MONOLITH LAW OFFICE+81-3-6262-3248Dni powszednie 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Szkody spowodowane cyberatakiem. Jaka jest odpowiedzialność dostawcy systemu za odszkodowanie? Wyjaśnienie przykładu zapisu w umowie

IT

Szkody spowodowane cyberatakiem. Jaka jest odpowiedzialność dostawcy systemu za odszkodowanie? Wyjaśnienie przykładu zapisu w umowie

W ostatnich latach, ataki cybernetyczne na firmy nieustannie wzrastają.

Według badań przeprowadzonych przez Japońskie Stowarzyszenie Bezpieczeństwa Sieciowego (JNSA), udział nieautoryzowanego dostępu w incydentach związanych z wyciekiem informacji osobowych wynosił 4,7% w 2013 roku (rok 2013 według kalendarza gregoriańskiego), ale wzrósł do 20,3% w 2018 roku (rok 2018 według kalendarza gregoriańskiego) (Raport z badania incydentów związanych z bezpieczeństwem informacji w 2018 roku[ja]).

W tym artykule omówimy zakres odpowiedzialności dostawcy systemu w przypadku ataku cybernetycznego, na podstawie wcześniejszych orzeczeń sądowych. Omówimy również role i zakres odpowiedzialności, które dostawca i użytkownik powinni ustalić w umowie w celu wspólnego przeciwdziałania atakom cybernetycznym, na podstawie modelu umowy.

Czy dostawca systemu ponosi odpowiedzialność odszkodowawczą za szkody spowodowane cyberatakiem?

Czy dostawca systemu ponosi odpowiedzialność odszkodowawczą za szkody spowodowane cyberatakiem?

Gdy firma użytkownika doświadcza szkód w wyniku cyberataku, pierwszym, który powinien ponieść odpowiedzialność, jest sprawca ataku. Jednakże, jeśli istnieje możliwość, że atak był ułatwiony przez zaniedbania w rozwoju i obsłudze systemu, może być możliwe uznanie roszczeń o odszkodowanie od strony użytkownika do strony dostawcy systemu.

Podstawą dla roszczeń o odszkodowanie, które mogą być skierowane przeciwko dostawcy systemu, są następujące:

  • Odpowiedzialność za niewykonanie umowy
  • Naruszenie obowiązku należytej staranności

Jednakże, szkody mogą się zwiększyć z powodu zaniedbań ze strony użytkownika. W takim przypadku, odpowiedzialność użytkownika może być również uznana. W rzeczywistych procesach sądowych, uwzględniano to jako kompensację za zaniedbanie, a odszkodowanie od dostawcy systemu było ograniczone w niektórych przypadkach.

Artykuł powiązany: Trzy kategorie cyberprzestępstw – adwokat wyjaśnia środki przeciwdziałania dla każdego wzorca[ja]

Odpowiedzialność systemowego dostawcy za odszkodowania i przykłady zapisów w umowach

Typowymi przykładami umów IT pomiędzy dostawcą systemu a firmą użytkowniczą są następujące trzy:

  1. Umowa o rozwój oprogramowania
  2. Umowa o utrzymanie i eksploatację systemu
  3. Umowa o korzystanie z usług w chmurze

Odpowiedzialność za odszkodowanie jest określana na podstawie początkowej umowy, dlatego poniżej wyjaśniamy ją dla każdego typu umowy.

Umowa o rozwój oprogramowania

Umowa o rozwój oprogramowania to umowa zawierana, gdy firma zlecająca (użytkownik) powierza rozwój swojego systemu dostawcy oprogramowania.

Jeśli firma zlecająca zostanie zaatakowana przez cyberprzestępców i podatność oprogramowania stanie się przyczyną rozszerzenia szkód, możliwe jest pociągnięcie do odpowiedzialności dostawcy oprogramowania przez użytkownika.

Odpowiedzialność, którą ponosi dostawca systemu, zależy od rodzaju umowy o rozwój oprogramowania i dzieli się na dwie kategorie:

  • Umowa o dzieło: odpowiedzialność za niewykonanie umowy
  • Umowa o zlecenie: naruszenie obowiązku należytej staranności

Umowa o dzieło

Umowa o dzieło to umowa, w której obiecuje się ukończenie systemu, a wynagrodzenie jest płatne za produkt końcowy.

Jeśli dostarczony produkt końcowy “nie spełnia celu umowy”, przez pewien okres po dostarczeniu, wykonawca ponosi odpowiedzialność za niewykonanie umowy (Artykuły 559 i 562 Kodeksu Cywilnego Japonii Kodeksu Cywilnego Japonii[ja]).

