Magyar English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_hu/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hétköznapokon 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Cyber támadások okozta károk. Milyen kártérítési felelőssége van a rendszerszállítónak? Szerződési példák elemzése

Cyber támadások okozta károk. Milyen kártérítési felelőssége van a rendszerszállítónak? Szerződési példák elemzése

IT

Cyber támadások okozta károk. Milyen kártérítési felelőssége van a rendszerszállítónak? Szerződési példák elemzése

Az elmúlt években a vállalatok elleni kibertámadások száma folyamatosan növekszik.

A Japán Hálózatbiztonsági Szövetség (Japanese Network Security Association, JNSA) felmérése szerint az adatszivárgási esetek közül a jogosulatlan hozzáférés aránya 2013-ban még csak a teljes esetek 4,7%-át tette ki, de 2018-ra ez az arány 20,3%-ra nőtt (2018-as Információbiztonsági Incidensekkel kapcsolatos felmérési jelentés[ja]).

Ebben a cikkben a kibertámadások esetén a rendszerszállítók által viselt felelősségi köröket ismertetjük, korábbi bírósági ítéletek alapján. Emellett a szállítók és a felhasználók közös kibertámadás elleni védekezésének érdekében a szerződésben rögzítendő szerepkörökről és felelősségi körökről is beszélünk, egy modellszerződés alapján.

Vállal-e kártérítési felelősséget a rendszerszolgáltató a kibertámadásokért?

Vállal-e kártérítési felelősséget a rendszerszolgáltató a kibertámadásokért?

Ha a felhasználói oldalon működő vállalat kibertámadás áldozatává válik és kárt szenved, először a kibertámadás elkövetője az, akit felelősségre vonnak. Azonban, ha a rendszerfejlesztési és üzemeltetési hibák miatt nagyobb esélye volt a támadásnak, akkor a felhasználói oldal kártérítési igényt is benyújthat a rendszerszolgáltató felé.

A rendszerszolgáltató elleni kártérítési igény alapjai a következők lehetnek:

  • Szerződésszegési felelősség
  • Gondoskodási kötelezettség megsértése

Az is előfordulhat, hogy a felhasználói oldal hibája miatt a kár kiterjed. Ilyen esetekben a felhasználói oldal felelősségét is elismerik. A valós bírósági ítéletekben a hibák kiegyenlítése kerül mérlegelésre, és a rendszerszolgáltató elleni kártérítési igény korlátozásra kerülhet.

Kapcsolódó cikk: Mi a három kibercselekmény kategória? Az ügyvéd ismerteti az egyes minták kármegelőzési stratégiáit[ja]

A rendszerszolgáltatók kártérítési felelőssége és szerződési példák

A rendszerszolgáltatók és a felhasználóként szereplő vállalatok közötti IT rendszer szerződések jellemző példái a következő három típus:

  1. Szoftverfejlesztési szerződés
  2. Rendszer karbantartási és üzemeltetési szerződés
  3. Cloud szolgáltatás használati szerződés

A kártérítési felelősség az eredeti szerződéstől függ, ezért az alábbiakban szerződéstípusonként magyarázzuk.

Szoftverfejlesztési szerződés

A szoftverfejlesztési szerződés olyan megállapodás, amelyet a felhasználói oldalú vállalat köt a szoftver szállítójával, amikor saját rendszerének fejlesztési munkáit rájuk bízza.

Ha a felhasználói oldalú vállalatot kibertámadás éri, és a szoftver sebezhetősége okozza a kár kiterjedését, a felhasználó felelősségre vonhatja a szállítót.

A rendszerszállító által viselt felelősség a szoftverfejlesztési szerződés típusától függően a következő két lehetőség közül valamelyik:

  • Szerződéses munka: Szerződéses felelősség
  • Quasi-megbízási szerződés: Gondos kezelési kötelezettség megsértése

Szerződéses munka

A szerződéses munka olyan szerződés, amelyben a rendszer befejezését ígérik, és a létrehozott eredményért cserébe díjat fizetnek.

