衝撃の判決の結果は!?

横田 武志 [PR]

横田武志のコラムはこちら
コラム#1:ECサイトへのサイバーセキュリティの現状
http://ecnomikata.com/ecnews/backyard/6651/

攻撃により某ECサイトからクレジットカード情報が漏洩

前回のコラムで、サイバー攻撃を受けたECサイト運営者とシステム開発会社で争いになり民事裁判に発展したケースもあり、既に判決もでています。と書きましたが、今回はこの件について、書いていきたいと思っています。

2014年1月に東京地裁で出された判決で、システム開発会社などの間では話題になっているのでご存知の方も多いかとは思います。2011年4月、SQLインジェクション攻撃により某ECサイトからクレジットカード情報が漏洩。ECサイト運営者は、システム開発会社がSQLインジェクション脆弱性の対策を怠ったとして提訴。
ECサイト運営者の勝訴。東京地裁は2,000万円超の損害賠償金を支払うよう、システム開発会社に命じた。判決では、被告であるシステム開発会社は「専門家としての責務」を果たしていない(経産省およびIPAからの注意喚起が「専門家として当然はたすべき責務」の基準と判断された)との判断。また、SQLインジェクション脆弱性が(仕様書に明記されていないにもかかわらず)システム開発会社の未対策だったことが重過失であると認定され、契約書では損害倍賞の制限条項があったが、「重過失による場合は無効」と判断。

今回のケースで上記のような判決になりましたが、ケースによって今後判決がどうなるかわかりません。ただ、一つ言えるのは、前回コラムで書いた、「セキュリティ対策に対する見解の違い」が続く様であれば、同様の争いが今後も数多く続くのではないかという事です。自社のリスクを回避するためには、受注者側であるシステム開発会社は今後、経産省やIPAが公開しているような、基本的な脆弱性については、発注者から要求がなくても、セキュリティ対策しておくべきですし、発注者側は仕様書にセキュリティ対策を明記する事が重要です。

私としては今後、開発設計時にセキュリティも含まれることが、あたり前になっていくキッカケの一つになれば良いなあと思っています。


著者

横田 武志 (Takeshi Yokota)

2010年8月、株式会社サイバーセキュリティクラウド設立。代表取締役に就任。2015年4月、ファウンダーに就任。2015年9月、サイバーセキュリティアカデミー設立。アカデミー長に就任。サイバーセキュリティの専門家として、サイバーセキュリティ関連の講演を多数行う。ECサイトのサイバーセキュリティ問題の多くに携わり、問題を解決。サイバー攻撃の傾向を察知し、ECサイトの脅威を取り除くために尽力している。

http://www.cscloud.co.jp/