情報ネットワーク法学会2019年研究大会 分科会「セキュリティ要件におけるベンダ・ユーザの責任分界点」

1. セキュリティ要件における
ベンダ・ユーザの責任分界点
ハッキング事故の分析を通じて
2019.11.3 情報ネットワーク法学会研究大会
システム開発分科会

2. 過去の研究大会振り返り
• 2016年 システム開発契約・紛争全般
請負／準委任の境界，モデル契約，プロジェクトマネジメント責任等
• 2017年 プロジェクトマネジメント義務・協力義務
事例の分析等を通じて
• 2018年 プロジェクトの中止の見極め
タイミングと手法，法的分析
©Masahiro Ito 2

3. 第19回（2019年）のテーマは
セキュリティ要件における
ベンダ・ユーザの責任分界点
ハッキング事故の分析を通じて
©Masahiro Ito 3

4. ねらい
• SQLインジェクション攻撃を受けたことによる個人情
報の漏えい事故に関する裁判例等を通じて，システム
の開発ベンダの責任範囲を分析・検討する
• 機能要件と比べて明確な合意がなされていない非機能
要件（セキュリティ要件）について，契約上のトラブ
ル防止方法を検討する
©Masahiro Ito 4

5. 事例紹介
©Masahiro Ito 5

6. 開発ベンダの責任
（対象外）
パッケージソフトウェア提供者
被害を受けた第三者からの請求
©Masahiro Ito 6

7. 契約不適合と脆弱性
• 脆弱性あるシステムの開発者は契約不適合責任を負うか
パッケージソフトのライセンスは検討の対象外
• 脆弱性
コンピュータのOSやソフトウェアにおいて，プログラムの不具合や設
計上のミスが原因となって発生した情報セキュリティ上の欠陥（総務
省ウェブサイト）
• 契約不適合責任
引き渡された目的物が種類，品質又は数量に関して契約の内容に適合
しない場合において，負担する責任
追完（562条），代金減額（563条），損害賠償（564条，415条），
解除（564条，541条，542条）
©Masahiro Ito 7

8. 契約不適合責任の存続期間
• 権利行使期間
「目的物を引き渡した時から１年以内」（現637条）
「注文者がその不適合を知った時から１年以内」（新637条1項）
• 通常のバグと異なり，脆弱性が明るみになる時期は予測しがた
い
引渡しから数年後に脆弱性が明らかとなってベンダが責任を問われる
可能性
©Masahiro Ito 8

9. セキュリティに関する契約条項
• 経済産業省「情報システム・モデル取引・契約書＜第1版＞」
セキュリティ要件をシステム仕様としている場合には、「システム仕
様書との不一致」に該当し、本条の「瑕疵」に含まれる。（29条―瑕
疵担保責任）
「乙が納入する本件ソフトウェアのセキュリティ対策について、甲及
び乙は、その具体的な機能、遵守方法、管理体制及び費用負担等を協
議の上、別途書面により定めるものとする。」（50条―セキュリ
ティ）
©Masahiro Ito 9
契約書・仕様書に明記した対策を怠った場合には，
契約不適合責任を負うことについて争いはないと思われる

10. 脆弱性＝契約不適合？
• 「なかなか顧客に理解されにくいソフトウェア等の脆弱性と瑕
疵の区別を理解していただくための啓発にも活用可能であると
考える」
• 「脆弱性をコンピュータ・ウィルス、コンピュータ不正アクセ
ス等の悪意の存在によって初めて顕在化する、機能、性能を損
なう問題個所と定義し、ソフトウェア製品の脆弱性と瑕疵（品
質不良、バグ等）を区別している。これにより、脆弱性を瑕疵
の問題として製品開発者だけに対策を求めるのではなく､社会
的な枠組として各パートナーが共同して解決するべきだという
社会的合意を形成しようとしている。」
©Masahiro Ito 10
（JISA／JEITA「SI 事業者における脆弱性関連情報取扱に関する体制と手順整備のためのガイダンス(第1版)」2005年）

