パスワードを忘れた? アカウント作成
6142802 story
ビジネス

ソフトウェアの安全性欠陥による損害に対し、開発者を訴えられるようにすべきという議論 143

ストーリー by hylom
訴えたい人は居そうですが 部門より
eggy 曰く、

ファーストフード店で食べたハンバーガーにより食中毒を起こした場合、客は店に対して損害賠償訴訟を起こすことができる。だが、ソフトウェアのセキュリティーホールをつかれてマルウェア攻撃による損害を被っても、ユーザーは開発者に対して訴訟を起こすことができない。通常ソフトウェア利用許諾契約書(EULA)には、ソフトウェアの欠陥によって損害が生じてもメーカーが補償しないことを明記した免責条項が含まれる。これに対してケンブリッジ大学のRichard Clayton氏は、避けられるはずの脆弱性によってユーザーに与えてしまった損害に関して、ソフトウェアメーカーは責任を負うべきであると呼びかけている(本家/.Tech Republic記事)。

しかし、これが実現するのは困難だ。実際に、イギリスでは上院委員会が2007年までにこうした法律を導入するよう提案しており、欧州委員会も2009年に同様の提案を行っているが、未だ実現していない。

マイクロソフトは以前、家が泥棒に入られた被害者は、こじ開けられてしまったドアや窓を製造した会社を訴えるなんてことはないのと同様に、ソフトウェアメーカーは外部侵入による被害で訴えられることはないと論じていた。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by mondy (27787) on 2012年08月24日 18時59分 (#2217983)

    ソフトウェアやコンピュータを使う人は、その前に講習を受けて想定外の利用方法をしない様に教育してから免許を発行したほうがいいね。
    ソフトウェアって人間が楽になる為に、その部分の行動をロジック化しなきゃならないんだけど
    全ての人が同じように考えて、同じように使わないから問題が起こってしまうんだよね。なら同じ思考の人以外は使わせなければいい。
    本来数字を入れるべき場所に攻撃コードを埋め込むとか、車で逆走するような事をすれば減点だよね。

    まぁそんなのが無理だからこそ、トライアンドエラーになっちまってるんだと思う。
    使う側のモラルの問題を全て製造者側に押し付けてたら包丁も売れなくなるよ。

    • > 使う側のモラルの問題を全て製造者側に押し付けてたら包丁も売れなくなるよ。

      ソフトウェアの安全性欠陥と使う側のモラルの
      問題に関係はない。

      親コメント
    • もしライセンス条件に免許が必要となるとJITECとかアビバ、LPIやシルバンあたりが大繁盛ですな。

      #そうなる前にMCPやACPくらい取らないとだめか

      親コメント
    • せめてファイル/I/Oなどの資源をファイル名/ハンドルの形で直に提示して、
      「この資源は使いますがそれ以外は使いません」の形にして、
      それを判定するのを躊躇する人間は無能力者として使わせない様にすれば
      良いのでは。

      やっぱりファイル名を超えて抽象化するのは、やり過ぎですし、それで解らない
      という人間は、人類の敵と見なすべきです。

      Androidとかも、
      ・電話帳使います
      ・インターネット使います
      位、細かく言えば良いのに、下手に権限を抽象化wして、わかりやすくw提示する
      のでかえって判りづらくしてしまっている。

      SELinuxみたいなのは無理でもTomoyoLinux的な、対象はファイル名・ファイルパス
      のみなら現実的かと。

      親コメント
  • by iwakuralain (33086) on 2012年08月24日 19時27分 (#2218009)

    昔は64bitでも十分だったけど今は128bitでも内容によっては破られるからね~。
    昔は本当に大丈夫でも、技術の進歩とともに大丈夫かどうかは変わってくるからね~。

    # かと言ってその契約が嫌なら使わなきゃいいじゃん
    # って言うと何も使えなくなっちゃうんだろうしな~

    • by JULY (38066) on 2012年08月25日 12時06分 (#2218298)

      昔は64bitでも十分だったけど今は128bitでも内容によっては破られるからね~。

      具体的に教えていただけませんか? 128bit 鍵の暗号が内容によっては破られるケース。

      親コメント
  • オープンソースや、あるいは個別に利用者にソースコードが開示されていれば
    問題点がないかどうか自分で調べることが、勉強さえすれば可能だ、とかいう理屈で免責になる…

    という事であれば、どうでしょうね。
    社会全体の技術も高まる方向になっていいんじゃないですかね。

    • by Anonymous Coward on 2012年08月25日 10時55分 (#2218266)

      既にGPLがあるけど社会全体の技術も高まる方向になんてなってないでしょ。
      意識のある人にはよい勉強材料になってるだろうけど、社会全体でみれば無料という扱いでしかない。

