保守ベンダーが調査してくれなかったから、不正アクセスされちゃったじゃないか！：「訴えてやる！」の前に読む IT訴訟 徹底解説（119）（3/3 ページ）

[ITプロセスコンサルタント 細川義洋，＠IT]

保守契約に明記のないセキュリティ対処は義務にならない

　一つの教訓として、セキュリティに限らず、「ユーザーが保守ベンダーに依頼や指示をするには、その前提となる契約が必要であり、また記録として残る文書に指示内容を具体的に記しておくべき」ということだろう。

　もう一ついえることは、ベンダーは「保守」という契約の範囲においては、対象システムに潜在するセキュリティ上の不備に対応する義務を“当然には”負っていないということだ。

　“当然には”とは「契約書に明記されていなくとも」の意味合いだ。同じ判決文の中で、「開発ベンダーは仮に契約書に明記がなくとも、情報システムの専門家としてセキュリティに関する必要な措置をとらなくてはならない」と述べられていた。

　一方で、保守契約となると「システムにセキュリティ上の不備があっても、その対応が契約上の義務ではなく、明確な指示がユーザーからなければ、対応する義務まではない」としている。

　これは、開発と保守が別々のベンダーの場合を想定してみれば分かりやすい。確かに、開発ベンダーが作り込んだセキュリティ上の不備について保守ベンダーは責任を取り切れない。本件では開発と保守を同じベンダーが請け負っているが、セキュリティ上の不備への対応は原始的には開発契約の範囲内であって、保守契約で対応してもらうには、その旨を契約書に記し、明確に指示すべきということになるだろう。

　「最近、マルウェアの被害が増大している。わが社は大丈夫なのか調査して、必要なら対応してほしい」「同じソフトウェアを使っている他社のシステムに脆弱（ぜいじゃく）性があると分かったので、わが社のシステムにも対応が必要」――これらは、契約書と明確な指示があって初めてやることということになる。

ベンダーにも注意が必要

　ここまではユーザーへの注意喚起だが、実際の現場を考えると、ベンダーにも十分な注意が必要だ。

　まず、いくらこのような判決があったとしても、保守対象となるシステムにセキュリティ上の危険があると気付いたとき、あるいは指摘されたときに、「契約書にない」「指示が明確でない」と対処を断ることは、顧客満足度の面から見て現実的ではない。

　一方で、言われたことは何でもするという姿勢ではベンダーに過度な負担と責任が降りかかることにもなる。ましてセキュリティ上の対処に何らかの不備があり、システムの停止などの被害が発生すれば、損害賠償の対象にもなりかねない。

　保守を請け負う場合には、対象システムが潜在的に抱えるセキュリティ上の不備が判明した際、あるいは開発時にはなかった新たな脅威が発生した際の対処を契約で明らかにしておくべきだろう。

　事象の発生や、その危険を感知した場合の調査や初動と対応、連絡体制、意思決定などを通常の保守作業とは別に定めておく必要があるのではないか。こうしたことを明記した契約条項を私はあまり見たことがないが、皆さんの会社の契約ではどうだろうか。一度確認して、必要であれば付け加えることをお勧めする。

細川義洋

ITプロセスコンサルタント。元・政府CIO補佐官、東京地方裁判所民事調停委員・IT専門委員、東京高等裁判所IT専門委員

NECソフト（現NECソリューションイノベータ）にて金融機関の勘定系システム開発など多くのITプロジェクトに携わる。その後、日本アイ・ビー・エムにて、システム開発・運用の品質向上を中心に、多くのITベンダーと発注者企業に対するプロセス改善とプロジェクトマネジメントのコンサルティング業務を担当。

独立後は、プロセス改善やIT紛争の防止に向けたコンサルティングを行う一方、ITトラブルが法的紛争となった事件の和解調停や裁判の補助を担当する。これまでかかわったプロジェクトは70以上。調停委員時代、トラブルを裁判に発展させず解決に導いた確率は9割を超える。システム開発に潜む地雷を知り尽くした「トラブル解決請負人」。

2016年より政府CIO補佐官に抜てきされ、政府系機関システムのアドバイザー業務に携わった

個人サイト：CNI IT Advisory LLC

書籍紹介

本連載が書籍になりました！

成功するシステム開発は裁判に学べ!〜契約・要件定義・検収・下請け・著作権・情報漏えいで失敗しないためのハンドブック

細川義洋著　技術評論社　2138円（税込み）

本連載、待望の書籍化。IT訴訟の専門家が難しい判例を分かりやすく読み解き、契約、要件定義、検収から、下請け、著作権、情報漏えいまで、トラブルのポイントやプロジェクト成功への実践ノウハウを丁寧に解説する。

エンジニアじゃない人が欲しいシステムを手に入れるためにすべきこと

細川義洋著　ソシム 　2420円（税込み）

1mmも望んでいないDX室への異動を命じられた主人公が、悪戦苦闘、七転八倒、阿鼻叫喚を繰り広げながら、周囲を巻き込んで「欲しいシステム」を手に入れるまでを8つのストーリーで解説。システムの開発工程に沿って、必要なノウハウと心構えを体得できます。

システムを「外注」するときに読む本

細川義洋著　ダイヤモンド社　2138円（税込み）

システム開発に潜む地雷を知り尽くした「トラブル解決請負人」が、大小70以上のトラブルプロジェクトを解決に導いた経験を総動員し、失敗の本質と原因を網羅した7つのストーリーから成功のポイントを導き出す。

プロジェクトの失敗はだれのせい？ 紛争解決特別法務室“トッポ―"中林麻衣の事件簿

細川義洋著　技術評論社　1814円（税込み）

紛争の処理を担う特別法務部、通称「トッポ―」の部員である中林麻衣が数多くの問題に当たる中で目の当たりにするプロジェクト失敗の本質、そして成功の極意とは？

「IT専門調停委員」が教える モメないプロジェクト管理77の鉄則

細川義洋著　日本実業出版社　2160円（税込み）

提案見積もり、要件定義、契約、プロジェクト体制、プロジェクト計画と管理、各種開発方式から保守に至るまで、PMが悩み、かつトラブルになりやすい77のトピックを厳選し、現実的なアドバイスを贈る。

なぜ、システム開発は必ずモメるのか？

細川義洋著　日本実業出版社　2160円（税込み）

約7割が失敗するといわれるコンピュータシステムの開発プロジェクト。その最悪の結末であるIT訴訟の事例を参考に、ベンダーvsユーザーのトラブル解決策を、IT案件専門の美人弁護士「塔子」が伝授する。