自治体システムへの不正アクセスとベンダの責任 前橋地判令5.2.17(令2ワ145) - IT・システム判例メモ
ファイアウォール設定の誤りの脆弱性により不正アクセスが行われ、自治体のシステムから個人情報の漏えいした疑いがある件について、ベンダの重過失が認められた事例。 事案の概要 前橋市(X)は、MENETと呼ばれる情報教育ネットワークを有しており、そのデータセンタの移管設計・構築業務を、NTT東日本(Y)に委託し(本件委託契約)、その後の保守業務も委託していた(月額100万円。本件保守契約)。 平成29年8月ころからMENETの公開用サーバへの不正アクセスがあり、平成30年3月には調査の結果、児童・生徒・保護者に関する多数の個人情報が流出した可能性が高いことが明らかとなった(本件不正アクセス)*1。本件不正アクセスは、サーバにバックドアが仕掛けられ、ファイアウォールの設定とが相まって発生したものだとされた。 Xは、(1)本件委託契約に基づいて、ファイアウォールを適切に設定しなかったことが債務不履行
ベンダが提供していない決済モジュールの不具合による情報漏洩事故 東京地判令2.10.13(平28ワ10775) - IT・システム判例メモ
ECサイトにおけるクレジットカード情報漏洩事故が、決済代行業者から提供されたモジュールの不具合があったという場合において、開発ベンダの責任がモジュールの仕様・不具合の確認まで及ぶか否かが問われた事例。 事案の概要 Xが運営するECサイト(本件サイト)において、顧客のクレジットカード情報が漏洩した可能性があるとの指摘を受けて、Xは、本件サイトにおけるクレジットカード決済機能を停止した(本件情報漏洩)。その後、Xはフォレンジック調査を依頼し、不正アクセスによってクレジットカード会員情報が漏洩したこと、クレジットカード情報はサーバ内のログに暗号化されて含まれていたが、復号することが可能だったこと、漏えいした情報は最大で約6500件だったこと等が明らかとなった。 Xは、本件サイトを、Yとの間で締結した請負契約(本件請負契約)に基づいて開発したものであって、本件サイトの保守管理についても本件保守管理
サイト開発の遅れによる契約解除 東京地判令3.12.3(令2ワ5059) - IT・システム判例メモ
サイトの開発が遅れたことによる契約解除の可否が問題となった事例。 事案の概要 XはYに対し、美容業界のメーカー、ディーラー、ユーザーらが情報交換を行うためのウェブサービスに関するアプリケーションソフト(本件アプリ)の開発を委託した(本件契約)。 途中で、XY間は、クレジットカード決済機能を追加し、代金を496万8000円(税込)とすることなどを合意した。XはYに対し、前記代金を3回に分けてほぼ全額支払った。 Xは、履行期である2019年3月(具体的な履行期は争いがある。)経過後の5月31日に、 スケジュールやテスト画面もいただけなく,全く状況が分かりませんし,これ以上進めるのは不安です。 もうプロダクトはいただかなくて結構ですので,最短で返金をお願いしたく思います。 と、中止を伝え、開発作業が終了した。 Xは、その後、文書による催告と本件契約の解除を通知し、原状回復請求権に基づいて、支払済
SES契約における期間途中の撤収の責任 東京地判令3.12.20(令2ワ20021) - IT・システム判例メモ
顧客からのクレームに納得できず、SES契約の期間途中に(ほかの案件も含めて)要員を撤収させたこと適否が問題となった事例。 事案の概要 X社は、下記の図のとおり、A社、B社、C社からそれぞれシステム開発に関する業務を受託し、それぞれの案件に対応する要員a、b、cを、Y社から調達し、その業務を担当させていた。1カ月当たりの単価を定め、比較的短期間(1カ月から3カ月)の契約期間が定められ、必要に応じて延長、更新が行われていたので、いわゆるSES契約といえる形態だったといえる。 このうち、A社にアサインされたaに関し、A社からパフォーマンスが低いとのクレームを受けたXは、2020年5月8日、Yに対し、A社は契約途中の5月22日を以て解除を希望していることなどを伝えた。 クレームの内容が、「GitやRailsのコマンドがわからないレベルだ」などというものであったが、Yは「現場レベルでの作法の話だろう
