逆転敗訴した野村情シスがIBMに送った悲痛なメール、横暴なユーザーを抑えきれず
委託したシステム開発が頓挫したとして、野村ホールディングス(HD)と野村証券が日本IBMを相手取って計約36億円の損害賠償を求めた裁判。プロジェクト失敗はベンダー側に非があるとした2019年3月の一審判決から一転、2021年4月の控訴審判決はユーザー企業側に責任があるとした。工数削減提案に十分に応じなかったり、プロジェクト途中で追加要件を多発したりした野村側の姿勢を東京高裁は問題視し、逆転敗訴の判決を下した。 関連記事 野村HDが日本IBMに逆転敗訴の深層、裁判所が問題視した「X氏」の横暴な変更要求 野村HDが日本IBMに逆転敗訴のワケ、「工数削減に応じず変更要求を多発」と指摘 東京高裁が特に問題視したのが、システムの仕様を策定するうえで重要な役割を担っていた野村証券のユーザー部門「X氏」の振る舞いだ。 当時、投資顧問事業部(判決文では「投資顧問部」)の次長だったX氏は、パッケージソフトに
SQLインジェクション対策もれの責任を開発会社に問う判決
ポイントは下記の通りです。 X社(原告)はセキュリティ対策について特に指示はしていなかった 損害賠償について個別契約に定める契約金額の範囲内とする損害賠償責任制限があった 当初システムはカード決済を外部委託し直接カード情報を扱っていなかった X社が「カード会社毎の決済金額を知りたい」とY社に依頼をして、その結果カード情報をいったんDBに保存する仕様となった(2010年1月29日) X社からの問い合わせに対してY社は、カード情報を保持しない方式に変更することが可能で、そのほうが安全となり、費用は20万円程度である旨を伝えた(2010年9月27日)が、その後X社は改良の指示をしなかった 以下の脆弱性その他が認められた システム管理機能のIDとパスワードが admin/password であった 個人情報が記載されたお問い合わせログファイルの閲覧が可能(ディレクトリリスティングと意図しないファイ
契約書で定める「賠償責任制限」範囲外となる「重過失」とは。〜ミサワ(unico)クレジットカード情報漏えい事件判決より〜 - SEが契約を勉強してみたブログ
こんにちは。さとうです。 東京地判平成26年1月23日判時2221号71頁(SOFTIC 判例ゼミ 2014-5 2014.11.13)に掲載された判決が、SI経営者やSEたちに衝撃を与えています。 自分も、正直びっくりしました。 ある判決とは、ミサワ(unico)のクレジットカード情報を含む、個人情報漏洩事件の責任を巡ってのものです。 この件が広く知られることになったきっかけは、北大・北村教授のブログ「privacy:個人情報漏洩で脆弱なシステムの責任をソフトメーカーに問う事例(追記あり)」と、それを追っかけた徳丸浩センセイのブログ「SQLインジェクション対策もれの責任を開発会社に問う判決」。 この判決が衝撃を与えたのは、契約書に書かれた損害賠償の上限が、無効になる場合もある。という点。今回、ミサワと開発会社の契約書にも、以下の文言が入っていたんです; 第29条〔損害賠償〕 乙が委託業務
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
