「社員が作ったセキュリティホールだから会社は知らない」って・・・そんな会社あるんだ。

IT技術者が不具合を作り込んでしまったときの責任

ベンダーでITエンジニアをやっていれば、ついついセキュリティの甘いモノを作ってしまうことは、それはまあ、あります。人間のやることですから、ましてITなんて複雑怪奇なモノを作っていれば、あっ、暗号化してなかった。セキュリティホールのあるソフトつかっちゃった。XSSやSQLインジェクション、全部対処しなかったかも。。。なんてことは、人間だから当然にあります。(私だって経験があります。)

もちろん、そうした不具合はお客さんに納品する前にベンダー内で様々なチェックやレビュー、テストなんかを行って、特にセキュリティに関しては考え得るすべての危険を排除しようと、ベンダーも技術者も頑張るわけですが、それでもまあ、人間がどこまでいってもザルである以上、それを何枚重ねても、どうしても、どうしても、どこかしらに穴の空いたソフトウェアを納品してしまうってことだってあるわけです。

そんな時、当然、お客さんは怒ります。自社の顧客情報が漏れたり、自社の業務を止められたりしたら大変ですからね。怒るのは当然だし、すぐにでも無償で直せ!被害が出たら損害賠償だ!ってことにはなるわけです。そして、そこで対応がうまくいかないと、お客さんの方は、業を煮やして「じゃあ、裁判だ!」ということになります。今回、ご紹介している裁判も、そんな感じのもので、実際にベンダーが作り込んでしまったセキュリティホールによって実害が発生してしまい、その損害の賠償をユーザーであるお客さんがベンダーに請求するという、まあ、ここまでは、よくあるお話です。

その責任を会社が負わない主張した裁判

この裁判ではセキュリティホールをベンダーが作り込んでしまったことは、裁判所もベンダー自身も認めるところです。だったら、素直に損害賠償するかと思いきや、、、このベンダー企業は以下のような反論をします。

会社としては、(セキュリティホールを作り込んだ) 社員に対して然るべき管理は行っていた。だから、会社には責任はない!

ああん?そんなことあるの? 判決文を読んでいた私も、思わず顔をしかめて何度もその部分を読み返しました。社員の作ったセキュリティーホールの責任を会社が負わない?じゃあ、もしユーザー企業が社員自身を訴えたら、社員が個人で莫大な賠償金を払うの?なんて冷たい会社、雇用契約書はどうなってるんだ。。。そんな風に考えるのはわたしだけでしょうか?

冒頭述べましたように(述べるまでもないですが)、ソフトウェアなんてものを作っていればミスはいくらでもおかします。それを会社として品質保証する為に、ベンダーは第三者レビューをやったり、様々な内部的な施策を講じなければならず、それでも不具合がお客さん先で出てしまったら、それは会社の責任でしょうと普通にそう思ってしまいます。無論、会社内においては、ミスをした社員の評価を下げたり、ボーナスを減らしたりと、それは私的自治の問題として好きにやってくれてよいのですが、少なくとも対外的には、「社員の責任は会社の責任です。」というのが企業というもののとるべき立場ではないでしょうか?自動車にリコールが発生した時、その損害賠償を不具合を作り込んだ社員がするなんてありえない。。。それが常識だと思うのですが。。。

裁判所の判断にも?がたくさん。。。

さて、ではこの訴えについて、裁判所がどのように判断したのか。。。私の中には裁判所の判断にもたくさんの「?」が残っているのですが、皆さんはどのようにお考えでしょうか?とにかくご一読ください。

従業員が作ったセキュリティホールの責任を会社が取るなんてナンセンスです

一覧へ戻る

投稿者: Yoshihiro Hosokawa

日本電気ソフトウェア株式会社(現NECソリューションイノベータ)にて金融業向け情報システム及びネットワークシステムの開発・運用に従事した後、日本アイ・ビー・エム株式会社では、ITコンサルタントとしてシステム開発・運用の品質向上や企業のIT戦略立案の支援を行う。 現在は、政府CIO補佐官としてデジタルガバメントの推進や政府の進めるIR・カジノ関連のIT企画・構築取り組む傍ら、ITプロジェクトに関する著述、講演、研修等を行っている。 【雑誌寄稿】  日経情報ストラテジ 2013/06号  「調停委員が明かす 紛争を防ぐ契約書の書き方」  情報処理学会会誌 2014年 2月号 「IT紛争の事例とそこから見える問題点・知見」 他 【ウェブメディア】  アイティーメディア社 @IT「訴えてやる!」の前に読む IT訴訟 徹底解説  アイティーメディア社 @IT「転職バーのハルカさん」  アイティーメディア社 @IT「コンサルは見た!」シリーズ  翔泳社  Enterprise Zine  紛争事例に学ぶ、ITユーザの心得 他  毎日新聞社 経済プレミア 部下を伸ばす上司、ダメにする上司 他

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。