SQLインジェクション対策不備の責任 東京地判平30.10.26（平29ワ40110） - IT・システム判例メモ

SQLインジェクション対策をしていなかったことについて開発会社の責任が問われた事例。 事案の概要 Xは，Yに対し，Xの提供する車・バイクの一括査定システム（本件システム）の開発を約320万円で委託し，平成24年9月に納品を受けた。 その後Xは，平成28年12月に，IPA*1から，中国のサイトに本件システムの脆弱性に関する情報が掲載されているという指摘を受けて，Yに対し，その調査と報告を依頼した。 その結果，本件システムには，ＳＱＬインジェクション対策が不十分という脆弱性が判明したことから，XはYに対し，その脆弱性はYの被用者の故意過失によって生じたものであるから，使用者であるYには使用者責任があると主張して，民法７１５条１項所定の損害賠償請求権に基づき，緊急対策費用４７万５２００円，詳細な調査，抜本的な修正費用６４０万円，サーバー移転費用３５万６４００円，セキュリティ対策のための本件システ

[kakei-akihiko]

それにしても、本来95万円の損害に920万円請求って、強盗かよ。

[azuk1]

普通瑕疵担保責任は一年だよね？どんな不利な契約したんだよ。金額もクソ安いし

[rti7743]

320万円で受けた開発案件のバグが4年後になって明らかになって、裁判になり95万円取られるのか。

[ngsw]

検収何してたんだ？

[ene0kcal]

320万で受けたとか安っす。安すぎる。

[uunfo]

契約で損害賠償は請負金額までと定めてたりするけど法的に意味あるのかな／リニューアル費用を損害賠償請求に含めるの、あこぎでは

[lorenz_sys]

内容はよくわからないけど320万円で受注ってことはその辺の零細システム屋が php で書いたって雰囲気かな？クライアント側もそんな業者に頼んじゃだめなんだよ。安すぎるところはだいたい技術担当が素人だから。

[otation]

“ただし，P社から提案された詳細なセキュリティ診断や本件システムのリニューアルは実施しなかった”ここ大問2の回答に必要なヒント

[ockeghem]

SQLインジェクション残存が「不法行為」というのも恐ろしい>『ＳＱＬインジェクションに対する対策を講ずべき注意義務があったのに，これを怠っていた点で，少なくとも過失による不法行為が成立』

[sangping]

SQLインジェクションも塞いで無かったのか、と委託側に同情したが、受託側に同情的なコメントも多いのね。読み手がどっちの立場に近いかということか。

[HF_frt1623]

セキュリティのバグが残っていたらシステムを作成した会社が不法行為として訴えられるとは思わなかった。システムの規模に対して金額は小さいとはいえ作る側としては恐ろしいものです。

[wiii_na]

見積もりしてるときに営業担当からこれじゃ受注とれないしレビューとか検証の工数削って費用抑えらんない？って相談されるのあるあるな気がするけどそれやっちゃうと出てくる法的リスク

[z1h4784]

契約書に対策すると書いてあるんだからそりゃやらなきゃ駄目だよ。320万が安いかどうかはシステムの中身による。金銭感覚がおかしくなっている大手SIerの社員は黙っていた方がいい

[orangehalf]

ファイル改ざんの可能性への対応がサーバ移転でよいの？新サーバに構築し直すという意味なら分かるがファイルそのまま持っていったら意味ないじゃん / 債務不履行ではなく使用者責任を問われた理由はもう少し知りたい

[masayoshinym]

うかつに開発案件請け負えないなこれ。。

[adwhing]

修正に640万円なのに対して新規開発が320万円…そりゃ仕様にない対策はすべて省くわなぁ安すぎる

[rryu]

SQLインジェクション対策の不備は不法行為になると。善管注意義務違反ということっぽいが、2日間のシステム停止の損害額として200万円を乗せてきている原告もなかなか。

[news00]

SQLiを考慮せず僅か320万円で請負う等、素人に毛の生えたPGの個人請けですね。SIでのプログラミングは工数全体の２割に過ぎずが常識。つまり1600万円で請けるべきでした。充分な試験費用の確保が肝要。安請け合いは要注意

[prograti]

現実的に考えて完全なセキュリティを約束することは難しいから、過失による不法行為とみなされる判断基準が気になりますね。

[t_motooka]

賠償金額、上手いところに落とし込んできましたね。重過失方面ではなくて使用者責任を問う構成、ちょっと勉強しないと…。

[jsstudy]

IT土方（下請け）は悲惨な職業だな。下請けで損するぐらいなら、自社開発で好きにやればいいのに、アイデアがないから自社製品（サービス、アプリ）を作れない。アイデアがないから他人に言われたものを作るしかない

[takeda25]

契約書で「する」と書いてあることをしてないんだからダメに決まってるでしょ。ハードなら当たり前なのになんでソフトにはこんなに甘い（はてブ）んだろう。その費用でできないとか言うなら受けなきゃいい。

[yaskohik]

瑕疵担保期間は今後どれくらい通用するんだろう。わりと従前通りと考えている人は多そう。

[quwachy]

まあ最高裁までいくでしょ、契約の自由もあるし

[Shinwiki]

これずいぶん前の話じゃなかったっけ

[tattyu]

馬鹿同士が潰しあった結果悪例だけが残って全員が困る奴だろこれ。納品された時に検収とかしてねーのかよ。

[ryun_ryun]

こういうことがあるから少額のシステム開発は引き受けるべきではない。個人で請負開発してる人達はマジで気を付けた方がいい。

[Falky]

瑕疵担保云々言うてるヤツは最後まで文章も読めんアホ

[koonya]

バックドアならともかく、、ひでーな

[T-miura]

sqlインジェクションぐらい、FW選定で潰せやとは思うけど、これが、二要素認証は義務とか、FIDOは義務とか、etc...etcで増えていくようなことがあると怖い。正直、二要素認証は金を扱うシステムなら義務と思ってるけど。

[ya--mada]

開発も受けるときには、検査費用を載せないとなぁ。スクラッチはしないで、フォームサービスのカスタマイズとか条件付けなきゃ発注者過失とかね。

[proverb]

「セキュリティを含めた非機能要件の合意」は難しいよね。「言うまでもなく当然対応すべき範囲」と「対応すべきだが必須ではない範囲」との切り分けが難しい

[snare_micchan]

セキュリティの細かい仕様まで書面で同意するコストを上乗せしてコスト3倍ドン！

[hryord]

発注側はセキュリティに関する検収工数を取ったとは思えない。丸投げのくせに安く発注でなんのリスクも取らないのは不公平。

[Ashburton]

本文を読むとエスケープ処理すらしてなかったことがわかる。そりゃあダメでしょ。ドアに鍵をつけてないレベル。

[hatomugicha]

こんなのがまかり通ったら受ける側がいなくなると思う反面、渡す側も仕様と仕組みを理解しないとやってらんない

[and_hyphen]

そもそもの受注額で作れるシステムなのか...？あと瑕疵担保責任て通常1年だと思うんだが、そこは...？

[hiroomi]

95万円何割かで静的解析掛けられそうだけど、その前に何かできそうね。

[natu3kan]

当時でも専門家なら知ってて対策すべき不具合を怠っていたのと、かつ発注元からも気をつけるよう書類に指定があって、開発会社の過失による不法行為が認められたと。余裕がなくなる程、安い仕事を請けてはいけない