Norsk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_no/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdager 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Skade ved cyberangrep. Hva er systemleverandørens erstatningsansvar? Forklaring av eksempler på kontraktsformuleringer

Skade ved cyberangrep. Hva er systemleverandørens erstatningsansvar? Forklaring av eksempler på kontraktsformuleringer

IT

Skade ved cyberangrep. Hva er systemleverandørens erstatningsansvar? Forklaring av eksempler på kontraktsformuleringer

I de senere år har cyberangrep mot bedrifter vært i stadig økning.

Ifølge en undersøkelse utført av den japanske ideelle organisasjonen Japan Network Security Association (JNSA), utgjorde andelen av personopplysningslekkasjer forårsaket av uautorisert tilgang 4,7 % av det totale antallet i 2013, men økte til 20,3 % i 2018 (2018-rapport om informasjonssikkerhetshendelser[ja]).

I denne artikkelen vil vi forklare ansvarsområdet til systemleverandører ved cyberangrep, basert på tidligere rettsavgjørelser. Vi vil også forklare hvilke roller og ansvarsområder som bør fastsettes i kontrakter for at leverandører og brukere sammen kan beskytte seg mot cyberangrep, basert på en modellkontrakt.

Kan systemleverandører holdes ansvarlige for erstatning ved cyberangrep?

Kan systemleverandører holdes ansvarlige for erstatning ved cyberangrep?

Når en bedrift på brukersiden blir utsatt for et cyberangrep og lider skade, er det først og fremst angriperen som bør holdes ansvarlig. Men hvis det er en mulighet for at systemutvikling eller -drift har vært uaktsom og dermed gjort angrepet lettere, kan brukersiden også ha rett til å kreve erstatning fra systemleverandøren.

Grunnlaget for erstatningskrav mot systemleverandøren kan være:

  • Ansvar for kontraktsbrudd
  • Brudd på plikten til å utvise aktsomhet

Det kan imidlertid også være tilfeller der feil på brukersiden har bidratt til å forverre skaden. I slike tilfeller kan brukersiden også bli holdt ansvarlig. I faktiske rettssaker har det vært tilfeller der erstatningskrav mot systemleverandøren har blitt begrenset på grunn av medvirkning fra brukersiden.

Relatert artikkel: Hva er de tre kategoriene av cyberkriminalitet? En advokat forklarer tiltakene mot hver type skade[ja]

Systemleverandørens erstatningsansvar og eksempler på kontraktsformuleringer

Som representative eksempler på IT-systemkontrakter mellom en systemleverandør og en brukerbedrift, finnes det følgende tre typer:

  1. Programvareutviklingskontrakt
  2. Systemvedlikeholds- og driftskontrakt
  3. Brukerkontrakt for skytjenester

Erstatningsansvar vurderes ut fra den opprinnelige kontrakten, så vi vil forklare dette for hver kontraktstype nedenfor.

Programvareutviklingskontrakt

En programvareutviklingskontrakt er en avtale som inngås når en brukerbedrift gir en programvareleverandør i oppdrag å utvikle sitt eget system.

Hvis brukerbedriften blir utsatt for et cyberangrep og sårbarheter i programvaren fører til økt skade, kan brukeren holde leverandøren ansvarlig.

Leverandørens ansvar i en programvareutviklingskontrakt avhenger av kontraktstypen og kan deles inn i to kategorier:

  • Oppdragskontrakt: Ansvar for kontraktsbrudd
  • Forvaltningskontrakt: Brudd på plikten til aktsomhet

Oppdragskontrakt

En oppdragskontrakt er en avtale hvor leverandøren lover å fullføre systemet, og betaling skjer for det ferdige produktet.

Hvis det leverte produktet ikke oppfyller “kontraktens formål”, vil leverandøren være ansvarlig for kontraktsbrudd (i henhold til Japansk sivilrett, artikkel 559 og 562[ja]) i en viss periode etter levering.

Med andre ord, hvis produktet er så sårbart at det lett kan forårsake systemfeil ved et cyberangrep, kan brukeren kreve erstatning for kontraktsbrudd.

Om dette kravet blir godkjent, avhenger av sikkerhetsnivået som partene har avtalt på forhånd.

