個人事業主のための損害賠償基礎知識

IT訴訟の損害賠償「システムのセキュリティ対策」について

セキュリティ対策は開発会社の責任

セキュリティ対策は開発会社の責任 個人情報の漏洩が近年、問題となっていますが、東京地判26.1.23は、セキュリティ対策を開発会社の責任として認めた判例です。

事案

原告はインテリア商材の通信販売を営んでおり、被告に開発を委託したシステムによって、ECサイトを運営していました。当初のシステムでは、カード決済を外部委託していましたが、原告の要望により、カード情報を一度DBに保存する仕様に変更しました。なお原告の問い合わせに対し、被告はカード情報を保持しない方式への変更が可能であり、その方が安全である旨を伝えましたが、結局改良の指示はありませんでした。結果としてこのシステムには、システム管理機能のIDとパスワードの問題や、カード情報がログに保存されていたり、DBに保存されたカード情報にセキュリティコードも含まれていたり、あるいはSQLインジェクション、クロスサイトスクリプティングにも、脆弱性や問題点があったことが分かっています。そして外部からの不正アクセスにより、最大7316件のクレジットカード情報が漏洩したため、謝罪・対応・調査等の費用や、売上減少による損害等につき、委託契約の債務不履行に基づく1億円余りの損害賠償を被告に請求しました。
原告からセキュリティ対策について特に指示はなく、またあらかじめ損害の賠償は、個別契約に定める契約金額の範囲内とする責任制限がありましたが、原告が勝訴し、ただし実損害額を基礎に約2262万円の損害賠償金を支払うよう、被告は命じられました。

判旨

まずクレジットカード情報漏洩の原因は、システムの脆弱性やアクセスログ、また不正利用の状況からSQLインジェクション攻撃によるものと断定されました。その上でセキュリティ対策について原告から指示がなくても、被告は必要なセキュリティ対策を講じる義務があり、それを怠った債務不履行があると認められました。
また契約書に明記はないとはいえ、損害賠償責任制限自体は認められましたが、仕様書に記載がなくとも、SQLインジェクション対策を怠ったことは重過失であり、従って本件事案は損害賠償の責任制限の範囲外には当たらないと判断されました。なお被告の提案を原告が採用しなかった点につき、原告の過失を認め、過失相殺3割が認定されています。

考え方

判例では、経済産業省やIPAが文書において、SQLインジェクション攻撃によるDBからの顧客の個人情報漏洩に広く注意を喚起しており、従ってその対策としてバインド機構の使用又はエスケープ処理を施したプログラムを提供すべき債務を、被告がシステム契約発注時に負っていたと判断しています。これは医療過誤訴訟などにも見られるものですが、契約になくとも、たとえ明示的に求められていなくとも、契約締結当時のその業界において一般的な知識水準を満たす行為は、当然の責務として課すものであり、プロの自覚が求められるのです。

要チェック!おすすめ記事一覧

納期を遵守しよう

納期を遵守しよう

個人事業主にとって、納期厳守は信頼関係維持と損害賠償リスク回避のために不可欠です。納期遅延は相手方に迷惑をかけ、ビジネスにも悪影響を及ぼす可能性があります。そのため、余裕のある納期設定が重要です。これにより突発的なトラブルにも対応でき、質の高い仕事につながります。また契約書の作成も重要で、納期や報酬額だけでなく、予期せぬ事態への対応も明記すべきです。専門家の意見を聞くことで、より詳細な契約内容を盛り込むことができます。これらの対策により、個人事業主は長期的に安定した活動が可能となります。more

訴訟を起こされた時の対処法

訴訟を起こされた時の対処法

損害賠償で訴えられた場合にも、慌てて対処を間違えると、何ら落ち度がないのに高額の賠償を支払わなければならなくなる危険があり、注意が必要です。まず訴状が届いたら、原告の請求を認めない旨を記載した答弁書を提出します。こうしておけば、第一回目の期日に欠席しても、不利にはなりません。そして原告の主張と立証を基に、戦略を立てます。仮にその事件と関連して逆に請求できるものがあれば、反訴を提起することも可能です。more

IT業務賠償責任保険も活用しよう

IT業務賠償責任保険も活用しよう

今や個人情報の漏洩など、IT分野に携わる者にとって、様々なトラブルに巻き込まれる危険は高まっています。自らの過失によって莫大な損害を引き起こした場合の備えとして、IT業務損害賠償責任保険に加入しておきましょう。商品は損害保険会社が提供していても、代理店は企業コンサルティング会社という場合が多いようです。被保険者や補償の範囲は、契約する保険によって異なります。また個人情報漏洩に備えた賠償責任保険は、オプション加入の他、単体での加入もあります。more

ページトップナビ