12月３日、４日は、情報ネットワーク法学会　第22回研究大会に出席してきました。そのセッションのなかで、「システム障害におけるユーザ・ベンダの責任分界と損害の範囲」になります。

モデレータは、伊藤雅浩先生（シティライツ）、パネリストは、影島広泰先生（牛島）、大井哲也先生（TMI）、田中浩之先生（MHM）という超豪華セッション。日経Ｘテックの報告記事（長倉さん）は、こちら

でもって、それぞれの先生方のスライドは、伊藤雅浩先生・田中浩之先生　のスライドは、今後、公開されるはず（期待しています）。大井哲也先生のｽﾗｲﾄﾞは、「サイバー攻撃被害企業の取引先に対する法的責任」。影島広泰先生のは、「システム障害と相当因果関係のある損害」　です。

長倉さんの記事で

田中浩之弁護士は「SQLインジェクション事件」の東京地方裁判所判決や過去の判例を紹介しながら、契約上の義務違反や不適合、過失について解説。

というところです。でもって、平成26年1月23日判決(A判決)を詳細に分析した上で、東京地裁判決 平成30年10月26日判決(B判決)、 平成25年7月24日判決(C判決) をあわせて、3つの判決を紹介していました。これらの判決に平成23年8月26日事件(D判決)を追加してピックアップして、整理してみます。これらの判決の関係ですが、図示すると以下のようになるかと思います。

この図をもとに分析してみたいと思います。

A 東京地裁判決 平成26年1月23日判決

まずは、上で、「SQLインジェクション事件」として紹介されている事件になります。この判決についてのネット上の記事は、

• 東京地判平成26･1･23判時2221-71(情報漏洩とセキュリティ対策) (弁護士 野溝夏生)
• 小林 毅郎（大日本印刷株式会社）・武田 勝弘（スクワイヤ外国法共同事業法律事務所） 「商品の受注システムを利用した顧客のクレジットカード情報が流出した事故において、システム開発を受託した会社の債務不履行に基づく、損害賠償責任が肯定された事案」

などがあります。

事案の概要としては

本件は，原告が，被告との間で，原告のウェブサイトにおける商品の受注システムの設計，保守等の委託契約を締結したところ，被告が製作したアプリケーションが脆弱であったことにより上記ウェブサイトで商品の注文をした顧客のクレジットカード情報が流失し，原告による顧客対応等が必要となったために損害を被ったと主張して，被告に対し，上記委託契約の債務不履行に基づき損害賠償金１億０９１３万５５２８円及びこれに対する訴状送達の日の翌日である平成２３年１０月１５日から支払済みまで商事法定利率年６分の割合による遅延損害金の支払を求める事案

となります。

2の東京地裁判決 平成30年10月26日判決 が、ウエブサイトにおいて、脆弱性が存在したという事案であるのに対して、実際に、脆弱性をもとに個人情報が流出して、その対応のためにベンダや問い合わせ窓口を準備しなければならなかったという事件になります。

