ソフトウエア提供者の結果責任に関する判決群-In-Law「ユーザ・ベン ダの責任分界と損害の範囲 」セッション

12月3日、4日は、情報ネットワーク法学会 第22回研究大会に出席してきました。そのセッションのなかで、「システム障害におけるユーザ・ベンダの責任分界と損害の範囲」になります。

モデレータは、伊藤雅浩先生(シティライツ)、パネリストは、影島広泰先生(牛島)、大井哲也先生(TMI)、田中浩之先生(MHM)という超豪華セッション。日経Xテックの報告記事(長倉さん)は、こちら

でもって、それぞれの先生方のスライドは、伊藤雅浩先生・田中浩之先生 のスライドは、今後、公開されるはず(期待しています)。大井哲也先生のスライドは、「サイバー攻撃被害企業の取引先に対する法的責任」。影島広泰先生のは、「システム障害と相当因果関係のある損害」 です。

長倉さんの記事で

田中浩之弁護士は「SQLインジェクション事件」の東京地方裁判所判決や過去の判例を紹介しながら、契約上の義務違反や不適合、過失について解説。

というところです。でもって、平成26年1月23日判決(A判決)を詳細に分析した上で、東京地裁判決 平成30年10月26日判決(B判決)、 平成25年7月24日判決(C判決) をあわせて、3つの判決を紹介していました。これらの判決に平成23年8月26日事件(D判決)を追加してピックアップして、整理してみます。これらの判決の関係ですが、図示すると以下のようになるかと思います。

この図をもとに分析してみたいと思います。

A 東京地裁判決 平成26年1月23日判決

まずは、上で、「SQLインジェクション事件」として紹介されている事件になります。この判決についてのネット上の記事は、

などがあります。

事案の概要としては

本件は,原告が,被告との間で,原告のウェブサイトにおける商品の受注システムの設計,保守等の委託契約を締結したところ,被告が製作したアプリケーションが脆弱であったことにより上記ウェブサイトで商品の注文をした顧客のクレジットカード情報が流失し,原告による顧客対応等が必要となったために損害を被ったと主張して,被告に対し,上記委託契約の債務不履行に基づき損害賠償金1億0913万5528円及びこれに対する訴状送達の日の翌日である平成23年10月15日から支払済みまで商事法定利率年6分の割合による遅延損害金の支払を求める事案

となります。

2の東京地裁判決 平成30年10月26日判決 が、ウエブサイトにおいて、脆弱性が存在したという事案であるのに対して、実際に、脆弱性をもとに個人情報が流出して、その対応のためにベンダや問い合わせ窓口を準備しなければならなかったという事件になります。

