自治体システムへの不正アクセスとベンダの責任 前橋地判令5.2.17（令2ワ145） - IT・システム判例メモ

ファイアウォール設定の誤りの脆弱性により不正アクセスが行われ、自治体のシステムから個人情報の漏えいした疑いがある件について、ベンダの重過失が認められた事例。 事案の概要 前橋市（Ｘ）は、MENETと呼ばれる情報教育ネットワークを有しており、そのデータセンタの移管設計・構築業務を、NTT東日本（Ｙ）に委託し（本件委託契約）、その後の保守業務も委託していた（月額100万円。本件保守契約）。 平成29年8月ころからMENETの公開用サーバへの不正アクセスがあり、平成30年3月には調査の結果、児童・生徒・保護者に関する多数の個人情報が流出した可能性が高いことが明らかとなった（本件不正アクセス）*1。本件不正アクセスは、サーバにバックドアが仕掛けられ、ファイアウォールの設定とが相まって発生したものだとされた。 Ｘは、(1)本件委託契約に基づいて、ファイアウォールを適切に設定しなかったことが債務不履行

[csal8040]

技術力が高いベンダほど重い責任を負うことになり、逆にユーザは技術力を高めると保護されにくくなるという事態を招きかねません。こうなってしまうと、ユーザは、いつまでも「ベンダにお任せ」という状態に

[lainof]

FWの設定内容をドキュメント上でユーザが確認するのは無理でも、外部から通信できないことを確認する受入試験(or ベンダーの試験結果の確認)ぐらいするべきでは？

[yabu_kyu]

「本件システムの完成図書の交付を受けた者がその全体を見て本件システムが自らの要求を満たすものであるか否かを確認することは現実的に困難であり、不可能に等しいものというべき」じゃあ受入試験は何見てるん？

[tetsutalow]

この判決はかなりトンデモ。第三者委員会報告書によればMENETは教委の特定の職員により作られた。引き継いだベンダに十分な情報が渡らず稼働が優先されて不適切な設定になったが稼働を強いたのはユーザではないのか。

[paradisemaker]

警備会社に委託してたのに金庫室に鍵かけてませんでした、みたいな話なので当然かなと

[kanazawawan]

自治体システムは、金がないし、担当者も数年で変わるしその場所の業務や技術に疎い、さらにトラブルあると左翼メディアが必要以上に叩くので、ハズレ仕事。近づかない方がよい報われない仕事

[noname774300]

やらないことをやりますって書いちゃったから……。 “①提案依頼書、提案書、要件定義書及び基本設計書には、外部ファイアウォール及び内部ファイアウォールにより通信制限を行うものと記載されていること”

[field_combat]

「全体を見て本件システムが自らの要求を満たすものであるか否かを確認することは現実的に困難であり、不可能に等しい」まあそうなんだけど、発注側は怖くないんかな

[diveintounlimit]

“ユーザは、いつまでも「ベンダにお任せ」という状態になって、ベンダのみがリスクを負担することになり、業界の健全な発展を阻害することになってしまいます。”

[s_rsak]

いい加減NTTは、ユーザーが作ったシステムの引き継ぎ案件は、爆弾が仕掛けられた危険物だということを理解すべき

[shoutarouchan]

俺達は雰囲気で受け入れ試験を実施している

[wata88]

ずっとこんなだな...

[takeda_h]

損害の範囲にある職員時間外勤務手当分をざっと割り返すと 1,800 時間くらいか。

[misomico]

ユーザーは赤ちゃんなの？