親たちが学校アプリを開発。市が警察に通報

2021年11月4日午前7時

ストックホルムの公式アプリは大失敗だった。憤慨した親たちは、違法の可能性を警告する声を無視し、独自のオープンソース版を開発した。

クリスチャン・ランドグレンの忍耐は限界に達しつつあった。3人の子供を抱え、別居中の父親である彼は、ストックホルム市の公式学校システム「スコルプラットフォーム」を正常に機能させようと、毎日貴重な時間を無駄にしていた。ランドグレンは、子供たちが学校で何をしているのかを知るために、延々と続く複雑なメニューをくまなく探した。子供たちの体育着に何が必要なのかを考えるのも面倒なのに、病気の報告方法を考えるのは悪夢だった。2018年8月の導入から2年、スコルプラットフォームはスウェーデンの首都で何千人もの親にとって常に悩みの種となっていた。「利用者も親も皆、腹を立てていました」とランドグレンは言う。

Skolplattformは、本来こんな風になるはずはなかった。2013年に運用開始されたこのシステムは、ストックホルムの最大50万人の子ども、教師、保護者の生活を楽にすることを目的としていた。出席登録から成績記録まで、教育に関わるあらゆるものの技術的な基盤となるのだ。プラットフォームは3つの異なる部分から成り立つ複雑なシステムで、18の個別モジュールが含まれており、5つの外部企業によって管理されている。この広大なシステムは、600の幼稚園と177の学校で利用されており、教師、生徒、保護者それぞれが別々のログイン情報を持っている。唯一の問題は？それは、うまく機能しないことだ。

10億スウェーデン・クローナ（約1億1,700万ドル）以上を投じたスコルプラットフォームは、当初の目標達成には至りませんでした。保護者や教師はシステムの複雑さに不満を表明しており、導入の遅れ、プロジェクトの不適切な管理に関する報告、そしてIT災害とのレッテル貼りもされています。Android版アプリの平均評価は星1.2です。

2020年10月23日、スウェーデンのイノベーション・コンサルティング会社アイチームのCEOで開発者でもあるランドグレン氏は、「Skrota Skolplattformen（学校プラットフォームをぶっ壊せ）」という文字が入った帽子のデザインをツイートした。これは大まかに訳すと「学校プラットフォームをぶっ壊せ」という意味だ。ランドグレン氏は、子供たちを学校に迎えに行く時にこの帽子をかぶるべきだと冗談を言った。数週間後、まさにその帽子をかぶって、自ら行動を起こすことを決意した。「自分のフラストレーションから、自分のアプリを作り始めたんです」とランドグレン氏は語る。

彼は市当局に手紙を書き、スクールプラットフォームのAPIドキュメントの閲覧を求めた。返答を待つ間、彼は自分のアカウントにログインし、システムのリバースエンジニアリングが可能かどうかを試した。そしてわずか数時間で、動作するものを完成させた。「学校のプラットフォームから取得した情報を画面に表示しました」と彼は語る。「そして、彼らの粗悪なAPIをベースにAPIを構築し始めたのです。」

この作業は2020年11月末に開始されました。ストックホルム教育委員会が、スコルプラットフォームの「重大な欠陥」を理由に、GDPRに基づき400万スウェーデンクローナの罰金を科されたわずか数日後のことでした。スウェーデンのデータ規制当局であるIntegritetsskyddsmyndighetenは、このプラットフォームに深刻な欠陥があり、数十万人の保護者、子供、教師のデータが漏洩していることを発見しました。場合によっては、Google検索から個人情報にアクセスできる可能性がありました。（その後、欠陥は修正され、控訴により罰金は減額されました。）

その後数週間、ランドグレンは仲間の開発者であり保護者でもあるヨハン・オーブリンク氏とエリック・ヘルマン氏とチームを組み、3人で計画を立てた。彼らはSkolplattformのオープンソース版を作成し、ストックホルム中の困窮した保護者が利用できるアプリとしてリリースするのだ。ランドグレンの以前の作業を基に、チームはChromeの開発者ツールを開き、Skolplattformにログインして、すべてのURLとペイロードを書き留めた。彼らはプラットフォームのプライベートAPIを呼び出すコードを取得し、スマートフォンで動作するようにパッケージを作成した。つまり、既存の不具合のあるSkolplattformの上にレイヤーを作成したのだ。

