2014年1月23日、システム開発業者には少々厳しいとも思える判決が出ました。これは、あるシステム開発会社が、通信販売を運営する会社からクレジットカードの情報が漏えいしたことで損害賠償請求の訴えを起こされた時の事例です。
皆さん、こんにちは。
業務コンサルタントの高橋です。
冒頭に書きました訴訟事件は実際に起きたもので、概要としては以下のようになります。
損害賠償請求訴訟事件の概要
A社が運営するECサイト(インターネット通販)に対し、外部からの不正アクセスによって数千件のクレジットカード情報が漏えいした。これを受けてECサイトを運営するA社は、顧客への謝罪・対応、情報漏えいの調査費用、売上減少の損害などに関し、ECサイトを製作したB社に対して債務不履行であるとして損害賠償請求訴訟を起こした(損害賠償請求額は約1億円)。
裁判の結果は、原告であるA社の勝訴となった(損害賠償金が認められたのは約2,000万円強)。
裁判所の判断
クレジットカード情報が漏えいした理由として、ウェブアプリケーションがSQLインジェクションに対して脆弱であったことが認められ、現に、ログ調査の結果としてSQLインジェクション攻撃にて外部との通信が成功したことを示すコードも残されていた。
また、当時の技術水準に基づく個人情報漏えいを防ぐために必要なセキュリティ対策を施したプログラムを提供すべき債務の不履行は認定され、クレジットカード情報の削除設定や暗号化保存すべき債務、システム開発会社が運営会社に対する説明債務の不履行は認定しなかった。
債務不履行が認められた理由
当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供することが黙示的に合意されていたと認められ、個人情報の漏えいを防ぐために必要なセキュリティ対策を施したプログラムを提供すべき債務を負っていたと解するべきとされた。
また、経済産業省は、平成18年の時点において、SQLインジェクション対策の措置を重点的に実施することを求める旨の注意喚起をしており、エスケープ処理を施した、またはバインド機構を使用したプログラムを提供する債務を負っていたということができるが、いずれも行われていなかった部分が存在した。
訴訟判決から言えること
内容的には随分簡略化して書かせていただきましたが、この判決から言えることとして、契約事項の有無に関わらず、システム開発におけるセキュリティ対策の重要性を忘れてはならないということ。これはシステム開発業者に限った話しではなく、依頼する側も同様にセキュリティに対する認識を持つ必要性がある。
ちなみに、SQLインジェクション攻撃への対策を取ることに、多大な労力や費用がかかることをうかがわせる証拠はなく、流出という結果を回避することは容易であったことが判決内容中にあります。
