Successfully reported this slideshow.
Your SlideShare is downloading. ×

2019inlaw securityoi

Nov. 03, 2019
0 likes 1,466 views
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Upcoming SlideShare
データ・マネタイゼーション カンファレンス2022秋(09242022).pptx
データ・マネタイゼーション カンファレンス2022秋(09242022).pptx
Loading in …3
×

Check these out next

seisaku.pdf
ssuser7fa23d
2022inLaw_SystemDevelopment_tanaka.pdf
Masahiro Ito
Imputacion Freddy Machicado.pdf
LuisFernando672460
システム障害と相当因果関係のある損害(影島広泰)
Hiroyasu Kageshima
20221205死者の個人情報の保護.pdf
Harumichi Yuasa
wsv-control-valves-catalogue(1).pdf
wsv- valve
2022inLaw_SystemDevelopment_ito.pdf
Masahiro Ito
CODE Version 2.0 第4章 コントロールのアーキテクチャ
Hiroki Takemura
1 of 22 Ad

2019inlaw securityoi

Nov. 03, 2019
0 likes 1,466 views

Download to read offline

Law

security

security

Law
Advertisement

Recommended

データ・マネタイゼーション カンファレンス2022秋(09242022).pptx
Tetsuya Oi
36 views
23 slides
情報ネットワーク法学会(大井哲也)11252021
Tetsuya Oi
478 views
14 slides
(公開版)世界各国の個人情報保護法対応
Tetsuya Oi
5.6k views
28 slides
Wovn
Tetsuya Oi
133 views
5 slides
Inlawtetsuyaoi11282020
Tetsuya Oi
123 views
27 slides
DPO協会レジュメ(20201112)
Tetsuya Oi
157 views
10 slides
Whistleblowing
Tetsuya Oi
5.4k views
8 slides
#Inlaw3system development
Tetsuya Oi
158 views
24 slides
Advertisement

More Related Content

Recently uploaded (12)

seisaku.pdf
ssuser7fa23d
58 views
2022inLaw_SystemDevelopment_tanaka.pdf
Masahiro Ito
34 views
Imputacion Freddy Machicado.pdf
LuisFernando672460
10 views
システム障害と相当因果関係のある損害(影島広泰)
Hiroyasu Kageshima
31 views
20221205死者の個人情報の保護.pdf
Harumichi Yuasa
26 views
wsv-control-valves-catalogue(1).pdf
wsv- valve
5 views
2022inLaw_SystemDevelopment_ito.pdf
Masahiro Ito
64 views
CODE Version 2.0 第4章 コントロールのアーキテクチャ
Hiroki Takemura
1 view
CAMERA SHOTS.pptx
AliSaleem70
31 views
ACDPub.pptx
Ikuo Takahashi
480 views
米国統一商事法典(UCC)の修正:第12編「支配可能な電子記録(CER)」の新設
Kenta Mochizuki, Esq., LL.M.
11 views
IT導入補助金.pdf
cougersmbcons
24 views
seisaku.pdf
ssuser7fa23d
58 views
22 slides
2022inLaw_SystemDevelopment_tanaka.pdf
Masahiro Ito
34 views
10 slides
Imputacion Freddy Machicado.pdf
LuisFernando672460
10 views
12 slides
システム障害と相当因果関係のある損害(影島広泰)
Hiroyasu Kageshima
31 views
10 slides
20221205死者の個人情報の保護.pdf
Harumichi Yuasa
26 views
13 slides
wsv-control-valves-catalogue(1).pdf
wsv- valve
5 views
12 slides

Featured (20)

