ハクソク

世界を動かす技術を、日本語で。

職場で違法なことをするように頼まれた?これらのソフトウェアエンジニアたちの行動とは

235日前原文(blog.pragmaticengineer.com)

概要

  • 違法行為 に巻き込まれたエンジニアたちの実例紹介
  • 正しい判断 を下したエンジニアと、そうしなかった者の運命の違い
  • 「オレンジ色の囚人服」 が現実となったケースも
  • 不正指示 に直面した際に取るべき行動指針
  • 教訓 として、エンジニアが覚えておくべきポイントを解説

違法行為に巻き込まれたエンジニアたちの実例

  • Frank, FTX, Pollen の三社における実際の事件を解説
    • Frank :CEOのCharlie Javiceがソフトウェアエンジニアに顧客数の水増しを依頼
    • FTX :エンジニアリングディレクターNishad Singhが違法行為に気付くも、関与を続けた結果、刑事責任を問われる
    • Pollen :CEOの依頼でエンジニアが顧客への二重請求を実施

Frank事件:エンジニアの拒否とCEOの逮捕

  • 2021年、Frankのエンジニアが 架空顧客データ の作成を依頼される
  • エンジニアは 違法性を疑問視 し、依頼を拒否
  • CEOの Charlie Javice は「誰もオレンジ色の囚人服にはならない」と発言
  • 結果として Javiceは詐欺罪で2025年に懲役7年 の判決、エンジニアは無罪
  • 教訓 :上司が「大丈夫」と言っても、違法行為は拒否する勇気が必要

FTX事件:発覚後も関与したエンジニアの末路

  • Nishad Singh は2022年9月に 顧客資金の不正流用 を知る
  • すぐに 弁護士相談・内部告発・即時退職 などの選択肢があった
  • しかし、 会社に残り問題解決を試みた 結果、刑事責任を問われる
  • 判決 は執行猶予付き3年、ただし有罪
  • 教訓 :不正を知った時点で「修正できる」と考えず、即座に距離を取るべき

Pollen事件:CEOの指示で違法請求を実施

  • エンジニアがCEOの指示 で顧客への二重請求コードを実装
  • 社内では「ミス」と説明されるも、実際は 意図的な不正
  • 実行エンジニアが後日「自身の判断ミス」と認める
  • 現在のところ刑事訴追なし だが、リスクは極めて高い行動
  • 教訓 :違法性が疑われる指示は 記録を残し、断る勇気 が必要

エンジニアが覚えておくべき教訓

  • 違法行為の依頼は必ず拒否、疑問があれば弁護士に相談
  • 内部告発 も選択肢、米国では報奨金制度も存在
  • 「自分がやらなければ大丈夫」 という思い込みは危険
  • 記録 (メール・チャット等)を必ず残す
  • 最終的な責任 は「指示した人」だけでなく「実行した人」にも及ぶ事実

まとめ:不正指示への対応指針

  • 違法行為の兆候を感じたら即座に行動 (拒否・相談・記録)
  • 「オレンジ色の囚人服」 は他人事ではない
  • 正しい判断を下したエンジニアだけが法的安全を確保
  • 勇気ある拒否 が自分と会社を守る最善策

Hackerたちの意見

これから学べることは、いつでも「ノー」と言えるってことだね。これが真実なのはよくわかるけど、「ノー」と言った人に対する経営陣の報復措置を無視してる気がする。振り返ってみれば、どんな報復もオレンジのスーツを着るよりはマシだろうけど、その人はその振り返りなしで「ノー」と言う勇気を見つけなきゃいけないんだ。

マネージャーから違法なことを頼まれたら、たとえ仕事を失うことになっても「ノー」と言う道徳的・倫理的責任があると思う。法律は法律だから、破る理由はないよ。マネージャーも責任があるけど、法律に反して行動したら自分も責任を問われる。物理的な暴力を恐れている場合や、脅迫されている場合はもちろん強制されているから選択肢はないけど、「仕事を失う」ってのはそのレベルの強制にはならないと思う。簡単じゃないのはわかるし、そういう状況に置かれるのは本当に辛いことだよね。その経験をする人には大きな同情を感じる。完璧な人間なんていないし、いつも倫理的に行動できるわけじゃない。でも、難しいかどうかに関わらず、法律を破らないのが市民としての義務だよ。

だから、内部告発者保護法をもっと強化する必要があるんだ(例えば、報復があった場合は、たとえ告発が間違っていても自動的に刑務所行きになるとか)し、報酬ももっと大きくするべきだね。