【Eksempel på ansvar for kontraktsbrudd】

Artikkel X: Hvis det etter fullført inspeksjon i henhold til forrige artikkel oppdages uoverensstemmelser mellom det leverte produktet og systemspesifikasjonene (inkludert feil, heretter referert til som “kontraktsbrudd” i denne artikkelen), kan part A kreve at part B retter opp kontraktsbruddet (heretter referert til som “retting” i denne artikkelen), og part B skal utføre denne rettingen. Hvis det ikke pålegger part B en urimelig byrde, kan part B utføre rettingen på en annen måte enn det part A har krevd.

2. Uavhengig av forrige avsnitt, hvis kontraktsbruddet ikke hindrer oppnåelsen av formålet med den individuelle kontrakten og rettingen krever uforholdsmessige kostnader, er part B ikke forpliktet til å utføre rettingen som angitt i forrige avsnitt.

3. Hvis part A lider skade som følge av kontraktsbruddet (kun hvis det skyldes part B), kan part A kreve erstatning fra part B.

Kilde: Japansk informasjonssystem-modelltransaksjonskontrakt (andre utgave)[ja]

Forvaltningskontrakt

Forvaltningskontrakter er ikke underlagt ansvar for kontraktsbrudd, da det ikke er noen forpliktelse til å fullføre et produkt. I stedet pålegges leverandøren en “plikt til aktsomhet som en god forvalter” (aktsomhetsplikt).

Hvis et cyberangrep fører til systemfeil, kan utviklingen av et slikt system anses som et brudd på aktsomhetsplikten (i henhold til Japansk sivilrett, artikkel 656 og 644[ja]), selv om sikkerhetsnivået ikke ble avtalt ved kontraktsinngåelsen, og leverandøren kan bli holdt ansvarlig for erstatning.

【Eksempel på aktsomhetsplikt】

Artikkel X: Part B skal, etter å ha inngått en individuell kontrakt som angitt i artikkel X, tilby tjenester for å støtte part A i utarbeidelsen av kravspesifikasjoner basert på informasjonssystemkonseptdokumenter og systemplanleggingsdokumenter utarbeidet av part A (heretter referert til som “støttetjenester for utarbeidelse av kravspesifikasjoner”).

2. Part B skal, basert på sin spesialkunnskap og erfaring innen informasjonsteknologi, utføre støttetjenester som undersøkelser, analyser, organisering, forslag og rådgivning med aktsomhet som en god forvalter for å sikre at part A’s arbeid utføres jevnt og hensiktsmessig.

Kilde: Japansk informasjonssystem-modelltransaksjonskontrakt (andre utgave)[ja]

Systemvedlikeholds- og driftsavtale

En systemvedlikeholds- og driftsavtale er en kontrakt der en bedrift engasjerer en programvareleverandør til å utføre vedlikeholds- og driftsoppgaver for eksisterende programvare. Ved inngåelse av en vedlikeholds- og driftsavtale er det vanlig å inkludere sikkerhetsstandarder som må oppfylles i kontrakten, for eksempel i en arbeidsbeskrivelse.

Hvis det oppstår skade som følge av et cyberangrep, og sikkerhetsnivået i systemet er lavere enn det som ble avtalt ved kontraktsinngåelsen, kan mislighold av kontrakten påberopes som grunnlag for å holde leverandøren ansvarlig.

Men hvis sikkerhetsnivået ikke er spesifisert på forhånd, kan det å vedlikeholde og drifte et system som er sårbart for cyberangrep anses som et brudd på den japanske plikten til å utvise aktsomhet, og leverandøren kan holdes ansvarlig.

Avtale om bruk av skytjenester

En avtale om bruk av skytjenester er en kontrakt som inngås når en leverandør tilbyr tjenester på skyen. Siden det er forventet at leverandøren tilbyr samme tjeneste til mange brukere, er det vanlig å inngå avtalen i henhold til leverandørens bruksvilkår.

Generelt sett inneholder denne avtalen forhåndsbestemte ansvarsforhold i tilfelle tjenesten ikke kan leveres på grunn av et cyberangrep.

