システム開発におけるOSS使用のリスク ー ベンダーが負うべきセキュリティ対策義務

OSSの有用性

MySQLやjQueryなどシステム開発をする際にもはや欠かせない存在となっていると思います。OSSの有用性はもはや言うまでもないことだと思います。
Googleやfacebookも自社のプログラムをOSSとして全世界に向けて公開し、その利用可能性と発展のために解放する風潮も出来てきています。
OSSを活用するメリットとしては、開発コストや時間の削減と一定のクオリティの担保があげられるでしょう。
また、その利用方法もGitHubなどクラウドサービスを活用することで、誰もがより簡便に利用できるようになっています。

OSSを利用することのリスク

日本においても、実に広範に認知され、利用されるようになったOSSですが、そのリスクについては、エンジニアにとっては、あまり認知されていないように思います。
大企業や省庁への不正アクセスやSSLなど情報セキュリティ対策の脆弱性を突いたサイバー攻撃が日常的に発生していることもあり、システム開発ベンダにとってはもはや無視できない問題となっています。
納入したシステムが脆弱性を有することにより不正アクセスを受け情報漏えいをしたらどうでしょう。
契約内容にもよりますが、基本的にはベンダが一義的に責任を負うことになると思います。仮に、使用したOSSが原因による事故だったとしても、使用するOSSについては免責をしておく必要がありますし、何よりOSSが原因であったことを立証する責任も負うことになります。

ベンダーが負うべきセキュリティ対策の水準

 

近時の裁判例(東京地裁H26.1.23)で、ベンダがどの程度のセキュリティ対策を実施すべきなのか、どの程度の責任を負うべきなのかが問題になった事例があります。
ベンダが開発したアプリケーション(ウェブ受注システム)にセキュリティ対策の脆弱性があったことにより、ウェブサイトで注文をした顧客のクレジットカード情報が流失し、ユーザが損害を被ったという事案です。
このウェブ受注システムは、OSSである「EC-CUBE」をカスタマイズして開発したアプリケーションです。
争点としては以下4つがあるのですが、今回は②に絞ってみます。
①本件流出の原因及び程度
②被告の債務不履行責任の有無
③原告の過失と因果関係の断絶
④損害
⑤損害賠償責任制限の合意の成否等
判決では、流失事故の原因がSQLインジェクションにあると認定したうえで、
「(ベンダは)その当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供することが黙示的に合意されていたと認められる。」
として、セキュリティ対策に関して、明示的な合意がなくともよいとしています。
そして、
「当該個人情報の漏えいを防ぐために必要なセキュリティ対策を施したプログラムを提供すべき債務を負っていたと解すべき」と述べています。
さらに、IPAが出していた注意喚起を引用して、必要とされる対策について、
「契約締結時点において、本件データベースからの顧客の個人情報が漏えいすることを防止するために、SQLインジェクション対策として、バインド機構の使用又はエスケープ処理を施したプログラムを提供すべき債務を負っていた」と判示しています。
結論として、そのようなセキュリティ対策を施したプログラムを提供しなかった点に契約違反を認めて損害賠償を肯定しています。
※IPAが「望ましい」と指摘した対策である「データベース全ての暗号化」債務については否定しています。

OSSをリスクを正しく認識したうえで使用する

この判決では、直接の原因がSQLインジェクションにあるという判断をしていますが、仮にOSSであるEC-CUBEの脆弱性が原因であって、ベンダが修正パッチを適用しなかったことが負うべき債務の不履行である、と判断されていても同様に損害賠償を肯定したかもしれません。
その意味で、この判決はベンダに対して安易なOSSの使用への警鐘を鳴らしたとも考えられます。使用する場合でも、セキュリティ対策についてきちんと考え、脆弱性が指摘されていないか、修正パッチが提供されていないか等リスクについて確認する必要があるといえます。
システム開発受託やアプリ開発受託において、このようなリスクを認識せずしてOSSを利用することは相当の注意が必要でしょう。
さらに、OSSを利用することについて、契約書において何も記載がないことにも注意が必要です。

余談:損害賠償の制限条項について

今回のケースにおいて、ベンダとユーザの契約では、「乙(ベンダ)は、個別契約に定める契約金額の範囲内において損害賠償を支払うものとする。」という条項があり、ベンダ側はこの契約金額を超えた賠償をする義務はないと主張していました。
しかし、判決は、「(ベンダが)、権利・法益侵害の結果について恋を有する場合や重過失がある場合にまで同条項によって被告(ベンダ)の損害賠償義務の範囲が制限されるとすることは、著しく衡平を害するものであって、当事者の通常の意思に合致しないというべきである」としています。
つまり、契約書で合意したとしても、真摯な合意であるかどうかは権利利益の衡平性から考える必要があるということです。
一方的(かつ不当?)に有利な契約書は無効とされる余地があるという意味で、交渉力の弱いベンチャーやスタートアップにとっては価値のある判断ではないでしょうか。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です