お任せしたのですから、契約の範囲外でも対応してください:「訴えてやる!」の前に読む IT訴訟 徹底解説(90)(2/2 ページ)
ユーザーが持ち込んだソフトウェアにセキュリティの不備があった。「知らんがな」と言いたいところだが、訴えられてしまったら仕方がない。戦いましょう!
「契約になければ責任はない」が法律上の判断
東京地方裁判所 令和2年10月13日判決から(つづき)
ベンダーは(中略)クレジットカード決済機能を「導入」するものとされ、同機能を開発し、又は同機能を提供するプログラムを製作するものとはされていなかった。
(中略)
本件決済モジュールを用いてクレジットカード決済を行った場合、本件決済ログにクレジットカード情報が保存される実装になっていたことは、本件情報漏えいの判明後に発覚したもので、被告が原告に本件サイトを引き渡すまでの間に、当該不具合の存在が公になっていたものではない。
(中略)
本件決済モジュールのソースコードや、同モジュールが生成するログを調査し、同モジュールがセキュリティ脆弱(ぜいじゃく)性を有しないか、異常処理を生じさせないかといった点を確認する義務を負うとの合意をしていたことを認めることはできない。
裁判所の判断は、サイト運営者との契約に基づいて第三者から提供されたソフトウェアの改修は、「締結当時の技術水準に沿ったセキュリティ対策を施したソフトウェアを提供する義務」とまではいえず、契約の範囲外というものだった。
確かに、契約論としては正論である。この裁判には他にも争点はあったが、それらも含めてサイト運営者の訴えはことごとく退けられた。
改めて考えると、サイト運営者が訴えるべき相手は、本当にこのベンダーだったのだろうか。もし決済モジュールを提供した会社の方であったなら、結果は多少違ったかもしれないとも思う。
ただ、それはあくまで、裁判に勝つか負けるかという視点での話だ。結局、サイト運営者が多額の費用を費やし、ベンダーも契約に沿った仕事をしたにもかかわらず、情報漏えいが発生したのだ。情報漏えいを起こさないためには、あるいは漏えいへの対応をベンダーがきちんと行って顧客満足度を向上させるには、どうしたらよかったのだろうか。
守備範囲外でも拾いにいけばメリットも
まずベンダーは、たとえ顧客が契約して持ち込んだソフトウェアであっても、その品質やセキュリティについて十分に検証することだ。
それを自身の作業として見積もりに入れてもいい。無論、他人が作ったソフトウェアの全てを保証することはできないが、一般的なセキュリティのチェック、正常系動作の性能や機能についての一通りのチェックは行い、そこで見つからない問題については、責任を負わないという契約を結んだ方が、後々安全であるし、顧客の期待を超える価値を提供できるかもしれない。
本件においても、運営サイトは、そういうことまでするのがプロとしての仕事ではなかったかと訴えている。裁判ではあくまで契約外であると退けてしまったが、実際のプロジェクトでは、誰かがやらなければいけない作業だ。
このベンダーは、「提供されたソースコードを調べ上げることなど、労力的に見て現実的ではない」と述べているが、これも恐らく裁判上の言葉であろう。ソースを解析などしなくても、トランザクションログにクレジットカード情報が書き込まれることなど、テストをしてみればすぐに分かる。そして、それを自分たちで修正するか、開発元に対応を依頼するかを発注者に提言するのは、それほど難しいことではないように思う。この事件のベンダーは、その辺りが少しドライ過ぎたのではあるまいか。
確かに、裁判はベンダーが勝った。しかし、ITのプロではないサイト運営者に、それほどの責任があったとは私は思っていない。契約そのものに一種の抜けがあったのだ。そこを埋めて、有償であっても品質や安全性を向上させることをやっておけば、ベンダーにもメリットの大きな仕事になったのではないかと思う。
このベンダーには良いシステムに対する「貪欲さ」が、欠けていたのではないだろうか。
細川義洋
政府CIO補佐官。ITプロセスコンサルタント。元・東京地方裁判所民事調停委員・IT専門委員、東京高等裁判所IT専門委員
NECソフト(現NECソリューションイノベータ)にて金融機関の勘定系システム開発など多くのITプロジェクトに携わる。その後、日本アイ・ビー・エムにて、システム開発・運用の品質向上を中心に、多くのITベンダーと発注者企業に対するプロセス改善とプロジェクトマネジメントのコンサルティング業務を担当。
独立後は、プロセス改善やIT紛争の防止に向けたコンサルティングを行う一方、ITトラブルが法的紛争となった事件の和解調停や裁判の補助を担当する。これまでかかわったプロジェクトは70以上。調停委員時代、トラブルを裁判に発展させず解決に導いた確率は9割を超える。システム開発に潜む地雷を知り尽くした「トラブル解決請負人」。
2016年より政府CIO補佐官に抜てきされ、政府系機関システムのアドバイザー業務に携わる
書籍紹介
本連載が書籍になりました!
