ある公益法人から突然、サーバ(Webと全ての社内文書を含む)のroot権限を持てるパスワードと秘密保持誓約書が配達記録郵便で送られてきました。その法人は僕(学生)が2ヶ月前までバイトしていた所なのですが、当時僕が作成したWebアプリケーションに不具合が出たため、(無償で)修正してほしいとのことです。

 業務外にもいろいろお世話になった法人なので引き受けますが、セキュリティとか労基法とかいろいろな面でツッコミどころはあると思うのです。担当者にそのことをメールするつもりなので、もし、この事例でここがデンジャラスだよ、という法律的根拠があれば教えて欲しいです。よろしくお願いします。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2008/05/09 21:48:10
  • 終了:2008/05/10 13:02:04

ベストアンサー

id:tera-p No.2

tera-p回答回数92ベストアンサー獲得回数212008/05/10 00:29:58

ポイント111pt

いやあ,おもしろすぎますね.

まず,修正義務の有無ですが,基本的にはありえないと思います.

法人対個人の時間拘束の契約とのことなので,労働基準法(http://law.e-gov.go.jp/htmldata/S22/S22HO049.html)が適用されるケースになると思います.同法第16条(賠償予定の禁止)によって,(バイト時の契約がどうあれ)作業結果が不満足だから賠償しろとはいえませんし,無料で直せというのは,ただ働きをしろということですから,最低賃金法(http://law.e-gov.go.jp/htmldata/S34/S34HO137.html)第5条(最低賃金の効力)に違反します.

「あなたを労基法に違反させることになっちゃいますけどいいんですか?」とか聞いてみたらどういう反応を示すか興味深いところです.もしくは,労働基準監督署にご相談に行くというのもいいですね.

で,サーバに個人情報があるとすると,いきなりサーバのrootパスワードを秘密保持契約なしで送るのは,個人情報保護法(http://law.e-gov.go.jp/htmldata/H15/H15HO057.html)第20条(安全管理措置)に思いっきり引っかかるでしょう.秘密保持契約を求めるのは同法第21条(従業者の監督)を気にしてのことかもしれませんが,それ以前の問題です.

ボランティアでやってあげるのも良いですが,NDA を結んでしまうとそれはそれでややこしいので,労基法のお話をして,さらにこじれるようだったら労基署にご相談ということでも良いかと思います.

ご参考になれば.

id:heilig_zwei

バッチリです。ありがとうございます。


諸般の事情によりコンプライアンスにはかなり神経質な職場なので、あっさり納得してくれると期待しています。


ほぼ期待した答えが得られましたが、他にもあるかもしれないので一応もうしばらく空けておきます。

2008/05/10 01:45:55

その他の回答(2件)

id:seble No.1

seble回答回数4675ベストアンサー獲得回数6162008/05/09 22:23:08

ポイント35pt

突っ込みどころはあると思いますが、もっと詳細がわからないと、、、

そもそも、バイトとはどんな状況で働いていたのですか?

時間拘束か、そのアプリを完成させる契約だったのか、

時間拘束なら労基法だし、完成させる契約なら委託・請負とか準委任契約(民法)になると思いますので扱いも変わります。

また、委託等ならそのアプリの不具合などについての契約内容も必要です。

学生という点もちょっと引っかかりますし、未成年か否かも多少関連してくると思います。

(未成年に対して秘密保持契約を結んだところで、どこまで有効なのかはなはだ疑問)

通常のバイトという感覚でいけば無償で直す義務はなく、修正にかかった時間分の賃金は請求できそうに思います。

ただ、今後の人間関係なども考えれば、事前によく話し合うしかないと思います。

しかし、公益法人ねぇ、、、

とても責任なんか課せられないような学生に全部おっぴろげちゃって、、、

好きなようにして、って言ってるようなもんじゃん。

まったく、役人のやることは・・・

俺の年金記録とか壊さないでね、、w

id:heilig_zwei

丁寧なご回答ありがとうございます。


>時間拘束か、そのアプリを完成させる契約だったのか

時間拘束です。


>未成年か否かも多少関連してくると思います。

ピチピチの24歳です。


>まったく、役人のやることは・・・

おおむね同意です。内部にいると色々なことが分かります。

時給は安いですが良い経験だったと思います。


条文が欲しいので以降URL必須に変更しました。

2008/05/09 23:22:32
id:tera-p No.2

tera-p回答回数92ベストアンサー獲得回数212008/05/10 00:29:58ここでベストアンサー

ポイント111pt

いやあ,おもしろすぎますね.

