【社外リスク】業種別に見る会社の賠償責任事例

IT事業実際にあった訴訟・判例

訴訟・判例からわかる情報漏洩やシステム事故などの賠償額

ここでは、IT業界の情報漏洩やシステムトラブル、データ消失によって起こったトラブルの訴訟や判例を紹介しています。万が一の損害賠償に備える方法も紹介していますので、ご参考ください。

  • IT事業における訴訟・判例1「レンタルサーバデータ消滅事件」

    デジタルデータの保管に関する注意義務が争点

    • 事件名:レンタルサーバデータ消滅事件
    • 提訴年月日:-
    • 裁判所:東京地裁
    • 原告:建築業者
    • 被告:インターネットプロバイダー
    訴訟内容
    原告は、被告企業が提供するIP接続サービスとレンタルサーバを利用し、企業のサイトを運用していた。被告側は、サーバ内作業で誤ってデータを消去。原告側にもバックアップがなかったため、被告は原告に仮払金を3,000万円、後日清算する意図で支払っていた。
    請求額
    本訴16,000万円余、反訴2,600万円余
    争点
    この事件の争点は主に2つ。ひとつは、レンタルサーバーに置かれているデータを消失しないための注意義務を被告側が負うか。ひとつは、原告側に過失相殺となるような点があったかである。デジタルデータが物品の保管と同じように扱われるかどうかが注目された。
    判決内容
    レンタルサーバを提供する企業は、デジタルデータを消失させないようにする注意義務があるとの判決がでた。一方、デジタルデータは原告側でも簡単に複製することができるとし、過失相殺が認められた。
    認容額(賠償額)
    2,200万円余の清算金返還
  • IT事業における訴訟・判例2「システム開発頓挫事件」

    納期割れは発注側・受注側どちらにどんな責任が?

    • 事件名:システム開発頓挫事件
    • 提訴年月日:-
    • 裁判所:旭川地裁
    • 第一事件 原告:医療法人 被告:システムベンダー
    • 第二事件 原告:システムベンダー 被告:医療法人
    訴訟内容
    原告である医療法人が病院情報管理システムを発注。落札したシステムベンダーは、仕様策定や要件の追加のため、当初予定した納期に間に合わなかった。第1事件では、医療法人が債務不履行でシステムベンダーに約19億円を請求。しかし、その後第二事件でシステムベンダーが医療法人を債務不履行と不法行為に基づく損害賠償として、23億円を請求した。
    請求額
    第1事件:約19億円、第2事件:約23億円
    争点
    今回の裁判の争点は、システムの稼働を延期するとの合意があったか、システムが完成しているのか、要件定義書や外部設計書の提出義務があるかなど。
    判決内容
    稼働を延期するとの合意はあったということはできない、また、システムも完成しているとはいえない。また、要件定義書や外部設計書の提出義務があると認められるため、ベンダーの債務不履行責任を裁判所は認めた。しかし、ベンダーのみが責任を負うわけではないとして、医療法人もシステムが完成しなかったことについて、債務不履行にもとづく損害賠償責任を負うとした。
    認容額(賠償額)
    ベンダーは医療法人に約3.7億円の賠償金の支払い
    医療法人はベンダーに約3.8億円の賠償金の支払い
  • IT事業における訴訟・判例3「クレジットカード情報の漏えい事件」

    システムの脆弱性に対して対策をしていたかどうか

    • 事件名:クレジットカード情報の漏えい事件
    • 提訴年月日:-
    • 裁判所 東京地裁
    • 原告:ウェブサイトの受注システムの発注企業
    • 被告:ウェブシステムの受託開発会社
    訴訟内容
    原告は自社サイト用にウェブサイトの受注システムを被告であるウェブ系の開発会社に約900万円で発注。開発会社はEC-CUBEをベースにカスタマイズすることでシステムを構築した。後日、エンドユーザーのクレジットカード情報を含む個人情報の流出事故が発生。なお、その後おメンテナンス契約も結んでいた。
    請求額
    約11,000万円
    争点
    争点の中でも大きなウェイトを占めたのはシステム的な脆弱性。オープンソースであるEC-CUBEを利用したことやSQLインジェクション対策不足などで被告の責任が問われた。一方、サーバ上にクレジットカード情報を保存するという仕様に途中で変更したのは原告側であった。
    判決内容
    裁判では、今回の情報流出に至った原因がSQLインジェクション攻撃にあると認定。被告側は対策が不十分だった。また、データを暗号化していなかった点も指摘された。受発注の契約内容には、損害賠償に関する取り決めがあったが、被告の重過失が認められ、責任限定条項は適用されなかった。
    認容額(賠償額)
    約2,260万円
  • IT事業における訴訟・判例4「ジェイコム株誤発注事件」

    原告は誤操作、被告はシステムの不具合で、過失相殺

    • 事件名:ジェイコム株誤発注事件
    • 提訴年月日:-
    • 裁判所:東京地裁
    • 原告:みずほ証券
    • 被告:東京証券取引所
    訴訟内容
    人材派遣業などで有名であったジェイコムが東証に新規上場した際、みずほ証券が【61万円×1株】の売り注文をするつもりで、操作を誤り【1円×61万株】で発注した。すぐに発注を取消そうとしたが、東証システムの不具合で取消しができず売買が成立。みずほ証券は損害を被りながらも反対売買せざるを得なかったと東京証券取引所に損害賠償請求訴訟を起こした。
    請求額
    415億円余
    争点
    みずほ証券は操作時に表示された制限超えの警告を無視して売り注文を出してしまった。また、東証の約款には東証側の故意や重過失があった場合を除き免責になるという規定がある。争点になったのは、東証側に義務違反があるか、免責規定に該当するかであった。
    判決内容
    免責規定は有効であると認めたうえで、両者に過失があるとした。東証には「取消注文が実現される被告売買システムを提供する義務」に違反した軽過失と「売買停止義務」に違反した重過失があり、みずほ証券には「発注管理体制の不備」・「原告従業員の警告表示無視等の不注意」という重過失があるとし、「東証7:みずほ証券3」で過失相殺を認め、107億円余の賠償が東証に命じられた。
    認容額(賠償額)
    107億円余

万が一訴訟になっても困らないために

万が一の訴訟に備える!賠償責任保険

IT企業はクライアントから高い精度の納品物を求められますが、どんなにテストを実施しても不具合をゼロにすることはできません。また、クライアント側の要求がころころ変わってしまうため、精度を高めるのが難しいということもあり、トラブルを完全に無くすことは不可能と言えるでしょう。そのため、どうしてもIT業界は損害賠償責任訴訟が起こる可能性が高くなっているのです。

多額の賠償請求をされてしまった場合には最悪の場合企業が倒産してしまうことも考えられます。そこでおすすめしたいのが賠償責任保険への加入です。中でも、ネットワークセキュリティの補償やデータ損壊の補償がある賠償責任保険を選ぶと良いでしょう。セキュリティに関する損害賠償やデータ損壊に関する損害賠償もカバーすることができ、万が一の問題が起きた際に対応することができます。自社への損害を最小限に抑えるためにも賠償責任保険に入ることを早急に検討すべきです。