「ITの専門家なら情報漏えい対策は施しておくべきじゃないですか!」、「いや、システム要件にない機能は実装しませんよ」――。あるECサイトにおける悲劇の現場を再現すると、システム発注者側とシステム開発を受注した会社の間では、おそらくこのような会話がなされたに違いない。

 上記は、セキュリティ関係者の間で話題になった判決(東京地方裁判所判決 平成23年(ワ)第32060号)を読んで、筆者が想像した会話だ。

 インテリア用品の販売会社(原告)が運営するECサイトが、外部からのSQLインジェクション攻撃によってクレジットカード情報などの個人情報を流出させてしまった。SQLインジェクションとは、Webサイトの入力フォームを悪用し、データベースで不正な処理を実行するプログラム(SQL文)を送り付ける攻撃手法だ。

 販売会社側は、顧客の個人情報が漏洩した責任はECサイトのシステム開発を受託した会社(被告)にあるとして、損害賠償請求の裁判を起こした。判決では原告の訴えが認められた。理由は、システム開発会社側がシステムに十分なSQLインジェクション対策を施さなかったため。結果、システム開発会社は、債務不履行による賠償責任を負うことになった。

 つまり、少し乱暴に言ってしまえば、発注者からのシステム要件にセキュリティ対策を施すかどうかの指示がなくても、「ITベンダーならセキュリティ対策は、施して当たり前」ということになる。

 これはショックな判決だ。「セキュリティ対策を施して当たり前」と言われても、どの程度の対策を施せばいいのか、システム受託した会社は戸惑うだろう。システム要件にないセキュリティ対策をどうすればいいのだろうか。