情報システムのトピックス-PR-

ある判決、要件にないことで責任を負わされたシステム開発会社の悲劇

2016/01/26
安藤 正芳=日経ソフトウエア (筆者執筆記事一覧

 「ITの専門家なら情報漏えい対策は施しておくべきじゃないですか!」、「いや、システム要件にない機能は実装しませんよ」――。あるECサイトにおける悲劇の現場を再現すると、システム発注者側とシステム開発を受注した会社の間では、おそらくこのような会話がなされたに違いない。

 上記は、セキュリティ関係者の間で話題になった判決(東京地方裁判所判決 平成23年(ワ)第32060号)を読んで、筆者が想像した会話だ。

 インテリア用品の販売会社(原告)が運営するECサイトが、外部からのSQLインジェクション攻撃によってクレジットカード情報などの個人情報を流出させてしまった。SQLインジェクションとは、Webサイトの入力フォームを悪用し、データベースで不正な処理を実行するプログラム(SQL文)を送り付ける攻撃手法だ。

 販売会社側は、顧客の個人情報が漏洩した責任はECサイトのシステム開発を受託した会社(被告)にあるとして、損害賠償請求の裁判を起こした。判決では原告の訴えが認められた。理由は、システム開発会社側がシステムに十分なSQLインジェクション対策を施さなかったため。結果、システム開発会社は、債務不履行による賠償責任を負うことになった。

 つまり、少し乱暴に言ってしまえば、発注者からのシステム要件にセキュリティ対策を施すかどうかの指示がなくても、「ITベンダーならセキュリティ対策は、施して当たり前」ということになる。

 これはショックな判決だ。「セキュリティ対策を施して当たり前」と言われても、どの程度の対策を施せばいいのか、システム受託した会社は戸惑うだろう。システム要件にないセキュリティ対策をどうすればいいのだろうか。

今週のトピックス-PR-

今日のピックアップコンテンツ-PR-

>>もっと見る

ITpro Special

ネットワーク/通信サービス

>>もっと見る

▲ ページトップ

これからのIT投資術-PR-

ピックアップコンテンツ-PR-

>>もっと見る

日経コンピュータ Digital

ITpro partners

イベントINFO -PR-

最新号

注目の新刊書籍

好評発売中!



作って楽しい!ラズパイ・プログラミング

ラズベリーパイを堪能できる内容を詰め込んだ一冊!最新「ラズバリーパイ3」の解説記事も収録