製作途中のWEBコンテンツを公開サーバーにアップロード

社内で新たにWEBサイトを構築する案件を、別の会社に発注しました。
経過報告などは基本的にメールでやり取りして、必要に応じて電話、面談する形でプロジェクトを進めてきました。

納期も近づいてきましたが、ここまでは大きなトラブルはありませんでした。
しかし、先日受けた経過報告のメールに、発注先が運営するWEBサイトの下位ディレクトリのURLが記載されており、そこに製作途中のHTMLファイルなどのコンテンツがアップロードされて、アクセスして経過を確認して欲しいとの連絡を受けました。
私は、メールを受信してすぐに担当者に連絡して、データの削除を求め、すぐにデータは削除されました。

発注先に電話した担当者の話では、「2～3日で削除するつもりだったし、2～3日では検索エンジンに拾われることもないので、データが漏れる心配はない」という回答を得たとのことでした。

どこからかリンクされていなければ、検索エンジンにインデックスされることがないのは承知しています。
メールが盗聴される可能性もあるということも理解しています。
しかし、途中経過の確認の方法について、インターネットからアクセス可能なWEBサーバにデータを置くという方法を、事前の相談の上合意したわけでもありません。
さらに、パスワードで保護するなどの措置もなく、データが置かれたサーバは、発注先が自社で運営しているサーバではなく、レンタルサーバ業者が運営しているものでした。
インターネットに公開されたWEBサーバに公開すべきでないデータを置くということは、セキュリティの観点から通常あり得ないことではないでしょうか？

この件について、発注先の回答に呆れて、後日改めて抗議しようかと思うのですが、社内のプロジェクト関係者はこのことを重く受け止めていないようですので、私の見解が間違っているのかと思い、質問させていただきました。

よろしくお願いいたします。

No.6 ベストアンサー 回答者： lbn0915 回答日時： 2009/09/05 11:59

ご質問者様のお気持ちも良く分かりますし、納品前の成果物をＷｅｂサーバにアップロードされるのも、私がご質問者様の立場なら気分が良くありません。

ただ、委託先にもやり方というか、業界の慣習、社内文化という物があり、発注前の委託契約などでそれを明確に指示していなかった責任はご質問者様側が負うべきことであると思います。私も色々な開発案件で、自社と委託先のやり方の違いで何度も失敗してきていますので、他人事とは思えません（笑）
今回のことは、抗議しても余り役に立つとは思えません。向こうからは逆ギレされて「書類にそうなってないから知るか！」と言われるだけです。
ですので、今後は発注時の契約書や発注依頼書などに成果物の取り扱いやデータ共有の仕方について明記することをお勧めいたします。
（釈迦に説法かもしれませんが、他にも用語の定義や仕様変更のやり方、最終成果物、マニュアル（どのレベルまでかみ砕いた説明になっているか、システムの構築方法も明記されているか）についてもきっちり取り決めをした方が良いです）

一つ勉強になったと思い、今後のお仕事に今回の教訓を活かされては如何でしょうか。

No.7 回答者： tom233 回答日時： 2009/09/06 12:13

>プロジェクトの開始前に経過の報告はメールで行うということで両社の間で合意を得ているにも関わらず

だったら制作会社側に問題がある。

No.5 回答者： furoshiki 回答日時： 2009/09/05 10:47

　

補足なども読みましたが、契約書などに
＞途中経過の確認の方法について、インターネットからアクセス可能なWEBサーバにデータを置くという方法を、事前の相談の上合意したわけでもありません。
明確に確認方法を規定していないので社内の関係者と合意して、このような方法をとったのではないでしょうか？。
（メール）議事録や打合せ記録や社内担当者レベルで確認してください。
社内の問題かもしれません。
　　　
社内の担当者は確認事項を、くつがえされてしらけきった可能性があります。
　　

No.4 回答者： JavaJavax2 回答日時： 2009/09/05 07:50

＞やはりいずれは公開するための情報であれば、問題ないのでしょうか？

私に問われてもとまどいますが、期日が来るまでは絶対に一般に公開したくない場合もあるわけですし、公開するための情報でも今は絶対駄目なんて事もありその場合は問題になると思いますから一概にはいえないと思います。

