2022年12月3~4日、情報ネットワーク法学会は第22回研究大会を福岡市で開催した。新型コロナウイルス感染症拡大の影響で2020年と2021年はオンライン形式で開催したため、3年ぶりのリアル開催となった。
システム稼働後の紛争解決、判例少なく
1日目に開催された分科会「システム障害におけるユーザ・ベンダの責任分界と損害の範囲」では、システム障害におけるユーザーとベンダーとの関係を取り上げた。ユーザーがランサムウエア(身代金要求型ウイルス)被害に遭った際のサプライチェーンリスクについてケースごとに議論があった。
シティライツ法律事務所の伊藤雅浩弁護士はランサムウエア攻撃を受けた小島プレス工業やみずほ銀行のシステム障害などの例を挙げ、システム障害が相次ぐ現状を説明。そのうえで、業務委託契約のひな型や交渉のノウハウなどが蓄積されてきたシステム開発と比べて、「稼働後の保守運用契約は開発契約ほど熱心に交渉されていない。障害発生時の影響は深刻だったり、損害範囲が不透明だったりするが、紛争解決では具体的な法的ルールもなく、判例も乏しい」と課題を指摘した。
続いて、森・浜田松本法律事務所の田中浩之弁護士は「SQLインジェクション事件」の2014年8月26日東京地方裁判所判決や過去の判例を紹介しながら、契約上の義務違反や不適合、過失について解説。牛島総合法律事務所の影島広泰弁護士は過去のシステム障害やサイバー攻撃が発生した際のユーザーからベンダーへの損害賠償請求訴訟を解説した。
自社のランサムウエア被害、取引先との責任分界点を議論
その後の議論で挙がったのが、ランサムウエア被害を想定した、サイバー攻撃被害企業の取引先に対する法的責任についてである。2022年3月1日に明らかになった小島プレス工業へのランサムウエア攻撃では、トヨタ自動車など取引先の生産停止につながった。今後こうした事態を想定し、攻撃を受けた自社と、取引先との責任分界点について、TMI総合法律事務所の大井哲也弁護士が3つのケースに分類して解説し、対応を議論した。
1つ目のケースは、ランサムウエア被害により自社システムが停止し、取引先との契約の履行ができなくなったり遅れたりする場合だ。このケースでは「取引先からの損害賠償請求を受けると考えられる」(大井弁護士)とした。サイバー攻撃を想定した対策がなかったことなどが「過失」とされる可能性がある。
2つ目のケースは、自社のマルウエア感染が取引先にまで広がってしまった場合だ。自社のサイバー防衛の整備を怠っていたことが「過失」といえるかどうかなどが論点になる。
このケースも取引先から損害賠償請求を受けるリスクがある。「(自社と取引先とが)システム連携する場合は通常、セキュリティー体制の整備が契約の義務になる」(同)ためだ。「裁判所は、契約書に(義務の記述が)なくても厳しめに見ているようだ」(シティライツ法律事務所の伊藤弁護士)、「(被害の)後から見ると、過失がないことを実証するのは難しい」(牛島総合法律事務所の影島弁護士)といった意見もあった。