Ha az átadott eredmény “nem felel meg a szerződés céljának”, akkor az átadástól számított meghatározott időn belül szerződéses felelősség (a japán Polgári Törvénykönyv 559. és 562. cikke[ja]) keletkezik a szerződő fél számára.

Ez azt jelenti, hogy ha a kibertámadás könnyen rendszerhibát okoz, az eredmény “nem felel meg a szerződés céljának”, és a felhasználói oldal szerződéses felelősségből eredő kártérítést követelhet.

Az, hogy ezt a követelést elfogadják-e, a felek között előzetesen meghatározott szoftverbiztonsági szinttől függ.

【Példa a szerződéses felelősségre】

〇. cikk: Az előző cikkben meghatározott átvétel után, ha a szállított termék nem egyezik a rendszerspecifikációval (beleértve a hibákat is, amit a továbbiakban “szerződéses nem megfelelőségnek” nevezünk), az A fél kérheti a B féltől a szerződéses nem megfelelőség kijavítását vagy teljesítését (amit a továbbiakban “kiegészítésnek” nevezünk), és a B fél köteles ezt megtenni. Azonban, ha ez nem jelent aránytalan terhet az A fél számára, a B fél eltérő módon is teljesítheti a kiegészítést.

2. Az előző bekezdéstől függetlenül, ha a szerződéses nem megfelelőség ellenére is elérhető az egyedi szerződés célja, és a kiegészítés túlzott költségeket igényel, a B fél nem köteles teljesíteni az előző bekezdésben meghatározott kiegészítési kötelezettséget.

3. Ha az A fél kárt szenved a szerződéses nem megfelelőség miatt (csak azokat az eseteket, amelyek a B fél hibájából adódnak), kártérítést követelhet a B féltől.

Idézet: Információs rendszer – Modell tranzakció – Szerződés (második kiadás)[ja]

Quasi-megbízási szerződés

A quasi-megbízási szerződésben nincs alkalmazva a szerződéses felelősség, mert nincs kötelezettség a termék befejezésére. Ehelyett a “gondos kezelői figyelemmel kell eljárni a megbízott ügyekben” (gondos kezelési kötelezettség).

Ha a kibertámadás rendszerhibát okoz, akkor még akkor is, ha a szerződéskötéskor nem határozták meg a biztonsági szintet, a rendszer ilyen mértékű fejlesztése “gondos kezelési kötelezettség megsértése” (a japán Polgári Törvénykönyv 656. és 644. cikke[ja]) lehet, és kártérítési igényt kaphat.

【Példa a gondos kezelési kötelezettségre】

〇. cikk: A B fél a 〇. cikkben meghatározott egyedi szerződés megkötése után, az A fél által létrehozott információs rendszer koncepció, rendszertervezési dokumentum stb. alapján, támogatja az A fél követelménydefiníciós dokumentumának elkészítését (amit a továbbiakban “követelménydefiníciós támogatási munkának” nevezünk).

2. A B fél, az információfeldolgozási technológia szakértelme és tapasztalata alapján, gondos kezelői figyelemmel végez kutatást, elemzést, rendszerezést, javaslatot és tanácsadást stb., hogy az A fél munkája zökkenőmentesen és megfelelően haladhasson.

Idézet: Információs rendszer – Modell tranzakció – Szerződés (második kiadás)[ja]

Rendszerkarbantartási és üzemeltetési szerződés

A rendszerkarbantartási és üzemeltetési szerződés olyan szerződés, amelyben a vállalatok a szoftverfejlesztőknek bízzák a meglévő szoftverek karbantartását és üzemeltetését. A karbantartási és üzemeltetési szerződés megkötésekor általános gyakorlat, hogy a teljesítendő biztonsági szintet beépítik a szerződésbe, például a műszaki leírásban.