図としては

です。

認定事実

  • 原告と被告との間での契約の概要、原告の支払っていた月額利用料、ウェブサイトメンテナンス契約を締結したこと
  • 本件システム等の概要は、ウェブサイトに表示された商品を顧客が注文及びクレジットカード決済することをできるようにし,原告の売上げ及び在庫管理に関する基幹システムを本件ウェブサイトと連携させ,オンラインでの注文確定を可能とするシステムであること。EC-CUBEをカスタマイズして販売されているWeb受注システムソフトウェア「△△」を原告用にカスタマイズしたアプリケーションであること、本件システムのデータベースファイルは本件サーバー内(本件データベース)に保存されており,保存される情報の内容は,商品情報,顧客情報(氏名,住所,電話番号,メールアドレス,パスワード等)及び注文情報(金種指定詳細化以降は更にクレジットカード情報(カード会社名,カード番号,有効期限,名義人,支払回数及びセキュリティコード。以下同じ。)も保存)であったこと、本件システムから原告の基幹システムに対して送信される情報は,金種指定詳細化の前までは,商品情報,顧客情報及び注文情報であり,金種指定詳細化以降は更にクレジットカード情報のうちカード会社名も送信されることとなったこと
  • 一般的に,ネットワークを通じて,データベースに保存されている情報にアクセスしてその情報を閲覧するための方法としては,サーバーへのリモートログイン,SQLインジェクション,管理機能への不正ログインなどがあり、本件システムでは,インターネット回線を利用して本件サーバーにアクセスし,SQLを発行してデータベースを操作することが可能であり,金種指定詳細化の後は,データベースに直接SQLを発行することにより,クレジットカード情報を見ることができたこと
  • 金種指定詳細化以前および以後の情報の違い、本件データベースには,クレジットカード情報全部を保存する設定とされたことが認定されたこと。
  • 原告のシステム担当者は,原告が顧客のクレジットカード番号等を見ることができる設定となっていると認識し,平成22年9月27日,被告の取締役に対し,原告が顧客の個人情報を取得しないシステム構築の可否及び当該システム変更の費用を問い合わせたこと、これに対して、被告は、カード会社名の情報を取得することができ,その方式に改修するための費用は20万円程度である旨を伝えたこと。
  • イレギュラーな注文に関しては電話連絡等でクレジットカード番号を聞くため,仕方ないことだと思うが,現状で問題がないか,インターネット上で販売している会社ではどのような管理になっているのが普通であるかを問い合わせたところ、被告は、Dは,同日,「保持する/しないどちらのパターンもあり得ると思いますが,クレジット情報は保持しないのがセキュリティ上より良く,一般的です。」と伝えたこと、原告は,上記やり取りの後も,被告に対し,本件データベース上のクレジットカード情報の削除,暗号化等を指示しなかったこと。
  • 本件流出発覚の経緯として、訴外b社が不正利用被害を受けた者の過去の利用傾向を調査したところ,原告を利用していた会員が複数いたため,平成23年4月20日,原告に対し,上記の経緯を伝え,クレジットカード番号の保管状況を確認した。原告は,b社に対し,業務運営においてクレジットカード番号データを見ないため,クレジットカード番号を保存していない旨回答した。
  • 株式会社cは,同日,原告に対し,クレジットカードを不正利用された者が共通に利用している店舗が原告であることが確認された旨警告したこと。これを受け,原告は,同日に本件ウェブサイトのサービスを停止し,同月21日に本件データベースに保存されていたクレジットカード番号データを確認し,バックアップした後に本件データベースから削除したこと、b社の会員で,過去に原告で利用したことがあるクレジットカード情報が同月1日以降に不正利用された件数があり、1日に複数件の不正利用が発生することがあったこと。
  •  セキュリティソリューションサービス事業を営むラックは,原告から本件流出の原因及び被害範囲の特定について依頼を受け,平成23年4月20日から同年5月9日まで調査を行い,以下の内容の調査報告書(以下「ラック報告書」という。)を作成したこと。
  • 報告書の内容(本件流出の発生日は、平成23年4月14日であること、個人情報保持件数-個人情報が9482件,クレジットカード情報が6795件(同一顧客による注文を含むのべ件数では,7014件)、SQLインジェクションの痕跡、管理機能への不正ログインがあったこと、ウェブアプリケーションへの攻撃があったこと、ウェブアプリケーション診断結果-ファイルの閲覧可能・SQLインジェクション、クスロサイトスクリプティングのリスクが認められた)
  •  ベライゾンビジネスは,原告から本件流出の原因,被害範囲及び本件流出に関連する証拠データ等の特定について依頼を受け,平成23年4月25日から同年5月9日まで調査を行い,以下の内容の調査報告書(以下「ベライゾンビジネス報告書」という。)を作成したこと(内容は、同様)。
  • 本件流出後、被告は,平成23年4月21日に本件サーバーを外部と遮断し,本件ウェブアプリケーションプログラム及び本件データベースを停止した。その後、クレジットカード決済を行わない状態で本件ウェブサイトにおけるウェブ受注が再開され、同年8月23日,本件システムを別会社サーバーへ移行した上で,被告とは別の会社によって導入されたアプリケーションプログラムを使用して,クレジットカード決済を行うことが可能な状態でウェブ受注を再開した。

流出の原因

裁判所は、流出の原因について上の報告書などをもとに、本件流出の原因は,SQLインジェクションであると認められる、と判断している。一方、サーバーへのリモートログインや、管理機能への不正ログイン、クロスサイトスクリプティングが流出の原因とは認められないとする。また、程度について最大でクレジットカード情報が7316件,クレジットカード情報を含まない個人情報が9482件漏洩した可能性が存するということになるとしている。

被告の債務不履行責任の有無について

被告の債務不履行責任の有無について、裁判所は、被告は,原告との間で,本件基本契約を締結した上で,個別契約として,本件システムの製作(本件システム発注契約),保守サービス(1年ごとに更新),クレジットカード情報の把握(金種指定詳細化),本件ウェブサイトのデザイン変更作業(本件ウェブサイトメンテナンス契約)等に係る本件個別契約を締結したとしています。

その上で、裁判所は、債務不履行1(適切なセキュリティ対策が採られたアプリケーションを提供すべき債務の不履行)、債務不履行3(カード情報を保存せず,保存する場合には暗号化すべき債務の不履行)、債務不履行5(被告によるセキュリティ対策の程度についての説明義務違反)を検討します。

債務不履行1(適切なセキュリティ対策が採られたアプリケーションを提供すべき債務の不履行)

裁判所は、本件システム発注契約を締結した時点において、その当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供することが黙示的に合意されていたと認められること、本件システムでは,顧客の個人情報を本件データベースに保存する設定となっていたことからすれば,被告は,当該個人情報の漏洩を防ぐために必要なセキュリティ対策を施したプログラムを提供すべき債務を負っていたと解すべきであるとしています。その上で、IPAは,平成19年4月,「大企業・中堅企業の情報システムのセキュリティ対策~脅威と対策」と題する文書において,ウェブアプリケーションに対する代表的な攻撃手法としてSQLインジェクション攻撃を挙げ,SQL文の組み立てにバインド機構を使用し,又はSQL文を構成する全ての変数に対しエスケープ処理を行うこと等により,SQLインジェクション対策をすることが必要である旨を明示していたことが認められることなどから、

被告は,平成21年2月4日の本件システム発注契約締結時点において,本件データベースから顧客の個人情報が漏洩することを防止するために,SQLインジェクション対策として,バインド機構の使用又はエスケープ処理を施したプログラムを提供すべき債務を負っていたということができる。