まず,修正義務の有無ですが,基本的にはありえないと思います.

法人対個人の時間拘束の契約とのことなので,労働基準法(http://law.e-gov.go.jp/htmldata/S22/S22HO049.html)が適用されるケースになると思います.同法第16条(賠償予定の禁止)によって,(バイト時の契約がどうあれ)作業結果が不満足だから賠償しろとはいえませんし,無料で直せというのは,ただ働きをしろということですから,最低賃金法(http://law.e-gov.go.jp/htmldata/S34/S34HO137.html)第5条(最低賃金の効力)に違反します.

「あなたを労基法に違反させることになっちゃいますけどいいんですか?」とか聞いてみたらどういう反応を示すか興味深いところです.もしくは,労働基準監督署にご相談に行くというのもいいですね.

で,サーバに個人情報があるとすると,いきなりサーバのrootパスワードを秘密保持契約なしで送るのは,個人情報保護法(http://law.e-gov.go.jp/htmldata/H15/H15HO057.html)第20条(安全管理措置)に思いっきり引っかかるでしょう.秘密保持契約を求めるのは同法第21条(従業者の監督)を気にしてのことかもしれませんが,それ以前の問題です.

ボランティアでやってあげるのも良いですが,NDA を結んでしまうとそれはそれでややこしいので,労基法のお話をして,さらにこじれるようだったら労基署にご相談ということでも良いかと思います.

ご参考になれば.

id:heilig_zwei

バッチリです。ありがとうございます。


諸般の事情によりコンプライアンスにはかなり神経質な職場なので、あっさり納得してくれると期待しています。


ほぼ期待した答えが得られましたが、他にもあるかもしれないので一応もうしばらく空けておきます。

2008/05/10 01:45:55
id:ottyanko No.3

おっちゃんこ回答回数116ベストアンサー獲得回数42008/05/10 11:07:28

ポイント42pt

そのプログラムのソースコードを他のプログラマーが改修できるよう、引き継ぎ書類(データ)として残しておけば、後は、後任の人間がやるべきことです。

誰か雇うなり、外注するなりすれば良いだけの話。

ただ、ソースコードをキチンと残してなかったというのであれば、そこだけ対応してあげれば良いのではないでしょうか?

(それだって、管理監督責任は職場側にあるわけで・・・・)

通常、プログラムの開発だって

時間契約(労働契約)

完成物の受託開発(請負契約)

に別れ、

http://sr-office.com/syokuba09.html

請負で作成したプログラムだって、完成後、納品、検収確認といった流れを経て

検収後、一定期間(例えば3か月)を超えた改修は有料になります。

http://www.ina-data.com/jpn/process.html  (例)

今回の話は

労働契約に基づく業務の話ですから

ソースコードだけ渡して、(他のプログラマーが改修できるように)

もし修正するなら、再度雇用という形になりますが・・・・とお伺いを立ててみてはどうでしょうか?

そして、root権限を持つパスをいきなり送りつけること自体が

その担当者の背任行為(機密情報保護違反)である事を

担当者の上司に連絡すべきでは?

