Tweet
注目のQ&Aランキング
対象:システム開発・導入
回答数: 3件
回答数: 3件
回答数: 2件
ECサイトを運営しております。
システムについてはシステム開発会社に依頼し構築したもので、
現在も保守契約を締結中です。
昨今のSQLインジェクション攻撃が多くなっていることから、
セキュリティー診断企業に調査を依頼したところ、
いくつかのセキュリティー上の欠陥がありました。
開発を依頼する際にセキュリティー要件を定めた訳ではありませんし、
瑕疵担保責任の期間も過ぎていますが、このようなケースで
調査費用および改修費用についてはシステム開発会社が
負担すべきものと考えてよいものでしょうか?
当然、ケースバイケースでしょうし、協議して解決すればよいでしょうが、
過去の事例や慣習から本来はどちらが負担すべきかをご教授いただけばと思います。
andy3さん ( 東京都 / 男性 / 43歳 )
回答:2件
井上 みやび子
Webエンジニア
5
保守契約に改修が含まれていない限り別案件
こんにちは。すぐ使える株式会社の井上と申します。
システム開発会社の立場からとなってしまいますが、お答えしますね。
以下の2つの点から判断すると、システム改修はandy3さんの会社負担となります。
○開発を依頼する際にセキュリティー要件を定めた訳ではありません
○瑕疵担保責任の期間も過ぎています
ただ、現在保守契約を結んでいらっしゃるとのことですので、契約内容にセキュリティ上の問題の改修が含まれていればその範囲での対応が可能かと思います。
契約内に対応が明示されていない場合は、問題の性質や改修の規模により個別の交渉になりますね。
一部の画面にケアレスミスの様な形の欠陥があるのであれば保守契約範囲内で対応させることも交渉の余地があると思いますが、最近出てきた攻撃手法への対応が甘いというような場合は、それを開発会社がすべて負担するというのは少し難しいかも知れません。
評価・お礼
andy3さん
2010/11/18 15:58早速のご回答ありがとうございます。
開発自体の金額ボリュームが数千万円規模であり、
契約書上で納品物の保証がなされていたので、
開発会社側で負担すべきかと考えておりました。
欠陥内容にもよると思いますので、交渉するしかないようですね。
質問やお悩みは解決しましたか?解決していなければ...
岡本 興一
ITコンサルタント
3
原則は御社負担になるでしょう
一般論ですが、基本的には、システム開発を発注した時の契約内容と、保守契約の内容に、セキュリティ要件が明記されていなければ、開発者側の責任とするのは難しく、費用負担を開発会社負担とするのは難しいと思います。
開発会社は、どんなシステムが欲しいか?という要望を満たすためのプログラムを作ってくれますが、要望になかった事に関して作る義務はありません。
要望されなかった内容を作り込むには、それなりのコストがかかりますが、その負担を、発注者側に求めねばなりませんが、発注者が要望していない以上、その費用は認められないでしょう。
優秀な開発会社であれば、発注者側が要望していなかったとしても、「こういうことに気をつける必用があると思います。そんために、これだけの追加コストが必用ですが、どうしますか?」といった提案が、契約前にあると思いますが、開発案件の価格競争が厳しい中では、なかなか言い出すことができない会社も多くあります。
システム発注前、あるいは、保守契約において、こうしたセキュリティ要件についての協議がなかったとすると、開発会社側は、依頼内容(契約内容)に含まれていないので、責任はないと主張すると思います。
評価・お礼
andy3さん
2010/11/19 11:25ご回答ありがとうございます。
本件はシステム開発会社側の負担で対処することになりました。
契約上では、要求内容を満たすアプリケーションを開発することが基本的な委託内容ですが、
前提条件として成果物に対する品質を保証することが明記されているため、
セキュリティ要求のありなしに関わらず、品質として問題があるという結論に至りました。
(現在のポイント:-pt)
このQ&Aに類似したQ&A
表示中のコンテンツに関連する専門家サービスランキング
