1 主 文 1 被告は、原告に対し、1億4298万0444円及びこれに対する平成3 1年1月29日から支払済みまで年6分の割合による金員を支払え。 2 原告のその余の本訴請求を棄却する。 3 原告は、被告に対し、952万2073円及びこれに対する平成31年4 月10日から支払済みまで年6分の割合による金員を支払え。 4 被告のその余の反訴請求を棄却する。 5 本訴事件の訴訟費用は、これを100分し、その18を原告の負担とし、 その余は被告の負担とし、反訴事件の訴訟費用は、これを100分し、その 18を被告の負担とし、その余は原告の負担とする。 6 この判決は、第1項及び第3項に限り、仮に執行することができる。 事 実 及 び 理 由 第1 請求 1 本訴事件 ⑴ 被告は、原告に対し、1億7735万6440円及びこれに対する平成3 1年1月29日から支払済みまで年6分の割合による金員を支払え。 ⑵ 被告は、原告に対し、1億7735万6440円及びこれに対する平成2 7年9月30日から支払済みまで年5分の割合による金員を支払え。 2 反訴事件 原告は、被告に対し、1159万3184円及びこれに対する平成31年4 月10日から支払済みまで年6分の割合による金員を支払え。 第2 事案の概要 1 原告は、被告との間で、平成27年5月21日、前橋市情報教育ネットワー ク(Maebashi Education NETwork。以下「MEN ET」という。)のデータセンターの移管設計及び構築業務に係る委託契約 (以下「本件委託契約」という。)を締結し、その後、同年10月1日、同デ 2 ータセンターの移管保守業務に係る委託契約(以下「本件保守契約」という。) を締結した。その 構築業務に係る委託契約 (以下「本件委託契約」という。)を締結し、その後、同年10月1日、同デ 2 ータセンターの移管保守業務に係る委託契約(以下「本件保守契約」という。) を締結した。その後、何者かが、MENETの教育資料公開サーバにバックド ア(ソフトウェアやシステムの一部として利用者に気付かれないよう秘密裏に 仕込まれた正規の利用者認証やセキュリティ対策などを回避してこっそり遠隔 操作するための窓口)を設置し、更に、何者かが、平成29年12月中旬頃か ら、上記のバックドアを利用して、上記のサーバ経由で内部ネットワークに侵 入するようになり、不正ツールを保存し、更に、何者かが、平成30年3月6 日、多数の個人情報が保存されたファイル共有サーバから、各種ファイルを圧 縮して教育資料公開サーバに収集、保存するなどしたこと(以下「本件不正ア クセス」という。)により、多数の個人情報が流出した可能性が高いことが判 明した。 本訴事件は、原告が、本件委託契約の受託者である被告には、MENETの データセンターの移管設計及び構築業務を行うに当たり、ファイアウォール (管理者等が定めたルールに基づいて、ネットワークの間の通信を「許可」し たり「拒否」したりする機能を有し、外部からの不正アクセスや攻撃を感知し、 それらの記録を保存するセキュリティ機器)を適切に設定することにより通信 制限を行う債務ないし注意義務があったにもかかわらず、被告がこれを怠り、 これにより本件不正アクセスを許す事態となり、これに対応するために原告に 多額の損害が生じたなどと主張して、選択的に、被告に対し、①債務不履行に よる損害賠償請求権に基づき、損害賠償金1億7735万6440円(ただし、 請求原因として主張している損害の金額の合計は1億7733万7990円で ある。)及びこれに対する損害賠償の履 、①債務不履行に よる損害賠償請求権に基づき、損害賠償金1億7735万6440円(ただし、 請求原因として主張している損害の金額の合計は1億7733万7990円で ある。)及びこれに対する損害賠償の履行の請求をした日の翌日である平成3 1年1月29日から支払済みまで平成29年法律第45号による改正前の商事 法定利率年6分の割合による遅延損害金の支払、又は、②不法行為による損害 賠償請求権に基づき、損害賠償金1億7735万6440円(同上)及びこれ に対する上記の業務に係るシステムを納品した日である平成27年9月30日 3 から支払済みまで平成29年法律第44号による改正前の民法所定の年5分の 割合による遅延損害金の支払を求めた事案である。 反訴事件は、被告が、原告は被告に対してモバイルルータの手配、MENE Tサーバのデジタルフォレンジック及び各教育機関に設置されたネットワーク 対応HDのクレンジング作業という各事務を委託し、被告がその各事務を処理 するに当たり、モバイルルータ通信料563万4073円、MENETサーバ 解析費用388万8000円及びNASクレンジング作業費用207万111 1円の各費用が生じたと主張して、原告に対し、①主位的に、準委任契約によ る費用等の償還請求権に基づき、上記の各費用の合計1159万3184円及 びこれに対する当該費用を請求した日の翌日である平成31年4月10日から 支払済みまで平成29年法律第45号による改正前の商事法定利率年6分の割 合による遅延損害金の支払を求め、②予備的に、商法512条の規定による商 人の相当報酬請求権に基づき、報酬1159万3184円及びこれに対する上 記と同様の遅延損害金の支払を求めた事案である。 2 前提事実(当事者間に争いがないか、後掲各証拠及び弁論の全趣旨により容 易に認められる事実 権に基づき、報酬1159万3184円及びこれに対する上 記と同様の遅延損害金の支払を求めた事案である。 2 前提事実(当事者間に争いがないか、後掲各証拠及び弁論の全趣旨により容 易に認められる事実) ⑴ 当事者等 ア 原告は、普通地方公共団体である。 イ 被告は、東日本地域において行う地域電気通信業務及びこれに附帯する 業務を営むことや、そのために保有する設備若しくは技術又はその職員を 活用して行う電気通信業務その他の業務などを目的とする株式会社である。 ⑵ MENETの移管設計及び構築に係る業務 ア MENETは、平成10年頃に設立されたインターネットへの接続を含 めた前橋市内の各学校(園)や教育機関等を結ぶ情報通信ネットワークで あり、設立後も順次機能の拡充が図られている(甲1~3)。 イ 原告は、被告に対し、平成27年5月21日、MENETのデータセン 4 ター(サーバやネットワーク機器などのIT機器を設置及び運用する施設 や建物)の移管設計及び構築に係る業務を、納期を同年9月30日とし、 業務委託料を1億0480万0500円(税別)として、委託した(本件 委託契約。甲4の1・2)。 ウ 被告は、平成27年9月30日、本件委託契約に係る業務を完了した旨 の報告をした上で、同業務により構築したシステム(以下「本件システム」 という。)及びその完成図書を納品し、これに対し、原告は、同日、被告 に対し、同業務について検査に合格した旨を通知した(甲11、12、4 5)。 なお、本件システムは、被告が原告に対して納品した時点において、① 外部ファイアウォール(インターネット(外部)とDMZネットワーク (外部ネットワークと内部ネットワークの間に設置されるネットワーク) との間、DMZネットワークと内部ネットワー 品した時点において、① 外部ファイアウォール(インターネット(外部)とDMZネットワーク (外部ネットワークと内部ネットワークの間に設置されるネットワーク) との間、DMZネットワークと内部ネットワークとの間及びネットワーク (外部)と内部ネットワークとの間に設置されるファイアウォール)につ き、DMZネットワークから個人情報保護ネットワークを含む全ての内部 ネットワークへの全ての通信を許可するとの設定がされており、また、② 内部ファイアウォール(内部ネットワークと個人情報保護ネットワークと の間に設置されるファイアウォール)につき、DMZネットワークを含む 全てのネットワークからの個人情報保護ネットワークへの全ての通信を許 可するとの設定がされていた(甲1、弁論の全趣旨)。 ⑶ MENETの保守業務 原告は、被告に対し、平成27年10月1日、委託期間を同日から平成3 2年(令和2年)9月30日までの5年間とし、契約金額を月額100万円 (税別)として、MENETのデータセンターの移管保守に係る業務を委託 した(本件保守契約。甲5の1・2)。 ⑷ 本件不正アクセス 5 ア 平成30年3月16日、MENETの公開用サーバへの不正アクセスが 確認され、その後の調査により、同月30日、児童、生徒、その保護者等 に係る多数の個人情報が流出した可能性が高いことが判明した(甲1、乙 6、弁論の全趣旨)。 イ 本件不正アクセスは、①MENETの教育資料公開サーバにバックドア が仕掛けられたことと、②上記⑵ウに記載したファイアウォールの設定と が相まって発生したものである(争いがない)。 ⑸ 履行の請求 ア 原告は、平成31年1月25日頃、被告に対し、原告が被告に対して本 件不正アクセスの対応等により生じた損害の賠償を請求する旨 相まって発生したものである(争いがない)。 ⑸ 履行の請求 ア 原告は、平成31年1月25日頃、被告に対し、原告が被告に対して本 件不正アクセスの対応等により生じた損害の賠償を請求する旨の同日付け 「ご連絡」と題する書面(甲40)を発送し、同書面は、同月28日、被 告に到達した。 イ 被告は、平成31年4月9日、原告に対し、同日付け「請求書」と題す る書面(乙5)により、各学校等のモバイルルータ通信料563万407 3円、MENETのサーバ解析費用388万8000円及び各教育機関の NASクレンジング作業費用207万1111円の合計1159万318 4円の支払を請求した(争いがない)。 3 争点 ⑴ 本訴事件 ア 本件委託契約に基づく外部ファイアウォール及び内部ファイアウォール を適切に設定することにより通信制限を行うべき債務の不履行又は注意義 務違反(不法行為)の有無 イ 本件保守契約に基づく外部ファイアウォール及び内部ファイアウォール の設定における通信制限の不備を修正すべき債務の不履行又は注意義務違 反(不法行為)の有無 ウ 想定されるリスク及びその対策について適切な提案をすべき注意義務違 6 反(不法行為)の有無 エ 債務不履行又は不法行為と本件不正アクセスとの間の相当因果関係の有 無 オ 原告の損害 カ 被告の債務不履行に係る帰責事由の不存在(抗弁) キ 責任限定契約の適用の有無(抗弁) ⑵ 反訴事件 ア 主位的請求(準委任契約に基づく費用等の償還請求) 原告と被告との間の準委任契約の成否 被告の準委任に係る事務を処理するのに必要な費用の額 イ 予備的請求(商法512条の規定に基づく報酬請求権) 営業の範囲内における他人のた 告との間の準委任契約の成否 被告の準委任に係る事務を処理するのに必要な費用の額 イ 予備的請求(商法512条の規定に基づく報酬請求権) 営業の範囲内における他人のための行為の有無及び当該行為の相当費 用の額 無償で行うことの合意の成否(抗弁) 4 争点に関する当事者の主張の要旨 ⑴ 争点⑴ア(本件委託契約に基づく外部ファイアウォール及び内部ファイア ウォールを適切に設定することにより通信制限を行うべき債務の不履行ない し注意義務違反(不法行為)の有無) (原告の主張) ア 本件委託契約では、提案依頼書から基本契約書に至るまで一貫してセキ ュリティ対策が重要視されているのであるから、被告は、同契約において、 個人情報保護ネットワークに保存されている個人情報を保護するために、 本件システムの提供に当たり、その外部ファイアウォール及び内部ファイ アウォールを適切に設定して通信制限を行う債務ないし注意義務を負って いた。 イ しかるに、被告は、外部ファイアウォールの設定において、DMZネッ 7 トワークから個人情報保護ネットワークを含む全ての内部ネットワークへ の全ての通信を許可し、また、内部ファイアウォールの設定においても、 DMZネットワークを含む全てのネットワークから個人情報保護ネットワ ークへの全ての通信を許可する設定のまま、原告に本件システムを提供し たのであるから、被告には、本件委託契約の債務不履行ないし注意義務違 反がある。 (被告の主張) ア 原告の主張アは、否認ないし争う。原告が主張するような債務が契約書 に明示されているわけではなく、「ファイアウォールを適切に設定するこ とによる通信制限を行う債務ないし注意義務」のような観念的抽象的な債 務を負うものではない。 う。原告が主張するような債務が契約書 に明示されているわけではなく、「ファイアウォールを適切に設定するこ とによる通信制限を行う債務ないし注意義務」のような観念的抽象的な債 務を負うものではない。 イ 引渡時の本件システムの設定につき、外部ファイアウォールについて、 DMZネットワークから全ての内部ネットワークへの全ての通信が許可さ れていたこと、内部ファイアウォールについて、全てのネットワークから の個人情報保護ネットワークへの全ての通信が許可されていたことは認め る。 ⑵ 争点⑴イ(本件保守契約に基づく外部ファイアウォール及び内部ファイア ウォールの設定における通信制限の不備を修正すべき債務の不履行又は注意 義務違反(不法行為)の有無) (原告の主張) ア 被告は、自己が移管設計及び構築したシステムについて、ファイアウォ ールの設定による通信制限に不備があり、原告から不備について修正の要 求があった場合には、本件保守契約に基づき、これを修正すべき債務又は 注意義務を負っていた。すなわち、原告は、同契約に基づき、被告に対し、 被告が管理する機器について、安全性に問題が生じ得る何らかの不備が存 在しないか確認することの依頼をすることができるにとどまるものではな 8 く、仮に安全性に問題が生じる何らかの不備があればその旨を原告に報告 した上で、それが同契約での対応を超えるものであった場合を除き、同契 約に基づいて被告に対してその不備の修正を要求することができることま でが含まれていた。したがって、被告は、安全性に問題が生じ得る何らか の不備がないか確認し、存在すれば、その旨を原告に報告した上で、それ が本件保守契約での対応を超えるものであった場合を除き、同契約に基づ いてその不備を修正する債務又は注意義務を負っていたものである。 イ か確認し、存在すれば、その旨を原告に報告した上で、それ が本件保守契約での対応を超えるものであった場合を除き、同契約に基づ いてその不備を修正する債務又は注意義務を負っていたものである。 イ しかるに、被告は、①本件不正アクセスが発覚する以前において、前橋 市教育委員会(以下「原告市教委」という。)から通信制限の不備を指摘 され、修正の要求を受けていたにもかかわらず、不備を自ら確認すること もなく放置し、また、②他県での教育情報システムへの不正アクセスによ る個人情報漏えい事件に関連して、原告市教委から問い合わせを受けたに もかかわらず、システムの確認を怠り、さらに、③その後も、原告から上 記とは別の通信制限の不備を指摘されたにもかかわらず、必要な措置を講 じなかったのであるから、被告には、本件保守契約の債務不履行ないし注 意義務違反がある。 (被告の主張) ア 原告の主張アは、認める。 イ 同イは否認ないし争う。本件保守契約の約款6条(甲5の1)は、「乙 (被告)は、処理した又は処理中の業務が仕様書又は図面に適合しない場 合において、甲(原告)がその修正を要求したときは、これに従わなけれ ばならない。」