお金のやり取りができるという点では同じだ。
 そうした業者は無数にあるが,利用者が多い業者は限られる。たとえば「フィッシング」などは,いかにもその金融機関のサイトであるかのような「コピーサイト」を作って,そこにログイン情報などを入力させてお金を騙し取る手口だが,その「コピーサイト」を作るにもそれなりの労力が要る。そこで,そうした「利用者の多い業者」を狙ってコピーを作れば,多くの人が利用しているから,一度に多くの「カモ」が引っかかり,効率がいいことになる。
 「フィッシング」でなくても,PayPal など多くの人がお金を扱うためにアクセスするサイトに的を絞り,Chrome を使う人がそのサイトにアクセスしたことを感知して,入力されたログインのデータなどを読み取って犯罪者が管理するサーバにこっそり送る……そんな「ウイルス」がスマホに仕込まれていれば,やはりそのサーバに「ログイン情報」がドカドカ送られることになる。いかがわしい投稿に「Account Paypal, Bank Login」とあるのが何なのかは,もう想像がつくだろう。

 念のために言っておくが,あくまでも想像。でも,スクリプトを有効にした時にしか出なかった「おめでとうございます!」というド派手なくす玉と,チャットへのアヤシゲな書き込み,この2つの点を線でつなぐと,述べてきたような解釈が成り立つのではないか。
 筆者は Chrome をスクリプト無効で使っている。「スクリプトを有効にしてください」と要求されるサイトの利用は極力避けている。筆者はたまたまド派手なくす玉イラストの表示を見たが,画面が何も変化をしない……つまり,バックグラウンドで実行されるスクリプトの脆弱性が狙われたら,気付きようがないだろう。スクリプトの有効化を要求するサイトのセキュリティ意識がその程度であることは,言うまでもない。

◆ 「脆弱性」が残り続ける理由

 Why are vulnerabilities remaining?

 しかし,OS であれブラウザであれ,その他のアプリであれ,「最新の状態でご利用ください」とよく言われて,アップデートを促される。それは「セキュリティのため」とも言われている。そのためか,最近はどれもけっこう頻繁にアップデートされるような気がするが,そのわりに述べたような「詐欺」の要因となる脆弱性が残り続けるのはなぜか。
 筆者は,それも「給使乖離現象」が要因だろうと考えている。サービスの発案をしたり,仕様を決めて指示を出す側と,末端で具体的な設計をする人たちの間に隔たりがあって,細かな点で「どのようなリスクが考えられて,そのためにどういったセキュリティへの配慮が要るか」といった「詰め」ができていないのではないだろうか。
 さらに掘り下げると,最近の「アプリの作られ方」に大きな要因があるのではないかと感じている面がある。
 筆者が子供の頃に遊んでいた「プログラミング」とは,プログラミング言語の文法とコマンドを憶え,それを記述して作っていた。「今でもそうだろう」と思われる方もいるかもしれないが,ネット通信なんてなかった時代,個別の機械で動作すればそれでよく,プログラムの大部分を自分で作って,それで十分使えていた。ところが,ネット通信の発達により,「ウェブアプリ」を考えようとすると,単独の機械で動作すればいいというわけにはいかない。通信する「相手」が居るわけで,そのやり取りの手順「プロトコル」の規格が無数に存在する。それらの手順に従わないと通信ができないから,「ウェブアプリ」として使えない。また,末端で表示と利用者の操作を受け付ける「ブラウザ」にも,その制御のための仕組みである「オブジェクト」と呼ばれる制御単位がいくつもあって,それぞれ機能が数十個ずつ定められて個別にキーワードが割り当てられ……と,とても一人の人間が全体を把握しきって作るには限界がある。すると「モジュール」とか「エンジン」と呼ばれる既成のソフトウエア共用部品を使わざるをえなくなって来る。つまり,アプリの製作は,規格の細かい部分まで把握して,全体を自分で作ることがなくなり,モジュールなどの部品をどう組み合わせて使うか……に重点が移っている。なので,その「部品」の中でどのような処理が行なわれるのか知らないままアプリを作るケースも多くなっていると考えられる。
 ウェブサービスの提供を思いついた側は,「ネットでこんなことができるといい」などと気軽に言うのかもしれないが,具体的に設計と製作をする側には,述べたような「細かい点まで把握できない部分」がそれなりにあり,でもそこも何とかしなければならず,「モジュール」のような,中がどうなっていてどんな処理をしているのか分からない部品を使わざるをえない状況に置かれていると言えるだろう。
 「ウェブサービス」に脆弱性が残り続ける理由が何となく分かるのではないだろうか。
 最悪の場合,もしその「モジュール」の中に脆弱性が潜んでいたら,それを使って設計製作をした側も簡単には把握できない。その脆弱性が悪用されていても,誰も気付けないままになる状況も起こりうる。ましてや,その「ネットでこんなことができるといい」と気軽に言ってくれる企業の経営者や管理職は,末端で使われるモジュールの脆弱性のことなど気にも留めないだろう。
 かくして「給使乖離現象」が起きるのだと考えている。

