साइबर हमले के कारण हुए नुकसान। सिस्टम वेंडर की क्षतिपूर्ति जिम्मेदारी क्या है? संविदा पत्र के उल्लेख के उदाहरण की व्याख्या

हाल के वर्षों में, कंपनियों पर साइबर हमले बढ़ते जा रहे हैं।

विशेष गैर-लाभकारी कार्यक्रम जापान नेटवर्क सुरक्षा संघ (Japanese Network Security Association, JNSA) के अनुसार, व्यक्तिगत जानकारी की जानकारी की घटनाओं में से अनुचित पहुंच का प्रतिशत 2013 में कुल 4.7% था, जो 2018 में 20.3% तक बढ़ गया है (2018 (2018, Gregorian calendar year) सूचना सुरक्षा घटना के संबंध में जांच रिपोर्ट[ja])।

इस लेख में, हम साइबर हमले के समय सिस्टम विक्रेता की जिम्मेदारी की सीमा को, पिछले न्यायिक उदाहरणों के आधार पर समझाएंगे। साथ ही, विक्रेता और उपयोगकर्ता द्वारा साइबर हमलों के खिलाफ संयुक्त रूप से कार्य करने के लिए, अनुबंध में निर्धारित करने योग्य भूमिकाओं और जिम्मेदारी की सीमाओं के बारे में भी, मॉडल अनुबंध के आधार पर समझाएंगे।

क्या सिस्टम वेंडर साइबर हमले के नुकसान की मुआवजा दायित्व को उठाएंगे?

यदि उपयोगकर्ता पक्ष की कंपनी को साइबर हमला होता है और नुकसान होता है, तो सबसे पहले जिम्मेदारी का पता लगाने की कोशिश साइबर हमले के दोषी की होनी चाहिए। हालांकि, यदि सिस्टम विकास और ऑपरेशन की लापरवाही के कारण हमले की संभावना बढ़ गई हो, तो उपयोगकर्ता पक्ष से सिस्टम वेंडर पक्ष के खिलाफ नुकसान की मुआवजा की मांग मान्य हो सकती है।

सिस्टम वेंडर पक्ष के खिलाफ नुकसान की मुआवजा की मांग के आधार के रूप में, निम्नलिखित बातें हो सकती हैं:

• अनुबंध की अनुपयुक्त जिम्मेदारी
• अच्छी प्रबंधन की जिम्मेदारी का उल्लंघन

हालांकि, उपयोगकर्ता पक्ष की लापरवाही के कारण, नुकसान बढ़ सकता है। ऐसे मामले में, उपयोगकर्ता पक्ष की जिम्मेदारी भी मान्य होती है। वास्तविक न्यायाधीशों में, इसे लापरवाही के रूप में विचार किया गया था, और सिस्टम वेंडर पक्ष के खिलाफ नुकसान की मुआवजा की सीमा तय की गई थी।

संबंधित लेख: साइबर अपराध की 3 श्रेणियाँ क्या हैं? वकील द्वारा प्रत्येक पैटर्न के नुकसान के उपाय की व्याख्या[ja]

सिस्टम वेंडर की क्षतिपूर्ति दायित्व और अनुबंध प्रलेखन के उदाहरण

सिस्टम वेंडर और उपयोगकर्ता के रूप में कंपनी के बीच IT सिस्टम अनुबंध के प्रमुख उदाहरणों में निम्नलिखित तीन होते हैं:

1. सॉफ्टवेयर विकास अनुबंध
2. सिस्टम रखरखाव और ऑपरेशन अनुबंध
3. क्लाउड सेवा उपयोग अनुबंध

क्षतिपूर्ति दायित्व का निर्णय मूल अनुबंध के आधार पर किया जाता है, इसलिए नीचे हम अनुबंध के प्रकार के अनुसार विवरण देंगे।

सॉफ्टवेयर विकास संविदा

सॉफ्टवेयर विकास संविदा वह होता है जब उपयोगकर्ता की कंपनी अपने सिस्टम के विकास कार्य को सॉफ्टवेयर विक्रेता को सौंपती है।