成功するシステム開発は裁判に学べ!〜契約・要件定義・検収・下請け・著作権・情報漏えいで失敗しないためのハンドブック
細川義洋著 技術評論社 2138円(税込み)
本連載、待望の書籍化。IT訴訟の専門家が難しい判例を分かりやすく読み解き、契約、要件定義、検収から、下請け、著作権、情報漏えいまで、トラブルのポイントやプロジェクト成功への実践ノウハウを丁寧に解説する。
細川義洋著 ダイヤモンド社 2138円(税込み)
システム開発に潜む地雷を知り尽くした「トラブル解決請負人」が、大小70以上のトラブルプロジェクトを解決に導いた経験を総動員し、失敗の本質と原因を網羅した7つのストーリーから成功のポイントを導き出す。
プロジェクトの失敗はだれのせい? 紛争解決特別法務室“トッポ―"中林麻衣の事件簿
細川義洋著 技術評論社 1814円(税込み)
紛争の処理を担う特別法務部、通称「トッポ―」の部員である中林麻衣が数多くの問題に当たる中で目の当たりにするプロジェクト失敗の本質、そして成功の極意とは?
「IT専門調停委員」が教える モメないプロジェクト管理77の鉄則
細川義洋著 日本実業出版社 2160円(税込み)
提案見積もり、要件定義、契約、プロジェクト体制、プロジェクト計画と管理、各種開発方式から保守に至るまで、PMが悩み、かつトラブルになりやすい77のトピックを厳選し、現実的なアドバイスを贈る。
細川義洋著 日本実業出版社 2160円(税込み)
約7割が失敗するといわれるコンピュータシステムの開発プロジェクト。その最悪の結末であるIT訴訟の事例を参考に、ベンダーvsユーザーのトラブル解決策を、IT案件専門の美人弁護士「塔子」が伝授する。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
サーバ事業者さん。契約は結んでいませんが、あなたを訴えます
クラウドサービスベンダーに預けたプログラムが、HDDの故障で消失した。「さあ、訴えてやる!」。でも、誰を?――IT訴訟事例を例にとり、システム開発にまつわるトラブルの予防と対策法を解説する人気連載。今回は「クラウド上のデータの責任の所在」を考える
それでも最善を尽くす、それがベンダーの仕事だ――「旭川医大の惨劇」解説その3
ユーザーが出し続けた1000を超える追加要件にベンダーが対応仕切れずプロジェクトが破綻した「旭川医大vs.NTT東日本 病院情報管理システム導入頓挫事件」。病院という「特殊な」ユーザー相手に、ベンダーはどうすべきだったのか――細川義洋氏による同事件のポイント解説、第3弾は「特殊なユーザー」のプロジェクトを成功に導くための方法と考え方を指南する
真夏のホラー、召し上がれ――全エンジニアが震え上がる阿鼻叫喚の生き地獄 IT訴訟解説連載、初のebook化
人気過去連載を電子書籍化して無料ダウンロード提供する@IT eBookシリーズ。第55弾は@ITイチの人気連載「IT訴訟 徹底解説」です
これは、もう「無理ゲー」じゃない?――IT訴訟解説ebook、好評にお応えして早くもパート2 どーん!
人気過去連載を電子書籍化して無料ダウンロード提供する@IT eBookシリーズ。第59弾はみんな大好き「IT訴訟解説」のパート2です
IT訴訟例で学ぶベンダー残酷物語の実態と回避策
人気過去連載を電子書籍化して無料ダウンロード提供する@IT eBookシリーズ。「IT訴訟解説」のパート3は、ベンダーいじめ系特盛です