Ved inngåelse av en avtale om bruk av skytjenester, reguleres vanligvis følgende:

  • SLA (Service Level Agreement): Garanti for kvalitet og driftsregler
  • Ansvarsbegrensningsklausul: Omfanget av leverandørens ansvar ved mislighold

SLA er en skriftlig avtale som beskriver brukerens krav og leverandørens driftsregler. Hvis tjenesten som er spesifisert i SLA ikke leveres, kan brukeren kreve erstatning for delvis mislighold. I tillegg kan avtalen inneholde en “ansvarsbegrensningsklausul” som på forhånd begrenser leverandørens ansvar ved mislighold og begrenser erstatningsbeløpet selv om ansvar er erkjent.

Imidlertid er ansvarsbegrensningsklausuler ofte fordelaktige for leverandøren, og kan bli delvis begrenset av japansk rettspraksis hvis det oppstår en tvist.

【Eksempel på ansvarsbegrensningsklausul】

Artikkel X: Hvis partene lider skade som følge av den andre partens mislighold av denne avtalen eller individuelle avtaler, kan de kreve erstatning fra den andre parten (kun for skader på grunn av XXX). Imidlertid kan dette kravet ikke fremmes etter at det har gått X måneder fra datoen for ferdigstillelse av inspeksjon av leveransen eller bekreftelse av arbeidets fullføring, som spesifisert i den individuelle avtalen.

2. Den totale kumulative erstatningssummen for skader knyttet til oppfyllelsen av denne avtalen og individuelle avtaler, uavhengig av grunnlaget for kravet, inkludert mislighold (inkludert ansvar for manglende samsvar med avtalen), urettferdig berikelse, ulovlig handling eller annet, skal ikke overstige beløpet spesifisert i den individuelle avtalen som forårsaket misligholdet.

3. Forrige avsnitt gjelder ikke hvis skaden skyldes forsett eller grov uaktsomhet fra den erstatningspliktige partens side.

Kilde: Informasjonssystemmodelltransaksjons- og kontraktsdokument (andre utgave)[ja]

Retningslinjer for vurdering av systemleverandørens erstatningsansvar

Retningslinjer for vurdering av systemleverandørens erstatningsansvar

Når en brukerbedrift lider skade som følge av et cyberangrep, i hvilke konkrete tilfeller kan systemleverandøren holdes ansvarlig?

Nedenfor forklarer vi basert på faktiske rettssaker der systemleverandørens ansvar ble vurdert.

Har tiltakene fulgt teknologinivået på utviklingstidspunktet?

I faktiske rettssaker der ansvar blir diskutert, legges det vekt på om systemleverandøren har implementert sikkerhetstiltak i samsvar med advarsler og manualer fra offentlige etater og bransjeorganisasjoner på utviklingstidspunktet.

Det finnes rettssaker der systemleverandøren ble pålagt å betale erstatning for skader forårsaket av cyberangrep.

【Rettssak】Tokyo District Court, 23. januar Heisei 26 (2014)
Bruker: Selskap X som driver med detaljhandel og netthandel av interiørprodukter
Leverandør: Selskap Y som var ansvarlig for design og vedlikehold av webbestillingssystemet

En hendelse der 7 000 kunders kredittkortinformasjon ble lekket på grunn av et cyberangrep

■ Dom
Systemleverandøren ble pålagt å betale ca. 20 millioner yen i erstatning
Beløpet oversteg utviklingskostnadene med ca. 2 millioner yen
Selskap X ble også ansett å ha vært uaktsom, og 30 % av erstatningen ble avkortet

■ Begrunnelse
・Systemleverandøren unnlot å implementere sikkerhetstiltak i samsvar med teknologinivået på den tiden.
・Selskap X ble ansett å ha vært uaktsom ved å ikke iverksette tiltak til tross for advarsler fra systemleverandøren, og derfor ble 30 % av erstatningen avkortet.

I 2014 var “SQL-injeksjonsangrep” en vanlig metode for cyberangrep, og det japanske økonomi-, handels- og industriministeriet (METI) hadde utgitt et dokument som advarte om cyberrisiko og oppfordret til systemforsterkning, kalt “Advarsel om tiltak for sikkerhetsstyring av personopplysninger i henhold til den japanske personopplysningsloven”.