W praktyce, jeśli produkt końcowy jest na tyle podatny, że łatwo może powodować awarie systemu w wyniku ataku cybernetycznego, może być uznany za “niespełniający celu umowy”, a użytkownik może domagać się odszkodowania za niewykonanie umowy.

Czy takie roszczenie zostanie uznane, zależy od poziomu bezpieczeństwa oprogramowania ustalonego wcześniej między stronami.

【Przykład odpowiedzialności za niewykonanie umowy】

Artykuł X Po zakończeniu akceptacji zgodnie z poprzednim artykułem, jeśli zostanie odkryte, że dostarczony produkt nie jest zgodny ze specyfikacją systemu (w tym błędy, zwane dalej “niewykonaniem umowy”), zleceniodawca może żądać od zleceniobiorcy wykonania dodatkowych obowiązków (zwanych dalej “dopełnieniem”). Zleceniobiorca jest zobowiązany do dopełnienia, chyba że nałoży to na zleceniodawcę nieuzasadnione obciążenie. W takim przypadku, zleceniobiorca może dopełnić na inny sposób niż żądany przez zleceniodawcę.

2. Pomimo poprzedniego punktu, jeśli cel indywidualnej umowy może być osiągnięty pomimo niewykonania umowy, a dopełnienie wymagałoby nadmiernych kosztów, zleceniobiorca nie jest zobowiązany do dopełnienia zgodnie z poprzednim punktem.

3. Jeśli zleceniodawca poniesie szkodę z powodu niewykonania umowy (ograniczone do tych spowodowanych przez przyczyny, które można przypisać zleceniobiorcy), zleceniodawca może żądać od zleceniobiorcy odszkodowania.

Źródło: Modelowy kontrakt na systemy informatyczne (druga edycja)[ja]

Umowa o zlecenie

W przypadku umowy o zlecenie, nie ma odpowiedzialności za niewykonanie umowy, ponieważ nie ma obowiązku ukończenia produktu końcowego. Zamiast tego, zleceniobiorca ma obowiązek “zachować należytą staranność dobrego zarządcy w wykonywaniu powierzonych obowiązków” (obowiązek należytej staranności).

Jeśli awaria systemu spowodowana jest atakiem cybernetycznym, nawet jeśli poziom bezpieczeństwa nie został ustalony podczas zawierania umowy, fakt, że zleceniobiorca opracował system o takim poziomie, może być uznany za “naruszenie obowiązku należytej staranności” (Artykuły 656 i 644 Kodeksu Cywilnego Japonii Kodeksu Cywilnego Japonii[ja]), co może prowadzić do roszczeń o odszkodowanie.

【Przykład obowiązku należytej staranności】

Artykuł X Zleceniobiorca zawiera indywidualną umowę zgodnie z Artykułem X i świadczy usługi wspierające tworzenie dokumentacji wymagań przez zleceniodawcę na podstawie koncepcji systemu informacyjnego, planu systematyzacji itp. stworzonych przez zleceniodawcę (zwane dalej “usługami wspierającymi tworzenie dokumentacji wymagań”).

2. Zleceniobiorca, opierając się na specjalistycznej wiedzy i doświadczeniu w zakresie technologii przetwarzania informacji, zobowiązuje się do wykonywania usług wspierających, takich jak badania, analizy, organizacja, propozycje i doradztwo, z należytą starannością dobrego zarządcy, aby prace zleceniodawcy przebiegały płynnie i prawidłowo.

Źródło: Modelowy kontrakt na systemy informatyczne (druga edycja)[ja]

Umowa o utrzymanie i eksploatację systemu

Umowa o utrzymanie i eksploatację systemu to umowa, na mocy której firma powierza dostawcy oprogramowania zadania związane z utrzymaniem i eksploatacją istniejącego oprogramowania. Podczas zawierania umowy o utrzymanie i eksploatację, poziom bezpieczeństwa, który należy spełnić, jest zazwyczaj uwzględniany w umowie, na przykład w specyfikacji zadania.

W przypadku wystąpienia szkód spowodowanych atakiem cybernetycznym, jeśli poziom bezpieczeństwa systemu jest niższy niż ten uzgodniony w momencie zawarcia umowy, odpowiedzialność za niewykonanie zobowiązań może być dochodzona na podstawie klauzuli niewłaściwości umowy.

Jednakże, jeśli poziom bezpieczeństwa nie został określony z góry, utrzymanie i eksploatacja systemu podatnego na ataki cybernetyczne może być uznane za naruszenie obowiązku należytej staranności, co może prowadzić do dochodzenia odpowiedzialności.

