タグ

ブックマーク / itlaw.hatenablog.com (6)

  • ベンダが提供していない決済モジュールの不具合による情報漏洩事故 東京地判令2.10.13(平28ワ10775) - IT・システム判例メモ

    ECサイトにおけるクレジットカード情報漏洩事故が、決済代行業者から提供されたモジュールの不具合があったという場合において、開発ベンダの責任がモジュールの仕様・不具合の確認まで及ぶか否かが問われた事例。 事案の概要 Xが運営するECサイト(件サイト)において、顧客のクレジットカード情報が漏洩した可能性があるとの指摘を受けて、Xは、件サイトにおけるクレジットカード決済機能を停止した(件情報漏洩)。その後、Xはフォレンジック調査を依頼し、不正アクセスによってクレジットカード会員情報が漏洩したこと、クレジットカード情報はサーバ内のログに暗号化されて含まれていたが、復号することが可能だったこと、漏えいした情報は最大で約6500件だったこと等が明らかとなった。 Xは、件サイトを、Yとの間で締結した請負契約(件請負契約)に基づいて開発したものであって、件サイトの保守管理についても件保守管理

    ベンダが提供していない決済モジュールの不具合による情報漏洩事故 東京地判令2.10.13(平28ワ10775) - IT・システム判例メモ
    kura-2
    kura-2 2023/11/03
    丸投げの発注は結構あるだろうな
  • 準委任契約に基づく報酬請求と善管注意義務違反 東京地判令2.9.24(平28ワ28934) - IT・システム判例メモ

    開発は途中で終わった場合でも、準委任契約に基づく報酬請求はできるが、適切な計画立案・実行ができていなかったとして善管注意義務違反が認められた事例。 事案の概要 イベント企画会社Yは、自社の企画するイベントを管理するためのシステム(件システム)の開発をXに依頼することとした。 平成28年3月にXは開発に着手したが、その時点では契約書が取り交わされておらず、4月になって、X・Y間で以下の内容(抜粋)の契約書が取り交わされた(件契約)。 1条2項 件契約は,Xが(中略)業務に従事する技術者の労働をYに対し提供することを主な目的とし,民法上の準委任契約として締結されるものとする。したがってXは,善良なる管理者の注意義務をもって(中略)業務を実施する義務を負うものとし,原則として成果物の完成についての義務を負うものではないものとする。 3条3項 前各項にかかわらず,Yは,Xの件サービスの業務

    準委任契約に基づく報酬請求と善管注意義務違反 東京地判令2.9.24(平28ワ28934) - IT・システム判例メモ
    kura-2
    kura-2 2022/03/25
  • 野村vsIBM事件控訴審 東京高判令3.4.21(平31ネ1616) - IT・システム判例メモ

    東京地裁の判断が覆されてユーザである野村HDの請求が棄却されたことで話題になった控訴審判決。 結論が大きく変わったので,最初に原審と判決の判断の違いをまとめておく。 事案の概要 普段は判決文から自分なりに事案の概要をまとめるのだが,今回は判決文冒頭の記載がわかりなすいのでそのまま引用する(以下,太字などの書式変更は筆者)。 (1)  IBMは,野村HDとの間で,野村証券(野村HDの完全子会社)のSMAFW業務のためのコンピュータシステムについて,パッケージソフト(WM)を利用した開発業務支援等の委託を受ける内容の,開発段階ごとの複数の契約(原判決別紙1の1記載の契約・件各個別契約)を締結した。件開発業務は,平成25年1月4日のシステム稼働開始を目標として,平成22年後半から平成24年後半まで継続されたが,目標時期における稼働開始実現にリスクがあると判断されたことから,平成24年8月下

    野村vsIBM事件控訴審 東京高判令3.4.21(平31ネ1616) - IT・システム判例メモ
    kura-2
    kura-2 2021/06/20
  • コインハイブ事件控訴審判決 東京高判令2.2.7 - IT・システム判例メモ

    マイニングツール,Coinhiveをサイトに設置し,閲覧者にツールを実行させていたことについて,不正指令電磁的記録保管罪の成否が問題となった事件の控訴審判決。一審無罪判決から約10カ月たったところ,高裁で逆転有罪となった。弁護人・平野敬先生より判決文を見せていただいた(ブログで紹介することについても了解を得ています。)。 事案の概要及び原審の判断 当ブログで原審を紹介したので,そちらを参照いただきたい。 itlaw.hatenablog.com 原審では,刑法168条の2第1項の「不正指令電磁的記録」の該当性について,その要件である「反意図性」は肯定したが,社会的に許容されていなかったとまでは言えないとして,「不正性」を否定するとともに,目的要件も否定し,無罪とした。 ここで取り上げる争点 原審同様,反意図性(「その意図に沿うべき動作をさせず,又はその意図に反する動作をさせる」」)と不正性

    コインハイブ事件控訴審判決 東京高判令2.2.7 - IT・システム判例メモ
    kura-2
    kura-2 2020/02/08
  • SQLインジェクション対策不備の責任 東京地判平30.10.26(平29ワ40110) - IT・システム判例メモ

    SQLインジェクション対策をしていなかったことについて開発会社の責任が問われた事例。 事案の概要 Xは,Yに対し,Xの提供する車・バイクの一括査定システム(件システム)の開発を約320万円で委託し,平成24年9月に納品を受けた。 その後Xは,平成28年12月に,IPA*1から,中国のサイトに件システムの脆弱性に関する情報が掲載されているという指摘を受けて,Yに対し,その調査と報告を依頼した。 その結果,件システムには,SQLインジェクション対策が不十分という脆弱性が判明したことから,XはYに対し,その脆弱性はYの被用者の故意過失によって生じたものであるから,使用者であるYには使用者責任があると主張して,民法715条1項所定の損害賠償請求権に基づき,緊急対策費用47万5200円,詳細な調査,抜的な修正費用640万円,サーバー移転費用35万6400円,セキュリティ対策のための件システ

    SQLインジェクション対策不備の責任 東京地判平30.10.26(平29ワ40110) - IT・システム判例メモ
    kura-2
    kura-2 2019/08/31
  • 要件が確定しなかったことにつきベンダに責任がないとされた事例 東京地判平22.7.22(平20ワ16510号) - IT・システム判例メモ

    ユーザがベンダに対し,ベンダが一方的に開発契約を解除したとして,損害賠償を求めたが棄却された事例。 事案の概要 ユーザXは,ベンダYに対し,平成14年9月18日に,Xの人材派遣業務に必要なシステムとして2つのシステムの開発を委託した(契約金額の合計は840万円)。 その後,Yは,9月25日にはソフトウェアの概要仕様を記載したシステム設計書を交付したが,Xは内容不十分であるとして記名押印を拒絶したためシステム設計書は確定しなかった。さらに,下請業者が交替するなどして,翌平成15年9月になってプロトタイプを作成するとともに再度ドキュメントを提出したが,Xは,やはり記名捺印を拒絶し,確定しなかった。その後もYからはドキュメントが提出されているが,Xはやはり拒絶した。Yは,Xに対し「弊社は契約書の範囲内で最後まで誠意をもって開発を行います。」などと記載した書面を交付した。結局,平成16年9月になっ

    要件が確定しなかったことにつきベンダに責任がないとされた事例 東京地判平22.7.22(平20ワ16510号) - IT・システム判例メモ
    kura-2
    kura-2 2013/06/08
  • 1