紹介裁判例

・東京地判平成２５年3月１９日ウェストロー・ジャパン

• 第１　問題の所在
• 第２　東京地判平成２５年3月１９日ウェストロー・ジャパン
  • 　１　事案の概要
  • 　２　裁判所の判断
• 第３　検討
  • 　１　情報漏えいの原因が不明であることについて
  • 　２　ECサイト運営会社が負うセキュリティ義務
  • 　３　認められる損害賠償費目　　
• 第４　番外編：決済代行業者からの求償請求を退ける（減額させる）理屈の検討

第１　問題の所在

　　　ＥＣサイト運営会社は、クレジットカード決済を導入する際に、クレジットカード会社・決済代行業者とクレジット決済に関する契約を締結することが一般的と言えます。そのため、ECサイトからクレジットカード情報が漏えいし、クレジットカード会社等に損害が生じた際には、その損害賠償を請求されます。そこで、ＥＣサイト運営会社とクレジットカード会社等の間で問題になった事案を確認し、どのような判断がされるのか、確認してみましょう。

第２　東京地判平成２５年3月１９日ウェストロー・ジャパン

　１　事案の概要

　　　いわゆるグルーポンの購入サイト（以下「本件サイト」といいます。）を運営していた被告との間でクレジット決済サービス契約（以下「本件契約」といいます。）を締結していた原告が、被告の債務不履行によって被告の顧客のクレジットカード情報が漏えいしたと主張して、被告に対し、原告が被った損害の賠償を求めた事案です。本件サイトは、被告が訴外Ａ会社に制作を委託し、訴外B社が管理するレンタルサーバー上を利用して運営されていました。本件事案においては、被告が本件サイトにおいてアクセスログを残すように設定していなかったため、いかなる経緯で被告の顧客のクレジットカード情報が漏えいしたのかについては、明らかになっておらず、あくまで、「何らかの不正なアクセス等が行われることによって」情報が漏えいしたことが「推認される」と指摘されています。

　２　裁判所の判断

　　⑴　被告（ECサイト運営者）が負っていた債務の内容

　　　「被告は，本件約款[1]２３条１項により，会員のカード情報等を第三者に閲覧，改ざん又は破壊されないための措置を講じるとともに，被告のサイトを第三者に改ざん又は破壊されないための措置を講じるとの本件義務を負っていたのであるから，本件義務に基づいて会員のカード情報等を第三者に閲覧等されないように本件サイトを適切に管理する義務を負っていたというべきである。

 　ところで，本件義務の内容たる会員のカード情報を第三者に閲覧，改ざん又は破壊されないための措置について，一般的に，（ア）ウェブアプリケーションにおけるセキュリティとして，①入力検証及び不正データ入力時の無効化，②認証と承認，③適切なパスワード，セッション情報，④機密データの暗号化，⑤機密情報へのアクセス制御と情報漏洩防止，⑥監査とログ記録がそれぞれ必要であり，また，（イ）ネットワークセキュリティとして，⑦ファイアウォール，⑧侵入検知システムと侵入防止システム，⑨ネットワークセキュリティへの保証といったセキュリティ対策を取る必要があることについて，被告は争っていない。また，インターネットなどの外部公開があり，クレジットカード情報等の個人情報を扱う場合には，一般的に，ウェブアプリケーションに上記セキュリティ対策のうち，上記④の対策を取ることは推奨にとどまるものの，上記①②③⑤⑥の対策を取ることは必須であることについて，被告は争っていない。

そうすると，被告は，本件サイトに関し，上記のようなセキュリティ対策を取り，本件サイトを適切に管理する義務を負っていたというべきである。」

　　⑵　被告が賠償すべき損害費目

　　　　「本件約款２３条３項には，契約者は原告に対し，契約者が本件約款２３条１項及び２項に違反したことにより原告に生じた一切の損害（合理的な弁護士費用を含むがこれに限られない）を賠償するものとするとの定めがある。」

　　　　「原告は，本件サイトからカード情報が流出したことに関し，①アクワイアラーであるWorldPay社から違約金及び事故調査費用１６１７万５６３０円を課され，これを支払ったこと，②PCI－DSS認定（なお，PCI－DSSとは，加盟店やサービスプロバイダにおいて，クレジット会員データを安全に取り扱うことを目的として策定された，クレジット業界のセキュリティ基準である。）を再取得する必要が生じ，そのためにBSIグループジャパンへの審査費用等合計６６万７４７０円，株式会社ブライセンへの審査立会支援費用等４４万６２５０円を支出したこと，③これらに係る交通費１万０７９０円を支出したことが認められ，原告は，被告の本件義務の不履行により，これらの合計１７３０万０１４０円の損害を被ったことが認められる。