図としては

です。

認定事実

• 原告と被告との間での契約の概要、原告の支払っていた月額利用料、ウェブサイトメンテナンス契約を締結したこと
• 本件システム等の概要は、ウェブサイトに表示された商品を顧客が注文及びクレジットカード決済することをできるようにし，原告の売上げ及び在庫管理に関する基幹システムを本件ウェブサイトと連携させ，オンラインでの注文確定を可能とするシステムであること。ＥＣ－ＣＵＢＥをカスタマイズして販売されているＷｅｂ受注システムソフトウェア「△△」を原告用にカスタマイズしたアプリケーションであること、本件システムのデータベースファイルは本件サーバー内（本件データベース）に保存されており，保存される情報の内容は，商品情報，顧客情報（氏名，住所，電話番号，メールアドレス，パスワード等）及び注文情報(金種指定詳細化以降は更にクレジットカード情報（カード会社名，カード番号，有効期限，名義人，支払回数及びセキュリティコード。以下同じ。）も保存)であったこと、本件システムから原告の基幹システムに対して送信される情報は，金種指定詳細化の前までは，商品情報，顧客情報及び注文情報であり，金種指定詳細化以降は更にクレジットカード情報のうちカード会社名も送信されることとなったこと
• 一般的に，ネットワークを通じて，データベースに保存されている情報にアクセスしてその情報を閲覧するための方法としては，サーバーへのリモートログイン，ＳＱＬインジェクション，管理機能への不正ログインなどがあり、本件システムでは，インターネット回線を利用して本件サーバーにアクセスし，ＳＱＬを発行してデータベースを操作することが可能であり，金種指定詳細化の後は，データベースに直接ＳＱＬを発行することにより，クレジットカード情報を見ることができたこと
• 金種指定詳細化以前および以後の情報の違い、本件データベースには，クレジットカード情報全部を保存する設定とされたことが認定されたこと。
• 原告のシステム担当者は，原告が顧客のクレジットカード番号等を見ることができる設定となっていると認識し，平成２２年９月２７日，被告の取締役に対し，原告が顧客の個人情報を取得しないシステム構築の可否及び当該システム変更の費用を問い合わせたこと、これに対して、被告は、カード会社名の情報を取得することができ，その方式に改修するための費用は２０万円程度である旨を伝えたこと。
• イレギュラーな注文に関しては電話連絡等でクレジットカード番号を聞くため，仕方ないことだと思うが，現状で問題がないか，インターネット上で販売している会社ではどのような管理になっているのが普通であるかを問い合わせたところ、被告は、Ｄは，同日，「保持する／しないどちらのパターンもあり得ると思いますが，クレジット情報は保持しないのがセキュリティ上より良く，一般的です。」と伝えたこと、原告は，上記やり取りの後も，被告に対し，本件データベース上のクレジットカード情報の削除，暗号化等を指示しなかったこと。
• 本件流出発覚の経緯として、訴外ｂ社が不正利用被害を受けた者の過去の利用傾向を調査したところ，原告を利用していた会員が複数いたため，平成２３年４月２０日，原告に対し，上記の経緯を伝え，クレジットカード番号の保管状況を確認した。原告は，ｂ社に対し，業務運営においてクレジットカード番号データを見ないため，クレジットカード番号を保存していない旨回答した。
• 株式会社ｃは，同日，原告に対し，クレジットカードを不正利用された者が共通に利用している店舗が原告であることが確認された旨警告したこと。これを受け，原告は，同日に本件ウェブサイトのサービスを停止し，同月２１日に本件データベースに保存されていたクレジットカード番号データを確認し，バックアップした後に本件データベースから削除したこと、ｂ社の会員で，過去に原告で利用したことがあるクレジットカード情報が同月１日以降に不正利用された件数があり、１日に複数件の不正利用が発生することがあったこと。
• 　セキュリティソリューションサービス事業を営むラックは，原告から本件流出の原因及び被害範囲の特定について依頼を受け，平成２３年４月２０日から同年５月９日まで調査を行い，以下の内容の調査報告書（以下「ラック報告書」という。）を作成したこと。
• 報告書の内容(本件流出の発生日は、平成２３年４月１４日であること、個人情報保持件数-個人情報が９４８２件，クレジットカード情報が６７９５件（同一顧客による注文を含むのべ件数では，７０１４件）、SQLインジェクションの痕跡、管理機能への不正ログインがあったこと、ウェブアプリケーションへの攻撃があったこと、ウェブアプリケーション診断結果-ファイルの閲覧可能・SQLインジェクション、クスロサイトスクリプティングのリスクが認められた)
• 　ベライゾンビジネスは，原告から本件流出の原因，被害範囲及び本件流出に関連する証拠データ等の特定について依頼を受け，平成２３年４月２５日から同年５月９日まで調査を行い，以下の内容の調査報告書（以下「ベライゾンビジネス報告書」という。）を作成したこと(内容は、同様)。
• 本件流出後、被告は，平成２３年４月２１日に本件サーバーを外部と遮断し，本件ウェブアプリケーションプログラム及び本件データベースを停止した。その後、クレジットカード決済を行わない状態で本件ウェブサイトにおけるウェブ受注が再開され、同年８月２３日，本件システムを別会社サーバーへ移行した上で，被告とは別の会社によって導入されたアプリケーションプログラムを使用して，クレジットカード決済を行うことが可能な状態でウェブ受注を再開した。

流出の原因

裁判所は、流出の原因について上の報告書などをもとに、本件流出の原因は，ＳＱＬインジェクションであると認められる、と判断している。一方、サーバーへのリモートログインや、管理機能への不正ログイン、クロスサイトスクリプティングが流出の原因とは認められないとする。また、程度について最大でクレジットカード情報が７３１６件，クレジットカード情報を含まない個人情報が９４８２件漏洩した可能性が存するということになるとしている。

被告の債務不履行責任の有無について

被告の債務不履行責任の有無について、裁判所は、被告は，原告との間で，本件基本契約を締結した上で，個別契約として，本件システムの製作（本件システム発注契約），保守サービス（１年ごとに更新），クレジットカード情報の把握（金種指定詳細化），本件ウェブサイトのデザイン変更作業（本件ウェブサイトメンテナンス契約）等に係る本件個別契約を締結したとしています。

その上で、裁判所は、債務不履行１（適切なセキュリティ対策が採られたアプリケーションを提供すべき債務の不履行）、債務不履行３（カード情報を保存せず，保存する場合には暗号化すべき債務の不履行）、債務不履行５（被告によるセキュリティ対策の程度についての説明義務違反）を検討します。

債務不履行１（適切なセキュリティ対策が採られたアプリケーションを提供すべき債務の不履行）

裁判所は、本件システム発注契約を締結した時点において、その当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供することが黙示的に合意されていたと認められること、本件システムでは，顧客の個人情報を本件データベースに保存する設定となっていたことからすれば，被告は，当該個人情報の漏洩を防ぐために必要なセキュリティ対策を施したプログラムを提供すべき債務を負っていたと解すべきであるとしています。その上で、ＩＰＡは，平成１９年４月，「大企業・中堅企業の情報システムのセキュリティ対策～脅威と対策」と題する文書において，ウェブアプリケーションに対する代表的な攻撃手法としてＳＱＬインジェクション攻撃を挙げ，ＳＱＬ文の組み立てにバインド機構を使用し，又はＳＱＬ文を構成する全ての変数に対しエスケープ処理を行うこと等により，ＳＱＬインジェクション対策をすることが必要である旨を明示していたことが認められることなどから、

