技術的に不可能でも、セキュリティ対策は万全にしろ！：「訴えてやる！」の前に読む IT訴訟徹底解説（94）（3/3 ページ）

業者がイーサリアムの売買を停止したから3500万円損をした。「NEMが流出したから」だなんて言い訳は許さん！

[ITプロセスコンサルタント細川義洋，＠IT] PC用表示関連情報

LINE

Hatena

前のページへ | 　　　　　　

善管注意義務の限度

　以前にも、ITやインターネットのセキュリティについて、情報を管理する者や管理するシステムを構築・運用・管理を行うベンダーなどがどこまで責任を負うのか紹介したことがある。

　情報管理に携わる者は、特に顧客に約束をしなくとも、その時点で世に知られたセキュリティ対策を行う義務は当然にある。SQLインジェクションやXSS（クロスサイトスクリプティング）といった専門家なら当然に知っているべき脅威への対策は、たとえシステムの要件定義書に記していなくても開発ベンダーは施しておくべきだ。裏を返せば、情報を管理する会社であるユーザー企業も、顧客に対して同様の責任があり、ベンダーにそうした対策をさせる責任があるとも解せられる。

　この判決は、同じ意味合いのことを逆の立場から判断している。つまり、その時点ではまだ技術的な問題で対策が採用できないのであれば、情報を預かる者を善管注意義務違反に問うまではできないということだ。責任を負うべきは暗号資産を流出させた「犯人」であり、情報を守る立場の会社に対策の限界があっても致し方ないという考え方であろう。

　本件は、情報を預かる者（企業や団体など）がどこまでセキュリティ対策を行う義務があるのか、一定の示唆を与えるものとも考えられる。判断の分かれ目となったポイントを考えてみよう。

学び続ける責任

　今回、被告である取扱業者Yが「善良なる管理者の注意義務違反」には当たらないと判断されたのは、NEMにその時点の技術レベルでは対策が行えない部分があることを「説明した」点にあり、「説明できた」点にある。

　この説明を行うためには、暗号資産に関する脅威がどの程度あり、その対策がどこまで可能であるかを理解した上で、取り得る対策は取り、それを超えるものはリスクや今後の課題として捉えていることが必要である。

　判決文から全ては把握できないが、取扱業者YはコールドウォレットやマルチシグネチャがNEMでは対策しきれないことを把握した上で、その時点でも取り得るそれ以外のセキュリティ対策は取っていたと推定される。

　つまり、セキュリティの動向や技術について、一定程度学習し、知識の更新を行っていたことが伺われる。こうした態度は、暗号資産にかかわらず、機微な情報を預かる企業やシステムを構築するITベンダーに常時求められる姿である。

　それにはセキュリティに関する情報収集と分析、教育や監査などさまざまな活動が必要で、時間もコストも労力もかかる。しかし、ITセキュリティが企業の存続さえ左右する重要事項であることは昔から全く変わらないし、これからも同様であろう。DXが叫ばれ、企業活動や個人の生活が急激にIT化に振れるいまの時代、ITセキュリティは、全ての人や団体にとって「必須科目」となりつつあるだろう。

細川義洋

ITプロセスコンサルタント。元・政府CIO補佐官、東京地方裁判所民事調停委員・IT専門委員、東京高等裁判所IT専門委員

NECソフト（現NECソリューションイノベータ）にて金融機関の勘定系システム開発など多くのITプロジェクトに携わる。その後、日本アイ・ビー・エムにて、システム開発・運用の品質向上を中心に、多くのITベンダーと発注者企業に対するプロセス改善とプロジェクトマネジメントのコンサルティング業務を担当。

独立後は、プロセス改善やIT紛争の防止に向けたコンサルティングを行う一方、ITトラブルが法的紛争となった事件の和解調停や裁判の補助を担当する。これまでかかわったプロジェクトは70以上。調停委員時代、トラブルを裁判に発展させず解決に導いた確率は9割を超える。システム開発に潜む地雷を知り尽くした「トラブル解決請負人」。

2016年より政府CIO補佐官に抜てきされ、政府系機関システムのアドバイザー業務に携わった

個人サイト：ITプロセス改善と紛争解決