SlideShare a Scribd company logo

2022inLaw_SystemDevelopment_tanaka.pdf

M
Masahiro Ito

2022年12月3日開催の情報ネットワーク法学会 研究大会 第4分科会資料

Law
1 of 10
Download to read offline
情報ネットワーク法学会 第22回研究大会 システム障害におけるユーザ・ベンダの責任分界と損害の範囲 ~責任論~ 2022年12月3日 森・濱田松本法律事務所 パートナー 弁護士・ニューヨーク州弁護士 田中浩之
自己紹介 田中 浩之 Hiroyuki Tanaka 2007年 弁護士登録 第二東京弁護士会所属 2014年 ニューヨーク州弁護士登録 ニューヨーク州弁護士会所属 tel. 03-6266-8597 hiroyuki.tanaka@mhm-global.com パートナー 弁護士 ニューヨーク州弁護士 主要取扱分野・・・IT/知的財産/個人情報 • 国内外のIT・知的財産に関する業務全般及び訴訟・紛 争解決案件を幅広く取り扱っている • 日本の個人情報保護法及び欧州GDPR・米国CCPA等 のグローバルデータ保護法案件を数多く手掛けている 受賞歴 - 日本経済新聞社による第15回「企業法務・弁護士調査」の 2019年に活躍した弁護士ランキングにおいて、データ関連 分野で企業が選ぶ弁護士第5位に選出 - Who’s Who Legal: Japan 2022でDataのNational Leader に選出 - asialaw PROFILESの“Asialaw Leading Lawyers 202”で 知的財産の分野でNotable practitionerに選出 - The 13rd Edition of The best Lawyers™ in Japan (2022)でTechnology Lawの分野で選出 経歴 2004年 慶應義塾大学法学部法律学科卒業 2006年 慶應義塾大学大学院法務研究科卒業 2013年 ニューヨーク大学ロースクール卒業 LL.M. in Competition、 Innovation、 and Information Law 2013年 Clayton Utz法律事務所 シドニーオフィスにて執務 2018年 慶應義塾大学法学部法律学科非常勤講師 2019年 一般社団法人 日本DPO協会 顧問(~現在) 2 著作・論文 - 『システム開発訴訟開発訴訟[第2版]』(共著、中央経済社、 2022年) - 『ソフトウェア開発委託契約―交渉過程からみえるレビューの ポイント』(共著、中央経済社、2021年) - 『60分でわかる!改正個人情報保護法 超入門』(共著、技術 評論社、2022年) - 『令和2年改正個人情報保護法Q&A[第2版]』(共著、中央経済 社、2022年) - 『ビジネス法体系 知的財産法』(第一法規、2018年) 等多数 講演実績 - 『アドテクノロジーの導入及び第三者提供を中心とした 個人データの利活用規制対応の実務〜最新改正と近 時の解釈動向を踏まえて〜』 - 『グローバル(欧米・アジア/BRICs)データ保護規制の 要点比較と最新実務対応』 等多数
責任論の全体像 3 ⚫ システム障害における責任論の要件 – 契約上の義務の存在 – 契約上の義務違反/不適合(旧民法:瑕疵担保責任) ⚫ 過失の位置づけ:要件事実的には、過失の不存在が抗弁 ⚫ 重過失の位置づけ ➢ 損害論に関連して、損害賠償の上限(抗弁)を突破するために主張さ れる再抗弁であるが、過失と重過失の区別として、本責任論のなかで 扱うこととする ➢ 故意・重過失の場合は、上限規定が適用されないと定める例も多い ➢ 定めがない場合にも、上限規定は適用されないとした例として、以下 ✓ 最判平15・2・28判時1829号151頁(ホテルの盗難被害) ✓ 東京地判平26・1・23判時2221号71頁(システム開発)
責任論:契約上の義務違反/不適合① 4 ⚫ システム障害にあたり責任を追及する根拠となる契約について – システム開発における問題の場合:システム開発契約 ➢ 請負契約:運用開始している以上、完成義務は通常尽くしている はずであり契約不適合(旧民法:瑕疵担保責任)の問題 ➢ 準委任契約:善管注意義務の問題 – システムの運用保守における問題の場合:システムの運用・保守契約 ➢ 準委任契約:善管注意義務の問題 ⚫ 契約上の義務の認定 – システム開発:仕様書上明確に実装すべきものが実装されなかった場 合 – 運用保守:SLA(障害発生から復旧までの時間や正常な稼働率等を定 めることが多い)に明確に違反した場合
責任論:契約上の義務違反/不適合② 5 ⚫ 契約上の義務の認定(続き) – 明文の違反があるとは言えない場合 ➢ 非機能要件(可用性、運用保守性、セキュリティ等)が特に問題 ➢ 東京地判平23・8・26ウエストロー2011WLJPCA08268017 ✓ 本件システムは、平成18年7月10日に稼働した際、数時間の間にエ ラーが発生し、夕方にシステムダウンに至り、その後、少なくとも同年 8月14日時点においても、障害が発生し得る状況にあったもので、同 年7月10日ころにおいて、安定的に稼働していたとはいうことはでき ない。 ✓ しかし、システムの安定性は、機能の有無とは異なる要件(非機能要 件)であるとともに相対的な概念であるから、ベンダに対して本件シス テムの安定性の確保を法的に義務付けるためには、本件システムの 稼働率(障害発生の頻度、発生時間の上限等)等について具体的な 数値をもってベンダ・ユーザ間で合意することを要するのが本来とい うべきである