10 Steps great leaders take when things go wrong
GetSmarter
77k views
Forgotten women in tech history.
Domo
139.9k views
A Product Manager's Job
joshelman
798.1k views
Top 10 Tips for Getting a Good Night's Sleep
Dana-Farber Cancer Institute
47.9k views
The Road to Financial Wellness
Experian_US
7.5k views
24 Time Management Hacks to Develop for Increased Productivity
Iulian Olariu
1.9M views
GO BRAND YOURSELF. How to land a job with personal branding in 5 steps
Lorenzo Galbiati
194k views
Trillion Dollar Coach Book (Bill Campbell)
Eric Schmidt
2M views
Global Diversity, Equity, and Inclusion Debrief
McKinsey & Company
20.6k views
The Minimum Loveable Product
The Happy Startup School
4.1M views
Six things to remember while writing feedback 2020
Rajesh Soundararajan
4.7k views
20 Steps To Your Life Passion
Barrie Davenport
31.5k views
LinkedIn on Mentorship #thankyourmentor
LinkedIn Editors' Picks
193.9k views
The Unintended Outcomes of Unconscious Bias in Performance Management
InsideOut Development
5.6k views
Science of music for work productivity
PGi
19.3k views
Inspirational Lessons Learned From Martin Luther King Jr.
Eagles Talent Speakers Bureau
30.3k views
12 Resolutions for a Great Year at Work
O.C. Tanner
29.7k views
Machine Learning: A Fast Review
Ahmad Ali Abin
19.1k views
Does your motivation need a kick start?
University of Southern Queensland
23.5k views
Better than a New Year's Resolution: A New Mindset
Deepak Chopra MD (official)
308.5k views
10 Steps great leaders take when things go wrong
GetSmarter
77k views
63 slides
Forgotten women in tech history.
Domo
139.9k views
12 slides
A Product Manager's Job
joshelman
798.1k views
35 slides
Top 10 Tips for Getting a Good Night's Sleep
Dana-Farber Cancer Institute
47.9k views
18 slides
The Road to Financial Wellness
Experian_US
7.5k views
63 slides
24 Time Management Hacks to Develop for Increased Productivity
Iulian Olariu
1.9M views
26 slides
Advertisement

