ファイアウォールの設定を、すり抜け放題にしました☆：「訴えてやる！」の前に読む IT訴訟 徹底解説（109）（2/3 ページ）

[ITプロセスコンサルタント 細川義洋，＠IT]

契約書に記されていなかったセキュリティ要件

　事件の概要からご覧いただきたい。

前橋地方裁判所 令和5年2月17日判決より

ある公共団体が自ら保有するデータセンターの移管と再構築を企図して、ITベンダーにこれを委託する契約を締結した。

ところが構築したシステムのバックドアを利用して、何者かが内部ネットワークに侵入して不正ツールが保存されており、多数の個人情報が流出した可能性が高いことが判明した。そして調査の結果、当該システムに設置されたファイアウォールは、ほぼ全ての通信を許可する設定であったことが判明した。

公共団体側は、ITベンダーには、外部からの不正アクセスや攻撃を感知し、それらの記録を保存するセキュリティ機器を適切に設定することにより通信制限を行う債務ないし注意義務があったにもかかわらず、これを怠ったため多額の損害が生じたとして、その賠償を求める訴訟を提起したが、ITベンダー側は、ファイアウォールの設定については契約書に記載されておらずITベンダーの債務ではないと反論した。

出典：Westlaw Japan 文献番号 2023WLJPCA02176003

　判決文だけでは契約書の記載を全て確認できないが、両者のやりとりを見ると、少なくともファイアウォールの設定までは記されていなかったようである。

　ただ、常識的に考えて、ファイアウォールがほぼ全ての通信を通してしまうシステム作りというのは、ITの専門家としてあまりに稚拙である。加えていうなら、契約後に定義された要件には、ファイアウォールの設定について具体的な記載があったようである。そう考えると、この情報漏えいの道義的な責任はITベンダーにあるように思える。

　ただ、契約書には、そうした記述がない。

　前述した通り、契約書は契約の根幹であり、そこに書かれていることこそが当事者たちの債務であり、損害賠償の対象となるのが基本的な考えだ。システムの要件は確かにITベンダーが実現しなければならないものではあるが、これは開発中に変化してしまうものであって債務とはなり得ないとの考えもあるかもしれない。

　常識的に考えれば、やや詭弁（きべん）の感をまぬがれないが、契約書を取り交わす時点で、後に定められる要件と契約書との関係を明確にしなかった、いわば契約上の落ち度が作った抜け道とも考えられる。

　さて、裁判所はどのように判断しただろうか。契約書を金科玉条として、そこに記載のない作業は債務ではないとするのか、あるいは現実的に見て必要不可欠なものは、要件定義書を元に対応するのが義務であるとするのか。

　判決の続きを見てみよう。

前橋地方裁判所 令和5年2月17日判決より（つづき）

ソフトウェアの開発にかかわる業務委託契約においては、契約締結の前後に提案依頼書、提案書、要件定義書、基本設計書などをやりとりすることにより委託業務の内容を確定していくものであるから、本件委託契約において受託者である被告が負う債務の内容は、同契約の契約書の記載の内容のみならず、同契約の前後にやりとりがされた要件定義書や基本設計書などの内容を総合的に考慮して確定すべきである。

　裁判所は、「たとえ契約書に記載はなくとも、双方が合意した要件定義書に記載のあるものはITベンダーの債務である」とした。契約書という形式にはこだわらない現実的な考えといえる。