東京地判令和1･12･20(サイト保守と当該サイトを含むシステムの脆弱性対策)

事案の概要

本件は、原告(X)が、被告(Y)に吸収合併される前の会社に対し、Xが運営するインターネット上の通販サイトにおけるクレジットカードによる決済の機能を利用して商品を購入することができるシステム全体について、セキュリティ対策を含めたシステムの運用、保守管理を委託し、その一環としてハートブリードというセキュリティ上の脆弱性への対策を依頼したにもかかわらず、同社が対策を講じなかったことから、Xの顧客のクレジットカード情報が漏えいし、Xにおいて顧客への対応のための費用等の支出を余儀なくされ、これにより損害を被ったとして、同社を吸収合併したYに対し、損害賠償を求めた事案です。

ややこしくなりますので、以下では、吸収合併前の会社もまとめてYと表記することとします。

時系列

H25.3.1頃　X･Y、X運営のクレカ決済可能な通販サイトの運用等に関する業務委託契約成立
H26.4.11　AWS、OpenSSLにHeartbleedが発見された旨及び即時アップデート等の対策を推奨する旨のメールを前記サイト管理者に通知(なお、前記サイトにはOpenSSLが用いられていました)
H26.6.14　AWS、前記メールと同旨のメールを前記サイト管理者に通知
H27.5.20頃　決済代行業者=>X、顧客のクレカ情報が漏洩している可能性を指摘
H27.5.20頃　X、前記サイトにおけるクレカ決済を停止

争点

• サイトの運用保守業務に当該サイトにかかるシステムにおける脆弱性(Heartbleed)対策を講じることが含まれていたか
  • Xの主張
    前記契約には前記サイトの保守管理が含まれており、これには前記サイト、サーバー及びWebアプリケーション等からなるシステムにおけるセキュリティホール対策も含まれる。
  • Yの主張
    前記契約に基づくYの業務は、前記サイトの売上等向上を目的としたマーケティング業務であり、前記システムのセキュリティ対策を含まない。

裁判所の判断

まず、裁判所は、XY間の前記契約の合意内容となったと考えられる注文書の記載から、要旨、次のような認定をしています。

• 注文書の記載は「サイトの運用、保守管理」であり、前記システム全体が委託業務の対象は直ちに読み取れない
• 委託業務として記載されたソフトウェアのカスタマイズも、OpenSSLとは性質も全く異なる別のソフトウェアであって、OpenSSLの脆弱性対策業務が契約内容に含まれていると直ちに読み取ることは困難
• 記載のあるソフトウェアにおいてOpenSSLを経由した通信がされるからといって、OpenSSLに関するセキュリティ対策業務が当然に契約内容となるわけではない

　「本件契約における当事者の合意内容をうかがわせる本件注文書……に委託される業務として記載された『本件サイトの運用、保守管理』との記載は、本件サイトが直ちに本件システム全体を意味するとまではいえない以上は、少なくともその文言上、これに本件システム全体を対象とする業務が含まれることが直ちに読み取れるとまでいうことはできず、また、同じく本件注文書に委託される業務として記載された『EC-CUBEカスタマイズ』との記載についても、EC-CUBEはインターネット上の通販サイト用のソフトウェアの一つである一方、OpenSSLはインターネット上の暗号化通信に用いられるオープンソースソフトウェアであり、両者は全く性質の異なるソフトウェアであることから、このような記載に係る業務にOpenSSLに関するセキュリティ対策業務が含まれている旨を直ちに読み取ることも困難であって、EC-CUBEにおいてOpenSSLを経由した通信がされるからといって、EC-CUBEのカスタマイズ業務の委託を受けた者が、当然にOpenSSLに関するセキュリティ対策業務の委託を受けたこととなると解することはできない。」

その上で、裁判所は、むしろ契約に至った経緯や注文書のファイル名及び業務件名に「SEO施策」と記載されていることからすれば、委託業務の主たる目的は、前記サイトの顧客有引力をいかにして高め、売上の向上を図るかというマーケティング施策にあったことがうかがわれると述べています。
また、併せて、Xが相見積をとった際、Xが他社から交付された見積書にも、前記システム全体のセキュリティ対策業務が委託業務に含まれると直ちに解し得るような記載はないとの認定もしています。
その他、YがXに対して前記サイトで利用しているECサイト用ソフトウェアのアップデートを推奨していたことや、SSLサーバ証明書の有効期限にかかる自動送信メールがYに送信されていた事情があっても、これらの事情はYが前記契約に基づき前記システム全体のセキュリティ対策業務を担っていたということはできないと述べています。

結論として、裁判所は、YがXから委託された業務に前記システムのセキュリティ対策を講じることが含まれているというXの主張を否定し、すなわち、YがHeartbleed対策を講じる義務はないとしました。

まとめ等

たまたま判例検索システムを眺めていたところ、Heartbleedに関する裁判例が新しく出ていたので、個人的な趣味もあわせてご紹介してみました。

2014年にHeartbleedが発覚し、当時はかなり話題になったように記憶しています。
このエントリを作成したのは2020年ですので、かれこれもう6年前ということになります。懐かしいですね。

それはさておき、裁判例の内容としては、ざっくり結果だけまとめると、サイトの運用保守にかかる契約においては、サイトを含んだシステムの運用保守は含まれない、ということになります。
これだけだと、感覚としては当然にも思えてしまいますが、紛争になった場合には、当事者の合意の範囲がどこまでなのか、という問題になることが通常と考えられるので、実際に紛争が生じてしまうと、そこまで簡単な話ではなくなってしまうことがほとんどです(事件番号(H29w6203)から、訴訟提起から判決までにおよそ3年ほどかかったことがわかります。)。

ちなみに、Xは、Yに対し、1億円以上の支払を求めていたわけですが、結果としては1円も認められませんでした。
顧客に生じた損害を塡補したりしなければならないという面もそうですが、情報漏洩が生じてしまうとレピュテーションリスクが顕在化することになりますから、セキュリティ対策は重要であると言い得ます。

今回はユーザー側に不利益が生じた事案でしたが、ユーザー、ベンダーを問わず、契約内容を明確にすることの重要性を感じさせるような裁判例の一つではないかと思われます。

まずはお気軽にお問い合わせください。