連載目次 納品したシステムにSQLインジェクションなどの既によく知られた脆弱(ぜいじゃく)性がある場合、たとえその対応策が要件として定義されていなくても、ITの専門家であるベンダーには、そのことに気付き、ユーザー企業に注意喚起し、提案する責任がある。この問題を「ユーザーvs.ベンダー」という構図で見た場合の裁判所の考え方は、これまでの例を見る限り、ある程度の一致を見ているようにも思われる。 同じ問題を「ベンダーという企業vs.そこで働くエンジニアという個人」という図式で見た場合はどうだろうか。顧客に納品したシステムにセキュリティ上の不備があった場合、その責任はシステムを構築したエンジニアにあるのか、そのエンジニアを選任し、作業を監督する責任のあるベンダーにあるのか。 不備の責任は企業と従業員のどちらが取るべきか? 「従業員は会社内部で責められることはあっても、対外的には会社が責任を持つべき
![従業員が作ったセキュリティホールの責任を会社が取るなんてナンセンスです](https://cdn-ak-scissors.b.st-hatena.com/image/square/f2830476a379c79619d2c36b4ec9ea4c2df5e1e8/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F2106%2F21%2Ftitle_itsosyo.jpg)