ファイアウォールの設定を、すり抜け放題にしました☆：「訴えてやる！」の前に読む IT訴訟 徹底解説（109）（1/3 ページ）

移管と再構築を行ったデータセンターから大量の個人情報漏えいの可能性が発生した。損害賠償を求める発注者、セキュリティ機器の設定は契約外と主張するベンダー。契約書に書かれていない要件の不備は、どちらの責任になるのか――。

[ITプロセスコンサルタント 細川義洋，＠IT]

連載目次

システム化要件が書かれていない契約書

　情報システムの開発において、システムが具備すべき機能や特質を定義した「要件（あるいは要求もしくは仕様）」は、まさに契約の根幹であり、これによってITベンダーのなすべきこと（債務）や支払われるべき金額が決まるといってもいい。

　しかし一方で、システム開発契約書には要件をこまごまと記さず、単にシステム開発を委託する旨だけが記される場合も多い。要件定義書を契約書の別紙と位置付けることにより、各機能や特質の実現を契約上の債務と位置付けることも契約技術的には可能ではある。

　しかし、実際の開発においては契約締結後に要件が変更されることがむしろ日常茶飯事である。また、ベンダーの契約担当と開発担当が異なることも多いことから、契約書と要件定義書の結び付きは必ずしも保証されない。

　また開発の担当者は自身がどのような契約に基づいて作業をしているのか関知せず、契約の担当者は契約事務が終了すれば取りあえず自分の仕事は終わったと考えるのがむしろ常態ではあるまいか。

　このようにシステム開発の契約書は、必ずしもシステムの要件を正しく表したものではないことが多い。

　ところが、開発中にユーザー企業とベンダー間で、実現すべき要件やベンダーの作業についての行き違いが生じると、契約書と要件定義書のズレが問題となる。ある機能が「要件としては定められているが、契約には定められていない」といったようなとき、ベンダーの責任はどこまであるのだろうか。

　ユーザー企業からすれば当然、要件に書かれたことは全てベンダーの責任で実現すべきと考えたいところだが、ベンダーは契約書に書かれていることだけが自身の債務であり、たとえ要件が全て実現されないことによって何らかの問題が発生しても、自分たちに契約上の責任はないと主張できる。

　今回は、契約と要件の解釈が問題になった裁判の例を紹介する。客観的に見れば、要件を実現せずに、自身の仕事は完成したと主張するベンダーは随分と都合が良いようにも思えるが、契約の基本はあくまで契約書にある。そこに書かれていないことは、ベンダーの債務ではないという考えも正論のようには思える。