頼まれてもいないセキュリティを実装するのもITベンダーの責任?
翔泳社さんの Enterprise Zineで連載中の 「紛争事例に学ぶ、ITユーザの心得」。ITユーザ向けということにはなっていますが、当然、ベンダーの方々にも、留意いただきたいことを裁判例を反面教師として、色々と考えてみようという連載です。このマガジンの中では、そのサワリの部分をご紹介しつつ、ITベンダの悲哀や苦労、そして、こんなことにならないように考えておくべきことを考えてみたいと思います。
今回は、そんな中から最近特に話題になることの多い「セキュリティ」について考えてみたいと思います。十分なセキュリティを施さずにリリースしたシステムから情報漏えいの責任をめぐる裁判の例を紹介した「契約にないセキュリティ関連作業は、保守運用事業者の責任か」という記事を題材にしています。
インターネット上のセキュリティ侵害事件、情報漏えいとかフィッシングとか、ウィルスとかマルウェア、ランサムウェア等々、実に多くの手口を用いた犯罪が、毎日毎日数え切れない程に起きています。
そんな時代ですから、コンピュータシステムを導入するときには、必ず、セキュリティ要件を定めて、これをベンダーが実現しないといけません。ただ、ここで問題になるのは、要件を定義してベンダーに提示するITユーザーには自社システムを守り抜くために必要なセキュリティに関する知識がない点です。クロスサイトスクリプティング、SQLインジェクション・・・今どきのIT技術者であれば、誰もがその危険と防止法について知っているような手口についても、ITユーザー側の担当者にはちんぷんかんぷんということもあるでしょう。
しかし、ITを導入する際、どんな機能や性能、あるいは特性を持ったシステムを作って欲しいかを定義(要件定義)するのは発注者であるユーザー側です。当然、セキュリティについても、どのような危険を想定し、データの暗号化やログイン認証、安全なコーディングや画面について要求するのは、原則ユーザーということで、その定義が不足していたり、間違っていて、おかしなシステムが出来上がってしまっても、その責任はユーザーが負う、民法の債権・債務に関する規定を見ると、そういう風に考えてしまいます。
でも、本当にそうなんでしょうか?ITに関する知識のないユーザーがセキュリティに関して正しい要件定義をできることなど、ほぼ無理です。セキュリティ侵害が発生したとき、その責任をユーザーが全部負うというのは、あまりに酷な話ではないでしょうか。そんな考えもあって、今回の事件のように実際にセキュリティ侵害を受けたとき、ユーザーとしてはやはりベンダーに責任があると考えたくもなりますし、実際、そういう主張をします。
ですが、ベンダーの方としては原則として自分たちは、頼まれたものを作るだけという立場を取り、情報漏洩の責任は本来的にユーザー側にあると主張します。記事で取り上げている裁判はまさに、そんな争いです。
--------------------------------------------------------------------------------------
(東京地方裁判所 令和元年12月20日判決より)
インターネット上のある通販サイトから顧客のクレジットカード情報が漏洩するという事件が起きた。サイトを運営していた企業 (以下「通販会社」という。) は、この漏洩は、システムの保守運用を請け負ったベンダー企業(以下「保守運用業者」という。) がハートブリードというセキュリティ上の脆弱性への対策を依頼したにもかかわらず、これを講じなかった為に起きたと、損害賠償を請求する裁判を提起したが、保守運用業者側は、そもそも、保守運用契約には、こうしたセキュリティ対策に関する事項はないとして反論した。
通販会社側は、保守運用契約には、確かにセキュリティに関する記載はないものの、そもそも保守運用業務と言う物自体、システムを安全に稼働させる責任をともなうものであり、保守運用業者にもセキュリティ維持に関する活動は当然に行うべきであると主張した。
また、保守運用業者の作業員は、これまでも様々なセキュリティに関する作業を行ったり、情報提供を行ってきており、このことも保守運用業者の責任を裏付けるものであるとの主張も併せて行った。
通販会社側は保守・運用契約の中に明確に書かれてはいなくとも、 業者はセキュリティを保持するために 必要な活動を当然に行うべきと考えていた。そして実際に保守運用作業者は、システムのセキュリティを保持するための作業や情報提供を行っていることから見ても、保守運用業者には、当然に(契約条項になくても) 、セキュリティを維持する責任があると考えていたようです。
これに対して保守運用業者は「契約書にも書かれておらず、商談においても明確に約束などしていなかったセキュリティ作業を行うこと、システムが安全であることの保証などの義務は、契約書のどこを見ても記述されておらず我々の義務ではないと、当然と言えば当然の反論を行っています。
--------------------------------------------------------------------------------------
皆さんは、この事件、どちらが勝ったと思われるでしょうか?どっちもどっちだから引き分け?そんな風にも考えたくなりますが、実際の裁判では、そうはならず、ハッキリと白黒が付きました。
結果については記事を見ていただくこととして、ここで考えなければならないことが、「ITベンダーの専門家責任」という問題です。ITベンダーにはITの専門家としての責任があり、例えばユーザの示す要件に過不足があったり、誤っていたり、矛盾していたりしたら、プロの目でこれを確認して、「これじゃあうまくいきません。もっとこうしましょう。」とアドバイスをしてあげる、そんな義務があるという判断がいくつかの裁判所で出ています。もちろん、アドバイスをしてもユーザーが聞く耳持たなければ、そこはベンダーの責任になりませんし、どんなばあいでもこの責任論が持ち出されるということでもないのですが、しかし、やはりこうした考え方があるということは、ITベンダーというのは、ユーザーが出してくれる要件を口を開けて待っていて、言われた通りに作ります。その結果おかしなモノができても、なにか問題があっても、私達の責任ではありませんと、開き直るわけにはいかないようです。
ユーザーの示す要件の正しさ、十分性等を十分に吟味して、誤りがあれば是正の提案をする。特にコンサル契約や要件定義を支援する契約でなくても、ベンダーにはこうした責任があるようです。
専門家であるベンダーに「指示待ちの姿勢は許されない。」ということのようです。
では、この裁判がどうであったか、結果は以下のリンクからご覧ください。
「契約にないセキュリティ関連作業は、保守運用事業者の責任か」
(了)
この記事が気に入ったらサポートをしてみませんか?