 潜在する「脆弱性」にいずれ気付けばまだマシなのだが,そのリスクに気付いた人が,いつまでもそこで働いているとは限らない。エンジニアが交代すれば,やがて忘れられて,リスクは残り続けることになる。もし「その指示からはセキュリティリスクが発生するので,指示を変えてください!」などと指摘するエンジニアがいると,指示する側にとって煙たい存在。指摘を聞き入れてセキュリティ対策するとコストになるし,その人をとっとと入れ替えてしまったほうがウルサくなくて済む。そうした動機で「異動」が行なわれないという保証はない。「指摘」の方向は逆だが,Twitter 社を買収した Elon Musk CEO が,彼の指摘を否定したエンジニアを解雇した話は記憶に新しい。果たして,そのエンジニアの否定は間違っていたのか,あるいは,CEO の指摘が妥当でないと認めざるを得ないほど論理的にエンジニアから否定されたのか,解雇された真の理由はどちらだろうか。

 たぶん Chrome に至っては典型的な悪例で,「ブラウザにこんな機能があると便利だろう」といった考えを出す側と,それを具体的にコード化(プログラムに)して Chrome に盛り込む側への指示系統が硬直的になっていて,たとえば「指示が上から下への一方通行」で,製作段階で下から上に「そのアイデアはこんなセキュリティリスクが出る可能性があるのですが,どうします?」といった意見が吸い上げられなかったりして,そのリスクが残ったままになっていることは十分に考えられる。
 くす玉の「おめでとうございます!」の表示と共に「Chrome 限定」とあったことが,それを端的に表しているような気がしないだろうか。つまり,Chrome にしかない脆弱性が狙われたと考えられるわけだ。

 で,問題だと思うのは,述べてきたような「スクリプトに潜在するリスク」を軽視するサイトが多いこと。考えてもみて欲しい。筆者が「ド派手なくす玉」を見たのは,スクリプトを有効にしていた時だ。無効にしていてくす玉を見たことはないのだ。であれば,無効にしておけば,そんな詐欺紛いのサイトに誘導されることもないはず。つまり,「スクリプトを無効にしておけば」セキュリティは向上するのだ。ところが,多くのサイトは,スクリプト無効で見ようとすると「スクリプトを有効にしてご覧ください」と表示が出る。つまり閲覧者に対して「セキュリティのリスクを負いなさい」と言っているようなものだ。
 企業の経営者や管理職,オヤクショなど,サイト運営側の責任の1つに「セキュリティの向上」があるはずだ。残念ながら今それらの方々は「利用者にリスクを負わせる」ような真逆のことをしている気がする。サービス提供側で指示を出すそれらの者たちが「スクリプトに潜むリスク」といったセキュリティのことを知っていれば,末端の利用者にリスクを負わせる指示など出さないはずだ。知らないままあーだこーだ指示を出しウェブサービスを作るから,このようなことになるのだと思う。

 「給使乖離現象」……それは,サービスを提供する側の企業の経営者や管理職の方々が,ネットワークなどについてよく知らないままサービス内容について指示して,それがたとえセキュリティ上のリスクを含んでいても,具体的に設計や製作をする側は立場上指示を受け容れざるをえず,「脆弱性」が潜在してしまい,結果的に犯罪の温床となり,不正なカード利用や不正ログインで,お金を奪われたり個人情報を狙われるなどで泣き寝入りする人が生まれ続ける……そんな社会にする要因だ。

● 今どきのサイト構築の仕組みに潜む問題

 Potential problem on the construction of the site currently.

