今回は、「Webサイトの改ざん（ハッキング）被害は制作会社の責任になるのか？」という点を取り上げます。

被害調査・復旧の仕事をしているとよく聞かれるのが、「ハッキングされたのは制作会社のせいだから制作会社にタダでやらせたい」、「制作会社に損害賠償請求したい」という文脈。

WebRepairでは、お客様に以下の方な説明をしています（WordPressやMTなどのCMSの場合）。

Webサイトの改ざん（ハッキング）被害は制作会社の責任になるのか？

まず、一般的に納品時点から被害を受けている状態で納品されたとみられるケースはゼロではないものの多くはありません。

納品時点から例えばバックドアが混入していたらそれは制作会社の責任と言えますが、納品時点でクリーンであれば制作会社の責任とは言い切れないわけです。

このあたりはログ調査で改ざんの経緯を追えば分かります。

次に、制作会社がコアやプラグインのアップデートがあることを説明しているかどうかです。

改ざん被害のほぼすべてはアップデートが放置された結果起きています。

アップデート等のために保守契約を結んでいるケースは少なくとも対中小企業であればそれほど多くないでしょう。

制作のみで保守は無用、というケースはかなり多いです。

この場合、アップデートについて説明されていれば、改ざん被害は単に運営者が適切な管理を怠ったためであり、制作会社の責任ではありません。

また顧客が非常に甘いパスワードを設定した結果、それが破られて不正なプラグインやテーマをアップロードされるといったケースもあります。

これも、制作会社の責任ではありません。

Webサイトを運営する、かつ保守契約を行わない以上、運営者は自ら適切な管理を行う責任があります。

つまり、運営者たる顧客の責任であり、制作会社が慣れない復旧作業をタダ同然で押し付けられるいわれはないわけです。

Web制作会社の自衛策

CMSを使う場合、その特性についてまず説明しておく必要があります。

つまり、オープンソースであり、プラグイン等はサードパーティーによって提供されているものが多いこと、使用した結果については自己責任であること、その代わり、それらを利用することで安価に目的を達成できることなどです。

そして、アップデートを怠るとセキュリティリスクを伴うこと、PHPもバージョンアップしますし、プラグインやモジュールが常に進化を続ける以上アップデートの結果エラーが発生するなどのリスクは当然発生すること、それに対して保守契約が存在するということを伝えましょう。

そして、保守契約を行わない場合それはすべて運営者自身の責任となる、ということを理解してもらう必要があります。否、理解されなくても伝えておく、その伝えたというエビデンスを残しておきましょう。