サイバー攻撃で顧客情報が流出！システム会社を訴えることはできるのか？【システム開発と法律】【2022年6月加筆】

サイバー攻撃で個人情報を流出した責任を「ベンダ企業」に負わせることはできるのか

自社のシステムが、サイバー攻撃により、個人情報が流出した。このような脆弱なシステムを作成したシステム開発会社を訴えたい！そのような事例があったときに、システム開発会社は責任を負うのでしょうか？

判例で、サイバー攻撃によって顧客のクレジットカード情報が7000件流失したケースで、システム開発会社の賠償責任を認めた「SQL インジェクション攻撃事件」（東京地裁平成 26 年 1 月 23 日判決）があります。

この事案は、開発代金の合計が約2000万円。システム開発会社が開発を完成し、通販会社がシステムを稼働したところ、何者かがこのウェブ受注システムに対し「SQL インジェクション攻撃」を行い、通販会社の顧客のクレジットカード情報、約7000件が流出してしまったという事件です。

判決では、システム開発会社に対し、通販会社へ約2200万円の賠償を命じる判決をしました。これは、開発代金額を約 200 万円上回る金額が認められたことになります。

IPAのセキュリティ対策「注意喚起」の不実施を根拠とする賠償責任

上記の判例では、平成21年1月のシステム開発契約締結時点で「当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供することが黙示的に合意されていた」として、システム開発会社が「当時の技術水準に沿ったセキュリティ対策実施義務」ともいうべき義務を負う」としました。そして、義務の具体的内容として、以下の点を考慮するとしました。

1. 経済産業省が、SQL インジェクション攻撃によるデータ流出事件が多発していることから、独立行政法人情報処理推進機構（IPA）が紹介するSQL インジェクション対策を重点的に実施することを求める旨の「注意喚起」をしていたこと
2. IPA が「バインド機構の使用」または「エスケープ処理を施したプログラムの提供」により、SQL インジェクション対策をすることが必要である旨明示していたこと

これらの事実をもとに、システム開発会社は「SQL インジェクション対策」として、「バインド機構の使用」または「エスケープ処理を施したプログラムの提供」をすべき債務を負っていたと認定しました。

システム開発会社から提示を受けたリスク対策の不実施を根拠に賠償額の３０％減額

本件では、システム開発会社の担当者が、通販会社の担当者に対して、リスク説明のメールを送っていました。しかし、通販会社は、システム開発会社の説明に基づく対策を行っておりませんでした。

判例では、この事実をもとに、通販会社側の過失であるとして「過失相殺」を行い、損害額から ３０％減額した金額を賠償額として認定しました。

契約上の賠償責任制限条項の不適用

本事例では、システム開発会社と通信会社との間には、システム開発会社の賠償責任について、故意・過失があった場合でも賠償責任を契約金額の範囲に制限するという条項がありました。

しかしながら、本判決は、故意がある場合又は重過失がある場合には、賠償義務の範囲が制限されるとすることは、著しく衡平を害する」として、システム開発会社に故意または重過失がある場合には適用されないとしました。

Tweet