11. 脆弱性＝契約不適合？（承前）
• 「SI 成果物としての納入システムに潜んだ新規の脆弱性につい
てはSI 事業者の瑕疵とは区別したい」
• 「既知の脆弱性とその重大性に対する著しい認識不足、ウェブ
アプリケーションでの必要な設定漏れや設定ミス等で顧客シス
テムで事件・事故が発生した場合は､SI 事業者の瑕疵（品質不
良、バグ等）として真摯に対応する必要がある｡」
©Masahiro Ito 11
（JISA／JEITA「SI 事業者における脆弱性関連情報取扱に関する体制と手順整備のためのガイダンス(第1版)」2005年）

12. 脆弱性と修補責任について
• ソフトウェアの提供時において通常備えられている「セキュリ
ティ」の程度を備えていない場合には，債務の本旨に従った履
行とはいえない
• 後日判明した欠点や脆弱性を責任の対象とするのは妥当でない
©Masahiro Ito 12
（IPA 「情報システム等の脆弱性情報の取扱いにおける法律面の調査報告書改訂版」2019年）

13. 脆弱性と契約書の記載
©Masahiro Ito 13
IPA「情報システム等の脆弱性情報の取扱いに関する研究会 2007年度報告書」

14. 脆弱性と契約不適合責任
©Masahiro Ito 14
既知 未知
記
載
あ
り
記
載
な
し
シ
ス
テ
ム
仕
様
書
契約締結時点における驚異の存在
契約不適合責任あり N/A
？？ 原則として責任なし
グレー
ゾーン
グレーゾーン

15. セキュリティに関する仕様の記載
• 「非機能要件」は後回しになっていることが多い
• 「昨今は非機能要求の重要さが増してきていて、経営や業務の
重要な関心事になっている。大きな事件や災害時の事業継続や
セキュリティなどが身近な企業リスクとして重要視されている。
これらも非機能要求である。」（IPA「ユーザのための要件定義ガイド(第2
版）」2019）
©Masahiro Ito 15

16. セキュリティに関する仕様の記載
• 経産省モデル契約
計算機や端末に関する可用性の確保、利用者に関する個人情報の安全
管理、業務システムの利用に関する機密性の確保等、システムに必要
なセキュリティ上の対策（機密性、可用性及び完全性の確保）や障害
発生に対する状況別対応策の必要性を明示する。また、「情報システ
ムの構築等におけるセキュリティ要件及びセキュリティ機能の検討に
関する解説書」（内閣官房情報セキュリティセンター）を参考にする
こと。（RFPサンプル）
セキュリティ要求仕様書サンプルあり
©Masahiro Ito 16

17. ディスカッション
©Masahiro Ito 17

18. 「既知の脅威 ＆ 仕様書記載なし」
について，ベンダはどこまで責任を負う
べきか。
「仕様書に記載がない＝仕様との不一致
はない」といえるか。
©Masahiro Ito 18

19. 脆弱性の原因がOSSにあった場合につい
てベンダは責任を負うべきか。
OSS以外の第三者ソフトウェアにあった
場合はどうか。
©Masahiro Ito 19

20. ベンダは，新たな脅威を知った場合，
ユーザにそれを告知し，対策をとる義務
があるか。
義務が生じるのはどんな場合か。
©Masahiro Ito 20

21. システム開発取引には「二重の専門性」
があるといわれるが，セキュリティにつ
いては，ベンダのみが専門家として責任
を負うことにならないか。
©Masahiro Ito 21

22. ベンダが高度な専門家責任を負うとなる
と，中小ベンダは過剰な責任を負担する
ことにならないか。
©Masahiro Ito 22

23. 7pay事件の際，「顧客の利便性とセキュ
リティはトレードオフの関係」と言われ
た。
利便性の高さを立証すれば，脆弱性の免
責を受けられるか？
©Masahiro Ito 23

24. セキュリティ対策違反が重過失となるの
はどのような場合か。
©Masahiro Ito 24

25. 「故意または重過失の場合を除く。」と
書いていなくても，重過失の場合には責
任限定条項が適用されないのか。
重過失免責するにはどう書くのか。
©Masahiro Ito 25

26. セキュリティ事故の賠償範囲は？
•事故対応・調査費用，お詫び関連
•システム改修
•逸失利益，信用低下
©Masahiro Ito 26

27. 鑑定が有効なのはどういうケースか。
鑑定にあたって何を注意すべきか。
©Masahiro Ito 27