主文 1 被告は、原告に対し、1億4298万0444円及びこれに対する平成31年1月29日から支払済みまで年6分の割合による金員を支払え。 2 原告のその余の本訴請求を棄却する。 3 原告は、被告に対し、952万2073円及びこれに対する平成31年4月10日から支払済みまで年6分の割合による金員を支払え。 4 被告のその余の反訴請求を棄却する。 5 本訴事件の訴訟費用は、これを100分し、その18を原告の負担とし、その余は被告の負担とし、反訴事件の訴訟費用は、これを100分し、その18を被告の負担とし、その余は原告の負担とする。 6 この判決は、第1項及び第3項に限り、仮に執行することができる。 事実 及び理由第1 請求 1 本訴事件⑴ 被告は、原告に対し、1億7735万6440円及びこれに対する平成31年1月29日から支払済みまで年6分の割合による金員を支払え。 ⑵ 被告は、原告に対し、1億7735万6440円及びこれに対する平成27年9月30日から支払済みまで年5分の割合による金員を支払え。 2 反訴事件原告は、被告に対し、1159万3184円及びこれに対する平成31年4月10日から支払済みまで年6分の割合による金員を支払え。 第2 事案の概要 1 原告は、被告との間で、平成27年5月21日、前橋市情報教育ネットワーク(MaebashiEducationNETwork。以下「MENET」という。)のデータセンターの移管設計及び構築業務に係る委託契約(以下「本件委託契約」という。)を締結し、その後、同年10月1日、同デ ータセンターの移管保守業務に係る委託契約(以下「本件保守契約」という。)を締結した。その 構築業務に係る委託契約(以下「本件委託契約」という。)を締結し、その後、同年10月1日、同デ ータセンターの移管保守業務に係る委託契約(以下「本件保守契約」という。)を締結した。その後、何者かが、MENETの教育資料公開サーバにバックドア(ソフトウェアやシステムの一部として利用者に気付かれないよう秘密裏に仕込まれた正規の利用者認証やセキュリティ対策などを回避してこっそり遠隔操作するための窓口)を設置し、更に、何者かが、平成29年12月中旬頃から、上記のバックドアを利用して、上記のサーバ経由で内部ネットワークに侵入するようになり、不正ツールを保存し、更に、何者かが、平成30年3月6日、多数の個人情報が保存されたファイル共有サーバから、各種ファイルを圧縮して教育資料公開サーバに収集、保存するなどしたこと(以下「本件不正アクセス」という。)により、多数の個人情報が流出した可能性が高いことが判明した。 本訴事件は、原告が、本件委託契約の受託者である被告には、MENETのデータセンターの移管設計及び構築業務を行うに当たり、ファイアウォール(管理者等が定めたルールに基づいて、ネットワークの間の通信を「許可」したり「拒否」したりする機能を有し、外部からの不正アクセスや攻撃を感知し、それらの記録を保存するセキュリティ機器)を適切に設定することにより通信制限を行う債務ないし注意義務があったにもかかわらず、被告がこれを怠り、これにより本件不正アクセスを許す事態となり、これに対応するために原告に多額の損害が生じたなどと主張して、選択的に、被告に対し、①債務不履行による損害賠償請求権に基づき、損害賠償金1億7735万6440円(ただし、請求原因として主張している損害の金額の合計は1億7733万7990円である。)及びこれに対する損害賠償の履 、①債務不履行による損害賠償請求権に基づき、損害賠償金1億7735万6440円(ただし、請求原因として主張している損害の金額の合計は1億7733万7990円である。)及びこれに対する損害賠償の履行の請求をした日の翌日である平成31年1月29日から支払済みまで平成29年法律第45号による改正前の商事法定利率年6分の割合による遅延損害金の支払、又は、②不法行為による損害賠償請求権に基づき、損害賠償金1億7735万6440円(同上)及びこれに対する上記の業務に係るシステムを納品した日である平成27年9月30日 から支払済みまで平成29年法律第44号による改正前の民法所定の年5分の割合による遅延損害金の支払を求めた事案である。 反訴事件は、被告が、原告は被告に対してモバイルルータの手配、MENETサーバのデジタルフォレンジック及び各教育機関に設置されたネットワーク対応HDのクレンジング作業という各事務を委託し、被告がその各事務を処理するに当たり、モバイルルータ通信料563万4073円、MENETサーバ解析費用388万8000円及びNASクレンジング作業費用207万1111円の各費用が生じたと主張して、原告に対し、①主位的に、準委任契約による費用等の償還請求権に基づき、上記の各費用の合計1159万3184円及びこれに対する当該費用を請求した日の翌日である平成31年4月10日から支払済みまで平成29年法律第45号による改正前の商事法定利率年6分の割合による遅延損害金の支払を求め、②予備的に、商法512条の規定による商人の相当報酬請求権に基づき、報酬1159万3184円及びこれに対する上記と同様の遅延損害金の支払を求めた事案である。 2 前提事実(当事者間に争いがないか、後掲各証拠及び弁論の全趣旨により容易に認められる事実 権に基づき、報酬1159万3184円及びこれに対する上記と同様の遅延損害金の支払を求めた事案である。 2 前提事実(当事者間に争いがないか、後掲各証拠及び弁論の全趣旨により容易に認められる事実)⑴ 当事者等ア原告は、普通地方公共団体である。 イ被告は、東日本地域において行う地域電気通信業務及びこれに附帯する業務を営むことや、そのために保有する設備若しくは技術又はその職員を活用して行う電気通信業務その他の業務などを目的とする株式会社である。 ⑵ MENETの移管設計及び構築に係る業務ア MENETは、平成10年頃に設立されたインターネットへの接続を含めた前橋市内の各学校(園)や教育機関等を結ぶ情報通信ネットワークであり、設立後も順次機能の拡充が図られている(甲1~3)。 イ原告は、被告に対し、平成27年5月21日、MENETのデータセン ター(サーバやネットワーク機器などのIT機器を設置及び運用する施設や建物)の移管設計及び構築に係る業務を、納期を同年9月30日とし、業務委託料を1億0480万0500円(税別)として、委託した(本件委託契約。甲4の1・2)。 ウ被告は、平成27年9月30日、本件委託契約に係る業務を完了した旨の報告をした上で、同業務により構築したシステム(以下「本件システム」という。)及びその完成図書を納品し、これに対し、原告は、同日、被告に対し、同業務について検査に合格した旨を通知した(甲11、12、45)。 なお、本件システムは、被告が原告に対して納品した時点において、①外部ファイアウォール(インターネット(外部)とDMZネットワーク(外部ネットワークと内部ネットワークの間に設置されるネットワーク)との間、DMZネットワークと内部ネットワー 品した時点において、①外部ファイアウォール(インターネット(外部)とDMZネットワーク(外部ネットワークと内部ネットワークの間に設置されるネットワーク)との間、DMZネットワークと内部ネットワークとの間及びネットワーク(外部)と内部ネットワークとの間に設置されるファイアウォール)につき、DMZネットワークから個人情報保護ネットワークを含む全ての内部ネットワークへの全ての通信を許可するとの設定がされており、また、②内部ファイアウォール(内部ネットワークと個人情報保護ネットワークとの間に設置されるファイアウォール)につき、DMZネットワークを含む全てのネットワークからの個人情報保護ネットワークへの全ての通信を許可するとの設定がされていた(甲1、弁論の全趣旨)。 ⑶ MENETの保守業務原告は、被告に対し、平成27年10月1日、委託期間を同日から平成32年(令和2年)9月30日までの5年間とし、契約金額を月額100万円(税別)として、MENETのデータセンターの移管保守に係る業務を委託した(本件保守契約。