Umowa o korzystanie z usług w chmurze

Umowa o korzystanie z usług w chmurze to umowa zawierana podczas korzystania z usług oferowanych przez dostawcę w chmurze. Ponieważ dostawca przewiduje świadczenie tych samych usług dla wielu użytkowników, często zawierane są umowy zgodnie z warunkami korzystania określonymi przez dostawcę.

Zazwyczaj, w takiej umowie, z góry określone są zasady odpowiedzialności w przypadku, gdy usługi nie mogą być świadczone z powodu ataku cybernetycznego.

W umowie o korzystanie z usług w chmurze, zazwyczaj określa się następujące kwestie podczas zawierania umowy:

  • SLA (Service Level Agreement) – gwarancje dotyczące jakości i zasady działania
  • Klauzula ograniczenia odpowiedzialności: zakres odpowiedzialności dostawcy za niewykonanie zobowiązań w przypadku wystąpienia szkody

SLA to dokument, który jasno określa poziom wymagań użytkownika i zasady działania dostawcy. Jeśli nie można otrzymać usługi określonej w tym dokumencie, można złożyć roszczenie o odszkodowanie za częściowe niewykonanie zobowiązań. Ponadto, w umowie może być zawarta “klauzula ograniczenia odpowiedzialności”, która z góry ogranicza warunki, w których dostawca może być obciążony roszczeniem o niewykonanie zobowiązań, a nawet jeśli odpowiedzialność zostanie uznana, ogranicza kwotę odszkodowania.

Jednakże, klauzule ograniczające odpowiedzialność często są korzystne dla dostawcy, więc w przypadku sporu mogą być ograniczone przez japońską doktrynę prawa precedensowego.

【Przykład zapisu klauzuli ograniczającej odpowiedzialność】

Artykuł X. Strony A i B mogą żądać odszkodowania od drugiej strony, jeśli poniosą szkodę z powodu przyczyn, które można przypisać drugiej stronie, w związku z wykonaniem niniejszej umowy i umowy szczegółowej. Jednakże, takie roszczenie może być zgłoszone tylko po upływie X miesięcy od dnia pełnej akceptacji dostarczonych towarów lub dnia potwierdzenia zakończenia prac określonych w danej umowie szczegółowej.

2. Łączna kwota odszkodowania za szkody związane z wykonaniem niniejszej umowy i umowy szczegółowej, niezależnie od przyczyny roszczenia, w tym niewykonanie zobowiązań (w tym odpowiedzialność za niewłaściwe wykonanie umowy), nieuzasadnione wzbogacenie, czyn niedozwolony, jest ograniczona do kwoty określonej w umowie szczegółowej, która była przyczyną przypisywalnej przyczyny.

3. Poprzedni punkt nie ma zastosowania w przypadku, gdy obowiązek odszkodowania wynika z umyślnego działania lub poważnego zaniedbania dłużnika.

Źródło: Japoński system informacyjny – model umowy handlowej (druga edycja)[ja]

Kryteria oceny zakresu odpowiedzialności odszkodowawczej ze strony dostawcy systemu

Kryteria oceny zakresu odpowiedzialności odszkodowawczej ze strony dostawcy systemu

W przypadku wystąpienia szkód w firmie użytkownika na skutek ataku cybernetycznego, w jakich konkretnych sytuacjach może być kwestionowana odpowiedzialność dostawcy, który opracował system?

Poniżej wyjaśniamy na podstawie przykładów z prawdziwych procesów sądowych, w których kwestionowano odpowiedzialność dostawcy systemu.

Czy zostały podjęte środki zgodne z poziomem technologicznym w momencie rozwoju?

W rzeczywistych procesach sądowych, w których kwestionowana jest odpowiedzialność, kluczowe jest, czy dostawca systemu podjął środki bezpieczeństwa na poziomie zgodnym z ostrzeżeniami i instrukcjami wydanymi przez agencje rządowe i organizacje branżowe w momencie rozwoju.

Istnieją przykłady wyroków sądowych, które nakazały dostawcy systemu odszkodowanie za szkody spowodowane atakiem cybernetycznym, takie jak poniżej.

