本件では、原告のとある市区町村(X)が、被告のベンダー(Y)に対し、データセンターの移管設計、構築業務の委託後、同データセンターの移管保守を委託していました。
その後、①何者かがネットワーク上の公開サーバーにバックドアを設置し、また、②何者かがそのバックドアを利用して公開サーバー経由で内部ネットワークに侵入して不正ツールを保存し、さらに、③何者かが個人情報が保存された内部ネットワーク内のファイル共有サーバーから、個人情報を収集、保存するなどの行為に及んだことにより、多数の個人情報が流出した可能性が高いとされました。
そこで、Xは、Yにはファイアウォールを適切に設定し、通信制限を行う義務があったにもかかわらず、Yがこれを怠ったために前述の不正アクセスが生じたと主張して、Yに対し、債務不履行又は不法行為に基づき、損害賠償を求めていました。
(本件には、YからXに対してなされた請求に関する反訴事件もありますが、今回は割愛します。)
なお、本件のシステムは、納品時の設定において、外部側のファイアウォールでは、DMZから個人情報を保存していたネットワーク(「個人情報保護ネットワーク」)も含む内部側へのすべての通信が許可されており、また、内部側のファイアウォールでは、DMZも含め全てのネットワークから「個人情報保護ネットワーク」へのすべての通信が許可されていました。
もっとも、Yが策定した設定方針や基本設計書に記載されていた論理構成図や通信制限イメージ図においては、DMZと「個人情報保護ネットワーク」をつなぐ通信経路は存在しないとされていました。
H27.5.21 X・Y、DC移管設計、構築業務に関する委託契約(本件委託契約)締結
H27.10.1 X・Y、DC移管保守業務に関する委託契約(本件保守契約)締結
(不明) 何者かが公開サーバーにバックドア設置
H29.12中頃 何者かがバックドアを利用して内部ネットワークに侵入
H30.3.6 何者かが多数の個人情報が保存されたファイル共有サーバーから個人情報を収集、保存
本件については、責任限定契約の適用の有無を主に取り上げるつもりですので、債務不履行と不法行為の成否等についてはざっと触れることとします。
前提として、Xは、Yに対し、本件では次の5つの請求をしていましたが、裁判所は、①のみを認め、その余の請求は認められないとしました。
①の請求について、裁判所は、(事案の概要では触れていない点もありますが)次のように述べ、ソフトウェア開発においては、契約書の記載のみならず、契約の前後でやり取りされた提案依頼書、提案書、要件定義書、基本設計書等の内容を総合的に考慮して、受託者の債務の内容を確定すべきとした上で、本件においては、(具体的な義務として)DMZネットワークと個人情報保護ネットワークとの間の通信経路を遮断するため、本件システムの提供に当たり、その外部ファイアウォール及び内部ファイアウォールを適切に設定して通信制限を行う債務を負っていた、としています。
ソフトウェアの開発に係る業務委託契約においては、契約締結の前後に提案依頼書、提案書、要件定義書、基本設計書などをやり取りすることにより委託業務の内容を確定していくものであるから、本件委託契約において受託者であるYが負う債務の内容は、同契約の契約書の記載の内容のみならず、同契約の前後にやり取りがされた要件定義書や基本設計書などの内容を総合的に考慮して確定すべきであると解するのが相当であるところ、(中略)、本件システムについて、〈1〉提案依頼書、提案書、要件定義書及び基本設計書には、外部ファイアウォール及び内部ファイアウォールにより通信制限を行うものと記載されていること、〈2〉設計方針及び基本設計書には、データセンター内理論接続図及び通信制限イメージにおいて、DMZネットワークと個人情報保護ネットワークとをつなぐ通信経路が存在しないことがそれぞれ認められ、これらの事実に加えて、〈3〉Yは、経験豊富な専門家を多数擁する技術的セキュリティ対策チームによる総合的なセキュリティソリューションを提供することを可能とする技術力を有していたことを併せ考えると、Yは、本件委託契約において、DMZネットワークと個人情報保護ネットワークとの間の通信経路を遮断するため、本件システムの提供に当たり、その外部ファイアウォール及び内部ファイアウォールを適切に設定して通信制限を行う債務を負っていたものと認めるのが相当である。
その上で、次のように述べ、Yの債務不履行を認めています。
そして、(中略)、Yは、Xに対し、本件システムの外部ファイアウォールをDMZネットワークから個人情報保護ネットワークを含む全ての内部ネットワークへの全ての通信を許可するとの設定及び内部ファイアウォールをDMZネットワークを含む全てのネットワークからの個人情報保護ネットワークへの全ての通信を許可するとの設定としたまま、同システムを引き渡していること、〈2〉(中略)によれば、Yにおいて、このような設定が不適切であったこと自体は自認していたことがそれぞれ認められ、これらの事実に加えて、本件記録を見ても、Yにおいて、Xに対して外部ファイアウォール及び内部ファイアウォールを上記〈1〉のように設定したまま本件システムを引き渡した理由について合理的な理由がある旨の主張は見当たらないことを併せ考えると、Yには、本件システムの外部ファイアウォール及び内部ファイアウォールを適切に設定して通信制限を行う債務の不履行があるものと認めるのが相当である。
