Svenska English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_sv/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Vardagar 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > Skada från cyberattacker. Vad är systemleverantörens skadeståndsansvar? Förklaring av exempel på kontraktsdokumentation

Skada från cyberattacker. Vad är systemleverantörens skadeståndsansvar? Förklaring av exempel på kontraktsdokumentation

IT

Skada från cyberattacker. Vad är systemleverantörens skadeståndsansvar? Förklaring av exempel på kontraktsdokumentation

På senare år har cyberattacker mot företag ökat stadigt.

Enligt en undersökning av den japanska icke-vinstdrivande organisationen för nätverkssäkerhet (Japanese Network Security Association, JNSA), var andelen obehörig tillgång i händelser av personuppgiftsläckage 4,7% av det totala antalet 2013, men detta ökade till 20,3% 2018 (2018 års rapport om säkerhetsincidenter[ja]).

I denna artikel kommer vi att förklara omfattningen av systemleverantörens ansvar vid en cyberattack, baserat på tidigare rättsfall. Vi kommer också att förklara de roller och ansvarsområden som bör fastställas i kontraktet för att leverantören och användaren gemensamt ska kunna vidta åtgärder mot cyberattacker, baserat på modellkontrakt.

Bär systemleverantörer skadeståndsansvar för cyberattacker?

Bär systemleverantörer skadeståndsansvar för cyberattacker?

När ett företag på användarsidan drabbas av en cyberattack och skada uppstår, är det första som bör hållas ansvarigt gärningsmannen bakom cyberattacken. Men om det finns en möjlighet att attacken har underlättats genom fel i systemutveckling och drift, kan det också vara möjligt att godkänna en skadeståndskrav från användarsidan mot systemleverantören.

Grunden för skadeståndskravet mot systemleverantören kan vara följande:

  • Ansvar för kontraktsbrott
  • Brott mot skyldigheten att utöva god omsorg

Men det kan också hända att skadan förvärras på grund av användarens försummelse. I sådana fall erkänns även användarens ansvar. I faktiska rättegångar har det varit fall där detta har beaktats som en kompensation för försummelse, och skadeståndet mot systemleverantören har begränsats.

Relaterad artikel: Vad är de tre kategorierna av cyberbrott? En advokat förklarar skadeförebyggande åtgärder för varje mönster[ja]

Systemleverantörens skadeståndsansvar och exempel på kontraktsdokument

Det finns tre huvudtyper av IT-systemkontrakt mellan systemleverantörer och företagsanvändare:

  1. Mjukvaruutvecklingskontrakt
  2. Systemunderhålls- och driftskontrakt
  3. Kontrakt för användning av molntjänster

Skadeståndsansvaret bestäms av det ursprungliga kontraktet, så nedan förklaras det för varje kontraktstyp.

Programvaruutvecklingsavtal

Ett programvaruutvecklingsavtal är ett avtal som ingås när ett företag på användarsidan anlitar en programvaruleverantör för att utveckla sitt företagssystem.

Om företaget på användarsidan utsätts för en cyberattack och programvarans sårbarhet blir orsaken till att skadan förvärras, kan ansvaret spåras tillbaka till leverantören från användaren.

Systemleverantörens ansvar varierar beroende på typen av programvaruutvecklingsavtal och kan delas in i följande två kategorier:

  • Entreprenadavtal: Ansvar för kontraktsbrist
  • Halvförtroendeavtal: Brott mot skyldigheten att utöva god omsorg

Entreprenadavtal

Ett entreprenadavtal är ett avtal där fullbordandet av systemet lovas och betalning görs för det färdiga arbetet.

Om det levererade arbetet “inte uppfyller kontraktets syfte” inom en viss tid efter leverans, uppstår ett ansvar för kontraktsbrist (japansk civilrätt artiklarna 559 och 562) för entreprenören.

Detta innebär att om ett system lätt kan orsaka systemfel vid en cyberattack, kan det anses “inte uppfylla kontraktets syfte”, och det finns en risk att användaren kommer att kräva skadestånd på grund av kontraktsbrist.

Om denna begäran godkänns beror på den säkerhetsnivå för programvaran som parterna kom överens om i förväg.

