システムに関してセキュリティ上の被害に関する責任について、二つの新聞記事が出ています。
もっとも、この二つは、同じ責任という用語を用いていても、若干の違いがあります
この点については、私のブログでは、
- 欧州において権利者とアクセスプロバイダは、「原理的に」違法コンテンツのブロッキングを行えるか?
- EUのデジタル・サービス法案vs違法情報対応
-
インターネット媒介者の役割と「通信の秘密」の外延(検索エンジン・CDN)-EU「プロバイダーの注意義務と責任」報告書の示唆
などで、結果責任と対応責任とにわけて論じています。結局、責任には(1)行為をなすべき義務を負う(対応責任/Responsibility)、(2)一定の問題が起きたときに誰が損失を負うか(結果責任/Liability/賠償責任)という二つの意味合いがあります。
• 結果責任 (Liability) / 賠償責任 (Liability): これは、損害賠償などを含む、問題発生時に誰がその結果的な損失を負うかという金銭的な責任や法的責任を指します。結果責任(Liability)を考える際、責任の所在は、個々の行為者がどのような予見可能性と具体的な回避可能性を有していたかという具体的な事案に応じて決定されます。また、 EUの電子商取引指令(EC指令)は、賠償責任 (Liability) の免責特権(責任シールド)に関する枠組みでした(現在は、DSA法で定められている)。
• 対応責任 (Responsibility): これは、行為者が取るべき行動や、現実に問題に対処する義務を指します。この対応責任は注意義務 (duties of care) や、EUの報告書においてアカウンタビリティ (Accountability) としても言及されています。 電気通信事業法で宅内には、事業者の責任が及ばないというのは、このような趣旨になります。
ということで、具体的な記事をみていきます。
1 サイバーセキュリティに関する結果責任のベンダーとユーザの責任割合
新聞の記事としては、サイバー被害、相次ぐベンダーへの賠償請求 過失割合の基準求める声 になります。
NTT東日本が前橋市に敗訴した前橋地裁判決をきっかけ
とあります。具体的には、MENET事件 前橋地裁令和5年2月17日(令2ワ145号)になります。この判決については、「SOFTIC判例ゼミ 2024(第3回)」のスライドがアクセスしやすいかと思われます。
和解についての前橋市の報道資料はこちら
1.1 概要として
この訴訟は、原告である地方公共団体が、被告である電気通信業務を行う株式会社に対し、Maebashi Education NETwork (MENET) データセンターの移管設計および構築業務における債務不履行または不法行為を主張し、不正アクセスによって生じた損害の賠償を求めたものです。裁判所は、被告がファイアウォールを適切に設定する債務を怠ったことが不正アクセス発生の相当因果関係にある債務不履行を構成すると認め、原告の損害賠償請求の一部(1億4298万0444円など)を容認しました。また、反訴事件として被告が原告に求めたモバイルルータの手配やフォレンジック費用等についても検討がなされ、商法に基づく相当報酬請求の一部(952万2073円など)が認められています。また、責任限定契約の適用については、被告に重過失があったとして排斥されています。
1.2 争点
争点としては
⑴ 本訴事件
- ア 本件委託契約に基づく外部ファイアウォール及び内部ファイアウォールを適切に設定することにより通信制限を行うべき債務の不履行又は注意義務違反(不法行為)の有無
- イ 本件保守契約に基づく外部ファイアウォール及び内部ファイアウォールの設定における通信制限の不備を修正すべき債務の不履行又は注意義務違反(不法行為)の有無
- ウ 想定されるリスク及びその対策について適切な提案をすべき注意義務違反(不法行為)の有無
- エ 債務不履行又は不法行為と本件不正アクセスとの間の相当因果関係の有無
- オ 原告の損害
- カ 被告の債務不履行に係る帰責事由の不存在(抗弁)
- キ 責任限定契約の適用の有無(抗弁)
⑵ 反訴事件
- ア 主位的請求(準委任契約に基づく費用等の償還請求)
(ア) 原告と被告との間の準委任契約の成否 (イ) 被告の準委任に係る事務を処理するのに必要な費用の額
- イ 予備的請求(商法512条の規定に基づく報酬請求権)
(ア) 営業の範囲内における他人のための行為の有無及び当該行為の相当費用の額 (イ) 無償で行うことの合意の成否(抗弁)
となっています。
1.3 主張と判断
これについてのそれぞれの主張と裁判所の認定を表にすると
本訴事件(争点⑴)
| 争点 | 原告の主張 | 被告の主張 | 裁判所の認定 |
|---|---|---|---|
| ⑴ア委託契約に基づくFW設定義務違反 | セキュリティ重視の契約において、被告はFWを適切に設定し通信制限を行う債務を負っていた。DMZから個人情報保護NWを含む内部NW全体への通信を許可したまま提供したのは債務不履行または注意義務違反。 | 契約書に明示された抽象的な債務は負わない。ただし引渡時のFW設定内容は認める。 | 債務不履行を認める。 提案依頼書・要件定義書・基本設計書等から、DMZと個人情報保護NW間を遮断するFW設定義務があった。不適切設定での引渡しは債務不履行。不法行為は否定。 |
