ご無沙汰しております。

このブログもかなり久しぶりの更新ですが、Webサイトのコラムもかなり久しぶりに更新しました。

https://it-vendor-law.com/column/judge/r5-2-17

いつものように判例DBでシステム開発分野の裁判例を追ってはいたのですが、なかなかWebサイト上などでアウトプットするというところまで至らず、気づけば1年ほど何もアウトプットしていないという状態に……。
まったく生存報告もできておりませんでしたが、私自身は、相変わらずシステム開発分野を中心に弁護士業務をやっております。

さて、先の裁判例は、ベンダーの重過失を認め、責任限定契約(損害賠償額の制限)の適用を否定したものとなります。
ベンダーの重過失を認めて責任限定契約の適用を否定した裁判例としては、SQLインジェクション攻撃によってクレジットカード情報が漏洩してしまった事案において、SQLインジェクション対策をしなかったベンダーの重過失を認め、責任限定契約の適用を否定した、東京地判平成26･1･23判時2221-71があります。

意外と知られていないことも多いという(個人的な)印象の東京地判平成26･1･23でもありますが、今回の前橋地判令和5･2･17もそうであるように、賠償額の上限を設定していたような場合であっても、ベンダーの重過失を理由として、その適用が否定される可能性もあることには注意が必要です。

ソフトウェア開発委託契約において、ユーザーや委託元ベンダー等から、例えば次のような内容の条項が含まれた契約書が送付されることが多々見受けられます。

乙(＝ベンダー)は、甲(＝ユーザー、委託元ベンダー等)に対し、本契約に基づき乙が開発した本件ソフトウェアが第三者の著作権、特許権その他の知的財産権を侵害していないことを保証する。

ベンダーの方、このような条項があった際に気にされていますか？
まったく気にしないまま契約を締結してしまっている場合も少なくないのではないでしょうか？

しかし、ソフトウェア開発においては、多くの場合、開発したソフトウェアが著作権をはじめとした知的財産権を侵害していないことをすべて保証することは難しいはずです(※特に特許権については、調査コストの面で保証が難しい等の話も別途あり得ますが、ここで取り扱うのはまた別の話となります。)。

ソフトウェア開発において、第三者が作成したライブラリやアセットを利用することも一般的かと思います。
そして、いわゆるGPL汚染のリスクもありますから、そのライブラリやアセットのライセンス条項は確認しているのではないでしょうか。
では、一般的には利用しても問題ないとされるOSSライセンスのうち、MITライセンスの条件を見てみましょう。

(原文：https://opensource.org/license/mit/)

Copyright <"YEAR"> <"COPYRIGHT HOLDER">
　
Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the “Software”), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions:
　
The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software.
　
THE SOFTWARE IS PROVIDED “AS IS”, WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

(和訳：https://licenses.opensource.jp/MIT/MIT.html)

Copyright (c) <"year"> <"copyright holders">
　
以下に定める条件に従い、本ソフトウェアおよび関連文書のファイル（以下「ソフトウェア」）の複製を取得するすべての人に対し、ソフトウェアを無制限に扱うことを無償で許可します。これには、ソフトウェアの複製を使用、複写、変更、結合、掲載、頒布、サブライセンス、および/または販売する権利、およびソフトウェアを提供する相手に同じことを許可する権利も無制限に含まれます。
　
上記の著作権表示および本許諾表示を、ソフトウェアのすべての複製または重要な部分に記載するものとします。
　
ソフトウェアは「現状のまま」で、明示であるか暗黙であるかを問わず、何らの保証もなく提供されます。ここでいう保証とは、商品性、特定の目的への適合性、および権利非侵害についての保証も含みますが、それに限定されるものではありません。 作者または著作権者は、契約行為、不法行為、またはそれ以外であろうと、ソフトウェアに起因または関連し、あるいはソフトウェアの使用またはその他の扱いによって生じる一切の請求、損害、その他の義務について何らの責任も負わないものとします。

以上のライセンス条件にも明記されているように、MITライセンスには権利非侵害の保証がありません。
MITライセンスのライブラリ等を利用する場合には、このライセンス条件に同意した上で利用することとなりますから、権利非侵害の保証がないことにも同意しなければなりません。
となると、そのようなライブラリを用いたソフトウェアを開発する場合、ベンダーは、ユーザー等に対して、少なくとも、成果物の「ソフトウェアのすべて」に関して権利非侵害の保証をすることは難しいはずです。

