管理画面のアクセス制御がなされていないこと等の脆弱性を有するサイトを構築したベンダの責任が問われた事例。
事案の概要
X(原告)は、Y(被告)に対し、ホームページの制作、オンラインショップ機能の組み込み等の業務を委託し(本件契約)、Yは、平成29年(2017年)5月25日に、構築したウェブサイト(本件サイト)を納品した。
令和2年(2020年)7月10日に、Xの決済代行会社から、本件サイトからクレジットカード情報が漏えいした疑いがあるとの通知を受け、フォレンジック調査を実施したところ、アプリケーションログ(admin.log)が公開領域におかれており、管理画面へのアクセス制御も行われていなかったことから、admin.logに記録されたセッションIDを使用することで、管理画面への侵入可能な状態にあったことが判明した。
その結果、攻撃者は、システム内に侵入し、バックドアファイルを設置し、クレジットカード情報を流出させたと考えられた。また、本件サイトは、PCI-DSSの要件6*1に準拠していないという調査結果も出た。
そこで、Xは、Yに対し、本件サイトを構築するにあたり、本件契約の義務を尽くしていないとして、クレジットカード会社等からの請求(フォレンジック調査費用、再発行費用、不正利用被害賠償)、本件サイト閉鎖中の機会損失などの約1027万円の損害賠償を請求した。Xは、Yの代表取締役Y1に対しても、会社法429条(役員等の第三者に対する損害賠償責任)に基づく請求も行った。
ここで取り上げる争点
債務不履行の有無
裁判所の判断
判決文を見る限りは、Yは強く争っていない(具体的な主張が記載されていない)ようであり、Xの主張がほぼそのまま認められた。
Yは,本件サイトがオンラインショップの機能を有し,顧客のクレジットカード情報を扱うのであるから,本件サイトを構築するにあたって,顧客情報が漏洩することのないよう,クレジットカード会社が定めるセキュリティの要件を満たすよう,サイトを構築するべき義務があるところ,その義務を怠り,本件サイトから顧客のクレジットカード情報が漏洩する原因を作ったのであるから,Yの本件契約の履行は契約の要求水準を満たさない不適合があったものというべきである。また,Y1は,Yの唯一の取締役として,業務の監督を行うべき義務があるが,上記のようなYの業務の遂行状況は,基本的な義務を怠ったものといえ,Y1としても重大な過失によって監督義務を怠ったものといえる。
損害についても、売上の喪失について、直近3カ月の1日あたり平均売上にサイト閉鎖期間(15日)を乗じた額を認めたほか、Xが主張した損害のうち、自社の従業員の人件費相当額を除いた約1009万円を認容した。
若干のコメント
本文中でも述べたように、被告としては積極的に義務の内容や、履行の有無について争った形跡が見られず、結果的に、「重過失」(会社法429条の請求が認められるには役員等による悪意又は重大な過失が必要です。)までも認められています。
本件は、フォレンジック調査の結果、アプリケーションログが公開領域におかれていて、管理画面に侵入するセッションIDの取得が容易な状態にあったことが判明しているため、仮に争ったとしても、債務不履行が認められた可能性は高いだろうとは思われますが、セキュリティ仕様についてどのようなやり取りが行われたのか(行われなかったのか)、本件サイトの稼働後の保守等もYが担当したのか、といった事情が明らかになれば、結論に影響した可能性はあります。
この種のセキュリティインシデントに関する公開事例は多くないため、貴重な裁判例ではあるものの、判決文では、Yへの委託金額*2や、本件サイトの規模感なども不明であるため、あまり先例としての影響力はないだろうと思われます。
