- 違法行為を求められる状況で、ソフトウェアエンジニアが実際に経験した3つの事例を紹介
- FTXでは、不正を認識した後も会社を去らなかったエンジニアが法的責任を負うことになった
- Frankの事例では、実際にデータ改ざんの依頼を受けたエンジニアがこれを拒否し、責任を免れた
- Pollenでは、CEOの要請に従って顧客への二重請求を実行したエンジニアが、その後問題に直面した
- これら3つの事例は、違法な依頼を明確に拒否することが最善の対応であることを強調している
はじめに: ソフトウェアエンジニアと違法な要求の現実
- 最近の複数の事例で、会社の違法行為に巻き込まれかけたソフトウェアエンジニアたちの経験が明らかになっている
- 違法行為への加担を求められたとき、エンジニアにはどのような選択肢があり、その結果が大きく変わり得るかが示されている
- 実際の事件を中心に、違法な依頼への適切な対処法に関する教訓を伝えることが目的
FTX: 違法性を知りながら会社に残ったエンジニアリングディレクター
- FTX事件でエンジニアのNishad Singhは、2022年9月ごろにAlameda Researchが顧客資金を大規模に流用していた事実を認識した
- Singhには、その事実を把握した時点で、退職や内部告発、法的助言の取得などを選ぶことができた
- しかし彼は会社に残り、「問題を解決しよう」と試み、その後370万ドルの融資を受けて住宅まで購入した
- 結果として、Singhは詐欺への加担により最長75年の刑に直面したが、2025年の判決では責任が限定的であると認められ、実刑なしで3年間の監督付き釈放となった
- この事件の教訓は、違法行為を知った時点ですぐに会社を離れるか、内部告発または法的助言を求めるべきだということ
Frank: データ改ざんの依頼を拒否したソフトウェアエンジニア
- Frankは2016年に設立された学生ローン系スタートアップで、2021年にJP Morganへ1億7,500万ドルで買収された
- 買収の過程で、実際には29万3,000人分の顧客データしかなかった会社が、420万人分の偽データ生成をエンジニアに依頼した
- CEOのCharlie Javiceと経営陣は「刑務所に行くことにはならない」と正当化しようとしたが、エンジニアはこれを拒否し、実データだけを提出した
- その結果、違法行為に共謀しなかったエンジニアは法的責任を免れることができた
- その後、CEOのJaviceは1億7,500万ドル規模の詐欺で懲役7年を言い渡された
Pollen: CEOの要請で顧客への二重請求を実行したエンジニア
- Pollenはイベントテックのスタートアップで、2億ドルの資金調達後に、事故により320万ドルにのぼる顧客資金を引き落としてしまったと説明した
- BBCのドキュメンタリー調査により、二重請求はCEOの直接の要請によって、エンジニアがコード変更を行って実施したことが明らかになった
- 社内メッセージでエンジニアは「CEOの要請で誤ったスクリプトを実行した」と述べ、後悔と誤った判断を認めている
- この件は法的処理の結果がまだ確定していないが、違法性の可能性が高い状況に置かれている
- 教訓は、CEOなどの上級幹部による違法な要請であっても記録を残し、拒否することが法的安全のために最善だということ
結論と教訓
- 3つの事例すべてで、違法な依頼を受けたエンジニアの選択が、その後の法的・倫理的責任に決定的な影響を与えた
- 唯一安全だった事例は、Frankでエンジニアが即座に明確な拒否を示したケースだった
- FTXとPollenでは、会社の要求に受け身で従った場合に深刻な結果へ直面している
- 結局のところ、最も重要な教訓は「誰であっても違法な依頼には常に『ノー』と言える」という点である
1件のコメント
Hacker Newsの意見
2010年にWellPointが乳がん患者の保険契約を自動的に取り消すコードを使っていたことを知った。当時のCEOはAngela Bralyで、現在はExxonMobileにいる。WellPointは当時、米国で2番目に大きい保険会社だった。このシステムの構築には相当なビジネス分析とソフトウェア開発が必要だったはずで、社内にはこのコードの目的を理解していた人たちがいたはずだ。この種の「節減」でボーナスを受け取っていたと推測している
