ハクソク

世界を動かす技術を、日本語で。

読んではいけなかったメール

229日前原文(it-notes.dragas.net)

概要

  • 本記事は、IT業界に蔓延する ベンダーロックイン悪質な商慣行 を題材としたホラー実話のアーキタイプ。
  • 関係者や企業の プライバシー保護 のため、詳細や技術情報は意図的に改変・混合。
  • 物語は メールシステム移行 を巡る複数の公共機関と外部業者の攻防を描写。
  • 契約の罠 や内部からの情報漏洩、サービス提供者の強権的対応が浮き彫りに。
  • 問題の本質は 技術 ではなく、 人間の行動 と倫理にあることを強調。

ベンダーロックインの恐怖実話

  • 物語の発端は、 顧客からの緊急連絡 による異変の気付き。
  • 数年前、 Agency A (公共機関)は老朽化したExchangeサーバーから オープンソースのメールスタック への移行を検討。
  • 外部業者による 高額なマネージドサービス の提案があったが、既存インフラは十分に強固。
  • パイロット運用を経て、Agency Aは 大規模な移行に成功
  • 成功事例が広まり、 Agency B (より影響力のある公共機関)も移行に関心を持つ。
  • Agency Bは 5年契約(自動更新・残り2年) で既存業者と縛られていたが、 水面下で移行準備 を進行。
  • 契約解除通知 を送付後、不可解な形で業者側に情報が漏洩。
  • Agency Cも同様に移行を検討し、見積を依頼するが、 業者からの脅しや妨害 を受け撤退。

内部情報漏洩と業者の支配

  • Agency Cで、 元臨時IT管理者 がメールアクセス権を持ち続けていた事実が判明。
  • その人物が業者に「警告」したことが情報漏洩の一因と推測。
  • 更なる検証のため、 偽の見積メール を送り、業者の反応で メール監視の疑い が強まる。
  • 業者は「契約書の細則」を盾に、 アクセス制限やサービス有料化 など強権的な措置を実施。
  • これらの行為は GDPR施行前 であり、当時は違法性が問われにくかった背景。

公共機関の対応と倫理的課題

  • 被害を受けた機関は 法的・倫理的調査 を検討するも、結局は「予算増額」への不満止まり。
  • 数年後、経営層が交代し、 より安全志向の業者 へ移行したが、根本的な解決には至らず。
  • 著者自身は「 利益ではなく原則のために闘う」姿勢を貫くも、最終的な決定権は顧客側に。

本質的な恐怖と教訓

  • 問題の本質は ソフトウェアや技術 ではなく、 人間の行動と倫理観
  • 「オープンソース支援」を謳う企業が 独占的・不正な行動 を取ることで、業界全体の信頼が損なわれる現実。
  • ベンダーロックインの本当の恐怖は、 技術の檻ではなく、人間の弱さや無関心 にあることへの警鐘。

Hackerたちの意見

いつかこの話で本名が見られるといいな。

この態度が社会を壊してるよ。

この話の意味って何?悪い奴が勝つの?ちょっと言わせてもらうけど、名前を出して恥をかかせるべきだよ。この話が本当なら、作者は屋上から名前を叫ぶべきだよね。それなのに、こんなナンセンスなことになってる。

要は、自分のデータは常に所有しておくべきってこと。

この話の意味って何?悪い奴が勝つの?契約をしっかり理解しよう。細かい字も読むべきだよ。誰とビジネスをするかには気をつけて。オープンソースソフトウェアのサービスを売ってる会社が、私たちが思ってるような精神を持ってるとは限らないからね。この記事を読んで、名前を出して恥をかかせない理由が分かる気がする。作者は、明らかに汚い手を使うことにためらいがない会社から訴訟を招くかもしれないからね。

名前を出して恥をかかせることが、Googleのオーガニック検索結果のトップに来るべきだよ。人々は自分の評判を守る必要がある。

ちょっと言わせてもらうけど、名前を出して恥をかかせるべきだよ。言うは易し、行うは難しだから、ステファノがそうしなかったのも分かる。

この話のポイントは、オープンソースが法律部門を持ついじめっ子から守ってくれないってことだね。それに、悪い契約条項からも守ってくれない。無意味な法的脅威は無意味かもしれないけど、裁判でそれを証明しなきゃいけないし、多くの企業はそれを避けるために簡単な道を選ぶことが多いよ。「FOSS」企業は著者を直接脅したわけじゃないけど、その暗黙の脅威だけで両方の機関を怖がらせるには十分だった。ここで使われている技術が意図的に混ざっているから、法律部門が「かなり攻撃的」で「管理されたソリューションには高額」なFOSS企業やベンダーがいくつか思い浮かぶけど、彼らはExchange関連のサービスだけじゃなくて、過去のPRから見てもこういう行動をするだろうね。

この話は「オープンソース」≠「自由」ってことを完璧に表してるよね。100% FOSSソフトウェアを使っても、中間業者にコントロールを渡したら完全に監禁されることもある。この記事の会社は「サポート」を売っただけじゃなくて、許可を売ったんだよ。オープンなものを契約やロックイン、マネージドサービスの手枷で包んで、所有権を主張した。それが新しいベンダーロックインモデルだよ:コードじゃなくてインターフェースをコントロールする。顧客のメールを読めることが怖いんじゃなくて、それが普通だと思ってることが怖い。マネージドサービスと監視の間で、道徳的なラインが消えて、法律用語に置き換わった。この記事は、すべての政府のIT調達デスクの上に印刷して貼っておくべきだよ。サーバーや鍵、契約を持っていないなら、どんなに「オープン」なスタックでもデータを所有してることにはならない。

