セブンペイ
セブンペイは他人事ではない!ITプロジェクトはなぜ失敗するのか Photo:JIJI

不正利用問題に揺れたセブンペイが、9月末でのサービス終了を発表した。発覚直後の会見では、セキュリティー対策への認識の甘さが露呈したが、これを対岸の火事だと安心してはいられない。あらゆる業種・業態で、デジタル活用にはリスクがつきまとう。かつて東京地方裁判所・東京高等裁判所でIT専門の調停委員を務め、企業におけるデジタル活用やシステム開発の問題に詳しい、経済産業省CIO補佐官の細川義洋氏に“素人”でも気を付けなければならないIT開発の要点を聞いた。(聞き手/ダイヤモンド編集部 笠原里穂)

セブンペイの開発ベンダーは
訴えられたら負ける?

――セブンペイの不正利用問題では、同社のセキュリティーへの認識の甘さや対応の遅さなどが浮き彫りになりましたが、この件に関して率直なご意見をお聞かせください。

 ダイヤモンド・オンラインの読者の方は多くがユーザー企業(事業会社)の立場かもしれません。ただ、今回の件を実際の開発を行うベンダーの視点からお話しすると、もしもセブンペイとベンダーが裁判になったら、ベンダーが負ける可能性が高いと思っています。

――なぜでしょうか。

 平成21年に通販会社のウェブサイトからクレジットカード情報が盗まれるという事件があり、ユーザー企業はシステムを開発したベンダーと裁判になりました。このときの判決は、基本的な責任はベンダー側にあるというものでした。ユーザーの希望通りに開発したのに、何が悪かったのか。

 システム開発においては、たとえユーザーから要望がなかったとしても、その専門家たるベンダーがシステムの危険性に気付いて、自分の判断でできるところは修正し、またはユーザー企業に必要な作業を提案したり、追加の見積もりを出したりする責任があります。これを一般に、ITベンダーの「専門家責任」といいます。