Domstolen anerkjente systemleverandørens ansvar for ikke å ha iverksatt tiltak og påla erstatning, samtidig som den anerkjente brukerbedriftens uaktsomhet og avkortet erstatningen med 30 %.

Har brukerbedriften gjort feil?

Brukerbedriften som bestiller systemutviklingen har også plikter, og hvis de gjør feil, kan de bli holdt fullt ansvarlig.

Følgende er en rettssak som ikke involverer et cyberangrep, men der brukerbedriften ble holdt fullt ansvarlig og pålagt å betale erstatning.

【Rettssak】Asahikawa District Court, 31. august Heisei 29 (2017)

Bruker: Universitetsklinikk
Leverandør: Systemfirma som ble bedt om å utvikle et elektronisk journalsystem av universitetsklinikken

Rett etter prosjektstart kom det en rekke tilleggsforespørsler fra legene på stedet.
Forespørslene stoppet ikke, utviklingen ble forsinket, og universitetsklinikken sa opp kontrakten på grunn av forsinkelsen.

■ Dom (ankesak)
Universitetsklinikken ble pålagt å betale ca. 1,4 milliarder yen i erstatning
Førsteinstansdommen som påla begge parter erstatning ble opphevet

■ Begrunnelse
・Universitetsklinikken ignorerte advarslene fra leverandøren om at tilleggsforespørslene ville føre til forsinkelser.

I denne rettssaken sa brukerbedriften opp kontrakten på grunn av utviklingsforsinkelser, og begge parter saksøkte hverandre for erstatning.

Domstolen anerkjente at brukerbedriften ignorerte advarslene fra systemleverandøren, og holdt brukerbedriften 100 % ansvarlig, og avviste brukerens krav. Systemleverandøren har en “prosjektstyringsplikt” for å sikre at prosjektet fullføres i tide. Brukerbedriften har også en “samarbeidsplikt”, og hvis de unnlater å oppfylle denne, kan de bli holdt fullt ansvarlig. I faktiske rettssaker bestemmes erstatningsansvaret basert på denne ansvarsfordelingen.

Tre Viktige Punkter for Sikker Systemutvikling

Tre Viktige Punkter for Sikker Systemutvikling

For å forberede seg på cyberrisikoer, er det viktig at både brukersiden og leverandørsiden samarbeider om å iverksette tiltak.

Nedenfor forklarer vi tiltakene som leverandører og brukere kan ta fra sine respektive ståsteder.

Forstå Cyberrisikoer Identifisert av Offentlige Etater

Systemleverandører bør sjekke retningslinjene fra spesialiserte organer som det japanske Økonomi-, Handels- og Industriministeriet (経済産業省) og det japanske Information-Technology Promotion Agency (IPA, 独立行政法人情報処理推進機構), og forstå de nåværende cyberrisikoene og hvordan man kan håndtere dem før de går i gang med utvikling og drift.

Videre bør både leverandører og brukerselskaper forstå innholdet i retningslinjene til en viss grad, og be om utvikling og drift i tråd med disse retningslinjene, samt inkludere sikkerhetsklausuler i kontraktene.

Referanse: Økonomi-, Handels- og Industriministeriet|Cybersecurity Management Guidelines Ver 2.0

Referanse: Information-Technology Promotion Agency|Hvordan Lage Sikker Nettsted[ja]

Spesielt innen finanssektoren kan det være krav om høy sikkerhet i henhold til lover og retningslinjer. Vi forklarer sikkerhetstiltak for kryptovalutaer i detalj nedenfor.

Relatert artikkel: Hva er Sikkerhetstiltak for Kryptovalutaer? Forklart med Tre Tyverisaker[ja]

Begge Parter Må Forstå Behovet for Sikkerhet

Det japanske Økonomi-, Handels- og Industriministeriets Cybersecurity Management Guidelines Ver 2.0 fastslår at “cybersikkerhetstiltak er et ledelsesproblem”.

Bedrifter bør ikke overlate alt til leverandørene bare fordi de ikke forstår sikkerhet, men bør betrakte risikostyring som en del av ledelsen og ta ansvar for å iverksette tiltak.

Begge Parter Må Samarbeide for å Håndtere Cyberangrep

Når et cyberangrep inntreffer, bør både bestilleren og leverandøren samarbeide for å minimere skaden, i stedet for å skylde på hverandre.

