連載
» 2015年06月29日 05時00分 UPDATE

「訴えてやる!」の前に読む IT訴訟 徹底解説(17):情報漏えいは、ベンダーが作ったシステムのせい? (1/2)

東京高等裁判所 IT専門委員として数々のIT訴訟に携わってきた細川義洋氏が、IT訴訟事例を例にとり、トラブルの予防策と対処法を解説する本連載。今回は「情報が漏えいしたら、システムを作ったベンダーはどこまで責任を負うべきか」を、裁判例を基に解説する。

[ITプロセスコンサルタント 細川義洋,@IT]
title_itsosyo.jpg
「訴えてやる!」の前に読む IT訴訟 徹底解説

連載目次

 IT訴訟事例を例にとり、トラブルの予防策と対処法を解説する本連載。前回「下請けが現場をトンズラ。取り残された元請けの運命は? 」、前々回「作業は丸投げ、支払いは?――元請けvs.下請け裁判の行方」は、元請けと下請けとの間で争われた裁判を解説した。

 今回取り上げるテーマは「情報漏えい」。情報漏えい事件が起きてしまったら、漏えいに関与するシステムの開発や保守を担当しているITベンダーにはどのような責任が生じるのだろうか。

 日本年金機構から個人情報流出、東京商工会議所からの会員情報流出と、大きなセキュリティ侵害事件が続いている。こうした事件は情報を流出された個人はもちろんのこと、流出元である企業や、(情報流出の原因がシステムにあった場合)関与するシステムの開発や保守を担当したITベンダーにも有形無形の被害を及ぼす。

情報管理者は被害者であり、加害者でもある

 情報を管理する立場の組織(ユーザー、ベンダーを問わず)は、単なる被害者ではいられない。情報漏えいを起こした企業が、多額の慰謝料や見舞金、損害賠償を支払っていることからも分かる通り、情報を漏らされた個人からすれば、漏えいした組織は立派な加害者だ。裁判でも、情報漏えいを起こした企業を以下のように厳しく断罪している。

【事件の概要】大阪地裁 平成18年5月19日判決より抜粋して要約

 ある大手インターネット検索サービス会社(以下 サービス会社)が管理する顧客の個人情報(住所、氏名など)約450万人分が流出した。流出は、データベースの管理を委託した会社から派遣された者の不正アクセスによるものだったが、情報を漏えいされた複数の個人は、「漏えいはサービス会社の管理不全によるものだ」として、損害賠償を求め訴訟を提起した。

 大阪地裁は、サービス会社のユーザー名とパスワードの管理が極めて不十分であり、講ずべき注意義務を怠ったことは不法行為に当たる。との判決を下した(サービス会社の不法行為責任)

 情報を扱う組織がずさんなセキュリティ管理を行っていることは、「不法行為(※)」に当たるとの判断である。まさに「不作為は罪」というわけだ。

※ 不法行為(民法709条):故意または過失によって他人の権利または法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う

情報漏えい事件におけるベンダーの専門家責任

 上述した裁判は「個人対サービス会社」で争われたものなので、サービス会社、つまりユーザー組織が責任を負わされた。しかし、事件の責任を厳密に考えると、表面的に責任を負うユーザー組織の裏に、もう一つ責任を負うべき組織が存在する。情報流出を起こすようなシステムを作ってしまったITベンダーだ。

 両者の責任について判断した別の判例を見てみよう。本連載をご愛読いただいている方なら、結果は容易に想像が付くかもしれない。裁判所はセキュリティ事件でも、ベンダーの専門家責任を重く見る判決を出している

【事件の概要】東京地方裁判所 平成26年1月23日判決より抜粋して要約

 あるユーザー企業(以下 ユーザー)がベンダーにクレジットカード決済機能を持つWeb受注システムの開発を依頼した。ベンダーはこれを完成させ、システムは本稼働し、その後もユーザーとベンダーは毎年、システムの更新を行っていた。

 このシステムで使用するデータは、第三者であるレンタルサーバー業者の運営するサーバー上に保存されており、その中には顧客のクレジットカード情報(カード会社名、カード番号、有効期限、名義人、支払回数およびセキュリティコード)も含まれいたが、暗号化されていなかった。システムがSQLインジェクションによる攻撃を受け、クレジットカード情報、約6800件が流出した可能性がある。

 ご存じの方も多いと思うが、SQLインジェクションとは、Webで一般に公開された画面から、直接内部のデータベースを操作する攻撃手法だ。以前から広範に知られる攻撃で、昨今の技術者であれば、画面を開発する際に当然注意するべき事項である。


 ユーザーがSQLインジェクションについてどの程度の知識を持っていたかは不明だが、少なくとも対策を講じることを要件として定義していなかったようだ。しかし裁判では、「ユーザーから提示されなくても、専門的な知見を要する要件は、ベンダーが提案すべきである」という判決が下された。以下が、その要旨である。

東京地方裁判所 平成26年1月23日判決より抜粋して要約(続き)

  • ベンダーのSQLインジェクションへの対処は不十分だった
  • 本件契約において、ユーザーとベンダーは、その当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供することを黙示的に合意しており、ベンダーは当該個人情報の漏えいを防ぐために必要なセキュリティ対策を施したプログラムを提供すべき債務を負っていた

 ユーザーとベンダーが「その当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供することを黙示的に合意」している以上、ベンダーは必要なセキュリティ対策を講じるべきだったという判断だ。

 この判決はユーザーとベンダーの合意を前提としたが、他の判例を見ても、ベンダーは専門家としてシステムを安定的かつ安全に稼働させるために必要なことは提案しなければならないとする判断は多い。つまり、仮にユーザーとベンダーがこのような合意をしていなくても、ベンダーはセキュリティ対策を自発的に講じるべきと考えた方がいい。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。