遭受网络攻击的损害。系统供应商的赔偿责任是什么?解析合同书中的记载例子

近年，针对企业的网络攻击呈现出持续增长的趋势。

根据日本网络安全协会（JNSA）的调查，个人信息泄露事件中，非法访问的比例在2013年（公历2013年）时仅占总数的4.7%，但到2018年（公历2018年）已增长至20.3%（2018年信息安全事件调查报告[ja]）。

本文将根据过去的判例，解释在遭受网络攻击时，系统供应商应承担的责任范围。同时，我们也将根据模型合同，解释供应商和用户为共同应对网络攻击，应在合同中约定的角色和责任范围。

系统供应商需要承担网络攻击的赔偿责任吗？

当用户端的公司遭受网络攻击并产生损害时，首先应追究的是网络攻击的加害者。然而，如果由于系统开发和运营的过失，使得更容易受到攻击，那么用户端可能会对系统供应商提出赔偿要求。

系统供应商可能面临的赔偿责任主要有以下两种：

• 合同不符责任
• 违反善管注意义务

然而，用户端的过失可能会导致损害扩大。在这种情况下，也会认定用户端有责任。在实际的法庭判决中，有时会考虑过失抵消，限制对系统供应商的赔偿责任。

相关文章：网络犯罪的三种分类？律师解析各种模式的损害控制措施[ja]

系统供应商的损害赔偿责任和合同书写示例

作为系统供应商和用户企业之间的IT系统合同的代表性例子，以下三种是最常见的：

1. 软件开发合同
2. 系统维护·运营合同
3. 云服务使用合同

损害赔偿责任是根据最初的合同来判断的，因此，下面将分别对每种合同类型进行解释。

软件开发合同

软件开发合同是用户企业委托软件供应商进行自家系统开发工作时签订的合同。

当用户企业受到网络攻击时，如果软件的脆弱性成为损害扩大的原因，用户可以追究供应商的责任。

系统供应商需要承担的责任，根据软件开发合同的类型，主要有以下两种：

• 承包合同：合同不适应责任
• 准委托合同：善管注意义务违反

承包合同

承包合同是指承诺完成系统，并对其成果物支付报酬的合同。

如果交付的成果物“不符合合同目标”，从交付之日起一段时间内，承包人将产生合同不适应责任（日本民法第559条、第562条[ja]）。

也就是说，如果成果物在网络攻击中容易导致系统故障，那么它就“不符合合同目标”，用户方可能会根据合同不适应责任要求赔偿损失。

是否接受这种要求，取决于当事人之间事先确定的软件安全级别。

准委托合同

准委托合同不适用合同不适应责任，因为它没有承担完成成果物的义务。相反，它承担了“以善良管理者的注意力处理委托事务的义务”（善管注意义务）。

如果由于网络攻击导致系统故障，即使在签订合同时没有确定安全级别，也可能因为开发了该级别的系统而被视为“违反善管注意义务”（日本民法第656条、第644条[ja]），可能会收到赔偿损失的请求。

系统维护和运营合同

系统维护和运营合同是指企业委托软件供应商进行现有软件的维护和运营工作的合同。在签订维护和运营合同时，通常会在合同书中包含业务规格书等，以确定应达到的安全级别。

如果由于网络攻击而造成损失，且系统的安全级别低于合同签订时达成的级别，那么可以根据合同不适用的条款，追究未履行债务的责任。

然而，如果事先没有规定安全级别，那么维护和运营易受网络攻击的系统可能会违反善管注意义务，因此可能会被追究责任。

云服务使用合同

云服务使用合同是在使用供应商在云上提供的服务时签订的合同。由于供应商预计会向大量用户提供相同的服务，因此通常会按照供应商设定的使用条款进行合同签订。

一般来说，这种合同会预先规定如果由于网络攻击导致无法提供服务时的责任。

在云服务使用合同中，通常会在签订合同时规定以下内容：

• SLA（Service Level Agreement）：关于质量的保证和运营规则
• 责任限制条款：供应商在损害发生时的违约责任范围

SLA是将用户的需求水平和供应商的运营规则明确化的内容。如果无法接受这里规定的服务提供，可以作为部分违约责任提出损害赔偿请求。此外，合同中也可能设有“责任限制条款”，供应商在此提前限定接受违约责任请求的条件，并限制即使责任被认定，其赔偿金额也会受到限制。

