Question ソフトのセキュリティ・ホールを突かれ，社内システムがウイルスに感染しました。これにより多大な被害が出ました。原因は明らかにソフトの欠陥です。ソフト・メーカを訴えることはできないのでしょうか。

Answer ソフトウェア自体は，製造物責任法の対象にはならない。よって，欠陥だけを根拠にメーカを訴えることは難しい。ただし，その欠陥が一般的に考えて予見することができ，かつ回避し得るものならば，民事訴訟を起こして損害賠償を請求できる可能性もある。

　ソフトウェアに限らず，製造物が抱える欠陥により，人の安全が脅かされたり，財産上で被害が生じることがある。この場合，責任は誰にあるのだろう。

　原因は製造物なのだから，それを作った製造者に責任があると考えるのが自然だ。これを定めるのが，製造物責任法（http://law.e-gov.go.jp/htmldata/H06/H06HO085.html）である。いわゆる「PL（Product Liability）法」だ。製造物の欠陥によって消費者が被害を受けた場合の，製造業者の損害賠償責任を定める。1994年6月22日に国会で可決，成立した。

図5●PL法の適用対象を示した図。 有体物，無体物，サービスのうち，PL法が適用されるのは有体物のみ。有体物でも，不動産は適用範囲外

　PL法は，たとえメーカに過失がなくても，製品に欠陥があればメーカの責任を問えるとしている。セキュリティ・ホールが原因の被害も，もしこれを適用できれば，ソフトウェア・メーカに責任を求められそうに思える。

　しかし，PL法が対象とする「製造物」は，有体物である動産に限られる（図5[拡大表示]）。有体物とはその名の通り，形があるものを指す。

　ソフトウェアのプログラムは，電子情報である。電子情報は無体物だ。無体物は動産ではないから，PL法の適用範囲外である。無体物をPL法の対象にすると，その範囲が限りなく広くなってしまう。こういった理由で，対象から外されている。

　このため，プログラムにバグがあり，ユーザが何らかの被害を受けたとしても，PL法上はソフトウェア・メーカの責任は問えない。製造物が「データ」という無体物であるがゆえの特権だ。電気などの無形エネルギも，これと同じ扱いをされる。2000年問題で受けた損害の賠償をメーカに求めた裁判も起こされたが，これらもPL法を適用することは困難だった。

ソフトを組み込んだハードは対象に

　ただ，無体物であるソフトウェアはそのままでは配布できない。CD-ROMやフロッピ・ディスクなどを「入れ物」として使うのが普通だ。これらは有体物であり，PL法の適用範囲である。しかしあくまでも入れ物にすぎず，中に入った電子情報にはPL法は適用されない。

　では，OSやアプリケーションをプリインストールしたパソコンや，OSなどのソフトウェアが組み込まれた機器のように，有体物と一体となって出荷される場合は，どのような扱いになるのだろう。

　現状では，プリインストール・パソコンはPL法の対象とは考えられていない。しかし，OSやアプリケーションが組み込まれたハードウェア機器はPL法の対象となる。組み込まれたソフトウェアに欠陥があった場合，それを組み込んだ電化製品や機器がPL法の対象となる可能性がある。

　例えば，携帯情報機器に組み込まれたOSにバグがあったとする。この時製造物責任が問われるのは，その機器を製造した業者である。携帯情報機器メーカとは違うベンダの作成した組み込みOSの不具合だったとしても，それを組み込んだハードウェア・メーカの欠陥だと見なされる。つまり，この場合もソフトウェア・メーカの責任がPL法で直接問われることはなさそうだ。

過失があれば，メーカの責任は問える

　とはいえ，ソフトウェア・メーカを絶対に訴えられないわけではない。PL法の対象でなくても，契約違反などを理由に他の法律に沿って責任を追及できる場合がある。

　メーカと何らかの契約関係にあるときは，契約違反が理由になる。メーカと消費者のように契約関係でない場合は，民法709条が適用できる。条文は「故意又は過失に因りて他人の権利を侵害したる者は之に因りて生じたる損害を賠償する責に任ず」。これを「不法行為責任」と呼ぶ。予見できる欠陥は，製品出荷前に修正すべきである。これを怠り，欠陥を残したソフトウェアをそのまま販売したのなら，メーカに過失があると考えられる。この場合は，不法行為責任を根拠にメーカを訴えられる注12）。ただしその欠陥が一般的に予見できないものと判断されれば，メーカに過失はないことになり，責任は問われない可能性が高い。

　つまり，ソフトウェアのセキュリティ・ホールを突かれて社内システムがウイルスに感染した場合は，そのセキュリティ・ホールがどんなものかによって判断が変わることになる。例えば，それまで誰も気づかなかったセキュリティ・ホールを突いたウイルスが登場し，大きな被害を出したとする。この場合，ソフトウェア・メーカがそれを予想するのは困難だ。このため，ソフトウェア・メーカに過失があるとは言い難い。

　しかし，過去に発覚していたセキュリティ・ホールを放置し，次のバージョンでも修正しなかったとしたら，ソフトウェア・メーカの責任を問える可能性がある。この時，セキュリティ・ホールがどんなものかも判断の材料となる。放置して何も影響がないものよりも，重大な損害を巻き起こす恐れのあるセキュリティ・ホールの方が，問われる責任は大きい。

　ただし，メーカの不法行為責任を問う場合は，メーカに過失があることを消費者が立証する必要がある。欠陥をメーカが事前に予測できたかどうかを証明するのは非常に難しい。急速に複雑化する製品の製造技術を詳しく調べ，原因を究明するのは一般市民にとって酷なことだからだ。このため，メーカを不法行為責任で訴えるのは，容易なこととは言えない。