Successfully reported this slideshow.
Your SlideShare is downloading. ×

2019情報ネットワーク法学会 セキュリティ要件におけるベンダ・ユーザの責任分界点 牛島総合法律事務所 影島広泰

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad

Check these out next

1 of 21 Ad

2019情報ネットワーク法学会 セキュリティ要件におけるベンダ・ユーザの責任分界点 牛島総合法律事務所 影島広泰

Download to read offline

2019年情報ネットワーク法学会
セキュリティ要件におけるベンダ・ユーザの責任分界点~ハッキング事故の分析を通じて~
牛島総合法律事務所 影島広泰

2019年情報ネットワーク法学会
セキュリティ要件におけるベンダ・ユーザの責任分界点~ハッキング事故の分析を通じて~
牛島総合法律事務所 影島広泰

Advertisement
Advertisement

More Related Content

Advertisement

2019情報ネットワーク法学会 セキュリティ要件におけるベンダ・ユーザの責任分界点 牛島総合法律事務所 影島広泰

  1. 1. Ushijima & Partners セキュリティ要件における ベンダ・ユーザの責任分界点 -事例分析- 牛島総合法律事務所 弁護士 影島広泰 hiroyasu.kageshima@ushijima-law.gr.jp 03-5511-3233 2019年11月 3日
  2. 2. November 3, 2019 Ushijima & Partners 2 01 東京地裁 平成26年1月23日判決 02 その後の裁判例 の分析 03 まとめ 東京地判平26・1・23 ~SQLインジェクション 事例① 東京地判平30・10・26 ~SQLインジェクション 裁判例まとめ 事例② 東京地判平31・1・25 ~二段階認証 事例③ 東京地判平30・3・29 ~3Dセキュア認証
  3. 3. 01 東京地裁平成26年1月23日判決 前提 近時の裁判例(東京地裁平成30年10月26日判決等)を分析する前提として必要 な範囲で、東京地裁平成26年1月23日の結論を再度整理します。
  4. 4. Ushijima & PartnersNovember 3, 2019  東京地判平26・1・23  「『その当時の技術水準』に沿ったセキュリティ対策を 施したプログラ厶を提供することが黙示的に合意されて いた」(大井先生P.9) では「その当時の技術水準」とは?  経産省・IPAが「必要である」 当時の技術水準である(同P.10)  経産省・IPAが「望ましい」 当時の技術水準とはいえない(同P.13) ・契約当事者の合理的な意思解釈(同P.16) 不法行為においては注意義務違反の問題に。 東京地判平26・1・23*01前提 *平23(ワ)32060号
  5. 5. 5 02 その後の裁判例の分析 裁判例 東京地裁平成26年1月23日判決の後に、SQLインジェクションの脆弱性対策につ いての注意義務(不法行為責任)が判断された判決が出ています。また、ユーザ とベンダの間の紛争ではなくサービス利用者と提供者の間の事案ではあるものの、 脆弱性についての義務の判断が続いています。これらの裁判例を分析します。
  6. 6. バイクの一括査定システムの構築を委託(319万円) 完成したが、SQLインジェクションの脆弱性があった。 事例①:東京地判平30・10・26* ~SQLインジェクション攻撃 Ushijima & PartnersNovember 3, 2019 ユーザ(発注者) ベンダ SQLインジェクション攻撃 への対応がなされていない 構築 損害賠償請求訴訟 ※情報漏えい等は発生していない 02裁判例 923万円(使用者責任) 事案の概要 *平29(ワ)40110号
  7. 7. 事例①:東京地判平30・10・26 ~SQLインジェクション攻撃 Ushijima & PartnersNovember 3, 2019 ユーザが、IPA(独立行政法人情報処理推進機構)から、 中国の脆弱性ポータルサイトに本件システムのあるウェ ブサイトの脆弱性情報が登録されている旨の指摘を受け、 本件システムに脆弱性があったことを知った。 情報漏えいは発生していない  一部認容 02裁判例 事実関係 結論 緊急対策費用 47万円 ○ 詳細な調査、抜本的な修正費用 640万円 × サーバの移転費用 35万円 ○ 本件システム停止期間の売上減 200万円 一部○(12万円) (合計) 923万円* 95万円* *金額が概数であるため、合計額は一致しない
