SQLインジェクションによってクレジットカード情報を含む顧客情報が漏洩したとして、あるオンラインショッピングサイトの運営会社がシステムを開発した会社に対し損害賠償を請求していた裁判で、東京地裁がシステム開発会社の落ち度を認め、約2262万円の損害賠償の支払いを命じる判決が出たそうだ(セキュリティ研究者・徳丸浩氏の日記、北海道大学大学院法学研究科の町村泰貴教授のブログ)。 詳しくは徳丸氏の日記を参照して欲しいが、このサイトではSQLインジェクションだけでなく設計上不適切と思われる点が複数あり、裁判所は必要なセキュリティ対策を講じる責務を怠ったとし、また契約にあった損害賠償責任制限についても、故意あるいは重過失に起因する損害については責任制限の範囲外とするとして損害賠償の支払いを命じたとのこと。また、開発会社がカード情報をデータベースに保存しない方式を提案したが運営会社はそれを採用しなかった点