IT訴訟解説：セキュリティインシデントに際し、保守ベンダーが責任を問われた裁判「保守ベンダーが調査してくれなかったから、不正アクセスされちゃったじゃないか！」

　IT訴訟事例を例にとり、システム開発にまつわるトラブルの予防策と対処法を解説する本連載。今回は2023年9月25日掲載の「ファイアウォールの設定を、すり抜け放題にしました」と同じ、前橋地方裁判所令和5年2月17日判決を取り上げる。

【その他の画像】

　同記事では、ユーザーが要件として定義しなかったファイアウォールの設定をITベンダーがすべきであったのかどうかが争われ、「設定を怠ったがために発生した損害をITベンダーが賠償すべき」との判断が下されたことを解説した。

　この判決には他にも多くの争点が含まれている。今回は保守、運用を請け負ったITベンダーの責任について考えてみたい。このシステムの保守は開発したITベンダーがそのまま請け負ったため区別しにくいのだが、おのおの別の契約と考えた場合、開発したベンダーと同じようなセキュリティ上の責任を保守ベンダーも負うべきなのか――もう少し具体的に述べると、開発ベンダーが作り込んだセキュリティ上の問題を知っていた保守ベンダーは修補する責任があるのかどうかという点が争われた。

　契約的には開発ベンダーの責任を保守ベンダーが負うのは酷ともいえるが、セキュリティ上の不備に気付きながら何もしないというのも、ITの専門家としての責任を放棄しているようにも思える。その当たりを裁判所はどう判断したのだろうか。

●保守ベンダーのセキュリティ責任が問われた裁判

　まずは概要をご覧いただきたい。

---

前橋地方裁判所 令和5年2月17日判決より

ある公共団体が自ら保有するデータセンターの移管と再構築を企図して、ITベンダーにこれを委託する契約を締結し、ITベンダーは開発契約に基づいてこれを実施したが、稼働後、システムに不正アクセスがあり、多数の個人情報が漏えいした可能性があることが分かった。調査の結果、システムにはファイアウォール設定などセキュリティ上の不備があることが分かった。

公共団体は、稼働後に保守を請け負ったITベンダーがセキュリティ上必要な修正を行わず、また他県における同様なシステムに不正アクセスがあったにもかかわらず調査を行わなかったこと、更に公共団体側からのセキュリティ上の問い合わせにも答えなかったことが不正アクセスの原因になったとし、このことが保守契約上の債務不履行に当たるとして損害賠償を請求した。

出典：West law Japan 文献番号 2023WLJPCA02176003

---

●セキュリティの不備を知った保守ベンダーの責任

　本件は、同じ判決文において開発契約上の債務不履行がITベンダーにあったことが認められている。今回は、保守契約でもITベンダーに責任があったかどうかという点を考える。

　前述の記事にも記した通り、「開発においては、例え契約に明記がなくとも、情報システムの専門家である開発ベンダーには必要なセキュリティ措置を講じる義務と専門家責任がある」との判断があった。こうしたベンダーの専門家責任については、本連載で再三再四取り上げてきた。

　では保守契約では、どうであろうか。

　判決文を読む限り、少なくとも保守契約書には「システムが潜在的に抱えていたセキュリティ上の不備に保守ベンダーが対応する」という条項はなかったようである。だが、現実的に、セキュリティ対策として各種設定を変えたりコードを修正したりすること、それ以前に、そもそも対処の必要がある脅威に気付くことができるのは保守ベンダーだけという場合がある。

　餅は餅屋という考えに基づけば、保守ベンダーにセキュリティなどの責任を負ってもらわないとシステムは安定稼働しないのだから、契約に明記がなくても義務は発生するものだという考えがある。

　一方で、システムのセキュリティ上の脅威に一義的な責任を負うのは開発契約に基づくものであり、保守契約に基づくものではないという考え方もある。本件は開発と保守が同じベンダーだったが、仮に異なるベンダーであるなら、開発によって埋め込まれたセキュリティ上のリスクを保守ベンダーが契約もなしに負うのは不自然に思える。

　前者はどちらかといえば現実論、後者は契約論といえるが、裁判所はどのような判断を下したのだろうか。続きを見てみよう。

---

前橋地方裁判所 令和5年2月17日判決より（つづき）

本件保守契約や保守手引書の内容を見ても、（セキュリティ上必要な）修正が本件保守契約の対象となっているものか否かについては判然としないといわざるを得ないから、ITベンダーに債務不履行、または注意義務違反があると直ちには認められないし、

