№1451 システムの設計,製作,保守とセキュリティ
IT関連の事案が増えているように思う。
A社はB社にウェブサイトにおける商品受注システムを発注し,B社はこれを納品した。この時,B社は顧客情報の暗号化などセキュリティ対策を講じていなかったため,SQLインジェクション攻撃にあい,顧客のクレジット情報が流出することになった。
この事件では裁判所はSQLインジェクション対策として,バインド機構の使用またはエスケープ処理を施したプログラムを提供すべき債務を履行しなかった点債務不履行を認めた(東京地裁H26.1.23、判時2221号71頁)。
当事者間の契約では,どうもセキュリティシステムについて明確な合意がなかったようだが,裁判所は「当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供することが黙示的に合意されていたと認められる。」とした。
この場合,「当時の技術水準」を判断する上で,経産省が平成18年2月20日,「個人情報保護法に基づく個人データの安全管理措置の徹底に係る注意喚起」を示し,独立行政法人情報処理推進機構が紹介するSQLインジェクション対策の措置を一つの目安としている。
この事件は争点はいくつかあるが,その一つとして損害は何かが問題になった。顧客情報流出した場合,企業は大きく信用が害される。この場合,どんな損害が考えられるだろうか。この問題は法律論としてはあまり面白くないかも知れないが,実務的には非常に重要だ。
訴訟では次の被害が認定された。
① 顧客への謝罪関係費用
② QUOカード及び包装代
③ お詫びの郵送代
④ お詫びの資材費及び作業費
⑤ 告知郵送代,封筒代,メール配信費
⑥ 顧客からの問い合わせ対応費
⑦ 調査費用
⑧ ラックデータセンター使用料
⑨ 事故対策会議出席費
⑪ 売上損失
一定期間クレジット決済機能が利用できなくなったことについての売上の減少費用