यदि उपयोगकर्ता की कंपनी को साइबर हमले का सामना करना पड़ता है और सॉफ्टवेयर की कमजोरी नुकसान का कारण बनती है, तो उपयोगकर्ता से विक्रेता की जिम्मेदारी का पता लगाया जा सकता है।

सिस्टम विक्रेता की जिम्मेदारी सॉफ्टवेयर विकास संविदा के प्रकार के आधार पर निम्नलिखित दो होती हैं:

• ठेका संविदा: संविदा अनुरूपता जिम्मेदारी
• अर्ध-अनुदेश संविदा: अच्छी प्रबंधन की जिम्मेदारी

ठेका संविदा

ठेका संविदा वह होता है जिसमें सिस्टम की समाप्ति का वादा किया जाता है और उसके परिणामस्वरूप मुआवजा दिया जाता है।

यदि सौंपे गए परिणाम “संविदा के उद्देश्य के अनुरूप नहीं थे”, तो एक निश्चित अवधि के लिए ठेकेदार पर संविदा अनुरूपता जिम्मेदारी (जापानी सिविल कोड धारा 559, 562[ja]) उत्पन्न होती है।

इसका मतलब है कि साइबर हमले के कारण आसानी से सिस्टम विघ्न उत्पन्न करने वाले परिणाम “संविदा के उद्देश्य के अनुरूप नहीं” होते हैं, और उपयोगकर्ता की ओर से संविदा अनुरूपता जिम्मेदारी के तहत हानि भरपाई की मांग की जा सकती है।

यह मांग मान्य होगी या नहीं, यह उपयोगकर्ता और विक्रेता के बीच पहले से तय की गई सॉफ्टवेयर की सुरक्षा स्तर पर निर्भर करेगा।

अर्ध-अनुदेश संविदा

अर्ध-अनुदेश संविदा में, संविदा अनुरूपता जिम्मेदारी का लागू नहीं होता है क्योंकि परिणामस्वरूप की समाप्ति की जिम्मेदारी नहीं होती है। इसके बदले, “अच्छे प्रबंधक के ध्यान के साथ अनुदेश का कार्य निभाने की जिम्मेदारी” (अच्छी प्रबंधन की जिम्मेदारी) उठाते हैं।

साइबर हमले के कारण सिस्टम विघ्न होता है, तो सुरक्षा स्तर को संविदा के समय तय नहीं करने के बावजूद, ऐसे सिस्टम का विकास करने का काम “अच्छी प्रबंधन की जिम्मेदारी का उल्लंघन” (जापानी सिविल कोड धारा 656, 644[ja]) माना जाता है, और हानि भरपाई की मांग की जा सकती है।

सिस्टम रखरखाव और ऑपरेशन अनुबंध

सिस्टम रखरखाव और ऑपरेशन अनुबंध का अर्थ है कि कंपनी सॉफ्टवेयर विक्रेता को मौजूदा सॉफ्टवेयर के रखरखाव और ऑपरेशन के काम को सौंपती है। रखरखाव और ऑपरेशन अनुबंध के समय, आमतौर पर अनुबंध पत्र में कार्य विशेषताओं आदि के माध्यम से पूरा करने योग्य सुरक्षा स्तर शामिल किया जाता है।

साइबर हमले के कारण क्षति होने पर, यदि सिस्टम का सुरक्षा स्तर अनुबंध के समय सहमत किए गए स्तर से कम होता है, तो अनुपालन नहीं करने के नियम के आधार पर, ऋण अनुपालन की जिम्मेदारी का पता चलता है।

हालांकि, यदि पहले से सुरक्षा स्तर को परिभाषित नहीं किया गया हो, तो साइबर हमलों के प्रति कमजोर सिस्टम को रखरखाव और ऑपरेशन करने का काम अच्छी प्रबंधन की जिम्मेदारी के विपरीत होता है, और इसकी जिम्मेदारी उठाई जाएगी।

क्लाउड सेवा उपयोग समझौता

क्लाउड सेवा उपयोग समझौता वह होता है जब विक्रेता क्लाउड पर सेवाएं प्रदान करता है और उसका उपयोग करने के लिए समझौता करता है। चूंकि विक्रेता अनेक उपयोगकर्ताओं को समान सेवाएं प्रदान करने की अपेक्षा करता है, इसलिए विक्रेता द्वारा निर्धारित उपयोग की शर्तों के अनुसार समझौता करने की संभावना अधिक होती है।

