ECサイトにおけるクレジットカード情報漏洩事故が、決済代行業者から提供されたモジュールの不具合があったという場合において、開発ベンダの責任がモジュールの仕様・不具合の確認まで及ぶか否かが問われた事例。
事案の概要
Xが運営するECサイト(本件サイト)において、顧客のクレジットカード情報が漏洩した可能性があるとの指摘を受けて、Xは、本件サイトにおけるクレジットカード決済機能を停止した(本件情報漏洩)。その後、Xはフォレンジック調査を依頼し、不正アクセスによってクレジットカード会員情報が漏洩したこと、クレジットカード情報はサーバ内のログに暗号化されて含まれていたが、復号することが可能だったこと、漏えいした情報は最大で約6500件だったこと等が明らかとなった。
Xは、本件サイトを、Yとの間で締結した請負契約(本件請負契約)に基づいて開発したものであって、本件サイトの保守管理についても本件保守管理契約に基づいて行ったものであるから、本件請負契約または本件保守管理契約に基づく義務に違反したとして、クレジットカード情報漏えいによって生じた損害(約7800万円)の賠償を求めた。
ここで取り上げる争点
(1)本件情報漏洩の原因
(2)Yがクレジットカード情報を保持しない仕様で製作する義務に違反したか
(3)Yが本件請負契約締結当時の技術水準に沿ったセキュリティ対策を施す義務に違反したか
(4)Yが本件保守管理契約に違反したか
裁判所の判断
争点(1)本件情報漏洩の原因
Xは、フォレンジック調査報告書に基づき、攻撃者は、サーバにブルートフォース攻撃*1を仕掛けてroot権限*2を取得し、ログに保存されていたクレジットカード情報を複合化して入手したと主張していた。
ところが、裁判所は、以下のように述べて、原告が主張する方法以外にも可能性がある原因があったと判断し、フォレンジックを行った業者(PCF)の調査報告は信用性が高いとまではいえないとして原因は「判然としない」とした。
しかし,本件調査報告書を作成したPCF社が,本件サイトの攻撃者によって本件root権限が取得されたものと判断したのは,本件仮想サーバー内の本件システムログが削除されていたことによるところが大きいとみられるところ,前記認定事実のとおり,本件システムログは,本件仮想サーバーのVPSコンソール上で本件rootパスワードが変更されたことに伴い,システムによって自動的に削除されたものであるから,この点をもって,上記攻撃者において本件root権限を取得したものと判断することはできない。他方で,前記認定事実のとおり,暗号化された状態で本件決済ログに保存されていたクレジットカード情報を復号化して,これを入手することは,本件管理画面を操作する○○の管理権限を有していれば可能であった。本件管理画面は,外部のウェブブラウザからアクセスすることができ,本件仮想サーバーにSSH接続でアクセスするよりも容易で発見が困難であったと考えられることや,上記管理権限を行使するために必要なID及びパスワードが,推測の容易な初期設定のまま使用され続けていたことに鑑みると,前記攻撃者が上記管理権限を取得して,本件情報漏洩を引き起こすに至った可能性は,決して低いものとはいえない。しかるに,本件調査報告書は,この可能性について十分な検討を行っていない。そうすると,本件情報漏洩の原因に関する本件調査報告書の記載は,信用性が高いとまではいえない。
したがって,本件サイトの攻撃者が,本件仮想サーバーにブルートフォース攻撃を仕掛けて本件root権限を取得した旨のXの前記主張は,これを採用することができず,本件サイトの攻撃者による侵入経路及び本件情報漏洩の原因は,判然としないものといわざるを得ない。
争点(2)Yがクレジットカード情報を保持しない仕様で製作する義務に違反したか
Xは、本件サイトで使用されていた決済モジュール(本件決済モジュール)は、クレジットカード情報をログに記録する仕様で、セキュリティ脆弱性があったが、その確認作業を行わずに実装したものであるから、本件請負契約の不履行にあたると主張していた。
しかし、裁判所は、おおよそ、下記のように述べて、Yの義務違反を否定した。
- 本件決済モジュールは第三者が開発し、決済代行会社が提供したものであって、Yが開発したものではない
- 本件請負契約におけるYの義務は、クレジットカード決済機能の「導入」であって、決済機能の開発ではない
- Yは本件決済モジュールを組み込んでテストすることを確認するにとどまる
- 本件決済モジュールのソースコードは公開されていたものの、ログにクレジットカード情報が保存される実装になっていたことは、本件情報漏洩後に発覚した
以上の事情を総合すれば,Yが,本件決済モジュールの設計,開発及びカスタマイズを行う開発者に該当しないにもかかわらず,相当額の対価の支払を受ける約定もないのに,高度の専門的知見と相当のコストを要する作業を進んで請け負うことは考え難い。本件サイトに顧客のクレジットカード情報を保存しないことが,X及びYの共通認識となっていたとみられることを考慮しても,本件請負契約に関し,XとYとの間で,Yが,本件決済モジュールのソースコードや,同モジュールが生成するログを調査し,同モジュールが,セキュリティ脆弱性を有しないか,異常処理を生じさせないかといった点を確認する義務を負うとの合意をしていたことを認めることはできない。
争点(3)Yが本件請負契約締結当時の技術水準に沿ったセキュリティ対策を施す義務に違反したか
Xは、本件請負契約に基づき、瑕疵のないソフトウェアを製作する義務の一環として、契約の締結当時の技術水準に沿ったセキュリティ対策を施したソフトウェアを提供する義務を負っているところ、かかる義務には、クレジットカード情報を保存しないものへと修正する義務が含まれていたと主張していた。
この点についても、裁判所はYの義務違反を否定した。
