エンジニアのための刑事手続入門IT技術者が被疑者として捜査を受ける場面を想定し,刑事手続の流れや弁護活動のありかたについて解説します。
SQLインジェクション対策もれの責任を開発会社に問う判決
ポイントは下記の通りです。 X社(原告)はセキュリティ対策について特に指示はしていなかった 損害賠償について個別契約に定める契約金額の範囲内とする損害賠償責任制限があった 当初システムはカード決済を外部委託し直接カード情報を扱っていなかった X社が「カード会社毎の決済金額を知りたい」とY社に依頼をして、その結果カード情報をいったんDBに保存する仕様となった(2010年1月29日) X社からの問い合わせに対してY社は、カード情報を保持しない方式に変更することが可能で、そのほうが安全となり、費用は20万円程度である旨を伝えた(2010年9月27日)が、その後X社は改良の指示をしなかった 以下の脆弱性その他が認められた システム管理機能のIDとパスワードが admin/password であった 個人情報が記載されたお問い合わせログファイルの閲覧が可能(ディレクトリリスティングと意図しないファイ
クレジットカード情報の漏えい事故の責任 東京地判平26.1.23判時2221-71 - IT・システム判例メモ
クレジットカード情報が漏えいしたことについて,ウェブサイトの保守事業者の責任が問われた事件。 事案の概要 XはYに対して,平成21年2月4日,Xのウェブサイト(本件ウェブサイト)のウェブ受注システム(本件システム)の導入を合計約900万円で発注した。本件システムは,EC-CUBEをカスタマイズして開発された。Yは,本件システムを完成させ,平成21年4月頃に検収を受け,同月15日から本件ウェブサイトが稼働した。XとYとの間では,何度も発注が繰り返され,代金合計は約2000万円に上った。 その後,XとYは,本件システムの利用を毎年更新した。Yは,Zとの間でサーバ利用契約を締結し,Zが設置したレンタルサーバ(本件サーバ)に本件システムのデータを保存していた。 平成22年1月に入り,YはXの依頼を受けて本件システムを変更し,顧客のクレジットカード情報(カード会社名,カード番号,有効期限,名義人,支
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
BLOGOS サービス終了のお知らせ
http://www.softic.or.jp/semi/2014/5_141113/op.pdf
