セキュリティ対策(郵政がブラスターでNECに賠償請求検討)

日経コンピュータのサイト8月29日版のニュースです。

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20030829/2/

郵政公社の社内ネットワーク「PNET」が、NECの保守作業ミスでブラスターとウェルチに感染して、メールや掲示板サーバーがダウンしたということです。原因は、ATM交換機(インターネットとは非接続)の保守作業中に、NECの保守担当者が、作業関連情報を入手するために、勝手に保守サーバーを電話回線経由でインターネットに接続した為に、ブラスターに感染してしまったのだそうです。ダウンしたメール、掲示板サーバーには該当するパッチがあてられていたので、感染しなかったのですが、感染した保守サーバーが執拗にアクセスを繰り返して、本番サーバーを機能麻痺させたようです。何とも不注意というか、運が悪いというか。ただ、最近はアウトソーシングしている金融機関で、似たような不注意(昔は想像も出来なかったような、初歩的な不注意で、技術的問題というよりは意識の問題と思われます。)での障害が増えているようです。

郵政公社のサイトによれば、14日にブラスターに感染、15日に感染サーバーを切り離し、19日にはブラスターDに感染、切り離し、駆除とほぼ5日間格闘したようです。幸いにも、社内専用ネットワークだったので、顧客や外部への影響はなかったそうです。

実は、当社もXPを搭載したPCが感染しました。日本でMSブラスターが蔓延しだした8月12日に、たまたま知人が来社し、普段は当社でアクセスしないサイトに接続したのです。私はブラスターのことは、全く気にかけていませんでしたが、ルーターが烈しくアクセス繰り返しを表示しているので、ウイルス感染だと思い、とりあえずLANから切り離しておきました。その晩にラブサンの話を聞いて、翌朝、MSサイトから駆除プログラムをダウンロードした次第であります。やはり感染して、昼頃に手当てしようとした友人は、シマンテックにもMSにもアクセスできない状況が続き、随分と難儀したようです。

MSは、数ヶ月前からホームページで警告を発し、パッチを当てるように言っていたそうですが、専門チームを持たない個人や中小企業が、官報のごときHP(掲示するだけで,受信はユーザー次第という意味です。)を、いちいち見ている筈はありません。メールボックスのようなインターネットの弱点を、ユーザーに押し付ける態度には思わずムッとして、PL訴訟でも起してやるかと思ったほどです。ところが、無体物であるソフトには製造物責任はありません。裁判するだけ、無駄ということです。無体物を対象とすれば、範囲が際限なくなり、通常の経済活動も出来なくなるという理由です。

プリインストール・ソフトは、PL法対象外ですが、ハードに組み込まれたソフトに欠陥のある場合は、そのハードがPL法の対象になるそうです。

PL法以外での賠償請求の手段は、民法709条の不法行為責任を根拠として、予見性或いは重大な過失を証明できれば裁判で勝てるそうですが、証明することは至難です。今回のブラスターの場合は、MSが修正バージョンを開発・提供しているので、その告知方法に不備があるとしても、訴訟までは無理のようです。

ところで、郵政公社がNECに賠償請求するとすれば、その根拠は契約でしょう。重大な過失により損害をかけた旨、証明するかNECが受認すれば、直接的な被害額(復旧に要した直接的費用であり、付随して蒙った逸失利益や副次的費用は一般的には対象外)という、極めて少額な賠償金が象徴的に支払われることになるでしょう。

ところで、日本企業の契約に関する杜撰さには驚愕するものがあります。数億円の開発委託でも、契約書なしに開発を始め、請求書が発行され、支払いされていることがあります。開発が不調でベンダー変更しようとすれば、途端に著作権はベンダーにあったり、高額なペナルテイを要求されたりすることもあります。

ユーザー企業もベンダーも法律関係について無頓着に過ぎるようです。わが身を守り、ビジネス相手と公正公平な取引関係を構築・維持するためには、関連する法律と契約条件を勉強する必要があります。技術者、営業、管理職全員の必須知識です。さして難しいことではありません。