責任論:契約上の義務違反/不適合③ 6 ⚫ 契約上の義務の認定(続き) – システム開発で明文上の仕様となっていない場合(続き) ➢ 東京地判平26・1・23判時2221号71頁(SQLインジェクション事件) ✓ ベンダは、平成21年2月4日に本件システム発注契約を締結して 本件システムの発注を受けたのであるから、その当時の技術水 準に沿ったセキュリティ対策を施したプログラ厶を提供することが 黙示的に合意されていたと認められる ✓ 経産省の注意喚起、IPAによるSQLインジェクション対策の必要性 の明示への言及を認定 ✓ ベンダは、平成21年2月4日の本件システム発注契約締結時点 において、本件データベースから顧客の個人情報が漏えいするこ とを防止するために、SQLインジェクション対策として、バインド機 構の使用またはエスケープ処理を施したプログラムを提供すべき 債務を負っていたということができる
責任論:契約上の義務違反/不適合④ 7 ⚫ 過失について – 過失=注意義務違反=予見可能であり、結果回避可能であるのに、こ れを怠った – 契約や仕様書やSLAの明文に反した場合:不可抗力がなければ、過 失が認定 – 準委任の善管注意義務の違反の場合、過失の判断と現実的には、一 体的になる – システム開発契約のプロジェクトマネジメント義務との関係 ➢ システム開発の頓挫事例で典型的に問題となるが、障害発生原 因がプロジェクトマネジメント義務違反であることもあり得る ➢ システム開発契約において実装すべき仕様だとは認定されなかっ たが、それが仕様から漏れたのがベンダのプロジェクトマネジメン ト義務違反である場合には、契約上の義務とその違反と過失の判 断は一体的になる
責任論:重過失について① 8 ⚫ 重過失とは – 「通常人に要求される程度の相当な注意をしないでも、わずかの注意 さえすれば、たやすく違法有害な結果を予見することができた場合で あるのに、漫然これを見すごしたような、ほとんど故意に近い著しい 注意欠如の状態」を指すものとされている(最判昭32・7・9民集11巻7 号1203頁) – 東京高判平25・7・24判時2198号27頁(ジェイコム株誤発注事件) – 著しい注意義務違反(重過失)というためには、結果の予見が可能で あり、かつ、容易であること、結果の回避が可能であり、かつ、容易で あることが要件となる(東京高判平25・7・24判時2198号27頁)
責任論:重過失について② 9 ⚫ 重過失の認定① – 東京高判平25・7・24判時2198号27頁(ジェイコム株誤発注事件):否定例 ➢ 本件売買システムの不具合は、逆転気配の契機となった一部約定対象注文を被 取消注文として取消待ちとなる取消注文が入力されると、判定条件の誤りによって 全部約定対象注文と判定され、被取消注文の検索・取消処理に至らずに取消注文 の処理が終了してしまうというものであり、不具合の原因は本件バグにあるところ、 証券取引所に重過失ありと評価するためには、本件バグの作込みの回避容易性 または本件バグの発見・修正の容易性が認められることが必要である ➢ 現在においては本件バグの存在と本件不具合の発生条件が明らかになっていると ころ、その結果から本件バグの作込みの回避容易性等について議論する(いわゆ る後知恵の)弊に陥ることがないように判断することが要請される ➢ 本件においては、一定の蓋然性ある事実として、本件バグの発見等が容易である ことを認定することが困難であったということに尽きる ➢ 本件不具合が複数の条件が重なることにより発生する性質のものであったことも、 証券取引所において、結果の予見が可能であり、かつ、容易であったとの認定を 阻むものである
責任論:重過失について③ 10 ⚫ 重過失の認定② – 東京地判平26・1・23判時2221号71頁(SQLインジェクション事件):肯定例 ➢ ベンダは、情報処理システムの企画、ホームページの制作、業務システムの開発等 を行う会社として、プログラムに関する専門的知見を活用した事業を展開し、その事 業の一環として本件ウェブアプリケーションを提供しており、ユーザもその専門的知見 を信頼して本件システム発注契約を締結したと推認でき、ベンダに求められる注意義 務の程度は比較的高度なものと認められるところ、SQLインジェクション対策がされて いなければ、第三者がSQLインジェクション攻撃を行うことで本件データベースから個 人情報が流出する事態が生じ得ることはベンダにおいて予見が可能であり、かつ、経 済産業省およびIPAが、ウェブアプリケーションに対する代表的な攻撃手法として SQLインジェクション攻撃を挙げ、バインド機構の使用またはSQL文を構成するすべ ての変数に対するエスケープ処理を行うこと等のSQLインジェクション対策をするよう に注意喚起をしていたことからすれば、その事態が生じ得ることを予見することは容 易であったといえる ➢ バインド機構の使用またはエスケープ処理を行うことで、本件流出という結果が回避 できたところ、本件ウェブアプリケーションの全体にバインド機構の使用またはエス ケープ処理を行うことに多大な労力や費用がかかることをうかがわせる証拠はなく、 本件流出という結果を回避することは容易であったといえる

