保守ベンダーが調査してくれなかったから、不正アクセスされちゃったじゃないか！：「訴えてやる！」の前に読む IT訴訟 徹底解説（119）（2/3 ページ）

[ITプロセスコンサルタント 細川義洋，＠IT]

セキュリティの不備を知った保守ベンダーの責任

　本件は、同じ判決文において開発契約上の債務不履行がITベンダーにあったことが認められている。今回は、保守契約でもITベンダーに責任があったかどうかという点を考える。

　前述の記事にも記した通り、「開発においては、例え契約に明記がなくとも、情報システムの専門家である開発ベンダーには必要なセキュリティ措置を講じる義務と専門家責任がある」との判断があった。こうしたベンダーの専門家責任については、本連載で再三再四取り上げてきた。

　では保守契約では、どうであろうか。

　判決文を読む限り、少なくとも保守契約書には「システムが潜在的に抱えていたセキュリティ上の不備に保守ベンダーが対応する」という条項はなかったようである。だが、現実的に、セキュリティ対策として各種設定を変えたりコードを修正したりすること、それ以前に、そもそも対処の必要がある脅威に気付くことができるのは保守ベンダーだけという場合がある。

　餅は餅屋という考えに基づけば、保守ベンダーにセキュリティなどの責任を負ってもらわないとシステムは安定稼働しないのだから、契約に明記がなくても義務は発生するものだという考えがある。

　一方で、システムのセキュリティ上の脅威に一義的な責任を負うのは開発契約に基づくものであり、保守契約に基づくものではないという考え方もある。本件は開発と保守が同じベンダーだったが、仮に異なるベンダーであるなら、開発によって埋め込まれたセキュリティ上のリスクを保守ベンダーが契約もなしに負うのは不自然に思える。

　前者はどちらかといえば現実論、後者は契約論といえるが、裁判所はどのような判断を下したのだろうか。続きを見てみよう。

前橋地方裁判所 令和5年2月17日判決より（つづき）

本件保守契約や保守手引書の内容を見ても、（セキュリティ上必要な）修正が本件保守契約の対象となっているものか否かについては判然としないといわざるを得ないから、ITベンダーに債務不履行、または注意義務違反があると直ちには認められないし、

（中略）

公共団体において、ITベンダーが、他県での教育情報システムへの不正アクセスによる個人情報漏えい事件に関連して、原告市教委から問い合わせを受けたにもかかわらず、システムの確認を怠ったと主張する点については、（中略）具体的にどのような連絡をしたのかは判然としない。

（中略）

さらに（中略）別の通信制限の不備を指摘されたにもかかわらず、必要な措置を講じなかったと主張する点についても、（中略）原告が被告に対して具体的にどのような連絡をしたのかは判然としない（後略）。

　裁判所は、ITベンダーに債務不履行、または注意義務違反があるとは認められないと判断した。