政府の大規模プロジェクトで働いていたときのことだが、年末に時間つぶしのような虚偽請求はできず、これは違法で危険だと最初から強調していた。ところが、同僚が私の名前でタイムシートに虚偽の時間を記入しているのを知った。弁護士に相談した後、GAOへの通報を勧められたが、最終的には担当教授にだけ報告して退職を決めた。事前に報告していなければ、自分に責任が転嫁される可能性もあり、非常にストレスだった。結局、その教授はこの件をそのまま握りつぶしたようだ
私の経験では、大企業は不正行為の証拠を隠すのが非常にうまく、上級幹部を守ることに全力を注ぐ。結局重要なのは株価で、内情が明るみに出ても幹部は「より良い機会」のために退職するだけだ。正直なエンジニアだけがストレスを背負い、幹部は次の段階へ飛んでいく。振り返ると、社内通報の指針や社内弁護士への相談は役に立たない。彼らは無能か、能力があっても会社を守ることに必死だ。むしろ最初から規制当局に詳細な報告書を提出するほうがよい
「いつでも断れる」という教訓は、現実的には、断った人に対して経営陣が報復措置を取る可能性を無視した話だ。時間がたてば報復よりも刑務所に行くリスクのほうが大きいと分かるが、その瞬間に「ノー」と言う勇気を持つのは簡単ではない
私のチームのR&D税額控除申請を承認してほしいと頼まれたが、検討のうえ断った。その後、会計士とのミーティングでCEOの発言を根拠にしていたことを知り、詳細を一緒に確認したところ、ほとんどが私の見解に同意した。そこで分かったのは、税額控除が「R&D」と表記されていても、法的定義上は通常の開発業務まで適用されるわけではないということだ。先の件に違法な意図があったわけではないが、本来なら脱税と見なされかねない部分があった。こういう状況では、常に会社に対して専門家と直接つないでほしいと求め、自分と会社の双方が法的保護を受けられるようにするのが原則だ。真実を話せば問題はない
ソフトウェア開発者も他の職業のように倫理綱領に署名し、非倫理的な要求を受けたらその綱領を根拠に拒否すべきだと思う。これは違法ではないが不道徳だったり不快だったりする意思決定(例: プライバシーのデフォルト設定を公開/オープンにすること)に有効だ。IEEEやACMのような公式機関の綱領を引用すれば、報復の抑止にも役立つ
後から見れば明白に思えても、その時点ではどの行動が正しいのか判断するのは簡単ではないと思う。過剰反応だという感情、状況を合理化してくれる説明、仕事を失う脅威など、さまざまな要因で勇気を出しにくい。明確に白黒つく犯罪なら拒否しやすいが、現実はいつも曖昧なグレーゾーンだ。無知も責任を免れる理由にはならない以上、それぞれが自分の行動に責任を持つべきだと思う。それでも、こうした状況そのものに置かれないことを願う
20年間開発者として働いてきて、大半は年単位の短期契約で複数の会社を渡り歩いたが、一度も違法行為を指示されたことはない。つまり、こうした経験は非常にまれだ。もし誰かが違法なことを求められたなら、すぐに会社を辞めるべきだと思う。そういう会社は異常で切迫した状態にあり、今後さらに悪化する可能性が高いからだ。決して普通のことではない。とにかく早く離れるべきだ
私は2020年にNS8で4か月勤務した後、会社が崩壊し、CEOが1億2300万ドルの投資詐欺を行った疑いで逮捕される事態を経験した。会社の解雇訴訟で最近わずかな補償金を受け取ったが、コロナ禍のまっただ中で職を失うのは極度のストレスだった
私は「絶対に悪いこと/違法なことはしない」という信念を強く持っている。しかし、あまり語られないことが二つある。一つは、本格的な内部告発まで行かなくても、個人が負担しなければならないコストが非常に大きい場合があるという点だ。比較的うまくいくケースですら、結局は求職の圧力につながるし、誰もが代替案や経済的な安全網を持っているわけではない。さらに精神的消耗も深刻だ。私は一度こうした状況を正そうとして、ほとんど燃え尽きかけたことがあり、結局は遠くからプロジェクトが壊れていくのを見守ることになった。知人がほとんど失敗もしていないのに組織内の問題を明らかにして深く傷ついた例も見た。管理職も、問題に直接関与しているというより、制度的に絡め取られていて自力で解決する権限を持たないことが多い。二つ目は、すべてを捧げて全面的に戦いに出ない限り、結局できる最大限は自分自身を守ることだという点だ。それでも原則を守ったという事実のおかげで眠ることはできるが、自ら正義を実現できなかったことへの悔しさは常に残る