要約
- 富士通の Horizon における役割は、コスト転嫁防止のケースとして理解されるべきである。ソフトウェアの出力が支店の不足額の証拠として扱われ、その出力が財務的、法的、評判上の負担を個々のサブポストマスターに転嫁するのに役立った。
- 公的記録には、Bates v Post Office Horizon Issues 判決、Post Office Horizon IT Inquiry 最終報告書第1巻、富士通の2024年声明、GOV.UK の救済データ、議会の精査、NAO の補償教訓、補償と後継システムに関する最新の報道が含まれる。
- 統制の問いは、単にソフトウェアにバグがあったかではない。Post Office、富士通、政府、弁護士、監査人、検察が、システム出力を人々に対する証拠として扱う前に、十分な信頼できる証拠を持っていたかどうかである。
- 責任は分散している。富士通は Horizon を供給・サポートした。Post Office はこれを運用し、依存し、訴訟を起こした。政府は公共政策の設定を所有・監督した。検察と法律関係者には開示義務があった。請求者は破壊的な転嫁コストを負った。
- 永続的な教訓は、証拠基準が明示的で独立して検証可能でない限り、デジタルシステムが運用上の不確実性を個人の債務、刑事上の疑い、または遅延した補償に変えることを許してはならないということである。
問題はコスト転嫁であり、ソフトウェアの不具合だけではない
Horizon スキャンダルはしばしば「ソフトウェアのバグ」という言葉で説明される。この表現は正確だが小さすぎる。バグ、エラー、欠陥が重要だったのは、Horizon の出力が支店の不足額の疑いを特定し、請求、懲戒処分、民事訴訟、起訴を正当化するために使われたからだ。したがって、説明責任の問いは単にソフトウェアに欠陥があったかどうかではない。欠陥のある、または十分に説明されていないソフトウェアの出力が、基盤となるシステムを見たり検証したりできない人々にコストを転嫁することを許されたかどうかである。
2019年のBates v Post Office Horizon Issues 判決は、Horizon の信頼性、バグ、エラー、欠陥、リモートアクセス、証拠主張を詳細に検討しているため、本記事の中心的な法的出典である。Post Office Horizon IT Inquiry の最終報告書第1巻は、スキャンダルの人的影響と補償の文脈をより広範な公的記録に位置づけた。これらの文書は、狭い工学的説明が不十分である理由を示している。
コスト転嫁は静かに起こりうる。支店の口座に不足額が表示される。運営者は補填を求められる。機関はシステム出力を権威あるものとして扱う。個人は圧力、債務、停職、起訴、破産、汚名、または投獄に直面する。システムが誤っている、不確かである、遠隔で変更可能である、開示が不十分である、または誤解されている場合、機関の誤りが個人の負担となる。これが失敗の類型である。
富士通の役割は、その供給・サポートしたシステムの出力が証拠としての重みを持ったため、この類型に属する。Post Office の役割は、サブポストマスターとの関係を運営し、その出力に依存したために属する。政府の役割は、公有と監督が説明責任の環境を形成したために属する。法律関係者は、開示と証拠の義務が被告が技術的主張に異議を唱えられるかどうかを決定するために属する。単一の主体がスキャンダルを完全に説明するわけではないが、各主体には統制面があった。
防止の問いは単純である:デジタルシステムが損失を個人に転嫁する前に、どのような証拠が必要か?誰がシステムを検証するのか?誰が欠陥を記録するのか?誰が不確実性を開示するのか?誰が出力に異議を唱えられるのか?出力が誤っていた場合、誰が支払うのか?Horizon が重要なのは、これらの問いへの答えが遅すぎたからである。
富士通の供給者の役割には証拠義務が含まれていた
富士通の2024年公式声明は、サブポストマスターとその家族に謝罪し、問題の重大性を認めた。この声明は重要だが、供給者の説明責任は謝罪だけに留まることはできない。紛争や訴追においてシステムが証拠として使われる場合、供給者には信頼性記録、欠陥開示、サポートコミュニケーション、専門家証拠、リモートアクセスの透明性、監査証跡に関する義務がある。
供給者は起訴を決定するわけではないかもしれない。顧客関係を所有するわけでもない。すべての法戦略を設定するわけでもない。しかし、供給者は他者が知らないシステムに関する事柄を知ることができる。欠陥履歴、サポートパターン、リモートアクセス能力、既知のエラーモード、診断限界を知ることができる。システム出力が証拠として扱われる場合、その知識は単なる内部製品知識ではなく、公共の利益のための証拠となる。
NIST のシステムセキュリティエンジニアリングガイダンスSP 800-160 volume 1 revision 1は Horizon 固有ではないが、一般的な原則を示すのに役立つ:信頼できるシステムにはエンジニアリング、保証、ライフサイクル証拠が必要である。Horizon の文脈では、信頼できる証拠はサイバー攻撃耐性だけに関するものではなかった。それは、会計出力が人間を債務や不正行為で告発するために信頼できるかどうかに関するものだった。
供給者の証拠パッケージには、明確な回答が含まれるべきだった。どのような欠陥が知られていたか?どのリリースが影響を受けたか?どの欠陥が不足額を生み出したり変更したりし得たか?どの支店が影響を受けたか?どのようなリモートアクセスが可能だったか?運営者が見ることなく取引が挿入、変更、修正され得たか?どのような監査証跡があったか?その限界は何か?どの専門家の声明が安全に行えたか?どれが安全でなかったか?