甲5の1・2)。 ⑷ 本件不正アクセス ア平成30年3月16日、MENETの公開用サーバへの不正アクセスが確認され、その後の調査により、同月30日、児童、生徒、その保護者等に係る多数の個人情報が流出した可能性が高いことが判明した(甲1、乙6、弁論の全趣旨)。 イ本件不正アクセスは、①MENETの教育資料公開サーバにバックドアが仕掛けられたことと、②上記⑵ウに記載したファイアウォールの設定とが相まって発生したものである(争いがない)。 ⑸ 履行の請求ア原告は、平成31年1月25日頃、被告に対し、原告が被告に対して本件不正アクセスの対応等により生じた損害の賠償を請求する旨 相まって発生したものである(争いがない)。 ⑸ 履行の請求ア原告は、平成31年1月25日頃、被告に対し、原告が被告に対して本件不正アクセスの対応等により生じた損害の賠償を請求する旨の同日付け「ご連絡」と題する書面(甲40)を発送し、同書面は、同月28日、被告に到達した。 イ被告は、平成31年4月9日、原告に対し、同日付け「請求書」と題する書面(乙5)により、各学校等のモバイルルータ通信料563万4073円、MENETのサーバ解析費用388万8000円及び各教育機関のNASクレンジング作業費用207万1111円の合計1159万3184円の支払を請求した(争いがない)。 3 争点⑴ 本訴事件ア本件委託契約に基づく外部ファイアウォール及び内部ファイアウォールを適切に設定することにより通信制限を行うべき債務の不履行又は注意義務違反(不法行為)の有無イ本件保守契約に基づく外部ファイアウォール及び内部ファイアウォールの設定における通信制限の不備を修正すべき債務の不履行又は注意義務違反(不法行為)の有無ウ想定されるリスク及びその対策について適切な提案をすべき注意義務違 反(不法行為)の有無エ債務不履行又は不法行為と本件不正アクセスとの間の相当因果関係の有無オ原告の損害カ被告の債務不履行に係る帰責事由の不存在(抗弁)キ責任限定契約の適用の有無(抗弁)⑵ 反訴事件ア主位的請求(準委任契約に基づく費用等の償還請求)原告と被告との間の準委任契約の成否 被告の準委任に係る事務を処理するのに必要な費用の額イ予備的請求(商法512条の規定に基づく報酬請求権) 営業の範囲内における他人のた 告との間の準委任契約の成否 被告の準委任に係る事務を処理するのに必要な費用の額イ予備的請求(商法512条の規定に基づく報酬請求権) 営業の範囲内における他人のための行為の有無及び当該行為の相当費用の額 無償で行うことの合意の成否(抗弁) 4 争点に関する当事者の主張の要旨⑴ 争点⑴ア(本件委託契約に基づく外部ファイアウォール及び内部ファイアウォールを適切に設定することにより通信制限を行うべき債務の不履行ないし注意義務違反(不法行為)の有無)(原告の主張)ア本件委託契約では、提案依頼書から基本契約書に至るまで一貫してセキュリティ対策が重要視されているのであるから、被告は、同契約において、個人情報保護ネットワークに保存されている個人情報を保護するために、本件システムの提供に当たり、その外部ファイアウォール及び内部ファイアウォールを適切に設定して通信制限を行う債務ないし注意義務を負っていた。 イしかるに、被告は、外部ファイアウォールの設定において、DMZネッ トワークから個人情報保護ネットワークを含む全ての内部ネットワークへの全ての通信を許可し、また、内部ファイアウォールの設定においても、DMZネットワークを含む全てのネットワークから個人情報保護ネットワークへの全ての通信を許可する設定のまま、原告に本件システムを提供したのであるから、被告には、本件委託契約の債務不履行ないし注意義務違反がある。 (被告の主張)ア原告の主張アは、否認ないし争う。原告が主張するような債務が契約書に明示されているわけではなく、「ファイアウォールを適切に設定することによる通信制限を行う債務ないし注意義務」のような観念的抽象的な債務を負うものではない。 う。原告が主張するような債務が契約書に明示されているわけではなく、「ファイアウォールを適切に設定することによる通信制限を行う債務ないし注意義務」のような観念的抽象的な債務を負うものではない。 イ引渡時の本件システムの設定につき、外部ファイアウォールについて、DMZネットワークから全ての内部ネットワークへの全ての通信が許可されていたこと、内部ファイアウォールについて、全てのネットワークからの個人情報保護ネットワークへの全ての通信が許可されていたことは認める。 ⑵ 争点⑴イ(本件保守契約に基づく外部ファイアウォール及び内部ファイアウォールの設定における通信制限の不備を修正すべき債務の不履行又は注意義務違反(不法行為)の有無)(原告の主張)ア被告は、自己が移管設計及び構築したシステムについて、ファイアウォールの設定による通信制限に不備があり、原告から不備について修正の要求があった場合には、本件保守契約に基づき、これを修正すべき債務又は注意義務を負っていた。すなわち、原告は、同契約に基づき、被告に対し、被告が管理する機器について、安全性に問題が生じ得る何らかの不備が存在しないか確認することの依頼をすることができるにとどまるものではな く、仮に安全性に問題が生じる何らかの不備があればその旨を原告に報告した上で、それが同契約での対応を超えるものであった場合を除き、同契約に基づいて被告に対してその不備の修正を要求することができることまでが含まれていた。したがって、被告は、安全性に問題が生じ得る何らかの不備がないか確認し、存在すれば、その旨を原告に報告した上で、それが本件保守契約での対応を超えるものであった場合を除き、同契約に基づいてその不備を修正する債務又は注意義務を負っていたものである。 イ か確認し、存在すれば、その旨を原告に報告した上で、それが本件保守契約での対応を超えるものであった場合を除き、同契約に基づいてその不備を修正する債務又は注意義務を負っていたものである。 イしかるに、被告は、①本件不正アクセスが発覚する以前において、前橋市教育委員会(以下「原告市教委」という。)から通信制限の不備を指摘され、修正の要求を受けていたにもかかわらず、不備を自ら確認することもなく放置し、また、②他県での教育情報システムへの不正アクセスによる個人情報漏えい事件に関連して、原告市教委から問い合わせを受けたにもかかわらず、システムの確認を怠り、さらに、③その後も、原告から上記とは別の通信制限の不備を指摘されたにもかかわらず、必要な措置を講じなかったのであるから、被告には、本件保守契約の債務不履行ないし注意義務違反がある。 (被告の主張)ア原告の主張アは、認める。 イ同イは否認ないし争う。本件保守契約の約款6条(甲5の1)は、「乙(被告)は、処理した又は処理中の業務が仕様書又は図面に適合しない場合において、甲(原告)がその修正を要求したときは、これに従わなければならない。」とする。本件で、原告が指摘した事項は、同契約の約款6条に定める仕様書(甲5の2)又は図面に定められたものではなく、当該事項について修正することは同契約上の被告の義務ではない。 また、被告は、①原告からの問い合わせに対してその詳細を確認したが、原告から何ら回答がなかったことから対応することができなかったもので あり、原告から修正を要求されたにもかかわらず具体的な是正措置を採らなかったものではないし、②他県(A県)での教育情報システムへの不正アクセスに関連する形で安全性の確認を依頼されたことはないし、③その後の原告から 正を要求されたにもかかわらず具体的な是正措置を採らなかったものではないし、②他県(A県)での教育情報システムへの不正アクセスに関連する形で安全性の確認を依頼されたことはないし、③その後の原告からの別の指摘については、株式会社B(以下「B社」という。)