Recommended

2021in law systemdevelopment_tanaka
2021in law systemdevelopment_tanaka2021in law systemdevelopment_tanaka
2021in law systemdevelopment_tanaka
Masahiro Ito
 
2023inLaw_SystemDevelopment_tanaka.pdf
2023inLaw_SystemDevelopment_tanaka.pdf2023inLaw_SystemDevelopment_tanaka.pdf
2023inLaw_SystemDevelopment_tanaka.pdf
Masahiro Ito
 
【de:code 2020】 AI・機械学習で新たに創出されるデータとアノテーションビジネス
【de:code 2020】 AI・機械学習で新たに創出されるデータとアノテーションビジネス【de:code 2020】 AI・機械学習で新たに創出されるデータとアノテーションビジネス
【de:code 2020】 AI・機械学習で新たに創出されるデータとアノテーションビジネス
日本マイクロソフト株式会社
 
パーソナルデータ保護の課題と国際情勢 2013 - 2014, EU, USA, と日本
パーソナルデータ保護の課題と国際情勢 2013 - 2014, EU, USA, と日本パーソナルデータ保護の課題と国際情勢 2013 - 2014, EU, USA, と日本
パーソナルデータ保護の課題と国際情勢 2013 - 2014, EU, USA, と日本Gohsuke Takama
 
データプライバシーでのEUとアメリカ...そして日本
データプライバシーでのEUとアメリカ...そして日本データプライバシーでのEUとアメリカ...そして日本
データプライバシーでのEUとアメリカ...そして日本Gohsuke Takama
 
ユーザとベンダ双方にとって幸せなAI開発のための3つのポイント
ユーザとベンダ双方にとって幸せなAI開発のための3つのポイントユーザとベンダ双方にとって幸せなAI開発のための3つのポイント
ユーザとベンダ双方にとって幸せなAI開発のための3つのポイント
Deep Learning Lab(ディープラーニング・ラボ)
 
2023情報ネットワーク法学会 東京高判令和4年10月5日
2023情報ネットワーク法学会 東京高判令和4年10月5日2023情報ネットワーク法学会 東京高判令和4年10月5日
2023情報ネットワーク法学会 東京高判令和4年10月5日
Hiroyasu Kageshima
 
情報ネットワーク法学会2022サイバー攻撃被害企業の取引先に対する法的責任(大井哲也)12032022.pptx
情報ネットワーク法学会2022サイバー攻撃被害企業の取引先に対する法的責任(大井哲也)12032022.pptx情報ネットワーク法学会2022サイバー攻撃被害企業の取引先に対する法的責任(大井哲也)12032022.pptx
情報ネットワーク法学会2022サイバー攻撃被害企業の取引先に対する法的責任(大井哲也)12032022.pptx
Tetsuya Oi
 

Recommended

2021in law systemdevelopment_tanaka
2021in law systemdevelopment_tanaka2021in law systemdevelopment_tanaka
2021in law systemdevelopment_tanaka
Masahiro Ito
 
2023inLaw_SystemDevelopment_tanaka.pdf
2023inLaw_SystemDevelopment_tanaka.pdf2023inLaw_SystemDevelopment_tanaka.pdf
2023inLaw_SystemDevelopment_tanaka.pdf
Masahiro Ito
 