これらの質問が重要なのは、サブポストマスターが Horizon の内部に平等にアクセスできなかったからである。システムデータに基づいて告発された人物は、開示なしには独自に独占的なシステムを検証できない。それゆえ、供給者の不透明性は証拠の非対称性を生み出す。個人への影響が深刻であるほど、供給者が不確実性を可視化する義務は高まる。
供給者の説明責任は後継システムへの移行にも及ぶ。Computer Weekly の2026年の報道は、富士通が主要な Horizon 後継契約から外されたことを伝えており、調達上の結果が現在の公的記録にまで続いていることを示す。しかし、後継システムの導入は救済と同一ではない。新しい供給者の道筋それ自体は、古い証拠システムによって害を受けた人々に何が起こったかへの答えにはならない。
ソフトウェア証拠には敵対的可視性が必要である
Horizon の記録は、ソフトウェア証拠に関する一般的なルールを明らかにする。すなわち、システム出力が人物に対して使われる場合、その人物はシステムの信頼性、データ経路、代替説明に異議を唱えられなければならない。機関がすべての技術的知識を管理し、出力を推定上真実として扱うならば、その異議は意味をなさない。
Crown Prosecution Service の開示に関する公開ページは、一般的な資料であり、Horizon 固有の調査結果ではない。しかし関連性があるのは、刑事手続が、検察の主張を弱めたり弁護側を助けたりする可能性のある資料の開示に依存するからである。ソフトウェア証拠の事案では、欠陥ログ、サポートチケット、既知のバグ、リモートアクセス記録、監査限界、専門家の不確実性が開示資料となり得る。これらの記録が特定・共有されなければ、被告は証拠を検証できない。
The Law Society のBates v Post Officeに関する論評は、この訴訟が画期的となった理由を枠づけるのに役立つ。しかしより深い点は一つの事案を超えている。デジタルシステムは現在、給付、銀行、雇用、税務、医療、小売、警察活動、プラットフォームガバナンスにおいて証拠を生成している。Horizon の教訓は、システム証拠がデジタルであるという理由だけで中立的に扱われるべきではないということである。
敵対的可視性にはいくつかの統制が必要である。第一に、既知のエラーモードを示すのに十分に完全な欠陥登録簿。第二に、人的、自動化、遠隔の行動を特定する監査証跡。第三に、自信だけでなく限界を述べる専門家証拠。第四に、訴訟前のシステムログの保存。第五に、出力から利益を得る機関が証拠を管理する場合の独立した審査。第六に、静かに個人にシフトしない立証責任ルール。
コスト転嫁の枠組みは利害を明確にするのに役立つ。支店の不足額が実在し運営者に起因する場合、機関は請求権を持ち得る。不足額がシステム欠陥、遠隔修正、同期エラー、または説明不能な会計プロセスによって引き起こされた場合、機関はコストを転嫁すべきではない。証拠基準がどちらの道を取るかを決定する。
Horizon は、機関の自信が証拠上の謙虚さを上回るときに何が起こるかを示している。システムは広く稼働しつつも、特定のケースで争いのある出力を生成し得る。供給者は欠陥を修正しつつも、過去の出力を疑問に残し得る。裁判所は専門家証拠を受け取りつつも、以前の仮定が安全でなかったと判断し得る。ソフトウェア証拠には、生活が損なわれる前にこれらの不確実性のためのチャネルが必要である。
