ＩｏＴデバイスによる事故とソフトウェアベンダの責任 | IT法務.COM｜システム・ソフトウェア・ネットビジネスに関するご相談なら弁護士法人内田・鮫島法律事務所

当社はドローンに搭載されるソフトウェアを開発・提供しています。この度，当社が開発したソフトウェアを搭載したドローンを使用した施設点検サービスの実施中にドローンが何者かにハッキングされ，施設に落下して同施設の一部を破壊してしまいました。ドローンは全壊です。当社は損害賠償責任を負わなければならないのでしょうか？

ハッキングの原因によってはドローンメーカーに対しては債務不履行に基づく損害賠償責任，サービス提供者や施設保有者に対しては不法行為に基づく損害賠償責任を負う可能性があります。

１　はじめに

ＩｏＴデバイスが事故を起こし，第三者に損害を与えた場合，同デバイスの搭載されているソフトウェアを開発した企業（以下「ソフトウェアベンダ」といいます。）はどのような責任を負うのでしょうか。
設問の事例において，ソフトウェアベンダ，ドローンメーカー，施設点検サービス提供者及び施設所有者はそれぞれ別の企業であるという仮定で検討してみます。

２　施設所有者（被害者）に対する法的責任

ソフトウェアベンダと施設所有者との間には契約関係がない以上，債務不履行責任は発生しません。また，製造物責任を負うこともありません。製造物責任はあくまで形がある「物」を製造等する者に課される責任であるところ，ソフトウェアベンダは無体物であるソフトウェアの開発を行ったにとどまるためです。

他方，ＩｏＴデバイスに搭載されたソフトウェアに脆弱性があり，その脆弱性を突かれてハッキングされたような場合には不法行為責任が生じ得ます。この点については東京地裁平成３０年１０月２６日判決の以下の判示が参考になります。

我が国では，ＳＱＬインジェクションの危険性が広く知られることはあっても，その対策は十分に周知されてこなかったことがあるとしても，遅くともＸがＹに本件システムの制作を発注した平成２４年当時までには，既にＳＱＬインジェクションによる不正アクセス等のセキュリティ上のリスクの存在が広く知られ，その対策としてエスケープ処理の実施という具体的な方法もシステム開発の業界内では周知されていたことがうかがわれる。

・・Ｘからの発注に係る本件システムの制作を担当したＹの被用者にはエスケープ処理の実施等，ＳＱＬインジェクションに対する対策を講ずべき注意義務があったのに，これを怠っていた点で，少なくとも過失による不法行為が成立し・・

上記裁判例を前提にすると，ソフトウェアベンダが問題のドローンに搭載されているソフトウェアを開発した当時，既に周知であったセキュリティの脆弱性に関する対応を怠っていたような場合には不法行為責任が生じ得ると思われます。

３　ドローンメーカーに対する法的責任

ソフトウェアベンダが開発・提供したソフトウェアに開発当時の技術水準に沿ったセキュリティ対策を施していなかったといえる場合，債務不履行責任が認められる可能性があります。この点については東京地裁平成２６年１月２３日判決の以下の判示が参考になります。

被告は，平成２１年２月４日に本件システム発注契約を締結して本件システムの発注を受けたのであるから，その当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供することが黙示的に合意されていたと認められる。

上記判決は明示的な合意がなくとも契約当時の技術水準に沿ったセキュリティ対策を施すべきことが「黙示的」に合意されていたと認めています。そのため，「当事者間で合意した仕様のみ充足すれば良い」という考えは危険といえます。

４　施設点検サービス提供者に対する法的責任

施設点検サービス提供者は，ドローンを使用するに先立ち，ドローンに搭載されているソフトウェアについてソフトウェアベンダとソフトウェア使用許諾契約を締結している可能性があります。この場合にはドローンが壊れてしまったこと等に関して上記３で述べたような債務不履行責任が生じ得ます。
また，ソフトウェア使用許諾契約が締結されていない場合であっても，上記２で述べた不法行為責任が生じる可能性があります。

５　実務上の留意点

ＩｏＴデバイスに搭載されるソフトウェアを開発する事業者としては，関係官庁等が公表しているガイドライン等に沿ったセキュリティ対策を講じることは必須です。現時点でンは以下のようなガイドライン等がありますので，参考情報として掲載します。

「ＩｏＴセキュリティガイドライン ver1.0」
（ＩｏＴ推進コンソーシアム・総務省・経済産業省，平成28年7月）
「ＩｏＴ開発におけるセキュリティ設計の手引き」
（独立行政法人情報処理推進機構セキュリティセンター，平成30年4月）
「サイバー・フィジカル・セキュリティ対策フレームワーク」
（経済産業省商務情報政策局サイバーセキュリティ課，平成31年4月18日）

また，これまでの説明はソフトウェアの開発・提供時における技術水準やセキュリティ対策を問題にしてきましたが，ソフトウェアの納品後に脆弱性が発見・指摘されるような事態も考えられます。この場合にはソフトウェアベンダにおいて適時にソフトウェアのアップデートを行うべきであり，これを怠っているうちに事故が発生した場合にはやはり不法行為責任等が生じ得るという見解もあります。
適宜ソフトウェアのアップデートを行えるような体制を整えておくことも重要といえるでしょう。

2019年9月27日