被告は，平成２１年２月４日の本件システム発注契約締結時点において，本件データベースから顧客の個人情報が漏洩することを防止するために，ＳＱＬインジェクション対策として，バインド機構の使用又はエスケープ処理を施したプログラムを提供すべき債務を負っていたということができる。

として、債務不履行１の責任を負うと認められるとしています。

債務不履行３（カード情報を保存せず，保存する場合には暗号化すべき債務の不履行）

この争点は、金種指定詳細化の業務を定める個別契約に基づいて，当然に，

被告がクレジットカード情報を本件サーバー及びログに保存せず，若しくは保存しても削除する設定とし，又はクレジットカード情報を暗号化して保存すべき債務を負っていたといえるか

という問題です。

裁判所は、厚生労働省及び経済産業省が平成１９年３月３０日に改正した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」（同日厚生労働省・経済産業省告示第１号）、ＩＰＡの「大企業・中堅企業の情報システムのセキュリティ対策～脅威と対策」と題する文書をあげて、それらは、いずれも上記対策を講じることが「望ましい」と指摘するものにすぎないこと、ＩＰＡの文書においては，データベース内のデータ全てに対して暗号化の処理を行うとサーバー自体の負荷になることがあるので，特定のカラムだけを暗号化するなどの考慮が必要であるとも指摘されていること、などから、上記のような債務を負っていたとは認められないとしています。

債務不履行５（被告によるセキュリティ対策の程度についての説明義務違反）

これは、原告の，

システム設計，開発及び運用を行う業者である被告は，発注者である原告に対し，原告が本件システムのセキュリティ対策の程度及び情報流出の危険性を認識し，セキュリティ対策について選択できるように説明すべき信義則上の義務を負っているから、①ＳＱＬインジェクション対策を講じていないこと，②本件システムのセキュリティ対策が脆弱であること，③被告とａ株式会社との間のレンタルサーバー契約において最低のセキュリティレベルの内容としていたこと，④金種指定詳細化の際に，クレジットカード情報を暗号化せずに保存する設定としたことを十分に説明すべきであった

という主張です。

裁判所は、

• 被告がＳＱＬインジェクション対策を講じていないことは，前記アのとおり，原告と被告との間での本件システム発注契約に基づき発生する，個人情報の漏洩を防ぐために必要なセキュリティ対策を施したプログラムを提供すべき債務の不履行（債務不履行１）に当たるのであるから，それとは別に，信義則上の義務として，被告がＳＱＬインジェクション対策を講じていないことを説明すべき義務を負うとは認められない。
• ＳＱＬインジェクション以外のセキュリティ対策が脆弱であることが本件流出に寄与したことを認めるに足りる証拠はないから，被告が本件システムのセキュリティ対策が脆弱であることを説明すべき義務を負うとは認められない。
• 被告とａ株式会社との間のレンタルサーバー契約において最低のセキュリティレベルの内容としていたことを裏付ける証拠はない
• 現状はデータベースにクレジットカード情報のデータはあるが，データベースを直接見る手法を用いなければカード番号は見られないこと，セキュリティ上はクレジットカード情報を保持しない方が良く，その方が一般的であることを認識していたことが認められ，被告はクレジットカード情報の保存による危険性を説明したといえること

から，被告にはクレジットカード情報を暗号化せずに保存する設定としたことについての説明義務違反は認められないとしています。

因果関係の断絶

これは、被告は，本件システムの運用当初には本件データベースに顧客のクレジットカード情報が保存されていなかったところ，

原告は，

①自らの都合により本件データベースに顧客のクレジットカード情報が保存されるように仕様を変更することを被告に委託したこと（原告は，購入者のクレジットカード情報から，利用したカード会社情報を識別及び取得する仕様を求めたが，当時，その仕様を実現するためには，カード会社のシステムとの整合性上，本件システムがクレジットカード情報の全体を取得する以外に方法はなかった。），

②その後，その安全性及び改善の方法等に関して被告に質問をした際には，被告から具体的な費用と共に改善の方法等を指摘されたにもかかわらず，本件データベースに顧客のクレジットカード情報が保存される仕様を放置したことから，

被告の債務不履行と本件流出との間の因果関係は，原告の上記各行為によって断絶されたという主張になります。

上記①の点については，結局、被告は，本件データベースにクレジットカード情報を保存する必要性は認められないにもかかわらず，これを保存する設定を選択したことから、裁判所は、被告の債務不履行１と本件流出との因果関係が断絶するものと解することはできないとしています。
上記②の点については，被告が、セキュリティ上はクレジットカード情報を保持しない方が良く，その方が一般的であることを認識していたことが認められるとしても、本件流出によりクレジットカード情報が流出したのは，ＳＱＬインジェクション対策を怠るという被告の債務不履行１による危険が現実化したものであるから、被告のそのような認識によったとしても、被告の債務不履行１と本件流出の発生との条件関係を否定するものではないとしています。

原告の過失の認定・過失相殺

しかしながら、裁判所は、被告からは過失相殺の主張はないものの

原告のシステム担当者が，顧客のクレジットカード情報のデータがデータベースにあり，セキュリティ上はクレジットカード情報を保持しない方が良いことを認識し，被告から本件システム改修の提案を受けていながら，何ら対策を講じずにこれを放置したことは，本件流出によるクレジットカード情報の漏洩の一因となったことは明らかである