【de:code 2020】 AI・機械学習で新たに創出されるデータとアノテーションビジネス
【de:code 2020】 AI・機械学習で新たに創出されるデータとアノテーションビジネス【de:code 2020】 AI・機械学習で新たに創出されるデータとアノテーションビジネス
【de:code 2020】 AI・機械学習で新たに創出されるデータとアノテーションビジネス
日本マイクロソフト株式会社
 
パーソナルデータ保護の課題と国際情勢 2013 - 2014, EU, USA, と日本
パーソナルデータ保護の課題と国際情勢 2013 - 2014, EU, USA, と日本パーソナルデータ保護の課題と国際情勢 2013 - 2014, EU, USA, と日本
パーソナルデータ保護の課題と国際情勢 2013 - 2014, EU, USA, と日本Gohsuke Takama
 
データプライバシーでのEUとアメリカ...そして日本
データプライバシーでのEUとアメリカ...そして日本データプライバシーでのEUとアメリカ...そして日本
データプライバシーでのEUとアメリカ...そして日本Gohsuke Takama
 
ユーザとベンダ双方にとって幸せなAI開発のための3つのポイント
ユーザとベンダ双方にとって幸せなAI開発のための3つのポイントユーザとベンダ双方にとって幸せなAI開発のための3つのポイント
ユーザとベンダ双方にとって幸せなAI開発のための3つのポイント
Deep Learning Lab(ディープラーニング・ラボ)
 
2023情報ネットワーク法学会 東京高判令和4年10月5日
2023情報ネットワーク法学会 東京高判令和4年10月5日2023情報ネットワーク法学会 東京高判令和4年10月5日
2023情報ネットワーク法学会 東京高判令和4年10月5日
Hiroyasu Kageshima
 
情報ネットワーク法学会2022サイバー攻撃被害企業の取引先に対する法的責任(大井哲也)12032022.pptx
情報ネットワーク法学会2022サイバー攻撃被害企業の取引先に対する法的責任(大井哲也)12032022.pptx情報ネットワーク法学会2022サイバー攻撃被害企業の取引先に対する法的責任(大井哲也)12032022.pptx
情報ネットワーク法学会2022サイバー攻撃被害企業の取引先に対する法的責任(大井哲也)12032022.pptx
Tetsuya Oi
 
AI開発を円滑に進めるための契約・法務・知財
AI開発を円滑に進めるための契約・法務・知財AI開発を円滑に進めるための契約・法務・知財
AI開発を円滑に進めるための契約・法務・知財
Hirono Jumpei
 
パーソナルデータ保護の課題と国際情勢2013
パーソナルデータ保護の課題と国際情勢2013パーソナルデータ保護の課題と国際情勢2013
パーソナルデータ保護の課題と国際情勢2013Gohsuke Takama
 
個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二
個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二
個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二
Kenji Sugiura
 
公開用EU一般データ保護規則への実務対応
公開用EU一般データ保護規則への実務対応 公開用EU一般データ保護規則への実務対応
公開用EU一般データ保護規則への実務対応
Tetsuya Oi
 
いわゆるマジコンを巡る法的議論の現状
いわゆるマジコンを巡る法的議論の現状いわゆるマジコンを巡る法的議論の現状
いわゆるマジコンを巡る法的議論の現状IGDA Japan
 
日本のイノベーションを促進するための法的課題/Legal Issues in Promoting Innovation in Japan
日本のイノベーションを促進するための法的課題/Legal Issues in Promoting Innovation in Japan日本のイノベーションを促進するための法的課題/Legal Issues in Promoting Innovation in Japan
日本のイノベーションを促進するための法的課題/Legal Issues in Promoting Innovation in Japan
Yuko Noguchi
 
半教師ありNMFを用いた裁判事例に関連する憲法条項の推定
半教師ありNMFを用いた裁判事例に関連する憲法条項の推定半教師ありNMFを用いた裁判事例に関連する憲法条項の推定
半教師ありNMFを用いた裁判事例に関連する憲法条項の推定
Matsushita Laboratory
 
inlaw2023TetsuyaOI.pptx
inlaw2023TetsuyaOI.pptxinlaw2023TetsuyaOI.pptx
inlaw2023TetsuyaOI.pptx
TetsuyaOI
 
inlaw2023TetsuyaOI.pptx
inlaw2023TetsuyaOI.pptxinlaw2023TetsuyaOI.pptx
inlaw2023TetsuyaOI.pptx
Tetsuya Oi
 
inlaw2023TetsuyaOI.pptx
inlaw2023TetsuyaOI.pptxinlaw2023TetsuyaOI.pptx
inlaw2023TetsuyaOI.pptx
ssuser977960
 