[Exempel på ansvar för kontraktsbrist]

Artikel X: Efter att ha slutfört inspektionen enligt föregående artikel, om det upptäcks en inkonsekvens (inklusive buggar, hädanefter kallat “kontraktsbrist”) mellan systemspecifikationerna och det levererade arbetet, kan A begära att B utför ytterligare prestationer (hädanefter kallat “komplettering”) för att korrigera denna kontraktsbrist. B ska utföra denna komplettering. Dock, om det inte innebär en oskälig börda för A, kan B utföra kompletteringen på ett annat sätt än det som A har begärt.

2. Oavsett föregående stycke, om det är möjligt att uppnå syftet med det individuella avtalet trots kontraktsbristen, och om kompletteringen skulle kräva överdrivna kostnader, ska B inte behöva uppfylla skyldigheten att utföra kompletteringen enligt föregående stycke.

3. Om A lider skada på grund av kontraktsbristen (begränsat till de som har uppstått på grund av orsaker som kan tillskrivas B), kan A begära skadestånd från B.

Källa: Informationssystem – Modelltransaktionsavtal (andra upplagan)[ja]

Halvförtroendeavtal

I ett halvförtroendeavtal gäller inte ansvaret för kontraktsbrist eftersom det inte finns någon skyldighet att slutföra arbetet. I stället har man en skyldighet att “hantera uppdraget med omsorg som en god förvaltare” (skyldighet att utöva god omsorg).

Om ett systemfel uppstår på grund av en cyberattack, kan det faktum att man har utvecklat ett system av den kalibern, även om man inte har fastställt en säkerhetsnivå vid kontraktstidpunkten, anses vara ett “brott mot skyldigheten att utöva god omsorg” (japansk civilrätt artiklarna 656 och 644), och man kan bli föremål för en begäran om skadestånd.

[Exempel på skyldighet att utöva god omsorg]

Artikel X: B ska, efter att ha ingått det individuella avtalet enligt artikel X, tillhandahålla tjänster (hädanefter kallade “tjänster för att stödja skapandet av kravspecifikationer”) för att stödja A i arbetet med att skapa kravspecifikationer, baserat på informationssystemkonceptet, systemplaneringsdokumentet etc. som A har skapat som en del av detta uppdrag.

2. B ska, baserat på sin specialiserade kunskap och erfarenhet inom informationsteknik, utföra stödtjänster såsom undersökningar, analyser, organisering, förslag och rådgivning med omsorg som en god förvaltare, för att säkerställa att A:s arbete utförs smidigt och korrekt.

Källa: Informationssystem – Modelltransaktionsavtal (andra upplagan)[ja]

Systemunderhålls- och driftavtal

Ett systemunderhålls- och driftavtal är ett avtal där ett företag delegerar uppgifter relaterade till underhåll och drift av befintlig programvara till en programvaruleverantör. När ett sådant avtal ingås är det vanligt att inkludera den säkerhetsnivå som ska uppnås i kontraktet, till exempel i en specifikation av arbetsuppgifter.

Om skada uppstår till följd av ett cyberangrepp och systemets säkerhetsnivå är lägre än den nivå som överenskommits vid kontraktets ingående, kan ansvar för kontraktsbrott förföljas med hänvisning till klausuler om kontraktsickeöverensstämmelse.

Om säkerhetsnivån emellertid inte har fastställts i förväg, kan det faktum att man har underhållit och drivit ett system som är sårbart för cyberattacker anses strida mot skyldigheten att utöva god förvaltning, och ansvar kan förföljas.

Avtalet om användning av molntjänster

Avtalet om användning av molntjänster är ett avtal som ingås när man använder tjänster som en leverantör tillhandahåller i molnet. Eftersom det förväntas att leverantören kommer att erbjuda samma tjänst till ett stort antal användare, kommer du troligen att ingå ett avtal i enlighet med de användarvillkor som leverantören fastställer.

Generellt sett, i detta avtal, anges det i förväg vem som är ansvarig om tjänsten inte kan tillhandahållas på grund av en cyberattack.

