受到網路攻擊造成損害時,系統供應商的賠償責任是什麼?解釋合約書中的記載例子
近年,針對企業的網路攻擊持續增加。
根據日本網路安全協會(JNSA,Japanese Network Security Association)的調查,2013年時,因非法存取而導致個人資訊洩露的事件在所有事件中僅佔4.7%,但到了2018年,這個比例已經增加到20.3%(2018年資訊安全事件調查報告[日語])。
本文將根據過去的判例,解釋在遭受網路攻擊時,系統供應商應承擔的責任範圍。此外,本所也將根據模範合約,解釋供應商和用戶為共同對抗網路攻擊,應在合約中明確規定的角色和責任範圍。
系統供應商需要承擔網路攻擊的賠償責任嗎?
當用戶端的企業遭受網路攻擊並產生損害時,首先應追究的責任是網路攻擊的加害者。然而,如果由於系統開發和運營的疏忽,使得更容易受到攻擊,那麼用戶端可能會對系統供應商提出損害賠償請求。
系統供應商可能面臨的損害賠償請求的依據包括以下兩點:
- 契約不符責任
- 違反善良管理注意義務
然而,如果用戶端的疏忽導致損害擴大,那麼用戶端的責任也應被認定。在實際的訴訟中,有時會考慮到過失抵銷,並限制對系統供應商的損害賠償。
系統供應商的損害賠償責任與合約書記載例
系統供應商與用戶企業之間的IT系統合約的代表例子主要有以下三種:
- 軟體開發合約
- 系統維護・運營合約
- 雲端服務使用合約
損害賠償責任是根據最初的合約來判定的,因此以下將針對每種合約類型進行解說。
軟體開發合約
軟體開發合約是指用戶端企業將自家系統的開發業務委託給軟體供應商時所簽訂的合約。
當用戶端企業遭受網路攻擊,而軟體的漏洞成為損害擴大的原因時,用戶可以追究供應商的責任。
系統供應商所需承擔的責任,根據軟體開發合約的類型,主要有以下兩種:
- 承攬合約:契約不適合責任
- 準委託合約:善管注意義務違反
承攬合約
承攬合約是指承諾完成系統,並對其成果物支付報酬的合約。
如果交付的成果物「不符合合約的目的」,則承攬人在交付後一定期間內,將產生契約不適合責任(日本民法第559條、第562條[日語])。
也就是說,如果成果物容易因網路攻擊而導致系統故障,則可能會被認為「不符合合約的目的」,用戶端可能會根據契約不適合責任要求賠償。
是否接受此要求,取決於雙方事先確定的軟體安全等級。
【契約不適合責任記載例】
第〇條 在前條的驗收完成後,如果發現交付物與系統規格書不一致(包括漏洞。以下在本條中稱為「契約不適合」),甲方可以要求乙方進行該契約不適合的修正等履行的追加(以下在本條中稱為「追加」),乙方應進行該追加。但是,只要不對甲方造成不合理的負擔,乙方可以採取與甲方要求的方法不同的追加方法。
2. 儘管有前項的規定,如果由於該契約不適合,仍然可以達到個別合約的目的,並且追加需要過多的費用,則乙方不需要承擔前項規定的追加義務。
3. 如果甲方因該契約不適合(僅限於由於乙方應負責的原因而產生的)而遭受損害,則可以向乙方要求賠償損害。
準委任合約
準委任合約不適用契約不適合責任,因為它並未承擔成果物的完成義務。相反,它承擔了「以善良管理者的注意處理委任事務的義務」(善管注意義務)。
如果因網路攻擊導致系統故障,即使在簽訂合約時未確定安全等級,也可能因開發該等級的系統被認為是「違反善管注意義務」(日本民法第656條、第644條[日語]),並可能面臨損害賠償的要求。
【善管注意義務記載例】
第〇條 乙方應在簽訂第〇條規定的個別合約後,根據甲方製作的資訊系統概念書、系統化計劃書等,提供支援甲方製作需求定義書的服務(以下稱為「需求定義創建支援業務」)。
