自治体システムへの不正アクセスとベンダの責任 前橋地判令5.2.17(令2ワ145) - IT・システム判例メモ
ファイアウォール設定の誤りの脆弱性により不正アクセスが行われ、自治体のシステムから個人情報の漏えいした疑いがある件について、ベンダの重過失が認められた事例。 事案の概要 前橋市(X)は、MENETと呼ばれる情報教育ネットワークを有しており、そのデータセンタの移管設計・構築業務を、NTT東日本(Y)に委託し(本件委託契約)、その後の保守業務も委託していた(月額100万円。本件保守契約)。 平成29年8月ころからMENETの公開用サーバへの不正アクセスがあり、平成30年3月には調査の結果、児童・生徒・保護者に関する多数の個人情報が流出した可能性が高いことが明らかとなった(本件不正アクセス)*1。本件不正アクセスは、サーバにバックドアが仕掛けられ、ファイアウォールの設定とが相まって発生したものだとされた。 Xは、(1)本件委託契約に基づいて、ファイアウォールを適切に設定しなかったことが債務不履行
準委任契約に基づく報酬請求と善管注意義務違反 東京地判令2.9.24(平28ワ28934) - IT・システム判例メモ
開発は途中で終わった場合でも、準委任契約に基づく報酬請求はできるが、適切な計画立案・実行ができていなかったとして善管注意義務違反が認められた事例。 事案の概要 イベント企画会社Yは、自社の企画するイベントを管理するためのシステム(本件システム)の開発をXに依頼することとした。 平成28年3月にXは開発に着手したが、その時点では契約書が取り交わされておらず、4月になって、X・Y間で以下の内容(抜粋)の契約書が取り交わされた(本件契約)。 1条2項 本件契約は,Xが(中略)業務に従事する技術者の労働をYに対し提供することを主な目的とし,民法上の準委任契約として締結されるものとする。したがってXは,善良なる管理者の注意義務をもって(中略)業務を実施する義務を負うものとし,原則として成果物の完成についての義務を負うものではないものとする。 3条3項 前各項にかかわらず,Yは,Xの本件サービスの業務
野村vsIBM事件控訴審 東京高判令3.4.21(平31ネ1616) - IT・システム判例メモ
東京地裁の判断が覆されてユーザである野村HDの請求が棄却されたことで話題になった控訴審判決。 結論が大きく変わったので,最初に原審と本判決の判断の違いをまとめておく。 事案の概要 普段は判決文から自分なりに事案の概要をまとめるのだが,今回は判決文冒頭の記載がわかりなすいのでそのまま引用する(以下,太字などの書式変更は筆者)。 (1) IBMは,野村HDとの間で,野村証券(野村HDの完全子会社)のSMAFW業務のためのコンピュータシステムについて,パッケージソフト(WM)を利用した開発業務支援等の委託を受ける内容の,開発段階ごとの複数の契約(原判決別紙1の1記載の契約・本件各個別契約)を締結した。本件開発業務は,平成25年1月4日のシステム稼働開始を目標として,平成22年後半から平成24年後半まで継続されたが,目標時期における稼働開始実現にリスクがあると判断されたことから,平成24年8月下
脆弱性対応(Heartbleed)の責任の所在 東京地判令元.12.20(平29ワ6203) - IT・システム判例メモ
クレジットカード情報漏えい事故に関し,その原因の一つと考えられる脆弱性対応が運用保守業務に含まれていたか否かが争われた事例。 事案の概要 Xは,Xの運営する通販サイト(本件サイト)を第三者に開発委託し,運用していたが,その後,2013年1月ころまでに,Yに対し,本件サイトの運用業務を月額20万円で委託した(本件契約)。本件サイトはEC-CUBEで作られていた。なお,XからYへの業務委託に関し,契約書は作成されておらず,注文書には「本件サイトの運用,保守管理」「EC-CUBEカスタマイズ」としか記載されていない。 2014年4月には,OpenSSL*1の脆弱性があることが公表されたが*2,本件サイトでは,OpenSSLが用いられていた。 2015年5月ころ,Xは,決済代行会社から本件サイトからXの顧客情報(クレジットカード情報を含む)が漏えいしている懸念があるとの連絡を受け(本件情報漏えい)
コインハイブ事件 横浜地判平31.3.27(平30(わ)509) - IT・システム判例メモ
マイニングツール,Coinhiveをサイトに設置し,閲覧者にツールを実行させていたことについて,不正指令電磁的記録保管罪の成否が問題となった事件(控訴審係属中)。 事案の概要 X(被告人)は,サイトaを運営していたが,その維持管理費用をまかなうために,サイト閲覧者に仮想通貨のマイニングを行わせ,そこから得られる収益を得るモデルがあることを知った。そこでXは,マイニングスクリプトを自己のウェブサイトのHTML内に記述した。 本件の公訴事実は,おおよそ,「サイト閲覧者の同意を得ることなく,閲覧者の電子計算機にマイニングの演算を行わせる不正指令電磁的記録であるプログラムコードをサイトaを構成するファイル内に蔵置して保管し,もって人が電子計算機を使用するに際してその意図に反するべき不正な指令を与える電磁的記録を保管した」というものである。 ここで取り上げる争点 本件プログラムコードの不正指令電磁的
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
