ファイアウォール設定の誤りの脆弱性により不正アクセスが行われ、自治体のシステムから個人情報の漏えいした疑いがある件について、ベンダの重過失が認められた事例。

事案の概要

前橋市（Ｘ）は、MENETと呼ばれる情報教育ネットワークを有しており、そのデータセンタの移管設計・構築業務を、NTT東日本（Ｙ）に委託し（本件委託契約）、その後の保守業務も委託していた（月額100万円。本件保守契約）。

平成29年8月ころからMENETの公開用サーバへの不正アクセスがあり、平成30年3月には調査の結果、児童・生徒・保護者に関する多数の個人情報が流出した可能性が高いことが明らかとなった（本件不正アクセス）*1。本件不正アクセスは、サーバにバックドアが仕掛けられ、ファイアウォールの設定とが相まって発生したものだとされた。

Ｘは、(1)本件委託契約に基づいて、ファイアウォールを適切に設定しなかったことが債務不履行または不法行為にあたる、(2)本件保守契約に基づいて、ファイアウォールの設定の不備を修正しなかったことが債務不履行または不法行為にあたると主張し、本件不正アクセスによって生じた損害1.8億円の賠償を求めた（反訴もあるがここでは省略する。）。

なお、本件委託契約には、賠償の対象は、「現実に生じた通常の直接損害」に限定され、損害賠償の額は契約金額を限度とする条項があった。

ここで取り上げる争点

（１）本件委託契約に基づくファイアウォールを適切に設定するべき債務の不履行の有無と帰責性

（２）本件保守契約に基づくファイアウォールの設定を修正すべき債務の不履行の有無

（３）損害の範囲

（４）責任限定契約の適用

裁判所の判断

争点（１）本件委託契約に基づく債務不履行とＹの帰責性

ファイアウォールを適切に設定するべき債務がそもそもあるか、という点について次のように述べた（改行位置等を適宜修正している。）。

ソフトウェアの開発に係る業務委託契約においては、契約締結の前後に提案依頼書、提案書、要件定義書、基本設計書などをやり取りすることにより委託業務の内容を確定していくものであるから、本件委託契約において受託者であるＹが負う債務の内容は、同契約の契約書の記載の内容のみならず、同契約の前後にやり取りがされた要件定義書や基本設計書などの内容を総合的に考慮して確定すべきであると解するのが相当であるところ、（略）本件システムについて、

①提案依頼書、提案書、要件定義書及び基本設計書には、外部ファイアウォール及び内部ファイアウォールにより通信制限を行うものと記載されていること、
②設計方針及び基本設計書には、データセンター内理論接続図及び通信制限イメージにおいて、ＤＭＺネットワークと個人情報保護ネットワークとをつなぐ通信経路が存在しないことがそれぞれ認められ、これらの事実に加えて、
③Ｙは、経験豊富な専門家を多数擁する技術的セキュリティ対策チームによる総合的なセキュリティソリューションを提供することを可能とする技術力を有していたこと

を併せ考えると、Ｙは、本件委託契約において、ＤＭＺネットワークと個人情報保護ネットワークとの間の通信経路を遮断するため、本件システムの提供に当たり、その外部ファイアウォール及び内部ファイアウォールを適切に設定して通信制限を行う債務を負っていたものと認めるのが相当である。

そして、適切に設定する義務が履行されていたかについては、

①Ｙは、Ｘに対し、本件システムの外部ファイアウォールをＤＭＺネットワークから個人情報保護ネットワークを含む全ての内部ネットワークへの全ての通信を許可するとの設定及び内部ファイアウォールをＤＭＺネットワークを含む全てのネットワークからの個人情報保護ネットワークへの全ての通信を許可するとの設定としたまま、同システムを引き渡していること、
②Ｙにおいて、このような設定が不適切であったこと自体は自認していたこと

がそれぞれ認められ、（略）Ｙには、本件システムの外部ファイアウォール及び内部ファイアウォールを適切に設定して通信制限を行う債務の不履行があるものと認めるのが相当である。

Ｙは、Ｘに納品した完成図書（ドキュメント）には、ファイアウォールについて実際にされた設定が記載され、Ｘがその設定について了解し、検収したのであるから、Ｙの債務不履行について帰責性がないと主張していたが、裁判所は次のように述べて退けた。

（注：Ｙが納品した）完成図書には、本件システムの外部ファイアウォールにつき、ＤＭＺネットワークから個人情報保護ネットワークを含む全ての内部ネットワークへの全ての通信を許可するとの設定になっており、同内部ファイアウォールにつき、ＤＭＺネットワークを含む全てのネットワークからの個人情報保護ネットワークへの全ての通信を許可するとの設定になっているという、そのまま使用するには不適切な設定になっていることが記載されていたことが認められる。

 （略）一般に、ソフトウェアに係るシステムの引渡しを受ける際の検査に当たり、依頼者は、同システムがその要求する要件を満足するか否かのチェックをすべきであるということはできるものの、他方で、証拠（甲４５、４６の１・２）によれば、本件システムの完成図書は、大部であり、かつ、コンピュータ言語で記載されているものであることが認められるのであり、そのような本件システムの完成図書の交付を受けた者がその全体を見て本件システムが自らの要求を満たすものであるか否かを確認することは現実的に困難であり、不可能に等しいものというべきである。

（略）

以上のほか、ＸとＹとの間のコンピュータシステムの構築などの専門性には相当の格差があることは、当裁判所に顕著な事実であり、このことを併せ考えると、ＹがＸに対して本件システムを引き渡した時点において、Ｘに対してファイアウォールの不適切な設定について告知ないし説明をしていたというのであれば格別、そうでない以上、Ｙに責めに帰すべき事由がないということはできないというべきであり、Ｙの上記の主張は採用することができない。