として、原告に損害が認められるとしても，

上記原告の過失を考慮し，３割の過失相殺をするのが相当である（上記の過失相殺事由は，因果関係の断絶を基礎付ける事実として当事者が十分な攻撃防御をしているから，過失相殺をすることは弁論主義に反せず，当事者への不意打ちともならない。）。

としています。

損害について

これについては、表にしてみるのが良さそうです。

	項目	認容金額	趣旨	裁判所の判断
1	本件ウェブ受注システム委託契約に関連して支払った代金	２７万５６２５円	被告の債務不履行により本件流出が生じたため，新たなウェブ受注システムに変更せざるを得なくなったのであるから，本件ウェブ受注システム委託契約に基づき支払った代金相当額の損害を被った	被告との契約に基づき提供された本件ウェブアプリケーション等のサービスによる利益を享受していたのであるから，被告に債務不履行があったからといって，本件個別契約に基づき支払った代金が当然に損害となるものではない
				ただし，原告は，同年９月以降は被告による保守サービスを受けず，本件サーバーの利用をしていなかったのであり，同月以降に支払った保守サービス料及びサーバー利用料相当額の利益は享受していないと認められるところ，原告が上記のとおりサーバー及びアプリケーションを変更したことは，被告による債務不履行を受けて必要となった措置
2	顧客への謝罪関係費用	１８６３万７４４０円	原告が，個人情報を登録していた顧客全員に対し，見舞金又は賠償金として一定の金員を支払い，顧客からの問合せに応じるなどの対応を行う	ア　ＱＵＯカード及び包装代（１６３６万２３４２円）イ　お詫びの郵送代（１２４万６４５９円）ウ　お詫び郵送に係る資材費及び作業費（８６万７１９６円）エ　告知郵送代（８万１４４０円）オ　告知の封筒代（１万０５００円）カ　お詫びのメール配信の外注費（６万６８４３円）キ　お詫び及びＱＵＯカードの書留郵便代（２６６０円）
3	顧客からの問合せ等の対応費用	４９３万８４０３円	原告は，本件流出への対応専用のコールセンターを設置するための外注費用等	外注費用として４８６万６８４３円，待機従業員の交通費として５８００円，原告の役職員が深夜まで顧客へのメール対応を行った後に帰宅する際のタクシー代として６万５７６０円
4	調査費用	３９３万７５００円	ベライゾンビジネス及びラックに対して本件流出の調査を依頼した費用	ベライゾンビジネスに対しては２２０万５０００円，ラックに対しては１７３万２５００円
5	ラックデータセンター使用料	４２万円	平成２３年４月３０日から同年８月２３日まで，本件システムをラックのサーバーに仮移行しており，４か月分のラックのデータセンター利用料（サーバー利用料）	４か月分のラックのデータセンター利用料（サーバー利用料）４２万円
6	事故対策会議出席交通費	４万７６００円	原告の東京本社で行う事故対策会議に宇都宮本社の従業員が出席するための交通費
7	リクナビネクスト応募フォーム変更	６万３０００円	サーバーを変更したことにより，転職や求人情報に関するウェブサイトであるリクナビネクストの応募フォームを変更する必要が生じたため，株式会社リクルートに対してその変更を依頼した費用
8	売上損失	４００万円	平成２３年４月２１日から同年８月２２日までインターネット上の商品販売においてクレジットカード決済機能が利用できなくなったところ，この期間にインターネット上で商品を販売できていれば，少なくとも６０４１万４８３３円を売り上げることができたはず	本件ウェブサイトでも一定の売上減少があったことは推認することができるが，原告の具体的な売上減少額を明らかにする決算書類等は提出されていない上，原告の損害額を算定する際には，売上減少に伴って支出を免れた仕入れ原価相当額等を控除する必要があるところ，本件ウェブサイトでは多様な商品が販売されていると推認でき，売上げが減少した商品ごとの仕入れ原価等を立証することは極めて困難であると認められることを考慮すれば，上記期間（約４か月）の原告の売上損失としては，４００万円の限度で認めるのが相当

それ以外の裁判所の判断

争点⑤（損害賠償責任制限の合意の成否等）について

両当事者間の本件基本契約において、「乙（注：被告）が委託業務に関連して，乙又は乙の技術者の故意又は過失により，甲（注：原告）若しくは甲の顧客又はその他の第三者に損害を及ぼした時は，乙はその損害について，甲若しくは甲の顧客又はその他の第三者に対し賠償の責を負うものとする。」（１項），「前項の場合，乙は個別契約に定める契約金額の範囲内において損害賠償を支払うものとする。」（２項）という定めがあることについて、どのように解するかという論点が有り、裁判所は、２９条２項で，被告の原告に対する損害賠償金額を原則として個別契約に定める契約金額の範囲内としたというものであって、別途、定めがあった条項については、対象情報を第三者に開示又は漏洩した場合の損害賠償金額については制限しないことを定めたもの(機密保持違反の特則)と解するとしています。

なお、これについて被告に重過失がある場合には，本件基本契約２９条２項は適用されないという主張がされており、この点について、裁判所は、

被告（その従業員を含む。以下，この(2)項において同じ。）が，権利・法益侵害の結果について故意を有する場合や重過失がある場合（その結果についての予見が可能かつ容易であり，その結果の回避も可能かつ容易であるといった故意に準ずる場合）にまで同条項によって被告の損害賠償義務の範囲が制限されるとすることは，著しく衡平を害するものであって，当事者の通常の意思に合致しないというべきである（売買契約又は請負契約において担保責任の免除特約を定めても，売主又は請負人が悪意の場合には担保責任を免れることができない旨を定めた民法５７２条，６４０条参照。）。

