保守ベンダーが調査してくれなかったから、不正アクセスされちゃったじゃないか!:「訴えてやる!」の前に読む IT訴訟 徹底解説(119)(1/3 ページ)
ある公共団体のデータセンターに不正アクセスがあり、多数の個人情報が漏えいした可能性があることが分かった。他県で似たような事例があったのに調査してくれなかった保守ベンダーに、公共団体は激おこぷんぷん丸だ。
IT訴訟事例を例にとり、システム開発にまつわるトラブルの予防策と対処法を解説する本連載。今回は2023年9月25日掲載の「ファイアウォールの設定を、すり抜け放題にしました」と同じ、前橋地方裁判所令和5年2月17日判決を取り上げる。
同記事では、ユーザーが要件として定義しなかったファイアウォールの設定をITベンダーがすべきであったのかどうかが争われ、「設定を怠ったがために発生した損害をITベンダーが賠償すべき」との判断が下されたことを解説した。
この判決には他にも多くの争点が含まれている。今回は保守、運用を請け負ったITベンダーの責任について考えてみたい。このシステムの保守は開発したITベンダーがそのまま請け負ったため区別しにくいのだが、おのおの別の契約と考えた場合、開発したベンダーと同じようなセキュリティ上の責任を保守ベンダーも負うべきなのか――もう少し具体的に述べると、開発ベンダーが作り込んだセキュリティ上の問題を知っていた保守ベンダーは修補する責任があるのかどうかという点が争われた。
契約的には開発ベンダーの責任を保守ベンダーが負うのは酷ともいえるが、セキュリティ上の不備に気付きながら何もしないというのも、ITの専門家としての責任を放棄しているようにも思える。その当たりを裁判所はどう判断したのだろうか。
保守ベンダーのセキュリティ責任が問われた裁判
まずは概要をご覧いただきたい。
前橋地方裁判所 令和5年2月17日判決より
ある公共団体が自ら保有するデータセンターの移管と再構築を企図して、ITベンダーにこれを委託する契約を締結し、ITベンダーは開発契約に基づいてこれを実施したが、稼働後、システムに不正アクセスがあり、多数の個人情報が漏えいした可能性があることが分かった。調査の結果、システムにはファイアウォール設定などセキュリティ上の不備があることが分かった。
公共団体は、稼働後に保守を請け負ったITベンダーがセキュリティ上必要な修正を行わず、また他県における同様なシステムに不正アクセスがあったにもかかわらず調査を行わなかったこと、更に公共団体側からのセキュリティ上の問い合わせにも答えなかったことが不正アクセスの原因になったとし、このことが保守契約上の債務不履行に当たるとして損害賠償を請求した。
出典:West law Japan 文献番号 2023WLJPCA02176003
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ファイアウォールの設定を、すり抜け放題にしました☆
移管と再構築を行ったデータセンターから大量の個人情報漏えいの可能性が発生した。損害賠償を求める発注者、セキュリティ機器の設定は契約外と主張するベンダー。契約書に書かれていない要件の不備は、どちらの責任になるのか――。
ユーザーの「無知」は罪なのか?――IT訴訟解説 ベンダーvs.ユーザー企業 死闘編
ユーザー企業から提供されたデータに多数の不整合があり、システムの納期が大幅に遅れた。遅延の原因はベンダー、ユーザー企業のどちらにあるのか――。人気過去連載を電子書籍化して無料ダウンロード提供する@IT eBookシリーズ。第124弾は「IT訴訟解説」のパート6をお贈りする
全ベンダーが泣いた!――改正民法のIT業界への影響を徹底解説
人気過去連載を電子書籍化して無料ダウンロード提供する@IT eBookシリーズ。「IT訴訟解説」のパート4は、120年ぶりの改正民法がIT業界にどのような影響を与えるのかを、徹底的に、徹底的に、徹底的に解説する
真夏のホラー、召し上がれ――全エンジニアが震え上がる阿鼻叫喚の生き地獄 IT訴訟解説連載、初のebook化
人気過去連載を電子書籍化して無料ダウンロード提供する@IT eBookシリーズ。第55弾は@ITイチの人気連載「IT訴訟 徹底解説」です
これは、もう「無理ゲー」じゃない?――IT訴訟解説ebook、好評にお応えして早くもパート2 どーん!
人気過去連載を電子書籍化して無料ダウンロード提供する@IT eBookシリーズ。第59弾はみんな大好き「IT訴訟解説」のパート2です
IT訴訟例で学ぶベンダー残酷物語の実態と回避策
人気過去連載を電子書籍化して無料ダウンロード提供する@IT eBookシリーズ。「IT訴訟解説」のパート3は、ベンダーいじめ系特盛です