プログラムバグによりセキュリティ上の問題が生じた場合の責任
こんにちは、丸山満彦です。海外で「バグの責任は開発者個人にあるのかベンダーにあるのか」という話が話題になっているようですが、議論がちょっとかみ合っていないようにも思いながら・・・
■ZDnet Japan
・2005.10.21 「バグの責任は開発者ではなくベンダーに」--白熱する議論に著名セキュリティ専門家が参戦
■CNET Networks
・2005.10.20 Expert: Vendors, not coders, to blame for bugs
■ZDnet Japan
・2005.10.13 「プログラムのセキュリティ欠陥は開発者個人の責任」:セキュリティ専門家の発言に波紋
■CNET Networks
・2005.10.12 Expert: Hold developers liable for flaws
バグによって被害を受けたソフトウェア購買者の被害に対して誰が責任を負うのか?という問題だとすると、契約にもよりますが、開発者個人が責任を負わなければならない状況ってあまりないように思いますね。
車に問題があった場合に、車を組み立てた個人に責任を問うことがあるのでしょうかね。
このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。
Comments
丸山 様
夏井です。
日本では,開発者とベンダのそれぞれに過失があるのであれば,両方とも共同不法行為者として連帯責任があるので,法律上議論すべき論点はほとんどないですね。
ちなみに,ベンダは安全な商品を販売すべき注意義務を当然に負っているので,開発者ではないという理由で責任を逃れることができません。また,開発者はバグのないソフトウェアを開発すべき注意義務があるので,販売者ではないという理由で責任を逃れることができません。責任を負いたくなければ,開発も販売もしなければ良いので,非常に簡単です。
Posted by: 夏井高人 | 2005.10.26 08:47
夏井先生、コメントありがとうございます。注意義務を果たしたかが問題ということですね。
「じゃぁ、どこまですれば注意義務を果たしたといえるんの」という質問がくると思いますが、周りを見ながら、開発会社ならこの程度はするべきだろうということを決め、承認した上できちんとソフトウェア開発と品質管理をして、文書に残しておけばよいのではないでしょうかね。で、どの程度・・・。これは、経営の問題なので、ソフトが使われる環境や状況を想定して、決めていくしかないように思います。経営判断までアウトソーシングはできないですからね・・・
Posted by: 丸山満彦 | 2005.10.26 09:21
高橋です
セキュリティバグについては、リリース時の問題と、その後の問題の二つの側面がありますね。
リリース時において、予見し得た・もしくはすべきものだったもの(これを社会通念から判定するとしてその具体性はという問題もある)は別として、一般のものとしては、パッチのポリシによらざるを得ないのではないかというのが私の意見です。
シュナイヤー氏のいうしょせんは経済上の問題よというのは、まさにそのとおりだとは思います。
以下のような報告書もあります。
http://www.ipa.go.jp/security/fy15/reports/vuln_law/documents/vuln_law_2004.pdf
Posted by: 高橋郁夫 | 2005.10.26 12:25
高橋 先生
夏井です。
情報セキュリティの文脈だと新たな脆弱性と攻撃方法が発見された後の時点とその前の時点とでは予見義務や結果回避義務が異なるのは御指摘のとおりだと思います。それぞれの時点において通常人が尽くすべき注意義務の程度とはそうしたものだと思います。
なお,パッチだけで全ての義務を履行したと考えることはできないと理解しています。
債務不履行のパターンで考えてみると,不完全履行に該当するわけですから,修補によって補うことのできることについては修補によるべきなのでしょう。しかし,それによって発生するコストが非常に大きい場合には,契約解除(+損害賠償請求)も当然できるわけで,その場合になすべきソ双方の原状回復義務の内容がきちんと検討されなければなりませんね。
不法行為では,損害賠償請求しか認められていないので,パッチによる解決で損害額が将来に向かっては減額されるかもしれないですが,過去の損害を減殺する抗弁事由には絶対になり得ないので,この過去の損害についての賠償責任に関する限り,共同不法行為者としてのベンダと開発者の責任を減免する理由には一切なり得ないと解しています。
なお,将来的には,自動車などと同じようなリコール制度が世界規模できちんと確立されるべきだと思っています。
Posted by: 夏井高人 | 2005.10.26 16:44
高橋先生、夏井先生、コメントありがとうございます。
お二人のお話をみて、なるほどなるほど・・・と感心しております。IPAの報告書は大作ですね。
リコール制度というのは面白いですね。こういう制度がいるかどうかは、社会的な要請かなぁ・・・と思っています。でも、IPネットワークが社会のインフラというのであれば、社会的に重要であるので、そういう制度が必要という話に近づきますね。
Posted by: 丸山満彦 | 2005.10.27 02:00
夏井先生
高橋です
>不完全履行に該当するわけですから,修補によって補うことのできることについては修補によるべきなのでしょう。
ここについては、そもそも、サポートポリシーによってのみ処理するという契約条件をどの程度有効なものとみるのかということになると思っています。
いまのところのベンダのベストプラクティスは、脆弱性対処については、ベストは尽くします、でも、修補するという保証はしませんというところのような気がして、自分としては、これは否定できないかなとは思っています。
これについては、これを前提としていいとする立場と上記約款の有効性を認めない立場がぶつかっているというのもいうまでもありませんね。
IPAの報告書では、できるだけ広く論点を拾いだして、波風立たないような報告にしていることもありますけど、法律家向けにきちんとかかないとということだけははっきりしてますね。
そう言い続けて、1年がたってしまったような気が。
Posted by: 高橋郁夫 | 2005.10.28 01:13
高橋先生、コメントありがとうございます。IPAの報告書の内容を法律の観点からよりつめていくという話、そういえば前からしてましたね・・・思い出した。いつできるんですか???。
1年間の楽しみにしておこっと・・・
Posted by: 丸山満彦 | 2005.10.28 10:30
高橋 先生
夏井です。
バグの内容・程度や損害の大きさ(一般に、「損害発生が容易であること」や「損害の規模・程度が大きいこと」は、当該ソフトウェア等に含まれる欠陥等の重大性を推認する重要な間接事実になる。)によっては約款による免責が無効となり得るという点については、日米欧の学説・判例ともまったく異論がないので、一般論としては、この点も特に重要な論点にはならないですね。「サポートポリシーによる」とする約款が「どのような場合にでも常に有効である」とする学説・判例は存在しないと思いますし、もし存在するとしても裁判所によって冷淡に無視される考え方だと思います。
問題は、個別具体的な事例において、「サポートポリシーによる」とする免責約款(?)が有効に機能するかどうか、そして、そのための判断基準は何かになりますが、それは個々のベンダなどの企業の顧問弁護士が考えるべきことなので、ここでは一切コメントしないことにしましょう。(笑)
Posted by: 夏井高人 | 2005.10.28 10:42