第三者が作ったモジュールに脆弱性が
システム開発をベンダーに発注したが、「出来上がったシステムにセキュリティ上の不備があった」という話はよくあることで、この連載でも取り上げたことがあったかと思います。
特に、ユーザーにITの知識が不足していたために、セキュリティに関する事項を要件定義書に記していなかったという例は本当に多いです。そうした場合に、ベンダーは「要件定義書にないものは作れない」と言い、ユーザー側は「専門家なのだから、言われなくても作るべきだ」というような論争を裁判でなくてもよく耳にします。
今回するのもそうしたお話なのですが、裁判の結果はともかく、やはりこうした事件を見ると、ユーザーがベンダーに頼りすぎるのも問題だし、さりとて自社にはITの知識を持つ人間もいないし……という難しさを感じます。まずは事件の概要から見ていただきましょう。
東京地方裁判所 令和2年10月13日判決
あるユーザー企業がECサイトの開発と保守をベンダーに依頼した。ベンダーはこのシステムを完成させたが、このシステムには第三者であるクレジット決済会社から提供された決済機能モジュールが組み込まれていた(この決済機能モジュールはベンダーが紹介したものではあるが、導入自体はユーザーと決済会社との間で締結された加盟店契約に基づいて行われた)。
ところが、このモジュールにはクレジットカード情報がシステム内のログに保持され、悪意者がこれを盗みだすことも可能というセキュリティ上の不備があったため、ユーザー企業は止む無くこの機能を停止せざるをえず、多額の損害が発生した。
ユーザー企業は、このようにセキュリティに不備があるシステムを開発したことはベンダーの請負契約義務違反だとして約7800万円の賠償を求める訴訟を提起した。
事件番号 平成28年(ワ)10775(公刊物未掲載)