アジャイル開発と開発言語の合意・未完成の責任 東京地判令3.9.30(平31ワ3149) - IT・システム判例メモ
アジャイル開発の紛争事例。ポイントは、①契約の性質は請負か、②開発言語や納期などの債務の内容の合意、③損害の範囲。 事案の概要 X(設立予定会社の発起人)は、Yに対し、設立予定会社の営業に用いるウェブサイト(本件ウェブサイト)の開発を委託し、本件契約を締結した。開発報酬は月額2000米ドル、メンテナンスは月額800米ドルと定められた。いわゆるアジャイル方式で行うことが合意され、契約書は後追いで取り交わされた。 本件ウェブサイトは、本件契約締結時点において第三者が開発した原型が存在しており、それに追加・改良していくことが前提となっていた。 Xは、Yによる開発が遅延し、本件ウェブサイトがまったく機能しないとして、Yに対し、本件契約の債務不履行による損害賠償及び不法行為に基づく損害賠償として、既払代金相当額、逸失利益額、慰謝料、弁護士費用など、合計で約2000万円を請求した。 ここで取り上げる争
準委任契約に基づく報酬請求と善管注意義務違反 東京地判令2.9.24(平28ワ28934) - IT・システム判例メモ
開発は途中で終わった場合でも、準委任契約に基づく報酬請求はできるが、適切な計画立案・実行ができていなかったとして善管注意義務違反が認められた事例。 事案の概要 イベント企画会社Yは、自社の企画するイベントを管理するためのシステム(本件システム)の開発をXに依頼することとした。 平成28年3月にXは開発に着手したが、その時点では契約書が取り交わされておらず、4月になって、X・Y間で以下の内容(抜粋)の契約書が取り交わされた(本件契約)。 1条2項 本件契約は,Xが(中略)業務に従事する技術者の労働をYに対し提供することを主な目的とし,民法上の準委任契約として締結されるものとする。したがってXは,善良なる管理者の注意義務をもって(中略)業務を実施する義務を負うものとし,原則として成果物の完成についての義務を負うものではないものとする。 3条3項 前各項にかかわらず,Yは,Xの本件サービスの業務
放置系RPGの著作権侵害 知財高判令3.9.29(令3ネ10028) - IT・システム判例メモ
スマートフォン用RPGのゲームの著作権侵害が争われた事例。 事案の概要 放置系RPG*1と呼ばれるジャンルのA(Xゲーム*2)に係る著作権を共有するXが,同じジャンルのB(Yゲーム*3)を配信するYに対し,著作権(複製権,翻案権,公衆送信権)を侵害するとして,著作権法114条2項に基づく損害賠償4800万円,弁護士費用960万円等と,同法112条1項及び2項に基づいて差止めと記憶媒体からの削除を求めた。 原審(東京地(47部)判令3.2.18(平30ワ28994号))では,著作権の帰属から争われていたが,XがXゲームの共有持分権を有することは認めつつも,YゲームはXゲームの構成,機能,画面配置等及びこれらの組合せを複製又は翻案したものであるとはいえず,Yゲームに係るソースコードはXゲームに係るソースコードを複製又は翻案したものであるともいえないとして,Xの請求をいずれも棄却した。 Xは,損
1ライセンスでの使用可能な範囲の解釈と,違約金合意の有効性 東京地判令3.3.24(平30ワ38486) - IT・システム判例メモ
ソフトウェアの1ライセンスで許諾される利用可能な範囲と,通常料金の10倍という高額な違約金を定める条項の有効性が問題となった事例。 注:知財高判令3.11.29(令3ネ10035)にて,原審が維持されている。特に特筆すべき個所はない。 事案の概要 Xは,メタボリックシンドロームに着目した健康診査及び保健指導に関するデータ作成用のプログラム(本件プログラム)の著作権者である。本件プログラムには,平成30年のアップデート前の本件旧プログラムと,アップデート後の本件新プログラムがある。 Xは,Y社と,平成20年8月に本件旧プログラムの使用許諾契約1ライセンス分(本件平成20年契約)を締結し,Yは,本件旧プログラムを使用していた。その後,平成30年3月に本件プログラムがアップデートされ,Yとの間で本件新プログラムの使用許諾契約(本件平成30年契約)が締結された。本件平成30年契約では,契約で明示さ