たいていの企業や組織の場合

法律違反. 機密保持契約の締結(誓約書の提出)をしてから入社しているはずですから・・・・

http://itpro.nikkeibp.co.jp/article/COLUMN/20060511/237570/

id:heilig_zwei

ありがとうございます。

PHPなんでソースコードもクソもないです。


多分、上司もroot権限の重要さを知らないと思うので

???という顔をされると思います。

2008/05/10 12:59:18
  • id:heilig_zwei
    情報量が少ないとのご指摘なので、ちょっと増やします。
    ちなみに僕が問題だと思っているのは次の4点です。


    1.事前承諾なしでしかも秘密保持契約結ぶ前にパスワードを送る
     僕が秘密保持契約結ばずにパスワードを持ち逃げする可能性だってあるわけです。


    2.rootのパスを渡すことの危険性が分かっていない
     rootを渡すのはWebだけじゃなくて、共有している社内文書すら悪用される可能性があること。僕が意図的に悪用しなくても、僕のパソコンに変なウィルスが入ってて漏れる可能性もあること。Webや社内文書に留まらず、DOSの踏み台とかプロキシとして使われ、外部に甚大な被害を与える可能性だってあること。


    3.不具合は僕の責任だと思っている
     sebleさんのご指摘通りです。委託契約を結んでいるわけではないので、時間外の業務を強制することはできません。なのに結構逆ギレ気味でさっさと修正しろと言ってくる。


    4.FTPの操作ができる職員が一人もいない
     大したファイル容量じゃないので、そもそも僕にソースコードを送って、直してメール添付で送ってもらえば済む話です。
  • id:heilig_zwei
    もう一個ありました。


    5.返送用の封筒すら入っていない。
     みみっちい話ですが。配達記録で出せば学生の昼飯一食分くらいにはなるんですよ。
  • id:AnonymousCoward
    # 以下法律とは関係ないと思うけど…

    6. リモートから root でログインできるようになっている

    それともバイトしていた時の一般ユーザーのアカウントが残ってて、それ経由でログインできるようになっている?
    それでも問題だけど…

    7. Web データと社内文書を同じマシンに置いている

    Web サーバーが社内向けならいいけど。
  • id:heilig_zwei
    いやいや、参考になります。

    >リモートから root でログインできるようになっている

    まだ試していません。多分問題なくイケるでしょう。


    >Web データと社内文書を同じマシンに置いている

    FTPが分からない人にDMZの話をしますか・・・・orz
  • id:harasima
    これ不味すぎるでしょ。 公にすべきでは?



    うちも(某民営化された)通信業だけど、同僚のバイトが”To”で多数にメールして知らない人の
    メアドや私のメアドを広めたりしたことについて、コンプライアンス問題として課長に相談したら
    「プライベートなことなので個人間で解決してください」と。。。。
    それでいて、某法律で必要以上に宛先や中身の記述を見るな、と指導してるんだよなぁ・・・・
    根本的に教育してない、というか、バイトの質も分かりますがな。謝罪も無しだし。
  • id:garyo
    >>リモートから root でログインできるようになっている
    >まだ試していません。多分問題なくイケるでしょう。
    なっなんだってー>ΩΩΩ
  • id:seble
    24才だとお肌の曲がり角なんで、ピチピチには若干の疑問がありますが、
    成人なので各法令はしっかり適用されます。
    もっとも、適用されるべきはその法人の管理者でしょうけど、、、
    http://www5.cao.go.jp/seikatsu/kojin/houseika/dai18/18siryou1.html
    http://www.houko.com/00/01/S22/120.HTM#s4
    100条
    守秘義務に関しては前回にも結んだでしょうし、それは退職後でも一定部分は有効なので、今回のパスワードに関しても適用されるようには思います。
    http://www.asahi-net.or.jp/~zi3h-kwrz/secret.html
    でも、もしパスワードが変更されていたような場合は、前回知り得た情報ではないので、新たな守秘義務契約を結ぶ前の段階でどこまで規制できるのかちょいと疑問です。
    どんな公益法人なのかにもよるとは思いますが、あまりにずさんな情報管理は極めて問題なので、議会レベルで追及した方が良いのではないかと思います。
    市町村レベルなら市議会等、国家レベルなら国会だな、、
    アメリカだったらFBI管轄かと、、、
    イギリスならMI6かな?
    体制側でない議員で、多少なりコンピュータの事が理解できそうな人を探せば、、