の業務としてファイアウォールに関する設定変更が行われたことから、設定情報が分からなくなり、被告は保守作業を行うことができなくなったものである。 ⑶ 争点⑴ウ(想定されるリスク及びその対策について適切な提案をすべき注意義務違反(不法行為)の有無)(原告の主張)ア原告は、被告を含む数社に対し、提案依頼書(甲6)で「想定されるリスク及びその対策について適切な提案を行うこと」が可能な事業者を募集し、被告が、これに応じ、原告に対し、提案書(甲7)において、ISO27001及びISO9001の認証取得者であることを強調し、原告の上記の募集に係る要求を十分に満たすことをアピールしたのであるから、被告は、想定されるリスク及びその対策について適切な提案をすべき注意義務を負っていた。 イ本件システムには、外部ファイアウォール及び内部ファイアウォールの設定が基本設計書等と異なる設定になっていることにより、DMZネットワークから内部ネットワーク(個人情報保護ネットワークを含む。)への不正アクセスを許す可能性があるというリスクを想定できたのであるから、被告は、そのリスクを避けるため、原告に対し、当該ファイアウォールの設定を修正するよう提案すべき注意義務があったにもかかわらず、これを怠った。 (被告の主張)原告の主張は否認ないし争う。原告が作成した提案依頼書に記載されてい る内容が被告の義務となるものではないし、他の契約書などを見ても、被告がI った。 (被告の主張)原告の主張は否認ないし争う。原告が作成した提案依頼書に記載されてい る内容が被告の義務となるものではないし、他の契約書などを見ても、被告がISO27001及びISO9001に従ったマネジメントを行う義務を負うとの記載はない。また、被告は、原告に対し、想定されるリスク及びその対策について適切な提案をすべき義務という観念的抽象的な注意義務を負うものでもない。 ⑷ 争点⑴エ(債務不履行又は不法行為と本件不正アクセスとの間の相当因果関係の有無)(原告の主張)本件不正アクセスは、原告市教委が管理運営する教育資料公開サーバに設置されたバックドアを利用して同サーバを経由して行われたものであるところ、外部に公開される教育資料公開サーバは、常に外部からの攻撃にさらされることが想定されるDMZネットワーク内に設けられているため、その脆弱性の有無にかかわらず、不正アクセスを防ぎきることは不可能である。したがって、DMZネットワークから内部ネットワークへの侵入を外部ファイアウォール及び内部ファイアウォールにより遮断することが必須であるところ、それらの設定に不備があったために本件不正アクセスが発生したのであるから、外部ファイアウォール及び内部ファイアウォールの通信制限が適切に設定されなかったことないしその設定が修正されなかったことと本件不正アクセスの発生との間には相当因果関係がある。 (被告の主張)否認ないし争う。本件不正アクセスは、原告が適切な管理を怠ったことから教育資料公開サーバに仕掛けられたバックドアにより管理者権限が行使されたことが原因であり、外部ファイアウォール及び内部ファイアウォールにおける通信制限の設定との間に相当因果関係はなく、被告は責任を負わ 育資料公開サーバに仕掛けられたバックドアにより管理者権限が行使されたことが原因であり、外部ファイアウォール及び内部ファイアウォールにおける通信制限の設定との間に相当因果関係はなく、被告は責任を負わない。 ⑸ 争点⑴オ(原告の損害)アデジタルフォレンジック対応業務委託料 (原告の主張)原告は、本件不正アクセスの原因、個人情報漏えいの有無、マルウェア(コンピュータの正常な利用を妨げたり、利用者やコンピュータに害をなす不正な動作を行ったりするソフトウェア)の感染状況等についての調査費用として918万円を支出した(甲19の1・2)。 不正アクセスによる個人情報漏えいの可能性が発覚した場合、デジタルフォレンジック(コンピュータなどの電子機器に残る記録を収集・分析し、その法的な証拠性を明らかにする手段や技術)を行うことにより、情報漏えいの経路、規模、不正アクセスを行った者などの情報を保全しておくことは、事実確認の明確化として、社会通念上不可欠とされている。なお、個人情報の漏えいが結局確認されていないことにより、個人情報漏えいの有無等を調査する必要性がなくなるものではない。したがって、上記の調査費用は、被告の債務不履行又は不法行為と相当因果関係のある通常損害である。 (被告の主張)否認ないし争う。原告が主張する費用は、本件不正アクセスの原因、個人情報漏えいの有無、マルウェアの感染状況等に関する調査の委託費用であるところ、個人情報の漏えいは結局確認されていないし、また、マルウェアは原告の管理不十分によって仕掛けられたものであるから、上記の費用は、被告が賠償義務を負うべき通常損害とはいえない。 イインシデント対応支援コンサルティング業務委託料( ルウェアは原告の管理不十分によって仕掛けられたものであるから、上記の費用は、被告が賠償義務を負うべき通常損害とはいえない。 イインシデント対応支援コンサルティング業務委託料(原告の主張)原告は、本件不正アクセスに対して原告が採るべき対応に係るコンサルティング業務の委託費用として540万円を支出した(甲20)。なお、同業務の具体的な内容は、保護者への送付文書作成・確認業務、マスコミ対応への助言、第三者委員会設置についての技術的支援などであった。 本件不正アクセスにより情報漏えいの可能性が生じた場合、速やかに事実確認及び適切かつ迅速に情報開示をすることが必要であり、かつ、本件不正アクセスのような大規模かつ重大なインシデントへの対応には、ネットワーク技術に関する知識やインシデント発生時の対応についての専門的知識及び経験が必要不可欠であるから、上記の業務委託料は、被告の債務不履行又は不法行為と相当因果関係のある通常損害である。 (被告の主張)否認ないし争う。原告の主張する費用は、本件不正アクセスを防止するために必要不可欠ではないにもかかわらず、原告が自らの希望で委託したものであり、被告の債務不履行又は不法行為と相当因果関係のある通常生ずべき損害とはいえない。 ウ保護者・教職員宛て通知のための郵送料等(原告の主張)原告は、園児、児童及び生徒の保護者(4万2983名)並びに教職員関係者(1316名)宛てに、本件不正アクセスに係る事情の説明、情報流出に関するコールセンター設置の案内及び謝罪の通知文書を送付し、その費用として合計370万0766円を支出した(甲21、22の1・2)。 本件不正アクセスにより個人情報が流出し 、情報流出に関するコールセンター設置の案内及び謝罪の通知文書を送付し、その費用として合計370万0766円を支出した(甲21、22の1・2)。 本件不正アクセスにより個人情報が流出した可能性のある園児、児童、及び生徒の保護者並びに教職員関係者宛てに通知を発し、その経緯の説明や注意喚起を図ることは、市民への情報開示として必要な措置であることから、これに要した上記の郵送料等の費用は、被告の債務不履行又は不法行為と相当因果関係のある通常損害である。 (被告の主張)否認ないし争う。原告が主張する費用は、本件不正アクセスを防止するために必要不可欠ではないにもかかわらず、原告が自らの希望で行ったも のであり、被告の債務不履行又は不法行為と相当因果関係のある通常生ずべき損害とはいえない。 エ職員時間外勤務手当分等(原告の主張)原告は、本件不正アクセスによる個人情報の流出の可能性に不安を抱いた市民からの問い合わせに対応するためのコールセンターを設置したが、同コールセンターは原告市教委の事務局職員において対応した。また、上記ウの通知文書の発出等も含めて、上記の事務職員が他の業務を抱えながら限られた人員で対応したことから、各職員がそれぞれ時間外労働を行わざるを得なかった。原告は、以上による上記の事務職員の時間外労働手当分及び週休日の振替等の対応により低下した労働力分(振替休暇対応分については時間外手当が支給されたものとして算出)として合計455万8066円を支出ないし負担した(甲42)。 