とする。本件で、原告が指摘した事項は、同契約の約款6 条に定める仕様書(甲5の2)又は図面に定められたものではなく、当該 事項について修正することは同契約上の被告の義務ではない。 また、被告は、①原告からの問い合わせに対してその詳細を確認したが、 原告から何ら回答がなかったことから対応することができなかったもので 9 あり、原告から修正を要求されたにもかかわらず具体的な是正措置を採ら なかったものではないし、②他県(A県)での教育情報システムへの不正 アクセスに関連する形で安全性の確認を依頼されたことはないし、③その 後の原告から 正を要求されたにもかかわらず具体的な是正措置を採ら なかったものではないし、②他県(A県)での教育情報システムへの不正 アクセスに関連する形で安全性の確認を依頼されたことはないし、③その 後の原告からの別の指摘については、株式会社B(以下「B社」という。) の業務としてファイアウォールに関する設定変更が行われたことから、設 定情報が分からなくなり、被告は保守作業を行うことができなくなったも のである。 ⑶ 争点⑴ウ(想定されるリスク及びその対策について適切な提案をすべき注 意義務違反(不法行為)の有無) (原告の主張) ア 原告は、被告を含む数社に対し、提案依頼書(甲6)で「想定されるリ スク及びその対策について適切な提案を行うこと」が可能な事業者を募集 し、被告が、これに応じ、原告に対し、提案書(甲7)において、ISO 27001及びISO9001の認証取得者であることを強調し、原告の 上記の募集に係る要求を十分に満たすことをアピールしたのであるから、 被告は、想定されるリスク及びその対策について適切な提案をすべき注意 義務を負っていた。 イ 本件システムには、外部ファイアウォール及び内部ファイアウォールの 設定が基本設計書等と異なる設定になっていることにより、DMZネット ワークから内部ネットワーク(個人情報保護ネットワークを含む。)への 不正アクセスを許す可能性があるというリスクを想定できたのであるから、 被告は、そのリスクを避けるため、原告に対し、当該ファイアウォールの 設定を修正するよう提案すべき注意義務があったにもかかわらず、これを 怠った。 (被告の主張) 原告の主張は否認ないし争う。原告が作成した提案依頼書に記載されてい 10 る内容が被告の義務となるものではないし、他の契約書などを見ても、被告 がI った。 (被告の主張) 原告の主張は否認ないし争う。原告が作成した提案依頼書に記載されてい 10 る内容が被告の義務となるものではないし、他の契約書などを見ても、被告 がISO27001及びISO9001に従ったマネジメントを行う義務を 負うとの記載はない。また、被告は、原告に対し、想定されるリスク及びそ の対策について適切な提案をすべき義務という観念的抽象的な注意義務を負 うものでもない。 ⑷ 争点⑴エ(債務不履行又は不法行為と本件不正アクセスとの間の相当因果 関係の有無) (原告の主張) 本件不正アクセスは、原告市教委が管理運営する教育資料公開サーバに設 置されたバックドアを利用して同サーバを経由して行われたものであるとこ ろ、外部に公開される教育資料公開サーバは、常に外部からの攻撃にさらさ れることが想定されるDMZネットワーク内に設けられているため、その脆 弱性の有無にかかわらず、不正アクセスを防ぎきることは不可能である。し たがって、DMZネットワークから内部ネットワークへの侵入を外部ファイ アウォール及び内部ファイアウォールにより遮断することが必須であるとこ ろ、それらの設定に不備があったために本件不正アクセスが発生したのであ るから、外部ファイアウォール及び内部ファイアウォールの通信制限が適切 に設定されなかったことないしその設定が修正されなかったことと本件不正 アクセスの発生との間には相当因果関係がある。 (被告の主張) 否認ないし争う。本件不正アクセスは、原告が適切な管理を怠ったことか ら教育資料公開サーバに仕掛けられたバックドアにより管理者権限が行使さ れたことが原因であり、外部ファイアウォール及び内部ファイアウォールに おける通信制限の設定との間に相当因果関係はなく、被告は責任を負わ 育資料公開サーバに仕掛けられたバックドアにより管理者権限が行使さ れたことが原因であり、外部ファイアウォール及び内部ファイアウォールに おける通信制限の設定との間に相当因果関係はなく、被告は責任を負わない。 ⑸ 争点⑴オ(原告の損害) ア デジタルフォレンジック対応業務委託料 11 (原告の主張) 原告は、本件不正アクセスの原因、個人情報漏えいの有無、マルウェア (コンピュータの正常な利用を妨げたり、利用者やコンピュータに害をな す不正な動作を行ったりするソフトウェア)の感染状況等についての調査 費用として918万円を支出した(甲19の1・2)。 不正アクセスによる個人情報漏えいの可能性が発覚した場合、デジタル フォレンジック(コンピュータなどの電子機器に残る記録を収集・分析し、 その法的な証拠性を明らかにする手段や技術)を行うことにより、情報漏 えいの経路、規模、不正アクセスを行った者などの情報を保全しておくこ とは、事実確認の明確化として、社会通念上不可欠とされている。なお、 個人情報の漏えいが結局確認されていないことにより、個人情報漏えいの 有無等を調査する必要性がなくなるものではない。したがって、上記の調 査費用は、被告の債務不履行又は不法行為と相当因果関係のある通常損害 である。 (被告の主張) 否認ないし争う。原告が主張する費用は、本件不正アクセスの原因、個 人情報漏えいの有無、マルウェアの感染状況等に関する調査の委託費用で あるところ、個人情報の漏えいは結局確認されていないし、また、マルウ ェアは原告の管理不十分によって仕掛けられたものであるから、上記の費 用は、被告が賠償義務を負うべき通常損害とはいえない。 イ インシデント対応支援コンサルティング業務委託料 ( ルウ ェアは原告の管理不十分によって仕掛けられたものであるから、上記の費 用は、被告が賠償義務を負うべき通常損害とはいえない。 イ インシデント対応支援コンサルティング業務委託料 (原告の主張) 原告は、本件不正アクセスに対して原告が採るべき対応に係るコンサル ティング業務の委託費用として540万円を支出した(甲20)。なお、 同業務の具体的な内容は、保護者への送付文書作成・確認業務、マスコミ 対応への助言、第三者委員会設置についての技術的支援などであった。 12 本件不正アクセスにより情報漏えいの可能性が生じた場合、速やかに事 実確認及び適切かつ迅速に情報開示をすることが必要であり、かつ、本件 不正アクセスのような大規模かつ重大なインシデントへの対応には、ネッ トワーク技術に関する知識やインシデント発生時の対応についての専門的 知識及び経験が必要不可欠であるから、上記の業務委託料は、被告の債務 不履行又は不法行為と相当因果関係のある通常損害である。 (被告の主張) 否認ないし争う。原告の主張する費用は、本件不正アクセスを防止する ために必要不可欠ではないにもかかわらず、原告が自らの希望で委託した ものであり、被告の債務不履行又は不法行為と相当因果関係のある通常生 ずべき損害とはいえない。 ウ 保護者・教職員宛て通知のための郵送料等 (原告の主張) 原告は、園児、児童及び生徒の保護者(4万2983名)並びに教職員 関係者(1316名)宛てに、本件不正アクセスに係る事情の説明、情報 流出に関するコールセンター設置の案内及び謝罪の通知文書を送付し、そ の費用として合計370万0766円を支出した(甲21、22の1・ 2)。 本件不正アクセスにより個人情報が流出し 、情報 流出に関するコールセンター設置の案内及び謝罪の通知文書を送付し、そ の費用として合計370万0766円を支出した(甲21、22の1・ 2)。 本件不正アクセスにより個人情報が流出した可能性のある園児、児童、 及び生徒の保護者並びに教職員関係者宛てに通知を発し、その経緯の説明 や注意喚起を図ることは、市民への情報開示として必要な措置であること から、これに要した上記の郵送料等の費用は、被告の債務不履行又は不法 行為と相当因果関係のある通常損害である。 (被告の主張) 否認ないし争う。原告が主張する費用は、本件不正アクセスを防止する ために必要不可欠ではないにもかかわらず、原告が自らの希望で行ったも 13 のであり、被告の債務不履行又は不法行為と相当因果関係のある通常生ず べき損害とはいえない。 エ 職員時間外勤務手当分等 (原告の主張) 原告は、本件不正アクセスによる個人情報の流出の可能性に不安を抱い た市民からの問い合わせに対応するためのコールセンターを設置したが、 同コールセンターは原告市教委の事務局職員において対応した。また、上 記ウの通知文書の発出等も含めて、上記の事務職員が他の業務を抱えなが ら限られた人員で対応したことから、各職員がそれぞれ時間外労働を行わ ざるを得なかった。原告は、以上による上記の事務職員の時間外労働手当 分及び週休日の振替等の対応により低下した労働力分(振替休暇対応分に ついては時間外手当が支給されたものとして算出)として合計455万8 066円を支出ないし負担した(甲42)。 本件不正アクセスについて市民への通知文書による説明や市民からの問 い合わせに対応することは、市民への情報開示として必要不可欠であった ものであるから、その対応のために増加した上 甲42)。 本件不正アクセスについて市民への通知文書による説明や市民からの問 い合わせに対応することは、市民への情報開示として必要不可欠であった ものであるから、その対応のために増加した上記の支出ないし負担は、被 告の債務不履行又は不法行為と相当因果関係のある通常損害に当たる。 (被告の主張) 否認ないし争う。原告が主張する費用は、本件不正アクセスを防止する ために必要不可欠ではないにもかかわらず、原告が自らの希望で支出した ものであり、被告の債務不履行又は不法行為と相当因果関係のある通常生 ずべき損害とはいえない。また、そもそもこれらの勤務手当等が原告の主 張するような業務を実施するために使用されたという証明もない。 オ 第三者委員会委員報酬等 (原告の主張) 原告は、本件不正アクセスを受けての対応として、MENETの関係者 14 から独立した第三者で構成される前橋市学校教育ネットワークセキュリテ ィ調査対策検討委員会(以下「本件委員会」という。)を設置し、その委 員の報酬及び旅費として合計112万8560円を支出した(甲24)。 原告は、本件不正アクセスが重大な事案であったことから、行政機関と して市民に対して説明責任を負うところ、事実関係の明確化の観点から、 結論が恣意的にならないようにMENETの関係者から独立した組織を設 置して本件不正アクセスの原因究明を行う必要があったのであるから、そ のために支出した上記の報酬及び旅費に係る費用は、被告の債務不履行又 は不法行為と相当因果関係のある通常損害に当たる。 (被告の主張) 否認ないし争う。第三者委員会は、何らかの問題や不祥事が起きた場合 に必ず設置しなければならないものではないにもかかわらず、原告の自ら の希望によって 害に当たる。 (被告の主張) 否認ないし争う。第三者委員会は、何らかの問題や不祥事が起きた場合 に必ず設置しなければならないものではないにもかかわらず、原告の自ら の希望によって第三者委員会である本件委員会を設置したのであるから、 その費用は、被告の債務不履行又は不法行為と相当因果関係のある通常生 ずべき損害とはいえない。 カ 各種外部ネットワーク調査業務(Web調査)委託料 (原告の主張) 原告は、本件不正アクセスを受けての対応として、各種外部ネットワー ク調査業務を委託し、その委託料として1107万円を支出した(甲25 の1~11)。 デジタルフォレンジックやインシデント対応支援コンサルティングの結 果、本件不正アクセスは中国やヨーロッパ等の海外からのものが多かった ことが判明したから、情報流出の調査対象として、国内で普及しているS NS及びWeb検索サイトのみならず、海外で普及している文書共有サイ トをも含める必要があった。そして、調査業務については、長期的で対象 数が膨大である上に、日々更新されていくものであり、原告の職員での対 15 応は不可能であったことから、情報技術の専門家へ委託する必要があった。 したがって、上記の費用は、被告の債務不履行又は不法行為と相当因果関 係のある通常損害に当たる。 (被告の主張) 否認ないし争う。原告が主張する費用は、原告が自らの判断でデジタル フォレンジックに加えて追加調査を行うために出捐したものであるところ、 個人情報の漏えいは結局確認されていないし、また、本件不正アクセスを 防止するために必要不可欠ではないにもかかわらず原告が自らの希望で行 ったものであるから、被告の債務不履行又は不法行為と相当因果関係のあ る通常生ずべき損害とはい れていないし、また、本件不正アクセスを 防止するために必要不可欠ではないにもかかわらず原告が自らの希望で行 ったものであるから、被告の債務不履行又は不法行為と相当因果関係のあ る通常生ずべき損害とはいえない。 キ MENET校務系端末復旧作業業務委託料 (原告の主張) 原告は、本件不正アクセスを受けての対応として、MENETに接続さ れていた1892台の校務系PCのシステムをクリーンインストールする ため、MENET校務系端末復旧作業を委託し、その費用として3242 万5380円を支出した(甲27)。 本件不正アクセスのように攻撃者にシステム特権を奪われた場合、今日 のコンピュータシステムは複雑であるから、悪意あるプログラムを仕掛け られていないことを保証することは不可能に近い。したがって、引き続き コンピュータを安全に利用するためには、再度、クリーンなシステムを再 構築する必要があり、その方法として、信頼できるメディアからクリーン なシステムの再インストールをすることが合理的である(甲10、26、 41・35~36頁)。したがって、上記の費用は、被告の債務不履行又 は不法行為と相当因果関係のある通常損害に当たる。 なお、本件不正アクセス以前に、1892台の校務系PCにつき、クリ ーンインストールが必要な状態にあったということはない。 16 (被告の主張) 否認ないし争う。本件不正アクセスの原因がバックドアであると判明し ている以上、当該バックドアを取り除くことで足りるのであり、それにも かかわらず、原告が自らに希望で不必要なクリーンインストールを行った のであるから、それに要した費用は、被告の債務不履行又は不法行為と相 当因果関係のある通常生ずべき損害とはいえない。 また、原告が行っ 原告が自らに希望で不必要なクリーンインストールを行った のであるから、それに要した費用は、被告の債務不履行又は不法行為と相 当因果関係のある通常生ずべき損害とはいえない。 また、原告が行ったクリーンインストールは、本件不正アクセス以前に 生じていたウイルスを除去するためにもともと必要なものであったのであ るから、被告の債務不履行又は不法行為とは無関係である。 