平成27年3月30日に第5回情報セキュリティ部会(座長:丸山宏 統計数理研究所副所長)が開催された。出席者は12名。
今回の部会では、株式会社日本総合研究所の大谷和子法務部長を招いて「システム開発における裁判事例」について説明を戴き、それを基にベンダが講じるべき対応や課題について意見交換を行った。
今回とりあげた事例は、オンラインショップのウェブサイトが外部からSQLインジェクションの脆弱性を突いた不正アクセスを受け、クレジットカードの情報が漏えいした事件で、ショップ運営会社が構築を請け負ったベンダに対して損害賠償を求め、開発ベンダが敗訴したものである。
裁判の争点のひとつは債務不履行責任で、SQLインジェクション対策を講じることが契約書には明記されていなかったが、裁判では当時の技術水準に鑑みSQLインジェクションへの対策を講じない場合個人情報が漏えいすることは容易に予測できるとして対策が黙示的に合意されていたと判断された。
また、契約には受注額を上限とする賠償限度額に関する条項があったが、専門事業者として注意義務を怠ったことが重過失と判断されたことで適用されず、全ての損害を賠償することとなった。開発ベンダとして当然講じるべきと判断された根拠として、今回の脆弱性対策が経産省やIPA等の公的機関からガイドラインとして注意喚起されており、専門事業者であるベンダは対策を講じることが当然であると判断されたことによる。
今回の判例は専門事業者として契約に明記されていなくとも基本的なセキュリティ対策は当然の注意義務と判断される可能性があること、重大な過失と認定されれば賠償限度額の取り決めが適用されないなど注意すべき点を示唆している。
(佐藤)