として、債務不履行1の責任を負うと認められるとしています。

債務不履行3(カード情報を保存せず,保存する場合には暗号化すべき債務の不履行)

この争点は、金種指定詳細化の業務を定める個別契約に基づいて,当然に,

被告がクレジットカード情報を本件サーバー及びログに保存せず,若しくは保存しても削除する設定とし,又はクレジットカード情報を暗号化して保存すべき債務を負っていたといえるか

という問題です。

裁判所は、厚生労働省及び経済産業省が平成19年3月30日に改正した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(同日厚生労働省・経済産業省告示第1号)、IPAの「大企業・中堅企業の情報システムのセキュリティ対策~脅威と対策」と題する文書をあげて、それらは、いずれも上記対策を講じることが「望ましい」と指摘するものにすぎないこと、IPAの文書においては,データベース内のデータ全てに対して暗号化の処理を行うとサーバー自体の負荷になることがあるので,特定のカラムだけを暗号化するなどの考慮が必要であるとも指摘されていること、などから、上記のような債務を負っていたとは認められないとしています。

債務不履行5(被告によるセキュリティ対策の程度についての説明義務違反)

これは、原告の,

システム設計,開発及び運用を行う業者である被告は,発注者である原告に対し,原告が本件システムのセキュリティ対策の程度及び情報流出の危険性を認識し,セキュリティ対策について選択できるように説明すべき信義則上の義務を負っているから、①SQLインジェクション対策を講じていないこと,②本件システムのセキュリティ対策が脆弱であること,③被告とa株式会社との間のレンタルサーバー契約において最低のセキュリティレベルの内容としていたこと,④金種指定詳細化の際に,クレジットカード情報を暗号化せずに保存する設定としたことを十分に説明すべきであった

という主張です。

裁判所は、

  • 被告がSQLインジェクション対策を講じていないことは,前記アのとおり,原告と被告との間での本件システム発注契約に基づき発生する,個人情報の漏洩を防ぐために必要なセキュリティ対策を施したプログラムを提供すべき債務の不履行(債務不履行1)に当たるのであるから,それとは別に,信義則上の義務として,被告がSQLインジェクション対策を講じていないことを説明すべき義務を負うとは認められない。
  • SQLインジェクション以外のセキュリティ対策が脆弱であることが本件流出に寄与したことを認めるに足りる証拠はないから,被告が本件システムのセキュリティ対策が脆弱であることを説明すべき義務を負うとは認められない。
  • 被告とa株式会社との間のレンタルサーバー契約において最低のセキュリティレベルの内容としていたことを裏付ける証拠はない
  • 現状はデータベースにクレジットカード情報のデータはあるが,データベースを直接見る手法を用いなければカード番号は見られないこと,セキュリティ上はクレジットカード情報を保持しない方が良く,その方が一般的であることを認識していたことが認められ,被告はクレジットカード情報の保存による危険性を説明したといえること

から,被告にはクレジットカード情報を暗号化せずに保存する設定としたことについての説明義務違反は認められないとしています。

因果関係の断絶

これは、被告は,本件システムの運用当初には本件データベースに顧客のクレジットカード情報が保存されていなかったところ,

原告は,

①自らの都合により本件データベースに顧客のクレジットカード情報が保存されるように仕様を変更することを被告に委託したこと(原告は,購入者のクレジットカード情報から,利用したカード会社情報を識別及び取得する仕様を求めたが,当時,その仕様を実現するためには,カード会社のシステムとの整合性上,本件システムがクレジットカード情報の全体を取得する以外に方法はなかった。),

②その後,その安全性及び改善の方法等に関して被告に質問をした際には,被告から具体的な費用と共に改善の方法等を指摘されたにもかかわらず,本件データベースに顧客のクレジットカード情報が保存される仕様を放置したことから,

被告の債務不履行と本件流出との間の因果関係は,原告の上記各行為によって断絶されたという主張になります。

上記①の点については,結局、被告は,本件データベースにクレジットカード情報を保存する必要性は認められないにもかかわらず,これを保存する設定を選択したことから、裁判所は、被告の債務不履行1と本件流出との因果関係が断絶するものと解することはできないとしています。
上記②の点については,被告が、セキュリティ上はクレジットカード情報を保持しない方が良く,その方が一般的であることを認識していたことが認められるとしても、本件流出によりクレジットカード情報が流出したのは,SQLインジェクション対策を怠るという被告の債務不履行1による危険が現実化したものであるから、被告のそのような認識によったとしても、被告の債務不履行1と本件流出の発生との条件関係を否定するものではないとしています。

原告の過失の認定・過失相殺

しかしながら、裁判所は、被告からは過失相殺の主張はないものの

原告のシステム担当者が,顧客のクレジットカード情報のデータがデータベースにあり,セキュリティ上はクレジットカード情報を保持しない方が良いことを認識し,被告から本件システム改修の提案を受けていながら,何ら対策を講じずにこれを放置したことは,本件流出によるクレジットカード情報の漏洩の一因となったことは明らかである