 「給使乖離現象」が社会に対していかに悪い構造を作る原因になっているかは,もう理解していただけると思う。この章では,今どきのサイト構築の際の構造的問題から同現象について論じてみる。

◆ 「サイトの乗っ取り」はなぜ起きるか

 Using "CMS" weakens security.

 よく聞くサイバー犯罪の手口として,「サイトの乗っ取り」がある。企業や自治体のウェブサイトがその攻撃を受けると,その組織とは全く関係のない別の記事ばかり表示するようになってしまったりする。そうした犯罪はなぜ可能なのか。じつはそのヒントも,前述したカード詐欺まがいの投稿と同様,筆者の元に連日届いている。

 ウェブサイトを管理するソフトウエアを CMS(Contents Management System)と呼ぶことがある。既成のもので有名なのは WordPress などだが,じつは筆者のサイトはそうした既成 CMS は使っていない。
 ところが,筆者サイトで誰がどんな記事を読んだ/読もうとしたかの記録である「アクセスログ」というものを見ると,その WordPress と関係ありそうな URL へのアクセスが多数ある。もう一度言うと,筆者サイトは WordPress をはじめとして,「既成の CMS は使っていない」のだ。当然それを知っている筆者がそんな URL にアクセスすることはない。とすれば……もう分かるだろう。そう,つまりそれらは,サイトの乗っ取りを図る「攻撃」だと思われる。毎月,数百件くらいある。
 そうした攻撃が「筆者サイトだけ」とは考えにくいだろう。つまり,全てのサイトが,つねにどこかからか攻撃を受けていると考えるほうが自然だ。個人のサイトでも使われる WordPress だけでなく,公官庁や企業サイト向け CMS などもあるだろう。そうした組織は様々な部署があるわけだから,それらの部署にそれぞれ記事の公開や更新の担当者がいて,あちらこちらからアクセスされるだろう。すると,アクセスログを見ても,それが「攻撃」なのかどうかを判別しづらくなる……という点に気づくだろうか。筆者サイトは確実に CMS を使っていないため,CMS が関係していそうな URL へのアクセスは,ほぼ「攻撃」と断定できるが,CMS を利用し,しかもあちらこちらから様々な担当者がそれで管理する可能性がある場合,どのアクセスが「攻撃」なのかは,あとで記録だけ見ても簡単には判断できない可能性が高い。つまり,「攻撃」に対して無防備になり易くなることが考えられるのだ。
 本来,サイト運営をする場合,ウェブ記事はどう作成すればよくて,また作成した記事を公開するにはサーバをどう操作すればいいか……そういった点を知らなければできないはず。でも,CMS と呼ばれる外部で作られたシステムを使えば,ウェブについてよく知らない担当者でも,何とかサイトの管理や運営が「できてしまう」ことになる。このようにして「ウェブをよく知らない」担当者ばかりがサイト運営を任されるようになり,ますます CMS に頼らざるをえなくなる。すると,その CMS の脆弱性が狙われても,担当者がウェブの仕組みをよく知らないから,そもそも「攻撃されている」現実があっても把握できずに,ほぼ無防備……という構造ができあがる。今どきの公官庁や企業のサイトがいかに脆弱でセキュリティリスクを孕むのかは,もう分かるだろう。本来ならサイト運営上必要な知識も,それがなくても運営できてしまうツールの利用が常態化されることによって,サイト運営上のリスク管理に必要な知識と,担当者の持つ知識とが乖離した状態を作ってしまうわけだ。

 「人材不足だから仕方がないだろう」なんて声も聞こえてきそうだ。しかし,この記事を書いている間(2023-2 月)も,筆者のサイトでは各記事に「失業中」と表示されているのだから,本当に人材不足なら,筆者の元に「セキュリティについて教えて!」なんて話が来てもよさそうな気もするが,全くない。アクセスログには,様々な企業や組織,時に都道府県庁などのオヤクショからも閲覧された記録があり,もちろんそこにも「失業中」と表示されているはず。この記事を当サイトで直接読んでもらっていれば,CMS を使わなくても管理運営ができる仕組みを構築するノウハウを持っていることくらい分かるはずなのに,どこからもお声はかからないのだ。それで組織側は「IT 人材不足で……」的な発言を繰り返しているわけだから,つまり対策を先送りし続けているようなもの。既成の CMS に頼らず,セキュアなサイト運営を心がけている筆者の元には,その技能を活かせそうな仕事は来ないのだ。脆弱性が残り続けるのも,格差が広がるのも,ある意味当然と言えるだろう。

◆ SQL インジェクション

 "SQL injection".