然而，由于责任限制条款中往往包含许多对供应商有利的规定，因此如果发生争议，可能会受到日本判例法理的部分限制。

系统供应商的损害赔偿责任判断标准

当用户公司因网络攻击而遭受损失时，具体在什么情况下可能会质疑开发系统的供应商的责任呢？

以下，我们将根据实际的法院判例来解释系统供应商可能被质疑的责任。

是否按照开发时的技术水平实施了对策

在实际的法庭争议中，重点会放在系统供应商是否按照开发时期的政府机关或行业组织的警告和手册等实施了相应水平的安全措施。

以下是一些因网络攻击导致的损害，命令系统供应商赔偿损失的判例。

2014年，”SQL注入攻击”是网络攻击的主要手段，经济产业省也发布了”基于个人信息保护法的个人数据安全管理措施的注意事项[ja]“这样的文件，指出了网络风险，并呼吁加强系统。

判决认定了未采取对策的系统供应商的责任，并命令其赔偿损失，同时也认定了用户公司的过失，并承认了30%的过失抵消。

用户公司是否有过失

委托系统开发的用户公司也有其应尽的义务，如果有过失，可能需要承担全部责任。

以下是一个并非网络攻击的案例，但全面认定了用户公司的责任，并命令其赔偿损失的判例。

这个案例是因为系统开发延迟，用户方通知解除合同，用户方和供应商方各自向对方提出赔偿要求并提起诉讼的事件。

判决认定了用户方没有听取系统供应商的警告是开发延迟的原因，并全面认定了用户方的责任，驳回了用户方的请求。供应商方有”项目管理义务”，即管理项目的进度以确保按期完成。而用户方也有”合作义务”，如果没有履行这个义务，可能需要承担全部责任。在实际的法庭上，赔偿责任是根据这个比例来确定的。

安全系统开发的三个要点

为了应对网络风险，用户和供应商双方共同采取措施是非常重要的。

以下，我们将从供应商和用户的角度分别解释可以采取的措施。

了解政府等机构指出的网络风险

系统供应商应查阅来自专业机构如日本经济产业省和独立行政法人信息处理推进机构（IPA）的指南，了解当前的网络风险及其应对方法，然后进行开发和运营。

供应商当然需要了解这些内容，用户端的企业也应在一定程度上了解这些内容，并要求按照指南进行开发和运营，并在合同中加入安全级别的条款。

参考：日本经济产业省｜网络安全管理指南 Ver 2.0

参考：信息处理推进机构｜如何创建安全的网站[ja]

特别是在金融领域等，法规和指南可能要求高级别的安全性。关于加密资产的安全措施，我们在下面详细解释。

相关文章：关于加密资产（虚拟货币）的安全措施是什么？解释3个泄露事件[ja]

双方当事人理解安全性的必要性

日本经济产业省的“网络安全管理指南Ver2.0”明确指出，“网络安全措施是管理问题”。

企业不应因为不了解安全性就将其全部交给供应商，而应将风险管理视为管理的一部分，负责采取措施。

当事人共同应对网络攻击

当遭受网络攻击时，订购方和供应商应共同努力，而不是互相推卸责任，以尽量减少损害。

然而，在系统开发中，订购方的地位往往较强，系统开发往往以成本和交货期为中心。供应商可能没有足够的资金和时间，即使提出了关于安全性的建议，也可能无法被接受。

然而，指南指出，用户端的企业应将实施安全措施视为“投资”，而不是“成本”，并将其定位为未来业务活动和增长的必要条件。

在系统开发中，供应商和用户应在平等的地位上共同应对网络攻击。

总结：请咨询律师制定系统开发合同

如果遭受网络攻击并造成损失，可能会追究参与系统开发的供应商因未采取网络风险措施而产生的责任。

然而，忽视与供应商合作义务的用户企业也有责任。

为了将网络攻击的损害降至最低，可能需要在合同中确定系统水平和各自的责任范围。

在制定系统开发等合同时，应咨询了解指南内容和当前网络风险等高级专业知识的律师。

我們事務所的對策介紹

Monolith法律事務所是一家在IT，特別是互聯網和法律兩方面具有高度專業性的法律事務所。在進行系統開發合同時，需要製作合同書。我們事務所從東證上市公司到創業公司，對各種案件進行合同書的製作和審查。如果您對合同書有任何疑問，請參考以下文章。

Monolith法律事務所的業務範疇：系統開發相關法務[ja]