      親コメント
  • by new release (37404) on 2012年08月24日 18時22分 (#2217953) 日記

    「避けられるはずの脆弱性」ってのが、きちんと定義できれば、おっしゃることもごもっともなんだけどね。

    食中毒は、「避けらるか否かではなく、出してはいけない」だから、
    ソフトウェアも「脆弱性の恐れがあったら、出すのが変」が共通理解になれば成り立つだろうけど、
    そうなる前に「少々危なくても安く買う」派が台頭するから、今があるんだけどね。

    • by skapontan (35455) on 2012年08月24日 19時50分 (#2218028) 日記

      食中毒に例えるなら、
      未知の対処法が不明な食中毒菌で症状が出た場合どうするかですね。
      従来の食中毒に対する対策が十分なら責任は問われないけど、そうでなかったら未知かどうかは関係ない。

      要するに「脆弱性」についても対処すべき項目として仕様になければならない。
      仕様にない問題は、品質の問題でないなら製造物責任になり得ない。
      こんなんでどうでしょ。

      親コメント
    • by Anonymous Coward

      > 食中毒は、「避けらるか否かではなく、出してはいけない」だから、

      はい。悪意の攻撃を防げないという話と、自分自身が害を為すという話は別だと思います。

      ただ、ソフトウェアの不具合は、脆弱性(攻撃を防げない)だけではなく、自分自身が害を為す
      場合だってありえます。

      それを、ソフトウェアの不具合を脆弱性だけに限ってしまうと、MSの言い分をそのまま真に受けて
      しまうことになると思います。

      • by Anonymous Coward

        自分自身が害をなすって、すなわちマルウェアだから、
        この議論の結論を待つまでもなく訴えることのできる問題だと思うよ。

    • by Anonymous Coward

      食中毒と脆弱性を並べちゃうから謎パーになるんですよ。
      食堂で出された食事に他の客が毒を仕込むかどうかと脆弱性に対する攻撃ってのならわからんでもない。

      根源的な悪意の発生箇所(食中毒は作り手の衛生管理の問題だけどさ)が違うのにトピックでは一緒くたじゃ困るよね。

      • by new release (37404) on 2012年08月24日 19時38分 (#2218022) 日記

        たとえ話は置いておくとしても、
        ソフトウェアについては、原因、責任の特定の困難さと、
        被害がおおよそ金ばかりで、車のリコールや食中毒のように人体に影響があまりない
        ってのが話題だけで終わる原因かな。

        親コメント
    • by Anonymous Coward

      全ての事態を想定できるほどソフトウェアは成熟してないって事じゃないかなぁ
      食物に例えるなら、未知の食材と謎の調理法だらけで、まだまだ原始的な料理って感じ

  • ソフトウェア開発なんてものは危なっかしくて出来なくなりそう 最終的に中国の建築業界のように、脆弱性が発覚した時はもう既にそのメーカーは存在しません、 なんてことになったりしてw
  • by Seth (1176) on 2012年08月24日 19時03分 (#2217989) 日記

     合理的に、
    「原因がソフトウェアの安全性欠陥に起因すると判定でき」
    かつ、
    「被害額が算出できる」
    なら、当たり前にそうなるよね(走召糸色木亥火暴)

    --
    "castigat ridendo mores" "Saxum volutum non obducitur musco"
    • by Anonymous Coward

      マジレスすると、その二つだけじゃダメで、責任を問う際には普通は故意または過失が要求されるので、
      PL法みたいな無過失責任を問おうとする場合は自明ではありませんね。

  • by Anonymous Coward on 2012年08月24日 19時14分 (#2217999)

    自分が買ったハンバーガーにだれかが毒を仕込んだら、ハンバーガー製造者を訴えられるのか
    と言うことだと思う。

    • by Z80 (39572) on 2012年08月24日 20時47分 (#2218056)

      「ファーストフード店で食べたハンバーガーにより食中毒を起こした場合」で表現できるとしたら、
      プログラムにコンピューターウィルスを混ぜて提供した相当かな?
      これだったらなんとなく訴訟もありえるかなと思った。

      #「避けられるはずの脆弱性によってユーザーに与えてしまった損害」ってのはどう解釈すればいいのやら・・・(英文苦手)

      親コメント
    • by Anonymous Coward

      製造者にとって予見不可能だったら責任はないんじゃないの?
      明らかな脆弱性のある鍵を、それを知りつつ売ったらどうなんだろう?

    • グリコ・森永事件で、「もし誰かが毒入りお菓子を食べたら、グリコ・森永、他各社が訴えられる」という話のような。
      お菓子メーカーは被害者であって、加害者ではない。

      #それで開封したら分かるようにと、お菓子は透明のフィルムで包むようになったんだよな。

  • by Anonymous Coward on 2012年08月25日 1時19分 (#2218176)

    捕まえて、しょっ引けばいいんだよ。

  • まぁ、タイトルそのままで、要件定義から納品までの間で邪魔するようなユーザーにも、訴え起こして良いんですよね?>賛同者の皆様

    #常日頃、その手のユーザー相手に戦っている開発者なんて、そこらじゅうにいると思うのだが?