として、上記２９条２項は，被告に故意又は重過失がある場合には適用されないと解するのが相当である、として、重過失が認められるかという点については、

被告は，情報処理システムの企画，ホームページの制作，業務システムの開発等を行う会社として，プログラムに関する専門的知見を活用した事業を展開し，その事業の一環として本件ウェブアプリケーションを提供しており，原告もその専門的知見を信頼して本件システム発注契約を締結したと推認でき，被告に求められる注意義務の程度は比較的高度なものと認められるところ，前記のとおり，ＳＱＬインジェクション対策がされていなければ，第三者がＳＱＬインジェクション攻撃を行うことで本件データベースから個人情報が流出する事態が生じ得ることは被告において予見が可能であり，かつ，経済産業省及びＩＰＡが，ウェブアプリケーションに対する代表的な攻撃手法としてＳＱＬインジェクション攻撃を挙げ，バインド機構の使用又はＳＱＬ文を構成する全ての変数に対するエスケープ処理を行うこと等のＳＱＬインジェクション対策をするように注意喚起をしていたことからすれば，その事態が生じ得ることを予見することは容易であったといえる。

また，バインド機構の使用又はエスケープ処理を行うことで，本件流出という結果が回避できたところ，本件ウェブアプリケーションの全体にバインド機構の使用又はエスケープ処理を行うことに多大な労力や費用がかかることをうかがわせる証拠はなく，本件流出という結果を回避することは容易であったといえる。

として、被告には重過失が認められるというべきであるとしています。その結果、上記２９条２項は適用されないとされています。

責任期間制限条項の適用の有無

なお、本件の契約は、

乙は，委託業務の完了の後その成果物に瑕疵が発見されたとき，乙の責任において無償で速やかに補修のうえ納入を行うものとする。」（２６条１項）

「乙の保証期間は，特に定めるものを除き委託業務の完了の後１年間とする。ただし，乙の責に帰すべきものでない場合はこの限りではない。」（２６条２項）

と定めています。

この規定が、損害賠償請求権の期間制限を定めたものではないか、ということが議論されましたが、結局、この２６条２項は，

被告による無償補修を定めた本件基本契約２６条１項を前提とした規定であり，被告が無償補修する義務を負う期間を原則として委託業務の完了後１年間とすることを定めたものと解することができ，原告の被告に対するものと解することはできない。

とされました。

B 東京地裁判決 平成30年10月26日判決

この判決は、ベンダに対して、ITシステムの政策を発注して、そのシステムに、SQLインジェクションの脆弱性があった場合に、調査費用、サーバー上の全ファイルの削除及び再構築を実施費用を認め、それに対して、詳細な調査，抜本的な修正費用は認めなかったという事案です。

この判決についてのネット上の記事は、

• IT・システム判例メモ 「SQLインジェクション対策不備の責任　東京地判平30.10.26（平29ワ40110）」
• 細川義洋 「定義されなかったセキュリティ要件を実現するのはベンダの義務？」

要旨としては、

インターネット及びパソコン通信を利用した情報提供サービス，通信販売業務等を目的とする株式会社である原告は，平成２４年７月１２日，コンピュータシステム，ソフトウェアの企画，開発，販売，保守管理等を目的とする株式会社である被告に対し，ＳＱＬインジェクションを含む既知の脆弱性に気を付けた上で，原告のインターネットサイト上で提供する車，バイクの一括査定システム（本件システム）の制作を発注し，同年９月１３日，被告の制作に係る本件システムの納品を受けた。ところが，本件システムにはＳＱＬインジェクションという脆弱性があった。
本件は，原告が，本件システムにＳＱＬインジェクションという脆弱性があったのは，その制作を担当した被告の被用者の故意過失によるものであるから，使用者である被告には使用者責任があると主張して，民法７１５条１項所定の損害賠償請求権に基づき，緊急対策費用４７万５２００円，詳細な調査，抜本的な修正費用６４０万円，サーバー移転費用３５万６４００円，セキュリティ対策のための本件システム停止期間の売上減２００万円の合計９２３万１６００円の損害賠償金の支払を求めたという事案です。

裁判所の事実認定としては

(1)　ＳＱＬインジェクションの概念，対策の理解がいまだ不十分な状況にあること、当該脆弱性が脅威として１位に位置付けられていること
(2)　本件システムの概要のもと，本件システムの発注の際に原告と被告との間で取り交わされた確認書には，セキュリティを十分に確保，個人情報の流出に対しての十分な対策の記載があり、その主な仕様を定めた仕様書にも，セキュリティに関して気を付ける点として「ＳＱＬインジェクション」が既知の脆弱性の一つとして明記されていたこと
(3)　原告は，平成２８年１２月２１日及び平成２９年１月５日，被告に対し，その調査と報告を依頼したこと、これに対し，被告は，平成２８年１２月２７日及び平成２９年１月１２日，原告に対し，本件システムにＳＱＬインジェクション対策の不足があったこと（エスケープ処理の入れ忘れ）を認め，これを謝罪した上，その早急な修正及び対策を実施することを申し出たこと、
(4)　原告は，被告以外の調査会社にこの調査，対策を正式に依頼し本件システムに合計１４件の脆弱性（緊急度高９件（ＳＱＬインジェクション６箇所），緊急度中４件，緊急度小１件）が発見されたこと、引き続き調査会社に依頼し，本件システムの稼働を２日間停止して，その推奨する対策を講ずることとしたこと
(5)　原告は，本件システムのサーバーの管理会社に対しても，被害状況，問題箇所，対応策等について問い合わせたところ，平成２８年１２月１３日，上記管理会社から，現コンテンツの多数のファイルが改ざんされた可能性が考えられるため，全てのファイルの削除及び再構築を検討するよう勧告を受けたこと。

