2015年2月25日水曜日

身を守るのは契約書でもセキュリテイ対策でもなく・・・






下級審ですが、実に面白い判決が出ました。
事案は・・・
 
原告は、ネット通販会社
被告は、原告と業務委託契約を締結しているITベンダー

脆弱なセキュリティ対応に起因する顧客クレジットカード情報の漏洩により、
なんだかんだと一億円程度の損害が発生した(・・と原告は主張)

被告は、そもそもそのようなユーザー仕様(要件定義)は不知であり、
債務認識がない以上、債務不履行に該当しない。
一連のシステム開発での受託金額は数百万円のレベルであって、
仮に損害賠償事案であっても、その上限は受託金額までと定められている。

真っ向からの対決ですが・・・
裁判所の判断は、三割程度の被告の過失相殺を認めた上で、二千万円強の損害賠償を命じました。



さて、判決内容記述からすれば順不同ですが、広範囲な「損害」が認められています。

顧客への謝罪関連費用
顧客からの問い合わせ対応関連費用
本件に係る調査費用
会議費用(出席のための交通費まで)
認定可能な売上損失

以上合計額の七割相当(三割は上記過失相殺)
原告の請求の半分以上は売上損失。クレジットカード決済ができなかったことにより
喪失した売上高の論理的な証明ができなかったために、請求の10%以下となってしまったところが
代理人の腕の悪さ(苦笑)
それを除けば、ほぼ満額勝訴(過失相殺は別として・・)



次に「損害賠償額の上限規定」ですが・・・

これは毎度受託者と委託者の間で論争になる内容ですが、
不可解一方的な経済産業省のモデル契約書なる存在が物事を複雑にしている。
損害賠償に特段の合理性のないキャップをはめることは公序良俗違反である。
過失程度ならば、交渉に応じる場合がありうるが、
故意重過失だと青天井!を譲らないというのがIT社長の立場です(キッパリ!)

今回の事案では、面白くって、やはり「上限規定」があります。
ところが、契約書全文を見ないと、判断しにくいのですが、

25条 ・・・本契約内容に違反すれば・・・すべての損害を賠償する
29条 乙(今回は被告)は故意または過失により・・・個別契約の定める契約金額の範囲内において・・・

なんとも奇妙なんですが、賠償条項が二つもある(笑)
ありうる話としては、一般的な場合は「上限付き」であるが、特定の義務違反は青天井。
そうであれば、明晰に書けばいいが、どうも粗雑な企業法務屋が作ったみたいです。
本当にそう読めるのかどうかは別にして、裁判所は、情報漏洩に関しては「青天井」と
判断しました(・・・どうなんでしょうねえ?)

次に裁判所は、故意または重過失の場合にまで「上限規定」を適用することは、
著しく衡平を害するって断じています。
その上で今回の場合・・・重過失に該当すると判断しました(29条が無効ということ)
これは、当然の判断です。
契約書に書いてあれば、なんでも通るって思うのは馬鹿な法務屋とIT屋だけです。



さて、本論です。
いったい何が「原因」で情報漏洩が起きたのか?
どうやら「SQLインジェクション攻撃」を受けたらしい。
事件が発生した時期には、この手のハッキングは大流行だったらしく、
当然ながらディフェンス対策も一般化しており、常識的なセキュリティ対応さえしておれば
なにも問題が起きなかったと推認される古典的な事案である。

要するに、被告(ITベンダー)は、機微な情報(クレジットカード情報)を取り扱う以上
それにふさわしい適切なセキュリテイ対策を講じたアプリを提供するのが債務の本旨に合致する
履行だと裁判所は判断するのです。
これまた当然の判断です。


 
ところが、ケチな委託者がまともな開発費を払ってくれないケース。
当然やるべきことをやろうとしても原資がない。
そういう場合には、きっちりと「費用をかけて装備しないと危険です!」って
説明(できれば文書で)しておかないと、自分の身が守れないってことです。
今回は、原告サイドに多少の危険認識があったので三割程度は過失相殺がされましたが、
この程度じゃ身を守ったことにはならない。



色々とためになる「事件」です。
東京地裁ともなれば、ちゃんとした裁判官もおいでになるようです。
残念ながら、かような名裁判官には遭遇したことがない。
まあ「名裁判官」って、一般的には「勝訴判決」を書いてくれる判事のことですがね(笑)


ところで、これって確定判決でしょうか?
ボクならば・・・絶対に控訴ですよ。結構物議かます判断があります。













0 件のコメント:

コメントを投稿