ほそかわ・よしひろ/経済産業省CIO補佐官。元・東京地方裁判所民事調停委員・IT専門委員、東京高等裁判所IT専門委員。
日本電気ソフトウェア(現NECソリューションイノベータ)、日本アイ・ビー・エムを経て、独立。プロセス改善コンサルティングを行なう一方、ITトラブルが法的紛争となった事件の和解調停や裁判の補助を担当。これまで関わったプロジェクトは70以上に上る。2016年より現職。著書に『システムを「外注」するときに読む本』など。

 先述の通販会社のウェブサイトは、閲覧者がデータベースを不正に操作できてしまう危険な構造になっていました。しかし、こうした構造を避けてセキュリティー対策を施しておくことは、当時のIT業界ではすでに常識でした。経済産業省やIPA(情報処理推進機構)から注意喚起も出ていましたし、同様の脆弱性が問題となって起きた事件もありました。専門家であるITベンダーは当然そうした常識を知っていたはずですから、ユーザーから要望や注意がなくても、改善策を自発的にやるか、提案をしなければならない。それを怠ったということで、本件はベンダー側の責任になりました。

――セブンペイでは、二段階認証を採用していなかった点が問題視されていました。

 今の時代であれば当然、二段階認証を導入しておかなければいけません。たとえセブンペイ側から要望がなかったとしても、最低限、ベンダーは提案すべきです。実際の提案・開発段階でどのような事情があったのかはわかりませんが、今までのセキュリティーがらみの判決を鑑みると、訴訟になれば「ベンダーが悪い」となる可能性は大いにありますね。

“プロにお任せ”はNG!
セブンペイに提案を受け入れる姿勢はあったか

 逆に、ユーザー企業はこうした提案を引き出さなくてはなりません。つまり、引き出せなかったベンダーとの関係性に問題があるということ。ベンダーも人間です。お金が足りないからそこまでやりきれない、お客さんから要望がないからこれくらいでいいだろう、スケジュールに余裕がないから後回しにしよう…と考えたくもなります。

 先ほど、ベンダーには専門家責任があると言いましたが、ベンダーがプロだからといって「任せておけばいい」というわけではありません。むしろ、ユーザー企業がベンダーに積極的に疑問をぶつけて、会話をリードしていかなければならないのです。