« 食べログ判決について | トップページ | スシローのおとり広告について »

2022年7月 3日 (日)

「(令和4年6月30日) 株式会社サイネックス及び株式会社スマートバリューから申請があった確約計画の認定等について」について

掲題の確約認定が6月30日に公表されました

この事件については以前もこのブログで書きましたが、私はこの確約認定には大きな問題があると考えています。

違反被疑行為の概要は、

「2社は、平成31年2月頃以降、

自らのホームページをリニューアルする業務(以下「本件業務」という。)の発注を検討している市町村及び特別区(以下「市町村等」という。)に対して

それぞれが行う受注に向けた営業活動において、

当該市町村等が本件業務の仕様において定める、ホームページの管理を行うために導入するコンテンツ管理システム(以下「CMS」という。)(注3)について、

2社によって作成された、

オープンソースソフトウェア(注4)ではないCMSとすることが当該ホームページの情報セキュリティ対策上必須である旨を記載した仕様書等の案を、

自らだけではCMSに係る仕様を設定することが困難な市町村等に配付するなどして、

オープンソースソフトウェアのCMSを取り扱う事業者が本件業務の受注競争に参加することを困難にさせる要件を盛り込むよう働き掛けている。」

ということですが、問題の箇所は、「違反被疑行為による影響等」の

「オープンソースソフトウェアについては、ソースコードが公開されている点で、脆弱性が発見されやすく第三者からの攻撃の標的になりやすいとの指摘がある。

しかしながら、オープンソースソフトウェアではないソフトウェアについても、脆弱性が存在している場合はある。

このため、情報システムにおける情報セキュリティ上の問題への対応においては、使用するソフトウェアがオープンソースソフトウェアであるか否かにかかわらず、適切に管理されたソフトウェアを使用して情報システムを構築すること及び構築後、使用するソフトウェアを最新版にアップデートしておくこと等の脆弱性を解消する運用・保守が欠かせないものである。

したがって、市町村等において導入されるCMSを、情報セキュリティ対策からオープンソースソフトウェアではないCMSとしなければならない理由はないものと考えられる。」

という部分です。

まず、

「オープンソースソフトウェアについては、ソースコードが公開されている点で、脆弱性が発見されやすく第三者からの攻撃の標的になりやすいとの指摘がある。」

ということは公取委自身が認めています。

「指摘がある」というだけで、実際に「第三者からの攻撃の標的になりやすい」とまでは認めていない、とも読む人もいるかも知れませんが、もし、

「オープンソースソフトウェアについては、ソースコードが公開されている点で、脆弱性が発見されやすく第三者からの攻撃の標的になりやすい」

ということ自体を公取委が否定するなら、当然、そのように否定すべきなので、「指摘がある」とだけ言い放って何ら否定しないということは、オープンソースソフトウェアが攻撃の標的になりやすいことは、公取委自身が認めていると読むのが自然です。

つまり、確約を受け入れる以上、公取委も、オープンソースソフトウェアの脆弱性については当然入念に調べたはずですから、それでも、オープンソースソフトウェアの脆弱性を否定することはできなかった、というべきでしょう。

しかし、理屈の上で一番問題なのは、次の、

「しかしながら、オープンソースソフトウェアではないソフトウェアについても、脆弱性が存在している場合はある。」

という点です。

これを理由に独禁法違反とされてしまうのでは、オープンソースソフトウェアではないソフトウェアについては、脆弱性が一切ない完全無欠のソフトウェアでなければならないということになってしまいます。

公取委は、違反でないために違反者が満たすべきハードルをめちゃくちゃ高く設定して「違反だ」と認定することがよくありますが、これはその最たるものです。

そうではなくて、違反となるかどうかの境目は、オープンソースソフトウェアとそうでないソフトウェアで、脆弱性に有意な差があるかどうか、でしょう。

もし脆弱性に有意な差があるなら、オープンでないソフトウェアを提供する事業者が、オープンでないソフトウェアを仕様に盛り込む(必須とする)よう働きかけたとしても、競争上何も問題はないはずです。

その次の、

「このため、情報システムにおける情報セキュリティ上の問題への対応においては、

使用するソフトウェアがオープンソースソフトウェアであるか否かにかかわらず、

適切に管理されたソフトウェアを使用して情報システムを構築すること

及び構築後、使用するソフトウェアを最新版にアップデートしておくこと等

の脆弱性を解消する運用・保守が欠かせないものである。」

というのも、脆弱性の程度の差を一切無視して、とにかくオープンでもクローズでも脆弱性は(程度の差はともかく)あるのだから、「脆弱性を解消する運用・保守が欠かせない」と言っているだけであり、ここからクローズを仕様に盛り込むことを取引妨害とするのはあまりに乱暴です。

公取委の理屈だと、たとえば、オープンなら1年に1回くらい攻撃を受けそうな脆弱性があり、クローズなら10年に1回くらい攻撃を受けそうな脆弱性がある場合であっても、どちらも脆弱性があることには変わりは無く、「脆弱性を解消する運用・保守が欠かせない」のだから、自治体がクローズであることを入札仕様に盛り込んではいけない、ということになってしまいます。

こんなばかなことがあるでしょうか?

