情報漏えいは、ベンダーが作ったシステムのせい?:「訴えてやる!」の前に読む IT訴訟 徹底解説(17)(2/2 ページ)
東京高等裁判所 IT専門委員として数々のIT訴訟に携わってきた細川義洋氏が、IT訴訟事例を例にとり、トラブルの予防策と対処法を解説する本連載。今回は「情報が漏えいしたら、システムを作ったベンダーはどこまで責任を負うべきか」を、裁判例を基に解説する。
たとえ却下されようとも、言うべきことは言わねばならない
しかし、ベンダーがいくら専門家責任を発揮してさまざまなセキュリティ提案を行っても、ユーザー側が受け入れてくれない場合もかなりある。特に要件定義後に必要性に気付いたセキュリティ対策は、プロジェクトのスケジュールやコストを悪化させることもある。そのため提案が受け入れられないことが多く、下手すれば詐欺師呼ばわりされることすらある。
しかし、それでもベンダーは提案すべきである。この判決は、後半でこうも述べている。
東京地方裁判所 平成26年1月23日判決より抜粋して要約(続き)
ユーザーは、セキュリティ上は顧客のクレジットカード情報をデータベースに保持しない方が良いことを認識し、ベンダーから改修の提案を受けていながら、何ら対策を講じずにこれを放置した(これはユーザー側の責任である)。
たとえ採用されなくても、「提案」していれば、責任はユーザー側に移る。この判決ではこれによって、ベンダー側の責任が3割ほど減じられた。個人情報漏えいの損害賠償額は、数億、数十億に上る場合がある。その金額をユーザーとベンダーのどちらが負うべきか考えると、この判決の考え方は非常に参考になる。
提案すべきことは、追加費用が発生しようと、本稼働時期が遅れようと、臆せずに提案しなければならない。一時的には、ユーザーの不興を買うことがあっても、実際に情報漏えいが起きてしまった後の責任を考えれば安い物だ。
日々是学習
ベンダーにとって大切なことは、常日ごろから最新のセキュリティ情報とその対策を勉強し続けることだ。いくら提案をしたくても、知識がなければ何もできない。
念のため申し上げておくが、裁判所に「私たちはITベンダーだが、この分野については知識がないので専門家ではない」といった言葉は通用しない。ITベンダーとして看板を掲げ、それなりの技術、知識を要する仕事を請け負う以上、裁判所は専門家として扱うからだ。
JP-CERTや各種セキュリティベンダーなどから日々情報を収集し、対策と共に組織内で共有する。セキュリティに関する発表や講演に積極的に参加する。組織内でセキュリティに関する勉強会を定期的に開催する――これらを行わないベンダーは、今日のような危険な時代を生き残れない。逆に、セキュリティ対策について一定の評価を受けるベンダーは、それ自体が売り上げの拡大に寄与することになる。そんな時代が、すぐそこに来ている。
- 保守ベンダーが調査してくれなかったから、不正アクセスされちゃったじゃないか!
- OSやミドルウェア由来の不具合まで、わが社のせいにしないでください
- DOS版をWindows用に書き換えただけで著作権を主張するとは、ちゃんちゃらおかしいわ!
- ReactJSで作るはずだったのに、Laravelで作ったので訴えます
- IT訴訟解説筆者が考える「セクシー田中さんドラマ化」問題と破綻プロジェクトの共通点――原因と再発防止案は?
- 開発が遅延した上に、メンバーの体調不良までわが社のせいにするのか!
- 仕様書通りにシステムを作りました。使えなくても知りません
- 何でスキル不足のエンジニアをアサインしたからって訴えられるんですか
- ベンダー社員過労死の遠因はユーザー企業にもあるのか
- この契約は、請負でも準委任でもありません
- ファイアウォールの設定を、すり抜け放題にしました☆
- 準委任契約だけど、責任は取ってください
- たった1日連絡しなかっただけで契約解除ってどういうことですか!?
- 契約書にも民法にも書かれていませんが、「義務」なので履行してください
- ソフトは転売していません。マニュアルを販売しただけです
- 「パワハラされてリストラされたので、転職サイトに書き込んでやりました」の追い解説
- お前とは絶交だ! 契約も解除してやる!
- 顧客も社員も奪われて、わしゃもう死んでしまいたい
- 入館拒否や帰宅命令までしないと安全配慮義務違反になるんですね
- 江里口美咲&細川義洋対談「ここがダメだよ、IT業界!」
- 業務をパッケージに合わせると言ったけど、めんどくさいからやっぱりやめた
- 取った資格は俺のもの、もらったお金も俺のもの
- パワハラされてリストラされたので、転職サイトに書き込んでやりました
- 同僚を引き連れて起業するなんて、この恩知らず!