補償は遅延した説明責任の証拠である
補償スキームは、スキャンダル後の別個の行政段階として扱われることがある。Horizon のケースでは、補償は説明責任の証拠の一部である。救済の規模、複雑さ、遅延、法的費用、請求者の負担は、機関が何年もシステム出力を権威あるものとして扱った後に、コスト転嫁を修復することがいかに困難かを明らかにしている。
GOV.UK の現在のPost Office Horizon 財務救済および法的費用データ(2026年)は、補償を生きた公的記録にしている。House of Lords Library の補償の進捗に関するブリーフィングは、スキームと継続する政策文脈を要約している。国家会計検査院(NAO)の政府補償スキームからの教訓に関するブリーフィングは、補償行政が遅延、複雑、または不信感を招く場合、それ自体が害を再現し得るため関連性がある。
遅延した救済はコスト転嫁の別の形態である。誤って告発されたり圧力を受けたりした人々は、破産の結果、法的費用、健康被害、家族の喪失、評判の汚名、失われたビジネス機会を抱えつつ、財政的修復を何年も待つかもしれない。補償はこれらの損失を完全に回復できないが、遅延はギャップを悪化させる。機関が修復に時間をかければかけるほど、個人は機関の失敗の資金調達を続けることになる。
ガーディアンの2026年の補償スキームの期限に関する報道は、救済の圧力が引き続き現在の問題であることを示している。この現在性は重要である。Horizon は単なる歴史的な技術障害ではない。2026年現在、補償、説明責任、後継システム導入、組織学習は依然として公的記録の一部である。
したがって、補償システムは請求者の使いやすさによって判断されるべきである。受給資格ルールは明確か?証拠負担は公正か?中間支払いは利用可能か?法的費用はカバーされているか?トラウマを抱えた請求者は支援されているか?死亡した請求者の家族は対応されているか?決定は迅速か?不服申立てはアクセス可能か?統計は公表されているか?スキーム設計者は請求者から学んでいるか?これらの問いは行政上の細部ではない。国家と機関が被害者へのコスト転嫁を止めるかどうかを決定する。
防止の教訓はさらに強い。救済がこれほど困難であるならば、元のコスト転嫁前の証拠の敷居はより高くあるべきだった。不正な害の後に補償するよりも、安全でない告発を防ぐ方がはるかに安価で公正である。
公的精査は現在も続けられねばならなかった
Horizon の公的記録は進化し続けている。英国議会のビジネス・貿易委員会は、Horizon の正義と説明責任に関連した2026年の口頭証言セッションを設定した。議会の2024年のサブポストマスターの正義に関する説明資料は、このスキャンダルが国家的な制度的懸念となったことを示している。公的精査が重要なのは、関心が薄れた後に複雑な説明責任システムが漂流し得るからである。
現在の精査は非難だけでなく防止に焦点を当てるべきである。適切な検証なしに個人の債務や刑事的疑いを生み出す別のシステムを何が止めるのか?供給者はどのように欠陥を開示するのか?公的機関はどのように独立した技術的専門性を維持するのか?検察は独占的なソフトウェア証拠をどのように扱うのか?補償スキームはどのように請求者の再トラウマ化を避けるのか?後継システムはどのように同じ証拠上の仮定を継承しないようにするのか?