（中略）

公共団体において、ITベンダーが、他県での教育情報システムへの不正アクセスによる個人情報漏えい事件に関連して、原告市教委から問い合わせを受けたにもかかわらず、システムの確認を怠ったと主張する点については、（中略）具体的にどのような連絡をしたのかは判然としない。

（中略）

さらに（中略）別の通信制限の不備を指摘されたにもかかわらず、必要な措置を講じなかったと主張する点についても、（中略）原告が被告に対して具体的にどのような連絡をしたのかは判然としない（後略）。

---

　裁判所は、ITベンダーに債務不履行、または注意義務違反があるとは認められないと判断した。

●保守契約に明記のないセキュリティ対処は義務にならない

　一つの教訓として、セキュリティに限らず、「ユーザーが保守ベンダーに依頼や指示をするには、その前提となる契約が必要であり、また記録として残る文書に指示内容を具体的に記しておくべき」ということだろう。

　もう一ついえることは、ベンダーは「保守」という契約の範囲においては、対象システムに潜在するセキュリティ上の不備に対応する義務を“当然には”負っていないということだ。

　“当然には”とは「契約書に明記されていなくとも」の意味合いだ。同じ判決文の中で、「開発ベンダーは仮に契約書に明記がなくとも、情報システムの専門家としてセキュリティに関する必要な措置をとらなくてはならない」と述べられていた。

　一方で、保守契約となると「システムにセキュリティ上の不備があっても、その対応が契約上の義務ではなく、明確な指示がユーザーからなければ、対応する義務まではない」としている。

　これは、開発と保守が別々のベンダーの場合を想定してみれば分かりやすい。確かに、開発ベンダーが作り込んだセキュリティ上の不備について保守ベンダーは責任を取り切れない。本件では開発と保守を同じベンダーが請け負っているが、セキュリティ上の不備への対応は原始的には開発契約の範囲内であって、保守契約で対応してもらうには、その旨を契約書に記し、明確に指示すべきということになるだろう。

　「最近、マルウェアの被害が増大している。わが社は大丈夫なのか調査して、必要なら対応してほしい」「同じソフトウェアを使っている他社のシステムに脆弱（ぜいじゃく）性があると分かったので、わが社のシステムにも対応が必要」――これらは、契約書と明確な指示があって初めてやることということになる。

●ベンダーにも注意が必要

　ここまではユーザーへの注意喚起だが、実際の現場を考えると、ベンダーにも十分な注意が必要だ。

　まず、いくらこのような判決があったとしても、保守対象となるシステムにセキュリティ上の危険があると気付いたとき、あるいは指摘されたときに、「契約書にない」「指示が明確でない」と対処を断ることは、顧客満足度の面から見て現実的ではない。

　一方で、言われたことは何でもするという姿勢ではベンダーに過度な負担と責任が降りかかることにもなる。ましてセキュリティ上の対処に何らかの不備があり、システムの停止などの被害が発生すれば、損害賠償の対象にもなりかねない。

　保守を請け負う場合には、対象システムが潜在的に抱えるセキュリティ上の不備が判明した際、あるいは開発時にはなかった新たな脅威が発生した際の対処を契約で明らかにしておくべきだろう。

　事象の発生や、その危険を感知した場合の調査や初動と対応、連絡体制、意思決定などを通常の保守作業とは別に定めておく必要があるのではないか。こうしたことを明記した契約条項を私はあまり見たことがないが、皆さんの会社の契約ではどうだろうか。一度確認して、必要であれば付け加えることをお勧めする。

●細川義洋

ITプロセスコンサルタント。元・政府CIO補佐官、東京地方裁判所民事調停委員・IT専門委員、東京高等裁判所IT専門委員NECソフト（現NECソリューションイノベータ）にて金融機関の勘定系システム開発など多くのITプロジェクトに携わる。その後、日本アイ・ビー・エムにて、システム開発・運用の品質向上を中心に、多くのITベンダーと発注者企業に対するプロセス改善とプロジェクトマネジメントのコンサルティング業務を担当。独立後は、プロセス改善やIT紛争の防止に向けたコンサルティングを行う一方、ITトラブルが法的紛争となった事件の和解調停や裁判の補助を担当する。これまでかかわったプロジェクトは70以上。調停委員時代、トラブルを裁判に発展させず解決に導いた確率は9割を超える。システム開発に潜む地雷を知り尽くした「トラブル解決請負人」。2016年より政府CIO補佐官に抜てきされ、政府系機関システムのアドバイザー業務に携わった