セキュリティ仕様の確定と責任分界(影島広泰)
セキュリティ仕様の確定と責任分界(影島広泰)セキュリティ仕様の確定と責任分界(影島広泰)
セキュリティ仕様の確定と責任分界(影島広泰)
Hiroyasu Kageshima
 
プライバシー保護の法制と技術課題(2014年時点)
プライバシー保護の法制と技術課題(2014年時点)プライバシー保護の法制と技術課題(2014年時点)
プライバシー保護の法制と技術課題(2014年時点)
Hiroshi Nakagawa
 
Commercial Transaction of Digital Data and Intellectual Property - Protection...
Commercial Transaction of Digital Data and Intellectual Property - Protection...Commercial Transaction of Digital Data and Intellectual Property - Protection...
Commercial Transaction of Digital Data and Intellectual Property - Protection...
Makoto Koike
 
情報ネットワーク法学会2017大会第8分科会発表資料
情報ネットワーク法学会2017大会第8分科会発表資料情報ネットワーク法学会2017大会第8分科会発表資料
情報ネットワーク法学会2017大会第8分科会発表資料
Hiroshi Nakagawa
 

More Related Content

Similar to 2022inLaw_SystemDevelopment_tanaka.pdf

AI開発を円滑に進めるための契約・法務・知財
AI開発を円滑に進めるための契約・法務・知財AI開発を円滑に進めるための契約・法務・知財
AI開発を円滑に進めるための契約・法務・知財
Hirono Jumpei
 
パーソナルデータ保護の課題と国際情勢2013
パーソナルデータ保護の課題と国際情勢2013パーソナルデータ保護の課題と国際情勢2013
パーソナルデータ保護の課題と国際情勢2013Gohsuke Takama
 
個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二
個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二
個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二
Kenji Sugiura
 
公開用EU一般データ保護規則への実務対応
公開用EU一般データ保護規則への実務対応 公開用EU一般データ保護規則への実務対応
公開用EU一般データ保護規則への実務対応
Tetsuya Oi
 
いわゆるマジコンを巡る法的議論の現状
いわゆるマジコンを巡る法的議論の現状いわゆるマジコンを巡る法的議論の現状
いわゆるマジコンを巡る法的議論の現状IGDA Japan
 
日本のイノベーションを促進するための法的課題/Legal Issues in Promoting Innovation in Japan
日本のイノベーションを促進するための法的課題/Legal Issues in Promoting Innovation in Japan日本のイノベーションを促進するための法的課題/Legal Issues in Promoting Innovation in Japan
日本のイノベーションを促進するための法的課題/Legal Issues in Promoting Innovation in Japan
Yuko Noguchi
 
半教師ありNMFを用いた裁判事例に関連する憲法条項の推定
半教師ありNMFを用いた裁判事例に関連する憲法条項の推定半教師ありNMFを用いた裁判事例に関連する憲法条項の推定
半教師ありNMFを用いた裁判事例に関連する憲法条項の推定
Matsushita Laboratory
 
inlaw2023TetsuyaOI.pptx
inlaw2023TetsuyaOI.pptxinlaw2023TetsuyaOI.pptx
inlaw2023TetsuyaOI.pptx
TetsuyaOI
 
inlaw2023TetsuyaOI.pptx
inlaw2023TetsuyaOI.pptxinlaw2023TetsuyaOI.pptx
inlaw2023TetsuyaOI.pptx
Tetsuya Oi
 
inlaw2023TetsuyaOI.pptx
inlaw2023TetsuyaOI.pptxinlaw2023TetsuyaOI.pptx
inlaw2023TetsuyaOI.pptx
ssuser977960
 
セキュリティ仕様の確定と責任分界(影島広泰)
セキュリティ仕様の確定と責任分界(影島広泰)セキュリティ仕様の確定と責任分界(影島広泰)
セキュリティ仕様の確定と責任分界(影島広泰)
Hiroyasu Kageshima
 
プライバシー保護の法制と技術課題(2014年時点)
プライバシー保護の法制と技術課題(2014年時点)プライバシー保護の法制と技術課題(2014年時点)
プライバシー保護の法制と技術課題(2014年時点)
Hiroshi Nakagawa
 
Commercial Transaction of Digital Data and Intellectual Property - Protection...
Commercial Transaction of Digital Data and Intellectual Property - Protection...Commercial Transaction of Digital Data and Intellectual Property - Protection...
Commercial Transaction of Digital Data and Intellectual Property - Protection...
Makoto Koike
 