 前節で述べた CMS は,記事情報などをまとめて DB(データベース)と呼ばれる仕組みに保存しておくものが多い。その DB にアクセスするのに,たいてい SQL(Structured Query Language)と呼ばれる仕組みが使用される。ひと言で言えば,DB に記事のデータを書き込んだり,書き換えたり,削除したり,特定の条件で検索してそれに合うデータや記事を呼び出したりするための命令形式が SQL だ。
 さて,ではサイトの管理運営を任された担当者は,SQL を知っているだろうか。もちろん,いくらサイトが DB を利用しているといっても,通常その SQL でのアクセスは,ほとんど CMS がやってくれるために,担当者が知っている必要はない。つまり「知らずに済む」ことになる。するとやはり,SQL が悪用される攻撃には無防備になってしまう。
 もうお気づきだと思うが,それもセキュリティリスクを孕むわけだ。
 たとえば,サイトの検索語の入力欄に「データを全て削除せよ」などを意味する SQL の命令を入力され,それがサイトを管理しているサーバ上で実行されてしまったら……全ての記事が削除されてしまうことになる。こうした手口は「SQL インジェクション」と呼ばれている。
 「削除」くらいなら,せいぜい管理している組織内がパニックするだけで,「バックアップ」されていれば復旧もむずかしくないだろうが,たとえば「不特定多数の個人情報データを呼び出す」ような命令を実行されてしまったら……もしその個人情報が「クレジットカード番号」などを含んでいれば,それらのデータを悪用した「詐欺」などの二次被害が出る可能性があるのは明白だろう。
 じつは,最初のほうで触れた「コロナワクチン接種予約システム」でも,その「SQL インジェクション」の悪用が出来てしまっていたという「ウワサ」も聞いている。それが本当なら,とことん,利用者のことなど考えてないシステムの「造り」だったと言えるだろう。
 ところが,述べているように,サイト運営の担当者は,そうした SQL のことを知らないことも多いわけだ。CMS を利用すれば,サイトを運営している担当者は SQL のことを知らずに済み,SQL インジェクションのリスクを見落としてしまう可能性も大きい。だからと言って,「知らなかったのだから仕方ないだろう」で済ませられるものだろうか。
 でも,サイトを運営する側は,「知らなかったのだから仕方がない」で済ませたい話だろう。しかし,これだけは言っておきたい。「SQL インジェクション」という手口は,既に知られている話なのだ。

 ちなみに筆者サイトは,記事管理に DB も SQL も使っていない。

◆ 「サイトの仕組み」不理解が生む給使乖離現象

 The ignorance to structure of website makes this Gap.

 ウェブサイトを管理運営する担当者は,その仕組みをほとんど知らなくても何とか運営できてしまう。しかしそれによって「悪用の感知」が遅れたり,場合によっては感知に至らないケースが増えることは,述べてきたような現状から理解できるはず。その状態でサービスを提供することは,その「悪用」による犯罪リスクを利用者側に押し付けるようなもの。こうした「利用者のセキュリティ」を十分考慮できない状態のままサービスが提供されてしまい,一方の利用者もそうしたリスクを把握せず「安全だと言っているのだから安全なのだろう」程度の感覚でそのサービスを利用してしまっているのが現状と言えるだろう。このようなセキュリティについての認識の差も「給使乖離現象」と言えると思う。

● アインシュタインが遺した言葉

 Dr. Einstein leaved the warning.

 筆者が他の記事でも時々引用するが,アインシュタインは以下のような言葉を遺したと言われている。

▼ アインシュタインの言葉 (Dr. Albert Einstein said)

テクノロジーが人間を上回る日を私は恐れている。世界は愚かな世代でいっぱいになるだろう。
  I fear the day that technology will surpass our human interaction. The world will have a generation of idiots.

