11月2日,3日に関西大学で行われた情報ネットワーク法学会研究大会のシステム開発分科会において主査を務めた。
今年のテーマは,「セキュリティ要件におけるベンダ・ユーザの責任分界点」。これまで取り扱っていたSIプロジェクトの実行中のトラブルとは少し異なり,いったん納入・稼働しているシステムでハッキング事故が起きた場合に,開発ベンダの責任について焦点を当てたものだ。
登壇者はモデレータの私のほか,昨年と同様,大井哲也先生(TMI),影島広泰先生(牛島総合)。
大井先生と影島先生からは事例紹介が行われた。
そのうえで,私から論点整理とディスカッションの進行。
納入後にセキュリティ事故が起きた場合において,その対策を施すことが仕様書等に明示されていたにもかかわらず対応していなかった場合には,ベンダが責任を負うことについては争いがない。また,逆に,契約締結当時あるいは納品時において未知の脅威が,将来発生して攻撃を受けたというような場合には,開発契約上の責任を負わないことについても争いがない。
問題は,契約締結当時に既知の脅威について,十分な対応を取っていなかった場合(かつ,仕様書にも記載がなかった場合)に,ベンダは責任を負うのかどうかという点だ。
この点は,さまざまな場合分けが考えられるところで,上記各事例で表れた事情などから読み取れる要素を挙げながらディスカッションをしていたら,あっという間にタイムアップになってしまった。
今年も登壇いただいた両先生からは大変勉強になったし,会場あるいは懇親会でも様々なご意見をいただいた。始める前はうまくいくかどうか毎回不安だし,準備も大変ではあるが,やってみると自分が一番勉強になる。
最後に,この分科会で紹介した事例を扱った別館ブログのリンクを貼っておく。