情報ネットワーク法学会2017大会第8分科会発表資料
情報ネットワーク法学会2017大会第8分科会発表資料情報ネットワーク法学会2017大会第8分科会発表資料
情報ネットワーク法学会2017大会第8分科会発表資料
Hiroshi Nakagawa
 

Similar to 2022inLaw_SystemDevelopment_tanaka.pdf (14)

AI開発を円滑に進めるための契約・法務・知財
AI開発を円滑に進めるための契約・法務・知財AI開発を円滑に進めるための契約・法務・知財
AI開発を円滑に進めるための契約・法務・知財
 
パーソナルデータ保護の課題と国際情勢2013
パーソナルデータ保護の課題と国際情勢2013パーソナルデータ保護の課題と国際情勢2013
パーソナルデータ保護の課題と国際情勢2013
 
個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二
個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二
個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二
 
公開用EU一般データ保護規則への実務対応
公開用EU一般データ保護規則への実務対応 公開用EU一般データ保護規則への実務対応
公開用EU一般データ保護規則への実務対応
 
いわゆるマジコンを巡る法的議論の現状
いわゆるマジコンを巡る法的議論の現状いわゆるマジコンを巡る法的議論の現状
いわゆるマジコンを巡る法的議論の現状
 
日本のイノベーションを促進するための法的課題/Legal Issues in Promoting Innovation in Japan
日本のイノベーションを促進するための法的課題/Legal Issues in Promoting Innovation in Japan日本のイノベーションを促進するための法的課題/Legal Issues in Promoting Innovation in Japan
日本のイノベーションを促進するための法的課題/Legal Issues in Promoting Innovation in Japan
 
半教師ありNMFを用いた裁判事例に関連する憲法条項の推定
半教師ありNMFを用いた裁判事例に関連する憲法条項の推定半教師ありNMFを用いた裁判事例に関連する憲法条項の推定
半教師ありNMFを用いた裁判事例に関連する憲法条項の推定
 
inlaw2023TetsuyaOI.pptx
inlaw2023TetsuyaOI.pptxinlaw2023TetsuyaOI.pptx
inlaw2023TetsuyaOI.pptx
 
inlaw2023TetsuyaOI.pptx
inlaw2023TetsuyaOI.pptxinlaw2023TetsuyaOI.pptx
inlaw2023TetsuyaOI.pptx
 
inlaw2023TetsuyaOI.pptx
inlaw2023TetsuyaOI.pptxinlaw2023TetsuyaOI.pptx
inlaw2023TetsuyaOI.pptx
 
セキュリティ仕様の確定と責任分界(影島広泰)
セキュリティ仕様の確定と責任分界(影島広泰)セキュリティ仕様の確定と責任分界(影島広泰)
セキュリティ仕様の確定と責任分界(影島広泰)
 
プライバシー保護の法制と技術課題(2014年時点)
プライバシー保護の法制と技術課題(2014年時点)プライバシー保護の法制と技術課題(2014年時点)
プライバシー保護の法制と技術課題(2014年時点)
 
Commercial Transaction of Digital Data and Intellectual Property - Protection...
Commercial Transaction of Digital Data and Intellectual Property - Protection...Commercial Transaction of Digital Data and Intellectual Property - Protection...
Commercial Transaction of Digital Data and Intellectual Property - Protection...
 
情報ネットワーク法学会2017大会第8分科会発表資料
情報ネットワーク法学会2017大会第8分科会発表資料情報ネットワーク法学会2017大会第8分科会発表資料
情報ネットワーク法学会2017大会第8分科会発表資料
 

