弁護士法人 モノリス法律事務所03-6262-3248平日10:00-17:00(年末年始を除く)

法律記事MONOLITH LAW MAGAZINE

IT・ベンチャーの企業法務

サイバー攻撃で損害。システムベンダーの損害賠償責任は?契約書記載例を解説

サイバー攻撃

近年、企業に対するサイバー攻撃は増加の一途をたどっています。

特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)の調査によると、個人情報情報漏えい事件のうち不正アクセスの割合は、2013年時点では全体の4.7%ですが、2018年には20.3%まで増加しています(2018年 情報セキュリティインシデントに関する調査報告書)。

この記事では、サイバー攻撃を受けた際にシステムベンダー側が負う責任範囲を、過去の裁判例をもとに解説します。また、ベンダーとユーザーが共同してサイバー攻撃対策をするために、契約書で決めておくべき役割や責任範囲についても、モデル契約書をもとに解説します。

システムベンダーはサイバー攻撃の損害賠償責任を負う?

システムベンダーはサイバー攻撃の損害賠償責任を負う?

ユーザー側の企業がサイバー攻撃を受けて損害が発生した場合、まず責任追及されるべきはサイバー攻撃の加害者です。しかし、システム開発・運用の過失により攻撃を受けやすくなった可能性があれば、ユーザー側からシステムベンダー側に対する損害賠償請求が認められることもあります。

システムベンダー側が追及される損害賠償請求の根拠としては、以下のものがあります。

  • 契約不適合責任
  • 善管注意義務違反

ただし、ユーザー側の落ち度によって、被害が拡大することもあるでしょう。その場合はユーザー側の責任も認められます。実際の裁判では過失相殺として斟酌され、システムベンダー側に対する損害賠償が制限される事案もありました。

関連記事:サイバー犯罪の3分類とは?各パターンの被害対策を弁護士が解説

システムベンダーの損害賠償責任と契約書記載例

システムベンダーとユーザーである企業とのITシステム契約の代表例としては、以下の3つがあります。

  1. ソフトウェア開発契約
  2. システム保守・運用契約
  3. クラウドサービス利用契約

損害賠償責任は当初の契約によって判断されるため、以下で契約類型ごとに解説します。

ソフトウェア開発契約

ソフトウェア開発契約とは、ユーザー側の企業がソフトウェアベンダーに対して自社システムの開発業務を委託する際に締結される契約です。

ユーザー側の企業がサイバー攻撃を受けた際にソフトウェアの脆弱性が被害拡大の原因となった場合、ユーザーからベンダーへの責任追及が認められます。

システムベンダー側の負う責任は、ソフトウェア開発契約の種類によって以下の2つがあります。

  • 請負契約:契約不適合責任
  • 準委託契約:善管注意義務違反

請負契約

請負契約とは、システムの完成を約束し、その成果物に対して報酬が支払われる契約です。

引き渡した成果物が「契約の目的に適合しなかった」場合、引き渡しから一定期間、請負人に契約不適合責任(民法第559、第562条)が発生します。

つまり、サイバー攻撃で容易にシステム障害を起こす程度の成果物は「契約の目的に適合しない」として、ユーザー側から契約不適合責任による損害賠償を請求されるおそれがあるのです。

この請求が認められるかは、当事者間であらかじめ決めていたソフトウェアのセキュリティ水準によります。

【契約不適合責任記載例】

第〇条 前条の検収完了後、納入物についてシステム仕様書との不一致(バグも含む。以下本条において「契約不適合」という。)が発見された場合、甲は乙に対して当該契約不適合の修正等の履行の追完(以下本条において「追完」という。)を請求することができ、乙は、当該追完を行うものとする。但し、甲に不相当な負担を課するものでないときは、乙は甲が請求した方法と異なる方法による追完を行うことができる。

2. 前項にかかわらず、当該契約不適合によっても個別契約の目的を達することができる場合であって、追完に過分の費用を要する場合、乙は前項所定の追完義務を負わないものとする。

3. 甲は、当該契約不適合(乙の責めに帰すべき事由により生じたものに限る。)により損害を被った場合、乙に対して損害賠償を請求することができる。

引用:情報システム・モデル取引・契約書(第二版)

準委任契約

準委任契約には、契約不適合責任の適用はありません。成果物の完成義務を負わないからです。代わりに、「善良な管理者の注意をもって委任の事務を処理する義務」(善管注意義務)を負います。

サイバー攻撃によってシステム障害が起きると、契約時にセキュリティ水準を決めていなかったとしても、その程度のシステムを開発したことが「善管注意義務違反」(民法第656条、第644条)とみなされ、損害賠償請求を受ける可能性があるのです。

【善管注意義務記載例】

第〇条 乙は、第〇条所定の個別契約を締結の上、本件業務として甲が作成した情報システム構想書、システム化計画書等に基づいて、甲による要件定義書の作成作業を支援するサービス(以下「要件定義作成支援業務」という。)を提供する。

2. 乙は、情報処理技術に関する専門的な知識及び経験に基づき、甲の作業が円滑かつ適切に行われるよう、善良な管理者の注意をもって調査、分析、整理、提案及び助言などの支援業務を行うものとする。