その結果、「Öppna Skolplattformen（オープンスクールプラットフォーム）」が誕生しました。このアプリは2021年2月12日にリリースされ、すべてのコードはGitHubでオープンソースライセンスに基づいて公開されています。誰でもコードを入手・使用することができ、その用途にはほとんど制限がありません。市がコードの一部を使用したい場合は、使用することも可能です。しかし、市当局はこれを歓迎するどころか、憤慨して反応しました。アプリがリリースされる前から、ストックホルム市はランドグレン氏に対し、違法となる可能性があると警告していました。

その後8ヶ月間、ストックホルム市（Stockholms Stad）はオープンソースアプリの運用を妨害し、閉鎖しようと試みました。保護者に対しアプリの使用を中止するよう警告し、アプリが個人情報に不正アクセスしている可能性があると主張しました。市当局はデータ保護当局にアプリを報告し、ランドグレン氏によると、公式システムの基盤コードを改変して、このアプリの運用を完全に停止させたとのことです。

そして4月、市は警察の介入を発表した。当局は、アプリとその共同開発者が犯罪的なデータ漏洩を犯した可能性があると主張し、サイバー犯罪捜査官にアプリの動作を調査するよう指示した。アプリに関する懸念に対処するために市当局と面談していたランドグレン氏にとって、この動きは驚きだった。「警察の介入について、かなり怖かった」と彼は語る。

Öppna Skolplattformenは複雑なアプリではありません。公式のSchool Platformは、スウェーデンの首都で教育に関わるすべての人（20万人の保護者、2万3,500人の学校職員、そして14万人の生徒）のために構築されていますが、オープンソース版は保護者専用です。この1ユーロのアプリは、iPhoneとAndroidで約1万2,500回ダウンロードされており（平均評価は4.2）、基本的な情報のみを表示します。

保護者は、Skolplattformでも使用されているスウェーデンのデジタルIDシステムBankIDを使ってログインします。すると、Skolplattform APIを通じてアプリに取り込まれた子供に関する情報を見ることができます。アプリには、学校のカレンダーや音楽コンサートなどのイベント、生徒の毎日のスケジュール、成績や最新ニュースへのリンクが付いた教師からの通知、カフェテリアで提供される食事、子供が病気になった場合の報告オプションが表示されます。「私たちが表示するものはすべてオープンで公開されている情報です」と、Öppna Skolplattformenの共同設立者の一人であるオーブリンク氏は言います。彼によると、生徒の成績はアプリ内ブラウザで表示され、アプリはそこからデータにアクセスできないとのことです。アプリの初期バージョンには、公式プラットフォームからアクセスできる保護者の個人情報が含まれていましたが、後に削除されました。「これはある意味、偶然の成功でした」とオーブリンク氏は付け加えます。「これほどうまくいくとは思っていませんでした。」彼によると、Öppna Skolplattformenチームは市との会議で、市当局が彼らのコードを入手して彼らのバージョンのアプリを使用することを許可したという。「彼らは私たちと協力するどころか、協力について話し合うことさえ望んでいませんでした。ただ警察に通報したのです」と彼は言う。

ストックホルム市は当初からÖppna Skolplattformenについて確信が持てなかった。「私たちはオープンAPIを持っていないので、彼らは独自の解決策を作ったのです」と、市教育局のデジタル化およびIT担当副部長、ヘレン・モスバーグ氏は2月にスウェーデンの出版物Ny Teknikに語った。モスバーグ氏は非公式アプリのリリース前に、人々の個人情報が関係しているため「違法」である可能性があると述べた。モスバーグ氏はアプリについておおむね肯定的だったが、「厳格な」調査を開始中だとも述べた。公式文書によると、市は開発者に対し、調査が完了するまでアプリを公開しないよう促した。2月中旬、スウェーデンのセキュリティ企業Certezzaがアプリの外部監査を完了したが、スウェーデンの強力な透明性法にもかかわらず、報告書は公表されなかった。Öppna Skolplattformenチームは、その文書にアクセスするために、法廷で非開示を争った。

3週間後の2月末、事態は深刻化した。市は、個人情報へのアクセスを阻止するため、Skolplattformのセキュリティアップデートを実施すると発表した。これは、Öppna Skolplattformenの自社製APIを事実上シャットダウンすることを意味する。市の行動をきっかけに、両者の間で綱引きが始まった。Skolplattformはアップデートされ、Öppna Skolplattformenは独自のアップデートで応じるという構図だ。3月には、Öppna Skolplattformenは、基盤システムの変更を繰り返す市による「妨害」を避けるため、7回もアップデートされたという。「市は、自分たちの情報が他の場所に送信されることを懸念していた」とランドグレン氏は語る。ランドグレン氏によると、この頃、Öppna Skolplattformen問題に対処するための専門タスクフォースが設立されたという。

