本連載では、システム開発における様々な勘所を、実際の判例を題材として解説しています。今回取り上げるテーマは、「完成したシステムに不備が……ベンダー側の責任は?ユーザー側が気を付けるべき“専門家責任”の限界」です。あるシステムの開発をベンダーに依頼したものの、完成品にセキュリティ上の不備が見つかったとします。しかも、その不備はベンダーではなく第三者の所為によって生じたものだということが明らかになりました。この場合、ベンダー側はどこまで責任を負うのでしょうか? 要件定義書には何も記載がなかったようですが……。ただ、こうした事例は珍しいことではありません。実際の判例を見ながら、ユーザー側が注意すべきこと、対応すべきことを考えていきましょう。
第三者が作ったモジュールに脆弱性が
システム開発をベンダーに発注したが、「出来上がったシステムにセキュリティ上の不備があった」という話はよくあることで、この連載でも取り上げたことがあったかと思います。
特に、ユーザーにITの知識が不足していたために、セキュリティに関する事項を要件定義書に記していなかったという例は本当に多いです。そうした場合に、ベンダーは「要件定義書にないものは作れない」と言い、ユーザー側は「専門家なのだから、言われなくても作るべきだ」というような論争を裁判でなくてもよく耳にします。
今回するのもそうしたお話なのですが、裁判の結果はともかく、やはりこうした事件を見ると、ユーザーがベンダーに頼りすぎるのも問題だし、さりとて自社にはITの知識を持つ人間もいないし……という難しさを感じます。まずは事件の概要から見ていただきましょう。
東京地方裁判所 令和2年10月13日判決
あるユーザー企業がECサイトの開発と保守をベンダーに依頼した。ベンダーはこのシステムを完成させたが、このシステムには第三者であるクレジット決済会社から提供された決済機能モジュールが組み込まれていた(この決済機能モジュールはベンダーが紹介したものではあるが、導入自体はユーザーと決済会社との間で締結された加盟店契約に基づいて行われた)。
ところが、このモジュールにはクレジットカード情報がシステム内のログに保持され、悪意者がこれを盗みだすことも可能というセキュリティ上の不備があったため、ユーザー企業は止む無くこの機能を停止せざるをえず、多額の損害が発生した。
ユーザー企業は、このようにセキュリティに不備があるシステムを開発したことはベンダーの請負契約義務違反だとして約7800万円の賠償を求める訴訟を提起した。
事件番号 平成28年(ワ)10775(公刊物未掲載)
この記事は参考になりましたか?
- 紛争事例に学ぶ、ITユーザの心得連載記事一覧
-
- 「引き継ぎ指示のないデータ」を退職時に削除するのはOK? ある判決から考える“データ削除の...
- 完成したシステムに不備が……ベンダー側の責任は?ユーザー側が気を付けるべき“専門家責任”の...
- 契約書にはなかった機能開発が“後から”必要に……契約外の作業に対する追加費用はベンダーに支...
- この記事の著者
-
細川義洋(ホソカワヨシヒロ)
ITプロセスコンサルタント東京地方裁判所 民事調停委員 IT専門委員1964年神奈川県横浜市生まれ。立教大学経済学部経済学科卒。大学を卒業後、日本電気ソフトウェア㈱ (現 NECソリューションイノベータ㈱)にて金融業向け情報システム及びネットワークシステムの開発・運用に従事した後、2005年より20...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