野村vsIBM事件控訴審 東京高判令3.4.21(平31ネ1616) - IT・システム判例メモ
東京地裁の判断が覆されてユーザである野村HDの請求が棄却されたことで話題になった控訴審判決。 結論が大きく変わったので,最初に原審と本判決の判断の違いをまとめておく。 事案の概要 普段は判決文から自分なりに事案の概要をまとめるのだが,今回は判決文冒頭の記載がわかりなすいのでそのまま引用する(以下,太字などの書式変更は筆者)。 (1) IBMは,野村HDとの間で,野村証券(野村HDの完全子会社)のSMAFW業務のためのコンピュータシステムについて,パッケージソフト(WM)を利用した開発業務支援等の委託を受ける内容の,開発段階ごとの複数の契約(原判決別紙1の1記載の契約・本件各個別契約)を締結した。本件開発業務は,平成25年1月4日のシステム稼働開始を目標として,平成22年後半から平成24年後半まで継続されたが,目標時期における稼働開始実現にリスクがあると判断されたことから,平成24年8月下
脆弱性対応(Heartbleed)の責任の所在 東京地判令元.12.20(平29ワ6203) - IT・システム判例メモ
クレジットカード情報漏えい事故に関し,その原因の一つと考えられる脆弱性対応が運用保守業務に含まれていたか否かが争われた事例。 事案の概要 Xは,Xの運営する通販サイト(本件サイト)を第三者に開発委託し,運用していたが,その後,2013年1月ころまでに,Yに対し,本件サイトの運用業務を月額20万円で委託した(本件契約)。本件サイトはEC-CUBEで作られていた。なお,XからYへの業務委託に関し,契約書は作成されておらず,注文書には「本件サイトの運用,保守管理」「EC-CUBEカスタマイズ」としか記載されていない。 2014年4月には,OpenSSL*1の脆弱性があることが公表されたが*2,本件サイトでは,OpenSSLが用いられていた。 2015年5月ころ,Xは,決済代行会社から本件サイトからXの顧客情報(クレジットカード情報を含む)が漏えいしている懸念があるとの連絡を受け(本件情報漏えい)
コインハイブ事件控訴審判決 東京高判令2.2.7 - IT・システム判例メモ
マイニングツール,Coinhiveをサイトに設置し,閲覧者にツールを実行させていたことについて,不正指令電磁的記録保管罪の成否が問題となった事件の控訴審判決。一審無罪判決から約10カ月たったところ,高裁で逆転有罪となった。弁護人・平野敬先生より判決文を見せていただいた(ブログで紹介することについても了解を得ています。)。 事案の概要及び原審の判断 当ブログで原審を紹介したので,そちらを参照いただきたい。 itlaw.hatenablog.com 原審では,刑法168条の2第1項の「不正指令電磁的記録」の該当性について,その要件である「反意図性」は肯定したが,社会的に許容されていなかったとまでは言えないとして,「不正性」を否定するとともに,目的要件も否定し,無罪とした。 ここで取り上げる争点 原審同様,反意図性(「その意図に沿うべき動作をさせず,又はその意図に反する動作をさせる」」)と不正性
SQLインジェクション対策不備の責任 東京地判平30.10.26(平29ワ40110) - IT・システム判例メモ
SQLインジェクション対策をしていなかったことについて開発会社の責任が問われた事例。 事案の概要 Xは,Yに対し,Xの提供する車・バイクの一括査定システム(本件システム)の開発を約320万円で委託し,平成24年9月に納品を受けた。 その後Xは,平成28年12月に,IPA*1から,中国のサイトに本件システムの脆弱性に関する情報が掲載されているという指摘を受けて,Yに対し,その調査と報告を依頼した。 その結果,本件システムには,SQLインジェクション対策が不十分という脆弱性が判明したことから,XはYに対し,その脆弱性はYの被用者の故意過失によって生じたものであるから,使用者であるYには使用者責任があると主張して,民法715条1項所定の損害賠償請求権に基づき,緊急対策費用47万5200円,詳細な調査,抜本的な修正費用640万円,サーバー移転費用35万6400円,セキュリティ対策のための本件システ
