2015年8月21日、社会問題となった日本年金機構の年金情報流出問題に関する調査報告書が出そろった。外部攻撃による情報流出は、多くの企業にとって人ごとではない。もし、顧客情報などが漏えいした場合、その企業は厳しく責任を問われる。実は、機密情報を扱う情報システムを構築するITベンダーにもリスクがある。たとえ契約書などでセキュリティに関する明確な取り決めがなくとも、最低限の対策を盛り込まなければ、法的責任に問われる可能性があるという。
昨今、個人情報保護への意識が高まっているものの、顧客の個人情報などが流出したというニュースが後を絶たない。それには様々な原因があるだろう。情報システムが関係するケースでは、大きく二つの原因が想定できる。
一つは、情報システム自体に問題はなかったが、従業員のオペレーションミスなどで個人情報を流出させてしまうケース。もう一つは、そもそも情報システムにセキュリティ上の問題があり、外部からサイバー攻撃を受けるなどして個人情報が流出するケースだ。
後者のケースでは、どのような場合であれば、ユーザー企業がシステム開発を委託したITベンダーに対して、法的責任を追及できるのか。
今回は、情報システムの問題で個人情報を流出させてしまったユーザー企業が、ITベンダーを提訴した東京地方裁判所の事例を見ていく。
最大7316件のカード情報が流出
本件は、インテリア商品の通信販売などを手掛けるユーザー企業Xと、Xからオンラインショップの受注システム(本件システム)の開発を受託したITベンダーYとの間で生じた紛争だ。
ユーザーXは2009年4月、本件システムを稼働させた。オンラインショップ上で顧客が入力するクレジットカード情報は当初、Xが保有するデータベース(DB)には格納しない仕様にしていた。
本件システムを稼働させた約9カ月後の2010年1月、ユーザーXはベンダーYに本件システムの仕様変更を依頼し、Yが顧客のクレジットカード情報をXのDBに保存できるようにシステムを変更した。Xが各カード会社に対する毎月の請求金額を個別に把握できるようにするためだった。
これがトラブルを招く。2011年4月、Xはクレジットカード会社から連絡を受けた。クレジットカードを不正利用された被害者の中に、Xのオンラインショップの利用者が複数いる、という内容である。Xが調査したところ、本件システムが外部攻撃を受け、最大7316件のクレジットカード情報が流出した可能性があることが判明した。
Xは、ベンダーYのセキュリティ対策が不十分だったためにクレジットカード情報が流出したと主張。顧客への謝罪、問い合わせ対応、原因調査などに掛かる費用や売上損失といった損害の賠償を求める訴訟を起こした。
個人情報の流出原因が、この裁判で重要な争点の一つになった。東京地裁は最終的に、SQLインジェクションの脆弱性が原因だったと認定した。
