IT訴訟の損害賠償「システムのセキュリティ対策」について

事案

原告はインテリア商材の通信販売を営んでおり、被告に開発を委託したシステムによって、ECサイトを運営していました。当初のシステムでは、カード決済を外部委託していましたが、原告の要望により、カード情報を一度DBに保存する仕様に変更しました。なお原告の問い合わせに対し、被告はカード情報を保持しない方式への変更が可能であり、その方が安全である旨を伝えましたが、結局改良の指示はありませんでした。結果としてこのシステムには、システム管理機能のIDとパスワードの問題や、カード情報がログに保存されていたり、DBに保存されたカード情報にセキュリティコードも含まれていたり、あるいはSQLインジェクション、クロスサイトスクリプティングにも、脆弱性や問題点があったことが分かっています。そして外部からの不正アクセスにより、最大7316件のクレジットカード情報が漏洩したため、謝罪・対応・調査等の費用や、売上減少による損害等につき、委託契約の債務不履行に基づく1億円余りの損害賠償を被告に請求しました。
原告からセキュリティ対策について特に指示はなく、またあらかじめ損害の賠償は、個別契約に定める契約金額の範囲内とする責任制限がありましたが、原告が勝訴し、ただし実損害額を基礎に約2262万円の損害賠償金を支払うよう、被告は命じられました。

判旨

まずクレジットカード情報漏洩の原因は、システムの脆弱性やアクセスログ、また不正利用の状況からSQLインジェクション攻撃によるものと断定されました。その上でセキュリティ対策について原告から指示がなくても、被告は必要なセキュリティ対策を講じる義務があり、それを怠った債務不履行があると認められました。
また契約書に明記はないとはいえ、損害賠償責任制限自体は認められましたが、仕様書に記載がなくとも、SQLインジェクション対策を怠ったことは重過失であり、従って本件事案は損害賠償の責任制限の範囲外には当たらないと判断されました。なお被告の提案を原告が採用しなかった点につき、原告の過失を認め、過失相殺3割が認定されています。

考え方

判例では、経済産業省やIPAが文書において、SQLインジェクション攻撃によるDBからの顧客の個人情報漏洩に広く注意を喚起しており、従ってその対策としてバインド機構の使用又はエスケープ処理を施したプログラムを提供すべき債務を、被告がシステム契約発注時に負っていたと判断しています。これは医療過誤訴訟などにも見られるものですが、契約になくとも、たとえ明示的に求められていなくとも、契約締結当時のその業界において一般的な知識水準を満たす行為は、当然の責務として課すものであり、プロの自覚が求められるのです。