 検索すると,本当にアインシュタインがそう言ったのか,どうも真偽のほどはあいまいなのだが,筆者は概ね真実を突いているのではないかという気がしている。

 述べてきたように「給使乖離現象」とは,サービスの使用者側に求められる品質と,実際に供給側が提供するそれとが乖離した状態。サービスの供給側が,末端の使用者の利便性やウェブ上のセキュリティについてよく理解しないまま不適切な指示を出し,それに沿って設計や製作が進められてしまう。使用者に負担を強いて供給側が一方的に有利になる仕組みを優先的に盛り込める一方,リスクが潜在し犯罪の温床になり,しかも利用を押し付けられた側はその犯罪被害のリスクが増すわけで,ことごとく不利益になる。そんな状態が放置されていると言っていい。
 こうした状態に至らしめる「心的」要因で最大のものは「お金」のことしか考えられない人たちだと思っている。サービスを IT 化やウェブ化すれば,まず一度に利用できる利用者を増やせるから,コストを下げることもでき,そのサービスを提供する組織は手元に残るお金を増やせる。そこで「お金」のことしか考えない経営者や管理職は「それは自分の成果」と考え,高額な報酬を優先的に確保する一方,ウェブやネットワークの仕組みやセキュリティについては知らないまま,自ら調べることなどしないだろうから,セキュリティ上のリスクは残り続ける。でも大丈夫,経営者や管理職がそのサービスを自分で「直接」使うことなどまずない。その経営者や管理職のための手続きは,そのサービスと異なる,もっと安全な方法で誰かがやっているはず。自分で使わなければ,ガバガバなセキュリティを放置しても無傷でいられる。どんなに分かりにくくても,どんなにセキュリティに問題があっても,それでどんなに利用者が犯罪被害に遭っても,経営者や管理職が知ることはないのだ。
 そして,本来なら,そのサービスを具体的に設計や製作をする下請け辺りが,「これでは利用者に利便性がないです」とか,「こんなセキュリティでは犯罪が多発します!」とか指摘してもいいはずだが,指摘して「じゃ,他所に頼むからいいよ」なんてなると収入が減っちゃたりするから,「お金」を減らさないためにもそうした指摘はしないだろう。「二段階認証」を採用するように言われないままシステムが作られ,セキュリティがガバガバのままゴーサインが出された「セブンペイ」が,なぜそうなったのかも,何となく分かる気がしないだろうか。
 ましてや,そのようにして作られたサービス,また,CMS など既成のシステムを使っている企業やオヤクショの担当の方々は,そもそもどんなセキュリティリスクがあるかなど知らずにそれを使っていたりする。もしセキュリティについて調べて「このシステムはアブナイです!」などと指摘したため,「イヤなら辞めてもらう」とか言われれば「お金」が入って来なくなるから,そうした指摘をすることもないだろう。たとえその脆弱性が突かれて犯罪が起きても,「分からなかった」と言える状況にしておけば責任をあいまいにできるから,「損害賠償」を求められるといった「お金が減る要因」もなくせることになる。でも,セキュリティを調べず脆弱性が残れば,そこを狙われて犯罪被害に遭い,泣き寝入りするハメになる可能性があるのはその利用者だが,その CMS を利用する組織からお金を受け取っている経営者や管理職,サイト管理の担当者やオヤクニンにとって,利用者が犯罪に遭おうと知ったこっちゃなく,自分の受け取る「お金」さえ確保できればいい……そんな状況に置かれた方々が,その仕組みを運用しているのだ。

 本来,ウェブやネットワークのシステムは,伝えることを紙に印刷したり,それを送付するため手間と時間をかけたりガソリンを燃やしたり……そうした無駄や二酸化炭素の削減になるもののはず。ところが,そうした仕組みを作る立場にいる人たちは,そのウェブやネットワークのシステム,セキュリティが何たるかよく調べないまま,「自分がお金を多く受け取れるようにすることを優先」して粗悪な仕組みを作って,しかもそのサービス利用をいくらでも末端に押し付けられる立場にある。その結果,末端の利用者はその粗悪さに苦労させられたり,潜在させてしまったセキュリティリスクが「犯罪の温床」になり,犯罪が起きれば被害に遭うのは利用者であり,泣き寝入りするハメになることもある。一方で仕組みを作った側は,潜在させたリスクの責任は負わずに報酬を持って行けるから格差が拡がる。こうした構造が固定化されつつある。
 サービス提供側は,「お金を手元に多く残す」という「自分の損得」だけを中心に考えてしまい,利用者の利便性や,セキュリティリスクの回避といった,サービス提供側が「本来考えるべきこと」を考えられなくなってしまっているように見える。つまり,ある意味「愚かに」なってしまっているといえるのではないか。

