■
http://d.hatena.ne.jp/sonodam/20050729#p3
このあたりは結構難しい問題だと思う。
発注側は素人が多いのでプロである受注側が適切なアドバイスをしなければならないはずなのにIT業界ってそういうことしてる人が少ない気がする(少なくとも私の知る限り)。発注側は当然のことながらプロに依頼しているのだから暗黙のうちにセキュリティ対策をしてくれていると思っているのが普通じゃないかな?で、要件の中には明確に入れない。でも、受注側は要件に書いてないからセキュリティ対策を一つの要件として考えない。こういったお互いの意識の齟齬から最近の不正アクセスに関する事件が起こっているのでは?と考えてしまう。
プロだったら素人が想定していないリスクについても考慮し、対策をとらなきゃならないんじゃないかなぁ。
他の業種ではそういったことしっかり考えてると思うんですけど。例えば、建築業界であれば、顧客が言わなくても消防法に準拠したり、最低限の安全面について考慮してくれるよね(多分なんだけど。最近はデザイン重視が多いのでそうも言えないようだけど)。
こう考えるとIT業界の慣習ってなんだか妙な気がするのは気のせい?やっぱり、ソフトウェアについてもPL法の適用範囲にするとか、セキュリティ上問題のあるものについては製造者にも罰則を与えるような法律作るとかしないとだめなのかなぁ?
