ある判決、要件にないことで責任を負わされたシステム開発会社の悲劇「ITの専門家なら情報漏えい対策は施しておくべきじゃないですか!」、「いや、システム要件にない機能は実装しませんよ」――。あるECサイトにおける悲劇の現場を再現すると、システム発注者側とシステム開発を受注した会社の間では、おそらくこのような会話がなされたに違いない。 上記は、セキュリティ関係者の間で話題になった判決(東京地方裁判所判決 平成23年(ワ)第32060号)を読んで、筆者が想像した会話だ。 インテリア用品の販売会社(原告)が運営するECサイトが、外部からのSQLインジェクション攻撃によってクレジットカード情報などの個人情報を流出させてしまった。SQLインジェクションとは、Webサイトの入力フォームを悪用し、データベースで不正な処理を実行するプログラム(SQL文)を送り付ける攻撃手法だ。 販売会社側は、顧客の個人情報が漏洩した責任はECサイトのシステム開発を受託した会社(被告)にあ