2. 乙方應根據資訊處理技術的專業知識和經驗,以善良管理者的注意力進行調查、分析、整理、提議和建議等支援業務,以確保甲方的工作順利且適當地進行。
系統維護・運營合約
系統維護・運營合約是指企業將現有軟體的維護和運營業務委託給軟體供應商的合約。在簽訂維護和運營合約時,通常會在合約書中包含應達到的安全水平,這些細節通常會在業務規格書等文件中詳述。
如果因為網路攻擊而造成損害,且系統的安全水平低於合約時所同意的水平,則可以根據合約不適用的條款,追究違約責任。
然而,如果事先沒有規定安全水平,則維護和運營易受網路攻擊的系統可能違反了善管注意義務,可能會被追究責任。
雲端服務使用合約
雲端服務使用合約是指在使用供應商在雲端上提供的服務時簽訂的合約。由於供應商預計將向大量用戶提供相同的服務,因此通常會按照供應商設定的使用條款來簽訂合約。
一般來說,這種合約中會預先說明如果因為網路攻擊導致無法提供服務時的責任。
在雲端服務使用合約中,通常會在簽訂合約時規定以下內容:
- SLA(Service Level Agreement):關於品質的保證和運營規則
- 責任限制條款:供應商在損害發生時的債務不履行責任範圍
SLA是將用戶的需求水平和供應商的運營規則明文化的內容。如果無法獲得這裡規定的服務提供,可以作為部分債務不履行來提出損害賠償請求。此外,合約中也可能設有「責任限制條款」,供應商在此提前限定接受債務不履行請求的條件,即使責任被認定,也會限制賠償金額。
然而,由於責任限制條款中多數規定對供應商有利,如果發生爭議,可能會受到日本判例法理的部分限制。
【責任限制條款的記載例】
第〇條 甲方及乙方在履行本合約及個別合約時,如果因對方的過失而受到損害,可以向對方請求(僅限於○○○的損害)損害賠償。但是,這種請求必須在該損害賠償請求原因的該個別合約規定的交付物的驗收完成日或業務結束確認日後的○個月內提出。
2. 本合約及個別合約的履行相關的損害賠償的累計總額,無論債務不履行(包括契約不適合責任)、不當利得、侵權行為或其他請求原因,都將以導致責任事由的個別合約規定的○○○的金額為限。
3. 前項不適用於基於損害賠償義務者的故意或重大過失的情況。
系統供應商的損害賠償責任範圍的判斷基準
當用戶公司因為網路攻擊而遭受損害時,具體來說,開發系統的供應商可能會在什麼情況下被問及其責任呢?
以下,本所將根據實際的法院判例來解釋系統供應商可能被問及其責任的情況。
是否已實施符合當時技術水平的對策
在實際的訴訟中,如果爭議的是系統供應商的責任,那麼會重視供應商在開發時是否已經實施了符合當時政府機關或行業組織的警告或手冊等的安全對策。
以下是一個由於網路攻擊而對系統供應商下達損害賠償命令的判例。
【判例】東京地方裁判所2014年1月23日
用戶:從事室內裝飾材料零售和通信銷售的X公司
供應商:承擔了網路訂單系統的設計和維護等委託的Y公司
由於網路攻擊,客戶的信用卡信息7000條被洩露的事件
■判決
對系統供應商下達約2000萬日元的損害賠償命令
認定的金額超過了開發費用約200萬日元
X公司也被認定有過失,進行30%的過失抵銷
■理由
・系統供應商未實施符合當時技術水平的安全對策。
・儘管用戶公司已經接受了系統供應商的風險說明,但未採取對策,因此認定用戶公司也有過失,進行30%的過失抵銷。
2014年當時,「SQL注入攻擊」是主要的網路攻擊手段,經濟產業省也公開了「根據個人資訊保護法實施個人資料的安全管理措施的注意喚起[日語]」這份文件,指出網路風險並呼籲加強系統。