2022inLaw_SystemDevelopment_tanaka.pdf

  • 2. 自己紹介 田中 浩之 Hiroyuki Tanaka 2007年 弁護士登録 第二東京弁護士会所属 2014年 ニューヨーク州弁護士登録 ニューヨーク州弁護士会所属 tel. 03-6266-8597 hiroyuki.tanaka@mhm-global.com パートナー 弁護士 ニューヨーク州弁護士 主要取扱分野・・・IT/知的財産/個人情報 • 国内外のIT・知的財産に関する業務全般及び訴訟・紛 争解決案件を幅広く取り扱っている • 日本の個人情報保護法及び欧州GDPR・米国CCPA等 のグローバルデータ保護法案件を数多く手掛けている 受賞歴 - 日本経済新聞社による第15回「企業法務・弁護士調査」の 2019年に活躍した弁護士ランキングにおいて、データ関連 分野で企業が選ぶ弁護士第5位に選出 - Who’s Who Legal: Japan 2022でDataのNational Leader に選出 - asialaw PROFILESの“Asialaw Leading Lawyers 202”で 知的財産の分野でNotable practitionerに選出 - The 13rd Edition of The best Lawyers™ in Japan (2022)でTechnology Lawの分野で選出 経歴 2004年 慶應義塾大学法学部法律学科卒業 2006年 慶應義塾大学大学院法務研究科卒業 2013年 ニューヨーク大学ロースクール卒業 LL.M. in Competition、 Innovation、 and Information Law 2013年 Clayton Utz法律事務所 シドニーオフィスにて執務 2018年 慶應義塾大学法学部法律学科非常勤講師 2019年 一般社団法人 日本DPO協会 顧問(~現在) 2 著作・論文 - 『システム開発訴訟開発訴訟[第2版]』(共著、中央経済社、 2022年) - 『ソフトウェア開発委託契約―交渉過程からみえるレビューの ポイント』(共著、中央経済社、2021年) - 『60分でわかる!改正個人情報保護法 超入門』(共著、技術 評論社、2022年) - 『令和2年改正個人情報保護法Q&A[第2版]』(共著、中央経済 社、2022年) - 『ビジネス法体系 知的財産法』(第一法規、2018年) 等多数 講演実績 - 『アドテクノロジーの導入及び第三者提供を中心とした 個人データの利活用規制対応の実務〜最新改正と近 時の解釈動向を踏まえて〜』 - 『グローバル(欧米・アジア/BRICs)データ保護規制の 要点比較と最新実務対応』 等多数
  • 3. 責任論の全体像 3 ⚫ システム障害における責任論の要件 – 契約上の義務の存在 – 契約上の義務違反/不適合(旧民法:瑕疵担保責任) ⚫ 過失の位置づけ:要件事実的には、過失の不存在が抗弁 ⚫ 重過失の位置づけ ➢ 損害論に関連して、損害賠償の上限(抗弁)を突破するために主張さ れる再抗弁であるが、過失と重過失の区別として、本責任論のなかで 扱うこととする ➢ 故意・重過失の場合は、上限規定が適用されないと定める例も多い ➢ 定めがない場合にも、上限規定は適用されないとした例として、以下 ✓ 最判平15・2・28判時1829号151頁(ホテルの盗難被害) ✓ 東京地判平26・1・23判時2221号71頁(システム開発)
  • 4. 責任論:契約上の義務違反/不適合① 4 ⚫ システム障害にあたり責任を追及する根拠となる契約について – システム開発における問題の場合:システム開発契約 ➢ 請負契約:運用開始している以上、完成義務は通常尽くしている はずであり契約不適合(旧民法:瑕疵担保責任)の問題 ➢ 準委任契約:善管注意義務の問題 – システムの運用保守における問題の場合:システムの運用・保守契約 ➢ 準委任契約:善管注意義務の問題 ⚫ 契約上の義務の認定 – システム開発:仕様書上明確に実装すべきものが実装されなかった場 合 – 運用保守:SLA(障害発生から復旧までの時間や正常な稼働率等を定 めることが多い)に明確に違反した場合
  • 5. 責任論:契約上の義務違反/不適合② 5 ⚫ 契約上の義務の認定(続き) – 明文の違反があるとは言えない場合 ➢ 非機能要件(可用性、運用保守性、セキュリティ等)が特に問題 ➢ 東京地判平23・8・26ウエストロー2011WLJPCA08268017 ✓ 本件システムは、平成18年7月10日に稼働した際、数時間の間にエ ラーが発生し、夕方にシステムダウンに至り、その後、少なくとも同年 8月14日時点においても、障害が発生し得る状況にあったもので、同 年7月10日ころにおいて、安定的に稼働していたとはいうことはでき ない。 ✓ しかし、システムの安定性は、機能の有無とは異なる要件(非機能要 件)であるとともに相対的な概念であるから、ベンダに対して本件シス テムの安定性の確保を法的に義務付けるためには、本件システムの 稼働率(障害発生の頻度、発生時間の上限等)等について具体的な 数値をもってベンダ・ユーザ間で合意することを要するのが本来とい うべきである