I avtalet om användning av molntjänster fastställs vanligtvis följande vid kontraktstidpunkten:

  • SLA (Service Level Agreement): Garanti och driftsregler för kvalitet
  • Begränsningsklausul för ansvar: Omfattningen av leverantörens ansvar för kontraktsbrott vid skada

SLA är en explicitisering av användarens kravnivå och leverantörens driftsregler. Om du inte kan få den tjänst som fastställts här, kan du begära skadestånd för delvis kontraktsbrott. Dessutom kan det finnas en “begränsningsklausul för ansvar” i kontraktet, där leverantören i förväg begränsar villkoren för att ta emot krav på kontraktsbrott, och även om ansvar erkänns, begränsas skadeståndsbeloppet.

Emellertid, eftersom ansvarsbegränsningsklausulen ofta innehåller bestämmelser som är fördelaktiga för leverantören, kan den begränsas av den japanska prejudikatets rättsprinciper om det blir en tvist.

【Exempel på ansvarsbegränsningsklausul】

Artikel X: A och B kan, om de lider skada på grund av en orsak som kan tillskrivas den andra parten i samband med utförandet av detta avtal och individuella avtal, begära skadestånd från den andra parten (begränsat till XXX skada). Men denna begäran kan inte göras efter att X månader har gått sedan godkännandet av leveransen av varorna som fastställts i det individuella avtalet eller bekräftelsen av avslutningen av arbetet.

2. Det totala ackumulerade beloppet för skadestånd i samband med utförandet av detta avtal och individuella avtal, oavsett orsaken till kravet, inklusive kontraktsbrott (inklusive ansvar för icke-överensstämmande kontrakt), orättvis vinst, olagliga handlingar, etc., är begränsat till beloppet XXX som fastställts i det individuella avtalet som orsakade den ansvariga orsaken.

3. Föregående punkt ska inte gälla om skadeståndsskyldigheten baseras på uppsåt eller grov oaktsamhet från skadeståndsskyldigheten.

Citat: Informationssystem – Modelltransaktionskontrakt (andra upplagan)[ja]

Bedömningskriterier för systemleverantörens skadeståndsansvar

Bedömningskriterier för systemleverantörens skadeståndsansvar

När en användarföretag lider skada på grund av ett cyberangrepp, under vilka specifika omständigheter kan ansvaret för systemleverantören ifrågasättas?

Nedan förklarar vi baserat på faktiska rättsfall där systemleverantörens ansvar ifrågasattes.

Har åtgärder vidtagits i enlighet med tekniska standarder vid utvecklingstiden?

I faktiska rättsfall där ansvar ifrågasätts, betonas det om systemleverantören vid utvecklingstiden genomförde säkerhetsåtgärder på en nivå som följer med varningar och manualer från myndigheter och branschorganisationer.

Det finns rättsfall där systemleverantören beordrades att betala skadestånd för skador orsakade av cyberattacker, som följande.

【Rättsfall】Tokyo District Court, 23 januari 2014 (Heisei 26)
Användare: X företag som bedriver detaljhandel och postorderförsäljning av inredningsmaterial
Leverantör: Y företag som hade tagit på sig uppdraget att designa och underhålla ett webbaserat orderhanteringssystem

En incident där 7 000 kundkreditkortinformation läckte ut på grund av ett cyberangrepp

■Dom
Systemleverantören beordrades att betala cirka 20 miljoner yen i skadestånd
Beloppet översteg utvecklingskostnaden med cirka 2 miljoner yen
X företaget erkändes också ha varit försumligt, och 30% av skadeståndet minskades på grund av detta

■Orsak
・Systemleverantören försummade sin skyldighet att genomföra säkerhetsåtgärder i enlighet med tekniska standarder vid den tiden.
・Användarföretaget, som hade fått en riskförklaring från systemleverantören men försummade att vidta åtgärder, ansågs också vara försumligt, och skadeståndet minskades med 30% på grund av detta.

2014 var “SQL-injektionsattacker” huvudmetoden för cyberattacker, och det japanska ministeriet för ekonomi, handel och industri hade publicerat ett dokument med titeln “Uppmaning till noggrann genomförande av säkerhetsåtgärder för personuppgifter baserat på den japanska lagen om skydd av personuppgifter[ja]“, där de påpekade cyberrisker och uppmanade till förstärkning av system.

