契約したのは弊社ですが、セキュリティホールを作ったのは従業員です。悪いのはアイツです!
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
納品したシステムにSQLインジェクションなどの既によく知られた脆弱(ぜいじゃく)性がある場合、たとえその対応策が要件として定義されていなくても、ITの専門家であるベンダーには、そのことに気付き、ユーザー企業に注意喚起し、提案する責任がある。この問題を「ユーザーvs.ベンダー」という構図で見た場合の裁判所の考え方は、これまでの例を見る限り、ある程度の一致を見ているようにも思われる。
同じ問題を「ベンダーという企業vs.そこで働くエンジニアという個人」という図式で見た場合はどうだろうか。顧客に納品したシステムにセキュリティ上の不備があった場合、その責任はシステムを構築したエンジニアにあるのか、そのエンジニアを選任し、作業を監督する責任のあるベンダーにあるのか。
「従業員は会社内部で責められることはあっても、対外的には会社が責任を持つべきでは?」――そう考える読者が多いだろうし、私もそう考えている。しかしある裁判において、ユーザー企業からセキュリティの不備を追及されたベンダーは、「会社としての監督責任などは果たしているのだから、責任は従業員にある」と主張した。
裁判自体はいわゆるユーザーvs.ベンダーという構図で、従業員が個人的に訴えられたわけではないが、裁判所は判決の中で個人の責任に関する判断を述べている。従業員個人に不法行為などの責任が課されることになるのか、この裁判を通して考えてみたい。
まずは概要を見ていこう。
インターネットなどを利用して情報提供サービスや通信販売を行うユーザー企業が、インターネット上でバイクの一括査定を行うシステムの開発をベンダーに依頼した。依頼に際しては、インターネット上に公開するシステムとして既知の脆弱性には気を付ける旨、言い添えていた。
ところが、納品されたシステムには脆弱性(SQLインジェクション)が存在し、システムは、その後、恒常的ともいうべき攻撃にさらされることとなった。
こうした状況にユーザー企業は、本件システムにSQLインジェクションという脆弱性があったのは、その制作を担当したベンダーの被用者(以下IT技術者という)の故意過失によるものであり、使用者であるベンダーには使用者責任があると主張して損害賠償、約920万円を請求した。
しかしベンダーは、自分たちは、IT技術者の選任および事業の監督において相当な注意をしていたから使用者責任を負わない(不法行為は従業員であるIT技術者にのみ成立する)、と反論した。
Copyright © ITmedia, Inc. All Rights Reserved.