判例時報2221号で紹介された事例です(東京地裁平成26年1月23日判決)。
インテリア商材の販売を営んでいた原告がウェブ受注システムの設計,政策,保守を被告に依頼したところ,システム上,顧客のクレジットカード情報が暗号化されずにデータベースで保存されていたことが原因となって,カード情報の流出事故が起こってしまいました。
カード情報の流出についてその時期や原因,程度などを裏付ける直接の証拠はなかったものの,カード会社に対する調査嘱託の結果(同時期にカード会員に同じ傾向の第三者による不正利用が発生し,会員同士に共通の利用店舗があった場合には当該店舗が流出原因となっているものと判断しており,本件でも,原告店舗についてそのような判断を行い警告を発したこと)や調査会社による本件ウェブアプリケーションにはSQLインジェクションに対する脆弱性があるとする報告書,ログ解析の結果などから,本件カード情報の流出原因はSQLインジェクション(アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより,データベーストステムを不正に操作する攻撃方法)によりなされたものと認定されています。
そして,本件システムでは顧客のカード情報を暗号化せずにデータベースに保存される仕組みとなっていたことから,被告がその当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供することは,黙示的に合意されていたとされました。黙示的にということは契約書上は明示的にそのようなことは記載されていなかったわけですが,平成18年2月10日の経済産業省の「個人情報保護法に基づく個人データの安全管理の徹底に係る注意喚起」,平成19年の独立行政法人情報処理推進機構による「大企業・中小企業の情報システムのセキュリティ対策~脅威と対策」と行った文書を根拠として,SQLインジェクション対策としてバインド機構の使用またはエスケープ処理を施したプログラムを提供すべき義務があり,被告はこれを怠ったとされました。
賠償を認められた損害としては,顧客への謝罪関係費用(QUOカード及び包装代や発送費・お詫びの郵送代・お詫びメールの発信の外注費など),顧客からの問い合わせに対するコールセンター設置などの費用,調査費用,売上損失などです。
売上損失については,原告の売上減少額を明らかにする決算書類等は提出されていないとして,民訴法248条を適用として400万円と認められました。
本件では,契約書上,被告の損害賠償責任を限定する特約がされていましたが,専門事業者である被告の知見を信頼して契約したものであること適切なSQLインジェクション対策ががされていなければ情報の流出が発生するということは被告においても予見可能であったことなどから,被告には重過失があったとして,特約の適用が排除されています。
なお,本件では原告の過失も3割認められ賠償額が減額されています。
これは,被告から「セキュリティ上はカード情報は保持しないほうが良い」と言われていたのにデータベース上で情報を保持していたことが根拠とされています。
本件は確定しているとのことです。
■ランキングに参加中です。
■着手金の簡易見積フォーム
(弁護士江木大輔の法務ページに移動します。)
■弁護士江木大輔の法務ページに移動します。
