IT・システム判例メモ

弁護士 伊藤雅浩が,システム開発,ソフトウェア,ネットなどのIT紛争に関する裁判例を紹介します。

脆弱性対応(Heartbleed)の責任の所在 東京地判令元.12.20(平29ワ6203)

クレジットカード情報漏えい事故に関し,その原因の一つと考えられる脆弱性対応が運用保守業務に含まれていたか否かが争われた事例。

事案の概要

Xは,Xの運営する通販サイト(本件サイト)を第三者に開発委託し,運用していたが,その後,2013年1月ころまでに,Yに対し,本件サイトの運用業務を月額20万円で委託した(本件契約)。本件サイトはEC-CUBEで作られていた。なお,XからYへの業務委託に関し,契約書は作成されておらず,注文書には「本件サイトの運用,保守管理」「EC-CUBEカスタマイズ」としか記載されていない。


2014年4月には,OpenSSL*1脆弱性があることが公表されたが*2,本件サイトでは,OpenSSLが用いられていた。
2015年5月ころ,Xは,決済代行会社から本件サイトからXの顧客情報(クレジットカード情報を含む)が漏えいしている懸念があるとの連絡を受け(本件情報漏えい),Xは,クレジットカード決済機能を停止した。


Xは,Yに対し,本件契約に基づくYの債務には,OpenSSLの脆弱性対応も含まれるところ,これを怠り,それによって本件サイトから本件情報漏えいが生じたとして,本件情報漏えいに伴ってXに生じた損害(ユーザへのお詫びクオカード代,調査費用,逸失利益等の合計約1.6億円)の賠償を求めた。

ここで取り上げる争点

本件契約における委託業務にOpenSSLの脆弱性対応が含まれていたか。

裁判所の判断

裁判所は次のように述べて,Yの債務にはOpenSSLの脆弱性対応は含まれていないとした。

本件契約における当事者の合意内容をうかがわせる本件注文書(甲4)に委託される業務として記載された「本件サイトの運用,保守管理」との記載は,本件サイトが直ちに本件システム全体を意味するとまではいえない以上は,少なくともその文言上,これに本件システム全体を対象とする業務が含まれることが直ちに読み取れるとまでいうことはできず,また,同じく本件注文書に委託される業務として記載された「EC-CUBEカスタマイズ」との記載についても,EC-CUBEはインターネット上の通販サイト用のソフトウェアの一つである一方,OpenSSLはインターネット上の暗号化通信に用いられるオープンソースソフトウェアであり,両者は全く性質の異なるソフトウェアであることから,このような記載に係る業務にOpenSSLに関するセキュリティ対策業務が含まれている旨を直ちに読み取ることも困難であって,EC-CUBEにおいてOpenSSLを経由した通信がされるからといって,EC-CUBEのカスタマイズ業務の委託を受けた者が,当然にOpenSSLに関するセキュリティ対策業務の委託を受けたこととなると解することはできない。

かえって,(略)本件注文書のファイル名や業務の件名として,SEO施策(すなわち検索エンジンによる検索結果の改善に向けた業務)と記載されていたことからみて,本件契約による委託の主な目的が,Xの公式サイトである本件サイトの顧客誘引力をいかにして高め,売上げの向上を図るかというマーケティング施策にあったことがうかがわれる。

そのほかにも,Xは,Yの業務範囲に脆弱性対応が含まれていたことについて,さまざまな角度から主張をしていたが,いずれも退けられた結果,Xの請求は棄却された。

若干のコメント

私の知る限り,クレジットカード情報の漏えい事故が発覚するのは,ほとんどは決済代行会社からサイト運営者に連絡が来て調査依頼をされるところから始まります。サイト運営者としては,「なぜうちからだと思ったのか」と聞きたいところですが,詳細に応えてもらえるわけではなく,専門業者(PCFなど)の調査報告に委ねられることになります。その報告書も,事故原因が完全につまびらかにされているわけではないので,モヤっとしたまま対応(顧客対応,当局への報告,対外的リリース等)を続けることが多いです。


本件では,本件情報漏えいが,OpenSSLの脆弱性によって引き起こされたものであるか,という重要な論点もありますが,裁判所はその点について判断するまでもなく,XY間の契約には,OpenSSLの対応業務は含まれていないと判断して結論を出しました。


確かに,裁判所が認定した事実によれば,Yの業務は,EC-CUBEのバージョンアップ等も行われていたものの,システムの保守というよりは,サイトのSEO施策を取るといったマーケティングにフォーカスが当てられていたようです。


しかし,Xからみれば,当時,本件サイトの御守を行っていた事業者はYのみであり,情報漏えいが生じたとなると,その責任を問う先はY以外を置いて他にはなかったものと思われます。サイトの運営者としては,最低限は,どういったビジネス上,技術上の課題があり,自社のスキルやリソースでカバーできない場合にはどうやって外部の専門家を調達することによってカバーするのか,ということを押さえておかなければならないということを感じさせる事案でした。

*1:オープンソースSSL通信のライブラリ

*2:いわゆるHeartbleed問題。