2019inlaw securityoi

  1. 1. セキュリティ要件におけるベンダ・ユーザ の責任分界点 ~ハッキング事故の分析を通じて~ TMI総合法律事務所 弁護士 大井哲也
  2. 2. 1 第1 事案の概要
  3. 3. 2 原告=インテリア商材の卸小売、通信販売等を行う株式会社 被告=情報処理システムの企画、保守受託及び顧客へのサポート業務、ホーム ページの制作、業務システムの開発を行う株式会社 原告のウェブサイトにおける商品の受注システムの設計、保守等の委託契約を締 結 ECシステムの発注 原告は、平成21年2月4日、被告に対し、注文書を交付して、原告のECサイト における商品のECシステムの導入を合計889万5600円で発注 ECシステムの完成及び引渡し 被告は、原告用にEC-CUBEをカスタマイズしたウェブアプリケーションを製作し て、ECシステムを完成させ、平成21年4月頃に検収 事案概要
  4. 4. 3 ECシステムは、ECサイトに表示された商品を顧客が注文及びクレジットカード決済するこ とをできるようにし、原告の売上げ及び在庫管理に関する基幹システムを本件ウェブサイト と連携させ、オンラインでの注文確定を可能とするシステムである 被告は、無償配布ソフトウェアであるEC-CUBEをカスタマイズしてWeb受注システ ムソフトウェアαを販売 ECシステムは、ソフトウェアαを原告用にカスタマイズしたアプリケーションである。 なお、EC-CUBEはクレジットカード情報を扱う仕様であったがソフトウェアαはクレ ジットカード情報を扱う仕様となっていなかったため、被告はクレジットカード情報を扱う 機能を製作して本件ウェブアプリケーションに実装させた ECシステムにより保存される情報の内容は、 金種指定詳細化(=原告の基幹システム側で請求元情報を管理する目的から、カード会社を 原告の基幹システムに送信する旨のECシステムの仕様変更)の前までは、商品情報、顧客 情報(氏名、住所、電話番号、メールアドレス、パスワード等)及び注文情報 金種指定詳細化以降は、クレジットカード情報(カード会社名、カード番号、有効期限、名 義人、支払回数及びセキュリティコード。)も保存 ECシステムの概要
  5. 5. 4 原告は、平成22年1月頃、被告に対し、本件ECサイトにおいて顧客が利用した 決済方法(金種)について、 従前はクレジットカード決済、代金引換又は銀行振込みの区別しか原告では把握 できていなかったため、原告の基幹システム側で請求元情報を正確に管理する目 的から、各種クレジットカード種別(カード会社)を原告の基幹システムに送信 する旨のECシステムの仕様変更を依頼し、同月26日、注文書を被告に交付し、 「機能カスタマイズ(金種指定詳細化)」を31万5000円で発注した 被告は、同月29日までに、金種指定詳細化を導入した本件システムについて原 告による検収を受け、同日に金種指定詳細化を導入した本件システムを稼働させ た 顧客が本件ウェブサイトでクレジットカード決済を行う場合、本件サーバーにク レジットカード情報が入力され、その後本件サーバーとカード会社との間でクレ ジットカード情報のやり取りが行われるようになり、顧客のクレジットカード情 報が暗号化されずに本件データベースに保存される設定となっていた カード情報の保存開始
  6. 6. 5 原告のシステム担当者であるDは、原告が顧客のクレジットカード番号等を見る ことができる設定となっていると認識した上で、平成22年9月27日、被告の 取締役であるE(以下「E」という。)に対し、原告が顧客の個人情報を取得し ないシステム構築の可否及び当該システム変更の費用を問い合わせた。 Eは、同月29日、金種指定詳細化当時には、カード会社を判別するためにクレ ジットカード番号を取得する必要があったが、現在ではカード会社のシステム上 で決済をした後にカード会社を判別することが可能となったことが判明したため、 金種指定詳細化以前と同様の方式でカード会社名の情報を取得することができ、 その方式に改修するための費用は20万円程度である旨を伝えた。 Dは、同月30日、Eに対し、原告が確認したところ、本件ウェブサイトでの注 文がキャンセルになった場合及び電話で注文を受ける場合(商品の入荷数が少な いため、注文を受けられる客と受けられない客が発生して、本件ウェブサイトの カートが開けられない場合)にはクレジットカード番号を使用しており、「実際 には、見え難い所にデータがあるだけで、全てのお客様のカード番号が、データ として保持されている。」と理解すればよいか、詳しくデータの流れを知りたい 旨を伝えた。 原告担当者と被告取締役との間でのメールのやり取り
