お任せしたのですから、契約の範囲外でも対応してください：「訴えてやる！」の前に読む IT訴訟 徹底解説（90）（1/2 ページ）

ユーザーが持ち込んだソフトウェアにセキュリティの不備があった。「知らんがな」と言いたいところだが、訴えられてしまったら仕方がない。戦いましょう！

[ITプロセスコンサルタント 細川義洋，＠IT]

連載目次

　ソフトウェアの開発契約には時々、ポテンヒットのような抜け漏れがある。発注者と受注者の役割分担を考える際に一通りの作業を網羅したのに、データ移行やテストデータの作成などをどちらが行うのか判然とせずにもめてしまい、結果、紛争にまでなってしまう例が実は珍しくない。

　今回取り上げるのも、セキュリティに関するポテンヒットの例だ。発注者が第三者と契約をして提供を受けたソフトウェアにセキュリティ上の不備があった。受注者はその設定とインストールを請け負ってはいたが、当然、ソフトウェアそのものの品質やセキュリティには責任がない。

　ところが、それを含めたシステム全体は受注者の責任で構築されるものであり、発注者がITの素人であることを考えると、セキュリティの不備への対応は現実的に受注者しかできない。そんな中で発生した情報漏えいの責任を裁判所がどのように考えるのか、そして、そこからベンダーが学ぶべきことはどんなことなのだろうか。

受注者と発注者の間のポテンヒット

　まずは事件の概要から見ていただきたい。

東京地方裁判所 令和2年10月13日判決から

額縁の製造、販売や画材などの販売を行う企業（以下、サイト運営者）が、自らが運営するECサイトの製作と保守をITベンダーに発注し、ベンダーがこの構築を行ったところ、このサイトに第三者が侵入して顧客のクレジットカード情報、最大約6500件が流出した可能性があることが判明した。

これについてサイト運営者は、この情報流出は、このサイトの運営に使用する代金の決済モジュールが、クレジットカード情報を内包するトランザクションログをサーバ内に保存する仕組みであることなど、セキュリティ上の義務を怠ったために発生した事象であり、その責任はサイトを構築したベンダーにあるとして損害賠償を求めたが、ベンダーがこれに応じなかったために裁判となった。

尚、問題となった決済サービスモジュールは、サイト運営者と決済サービスの契約を結んだ決済代行企業から提供されたもので、ベンダーは、このモジュールのインストール、設定を請け負っていた。トランザクションログの保存に関しては、このモジュールの仕様ではあったが、本モジュールはソースコードも公開されており、一般的なソフトウェア技術者であれば更新可能なものだった。

契約にはないが、ベンダーにしかできなかった仕事

　概要だけを見ると、サイト運営者が持ち込んだソフトウェアの不備を、インストールを請け負っただけのベンダーの責任として押し付けているようにも見える。

　ただ、このソフトウェアの利用についてはサイト運営者とベンダーの間で相談も行われていたし、契約においては、「締結当時の技術水準に沿ったセキュリティ対策を施したソフトウェアを提供する義務」がベンダーの義務としてうたわれていた。ベンダーはサイト全体の構築を請け負っており、そこに部品として組み込まれるモジュールについてセキュリティ上の問題があるなら、それを検出し、たとえサイト運営者が契約した後であっても、その修正を自ら行うか、モジュール提供者に依頼することはできたかもしれない（実際、モジュールの修正は技術的にも契約的にも問題なくできるものではあった）。そう考えると、ベンダーが専門家として十分な義務を果たしていないというサイト運営者の論にも一理あるかもしれない。

　しかしベンダーにしてみれば、自分たちが持ち込んだソフトウェアモジュールでもないものを修正することは契約範囲外であるし、修正によって何らかの新しい不具合が生まれる可能性もある。こちらの考え方も、ある意味立派な正論である。契約の範囲と専門家としての責任の対立。裁判所はどのように結論付けたのだろうか。