Dansk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_da/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdage 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Skade fra cyberangreb. Hvad er systemleverandørens erstatningsansvar? En forklaring på eksempler noteret i kontrakten.

Skade fra cyberangreb. Hvad er systemleverandørens erstatningsansvar? En forklaring på eksempler noteret i kontrakten.

IT

Skade fra cyberangreb. Hvad er systemleverandørens erstatningsansvar? En forklaring på eksempler noteret i kontrakten.

I de senere år har cyberangreb mod virksomheder været på en konstant stigning.

Ifølge en undersøgelse foretaget af den japanske non-profit organisation for netværkssikkerhed (JNSA), udgjorde uautoriseret adgang en andel på 4,7% af alle hændelser med lækage af personlige oplysninger i 2013, men dette tal er steget til 20,3% i 2018 (2018-rapport om sikkerhedshændelser [ja]).

I denne artikel vil vi forklare omfanget af systemleverandørens ansvar, når de bliver udsat for et cyberangreb, baseret på tidligere retssager. Vi vil også forklare om rollerne og ansvarsområderne, som leverandører og brugere bør aftale i kontrakten for at samarbejde om cybersikkerhed, baseret på en modelkontrakt.

Er systemleverandører ansvarlige for erstatning ved cyberangreb?

Er systemleverandører ansvarlige for erstatning ved cyberangreb?

Når en virksomhed på brugersiden lider skade som følge af et cyberangreb, er det først og fremmest gerningsmanden bag cyberangrebet, der skal holdes ansvarlig. Men hvis der er en mulighed for, at angrebet blev lettere på grund af fejl i systemudvikling og -drift, kan der også være tilfælde, hvor brugersiden kan kræve erstatning fra systemleverandøren.

Grundlaget for erstatningskrav rettet mod systemleverandøren kan være følgende:

  • Kontraktuel misligholdelsesansvar
  • Overtrædelse af pligten til god forvaltning

Men der kan også være tilfælde, hvor skaden forværres på grund af brugerens fejl. I sådanne tilfælde kan brugerens ansvar også anerkendes. I faktiske retssager er der tilfælde, hvor dette er blevet taget i betragtning som en fejludligning, og erstatningen til systemleverandøren er blevet begrænset.

Relateret artikel: Hvad er de tre kategorier af cyberkriminalitet? En advokat forklarer skadeforebyggelse for hvert mønster [ja]

Systemleverandørens erstatningsansvar og eksempler på kontrakttekst

Der er tre repræsentative eksempler på IT-systemkontrakter mellem en systemleverandør og en virksomhedsbruger:

  1. Softwareudviklingskontrakt
  2. Systemvedligeholdelses- og driftskontrakt
  3. Kontrakt om brug af cloud-tjenester

Erstatningsansvaret bestemmes af den oprindelige kontrakt, så nedenfor vil vi forklare det for hver type kontrakt.

Softwareudviklingskontrakt

En softwareudviklingskontrakt er en aftale, der indgås, når en virksomhed på brugersiden uddelegerer udviklingen af deres eget system til en softwareleverandør.

Hvis en virksomhed på brugersiden bliver udsat for et cyberangreb, og softwarens sårbarhed er årsagen til skadens omfang, kan ansvaret blive lagt over på leverandøren fra brugeren.

Systemleverandørens ansvar kan være en af de følgende to, afhængigt af typen af softwareudviklingskontrakt:

  • Udførelseskontrakt: Ansvar for kontraktuel ikke-overensstemmelse
  • Halvdelegeringskontrakt: Overtrædelse af pligten til omhyggelig forvaltning

Udførelseskontrakt

En udførelseskontrakt er en aftale, hvor fuldførelsen af systemet er lovet, og betaling gives for det færdige produkt.

Hvis det leverede produkt “ikke overholder kontraktens formål”, vil der opstå et ansvar for kontraktuel ikke-overensstemmelse (Japansk Civillov §559, §562 [ja]) over for udførelsespersonen i en vis periode efter levering.

Det betyder, at der er en risiko for, at brugeren kan kræve erstatning for kontraktuel ikke-overensstemmelse, hvis produktet er sårbart nok til let at forårsage systemfejl ved et cyberangreb.

Om denne anmodning vil blive anerkendt afhænger af det sikkerhedsniveau for softwaren, som parterne på forhånd har aftalt.