Xは,SBPS社(引用者注:決済代行会社)との間で決済代行サービスに係る加盟店契約を締結したのであるから,本件サイトにクレジットカード情報を保持する場合に,クレジットカード決済を取り扱う加盟店として,クレジットカード業界のセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard。略)に準拠すべき立場にあったのは,YではなくXである。加盟店が,ECサイトの構築を第三者に請け負わせるに当たり,自ら準拠すべきセキュリティ基準に沿ったものとすることについては,注文主である加盟店から請負人に指示すべきものであり,注文主がそのような指示をしていないのに,請負人が黙示の合意の存在を理由に上記基準に沿ってECサイトを構築する義務を負わされるとすれば,請負人の合理的な期待に反することになるというべきであるから,Xが一定のセキュリティ基準に沿って本件サイトを構築することをYに指示していない本件において,Yに対し,当該基準に沿って本件サイトを構築する義務を負わせることは,相当ではない。さらに,前記認定事実のとおり,Xが締結した加盟店契約において,加盟店が,SBPS社の決済代行サービスを利用するに当たり,同サービスに関連して同社が提供したコンピュータソフトウェアのプログラム等を改造又は変更する行為を禁止する旨の規定があることに照らせば,Xが,SBPS社に無断で,本件決済モジュールの決済機能に関するソースコードを改造し又は変更することはできなかったものというべきである。本件において,Xは,本件請負契約に関し,本件決済モジュールの決済機能に関するソースコードを被告に改造させ又は変更させることにつき,SBPS社から許諾を得ていなかったのであるから,この点をみても,Yが,これを改造し又は変更する義務を負っていたとは解されない。
すなわち、決済代行会社から提供されたモジュールを改造する権限もないYには、義務もなかったとしている。
さらには、事故対応をしたことを以って義務があったということはないとした。
Yは,本件情報漏洩の判明後,Xのために,無償で各種の情報セキュリティ対策を講じたことが認められる(甲161)が,これは,Yが,急を要すると判断し,できることをやろうとしたもの(略)である。当該事実をもって,Yが,Xに対し,本件請負契約に基づき,それらの情報セキュリティ対策を講じる義務を負っていたものということはできない。
その他のXの主張には、
があったが、前者については、本件情報漏洩の原因が判然としないため、rootパスワードの設定が義務違反とつながることは前提を欠くとし、後者については
本件サイトへのSSH接続に対するIPアドレスの制限は,本件サイトの安全性を高めるための手段として間接的なものといえるし,本件仮想サーバーの運用に当たりX及びY以外の第三者が同サーバーにアクセスすることも予定されていなかった上,Yにおいて,本件仮想サーバー上に原告の顧客のクレジットカード情報が保存されているとの認識を有していなかった。前記のとおり,本件サイトにおいてクレジットカード決済を取り扱う加盟店となるのは,Xであるから,Xにおいて,本件サイトの動作環境をより安全なものにするため,本件サイトへのSSH接続につきファイアウォールを設定してIPアドレスによるアクセス制限を行う必要があると判断したのであれば,本件サイトの構築を被告に請け負わせるに当たり,そのようにYに指示すべきである。
として、むしろXの責任であるとした。
争点(4)Yが本件保守管理契約に違反したか
Xは、前記本件請負契約に基づく各種の義務は、基本契約に基づいて発生するものであり、基本契約に基づく本件保守管理契約にも違反したと主張していた。
しかし、この点も裁判所は次のように述べて否定した。
Xは,Yが,低コストで本件サイトの安定稼働に必要な保守及び運営に係るサービスを提供するものであることを認識しつつ,1か月5万円(消費税別)という低額の料金に相当する作業を委託したことが認められ,本件ソフトウェア及び本件決済モジュールにつき新たな不具合等が判明したなどの事情もないのに,Yにおいて,本件請負契約に基づき負うことがなかった義務を,本件保守管理契約に基づき新たに負うものとは解されない。
その結果、Xの請求はすべて棄却された。
若干のコメント
クレジットカード情報の漏洩事故に関して開発ベンダの責任を問われた事例は少なくないですが(東京地判平26.1.23、東京地判平25.3.19など)、多くは開発ベンダの責任が認められてきました。本件は責任が否定されています。
責任の有無を決める要因はさまざまであり、単純化することはできませんが、本件の場合、PCFが作成したフォレンジック調査報告書の内容が「信用性が高いとまではいえない」とされたことが特徴的です。実務においてPCFの報告書は絶対視されることも少なくないですが、事故後の短期間で与えられた限られた情報をもとに判断するものであるため、報告書で指摘された事故原因以外の可能性があるということもあり得ます。
また、本件の場合は、ベンダが開発した部分でないモジュールに脆弱性があったというもので、その導入に責任がないことに加え、テスト等で検出する責任もないとされました。却って、加盟店であるユーザにPCI DSSに準拠する責任があったとしたことも注目されます。
もともと、実務では、セキュリティに関する仕様はユーザも当事者意識を以って決定すべきであることが言われていますが(IPA「情報システム・モデル取引・契約書」第二版参照)、事故が発生すると、どうしてもユーザはその責任を外部のベンダに求めがちです。セキュリティに関する仕様や責任分界は契約書等で定められることも少ないですが、ユーザも発注者として「自分は素人だが、うまくやってくれるだろう」という発想から脱却すべきであろうと考えます。
