ネットショップでの情報漏洩、裁判で開発会社の責任が認められる

あるAnonymous Coward 曰く、　SQLインジェクションによってクレジットカード情報を含む顧客情報が漏洩したとして、あるオンラインショッピングサイトの運営会社がシステムを開発した会社に対し損害賠償を請求していた裁判で、東京地裁がシステム開発会社の落ち度を認め、約2262万円の損害賠償の支払いを命じる判決が出たそうだ（セキュリティ研究者・徳丸浩氏の日記、北海道大学大学院法学研究科の町村泰貴教授のブログ）。

　詳しくは徳丸氏の日記を参照して欲しいが、このサイトではSQLインジェクションだけでなく設計上不適切と思われる点が複数あり、裁判所は必要なセキュリティ対策を講じる責務を怠ったとし、また契約にあった損害賠償責任制限についても、故意あるいは重過失に起因する損害については責任制限の範囲外とするとして損害賠償の支払いを命じたとのこと。また、開発会社がカード情報をデータベースに保存しない方式を提案したが運営会社はそれを採用しなかった点については運営会社の過失都市、過失相殺3割が認定されたという。

　結局、開発会社も運営会社もともにセキュリティ意識が不足していたが、開発会社はそのようなクライアントに対しても十分必要なセキュリティ対策を行うべきという判決であり、世の開発会社の皆様は注意しなければならないだろう。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | 法廷

　関連ストーリー：
開発の遅れはプロセスの問題が大きく、開発者の責任は小さい 2014年11月24日
野村ホールディングスが日本IBMを訴えていた訴訟の内情が報じられる 2014年10月24日
特許庁の中止された基幹系システム開発プロジェクト、開発側が責任を取って約56億円を返還 2014年08月01日