ベンダが提供していない決済モジュールの不具合による情報漏洩事故 東京地判令2.10.13(平28ワ10775) - IT・システム判例メモ
ECサイトにおけるクレジットカード情報漏洩事故が、決済代行業者から提供されたモジュールの不具合があったという場合において、開発ベンダの責任がモジュールの仕様・不具合の確認まで及ぶか否かが問われた事例。 事案の概要 Xが運営するECサイト(本件サイト)において、顧客のクレジットカード情報が漏洩した可能性があるとの指摘を受けて、Xは、本件サイトにおけるクレジットカード決済機能を停止した(本件情報漏洩)。その後、Xはフォレンジック調査を依頼し、不正アクセスによってクレジットカード会員情報が漏洩したこと、クレジットカード情報はサーバ内のログに暗号化されて含まれていたが、復号することが可能だったこと、漏えいした情報は最大で約6500件だったこと等が明らかとなった。 Xは、本件サイトを、Yとの間で締結した請負契約(本件請負契約)に基づいて開発したものであって、本件サイトの保守管理についても本件保守管理
準委任契約に基づく報酬請求と善管注意義務違反 東京地判令2.9.24(平28ワ28934) - IT・システム判例メモ
開発は途中で終わった場合でも、準委任契約に基づく報酬請求はできるが、適切な計画立案・実行ができていなかったとして善管注意義務違反が認められた事例。 事案の概要 イベント企画会社Yは、自社の企画するイベントを管理するためのシステム(本件システム)の開発をXに依頼することとした。 平成28年3月にXは開発に着手したが、その時点では契約書が取り交わされておらず、4月になって、X・Y間で以下の内容(抜粋)の契約書が取り交わされた(本件契約)。 1条2項 本件契約は,Xが(中略)業務に従事する技術者の労働をYに対し提供することを主な目的とし,民法上の準委任契約として締結されるものとする。したがってXは,善良なる管理者の注意義務をもって(中略)業務を実施する義務を負うものとし,原則として成果物の完成についての義務を負うものではないものとする。 3条3項 前各項にかかわらず,Yは,Xの本件サービスの業務
事業者による「合理的」判断について(モバゲー規約控訴審)東京高判令2.11.5(令2ネ1093) - IT・システム判例メモ
モバゲー会員規約の免責文言について,適格消費者団体が不当条項に当たると主張していた事件の控訴審判決。 事案の概要 B2Cサービスの規約中の「不当に迷惑をかけたと当社が判断した場合」などの文言が不明確であり,それによって事業者が会員資格を取り消したとしても事業者は責任を負わないとする文言は,消費者契約法8条1項にあたる不当条項であるとして,適格消費者団体Xが,同法12条3項に基づいて,Yに対して,差止(この条項を含む契約の申込み,承諾の意思表示をしないこと)を求めた事案である。 一審(さいたま地判令2.2.5)では,その当時の下記の文言について, 7条(会員規約の違反等について)1 M会員が以下の各号に該当した場合,当社は,当社の定める期間,本サービスの利用を認めないこと,又は,M会員の会員資格を取り消すことができるものとします。(略) a 会員登録申込みの際の個人情報登録,及びM会員となっ
野村vsIBM事件控訴審 東京高判令3.4.21(平31ネ1616) - IT・システム判例メモ
東京地裁の判断が覆されてユーザである野村HDの請求が棄却されたことで話題になった控訴審判決。 結論が大きく変わったので,最初に原審と本判決の判断の違いをまとめておく。 事案の概要 普段は判決文から自分なりに事案の概要をまとめるのだが,今回は判決文冒頭の記載がわかりなすいのでそのまま引用する(以下,太字などの書式変更は筆者)。 (1) IBMは,野村HDとの間で,野村証券(野村HDの完全子会社)のSMAFW業務のためのコンピュータシステムについて,パッケージソフト(WM)を利用した開発業務支援等の委託を受ける内容の,開発段階ごとの複数の契約(原判決別紙1の1記載の契約・本件各個別契約)を締結した。本件開発業務は,平成25年1月4日のシステム稼働開始を目標として,平成22年後半から平成24年後半まで継続されたが,目標時期における稼働開始実現にリスクがあると判断されたことから,平成24年8月下
コインハイブ事件控訴審判決 東京高判令2.2.7 - IT・システム判例メモ
マイニングツール,Coinhiveをサイトに設置し,閲覧者にツールを実行させていたことについて,不正指令電磁的記録保管罪の成否が問題となった事件の控訴審判決。一審無罪判決から約10カ月たったところ,高裁で逆転有罪となった。弁護人・平野敬先生より判決文を見せていただいた(ブログで紹介することについても了解を得ています。)。 事案の概要及び原審の判断 当ブログで原審を紹介したので,そちらを参照いただきたい。 itlaw.hatenablog.com 原審では,刑法168条の2第1項の「不正指令電磁的記録」の該当性について,その要件である「反意図性」は肯定したが,社会的に許容されていなかったとまでは言えないとして,「不正性」を否定するとともに,目的要件も否定し,無罪とした。 ここで取り上げる争点 原審同様,反意図性(「その意図に沿うべき動作をさせず,又はその意図に反する動作をさせる」」)と不正性
SQLインジェクション対策不備の責任 東京地判平30.10.26(平29ワ40110) - IT・システム判例メモ
SQLインジェクション対策をしていなかったことについて開発会社の責任が問われた事例。 事案の概要 Xは,Yに対し,Xの提供する車・バイクの一括査定システム(本件システム)の開発を約320万円で委託し,平成24年9月に納品を受けた。 その後Xは,平成28年12月に,IPA*1から,中国のサイトに本件システムの脆弱性に関する情報が掲載されているという指摘を受けて,Yに対し,その調査と報告を依頼した。 その結果,本件システムには,SQLインジェクション対策が不十分という脆弱性が判明したことから,XはYに対し,その脆弱性はYの被用者の故意過失によって生じたものであるから,使用者であるYには使用者責任があると主張して,民法715条1項所定の損害賠償請求権に基づき,緊急対策費用47万5200円,詳細な調査,抜本的な修正費用640万円,サーバー移転費用35万6400円,セキュリティ対策のための本件システ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