引用:情報システム・モデル取引・契約書(第二版)

システム保守・運用契約

システム保守・運用契約とは、企業がソフトウェアベンダーに対し、既存のソフトウェアの保守・運用にかかる業務を委託する契約です。保守・運用契約締結の際には、満たすべきセキュリティ水準を業務仕様書などで契約書の中に盛り込んでおくケースが一般的です。

サイバー攻撃によって損害が発生した際、システムのセキュリティ水準が契約時に合意した水準より下回っていれば、契約不適合の条項を根拠として、債務不履行責任が追及されます。

ただし、あらかじめセキュリティ水準を規定していない場合には、サイバー攻撃に対して脆弱なシステムを保守・運用していたことが善管注意義務に反するとして、責任追及されるでしょう。

クラウドサービス利用契約

クラウドサービス利用契約とは、ベンダーがクラウド上で提供するサービスを利用する際に締結する契約です。ベンダーが多数のユーザーに同一サービスを提供することが想定されるため、ベンダーが定める利用規約に従って契約することが多いでしょう。

一般的に、この契約では、サイバー攻撃によってサービスが提供できなくなった場合の責任について、あらかじめ記載されています。

クラウドサービス利用契約では、通常、契約時に下記を規定します。

  • SLA(Service Level Agreement):品質についての保障と運営ルール
  • 責任限定条項:損害発生時のベンダー側の債務不履行責任範囲

SLAとは、利用者側の要求水準と提供者側の運営ルールを明文化したものです。ここで規定したサービスの提供を受けられなかった場合、一部債務不履行として損害賠償請求をすることができます。また、契約書内でベンダー側が債務不履行請求を受ける要件をあらかじめ限定し、責任が認められる場合でもその賠償額を制限する「責任限定条項」が設けられることもあります。

ただし、責任限定条項はベンダー側に有利な規定が多いため、争いになれば日本の判例法理によって一部制限を受ける場合があります。

【責任限定条項の記載例】

第〇条 甲及び乙は、本契約及び個別契約の履行に関し、相手方の責めに帰すべき事由により損害を被った場合、相手方に対して、(○○○の損害に限り)損害賠償を請求することができる。但し、この請求は、当該損害賠償の請求原因となる当該個別契約に定める納品物の検収完了日又は業務の終了確認日から○ヶ月間が経過した後は行うことができない。

2. 本契約及び個別契約の履行に関する損害賠償の累計総額は、債務不履行(契約不適合責任を含む)不当利得、不法行為その他請求原因の如何にかかわらず、帰責事由の原因となった個別契約に定める○○○の金額を限度とする。

3. 前項は、損害賠償義務者の故意又は重大な過失に基づく場合には適用しないものとする。

引用:情報システム・モデル取引・契約書(第二版)

システムベンダー側の損害賠償責任範囲の判断基準

システムベンダー側の責任範囲の判断基準

サイバー攻撃によってユーザー企業に損害が発生した際、具体的にどのような場合にシステムを開発したベンダー側の責任が問われる可能性があるのでしょうか。

以下で、実際にシステムベンダー側の責任が問われた裁判例をもとに解説します。

開発当時の技術水準に沿った対策を実施しているか

実際の裁判で責任が争われる場合には、システムベンダー側が開発当時の官公庁や業界団体における注意喚起やマニュアルなどに則った水準のセキュリティ対策を実施していたかが重視されます。

サイバー攻撃による損害に対し、システムベンダーに損害賠償を命じた以下のような裁判例があります。

【裁判例】東京地判平成26.1.23
ユーザー:インテリア商材の小売、通信販売をおこなうX社
ベンダー:ウェブ受注システムの設計、保守等の委託を請け負っていたY社

サイバー攻撃によって顧客のクレジットカード情報7,000件が流出した事件

■判決
システムベンダー側に約2,000万円の損害賠償命令
開発代金を約200万円上回る金額が認められた
X社にも過失が認められ、30%の過失相殺

■理由
・当時の技術水準に沿ったセキュリティ対策実施義務をシステムベンダーが怠った。
・システムベンダー側からリスク説明を受けておいたにも関わらずその対策を怠ったユーザー会社側にも過失あるとして、過失相殺30%とした。

2014年当時、サイバー攻撃の手段として「SQLインジェクション攻撃」が主流であり、経済産業省も「個人情報保護法に基づく個人データの安全管理措置の徹底にかかる注意喚起」という文書を公開してサイバーリスクを指摘し、システム強化を呼びかけていたという背景がありました。

