ソフト開発会社にとっては非常に厳しい判決が、東京地裁で確定しました。

SQLインジェクション対策もれの責任を開発会社に問う判決

X社が運営するECサイトに対して、外部からの不正アクセスにより、最大7316件のクレジットカード情報が漏洩した。X社は謝罪、対応、調査等の費用、売上減少による損害等に関して、Y社に対して、委託契約の債務不履行にもとづき1億円余りの損害賠償を請求、東京地裁に起訴した。結果、原告が勝訴し、東京地裁は約2262万円の損害賠償金を支払うよう被告に命じた（確定）。

（徳丸浩の日記）

この判決の厳しいところは、発注元が「要求仕様に含めなくても」、開発会社の賠償責任を認めたところでしょう。根拠として、IPAが、「最低限注意すべき」として注意喚起をしていたにも関わらず、杜撰なシステムを作ってしまったことにあるようです。

とはいえ、「セキュリティ対策」というユーザー側に理解されにくい仕様を、見積金額に含めることに関してユーザー側の協力が得られることは少ないでしょう技術力のない会社が、「適当に」作ったシステムを利用することは、非常にリスクが有るということをユーザーに啓蒙していくべきなのかもしれません。

最後に、上でご紹介したページの著者がのコメントが的を射ていると感じます。

開発会社側は、採用される見込みが薄くても、自衛策としてセキュリティ対策の提案はどんどんした方が良いということになります。提案した上で発注側が拒否すれば、責任を発注側に転嫁できる（可能性がある）からです。さらに、よくある損害賠償の制限条項が「重過失による場合は無効」と判断されましたので、法務的な対策もあわせて考える必要があるでしょう。

セキュリティ対策の提案をする⇒拒否されれば、ユーザーの責任にできる、ということは、ユーザーも勉強する必要がある、ということです。大手の法務は直ぐに対応するでしょうが、中小企業は開発会社の言うことをよく吟味すべきです。