[Eksempel på ansvar for kontraktuel ikke-overensstemmelse]

Artikel X: Efter fuldførelsen af inspektionen i henhold til den foregående artikel, hvis der opdages en uoverensstemmelse (inklusive bugs, herefter i denne artikel benævnt “kontraktuel ikke-overensstemmelse”) mellem systemspecifikationerne og det leverede produkt, kan part A anmode part B om at rette denne kontraktuelle ikke-overensstemmelse (herefter i denne artikel benævnt “retning”). Part B skal udføre denne retning, medmindre det pålægger part A en urimelig byrde, i hvilket tilfælde part B kan udføre retningen på en anden måde end den, som part A har anmodet om.

2. Uanset den foregående paragraf, hvis det er muligt at opnå formålet med den individuelle kontrakt, selv med den kontraktuelle ikke-overensstemmelse, og retningen kræver overdreven omkostninger, skal part B ikke være forpligtet til at udføre retningen som angivet i den foregående paragraf.

3. Hvis part A lider skade på grund af den kontraktuelle ikke-overensstemmelse (begrænset til dem, der er opstået på grund af årsager, der kan tilskrives part B), kan part A kræve erstatning fra part B.

Kilde: Informationssystem Model Transaktionskontrakt (2. udgave) [ja]

Halvdelegeringskontrakt

For en halvdelegeringskontrakt gælder ansvaret for kontraktuel ikke-overensstemmelse ikke, da der ikke er nogen forpligtelse til at fuldføre produktet. I stedet påtager man sig “pligten til at håndtere de delegerede opgaver med den omhu, en god forvalter ville udvise” (pligten til omhyggelig forvaltning).

Hvis et system går ned på grund af et cyberangreb, kan det at have udviklet et system af den grad, selv uden at have fastlagt et sikkerhedsniveau ved kontraktindgåelsen, blive betragtet som en “overtrædelse af pligten til omhyggelig forvaltning” (Japansk Civillov §656, §644 [ja]), og der kan være en risiko for at blive udsat for et erstatningskrav.

[Eksempel på pligten til omhyggelig forvaltning]

Artikel X: Part B skal, efter at have indgået den individuelle kontrakt specificeret i artikel X, levere tjenester (herefter benævnt “kravdefinitionssupporttjenester”) til at støtte part A i udarbejdelsen af kravdefinitionsdokumentet baseret på informationssystemkonceptdokumentet, systemplanlægningsdokumentet osv., som part A har udarbejdet som en del af denne opgave.

2. Part B skal, baseret på specialiseret viden og erfaring inden for informationsteknologi, udføre støtteopgaver såsom undersøgelse, analyse, organisering, forslag og rådgivning med den omhu, en god forvalter ville udvise, for at sikre, at part A’s arbejde udføres gnidningsløst og korrekt.

Kilde: Informationssystem Model Transaktionskontrakt (2. udgave) [ja]

Systemvedligeholdelses- og driftskontrakt

En systemvedligeholdelses- og driftskontrakt er en aftale, hvor en virksomhed uddelegerer opgaver relateret til vedligeholdelse og drift af eksisterende software til en softwareleverandør. Når en sådan kontrakt indgås, er det almindeligt at inkludere det krævede sikkerhedsniveau i kontrakten, for eksempel i en arbejdsspecifikation.

Hvis der opstår skade som følge af et cyberangreb, og systemets sikkerhedsniveau er lavere end det niveau, der blev aftalt ved kontraktens indgåelse, kan leverandøren blive holdt ansvarlig for kontraktbrud på grundlag af en klausul om kontraktuel ikke-overholdelse.

Men hvis sikkerhedsniveauet ikke er specificeret på forhånd, kan vedligeholdelse og drift af et system, der er sårbart over for cyberangreb, blive betragtet som en overtrædelse af pligten til omhyggelig forvaltning, hvilket kan føre til ansvar.

Brug af Cloud Service-kontrakt

En kontrakt om brug af cloud-tjenester er en aftale, der indgås, når man bruger tjenester, som en leverandør tilbyder i skyen. Da det forventes, at leverandøren leverer den samme service til mange brugere, vil det ofte være sådan, at man indgår en aftale i overensstemmelse med de brugsbetingelser, som leverandøren har fastsat.

Generelt er det i denne kontrakt på forhånd angivet, hvem der har ansvaret, hvis tjenesten ikke kan leveres på grund af et cyberangreb.