ク MENET学習系端末復旧作業業務委託料 (原告の主張) 原告は、本件不正アクセスを受けての対応として、MENETに接続さ れていた3822台の学習系タブレットPCのシステムをクリーンインス トールするため、MENET学習系端末復旧作業を委託し、その費用とし て4349万8080円を支出した(甲28)。 前橋市内の小中学校等では、学習系端末として、学習用のタブレットP Cが合計3822台(学習用2844台、指導者用978台)配備されて おり、これらもMENETに接続されていた。したがって、これらのタブ レットPCについても、上記キの原告の主張と同様に、本件不正アクセス により悪意のあるプログラムを仕掛けられた可能性があったから、継続し て安全に利用するためにクリーンインストールを行う必要があったのであ り、上記の費用は、被告の債務不履行又は不法行為と相当因果関係のある 通常損害である。 (被告の主張) 否認ないし争う。原告の主張する費用は、上記キの被告の主張と同様に、 不必要な業務のために原告が自らの希望で支出したものであり、被告の債 17 務不履行又は不法行為と相当因果関係のある通常生ずべき損害ではないし、 本件不正アクセス以前に生じていたウイルス除去のために必要な費用であ ったのであるから、被告の債務不履行又は不法行為とは無関係である。 不履行又は不法行為と相当因果関係のある通常生ずべき損害ではないし、 本件不正アクセス以前に生じていたウイルス除去のために必要な費用であ ったのであるから、被告の債務不履行又は不法行為とは無関係である。 ケ 連絡手段確保のためのノートPCリース代 (原告の主張) 原告は、本件不正アクセスが発覚した後の平成30年3月26日、ME NET全体をインターネットから完全切断したため、同年4月16日から 同年6月15日までの2か月間、インターネットの利用できるリースのノ ートPCを各学校へ1台ずつ配備し、最低限の連絡手段を確保した。しか し、その後もMENET復旧の目途が立たなかったことから、各学校で保 管されていたリースアウトPC70台を選別し、それらをクリーンインス トールし、各学校に1台ずつ追加配備した。原告は、これらの費用として 合計248万6484円を支出した(甲29、30)。 上記の費用は、事業の継続のために必要なものであったから、被告の債 務不履行又は不法行為と相当因果関係のある通常損害に当たる。 (被告の主張) 否認ないし争う。上記キの被告の主張と同様に、不必要な業務のために 原告が自らの希望で支出したものであり、被告の債務不履行又は不法行為 と相当因果関係のある通常生ずべき損害とはいえないし、本件不正アクセ ス以前に生じていたウイルス除去のために必要な費用であったのであるか ら、被告の債務不履行又は不法行為とは無関係である。 コ MENET再構築に関する情報セキュリティ支援業務委託料 (原告の主張) 原告は、本件不正アクセスの発生により、MENETの再構築を余儀な くされ、その際の安全性確保のためのシステム要件定義や設計等のセキュ リティ面に関し、外部専門家による総合的な 原告の主張) 原告は、本件不正アクセスの発生により、MENETの再構築を余儀な くされ、その際の安全性確保のためのシステム要件定義や設計等のセキュ リティ面に関し、外部専門家による総合的な技術支援を受ける必要があっ 18 たことから、同業務を委託し、その費用として213万8400円を支出 した(甲31)。 これは、原告が下記サの原告の主張に記載のMENET再構築業務を委 託するための前提として必要な支援であるから、被告の債務不履行又は不 法行為と相当因果関係のある通常損害に当たる。 (被告の主張) 否認ないし争う。原告が主張する支援業務は、MENET再構築業務を 委託するために必ずしも必要とはいえず、原告が自らの希望で行ったもの であるし、その大部分が機能追加又は増強に係るものであるから、被告の 債務不履行又は注意義務違反と相当因果関係のある通常生ずべき損害とは いえない。 サ MENET再構築業務委託料 (原告の主張) 原告は、本件不正アクセスの発生によりMENETの再構築を余儀なく されたことから、MENET再構築業務を委託し、その費用として391 3万9200円を支出した(甲33)。 原告は、MENETの再構築に当たって、本件委員会の再発防止策の提 言により、平成29年10月18日に文部科学省が策定した「教育情報セ キュリティポリシーに関するガイドライン」に準拠する必要があり(甲3 2・17及び18頁)、これによりMENETのセキュリティは、本件不 正アクセス前よりも堅牢化したといえる。しかし、情報セキュリティ対策 は日進月歩であり、数年前のシステムと同様のセキュリティ対策では信頼 の回復は困難であるから、システムの再構築に当たっては、文部科学省が 求めるセキュリティ水 したといえる。しかし、情報セキュリティ対策 は日進月歩であり、数年前のシステムと同様のセキュリティ対策では信頼 の回復は困難であるから、システムの再構築に当たっては、文部科学省が 求めるセキュリティ水準に合致するように行う必要があり、また、同水準 に合致するシステムの再構成は、本件不正アクセスの被害者である園児、 児童、生徒及びその保護者の不安を解消するためにも必要なものであった 19 といえ、上記の費用は、被告の債務不履行又は不法行為と相当因果関係の ある通常損害である。 なお、本件におけるMENETなどの機能追加又は増強は、本件不正ア クセスによりMENETを急遽再構築する必要が生じたため、必要となっ たものである。仮に、本件不正アクセス時において、潜在的に同様の機能 追加又は増強が必要であったとしても、実際にそれを構築する時期は、更 新時期に新たに検討されて決まるものであって、少なくとも本件と同じ時 期に同様の機能追加又は増強が実施されることはなかった。 (被告の主張) 否認ないし争う。原告が主張する費用のうち2260万4313円は、 本件不正アクセスを契機とした機能追加又は増強に係る費用である(乙 8)。この費用は、原告が本来的には本件不正アクセスの発生の有無にか かわらず行う必要があったものであり、原告が負担すべき費用であること は明らかである。したがって、当該費用は、被告の債務不履行又は不法行 為と相当因果関係のある通常生ずべき損害とはいえない。 シ C学校校内ネットワーク再構築業務委託料 (原告の主張) 原告は、本件不正アクセスを受けての対応として、C学校内ネットワー ク再構築業務を委託し、その費用として194万1602円を支出した (甲34)。 C学校は、独自のネットワークを構築し ) 原告は、本件不正アクセスを受けての対応として、C学校内ネットワー ク再構築業務を委託し、その費用として194万1602円を支出した (甲34)。 C学校は、独自のネットワークを構築していたが、そのネットワークが MENETと接続している状態にあったことから、本件不正アクセスによ り、校内PCのクリーンインストールを行うとともに校内ネットワークの 再構築を余儀なくされた。なお、汚染された機器が接続されたネットワー クと接続しているネットワーク上の機器は、それらの機器自体も汚染され ているおそれがあるといえる。したがって、個人情報の重要性に鑑みれば、 20 上記の費用は、いずれも被告の債務不履行又は不法行為と相当因果関係の ある損害である。 (被告の主張) 否認ないし争う。上記キの被告の主張と同様に、原告の主張するPCを クリーンインストールする必要があったとは必ずしもいえない。また、M ENETを再構築するからといって、なぜMENETと接続している他の ネットワークを再構築する必要があるか不明であり、当該費用は被告の債 務不履行又は不法行為と相当因果関係のある通常生ずべき損害とはいえな い。さらに、本件不正アクセス以前に生じていたウイルス除去のために必 要な費用であったのであるから、被告の債務不履行又は不法行為とは無関 係である。 ス 学校評価システム共有フォルダ利用型構築作業業務委託料 (原告の主張) 原告は、本件不正アクセスを受けての対応として、学校評価システム共 有フォルダ利用型構築作業を委託し、その費用として24万3000円を 支出した(甲35)。 原告は、本件不正アクセスにより、MENETのデータセンター内にあ った独立したサーバである学校評価システム共有フォルダ利用型が汚 し、その費用として24万3000円を 支出した(甲35)。 原告は、本件不正アクセスにより、MENETのデータセンター内にあ った独立したサーバである学校評価システム共有フォルダ利用型が汚染さ れた可能性があったことから、サーバの再構築を行ったものであり、その 費用は、被告の債務不履行又は不法行為と相当因果関係のある通常損害で ある。 (被告の主張) 否認ないし争う。原告は、本件不正アクセスによりサーバが汚染された 可能性があることを理由に同サーバの再構築費用を支出しているが、汚染 された可能性をもってして当該再構築が必要不可欠であったとはいえない から、当該費用は被告の債務不履行又は不法行為と相当因果関係のある通 21 常生ずべき損害とはいえないし、また、本件不正アクセス以前に生じてい たウイルス除去のために必要な費用であったのであるから、被告の債務不 履行又は不法行為とは無関係である。 セ 指導者用タブレットPC周辺機器購入費用 (原告の主張) 原告は、本件不正アクセスを受けての対応として、指導者用タブレット PC周辺機器購入費用として合計424万2499円を支出した(甲36、 37)。 原告は、1台の端末で学習系ネットワークと校務系ネットワークに接続 していたが、本件不正アクセス発生の後、MENETを再構築した際に学 習系ネットワークと校務系ネットワークを完全に分離したため、校務系ネ ットワークに接続する端末と学習系ネットワークに接続する端末の計2台 の端末の配置が必要となった。教職員の業務過多が社会問題となっている 教育現場において、更に作業効率が悪くなることは看過し得ない問題であ るところ、端末が複数になると作業効率が悪化することから、2台の端末 で一組のモニター、キーボード及 の業務過多が社会問題となっている 教育現場において、更に作業効率が悪くなることは看過し得ない問題であ るところ、端末が複数になると作業効率が悪化することから、2台の端末 で一組のモニター、キーボード及びマウスの入出力デバイスを共有できる ように周辺機器を配備した。 原告は、上記の方法により、事業の継続のため、本件不正アクセス前と 同様の作業効率を確保したが、これに要した上記の費用は、被告の債務不 履行又は不法行為と相当因果関係のある通常損害である。 (被告の主張) 否認ないし争う。原告が主張する費用は、あくまでも作業効率をよくす るためのものであり、必要不可欠な費用とはいえず、原告が自らの希望で 支出したものにすぎないし、本件不正アクセスを契機とした機能追加又は 増強に伴い必要となった費用であるから、被告の債務不履行又は不法行為 と相当因果関係のある通常生ずべき損害とはいえない。 22 ソ DNSサーバ移行費用 (原告の主張) 原告は、本件不正アクセスを受けての対応として、DNSサーバ移行費 用として6万2640円を支出した(甲39、40)。 原告は、本件不正アクセスによるMENETの再構築に伴い、DMZネ ットワークを撤去することとなり、同ネットワーク内にあったDNS(D omain Name System)サーバを外部のクラウドサービス において利用する必要が生じた。したがって、上記の費用は、被告の債務 不履行又は不法行為と相当因果関係のある通常損害である。 (被告の主張) 否認ないし争う。DMZネットワークの撤去は、原告が自らの希望で行 ったものであるし、本件不正アクセスを契機とした機能追加又は増強に伴 い必要となったものであるから、当該費用は、被告の債務不履 否認ないし争う。DMZネットワークの撤去は、原告が自らの希望で行 ったものであるし、本件不正アクセスを契機とした機能追加又は増強に伴 い必要となったものであるから、当該費用は、被告の債務不履行又は不法 行為と相当因果関係のある通常生ずべき損害とはいえない。 タ 弁護士費用 (原告の主張) 原告は、被告の債務不履行又は不法行為により、訴訟提起を余儀なくさ れたものであり、これと相当因果関係のある弁護士費用は、上記イないし タの損害の約1割に相当する1612万3313円が相当である。 なお、本件のようなシステム開発紛争は、契約の内容が複雑であり、弁 護士に委任しなければ十分な訴訟活動をすることが困難な類型の訴訟であ るから、債務不履行に基づく損害賠償請求においても、弁護士費用はその 損害に含まれるというべきである。 (被告の主張) 否認ないし争う。原告が自らの判断で弁護士に委任した結果生じた費用 であり、当該費用は、原告が自らの希望で支出したものであり、通常生ず 23 べき直接損害とはいえない。また、債務不履行に基づく損害賠償請求では、 弁護士費用は請求できないのが通常である。 ⑹ 争点⑴カ(被告の債務不履行に係る帰責事由の不存在) (被告の主張) 被告が原告に対して納品した完成図書には、外部ファイアウォール及び内 部ファイアウォールについて実際にされた設定が記載されており、原告はそ の設定について了解ないし認識をしていた。また、原告には本件委託契約の 9条の規定に基づき検査をする義務があったのであり、原告は上記の了解な いし認識のもとで完成図書を検収したのであるから、原告が主張する債務不 履行について、債務者である被告には責めに帰すべき事由はない。 (原告の主張) 否認ないし たのであり、原告は上記の了解な いし認識のもとで完成図書を検収したのであるから、原告が主張する債務不 履行について、債務者である被告には責めに帰すべき事由はない。 (原告の主張) 否認ないし争う。完成図書は、MENET全体の膨大なシステムが全て記 録されているものであり、専門的知識を有さない原告市教委がその全ての内 容を自主的に確認することは不可能である。また、基本設計書と試験成績書 には、DMZネットワークから内部ネットワークへの通信が許容されていな いことが明確に表現されており、実際の設定の内容と明らかに矛盾するもの であるから、被告は、原告に対し、外部ファイアウォール及び内部ファイア ウォールの設定について告知ないし説明をすべき義務を負っており、被告に おけるそのような告知ないし説明がない限り、原告において実際の設計内容 を理解することは事実上不可能である。以上によれば、原告に検査義務違反 はなく、債務者である被告に責めに帰すべき事由がないとはいえない。 ⑺ 争点⑴キ(責任限定契約の適用の有無) (被告の主張) 被告は、原告との間で、平成27年5月11日、本件委託契約の17条の 規定により、同契約における被告の損害賠償責任の範囲につき、契約金額を 限度として現実に生じた通常の直接損害を賠償するものとする旨の契約を締 24 結した(以下「本件責任限定契約」という。)。 したがって、被告が賠償すべき損害は、本件委託契約の契約金額である1 億0480万0500円が限度となる。 