システム開発やアプリ開発、AI開発などIT企業の法律・法務に強い弁護士事務所です
グローウィル国際法律事務所
03-6263-0447
10:00~18:00(月~金)

GitHub上のソースコード流出!どんな法的責任を負うのかを弁護士が解説

システム開発のための法律

三井住友銀行のソースコードが流失

三井住友銀行(SMBC)が組織内で使用するソースコードが流出するという事件が起こりました。

三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か

この件は、クラウドサービスであるGitHub(ギットハブ)で起きています。エンジニアがGitHubに保存したソースコードが、設定上、公開状態になっていたのです。

この事件だけでなく、GitHubに保存したソースコードが、設定上公開状態なっていて流出したという事例は、弊社にも非常に相談が多いです。

このような事態が起きた場合、どういう責任を負うのでしょうか?

不正競争防止法違反

ソースコードを流出させたとされる当該エンジニアの行為について、法律上の責任はどうなるのでしょうか?

まず、不正競争防止法違反(営業秘密の不正使用・開示)にあたることが考えられます。

不正競争防止法では以下を「不正競争」として規制されています。

営業秘密を保有する事業者(以下「営業秘密保有者」という。)からその営業秘密を示された場合において、不正の利益を得る目的で、又はその営業秘密保有者に損害を加える目的で、その営業秘密を使用し、又は開示する行為

まずは、エンジニア自身がソースコードを記載した場合には、「保有する事業者からその営業秘密を示された」といえるかどうかがポイントとなります。

委託を受けて開発したソースコードは、委託元の会社が保有・管理すると考えるので、当該エンジニア手元にあるソースコードは、委託元の会社から「示された」ものであるという要件を満たします。

次に、「不正の利益を得る目的」または「営業秘密保有者に損害を加える目的」(以上「図利加害目的」)です。

これに関しては、ソースコードを他社に売り渡したなどが該当します。一方、うっかりGitHubを公開状態にしていたなどはこれに当たらない可能性もあります。

また、興味本位程度の目的でGitHubにソースコードを保存するのも、「不正の利益を得る目的」といえない可能性もあります。

不正競争防止法に違反すると、差止請求(不正競争防止法3条)、損害賠償請求(不正競争防止法4条本文)の対象になります。また、刑事罰の対象にもなり得ます(不正競争防止法21条1項4号等)。

契約違反

また通常、当該エンジニアは、委託元との間で秘密保持に関する合意・契約をしていると思います。そうなると秘密保持違反ということで、債務不履行(民法415条)にあたる可能性があります。

しかし、一般的な秘密保持条項では、「相手方に開示した情報」と規定されていることが多く、委託先が業務のなかで新たに開発したソースコードなどは、この対象にならない可能性があります。

秘密保持契約・条項については、委託先の成果物も対象になるように規定しておく必要があります。

不法行為責任

開発したソースコードが公開状態になり、委託元も損害が被ったとなれば不法行為責任(民法709条)を負います。

当該エンジニア自体も責任を負いますし、当該エンジニアが雇用されていた会社も責任を負います。さらにその元請け事業者やエンドユーザに対し、契約上の責任や不法行為責任を負うことになります。

誰でも見られる状態にあった、という観点では、サーバの権限設定が不十分だったことにより、顧客情報がウェブ上の誰でも閲覧できる状態になり、拡散されたという事案で、被害を受けた個人に対する不法行為責任を認めた事例もあります。