ストックホルム市の教育長レナ・ホルムダール氏は、市はサプライヤー、生徒、そして従業員に対する責任を果たしたと述べています。「オープン・スクール・プラットフォームが、私たちの対応が彼らの負担になっていると感じているのは理解できます」とホルムダール氏は言います。「私たちは、遵守すべき契約、法律、規制に従って、責任を果たそうと努めています。」ホルムダール氏はさらに、市はチームと面会し、市の立場を説明しようとしたと付け加えました。「アプリの開発者たちは、多くの興味深い考えやアイデアを持っており、彼らのアプリを通して、私たちが取り組むべき点を的確に捉えています。」

4月初旬、市は開発者に対し、GitHubからソースコードを非公開にするよう要請しました。4月15日、ホルムダール氏率いる教育当局は、保護者が開発したシステムに関する調査を完了し、アプリのデータ処理方法に懸念があると発表しました。その後、市はデータ漏洩が発生した可能性があるとして、開発者とÖppna Skolplattformenを警察に通報しました。

「彼らは警察の報告書を、恐ろしく見えるように書いていたんです」とランドグレン氏は言う。その後数週間、サイバー犯罪捜査官が彼の自宅を訪れ、オープンソースアプリについて尋問した。ランドグレン氏によると、この過程でチームの仕事ぶりに疑問を抱くようになったという。「その時点で、何をしようとしているのかを決断しなければいけないんです」と彼は言う。最終的に、彼は拡大するチームと共にプロジェクトを続けた。それが正しい判断だったからだ。

紛争が続く中、Öppna Skolplattformenの人気は高まり続け、開発に関わる人数も増加しました。共同創設者のランドグレン氏とオーブリンク氏によると、アプリの開発には最大40人が携わったとのことです。このボランティアグループは、バグの発見と修正、検索機能の開発、そしてアプリを複数の言語に翻訳してきました。また、市が反対する中で、公式アプリの潜在的なセキュリティ問題についても提言しました。チームにはデザイナー、弁護士、開発者などが参加しています。「私たち一般市民は、高度にデジタル化されています」とランドグレン氏は言います。

スウェーデンのスタートアップシーンは活況を呈している（Spotify、Klarna、Kingはいずれもスウェーデンで創業）が、公共部門のテクノロジーはそれに追いつくのに苦戦している。2019年に発表されたOECDの政府デジタル化に関する最新報告書では、スウェーデンは調査対象となった33カ国の中で最下位にランクされている。ランドグレン氏は「公式ツールを使うと、90年代から停滞してしまう」と語る。「そのギャップを埋めるために、私たちや多くの関係者は、オープンソースこそが協力を始める最良の方法だと考えている」。彼は、完成までに何年もかかり、完成する頃には時代遅れになっている、費用がかかり失敗も多い政府のITプロジェクトよりも、市民による開発の方が効果的だと主張する。

「これは、スウェーデンのデジタル化がいくつかの点で間違っていたことを非常に明確に示しています」と、スコルプラットフォームの問題点を記録してきた海賊党スウェーデン支部の書記、マティアス・ルーベンソン氏は述べている。「一般的に、学校プラットフォームは良いものになる可能性を秘めています。しかし、開発の初期段階から生徒、特に教師を巻き込む必要があります。学校プラットフォームにはそれが全く欠けていました。」

Öppna Skolplattformenは、問題が解消されるまで数ヶ月待たなければなりませんでした。警察の予備捜査責任者であるオーサ・スコルドベリ氏は8月16日、ダーゲンス・ニュヘテル紙に対し、「犯罪行為は行われていないと考えています」と述べました。データ規制当局Integritetsskyddsmyndighetenの広報担当者によると、同市からの苦情について調査は開始されていません。

ランドグレン氏がWIREDに提供した警察の報告書は、ストックホルム市が委託し2021年2月17日に完了したCertezzaのセキュリティレビューに言及している。レビューでは、このオープンソースアプリは機密情報を第三者に送信しておらず、ユーザーに脅威を与えていないと結論付けられている。警察の報告書はさらに、Öppna Skolplattformenの開発者を潔白であるとしている。「Öppna Skolplattformenが使用したすべての情報は、ストックホルム市が自主的に配布した公開情報です」と報告書は述べている。

