• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

技術の広場

セキュリティ法律相談室---ソフト会社の責任

八木玲子・堀内かほり 2003/08/29 ITpro

Question ソフトのセキュリティ・ホールを突かれ,社内システムがウイルスに感染しました。これにより多大な被害が出ました。原因は明らかにソフトの欠陥です。ソフト・メーカを訴えることはできないのでしょうか。

Answer ソフトウェア自体は,製造物責任法の対象にはならない。よって,欠陥だけを根拠にメーカを訴えることは難しい。ただし,その欠陥が一般的に考えて予見することができ,かつ回避し得るものならば,民事訴訟を起こして損害賠償を請求できる可能性もある。


 ソフトウェアに限らず,製造物が抱える欠陥により,人の安全が脅かされたり,財産上で被害が生じることがある。この場合,責任は誰にあるのだろう。

 原因は製造物なのだから,それを作った製造者に責任があると考えるのが自然だ。これを定めるのが,製造物責任法(http://law.e-gov.go.jp/htmldata/H06/H06HO085.html)である。いわゆる「PL(Product Liability)法」だ。製造物の欠陥によって消費者が被害を受けた場合の,製造業者の損害賠償責任を定める。1994年6月22日に国会で可決,成立した。

図5●PL法の適用対象を示した図。
有体物,無体物,サービスのうち,PL法が適用されるのは有体物のみ。有体物でも,不動産は適用範囲外

 PL法は,たとえメーカに過失がなくても,製品に欠陥があればメーカの責任を問えるとしている。セキュリティ・ホールが原因の被害も,もしこれを適用できれば,ソフトウェア・メーカに責任を求められそうに思える。

 しかし,PL法が対象とする「製造物」は,有体物である動産に限られる(図5[拡大表示])。有体物とはその名の通り,形があるものを指す。

 ソフトウェアのプログラムは,電子情報である。電子情報は無体物だ。無体物は動産ではないから,PL法の適用範囲外である。無体物をPL法の対象にすると,その範囲が限りなく広くなってしまう。こういった理由で,対象から外されている。

 このため,プログラムにバグがあり,ユーザが何らかの被害を受けたとしても,PL法上はソフトウェア・メーカの責任は問えない。製造物が「データ」という無体物であるがゆえの特権だ。電気などの無形エネルギも,これと同じ扱いをされる。2000年問題で受けた損害の賠償をメーカに求めた裁判も起こされたが,これらもPL法を適用することは困難だった。

ソフトを組み込んだハードは対象に

 ただ,無体物であるソフトウェアはそのままでは配布できない。CD-ROMやフロッピ・ディスクなどを「入れ物」として使うのが普通だ。これらは有体物であり,PL法の適用範囲である。しかしあくまでも入れ物にすぎず,中に入った電子情報にはPL法は適用されない。

 では,OSやアプリケーションをプリインストールしたパソコンや,OSなどのソフトウェアが組み込まれた機器のように,有体物と一体となって出荷される場合は,どのような扱いになるのだろう。

 現状では,プリインストール・パソコンはPL法の対象とは考えられていない。しかし,OSやアプリケーションが組み込まれたハードウェア機器はPL法の対象となる。組み込まれたソフトウェアに欠陥があった場合,それを組み込んだ電化製品や機器がPL法の対象となる可能性がある。

 例えば,携帯情報機器に組み込まれたOSにバグがあったとする。この時製造物責任が問われるのは,その機器を製造した業者である。携帯情報機器メーカとは違うベンダの作成した組み込みOSの不具合だったとしても,それを組み込んだハードウェア・メーカの欠陥だと見なされる。つまり,この場合もソフトウェア・メーカの責任がPL法で直接問われることはなさそうだ。