また、本件責任限定契約において、損害賠償の対象は「現実に生じた通常 の直接損害」に限定されているのであるから、被告は、本件不正アクセスに よる原告の特別損害(特別な事情によって生じた損害)や間接損害(債務不 履行から間接的に生じている損害)について賠償義 に生じた通常 の直接損害」に限定されているのであるから、被告は、本件不正アクセスに よる原告の特別損害(特別な事情によって生じた損害)や間接損害(債務不 履行から間接的に生じている損害)について賠償義務を負うものでもない。 そして、本件では、個人情報が現実に漏えいしたとの証拠はないが、仮に個 人情報が漏えいしていたとしても、それによる損害は、特別損害や間接損害 であり、「現実に生じた通常の直接損害」ではない。 (原告の主張) 否認ないし争う。一般に責任限定契約については、権利・法益侵害の結果 について故意又は重過失がある場合には適用されないと解されている(東京 地判平成26年1月23日参照)。被告において、外部ファイアウォール及 び内部ファイアウォールについて全ての通信を許可する設定がされれば、攻 撃者によるDMZネットワークから内部ネットワークへの侵入を許す結果が 生じることは容易に予見可能であり、かつ、被告がその設定の不備に気付き、 その不備を是正することは極めて容易であったにもかかわらず、セキュリテ ィの根本にかかわる重大事項についての確認を怠り、さらに原告に対して虚 偽の報告を行った点で、被告には故意又は重大な過失があるから、本件の被 告の債務不履行については、本件責任限定契約は適用されない。 また、一度内部ネットワークへの侵入を許せば、本件のような損害が生じ ることは容易に想定できるから、原告が主張する各損害は、特別損害や間接 損害などではなく、現実に生じた通常の直接損害である。 ⑻ 争点⑵ア (原告と被告との間の準委任契約の成否) (被告の主張) 25 ア 原告は、各教育機関に配布するノートPCをインターネットに接続する ために、平成30年3月29日、被告に対し、モバイルルータを手配する ように依頼し、被告 (被告の主張) 25 ア 原告は、各教育機関に配布するノートPCをインターネットに接続する ために、平成30年3月29日、被告に対し、モバイルルータを手配する ように依頼し、被告はこれを了承した(乙1)。 イ 原告は、平成30年3月26日、被告に対し、デジタルフォレンジック 等を依頼し、被告はこれを了承した(乙3)。 ウ 原告は、平成30年4月13日、被告に対し、各教育機関に設置された ネットワーク対応HDのクレンジング作業を依頼し、被告はこれを了承し た。 (原告の主張) いずれも否認ないし争う。原告は、被告に対して被告が主張するような各 業務の依頼や委託をしたことはない。 ⑼ 争点⑵ア (被告の準委任に係る事務を処理するのに必要な費用の額) (被告の主張) 被告は、モバイルルータの手配、MENETサーバのデジタルフォレンジ ック及び各教育機関に設置されたネットワーク対応HDのクレンジング作業 を行い、その費用として、1159万3184円を要した。 (原告の主張) 否認ないし争う。 争点⑵イ (営業の範囲内における他人のための行為の有無及び当該行為 の相当費用の額) (被告の主張) 被告は、自らの営業の範囲内において、原告のために、モバイルルータの 手配、MENETサーバのデジタルフォレンジック及び各教育機関に設置さ れたネットワーク対応HDのクレンジング作業を行い、その費用として、1 159万3184円を要した。 (原告の主張) 26 不知ないし争う。 ⑾ 争点⑵イ (無償で行うことの合意の成否) (原告の主張) 原告及び被告は、被告がモバイルルータの手配、MENETサーバのデジ タルフォレンジ 6 不知ないし争う。 ⑾ 争点⑵イ (無償で行うことの合意の成否) (原告の主張) 原告及び被告は、被告がモバイルルータの手配、MENETサーバのデジ タルフォレンジック及びNASクレンジング作業を無償で行うとの合意をし た。 (被告の主張) 否認ないし争う。 第3 当裁判所の判断 1 判断の前提として、前提事実並びに後掲各証拠及び弁論の全趣旨によれば、 次の事実が認められる。 ⑴ 本件委託契約の締結から業務完了に至るまでの経緯 ア 原告市教委は、平成27年2月頃、被告を含む数社に対し、平成27年 2月16日付け「前橋市教育情報ネットワーク<MENET> データセン ター移管提案依頼書(Request For Proposal)」 (甲6。以下「提案依頼書」という。)により提案依頼をしたが(甲1・ 5頁)、提案依頼書には、次の内容の記載がある。 プロジェクト管理(5頁) 委託事項に係るシステムの設計、構築、運用開始に当たって、プロジ ェクト責任者を明確にし、委託事項を適切かつ効率的に実施すること。 また、委託事項を遂行するための体制を具体的に示した上で、想定され るリスク及びその対策について適切な提案をすること。 ISP向けファイアウォール(外部ファイアウォール)(10頁) 現行と同様に外部・内部・DMZの3つのセグメントを設定し、レイ ヤー4レベルまでのアクセス制御を行うこと。 内部ファイアウォール(9頁) 27 内部ファイアウォールに設定するフィルタは、市教委と新校務システ ムのベンダーと連携の上、設計・設定すること。 イ 被告は、平成27年3月13日頃、原告に対し、同日付け「前橋市教育 情報ネットワーク M イアウォールに設定するフィルタは、市教委と新校務システ ムのベンダーと連携の上、設計・設定すること。 イ 被告は、平成27年3月13日頃、原告に対し、同日付け「前橋市教育 情報ネットワーク MENETデータセンター移管 提案書」(甲7。 以下「提案書」という。)を提出したが、提案書には、次の内容の記載が ある。 豊富な知見を基にしたトータルソリューション(5頁) 安心・安全面について、強固なセキュリティ対策(全社的なセキュリ ティ向上や、仕組みを積極的に導入)、ISO認証の取得(ISO90 01(品質)、ISO14001(環境)、ISO27001(情報セ キュリティ))等がある。 強固なセキュリティ対策(6頁) 技術力の面として、経験豊富な専門家を多数擁する技術的セキュリテ ィ対策チームによる総合的なセキュリティソリューションを提供するこ とが可能である。 システム構成のコンセプト(26、27頁) ファイアウォールによる安心・安全な通信として、各学校及びデータ センター間をファイアウォールを用いてVPN接続(送受信上情報の盗 聴や改ざんなどの危険を取り除き、インターネットを介して安全な情報 の送受信を行えるようにする技術)することで、外部からの攻撃を防御 し、アクセス制御が可能であるという効果を得られる。 ウ 原告は、平成27年5月21日、被告との間で、MENETのデータ センター移管業務の設計及び構築業務に係る業務につき、納期を同年9 月30日、業務委託料を1億0480万0500円(税別)として、委 託した(本件委託契約)。 本件委託契約の契約書別添の平成27年5月付け「前橋市 MENE 28 Tデータセンター移管業務 要件定義書 1.0版」(甲 500円(税別)として、委 託した(本件委託契約)。 本件委託契約の契約書別添の平成27年5月付け「前橋市 MENE 28 Tデータセンター移管業務 要件定義書 1.0版」(甲4の2。以下 「要件定義書」という。)には、次の内容の記載がある。 a ISP接続用ファイアウォール(外部ファイアウォール)(4頁) インターネットとデータセンター内ネットワークを区切り、外部か らのアクセス制限を行うため、プロトコル(複数の主体が滞りなく信 号やデータ、情報を相互に伝達できるよう、あらかじめ決められた約 束事や手順の集合のこと)などによるアクセス制限を行う。 b 内部ファイアウォール(4頁) データセンター内に個人情報を含むサーバの情報を保護するための 内部ファイアウォールにより、各学校の生徒用セグメントからのアク セス制御を行う。 c セキュリティ要件(7頁・表8-1のNo.4の「その他」の欄) ファイアウォールにより、外部からは指定するサーバに対する指定 のプロトコルのみにアクセスする。 本件委託契約には、次の内容の規定がある(甲4の1)。 9条(検査及び引渡し) 1項 被告は、納期(平成27年9月30日)までに委託業務を完了 するものとし、委託業務を完了したときは、速やかに委託業務が 完了した旨及び委託業務完了日を記載した書面(以下「委託業務 完了届」という。)を原告に提出するものとする。 2項 原告は、前項の委託業務完了届を受理したときは、速やかに検 査をし、検査に合格した場合はその旨及び検査合格日を記載した 書面(以下「検査合格書」という。)を委託業務完了届を受理し た日から起算して7日以内に、被告に交付するものとする。(以 たときは、速やかに検 査をし、検査に合格した場合はその旨及び検査合格日を記載した 書面(以下「検査合格書」という。)を委託業務完了届を受理し た日から起算して7日以内に、被告に交付するものとする。(以 下省略) 3項~5項 省略 29 17条(損害賠償) 原告又は被告は、本件委託契約に基づく債務を履行せず、相手方か ら相当の期間を定めて催告を受けたにもかかわらず、なお、その期間 内に履行しないとき等の本件委託契約上の解除事由に該当したこと、 又は本件委託契約の履行において自らの責めに帰すべき事由により、 相手方に損害を与えた場合には、本件委託契約の解除の有無にかかわ らず、契約金額を限度として現実に生じた通常の直接損害を賠償する ものとする。 エ 被告は、平成27年6月19日頃、同日付け「設計方針(案)」(甲8。 以下「設計方針」という。)を策定した。設計方針に記載されたデータセ ンター内論理接続図(6頁)及びアクセス制御イメージ(案)(8頁)で は、いずれもDMZネットワークと内部ネットワークの一部である個人情 報保護ネットワークをつなぐ通信経路は存在しない。 オ 被告は、平成27年6月頃、同月付け「平成27年度MENETデータ センター移管業務 基本設計書 第1.0版」(甲9。以下「基本設計書」 という。)を策定したが、同設計書には、次の内容の記載がある。 セキュリティ基本方針(15頁・表5-1のNo.4の「その他」の 欄) ①ファイアウォールにより、外部からは指定のサーバに対する指定の プロトコルのみにアクセスを限定すること、②内部の個人情報を扱うサ ーバについて、ファイアウォールにより、アクセスを制限することとの 方針とする。 通信制限イメージ(23頁・図6-5) 設 トコルのみにアクセスを限定すること、②内部の個人情報を扱うサ ーバについて、ファイアウォールにより、アクセスを制限することとの 方針とする。 通信制限イメージ(23頁・図6-5) 設計方針のアクセス制御イメージ(案)と同様に、DMZネットワー クと内部ネットワークの一部である個人情報保護ネットワークをつなぐ 通信経路は存在しない。 30 カ 被告は、平成27年9月30日、原告に対し、委託業務完了届により本 件業務委託契約に係る業務を完了した旨の報告をした上で、本件システム 及びその完成図書を納品し、原告は、同日、被告に対し、検査合格書によ り同業務について検査に合格した旨を通知した(甲11、12、45)。 なお、本件システムは、被告が原告に対して納品した時点において、① 外部ファイアウォール(インターネット(外部)とDMZネットワークと の間、DMZネットワークと内部ネットワークとの間及びネットワーク (外部)と内部ネットワークとの間に設置されるファイアウォール)につ き、DMZネットワークから個人情報保護ネットワークを含む全ての内部 ネットワークへの全ての通信を許可するとの設定がされており、また、② 内部ファイアウォール(内部ネットワークと個人情報保護ネットワークと の間に設置されるファイアウォール)につき、DMZネットワークを含む 全てのネットワークからの個人情報保護ネットワークへの全ての通信を許 可するとの設定がされていた(前提事実⑵ウ)。 ⑵ 本件保守契約の締結 原告は、被告に対し、平成27年10月1日、委託期間を同日から平成3 2年9月30日までの5年間、契約金額を月額100万円(税別)として、 MENETのデータセンターの移管保守に係る業務を委託した(本件保守契 約)。なお、本件保守契約の契約書(甲5の1)に係る ら平成3 2年9月30日までの5年間、契約金額を月額100万円(税別)として、 MENETのデータセンターの移管保守に係る業務を委託した(本件保守契 約)。なお、本件保守契約の契約書(甲5の1)に係る同業務の範囲は、対 象物件の故障個所の切り分け及び機器等の交換作業等、故障時における対象 物件及び回線の良否判定作業等、対象物件の定期点検等とされており(甲5 の2)、また、保守手引書(甲14)には、①保守対象物品一覧(別紙4) において、外部ファイアウォール及び内部ファイアウォールの機器が含まれ ており、かつ、②保守運用仕様一覧保守運用区分(別紙3)において、「各 種相談・運用改善対応」、「お客様からの相談、運用改善対応」における保 守具体的項目において、「既存設定内容(セキュリティ、要領関連など)」、 31 「セキュリティ対応(脆弱性の緊急対応)」などの役割分担として被告が 「主」であることが記載されている。 ⑶ 原告の被告に対するメールの内容 原告市教委は、平成28年1月8日、被告に対し、センターサーバ(デー タセンター内に設置されたサーバ群のことであり、各学校に設置されたサー バとは異なり、ネットワーク内の各所(各学校)が利用するサービスを提供 する機器)からインターネットにプロキシ(内部ネットワークとインターネ ットの境界にあり、内部のコンピュータの代理としてインターネット上のコ ンピュータへ接続を行うコンピュータ)を経由せずにアクセスができてしま う状態にあり、このような場合、外部にアクセスした機器の情報が漏れ不正 アタックなどでターゲットにされてしまう可能性があることを指摘する旨の 電子メールを送信した(甲15)。これに対し、被告は、平成28年1月2 5日、原告市教委に対し、上記の指摘を受け、プロキシ経由でインターネッ ト通信をするように変更 しまう可能性があることを指摘する旨の 電子メールを送信した(甲15)。これに対し、被告は、平成28年1月2 5日、原告市教委に対し、上記の指摘を受け、プロキシ経由でインターネッ ト通信をするように変更することに決定した旨を返信した(甲16)。 ⑷ 本件不正アクセスの発生 ア 何者かは、平成29年8月頃から、MENETのDMZネットワーク (外部ネットワーク(インターネット)及び内部ネットワークの双方から の接続が許可されたネットワーク領域)に設置された教育資料公開サーバ に対して、何者かが作成したバックドアを利用してアクセスを開始した。 イ 何者かは、平成29年12月中旬ごろから、教育資料公開サーバを経由 して、内部ネットワークに侵入し、内部ネットワーク内の校務系ネットワ ーク及び個人情報保護ネットワークに存在する端末やサーバにおいて不正 ツールを保存した。 ウ 何者かは、平成30年3月6日、教育公開サーバから遠隔操作機能を利 用して、個人情報保護ネットワーク内に設置されたドメインコントローラ サーバ(あるネットワーク上の範囲(ドメイン)における利用者アカウン 32 トやコンピュータなどへのアクセス権限などを一元的に管理し、利用者の 認証と利用権限許可を行うサーバコンピュータ)に管理用アカウントで接 続して、管理者権限を行使し、これを踏み台にして、多数の個人情報が保 存されたファイル共有サーバから、各種ファイルを圧縮して教育資料公開 サーバに収集、保存した。 