ランドグレン氏は9月初旬、フランスで兄の結婚式に出席するために旅行中だった。市はÖppna Skolplattformen、そして同様のことを行おうとする他のアプリに対する立場を変更し、市システム内のデータへの第三者によるアクセスを許可することを決定した。そのために、市はÖppna Skolplattformenと市の間でライセンスを設定できる外部プロバイダーと契約を結んだ。

「このソリューションにより、ストックホルム市は個人データが正しく安全に取り扱われることを保証できると同時に、保護者は日常生活の中で市場のデジタルツールを活用できるようになります」と、ストックホルム市議会議員のイザベル・スメドベリ＝パルムクヴィスト氏は9月9日に発表した声明で述べた。この動きはÖppna Skolplattformenの努力の成果であり、チームはアプリの開発に数百時間もの労力が費やされたと見積もっている。しかし、ランドグレン氏にとってこの決定は衝撃だった。ランドグレン氏によると、わずか数日前、Öppna Skolplattformenは公式APIへのアクセスをブロックしようとする試みに再び晒されていたという。発表後、これらの試みは停止した。

ランドグレン氏は現在、Öppna Skolplattformenがストックホルム市と契約を結び、市がアプリのライセンス料を負担してくれることを期待している。目指すのは、すべての保護者が無料で利用できるようにすることだ。「（市が）Microsoft Officeを購入するのと同じようなものになるでしょう」とランドグレン氏は語る。「典型的なライセンス契約です」。もし契約が成立すれば（詳細と金額についてはまだ交渉中だが）、Öppna Skolplattformenのボランティアには貢献に対する報酬が支払われると彼は言う。創設者たちは、この活動は金儲けが目的ではなく、ダウンロードによって得られた収益は、アプリを開発した保護者に還元することを常に念頭に置いていると述べている。

公式スクールプラットフォームは、リリースから2年間で改善されてきました。パンデミックの間、多くの生徒と教師にとってリモート学習が当たり前になった時期も含め、改善は続いていますが、まだやるべきことは山積みです。「私が連絡を取った教師たちは皆、システムで大きな困難を経験していました」と、ストックホルムのLärarförbundet組合の役員であり教師でもあるサンナ・オルソン氏は言います。「いくつかの機能は時間とともにスムーズになり使いやすくなりましたが、それでもキー操作や機能が多すぎて、簡単に目的の場所にたどり着くことができません」と彼女は言い、保護者としてログインしようとすると、システムが「半分の時間」機能しないこともあると付け加えました。

市教育委員会のホルムダール氏は、このアプリは保護者にとってもっと使いやすくなる可能性があると認めている。ただし、非公式アプリとは異なり、教師と生徒の両方にとって使いやすいものでなければならないと指摘する。「ユーザー主導のIT開発は興味深いものですが、法規制や個人データの安全性に対する責任と連携して進める必要があります」とホルムダール氏は語る。ホルムダール氏は、市はこれまでも個人データの取得に利用できるライセンス契約を結んでいたものの、Öppna Skolplattformenが発足した当時はライセンスプロバイダーが存在しなかったと主張している。

論争はあるものの、Öppna Skolplattformenはより大きな未来を見据えており、ストックホルム市外への展開を進めている。ランドグレン氏と共同研究者たちは、スウェーデン各地で同様の学校プラットフォームを各都市が運営しており、既に関心を集めている。中でも特に注目されているのが、スウェーデン第2の都市ヨーテボリだ。保護者と市当局の間で協議が行われており、ランドグレン氏によると、チームは既にアプリの新バージョンの開発に取り組んでいるという。（市当局は本稿執筆時点でコメント要請に回答していない。）

ランドグレン氏は、Öppna Skolplattformenの一連の出来事が、政治家や市当局者に、市民に提供するテクノロジーは大規模なITプロジェクトとして調達されるべきではなく、最終的にそれを利用する人々が計画と開発に関与すべきであることを教えてくれることを期待しています。ランドグレン氏は、都市はITプロジェクトを、簡単に失敗につながる巨大な調達ではなく、小さなアップデートで運営することを学ぶべきだと主張しています。そして何よりも、市民が自分たちに役立つテクノロジーを構築できるよう、役所はAPIを公開すべきだと主張しています。「APIを作れば、アプリは自然とついてくる」と彼は言います。

WIREDのその他の素晴らしい記事