【Przykład sądowy】Sąd Okręgowy w Tokio, 23 stycznia 2014 roku (Rok Heisei 26)
Użytkownik: Firma X prowadząca sprzedaż detaliczną i sprzedaż wysyłkową materiałów do wnętrz
Dostawca: Firma Y, która zobowiązała się do projektowania i utrzymania systemu zamówień internetowych

Incydent związany z wyciekiem 7 000 informacji o kartach kredytowych klientów na skutek ataku cybernetycznego

■Wyrok
Zasądzenie odszkodowania w wysokości około 20 milionów jenów od dostawcy systemu
Zatwierdzono kwotę przekraczającą około 2 miliony jenów za koszty rozwoju
Uznanie błędu po stronie firmy X i kompensata za błąd o 30%

■Powód
・Dostawca systemu zaniedbał obowiązek wdrożenia środków bezpieczeństwa zgodnych z poziomem technologicznym w danym czasie.
・Mimo otrzymania wyjaśnienia ryzyka ze strony dostawcy systemu, firma użytkownika, która zaniedbała podjęcie środków, również ponosi błąd, dlatego zastosowano kompensatę za błąd o 30%.

W 2014 roku (Rok Heisei 26), główną metodą ataku cybernetycznego była “atak SQL Injection”, a Ministerstwo Gospodarki, Handlu i Przemysłu opublikowało dokument zatytułowany “Ostrzeżenie dotyczące pełnej realizacji środków bezpieczeństwa danych osobowych na podstawie ustawy o ochronie danych osobowych“, wskazując na ryzyko cybernetyczne i apelując o wzmocnienie systemu.

Wyrok uznał odpowiedzialność dostawcy systemu, który nie podjął środków, i nakazał mu odszkodowanie, ale również uznał błąd po stronie firmy użytkownika i zatwierdził kompensatę za błąd o 30%.

Czy firma użytkownika ma jakiekolwiek błędy?

Firma użytkownika, która zleca rozwój systemu, ma również obowiązki do spełnienia, a jeśli zaniedba je, może ponosić pełną odpowiedzialność.

Poniżej przedstawiamy przykład wyroku sądowego, który nie dotyczy ataku cybernetycznego, ale który w pełni uznał odpowiedzialność firmy użytkownika i nakazał jej odszkodowanie.

【Przykład sądowy】Sąd Okręgowy w Asahikawa, 31 sierpnia 2017 roku (Rok Heisei 29)

Użytkownik: Szpital uniwersytecki
Dostawca: Firma systemowa, która otrzymała zlecenie na rozwój systemu elektronicznej dokumentacji medycznej od szpitala uniwersyteckiego

Bezpośrednio po rozpoczęciu projektu, lekarze na miejscu zaczęli zgłaszać kolejne żądania.
Żądania nie ustawały, rozwój opóźniał się, a szpital uniwersytecki anulował umowę z powodu opóźnienia.

■Wyrok (odwołanie)
Zasądzenie odszkodowania w wysokości około 1,4 miliarda jenów od szpitala uniwersyteckiego
Unieważnienie wyroku pierwszej instancji, który nakazał odszkodowanie obu stronom

■Powód
・Problemem było to, że szpital nie zwracał uwagi na ostrzeżenia dostawcy, że jeśli spełni dodatkowe żądania, nie zdąży na czas.

Ten proces sądowy dotyczył incydentu, w którym firma użytkownika anulowała umowę z powodu opóźnienia w rozwoju systemu, a firma użytkownika i dostawca systemu wzajemnie domagali się odszkodowania.

Wyrok uznał, że przyczyną opóźnienia w rozwoju było to, że firma użytkownika nie zwracała uwagi na ostrzeżenia ze strony dostawcy systemu, uznał 100% odpowiedzialności po stronie firmy użytkownika i odrzucił jej roszczenie. Dostawca systemu ma “obowiązek zarządzania projektem”, aby dostarczyć go na czas. Z drugiej strony, firma użytkownika ma “obowiązek współpracy”, a jeśli go zaniedba, może ponosić pełną odpowiedzialność, a w rzeczywistych procesach sądowych odpowiedzialność odszkodowawcza jest ustalana na podstawie tego stosunku.

Trzy kluczowe punkty dla bezpiecznego rozwoju systemów

Trzy kluczowe punkty dla bezpiecznego rozwoju systemów

Aby przygotować się na ryzyko cybernetyczne, ważne jest, aby zarówno użytkownicy, jak i dostawcy wspólnie podejmowali działania prewencyjne.

Poniżej omówimy środki, które dostawcy i użytkownicy mogą podjąć zgodnie z ich pozycją.