他方で、ユーザー等としては権利侵害があった場合にソフトウェアが利用できなくなる等の不利益を被るおそれがありますから、権利非侵害の保証を最大限してもらいたいと考えることは無理もない話だと思います。
ソフトウェアすべてに関しての権利非侵害の保証が難しいことは、ソフトウェア開発委託契約内で権利非侵害の保証に関する条項を置くことは一切あり得ない、ということにはなりません。
ですので、ここから、双方が落としどころを探り、合意に至る契約条項を模索していくこととなります。
この点についての1つの回答が、IPAモデル契約書のOSS等に関する条項になりますが、またその詳細は後日ご紹介できればと思います。

さて、以上から、契約書の1つ1つの条項が大きな意味を有することがなんとなくお分かりいただけましたでしょうか。
後々のトラブルを防止するため、あるいは、ソフトウェア開発において法的拘束力を有する手順書として、契約書は重要なドキュメントです。
契約書を作成していなかったり、契約書があってもその内容が適切でなかったりした場合には、開発中や開発後に、思わぬトラブルや不利益が生じるおそれがあります。
できる限りそのようなリスクを低減するためにも、適切な契約書を作成していただければと思う次第です。

it-vendor-law.com

システム開発契約においては、案件等に応じて、様々な契約方式が存在します。
例えば、基本契約を締結した後で各開発フェーズに応じた個別契約を締結するという、基本/個別契約方式は、システム開発の契約において多く見られる契約方式です。
他方、基本契約は締結しないものの、各開発フェーズごとに、例えば、まずは要件定義フェーズのみ契約する等、スポットで契約を締結する場合もしばしば見受けられるところです。

特にここ最近、顧問契約を締結いただいているクライアント様から、要件定義フェーズ等の上流工程の支援業務に関する契約書雛形のご提供や、案件に応じた雛形の加筆修正等をよくご依頼いただいております。
私は、システム開発分野ばかり取り扱っている弁護士ということもあり、そのような上流工程における契約書雛形も保有しておりますので、速やかな契約書雛形のご提供や、案件に応じた契約書作成等も可能となっております。
もちろん、要件定義支援業務特有の事項を反映した契約書雛形となっておりますので、要件定義支援業務の委託契約書のご提供は、スピード感も含め、顧問先クライアント様からもご好評いただいております。

it-vendor-law.com

私は、このブログでも繰り返し述べるところではございますが、システム開発等を中心に取り扱っている弁護士でして、特に顧問契約を締結いただいているクライアントからのご依頼で、システムに関する契約書の作成やチェックも日常的に行っております。
契約書がなかったり、インターネット上でダウンロードできる契約書雛形がそのまま流用できない場面でも流用してしまったりした結果、トラブルに発展してしまったり、トラブルが発生した際に不利益を被る結果となってしまったりすることが少なくありません。
システム開発等はトラブルの多い分野でもありますので、他の分野以上に、契約書の作成やチェックを行う必要があると考えております。

ご興味のある方は、ぜひお気軽に、上記のWebサイトからお問い合わせください。

gihyo.jp

発売されるとの情報を某SNSで得て、発売直後あたりに買っていましたが、やっと目を通すことができました。

ITや情報セキュリティに関する知識の(あまり)ない方が初めて読む情報セキュリティに関する書籍として、おすすめできるのではないかと思います。

全体的に平易な文章で書かれていますし、読み進める上で登場する語句についてもできるだけわかりやすく表記された解説が加えられています。
ポジショントーク色が強いと感じる部分もありましたが、想定される読者層を考えるとそれはそれでありだとも思いました。
「小さな企業がすぐにできるセキュリティ」という、タイトルのとおりの書籍ではないでしょうか。

ただ1点、私なりのポジショントークの側面も含んでいるのですが、「法律関係の問題になりそうな場合には法テラスに相談を」という旨の記載がありまして……。
色々言いたいことはありますが、一番重要な点だけ述べておくと、(あくまで個人的な認識ではありますが)弁護士でも少なくない方が本書が対象とする読者層に該当するかと思いますので、万一そのような問題が生じた場合には、情報セキュリティに関する知識のある弁護士を探すべきだと思います。