Computer Weekly の2025年の、問い合わせ報告書に対する富士通幹部の反応と、Horizon の人的影響に言及した報道は、組織対応をめぐる継続的な説明責任の緊張を捉えている。二次的な報道は調査結果を置き換えるべきではないが、説明責任が公式文書だけでなく、組織がそれらの文書をどのように内面化するかにも依存することを示すのに役立つ。
公的精査は政府の所有権もカバーしなければならない。Post Office の立場と公共政策上の役割は、これが単なる民間の供給者・顧客間の紛争ではなかったことを意味する。政府には監督義務、資金提供義務、補償義務、機関の信頼性がかかっていた。公共サービスネットワークが独占的な証拠システムに依存する場合、政府はそれを理解し検証できることを保証しなければならない。技術運用のアウトソーシングは公的説明責任のアウトソーシングを意味してはならない。
同じルールは Horizon を超えて適用される。福祉システム、税務システム、移民システム、医療システム、裁判所システム、規制市場はますますソフトウェア出力に依存している。それらの出力が金銭、地位、自由、評判を動かすならば、公的機関は害が発生する前に技術リテラシーと開示ルールを必要とする。
リモートアクセスは第一級の証拠問題であるべきだった
リモートアクセスは Horizon の記録の中で最も重要な技術的概念の一つである。なぜなら、誰が支店データを変更、修正、または影響を与え得たか、また支店運営者が合理的に何を知り得たかに影響するからである。中央の主体が記録にアクセスまたは変更できる場合、証拠のストーリーは単に「支店システムが不足額を記録した」ではない。ストーリーには、他に誰がデータに触れることができたか、いつ、どのような統制の下で、どのような監査証跡をもってかを含めなければならない。
公式な Post Office Horizon IT Inquiry のウェブサイトは、長い証拠記録への経路を公衆に提供する点で価値がある。ここで用いるリモートアクセスとバグ/エラー/欠陥の分析については、依然として Bates 判決が最も直接的な情報源であるが、調査記録は、技術的能力がガバナンス、文化、法的手続き、補償と併せて考慮されなければならなかった理由を示している。
リモートアクセスは自動的に不正を意味するものではない。多くのシステムは障害を修正し、サービスを維持し、ユーザーを支援するためにサポートアクセスを必要とする。説明責任の問題は、リモートアクセスが存在するにもかかわらず、否定され、誤解され、不十分に開示され、弱く記録され、またはユーザーに対する申し立てと無関係に扱われる場合に現れる。会計上の紛争において、遠隔変更の可能性は副次的な問題ではない。それは、立証責任、証拠、公正さを変え得る代替説明である。
防止ルールは明示的であるべきである。機関がユーザーを告発するためにシステム出力に依存する場合、リモートアクセスが関連データに影響し得るかどうかを開示しなければならない。リモートアクションを示すログを保存しなければならない。誰がアクセスできたか、それを支配する統制は何か、関連期間中にリモートアクションが発生したかどうかを説明しなければならない。ログが不完全な場合、不確実性は機関の自信に対してカウントされるべきであり、告発された個人に対してではない。
このルールは分散型公共サービスシステムにおいて特に重要である。支店運営者、地域エージェント、フランチャイジー、契約業者、中小企業はしばしば中央プラットフォームの末端で業務を行う。中央機関は技術的な力を有する。地域の運営者は公共向けの責任を負う。記録が食い違う場合、中央機関は、中央システムを検証に開くことなく、末端の運営者が不一致を引き起こしたと想定することを許されるべきではない。
したがって、リモートアクセスの透明性はシステム設計に組み込まれるべきである。ユーザーは適切な場合にサポートアクションの通知またはログを受け取るべきである。監査証跡は耐タンパー性であるべきである。専門家証人はリモート機能を理解し開示すべきである。契約はサポートアクセスが証拠にどのように影響するかを明記すべきである。裁判所と規制当局は、システム出力を決定的なものとして受け入れる前にそれについて尋ねるべきである。
専門家証拠は結論だけでなく限界を含まなければならない
Horizon はまた、ソフトウェアシステムに関する専門家証拠が限界を含まなければならない理由を示している。専門家はシステムが一般的に機能したと言える。その声明は真実かもしれないが、それでも特定の不足額が特定の人物によって引き起こされたことを証明しない。ソフトウェアシステムは一般的に信頼できる一方で、特定の条件下で失敗し得る。何百万もの取引を処理しながらも、一人の被告に重大な影響を与えるバグを生み出し得る。
