GitHub上のソースコード流出！どんな法的責任を負うのかを弁護士が解説

三井住友銀行のソースコードが流失

三井住友銀行（SMBC）が組織内で使用するソースコードが流出するという事件が起こりました。

三井住友銀行などのソースコードが流出　“年収診断”したさにGitHubに公開か

この件は、クラウドサービスであるGitHub（ギットハブ）で起きています。エンジニアがGitHubに保存したソースコードが、設定上、公開状態になっていたのです。

この事件だけでなく、GitHubに保存したソースコードが、設定上公開状態なっていて流出したという事例は、弊社にも非常に相談が多いです。

このような事態が起きた場合、どういう責任を負うのでしょうか？

ソースコードを流出させたとされる当該エンジニアの行為について、法律上の責任はどうなるのでしょうか？

まず、不正競争防止法違反（営業秘密の不正使用・開示）にあたることが考えられます。

不正競争防止法では以下を「不正競争」として規制されています。

営業秘密を保有する事業者（以下「営業秘密保有者」という。）からその営業秘密を示された場合において、不正の利益を得る目的で、又はその営業秘密保有者に損害を加える目的で、その営業秘密を使用し、又は開示する行為

まずは、エンジニア自身がソースコードを記載した場合には、「保有する事業者からその営業秘密を示された」といえるかどうかがポイントとなります。

委託を受けて開発したソースコードは、委託元の会社が保有・管理すると考えるので、当該エンジニア手元にあるソースコードは、委託元の会社から「示された」ものであるという要件を満たします。

次に、「不正の利益を得る目的」または「営業秘密保有者に損害を加える目的」（以上「図利加害目的」）です。

これに関しては、ソースコードを他社に売り渡したなどが該当します。一方、うっかりGitHubを公開状態にしていたなどはこれに当たらない可能性もあります。

また、興味本位程度の目的でGitHubにソースコードを保存するのも、「不正の利益を得る目的」といえない可能性もあります。

不正競争防止法に違反すると、差止請求（不正競争防止法3条）、損害賠償請求（不正競争防止法4条本文）の対象になります。また、刑事罰の対象にもなり得ます（不正競争防止法21条1項4号等）。

また通常、当該エンジニアは、委託元との間で秘密保持に関する合意・契約をしていると思います。そうなると秘密保持違反ということで、債務不履行（民法415条）にあたる可能性があります。

しかし、一般的な秘密保持条項では、「相手方に開示した情報」と規定されていることが多く、委託先が業務のなかで新たに開発したソースコードなどは、この対象にならない可能性があります。

秘密保持契約・条項については、委託先の成果物も対象になるように規定しておく必要があります。

開発したソースコードが公開状態になり、委託元も損害が被ったとなれば不法行為責任（民法709条）を負います。

当該エンジニア自体も責任を負いますし、当該エンジニアが雇用されていた会社も責任を負います。さらにその元請け事業者やエンドユーザに対し、契約上の責任や不法行為責任を負うことになります。

誰でも見られる状態にあった、という観点では、サーバの権限設定が不十分だったことにより、顧客情報がウェブ上の誰でも閲覧できる状態になり、拡散されたという事案で、被害を受けた個人に対する不法行為責任を認めた事例もあります。