ベンダが提供していない決済モジュールの不具合による情報漏洩事故 東京地判令2.10.13（平28ワ10775） - IT・システム判例メモ

ＥＣサイトにおけるクレジットカード情報漏洩事故が、決済代行業者から提供されたモジュールの不具合があったという場合において、開発ベンダの責任がモジュールの仕様・不具合の確認まで及ぶか否かが問われた事例。 事案の概要 Ｘが運営するＥＣサイト（本件サイト）において、顧客のクレジットカード情報が漏洩した可能性があるとの指摘を受けて、Ｘは、本件サイトにおけるクレジットカード決済機能を停止した（本件情報漏洩）。その後、Ｘはフォレンジック調査を依頼し、不正アクセスによってクレジットカード会員情報が漏洩したこと、クレジットカード情報はサーバ内のログに暗号化されて含まれていたが、復号することが可能だったこと、漏えいした情報は最大で約6500件だったこと等が明らかとなった。 Ｘは、本件サイトを、Ｙとの間で締結した請負契約（本件請負契約）に基づいて開発したものであって、本件サイトの保守管理についても本件保守管理

[aaasukaaa]

IPAも言ってる要件定義は発注者の責任である、という原則が守らた判断で安心した。この意識、発注側に低すぎるからもっと周知されますよう。月五万の運用も安すぎhttps://www.ipa.go.jp/archive/publish/qv6pgp0000000xa0-att/000005109.pdf

[shaokuz]

優秀な裁判官だな こんなんでベンダの責任にされたらたまったもんじゃないだろ

[camellow]

"復号"のことを（よくある間違いの）"復号化"ですらなく"複合化"と書き続けてる文章を信頼して良いのか悩みながら読んだ

[kent4989]

“ユーザも発注者として「自分は素人だが、うまくやってくれるだろう」という発想から脱却すべきであろうと考えます。” ほんそれ

[gratt]

月五万で青天井の賠償責任を負わせるのはカンベン。

[hobbiel55]

妥当な判決だな。クライアントに提供されたモジュールに不備があって発生した被害をベンダの責任にされたらたまらん。

[nP8Fhx3T]

ユーザーの訴えからとにかく自分で自分の責任は負いたくないという強い意志が感じられる。

[accent_32]

イーロン情報漏洩かましたのかと思ったら違った。でも社名一文字だとこういう判例記事でヒットして後々色々な誤解生みそうだよなぁ。

[moritata]

SBPSこんな仕様あったんか、やべーな‥ 月5万円の仕事でここまで言ってくる相手だからなあ、普段から注意してて、弁護士とかもあたりつけてたのかも

[chikurou]

月5万だと同じようなサービスを20〜30個メンテしてようやく一人月かな。月160時間とすると1つ、5時間？　調査だけで終わっちゃいそう

[sonots]

SBPS “ クレジットカード情報をログに記録する仕様で、セキュリティ脆弱性があった“ :eyes:

[toritori0318]

裁判官の方有能すぎる

[havanap]

SBPS相手に訴訟するとどうなるんだろう

[kobito19]

わろた。ＰＣＦ社の調査能力が低かったりＳＢＰＳ社のモジュールの仕様のせいでとばっちりうけとるやんけ

[rrringress]

導入のみの契約、パスワードポリシーやPCIDSS準拠意識の欠如がこの結果に繋がってそう。SSHとウェブ管理画面のくだり、容易なのか困難なのか文意が取れなかった。

[emt0]

何で要件定義も何もできないITパスポート未満の情シス抱えた企業多いの？

[iinalabkojocho]

マトモな判決。しかしここまでの疑問を呈することができる法曹がどれだけいるのかが極めて深刻かと。弁護士は当然として裁判官も。

[torish]

安すぎるのに要求高すぎるのよほんと。

[yamamototarou46542]

「複合化することが可能だったこと」これは変な文章だな。「復号できること」で良いのでは／「可能性があるということも十分にあるでしょう」これは悪文。「原因もありうるでしょう」で良いのでは

[beed]

裁判官ってマジで大変だよな。弁護士と違って仕事選べないし、同じ人が医療裁判や知財裁判もやってて、どの分野でもめちゃくちゃ高度な専門知識が必要なんだもん。

[orangehalf]

システム開発の知識がしっかりしている裁判官という印象だけど今は他の裁判官もIT技術にこのくらい詳しいのかな。訴えるなら改変不可なモジュールを提供され組み込んだ開発会社ではなく決済代行会社を訴えるべきよね

[a96neko]

1ヶ月5万円の契約なのに7800万円の損害賠償は、割に合わないよ

[dagama]

ベンダ側も、自分が作ったシステム全体で吐き出してるファイルも把握してないのはマズいし、ログ吐かれるなら決済モジュール処理後に削除するぐらいの手は入れられるわけで技術レベルは低そうだなという感想

[natu3kan]

無理な注文しておいて、製造者に責任まで押し付けられないわなあ。注文した人の責任だろうし。

[taguch1]

安い仕事は受けないこと。

[blueeyedpenguin]

戦う相手を間違ってる。Yとの関係が悪化したらシステムの改修費用がかさむよ

[higgsino]

複合化？複数の暗号化手段を適用すべきなのにしなかったと言っている？でも話がおかしいなと思ったら復号のことかいｗ

[toro-chan]

ECサイトを運営してるのに、重要な決裁モジュールのことを知らないってのは何なん?と思う。よく訴える気になったなという印象。ECサイトはまさしく情報技術の賜物なのに何故知らなくていいと思ったのか。。

[paradisemaker]

発注者が月5万円しか払ってないのに第三者起因のトラブルの責任をベンダーに全て押し付けようとして負けた事例。当たり前。

[tinsep19]

決済代行業者の決済モジュールに脆弱性あるので、決済代行業者がPCI-DSS違反でしょ。脆弱性情報が事前にでていればまだしもだし、それも発注者側で管理すべき事項かな

[matsui]

“ベンダが開発した部分でないモジュールに脆弱性があったというもので、その導入に責任がないことに加え、テスト等で検出する責任もないとされました。却って、加盟店であるユーザにPCI DSSに準拠する責任があった”

[nakag0711]

sbpsなんかい。しかし最近は裁判所もなかなか突っ込んで判断するのね

[mohno]

「決済代行会社から提供されたモジュール」に問題があったということなの？開発する側としては、そんなんで責任問われたら困るけど、発注する側もそんなところに問題があるとは思わないよね。決済関係の仕事、怖い。

[K-Ono]

地裁でここまで「マトモ」な判決文が読める時代になったのだなあ。

[yamadar]

ちゃんとした判例ができて良かった

[fa11enprince]

複合化？って何だろう。新しい用語？復号化？の間違い？

[ya--mada]

SBPSの決済モジュールを何に組み込んでたの？ec-cubeか？woo commerceか？それとも独自？/コメント読んでて、裁判官にはレビュアーいるのか疑問を持った。

[toaruR]

「複合化」を表現の誤りとするなら、複合したデータ（元データと同一とも限らず）を複合と呼べなくなるし、暗号化したデータを暗号とも呼べなくなるような（´－｀）暗号化と暗号を分ける割に暗号キーなのも気になる

[honeniq]

裁判官が分かってる人でよかった

[strawberryhunter]

損害賠償は発注金額を上限とするように契約書には明記しておきたい。