脆弱性と債務不履行(東京地裁 平30.10.26)

伊藤雅浩弁護士のブログで、東京地判 平30.10.26(平29ワ40110)が紹介されています。

事案の概要からは、

原告が,本件システムにSQLインジェクションという脆弱性があったのは,その制作を担当した被告の被用者の故意過失によるものであるから,使用者である被告には使用者責任があると主張して,民法715条1項所定の損害賠償請求権に基づき,緊急対策費用47万5200円,詳細な調査,抜本的な修正費用640万円,サーバー移転費用35万6400円,セキュリティ対策のための本件システム停止期間の売上減200万円の合計923万1600円の損害賠償金の支払を求め

たことが、記載されています。

事案については、伊藤弁護士のブログのとおりですし、なんら付け加えることはないかと思います。

ここで、債務不履行の構成にならなかったというのについて、興味深く感じています。

脆弱性については、いろいろなものが、あって、「欠陥」と呼ばれるものでもないし、また、それ自体が、債務不履行になるものでもないと考えています。この点については、私の「脆弱性と瑕疵の間に」という論文(CiNiiだとこちら)で論じました。

要旨としては、

法律的に「機能の実現性」「攻撃の予見性」「提供時における原因の存否」という観点から分析することによって、法的な責任を追及しうるものと追及しえないものとが存在していることがわかる。また、法的な責任については、民法570条における法定責任説的な構成が妥当なものとおもわれる。

という分析をしています。

SQLインジェクションについては、この事案でいうと、契約締結時にすでに原因が存在しており、その時点において具体的な攻撃の予見性があるわけでしょうから、結論については、妥当なもの、という判断になるかと考えています。

 

関連記事

  1. 「従来の事態認定方式」からの離脱って何-「サイバー安全保障分野で…
  2. 「比較法的にみた電子署名法の解釈」が情報ネットワーク・ローレビュ…
  3. 通信の秘密と「トロイの楯」作戦の法的枠組-保存通信データの捜査令…
  4. CyCon 2019 travel memo day1 (3)
  5. 接触確認アプリリリースを踏まえてアップデートしました「新型コロナ…
  6. ワールド経済フォーラムの「サイバー犯罪防止-ISPの原則」(1)…
  7. 「脆弱性(ぜいじゃくせい)とは?」@総務省 国民のための情報セキ…
  8. Private Sector Cyber Defense: Ca…
PAGE TOP