सामान्यतः, इस समझौते में, यदि साइबर हमले के कारण सेवा प्रदान करने में असमर्थता होती है, तो इसकी जिम्मेदारी के बारे में पहले से ही उल्लेख किया जाता है।

क्लाउड सेवा उपयोग समझौते में, सामान्यतः, समझौते के समय निम्नलिखित का निर्धारण किया जाता है:

• SLA (Service Level Agreement)： गुणवत्ता के प्रति गारंटी और ऑपरेशनल नियम
• लिएबिलिटी लिमिटेशन क्लॉज़: विक्रेता की दोषमूलक अनुपालन की जिम्मेदारी की सीमा जब क्षति होती है

SLA वह होता है जिसमें उपयोगकर्ता की मांग का स्तर और प्रदाता के ऑपरेशनल नियमों को स्पष्ट रूप से लिखा जाता है। यदि यहां निर्धारित सेवा प्रदान नहीं की जा सकी, तो आप कुछ हद तक दोषमूलक अनुपालन के रूप में क्षतिपूर्ति का दावा कर सकते हैं। इसके अलावा, समझौते के अंतर्गत विक्रेता द्वारा दोषमूलक अनुपालन के दावे को पहले से ही सीमित करने के लिए, और जिम्मेदारी मानी जाने पर भी उस क्षतिपूर्ति की राशि को सीमित करने के लिए ‘लिएबिलिटी लिमिटेशन क्लॉज़’ का प्रावधान किया जा सकता है।

हालांकि, लिएबिलिटी लिमिटेशन क्लॉज़ में विक्रेता के पक्ष में अधिकांश नियम होते हैं, इसलिए यदि विवाद होता है तो यह जापानी प्रेसिडेंट लॉ के अनुसार कुछ सीमाओं को स्वीकार कर सकता है।

सिस्टम वेंडर की हानि भरपाई जिम्मेदारी के दायरे का निर्णय मानदंड

साइबर हमले के कारण उपयोगकर्ता कंपनी को क्षति होने पर, विशेष रूप से किस प्रकार के मामले में सिस्टम को विकसित करने वाले वेंडर की जिम्मेदारी पर सवाल उठ सकता है?

नीचे, वास्तव में सिस्टम वेंडर की जिम्मेदारी पर सवाल उठाने वाले न्यायाधीश के उदाहरण के आधार पर विवरण दिया गया है।

क्या विकास के समय की तकनीकी स्तर के अनुसार उपाय किए गए हैं?

वास्तविक न्यायाधीश में जिम्मेदारी का विवाद होने पर, सिस्टम वेंडर ने विकास के समय सरकारी एजेंसियों और उद्योग संगठनों के चेतावनी और मैनुअल आदि के अनुसार सुरक्षा उपाय किए थे या नहीं, इस पर ध्यान केंद्रित किया जाता है।

साइबर हमले के कारण हुए क्षति के लिए, सिस्टम वेंडर को हानि भरपाई का आदेश देने वाले निम्नलिखित प्रकार के न्यायाधीश के उदाहरण हैं।

2014 में, साइबर हमले के तरीके के रूप में ‘SQL इंजेक्शन हमला’ प्रमुख था, और अर्थव्यवस्था और उद्योग मंत्रालय ने ‘व्यक्तिगत जानकारी सुरक्षा कानून के आधार पर व्यक्तिगत डेटा की सुरक्षा प्रबंधन उपाय के पूरी तरह से ध्यान देने के लिए चेतावनी[ja]‘ नामक दस्तावेज़ को प्रकाशित करके साइबर जोखिम को उठाया और सिस्टम को मजबूत बनाने का आह्वान किया था।

निर्णय में, उपाय नहीं लेने वाले सिस्टम वेंडर की जिम्मेदारी को मान्यता दी गई और हानि भरपाई का आदेश दिया गया, वहीं उपयोगकर्ता कंपनी की भी लापरवाही थी, और 30% लापरवाही की कटौती मानी गई।

क्या उपयोगकर्ता की कंपनी में कोई गड़बड़ी है?