I en kontrakt om brug af cloud-tjenester fastsættes normalt følgende ved kontraktindgåelsen:

  • SLA (Service Level Agreement): Garanti for kvalitet og driftsregler
  • Ansvarsbegrænsningsklausul: Leverandørens ansvarsområde ved misligholdelse, når skade opstår

En SLA er en formalisering af brugerens kravniveau og leverandørens driftsregler. Hvis den service, der er fastsat her, ikke kan leveres, kan du anmode om erstatning for delvis misligholdelse. Derudover kan der i kontrakten være en “ansvarsbegrænsningsklausul”, der på forhånd begrænser de betingelser, under hvilke leverandøren kan modtage en misligholdelseskrav, og selv når ansvar er anerkendt, begrænser erstatningsbeløbet.

Men da ansvarsbegrænsningsklausuler ofte er til fordel for leverandøren, kan de i tilfælde af tvist være underlagt visse begrænsninger i henhold til japansk præcedensret.

【Eksempel på ansvarsbegrænsningsklausul】

Artikel X: Hvis A og B lider skade på grund af en årsag, der kan tilskrives den anden part i forbindelse med opfyldelsen af denne kontrakt og individuelle kontrakter, kan de anmode den anden part om erstatning (begrænset til XXX skade). Dog kan denne anmodning ikke fremsættes efter at der er gået X måneder fra den dato, hvor leveringen af de varer, der er fastsat i den pågældende individuelle kontrakt, er afsluttet, eller fra den dato, hvor arbejdet er afsluttet.

2. Det samlede beløb for erstatning i forbindelse med opfyldelsen af denne kontrakt og individuelle kontrakter, uanset årsagen til kravet, herunder misligholdelse (herunder ansvar for kontraktuel ikke-overensstemmelse), uretmæssig fortjeneste, ulovlig handling osv., er begrænset til det beløb, der er fastsat i XXX i den individuelle kontrakt, der forårsagede årsagen til ansvar.

3. Den foregående paragraf gælder ikke, hvis erstatningspligten er baseret på forsætlig eller grov uagtsomhed.

Kilde: Informationssystem Model Transaktionskontrakt (anden udgave) [ja]

Kriterier for bedømmelse af systemleverandørens erstatningsansvar

Kriterier for bedømmelse af systemleverandørens erstatningsansvar

Hvornår kan systemudviklerens ansvar blive påtalt, hvis en brugervirksomhed lider skade som følge af et cyberangreb?

Nedenfor vil vi forklare dette baseret på faktiske retssager, hvor systemleverandørens ansvar blev påtalt.

Er der implementeret foranstaltninger i overensstemmelse med den teknologiske standard på udviklingstidspunktet?

I faktiske retssager, hvor ansvar er bestridt, lægges der vægt på, om systemleverandøren har implementeret sikkerhedsforanstaltninger på det niveau, der er i overensstemmelse med advarsler og manualer fra offentlige myndigheder og brancheorganisationer på udviklingstidspunktet.

Der er eksempler på retssager, hvor systemleverandøren blev beordret til at betale erstatning for skader forårsaget af cyberangreb, som følger:

【Retssag eksempel】Tokyo District Court, 23. januar 2014 (Heisei 26)
Bruger: X Company, en detailhandler og online sælger af interiørprodukter
Leverandør: Y Company, der havde påtaget sig design og vedligeholdelse af et webordresystem

En hændelse, hvor 7.000 kunders kreditkortoplysninger blev lækket som følge af et cyberangreb

■Dom
Systemleverandøren blev beordret til at betale omkring 20 millioner yen i erstatning
Beløbet oversteg udviklingsomkostningerne med omkring 2 millioner yen
X Company blev også fundet skyldig, og der blev foretaget en 30% fejludligning

■Årsag
・Systemleverandøren forsømte at implementere sikkerhedsforanstaltninger i overensstemmelse med den teknologiske standard på det tidspunkt.
・Selvom brugervirksomheden havde modtaget en risikoforklaring fra systemleverandøren, men forsømte at tage foranstaltninger, blev der fundet en fejl, og en fejludligning på 30% blev anvendt.