(6)原告としては，同一サーバー上で全てのファイルを削除し，再構築を実施するにはデータの退避，システムの再構築，データの再移行という作業を要するのに対し，これより簡易な作業で全てのファイルの削除及び再構築をした場合と同様の効果の得られるサーバーの移転の方が費用として低額になると考え，その見積りを取ったことがあったこと

(7)もっとも，原告は，個人情報の漏えいが確認されなかったこともあって，当審口頭弁論終結日である平成３０年７月２０日まで，本件システムのサーバーを移転しないまま本件システムの使用を継続しているが，１日当たり数十件の匿名ユーザーアカウントによる攻撃を受けることがある

という認定がなされています。これをもとに裁判所は、争点(1)（被告の使用者責任の成否）について

原告からの発注に係る本件システムの制作を担当した被告の被用者にはエスケープ処理の実施等，ＳＱＬインジェクションに対する対策を講ずべき注意義務があったのに，これを怠っていた点で，少なくとも過失による不法行為が成立し，被告の事業の執行についてされたものであることが明らかである一方，使用者である被告が上記被用者の選任及びその事業の監督について相当の注意をしたという事情はうかがわれないから，被告の使用者責任（民法７１５条１項）が成立するというべきである。

としています。

この上で、原告の損害の発生及び額については、上と同様に表にまとめます。

	項目	認容金額	趣旨	裁判所の判断
1	Ｐ社による調査と対策	４７万５２００円	セキュリティ診断費用２５万９２００円＋ＳＱＬインジェクション対策費用２１万６０００円	本件システムのＳＱＬインジェクション対策としては原告の依頼したＰ社による調査と対策が相当な措置であった
2	詳細な調査，抜本的な修正費用	NG	詳細な調査，抜本的な修正費用（６４０万円）	制作代金を大幅に上回る高額なもの、サーバー移転との併用を前提、より詳細なセキュリティ診断や本件システムの抜本的修正を行う必要があるとはいえない、などから相当因果関係のある損害とは認められない
3	代替措置	３５万６４００円	サーバー上の全ファイルの削除及び再構築を実施すること又はこれに代替する措置	代替措置として適切
4	売上減	１１万９４９５円	Ｐ社による本件システムのＳＱＬインジェクション対策を実施するために本件システムの稼働を２日間停止せざるを得ず，この間，全く売上げがなかった	２１８０万８００９円×２日／３６５日 として計算
5	システム停止期間（４日間）の売上減/ＤＮＳ情報が浸透するまでの期間（２日間）の売上減	NG	詳細な調査，抜本的な修正を講ずる際の本件システム停止/サーバーの移転に伴い，ＤＮＳ情報が浸透するまで	前者にあっては，その前提を欠く、後者にあっても，売上減は容易に回避し得る

とされています。

C 平成25年7月24日判決

これは、ジェイコム株式誤発注訴訟・控訴審の判決になります。

ネット上の記事ですと

• ようやく賠償が確定、記事で振り返るみずほ証券-東証裁判の10年(日経XTech)
• 判決自体の速報 –速報］みずほ証-東証の株誤発注控訴審、一審と同じく東証に107億円賠償命令、バグの重過失認めず
• 伊藤先生の記事 ジェイコム株誤発注事件控訴審 東京高判平25.7.24（平22ネ481号，1267号，1268号）
• 角田美穂子「証券取引所が取引参加者に対して負う契約上の債務についての覚書」

あたりが、参考になるかと思います。

この事件は、きわめて大きなニュースになったのですが、事実については、裁判所の事実認定でもう一度見てみます。

事実関係

3.１　当事者

東京証券取引所(被控訴人)-証券市場を開設

みずほ証券(控訴人)-被控訴人との間で取引参加者契約を締結し，被控訴人の取引参加者

3.2 事件の時系列

1. 平成１７年１２月８日，被控訴人が開設する市場において，ジェイコム株式会社の株式につき，顧客から委託を受けて，「６１万円１株」の売り注文をするつもりのところを，誤って，「１円６１万株」の売り注文（以下「本件売り注文」という。）をなした。
2. その後，控訴人が本件売り注文を取り消す注文を発した
3. 上記取消注文の効果が生じなかった(これは、被控訴人のコンピュータ・システムに瑕疵があり，また，被控訴人が売買停止措置等をとらなかったため)

3.3 請求原因

被控訴人は

1. 控訴人の取消注文に基づき本件売り注文の取消処理をする債務の履行を怠った(債務不履行①)
2. 取引参加者契約上負っていた本件売り注文につき付合せを中止する義務を怠った又は(債務不履行②)
3. 本件売り注文につき負っていた売買停止措置をとる義務を怠った(不法行為③)