| ⑴イ保守契約に基づくFW修正義務 | 不正アクセス前に通信制限不備を指摘し修正要求したが、確認・措置を怠ったため債務不履行または注意義務違反。 | 指摘事項は保守契約の仕様・図面に定められておらず契約義務外。原告からの問い合わせも不明確。他社作業で保守不能。 | 債務不履行・注意義務違反を認めない。 修正が保守契約の対象か、被告に直ちに違反が認められる具体的連絡があったか不明。 |
| ⑴ウリスク想定・対策提案義務 | 提案依頼書でリスクと対策の提案が求められ、被告はISO等を強調。FW設定修正を提案すべき注意義務を怠った。 | 提案依頼書の記載は義務ではなく、抽象的注意義務も負わない。 | 不法行為の成立を認めない。 リスク提案要請やアピールは認められるが、具体的提案義務が直ちに導かれるとはいえない。 |
| ⑴エ相当因果関係 | FWでDMZ→内部侵入を遮断すべきところ、設定不備により不正アクセスが発生。相当因果関係あり。 | 原告管理不十分な公開サーバのバックドアが原因で、FW設定とは因果関係なし。 | 相当因果関係を認める。 双方の要因が相まって発生。被告の債務不履行がなければ不正アクセスは発生しなかった。 |
| ⑴オ損害額 | フォレンジック費用、コンサル費、通知郵送費、残業代、第三者委員会報酬、Web調査、端末復旧、リース代、MNET再構築、弁護士費用等、計1億7735万6440円。 | 多くは漏えい未確認、原告管理不十分、不要支出。MNET再構築の一部は機能追加で無関係。 | 損害を一部認定。 合計1億4298万0444円(遅延損害金除く)を認定。 |
| ⑴カ帰責事由不存在(抗弁) | 完成図書は膨大・専門的で検査困難。設計書と矛盾する設定であり、告知がなければ検査義務違反なし。 | 完成図書に実設定が記載され、原告は認識・了解。検収済みで被告に帰責事由なし。 | 被告の抗弁を認めない。 完成図書確認は現実的に困難。被告が不適切設定を告知しない限り帰責事由否定不可。 |
| ⑴キ責任限定契約 | 故意・重過失がある場合は適用不可。本件は容易に予見・是正可能で重過失あり。 | 契約条項により賠償上限は契約金額1億0480万0500円、対象は通常直接損害のみ。 | 被告の主張を認めない。 重過失が明らかで、責任限定条項は不適用。 |
反訴事件(争点⑵)
| 争点 | 原告の主張 | 被告の主張 | 裁判所の認定 |
|---|---|---|---|
| ⑵ア(ア)準委任契約の成否 | モバイルルータ手配、フォレンジック、NASクレンジングを依頼・委託していない。 | 上記業務を委託・了承があり準委任契約成立。 | 準委任契約の成立を認めない。 催促は認められるが、費用償還請求を前提とする申込みとまでは認められない。NASクレンジングの証拠なし。 |
| ⑵イ(ア)商法512条・報酬請求権 | 不知または争う。 | 営業範囲内で業務を行い、費用1159万3184円相当の報酬請求権あり。 | 一部認める。 相当報酬952万2073円。NASクレンジング作業は否定。 |
| ⑵イ(イ)無償合意(抗弁) | 無償で行う合意があった。 | 否認・争う。 | 無償合意を認めない。 高額費用に照らし、無償合意を裏付ける的確な証拠なし。 |
となります。
1.4 判決の位置づけ
ベンダーの責任については、私のブログだと
があります。
ここで、図の縦軸で、契約の範囲として記載されている上二つにおいては、仕様書に記載のある場合(平成26年1月23日判決)、保守契約がある場合(平成30年10月26日判決)がありますが、本判決においては、
- 仕様書において記載がない場合
- しかしながら、契約がセキュリティを重視した契約であった場合
と思います。
なので、他の事件ともあわせて位置づけるとき、このような位置づけになるかと思います。
となると、一番の重要なポイントは、仕様書での明示がなく、契約がセキュリティを重視した部分になります。この部分の判決は、
ア 原告は、本件委託契約では、提案依頼書から基本契約書に至るまで一貫してセキュリティ対策が重要視されているのであるから、被告は、同契約において、個人情報保護ネットワークに保存されている個人情報を保護するため、本件システムの提供に当たり、その外部ファイアウォール及び内部ファイアウォールを適切に設定して通信制限を行う債務を負っていた旨の主張をする。