I 2014 var “SQL-injektionsangreb” den primære metode til cyberangreb, og Ministeriet for Økonomi, Handel og Industri havde offentliggjort et dokument kaldet “Advarsel om grundig implementering af sikkerhedsforanstaltninger for personlige data baseret på den japanske persondata beskyttelseslov [ja]“, der påpegede cyberrisici og opfordrede til styrkelse af systemer.

Dommen anerkendte systemleverandørens ansvar for ikke at have taget foranstaltninger og beordrede erstatning, men fandt også, at brugervirksomheden var skyldig, og tillod en fejludligning på 30%.

Er der fejl hos brugervirksomheden?

Virksomheder, der bestiller systemudvikling, har også forpligtelser, og hvis de er forsømmelige, kan de være fuldt ansvarlige.

Nedenfor er et eksempel på en retssag, der ikke er et eksempel på et cyberangreb, men hvor brugervirksomhedens fulde ansvar blev anerkendt, og erstatning blev beordret.

【Retssag eksempel】Asahikawa District Court, 31. august 2017 (Heisei 29)

Bruger: Universitetshospital
Leverandør: Systemfirma, der blev bedt om at udvikle et elektronisk patientjournal system af universitetshospitalet

Umiddelbart efter projektstart begyndte lægerne på stedet at fremsætte yderligere krav.
Kravene stoppede ikke, og udviklingen blev forsinket, og universitetshospitalet meddelte ophævelse af kontrakten på grund af forsinkelsen.

■Dom (appelret)
Universitetshospitalet blev beordret til at betale omkring 1,4 milliarder yen i erstatning
Den første instans dom, der beordrede begge parter til at betale erstatning, blev annulleret

■Årsag
・Det blev problematiseret, at hospitalet ikke lyttede til leverandørens advarsel om, at hvis de imødekom yderligere krav, ville de ikke kunne overholde tidsfristen.

Denne retssag involverede en hændelse, hvor brugervirksomheden meddelte ophævelse af kontrakten på grund af forsinkelse i systemudviklingen, og både brugervirksomheden og systemleverandøren sagsøgte hinanden for erstatningskrav.

I dommen blev det anerkendt, at årsagen til udviklingsforsinkelsen var, at brugervirksomheden ikke lyttede til advarsler fra systemleverandøren, og brugervirksomheden blev fundet 100% ansvarlig, og dens krav blev afvist. Systemleverandøren har en “projektstyringspligt” til at styre projektets fremskridt, så det kan overholde tidsfristen. På den anden side har brugervirksomheden også en “samarbejdspligt”, og hvis den forsømmes, kan den være fuldt ansvarlig, og i faktiske retssager bestemmes erstatningsansvaret baseret på denne andel.

Tre punkter for sikker systemudvikling

Tre punkter for sikker systemudvikling

For at forberede sig på cyber-risici er det vigtigt, at både brugere og leverandører arbejder sammen om at implementere foranstaltninger.

Nedenfor vil vi forklare de foranstaltninger, som leverandører og brugere kan tage fra deres respektive positioner.

Forstå cyber-risici, som offentlige myndigheder påpeger

Systemleverandører bør tjekke retningslinjer udstedt af specialiserede organisationer som det japanske Ministerium for Økonomi, Handel og Industri og Information-Processing Promotion Agency (IPA), forstå de nuværende cyber-risici og deres modforanstaltninger, og derefter gå videre med udvikling og drift.

Desuden bør både leverandører og brugervirksomheder have en vis forståelse for indholdet og anmode om udvikling og drift i overensstemmelse med retningslinjerne, og inkludere en klausul om sikkerhedsniveauet i kontrakten.

Reference: Ministeriet for Økonomi, Handel og Industri | Cybersecurity Management Guidelines Ver 2.0 [ja]

Reference: Information-Processing Promotion Agency | Sådan laver du en sikker hjemmeside [ja]

Især i finanssektoren kan lovgivning og retningslinjer kræve høj sikkerhed. Vi forklarer detaljeret om sikkerhedsforanstaltninger for kryptoaktiver nedenfor.

Relateret artikel: Hvad er sikkerhedsforanstaltninger for kryptoaktiver (virtuelle valutaer)? Forklaring med tre lækagesager [ja]

Begge parter forstår nødvendigheden af sikkerhed

I det japanske Ministerium for Økonomi, Handel og Industris “Cybersecurity Management Guidelines Ver 2.0 [ja]” er det klart angivet, at “cybersikkerhedsforanstaltninger er et ledelsesproblem”.