完全に同意するよ(でもちょっと偏ってるかもね :-) )

物理的に自分が管理していないものを所有できないっていうのには賛成できないな。ほとんどの人が、身の回りや自分の財産に置いてないお金を持ってるし、銀行や投資に預けてるよね。もし誰かが「それは銀行のものだ」って言ったら、みんな怒ると思うよ。本当に大事なのは、所有権を規定する法律や規制だよ。現代社会における所有権はほぼ完全に法律的な構造だから、データの所有権もそれと同じだと思う。

私は弁護士じゃないけど、彼らがあなたのメールを読む目的やその後の行動は明らかに違法だと思うし、契約全体が無効になるんじゃないかな。

そうだけど、切り離すことになったら、非常に攻撃的な相手と裁判になるだろうし、彼らはお金をかけさせるために全力を尽くすだろうね。安全を倫理より優先する組織は、どうやらその余分なコストを吸収するみたい。裁判で正義のために戦っている企業や組織もいるよ。トロールが所有する特許を無効にしたり、不公平な契約を打ち破ったりね。エージェンシーAは明らかにそういう組織じゃなかった。

うん、特にこれが政府機関っぽいからね。契約者があなたのメールサーバーにバックドアを仕込んで、秘密裏に読んでるって?どんな腐敗した行為、外国のスパイ活動まで含めて、何をやらかしてるか想像してみて。これがアメリカだったら、FBIやCIAを送り込む正当な理由があったかもしれないね。

タイムラインや関係者について混乱してるかもしれないけど、> その会社は独自の追加機能を持つ管理版を提供した って聞くと、オープンソースには思えないな。

これは「法律の文面を読む」っていうケースの一つだと思う。ヨーロッパの法律(というか、ヨーロッパの国々の法律)は、公共部門にオープンソースを使うことを義務付けていることが多いよ。理由はいろいろあって、相互運用性を促進したり、ベンダーロックインを避けたり、デジタル主権のためだったりする。EU委員会には「公共のお金=公共のコード」っていう原則があるから、他人のコンピュータでオープンソースを使うことは、その要件を技術的に満たすんだ。ただ、その要件が存在する理由の一部(この場合のベンダーロックインは特に笑える)を満たしてないけどね。

何かに合意する前に、細かい字をしっかり読んでおくことが大事だよ。消費者向けのものでもそうだけど、ビジネス関連のものでは必須だね。

「一方的な改定」ってどういう仕組みなんだろう?もし細かい条件が気に入らなかったら、その場で6ヶ月前の解約通知を出さなきゃいけないの?

うん、小規模なビジネスでもそうだよね。私が理事をしている非営利団体で、スタッフがもっと便利なプリンター/コピー機が欲しいって言ってきたから、じゃあ探してきてって言ったんだ。そしたら契約書が来て、審査済みだからサインしてって言われた。見たら驚愕だったよ。 - 何か理由があってキャンセルしたら、契約の残りの全額を即座に払わなきゃいけないって。 - 構造的にレンタル扱いになってたから、機器の購入代金を契約の条件に組み込まれてたけど、結局は業者の機器だから、キャンセルしたら全額払っても機器は業者のもののまま。 - もし法的な争いがあった場合、どちらが悪くても、こっちが全ての弁護士費用を払わなきゃいけない。無理だって言ったら、スタッフは1年くらい私に怒ってた。みんな普通にサインしちゃうからさ。

ID.meの契約書を読んだら、ひどい内容だった。市民権を「自発的に」放棄することを要求されるんだ。サービスを使いたくないのに、IRS.govにログインする方法が他にない。YouTubeを見るのにもGoogleアカウントが必要だし、WhatsAppのMetaの利用規約に同意しないと親のグループチャットにも参加できない。挙げたらキリがないよ。

名前を出さない意味って何なの?これってただの創作練習に過ぎないかもしれないね。

真実が名誉毀損法の防御にならない国もあるからね。場所によっては、名前を挙げただけで大金を失う可能性もある。だから、名前を出さないのが安全策だよ。アメリカでは真実が防御になるけど、それでも言ったことに対して訴えられることがあって、弁護士費用がかさむこともあるからね。

根拠のない訴訟を脅かす歴史がある会社、さらにNDAや訴訟好きな会社が元雇用主に対してプロとしての反発を引き起こす可能性もある。ブログ記事のためにはやる価値ないね。

名前を挙げる意味って何なの?社会は、また新たな魔女狩りじゃなくて、教訓を得る方がいいと思う。そういう態度が社会をダメにしてるよ。

HNの人たち、こういう状況に遭遇したことある人多いと思う。私も一度、システムからの「バックアウト」で困ったことがあった。別の会社と共有しているコードベースがあって、うちの開発者が「リバースマイグレーションスクリプト」みたいなコメントをコードに書いたんだ。それから1時間も経たないうちに、両社のCEOの間で「一体何をしたんだ!」っていう大騒ぎになった。実は、他の会社はそういう用語をコード内で積極的に監視していて、もしこっちが出て行こうとしたら反応できるようにしてたんだ。契約終了時には正直に更新しないつもりだったから、全然怪しいことじゃなかったのに。後で監視されてたことを知って、誰が裏切り者かっていう大騒ぎになった。ほんと最悪だった。今の時代、こういうレベルのサイコパスが普通になってる気がする。私はただの古臭い真面目な人間なんだな。