Ha kibertámadás következtében kár keletkezik, és a rendszer biztonsági szintje alacsonyabb a szerződéskor megállapodottnál, a szerződésszegési záradékra hivatkozva felelősségre vonható a szerződés nem teljesítése.

Ugyanakkor, ha előzetesen nem határozták meg a biztonsági szintet, akkor a kibertámadásokra sebezhető rendszer karbantartása és üzemeltetése a gondos kezelési kötelezettség megsértésének minősülhet, és ezért felelősségre vonható.

Felhőszolgáltatások használati szerződése

A felhőszolgáltatások használati szerződése olyan szerződés, amelyet a szolgáltatóval kötünk, amikor felhő alapú szolgáltatásait használjuk. Mivel a szolgáltató ugyanazt a szolgáltatást nyújtja számos felhasználó számára, gyakran a szolgáltató által meghatározott felhasználási feltételek szerint kötik meg a szerződést.

Általában ebben a szerződésben előre meghatározzák a felelősséget abban az esetben, ha a szolgáltatás nem nyújtható a kibertámadások miatt.

A felhőszolgáltatások használati szerződésében általában a következőket határozzák meg a szerződéskötéskor:

  • SLA (Service Level Agreement): a minőségi garanciák és a működési szabályok
  • Felelősségkorlátozó záradék: a szolgáltató felelőssége a károk bekövetkezése esetén

Az SLA a felhasználói igények és a szolgáltató működési szabályainak írásba foglalása. Ha a szerződésben meghatározott szolgáltatást nem kapja meg, részleges szerződésszegésnek minősül, és kártérítést igényelhet. Ezenkívül a szerződésben a szolgáltató előre meghatározhatja a feltételeket a szerződésszegési igényekhez, és korlátozhatja a kártérítés összegét, még akkor is, ha a felelősség elismerésre kerül, ez a “felelősségkorlátozó záradék”.

Ugyanakkor, mivel a felelősségkorlátozó záradékok gyakran a szolgáltató számára kedvezőek, vitás esetekben a japán bírói gyakorlat korlátozhatja őket.

【Felelősségkorlátozó záradék példa】

§ A és B felek, ha kárt szenvednek a másik fél hibájából eredő okok miatt a szerződés és az egyedi szerződések teljesítése során, kártérítést igényelhetnek a másik féltől (csak a ○○○ károkra korlátozódik). Azonban ezt az igényt csak a kártérítési igény alapjául szolgáló egyedi szerződésben meghatározott termék átvételi napja vagy a munka befejezésének napja után ○ hónappal lehet benyújtani.

2. A szerződés és az egyedi szerződések teljesítésével kapcsolatos kártérítés összegének összege, a szerződésszegés (beleértve a szerződési felelősséget), jogtalan előny, jogellenes cselekmény és egyéb igények okától függetlenül, a felelősség alapjául szolgáló egyedi szerződésben meghatározott ○○○ összegét nem haladhatja meg.

3. Az előző bekezdés nem alkalmazható, ha a kártérítési kötelezettség szándékos vagy súlyos hanyagságon alapul.

Idézet: Információs rendszerek – Modell ügyletek – Szerződések (második kiadás)[ja]

A rendszerfejlesztők kártérítési felelősségének határainak megítélési szempontjai

A rendszerfejlesztők kártérítési felelősségének határainak megítélési szempontjai

Cyber támadások során a felhasználói vállalatoknál keletkező károk esetén milyen konkrét esetekben merülhet fel a rendszert fejlesztő szolgáltató felelőssége?

Az alábbiakban a rendszerfejlesztők felelősségét vizsgáló bírósági ítéletek alapján magyarázom el a helyzetet.

Végrehajtották-e a fejlesztés idején elvárt technikai szintű intézkedéseket?