  8. 8. 事例①:東京地判平30・10・26 ~SQLインジェクション攻撃 Ushijima & PartnersNovember 3, 2019 以下の時系列を認定 ① 2005年:不正アクセスが3件の報道された ② 2006年:SQLインジェクションの存在自体は広く知られる ようになったが、その対策の理解がいまだ不十分 ③ 2007年:OWASP(国際的なオープンコミュニティ)の脆 弱性の順位付けでは、SQLインジェクションを含 むインジェクションの欠陥が第2位 ④ 2008年:大手セキュリティベンダのウェブサイトの改ざん が報道された IPAが「SQLインジェクション対策について」を 公表し、対策を周知徹底 ⑤ 2012年:本件システムの納品 ⑥ 2016年:ユーザが脆弱性を認識( 2017年訴訟提起) 02裁判例 裁判所の判断
  9. 9. 事例①:東京地判平30・10・26 ~SQLインジェクション攻撃 Ushijima & PartnersNovember 3, 2019 プロジェクトの書面 確認書(発注の際のもの):「本件システムの制作に当 たってはセキュリティを十分に確保し、インターネット上 の様々な環境においてもエラーや投稿情報漏れをなくし、 個人情報の流出に対して十分な対策を備えるよう努める」 仕様書:セキュリティに関して気を付ける点として 「SQLインジェクション」が既知の脆弱性の一つとして明 記されていた 02裁判例
  10. 10. 事例①:東京地判平30・10・26 ~SQLインジェクション攻撃 Ushijima & PartnersNovember 3, 2019 02裁判例 遅くとも原告が被告に本件システムの制作を発注した平成 24年[2012年]当時までには,既にSQLインジェク ションによる不正アクセス等のセキュリティ上のリスクの 存在が広く知られ,その対策としてエスケープ処理の実施 という具体的な方法もシステム開発の業界内では周知され ていたことがうかがわれる エスケープ処理の実施等、SQLインジェクションに対す る対策を講ずべき注意義務があった 不法行為使用者責任(民715条)
  11. 11. 仮想通貨取引所で、原告以外の何者かが仮想通貨を送信 事例②:東京地判平31・1・25* ~仮想通貨取引所における二段階認証 Ushijima & PartnersNovember 3, 2019 第三者 仮想通貨交換業者 損害賠償請求訴訟 02裁判例 事案の概要 原告 API取引 ビットコインが盗まれた *平29 (ワ)22870号
  12. 12. 事例②:東京地判平31・1・25 ~仮想通貨取引所における二段階認証 Ushijima & PartnersNovember 3, 2019 請求棄却 ① 2017年2月:不正取引 二段階認証は可能だが強制ではなかった 二段階認証を推奨する旨の記載なし ② 2017年4月:資金決済法63条の8(情報の安全管理) 施行 ③ 2017年9月:被告の画面上、二段階認証を設定するよ う非常に強く推奨する旨の記載あり ④ 2018年6月:関東財務局が、被告に、ユーザ保護措置 に係る管理体制の構築やシステムリスク 管理体制の構築などの業務改善命令 02裁判例 事実関係 結論
  13. 13. 事例②:東京地判平31・1・25 ~仮想通貨取引所における二段階認証 Ushijima & PartnersNovember 3, 2019 利用規約5条2項 パスワード又はユーザーIDの管理不十分,使用上の過誤, 第三者の使用等による損害の責任は登録ユーザーが負うもの とし,当社は一切の責任を負いません。 被告は、信義則上、利用者財産の保護のために十分なセ キュリティを構築する義務を負っていた (資金決済法63条の8の施行前でも) 被告において、上記義務に違反していると認められる特 段の事情がある場合には、上記免責規定は適用されない (最判H5・7・19) 特段の事情としてのシステム構築義務違反があるか? 02裁判例 裁判所が設定した論点
  14. 14. 事例②:東京地判平31・1・25 ~仮想通貨取引所における二段階認証 Ushijima & PartnersNovember 3, 2019  (二段階認証の論点) 銀行や証券会社においては、インターネット取引において、 利用者の希望にかかわらず、二段階認証を必須としている (原告陳述書) 全銀協では、2016年6月14日当時からなりすまし対策と して、ワンタイムパスワード認証の導入を提言している 当時の仮装通貨業界では二段階認証を一般的に採用して いる会社はない(被告CTOの陳述書は信用性あり) API取引は、多様なニーズに対応する必要があり、二段 階認証はユーザにとって障害となる可能性あり 不正取引の当時、被告において、API利用時に当然に二 段階認証を通常設定とし、積極的に推奨する義務を負っ ていたとまでは認められない。 02裁判例 裁判所の判断 原告の主張