本件不正アクセスについて市民への通知文書による説明や市民からの問い合わせに対応することは、市民への情報開示として必要不可欠であったものであるから、その対応のために増加した上 甲42)。 本件不正アクセスについて市民への通知文書による説明や市民からの問い合わせに対応することは、市民への情報開示として必要不可欠であったものであるから、その対応のために増加した上記の支出ないし負担は、被告の債務不履行又は不法行為と相当因果関係のある通常損害に当たる。 (被告の主張)否認ないし争う。原告が主張する費用は、本件不正アクセスを防止するために必要不可欠ではないにもかかわらず、原告が自らの希望で支出したものであり、被告の債務不履行又は不法行為と相当因果関係のある通常生ずべき損害とはいえない。また、そもそもこれらの勤務手当等が原告の主張するような業務を実施するために使用されたという証明もない。 オ第三者委員会委員報酬等(原告の主張)原告は、本件不正アクセスを受けての対応として、MENETの関係者 から独立した第三者で構成される前橋市学校教育ネットワークセキュリティ調査対策検討委員会(以下「本件委員会」という。)を設置し、その委員の報酬及び旅費として合計112万8560円を支出した(甲24)。 原告は、本件不正アクセスが重大な事案であったことから、行政機関として市民に対して説明責任を負うところ、事実関係の明確化の観点から、結論が恣意的にならないようにMENETの関係者から独立した組織を設置して本件不正アクセスの原因究明を行う必要があったのであるから、そのために支出した上記の報酬及び旅費に係る費用は、被告の債務不履行又は不法行為と相当因果関係のある通常損害に当たる。 (被告の主張)否認ないし争う。第三者委員会は、何らかの問題や不祥事が起きた場合に必ず設置しなければならないものではないにもかかわらず、原告の自らの希望によって 害に当たる。 (被告の主張)否認ないし争う。第三者委員会は、何らかの問題や不祥事が起きた場合に必ず設置しなければならないものではないにもかかわらず、原告の自らの希望によって第三者委員会である本件委員会を設置したのであるから、その費用は、被告の債務不履行又は不法行為と相当因果関係のある通常生ずべき損害とはいえない。 カ各種外部ネットワーク調査業務(Web調査)委託料(原告の主張)原告は、本件不正アクセスを受けての対応として、各種外部ネットワーク調査業務を委託し、その委託料として1107万円を支出した(甲25の1~11)。 デジタルフォレンジックやインシデント対応支援コンサルティングの結果、本件不正アクセスは中国やヨーロッパ等の海外からのものが多かったことが判明したから、情報流出の調査対象として、国内で普及しているSNS及びWeb検索サイトのみならず、海外で普及している文書共有サイトをも含める必要があった。そして、調査業務については、長期的で対象数が膨大である上に、日々更新されていくものであり、原告の職員での対 応は不可能であったことから、情報技術の専門家へ委託する必要があった。 したがって、上記の費用は、被告の債務不履行又は不法行為と相当因果関係のある通常損害に当たる。 (被告の主張)否認ないし争う。原告が主張する費用は、原告が自らの判断でデジタルフォレンジックに加えて追加調査を行うために出捐したものであるところ、個人情報の漏えいは結局確認されていないし、また、本件不正アクセスを防止するために必要不可欠ではないにもかかわらず原告が自らの希望で行ったものであるから、被告の債務不履行又は不法行為と相当因果関係のある通常生ずべき損害とはい れていないし、また、本件不正アクセスを防止するために必要不可欠ではないにもかかわらず原告が自らの希望で行ったものであるから、被告の債務不履行又は不法行為と相当因果関係のある通常生ずべき損害とはいえない。 キ MENET校務系端末復旧作業業務委託料(原告の主張)原告は、本件不正アクセスを受けての対応として、MENETに接続されていた1892台の校務系PCのシステムをクリーンインストールするため、MENET校務系端末復旧作業を委託し、その費用として3242万5380円を支出した(甲27)。 本件不正アクセスのように攻撃者にシステム特権を奪われた場合、今日のコンピュータシステムは複雑であるから、悪意あるプログラムを仕掛けられていないことを保証することは不可能に近い。したがって、引き続きコンピュータを安全に利用するためには、再度、クリーンなシステムを再構築する必要があり、その方法として、信頼できるメディアからクリーンなシステムの再インストールをすることが合理的である(甲10、26、41・35~36頁)。したがって、上記の費用は、被告の債務不履行又は不法行為と相当因果関係のある通常損害に当たる。 なお、本件不正アクセス以前に、1892台の校務系PCにつき、クリーンインストールが必要な状態にあったということはない。 (被告の主張)否認ないし争う。本件不正アクセスの原因がバックドアであると判明している以上、当該バックドアを取り除くことで足りるのであり、それにもかかわらず、原告が自らに希望で不必要なクリーンインストールを行ったのであるから、それに要した費用は、被告の債務不履行又は不法行為と相当因果関係のある通常生ずべき損害とはいえない。 また、原告が行っ 原告が自らに希望で不必要なクリーンインストールを行ったのであるから、それに要した費用は、被告の債務不履行又は不法行為と相当因果関係のある通常生ずべき損害とはいえない。 また、原告が行ったクリーンインストールは、本件不正アクセス以前に生じていたウイルスを除去するためにもともと必要なものであったのであるから、被告の債務不履行又は不法行為とは無関係である。 ク MENET学習系端末復旧作業業務委託料(原告の主張)原告は、本件不正アクセスを受けての対応として、MENETに接続されていた3822台の学習系タブレットPCのシステムをクリーンインストールするため、MENET学習系端末復旧作業を委託し、その費用として4349万8080円を支出した(甲28)。 前橋市内の小中学校等では、学習系端末として、学習用のタブレットPCが合計3822台(学習用2844台、指導者用978台)配備されており、これらもMENETに接続されていた。したがって、これらのタブレットPCについても、上記キの原告の主張と同様に、本件不正アクセスにより悪意のあるプログラムを仕掛けられた可能性があったから、継続して安全に利用するためにクリーンインストールを行う必要があったのであり、上記の費用は、被告の債務不履行又は不法行為と相当因果関係のある通常損害である。 (被告の主張)否認ないし争う。原告の主張する費用は、上記キの被告の主張と同様に、不必要な業務のために原告が自らの希望で支出したものであり、被告の債 務不履行又は不法行為と相当因果関係のある通常生ずべき損害ではないし、本件不正アクセス以前に生じていたウイルス除去のために必要な費用であったのであるから、被告の債務不履行又は不法行為とは無関係である。 不履行又は不法行為と相当因果関係のある通常生ずべき損害ではないし、本件不正アクセス以前に生じていたウイルス除去のために必要な費用であったのであるから、被告の債務不履行又は不法行為とは無関係である。 ケ連絡手段確保のためのノートPCリース代(原告の主張)原告は、本件不正アクセスが発覚した後の平成30年3月26日、MENET全体をインターネットから完全切断したため、同年4月16日から同年6月15日までの2か月間、インターネットの利用できるリースのノートPCを各学校へ1台ずつ配備し、最低限の連絡手段を確保した。しかし、その後もMENET復旧の目途が立たなかったことから、各学校で保管されていたリースアウトPC70台を選別し、それらをクリーンインストールし、各学校に1台ずつ追加配備した。