若いエンジニアにとって、解雇されたり、嫌がらせを受けたり、行き詰まったポジションに異動させられたりする脅威はすごく怖い。でも、冷静に考えるとそれほど強い脅威ではないんだよね(ただし、多くのマネージャーやCEOは冷静じゃないことが多いけど)。解雇には雇用者にとって大きなコストがかかるし、君が必要だからその仕事があるわけだよ。同じことが、誰かを脇に追いやったり昇進させなかったりする場合にも当てはまる。解雇すると、その人が政府に報告する最後のインセンティブを失うことになる。そうすると、その人は報告する方向に進むことになるし、法的な選択肢を主張したり、直接報告するのではなく中間者と話し合ったりするような柔らかい「交渉」のステップを取ることができなくなる。多くの企業の法務や会計の人たちは、違法でない方法で同じ結果を得るための代替手段を見つけるのが得意なんだ。弁護士は、報復があったときにこそ、もっと助けてくれる。会社は、詐欺の報告と報復の両方に対抗しなきゃいけなくなるかもしれない。単に誰かを解雇するだけでは、会社にとってはあまり良い「解決策」じゃないんだよね。そう思わせることができるのは、すごく力強いことだし。(ただし、これは注意点だけど、報復が違法で、裁判にかけられたり和解されたりする国に限る話だよ。これは世界中で当てはまるわけじゃないけど。)

ソフトウェア開発者も他の職業と同じように倫理規定にサインすべきだと思う。そして、不正なことを頼まれたときにはその規定を引用する。これは、ユーザーのプライバシー選択をデフォルトでオープンにするような、違法ではないけど倫理的には問題のある行動に対して有効だよ。ACMやIEEEのような専門団体を引用すれば、報復を抑止できるだろうね。

倫理規定は絶対的で、強制可能で、あいまいさがなく(弁護士の解釈なしで)、普遍的である必要があるね。そうすれば、こういった行動を本当に排除できると思う。

著者はこの本でたくさん語ってるよ: https://www.ruinedby.design/

ロッキード・マーチンみたいな会社で働いているとき、あなたのコードが無実の人を殺すかもしれない武器に使われるって知ったら、どうなるんだろう?

そうだね、ヒポクラテスの誓いは法的な根拠がなくてもかなりうまく機能するから、開発者にも同じ考えを使えばいいと思う。実際、ACMやIEEEがそれを作成することもできるよね。

つまり、A) ソフトウェア開発者は倫理規定にサインする自由があるべき、B) ソフトウェア開発者は倫理規定にサインすることを強制され、サインしなければ働けないようにされるべき、C) それ以外の何か、ってこと?

アジャイルマニフェストを守るだけでも、かなり大変なんだよね。

大きな政府プロジェクトで誰かと一緒に働いてたんだけど、最初に言ったんだ。「年末に契約を消化するために時間を水増しするのは違法だから、ビジネスクライアントとは違うよ」って。1Mドル以上の契約だから、刑務所に行く可能性もあるしね。そしたら、彼が私の請求ソフトに入って時間を追加してたことがわかった。弁護士に相談したら、GAOに報告するように勧められた。結局、辞めてプロジェクトの連絡役(教授)に報告することで妥協したよ。報告しなかったら、彼がその時間を報告したって言えるから、私が刑務所に行く可能性もあったからすごくストレスだった。結局、連絡役はその件をうやむやにしたと思う。

弁護士とのやり取りの記録があったんだから、連絡役に報告して、ただ時計を打ち続ければよかったんじゃない?オーバー分で給料が増えてるわけじゃないなら、執行者たちはあなたのことなんて気にしないよ。

私のチームの仕事について、R&Dの税金請求書にサインするよう頼まれたんだ。内容を確認して、ノーって言った。そしたら、会計士たちとの会議に呼ばれて、CEOが彼らに言ったことを基に請求が成り立っているって説明された。詳細を一緒に見て、ほとんどの点で私と同意してくれたよ。それに、私が知らなかったことについても請求できる権利があることが分かったし、CEOも、クレジットがR&D用だからって法的定義では通常の開発作業は含まれないってことを知ったんだ。この場合、意図的に違法なことをしようとしていたわけじゃないけど、もし最初の請求が行われていたら、詐欺と見なされる可能性があったかもしれない。こういう状況では、会社が私を専門家とつなげてくれるようにいつも確認してる。そうすれば、会社も私も不正行為から守られるからね。もちろん、真実を話すことが前提だけど。

こういうことを後から見るのは簡単だけど、無実の人が取るべき行動は、振り返ってみるとおそらく明らかだよね。でも、その時はそんなに簡単じゃないと思う。行動を起こさないようにする圧力がすごくて、過剰反応してる気がしたり、犯罪性を軽く説明されたり、仕事が危うくなるからね。そして、重要なのは、白黒はっきりした問題なんてないってこと。もし雇い主が誰かを殺せって言ったら、ノーって言うのは簡単だし、自分が正しいことをしたって分かるよね。でも、法的な地位が不明なグレーゾーンのことに少しずつ従うように言われたら、どうすればいいか分からなくなる。もちろん、人は自分の行動に責任を持たなきゃいけないけど、無知は言い訳にはならない。でも、私たちはそんな状況に置かれないことを願うべきだし、どう行動するかを知っていると思うのは危険だよ。