Zrozumienie ryzyka cybernetycznego wskazanego przez agencje rządowe i inne instytucje

Dostawcy systemów powinni sprawdzić wytyczne wydane przez specjalistyczne agencje, takie jak Ministerstwo Gospodarki, Handlu i Przemysłu (japońskie Ministerstwo Gospodarki, Handlu i Przemysłu) oraz Niezależna Agencja Promocji Przetwarzania Informacji (IPA), zrozumieć obecne ryzyko cybernetyczne i metody jego zwalczania, a następnie podejmować działania w zakresie rozwoju i operacji.

Oczywiście, nie tylko dostawcy, ale także firmy użytkowników powinny zrozumieć treść wytycznych do pewnego stopnia, zlecić rozwój i operacje zgodne z wytycznymi, a następnie umieścić klauzulę dotyczącą poziomu bezpieczeństwa w umowie.

Odnośnik: Ministerstwo Gospodarki, Handlu i Przemysłu|Wytyczne dotyczące zarządzania bezpieczeństwem cybernetycznym Ver 2.0[ja]

Odnośnik: Niezależna Agencja Promocji Przetwarzania Informacji|Jak stworzyć bezpieczną stronę internetową[ja]

W szczególności, w sektorach takich jak finanse, przepisy i wytyczne mogą wymagać zaawansowanego poziomu bezpieczeństwa. Poniżej omówimy szczegółowo środki bezpieczeństwa dotyczące aktywów kryptograficznych.

Artykuł powiązany: Jakie są środki bezpieczeństwa dotyczące aktywów kryptograficznych (walut wirtualnych)? Omówienie na przykładzie trzech przypadków wycieku[ja]

Obie strony rozumieją potrzebę bezpieczeństwa

W “Wytycznych dotyczących zarządzania bezpieczeństwem cybernetycznym Ver2.0” Ministerstwa Gospodarki, Handlu i Przemysłu jasno stwierdzono, że “środki bezpieczeństwa cybernetycznego są problemem zarządzania”.

Zamiast zrzucić wszystko na dostawcę, mówiąc, że nie rozumie się bezpieczeństwa, firma powinna traktować zarządzanie ryzykiem jako część zarządzania i podejmować odpowiedzialne działania.

Obie strony współpracują w radzeniu sobie z atakami cybernetycznymi

W przypadku ataku cybernetycznego, zamiast przekazywać odpowiedzialność między zamawiającym a dostawcą, obie strony powinny współpracować, aby zminimalizować szkody.

Jednakże, zamawiający systemu często ma silniejszą pozycję niż dostawca, co prowadzi do tendencji do prowadzenia rozwoju systemu skoncentrowanego na kosztach i terminach. Dostawca może nie mieć wystarczających środków ani czasu, a nawet jeśli zaproponuje środki dotyczące bezpieczeństwa, mogą one nie zostać zaakceptowane.

Jednak wytyczne wskazują, że firmy użytkowników powinny traktować realizację środków bezpieczeństwa nie jako “koszt”, ale jako “inwestycję”, która jest niezbędna dla przyszłych działań biznesowych i wzrostu.

W rozwoju systemów ważne jest, aby dostawca i użytkownik współpracowali na równych warunkach w radzeniu sobie z atakami cybernetycznymi.

Podsumowanie: Konsultacje z prawnikiem przy tworzeniu umowy o rozwój systemu

W przypadku wystąpienia szkód spowodowanych atakiem cybernetycznym, firma, która brała udział w rozwoju systemu, może być pociągnięta do odpowiedzialności przez firmę użytkownika za zaniedbanie środków przeciwdziałania ryzyku cybernetycznemu.

Jednakże, firma użytkownika, która zaniedbała obowiązek współpracy z dostawcą, również ponosi odpowiedzialność.

Aby zminimalizować szkody spowodowane atakiem cybernetycznym, warto ustalić w umowie poziom systemu i zakres odpowiedzialności każdej ze stron.

Przy tworzeniu umowy dotyczącej rozwoju systemu, skonsultuj się z prawnikiem posiadającym zaawansowaną wiedzę specjalistyczną, który zna treść wytycznych i aktualne ryzyko cybernetyczne.

Informacje o środkach podejmowanych przez naszą kancelarię

Kancelaria prawna Monolith to firma specjalizująca się w prawie IT, zwłaszcza w aspektach związanych z Internetem. Przy zawieraniu umowy o rozwój systemu niezbędne jest sporządzenie umowy. W naszej kancelarii tworzymy i przeglądamy umowy dla różnych spraw, od firm notowanych na Giełdzie Papierów Wartościowych w Tokio (TSE) do startupów. Jeśli masz problemy z umową, zapoznaj się z poniższym artykułem.

Zakres usług Kancelarii Prawnej Monolith: Prawo związane z rozwojem systemów[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Wróć do góry