 　また，前記第２の１(3)ウのとおり，本件約款２３条３項により，本件義務の違反により合理的な弁護士費用も損害賠償の対象となることとされているところ，上記の額の１割に相当する１７３万００１４円は本件義務の不履行による損害と認められる。

 　　　　したがって，原告は，上記の合計１９０３万０１５４円の損害を被ったと認められる。」

第３　検討

　１　情報漏えいの原因が不明であることについて

　　　本件では、被告会社でシステムログの適切な管理がなされていなかったことから、原因不明ながら、何らかの手段で行われた不正アクセスにより生じた情報漏えいとして議論がスタートしています。

　　　少なくとも、情報漏えいの発生という事実は、本件において問題となっている義務が手段債務にとどまると考えられることから、直ちに債務不履行を基礎づける関係にはないといえます。しかし、実際に情報が漏れている以上、何らかの義務違反があったことを推認する重要な間接事実となります。そのため、ECサイト運営会社側では、自らが義務を果たしていたことを主張する上で、その漏えいの原因を究明した上で、適切なセキュリティ措置を施していたことを主張立証することが重要です。これを効果的に行うためには、平時においてイベントログを適切に管理し、インシデント発生直後から、迅速にフォレンジック調査を行う必要があります。

　２　ECサイト運営会社が負うセキュリティ義務

　　　本件では、クレジットカード会社等とECの間でセキュリティ義務に関する条項が明確に合意されていたことから（本件約款23条3項）、同条項をベースに、契約上の義務内容が確定されています。もっとも、上記事案では、被告が明確に義務の内容を争っていなかったことから、「一般的に」と一言述べて、多様な義務内容が定められてしまっています。

　　　情報漏えいの原因（脆弱性）がはっきりしていれば、どのような義務をＥＣサイト運営者側が果たすべきだったかはより明確となりますので、上記のような多様な義務が認定されてしまった一因には、やはり情報漏えいの原因を特定できなかったことがあると考えられます。

　３　認められる損害賠償費目　　

　　　「合理的な弁護士費用」を契約書で合意していたため、債務不履行責任が問題となっている事案にも関わらず、1割の弁護士費用の賠償が認められています。特に金額を明記せず、「合理的な弁護士費用」とのみ合意した場合に、不法行為責任と同様に、「1割」を認めている事例として、参考になるものと言えます。

第４　番外編：決済代行業者からの求償請求を退ける（減額させる）理屈の検討

　　　本件において、被告会社側（ECサイト運営者側）は、大要、実際に本件サイトのデータが保存されたサーバを管理していたのは訴外B社であるから自らは責任を負わない、という主張をしています。実際、ECサイトを運営する際にレンタルサーバ等を利用することは一般的ですから、当該サーバのセキュリティは、当該サーバの管理会社が守るべき、という被告会社の主張も理解できなくはありません。

もっとも、このような主張は、理論的にはかなり苦しい部分があります。

すなわち、被告会社が負っていた債務（セキュリティ義務）との関係で、レンタルサーバ会社である訴外B社は、履行補助者に該当する可能性が高いです。この場合、少なくとも、訴外B社に故意又は過失がある場合には、被告会社は責任を負うこととなります。したがって、訴外Ｂ社に任せたからと言って、直ちに被告会社が免責されるわけではないのです。

加えて、本件では、そもそも、被告会社がセキュリティ義務を果たしていないことはもちろん、訴外Ｂ社にセキュリティ業務を委託していたこと自体が認められないとされました。そのため、そもそも被告会社の反論は無理筋だったといえます。

　　　ちなみに、セキュリティ業務を委託していたといえるかどうかを裁判所が検討する際には、「クレジットカードの情報という機密性の高い情報を扱わない通常のウェブサイトと比べると，費用を要する高度のセキュリティ対策を実施すべきもの」であるにもかかわらず、一般的なレンタルサーバ契約が締結されているにすぎない点が理由として述べられています。

したがって、レンタルサーバを利用する際には、標準契約でどこまでのセキュリティが施されているのかを確認した上で、クレジットカード情報等のセンシティブ情報を扱う際には、追加費用を払ったうえで、十分なセキュリティ体制を整えるよう心掛けることが必要となります。このときの追加セキュリティ費用の明細などが、いざ裁判になった際の重要な証拠となり得ますので、しっかり保存することも重要です。

[1] 本件契約に適用される約款。