 ウェブやネットワークのシステムで特に複雑な部分には,モジュールやエンジンなどと呼ばれるソフトウエアの部品が使われるが,それらの部品の大元を作った方々は,それなりに考えて作っているはず。ただ,それを使う側が,製作しているシステムにその部品を使うことが適切かどうかとか,そこまでセキュリティリスクを考えられるとは限らない。ソフトウエアの部品は簡単にコピーができ,いくらでも他のシステムに使い回しできるわけだが,もし誤った使い方によりセキュリティリスクが潜んだままのソフトウエアが,自分の損得のことしかアタマにない人たちの手により,安全性についてロクに調べもされずにコピーされて,あちらこちらで流用されれば,そのリスクもコピーされ,あちらこちらに散在して使われることになる。もちろん使う側も,ウェブの仕組みやセキュリティなんか知らないわけだから,「セキュリティ上危険なのでは?」なんて疑いも持たずあちらこちらで使うことになるだろう。そう考えてアインシュタインの言葉を見れば,「愚かな世代でいっぱいになる」という懸念は,かなり現実味があるような気がしないだろうか。

 もう少しマクロな視点から言えば,ウェブやスマホの普及によって,述べてきたような「考慮や配慮のないシステム」が広く使われるようになる中,人々の「考えるチカラ」はどうなるだろうか……ということ。
 その「述べてきたこと」とは,個々に安全性を確認しきれないようなものが,さも信用できるかのような「売り文句」と共に利用を促され,実質的に「信用の確約」がないまま,使うことを半ば強制される状況。「モジュール」や「エンジン」と呼ばれる既存のソフトウエア部品が,詳しい動作の検証のないままあちらこちらにコピーされ,ウェブ上のシステムに組み込まれている。個人所有のスマホなどの機械でも,そこに元々インストールされているブラウザや,外部から読み込まれて動作するスクリプトやアプリなど,それを使うことが適切なのか,個人情報を勝手に外部に送信したりしないのか,セキュアに動作しファイルを勝手に書き換えたりしないのか……そうした確認も一切ないまま安易に実行されている。でも,スマホでウェブサービスを使う人の多くは,IT やネットワークの知識がないために,そこまで「考えるチカラ」がない。そのため「仕組み」を意識せずに使うことになり,確認する必要性さえ感じないだろう。サービスの利用者は,提供側から「ご利用ください」と言われ,ただそれに従っているような状態。一方,提供側も,細かい仕組みを理解せず,設計や製作は全て「下請け」任せにして,「全ての人が同じようにスマホを使える」と勝手に思い込んでサービスを運用するから,最新バージョンしかサポートせずに古い機械しか使えない人を切り捨てたり,大量のデータ通信をするアプリを使わせれば通信環境がよくない人はパケ死してそれ以上ウェブを利用できなくなったりする。これらは「サービス自体に利用できなくなる要因が潜在している」ことを意味するが,サービス提供側もやはりそこまで「考えるチカラ」がないから,ただ「ご利用ください」と言ってサービス利用を押し付けるだけになる。たとえサービス自体に利用できない原因があっても,そんなことは知ったこっちゃなく,利用できない利用者だけが「悪」なのだ。
 最近,どうしてそんな行動に出たのかよく分からない事件が増えている。寿司屋で湯呑みを舐めて戻したり,寿司に消毒液を吹きかけたり,「燃える様子を見たかった」というだけで,漏れていたガソリンに火を点けた,なんて話もあった。最近聞いたものでは,列車を降りた運転士が,自分が運転していた車両ではなく隣に停車していた車両に車止めの「くさび」を取り付けたため,知らずに発車したその列車が破損させたなんて話もあった。これなどは,ヘタすりゃ「脱線」の恐れもあった。これらはウェブ関連ではないが,ウェブやスマホを,その仕組みを知らないまま,安全性など考えずに使わせられている現代の人々が,総じて「考えるチカラ」が衰えている片鱗を見ているような気がしている。

 「給使乖離現象」……これは,アインシュタインの懸念の一面であるような気がしている。もし社会学者の皆さんがこの文を読んでいたら,これらの現状を切実に捉え,社会に警鐘を鳴らして欲しいと思うのだ。



© M.Ishikawa; TREEWARE 2024.