SQLインジェクション対策もれの責任を開発会社に問う判決
そもそもセキュリティ対策漏れが、「顧客要件に無かったから漏れた」のだとしても、システム開発請負側に責任がある、っていう判決で、これはまたえらく手厳しいなあ、と思った。けど、個人的に一番気になるのはコレだ。
「経産省およびIPAからの注意喚起が「専門家として当然はたすべき責務」の基準と判断された」
…えー。IPAのサイトを毎日見てるシステム開発屋なんておらんぞ。他のソースから脆弱性を知ることはあるだろうけど。これ、万一IPAのサイトにしか注意喚起が載っていなかった脆弱性(※追って他の情報ソースにも情報が出る可能性は有る)が元でシステム障害や秘匿情報流出→損害賠償沙汰になったら、「IPAのサイトをチェックしていなかった」という理由でシステム開発屋が負けるってことだ。今後システム開発屋さんはIPAのサイトをチェックする専任者を雇わんといかんのじゃないか? バカバカしいようだがそういうことよねコレ。なんだかなあ。なんか間違ってると思うんだけど、司法がそう言うんじゃ仕方ないのかなあ。うーん。すっきりしない。