過失があれば,メーカの責任は問える

 とはいえ,ソフトウェア・メーカを絶対に訴えられないわけではない。PL法の対象でなくても,契約違反などを理由に他の法律に沿って責任を追及できる場合がある。

 メーカと何らかの契約関係にあるときは,契約違反が理由になる。メーカと消費者のように契約関係でない場合は,民法709条が適用できる。条文は「故意又は過失に因りて他人の権利を侵害したる者は之に因りて生じたる損害を賠償する責に任ず」。これを「不法行為責任」と呼ぶ。予見できる欠陥は,製品出荷前に修正すべきである。これを怠り,欠陥を残したソフトウェアをそのまま販売したのなら,メーカに過失があると考えられる。この場合は,不法行為責任を根拠にメーカを訴えられる注12)。ただしその欠陥が一般的に予見できないものと判断されれば,メーカに過失はないことになり,責任は問われない可能性が高い。

 つまり,ソフトウェアのセキュリティ・ホールを突かれて社内システムがウイルスに感染した場合は,そのセキュリティ・ホールがどんなものかによって判断が変わることになる。例えば,それまで誰も気づかなかったセキュリティ・ホールを突いたウイルスが登場し,大きな被害を出したとする。この場合,ソフトウェア・メーカがそれを予想するのは困難だ。このため,ソフトウェア・メーカに過失があるとは言い難い。

 しかし,過去に発覚していたセキュリティ・ホールを放置し,次のバージョンでも修正しなかったとしたら,ソフトウェア・メーカの責任を問える可能性がある。この時,セキュリティ・ホールがどんなものかも判断の材料となる。放置して何も影響がないものよりも,重大な損害を巻き起こす恐れのあるセキュリティ・ホールの方が,問われる責任は大きい。

 ただし,メーカの不法行為責任を問う場合は,メーカに過失があることを消費者が立証する必要がある。欠陥をメーカが事前に予測できたかどうかを証明するのは非常に難しい。急速に複雑化する製品の製造技術を詳しく調べ,原因を究明するのは一般市民にとって酷なことだからだ。このため,メーカを不法行為責任で訴えるのは,容易なこととは言えない。

PL法を適用した判例

 PL法を適用してメーカの責任を認めた最初の判例は,1999年6月に出された。被害者は,ファースト・フード店でオレンジ・ジュースを購入した。これに異物が入っており,それで喉を怪我したとして,被害者がファースト・フード店を訴えた件に対する判決である。

 名古屋地裁は,ジュースの製造工程を詳細に調べたうえで,異物が混入する可能性は否定できないと判断。PL法第3条を適用してファースト・フード店の製造物責任を認め,合計10万円の損害賠償金の支払いを命じる判決を下した。

 2001年2月13日には,情報システムの製造物責任を問う訴訟に判決が出ている。プリインストールされた会計システムの不具合で,売掛金残高が実際よりも多く計算されてしまった。このため,2年分の税金を過剰に支払っていた事実がわかった。そこでこのシステムの使用者である食品メーカが,PL法などに基づき,システムを開発した会社に対し過剰税金分約1400万円の損害賠償を求めたものだ。

 この裁判では,「情報システム」が「製造物」に当たるかどうかが注目された。原告側は,「会計システムはハードウェアとソフトウェアが一体となったもので,製造物に当たる」と主張した。青森地裁はこの点の判断を避けて,税金の過剰支払いはソフトウェアの操作ミスによるものとし,原告の訴えを退けた。


(八木 玲子,堀内 かほり  監修=岡村 久道弁護士)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【記者の眼】

    トヨタがブロックチェーンに触手を伸ばす理由

     自動運転や人工知能(AI)の研究を手掛けるトヨタの米子会社が、Ethereum(イーサリアム)の企業連合に参加――。2017年5月、ブロックチェーン技術を含む分散台帳技術(DLT:distributed ledger technology)の未来を占う上で興味深いニュースが飛び出した。

  • 【検証 通信市場】

    光回線は安くならない?卸料金の適正性を検証へ

     総務省が公表した2016年度の通信市場の検証結果(案)では、光回線の料金の低廉化が進展していない点を問題提起した。中でもNTT東西が展開する「光コラボレーションモデル」は卸料金を値下げするインセンティブが働かず、低廉化を期待できない状況と結論付けた。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る