Domstolen erkände systemleverantörens ansvar för att inte ha vidtagit åtgärder och beordrade skadestånd, men erkände också att användarföretaget var försumligt och minskade skadeståndet med 30%.

Har användarföretaget någon försummelse?

Användarföretaget som beställer systemutveckling har också skyldigheter, och om det finns försummelse kan de behöva ta på sig hela ansvaret.

Nedan är ett exempel på ett rättsfall där användarföretagets fulla ansvar erkändes och skadestånd beordrades, även om det inte var ett fall av cyberattack.

【Rättsfall】Asahikawa District Court, 31 augusti 2017 (Heisei 29)

Användare: Universitetssjukhus
Leverantör: Systemföretag som hade fått uppdraget att utveckla ett elektroniskt patientjournalssystem från universitetssjukhuset

Strax efter projektstarten kom det upprepade tilläggsförfrågningar från läkarna på plats.
Önskemålen slutade inte och utvecklingen försenades, och universitetssjukhuset meddelade uppsägning av kontraktet på grund av förseningen.

■Dom (överklagande)
Universitetssjukhuset beordrades att betala cirka 1,4 miljarder yen i skadestånd
Den första instansens dom, som beordrade båda parter att betala skadestånd, upphävdes

■Orsak
・Det problematiserades att sjukhuset inte lyssnade på leverantörens varningar om att om de svarade på tilläggsförfrågningarna skulle de inte hinna med deadline.

Detta rättsfall handlar om en incident där användarföretaget meddelade uppsägning av kontraktet på grund av förseningen i systemutvecklingen, och både användarföretaget och systemleverantören stämde varandra för skadestånd.

I domen erkändes att användarföretaget inte lyssnade på systemleverantörens varningar som orsaken till förseningen i utvecklingen, och användarföretaget erkändes ha 100% ansvar, och dess krav avvisades. Systemleverantören har en “projektledningsplikt” att hantera projektets framsteg så att det kan slutföras i tid. Å andra sidan har användarföretaget en “samarbetsplikt”, och om det försummar det kan det behöva ta på sig hela ansvaret, och i faktiska rättsfall bestäms skadeståndsansvaret baserat på denna andel.

Tre punkter för säker systemutveckling

Tre punkter för säker systemutveckling

För att förbereda sig för cyber risker är det viktigt att både användare och leverantörer samarbetar i att vidta åtgärder.

Nedan förklarar vi vilka åtgärder leverantörer och användare kan vidta från sina respektive positioner.

Förstå cyber risker som myndigheter och andra pekar på

Systemleverantörer bör kontrollera riktlinjer från specialiserade organisationer som Japanska ekonomiministeriet och Information-technology Promotion Agency (IPA), förstå nuvarande cyber risker och deras motåtgärder, och sedan gå vidare med utveckling och drift.

Inte bara leverantörer, utan även företag på användarsidan bör ha en viss förståelse för innehållet och begära utveckling och drift i enlighet med riktlinjerna, och inkludera klausuler om säkerhetsnivåer i kontraktet.

Referens: Japanska ekonomiministeriet | Cybersecurity Management Guidelines Ver 2.0[ja]

Referens: Information-technology Promotion Agency | Hur man skapar en säker webbplats[ja]

I synnerhet kan det i finanssektorn och liknande krävas hög säkerhet enligt lagar och riktlinjer. Vi förklarar mer detaljerat om säkerhetsåtgärder för kryptovalutor nedan.

Relaterad artikel: Vad är säkerhetsåtgärder för kryptovalutor? En förklaring med tre fall av läckage[ja]

Båda parter förstår behovet av säkerhet

I Japanska ekonomiministeriets “Cybersecurity Management Guidelines Ver 2.0[ja]” anges tydligt att “cybersäkerhetsåtgärder är en ledningsfråga”.

Snarare än att helt och hållet lämna över säkerheten till leverantören på grund av bristande förståelse, bör företaget betrakta riskhanteringen som en del av ledningen och ta ansvar för att vidta åtgärder.