エ MENETヘルプデスクの担当者は、平成30年3月16日、MENE Tの教育資料公開サーバへの不審なアクセスがされているログを確認し、 本件不正アクセスが発覚した。また、その後の調査により、同月30日、 児童、生徒、その保護者等に係る多数の個人情報が流出した可能性が非常 の教育資料公開サーバへの不審なアクセスがされているログを確認し、 本件不正アクセスが発覚した。また、その後の調査により、同月30日、 児童、生徒、その保護者等に係る多数の個人情報が流出した可能性が非常 に高いことが判明した。なお、流出した可能性のある個人情報の内容は、 平成24年度から平成29年度までに、前橋市の公立の小学校、中学校及 び特別支援学校に在籍した全ての児童生徒の給食費に関する4万7839 人のデータ(学年、組、出席番号、氏名、性別、生年月日、国籍、住所、 電話番号、保護者氏名、アレルギー、既往症等)や、同時期に前橋市立公 立学校(園)で給食を喫食していた園児児童生徒及び教職員の給食費の引 落口座情報2万8209件(銀行名、支店名、口座番号、預金者名、引落 金額、振替結果)である。 (以上につき、甲1、41、乙6、弁論の全趣旨) ⑸ その後のやり取り ア 原告は、平成30年3月26日、被告との打ち合わせにおいて、被告に 対し、原告において教育資料公開サーバ及び資料管理サーバについてデジ タルフォレンジックの手配を行ったため、被告もデジタルフォレンジック の手配をするよう催促した(乙3、弁論の全趣旨)。 イ MENET推進委員会委員のD(以下「D」という。)は、平成30年 3月29日、被告に対し、MENETは現在インターネットから切り離さ れた状態にあり、その復旧までの間、業務上のインターネット利用環境を 33 確保する必要があるため、原告市教委を含め各接続拠点に1ないし2台の インターネットに直接接続できる環境を用意してもらえないかといった内 容の電子メールを送信した(乙1)。 ウ Dは、平成30年5月18日及び同月23日、被告の担当者に対し、① 平成27年9月末日時点で納入されたMENETに係るシステムのファイ アウォールの といった内 容の電子メールを送信した(乙1)。 ウ Dは、平成30年5月18日及び同月23日、被告の担当者に対し、① 平成27年9月末日時点で納入されたMENETに係るシステムのファイ アウォールの設定は、基本設計で合意した通信制限が施されていた設定で はなく、個人情報保護ネットワークの個人情報を守る上で不適切な状態で あったこと、②平成28年1月8日に原告市教委からセキュリティ上の不 備を是正する指示を受けていたが、本件不正アクセスが発生するまで是正 していなかったこと、③同年6月に原告市教委からA県の個人情報漏えい 事件を受け、不正アクセスの安全確認を受けたが、ファイアウォールの設 定を含め、必要な実機の点検をせずに安全性に問題なしと回答したこと及 び④同年12月に原告市教委から別のセキュリティの不備を指摘されたが、 本件不正アクセスが発生するまで何ら対処をしていなかったことを確認す る旨の電子メールを送信した。これに対し、被告は、平成30年5月23 日、Dに対し、上記①については、そのとおりの認識であること、上記② については、ヘルプデスクと打ち合わせを行い、対処方針を原告市教委に 報告したまでにとどまっていたこと、上記③については、MENETの設 定が基本設計どおりの認識であったため、実機の点検を行うことなく、安 全性に問題ないとの回答をしたこと、上記④については、被告の委託業者 に確認を指示したまでにとどまっていたことを回答した。(甲17) ⑹ 被告の費用負担 ア 被告は、平成30年3月27日、株式会社Eとの間で、MENETのサ ーバのデジタルフォレンジックの業務委託契約を締結し、その後、同社か らフォレンジック報告書を受領し、同社に対し、その報酬として388万 8000円を支払った(乙4)。その後、被告は、原告に対し、同報告書 34 を交付し の業務委託契約を締結し、その後、同社か らフォレンジック報告書を受領し、同社に対し、その報酬として388万 8000円を支払った(乙4)。その後、被告は、原告に対し、同報告書 34 を交付した(弁論の全趣旨)。 イ 被告は、平成30年4月11日、F株式会社に対し、モバイルルータの 通信料として、合計563万4073円を支払った(乙2の1~11)。 その後、被告は、同月12日、原告市教委に対し、当該モバイルルータ等 を貸与した(乙10)。 ⑺ 本件不正アクセスに係る検証 ア 原告市教委は、本件不正アクセスの原因の究明及び再発防止策を検討さ せるため、本件委員会(前橋市学校教育ネットワークセキュリティ調査対 策検討委員会)を設置し、平成30年4月16日、本件委員会に対し、M ENETのシステム運用の経緯や本件不正アクセス発生後の初動における 問題点等を検証し、それらを踏まえ、本件不正アクセスの原因究明ととも に再発防止等を検討し、その結果を提言又は意見として報告書にまとめる ことを委嘱した(甲1)。 イ 本件委員会は、平成30年6月25日頃、同日付け検証報告書(甲1) により、本件不正アクセスの原因は、教育資料公開サーバの脆弱性の放置 及びファイアウォールの設定の不備に原因があったとの判断を示した。な お、同報告書には、MENET内の端末やファイル共有サーバには、本件 不正アクセスの原因となったものに限らず、それ以前からウイルスが存在 し、ウイルス対策ソフトで検知されたものがあったとの記載がある。 ⑻ 情報インシデントにおける対応についての文献の記載 ア 「サイバーセキュリティ法務」と題する書籍(甲50)では、インシデ ント対応の基本手順につき、①インシデント情報の検知、②インシデント 情報の分析(トリアージ)、③初動対応及び証 文献の記載 ア 「サイバーセキュリティ法務」と題する書籍(甲50)では、インシデ ント対応の基本手順につき、①インシデント情報の検知、②インシデント 情報の分析(トリアージ)、③初動対応及び証拠保全、④当局対応及び情 報開示、⑤原因分析及び再発防止、⑥事後対応(被害者への補償、被害回 復及び責任追及)と整理されている(141~142頁)。 イ Gが作成した「情報セキュリティセミナーインシデントマネジメント 35 (v1.0)」(甲26)では、インシデントの対応手順について、①組 織体内部のコミュニケーションや関連組織とのコミュニケーション、②暫 定的対応として、ネットワーク接続の切断、サービスの停止などを行うこ と、③本格的対応として、攻撃者にシステム特権を奪われてしまったとき は、悪意あるプログラムを仕掛けられていないことを検出し、それが存在 しないことを保証することは不可能に近く困難であることから、原則とし てクリーンなシステムを再構築する必要があり、信頼できるメディアから クリーンなシステムを再インストールし、修正プログラムを適用した上で、 設定ファイルの情報やデータをバックアップから復旧すること、④改善を 図ることとされている。 2 争点⑴ア(本件委託契約に基づく外部ファイアウォール及び内部ファイアウ ォールを適切に設定することにより通信制限を行うべき債務の不履行又は注意 義務違反(不法行為)の有無)について ⑴ 債務不履行の有無について ア 原告は、本件委託契約では、提案依頼書から基本契約書に至るまで一貫 してセキュリティ対策が重要視されているのであるから、被告は、同契約 において、個人情報保護ネットワークに保存されている個人情報を保護す るため、本件システムの提供に当たり、その外部ファイアウォール及び内 部ファイアウォールを適切 されているのであるから、被告は、同契約 において、個人情報保護ネットワークに保存されている個人情報を保護す るため、本件システムの提供に当たり、その外部ファイアウォール及び内 部ファイアウォールを適切に設定して通信制限を行う債務を負っていた旨 の主張をする。 そこで検討するに、上記1⑴で認定したところからも明らかなとおり、 ソフトウェアの開発に係る業務委託契約においては、契約締結の前後に提 案依頼書、提案書、要件定義書、基本設計書などをやり取りすることによ り委託業務の内容を確定していくものであるから、本件委託契約において 受託者である被告が負う債務の内容は、同契約の契約書の記載の内容のみ ならず、同契約の前後にやり取りがされた要件定義書や基本設計書などの 36 内容を総合的に考慮して確定すべきであると解するのが相当であるところ、 上記1⑴ア 、 、イ 、ウ 、エ及びオで認定したところによれば、本 件システムについて、①提案依頼書、提案書、要件定義書及び基本設計書 には、外部ファイアウォール及び内部ファイアウォールにより通信制限を 行うものと記載されていること、②設計方針及び基本設計書には、データ センター内理論接続図及び通信制限イメージにおいて、DMZネットワー クと個人情報保護ネットワークとをつなぐ通信経路が存在しないことがそ れぞれ認められ、これらの事実に加えて、③被告は、経験豊富な専門家を 多数擁する技術的セキュリティ対策チームによる総合的なセキュリティソ リューションを提供することを可能とする技術力を有していたことを併せ 考えると、被告は、本件委託契約において、DMZネットワークと個人情 報保護ネットワークとの間の通信経路を遮断するため、本件システムの提 供に当たり、その外部ファイアウォール及び内部ファイアウォールを適切 に設定して通信制限を 託契約において、DMZネットワークと個人情 報保護ネットワークとの間の通信経路を遮断するため、本件システムの提 供に当たり、その外部ファイアウォール及び内部ファイアウォールを適切 に設定して通信制限を行う債務を負っていたものと認めるのが相当である。 これに対し、被告は、原告が主張するような債務が契約書に明示されて いるわけではなく、適切に設定することによる通信制限を行う義務のよう な観念的抽象的な債務を負うものではない旨の主張をするが、上記に照ら し、同主張は採用することができない。 イ そして、①上記1⑴カのとおり、被告は、原告に対し、本件システムの 外部ファイアウォールをDMZネットワークから個人情報保護ネットワー クを含む全ての内部ネットワークへの全ての通信を許可するとの設定及び 内部ファイアウォールをDMZネットワークを含む全てのネットワークか らの個人情報保護ネットワークへの全ての通信を許可するとの設定とした まま、同システムを引き渡していること、②上記1⑸ウによれば、被告に おいて、このような設定が不適切であったこと自体は自認していたことが それぞれ認められ、これらの事実に加えて、本件記録を見ても、被告にお 37 いて、原告に対して外部ファイアウォール及び内部ファイアウォールを上 記①のように設定したまま本件システムを引き渡した理由について合理的 な理由がある旨の主張は見当たらないことを併せ考えると、被告には、本 件システムの外部ファイアウォール及び内部ファイアウォールを適切に設 定して通信制限を行う債務の不履行があるものと認めるのが相当である。 ⑵ 不法行為の成否について 本訴事件では、債務不履行に基づく損害賠償請求と不法行為に基づく損害 賠償請求とが選択的に主張されているが、附帯請求の起算日の違いにより不 法行為に基づく損 ⑵ 不法行為の成否について 本訴事件では、債務不履行に基づく損害賠償請求と不法行為に基づく損害 賠償請求とが選択的に主張されているが、附帯請求の起算日の違いにより不 法行為に基づく損害賠償請求の方が請求金額が高額となることから、不法行 為の成否についても判断する必要があると解されるところ、上記⑴イで説示 したところに照らせば、本件委託契約において、本件システムの提供に当た りその外部ファイアウォール及び内部ファイアウォールを適切に設定するこ とは、本件委託契約の付随的な義務ではなく、主たる給付義務の内容を構成 するもの、すなわち本来的債務そのものであると解するのが相当であるから、 本件は、単なる債務の不履行であり、不法行為を構成するものではないと解 するのが相当である。 3 争点⑴イ(本件保守契約に基づく外部ファイアウォール及び内部ファイアウ ォールの設定における通信制限の不備を修正すべき債務の不履行又は注意義務 違反(不法行為)の有無)について 原告は、被告には、本件保守契約に基づき、保守契約での対応を超えるもの であった場合を除き、本件システムの不備を修正すべき債務又は注意義務があ ったところ、その債務の不履行又は注意義務の違反がある旨の主張をする。 しかし、①原告において、被告が、本件不正アクセスが発覚する以前におい て、原告市教委から通信制限の不備を指摘され、修正の要求を受けていたにも かかわらず、不備を自ら確認することもなく放置したと主張する点については、 本件保守契約や保守手引書(甲5の1)の内容を見ても、その修正が本件保守 38 契約の対象となっているものか否かについては判然としないといわざるを得な いから、被告に債務不履行又は注意義務違反があると直ちには認められないし、 また、②原告において、被告が、他県での教 38 契約の対象となっているものか否かについては判然としないといわざるを得な いから、被告に債務不履行又は注意義務違反があると直ちには認められないし、 また、②原告において、被告が、他県での教育情報システムへの不正アクセス による個人情報漏えい事件に関連して、原告市教委から問い合わせを受けたに もかかわらず、システムの確認を怠ったと主張する点については、本件記録を 見ても、原告市教委が被告に対して具体的にどのような連絡をしたのかは判然 としないから、被告に債務不履行又は注意義務違反があると直ちには認められ ないし、さらに、③原告において、被告が、その後も、原告から上記②とは別 の通信制限の不備を指摘されたにもかかわらず、必要な措置を講じなかったと 主張する点についても、同様に、本件記録を見ても、原告が被告に対して具体 的にどのような連絡をしたのかは判然としないから、被告に債務不履行又は注 意義務違反があると直ちには認められず、結局、原告の上記⑴の主張は採用す ることができない。 4 争点⑴ウ(想定されるリスク及びその対策について適切な提案をすべき注意 義務違反(不法行為)の有無)について 原告は、被告を含む数社に対し、提案依頼書で「想定されるリスク及びその 対策について適切な提案を行うこと」が可能な事業者を募集し、これに対し、 被告が、提案書において、ISO27001及びISO9001の認証取得者 であることを強調し、原告の要求を十分に満たすことをアピールしたのである から、被告は、想定されるリスク及びその対策について適切な提案をすべき注 意義務がある旨の主張をする。 しかし、上記1⑴アで認定したところによれば、①原告は、被告を含む数社 に対し、提案依頼書により、想定されるリスク及びその対策について適切な提 案をすることを求めていること、②被告は 張をする。 