として、原告に損害が認められるとしても,

上記原告の過失を考慮し,3割の過失相殺をするのが相当である(上記の過失相殺事由は,因果関係の断絶を基礎付ける事実として当事者が十分な攻撃防御をしているから,過失相殺をすることは弁論主義に反せず,当事者への不意打ちともならない。)。

としています。

損害について

これについては、表にしてみるのが良さそうです。

項目 認容金額 趣旨 裁判所の判断
1 本件ウェブ受注システム委託契約に関連して支払った代金 27万5625円 被告の債務不履行により本件流出が生じたため,新たなウェブ受注システムに変更せざるを得なくなったのであるから,本件ウェブ受注システム委託契約に基づき支払った代金相当額の損害を被った 被告との契約に基づき提供された本件ウェブアプリケーション等のサービスによる利益を享受していたのであるから,被告に債務不履行があったからといって,本件個別契約に基づき支払った代金が当然に損害となるものではない
ただし,原告は,同年9月以降は被告による保守サービスを受けず,本件サーバーの利用をしていなかったのであり,同月以降に支払った保守サービス料及びサーバー利用料相当額の利益は享受していないと認められるところ,原告が上記のとおりサーバー及びアプリケーションを変更したことは,被告による債務不履行を受けて必要となった措置
2 顧客への謝罪関係費用 1863万7440円 原告が,個人情報を登録していた顧客全員に対し,見舞金又は賠償金として一定の金員を支払い,顧客からの問合せに応じるなどの対応を行う ア QUOカード及び包装代(1636万2342円)イ お詫びの郵送代(124万6459円)ウ お詫び郵送に係る資材費及び作業費(86万7196円)エ 告知郵送代(8万1440円)オ 告知の封筒代(1万0500円)カ お詫びのメール配信の外注費(6万6843円)キ お詫び及びQUOカードの書留郵便代(2660円)
3 顧客からの問合せ等の対応費用 493万8403円 原告は,本件流出への対応専用のコールセンターを設置するための外注費用等 外注費用として486万6843円,待機従業員の交通費として5800円,原告の役職員が深夜まで顧客へのメール対応を行った後に帰宅する際のタクシー代として6万5760円
4 調査費用 393万7500円 ベライゾンビジネス及びラックに対して本件流出の調査を依頼した費用 ベライゾンビジネスに対しては220万5000円,ラックに対しては173万2500円
5 ラックデータセンター使用料 42万円 平成23年4月30日から同年8月23日まで,本件システムをラックのサーバーに仮移行しており,4か月分のラックのデータセンター利用料(サーバー利用料) 4か月分のラックのデータセンター利用料(サーバー利用料)42万円
6 事故対策会議出席交通費  4万7600円 原告の東京本社で行う事故対策会議に宇都宮本社の従業員が出席するための交通費
7 リクナビネクスト応募フォーム変更 6万3000円 サーバーを変更したことにより,転職や求人情報に関するウェブサイトであるリクナビネクストの応募フォームを変更する必要が生じたため,株式会社リクルートに対してその変更を依頼した費用
8 売上損失 400万円 平成23年4月21日から同年8月22日までインターネット上の商品販売においてクレジットカード決済機能が利用できなくなったところ,この期間にインターネット上で商品を販売できていれば,少なくとも6041万4833円を売り上げることができたはず 本件ウェブサイトでも一定の売上減少があったことは推認することができるが,原告の具体的な売上減少額を明らかにする決算書類等は提出されていない上,原告の損害額を算定する際には,売上減少に伴って支出を免れた仕入れ原価相当額等を控除する必要があるところ,本件ウェブサイトでは多様な商品が販売されていると推認でき,売上げが減少した商品ごとの仕入れ原価等を立証することは極めて困難であると認められることを考慮すれば,上記期間(約4か月)の原告の売上損失としては,400万円の限度で認めるのが相当

それ以外の裁判所の判断

争点⑤(損害賠償責任制限の合意の成否等)について

両当事者間の本件基本契約において、「乙(注:被告)が委託業務に関連して,乙又は乙の技術者の故意又は過失により,甲(注:原告)若しくは甲の顧客又はその他の第三者に損害を及ぼした時は,乙はその損害について,甲若しくは甲の顧客又はその他の第三者に対し賠償の責を負うものとする。」(1項),「前項の場合,乙は個別契約に定める契約金額の範囲内において損害賠償を支払うものとする。」(2項)という定めがあることについて、どのように解するかという論点が有り、裁判所は、29条2項で,被告の原告に対する損害賠償金額を原則として個別契約に定める契約金額の範囲内としたというものであって、別途、定めがあった条項については、対象情報を第三者に開示又は漏洩した場合の損害賠償金額については制限しないことを定めたもの(機密保持違反の特則)と解するとしています。

なお、これについて被告に重過失がある場合には,本件基本契約29条2項は適用されないという主張がされており、この点について、裁判所は、

被告(その従業員を含む。以下,この(2)項において同じ。)が,権利・法益侵害の結果について故意を有する場合や重過失がある場合(その結果についての予見が可能かつ容易であり,その結果の回避も可能かつ容易であるといった故意に準ずる場合)にまで同条項によって被告の損害賠償義務の範囲が制限されるとすることは,著しく衡平を害するものであって,当事者の通常の意思に合致しないというべきである(売買契約又は請負契約において担保責任の免除特約を定めても,売主又は請負人が悪意の場合には担保責任を免れることができない旨を定めた民法572条,640条参照。)。

