AI概要
【事案の概要】 原告(前橋市)は、被告(NTT東日本)との間で、前橋市情報教育ネットワーク(MENET)のデータセンター移管設計・構築業務に係る委託契約(委託料約1億480万円)及び保守契約を締結した。被告が構築した本件システムでは、外部ファイアウォール及び内部ファイアウォールにおいて、DMZネットワークから個人情報保護ネットワークを含む全内部ネットワークへの全通信が許可される設定のまま納品されていた。その後、何者かが教育資料公開サーバにバックドアを設置し、このバックドアとファイアウォールの不適切な設定が相まって不正アクセスが発生し、児童・生徒・保護者等の多数の個人情報が流出した可能性が高いことが判明した。本訴は、原告が被告に対し、債務不履行又は不法行為に基づき約1億7735万円の損害賠償を求めた事案であり、反訴は、被告が原告に対し、不正アクセス対応のために行ったモバイルルータ手配等の費用約1159万円の支払を求めた事案である。 【争点】 (1)本件委託契約に基づくファイアウォール適切設定義務の債務不履行の有無、(2)本件保守契約に基づく不備修正義務の債務不履行の有無、(3)リスク対策提案義務違反(不法行為)の有無、(4)債務不履行と不正アクセスとの因果関係、(5)損害額、(6)帰責事由の不存在、(7)責任限定条項の適用の可否、(8)反訴における準委任契約の成否及び商法512条に基づく報酬請求の当否。 【判旨】 裁判所は、提案依頼書・提案書・要件定義書・基本設計書の内容を総合的に考慮し、被告はDMZネットワークと個人情報保護ネットワーク間の通信を遮断するためファイアウォールを適切に設定する債務を負っていたと認定した上で、全通信許可の設定のまま納品したことは債務不履行に当たると判断した。もっとも、ファイアウォール設定は契約の主たる給付義務であり付随義務ではないから不法行為は構成しないとした。保守契約上の義務違反及びリスク対策提案義務違反はいずれも否定した。因果関係については、バックドアの設置と設定不備の両方が相まって不正アクセスが発生したものであり、設定不備がなければ不正アクセスは発生しなかったとして相当因果関係を肯定した。損害については、デジタルフォレンジック費用918万円、コンサルティング費用540万円、通知郵送料370万円、職員時間外手当455万円、第三者委員会費用112万円、Web調査費用1107万円、校務系端末復旧費用3242万円、学習系端末復旧費用4349万円、ノートPCリース代248万円、MENET再構築費用1653万円(機能追加分を控除)及び弁護士費用1299万円の合計1億4298万0444円を認容した。責任限定条項については、被告には少なくとも重過失があるとして適用を否定した。反訴については、準委任契約の成立を否定したが、商法512条に基づく報酬請求としてモバイルルータ通信料及びフォレンジック費用の計952万2073円を認容した。