自社商品をウェブサイト上で販売するための商品受注システム(Eコマースサイト)の開発等をベンダに委託したところ,ベンダが開発したアプリケーションに脆弱性があったため,当該Eコマースサイトを利用した顧客のクレジットカード情報が流出しました。ベンダに対して当該情報漏えい事故に関する責任を問うことはできるでしょうか。

Eコマースサイトの開発のようなシステム開発委託契約においては,ベンダは,明示的に合意されたとおりのアプリケーションを開発・提供すれば足りるわけでなく,契約当時の技術水準に沿ったセキュリティ対策を施したアプリケーションを開発・提供する義務を負うものと解されることが一般的と考えられます。よって,情報漏えいの原因となったアプリケーションの脆弱性が,契約当時の技術水準に沿っていれば対策されているべきものである場合には,ベンダに対して債務不履行責任を問うことができる可能性があります。

1.システム開発委託契約におけるベンダの義務

システム開発では,上流工程でベンダが開発すべきシステムの仕様等が合意され,ベンダは当該仕様等に沿って開発作業を行うことになります。もっとも,ベンダは明示的に合意された仕様等に沿ったシステムを開発・提供すれば足りるわけでなく,(少なくとも黙示的には)契約当時の技術水準に沿ったセキュリティ対策を施したシステムを開発・提供する義務を負っていると判断されることが多いと考えられます。
ベンダがこの義務を履行せず,それが原因となって損害が発生した場合は,ベンダは債務不履行による損害賠償責任(民法415条)を負う可能性があります。

2.設問と類似した事案に関する判決(平成26年判決)について

設問類似の事案でベンダの損害賠償責任を認めた事例として,東京地裁平成26年1月23日判決(平成23年(ワ)第32060号,以下「平成26年判決」といいます。)があります。
平成26年判決は,被告がEコマースサイト構築のための無償配布ソフトウェアをカスタマイズして作成した原告向けアプリケーションにおいて,原告の顧客のクレジットカード情報が流出したという事案です。平成26年判決では,カード情報流出の原因がアプリケーションに対するSQLインジェクション攻撃であると認定され,その攻撃への対策は経済産業省の注意喚起等により,契約当時に広く知られていたことが認定されました。
そのうえで,被告(ベンダ)はSQLインジェクション対策を施したアプリケーションを提供すべき債務を負っていたにもかかわらず当該債務を履行しなかったとし,被告の損害賠償責任を認めています。

3.実務上の留意点

平成26年判決も判示するとおり,システム開発を受託したベンダは,契約に明示的な規定が置かれていない場合であっても,その当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供することを(少なくとも黙示的に)合意していたものと解される可能性が高いところです。ベンダとしては,その時々のセキュリティ対策の技術水準を把握しておき,当該技術水準に沿った対策を講じることが重要でしょう。
その他,契約上の手当としては,万が一の場合に備えてベンダの損害賠償責任の範囲を制限しておくことが考えられます。ただし,このような免責規定は慎重に作成しておかないと「適用不可」とされてしまうリスクがありますので,注意が必要です。この点については「裁判例に学ぶ免責規定作成時の注意点」もご参照下さい。

2019年9月13日