として、上記29条2項は,被告に故意又は重過失がある場合には適用されないと解するのが相当である、として、重過失が認められるかという点については、

被告は,情報処理システムの企画,ホームページの制作,業務システムの開発等を行う会社として,プログラムに関する専門的知見を活用した事業を展開し,その事業の一環として本件ウェブアプリケーションを提供しており,原告もその専門的知見を信頼して本件システム発注契約を締結したと推認でき,被告に求められる注意義務の程度は比較的高度なものと認められるところ,前記のとおり,SQLインジェクション対策がされていなければ,第三者がSQLインジェクション攻撃を行うことで本件データベースから個人情報が流出する事態が生じ得ることは被告において予見が可能であり,かつ,経済産業省及びIPAが,ウェブアプリケーションに対する代表的な攻撃手法としてSQLインジェクション攻撃を挙げ,バインド機構の使用又はSQL文を構成する全ての変数に対するエスケープ処理を行うこと等のSQLインジェクション対策をするように注意喚起をしていたことからすれば,その事態が生じ得ることを予見することは容易であったといえる。

また,バインド機構の使用又はエスケープ処理を行うことで,本件流出という結果が回避できたところ,本件ウェブアプリケーションの全体にバインド機構の使用又はエスケープ処理を行うことに多大な労力や費用がかかることをうかがわせる証拠はなく,本件流出という結果を回避することは容易であったといえる。

として、被告には重過失が認められるというべきであるとしています。その結果、上記29条2項は適用されないとされています。

責任期間制限条項の適用の有無

なお、本件の契約は、

乙は,委託業務の完了の後その成果物に瑕疵が発見されたとき,乙の責任において無償で速やかに補修のうえ納入を行うものとする。」(26条1項)

「乙の保証期間は,特に定めるものを除き委託業務の完了の後1年間とする。ただし,乙の責に帰すべきものでない場合はこの限りではない。」(26条2項)

と定めています。

この規定が、損害賠償請求権の期間制限を定めたものではないか、ということが議論されましたが、結局、この26条2項は,

被告による無償補修を定めた本件基本契約26条1項を前提とした規定であり,被告が無償補修する義務を負う期間を原則として委託業務の完了後1年間とすることを定めたものと解することができ,原告の被告に対するものと解することはできない。

とされました。

B 東京地裁判決 平成30年10月26日判決

この判決は、ベンダに対して、ITシステムの政策を発注して、そのシステムに、SQLインジェクションの脆弱性があった場合に、調査費用、サーバー上の全ファイルの削除及び再構築を実施費用を認め、それに対して、詳細な調査,抜本的な修正費用は認めなかったという事案です。

この判決についてのネット上の記事は、

要旨としては、

インターネット及びパソコン通信を利用した情報提供サービス,通信販売業務等を目的とする株式会社である原告は,平成24年7月12日,コンピュータシステム,ソフトウェアの企画,開発,販売,保守管理等を目的とする株式会社である被告に対し,SQLインジェクションを含む既知の脆弱性に気を付けた上で,原告のインターネットサイト上で提供する車,バイクの一括査定システム(本件システム)の制作を発注し,同年9月13日,被告の制作に係る本件システムの納品を受けた。ところが,本件システムにはSQLインジェクションという脆弱性があった。
本件は,原告が,本件システムにSQLインジェクションという脆弱性があったのは,その制作を担当した被告の被用者の故意過失によるものであるから,使用者である被告には使用者責任があると主張して,民法715条1項所定の損害賠償請求権に基づき,緊急対策費用47万5200円,詳細な調査,抜本的な修正費用640万円,サーバー移転費用35万6400円,セキュリティ対策のための本件システム停止期間の売上減200万円の合計923万1600円の損害賠償金の支払を求めたという事案です。

裁判所の事実認定としては

(1) SQLインジェクションの概念,対策の理解がいまだ不十分な状況にあること、当該脆弱性が脅威として1位に位置付けられていること
(2) 本件システムの概要のもと,本件システムの発注の際に原告と被告との間で取り交わされた確認書には,セキュリティを十分に確保,個人情報の流出に対しての十分な対策の記載があり、その主な仕様を定めた仕様書にも,セキュリティに関して気を付ける点として「SQLインジェクション」が既知の脆弱性の一つとして明記されていたこと
(3) 原告は,平成28年12月21日及び平成29年1月5日,被告に対し,その調査と報告を依頼したこと、これに対し,被告は,平成28年12月27日及び平成29年1月12日,原告に対し,本件システムにSQLインジェクション対策の不足があったこと(エスケープ処理の入れ忘れ)を認め,これを謝罪した上,その早急な修正及び対策を実施することを申し出たこと、
(4) 原告は,被告以外の調査会社にこの調査,対策を正式に依頼し本件システムに合計14件の脆弱性(緊急度高9件(SQLインジェクション6箇所),緊急度中4件,緊急度小1件)が発見されたこと、引き続き調査会社に依頼し,本件システムの稼働を2日間停止して,その推奨する対策を講ずることとしたこと
(5) 原告は,本件システムのサーバーの管理会社に対しても,被害状況,問題箇所,対応策等について問い合わせたところ,平成28年12月13日,上記管理会社から,現コンテンツの多数のファイルが改ざんされた可能性が考えられるため,全てのファイルの削除及び再構築を検討するよう勧告を受けたこと。