したがって、専門家証拠は申し立てに固有であるべきである。どの支店か?どの日付か?どのソフトウェアバージョンか?どの欠陥履歴か?どのサポートチケットか?どのリモートアクションか?どの照合プロセスか?どのデータ移行か?どの既知のバグか?どの監査証跡か?どの代替説明か?信頼性に関する広範な主張は、ケース固有の分析の代わりにはならない。
英国最高裁判所の2024年の関連する Post Office 補償/法的文脈における判決は、Horizon の技術的判決ではなく、そのように拡大解釈すべきではない。ここにあるのは、法的手続きの余波が複数の手続き経路にわたって続いたことを思い起こさせるためだけである。より重要な原則は一般的である:法制度は検証するのに十分に精密な技術的証拠を必要とする。
専門家はまた、不確実性を平易な言葉で開示すべきである。欠陥が不一致を生み出し得るならば、そう言うべきである。ログがないために遠隔操作を除外できないならば、そう言うべきである。システムのアーキテクチャが推論できることに限界を生じさせるならば、そう言うべきである。裁判所と被告は、後で崩れる過信よりも不確実性にうまく対処できる。
証言する供給者の従業員は特定のリスクに直面する。彼らはシステムを深く知っているかもしれないが、雇用主は商業的、評判上、または契約上の利害を持ち得る。それは彼らの証拠を虚偽にするものではない。それは、裁判所と機関が独立性、利益相反の開示、完全な欠陥記録へのアクセス、技術分析と組織的擁護の明確な分離を要求すべきことを意味する。
防止統制は、ソフトウェア生成の告発に対する専門家証拠チェックリストである。一般的な信頼性、関連する欠陥履歴、リモートアクセス能力、データ系統証明、監査ログの完全性、バージョン固有の動作、サポートチケットの文脈、残存する不確実性。チェックリストが完了できない場合、機関はソフトウェア出力を個人に対する決定的な証拠として扱うべきではない。
後継システム導入は証拠債務を消さない
Horizon を置き換えるか、将来の調達から富士通を外すことは必要かもしれないが、後継システム導入は証拠債務を消さない。人々は古いシステムの下で害を受けた。有罪判決、返済、破産、失われた事業、家族のトラウマ、評判の損害は、新しいシステムがより良くなると言うことでは修復できない。古い証拠記録は依然として監査され、説明され、補償されなければならない。
後継システム導入は早期終結のリスクさえ生み出し得る。組織は変革、近代化、新しい供給者、将来のレジリエンスについて話すことを好むかもしれない。なぜなら、これらのトピックが建設的に感じられるからである。被害者と請求者は依然として救済を待っているかもしれない。害を生み出したシステムは廃止される一方で、結果は生き続けるかもしれない。説明責任は両方のタイムラインを視野に入れなければならない:将来のシステム後継と過去の害の修復。
供給者の移行は知識の保存を含むべきである。欠陥履歴、サポートチケット、専門家報告書、データ辞書、取引ログ、リモートアクセス記録、監査資料は後継システム導入中に消えてはならない。将来の請求者や調査者が Horizon の動作を理解する必要がある場合、これらの記録は引き続き利用可能でなければならない。廃止されたシステムも証拠となり得る。
後継システム導入はまた、新しいシステムがコスト転嫁ルールを変えるかどうかを問うべきである。支店運営者はより明確な監査ログを受け取るか?リモートサポートアクションは可視化されるか?不一致への異議申し立ては独立した経路を持つか?欠陥通知は影響を受けるユーザーに開示されるか?訴追や民事回収は、技術的な検証なしにシステム出力に依存することがあるか?新しい証拠ルールのない新しいインターフェースでは十分ではない。
公共調達はこれらの教訓を組み込むべきである。個人に対する証拠を生成するシステムに入札する供給者は、欠陥開示メカニズム、監査証跡、ユーザー可視のサポートログ、専門家証拠プロトコル、独立審査権、データ保存コミットメントを提供することを要求されるべきである。調達テストはシステムが機能するかどうかを問うだけでなく、システムが公正に検証できるかどうかを問うべきである。
したがって、Horizon の後継システム導入の話は、単なる運用ではなく防止の一部である。異議申し立て権を組み込まずに新しいシステムを購入する公共機関は、あまりにも少なくしか学んでいない。
請求者の負担は制度的害の一部である
救済プロセスは、スキャンダルがすでに構造的に証明したことを請求者に再び証明させるべきではない:すなわち、Horizon への制度的依存が深刻な不正義を引き起こしたこと。個々の請求には常に証拠が必要であるが、その証拠負担の設計が重要である。請求者が、機関が保存すべきだった文書を用いて数十年前の損失を再構築することを強いられるならば、コストは再び被害を受けた人物に転嫁される。