そして、重要なのは、白黒はっきりした問題なんてないってこと。挙げられた三つの例はかなり白黒はっきりしてるけど…

家族を養わなきゃいけない人が、企業の健康保険やH1ビザに縛られて、倫理的または法的に問題のあることを強いられている状況を想像するだけで辛いよね。仕事を失うことを恐れて、そういうことに巻き込まれるのは、雇用者が労働者を搾取したりコントロールしたりするための理由の一つだよ。

物語を語れたらいいんだけど、残念ながら無理だ。大企業は不正の証拠を隠すのが得意で、高級幹部の尻を守るために何でもするから、株価が大事なんだよね。悪化すると、幹部は「より良い機会」を求めて去っていくし、誰も賢くはならない。誠実で真剣なエンジニアたちのストレスだけが残って、幹部は次の大きなステップに楽に進むことができる。振り返ってみると、内部報告のガイドラインに従わない方がいいし、内部の弁護士に話すのもやめた方がいい。彼らは無能か、有能だけど問題を隠すために雇われているから、どちらにしても真実は分からない。代わりに、関連する規制機関に行って、詳細な報告書を書いて、あとは流れに任せるべきだよ。

私は「悪いことはしない」という立場をしっかり持ってるし、オレンジのジャンプスーツを着ることを考える前からそうだった。でも、これについては二つのことがあまり語られないと思う。まず、個人的なコストは、完全に内部告発する前でも高くつくことがあるってこと。そうなると、新しい仕事を探すことになるのが普通だよね。それが犯罪や重大な倫理違反を犯すよりはいいってのは分かるけど、みんなが常に良い選択肢を持っているわけじゃないし、十分な経済的安全もないし、家庭の経済的責任も抱えていることがある。メンタルコストも同じで、私は以前、明らかに非常に悪くて絶望的な状況を正そうとするのに数ヶ月を費やして、燃え尽きそうになったことがある。結局のところ、私が深く関わっていたプロジェクトが遠くから崩壊するのを見て、苦い復讐を味わっただけだった。私自身、現在の責任者や悪意のある人のせいではない大きな秘密を暴いたことで、より大きなダメージを受け、回復に時間がかかった人を知っている。多くの場合、経営陣は積極的に共謀しているか、悪い状況に閉じ込められていて、正しい方法で物事を修正するための(認識された)権限がほとんどないことが多い。次に、「戦争をする」ことや、何かを変えるために人生を捧げることを除けば、自分を守るのが通常は最善の策だよね。それは明らかに共謀しているよりはマシだし、責任を問われる可能性も低い。私は原則を持っていることで夜もぐっすり眠れるのが好きだけど、共謀を拒否する正義感があるのに、影響力のある立場にいない限り、物事を正しく直すことがほとんどできないって事実を受け入れるのはかなりフラストレーションが溜まる。自分が上にいないなら、それが私の責任ではないことが多いのは分かってるけど、もっとできないことがもどかしいんだよね。

みんなが常に良い選択肢を持っているわけじゃないし、十分な経済的安全もないし、家庭の経済的責任も抱えていることがある。これに備えることをお勧めするよ(できるなら)。新しい仕事が見つかるまでのコストをカバーできるだけのお金を取っておいて、いつでも辞められるようにしておくといいよ。契約を交渉して、 substantialなゴールデン・ハンドカフス(現金 > 株式、特に長いベスティング期間のもの)を避けるようにしよう。これが倫理的な立場を維持するのに大いに役立つし、他の交渉にも役立つよ。実質的に良いBATNAを維持しているってことだね。[1]: https://corporatefinanceinstitute.com/resources/valuation/wh...

辞めるのは、まずは良い反応だと思う。

75年の懲役を受ける可能性がある人が、3年の保護観察になるってどう考えたらいいのか全然わからない。

メディアは「最大刑」に関して報道するのがひどいよね。連邦の量刑ガイドラインはすごく複雑で、怠けたジャーナリストは通常、最大の数字を全部足して、信じられないような数字を書いちゃうんだ。実際には、多くの罪状は重複していたり、同時に執行されたり、初犯の場合は自動的に軽減されたりするんだよ。

2010年に、ウェルポイントが乳がんの女性の保険ポリシーを自動的にキャンセルするためにターゲットにしていたことが発覚したんだ。どんな口実でも使ってね。当時のCEOはアンジェラ・ブラリーで、今はエクソンモービルにいるよ。ウェルポイントは当時、アメリカで二番目に大きな健康保険会社だった。このためには多くのビジネス分析やソフトウェア開発が必要だったし、人々はこのコードが何をしているのかを理解しなきゃいけなかったと思う。おそらく、この「節約」に基づいてボーナスが支払われていたんじゃないかな。

少なくとも、これらの人たちの名前はこのひどい事件に永遠に残るべきだよ。これは「企業」が決めたことじゃなくて、実際に会議室で顔を合わせた人たちが、乳がん患者をターゲットにするのが許される手段だと結論づけたんだから。ロリ・A・ビアはその時のCIOで、今はJPモルガンにいるんだって。