(6)原告としては,同一サーバー上で全てのファイルを削除し,再構築を実施するにはデータの退避,システムの再構築,データの再移行という作業を要するのに対し,これより簡易な作業で全てのファイルの削除及び再構築をした場合と同様の効果の得られるサーバーの移転の方が費用として低額になると考え,その見積りを取ったことがあったこと

(7)もっとも,原告は,個人情報の漏えいが確認されなかったこともあって,当審口頭弁論終結日である平成30年7月20日まで,本件システムのサーバーを移転しないまま本件システムの使用を継続しているが,1日当たり数十件の匿名ユーザーアカウントによる攻撃を受けることがある

という認定がなされています。これをもとに裁判所は、争点(1)(被告の使用者責任の成否)について

原告からの発注に係る本件システムの制作を担当した被告の被用者にはエスケープ処理の実施等,SQLインジェクションに対する対策を講ずべき注意義務があったのに,これを怠っていた点で,少なくとも過失による不法行為が成立し,被告の事業の執行についてされたものであることが明らかである一方,使用者である被告が上記被用者の選任及びその事業の監督について相当の注意をしたという事情はうかがわれないから,被告の使用者責任(民法715条1項)が成立するというべきである。

としています。

この上で、原告の損害の発生及び額については、上と同様に表にまとめます。

項目 認容金額 趣旨  裁判所の判断
1 P社による調査と対策 47万5200円 セキュリティ診断費用25万9200円+SQLインジェクション対策費用21万6000円 本件システムのSQLインジェクション対策としては原告の依頼したP社による調査と対策が相当な措置であった
2 詳細な調査,抜本的な修正費用 NG 詳細な調査,抜本的な修正費用(640万円) 制作代金を大幅に上回る高額なもの、サーバー移転との併用を前提、より詳細なセキュリティ診断や本件システムの抜本的修正を行う必要があるとはいえない、などから相当因果関係のある損害とは認められない
3 代替措置 35万6400円 サーバー上の全ファイルの削除及び再構築を実施すること又はこれに代替する措置 代替措置として適切
4 売上減 11万9495円 P社による本件システムのSQLインジェクション対策を実施するために本件システムの稼働を2日間停止せざるを得ず,この間,全く売上げがなかった 2180万8009円×2日/365日 として計算
5 システム停止期間(4日間)の売上減/DNS情報が浸透するまでの期間(2日間)の売上減 NG 詳細な調査,抜本的な修正を講ずる際の本件システム停止/サーバーの移転に伴い,DNS情報が浸透するまで 前者にあっては,その前提を欠く、後者にあっても,売上減は容易に回避し得る

とされています。

C 平成25年7月24日判決

これは、ジェイコム株式誤発注訴訟・控訴審の判決になります。

ネット上の記事ですと

あたりが、参考になるかと思います。

この事件は、きわめて大きなニュースになったのですが、事実については、裁判所の事実認定でもう一度見てみます。

事実関係

3.1 当事者

東京証券取引所(被控訴人)-証券市場を開設

みずほ証券(控訴人)-被控訴人との間で取引参加者契約を締結し,被控訴人の取引参加者

3.2 事件の時系列

  1. 平成17年12月8日,被控訴人が開設する市場において,ジェイコム株式会社の株式につき,顧客から委託を受けて,「61万円1株」の売り注文をするつもりのところを,誤って,「1円61万株」の売り注文(以下「本件売り注文」という。)をなした。
  2. その後,控訴人が本件売り注文を取り消す注文を発した
  3. 上記取消注文の効果が生じなかった(これは、被控訴人のコンピュータ・システムに瑕疵があり,また,被控訴人が売買停止措置等をとらなかったため)

3.3 請求原因

被控訴人は

  1. 控訴人の取消注文に基づき本件売り注文の取消処理をする債務の履行を怠った(債務不履行①)
  2. 取引参加者契約上負っていた本件売り注文につき付合せを中止する義務を怠った又は(債務不履行②)
  3. 本件売り注文につき負っていた売買停止措置をとる義務を怠った(不法行為③)

被控訴人に対し,債務不履行(①②)又は不法行為(③)に基づく損害賠償として,売却損,取引参加料金,クリアリング機構清算手数料及び弁護士費用相当額の合計415億7892万4570円並びにこれに対する請求の日の後の日(上記①に基づく請求については平成18年9月16日,上記②に基づく請求については平成20年2月26日)から支払済みまで商事法定利率年6分の割合による,又は,不法行為日である平成17年12月8日から支払済みまで民法所定の年5分の割合による遅延損害金の支払を求めた事案である。