  • 6. 責任論:契約上の義務違反/不適合③ 6 ⚫ 契約上の義務の認定(続き) – システム開発で明文上の仕様となっていない場合(続き) ➢ 東京地判平26・1・23判時2221号71頁(SQLインジェクション事件) ✓ ベンダは、平成21年2月4日に本件システム発注契約を締結して 本件システムの発注を受けたのであるから、その当時の技術水 準に沿ったセキュリティ対策を施したプログラ厶を提供することが 黙示的に合意されていたと認められる ✓ 経産省の注意喚起、IPAによるSQLインジェクション対策の必要性 の明示への言及を認定 ✓ ベンダは、平成21年2月4日の本件システム発注契約締結時点 において、本件データベースから顧客の個人情報が漏えいするこ とを防止するために、SQLインジェクション対策として、バインド機 構の使用またはエスケープ処理を施したプログラムを提供すべき 債務を負っていたということができる
  • 7. 責任論:契約上の義務違反/不適合④ 7 ⚫ 過失について – 過失=注意義務違反=予見可能であり、結果回避可能であるのに、こ れを怠った – 契約や仕様書やSLAの明文に反した場合:不可抗力がなければ、過 失が認定 – 準委任の善管注意義務の違反の場合、過失の判断と現実的には、一 体的になる – システム開発契約のプロジェクトマネジメント義務との関係 ➢ システム開発の頓挫事例で典型的に問題となるが、障害発生原 因がプロジェクトマネジメント義務違反であることもあり得る ➢ システム開発契約において実装すべき仕様だとは認定されなかっ たが、それが仕様から漏れたのがベンダのプロジェクトマネジメン ト義務違反である場合には、契約上の義務とその違反と過失の判 断は一体的になる
  • 8. 責任論:重過失について① 8 ⚫ 重過失とは – 「通常人に要求される程度の相当な注意をしないでも、わずかの注意 さえすれば、たやすく違法有害な結果を予見することができた場合で あるのに、漫然これを見すごしたような、ほとんど故意に近い著しい 注意欠如の状態」を指すものとされている(最判昭32・7・9民集11巻7 号1203頁) – 東京高判平25・7・24判時2198号27頁(ジェイコム株誤発注事件) – 著しい注意義務違反(重過失)というためには、結果の予見が可能で あり、かつ、容易であること、結果の回避が可能であり、かつ、容易で あることが要件となる(東京高判平25・7・24判時2198号27頁)
  • 9. 責任論:重過失について② 9 ⚫ 重過失の認定① – 東京高判平25・7・24判時2198号27頁(ジェイコム株誤発注事件):否定例 ➢ 本件売買システムの不具合は、逆転気配の契機となった一部約定対象注文を被 取消注文として取消待ちとなる取消注文が入力されると、判定条件の誤りによって 全部約定対象注文と判定され、被取消注文の検索・取消処理に至らずに取消注文 の処理が終了してしまうというものであり、不具合の原因は本件バグにあるところ、 証券取引所に重過失ありと評価するためには、本件バグの作込みの回避容易性 または本件バグの発見・修正の容易性が認められることが必要である ➢ 現在においては本件バグの存在と本件不具合の発生条件が明らかになっていると ころ、その結果から本件バグの作込みの回避容易性等について議論する(いわゆ る後知恵の)弊に陥ることがないように判断することが要請される ➢ 本件においては、一定の蓋然性ある事実として、本件バグの発見等が容易である ことを認定することが困難であったということに尽きる ➢ 本件不具合が複数の条件が重なることにより発生する性質のものであったことも、 証券取引所において、結果の予見が可能であり、かつ、容易であったとの認定を 阻むものである
  • 10. 責任論:重過失について③ 10 ⚫ 重過失の認定② – 東京地判平26・1・23判時2221号71頁(SQLインジェクション事件):肯定例 ➢ ベンダは、情報処理システムの企画、ホームページの制作、業務システムの開発等 を行う会社として、プログラムに関する専門的知見を活用した事業を展開し、その事 業の一環として本件ウェブアプリケーションを提供しており、ユーザもその専門的知見 を信頼して本件システム発注契約を締結したと推認でき、ベンダに求められる注意義 務の程度は比較的高度なものと認められるところ、SQLインジェクション対策がされて いなければ、第三者がSQLインジェクション攻撃を行うことで本件データベースから個 人情報が流出する事態が生じ得ることはベンダにおいて予見が可能であり、かつ、経 済産業省およびIPAが、ウェブアプリケーションに対する代表的な攻撃手法として SQLインジェクション攻撃を挙げ、バインド機構の使用またはSQL文を構成するすべ ての変数に対するエスケープ処理を行うこと等のSQLインジェクション対策をするよう に注意喚起をしていたことからすれば、その事態が生じ得ることを予見することは容 易であったといえる ➢ バインド機構の使用またはエスケープ処理を行うことで、本件流出という結果が回避 できたところ、本件ウェブアプリケーションの全体にバインド機構の使用またはエス ケープ処理を行うことに多大な労力や費用がかかることをうかがわせる証拠はなく、 本件流出という結果を回避することは容易であったといえる