原告は、これらの費用として合計248万6484円を支出した(甲29、30)。 上記の費用は、事業の継続のために必要なものであったから、被告の債務不履行又は不法行為と相当因果関係のある通常損害に当たる。 (被告の主張)否認ないし争う。上記キの被告の主張と同様に、不必要な業務のために原告が自らの希望で支出したものであり、被告の債務不履行又は不法行為と相当因果関係のある通常生ずべき損害とはいえないし、本件不正アクセス以前に生じていたウイルス除去のために必要な費用であったのであるから、被告の債務不履行又は不法行為とは無関係である。 コ MENET再構築に関する情報セキュリティ支援業務委託料(原告の主張)原告は、本件不正アクセスの発生により、MENETの再構築を余儀なくされ、その際の安全性確保のためのシステム要件定義や設計等のセキュリティ面に関し、外部専門家による総合的な 原告の主張)原告は、本件不正アクセスの発生により、MENETの再構築を余儀なくされ、その際の安全性確保のためのシステム要件定義や設計等のセキュリティ面に関し、外部専門家による総合的な技術支援を受ける必要があっ たことから、同業務を委託し、その費用として213万8400円を支出した(甲31)。 これは、原告が下記サの原告の主張に記載のMENET再構築業務を委託するための前提として必要な支援であるから、被告の債務不履行又は不法行為と相当因果関係のある通常損害に当たる。 (被告の主張)否認ないし争う。原告が主張する支援業務は、MENET再構築業務を委託するために必ずしも必要とはいえず、原告が自らの希望で行ったものであるし、その大部分が機能追加又は増強に係るものであるから、被告の債務不履行又は注意義務違反と相当因果関係のある通常生ずべき損害とはいえない。 サ MENET再構築業務委託料(原告の主張)原告は、本件不正アクセスの発生によりMENETの再構築を余儀なくされたことから、MENET再構築業務を委託し、その費用として3913万9200円を支出した(甲33)。 原告は、MENETの再構築に当たって、本件委員会の再発防止策の提言により、平成29年10月18日に文部科学省が策定した「教育情報セキュリティポリシーに関するガイドライン」に準拠する必要があり(甲32・17及び18頁)、これによりMENETのセキュリティは、本件不正アクセス前よりも堅牢化したといえる。しかし、情報セキュリティ対策は日進月歩であり、数年前のシステムと同様のセキュリティ対策では信頼の回復は困難であるから、システムの再構築に当たっては、文部科学省が求めるセキュリティ水 したといえる。しかし、情報セキュリティ対策は日進月歩であり、数年前のシステムと同様のセキュリティ対策では信頼の回復は困難であるから、システムの再構築に当たっては、文部科学省が求めるセキュリティ水準に合致するように行う必要があり、また、同水準に合致するシステムの再構成は、本件不正アクセスの被害者である園児、児童、生徒及びその保護者の不安を解消するためにも必要なものであった といえ、上記の費用は、被告の債務不履行又は不法行為と相当因果関係のある通常損害である。 なお、本件におけるMENETなどの機能追加又は増強は、本件不正アクセスによりMENETを急遽再構築する必要が生じたため、必要となったものである。仮に、本件不正アクセス時において、潜在的に同様の機能追加又は増強が必要であったとしても、実際にそれを構築する時期は、更新時期に新たに検討されて決まるものであって、少なくとも本件と同じ時期に同様の機能追加又は増強が実施されることはなかった。 (被告の主張)否認ないし争う。原告が主張する費用のうち2260万4313円は、本件不正アクセスを契機とした機能追加又は増強に係る費用である(乙8)。この費用は、原告が本来的には本件不正アクセスの発生の有無にかかわらず行う必要があったものであり、原告が負担すべき費用であることは明らかである。したがって、当該費用は、被告の債務不履行又は不法行為と相当因果関係のある通常生ずべき損害とはいえない。 シ C学校校内ネットワーク再構築業務委託料(原告の主張)原告は、本件不正アクセスを受けての対応として、C学校内ネットワーク再構築業務を委託し、その費用として194万1602円を支出した(甲34)。 C学校は、独自のネットワークを構築し )原告は、本件不正アクセスを受けての対応として、C学校内ネットワーク再構築業務を委託し、その費用として194万1602円を支出した(甲34)。 C学校は、独自のネットワークを構築していたが、そのネットワークがMENETと接続している状態にあったことから、本件不正アクセスにより、校内PCのクリーンインストールを行うとともに校内ネットワークの再構築を余儀なくされた。なお、汚染された機器が接続されたネットワークと接続しているネットワーク上の機器は、それらの機器自体も汚染されているおそれがあるといえる。したがって、個人情報の重要性に鑑みれば、 上記の費用は、いずれも被告の債務不履行又は不法行為と相当因果関係のある損害である。 (被告の主張)否認ないし争う。上記キの被告の主張と同様に、原告の主張するPCをクリーンインストールする必要があったとは必ずしもいえない。また、MENETを再構築するからといって、なぜMENETと接続している他のネットワークを再構築する必要があるか不明であり、当該費用は被告の債務不履行又は不法行為と相当因果関係のある通常生ずべき損害とはいえない。さらに、本件不正アクセス以前に生じていたウイルス除去のために必要な費用であったのであるから、被告の債務不履行又は不法行為とは無関係である。 ス学校評価システム共有フォルダ利用型構築作業業務委託料(原告の主張)原告は、本件不正アクセスを受けての対応として、学校評価システム共有フォルダ利用型構築作業を委託し、その費用として24万3000円を支出した(甲35)。 原告は、本件不正アクセスにより、MENETのデータセンター内にあった独立したサーバである学校評価システム共有フォルダ利用型が汚 し、その費用として24万3000円を支出した(甲35)。 原告は、本件不正アクセスにより、MENETのデータセンター内にあった独立したサーバである学校評価システム共有フォルダ利用型が汚染された可能性があったことから、サーバの再構築を行ったものであり、その費用は、被告の債務不履行又は不法行為と相当因果関係のある通常損害である。 (被告の主張)否認ないし争う。原告は、本件不正アクセスによりサーバが汚染された可能性があることを理由に同サーバの再構築費用を支出しているが、汚染された可能性をもってして当該再構築が必要不可欠であったとはいえないから、当該費用は被告の債務不履行又は不法行為と相当因果関係のある通 常生ずべき損害とはいえないし、また、本件不正アクセス以前に生じていたウイルス除去のために必要な費用であったのであるから、被告の債務不履行又は不法行為とは無関係である。 セ指導者用タブレットPC周辺機器購入費用(原告の主張)原告は、本件不正アクセスを受けての対応として、指導者用タブレットPC周辺機器購入費用として合計424万2499円を支出した(甲36、37)。 原告は、1台の端末で学習系ネットワークと校務系ネットワークに接続していたが、本件不正アクセス発生の後、MENETを再構築した際に学習系ネットワークと校務系ネットワークを完全に分離したため、校務系ネットワークに接続する端末と学習系ネットワークに接続する端末の計2台の端末の配置が必要となった。教職員の業務過多が社会問題となっている教育現場において、更に作業効率が悪くなることは看過し得ない問題であるところ、端末が複数になると作業効率が悪化することから、2台の端末で一組のモニター、キーボード及 の業務過多が社会問題となっている教育現場において、更に作業効率が悪くなることは看過し得ない問題であるところ、端末が複数になると作業効率が悪化することから、2台の端末で一組のモニター、キーボード及びマウスの入出力デバイスを共有できるように周辺機器を配備した。 