関係者が増え、複雑化するシステム開発の現場
昨今、システムの導入においてクラウドサービスやソフトウェアの利用が主流となり、プロジェクトに関わる人物の数も増えてきました。昔であれば、発注者であるユーザーと、プログラム開発を担当するシステムエンジニアやプログラマー、それにハードウェアを提供するハードウェアベンダーなどが、それぞれ責任を分担をして取り組んでいました。
それぞれの責任も、要件の不備ならユーザー、ソフトウェアの欠陥ならシステムエンジニア、プログラマー、機械の故障ならハードウェアベンダーというように、責任の所在がはっきりしていました。しかし今は、それらステークホルダーに加えて、クラウドベンダーやパッケージソフトウェアベンダーがそれぞれ複数社参加する場合もあります。そして何かの不具合が発生した場合、その責任を技術面、契約面、法律面等で切り分けるのが非常に複雑になってきています。
関与していないプログラム、責任は誰が取るのか?
今回紹介するのも、電子商取引サイト(以下、ECサイト)の構築を依頼した企業(以下、原告企業)がサイトにセキュリティ上の不備があるとしてITベンダー(以下、被告ITベンダー)を訴えた事例なのですが、実際にセキュリティ上の不備を含んでいたのは、被告ITベンダー自身が開発していないプログラムでした。
では、この責任は誰が取るのでしょうか。セキュリティ上の不備と言いましたが、使い方次第で、問題にはならないとも言える仕様でした。これを開発した企業(以下、A社)としては、預かり知らぬ話であり、被告ITベンダーとしては、顧客である原告企業からの指示により、このソフトウェアをシステムに組み込んだわけで、その不具合については責任の範囲外と主張。一方、原告企業は、専門家ではない自分達にはソフトウェアの機能や不備を指摘できるはずがない、と被告ITベンダーを糾弾しました。
しかも、このソフトウェアの導入は原告企業が決定し、A社と直接契約しましたが、元々それを推薦したのは、被告ITベンダーであるという事情もあり、責任の所在がかなり複雑です。
皆さんの会社でも、クラウドサービスやソフトウェアを活用したシステムの構築が行われていると思います。同じような轍を踏まないためには、どのような注意が必要でしょうか。まずは事件の概要からご覧ください。
