情報漏えいは、ベンダーが作ったシステムのせい？：「訴えてやる！」の前に読む IT訴訟 徹底解説（17）（2/2 ページ）

[ITプロセスコンサルタント 細川義洋，＠IT]

たとえ却下されようとも、言うべきことは言わねばならない

　しかし、ベンダーがいくら専門家責任を発揮してさまざまなセキュリティ提案を行っても、ユーザー側が受け入れてくれない場合もかなりある。特に要件定義後に必要性に気付いたセキュリティ対策は、プロジェクトのスケジュールやコストを悪化させることもある。そのため提案が受け入れられないことが多く、下手すれば詐欺師呼ばわりされることすらある。

　しかし、それでもベンダーは提案すべきである。この判決は、後半でこうも述べている。

東京地方裁判所 平成26年1月23日判決より抜粋して要約（続き）

　ユーザーは、セキュリティ上は顧客のクレジットカード情報をデータベースに保持しない方が良いことを認識し、ベンダーから改修の提案を受けていながら、何ら対策を講じずにこれを放置した（これはユーザー側の責任である）。

　たとえ採用されなくても、「提案」していれば、責任はユーザー側に移る。この判決ではこれによって、ベンダー側の責任が3割ほど減じられた。個人情報漏えいの損害賠償額は、数億、数十億に上る場合がある。その金額をユーザーとベンダーのどちらが負うべきか考えると、この判決の考え方は非常に参考になる。

　提案すべきことは、追加費用が発生しようと、本稼働時期が遅れようと、臆せずに提案しなければならない。一時的には、ユーザーの不興を買うことがあっても、実際に情報漏えいが起きてしまった後の責任を考えれば安い物だ。

日々是学習

　ベンダーにとって大切なことは、常日ごろから最新のセキュリティ情報とその対策を勉強し続けることだ。いくら提案をしたくても、知識がなければ何もできない。

　念のため申し上げておくが、裁判所に「私たちはITベンダーだが、この分野については知識がないので専門家ではない」といった言葉は通用しない。ITベンダーとして看板を掲げ、それなりの技術、知識を要する仕事を請け負う以上、裁判所は専門家として扱うからだ。

　JP-CERTや各種セキュリティベンダーなどから日々情報を収集し、対策と共に組織内で共有する。セキュリティに関する発表や講演に積極的に参加する。組織内でセキュリティに関する勉強会を定期的に開催する――これらを行わないベンダーは、今日のような危険な時代を生き残れない。逆に、セキュリティ対策について一定の評価を受けるベンダーは、それ自体が売り上げの拡大に寄与することになる。そんな時代が、すぐそこに来ている。

「「訴えてやる！」の前に読む IT訴訟 徹底解説」バックナンバー

• DOS版をWindows用に書き換えただけで著作権を主張するとは、ちゃんちゃらおかしいわ！
• ReactJSで作るはずだったのに、Laravelで作ったので訴えます
• IT訴訟解説筆者が考える「セクシー田中さんドラマ化」問題と破綻プロジェクトの共通点――原因と再発防止案は？
• 開発が遅延した上に、メンバーの体調不良までわが社のせいにするのか！
• 仕様書通りにシステムを作りました。使えなくても知りません
• 何でスキル不足のエンジニアをアサインしたからって訴えられるんですか
• ベンダー社員過労死の遠因はユーザー企業にもあるのか
• この契約は、請負でも準委任でもありません
• ファイアウォールの設定を、すり抜け放題にしました☆
• 準委任契約だけど、責任は取ってください
• たった1日連絡しなかっただけで契約解除ってどういうことですか!?
• 契約書にも民法にも書かれていませんが、「義務」なので履行してください
• ソフトは転売していません。マニュアルを販売しただけです
• 「パワハラされてリストラされたので、転職サイトに書き込んでやりました」の追い解説
• お前とは絶交だ！　契約も解除してやる！
• 顧客も社員も奪われて、わしゃもう死んでしまいたい
• 入館拒否や帰宅命令までしないと安全配慮義務違反になるんですね
• 江里口美咲＆細川義洋対談「ここがダメだよ、IT業界！」
• 業務をパッケージに合わせると言ったけど、めんどくさいからやっぱりやめた
• 取った資格は俺のもの、もらったお金も俺のもの
• パワハラされてリストラされたので、転職サイトに書き込んでやりました
• 同僚を引き連れて起業するなんて、この恩知らず！
• 基本設計書は納品前ですが、システム作っちゃいました
• 技術的に不可能でも、セキュリティ対策は万全にしろ！
• 業績の悪い社員を解雇して何が悪いんですか？
• 仕様は確認しないし、運用テストもしません　全部出来上がってから確認します
• 製造工程に入ってるけど、やっぱこの機能も追加してくださーい
• お任せしたのですから、契約の範囲外でも対応してください
• 従業員が作ったセキュリティホールの責任を会社が取るなんてナンセンスです
• 私が決めた要件通りにシステムを作ってもらいましたが、使えないので訴えます
• 悪いのはベンダー！　「わび状」という証拠もあります！
• 不合格通知をもらわなかったから、検収合格ですよね
• こんな裁量労働制は嫌だ！
• 何で仕様も教えてくれないんですか！
• こんなパッケージソフトいらない！　だって使えないんだもん！
• 私のふんどしで相撲を取らないでください
• やった分はお金ください。納品してないけど
• 代金を支払わないからシステムを引き上げるなんて、どういう了見だ！
• 「お任せください」ってカンバンに書いてあるじゃないか！
• あるエンジニアの死
• 「退職するなら、2000万円払ってね」は、本当に会社だけが悪かったのか
• 似たようなデータベース作ったからって、泥棒よばわりするのやめてもらえません？
• あなたの能力も態度も信用できません
• 退職するなら、2000万円払ってね
• 派遣は工程表を作っちゃダメなんですか!?
• 最後の不具合が除去されるまで、働き続けてもらいます
• リバースエンジニアリングしたけど、もうけてないから問題ないでしょう？
• 運用保守契約は永遠です
• うまくいってもいかなくても、お金はください
• 親会社の意向なので開発中止します。もちろんお金も払いません

細川義洋

東京地方裁判所 民事調停委員（IT事件担当） 兼 IT専門委員　東京高等裁判所 IT専門委員

NECソフトで金融業向け情報システムおよびネットワークシステムの開発・運用に従事した後、日本アイ・ビー・エムでシステム開発・運用の品質向上を中心に、多くのITベンダーおよびITユーザー企業に対するプロセス改善コンサルティング業務を行う。

2007年、世界的にも季少な存在であり、日本国内にも数十名しかいない、IT事件担当の民事調停委員に推薦され着任。現在に至るまで数多くのIT紛争事件の解決に寄与する。

ITmedia オルタナティブブログ「IT紛争のあれこれ」

美人弁護士 有栖川塔子のIT事件簿

書籍紹介

「IT専門調停委員」が教える モメないプロジェクト管理77の鉄則

細川義洋著　日本実業出版社　2160円（税込み）

提案見積り、要件定義、契約、プロジェクト体制、プロジェクト計画と管理、各種開発方式から保守に至るまで、PMが悩み、かつトラブルになりやすい77のトピックを厳選し、現実的なアドバイスを贈る。

なぜ、システム開発は必ずモメるのか？

細川義洋著　日本実業出版社　2160円（税込み）

約7割が失敗するといわれるコンピューターシステムの開発プロジェクト。その最悪の結末であるIT訴訟の事例を参考に、ベンダーvsユーザーのトラブル解決策を、IT案件専門の美人弁護士「塔子」が伝授する。