原告は、上記の方法により、事業の継続のため、本件不正アクセス前と同様の作業効率を確保したが、これに要した上記の費用は、被告の債務不履行又は不法行為と相当因果関係のある通常損害である。 (被告の主張)否認ないし争う。原告が主張する費用は、あくまでも作業効率をよくするためのものであり、必要不可欠な費用とはいえず、原告が自らの希望で支出したものにすぎないし、本件不正アクセスを契機とした機能追加又は増強に伴い必要となった費用であるから、被告の債務不履行又は不法行為と相当因果関係のある通常生ずべき損害とはいえない。 ソ DNSサーバ移行費用(原告の主張)原告は、本件不正アクセスを受けての対応として、DNSサーバ移行費用として6万2640円を支出した(甲39、40)。 原告は、本件不正アクセスによるMENETの再構築に伴い、DMZネットワークを撤去することとなり、同ネットワーク内にあったDNS(DomainNameSystem)サーバを外部のクラウドサービスにおいて利用する必要が生じた。したがって、上記の費用は、被告の債務不履行又は不法行為と相当因果関係のある通常損害である。 (被告の主張)否認ないし争う。DMZネットワークの撤去は、原告が自らの希望で行ったものであるし、本件不正アクセスを契機とした機能追加又は増強に伴い必要となったものであるから、当該費用は、被告の債務不履 否認ないし争う。DMZネットワークの撤去は、原告が自らの希望で行ったものであるし、本件不正アクセスを契機とした機能追加又は増強に伴い必要となったものであるから、当該費用は、被告の債務不履行又は不法行為と相当因果関係のある通常生ずべき損害とはいえない。 タ弁護士費用(原告の主張)原告は、被告の債務不履行又は不法行為により、訴訟提起を余儀なくされたものであり、これと相当因果関係のある弁護士費用は、上記イないしタの損害の約1割に相当する1612万3313円が相当である。 なお、本件のようなシステム開発紛争は、契約の内容が複雑であり、弁護士に委任しなければ十分な訴訟活動をすることが困難な類型の訴訟であるから、債務不履行に基づく損害賠償請求においても、弁護士費用はその損害に含まれるというべきである。 (被告の主張)否認ないし争う。原告が自らの判断で弁護士に委任した結果生じた費用であり、当該費用は、原告が自らの希望で支出したものであり、通常生ず べき直接損害とはいえない。また、債務不履行に基づく損害賠償請求では、弁護士費用は請求できないのが通常である。 ⑹ 争点⑴カ(被告の債務不履行に係る帰責事由の不存在)(被告の主張)被告が原告に対して納品した完成図書には、外部ファイアウォール及び内部ファイアウォールについて実際にされた設定が記載されており、原告はその設定について了解ないし認識をしていた。また、原告には本件委託契約の9条の規定に基づき検査をする義務があったのであり、原告は上記の了解ないし認識のもとで完成図書を検収したのであるから、原告が主張する債務不履行について、債務者である被告には責めに帰すべき事由はない。 (原告の主張)否認ないし たのであり、原告は上記の了解ないし認識のもとで完成図書を検収したのであるから、原告が主張する債務不履行について、債務者である被告には責めに帰すべき事由はない。 (原告の主張)否認ないし争う。完成図書は、MENET全体の膨大なシステムが全て記録されているものであり、専門的知識を有さない原告市教委がその全ての内容を自主的に確認することは不可能である。また、基本設計書と試験成績書には、DMZネットワークから内部ネットワークへの通信が許容されていないことが明確に表現されており、実際の設定の内容と明らかに矛盾するものであるから、被告は、原告に対し、外部ファイアウォール及び内部ファイアウォールの設定について告知ないし説明をすべき義務を負っており、被告におけるそのような告知ないし説明がない限り、原告において実際の設計内容を理解することは事実上不可能である。以上によれば、原告に検査義務違反はなく、債務者である被告に責めに帰すべき事由がないとはいえない。 ⑺ 争点⑴キ(責任限定契約の適用の有無)(被告の主張)被告は、原告との間で、平成27年5月11日、本件委託契約の17条の規定により、同契約における被告の損害賠償責任の範囲につき、契約金額を限度として現実に生じた通常の直接損害を賠償するものとする旨の契約を締 結した(以下「本件責任限定契約」という。)。 したがって、被告が賠償すべき損害は、本件委託契約の契約金額である1億0480万0500円が限度となる。 また、本件責任限定契約において、損害賠償の対象は「現実に生じた通常の直接損害」に限定されているのであるから、被告は、本件不正アクセスによる原告の特別損害(特別な事情によって生じた損害)や間接損害(債務不履行から間接的に生じている損害)について賠償義 に生じた通常の直接損害」に限定されているのであるから、被告は、本件不正アクセスによる原告の特別損害(特別な事情によって生じた損害)や間接損害(債務不履行から間接的に生じている損害)について賠償義務を負うものでもない。 そして、本件では、個人情報が現実に漏えいしたとの証拠はないが、仮に個人情報が漏えいしていたとしても、それによる損害は、特別損害や間接損害であり、「現実に生じた通常の直接損害」ではない。 (原告の主張)否認ないし争う。一般に責任限定契約については、権利・法益侵害の結果について故意又は重過失がある場合には適用されないと解されている(東京地判平成26年1月23日参照)。被告において、外部ファイアウォール及び内部ファイアウォールについて全ての通信を許可する設定がされれば、攻撃者によるDMZネットワークから内部ネットワークへの侵入を許す結果が生じることは容易に予見可能であり、かつ、被告がその設定の不備に気付き、その不備を是正することは極めて容易であったにもかかわらず、セキュリティの根本にかかわる重大事項についての確認を怠り、さらに原告に対して虚偽の報告を行った点で、被告には故意又は重大な過失があるから、本件の被告の債務不履行については、本件責任限定契約は適用されない。 また、一度内部ネットワークへの侵入を許せば、本件のような損害が生じることは容易に想定できるから、原告が主張する各損害は、特別損害や間接損害などではなく、現実に生じた通常の直接損害である。 ⑻ 争点⑵ア(原告と被告との間の準委任契約の成否)(被告の主張) ア原告は、各教育機関に配布するノートPCをインターネットに接続するために、平成30年3月29日、被告に対し、モバイルルータを手配するように依頼し、被告 (被告の主張) ア原告は、各教育機関に配布するノートPCをインターネットに接続するために、平成30年3月29日、被告に対し、モバイルルータを手配するように依頼し、被告はこれを了承した(乙1)。 イ原告は、平成30年3月26日、被告に対し、デジタルフォレンジック等を依頼し、被告はこれを了承した(乙3)。 ウ原告は、平成30年4月13日、被告に対し、各教育機関に設置されたネットワーク対応HDのクレンジング作業を依頼し、被告はこれを了承した。 (原告の主張)いずれも否認ないし争う。原告は、被告に対して被告が主張するような各業務の依頼や委託をしたことはない。 ⑼ 争点⑵ア(被告の準委任に係る事務を処理するのに必要な費用の額)(被告の主張)被告は、モバイルルータの手配、MENETサーバのデジタルフォレンジック及び各教育機関に設置されたネットワーク対応HDのクレンジング作業を行い、その費用として、1159万3184円を要した。 (原告の主張)否認ないし争う。 争点⑵イ(営業の範囲内における他人のための行為の有無及び当該行為の相当費用の額)(被告の主張)被告は、自らの営業の範囲内において、原告のために、モバイルルータの手配、MENETサーバのデジタルフォレンジック及び各教育機関に設置されたネットワーク対応HDのクレンジング作業を行い、その費用として、1159万3184円を要した。 (原告の主張) 不知ないし争う。 ⑾ 争点⑵イ(無償で行うことの合意の成否)(原告の主張)原告及び被告は、被告がモバイルルータの手配、MENETサーバのデジタルフォレンジ 不知ないし争う。 ⑾ 争点⑵イ(無償で行うことの合意の成否)(原告の主張)原告及び被告は、被告がモバイルルータの手配、MENETサーバのデジタルフォレンジック及びNASクレンジング作業を無償で行うとの合意をした。 (被告の主張)否認ないし争う。 第3 当裁判所の判断 1 判断の前提として、前提事実並びに後掲各証拠及び弁論の全趣旨によれば、次の事実が認められる。 ⑴ 本件委託契約の締結から業務完了に至るまでの経緯ア原告市教委は、平成27年2月頃、被告を含む数社に対し、平成27年2月16日付け「前橋市教育情報ネットワーク<MENET> データセンター移管提案依頼書(RequestForProposal)」(甲6。以下「提案依頼書」という。)により提案依頼をしたが(甲1・5頁)、提案依頼書には、次の内容の記載がある。 プロジェクト管理(5頁)委託事項に係るシステムの設計、構築、運用開始に当たって、プロジェクト責任者を明確にし、委託事項を適切かつ効率的に実施すること。 また、委託事項を遂行するための体制を具体的に示した上で、想定されるリスク及びその対策について適切な提案をすること。 ISP向けファイアウォール(外部ファイアウォール)(10頁)現行と同様に外部・内部・DMZの3つのセグメントを設定し、レイヤー4レベルまでのアクセス制御を行うこと。 内部ファイアウォール(9頁) 内部ファイアウォールに設定するフィルタは、市教委と新校務システムのベンダーと連携の上、設計・設定すること。 イ被告は、平成27年3月13日頃、原告に対し、同日付け「前橋市教育情報ネットワーク M イアウォールに設定するフィルタは、市教委と新校務システムのベンダーと連携の上、設計・設定すること。 イ被告は、平成27年3月13日頃、原告に対し、同日付け「前橋市教育情報ネットワーク MENETデータセンター移管提案書」(甲7。 以下「提案書」という。)を提出したが、提案書には、次の内容の記載がある。 豊富な知見を基にしたトータルソリューション(5頁)安心・安全面について、強固なセキュリティ対策(全社的なセキュリティ向上や、仕組みを積極的に導入)、ISO認証の取得(ISO9001(品質)、ISO14001(環境)、ISO27001(情報セキュリティ))等がある。 強固なセキュリティ対策(6頁)技術力の面として、経験豊富な専門家を多数擁する技術的セキュリティ対策チームによる総合的なセキュリティソリューションを提供することが可能である。 システム構成のコンセプト(26、27頁)ファイアウォールによる安心・安全な通信として、各学校及びデータセンター間をファイアウォールを用いてVPN接続(送受信上情報の盗聴や改ざんなどの危険を取り除き、インターネットを介して安全な情報の送受信を行えるようにする技術)することで、外部からの攻撃を防御し、アクセス制御が可能であるという効果を得られる。 ウ原告は、平成27年5月21日、被告との間で、MENETのデータセンター移管業務の設計及び構築業務に係る業務につき、納期を同年9月30日、業務委託料を1億0480万0500円(税別)として、委託した(本件委託契約)。 本件委託契約の契約書別添の平成27年5月付け「前橋市 MENE Tデータセンター移管業務要件定義書 1.0版」(甲 500円(税別)として、委託した(本件委託契約)。 本件委託契約の契約書別添の平成27年5月付け「前橋市 MENE Tデータセンター移管業務要件定義書 1.0版」(甲4の2。以下「要件定義書」という。)には、次の内容の記載がある。 aISP接続用ファイアウォール(外部ファイアウォール)(4頁)インターネットとデータセンター内ネットワークを区切り、外部からのアクセス制限を行うため、プロトコル(複数の主体が滞りなく信号やデータ、情報を相互に伝達できるよう、あらかじめ決められた約束事や手順の集合のこと)などによるアクセス制限を行う。 b 内部ファイアウォール(4頁)データセンター内に個人情報を含むサーバの情報を保護するための内部ファイアウォールにより、各学校の生徒用セグメントからのアクセス制御を行う。 c セキュリティ要件(7頁・表8-1のNo.4の「その他」の欄)ファイアウォールにより、外部からは指定するサーバに対する指定のプロトコルのみにアクセスする。 本件委託契約には、次の内容の規定がある(甲4の1)。 9条(検査及び引渡し)1項被告は、納期(平成27年9月30日)までに委託業務を完了するものとし、委託業務を完了したときは、速やかに委託業務が完了した旨及び委託業務完了日を記載した書面(以下「委託業務完了届」という。)を原告に提出するものとする。 2項原告は、前項の委託業務完了届を受理したときは、速やかに検査をし、検査に合格した場合はその旨及び検査合格日を記載した書面(以下「検査合格書」という。)を委託業務完了届を受理した日から起算して7日以内に、被告に交付するものとする。(以 たときは、速やかに検査をし、検査に合格した場合はその旨及び検査合格日を記載した書面(以下「検査合格書」という。)を委託業務完了届を受理した日から起算して7日以内に、被告に交付するものとする。(以下省略)3項~5項省略 17条(損害賠償)原告又は被告は、本件委託契約に基づく債務を履行せず、相手方から相当の期間を定めて催告を受けたにもかかわらず、なお、その期間内に履行しないとき等の本件委託契約上の解除事由に該当したこと、又は本件委託契約の履行において自らの責めに帰すべき事由により、相手方に損害を与えた場合には、本件委託契約の解除の有無にかかわらず、契約金額を限度として現実に生じた通常の直接損害を賠償するものとする。 エ被告は、平成27年6月19日頃、同日付け「設計方針(案)」(甲8。 以下「設計方針」という。)を策定した。設計方針に記載されたデータセンター内論理接続図(6頁)及びアクセス制御イメージ(案)(8頁)では、いずれもDMZネットワークと内部ネットワークの一部である個人情報保護ネットワークをつなぐ通信経路は存在しない。 オ被告は、平成27年6月頃、同月付け「平成27年度MENETデータセンター移管業務基本設計書第1.0版」(甲9。以下「基本設計書」という。)を策定したが、同設計書には、次の内容の記載がある。 セキュリティ基本方針(15頁・表5-1のNo.4の「その他」の欄)①ファイアウォールにより、外部からは指定のサーバに対する指定のプロトコルのみにアクセスを限定すること、②内部の個人情報を扱うサーバについて、ファイアウォールにより、アクセスを制限することとの方針とする。 通信制限イメージ(23頁・図6-5)設 トコルのみにアクセスを限定すること、②内部の個人情報を扱うサーバについて、ファイアウォールにより、アクセスを制限することとの方針とする。 通信制限イメージ(23頁・図6-5)設計方針のアクセス制御イメージ(案)と同様に、DMZネットワークと内部ネットワークの一部である個人情報保護ネットワークをつなぐ通信経路は存在しない。 カ被告は、平成27年9月30日、原告に対し、委託業務完了届により本件業務委託契約に係る業務を完了した旨の報告をした上で、本件システム及びその完成図書を納品し、原告は、同日、被告に対し、検査合格書により同業務について検査に合格した旨を通知した(甲11、12、45)。 