被控訴人に対し，債務不履行（①②）又は不法行為（③）に基づく損害賠償として，売却損，取引参加料金，クリアリング機構清算手数料及び弁護士費用相当額の合計４１５億７８９２万４５７０円並びにこれに対する請求の日の後の日（上記①に基づく請求については平成１８年９月１６日，上記②に基づく請求については平成２０年２月２６日）から支払済みまで商事法定利率年６分の割合による，又は，不法行為日である平成１７年１２月８日から支払済みまで民法所定の年５分の割合による遅延損害金の支払を求めた事案である。

ということになります。

3.4 東京高等裁判所の判断

全般

原審は，

控訴人の請求のうち１０７億１２１２万８５０８円並びにうち債務不履行ないし不法行為に基づく損害金１０５億１２１２万８５０８円に対しては，平成１７年１２月８日から平成１８年９月１５日まで年５分の割合による遅延損害金及び同月１６日から支払済みまで年６分の割合による遅延損害金並びにうち不法行為に基づく損害金２億円（弁護士費用）に対しては，平成１７年１２月８日から支払済みまで年５分の割合による遅延損害金を認容

しました。

これに対して、控訴人が控訴し、被控訴人が附帯控訴及び民事訴訟法２６０条２項の規定による裁判を申し立てた事案となります。

裁判所は、

被控訴人には、適切に取消処理可能なコンピュータ・システム提供義務の不履行が認められるが、重過失が認められないから本件免責規定が適用されるなどとして、債務不履行責任は否定したが、同人には、売買停止義務違反による不法行為が成立し、重過失が認められるから本件免責規定は適用されないとした上で、重大な落ち度のある控訴人につき３割の過失相殺をし、附帯控訴に基づき原判決を変更するとともに、本件申立てを一部認容

した事例ということになります。

取引参加者契約に基づく債務不履行

これについては、さらに

1. 控訴人と被控訴人との間で平成１３年１１月１日に締結された取引参加者契約（以下「本件取引参加者契約」という。）により，被控訴人はどのような内容の債務を負ったか，
2. 本件において取消注文の処理が実施できなかったことは，債務不履行に当たるか
3. 本件免責規定により被控訴人は，債務不履行責任を免れることができるか

という三つの論点に分けられています。

これらの論点について、裁判所は、この点については

この取引に参加する資格（市場参加の資格）と本件売買システムの利用とは現状においては表裏のものであるから，被控訴人は，控訴人に対して，単に取引に参加させる債務のみならず，本件売買システムを利用して取引させる債務（取引参加者が取引に参加するために本件売買システムを提供する債務）を負うことになる

という判断を前提に、

取引参加者契約の債務の性質

この点については、被控訴人の開設する取引所有価証券市場の施設を本件売買システムを含めて取引参加者に提供する債務にほかならない。そして，通常の注文処理過程においては，取引参加者が本件売買システム上で個別に注文を入力した場合に，被控訴人が，機械の反応とは別個に，具体的な行為をすることが予定されてはいない。そうすると，

被控訴人としては，本件売買システムを提供する債務はあるが，それを超えて取引参加者が個別に注文を入力する都度，当該注文を実現させるため具体的な行為をなす債務（義務）を被控訴人が負うものと解することはできない。

被控訴人は，取消処理ができるコンピュータ・システムを提供する債務（狭義のシステム提供義務）を負うと解される。これは基本的債務である。そして，信義則上，基本的債務のほかに被控訴人においてコンピュータ・システム以外にフェールセーフ措置を講じるなど適切に取消処理ができる市場システムを提供する債務（義務）を負う」(付随的債務（義務）)、フェールセーフ措置を講じるなど適切に取消処理ができる市場システムを提供する債務については，一定の裁量に委ねられるものと解される。これに加えて，「ルール整備は，システム提供債務（義務）の付随的債務（義務）に止まるものであるから，被控訴人が控訴人の主張するような措置を講じなかったとしても，被控訴人に著しい裁量の逸脱等の特別の事情がない限り，債務不履行になるものとはいえない。

という判断がなされています。

取消注文の処理が実施できなかったことの債務不履行該当性

この点については、本件売買システムには本件バグが存在し，本件売り注文に関して，本件売買システム上での取消処理が実現されないという本件不具合が発生したことから、適切に取消注文処理ができるコンピュータ・システムを提供する債務（狭義のシステム提供義務）の履行は不完全であったと認められるとしています。なお、「わが国においてベンダーとして定評のある富士通を本件売買システムの開発担当ベンダーに選定したこと，要件確認書をもって要件定義がされたこと等，被控訴人の主張する各事実を勘案しても，帰責事由がないとはいえない。」という判断もなされています。

免責規定の適用について

さらに免責規定の適用の有無、 免責の成否に分けて検討されています。免責規定の適用の有無というのは、という定めについて

債権者が債務者（被控訴人）の故意・重過失を立証することにより，被控訴人の責任を問うことができるものと解するのが相当である。したがって，本件免責規定によれば，故意・重過失の主張・立証責任は控訴人にあると解される。

