保守ベンダーが調査してくれなかったから、不正アクセスされちゃったじゃないか！：「訴えてやる！」の前に読む IT訴訟 徹底解説（119）（1/3 ページ）

ある公共団体のデータセンターに不正アクセスがあり、多数の個人情報が漏えいした可能性があることが分かった。他県で似たような事例があったのに調査してくれなかった保守ベンダーに、公共団体は激おこぷんぷん丸だ。

[ITプロセスコンサルタント 細川義洋，＠IT]

連載目次

　IT訴訟事例を例にとり、システム開発にまつわるトラブルの予防策と対処法を解説する本連載。今回は2023年9月25日掲載の「ファイアウォールの設定を、すり抜け放題にしました」と同じ、前橋地方裁判所令和5年2月17日判決を取り上げる。

　同記事では、ユーザーが要件として定義しなかったファイアウォールの設定をITベンダーがすべきであったのかどうかが争われ、「設定を怠ったがために発生した損害をITベンダーが賠償すべき」との判断が下されたことを解説した。

　この判決には他にも多くの争点が含まれている。今回は保守、運用を請け負ったITベンダーの責任について考えてみたい。このシステムの保守は開発したITベンダーがそのまま請け負ったため区別しにくいのだが、おのおの別の契約と考えた場合、開発したベンダーと同じようなセキュリティ上の責任を保守ベンダーも負うべきなのか――もう少し具体的に述べると、開発ベンダーが作り込んだセキュリティ上の問題を知っていた保守ベンダーは修補する責任があるのかどうかという点が争われた。

　契約的には開発ベンダーの責任を保守ベンダーが負うのは酷ともいえるが、セキュリティ上の不備に気付きながら何もしないというのも、ITの専門家としての責任を放棄しているようにも思える。その当たりを裁判所はどう判断したのだろうか。

保守ベンダーのセキュリティ責任が問われた裁判

　まずは概要をご覧いただきたい。

前橋地方裁判所 令和5年2月17日判決より

ある公共団体が自ら保有するデータセンターの移管と再構築を企図して、ITベンダーにこれを委託する契約を締結し、ITベンダーは開発契約に基づいてこれを実施したが、稼働後、システムに不正アクセスがあり、多数の個人情報が漏えいした可能性があることが分かった。調査の結果、システムにはファイアウォール設定などセキュリティ上の不備があることが分かった。

公共団体は、稼働後に保守を請け負ったITベンダーがセキュリティ上必要な修正を行わず、また他県における同様なシステムに不正アクセスがあったにもかかわらず調査を行わなかったこと、更に公共団体側からのセキュリティ上の問い合わせにも答えなかったことが不正アクセスの原因になったとし、このことが保守契約上の債務不履行に当たるとして損害賠償を請求した。

出典：West law Japan 文献番号 2023WLJPCA02176003