A felelősség kérdésének bírósági vizsgálatakor hangsúlyos szempont, hogy a rendszerfejlesztők végrehajtották-e a fejlesztés idején a hivatalos vagy iparági szervezetek által kiadott figyelmeztetések és útmutatók szerinti biztonsági intézkedéseket.

Az alábbiakban olyan bírósági ítéleteket mutatok be, amelyekben a rendszerfejlesztőket kártérítésre kötelezték a cyber támadások által okozott károk miatt.

【Bírósági ítélet】Tokiói Kerületi Bíróság, 2014. január 23. (Heisei 26.1.23)
Felhasználó: X cég, belsőépítészeti termékek kiskereskedelme és távkereskedelme
Szolgáltató: Y cég, aki a webes rendelési rendszer tervezését és karbantartását vállalta

Egy olyan eset, amikor egy cyber támadás során 7,000 ügyfél hitelkártya adatai kerültek illetéktelen kezekbe.

■Ítélet
A rendszerfejlesztőt mintegy 20 millió jen kártérítésre kötelezték
A fejlesztési költségeket meghaladó összeget ítéltek meg
Az X cég hibáját is elismerték, és 30%-os hibakompenzációt alkalmaztak

■Indoklás
・A rendszerfejlesztő elmulasztotta a technikai szintnek megfelelő biztonsági intézkedések végrehajtását.
・A felhasználói cég is hibás, mivel a rendszerfejlesztőtől kapott kockázati tájékoztatás ellenére elmulasztotta a megfelelő intézkedések megtételét, ezért 30%-os hibakompenzációt alkalmaztak.

2014-ben a cyber támadások fő eszköze az “SQL injekció” volt, és a Japán Gazdasági, Kereskedelmi és Ipari Minisztérium is közzétett egy “Figyelmeztetés a személyes adatok védelméről szóló törvény alapján a személyes adatok biztonságos kezelésének elősegítéséről[ja]” című dokumentumot, amelyben felhívta a figyelmet a cyber kockázatokra és a rendszer erősítésére.

Az ítélet elismerte a rendszerfejlesztő felelősségét, aki nem hajtotta végre a szükséges intézkedéseket, és kártérítésre kötelezte, ugyanakkor a felhasználói cég hibáját is elismerte, és 30%-os hibakompenzációt alkalmazott.

Van-e hibája a felhasználói vállalatnak?

A rendszerfejlesztés megrendelőjeként a felhasználói vállalatoknak is vannak kötelezettségeik, és ha hibáznak, akkor teljes felelősséget is vállalhatnak.

Az alábbiakban bemutatok egy olyan esetet, amely nem cyber támadás, de ahol a felhasználói vállalat teljes felelősségét elismerték, és kártérítésre kötelezték.

【Bírósági ítélet】Asahikawa Kerületi Bíróság, 2017. augusztus 31. (Heisei 29.8.31)

Felhasználó: Egyetemi kórház
Szolgáltató: A rendszerfejlesztő cég, amelyet az egyetemi kórház bízott meg az elektronikus egészségügyi rekord rendszer fejlesztésével

A projekt kezdetétől fogva a helyszínen dolgozó orvosok folyamatosan további igényekkel álltak elő.
Az igények nem szűntek meg, a fejlesztés késésbe került, és az egyetemi kórház a késedelem miatt felbontotta a szerződést.

■Ítélet (fellebbezési eljárás)
Az egyetemi kórházat mintegy 1,4 milliárd jen kártérítésre kötelezték
Az elsőfokú ítéletet, amely mindkét félnek kártérítést ítélt meg, hatályon kívül helyezték

■Indoklás
・Problémás volt, hogy a kórház nem vette figyelembe a szolgáltató figyelmeztetését, miszerint ha eleget tesznek a további igényeknek, akkor nem tudják betartani a határidőt.

Ebben az esetben a rendszerfejlesztés késedelme miatt a felhasználói cég felbontotta a szerződést, és mind a felhasználói cég, mind a szolgáltató kártérítést követelt a másik féltől.