としています。

ここで、重過失があるかどうかの問題になります。重過失とは、結果の予見が可能であり、かつ、容易であること、結果の回避が可能であり、かつ、容易であることという要件を前提にした著しい注意義務違反のことをいうとの解釈が示された上で、この問題は、バグの作込みの回避容易性又は本件バグの発見・修正の容易性が認められることであるという解釈が示されています。その上で、

現在においては本件バグの存在と本件不具合の発生条件が明らかになっているところ，その結果から本件バグの作込みの回避容易性等について議論する（いわゆる後知恵の）弊に陥ることがないように判断することが要請される。

とされています。この問題ですが、

控訴人の主張に沿う意見書と被控訴人の主張に沿う意見書が提出されている。そして，控訴人提出の上記意見書をもってしても，被控訴人提出の上記意見書が相応の合理性を有することを否定できないから，控訴人提出の上記意見書を採用することは困難である。

とされています。その結果、本件においては，被控訴人の重過失（著しい注意義務違反）の要件である結果の予見が可能であり，かつ，容易であること，結果の回避が可能であり，かつ，容易であるとはいえないことになるので、

被控訴人は，取消注文に対応することのできない売買システムを提供するという債務不履行があったが，重過失があったものと評価することはできない。

ということになります。

売買停止義務違反に基づく不法行為への免責規定の適用

この論点については、本件免責規定は、不法行為責任にも適用されるところ、市場における円滑な流通を阻害する異常があるものとしてさほどの困難を伴うことなく認識することができた後、本件銘柄の売買停止が可能であった時点において、売買停止措置を講じなかった場合には、公益を害することになるばかりか、投資家の一部に損害が生じることの予見が可能であり、かつ、容易であったものと解され、また、売買停止措置を講じることは、要件を具備すれば可能であり、かつ、内部手続を履践すれば容易であることは明らかであるから、被控訴人の売買停止義務違反につき、重過失が認められるとしています。

D 平成23年8月26日事件

脆弱性もしくは、可用性に関する判決とは、ことなりますが、平成23年8月26日事件があります。

これは、原告が、被告から人材紹介業務に関する本件システムの構築等を請け負ったと主張して、被告に対し、請負代金等の支払を求めた（本訴）ところ、被告が、本件請負契約に基づく原告の債務が履行不能となったと主張して、原告に対し、債務不履行に基づく損害賠償を求めた（反訴）事案です。

この事件において、裁判所は、本件システムの完成を認定して、原告の本訴請求を認容する一方、原告は本件システムのフロント系とバックヤード系両方のシステムを継続的かつ安定的に稼動させる債務を負っていた旨の被告の主張を排斥して、原告の債務不履行責任を否定し、被告の反訴請求を棄却しました。

Aの平成26年1月23日判決が、「システム発注契約を締結した時点において、その当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供することが黙示的に合意されていた」とセキュリティ対策の要求が、いわば、広めに認定されているのに対して(もっとも、保守契約もあった)、この判決は、「継続的かつ安定的に稼動させる債務」を認めていないという特徴があるといえると思います。

争点３について、ということになります。

継続的かつ安定的に稼働させる債務
被告は，原告において，本件システムのフロント系とバックヤード系両方のシステムを継続的かつ安定的に稼働させる債務を負っていたと主張する。
しかし，本件システムにつき，障害の発生を予防をし，安定的に運用できるようにすることは，本来，保守・運用の業務に当たると解され，これらは本件基本契約において，別途契約すべきことが定められている（第３条３項）。また，上記２(2)イのとおり，本件システムの安定性について特段の合意があった様子がなく，被告において，本件システムの不安定性を理由として，債務不履行を主張し得る余地は小さいといわざるを得ず，仮にそのような主張の余地を認めるにしても，システムの安定性を要件とする場合としない場合がある中で，要件としない場合のシステム開発（しかもユーザーの目的の達成が保証されないことが明示的に定められている場合）において，どの程度の安定性があれば債務不履行となるのかは容易に確定し難く，上記２ア程度の状況をもって，債務不履行といえるのかも直ちに判断し難い。

安定性確保のレベル

このように原告が債務として負担する安定性確保のレベル（以下「本件レベル」という。）は，仮にこれを債務の内容と認めるとしても，具体的な特定は困難で，少なくとも高水準のものと考えることはできない。

原因等について

裁判所は、本件システムが安定的に可動しなかった原因について

本件システムの画面数が当初の想定より増加したこと

メモリ領域の設定不良（パーマネント領域）の不足が原因である

との原告の分析を前提に、その分析は，

合理的であって，パーマネント領域を拡張する設定を行うことによって，メモリー不足による本件システムの障害が解消・改善される可能性を直ちに否定できない。
更に，本件システムと同一のパッケージソフトを利用して他社に導入されているシステムが，現在，本件システム以上の画面数でありながら稼働してる様子であること，当該パッケージソフトをカスタマイズしても，カスタマイズ部分も含め，同一のフレームワークがメモリー管理をしており，カスタマイズによって新たなメモリーリークが生じる可能性が乏しい様子であること（甲７６，原告代表者）を考慮すると，平成１８年８月１７日時点において，本件システムについて，以後，高水準とは認め難い本件レベル程度の安定性を確保することが，原告において，客観的に社会通念上不能であったとは認められない。

としています。そして，その後，上記の判断が変更されるべき特段の事情が生じたことは，証拠上認められないとして、履行不能を理由とする原告の債務不履行責任は認められないとしています。