ニュース 2021.02.14 大手企業のシステム開発、委託先へ納品済みソースコードは誰のもの？

SMBCのソースコード流出被害が1月29日に報道されて以降、2月2日までの間に判明した被害企業は、NEC、中堅IT（情報技術）企業のコア、NTTデータ子会社のNTTデータジェトロニクス、サイオス子会社のProfit Cubeの5社。

いずれも、顧客情報の流出などはなく、セキュリティにも影響はないとしている。

SMBCのケースでは、委託先企業に勤務するSE（システムエンジニア）が、SMBCなどから委託されて開発したコードを自身の所有物としてソースコード共有サービス上に公開したことが原因だった。

NECでも、NECグループ社員がソースコード流出に関与していないことは確認できているとし、委託先企業からの流出経路について調査を進めているという。

情報処理推進機構（IPA）は、1月28日、「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」から、企業や組織へのアンケート調査結果を公開した。

調査対象はIT業務の委託元と委託先で、2020年11月18日～12月11日に実施。（有効回答数：505社、うち業務委託先が287社、委託元が218社）。

同調査によると、IT業務を委託する際、委託元の約5割が、委託先のセキュリティ対策、問題発生時対応力、報告体制などに課題を感じていることが明らかになったという。

今回のソースコード流出事件で明らかになったように、問題なのは、同じソースコードを扱う企業同士でありながら、委託元と委託先で、知的財産管理に対する問題意識レベルが合っていないということだろう。

総務省の調査によれば、日本企業のテレワーク導入率は約19％と世界の先進国と比べて低いことが分かっている。

IPAの今回の調査でも、テレワークの実施状況は、業務委託先の9割強が実施経験あり、委託元の約5割が未実施という結果だった。

委託元、委託先、双方が同等の問題意識を持ち、知財管理を遂行していく対策を取らなければ、テレワークという働き方も一過性のものとして終わってしまうのかもしれない。

【関連リンク】

・三井住友銀行などのソースコードが流出　“年収診断”したさにGitHubに公開か（ITmedia）
https://www.itmedia.co.jp/news/articles/2101/29/news107.html

・「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」（IPA）
https://www.ipa.go.jp/security/fy2020/reports/scrm/index-soshiki.html

TEXT：セキュリティ通信 編集部
PHOTO：iStock