सिस्टम विकास के लिए आदेश देने वाली उपयोगकर्ता की कंपनी को भी जिम्मेदारियां होती हैं, और अगर कोई गड़बड़ी होती है तो पूरी जिम्मेदारी उठाने की संभावना भी होती है।

निम्नलिखित में, साइबर हमले का मामला नहीं है, लेकिन उपयोगकर्ता की कंपनी की जिम्मेदारी को पूरी तरह से मान्यता दी गई, और हानि भरपाई का आदेश दिया गया।

यह न्यायाधीश, सिस्टम के विकास में देरी के कारण उपयोगकर्ता ने अनुबंध रद्द करने की सूचना दी, जिसके कारण उपयोगकर्ता और वेंडर दोनों ने एक-दूसरे के खिलाफ हानि भरपाई की मांग की और मुकदमा चलाया।

निर्णय में, सिस्टम वेंडर की चेतावनी को उपयोगकर्ता ने नजरअंदाज कर दिया, जिसे विकास में देरी का कारण माना गया, और उपयोगकर्ता को 100% जिम्मेदारी मानी गई, और उपयोगकर्ता की मांग को खारिज कर दिया। वेंडर के पास, समय पर पूरा होने के लिए परियोजना की प्रगति को प्रबंधित करने का ‘परियोजना प्रबंधन जिम्मेदारी’ होती है। वहीं, उपयोगकर्ता के पास भी ‘सहयोग जिम्मेदारी’ होती है, और अगर वह इसे नजरअंदाज करता है, तो पूरी जिम्मेदारी उठाने की संभावना होती है, और वास्तविक न्यायाधीश में, इसके प्रतिशत के आधार पर हानि भरपाई की जिम्मेदारी तय होती है।

सुरक्षित सिस्टम विकास के लिए तीन मुख्य बिंदु

साइबर जोखिमों के खिलाफ सुरक्षा के लिए, उपयोगकर्ता और विक्रेता दोनों को साझा उपायों पर काम करना महत्वपूर्ण है।

नीचे, हम विक्रेता और उपयोगकर्ता दोनों के दृष्टिकोण से संभव उपायों के बारे में विवरण देंगे।

सरकारी एजेंसियों द्वारा उल्लेखित साइबर जोखिमों को समझना

सिस्टम विक्रेताओं को जापानी अर्थव्यवस्था, वाणिज्य और उद्योग मंत्रालय (Japanese Ministry of Economy, Trade and Industry) और स्वतंत्र प्रशासनिक संगठन सूचना प्रसंस्करण प्रोत्साहन संगठन (Japanese Information-technology Promotion Agency, IPA) द्वारा जारी की गई दिशानिर्देशों की समीक्षा करनी चाहिए, ताकि वे वर्तमान साइबर जोखिमों और उनके उपायों को समझ सकें, और उसके आधार पर विकास और प्रबंधन का कार्य कर सकें।

विक्रेता के अलावा, उपयोगकर्ता के रूप में कंपनियों को भी इन दिशानिर्देशों को समझना चाहिए और उनके अनुसार विकास और प्रबंधन का काम करने के लिए अनुरोध करना चाहिए, और सुरक्षा स्तर के प्रावधानों को अनुबंध में शामिल करना चाहिए।

संदर्भ: जापानी अर्थव्यवस्था, वाणिज्य और उद्योग मंत्रालय | साइबर सुरक्षा प्रबंधन दिशानिर्देश Ver 2.0[ja]

संदर्भ: सूचना प्रसंस्करण प्रोत्साहन संगठन | सुरक्षित वेबसाइट कैसे बनाएं[ja]

वित्तीय क्षेत्र में, कानूनी और दिशानिर्देशों द्वारा उच्च स्तरीय सुरक्षा की मांग की जा सकती है। क्रिप्टोकरेंसी के लिए सुरक्षा उपायों के बारे में, हमने नीचे विस्तार से विवरण दिया है।

संबंधित लेख: क्रिप्टोकरेंसी (वर्चुअल करेंसी) के लिए सुरक्षा उपाय क्या हैं? तीन लीकेज केसेस के साथ विवरण[ja]