毎年サイバー攻撃を受けるのは嫌だなあと思って、クローズを仕様書に盛り込む自治体がいても、何らおかしくないと思いますし、それを否定するのは競争の否定でしょう。

次の、

「したがって、市町村等において導入されるCMSを、情報セキュリティ対策からオープンソースソフトウェアではないCMSとしなければならない理由はないものと考えられる。」

というのも大きな問題です。

というのは、本件で独禁法違反になるかどうか(競争がゆがめられたかどうか)の境目は、

「情報セキュリティ対策からオープンソースソフトウェアではないCMSとしなければならない

かどうかではなく、

情報セキュリティ対策からオープンソースソフトウェアではないCMSとしたほうがいい

かどうかだからだと考えられるからです。

違反被疑事実の概要では、

「自らだけではCMSに係る仕様を設定することが困難な市町村等に配付するなど」

したことが問題であるかのように書かれていますが、これも的外れです。

というのは、自治体が自らCMSの仕様書を書くことができない(ふつう、できないでしょう)としても、オープンソースを使う事業者が自治体に売り込みをかけて、仕様書案を書いてあげて、入札に参加できるようにすることは、なんら妨げられないからです。

ここでも、

「自らだけではCMSに係る仕様を設定することが困難な市町村」

に対しては自社の仕様を売り込むこと自体禁止するような、違反者にめちゃくちゃ高いハードルを課す公取の態度がでています。

もし問題になるとすれば、違反者が積極的に自治体をだましたか(パラマウントベッド事件のように)、自治体がオープンソフトの事業者から営業を受けても理解できないほど無能であったか、という場合でしょう。

でも、本件では積極的にだましたとは公表文からはうかがわれず、自治体がオープンの事業者から営業を受けても理解できないほど無能だったことも、公表文からはうかがわれません。

要は、高いセキュリティ(10年に1回のサイバー攻撃)だけれど高いほうを選ぶか、低いセキュリティ(1年に1回のサイバー攻撃)だけれど安い方を選ぶかは、需要者である自治体が決めればいい話で、そのためには、オープン陣営もクローズ陣営も自由に自治体に営業をかけられるようにすべきであって、一方的にクローズ陣営だけが自己の長所をアピールできないというのは、不公平だと思います。

さらに自治体の入札で問題なのは、いったん仕様が決まるとあとは価格だけで決まってしまい、品質による競争がはたらかないことです。

このように、この事件は、競争の本質(十分に情報を得た需要者による自主的な判断に基づく競争)を度外視して、とにかく自治体によるシステム管理費を下げさせるという政策目的のために独禁法が流用されたものであるといえます。

また、この事件は立入検査から7ヶ月ほどというきわめて短期間で確約が成立しています。

6月30日の日経新聞によれば、

「スマートバリューの担当者は「当初から法律に違反しているとの認識はなかったものの、今回このような指摘を受けて改善計画を提出した。今後も独禁法の概念に基づいて誠実に事業運営を行っていく」とコメントした。」

とのことですので、スマートバリューは、公取委から「指摘」を受ければそれは独禁法違反なのだ、という認識を持っていたことがうかがわれうます。

そうでなければ、これほど争いどころ満載の事件で、わずか7ヶ月で確約にはならないでしょう。

実際、日本の企業の大半は、公取から指摘を受けたら違反なのだ、と思うでしょう。

でも、こういう、無知な事業者につけ込むやり方というのは、競争法当局としてどうかと思います。

この事件は立入検査があったときからどういう結末になるのか注目していましたが、確約認定の内容自体から、公取委の理屈が独禁法の解釈を誤ったものであることが見て取れる、珍しい事案だったといえると思います(ふつうは、公表文からは、あらが見えないようにするものですが)。

« 食べログ判決について | トップページ | スシローのおとり広告について »

コメント

コメントを書く

(ウェブ上には掲載しません)

« 食べログ判決について | トップページ | スシローのおとり広告について »

フォト
無料ブログはココログ