しかし、上記1⑴アで認定したところによれば、①原告は、被告を含む数社 に対し、提案依頼書により、想定されるリスク及びその対策について適切な提 案をすることを求めていること、②被告は、原告に対し、提案書により、被告 が強固なセキュリティ対策を講じることができることやISO27001やI SO9001などを取得していることをあげて、安全・安心面をアピールして 39 いることがそれぞれ認められるが、これらの事実から直ちに、被告には、想定 されるリスク及びその対策について適切な提案をすることに係る具体的な注意 義務があったと認めることは困難というべきであるから、原告の上記⑴の主張 は採用することができず、被告につき不法行為の成立は認められない。 5 争点⑴エ(債務不履行又は不法行為と本件不正アクセスとの間の相当因果関 係の有無)について ⑴ 上記2ないし4で認定及び判断をしたところによれば、上記2⑴で認定し た本件委託契約の債務不履行と本件不正アクセスとの間の相当因果関係の有 無が問題となるところ、原告は、DMZネットワークから内部ネットワーク への侵入を外部ファイアウォール及び内部ファイアウォールにより遮断する ことが必須であるところ、そのファイアウォールの設定に不備があったため に本件不正アクセスが発生したのであるから、外部ファイアウォール及び内 部ファイアウォールの通信制限が適切に設定されなかったことと本件不正ア クセスの発生との間には因果関係がある旨の主張をする。これに対し、被告 は、本件不正アクセスは、原告が適切な管理を怠った教育資料公開サーバに 仕掛けられたバックドアにより管理者権限が行使されたことが原因であり、 外部ファイアウォール及び内部ファイアウォールにおける通信制限の設定と の因果関係はない旨の主張をする。 ⑵ そこ 開サーバに 仕掛けられたバックドアにより管理者権限が行使されたことが原因であり、 外部ファイアウォール及び内部ファイアウォールにおける通信制限の設定と の因果関係はない旨の主張をする。 ⑵ そこで検討するに、前提事実⑷イによれば、本件不正アクセスは、①ME NETの教育資料公開サーバにバックドアが仕掛けられたことと②本件シス テムにおける外部ファイアウォール及び内部ファイアウォールにおける通信 制限の設定が不適切であったことの両方の事象が相まって発生したものであ ることが認められるのであり、したがって、被告の債務不履行の結果である 上記②の事実がなければ、本件不正アクセスは発生しなかったということが できるのであるから、上記①の事実について原告に過失(教育資料公開サー バについて適切な管理を怠ったこと)があるか否かにかかわらず、被告の上 40 記の債務不履行と本件不正アクセスとの間には相当因果関係があると認める のが相当である。 ⑶ なお、被告の上記⑴の主張は、原告が本件システムの適切な管理を怠った ことから何者かによって教育資料公開サーバにバックドアが仕掛けられ管理 者権限が行使されたとの過失相殺の主張を含むものとも解されるが、仮にそ うであったとしても、本件記録を見ても、上記のバックドアが仕掛けられた 経緯や原因を具体的に認定するに足りる的確な証拠は見当たらないから、原 告の過失は認定できず、仮に被告が過失相殺の主張をしているとしても、同 主張は採用することができない。 6 争点⑴オ(原告の損害)について ⑴ デジタルフォレンジック対応業務委託料 918万円 証拠(甲19の1・2)及び弁論の全趣旨によれば、原告は、株式会社H (以下「H」という。)に対し、平成30年4月26日にデジタルフォレン ジック作業初期対応の費用として86 託料 918万円 証拠(甲19の1・2)及び弁論の全趣旨によれば、原告は、株式会社H (以下「H」という。)に対し、平成30年4月26日にデジタルフォレン ジック作業初期対応の費用として86万4000円を、平成30年5月31 日にデジタルフォレンジック対応の費用として831万6000円の合計9 18万円をそれぞれ支払ったことが認められるところ、原告は、不正アクセ スによる個人情報漏えいの可能性が発覚した場合、デジタルフォレンジック を行うことにより、情報漏えいの経路、規模、不正アクセスを行った者など の情報を保全しておくことは、事実確認の明確化として、社会通念上不可欠 とされており、また、これは個人情報の漏えいが結局確認されていないこと により、個人情報漏えいの有無等を調査する必要性がなくなるものではない から、これにかかった費用は、本件不正アクセスと相当因果関係のある損害 である旨の主張をする。 そこで検討するに、上記1⑻イで認定したところによれば、インシデント 対応の基本手順につき、①インシデント情報の検知、②インシデント情報の 分析(トリアージ)、③初動対応及び証拠保全、④当局対応及び情報開示、 41 ⑤原因分析及び再発防止、⑥事後対応(被害者への補償、被害回復及び責任 追及)と整理している書籍があり、本件記録を見ても、その内容の信用性を 疑わせる事情は特段見当たらないから、原告における上記①~⑥に該当する 対応にかかった費用については、相当と認められる範囲において、被告の債 務不履行を原因とする本件不正アクセスとの関係で相当因果関係のある通常 生ずべき損害(通常損害)と認めるのが相当である。 そして、原告が、Hに対し、本件不正アクセスの原因、個人情報の漏えい の有無、マルウェアの感染状況等の調査を委託したことは、その内容に照ら し、上 常 生ずべき損害(通常損害)と認めるのが相当である。 そして、原告が、Hに対し、本件不正アクセスの原因、個人情報の漏えい の有無、マルウェアの感染状況等の調査を委託したことは、その内容に照ら し、上記②のインシデント情報の分析や同③の初動対応及び証拠保全に該当 するものと認められ、本件不正アクセスが検知された後の対応として必要か つ相当な範囲のものといえるから、その委託にかかった上記の918万円の 費用は、被告の債務不履行との関係で相当因果関係のある通常生ずべき損害 と認めるのが相当である。 これに対し、被告は、個人情報の漏えいは結局確認されていない上、マル ウェアは原告の管理不十分によって仕掛けられたものであるから、被告が賠 償義務を負う損害とはいえない旨の主張をするが、個人情報の漏えいが確認 されなかったとの点については、上記の委託による調査の結果にすぎず、そ れをもって調査の必要性を否定できるものではないし、また、原告の管理不 十分との点については、上記5で認定及び判断をしたとおり、これを認める ことはできないから、被告の上記の主張はいずれも採用することができない。 ⑵ インシデント対応支援コンサルティング業務委託料 540万円 証拠(甲20)及び弁論の全趣旨によれば、原告は、平成30年5月31 日、Hに対し、インシデント対応支援コンサルティング業務の委託料として 540万円を支払ったことが認められるところ、原告は、本件不正アクセス のような大規模かつ重大なインシデントへの対応には、ネットワーク技術に 関する知識やインシデント発生時の対応についての専門的知識及び経験が必 42 要不可欠であるから、原告がHに対して原告が採るべき対応に係るコンサル ティング業務を委託したことによる上記の費用は、被告の債務不履行と相当 因果関係のある通 ての専門的知識及び経験が必 42 要不可欠であるから、原告がHに対して原告が採るべき対応に係るコンサル ティング業務を委託したことによる上記の費用は、被告の債務不履行と相当 因果関係のある通常損害である旨の主張をする。 そこで検討するに、上記の業務の委託は、その内容に照らし、上記⑴で認 定したインシデント対応の基本手順の③初動対応及び証拠保全並びに④当局 対応及び情報開示に係る対応に係るコンサルティング業務であると認められ、 また、本件システムの規模や本件不正アクセスの内容に照らし、原告におい て専門的知識や経験を前提としたコンサルティング業務を依頼することも合 理的であるというべきであるから、上記の540万円の費用は、被告の債務 不履行と相当因果関係のある通常損害と認めるのが相当である。 ⑶ 保護者・教職員宛て通知のための郵送料等 370万0766円 証拠(甲21、22の1・2)及び弁論の全趣旨によれば、原告は、園児、 児童、生徒の保護者(4万2983名)及び教職員関係者(1316名)宛 てに、本件不正アクセスに係る事情の説明、情報流出に関するコールセンタ ー設置の案内及び謝罪の通知文書を送付したが、その費用の支払として、① 丸菱紙工株式会社に対して窓空封筒の印刷費用として平成30年4月23日 頃に31万5900円を、②日本郵便株式会社に対して郵送料等として同年 5月頃に328万2424円及び同年6月頃に10万2442円をそれぞれ 支払ったことが認められるところ(以上の合計は370万0766円)、原 告は、本件不正アクセスにより個人情報が流出した可能性のある園児、児童、 生徒の保護者及び教職員関係者宛てに通知を発し、その経緯の説明や注意喚 起を図ることは市民への情報開示として必要な措置であることから、これに かかった郵送料等の費用は、被告の債務 能性のある園児、児童、 生徒の保護者及び教職員関係者宛てに通知を発し、その経緯の説明や注意喚 起を図ることは市民への情報開示として必要な措置であることから、これに かかった郵送料等の費用は、被告の債務不履行と相当因果関係のある通常損 害である旨の主張をする。 そこで検討するに、上記1⑷エで認定したとおり、本件不正アクセスによ り、児童、生徒、その保護者等に係る多数の個人情報が流出した可能性が非 43 常に高いことが判明したことに照らすと、原告が、上記⑴で認定したインシ デント対応の基本手順の④当局対応及び情報開示や⑥事後対応として、その 児童、生徒、保護者等及びその関係者に対して通知を発し、その経緯の説明 や注意喚起を図ることは必要かつ相当のものということができるから、上記 の370万0766円の費用は、被告の債務不履行と相当因果関係のある通 常損害と認めるのが相当である。 ⑷ 職員時間外勤務手当分等 455万8066円 証拠(甲42)及び弁論の全趣旨によれば、原告は、本件不正アクセスを 受けての対応として、個人情報の流出の可能性に不安を抱いた市民からの問 い合わせに対応するためのコールセンターを設置し、原告市教委の事務局職 員をして同センターの事務に従事させるとともに、同事務局職員をして上記 ⑶の通知文書の発出等の事務にも従事させたが、同事務局職員はこれらの事 務の遂行のために時間外労働を行わざるを得ず、これにより、原告は、同事 務局職員の時間外労働手当分及び週休日の振替等の対応により低下した労働 力分(振替休暇対応分については時間外手当が支給されたものとして算出) として合計455万8066円を支出ないし負担したことが認められるとこ ろ、原告は、上記の支出ないし負担は、被告の債務不履行と相当因果関係の ある通常損害に当たる旨の主張をする。 されたものとして算出) として合計455万8066円を支出ないし負担したことが認められるとこ ろ、原告は、上記の支出ないし負担は、被告の債務不履行と相当因果関係の ある通常損害に当たる旨の主張をする。 そこで検討するに、原告が、本件不正アクセスを受けての対応として、コ ールセンターを設置し、また、上記⑶の通知文書の発送をすることは、上記 ⑶で説示したとおり、必要かつ相当なものであると認められるから、そのた めに要した上記の455万8066円の支出ないし負担は、被告の債務不履 行と相当因果関係のある通常損害と認めるのが相当である。 ⑸ 第三者委員会委員報酬等 112万8560円 証拠(甲24)及び弁論の全趣旨によれば、原告は、本件不正アクセスを 受けての対応として、第三者委員会である本件委員会を設置し、平成30年 44 7月5日頃、同委員会の委員3名に対し、委員報酬及び委員旅費として合計 112万8560円を支払ったことが認められるところ、原告は、本件不正 アクセスが重大な事案であり、行政機関として市民に対して説明責任を負っ ていたところ、結論が恣意的にならないよう、MENETの関係者から独立 した本件委員会を設置して、事実関係の明確化の観点から、本件不正アクセ スの原因究明を行う必要があったのであるから、本件委員会の委員報酬及び 委員旅費は、被告の債務不履行と相当因果関係のある通常損害に当たる旨の 主張をする。 そこで検討するに、上記1⑷エで認定したところによれば、本件不正アク セスで流出した可能性のある個人情報は、センシティブな内容を含むもので あり、その情報流出の規模も大規模なものであったということができるから、 上記⑴で認定したインシデント対応の基本手順の②インシデント情報の分析、 ④当局対応及び情報開示並びに⑤原因分析及び再発防 もので あり、その情報流出の規模も大規模なものであったということができるから、 上記⑴で認定したインシデント対応の基本手順の②インシデント情報の分析、 ④当局対応及び情報開示並びに⑤原因分析及び再発防止を第三者的な視点か ら慎重に行うことは合理的であったということができるし、これに、本件不 正アクセスに係る原因分析などについては、その性質及び内容に照らし、専 門的な知見を要するものであることを併せ考えると、原告が本件不正アクセ スを受けて本件委員会を設置して事実確認を行ったことは合理的な措置とい うことができるから、そのために要した上記の112万8560円の費用は、 被告の債務不履行と相当因果関係のある通常生ずべき損害と認めるのが相当 である。 ⑹ 各種外部ネットワーク調査業務(Web調査)委託料 1107万円 証拠(甲25の1~11)及び弁論の全趣旨によれば、原告は、平成30 年5月頃から同年12月頃までにかけて、株式会社Iに対し、WebMon itor調査サービスの費用として、少なくとも1107万円を支払ってい ることが認められるところ、原告は、本件不正アクセスにより流出した情報 がインターネット上に存在するかどうか調査することは、市民に対する情報 45 開示及び事実関係の明確化に必要不可欠であり、また、その調査業務につい ては、原告の職員での対応は不可能であったことから、情報技術の専門家へ 委託する必要があったとして、原告が当該調査のために支出した上記の費用 は、被告の債務不履行と相当因果関係のある通常損害に当たる旨の主張をす る。 そこで検討するに、上記⑸アで認定したとおり、本件不正アクセスで流出 した可能性のある個人情報は、センシティブな内容を含むものであり、その 情報流出の規模も大規模なものであったということができるから、上記 こで検討するに、上記⑸アで認定したとおり、本件不正アクセスで流出 した可能性のある個人情報は、センシティブな内容を含むものであり、その 情報流出の規模も大規模なものであったということができるから、上記⑴で 認定したインシデント対応の基本手順の②インシデント情報の分析並びに④ 当局対応及び情報開示の観点から、流出した可能性のある情報がインターネ ット上に存在するか否かを調査する必要性は高いといえ、また、その調査の 性質上、専門的な知見を有する者に対して委託することも合理的であるとい うことができるから、上記の調査業務に要した1107万円の費用は、被告 の債務不履行と相当因果関係のある通常損害と認めるのが相当である。 ⑺ MENET校務系端末復旧作業業務委託料 3242万5380円 証拠(甲27)及び弁論の全趣旨によれば、原告は、平成30年5月14 日頃、B社に対し、MENETに接続されていた1892台の校務系PCの クリーンインストール(前橋市教育ネットワーク校務系端末復旧作業)の委 託費用として3242万5380円を支払ったことが認められるところ、原 告は、本件不正アクセスのように攻撃者にシステム特権を奪われた場合、今 日のコンピュータシステムは複雑であるから、悪意あるプログラムを仕掛け られていないことを保証することは不可能に近いため、引き続きコンピュー タを安全に利用するためには、クリーンなシステムを再構築する必要があり、 その方法として、信頼できるメディアからクリーンなシステムの再インスト ールをすることが合理的であるから、そのための費用は、被告の債務不履行 と相当因果関係のある通常損害に当たる旨の主張をする。 46 そこで検討するに、①上記1⑻イで認定したとおり、インシデントが起き た際の本格的な対応として、攻撃者にシステム特権を奪われた 当因果関係のある通常損害に当たる旨の主張をする。 46 そこで検討するに、①上記1⑻イで認定したとおり、インシデントが起き た際の本格的な対応として、攻撃者にシステム特権を奪われた場合には、悪 意あるプログラムを仕掛けられていないことを検出し、それが存在しないこ とを保証することは不可能に近く困難であることから、原則としてクリーン なシステムを再構築する必要があり、信頼できるメディアからクリーンなシ ステムを再インストールする必要があるとの記載がある資料があるところ、 本件記録を見ても、上記の資料について、その内容の信用性を疑わせるに足 りる的確な証拠は見当たらないことや、②上記1⑷ウのとおり、実際に、本 件不正アクセスにおいて、攻撃者は、本件システムの個人情報保護ネットワ ーク内に設置されたドメインコントローラサーバに管理用アカウントで接続 して、管理者権限を行使し、多数の個人情報が保存されたファイル共有サー バから各種ファイルを教育資料公開サーバに収集、保存したことが認められ ることに照らせば、原告が本件不正アクセスを受けての対応としてMENE Tに接続されていた1892台の校務系PCのクリーンインストールを行っ たことは、合理的かつ必要なことであったということができるから、そのた めに要した上記の3242万5380円の費用は、被告の債務不履行と相当 因果関係のある通常損害に当たると認めるのが相当である。 これに対し、被告は、本件不正アクセスの原因がバックドアと判明してい る以上、当該バックドアを取り除くことで足りる旨の主張をするが、上記で 説示したところに照らせば、バッグドアを取り除くだけでは足りないことは 明らかというべきであるから、被告の上記の主張は採用することができない。 また、被告は、仮にウイルスを除去するためにクリーンインスト 示したところに照らせば、バッグドアを取り除くだけでは足りないことは 明らかというべきであるから、被告の上記の主張は採用することができない。 また、被告は、仮にウイルスを除去するためにクリーンインストールが必 要であるとしても、本件不正アクセス以前に生じていたウイルスを除去する ためにもともと必要なものであり、被告の債務不履行とは無関係である旨の 主張もするところ、上記1⑺イで認定したところによれば、本件システムに は、本件不正アクセスの以前から、複数のウイルスが存在していたことが認 47 められるものの、本件記録を見ても、それらのウイルスに対処するためにク リーンインストールが必要であったというべき事情はうかがわれないから、 被告の上記の主張は採用することができない。 ⑻ MENET学習系端末復旧作業業務委託料 4349万8080円 証拠(甲28)及び弁論の全趣旨によれば、原告は、平成30年8月30 日、B社に対し、MENET学習系端末復旧作業業務(前橋市教育情報ネッ トワーク学習系端末等復旧作業)の委託費用として4349万8080円を 支払ったことが認められるところ、原告は、前橋市内の小中学校等では、学 習系端末として、学習用タブレットPCが各学校に41台と指導者用タブレ ットPCが各学級数分配備されており、これらもMENETに接続されてい たところ、これらのタブレットPCについても、本件不正アクセスにより悪 意のあるプログラムを仕掛けられた可能性があったから、児童生徒の学習の ために継続して安全に利用するため、合計3822台(学習用2844台、 指導者用978台)についてクリーンインストールを行う必要があったので あるから、これに要した費用は、被告の債務不履行と相当因果関係のある通 常損害に当たる旨の主張をする。 そこで検討するところ、 者用978台)についてクリーンインストールを行う必要があったので あるから、これに要した費用は、被告の債務不履行と相当因果関係のある通 常損害に当たる旨の主張をする。 そこで検討するところ、上記⑺で認定及び判断をしたのと同様に、本件不 正アクセスにおいて、本件システムの個人情報保護ネットワーク内に設置さ れたドメインコントローラサーバに管理用アカウントで接続して、管理者権 限を行使されたのであるから、それに接続されたタブレットPCについても クリーンインストールを行うことは必要な対応であったということができる から、これに要した上記の4349万8080円の費用は、被告の債務不履 行と相当因果関係のある通常損害に当たると認めるのが相当である。 ⑼ 連絡手段確保のためのノートPCリース代 248万6484円 証拠(甲29、30)及び弁論の全趣旨によれば、原告は、平成30年7 月頃、J株式会社に対し、インターネット環境の整備のための学校配備用ノ 48 ートパソコン賃貸借業務のリース料として238万7664円を支払い、ま た、平成30年6月25日頃、B社に対し、インターネット環境構築のため のPC回収・配布業務として9万8820円を支払ったことがそれぞれ認め られるところ(合計248万6484円)、原告は、上記につき、本件不正 アクセスが発覚した後の平成30年3月26日、MENET全体をインター ネットから完全切断したことから、同年4月16日から同年6月15日まで の2か月間、インターネットの利用できるリースのノートPCを各学校へ1 台ずつ配備して最低限の連絡手段を確保し、その後もMENET復旧の目途 が立たなかったことから、各学校で保管されていたリースアウトPC70台 を選別し、それらをクリーンインストールし、各学校に1台ずつ追加配備し たことに要 の連絡手段を確保し、その後もMENET復旧の目途 が立たなかったことから、各学校で保管されていたリースアウトPC70台 を選別し、それらをクリーンインストールし、各学校に1台ずつ追加配備し たことに要した費用であり、被告の債務不履行と相当因果関係のある通常損 害に当たる旨の主張をする。 そこで検討するに、前提事実⑵ア及び上記1⑻イによれば、①MENET は、インターネットへの接続を含めた市内各学校(園)、教育機関等を結ぶ 情報通信ネットワークであること、②インシデントの暫定的対応として、ネ ットワーク接続の切断、サービスの停止などを行うべきであることを指摘す る資料があることがそれぞれ認められ、これらの事実に加えて、本件記録を 見ても、上記②の資料について、その内容の信用性を疑わせるに足りる的確 な証拠は見当たらないことに照らせば、本件不正アクセスを受けての対応と して、原告が情報通信ネットワークであるMENETのネットワークをイン ターネットから切断しサービスを停止することは、必要なものであり、かつ、 これにより市内各学校(園)、教育機関等を結ぶ情報通信ネットワークが一時 的に遮断されるため、各学校への最低限の連絡手段の確保をして事業継続を 行うに当たって、上記のノートPCのリースやリースアウトPCのクリーン インストールを行うことは必要かつ相当なものであったということができる から、そのために要した上記の248万6484円の費用は、被告の債務不 49 履行と相当因果関係のある通常損害に当たると認めるのが相当である。 ⑽ MENET再構築に関する情報セキュリティ支援業務委託料 原告は、本件不正アクセスの発生により、MENETの再構築を余儀なく され、その際の安全性確保のためのシステム要件定義や設計等のセキュリテ ィ面に関し、外部専門家による ュリティ支援業務委託料 原告は、本件不正アクセスの発生により、MENETの再構築を余儀なく され、その際の安全性確保のためのシステム要件定義や設計等のセキュリテ ィ面に関し、外部専門家による総合的な技術支援を受ける必要があったこと から、それをHに委託し、その費用として218万8400円を支出したと し、これが被告の債務不履行と相当因果関係のある通常損害に当たる旨の主 張をする。 しかし、証拠(甲31)によれば、上記の支援業務の内容は、本件システ ムの内容や管理体制の再検討などの本件不正アクセスの再発防止を主眼とす るものであり、MENETの機能の追加又は増強に係るものと認めるのが相 当であり、これは、MENETを本件不正アクセス前の状態に戻すために必 要なものとはいえないから、被告の債務不履行と相当因果関係のある損害で あると認めることはできず、原告の上記の主張は採用することができない。 ⑾ MENET再構築業務委託料 1653万4886円 証拠(甲33、乙8)及び弁論の全趣旨によれば、原告は、平成31年1 月16日頃、被告に対し、MENET再構築業務の報酬として3913万9 200円を支払ったが、そのうちの2260万4314円は、MENETの 機能の追加又は増強に係る費用であったことが認められるところ、原告は、 本件不正アクセスの発生により、MENETの再構築を余儀なくされたとこ ろ、情報セキュリティ対策は日進月歩であり、数年前のシステムと同様のセ キュリティ対策では信頼の回復は困難であるから、システムの再構築をする に当たっては、その時点で文部科学省が求めるセキュリティ水準に合致する ように行う必要があり、また、同水準に合致するシステムの再構築は、本件 不正アクセスの被害者である園児、児童、生徒及びその保護者の不安を解消 するために必要 文部科学省が求めるセキュリティ水準に合致する ように行う必要があり、また、同水準に合致するシステムの再構築は、本件 不正アクセスの被害者である園児、児童、生徒及びその保護者の不安を解消 するために必要なものであったといえ、上記の3913万9200円の費用 50 の全額が、被告の債務不履行と相当因果関係のある通常損害である旨の主張 をする。 そこで検討するに、MENETを本件不正アクセス以前の状態に再構築す ること自体は、その内容に照らし、被告の債務不履行と相当因果関係のある 通常損害であることは明らかというべきであるが、他方で、上記⑽で説示し たのと同様に、MENETの機能の追加又は増強に関係する部分については、 被告の債務不履行と相当因果関係のある損害であると認めることはできない。 これに対し、原告は、本件におけるMENETの機能追加又は増強は、本 件不正アクセスによりMENETを急遽再構築する必要が生じたため、必要 となったものであり、また、仮に本件不正アクセス時において潜在的に同様 の機能追加又は増強が必要であったとしても、実際にそれを構築する時期は、 更新時期に新たに検討されて決まるものであって、少なくとも本件と同じ時 期に同様の機能追加又は増強が実施されることはなかった旨の主張をするが、 MENETの機能追加又は増強が、本件不正アクセスを契機として行われた ものであるとしても、本件不正アクセスの有無にかかわらず適時に必要とな るものであって、本件不正アクセスがなければその時期に必要がなかったと いう関係にはないから、原告の上記の主張は採用することができない。 以上によれば、次の計算式のとおり、原告のMENET再構築業務委託料 に係る損害は、1653万4886円の限度で認められるとするのが相当で ある。 (計算式) ができない。 以上によれば、次の計算式のとおり、原告のMENET再構築業務委託料 に係る損害は、1653万4886円の限度で認められるとするのが相当で ある。 (計算式) 3913万9200円-2260万4314円=1653万4886円 ⑿ C学校校内ネットワーク再構築業務委託料 原告は、C学校は独自のネットワークを構築していたところ、そのネット ワークがMENETと接続している状態であったことから、本件不正アクセ スにより、校内PCのクリーンインストールを行うとともに校内ネットワー 51 クの再構築を余儀なくされ、その費用として194万1602円を支出した とし、この費用は、被告の債務不履行と相当因果関係のある通常損害である 旨の主張をする。 しかし、独自のネットワークを構築していたC学校の機器については、そ のネットワークにも独自のセキュリティ機能があることが推認できることに 照らせば、そのネットワークがMENETと接続している状態であったとい うことから、直ちに、校内PCのクリーンインストールを行うとともに校内 ネットワークの再構築をする必要があったとまでは認め難いというべきであ り、その他、本件記録を見ても、その必要性があったことを認めるに足りる 的確な証拠は見当たらないから、原告の上記の主張は採用することができな い。 ⒀ 学校評価システム共有フォルダ利用型構築作業業務委託料 原告は、本件不正アクセスにより、MENETのデータセンター内にあっ た独立したサーバである学校評価システム共有フォルダ利用型が汚染された 可能性があったことから、サーバの再構築を行い、その費用として24万3 000円を支出したが、この費用は、被告の債務不履行と相当因果関係のあ る通常損害である旨の主張をする。 型が汚染された 可能性があったことから、サーバの再構築を行い、その費用として24万3 000円を支出したが、この費用は、被告の債務不履行と相当因果関係のあ る通常損害である旨の主張をする。 しかし、本件記録を見ても、独立したサーバ(DMZネットワークや個人 情報保護ネットワーク等から独立しているサーバ。甲8・6頁参照)である 学校評価システム共有フォルダ利用型の再構築が必要であるということを認 めるに足りる的確な証拠は見当たらないから、原告の上記の主張は採用する ことができない。 ⒁ 指導者用タブレットPC周辺機器購入費用 原告は、本件不正アクセス発生の後、MENETの再構築に伴い、校務系 ネットワークに接続する端末、学習系ネットワークに接続する端末の計2台 の端末の配置が必要となったところ、端末が複数になると作業効率が悪化す 52 ることから、2台の端末で一組のモニター、キーボード及びマウスの入出力 デバイスを共有できるように周辺機器を配備する方法により、本件不正アク セス前と同様の作業効率を確保したが、これに要した指導者用タブレットP C周辺機器購入費用424万2499円は、被告の債務不履行と相当因果関 係のある通常損害である旨の主張をする。 しかし、本件記録を見ても、上記のタブレットPC周辺機器がなければ従 来の作業効率を確保できないとの事実を認めるに足りる的確な証拠は見当た らないから、原告の上記の主張は採用することができない。 ⒂ DNSサーバ移行費用 原告は、本件不正アクセスによるMENETの再構築に伴い、DMZネッ トワークを撤去することとなり、同ネットワーク内にあったDNSサーバを 外部のクラウドサービスにおいて利用する必要が生じたとし、同サーバ移行 費用6万2640円は、被告の債務不履行と相当因果関係の ネッ トワークを撤去することとなり、同ネットワーク内にあったDNSサーバを 外部のクラウドサービスにおいて利用する必要が生じたとし、同サーバ移行 費用6万2640円は、被告の債務不履行と相当因果関係のある通常損害で ある旨の主張をする。 