筋を言えば、そこら辺は依頼された側が決めるわけではなくて、発注元の裁量で決めるべき事なのではないでしょうか。（問題かどうかを判断するのは発注元で案件によるのではないかと）ただ今回の場合、通常の方法でアクセスする方法がほとんどないので、確かに微妙な所なのですけど。

・・とはいってもそれを誰に決める権限があるのかわかりませんけど、そういう事を決める立場にない場合で、プロジェクトや会社のポリシーのようなものが明確には決まっていなかったら、一人で騒ぎたてるのも一人相撲みたいになってしまうかもしれませんね。でも質問者様の気持ちはわかります。

・・私が思う事を気ままにかいてみましたが、私の意見などあまり参考にはなりませんね。あくまでご参考程度に。

No.3 回答者： kichiwave 回答日時： 2009/09/04 23:15

Webに公開された時点で誰かに見られる可能性はありますし

サイトを公開する会社名(seventhangさんの会社)もはいってると思います
公開された時点で、そこに載っている情報は公開している会社の責任と考える必要があると思います
そこで変なことが書いてあれば、WEBサイト作成会社じゃなくて
サイトを公開している会社の名前が入ってる所の責任になるわけだと思いますので。
そこに書いてある情報がたいした情報じゃなかったとしても
そんなに難しいことではないので、パスワード認証ぐらいはかけるべきかなと思いますね

個人的には、seventhangさんが怒るのは間違っていないと思いますよ
サイト作成会社の方は、最低限確認はとるべきだったと思います。

この回答へのお礼

ご回答ありがとうございます。
疑問に感じているのは、まさにご指摘どおりの理由です。
私の感じている疑問は、見当違いではないということで、安心しました。

お礼日時：2009/09/05 04:30

No.2 回答者： tom233 回答日時： 2009/09/04 22:59

質問者が言ってるやり方って別に普通にやることですけど

何が問題?

>データが漏れる心配はない
完成したら公開する情報ですよね?
公開しない機密データでもアップされていたのですか?
それどころか
>発注先が運営するWEBサイト
質問者の会社はまだサーバすら用意してないのですか?


>インターネットからアクセス可能なWEBサーバにデータを置くという方法を、事前の相談の上合意したわけでもありません。
でしたら質問者と発注先の会社にVPNを構築してください。
その場合、質問者の会社持ちで機器を用意しましょう。
ソフトウェア的に使えるVPNよりハードウェアで対応していてる製品を選んだ方が良いでしょう。


>セキュリティの観点から通常あり得ないことではないでしょうか
社外秘の機密データでもアップされていたのですか?

この回答への補足

ご回答ありがとうございます。

ごく普通に行われる方法であることも分かっていますが、問題だと感じているのは、プロジェクトの開始前に経過の報告はメールで行うということで両社の間で合意を得ているにも関わらず、公開されたWEBサーバ上にデータが置かれたということです。
こちら側はかなり大規模なサーバを運営しています。
そのことは発注先も知っています。
もとより、サーバサイドプログラムもSSIも利用しないコンテンツをわざわざサーバに置いて動作確認する必要はないはずです。
動作確認が必要であれば、イントラネットで行えばいいので、無駄な予算を使ってVPNを構築する必要もありません。
サーバ上に置かれたデータが、いずれは公開されるものばかりであれば問題ないということでしょうか？

補足日時：2009/09/05 03:59

No.1 回答者： JavaJavax2 回答日時： 2009/09/04 21:42

難しいですね。

もともと公開するための情報なんだからそれほど気に留める事もないのかもしれませんが、今回は公開前のデータなので公開したくない気持ちも分かるし、公開されないデータ（例えば掲示板で言えば掲示板のログやそこに書かれたメールアドレスのようなデータ等）もレンタルサーバーにアップロードされていたのなら少し気になりますね。

起きちゃった事は仕方ないかもしれませんが、お客の立場として不快感を示して抗議するのはありだと思います。その抗議が何かになるという性質のものでもないかもしれませんが・・。

もっとも私・・そういう業務的な常識はまったくわからないのですけど・・。

この回答への補足

ご回答ありがとうございます。
それなりに大きいプロジェクトということもあり、「公開したくない」というよりは、「公開すべきでない」と感じていますが、やはりいずれは公開するための情報であれば、問題ないのでしょうか？
仰るとおり、不快感を示して抗議をしても、何かになるということではありませんので、どうしたものかと思い、質問した次第です…。

補足日時：2009/09/05 04:16