判決認定了未採取對策的系統供應商的責任,並下達了損害賠償命令,同時也認定了用戶公司有過失,並認可了30%的過失抵銷。
用戶公司是否有過失
發訂系統開發的用戶公司也有其應負的義務,如果有過失,可能需要承擔全部責任。
以下是一個並非網路攻擊的案例,但全面認定了用戶公司的責任並下達了損害賠償命令的判例。
【判例】旭川地方裁判所2017年8月31日
用戶:大學醫院
供應商:被大學醫院委託開發電子病歷系統的系統公司
項目剛開始不久,就接連收到現場醫生的額外需求。
需求不斷,開發延遲,大學醫院以延遲為由通知解除合約。
■判決(上訴審)
對大學醫院下達約14億日元的賠償命令
撤銷了第一審判決對雙方下達賠償命令的決定
■理由
・問題在於醫院方面沒有聽取供應商方面的警告,即如果滿足額外需求,將無法按期完成。
這個訴訟是因為系統開發延遲,用戶方面通知解除合約,於是用戶方和供應商方各自向對方提出賠償請求並提起訴訟的事件。
判決認定了用戶方未聽取供應商方的警告是開發延遲的原因,認定了用戶方100%的責任,並駁回了用戶方的請求。供應商方有「項目管理義務」,即需要管理項目的進度以確保按期完成。對於用戶方,也有「協助義務」,如果未能履行這一義務,可能需要承擔全部責任。在實際的訴訟中,賠償責任將根據這一比例來決定。
安全系統開發的三大要點
為了應對網路風險等問題,使用者和供應商雙方共同參與防範措施的實施是非常重要的。
以下,本所將解釋供應商和使用者各自可以採取的防範措施。
掌握政府機關等指出的網路風險
系統供應商應該確認來自專業機構如日本經濟產業省或獨立行政法人資訊處理推進機構(IPA)的指導方針,了解當前的網路風險及其防範方法,然後進行開發和運營。
不僅供應商,使用者端的企業也應該在一定程度上了解這些內容,並要求按照指導方針進行開發和運營,並在契約中加入安全水平的條款。
參考:日本經濟產業省|網路安全經營指導方針 Ver 2.0[日語]
特別是在金融領域等,法律和指導方針可能要求高度的安全性。
雙方當事人理解安全性的必要性
日本經濟產業省的「網路安全經營指導方針Ver2.0[日語]」明確指出,「網路安全措施是經營問題」。
企業不應該因為不了解安全性而將其完全交給供應商,而應該將風險管理視為經營的一部分,並負責參與防範措施的實施。
雙方當事人共同應對網路攻擊
當遭受網路攻擊時,訂購方和供應商應該共同努力,而不是互相推卸責任,以將損害降至最低。
然而,系統開發的訂購方和接受方之間,訂購方的地位往往較強,系統開發往往以成本和交貨期為中心進行。供應商可能無法獲得足夠的資金和時間,即使提出了對安全性的建議,也可能無法被接受。
然而,指導方針指出,使用者端的企業應該將實施安全措施視為「成本」,而不是將其定位為未來業務活動和成長的必要條件,並將其視為「投資」。
在系統開發中,供應商和使用者應該在平等的立場上共同應對網路攻擊。
總結:編制系統開發合約時應諮詢律師
當遭受網路攻擊並產生損害時,參與系統開發的供應商可能會因為忽視網路風險管理而被使用者企業追究責任。
然而,忽視與供應商合作義務的使用者企業也有其責任。
為了將網路攻擊的損害降至最低,您可能需要在合約中確定系統水平和各自的責任範圍。
在編制系統開發等合約時,應諮詢具有深厚專業知識的律師,以了解指導方針的內容和當前的網路風險。
由本所事務所提供的對策介紹
MONOLITH律師事務所是一家在IT,特別是互聯網和法律兩方面具有高度專業性的律師事務所。在進行系統開發合約時,需要製作合約書。在本所的事務所,本所為從東京證券交易所上市公司到創業公司的各種案件製作和審查合約書。
Category: IT
Tag: CybercrimeIT