ということになります。

3.4 東京高等裁判所の判断

全般

原審は,

控訴人の請求のうち107億1212万8508円並びにうち債務不履行ないし不法行為に基づく損害金105億1212万8508円に対しては,平成17年12月8日から平成18年9月15日まで年5分の割合による遅延損害金及び同月16日から支払済みまで年6分の割合による遅延損害金並びにうち不法行為に基づく損害金2億円(弁護士費用)に対しては,平成17年12月8日から支払済みまで年5分の割合による遅延損害金を認容

しました。

これに対して、控訴人が控訴し、被控訴人が附帯控訴及び民事訴訟法260条2項の規定による裁判を申し立てた事案となります。

裁判所は、

被控訴人には、適切に取消処理可能なコンピュータ・システム提供義務の不履行が認められるが、重過失が認められないから本件免責規定が適用されるなどとして、債務不履行責任は否定したが、同人には、売買停止義務違反による不法行為が成立し、重過失が認められるから本件免責規定は適用されないとした上で、重大な落ち度のある控訴人につき3割の過失相殺をし、附帯控訴に基づき原判決を変更するとともに、本件申立てを一部認容

した事例ということになります。

取引参加者契約に基づく債務不履行

これについては、さらに

  1. 控訴人と被控訴人との間で平成13年11月1日に締結された取引参加者契約(以下「本件取引参加者契約」という。)により,被控訴人はどのような内容の債務を負ったか,
  2. 本件において取消注文の処理が実施できなかったことは,債務不履行に当たるか
  3. 本件免責規定により被控訴人は,債務不履行責任を免れることができるか

という三つの論点に分けられています。

これらの論点について、裁判所は、この点については

この取引に参加する資格(市場参加の資格)と本件売買システムの利用とは現状においては表裏のものであるから,被控訴人は,控訴人に対して,単に取引に参加させる債務のみならず,本件売買システムを利用して取引させる債務(取引参加者が取引に参加するために本件売買システムを提供する債務)を負うことになる

という判断を前提に、

取引参加者契約の債務の性質

この点については、被控訴人の開設する取引所有価証券市場の施設を本件売買システムを含めて取引参加者に提供する債務にほかならない。そして,通常の注文処理過程においては,取引参加者が本件売買システム上で個別に注文を入力した場合に,被控訴人が,機械の反応とは別個に,具体的な行為をすることが予定されてはいない。そうすると,

被控訴人としては,本件売買システムを提供する債務はあるが,それを超えて取引参加者が個別に注文を入力する都度,当該注文を実現させるため具体的な行為をなす債務(義務)を被控訴人が負うものと解することはできない。

被控訴人は,取消処理ができるコンピュータ・システムを提供する債務(狭義のシステム提供義務)を負うと解される。これは基本的債務である。そして,信義則上,基本的債務のほかに被控訴人においてコンピュータ・システム以外にフェールセーフ措置を講じるなど適切に取消処理ができる市場システムを提供する債務(義務)を負う」(付随的債務(義務))、フェールセーフ措置を講じるなど適切に取消処理ができる市場システムを提供する債務については,一定の裁量に委ねられるものと解される。これに加えて,「ルール整備は,システム提供債務(義務)の付随的債務(義務)に止まるものであるから,被控訴人が控訴人の主張するような措置を講じなかったとしても,被控訴人に著しい裁量の逸脱等の特別の事情がない限り,債務不履行になるものとはいえない。

という判断がなされています。

取消注文の処理が実施できなかったことの債務不履行該当性

この点については、本件売買システムには本件バグが存在し,本件売り注文に関して,本件売買システム上での取消処理が実現されないという本件不具合が発生したことから、適切に取消注文処理ができるコンピュータ・システムを提供する債務(狭義のシステム提供義務)の履行は不完全であったと認められるとしています。なお、「わが国においてベンダーとして定評のある富士通を本件売買システムの開発担当ベンダーに選定したこと,要件確認書をもって要件定義がされたこと等,被控訴人の主張する各事実を勘案しても,帰責事由がないとはいえない。」という判断もなされています。

免責規定の適用について

さらに免責規定の適用の有無、 免責の成否に分けて検討されています。免責規定の適用の有無というのは、という定めについて

債権者が債務者(被控訴人)の故意・重過失を立証することにより,被控訴人の責任を問うことができるものと解するのが相当である。したがって,本件免責規定によれば,故意・重過失の主張・立証責任は控訴人にあると解される。

としています。

ここで、重過失があるかどうかの問題になります。重過失とは、結果の予見が可能であり、かつ、容易であること、結果の回避が可能であり、かつ、容易であることという要件を前提にした著しい注意義務違反のことをいうとの解釈が示された上で、この問題は、バグの作込みの回避容易性又は本件バグの発見・修正の容易性が認められることであるという解釈が示されています。その上で、

現在においては本件バグの存在と本件不具合の発生条件が明らかになっているところ,その結果から本件バグの作込みの回避容易性等について議論する(いわゆる後知恵の)弊に陥ることがないように判断することが要請される。

とされています。この問題ですが、

控訴人の主張に沿う意見書と被控訴人の主張に沿う意見書が提出されている。そして,控訴人提出の上記意見書をもってしても,被控訴人提出の上記意見書が相応の合理性を有することを否定できないから,控訴人提出の上記意見書を採用することは困難である。

