ウエブサイトによる商品の受注システムを利用し、インテリア商材を販売している会社が、顧客のクレジットカード情報が流出したとして、システムの設計をし、保守等の委託契約をしたネットショップ運営業者へ、債務不履行であるとして、約1億円の損害賠償を求めたが、2262万3697円の損害賠償が命ぜられた事例である。
原告は、インテリア商材の卸小売、通信販売等を行う株式会社である。
被告は、情報処理システムの規格、保守受託及び顧客へのサポート業務、ホームページの制作、業務システムの開発、ネットショップの運営等を行う株式会社である。
原告と被告の間で、ウエブサイトにおける商品の受注システムの設計、製作、保守等の基本契約、個別契約を結び、システムの完成後、平成21年4月、原告会社は、システムの稼働を開始した。
平成23年4月、顧客のクレジットカード情報の不正使用やサーバーへの外部からの不正アクセスが確認され、個人情報の流出が疑われる事態になった。
原告は、原因調査、顧客対応等を余儀なくされたため、受託業者である被告に対して、債務不履行責任を問い、1億0913万5528円の損害賠償を求めた。
東京地裁民事44部脇博人裁判長は、両者間に、当時の技術水準に沿ったセキュリテイ対策を施したプログラムを提供することが黙示的に合意されていた、被告は、顧客の個人情報を本件データベースに保存する設定になっていたから個人情報の漏洩を防ぐため必要なセキュリテイ対策を施したプログラムを提供すべき債務を負っていた、被告は、SQL(Structured Query Language)(データベースの管理プログラムを制御するための言語) インジェクション対策としてのバインド機構の使用やエスケープ処理を施したプログラムを提供すべき債務を履行しなかった、として、被告の債務不履行を肯定した。原告のその他主張の債務不履行は否定した。原告の過失を3割とし、損害賠償として3231万9568円を認め、Xの過失相殺をして、2262万3697円及び平成23年10月15日から支払済みまでの年6分の金員の支払を命じた。