Az ítélet szerint a fejlesztés késedelme oka az volt, hogy a felhasználói cég nem vette figyelembe a rendszerfejlesztő figyelmeztetését, és 100%-os felelősséget rótt a felhasználói cégnek, elutasítva annak kártérítési igényét. A rendszerfejlesztőknek van “projektmenedzsment kötelezettségük”, hogy a projektet időben befejezzék. Ugyanakkor a felhasználói cégnek is van “együttműködési kötelezettsége”, és ha ezt elmulasztja, teljes felelősséget is vállalhat. A tényleges bírósági eljárásokban a kártérítési felelősség a felelősség arányától függ.

Három fontos pont a biztonságos rendszerfejlesztéshez

Három fontos pont a biztonságos rendszerfejlesztéshez

A kiberrizikók elleni védekezéshez fontos, hogy a felhasználók és a szolgáltatók közösen dolgozzanak a megoldásokon.

Az alábbiakban bemutatjuk, hogy a szolgáltatók és a felhasználók milyen intézkedéseket tehetnek saját szemszögükből.

Ismerje fel a kiberrizikókat, amelyekre a kormányzati szervek felhívják a figyelmet

A rendszerfejlesztőknek érdemes megismerniük a Japán Gazdasági, Kereskedelmi és Ipari Minisztérium (METI) és az Információs Feldolgozási Fejlesztési Szervezet (IPA) által kiadott irányelveket, hogy tisztában legyenek a jelenlegi kiberrizikókkal és azok kezelési módszereivel a fejlesztés és üzemeltetés során.

A szolgáltatóknak és a felhasználóknak is érdemes megismerniük ezeket az irányelveket, és olyan fejlesztést és üzemeltetést kérni, amely megfelel ezeknek az irányelveknek, valamint a szerződésbe belefoglalni a biztonsági szintre vonatkozó rendelkezéseket.

Referencia: METI | Kiberbiztonsági irányelvek Ver 2.0[ja]

Referencia: IPA | Hogyan készítsünk biztonságos weboldalt[ja]

Különösen a pénzügyi szektorban előfordulhat, hogy a jogszabályok és irányelvek magas szintű biztonságot követelnek meg. A kripto eszközökkel kapcsolatos biztonsági intézkedéseket részletesen ismertetjük az alábbiakban.

Kapcsolódó cikk: Mi a kripto eszközök (virtuális valuta) biztonsági intézkedése? Három kiszivárgási eset bemutatása[ja]

Mindkét fél megérti a biztonság szükségességét

A METI “Kiberbiztonsági irányelvek Ver2.0[ja]” című dokumentumában kifejezetten szerepel, hogy a kiberbiztonsági intézkedések üzleti kérdések.

A biztonság kérdését nem szabad a szolgáltatóra hárítani, a vállalatoknak is részét kell képeznie a kockázatkezelésnek, és felelősséggel kell hozzáállniuk az intézkedésekhez.

Mindkét fél közösen kezeli a kibertámadásokat

Ha kibertámadás éri a rendszert, a megrendelő és a szolgáltató nem tolhatja a felelősséget a másikra, hanem együtt kell működniük a kár minimalizálása érdekében.

Azonban a rendszerfejlesztés során a megrendelő pozíciója gyakran erősebb, és a fejlesztés gyakran a költségek és a határidők körül forog. Lehet, hogy a szolgáltató nem kap elegendő pénzt és időt, és a biztonsági javaslatokat nem fogadják el.

Az irányelvek szerint a felhasználói vállalatoknak nem szabad a biztonsági intézkedéseket “költségként” kezelniük, hanem a jövőbeli üzleti tevékenység és növekedés szempontjából elengedhetetlennek kell tekinteniük, és “befektetésként” kell értelmezniük.

