作ってしまったセキュリティホール。「社員が作ったんだから、会社は知らない」って・・・そんな会社あるんだ。

ITメディアさんで連載中の「訴えてやる！の前に読むIT訴訟徹底解説」今回は、ああ自分はこんな会社に勤めてなくて本当に本当に良かった。。。と思ってしまう裁判のお話です。

IT技術者が不具合を作り込んでしまったときの責任

ベンダーでITエンジニアをやっていれば、ついついセキュリティの甘いモノを作ってしまうことは、それはまあ、あります。人間のやることですから、ましてITなんて複雑怪奇なモノを作っていれば、あっ、暗号化してなかった。セキュリティホールのあるソフトつかっちゃった。XSSやSQLインジェクション、全部対処しなかったかも。。。なんてことは、人間だから当然にあります。(私だって経験があります。)

もちろん、そうした不具合はお客さんに納品する前にベンダー内で様々なチェックやレビュー、テストなんかを行って、特にセキュリティに関しては考え得るすべての危険を排除しようと、ベンダーも技術者も頑張るわけですが、それでもまあ、人間がどこまでいってもザルである以上、それを何枚重ねても、どうしても、どうしても、どこかしらに穴の空いたソフトウェアを納品してしまうってことだってあるわけです。

そんな時、当然、お客さんは怒ります。自社の顧客情報が漏れたり、自社の業務を止められたりしたら大変ですからね。怒るのは当然だし、すぐにでも無償で直せ！被害が出たら損害賠償だ！ってことにはなるわけです。そして、そこで対応がうまくいかないと、お客さんの方は、業を煮やして「じゃあ、裁判だ！」ということになります。今回、ご紹介している裁判も、そんな感じのもので、実際にベンダーが作り込んでしまったセキュリティホールによって実害が発生してしまい、その損害の賠償をユーザーであるお客さんがベンダーに請求するという、まあ、ここまでは、よくあるお話です。

その責任を会社が負わない主張した裁判

この裁判ではセキュリティホールをベンダーが作り込んでしまったことは、裁判所もベンダー自身も認めるところです。だったら、素直に損害賠償するかと思いきや、、、このベンダー企業は以下のような反論をします。

会社としては、(セキュリティホールを作り込んだ) 社員に対して然るべき管理は行っていた。だから、会社には責任はない！

ああん？そんなことあるの？　判決文を読んでいた私も、思わず顔をしかめて何度もその部分を読み返しました。社員の作ったセキュリティーホールの責任を会社が負わない？じゃあ、もしユーザー企業が社員自身を訴えたら、社員が個人で莫大な賠償金を払うの？なんて冷たい会社、雇用契約書はどうなってるんだ。。。そんな風に考えるのはわたしだけでしょうか？

冒頭述べましたように(述べるまでもないですが)、ソフトウェアなんてものを作っていればミスはいくらでもおかします。それを会社として品質保証する為に、ベンダーは第三者レビューをやったり、様々な内部的な施策を講じなければならず、それでも不具合がお客さん先で出てしまったら、それは会社の責任でしょうと普通にそう思ってしまいます。無論、会社内においては、ミスをした社員の評価を下げたり、ボーナスを減らしたりと、それは私的自治の問題として好きにやってくれてよいのですが、少なくとも対外的には、「社員の責任は会社の責任です。」というのが企業というもののとるべき立場ではないでしょうか？自動車にリコールが発生した時、その損害賠償を不具合を作り込んだ社員がするなんてありえない。。。それが常識だと思うのですが。。。

裁判所の判断にも？がたくさん。。。

さて、ではこの訴えについて、裁判所がどのように判断したのか。。。私の中には裁判所の判断にもたくさんの「？」が残っているのですが、皆さんはどのようにお考えでしょうか？とにかくご一読ください。

従業員が作ったセキュリティホールの責任を会社が取るなんてナンセンスです