事案の概要

クレジットカード決済代行サービス業のＸは，クーポン購入サイト運営者Ｙとの間で，決済サービス契約を締結した。その約款には，契約者（Ｙ）は，会員のカード情報，Ｘの決済システムを第三者に閲覧，改ざん又は破壊されないための措置を講じるとともに，契約者のサイトを第三者に改ざん又は破壊されないための措置を講じる義務が定められていた（以下「本件義務」）。そして，本件義務に違反したことによってＸに生じた一切の損害を賠償する旨の定めもおかれていた。

Ｙは，グルーポンの購入サイト（以下「本件サイト」）を制作し，平成22年6月25日に，Ｘの決済システムと接続し，同年7月8日に本件サイトの運営を開始した。

同年10月30日には，Ｙの顧客からクレジットカードの不正利用の報告が入り，漏えいの疑いが生じたため，11月4日には，本件サイトを停止した。なお，本件サイトの制作会社によれば，漏えいした件数は最大603件とされている。

ここで取り上げる争点

（１）Ｘは本件義務を履行したか
（２）Ｘに生じた損害の額

裁判所の判断

争点（１）義務履行について

漏えいの経緯について裁判所は次のように述べている。

本件では，Ｙが本件サイトにおいてアクセスログを残すように設定していなかったため，いかなる経緯でＹの顧客のクレジットカード情報が漏えいしたのかについては明らかになっていないが，前記第２の１(5)の事実経過やＹの多数の顧客のクレジットカード情報が漏えいしていること，Ｙも本件サイトから顧客情報が流出した事故が起こったと認識していたことにかんがみると，本件サイトに何らかの不正なアクセス等が行われることによってＹの顧客のクレジットカード情報が漏えいしたことが推認される。

そして，本件義務に基づいてＹは会員のカード情報等を第三者に閲覧等されないように本件サイトを適切に管理する義務を負っていたとしつつ，具体的な対策として次のようなものを挙げた。

本件義務の内容たる会員のカード情報を第三者に閲覧，改ざん又は破壊されないための措置について，一般的に，（ア）ウェブアプリケーションにおけるセキュリティとして，[1]入力検証及び不正データ入力時の無効化，[2]認証と承認，[3]適切なパスワード，セッション情報，[4]機密データの暗号化，[5]機密情報へのアクセス制御と情報漏洩防止，[6]監査とログ記録がそれぞれ必要であり，また，（イ）ネットワークセキュリティとして，[7]ファイアウォール，[8]侵入検知システムと侵入防止システム，[9]ネットワークセキュリティへの保証といったセキュリティ対策を取る必要があることについて，Ｙは争っていない。また，インターネットなどの外部公開があり，クレジットカード情報等の個人情報を扱う場合には，一般的に，ウェブアプリケーションに上記セキュリティ対策のうち，上記[4]の対策を取ることは推奨にとどまるものの，上記[1][2][3][5][6]の対策を取ることは必須であることについて，Ｙは争っていない。

Ｙは，本件サイトのサーバ管理をＢに委託しており，それにより本件義務を履行したこと，Ｂが履行補助者に該当するため，Ｂの過失により流出したとしても，Ｙは責任を負わないことを主張していたが，裁判所は次のように述べた。

しかし，Ｙが主張するように外部からの攻撃についての管理はサーバ会社であるＢが通常行うものであることを認めるに足る主張立証はないし，Ｙが，本件義務の履行に該当するような上記(1)[1]ないし[9]のセキュリティ対策をＢに委託したことを認めるに足る主張立証もない。そうすると，ＹがＢのレンタルサーバを利用したことからＹが本件義務を履行したと認めることはできない。

さらに，Ｂが [1]-[9]のセキュリティ対策を取っていたことが明らかでないということについて，Ｙは「費用を度外視できない」との反論をしたが，裁判所は，クレジットカード情報という情報の機密性を考慮して以下のように述べた。

いかなる程度のセキュリティ対策を取るかについては，当該セキュリティ対策を取るために必要となる費用や当該サイトで取り扱っている情報の内容とそれに応じた秘密保護の必要性等の程度を勘案して，適切な程度のセキュリティ対策を取ることが必要というべきである。そして，本件サイトは，クレジットカードの情報という機密性の高い情報を扱うサイトであるから，それに応じた高度のセキュリティ対策が必要というべきであり，クレジットカードの情報という機密性の高い情報を扱わない通常のウェブサイトと比べると，費用を要する高度のセキュリティ対策を実施すべきものというべきである。

しかるに，Ｂのウェブサイトの記載やＢのレンタルサーバサービス約款に照らすと，ＹがＢとの間で締結したレンタルサーバ契約は，一般的なレンタルサーバに係るものにすぎないものと認められる。そうすると，Ｂに標準で付されているセキュリティ対策が，クレジットカードの情報という機密性の高い情報を扱うのに適した程度のもの（前記(1)[1]ないし[9]のセキュリティ対策の水準を満たすもの）と推認することはできないし，これを認めるに足る証拠もない。

（略）

Ｙは，本件サイトのセキュリティ対策について，Ｂとのレンタルサーバ契約のサービスの内容に関し，Ｂのウェブサイトに「１台のサーバを１ユーザで専有。管理者権限はＢが管理。専門知識は不要！サーバの運用・保守はＢにおまかせ」とあるとの主張をしている。しかし，Ｂのウェブサイト上にこのような抽象的な記載があるからといって，Ｂが上記(1)[1]ないし[9]のようなセキュリティ対策を取っていたことを認めることはできない。

結局，十分なセキュリティ対策を委託した証拠はないとして，Ｙは本件義務を履行していないとされた。

争点（２）損害の額について

裁判所は以下の費用（合計1730万0140円）を損害として認めた。

• アクワイアラー*1から請求された違約金，事故調査費用（1617万5630円）
• PCI-DSS*2認定再取得費用（66万7470円＋44万6250円）
• その他交通費（1万0790円）

このうち，一部，預り金返還債務を相殺し，Ｘの請求を全額認容した。

若干のコメント

クレジットカード情報という機密性の高い情報を預かる場合には，単に「レンタルサーバ業者」のサーバに保管しました，というだけでは義務を履行したことにならない，と述べられています。

また，本件はカードの不正利用の通知を端緒に漏えいが発覚したものですが，決済代行業者から請求されているのは，調査費用が主なものです。600件の流出であっても，それによる調査費用は相当な額に及ぶので，十分な対策を打っておかないことの代償は大きいです。

クレジットカード情報に限らず，個人情報の管理に関する安全管理措置（個人情報保護法20条），委託先の監督（同22条）においても同様のことが当てはまります。