Imidlertid har bestilleren ofte en sterkere posisjon enn leverandøren i systemutviklingsprosjekter, og utviklingen har en tendens til å fokusere på kostnader og tidsfrister. Leverandørene får kanskje ikke nok penger eller tid, og deres sikkerhetsforslag blir kanskje ikke akseptert.

Retningslinjene påpeker imidlertid at brukerselskaper bør betrakte sikkerhetstiltak som en “investering” som er essensiell for fremtidig forretningsaktivitet og vekst, i stedet for som en “kostnad”.

Det er viktig at leverandører og brukere samarbeider på like vilkår for å håndtere cyberangrep i systemutvikling.

Oppsummering: Konsulter en advokat for å utarbeide systemutviklingskontrakter

Hvis en bedrift blir utsatt for et cyberangrep og påføres skade, kan leverandøren som var involvert i systemutviklingen bli holdt ansvarlig av brukerbedriften for å ha unnlatt å iverksette tilstrekkelige cybersikkerhetstiltak.

Imidlertid har også brukerbedriften ansvar hvis den har unnlatt å oppfylle sin samarbeidsplikt overfor leverandøren.

For å minimere skadeomfanget ved et cyberangrep, er det viktig å fastsette systemstandarder og ansvarsområder i kontrakten.

Ved utarbeidelse av kontrakter for systemutvikling, bør man konsultere en advokat med avansert ekspertise som forstår retningslinjene og de nåværende cyberrisikoene.

Veiledning om tiltak fra vårt firma

Monolith Advokatfirma er et advokatfirma med høy ekspertise innen IT, spesielt internett og jus. Ved systemutviklingskontrakter er det nødvendig å utarbeide kontrakter. Vårt firma utarbeider og gjennomgår kontrakter for en rekke saker, fra selskaper notert på Tokyo-børsen til oppstartsbedrifter. Hvis du har problemer med kontrakter, vennligst se artikkelen nedenfor.

Monolith Advokatfirmas ekspertiseområder: Juridiske tjenester relatert til systemutvikling[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Om juridiske problemer knyttet til databaser i IT-systemer

Om juridiske problemer knyttet til databaser i IT-systemer

IT

Er det mulig å bruke ChatGPT i virksomheten? Fordeler og viktige hensyn forklart

Er det mulig å bruke ChatGPT i virksomheten? Fordeler og viktige hensyn forklart

IT

Hva er 'skjønnsmessig arbeidssystem'? Er det anvendelig for programmerere?

Hva er 'skjønnsmessig arbeidssystem'? Er det anvendelig for programmerere?

IT

The title of this article in Norwegian: “Hvordan beskyttes immaterielle rettigheter i AI-utvikling? En gjennomgang av opphavsrett og patentrett”

The title of this article in Norwegian: “Hvordan beskyttes immaterielle rettigheter i AI-u.

IT

Hva er loven når et prosjekt som involverer underleverandører (re-utkontraktering) mislykkes?

Hva er loven når et prosjekt som involverer underleverandører (re-utkontraktering) mislykkes?

IT

Hva er de tre juridiske utfordringene med DeFi? Forklaring av lovreguleringer for tokenutstedelse på DEX

Hva er de tre juridiske utfordringene med DeFi? Forklaring av lovreguleringer for tokenutstedels.

IT

Lærdommer fra administrative sanksjoner mot FTX Japan: Viktigheten av 'brukerbeskyttelse' for japanske kryptovalutabørser

Lærdommer fra administrative sanksjoner mot FTX Japan: Viktigheten av 'brukerbeskyttelse' for ja.

IT

Hva er lovene knyttet til konflikter og problemer i systemdriftsfasen?

Hva er lovene knyttet til konflikter og problemer i systemdriftsfasen?

IT

En gjennomgang av ChatGPTs brukervilkår: Hva bør man være oppmerksom på ved kommersiell bruk?

En gjennomgang av ChatGPTs brukervilkår: Hva bør man være oppmerksom på ved kommersiell bruk?

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection Personal Information Protection#Cross-border System Development Terms of Use

Weekly Popular Articles

Tilbake til toppen