補償スキームはトラウマインフォームドデザインから始まるべきである。一部の請求者は、以前に失敗したために Post Office、政府、弁護士、または供給者を信用しないかもしれない。一部の請求者は、事業の崩壊、家族の移動、健康の悪化、または年月の経過のために記録を欠いているかもしれない。一部の請求者は死亡しており、家族がプロセスを進めることになる。スキームは、機関がすでに広範な失敗の文脈を知っているところで摩擦を減らすべきである。
行政上の遅延は中立的ではない。遅延の各月は、継続する財政的緊張、未解決の遺産、法的な不確実性、ストレス、公的フラストレーションを意味し得る。したがって、救済統計は総支払額だけでなく、待ち時間、係争中の案件、遅延の理由、不服申立ての結果、請求者支援、法的費用負担を報告すべきである。透明性は遅延を統制可能な事実に変える。
NAO の補償スキームに関する教訓が重要なのは、救済がデリバリーシステムだからである。不適切に設計されたスキームは、修復を意図しながらも制度的な不均衡を再現し得る。複雑な書式、狭い証拠ルール、一貫しない申し出、遅いコミュニケーションは二次的な害となり得る。訴追前に要求されるのと同じ証拠上の謙虚さが、補償においても現れるべきである。
富士通の説明責任は、政府や Post Office がスキームを運営する場合でも請求者の負担と交差する。供給者の証拠が最初のコスト転嫁に寄与したならば、供給者の協力は今、請求者の負担を減らすのに役立つべきである。技術記録、欠陥履歴、システム説明は、関連する場合に救済のために利用可能にされるべきである。請求者は、供給者が構築したシステムを再発見しなければならないべきではない。
道徳的テストは、救済が負担の方向を逆転させるかどうかである。スキャンダルの間、個人は制度的な確信を負わされた。補償の間、機関が修復の負担を負うべきである。それ以下ならば、コスト転嫁の論理はそのまま残る。
防止ルールは Post Office を超えて適用されるべきである
Horizon の教訓は、一般的な組織ルールとして書き留められるべきである:影響を受ける人物がシステムに有意義に異議を唱えられない限り、自動化、半自動化、または独占的なシステム出力を、債務、懲戒、起訴、排除、または深刻な評判上の害を課すために使用してはならない。このルールは、システム証拠が人間の結果を左右する公共行政、規制サービス、民間プラットフォームに属する。
有意義な異議申し立てには最小限の要素がある。人物は使用されたデータを知るべきである。システムのバージョンと関連するルールを知るべきである。ケースに影響を与え得る欠陥情報にアクセスできるべきである。人間またはリモートシステムが記録を変更できたかどうかを知らされるべきである。ログまたは独立した技術レビューを取得できるべきである。システムにアクセスせずに隠れたシステムの誤りを証明することを強いられるべきではない。
この原則は反テクノロジーではない。信頼できるシステムは人々を保護し、不正を検出し、エラーを減らし、サービスを改善できる。要点は、システムが証拠となるときに機関の力が増大することである。その力には手続き上の保護が必要である。Horizon が失敗したのは、技術が使われたからではなく、技術が証拠が正当化する以上に権威あるものとして扱われ、人々が証明ループの外に置かれたからである。
したがって、取締役会はあらゆる高リスクのシステムについて簡単な質問をすべきである:人はこの出力に公正に異議を唱えられるか?答えがノーならば、システムは高リスクのコスト転嫁に使用されるべきではない。答えがイエスならば、取締役会は証拠を求めるべきである:監査証跡、欠陥開示、不服申立て経路、独立審査、ユーザー通知、保存ルール。
供給者は、信頼できる市場を望むならばこのルールを歓迎すべきである。公正に異議を唱えられるシステムは、不透明性を通じて守られるシステムよりも耐久性がある。異議申し立て権は欠陥を早期に露呈させ、破滅的な訴訟を減らし、顧客が供給者を隠れた敵として扱う可能性を低くする。信頼できるソフトウェアとは、誰も質問できないソフトウェアではない。質問に耐えるソフトウェアである。
より広範な公共の教訓は、デジタル証拠が普通になりつつあるということである。その普通さが Horizon をより重要にし、重要性を減らすものではない。次のコスト転嫁スキャンダルは、給付ソフトウェア、税務分析、給与自動化、予測警察活動、病院請求、プラットフォームモデレーション、またはエネルギー計測から生じるかもしれない。防止ルールは、次の人々のグループがシステムは正しいに違いないと言われる前に導入されるべきである。