HTMLの著作権侵害 知財高判平29.3.14(平28ネ10102) - IT・システム判例メモ
HTMLの著作物権侵害が問題となった事例。 事案の概要 YはXに対し,Yの運営する通販サイトの開発を委託し,Xが通販サイトを構成するプログラムの仕様を許諾していたところ,当該使用許諾契約が終了した後もYは通販サイトを機能させるためのプログラム(本件プログラム)を違法に複製し,著作権を侵害したとして,不法行為に基づいて損害賠償を請求した事案。 原審(東京地判平28.9.29(平27ワ5619))は,本件プログラムに含まれるHTML(本件HTML)について,Xの従業員が創作的表現を作成したと認めるに足りないとしてXの請求を棄却した。 ここで取り上げる争点 本件プログラムの著作物性 ※なお,Xは,通販サイトを構成するプログラム全体を本件プログラムと主張していたが,実際にプログラムを対比して侵害を主張していたのは「新規会員登録」,「登録申請時確認テスト」といった画面のHTML(本件HTML)部分に
開発途中で退職したエンジニアの責任 東京地判平27.3.26(平26ワ12971) - IT・システム判例メモ
ソーシャルゲームの開発中に退職した従業員らが,会社から開発頓挫の責任を追及された事例。 事案の概要 Xは,ソーシャルゲーム(本件ゲーム)の開発を目的として設立された会社である。Yらは,Xの設立前から,Xのグループ会社の依頼を受け,本件ゲームの開発に関わり,Xが設立された後には,Xの従業員となって,本件ゲームの開発に従事した。 本件ゲームのリリースは,当初定められていた時期には間に合わず,延期された。 その後,Yらが,いずれも本件ゲームのリリース前に退職したところ,Xは,Yらが開発設計仕様書も作成せず,突然の退職によって本件ゲームの開発が頓挫して損害を被ったとして,主位的に不法行為に基づく損害賠償として,予備的に労働契約上の債務不履行に基づく損害賠償として,5400万円の賠償を求めた。 ここで取り上げる争点 Yらは,信義則上,あるいは労働契約上の義務として,開発設計仕様書を作成する義務があっ
要件が確定しなかったことにつきベンダに責任がないとされた事例 東京地判平22.7.22(平20ワ16510号) - IT・システム判例メモ
ユーザがベンダに対し,ベンダが一方的に開発契約を解除したとして,損害賠償を求めたが棄却された事例。 事案の概要 ユーザXは,ベンダYに対し,平成14年9月18日に,Xの人材派遣業務に必要なシステムとして2つのシステムの開発を委託した(契約金額の合計は840万円)。 その後,Yは,9月25日にはソフトウェアの概要仕様を記載したシステム設計書を交付したが,Xは内容不十分であるとして記名押印を拒絶したためシステム設計書は確定しなかった。さらに,下請業者が交替するなどして,翌平成15年9月になってプロトタイプを作成するとともに再度ドキュメントを提出したが,Xは,やはり記名捺印を拒絶し,確定しなかった。その後もYからはドキュメントが提出されているが,Xはやはり拒絶した。Yは,Xに対し「弊社は契約書の範囲内で最後まで誠意をもって開発を行います。」などと記載した書面を交付した。結局,平成16年9月になっ
IT・システム判例メモ
当ブログで掲載する判例のリストです。 続きを読む システム開発紛争事例を,争点別にまとめました。非常に乱暴に要約しているので,詳細はリンク先または判決文をご確認ください。個別のエントリを追加したら随時インデックスも更新します。 契約の成否 契約締結上の過失 契約の個数・性質 仕様の認定・契約の内容 プロジェクト中断の責任 システムの完成 瑕疵(契約不適合) 追加費用・仕様変更等の報酬算定 費用の減額 過失・責任論 損害論 合意解約 その他 続きを読む システム開発・運用関連裁判例以外の当ブログ収録裁判例について,論点・分野別のインデックスをまとめておきます(同一の裁判例が複数個所に記載されていることもあります)。 非常に乱暴に要約しているので,詳細はリンク先または判決文の原文でご確認ください。 続きを読む 相当程度の分量があるプログラムのソースコードには創作性があるとして、著作物性を認めた
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