そこで検討するに、上記1⑴で認定したところからも明らかなとおり、ソフトウェアの開発に係る業務委託契約においては、契約締結の前後に提案依頼書、提案書、要件定義書、基本設計書などをやり取りすることにより委託業務の内容を確定していくものであるから、本件委託契約において受託者である被告が負う債務の内容は、同契約の契約書の記載の内容のみならず、同契約の前後にやり取りがされた要件定義書や基本設計書などの内容を総合的に考慮して確定すべきであると解するのが相当であるところ、上記1⑴ア(イ)、(ウ)、イ(ウ)、ウ(イ)、エ及びオで認定したところによれば、本件システムについて、①提案依頼書、提案書、要件定義書及び基本設計書には、外部ファイアウォール及び内部ファイアウォールにより通信制限を行うものと記載されていること、②設計方針及び基本設計書には、データセンター内理論接続図及び通信制限イメージにおいて、DMZネットワークと個人情報保護ネットワークとをつなぐ通信経路が存在しないことがそれぞれ認められ、これらの事実に加えて、③被告は、経験豊富な専門家を多数擁する技術的セキュリティ対策チームによる総合的なセキュリティソリューションを提供することを可能とする技術力を有していたことを併せ考えると、被告は、本件委託契約において、DMZネットワークと個人情報保護ネットワークとの間の通信経路を遮断するため、本件システムの提供に当たり、その外部ファイアウォール及び内部ファイアウォールを適切に設定して通信制限を行う債務を負っていたものと認めるのが相当である。
と判断されています。
業務委託契約の「契約の本旨」を決めるのにあたって、契約の前後の
提案依頼書、提案書、要件定義書、基本設計書など
を参考に確定するというのがこの判決のポイントになるだろうと思います。これらについては、契約の後であったとしても、参考にしていいということになるのは、いままででてきていなかったことなのかと考えられます。
この点について「脆弱性」と契約不適合、そして欠陥-日経新聞サーチライト記事に関して において 「モデル取引・契約書見直し検討部会 民法改正対応モデル契約見直し検討WG ~情報システム・モデル取引・契約書~ (受託開発(一部企画を含む)、保守運用) 〈第二版〉」は、
本件ソフトウェアのセキュリティ対策について、甲及び乙は、その具体的な機能、遵守方法、管理体制及び費用負担等を協議の上、ソフトウェア開発業務を開始する前までにセキュリティ仕様を確定させ、書面により定めるものとする。
とされ、セキュリティ仕様に反することがなく、個別契約の目的を達することができる脆弱性は、契約においては、契約不適合の責任を問われることはない、としているものと考えられますが、その「セキュリティ仕様」自体は、全般的な文脈的な解釈によって明らかにされるということになっています。
その意味で、上のモデル契約の記述は、対応責任としての記述で、結果責任は、さらに全体的に考察されるという理解をしてもいいかもしれません。
サイバー被害、相次ぐベンダーへの賠償請求 過失割合の基準求める声 の記事において
「交通事故のように過失割合の基準を整理し、社会的にリスクとその分担の予見可能性を高めるべきだ」と語る。
という意見がでていますが、過失割合の基準を整理することは、実際には、たくさんの事例があってはじめて可能になるのでしょうから、なかなか実現までの道は遠いように思えます。
2 IT企業におけるサイバーセキュリティのための対応責任
この記事によると
2025年度中にも重要インフラや政府機関のサイバー対策で、システムの開発や運用にあたるITベンダーと顧客側の役割分担を定めるガイドラインをつくる。それぞれの責務を明確にし、民間の契約にも明示するよう促す。
とのことです。これは、この記事によると策定される「サイバーセキュリティ戦略」で、ベンダー企業が果たすべき責務を明確化されるようです。でもって、「サイバーセキュリティ戦略」は、どのような議論が進んでいるかと調べると、サイバーセキュリティ推進専門家会議のページは、これです 戦略案は、こちら。
この戦略案は次の4つの章で構成されています:
- 策定の趣旨・背景
- 基本的な考え方
- 目的達成のための施策
- 推進体制
(その他付録的な部分あり)
となっています。
ベンダー基準の明確化という点について「サイバー空間を巡る脅威に対応するため喫緊に取り組むべき事項 令和7年5月29日 サイバーセキュリティ戦略本部」では
一定の社会インフラの機能としてソフトウェアの開発・供給・運用を行っている事業者について、顧客との関係で果たすべき責務等を策定する取組を推進し、普及・浸透を図る
とされていたところです(が、正式なリンクは、不明)。ここで、「サイバーセキュリティ戦略」で、ベンダー企業が果たすべき責務を明確化した記述があるかというとみなたらないところです。関連するところでは
第3章 目的達成のための施策の(3)ベンダー、中小企業等を含めたサプライチェーン全体のサイバーセキュリティ及びレジリエンスの確保
の記述で
① 「セキュアバイデザイン原則等に基づくベンダー等における責任あるサイバーセキュリティ対策の取組の推進」という部分で、
情報システム等のセキュアな設計・開発・維持管理を促進するため、情報システム等供給者が利用者との関係で果たすべき責務を明確化する。
とふれているところが、この部分に該当するかと思います。が、報道でいわれているように「サイバーセキュリティ戦略」で、ベンダー企業が果たすべき責務を明確化されるわけではありません。もっとも、このプロジェクトは、担当官庁(METI)が、具体的に動いていくということになりそうです。
