連載
» 2015年06月29日 05時00分 公開

「訴えてやる!」の前に読む IT訴訟 徹底解説(17):情報漏えいは、ベンダーが作ったシステムのせい? (2/2)

[ITプロセスコンサルタント 細川義洋,@IT]
前のページへ 1|2       

たとえ却下されようとも、言うべきことは言わねばならない

 しかし、ベンダーがいくら専門家責任を発揮してさまざまなセキュリティ提案を行っても、ユーザー側が受け入れてくれない場合もかなりある。特に要件定義後に必要性に気付いたセキュリティ対策は、プロジェクトのスケジュールやコストを悪化させることもある。そのため提案が受け入れられないことが多く、下手すれば詐欺師呼ばわりされることすらある。

 しかし、それでもベンダーは提案すべきである。この判決は、後半でこうも述べている。

東京地方裁判所 平成26年1月23日判決より抜粋して要約(続き)

 ユーザーは、セキュリティ上は顧客のクレジットカード情報をデータベースに保持しない方が良いことを認識し、ベンダーから改修の提案を受けていながら、何ら対策を講じずにこれを放置した(これはユーザー側の責任である)。

 たとえ採用されなくても、「提案」していれば、責任はユーザー側に移る。この判決ではこれによって、ベンダー側の責任が3割ほど減じられた。個人情報漏えいの損害賠償額は、数億、数十億に上る場合がある。その金額をユーザーとベンダーのどちらが負うべきか考えると、この判決の考え方は非常に参考になる。

 提案すべきことは、追加費用が発生しようと、本稼働時期が遅れようと、臆せずに提案しなければならない。一時的には、ユーザーの不興を買うことがあっても、実際に情報漏えいが起きてしまった後の責任を考えれば安い物だ。

日々是学習

 ベンダーにとって大切なことは、常日ごろから最新のセキュリティ情報とその対策を勉強し続けることだ。いくら提案をしたくても、知識がなければ何もできない。

 念のため申し上げておくが、裁判所に「私たちはITベンダーだが、この分野については知識がないので専門家ではない」といった言葉は通用しない。ITベンダーとして看板を掲げ、それなりの技術、知識を要する仕事を請け負う以上、裁判所は専門家として扱うからだ。

 JP-CERTや各種セキュリティベンダーなどから日々情報を収集し、対策と共に組織内で共有する。セキュリティに関する発表や講演に積極的に参加する。組織内でセキュリティに関する勉強会を定期的に開催する――これらを行わないベンダーは、今日のような危険な時代を生き残れない。逆に、セキュリティ対策について一定の評価を受けるベンダーは、それ自体が売り上げの拡大に寄与することになる。そんな時代が、すぐそこに来ている。

「「訴えてやる!」の前に読む IT訴訟 徹底解説」バックナンバー

細川義洋

細川義洋

東京地方裁判所 民事調停委員(IT事件担当) 兼 IT専門委員 東京高等裁判所 IT専門委員

NECソフトで金融業向け情報システムおよびネットワークシステムの開発・運用に従事した後、日本アイ・ビー・エムでシステム開発・運用の品質向上を中心に、多くのITベンダーおよびITユーザー企業に対するプロセス改善コンサルティング業務を行う。

2007年、世界的にも季少な存在であり、日本国内にも数十名しかいない、IT事件担当の民事調停委員に推薦され着任。現在に至るまで数多くのIT紛争事件の解決に寄与する。


ITmedia オルタナティブブログ「IT紛争のあれこれ」

美人弁護士 有栖川塔子のIT事件簿

書籍紹介

モメないプロジェクト管理77の鉄則

「IT専門調停委員」が教える モメないプロジェクト管理77の鉄則

細川義洋著 日本実業出版社 2160円(税込み)

提案見積り、要件定義、契約、プロジェクト体制、プロジェクト計画と管理、各種開発方式から保守に至るまで、PMが悩み、かつトラブルになりやすい77のトピックを厳選し、現実的なアドバイスを贈る。


なぜ、システム開発は必ずモメるのか?

細川義洋著 日本実業出版社 2160円(税込み)

約7割が失敗するといわれるコンピューターシステムの開発プロジェクト。その最悪の結末であるIT訴訟の事例を参考に、ベンダーvsユーザーのトラブル解決策を、IT案件専門の美人弁護士「塔子」が伝授する。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。