ECサイトのSQLインジェクション対策漏れで損害賠償を認めた判決に注目


システム開発に関する裁判で注目されるものがありました。SQLインジェクション対策漏れの責任に関するものです。
 

概要

2010年、ECサイトで最大7316件のクレジットカード情報漏洩が発生しました。その後、ECサイト運営側がシステム開発会社を訴えて、東京地裁はシステム開発会社に対して約2262万円の損害賠償を支払うように命じました。
 
ちなみに、EC-CUBEというオープンソースをもとに作られたECサイトの脆弱性を突かれたものです。
 

判決内容

ECサイト運営側はセキュリティ対策について特に指示しておらず、仕様書に記載はないが、SQLインジェクション対策を怠ったことは重過失として損害賠償を命じる、という判決が平成26年1月23日に出ました。
 
なお、損害賠償請求したうち、おわび等にかかった費用は全額認められたが、機会損失はほぼ認められず、また、クレジットカード情報の処理について安全な方式をシステム開発会社から提案したが採用しなかったため、過失相殺3割を認定しています。
 

まとめ

従来は、仕様書に記載のあるものが作られているか否かが重要と考えられていましたが、基本的なセキュリティ対策は言われなくても実施しないといけないということです。