インターネット・エクスプローラー問題

「インターネット・エクスプローラー(Internet Explorer) を使っていると、外部からパソコンを乗っ取られる可能性がある」との問題が報じられて、世間を賑わせています。

「マイクロソフトのネット閲覧ソフト「インターネット・エクスプローラー(IE)」のバージョン6から最新版までに未修正の欠陥が見つかったとして、使用を中止するよう警告した。代替ソフトを使うよう呼びかけている。第三者がパソコンを遠隔操作できる標的型攻撃を受ける恐れがある。」
(日本経済新聞平成26年4月29日(火)朝刊より)

この報道を受けて、GW前半明け初めてのウィークデーとなった4月30日には、仕事でインターネット・エクスプローラーの使用を禁じる、という会社が出ているようです。
その一方で、金融機関など、社内のシステムがインターネット・エクスプローラーを前提に開発されていて、インターネット・エクスプローラーを使用できないとなると仕事ができない、という会社もあるようです。

そもそも、マイクロソフト社は「代替ソフトを使うよう呼びかけている」とのことですが、インターネット・エクスプローラーを使っている会社は、GoogleChrome、Firefox、Safariなどの代替ソフトをダウンロードするためにインターネット・エクスプローラーを使用しなければならないという矛盾を抱えているのではありますが・・・(それは、さておき)

この問題についてユーザーが取るべき対処を、情報処理推進機構が発表しています。
http://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html
↑こちらを参照されるのがわかりやすいかと思います。

システム、アプリ開発業者の法的責任

今回の件をきっかけに考えておきたいのは、報道後もインターネット・エクスプローラーを使い続けた。そうしたら、第三者から標的型攻撃を受け、パソコンを乗っ取られた。その結果、パソコンを外部から遠隔操作され、不正送金などをさせられた。なおかつ、パソコン内から自社の企業秘密、ID・パスワードのほか、取引先の企業秘密を盗み出された。このような場合に、欠陥・バグがあるアプリケーションを開発・作成・頒布している企業には法的責任は生じないのか、という問題です。

この問題を考えるに当たって参考になるのが、ジェイコム株式誤発注訴訟控訴審判決です(東京高裁平成25年7月24日)。

ジェイコム事件とは

ジェイコム事件とは、簡単に要約すると、みずほ証券が、東京証券取引所のシステムを利用して、ある株式について「61万円1株」と売り注文すべきところを、誤って「1円61万株」で売り注文し、その後に売り注文の取消注文をしたが、取消ができなかった。そこで、東京証券取引所に債務不履行(みずほ証券と東証との契約上の義務違反)と不法行為(売買停止義務違反)を理由に損害賠償請求を求めた、という事案です。

ジェイコム事件でシステム開発に関連した2つの争点-「債務不履行(不完全履行)」と「重大な過失」

この裁判ではたくさんの争点がありましたが、その中に、欠陥・バグがあるシステムを提供した企業の法的責任に関する言及がありました。
具体的には、東証がバグのあるシステムを証券会社に提供したことは不完全履行になるのかどうかという点と、不完全履行を履行したことに東証の重大な過失があるのかどうかという点です。

1つめの不完全履行の成否については、東京高裁は不完全履行になると判断しました。

本件売買システムには本件バグが存在し,本件売り注文に関して,本件売買システム上での取消処理が実現されないという本件不具合が発生した。したがって,被控訴人の負う適切に取消注文処理ができるコンピュータ・システムを提供する債務(狭義のシステム提供義務)の履行は不完全であった。」

2つめの重大な過失の有無については、東京高裁は重大な過失はないと判断しました。

本件においては,一定の蓋然性ある事実として,本件バグの発見等が容易であることを認定することが困難であったということに尽きる。争点の性質上,司法判断としてはやむを得ないところである。また,本件不具合が複数の条件が重なることにより発生する性質のものであったことも,被控訴人において,結果の予見が可能であり,かつ,容易であったとの認定を阻むものである。
 以上によると,本件においては,被控訴人の重過失(著しい注意義務違反)の要件である結果の予見が可能であり,かつ,容易であること,結果の回避が可能であり,かつ,容易であることが充足されていないことになる。したがって,被控訴人は,取消注文に対応することのできない売買システムを提供するという債務不履行があったが,重過失があったものと評価することはできない。」

