SEが契約を勉強してみたブログ

クラウド勉強会で知り合ったSE3人が法律、契約の話題で盛り上がり、勉強がてらブログはじめてみた。

契約書で定める「賠償責任制限」範囲外となる「重過失」とは。〜ミサワ(unico)クレジットカード情報漏えい事件判決より〜

こんにちは。さとうです。

 

東京地判平成26年1月23日判時2221号71頁(SOFTIC 判例ゼミ 2014-5 2014.11.13)に掲載された判決が、SI経営者やSEたちに衝撃を与えています。

 

自分も、正直びっくりしました。

 

ある判決とは、ミサワ(unico)のクレジットカード情報を含む、個人情報漏洩事件の責任を巡ってのものです。

 

 

この件が広く知られることになったきっかけは、北大・北村教授のブログ「privacy:個人情報漏洩で脆弱なシステムの責任をソフトメーカーに問う事例(追記あり)」と、それを追っかけた徳丸浩センセイのブログ「SQLインジェクション対策もれの責任を開発会社に問う判決」。

 

この判決が衝撃を与えたのは、契約書に書かれた損害賠償の上限が、無効になる場合もある。という点。今回、ミサワと開発会社の契約書にも、以下の文言が入っていたんです;

第29条〔損害賠償〕 乙が委託業務に関連して,乙又は乙の技術者の故意又は過失により,甲若しくは 甲の顧客又はその他の第三者に損害を及ぼした時は,乙はその損害について,甲若しくは甲 の顧客又はその他の第三者に対し賠償の責を負うものとする。(1項) 前項の場合,乙は個別契約に定める契約金額の範囲内において損害賠償を支払う ものとする。(2項)

これ、SEならよく目にする条文ではないでしょうか。SIerが、自分たちの受託対価以上の賠償責任を負わないようにする条文。これまで、発注者と受注者のあいだで「落とし所」としてよく使われてきたフレーズですよね。

 

徳丸センセイのブログに詳しいんですが、今回;

  1. 損害賠償責任制限自体については認める
  2. 契約書に明記はないが、故意あるいは重過失に起因する損害については責任制限の範囲外とする
  3. 仕様書に記載はないがSQLインジェクション対策を怠ったことは重過失である
  4. よって今回の事案は損害賠償責任制限には該当しない

という判断が下されているんです。

 

今回は、SQLインジェクションが問題になっていますが。これはつまり、SQLインジェクション以外にも、発注側が「重過失」性を証明できれば、契約書に明記された上限以上の責任を、開発会社に負わせることが可能だと、裁判所が認めたのです。

 

ちなみに、今回SQLインジェクションへの対策を行わなかったのが「重過失」だと認められた理由は、IPAの注意喚起が大きな影響を及ぼしているようです。以下、判例の抜粋;

 

(ア) 前提事実のとおり,被告は,平成21年2月4日に本件システム発注契約 を締結して本件システムの発注を受けたのであるから,その当時の技術水準に沿ったセキュ リティ対策を施したプログラ厶を提供することが黙示的に合意されていたと認められる。そ して,本件システムでは,金種指定詳細化以前にも,顧客の個人情報を本件データベースに 保存する設定となっていたことからすれば,被告は,当該個人情報の漏洩を防ぐために必要 なセキュリティ対策を施したプログラムを提供すべき債務を負っていたと解すべきである。 そこで検討するに,証拠(甲14,25,29)によれば,経済産業省は,平 成18年2月20日,「個人情報保護法に基づく個人データの安全管理措置の徹底に係る注 意喚起」と題する文書において,SQLインジェクション攻撃によってデータベース内の大 量の個人データが流出する事案が相次いで発生していることから,独立行政法人情報処理推 進機構(以下「IPA」という。)が紹介するSQLインジェクション対策の措置を重点的 に実施することを求める旨の注意喚起をしていたこと,IPAは,平成19年4月,「大企 業・中堅企業の情報システムのセキュリティ対策~脅威と対策」と題する文書において,ウ ェブアプリケーションに対する代表的な攻撃手法としてSQLインジェクション攻撃を挙げ, SQL文の組み立てにバインド機構を使用し,又はSQL文を構成する全ての変数に対しエ スケープ処理を行うこと等により,SQLインジェクション対策をすることが必要である旨 を明示していたことが認められ,これらの事実に照らすと,被告は,平成21年2月4日の 本件システム発注契約締結時点において,本件データベースから顧客の個人情報が漏洩する ことを防止するために,SQLインジェクション対策として,バインド機構の使用又はエス ケープ処理を施したプログラムを提供すべき債務を負っていたということができる。 そうすると,本件ウェブアプリケーションにおいて,バインド機構の使用及び エスケープ処理のいずれも行われていなかった部分があることは前記2のとおりであるから, 被告は上記債務を履行しなかったのであり,債務不履行1の責任を負うと認められる。

 

 

IPAの情報を、これまで以上にチェックしなければ!と思いました。


IPA 独立行政法人 情報処理推進機構:新着情報一覧