Båda parter hanterar gemensamt cyberattacker

När en cyberattack inträffar bör beställaren och leverantören inte skylla på varandra, utan samarbeta för att minimera skadan.

Men i systemutveckling tenderar beställarens position att vara starkare, och systemutvecklingen drivs ofta med fokus på kostnad och leveranstid. Leverantören kanske inte ges tillräckligt med pengar eller tid, och förslag till säkerhetsåtgärder kanske inte accepteras.

Men i riktlinjerna anges att företag på användarsidan bör betrakta genomförandet av säkerhetsåtgärder inte som en “kostnad”, utan som en nödvändig investering för framtida affärsaktiviteter och tillväxt.

I systemutveckling är det viktigt att leverantören och användaren samarbetar på lika villkor för att hantera cyberattacker.

Sammanfattning: Konsultera en advokat vid utformning av systemutvecklingskontrakt

Om skada uppstår till följd av ett cyberangrepp kan leverantören som varit involverad i systemutvecklingen bli ansvarig om det framkommer att de har försummat att vidta åtgärder mot cyberrisker, och därmed bli föremål för ansvarssökande från kundföretaget.

Men det finns också ett ansvar hos kundföretaget som har försummat sin skyldighet att samarbeta med leverantören.

För att minimera skadan från cyberattacker är det nödvändigt att fastställa systemnivån och respektive ansvarsområden i kontraktet.

När du skapar kontrakt för systemutveckling, bör du rådfråga en advokat med avancerad expertkunskap som förstår innehållet i riktlinjerna och den aktuella cyberrisken.

Information om åtgärder från vår byrå

Monolith Advokatbyrå är en juridisk byrå med hög expertis inom IT, särskilt internet och lag. Vid systemutvecklingskontrakt är det nödvändigt att skapa ett kontrakt. På vår byrå skapar och granskar vi kontrakt för olika ärenden, från företag noterade på Tokyo-börsen till uppstartsföretag. Om du har problem med kontrakt, vänligen se följande artikel.

Monolith Advokatbyrås områden: Systemutvecklingsrelaterade juridiska frågor[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Kontrollpunkter för 'SES-kontrakt' för att undvika falsk uthyrning

Kontrollpunkter för 'SES-kontrakt' för att undvika falsk uthyrning

IT

Om relationen mellan tjänster för stöd av AI-kontraktsrelaterade uppgifter och artikel 72 i 'Japanese Attorney Act' (弁護士法), enligt riktlinjer utfärdade av Justitieministeriet

Om relationen mellan tjänster för stöd av AI-kontraktsrelaterade uppgifter och artikel 72 i 'Jap.

IT

Vad är regleringen enligt lagen mot penningtvätt i icke-face-to-face-transaktioner som att ta emot post?

Vad är regleringen enligt lagen mot penningtvätt i icke-face-to-face-transaktioner som att ta em.

IT

Juridiska problem i samband med övergången från gamla system i systemutveckling

Juridiska problem i samband med övergången från gamla system i systemutveckling

IT

Vad är de tre kategorierna av cyberbrott? En advokat förklarar skadestånd för varje mönster

Vad är de tre kategorierna av cyberbrott? En advokat förklarar skadestånd för varje mönster

IT

Vad är skatteplanering för kryptovalutor (virtuell valuta)? En genomgång av beskattningstidpunkter och viktiga överväganden

Vad är skatteplanering för kryptovalutor (virtuell valuta)? En genomgång av beskattningstidpunkt.

IT

Vad innebär slutförandet av arbete i systemutvecklingskontrakt

Vad innebär slutförandet av arbete i systemutvecklingskontrakt

IT

Hur man löser systemutvecklingskonflikter genom förhandlingar

Hur man löser systemutvecklingskonflikter genom förhandlingar

IT

Vad är säkerhetsåtgärder för kryptovalutor (virtuell valuta)? En förklaring tillsammans med tre fall av läckage

Vad är säkerhetsåtgärder för kryptovalutor (virtuell valuta)? En förklaring tillsammans med tre .

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Tillbaka till toppen