とされています。その結果、本件においては,被控訴人の重過失(著しい注意義務違反)の要件である結果の予見が可能であり,かつ,容易であること,結果の回避が可能であり,かつ,容易であるとはいえないことになるので、

被控訴人は,取消注文に対応することのできない売買システムを提供するという債務不履行があったが,重過失があったものと評価することはできない。

ということになります。

売買停止義務違反に基づく不法行為への免責規定の適用

この論点については、本件免責規定は、不法行為責任にも適用されるところ、市場における円滑な流通を阻害する異常があるものとしてさほどの困難を伴うことなく認識することができた後、本件銘柄の売買停止が可能であった時点において、売買停止措置を講じなかった場合には、公益を害することになるばかりか、投資家の一部に損害が生じることの予見が可能であり、かつ、容易であったものと解され、また、売買停止措置を講じることは、要件を具備すれば可能であり、かつ、内部手続を履践すれば容易であることは明らかであるから、被控訴人の売買停止義務違反につき、重過失が認められるとしています。

D 平成23年8月26日事件

脆弱性もしくは、可用性に関する判決とは、ことなりますが、平成23年8月26日事件があります。

これは、原告が、被告から人材紹介業務に関する本件システムの構築等を請け負ったと主張して、被告に対し、請負代金等の支払を求めた(本訴)ところ、被告が、本件請負契約に基づく原告の債務が履行不能となったと主張して、原告に対し、債務不履行に基づく損害賠償を求めた(反訴)事案です。

この事件において、裁判所は、本件システムの完成を認定して、原告の本訴請求を認容する一方、原告は本件システムのフロント系とバックヤード系両方のシステムを継続的かつ安定的に稼動させる債務を負っていた旨の被告の主張を排斥して、原告の債務不履行責任を否定し、被告の反訴請求を棄却しました。

Aの平成26年1月23日判決が、「システム発注契約を締結した時点において、その当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供することが黙示的に合意されていた」とセキュリティ対策の要求が、いわば、広めに認定されているのに対して(もっとも、保守契約もあった)、この判決は、「継続的かつ安定的に稼動させる債務」を認めていないという特徴があるといえると思います。

争点3について、ということになります。

継続的かつ安定的に稼働させる債務
被告は,原告において,本件システムのフロント系とバックヤード系両方のシステムを継続的かつ安定的に稼働させる債務を負っていたと主張する。
しかし,本件システムにつき,障害の発生を予防をし,安定的に運用できるようにすることは,本来,保守・運用の業務に当たると解され,これらは本件基本契約において,別途契約すべきことが定められている(第3条3項)。また,上記2(2)イのとおり,本件システムの安定性について特段の合意があった様子がなく,被告において,本件システムの不安定性を理由として,債務不履行を主張し得る余地は小さいといわざるを得ず,仮にそのような主張の余地を認めるにしても,システムの安定性を要件とする場合としない場合がある中で,要件としない場合のシステム開発(しかもユーザーの目的の達成が保証されないことが明示的に定められている場合)において,どの程度の安定性があれば債務不履行となるのかは容易に確定し難く,上記2ア程度の状況をもって,債務不履行といえるのかも直ちに判断し難い。

安定性確保のレベル

このように原告が債務として負担する安定性確保のレベル(以下「本件レベル」という。)は,仮にこれを債務の内容と認めるとしても,具体的な特定は困難で,少なくとも高水準のものと考えることはできない。

原因等について

裁判所は、本件システムが安定的に可動しなかった原因について

本件システムの画面数が当初の想定より増加したこと

メモリ領域の設定不良(パーマネント領域)の不足が原因である

との原告の分析を前提に、その分析は,

合理的であって,パーマネント領域を拡張する設定を行うことによって,メモリー不足による本件システムの障害が解消・改善される可能性を直ちに否定できない。
更に,本件システムと同一のパッケージソフトを利用して他社に導入されているシステムが,現在,本件システム以上の画面数でありながら稼働してる様子であること,当該パッケージソフトをカスタマイズしても,カスタマイズ部分も含め,同一のフレームワークがメモリー管理をしており,カスタマイズによって新たなメモリーリークが生じる可能性が乏しい様子であること(甲76,原告代表者)を考慮すると,平成18年8月17日時点において,本件システムについて,以後,高水準とは認め難い本件レベル程度の安定性を確保することが,原告において,客観的に社会通念上不能であったとは認められない。

としています。そして,その後,上記の判断が変更されるべき特段の事情が生じたことは,証拠上認められないとして、履行不能を理由とする原告の債務不履行責任は認められないとしています。

関連記事

  1. Bot Express対国事件-連携利用の本人確認レベル・連携・…
  2. EUにおけるアクティブサイバー防御の概念と是非の質問の無意味さ
  3. リーガルマルウエアの法律問題(続)
  4. 「責任共有モデル」という前に
  5. CyCon 2019 travel memo day1 (1)
  6. 米英のデータアクセス協定-法執行機関への直接情報提供要請
  7. 米国サイバー戦略の分析(柱4)
  8. コンタクトトレーシングについてのNHK BS1 キャッチのインタ…
PAGE TOP