監査証跡は告発された人物のために設計されるべきである
多くの監査システムは管理者、供給者、または内部保証チームのために設計されている。Horizon は、高リスクの監査証跡が出力によって影響を受ける人物のためにも設計されるべき理由を示している。システムが支店に不足があると言うならば、支店運営者は申し立てを理解するのに十分な取引経路、修正経路、サポート経路、例外経路を見られるべきである。機関だけが解釈できる監査証跡は弱い保護である。
人物向けの監査は、すべての機密性の高いシステム詳細を公開することを意味しない。それは、影響を受ける人物に一貫した記録を与えることを意味する:問題の取引、タイムスタンプ、照合ステップ、中央で開始された変更、支店または期間に影響を与える既知のインシデント、関連する欠陥、独立審査を求める経路。記録はエクスポート可能で耐久性があるべきである。それはローカルマネージャーの裁量に依存すべきではない。
監査証跡はまた、不在が重要な場合に不在を示すべきである。リモートアクセスが発生しなかったならば、システムはそれを示せるべきである。リモートアクセスが発生したが争点のデータに影響しなかったならば、システムは境界を示すべきである。ログが不完全ならば、記録はそう述べるべきである。沈黙は自動的に個人に対して不利に解釈されるべきではない。
設計ルールは、監査は結果に従うべきであるということである。起こり得る結果が深刻であるほど、監査証跡はより透明で独立して審査可能でなければならない。軽微な内部照合例外は、あるレベルの証拠が必要かもしれない。個人が数千ポンドを返済し、生計を失い、または刑事的疑いに直面する要求は、はるかに多くを必要とする。
このルールはまた、供給者のインセンティブを改善するだろう。監査証跡が告発された人々によって使用可能でなければならないならば、供給者は自らを説明するシステムを構築しなければならない。それはコストを追加するかもしれないが、より大きな社会的コストを防ぐ。公正な監査証跡を生成できないシステムは、高リスクの個人責任を課すために使用されるべきではない。
民事回収と訴追は安全でない仮定を共有すべきではない
Horizon はまた、民事回収と訴追が、同じ未検証の仮定を通じて互いを強化させることを警告している。システム出力が民事上の要求において信頼できるものとして扱われるならば、その自信は懲戒処分や刑事的疑いへと移行し得る。訴追がシステム記録を権威あるものとして扱うならば、その姿勢は民事回収を強化し得る。同じ弱い技術的前提が法的手続きの経路を横断し得る。
防止統制は、エスカレーションの前に独立した技術審査を要求することである。争いのある不足額は、システム欠陥、リモートアクション、サポート介入、または照合エラーがもっともらしい説明かどうかを尋ねることなく、会計照会から債務要求、起訴へと進むべきではない。各エスカレーションは、前回よりも強力な証拠基盤を要求すべきである。
民事回収はまた、公正さのチェックを含むべきである。運営者は不足額に異議を唱えるのに必要な記録にアクセスできたか?運営者は既知の欠陥について知らされていたか?代替説明は調査されたか?中央で開始された修正は審査されたか?要求された金額はシステムの自信ではなく検証された損失に基づいていたか?これらのチェックは圧力がかけられる前に行われるべきであり、訴訟が始まった後ではない。
訴追は敷居をさらに上げる。自由、評判、前科がかかっている。開示は先取的であるべきである。専門家証拠は慎重であるべきである。訴訟を起こすか支援する機関は、独占的な複雑さを盾として使用することを許されるべきではない。システムが開示と検証にとって複雑すぎるならば、決定的な刑事証拠として使用するには複雑すぎる。
同じ考えは内部懲戒や契約解除にも適用される。信頼できないシステムデータに基づいて機関が関係を終了し、給与を差し押さえ、または疑惑を公表するならば、サブポストマスターや契約者は有罪判決がなくとも破滅させられ得る。高リスクの行政上の決定には、独自の技術的異議申し立てプロセスが必要である。
Horizon が壊滅的となったのは、部分的には異なる説明責任のチャネルが同じ自信を繰り返したからである。将来のシステムはその逆を行うべきである:各エスカレーションはより強力な精査をもって技術的問いを再開すべきである。
証拠管理はリーダー交代を生き残るべきである
長期化するスキャンダルは、経営陣、大臣、供給者マネージャー、弁護士、IT チームよりも長く続く。したがって、証拠管理はリーダー交代を生き残らなければならない。欠陥記録、サポートチケット、監査ログ、取締役会資料、専門家報告書、請求者通信は、部門の習慣に任せるのではなく、法的かつ倫理的な保存計画の下で保存されるべきである。