- 基本設計書は納品前ですが、システム作っちゃいました
- 技術的に不可能でも、セキュリティ対策は万全にしろ!
- 業績の悪い社員を解雇して何が悪いんですか?
- 仕様は確認しないし、運用テストもしません 全部出来上がってから確認します
- 製造工程に入ってるけど、やっぱこの機能も追加してくださーい
- お任せしたのですから、契約の範囲外でも対応してください
- 従業員が作ったセキュリティホールの責任を会社が取るなんてナンセンスです
- 私が決めた要件通りにシステムを作ってもらいましたが、使えないので訴えます
- 悪いのはベンダー! 「わび状」という証拠もあります!
- 不合格通知をもらわなかったから、検収合格ですよね
- こんな裁量労働制は嫌だ!
- 何で仕様も教えてくれないんですか!
- こんなパッケージソフトいらない! だって使えないんだもん!
- 私のふんどしで相撲を取らないでください
- やった分はお金ください。納品してないけど
- 代金を支払わないからシステムを引き上げるなんて、どういう了見だ!
- 「お任せください」ってカンバンに書いてあるじゃないか!
- あるエンジニアの死
- 「退職するなら、2000万円払ってね」は、本当に会社だけが悪かったのか
- 似たようなデータベース作ったからって、泥棒よばわりするのやめてもらえません?
- あなたの能力も態度も信用できません
- 退職するなら、2000万円払ってね
- 派遣は工程表を作っちゃダメなんですか!?
- 最後の不具合が除去されるまで、働き続けてもらいます
- リバースエンジニアリングしたけど、もうけてないから問題ないでしょう?
- 運用保守契約は永遠です
細川義洋
東京地方裁判所 民事調停委員(IT事件担当) 兼 IT専門委員 東京高等裁判所 IT専門委員
NECソフトで金融業向け情報システムおよびネットワークシステムの開発・運用に従事した後、日本アイ・ビー・エムでシステム開発・運用の品質向上を中心に、多くのITベンダーおよびITユーザー企業に対するプロセス改善コンサルティング業務を行う。
2007年、世界的にも季少な存在であり、日本国内にも数十名しかいない、IT事件担当の民事調停委員に推薦され着任。現在に至るまで数多くのIT紛争事件の解決に寄与する。
書籍紹介
「IT専門調停委員」が教える モメないプロジェクト管理77の鉄則
細川義洋著 日本実業出版社 2160円(税込み)
提案見積り、要件定義、契約、プロジェクト体制、プロジェクト計画と管理、各種開発方式から保守に至るまで、PMが悩み、かつトラブルになりやすい77のトピックを厳選し、現実的なアドバイスを贈る。
細川義洋著 日本実業出版社 2160円(税込み)
約7割が失敗するといわれるコンピューターシステムの開発プロジェクト。その最悪の結末であるIT訴訟の事例を参考に、ベンダーvsユーザーのトラブル解決策を、IT案件専門の美人弁護士「塔子」が伝授する。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
日本年金機構の情報漏えい、本当に必要な再発防止策とは?
日本年金機構が標的型攻撃を受け、年金加入者の氏名や基礎年金番号といった個人情報、約125万件が漏えいしたことが明らかになった。たとえ攻撃を受けても、それを早期に検知し、大規模な情報流出に至らないよう被害を最小限に食い止める取り組みが必要だとセキュリティ専門家は指摘する
Word/Excelのパスワードによる保護では個人情報は守れません
日本年金機構の情報漏えい事件は、個人情報のずさんな管理や危機意識の低さなど、さまざまな問題を浮き彫りにしましたが、筆者が注目したのは“内規に違反してパスワードを設定していなかった”ということ。内規違反よりも“パスワードを設定すればよいという運用が問題でしょ”ってことに突っ込まないと
5分で絶対に分かる標的型攻撃
なりすましメールやドライブバイダウンロード、ゼロデイ攻撃や脆弱性……企業の情報を得るために、ありとあらゆる手法を利用する「標的型攻撃」を解説します
関連リンク
- 美人弁護士 有栖川塔子のIT事件簿 バックナンバー一覧
要件定義が固まっていない、途中で追加や変更が頻発して大混乱――開発プロジェクトで起こりがちなトラブル事例の対応法を、IT訴訟専門の美人弁護士「塔子」がビシビシと伝授します。