  7. 7. 6 これに対し、Eは、同日、顧客が入力したクレジットカード情報はネットショッ プのデータベースに保存しているが、管理機能の画面上や管理者への通知メール 文面等ではクレジットカード情報を表示させていないため、「データは保持して おりますが、事実上見ることは出来ないという状態です。」と伝えた。 Dは、インターネット上で販売している会社ではどのような管理になっているの が普通であるか?を質問した。 これに対し、Eは、同日、「保持する/しないどちらのパターンもあり得ると思 いますが、クレジット情報は保持しないのがセキュリティ上より良く、一般的で す。」と伝えた。 原告は、上記やり取りの後も、被告に対し、本件データベース上のクレジット カード情報の削除、暗号化等を指示しなかった。 原告担当者と被告取締役との間でのメールのやり取り
  8. 8. 7 平成23年4月、本件サーバーに外部からSQLインジェクション攻撃による不 正アクセスがあり、顧客のクレジットカード情報を含む個人情報が流出 SQLインジェクション攻撃とは、ウェブアプリケーションの入力画面にプログ ラム作成者の予想していない文字列を入力することにより、プログラム作成者の 予想していないSQL文を実行させること このSQL文を実行しないようにするための対策としては、バインド機構の使用 及びエスケープ処理がある。 バインド機構とは、予めプログラム作成者が想定したSQL文だけを実行できる ようにするメカニズムである。 エスケープ処理とは、SQL文において特別な意味を持つ特殊文字 (「‘」、「;」等)を無効化する処理である。 顧客のクレジットカード情報等の流出
  9. 9. 8 第2 裁判所の判断
  10. 10. 9 被告は、平成21年2月4日にECシステム発注契約を締結して本件システムの発 注を受けたのであるから、その当時の技術水準に沿ったセキュリティ対策を施し たプログラ厶を提供することが黙示的に合意されていたと認められる そして、ECシステムでは、金種指定詳細化以前にも、顧客の個人情報を本件デー タベースに保存する設定となっていたことからすれば、被告は、当該個人情報の 漏洩を防ぐために必要なセキュリティ対策を施したプログラムを提供すべき債務 を負っていたと解すべきである (1)適切なセキュリティ対策が採られたアプリケーションを提供すべき債務の不履行
  11. 11. 10 ①経済産業省は、平成18年2月20日、「個人情報保護法に基づく個人データ の安全管理措置の徹底に係る注意喚起」と題する文書において、SQLインジェ クション攻撃によってデータベース内の大量の個人データが流出する事案が相次 いで発生していることから、IPAが紹介するSQLインジェクション対策の措 置を重点的に実施することを求める旨の注意喚起をしていたこと、 ②IPAは、平成19年4月、「大企業・中堅企業の情報システムのセキュリ ティ対策~脅威と対策」と題する文書において、ウェブアプリケーションに対す る代表的な攻撃手法としてSQLインジェクション攻撃を挙げ、SQL文の組み 立てにバインド機構を使用し、又はSQL文を構成する全ての変数に対しエス ケープ処理を行うこと等により、SQLインジェクション対策をすることが必要 である旨を明示していたこと 債務不履行認定の理由
  12. 12. 11 これらの事実に照らすと、被告は、平成21年2月4日の本件システム発注契約 締結時点において、本件データベースから顧客の個人情報が漏洩することを防止 するために、SQLインジェクション対策として、バインド機構の使用又はエス ケープ処理を施したプログラムを提供すべき債務を負っていたということができ る。 そうすると、本件ウェブアプリケーションにおいて、バインド機構の使用及びエ スケープ処理のいずれも行われていなかった部分があることから、被告は上記債 務を履行しなかったと認められる。 債務不履行ありの判断
  13. 13. 12 原告は、平成22年1月26日に金種指定詳細化の業務を被告に発注しているが、 その個別契約に基づいて、当然に、被告がクレジットカード情報を本件サーバー 及びログに保存せず、若しくは保存しても削除する設定とし、又はクレジット カード情報を暗号化して保存すべき債務を負っていたといえるか? 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライ ン」では、クレジットカード情報を含む個人情報について特に講じることが望ま しい安全管理措置として、利用目的の達成に必要最小限の範囲の保存期間を設定 し、保存場所を限定し、保存期間経過後適切かつ速やかに破棄することを例示 IPAは、同年4月、前記「大企業・中堅企業の情報システムのセキュリティ対 策~脅威と対策」と題する文書において、データベース内に格納されている重要 なデータや個人情報については暗号化することが望ましいと明示 (2)カード情報を保存せず、保存する場合には暗号化すべき債務の不履行