この2つの争点のうち、1つめの不完全履行になるというのは、非常にわかりやすいです。
システムやアプリケーションを開発・作成・提供・販売している企業が注意をすべきは、2つめの重大な過失の有無についての裁判所の判断過程です。
どのような思考プロセスを経て、このような結論に至ったか、ということです。

「重大な過失」の判断過程

裁判所は、「バグを簡単に見つけられる」ということだけを理由にして、重大な過失の有無を判断していません。
これは重大な過失だけではなく、通常レベルの過失の有無の判断のときにも同じです。

重大な過失の有無を判断するにあたって、バグを簡単に見つけられるとしても、それによって、不具合が発生することまで予見できたか(想像できたか)、しかも、簡単に予見できたのか、ということを、まず判断します。
法律の世界では「結果予見可能性・容易性」と呼ばれる要件です。
この部分について、裁判所は、「不具合は複数の要件が重なることによって発生する性質のもの」などを理由にして、結果予見可能性・容易性はない、と判断しました。

もう一つ注意すべきは、万が一、不具合という結果の発生が予見できて、しかも、簡単に予見できるものと判断されたとしても、それでもまだ、重大な過失ありということにはならない、ということです。

結果の発生を避けることができ、しかも、それが簡単に避けられるのかどうか、ということが、次に判断されます。
法律の世界では「結果回避可能性・容易性」と呼ばれる要件です。
ジェイコム事件では、結果「予見」可能性・容易性がないことを理由に「重大な過失」はない、と判断したので、この「結果『回避』可能性・容易性」については判断するまでもありませんでした。

ジェイコム事件からシステム、アプリ開発業者が学ぶべきこと

さて、ジェイコム事件判決から、システムやアプリケーションの開発・作成企業は、何を学ぶべきでしょうか。

開発・作成過程で、バグの有無を検証するだけでは足りないということはわかると思います。
それに加えて、もしバグが存在したら、どんな問題が起きるのかを可能な範囲で想定しておくことも必要だということです。

どういうことかというと、不具合が発生した後に「まさか、このバグで、そんなことまで起きるとは思わなかった」と開発する側が思っていたとしても、「通常の技術レベルがあれば、そんなこと簡単にわかるだろ」というのであれば、結果予見可能性・容易性があったのに、予見していなかったという、重大な過失ありという方向に評価されていきます。
「通常の技術レベルを以てしても、そんなことが起きるとは想像もできない」というのであれば、結果予見可能性・容易性はなかったということで、重大な過失はなしという方向で評価されていきます。

つまり、社内の「通常の技術レベル」を日頃から高めておくことが必要だということです。
「あの会社の技術集団のレベルをもってしても開発時に気がつけないなら、しょうがない」と思われれば、重大な過失はない、という評価になっていきます。

一言でいえば、「SEをちゃんと勉強させましょう」・・・ということです(こんな簡単な一言まとめでいいのかな)。

インターネット・エクスプローラーを修正することなく使い続けた場合の法的責任

さて、インターネット・エクスプローラーの問題に話しを戻します。
今回、新聞・ニュースで大々的に報道されています。
しかも、企業によっては、インターネット・エクスプローラーを使用禁止とする会社が出ています。
さらに、マイクロソフト社も、当面の対応ということを発表しています。

この状況下でインターネット・エクスプローラーを使用し続けて、標的型攻撃を受けたら、悪いのは、マイクロソフト社よりも使用したユーザー側ということになりましょう。
もし、万が一、標的型攻撃を受け損害が発生して、マイクロソフト社に損害賠償を請求したとしても、マイクロソフト社の過失ありといえるのかどうか疑問です。
仮に、マイクロソフト社に過失があるという判断になったとしても、この状況下でインターネット・エクスプローラーを使い続けるユーザー側の非も相当に大きいのは間違いありません。
そうなると、相当程度、過失相殺され、ユーザーがマイクロソフト社を訴えたとしても、法的責任はあるけれど賠償金をとることは難しいということになりそうです。

それどころか、ユーザー側がインターネット・エクスプローラーを使い続けて、取引先の情報や顧客情報を漏えいなどしてしまったら、そのときには、ユーザー側が取引先や顧客から訴えられて、損害賠償責任を負うということになるかと思います。

 

【2014/05/02追記】
マイクロソフト社は、今日からインターネット・エクスプローラーの修正プログラムを配布し始めました。