弁護士が解説する「GitHub事件」の法的責任、エンジニアの問題と管理者の課題とは？

2021年1月、クラウドサービス「GitHub」に三井住友銀行やNTTデータ子会社など複数社のシステムに関するソースコードが公開されていることが発覚した。「GitHub事件」と呼ばれる当該事案の背景やエンジニアが問われる法的責任、類似事案の防止策を弁護士が解説する。

[BUSINESS LAWYERS]

本記事は2021年2月17日のBUSINESS LAWYERS掲載記事をキーマンズネット編集部が一部編集の上、転載したものです。

サマリー

• 扱う情報の重大性への理解不足が流出の原因か
• ソースコードを流出させたエンジニアに問われる法的責任
• ツールの利用制限ではなく、利用者のリテラシー向上による対策を

　2021年1月28日、三井住友銀行（SMBC）が組織内で使用するシステムのソースコードについて、その公開・流出の可能性がSNSを中心として指摘され、翌29日にはSMBCが、行内システムのソースコードの一部と公開されているソースコードが一致したことを確認したと報じられました※1）。その後、NTTデータの子会社であるNTTデータ ジェトロニクスなど複数社における被害の公表も続いています※2。

　あるエンジニアによる不適切な情報の取り扱いに端を発すると見られる本事案。本稿では、ITコンサルティング企業においてシステムの設計や開発、プロジェクトマネジメントなどに従事した経験を持ち、現在はシティライツ法律事務所でシステム開発などに関する紛争処理や、ソフトウェア知財・法務を専門に扱う伊藤雅浩弁護士に、法的側面から特筆すべき本事案のポイントや、クラウドサービスの利用・リスク管理に関して持つべき考えを聞きました。

扱う情報の重大性への理解不足が流出の原因か

――本事案の概要と特筆すべきポイントについて教えてください。

　本件は、ソフトウェアのソースコードをホスティングするクラウドサービスである「GitHub」（ギットハブ）上で起きています。ソースコードのホスティングというと分かりにくいかもしれませんが、保存・共有に用いるツールで、「Google Drive」や「Dropbox」などに近い用途のツールだとイメージいただければと思います。

　本事案では、あるエンジニアがGitHubに保存したソースコードが、設定上、公開状態になっていたことが問題になりました。従って、本件は、第三者がサーバなどに不正アクセスしたことによって情報が漏えいしたというものではなく、関係者による情報の取り扱いがずさんだったために、外から見える状態にあった、という事案です。

　また、このことが明らかになったのは、「Twitter」ユーザー同士の口論がきっかけだったようです。ささいなやり取りから事案が発覚しており、しかも、自身の年収を予測するサービスを利用するために外部サービスにソースコードを解析させていたなどといった事実関係からすると、公開設定にしていたエンジニアは、そもそも自分が業務上取り扱う情報の重大性をよく理解していなかったものと思われます。

――当該エンジニア個人の問題以外にも、本事案が発生した背景として考えられる原因などはありますか。

　システム開発業界は、多重下請構造になっていることが多く、エンドユーザーである発注者が大企業であっても、末端のエンジニアがフリーランスのプログラマーであることも少なくありません。エンドユーザーは発注する際に、発注先の情報管理について厳しい要求をするわけですが、階層が深くなるにつれて、管理の目が行き届かなくなります。

　しかも、以前は、利用できるツールが限られたPCなどを与えて、物理的にエンジニアを特定の場所に集めて作業をしていたわけですが、コロナ禍でリモートワークも増えていくとなると、情報管理体制を構築し、適切に運用していくことがますます困難になっています。

ソースコードを流出させたエンジニアに問われる法的責任

――ソースコードを流出させたとされる当該エンジニアの行為について、どのような法律に抵触することが考えられますか。