  14. 14. 13 しかし、上記告示等は、いずれも上記対策を講じることが「望ましい」と指摘す るものにすぎないし、上記IPAの文書においては、データベース内のデータ全 てに対して暗号化の処理を行うとサーバー自体の負荷になることがあるので、特 定のカラムだけを暗号化するなどの考慮が必要であるとも指摘されているように、 暗号化の設定内容等は暗号化の程度によって異なり、それによって被告の作業量 や代金も増減すると考えられることに照らすと、契約で特別に合意していなくと も、当然に、被告がクレジットカード情報を本件サーバー及びログに保存せず、 若しくは保存しても削除する設定とし、又はクレジットカード情報を暗号化して 保存すべき債務を負っていたとは認められない。 被告には債務不履行の責任は認められない。 債務不履行無しの判断
  15. 15. 14 被告は、情報処理システムの企画、ホームページの制作、業務システムの開発等 を行う会社としてプログラムに関する専門的知見を活用した事業を展開 ⇒義務の程度は比較的高度 経済産業省及びIPAがウェブアプリケーションに対する代表的な攻撃手法とし てSQLインジェクション攻撃を挙げ、バインド機構の使用又はSQL文を構成 する全ての変数に対するエスケープ処理を行うこと等のSQLインジェクション 対策をするように注意喚起 本件ウェブアプリケーションの全体にバインド機構の使用又はエスケープ処理を 行うことに多大な労力や費用がかかることをうかがわせる証拠はなく本件流出と いう結果を回避することは容易 ⇒被告には重過失が認められる 被告に重過失は認定されるか?
  16. 16. 15 第3 セキュリティ要件定義の検討
  17. 17. 16 情報セキュリティ上の脆弱性 クレジットカード情報の漏えい事故の責任(東京地判平26年1月23日 判例時報2221 号) セキュリティ仕様・要件に対する東京地裁での判断が、今後の実務に影響 ベンダの視点の 「契約スコープには記載されていない」、「仕様に入っていないも のはスコープ外」の言い訳は通用しないリスク有り 契約のスコープは、契約当事者の合理的な意思解釈の問題 受注者の発想: 「セキュア(堅牢な)」ECシステムの構築が契約の内容と考える →契約スコープの範囲内 システム部門の発想:仕様には入っていない→契約スコープの範囲外 裁判所の判断 ⇒当事者の合理的意思からして、「セキュア(堅牢な)」ECシステムの構築が契約の 目的であることが、黙示的に含意されているはず 要件定義は当事者の合理的な意思解釈の問題
  18. 18. 17 第4 1つの解決策
  19. 19. 18 (完全合意条項) 本契約は、本契約に含まれる対象事項に関する当事者の完全かつ唯一の合意を構成し、当事 者間に存在するすべての従前の合意は効力を失うものとし、本契約外の合意(黙示的合意を 含む。)は効力を有しない。 RFPや、営業のための説明書面、ベンダから入札の際に提示したプレゼン書面、メールのや り取り、黙示的前提条件、外部環境要因は、契約の内容となり得るか? (原則)契約外の文書に記載されていた内容は、契約当事者間を拘束しない。 (例外)但し、契約の解釈における当事者の合理的意思解釈の要素となり得る。 RFP・提案書の特記事項について契約内容に含めるよう契約書の別紙として添付し,契約書 本文から参照するようにしておく また、どの部分に法的拘束力を持たせるのか、参考資料なのかを明確に区別する ⇒完全合意条項を入れることで、契約外の書面やメールのやり取りが、合意解釈や黙示的合 意の認定の解釈に使われにくい システム開発契約における完全合意条項
  20. 20. 19 (情報セキュリティ) ベンダが納入する本件ソフトウェアの情報セキュリティ対策については、ユーザ 及びベンダは、その具体的な機能、遵守方法、管理体制及び費用負担等を協議の 上、別途書面により定めるものとし、これ以外の情報セキュリティ対策は、ユー ザが自己の責任と負担のもとで実装するものとする。 ベンダからユーザに対するセキュリティ対策について、ベンダからユーザへの提 案の有無にかかわらず、別途、書面による定めがない限り、本契約に定める開発 範囲には含まれると解釈することは許されず、ユーザは、自己の責任と負担のも とで実装する義務を負う。 契約条項案の検討
  21. 21. 20 ご質問がございましたら下記まで TMI 総合法律事務所 弁護士 大井哲也 〒106-6123 東京都港区六本木6-10-1 六本木ヒルズ森タワー23F Tel:03-6438-5554 Mail:toi@tmi.gr.jp URL www.tetsuyaoi.com www.tmi.gr.jp/staff/t_oi.html
  22. 22. 21 主な取扱分野 専門分野は、M&A、IPO、企業間紛争・訴訟。 ・アプリ・システム開発におけるプロジェクト管理・紛争処理・裁判 ・クラウドコンピューティング、インターネット・インフラ/コンテンツ、SNS ・アドテクノロジーとビッグデータ利活用 ・情報セキュリティ、情報漏洩インシデント調査・対応・第三者調査委員会 などの各産業分野における実務に精通し、情報セキュリティマネジメントシステム (ISMS)認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA) 法律アドバイザー、経済産業省の情報セキュリティに関するタスクフォース委員を 歴任する。

×