しかし、本件記録を見ても、本件不正アクセスを契機としてMENETを 再構築する際に、DMZネットワークを撤去する必要があったと認めるに足 りる的確な証拠は見当たらないから、原告の上記の主張は採用することがで きない。 ⒃ 弁護士費用 1299万8222円 原告が本訴事件の訴訟追行を弁護士に委任していることは、当裁判所に顕 著な事実である。 ところで、上記2⑵で説示したとおり、原告の被告に対する債務不履行に 基づく損害賠償請求は、本件委託契約の本来的債務の不履行を問題とするも のではあるが、同契約の内容は、MENETのデータセンターの移管設計及 び構築業務というものであり、その理解のためにはシステム開発に係るある 程度の専門的知見を要するものと認められる上、原告が求めている損害は、 53 いわゆる拡大損害であり、その主張立証に当たっても、同様にシステム開発 に係るある程度の専門的知見を要するものと認められるのであり、このよう な事案の内容に照らせば、本件は、弁護士に訴訟追行を委任しなければ十分 な訴訟活動をなしえないものであると認めるのが相当である。 そうであれば、原告が本訴事件の訴訟追行を弁護士に委任したことにより 要した弁護士費用は、事案の難易、請求額、認容された額その他諸般の事情 を斟酌して相当と認められる額の範囲内のものに限り、被告の債務不履行と 相当因果関係がある損害というべきであり、本件における上記の諸事情に照 らせば、被告の債務不履行と相当因果関係の弁護士費用に係る損害は、上記 ⑴ないし⑼及び る額の範囲内のものに限り、被告の債務不履行と 相当因果関係がある損害というべきであり、本件における上記の諸事情に照 らせば、被告の債務不履行と相当因果関係の弁護士費用に係る損害は、上記 ⑴ないし⑼及び⑾で認めた損害額の合計の1億2998万2222円の約1 割に相当する1299万8222円と認めるのが相当である。 ⒄ 以上によれば、原告の総損害額は、1億4298万0444円(1億29 98万2222円+1299万8222円)である。 7 争点⑴カ(被告の債務不履行に係る帰責事由の不存在)について 被告は、被告が原告に対して納品した完成図書には、外部ファイアウォール 及び内部ファイアウォールについて実際にされた設定が記載されており、原告 はその設定について了解ないし認識していたし、また、原告には本件委託契約 の9条の規定に基づき検査をする義務があったのであり、原告は上記の了解な いし認識のもと完成図書を検収していたのであるから、被告の債務不履行につ いて、被告に責めに帰すべき事由はない旨の主張をする。 そこで検討するに、証拠(甲45、46の1・2)及び弁論の全趣旨によれ ば、被告は、平成27年9月30日、原告に対し、本件システムを納品した際、 完成図書のデータも納品したが、その完成図書には、本件システムの外部ファ イアウォールにつき、DMZネットワークから個人情報保護ネットワークを含 む全ての内部ネットワークへの全ての通信を許可するとの設定になっており、 同内部ファイアウォールにつき、DMZネットワークを含む全てのネットワー 54 クからの個人情報保護ネットワークへの全ての通信を許可するとの設定になっ ているという、そのまま使用するには不適切な設定になっていることが記載さ れていたことが認められる。 そして、証拠(乙11)及び弁論の全趣旨に 報保護ネットワークへの全ての通信を許可するとの設定になっ ているという、そのまま使用するには不適切な設定になっていることが記載さ れていたことが認められる。 そして、証拠(乙11)及び弁論の全趣旨によれば、一般に、ソフトウェア に係るシステムの引渡しを受ける際の検査に当たり、依頼者は、同システムが その要求する要件を満足するか否かのチェックをすべきであるということはで きるものの、他方で、証拠(甲45、46の1・2)によれば、本件システム の完成図書は、大部であり、かつ、コンピュータ言語で記載されているもので あることが認められるのであり、そのような本件システムの完成図書の交付を 受けた者がその全体を見て本件システムが自らの要求を満たすものであるか否 かを確認することは現実的に困難であり、不可能に等しいものというべきであ る。 しかも、上記1⑴で認定したとおり、本システムについて、①提案依頼書、 提案書、要件定義書及び基本設計書には、外部ファイアウォール及び内部ファ イアウォールにより通信制限を行うものと記載されていること、②設計方針及 び基本設計書には、データセンター内理論接続図及び通信制限イメージにおい て、DMZネットワークと個人情報保護ネットワークとをつなぐ通信経路が存 在しないことに照らせば、原告において、被告から提供された本件システムに おいて、外部ファイアウォール及び内部ファイアウォールが上記のように不適 切な設定になっていることは想定し難い事実であったということもできる。 以上のほか、原告と被告との間のコンピュータシステムの構築などの専門性 には相当の格差があることは、当裁判所に顕著な事実であり、このことを併せ 考えると、被告が原告に対して本件システムを引き渡した時点において、原告 に対してファイアウォールの不適切な設定について告知ないし説明をしていた があることは、当裁判所に顕著な事実であり、このことを併せ 考えると、被告が原告に対して本件システムを引き渡した時点において、原告 に対してファイアウォールの不適切な設定について告知ないし説明をしていた というのであれば格別、そうでない以上、被告に責めに帰すべき事由がないと いうことはできないというべきであり、被告の上記の主張は採用することがで 55 きない。 8 争点⑴キ(責任限定契約の適用の有無)について 被告は、原告との間で、平成27年5月11日、本件委託契約の17条の規 定により、同契約における被告の損害賠償責任の範囲につき、契約金額を限度 として現実に生じた通常の直接損害を賠償するものとする旨の契約(本件責任 限定契約)をしており、被告が賠償すべき損害は、本件委託契約の契約金額で ある1億0480万0500円が限度となる旨の主張をする。 そこで検討するに、本件委託契約の17条は、ソフトウェアの開発に係る契 約に関連して生じる損害額が、その契約の性質上、想定外に多額に上るおそれ があることから、被告が原告に対して負うべき損害賠償金額を契約金額の範囲 内に制限し、被告はそれを前提として当該契約の金額を設定できるという意味 で一定の合理性がある約定であるということはできるが、他方で、被告が、権 利・法益侵害の結果について故意又は重過失がある場合にまで、当該条項によ って被告の損害賠償義務の範囲が制限されるということは著しく衡平を害する ものであり、当事者の通常の意思に合致していないというべきであるから、本 件委託契約の17条は、被告に故意又は重過失がある場合には適用されないと 解するのが相当である(東京地裁平成26年1月23日判決・判例時報222 1号71頁参照)。 そして、上記2及び7で認定及び判断をしたところによれば、被告は、原告 失がある場合には適用されないと 解するのが相当である(東京地裁平成26年1月23日判決・判例時報222 1号71頁参照)。 そして、上記2及び7で認定及び判断をしたところによれば、被告は、原告 との間で、本件委託契約の前後における提案依頼書、提案書、要件定義書、設 計方針及び基本設計書において、外部ファイアウォールないし内部ファイアウ ォールによる外部からのアクセス制限を行うことを複数回にわたって確認して いたことが認められるから、被告が原告に対して不適切な設定のまま本件シス テムを引き渡したことは、単純かつ明白なミスであるというべきであり、かつ、 被告が情報セキュリティについて高度な専門的知見を有していることを併せ考 えると、被告には本件委託契約の債務不履行について少なくとも重過失がある 56 ことは明らかというべきである。 以上によれば、原告の被告に対する本件委託契約の債務不履行に基づく損害 賠償請求に係る損害額について、本件委託契約の17条の規定を適用すること はできないから、被告の上記の主張は採用することができない。 9 本訴事件のまとめ 以上によれば、本訴事件のうち原告の被告に対する債務不履行に基づく損害 賠償請求は、損害賠償金1億4298万0444円及びこれに対する請求の日 の翌日である平成31年1月29日から支払済みまで平成29年法律第45号 による改正前の商事法定利率年6分の割合による遅延損害金の支払を求める限 度で理由があり、その余は理由がなく、また、本訴事件のうち原告の被告に対 する不法行為に基づく損害賠償請求は理由がない。 10 争点⑵ア (原告と被告との間の準委任契約の成否)について 被告は、原告が、被告に対し、①各教育機関に配布したノートPCをインタ ーネットに接続するためのモバイルルータを手配する い。 10 争点⑵ア (原告と被告との間の準委任契約の成否)について 被告は、原告が、被告に対し、①各教育機関に配布したノートPCをインタ ーネットに接続するためのモバイルルータを手配すること、②デジタルフォレ ンジックを行うこと、③各教育機関に設置されたネットワーク対応HDのクレ ンジング作業を行うことの各事務を委託した旨の主張をする。 しかし、上記①については、上記1⑸イによれば、MENET推進委員会委 員のDが、被告に対し、各教育機関に1ないし2台のインターネットに直接接 続できる環境を用意してもらえないかといった内容のメールをしていることは 認められるものの、Dが原告の正式な職員でないとの点を措いて考えたとして も、上記のメールの内容に照らせば、同メールの送信のみで受任者による費用 等の償還請求義務を負うことなどを前提とした準委任契約の申込みとまで認め ることはできないというべきである。 また、上記②については、上記1⑸アによれば、原告は、被告との打ち合わ せにおいて、被告に対し、デジタルフォレンジックの手配をするよう催促した ことが認められるものの、上記と同様にそれのみで準委任契約の申込みがあっ 57 たと認めるには足りないというべきである。 さらに、上記③については、本件記録を見ても、原告が被告に対して各教育 機関に設置されたネットワーク対応HDのクレンジング作業の事務を委託した と認めるに足りる的確な証拠は見当たらない。 以上によれば、上記①ないし③のいずれについても準委任契約の成立は認め られず、被告の上記の主張はいずれも採用することができない。 11 反訴事件の主位的請求のまとめ 上記10で認定及び判断をしたところによれば、争点⑵ア について判断する までもなく、反訴事件のうち被告の原告に対する主位的請求(準 することができない。 11 反訴事件の主位的請求のまとめ 上記10で認定及び判断をしたところによれば、争点⑵ア について判断する までもなく、反訴事件のうち被告の原告に対する主位的請求(準委任契約に基 づく費用等償還請求)は理由がない。 12 争点⑵イ (営業の範囲内における他人のための行為の有無及び当該行為の 相当費用の額)について 被告は、自らの営業の範囲内において、原告のために、モバイルルータの手 配、MENETサーバのフォレンジック及びNASクレンジング作業を行い、 その報酬は、当該各作業に現に要した費用である1159万3184円を下ら ない旨の主張をする。 そこで検討するに、上記1⑸イによれば、Dは、被告に対し、各教育機関に 1ないし2台のインターネットに直接接続できる環境を用意してもらえないか といった内容のメールをしているところ、証拠(甲54、乙1、9)によれば、 DがMENET推進委員会の委員として、本件不正アクセスに係る対応につい て、原告市教委と被告の職員らが参加する打ち合わせや被告との連絡などを自 ら行っていることが認められることからすれば、Dは少なくとも原告側の立場 の者であるという外見を有していたということができる。また、上記1⑸アに よれば、原告は、被告との打ち合わせにおいて、被告に対し、デジタルフォレ ンジックの手配を催促したことがそれぞれ認められる。そして、上記1⑹によ れば、被告は、実際にモバイルルータを手配し、MENETサーバのデジタル 58 フォレンジックを行っていることが認められる。以上によれば、被告は、上記 のような依頼を踏まえて、その営業の範囲内において、原告のために、モバイ ルルータの手配やMENETサーバのフォレンジックを行ったものと認められ るから、これらのために要した費用の金額は 、被告は、上記 のような依頼を踏まえて、その営業の範囲内において、原告のために、モバイ ルルータの手配やMENETサーバのフォレンジックを行ったものと認められ るから、これらのために要した費用の金額は、少なくとも相当報酬の金額に当 たると認めるのが相当である。 そして、上記1⑹で認定したところ及び証拠(乙2の1~11、乙4)によ れば、被告は、平成30年5月頃から平成31年4月頃までにかけて、F株式 会社に対し、原告に提供したモバイルルータの通信料として合計563万40 73円を支払い、また、平成30年3月26日、株式会社Eに対し、MENE Tサーバのフォレンジック調査業務を委託し、同年4月13日頃、その報酬と して388万8000円を支払ったことがそれぞれ認められ、これらの合計9 52万2073円をもって相当の報酬の金額と認めるのが相当である。 他方で、被告は、NASクレンジング作業を行った旨の主張をするが、本件 記録を見ても、そのような事実を認めるに足りる的確な証拠は見当たらないか ら、被告の上記の主張は採用することができない。 13 争点⑵イ (無償で行うことの合意の成否)について 原告は、原告と被告は、被告がモバイルルータの手配、MENETサーバの デジタルフォレンジックを無償で行うとの合意をした旨の主張をする。 しかし、上記12で認定及び判断したとおり、相当な報酬の算定の基礎となる 費用も相当程度高額である上に、本件記録を見ても、原告と被告との間でモバ イルルータの手配及びMENETサーバのフォレンジックを無償で行うとの合 意をしたと認めるに足りる的確な証拠は見当たらないから、原告の上記の主張 は採用することができない。 14 反訴事件の予備的請求のまとめ 上記12及び13で認定及び判断をしたところによれば、反訴事件のうち被 に足りる的確な証拠は見当たらないから、原告の上記の主張 は採用することができない。 14 反訴事件の予備的請求のまとめ 上記12及び13で認定及び判断をしたところによれば、反訴事件のうち被告の 原告に対する予備的請求(商法512条の規定に基づく報酬請求)は、報酬9 59 52万2073円及びこれに対する請求をした日の翌日である平成31年4月 10日から支払済みまで平成29年法律第45号による改正前の商事法定利率 年6分の割合による遅延損害金の支払を求める限度で理由があり、その余は理 由がない。 第4 結論 よって、主文のとおり判決する。 前橋地方裁判所民事第2部 裁判長裁判官 杉 山 順 一 裁判官 板 野 俊 哉 裁判官 竹 内 峻
▼ クリックして全文を表示