दोनों पक्षों को सुरक्षा की आवश्यकता को समझना चाहिए

जापानी अर्थव्यवस्था, वाणिज्य और उद्योग मंत्रालय के ‘साइबर सुरक्षा प्रबंधन दिशानिर्देश Ver2.0[ja]‘ में स्पष्ट रूप से लिखा है कि ‘साइबर सुरक्षा उपाय एक प्रबंधन मुद्दा है’।

सुरक्षा के बारे में जानकारी न होने के कारण विक्रेता को सब कुछ सौंपने के बजाय, कंपनियों को भी इस जोखिम प्रबंधन को प्रबंधन का हिस्सा मानना चाहिए, और उस पर जिम्मेदारी से काम करना चाहिए।

दोनों पक्षों को साइबर हमलों का सामना करने में सहयोग करना चाहिए

जब साइबर हमला होता है, तो आदेश देने वाले और विक्रेता को जिम्मेदारी ठोकने के बजाय, सहयोग करके क्षति को कम से कम रखने की कोशिश करनी चाहिए।

हालांकि, सिस्टम विकास के आदेश देने वाले और ग्राहकों के बीच में आदेश देने वाले की स्थिति मजबूत होती है, और सिस्टम विकास को लागत और समय के मध्य आगे बढ़ाने की प्रवृत्ति होती है। विक्रेता को पर्याप्त धन और समय नहीं मिलता, और सुरक्षा के प्रस्ताव को भी स्वीकार नहीं किया जा सकता।

हालांकि, दिशानिर्देशों में, उपयोगकर्ता के रूप में कंपनियों को सुरक्षा उपायों को ‘लागत’ के रूप में नहीं देखना चाहिए, बल्कि भविष्य की व्यापारिक गतिविधियों और विकास के लिए आवश्यक चीजों के रूप में स्थान देना चाहिए और उसे ‘निवेश’ के रूप में देखना चाहिए।

सिस्टम विकास में, विक्रेता और उपयोगकर्ता दोनों को साइबर हमलों का सामना करने में सहयोग करना महत्वपूर्ण है।

सारांश: सिस्टम विकास संविदा निर्माण के लिए वकील से परामर्श करें

यदि साइबर हमले के कारण क्षति होती है, तो सिस्टम विकास में शामिल विक्रेता को साइबर जोखिम नियंत्रण की अनदेखी के लिए, उपयोगकर्ता कंपनी की ओर से जिम्मेदारी का दावा किया जा सकता है।

हालांकि, विक्रेता के प्रति सहयोग की जिम्मेदारी को नजरअंदाज करने वाली उपयोगकर्ता कंपनी की ओर से भी जिम्मेदारी होती है।

साइबर हमले के नुकसान को कम से कम करने के लिए, संविदा में सिस्टम के स्तर और प्रत्येक की जिम्मेदारी के क्षेत्र को निर्धारित करने की आवश्यकता होती है।

सिस्टम के विकास आदि के संविदा निर्माण के लिए, गाइडलाइन की सामग्री और वर्तमान साइबर जोखिम को समझने के लिए, उच्च स्तरीय विशेषज्ञता वाले वकील से परामर्श करें।

हमारे दफ्तर द्वारा उपाय की जानकारी

मोनोलिथ कानूनी दफ्तर एक ऐसा कानूनी दफ्तर है, जिसमें IT, विशेषकर इंटरनेट और कानून के दोनों पहलुओं में उच्च विशेषज्ञता है। सिस्टम विकास संविदा के लिए संविदा पत्र की निर्माण आवश्यक होती है। हमारे दफ्तर में, हम टोक्यो स्टॉक एक्सचेंज पर सूचीबद्ध कंपनियों से लेकर स्टार्टअप कंपनियों तक, विभिन्न मामलों के लिए संविदा पत्रों का निर्माण और समीक्षा करते हैं। यदि आपको संविदा पत्रों के बारे में कोई समस्या है, तो कृपया नीचे दिए गए लेख का संदर्भ लें।

मोनोलिथ कानूनी दफ्तर के विभाग: सिस्टम विकास संबंधी कानूनी कार्य[ja]