判決は、対策をとっていなかったシステムベンダー側の責任を認めて損害賠償を命じる一方、ユーザー会社にも過失があるとし、30%の過失相殺を認めました。

ユーザー側企業に落ち度があるか

システム開発を発注するユーザー側の企業にも負うべき義務があり、落ち度があれば全責任を負う可能性もあります。

以下は、サイバー攻撃の事例ではありませんが、ユーザー側の企業の責任を全面的に認め、損害賠償を命じた判例もあります。

【裁判例】旭川地判平成29.8.31

ユーザー:大学病院
ベンダー:大学病院から電子カルテシステム開発を依頼されたシステム会社

プロジェクト開始直後から、現場の医師たちによる追加要求が相次いだ。
要望は止まらず開発は遅延、大学病院側は遅延を理由に契約解除通告した。

■判決(控訴審)
大学病院側に約14億円の賠償命令
双方に賠償を命じた第一審判決を破棄

■理由
・追加要望に応じれば納期に間に合わないとのベンダー側の警告に、病院側が耳を貸さなかったことが問題視された。

この裁判は、システムの開発遅延によりユーザー側が契約解除を通告したことで、ユーザー側とベンダー側がそれぞれ相手に賠償請求を求めて提訴した事件です。

判決では、システムベンダー側からの警告にユーザー側が耳を貸さなかったことを開発遅延の原因と認定し、ユーザー側に100%の責任を認め、ユーザーからの請求を退けました。ベンダー側には、納期に間に合うようプロジェクトの進捗を管理する「プロジェクト管理義務」があります。対してユーザー側にも「協力義務」があり、それを怠った場合には、全責任を負うこともあり、実際の裁判上ではその割合によって賠償責任が決まるのです。

安全なシステム開発のための3つのポイント

当事者が共同してサイバー攻撃に対処する

サイバーリスクなどに備えるためには、ユーザー側、ベンダー側双方が共同して対策に取り組むことが重要です。

以下で、ベンダー、ユーザーがそれぞれの立場でできる対策について解説します。

官公庁等が指摘しているサイバーリスクを把握する

システムベンダー側は、経済産業省や独立行政法人情報処理推進機構(IPA)などの専門機関から出ているガイドラインを確認し、現在のサイバーリスクやその対策方法を把握したうえで、開発・運営にあたるべきでしょう。

また、ベンダー側はもちろん、ユーザー側の企業も内容をある程度把握したうえでガイドラインに沿った開発・運営を依頼し、契約書にセキュリティ水準の条項を入れておきましょう。

参考:経済産業省|サイバーセキュリティ経営ガイドライン Ver 2.0

参考:情報処理推進機構|安全なウェブサイトの作り方

特に、金融分野等では法令やガイドラインで高度なセキュリティが求められている場合があります。暗号資産に関するセキュリティ対策については、以下で詳しく解説しています。

関連記事:暗号資産(仮想通貨)に関するセキュリティ対策とは?3つの流出事案とともに解説

当事者双方がセキュリティの必要性について理解する

経済産業省の「サイバーセキュリティ経営ガイドラインVer2.0」には、「サイバーセキュリティ対策は経営問題」であることが明記されています。

セキュリティのことはわからないからといってベンダー側に丸投げするのではなく、企業側もそのリスクマネジメントを経営の一部と考え、責任をもって対策に取り組むべきでしょう。

当事者が共同してサイバー攻撃に対処する

サイバー攻撃を受けたときは、発注者側とベンダー側が責任を押し付け合うのではなく、協力して被害を最小限に抑える努力をすべきです。

ところが、システム開発の発注者側と受注者側では発注者の立場が強くなりがちで、システム開発がコストと納期を中心に進められてしまう傾向があります。ベンダー側が十分なお金も時間も与えられず、セキュリティに対する提案をしても受け入れられないこともあるでしょう。

しかし、ガイドラインでは、ユーザー側企業はセキュリティ対策の実施を「コスト」と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけて「投資」と捉えるべきと指摘しています。

システム開発では、ベンダーとユーザーが対等な立場で共同してサイバー攻撃に対処していくことが重要です。

まとめ:システム開発契約書作成は弁護士に相談を

サイバー攻撃を受け損害が発生した場合、システム開発に携わったベンダーがサイバーリスク対策を怠ったとして、ユーザー企業側から責任追及されることがあります。

しかし、ベンダーに対する協力義務を怠ったユーザー企業側にも責任はあるのです。

サイバー攻撃の被害を最小限に抑えるためには、契約書でシステム水準やそれぞれの責任範囲を決めておく必要があるでしょう。

システムの開発などの契約書作成には、ガイドラインの内容や現在のサイバーリスクなどを把握する、高度な専門知識をもった弁護士に相談しましょう。

当事務所による対策のご案内

モノリス法律事務所は、IT、特にインターネットと法律の両面に高い専門性を有する法律事務所です。システム開発契約にあたっては契約書の作成が必要です。当事務所では、東証上場企業からベンチャー企業まで、様々な案件に対する契約書の作成・レビューを行っております。もし契約書についてお困りであれば、下記記事をご参照ください。

モノリス法律事務所の取扱分野:システム開発関連法務

弁護士 河瀬 季

モノリス法律事務所 代表弁護士。元ITエンジニア。IT企業経営の経験を経て、東証プライム上場企業からシードステージのベンチャーまで、100社以上の顧問弁護士、監査役等を務め、IT・ベンチャー・インターネット・YouTube法務などを中心に手がける。

シェアする:

TOPへ戻る