これが重要なのは、遅延した説明責任がしばしば古い記録に依存するからである。請求者は数年後に証拠を必要とするかもしれない。裁判所は有罪判決を再審するかもしれない。調査は誰がいつ何を知っていたかを問うかもしれない。後継プログラムはどの欠陥がユーザーに害を与えたかを知る必要があるかもしれない。記録が消えるならば、遅延は再び証拠を管理していた機関に利益をもたらす。
供給者契約は終了後の証拠義務を含むべきである。供給者が交代させられた場合でも、請求、調査、法的審査に関連する記録を保存し提供すべきである。公共機関は商業的関係が終了したために証拠へのアクセスを失うべきではない。また、供給者は契約が先に進んだならば、歴史的な欠陥知識が無関係であると扱うことができるべきではない。
証拠管理はまたメタデータを必要とする:誰が記録を作成したか、いつ、どのシステムバージョンに関係するか、どの支店や請求者に影響するか、レビューされたかどうか。書類の山は利用可能な証拠と同じではない。Horizon によって害を受けた人々は、インサイダーだけが解読できる組織的アーカイブではなく、利用可能な証拠を必要とした。
それが、防止と救済が記録設計において出会う理由である。欠陥をうまく記録するシステムは、安全でない告発を防ぐことができる。防止が失敗したならば、同じ記録がより迅速な補償を支援できる。貧弱な記録は二度失敗する:まず害が発生したとき、そして修復が遅延したとき再び。
説明責任は次のシステムに設計されるべきである
富士通からの最終的な教訓は、公衆の怒りが戻った後で後継システムに説明責任をボルト付けすることはできないということである。異議申し立て権、監査の可視性、欠陥開示、リモートアクセスログ、専門家証拠基準、補償証拠保存は、最初から設計要件であるべきである。古い証明の非対称性を繰り返す新しいプラットフォームは、インターフェースを近代化しつつも、コスト転嫁リスクを保存するだろう。
タイポグラフィ
タイポグラフィとは、文字を可読性が高く、読みやすく、視覚的に魅力的にするために書体を配置する芸術であり技術である。書体、ポイントサイズ、行長、行間、文字間隔の選択を含む。
- タイポグラフィは、15世紀にヨハネス・グーテンベルクによって発明された活版印刷に起源を持つ。
- 主要な要素には、フォント選択、カーニング、トラッキング、リーディングが含まれる。
- 優れたタイポグラフィは可読性を高め、デザインにおける雰囲気やトーンを伝える。
説明責任のテストは救済前の防止である
Horizon 後の説明責任の問いは、どれだけの救済が支払われるか、どの幹部が謝罪するかだけではない。それは、機関が今や防止ルールを持っているかどうかである:システムの信頼性、欠陥、アクセス経路、監査限界が独立して検証可能でない限り、デジタルシステムを使ってコスト、疑惑、法的負担を個人に転嫁してはならない。
公的記録は責任を富士通だけに還元しない。Post Office、政府、弁護士、監査人、検察、補償管理者は皆、役割を持っていたか持っている。富士通の役割は依然として重要である。なぜなら、供給者はシステム証拠が安全かどうかを決定する技術的知識を保持し得るからである。その知識が利用可能にされないとき、システム外の人々がリスクを負う。
富士通と他の供給者にとっての教訓は、個人に害を与え得る場合、証拠システムを公共の利益システムとして扱うことである。欠陥記録、監査証跡、リモートアクセスログ、専門家声明、不確実性の言葉は、製品の安全記録の一部として管理されるべきである。告発に使用されるシステムは、通常のバックオフィスツールではない。
公共機関にとっての教訓は、独立した技術的異議申し立てをプロセスに組み込むことである。独占的なシステムを検証不可能な証人にしてはならない。デジタル出力が中立的であると想定してはならない。補償設計がすでに被害を受けた人々に立証責任を転嫁するのを許してはならない。テレビドラマや何年もの訴訟を待ってシステム欠陥を可視化してはならない。
自動化または半自動化システムの影響を受ける個人にとっての教訓は厳しいが重要である:ログ、欠陥履歴、アクセス記録、代替説明、立証責任ルールを要求せよ。システム出力は検証できる場合にのみ証拠である。
Horizon はコスト転嫁スキャンダルとして記憶されるべきである。なぜなら、それが技術的失敗をそれほど破壊的にしたものだからである。ソフトウェアの不確実性は個人の債務、刑事的疑い、遅延した修復となった。説明責任のある未来は単により良いソフトウェアではない。それは、機関が人に支払わせる前にシステムを証明しなければならないというルールである。

