伊藤雅浩弁護士のブログで、東京地判　平30.10.26（平29ワ40110）が紹介されています。

事案の概要からは、

原告が，本件システムにＳＱＬインジェクションという脆弱性があったのは，その制作を担当した被告の被用者の故意過失によるものであるから，使用者である被告には使用者責任があると主張して，民法７１５条１項所定の損害賠償請求権に基づき，緊急対策費用４７万５２００円，詳細な調査，抜本的な修正費用６４０万円，サーバー移転費用３５万６４００円，セキュリティ対策のための本件システム停止期間の売上減２００万円の合計９２３万１６００円の損害賠償金の支払を求め

たことが、記載されています。

事案については、伊藤弁護士のブログのとおりですし、なんら付け加えることはないかと思います。

ここで、債務不履行の構成にならなかったというのについて、興味深く感じています。

脆弱性については、いろいろなものが、あって、「欠陥」と呼ばれるものでもないし、また、それ自体が、債務不履行になるものでもないと考えています。この点については、私の「脆弱性と瑕疵の間に」という論文（CiNiiだとこちら）で論じました。

要旨としては、

法律的に「機能の実現性」「攻撃の予見性」「提供時における原因の存否」という観点から分析することによって、法的な責任を追及しうるものと追及しえないものとが存在していることがわかる。また、法的な責任については、民法570条における法定責任説的な構成が妥当なものとおもわれる。

という分析をしています。

SQLインジェクションについては、この事案でいうと、契約締結時にすでに原因が存在しており、その時点において具体的な攻撃の予見性があるわけでしょうから、結論については、妥当なもの、という判断になるかと考えています。