    富士通の1円落札といい、年金といい、分かってない人が権限を持っているてのが非常に問題ですね。
    jawatea飲めよって言いたいし、俺の税金返せって感じ。。
  • id:Baku7770
     まず一般論から申し上げますが、2ヶ月も経過してから開発アプリを無償で修正する義務があるかというと、一般にはがあるからということになります。
     業界での一般的な瑕疵担保期間は6ヶ月ですが、その期間に発見された、顧客が提示してきた仕様書に対して出来上がったシステムが異なっていた場合に限り無償で対応すれば良いとされます。
     現実には開発側が仕様書を提出することの方が多く、プロである開発側が気が付かないのはおかしいという論理で押し切られて無償あるいは赤字覚悟の大出血サービスでやらせていただくことになるわけです。
     
     今回は相手が公益法人だとのことですが、監督官庁との関係で業界は言いなりにしかなりませんから、悪い意味で学習してしまったご担当が一部暴走してしまったと見られます。
     
     公益法人を含め官庁などの公的機関は予算主義であり、スケジュールなどから判断して4月からサービス提供開始で平成19年度予算でシステムの開発をしたものの、不備について指摘されたか気が付いたものの制度上支払う術が無くて困っている状態だと判断されます。
     私も同様の状態に追い込まれた方と接したことが多々ありますが、基本的には
    1.貸しを作っておく(向こうのミスでもこちらで全て処理をする)
    2.機能追加で処理(予算処置)をしてもらう
    のいずれかなんですが、今の時期に2はありえず(通常9月以後)貸しであることを匂わせるあるいは証拠品を渡して1で処理することになるでしょう。
     慣れたご担当なら以前のシステムの話しではなく、今後の話しをするからみたいな内容の電話を掛けてきて、次期のシステムやら監督官庁のシステムでの随意契約などを条件に出してくるでしょう。
     学生さんだからその手が使えないと勝手に思い込んだのでしょうね。
     
     反発される気持ちなり、お怒りは解かりますが、強気に出てしまうと個人でしたこととは言え、後々困ることになりますよ。例えば就職した先の会社が指名競争から外されてしまうとか。
     
     私なら、システム追加に見えるような提案をして補正予算を9月以降に組んでもらって処理してしまうとか、就職に有利な推薦をしてもらうとか。話し方や相手にもよりますができるだけ上の方と話しをして納得できる条件を引き出してみてはどうですか。
  • id:heilig_zwei
    >garyoさん
    今試してみたら逝けませんでした。安心しました。
    前任者は結構システムの分かる人だったんですよね。

    >harasimaさん
    ありがちですね。
    温室で育った40~50歳の方々を見ていると涙が出てきます。

    >sebleさん
    ピチピチですが最近肝臓が(ry

    お世話になった現場の方々に迷惑が掛るので追求はしないつもりです。
    上層部は天下りの老害だらけだし、DQN住民&マスコミからは叩かれるし、
    精神的に病んでる人も多いので。

    やる夫の公務員スレは核心を突いてますよ。ああコレうちの職場だわって思いました。
    http://workingnews.blog117.fc2.com/blog-entry-912.html
  • id:heilig_zwei
    >Baku7770さん
    ぜんぜん怒ってないですよ。
    どちらかというと「あーあ、やっちゃったよ」って感じです。

     >瑕疵担保期間
     請負契約じゃないですよ。ただの雇われバイトです。

     >例えば就職した先の会社が指名競争から外されてしまうとか。
     あと2年くらいはニートみたいな感じなので多分大丈夫です。
     ご心配ありがとうございます。
  • id:heilig_zwei
    >Baku7770さん

    >公益法人を含め官庁などの公的機関は予算主義であり、スケジュールなどから判断して4月からサービス提供開始で平成19年度予算でシステムの開発をしたものの、不備について指摘されたか気が付いたものの制度上支払う術が無くて困っている状態だと判断されます。

    これはガチです。

    イレギュラーに対応できないし先行投資(人材とか)できないし
    かといって先行投資しようとすると「不明瞭」だと叩かれる。
    人が腐っていく過程がなんとなく分かる気がします。

    行政に駆け引きを持ちかけるとアイデアは無かったです。
    参考になりました。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません