本記事は2021年2月17日のBUSINESS LAWYERS掲載記事をキーマンズネット編集部が一部編集の上、転載したものです。
2021年1月28日、三井住友銀行(SMBC)が組織内で使用するシステムのソースコードについて、その公開・流出の可能性がSNSを中心として指摘され、翌29日にはSMBCが、行内システムのソースコードの一部と公開されているソースコードが一致したことを確認したと報じられました※1)。その後、NTTデータの子会社であるNTTデータ ジェトロニクスなど複数社における被害の公表も続いています※2。
あるエンジニアによる不適切な情報の取り扱いに端を発すると見られる本事案。本稿では、ITコンサルティング企業においてシステムの設計や開発、プロジェクトマネジメントなどに従事した経験を持ち、現在はシティライツ法律事務所でシステム開発などに関する紛争処理や、ソフトウェア知財・法務を専門に扱う伊藤雅浩弁護士に、法的側面から特筆すべき本事案のポイントや、クラウドサービスの利用・リスク管理に関して持つべき考えを聞きました。
――本事案の概要と特筆すべきポイントについて教えてください。
本件は、ソフトウェアのソースコードをホスティングするクラウドサービスである「GitHub」(ギットハブ)上で起きています。ソースコードのホスティングというと分かりにくいかもしれませんが、保存・共有に用いるツールで、「Google Drive」や「Dropbox」などに近い用途のツールだとイメージいただければと思います。
本事案では、あるエンジニアがGitHubに保存したソースコードが、設定上、公開状態になっていたことが問題になりました。従って、本件は、第三者がサーバなどに不正アクセスしたことによって情報が漏えいしたというものではなく、関係者による情報の取り扱いがずさんだったために、外から見える状態にあった、という事案です。
また、このことが明らかになったのは、「Twitter」ユーザー同士の口論がきっかけだったようです。ささいなやり取りから事案が発覚しており、しかも、自身の年収を予測するサービスを利用するために外部サービスにソースコードを解析させていたなどといった事実関係からすると、公開設定にしていたエンジニアは、そもそも自分が業務上取り扱う情報の重大性をよく理解していなかったものと思われます。
――当該エンジニア個人の問題以外にも、本事案が発生した背景として考えられる原因などはありますか。
システム開発業界は、多重下請構造になっていることが多く、エンドユーザーである発注者が大企業であっても、末端のエンジニアがフリーランスのプログラマーであることも少なくありません。エンドユーザーは発注する際に、発注先の情報管理について厳しい要求をするわけですが、階層が深くなるにつれて、管理の目が行き届かなくなります。
しかも、以前は、利用できるツールが限られたPCなどを与えて、物理的にエンジニアを特定の場所に集めて作業をしていたわけですが、コロナ禍でリモートワークも増えていくとなると、情報管理体制を構築し、適切に運用していくことがますます困難になっています。
――ソースコードを流出させたとされる当該エンジニアの行為について、どのような法律に抵触することが考えられますか。
© BUSINESS LAWYERS
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。