47. 法が求めるセキュリティ対策
■ 主要な争点
① セキュリティ対策をとることが義務になっていたか
② セキュリティ対策としてSQLインジェクション対策をするべきであったか
③ Y社に重過失が認められるか
■ 裁判所の判断
① セキュリティ対策をとることは黙示的に合意されていた→義務であった
② 「当時の技術水準に沿う技術対策」が必要→SQLインジェクション対策は必要
③ Y社に専門性があること、多大な労力や費用が掛かることもないこと→重過失あり
※ ②③の判断において、経産省やIPAが注意喚起をしていた事実を根拠とする
弁護士 中野友貴 平成29年5月31日 47