1.はじめに
1月28日深夜頃よりツイッター上などにおいて、三井住友銀行(SMBC)、NTTデータ、NEC、警察当局などの情報システムのソースコードの一部が、ソフト開発のプラットフォームであるGitHub上で公開されていたことが発覚して大きく注目されています。
ソースコードの一部をGitHub上で公開した人物は、ツイッター上でのやり取りをみると、SMBCなどの勘定系システムの一部の作成を行ったプログラマのようであり、「転職系サイトに年収査定を試算してもらうために自分がPCに持っていたソースコードをGitHub上で公開した」とのことのようです。
(プログラマのツイートより)
ところでこのプログラマはのんびりした性格の方のようで、ツイッター上でも、”GitHub上にソースコードをアップしたが、デフォルトで公開の設定となっていることは知らなかった。自分は別に商業利用に転用していないので著作権法上は問題ないと思っている。もしSMBCから言われたら対応を考える。”等とかなりのんびりとした認識のようです。
2.ソースコード作成者のプログラマの問題
(1)プログラムの著作物
著作権法10条1項は著作物を例示していますが、その中の9号は、「プログラムの著作物」をあげています。また、定義規定である同法2条の10の2号は、プログラムについて「電子計算機を機能させて一の結果を得ることができるようにこれに対する指令を組み合わせたものとして表現したものをいう。」と規定しており、この、「電子計算機を機能させて一の結果を得ることができるようにこれに対する指令を組み合わせたもの」にソースコードは該当します。したがって、極端に短いものなど創作性がないとされる以外のソースコードは、著作権法上保護の対象となる著作物であることは間違いありません。
(2)著作権者は誰か?
つぎに、このプログラマがこのSMBCの勘定系システムの一部のソースコードの作成者であるとしても、一般論としては、当該ソースコードの著作権者はこの作成者であるプログラマではなく、SMBCなど(あるいはこのプログラマの所属するシステム開発会社)である可能性が高いと思われます。著作権法15条にいわゆる法人著作(職務著作)の規定があるからです。プログラムに関しては同法同条2項が問題となります。
(職務上作成する著作物の著作者)
第15条
1 (略)
2 法人等の発意に基づきその法人等の業務に従事する者が職務上作成するプログラムの著作物の著作者は、その作成の時における契約、勤務規則その他に別段の定めがない限り、その法人等とする。
銀行の勘定系システムの開発は、プログラマの思い付きではなく、「法人等の発意」に基づき作成されるのが通常であると思われますし、「職務上作成するプログラム」であると思われます。この「職務上作成する」は、勤務時間中に作成したものだけでなく、自宅等で作成したものも含まれるとされています。「契約、勤務規則その他に別段の定め」がある場合には、ソースコードの著作者はプログラム作成者となりますが、一般的には、別段の定めがない場合が通常ではないかと思われます。
なお、「法人等の業務に従事する者」とは、典型的には法人等と雇用契約にある従業員が当てはまりますが、実質的な指揮監督関係が認められる場合には、委託先、請負先の社員などもこれに含まれるとされています。
ツイッター上のやり取りをみると、このプログラマは、SMBC等の委託先のシステム会社のプログラマのようであり、したがって、一般論としては著作権法15条2項により、SMBCなどのソースコードの著作権者は、プログラマではなくSMBC等ということになりそうです。
(3)著作権のまとめ
そのため、ソースコード作成者のプログラマが、著作権者であるSMBC等の許諾なく、ソースコードを転職系サイトに年収査定の試算をしてもらうためにGitHub上で公開することは、やはり一般論としては、SMBC等の著作権を侵害しているということになりそうです。そのため、SMBC等としては、許諾なくソースコードを公表したプログラマとその所属するシステム会社に対して、損害賠償請求(民法709条、715条)、不当利得返還請求権(民法703条)、差止請求権(著作権法112条、116条)、名誉回復措置請求(著作権法115条)を主張することになります。また、著作権侵害に対しては刑事罰も用意されています(著作権法119条以下)。
(4)営業秘密など
なお、システム開発の委託元と、委託先のシステム開発会社との間においては、通常は、システム開発の業務委託契約書等が締結され、そのなかに秘密保持条項が盛り込まれています。就業規則や雇用契約書等にも秘密保持条項が規定されているのが通常です。
この点、不正競争防止法は、①秘密管理性、②有用性、③非公知性、の3要件を満たすものを営業秘密としており、営業秘密の社外への持出しや開示は同法違反となる可能性があります(不正競争防止法2条1項4号以下)。
この場合、営業秘密を開示等された法人等は、損害賠償請求(4条)、差止請求(3号)などを主張することができます。また、不正競争防止法違反には刑事罰の規定も用意されています(21条以下)。2014年に発覚したベネッセ個人情報漏洩事件においては、個人情報を持ち出したSEがこの営業秘密の開示等の罪に問われ、裁判所はこれを認める判断を示しています(東京高裁平成29年3月21日判決)。
2.三井住友銀行等の問題
今回の事件では、SMBC、NTTデータ、NEC、警察当局などの情報システムのソースコードの一部が公開されたようですが、とくに大手金融機関のSMBCの基幹システムの一部のソースコードが漏洩したことが気になります。
個人情報保護法20条は、事業者に対して「データの漏えい、滅失又はき損の防止その他の(略)安全管理のために必要かつ適切な措置」(安全管理措置)を講じることを規定し、事業者に従業員等を監督し(同21条)、業務委託をする場合はその委託先への管理・監督を行うこと(同22条)も安全管理措置の一環として要求しています。
これを受けて、金融庁および個人情報保護委員会は、「金融分野における個人情報保護に関するガイドライン」および「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」を策定しています。
このガイドラインおよび実務指針においては、社内規定の整備・社内の監督体制の整備などの組織的安全管理措置、従業員等への教育などの人的安全管理措置、データのアクセス権限の管理・設定や漏洩防止策の実施などの技術的安全管理措置などを金融機関が実施することが求められています。
SMBCはメガバンクですので、一般論としては、システム開発の職員が開発ための社屋や部屋に入る入退室は社員証などでアクセス管理をされていたはずであり、また、自分のPCやスマホなども容易に持ち込み・持ち出しなどができないようになっていたであろうと思われ、そのような技術的安全管理措置がどう突破されてしまったのか疑問が残ります。
ベネッセ個人情報漏洩事件は、委託先のSEが刑事責任を問われただけでなく、ベネッセも安全管理措置に疎漏があったとして、ベネッセ側の民事上の損害賠償責任を認める最高裁判決が出されています(最高裁平成29年9月29日判決)。また、ベネッセに対しては株主代表訴訟も提起されています。
このように、ベネッセ事件に照らしても、情報システムに関する個人情報あるいは営業秘密の流出・漏えいは、企業のコンプライアンスと共にガバナンスの問題でもあります。SMBCはメディアの取材に対して、「セキュリティ上の問題はない」などと回答しているようですが、今回の基幹システム等のソースコードの流出事故は、メガバンク等における重大なインシデントではないかと思われます。SMBC等は、従業員や委託先などの監督に関する安全管理措置の法的義務違反の責任を厳しく問われるのではないかと思われます。
(なお、このようなGitHubやSNSなどによる転職や年収査定をうたう、Findy、LAPRASなどの最近のネット系人材紹介会社は、今回のような流出事故について、何等かの責任を負うのか否かについても、個人的には関心のあるところです。)
■関連するブログ記事
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える