パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ネットショップでの情報漏洩、裁判で開発会社の責任が認められる」記事へのコメント

  • by Anonymous Coward on 2015年01月22日 18時30分 (#2748272)

    SQLインジェクションなどの、もはや常識となってるものについては開発会社の責になるのはしょうがないが、
    マイナーなセキュリティホールまで開発会社の責となると辛いな。
    十分な工数が取れるならともかく、高い高い言って値切る顧客多いし。

    • by Anonymous Coward

      その記録を取っておけば、こういったときに有利に働くのではないでしょうか。

    • by Anonymous Coward

      セキュリティ対策の工数をちゃんと見積もって提案して蹴らせておけば、発注側の過失は取れるんじゃないかなぁ……

      • by Anonymous Coward

        将来的に過失は取れるかもしれないけど、訴訟対応だけで体力ない会社は辛いねえ。

      • by Anonymous Coward

        程度にもよりますが、今回のようなSQLインジェクション対策やセキュリティ対策のパッチ適用などは「できてて当たり前」のレベルの事なのでやっていなければ責任は開発側になります。
        IPAが出している脆弱性対策 [ipa.go.jp]を取っておくぐらいは必要です。そこから先の対策なら追加工数の交渉に入れるでしょう。

        • by Anonymous Coward

          それは当たり前の工数が与えられた…という前提が必要ですけどね。

          • by Anonymous Coward

            顧客に説明を尽くした上でなら責任は無いだろうが
            そうじゃないから過失責任が認められたんだよ

            • by Anonymous Coward

              逆。
              開発側に責任があるけれど、説明を尽くした上で蹴られたから顧客側の責任がある程度認められて相殺。

    • by Anonymous Coward

      大規模なプロジェクトならアプリ開発におけるセキュリティ上のコーディング規約があると思うけど違うの?

      • by Anonymous Coward

        規約があることと、それが守られてるかどうかは別問題。
        それに守らせようとすれば理解度の低い新人とか使えなくなるし単価上がるでしょう。

        • by Anonymous Coward on 2015年01月22日 22時11分 (#2748401)

          理解度の低い新人を使えるようにするため規約というのは存在するのですが。
          理解度低いんだから理解させて納得させるんじゃなく機械的に守らせろよ。

          親コメント
        • by Anonymous Coward

          「規約を決めても守る気なんかありません」とか堂々と言うなよ…

          • by Anonymous Coward

            日本語の不自由な人に日本語で規約を出しても守られないからねw
            上の人のコメントで”守る気はないと堂々と言う”って解釈するんだもんな

            ちょっと仕事でそういう奴に困らされた経験あるもんで黙っていられんかった
            いるんだよねぇ、難癖つけて足引っ張るのが趣味な人

      • by Anonymous Coward

        そういうとこほど単価低い上にCheckStyleのようなツール否定してるんで、やろうとするとサビ残確定。

    • by Anonymous Coward

      何のためにユーザーテストや検収があるんだよ。
      両方の問題だろ。

      • by Anonymous Coward

        いいえ。ユーザーに引き渡すときに適切なセキュリティ対策はされているものという前提のもので納品される、のは暗黙の条件ですし対策を施していなければ債務不履行にあたります。

        • by Anonymous Coward

          おっしゃっていることは良く理解できるのですが、

          >ユーザーに引き渡すときに適切なセキュリティ対策はされているものという前提のもので納品される、のは暗黙の条件ですし

          暗黙の・・・がまかり通っているのも契約行為を交わしているビジネスとしてはおかしいよなぁ
          契約事項で双方の合意がないのであれば、残念ながら文句をつけてきたとしてもそれは(契約として明記しなかった|きちんと検収しなかった|きちんと作り込めなかった)双方の責任じゃないのかと。

          • by Anonymous Coward

            >暗黙の・・・がまかり通っているのも契約行為を交わしているビジネスとしてはおかしいよなぁ

            それは開発側の理屈です。判決文より:

            被告は,情報処理システムの企画,ホームページの制作,業務システムの開発等を行う会社として,プログラムに関する専門的知見を活用した事業を展開し,その事業の一環として本件ウェブアプリケーションを提供しており,原告もその専門的知見を信頼して本件システム発注契約を締結したと推認でき,被告に求められる注意義務の程度は比較的高度なものと認められるところ,前記のとおり,SQLインジェクション対策がされ

            • by Anonymous Coward
              なんで「予見が可能」で「労力や費用」もかからない「容易」なことについて、
              わざわざ
              > 経済産業省及びIPAが(中略)注意喚起を
              する必要があるんでしょうね。
              • by Anonymous Coward

                予見が可能で労力や費用もかからない容易なことについて「思いも付かない」バカが世の中には沢山いるから。

      • by Anonymous Coward

        「テストが必要になるブログラムを作るのが悪い」と言われたことが
        まあユーザーテストなんて機能面だけでセキュリティなんてやらないところが殆どかと

      • by Anonymous Coward

        SQLインジェクションの存在をユーザーテストで発見しろというのはさすがに無理筋では。

      • by Anonymous Coward

        正常系の機能とか画面デザインなんかは兎も角、セキュリティに関してまでユーザーテストや検収でチェックしろってのは無理だろう。
        むしろそんな部分までチェックする能力のあるユーザーなら、SIerに頼むより自社で開発した方が安上がりだ。(PGとかが足りないなら個人事業主なり派遣なりを使えばいいだけ)

        • by Anonymous Coward

          正義系の機能って空目してしまいました。
          正義系の機能って何なんだ…

          • by Anonymous Coward

            ま、まさよしけい…?!

          • by Anonymous Coward

            ハゲ散らかす機能・・・・・?

    • by Anonymous Coward

      要求仕様に「セキュリティ上の問題がないこと」とか平然と書く奴もいるし、それを受け取っちまうバカもいる。
      『既知の』ならともかく。
      そのうえで「こんな当たり前のことでどうしてこんなにカネがかかるんだ」とか叫ぶ奴がいたりとか。

      #OSSの未知のバグまで面倒みれませんって。

      • by Anonymous Coward

        #OSSの未知のバグまで面倒みれませんって。

        やだなぁ、OSSにバグがあるわけないじゃないですか

      • by Anonymous Coward

        発注者の立場としては、できる限り広く書くので、「セキュリティ上の問題がないこと」って普通のことでしょ。
        受け取る側が付け加えるのならともかく、そのまま受け取ったらラッキーですよ。

    • by Anonymous Coward

      建物は瑕疵免責を契約書に入れられるのに、
      ソフトウェアはそうじゃないんですよね。

      ひどい国だ…

      • by Anonymous Coward

        もちろん契約書に入っていました。が、それは納入後1年間に起こった不具合には無償で対応します、というものでした。
        判決より:

        本件基本契約は,「乙は,委託業務の完了の後その成果物に瑕疵が発見されたとき,
        乙の責任において無償で速やかに補修のうえ納入を行うものとする。」(26条1項),
        「乙の保証期間は,特に定めるものを除き委託業務の完了の後1年間とする。ただし,乙の
        責に帰すべきものでない場合はこの限りではない。」(26条2項)と定めている。

          以上の規定からすれば,本件基本契約26条2項は,被告による無償補修を定めた
        本件基本契約26条1項を

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...