米GitHub(ギットハブ)が運営するソフトウエア開発プラットフォーム「GitHub」上に、企業内システムの一部ソースコードが流出した問題が波紋を広げている。2021年2月2日までに、三井住友銀行のほかにITベンダーを含む5社が流出を確認していた。
問題を受けてIT関係者が危惧するのが、受託開発の現場で短絡的にGitHubの利用が制限される事態だ。コンピュータソフトウェア協会(CSAJ)は2021年2月2日、「GitHubなどのクラウド利用の萎縮につながらないよう、各社には節度ある情報セキュリティ設計を要請する」とする文書を公開した。
GitHubを巡っては、「公開や共有の権限をきめ細かく設定できる有料サービス版などが、大規模システム開発に不可欠となっている」(CSAJ理事を務めるアップデートテクノロジーの板東直樹社長)。大規模開発のスピードや質を確保するうえでGitHubや同様のクラウドサービスは必須の道具になりつつあり、その利用禁止は組織を横断したシステム開発を否定するのに等しいとCSAJは訴える。
一方で、日本のIT業界が抱える多重下請け構造の中で、開発成果物の著作権や各種の機密情報に関する知識だけでなく、社会常識まで欠いたITエンジニアによる流出リスクも浮き彫りにになった。顧客企業が被害に遭った以上、業界として対策に動く必要がある。
業務で開発したソースコードは会社の著作物
GitHub上へのソースコード流出を確認したITベンダーは、NTTデータ子会社のNTTデータ ジェトロニクス、NEC、コア、サイオス子会社のProfit Cubeの4社である。GitHubにソースコードを「投稿」したITエンジニアは、これらの元請けベンダーから委託あるいは再委託を受けた下請けベンダーで働いた経験があり、職務で開発したコードを投稿したとみられている。
流出させたとみられる当該人物は動機について、「ソースコードから年収を推定するサービスを利用するため」との旨をTwitterに書き込んでいた。加えて投稿したソースコードの著作権について「著作権法を読んだが法に抵触しないのではないか」「契約や覚書では著作権には触れてなかった」との旨の曖昧な書き込みもしていた。
著作権法では、企業に属する従業員が職務で開発したソースコードの著作権について、契約などで別段の取り決めがない限りは雇い主である企業に属すると定めている。IT関連法制に詳しいモノリス法律事務所の河瀬季弁護士は、多重下請け構造の中で「下請けベンダーと元請けベンダーの間では、ソースコードの納品とともにその著作権も元請けベンダーに移転する契約を結ぶことが一般的だ」と話す。受託開発の現場で、従業員がソースコードの著作権を持つことはまずない。
河瀬弁護士によれば、職務で開発したソースコードを無断で公開すると、著作権侵害のほかにも、不正競争防止法による営業秘密の保護違反などに問われる可能性があるという。ソースコードを投稿した当該人物はこうした知識がなかったとみられる。