  • 個々の開発者の責任とするのは非現実的です。やるんだったらそういったバグの生じないソフトウェアプラットフォームを用意してその上で開発することでしょう。.NETやJAVAの仮想マシンはそういう考え方に近いですね。

    個々の開発者の責任とするとなるとどうなるか?フリーソフトの開発に対するモチベーションを大きく削ぐことになるでしょう。商用ソフトでも、セキュリティ問題ならばセキュアコーディングのコンサルタントを雇う費用が必要になるでしょうし、バグ一般ならばバグが生じにくい開発体制、つまりウォーターフォールモデルを実現するために、多数のドキュメントを作成する工数や、単体テストなどをきっちりと行う工数が必要になりますし、後からの仕様変更は基本禁止、または、それなりの追加費用が必要でしょう。つまり、金もかかりますし、時間もかかります。仕様変更もダメです。つまり、客に対してもそれなりのコストを負担してもらうことになるのですが、これでWin-Winになれるかどうかは怪しいです。

  • by usisi (41441) on 2012年08月27日 21時06分 (#2219503)

    「保険会社のほうから止められているので、仕様の追加は出来ません」

    「仕様変更のリスクに対応するためには、この保険にも入っていただかないと
    ・・・え?ご予算が無い。それは残念です(ニヤニヤ)」

    言ってみたい。

    --
    ID投稿推奨、マイナスモデ反対、リメンバー・スルー力。
  • by Anonymous Coward on 2012年08月24日 18時34分 (#2217963)

    「社会が悪い!」とボヤくんだろうか?

    • by Anonymous Coward

      ソースを読んで安全を確認しなかった人が悪いんです。安全を確認する方法があるのに、それをしなかったがために被害が出たのであれば、安全を確認しなかった方が悪い。安全は、ただではないんです。

      と、いうことで、賠償請求できるプロプライエタリが流行るなんてことはあるのかな?

      それとも、ディストリビューターが訴えられたりすることがあるかもしれない。

      • by Anonymous Coward

        配布元に賠償責任が、なんて話になったらフリーで公開してる人達はみんな引っ込めますな。つーか実際そんな事態になるなら公開してるの引っ込める。
        ソフトウェアは他の産業とは仕組みが違う(一品物である、問題が無いことを検証するのは困難)んだから、食品と同じ発想で規制なんてしたらそれこそ産業自体成り立たないでしょ。
        なので、こんな広い範囲の規制はちょっとどうかと思う。

        こういうの [a-listers.jp]だとどうしてくれんだ(゚Д゚)ゴルァ!と言いたくなるのはそりゃ当然ですがw

      • by Anonymous Coward

        PDS≠FLOSS。

        "NO WARRANTY" っつっても許されない世界?

  • by Anonymous Coward on 2012年08月24日 18時56分 (#2217979)

    常に訴訟リスクのあるプログラマを対象としたxx社のプログラマ保険!
    月々yy円の掛け金で最大zz万円までの保証!

    #リアルにそういう時代来たら嫌だな
    #でも産婦人科とか、そういうリスキーな医者に対してそういう制度を設けて訴訟から保護しようって議論ありませんでしたっけ?

    • by Anonymous Coward on 2012年08月24日 20時30分 (#2218050)

      医者は既にあります。ほとんどの医者はだいたい毎年5万円前後は保険金を支払ってるはずです。
      27万人×5万円/人/年=135億円/年が保険会社の定常収益に。
      プログラマへの訴訟リスク付加とは、保険会社・弁護士への利益誘導に他なりません。

      親コメント
    • by Anonymous Coward

      単純に保険付と保険無ソフトを並べて売ればいいんんじゃないか
      値段は変わるだろうけど買う側で好きなほう選べばいい

  • by Anonymous Coward on 2012年08月24日 19時05分 (#2217990)

    >ソフトウェアのセキュリティーホールをつかれてマルウェア攻撃による損害を被っても、
    >ユーザーは開発者に対して訴訟を起こすことができない。
    よく知らないんだけど、訴訟を起こしてはいけないとかいう法律でもあるん?

    • 普通「訴訟を起こす事ができる」って言う場合は、「責任を問える」という意味で、
      要するに「裁判所が損害賠償請求を認めてくれる可能性が高い」という事かと。

      親コメント
    • by Anonymous Coward

      EULAでできない契約になってるという話だけど、
      消費者利益に反する契約は無効になるから、
      結局は製造者に責任を問えるかどうか(現在のところソフトだけに起因するよほどの損害がない限り問えない)の問題だと思う。

  • by Anonymous Coward on 2012年08月24日 19時29分 (#2218011)

    ドイツの法律ではソフトウエアのEULAでソフト障害の免責を入れても法律で一部無効になってしまったように記憶してますが。

  • by Anonymous Coward on 2012年08月24日 19時50分 (#2218027)

    自分の書いたコード ? 自分で何とかする : 文句言うな

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...