争点（２）本件保守契約に基づく債務不履行・不法行為

裁判所は次のように述べて保守契約に基づいて不備を修正する義務違反はないとした。

①Ｘにおいて、Ｙが、本件不正アクセスが発覚する以前において、Ｘ市教委から通信制限の不備を指摘され、修正の要求を受けていたにもかかわらず、不備を自ら確認することもなく放置したと主張する点については、本件保守契約や保守手引書（甲５の１）の内容を見ても、その修正が本件保守契約の対象となっているものか否かについては判然としないといわざるを得ないから、Ｙに債務不履行又は注意義務違反があると直ちには認められないし、

②Ｘにおいて、Ｙが、他県での教育情報システムへの不正アクセスによる個人情報漏えい事件に関連して、Ｘ市教委から問い合わせを受けたにもかかわらず、システムの確認を怠ったと主張する点については、本件記録を見ても、Ｘ市教委がＹに対して具体的にどのような連絡をしたのかは判然としないから、Ｙに債務不履行又は注意義務違反があると直ちには認められないし、

③Ｘにおいて、Ｙが、その後も、Ｘから上記②とは別の通信制限の不備を指摘されたにもかかわらず、必要な措置を講じなかったと主張する点についても、同様に、本件記録を見ても、ＸがＹに対して具体的にどのような連絡をしたのかは判然としないから、Ｙに債務不履行又は注意義務違反があると直ちには認められず、結局、Ｘの上記⑴の主張は採用することができない。

争点（３）損害の範囲

結論のみとなるが、Ｘの主張した損害のうち、下記のとおりほとんどを不正アクセスとの相当因果関係がある通常損害であると認定した。

争点（４）責任限定規定の適用

Ｙは、本件委託契約において、契約金額を限度として現実に生じた通常の直接損害を賠償する旨の条項があることから、賠償額は、契約金額である約1.05億に限られると主張していた。

この点については、SQLインジェクション攻撃による情報漏えい事故に関する裁判例（東京地判平26.1.23）を引いて、故意・重過失がある場合には適用されないと述べた。

本件委託契約の１７条は、ソフトウェアの開発に係る契約に関連して生じる損害額が、その契約の性質上、想定外に多額に上るおそれがあることから、ＹがＸに対して負うべき損害賠償金額を契約金額の範囲内に制限し、Ｙはそれを前提として当該契約の金額を設定できるという意味で一定の合理性がある約定であるということはできるが、他方で、Ｙが、権利・法益侵害の結果について故意又は重過失がある場合にまで、当該条項によってＹの損害賠償義務の範囲が制限されるということは著しく衡平を害するものであり、当事者の通常の意思に合致していないというべきであるから、本件委託契約の１７条は、Ｙに故意又は重過失がある場合には適用されないと解するのが相当である（東京地裁平成２６年１月２３日判決・判例時報２２２１号７１頁参照）。

そして、次のように述べて重過失を認定し、責任限定条項の適用を認めなかった。

Ｙは、Ｘとの間で、本件委託契約の前後における提案依頼書、提案書、要件定義書、設計方針及び基本設計書において、外部ファイアウォールないし内部ファイアウォールによる外部からのアクセス制限を行うことを複数回にわたって確認していたことが認められるから、ＹがＸに対して不適切な設定のまま本件システムを引き渡したことは、単純かつ明白なミスであるというべきであり、かつ、Ｙが情報セキュリティについて高度な専門的知見を有していることを併せ考えると、Ｙには本件委託契約の債務不履行について少なくとも重過失があることは明らかというべきである。

 

若干のコメント

本件は、自治体のシステムから、児童生徒の情報が漏えいしたということで、一般のメディアでも報道されるほど注目を浴びた事件でした。上毛新聞2023年11月7日記事によれば、一審判決後に控訴し、和解を提案して結審し、2024年2月28日に判決が言い渡される予定とのことなので、本記事を投稿した時点では和解が成立していない限り、高裁判決が出ている可能性が高いのですが、報道や判例DB等では見当たりません。

また、本件事故が判明した3カ月ほど後には、第三者委員会による検証報告書も出されています。

結論としては、ファイアウォールの設定の重大な不備があって不正アクセスを許してしまったことについて、ベンダＹには重大な過失があったという点は、上記平成26年東京地裁判決と同じですが、同判決と異なり、ユーザＸの過失を一切認めていないため、発生した損害の相当因果関係がある部分すべての賠償を認めるというＹには酷な結果となりました。

今回のベンダＹが大手事業者であったことは否定できないものの、裁判所が、自治体Ｘについて、「（ドキュメントの提出を受けても）その全体を見て本件システムが自らの要求を満たすものであるか否かを確認することは現実的に困難であり、不可能に等しい」「ＸとＹとの間のコンピュータシステムの構築などの専門性には相当の格差がある」などと強調したことには違和感があります。

開発トラブルやセキュリティ事故が起きた際の責任の所在を検討するにあたり、ベンダとユーザの技術力の差が考慮されることがありますが、これを重視しすぎると、技術力が高いベンダほど重い責任を負うことになり、逆にユーザは技術力を高めると保護されにくくなるという事態を招きかねません。こうなってしまうと、ユーザは、いつまでも「ベンダにお任せ」という状態になって、ベンダのみがリスクを負担することになり、業界の健全な発展を阻害することになってしまいます。