他方で、外部ファイアウォール及び内部ファイアウォールの適切な設定を行う義務は、本件委託契約の付随的な義務ではなく、主たる給付義務を構成するものとして、②の不法行為の成立は否定しています。 また、本件の事情の下では、本件保守契約に関して③の債務不履行、④の不法行為のいずれも成立せず、⑤の不法行為も成立しないとしています。
①に関する裁判所の判断については、契約書の記載のみならず、前後にやりとりされたドキュメントも考慮してベンダーの債務の内容を確定すべきという、当然のことではありつつも非常に重要な点に触れていると思います。
前提として、裁判所は、本件委託契約の債務不履行によって生じた損害として、1億4298万0444円を認定しています。
そして、本件では、本件委託契約に次の責任限定を定めた条項がありましたが、これが適用されるかどうか、という点が問題となります。
本件委託契約17条
X又はYは、本件委託契約に基づく債務を履行せず、相手方から相当の期間を定めて催告を受けたにもかかわらず、なお、その期間内に履行しないとき等の本件委託契約上の解除事由に該当したこと、又は本件委託契約の履行において自らの責めに帰すべき事由により、相手方に損害を与えた場合には、本件委託契約の解除の有無にかかわらず、契約金額を限度として現実に生じた通常の直接損害を賠償するものとする。
なお、個人情報の漏洩に関してベンダーが負う損害について判断した事案でもありますので、認められた損害の範囲等については、別途記事化しようと思います。
これに伴い、「現実に生じた通常の直接損害」についても、そちらの記事に委ね、今回は損害賠償額の上限規定が適用されるかどうかについてのみ、触れていきたいと思います。
Yの主張
移管設計、構築業務に関する委託契約には、Yの損害賠償責任について、契約金額を限度として、現実に生じた通常の直接損害を賠償する旨の条項が存在するから、Yが賠償すべき損害額は、その契約金額である1億0480万0500円が限度である。
Xの主張
責任限定契約については、権利・法益侵害の結果に故意又は重過失がある場合には適用されないと解されている(東京地判平成26・1・23)。
Yにおいて、外部ファイアウォール及び内部ファイアウォールについて全ての通信を許可する設定がされれば、攻撃者によるDMZネットワークから内部ネットワークへの侵入を許す結果が生じることは容易に予見可能であり、かつ、Yがその設定の不備に気付き、その不備を是正することは極めて容易であった。
にもかかわらず、Yは、セキュリティの根本にかかわる重大事項についての確認を怠り、さらにXに対して虚偽の報告を行った点で、Yには故意又は重大な過失があるから、本件責任限定契約は適用されない。
裁判所は、まず、東京地判平成26・1・23を参照した上で、Yに故意又は重過失がある場合には、本件委託契約17条の適用はないと述べています。
本件委託契約の17条は、ソフトウェアの開発に係る契約に関連して生じる損害額が、その契約の性質上、想定外に多額に上るおそれがあることから、YがXに対して負うべき損害賠償金額を契約金額の範囲内に制限し、Yはそれを前提として当該契約の金額を設定できるという意味で一定の合理性がある約定であるということはできるが、他方で、Yが、権利・法益侵害の結果について故意又は重過失がある場合にまで、当該条項によってYの損害賠償義務の範囲が制限されるということは著しく衡平を害するものであり、当事者の通常の意思に合致していないというべきであるから、本件委託契約の17条は、Yに故意又は重過失がある場合には適用されないと解するのが相当である(東京地裁平成26年1月23日判決・判例時報2221号71頁参照)。
そして、裁判所は、Yが、Xとの間で、本件委託契約の前後に、外部ファイアウォール及び内部ファイアウォールによる外部からのアクセス制限を行うことを複数回にわたって確認していたことを理由に、YがXに対して不適切なファイアウォールの設定のままシステムを引き渡したことは、単純かつ明白なミスであり、Yが情報セキュリティについて高度な専門的知見を有していることを併せると、Yには重過失があったと判断しています。
Yは、Xとの間で、本件委託契約の前後における提案依頼書、提案書、要件定義書、設計方針及び基本設計書において、外部ファイアウォールないし内部ファイアウォールによる外部からのアクセス制限を行うことを複数回にわたって確認していたことが認められるから、YがXに対して不適切な設定のまま本件システムを引き渡したことは、単純かつ明白なミスであるというべきであり、かつ、Yが情報セキュリティについて高度な専門的知見を有していることを併せ考えると、Yには本件委託契約の債務不履行について少なくとも重過失があることは明らかというべきである。
以上によれば、XのYに対する本件委託契約の債務不履行に基づく損害賠償請求に係る損害額について、本件委託契約の17条の規定を適用することはできないから、Yの上記の主張は採用することができない。
SQLインジェクション攻撃によってクレジットカード情報が漏洩した事案の判決である東京地判平成26・1・23において、債務不履行による損害の発生について、故意又は重過失があった場合には、ベンダーは免責されないとされていました。(東京地判平成26・1・23については、こちらの記事もご参照ください。)
本判決は、これを参照するとともに、ベンダーに、権利侵害の結果について、故意又は重過失がある場合には、責任限定契約があったとしても、これが適用されない旨を改めて判示したものです。
多くの開発委託契約書において、ベンダーの免責を定めた条項が置かれているかと思いますが、その効力が否定されたケースという意味で、意義のある判決だと考えます。
受付: 10:00~18:00 / 土日祝を除く