三井住友銀行(SMBC)など5社がソースコード流出の被害に遭った。流出させたとみられる当該人物は罪の意識なくGitHub上に公開していた。個人の問題ではあるが多重下請け構造が抱える課題が発露したとも言える。
問題が明らかになったのは2021年1月28日。Twitter上での口論を発端に、当該人物がソフトウエア開発プラットフォーム「GitHub」のリポジトリーに70本近いJavaのソースコードを公開状態で格納していることが表に出た。何本かに「SMBC」など複数の社名が記述されていたため、話題となった。
明けて1月29日、日経コンピュータの取材に対し、SMBCは「当行が使うシステムのソースコードが公開されていたのは事実」(広報部)と、流出の被害を認めた。ソースコードは複数ある事務支援系システムの1つに含まれるエラーチェック処理の一部という。
行員が行内で使うもので、流出したソースコードは顧客情報などを扱わず、セキュリティーにも影響はないとした。流出経路については、行内からでなくシステム開発の委託先から流出したとみている。当該人物のリポジトリーは同日までにアクセスできなくなったが、既に複製・拡散されていた。
SMBCに続き、2月2日にかけてNTTデータ ジェトロニクス、NEC、コア、Profit Cubeの4ベンダーも流出の被害を認めた。いずれもセキュリティー侵害や個人情報漏洩はなく、自社グループからの流出でもないとする。
把握し切れぬ多重下請けの全体像
当該人物は被害に遭った各社から委託あるいは再委託を受けた下請けベンダーで働いた経験があり、職務で開発したソースコードをリポジトリーに格納したようだ。動機は、公開リポジトリー内のソースコードから年収を推定するサービスを利用するためだった。
実際にファインディが運営するITエンジニア向け年収診断サービス「Findy」を使い、「今は年収300万円だが診断すると600万円と出た」旨をTwitterに投稿していた。加えて業務で開発したソースコードの著作権について、「著作権法を読んだが法に抵触しないのではないか」「契約や覚書では著作権には触れてなかった」との旨の曖昧な書き込みもしていた。
著作権法は、従業員が職務で開発したソースコードの著作権は契約などで別段の取り決めがない限り、雇い主である企業に属すると定める。IT関連法制に詳しいモノリス法律事務所の河瀬季弁護士は、多重下請け構造の請負開発では「ソースコードの納品とともにその著作権も下請けベンダーから元請けベンダーに移転する契約を結ぶことが一般的だ」と話す。
元請け各社はソースコードや仕様書などの開発関連情報を「機密情報」と定義している。自社の従業員や下請け各社には機密情報を外部に持ち出したり私的に持ったりすることをセキュリティー規約などで禁じている。問題は、元請けから下請けへ、さらにその下請けへと委託・再委託が繰り返される多重下請け構造の全体像を、元請けが把握し切れていない可能性がある点だ。
再発を防ぐには、元請け各社が多重下請け構造の全体像を把握するのはもちろん、下請け各社と協力して関係者全員に著作権や開発者の順守規約に関する教育を徹底する必要がある。近道はない。
