世界を動かす技術を、日本語で。

読んではいけなかったメール

概要

  • 本記事は、IT業界に蔓延する ベンダーロックイン悪質な商慣行 を題材としたホラー実話のアーキタイプ。
  • 関係者や企業の プライバシー保護 のため、詳細や技術情報は意図的に改変・混合。
  • 物語は メールシステム移行 を巡る複数の公共機関と外部業者の攻防を描写。
  • 契約の罠 や内部からの情報漏洩、サービス提供者の強権的対応が浮き彫りに。
  • 問題の本質は 技術 ではなく、 人間の行動 と倫理にあることを強調。

ベンダーロックインの恐怖実話

  • 物語の発端は、 顧客からの緊急連絡 による異変の気付き。
  • 数年前、 Agency A (公共機関)は老朽化したExchangeサーバーから オープンソースのメールスタック への移行を検討。
  • 外部業者による 高額なマネージドサービス の提案があったが、既存インフラは十分に強固。
  • パイロット運用を経て、Agency Aは 大規模な移行に成功
  • 成功事例が広まり、 Agency B (より影響力のある公共機関)も移行に関心を持つ。
  • Agency Bは 5年契約(自動更新・残り2年) で既存業者と縛られていたが、 水面下で移行準備 を進行。
  • 契約解除通知 を送付後、不可解な形で業者側に情報が漏洩。
  • Agency Cも同様に移行を検討し、見積を依頼するが、 業者からの脅しや妨害 を受け撤退。

内部情報漏洩と業者の支配

  • Agency Cで、 元臨時IT管理者 がメールアクセス権を持ち続けていた事実が判明。
  • その人物が業者に「警告」したことが情報漏洩の一因と推測。
  • 更なる検証のため、 偽の見積メール を送り、業者の反応で メール監視の疑い が強まる。
  • 業者は「契約書の細則」を盾に、 アクセス制限やサービス有料化 など強権的な措置を実施。
  • これらの行為は GDPR施行前 であり、当時は違法性が問われにくかった背景。

公共機関の対応と倫理的課題

  • 被害を受けた機関は 法的・倫理的調査 を検討するも、結局は「予算増額」への不満止まり。
  • 数年後、経営層が交代し、 より安全志向の業者 へ移行したが、根本的な解決には至らず。
  • 著者自身は「 利益ではなく原則のために闘う」姿勢を貫くも、最終的な決定権は顧客側に。

本質的な恐怖と教訓

  • 問題の本質は ソフトウェアや技術 ではなく、 人間の行動と倫理観
  • 「オープンソース支援」を謳う企業が 独占的・不正な行動 を取ることで、業界全体の信頼が損なわれる現実。
  • ベンダーロックインの本当の恐怖は、 技術の檻ではなく、人間の弱さや無関心 にあることへの警鐘。

Hackerたちの意見

いつかこの話で本名が見られるといいな。

この態度が社会を壊してるよ。

この話の意味って何?悪い奴が勝つの?ちょっと言わせてもらうけど、名前を出して恥をかかせるべきだよ。この話が本当なら、作者は屋上から名前を叫ぶべきだよね。それなのに、こんなナンセンスなことになってる。

要は、自分のデータは常に所有しておくべきってこと。

この話の意味って何?悪い奴が勝つの?契約をしっかり理解しよう。細かい字も読むべきだよ。誰とビジネスをするかには気をつけて。オープンソースソフトウェアのサービスを売ってる会社が、私たちが思ってるような精神を持ってるとは限らないからね。この記事を読んで、名前を出して恥をかかせない理由が分かる気がする。作者は、明らかに汚い手を使うことにためらいがない会社から訴訟を招くかもしれないからね。

名前を出して恥をかかせることが、Googleのオーガニック検索結果のトップに来るべきだよ。人々は自分の評判を守る必要がある。

ちょっと言わせてもらうけど、名前を出して恥をかかせるべきだよ。言うは易し、行うは難しだから、ステファノがそうしなかったのも分かる。

この話のポイントは、オープンソースが法律部門を持ついじめっ子から守ってくれないってことだね。それに、悪い契約条項からも守ってくれない。無意味な法的脅威は無意味かもしれないけど、裁判でそれを証明しなきゃいけないし、多くの企業はそれを避けるために簡単な道を選ぶことが多いよ。「FOSS」企業は著者を直接脅したわけじゃないけど、その暗黙の脅威だけで両方の機関を怖がらせるには十分だった。ここで使われている技術が意図的に混ざっているから、法律部門が「かなり攻撃的」で「管理されたソリューションには高額」なFOSS企業やベンダーがいくつか思い浮かぶけど、彼らはExchange関連のサービスだけじゃなくて、過去のPRから見てもこういう行動をするだろうね。

この話は「オープンソース」≠「自由」ってことを完璧に表してるよね。100% FOSSソフトウェアを使っても、中間業者にコントロールを渡したら完全に監禁されることもある。この記事の会社は「サポート」を売っただけじゃなくて、許可を売ったんだよ。オープンなものを契約やロックイン、マネージドサービスの手枷で包んで、所有権を主張した。それが新しいベンダーロックインモデルだよ:コードじゃなくてインターフェースをコントロールする。顧客のメールを読めることが怖いんじゃなくて、それが普通だと思ってることが怖い。マネージドサービスと監視の間で、道徳的なラインが消えて、法律用語に置き換わった。この記事は、すべての政府のIT調達デスクの上に印刷して貼っておくべきだよ。サーバーや鍵、契約を持っていないなら、どんなに「オープン」なスタックでもデータを所有してることにはならない。

完全に同意するよ(でもちょっと偏ってるかもね :-) )

物理的に自分が管理していないものを所有できないっていうのには賛成できないな。ほとんどの人が、身の回りや自分の財産に置いてないお金を持ってるし、銀行や投資に預けてるよね。もし誰かが「それは銀行のものだ」って言ったら、みんな怒ると思うよ。本当に大事なのは、所有権を規定する法律や規制だよ。現代社会における所有権はほぼ完全に法律的な構造だから、データの所有権もそれと同じだと思う。

私は弁護士じゃないけど、彼らがあなたのメールを読む目的やその後の行動は明らかに違法だと思うし、契約全体が無効になるんじゃないかな。

Hacker Newsで議論の続きを見る