A rendszerfejlesztés során fontos, hogy a szolgáltató és a felhasználó egyenlő pozícióban legyen, és közösen kezeljék a kibertámadásokat.

Összefoglalás: A rendszerfejlesztési szerződések elkészítéséhez forduljunk ügyvédhez

Ha kibertámadás éri a céget és károk keletkeznek, előfordulhat, hogy a rendszerfejlesztésben részt vevő szállítót a felhasználói vállalatok felelősségre vonják a kiberrizikók kezelésének elmulasztása miatt.

Az azonban fontos, hogy a szállítóval való együttműködési kötelezettség elmulasztása miatt a felhasználói vállalatok is felelősséggel tartoznak.

A kibertámadások okozta károk minimalizálása érdekében a szerződésben meg kell határozni a rendszer szintjét és a felelősségi köröket.

A rendszerfejlesztési szerződések elkészítéséhez forduljunk olyan ügyvédhez, aki rendelkezik a szükséges szakmai ismeretekkel, mint például a jelenlegi kiberrizikók és az irányelvek ismerete.

Intézkedéseink bemutatása irodánk részéről

A Monolith Jogiroda egy olyan jogi szakértői iroda, amely rendelkezik magas szintű szakértelemmel az IT, különösen az internet és a jog területén. A rendszerfejlesztési szerződések esetében szükség van a szerződés elkészítésére. Irodánkban a tokiói tőzsdén jegyzett vállalatoktól a startup vállalkozásokig, különböző ügyekben készítünk és felülvizsgálunk szerződéseket. Ha problémája van a szerződéssel kapcsolatban, kérjük, olvassa el az alábbi cikket.

A Monolith Jogiroda által kezelt területek: Rendszerfejlesztési jogi ügyek[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

A rendszerszoftver-fejlesztés szerver- és infrastruktúrájával kapcsolatos jogi kérdések

A rendszerszoftver-fejlesztés szerver- és infrastruktúrájával kapcsolatos jogi kérdések

IT

Hogyan oldjuk meg a rendszerfejlesztési vitákat tárgyalásokkal?

Hogyan oldjuk meg a rendszerfejlesztési vitákat tárgyalásokkal?

IT

Milyen jogi problémák merülhetnek fel a blockchain és NFT játékokban? A 'japán Játékdíj Megjelenítési Törvény' és a szerencsejáték-bűncselekmények kapcsolatának elemzése

Milyen jogi problémák merülhetnek fel a blockchain és NFT játékokban? A 'japán Játékdíj Megjelen.

IT

A szubkontrakciós törvény alkalmazása a rendszerszoftver fejlesztésre és a megsértése esetén alkalmazott büntetések magyarázata

A szubkontrakciós törvény alkalmazása a rendszerszoftver fejlesztésre és a megsértése esetén alk.

IT

A szoftverfejlesztési projektekben részt vevő tagok távozásával kapcsolatos jogszabályok

A szoftverfejlesztési projektekben részt vevő tagok távozásával kapcsolatos jogszabályok

IT

Az egyéni mérnököknek a vállalatokkal közös vállalkozásban előzetesen elkészítendő szerződéseik

Az egyéni mérnököknek a vállalatokkal közös vállalkozásban előzetesen elkészítendő szerződéseik

IT

Lehetőség van a ChatGPT kereskedelmi felhasználására? Egy ügyvéd magyarázza el a szerzői jogi kérdéseket

Lehetőség van a ChatGPT kereskedelmi felhasználására? Egy ügyvéd magyarázza el a szerzői jogi ké.

IT

Az „Open Source Software (OSS)” definíciója és a szerzői jogi szempontok

Az „Open Source Software (OSS)” definíciója és a szerzői jogi szempontok

IT

Mi a projektmenedzsment kötelezettség a rendszerfejlesztésben?

Mi a projektmenedzsment kötelezettség a rendszerfejlesztésben?

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Vissza a tetejére