I stedet for at overlade sikkerhed til leverandøren, fordi man ikke forstår det, bør virksomheden også betragte risikostyring som en del af ledelsen og tage ansvar for at implementere foranstaltninger.

Begge parter håndterer cyberangreb sammen

Når et cyberangreb opstår, bør både ordregiver og leverandør arbejde sammen for at minimere skaden i stedet for at skubbe ansvaret over på hinanden.

Imidlertid har ordregiveren ofte en stærkere position i systemudvikling, og systemudvikling har en tendens til at blive drevet med fokus på omkostninger og leveringstid. Leverandøren får muligvis ikke nok tid eller penge, og selvom de foreslår sikkerhedsforanstaltninger, bliver de muligvis ikke accepteret.

Men i retningslinjerne påpeges det, at brugervirksomheder bør betragte implementeringen af sikkerhedsforanstaltninger ikke som en “omkostning”, men som en nødvendig investering for fremtidige forretningsaktiviteter og vækst.

I systemudvikling er det vigtigt, at leverandører og brugere håndterer cyberangreb sammen på lige vilkår.

Opsummering: Konsulter en advokat ved udarbejdelse af systemudviklingskontrakter

Hvis en virksomhed lider skade som følge af et cyberangreb, kan leverandøren, der var involveret i systemudviklingen, blive holdt ansvarlig af brugervirksomheden for ikke at have taget passende forholdsregler mod cyberrisici.

Men brugervirksomheden har også et ansvar, hvis den har forsømt sin pligt til at samarbejde med leverandøren.

For at minimere skaderne fra et cyberangreb, er det nødvendigt at fastlægge systemstandarder og ansvarsområder i kontrakten.

Ved udarbejdelse af kontrakter for systemudvikling og lignende, bør du konsultere en advokat med avanceret ekspertise, der forstår indholdet af retningslinjerne og den aktuelle cyberrisiko.

Introduktion til vores tjenester

Monolith Advokatfirma er et advokatfirma med høj ekspertise inden for IT, især internettet og lovgivning. Ved systemudviklingskontrakter er det nødvendigt at oprette en kontrakt. Vores firma håndterer oprettelse og gennemgang af kontrakter for forskellige sager, fra virksomheder noteret på Tokyo-børsen til opstartsvirksomheder. Hvis du har problemer med kontrakter, kan du henvise til artiklen nedenfor.

Monolith Advokatfirmas områder: Systemudviklingsrelateret juridisk arbejde [ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Om Justitsministeriets retningslinjer vedrørende forholdet mellem AI-kontraktrelaterede supporttjenester og artikel 72 i den japanske advokatlov

Om Justitsministeriets retningslinjer vedrørende forholdet mellem AI-kontraktrelaterede supportt.

IT

Er det muligt at bruge ChatGPT i erhvervslivet? Forklaring af fordele og ting at være opmærksom på

Er det muligt at bruge ChatGPT i erhvervslivet? Forklaring af fordele og ting at være opmærksom .

IT

Hvad er metoderne til ophævelse af kontrakter i systemudvikling?

Hvad er metoderne til ophævelse af kontrakter i systemudvikling?

IT

Hvad er kryptoaktiver (virtuel valuta)? En detaljeret forklaring på den juridiske definition og forskellene fra elektroniske penge og lignende

Hvad er kryptoaktiver (virtuel valuta)? En detaljeret forklaring på den juridiske definition og .

IT

Hvad er juridiske og kontraktmæssige problemer forbundet med Agile-udvikling?

Hvad er juridiske og kontraktmæssige problemer forbundet med Agile-udvikling?

IT

Risici og foranstaltninger forbundet med brug af biblioteker i forretnings systemopbygning

Risici og foranstaltninger forbundet med brug af biblioteker i forretnings systemopbygning

IT

Juridiske problemer forbundet med databaser i IT-systemer

Juridiske problemer forbundet med databaser i IT-systemer

IT

Hvad er vurderingskriterier og håndteringsmetoder for skjult underlevering i IT-industrien?

Hvad er vurderingskriterier og håndteringsmetoder for skjult underlevering i IT-industrien?

IT

Google Min Virksomhed og internet søgning af lokale virksomhedsoplysninger

Google Min Virksomhed og internet søgning af lokale virksomhedsoplysninger

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Tilbage til toppen