  15. 15. クレジットカードの不正使用による取引の立替払金につ いて、規約に基づき、返還請求 事例③:東京地判平30・3・29* ~クレジットカードの3Dセキュア認証 Ushijima & PartnersNovember 3, 2019 通信販売(被告) 立 替 払 金 立替払金の 返還請求 02裁判例 事案の概要 ネットショップ開設 サービス(原告) クレジットカードの 不正使用で決済 *平28(ワ)13202号
  16. 16. 原告は、○○決済の提供者として、○○会員が○○決済 に伴うリスクに徒らに晒されないように配慮すべき立場 にある ○○決済がクレジットカードの不正利用に係るリスクと の関係で致命的な欠陥を有するにもかかわらず、原告が それを殊更に放置しているような特段の事情がある場合 には、そのリスクを一方的に○○会員に転嫁することが 信義則違反と評価される余地はある もっとも、○○会員には退会の自由も保障されている以 上、その具体的な配慮の仕方については運営者である原 告に一定の裁量が認められている 事例③:東京地判平30・3・29 ~クレジットカードの3Dセキュア認証 Ushijima & PartnersNovember 3, 2019 02裁判例 裁判所が設定した論点
  17. 17. 原告は、以下のとおり、被告が無用な損失を被らないよ うに、一定の配慮をしている セキュリティコードの入力をさせるシステムを整備 不正利用の疑いがある取引について情報を入手し次第,こ れを被告に伝え、契約解除及び商品発送の取りやめを慫慂 カード会社によるチャージバックがされた場合でも、これ に対する反証の資料の収集・提出について被告を促してい る 事例③:東京地判平30・3・29 ~クレジットカードの3Dセキュア認証 Ushijima & PartnersNovember 3, 2019 02裁判例 裁判所の判断
  18. 18. 3Dセキュアによる本人確認等を実施するなどしておら ず、原告の配慮は最低限必要な水準に達していない 原告において○○決済を運営すること自体による利益は 決済額の0.06パーセント余りにとどまることも考慮す ると、原告において、上記認定のような配慮をしている のであれば、被告の主張するような水準の措置まで講じ ていなかったとしても、原告の権利行使を法的に制限す るような特段の事情があるとはいえない 事例③:東京地判平30・3・29 ~クレジットカードの3Dセキュア認証 Ushijima & PartnersNovember 3, 2019 02裁判例 被告の主張 裁判所の判断
  19. 19. 03 裁判例のまとめ まとめ 脆弱性に関する責任を判断した4つの裁判例を整理します。
  20. 20. 3Dセキュア(サービス提供者) 得ている利益少。一応配慮あり 信義則違反の特段の事情なし 二段階認証(サービス提供者) 一般的に採用している会社なし 採用の義務なし 裁判例まとめ Ushijima & PartnersNovember 3, 2019 ☑ 東京地判 平26・1・23 03まとめ SQLインジェクション 経産省・IPA「必要である」 黙示的に合意されていた ☑ ☑ ②東京地判 平31・1・25 ☑ ③東京地判 平30・3・29 ①東京地判 平30・10・26 SQLインジェクション OWASP・IPA対策が業界で周知 注意義務違反(不法行為)
  21. 21. お問い合わせ先 Ushijima & PartnersNovember 3, 2019 【個人情報保護やシステム・ソフトウェア開発に関する案件】  個人情報の漏洩事件、個人情報の取扱規程のレビュー、個人情報のビジネスでの活用について助 言  EUの一般データ保護規則(GDPR)に関する案件  金融機関、流通、サービス業の各システム開発の中止に伴う訴訟・紛争(ITベンダの代理人。多 数)  システム開発プロジェクト遂行中のコスト増、品質問題、プロジェクト中断に関する交渉のアド バイス(ベンダ側、発注者側、下請側等多数) 【著作等】  「法務が知っておくべきシステム開発の用語と書類の読み方」(NBL 1118号~)  「座談会 システム開発取引はなぜ紛争が絶えないのか」(NBL 1115号~1117号)  「法律家・法務担当者のためのIT技術用語辞典(商事法務)  「個人情報保護法と企業実務」(清文社)ほか多数 【その他】  日本経済新聞社「企業法務・弁護士調査」2016年情報管理部門「企業が選ぶランキング」2位  iPhone/iPadアプリ「e六法」(約35万ダウンロード)開発 牛島総合法律事務所 弁護士 影島広泰 03-5511-3233 hiroyasu.kageshima@ushijima-law.gr.jp 東京都千代田区永田町2-11-1 山王パークタワー14階 2003.10 2013.1 2015.5 2015.7 2017.4 弁護士登録(第56期)牛島総合法律事務所入所 牛島総合法律事務所パートナー 情報化推進国民会議 本委員(~2017.3) 情報化推進国民会議 マイナンバー検討特別委員会委員(~ 2015.12) 日本情報経済社会推進協会(JIPDEC)プライバシーマーク 付与適格性審査会委員(現任)

×