なお、本件システムは、被告が原告に対して納品した時点において、①外部ファイアウォール(インターネット(外部)とDMZネットワークとの間、DMZネットワークと内部ネットワークとの間及びネットワーク(外部)と内部ネットワークとの間に設置されるファイアウォール)につき、DMZネットワークから個人情報保護ネットワークを含む全ての内部ネットワークへの全ての通信を許可するとの設定がされており、また、②内部ファイアウォール(内部ネットワークと個人情報保護ネットワークとの間に設置されるファイアウォール)につき、DMZネットワークを含む全てのネットワークからの個人情報保護ネットワークへの全ての通信を許可するとの設定がされていた(前提事実⑵ウ)。 ⑵ 本件保守契約の締結原告は、被告に対し、平成27年10月1日、委託期間を同日から平成32年9月30日までの5年間、契約金額を月額100万円(税別)として、MENETのデータセンターの移管保守に係る業務を委託した(本件保守契約)。なお、本件保守契約の契約書(甲5の1)に係る ら平成32年9月30日までの5年間、契約金額を月額100万円(税別)として、MENETのデータセンターの移管保守に係る業務を委託した(本件保守契約)。なお、本件保守契約の契約書(甲5の1)に係る同業務の範囲は、対象物件の故障個所の切り分け及び機器等の交換作業等、故障時における対象物件及び回線の良否判定作業等、対象物件の定期点検等とされており(甲5の2)、また、保守手引書(甲14)には、①保守対象物品一覧(別紙4)において、外部ファイアウォール及び内部ファイアウォールの機器が含まれており、かつ、②保守運用仕様一覧保守運用区分(別紙3)において、「各種相談・運用改善対応」、「お客様からの相談、運用改善対応」における保守具体的項目において、「既存設定内容(セキュリティ、要領関連など)」、 「セキュリティ対応(脆弱性の緊急対応)」などの役割分担として被告が「主」であることが記載されている。 ⑶ 原告の被告に対するメールの内容原告市教委は、平成28年1月8日、被告に対し、センターサーバ(データセンター内に設置されたサーバ群のことであり、各学校に設置されたサーバとは異なり、ネットワーク内の各所(各学校)が利用するサービスを提供する機器)からインターネットにプロキシ(内部ネットワークとインターネットの境界にあり、内部のコンピュータの代理としてインターネット上のコンピュータへ接続を行うコンピュータ)を経由せずにアクセスができてしまう状態にあり、このような場合、外部にアクセスした機器の情報が漏れ不正アタックなどでターゲットにされてしまう可能性があることを指摘する旨の電子メールを送信した(甲15)。これに対し、被告は、平成28年1月25日、原告市教委に対し、上記の指摘を受け、プロキシ経由でインターネット通信をするように変更 しまう可能性があることを指摘する旨の電子メールを送信した(甲15)。これに対し、被告は、平成28年1月25日、原告市教委に対し、上記の指摘を受け、プロキシ経由でインターネット通信をするように変更することに決定した旨を返信した(甲16)。 ⑷ 本件不正アクセスの発生ア何者かは、平成29年8月頃から、MENETのDMZネットワーク(外部ネットワーク(インターネット)及び内部ネットワークの双方からの接続が許可されたネットワーク領域)に設置された教育資料公開サーバに対して、何者かが作成したバックドアを利用してアクセスを開始した。 イ何者かは、平成29年12月中旬ごろから、教育資料公開サーバを経由して、内部ネットワークに侵入し、内部ネットワーク内の校務系ネットワーク及び個人情報保護ネットワークに存在する端末やサーバにおいて不正ツールを保存した。 ウ何者かは、平成30年3月6日、教育公開サーバから遠隔操作機能を利用して、個人情報保護ネットワーク内に設置されたドメインコントローラサーバ(あるネットワーク上の範囲(ドメイン)における利用者アカウン トやコンピュータなどへのアクセス権限などを一元的に管理し、利用者の認証と利用権限許可を行うサーバコンピュータ)に管理用アカウントで接続して、管理者権限を行使し、これを踏み台にして、多数の個人情報が保存されたファイル共有サーバから、各種ファイルを圧縮して教育資料公開サーバに収集、保存した。 エ MENETヘルプデスクの担当者は、平成30年3月16日、MENETの教育資料公開サーバへの不審なアクセスがされているログを確認し、本件不正アクセスが発覚した。また、その後の調査により、同月30日、児童、生徒、その保護者等に係る多数の個人情報が流出した可能性が非常 の教育資料公開サーバへの不審なアクセスがされているログを確認し、本件不正アクセスが発覚した。また、その後の調査により、同月30日、児童、生徒、その保護者等に係る多数の個人情報が流出した可能性が非常に高いことが判明した。なお、流出した可能性のある個人情報の内容は、平成24年度から平成29年度までに、前橋市の公立の小学校、中学校及び特別支援学校に在籍した全ての児童生徒の給食費に関する4万7839人のデータ(学年、組、出席番号、氏名、性別、生年月日、国籍、住所、電話番号、保護者氏名、アレルギー、既往症等)や、同時期に前橋市立公立学校(園)で給食を喫食していた園児児童生徒及び教職員の給食費の引落口座情報2万8209件(銀行名、支店名、口座番号、預金者名、引落金額、振替結果)である。 (以上につき、甲1、41、乙6、弁論の全趣旨)⑸ その後のやり取りア原告は、平成30年3月26日、被告との打ち合わせにおいて、被告に対し、原告において教育資料公開サーバ及び資料管理サーバについてデジタルフォレンジックの手配を行ったため、被告もデジタルフォレンジックの手配をするよう催促した(乙3、弁論の全趣旨)。 イ MENET推進委員会委員のD(以下「D」という。)は、平成30年3月29日、被告に対し、MENETは現在インターネットから切り離された状態にあり、その復旧までの間、業務上のインターネット利用環境を 確保する必要があるため、原告市教委を含め各接続拠点に1ないし2台のインターネットに直接接続できる環境を用意してもらえないかといった内容の電子メールを送信した(乙1)。 ウ Dは、平成30年5月18日及び同月23日、被告の担当者に対し、①平成27年9月末日時点で納入されたMENETに係るシステムのファイアウォールの といった内容の電子メールを送信した(乙1)。 ウ Dは、平成30年5月18日及び同月23日、被告の担当者に対し、①平成27年9月末日時点で納入されたMENETに係るシステムのファイアウォールの設定は、基本設計で合意した通信制限が施されていた設定ではなく、個人情報保護ネットワークの個人情報を守る上で不適切な状態であったこと、②平成28年1月8日に原告市教委からセキュリティ上の不備を是正する指示を受けていたが、本件不正アクセスが発生するまで是正していなかったこと、③同年6月に原告市教委からA県の個人情報漏えい事件を受け、不正アクセスの安全確認を受けたが、ファイアウォールの設定を含め、必要な実機の点検をせずに安全性に問題なしと回答したこと及び④同年12月に原告市教委から別のセキュリティの不備を指摘されたが、本件不正アクセスが発生するまで何ら対処をしていなかったことを確認する旨の電子メールを送信した。これに対し、被告は、平成30年5月23日、Dに対し、上記①については、そのとおりの認識であること、上記②については、ヘルプデスクと打ち合わせを行い、対処方針を原告市教委に報告したまでにとどまっていたこと、上記③については、MENETの設定が基本設計どおりの認識であったため、実機の点検を行うことなく、安全性に問題ないとの回答をしたこと、上記④については、被告の委託業者に確認を指示したまでにとどまっていたことを回答した。(甲17)⑹ 被告の費用負担ア被告は、平成30年3月27日、株式会社Eとの間で、MENETのサーバのデジタルフォレンジックの業務委託契約を締結し、その後、同社からフォレンジック報告書を受領し、同社に対し、その報酬として388万8000円を支払った(乙4)。その後、被告は、原告に対し、同報告書 を交付し の業務委託契約を締結し、その後、同社からフォレンジック報告書を受領し、同社に対し、その報酬として388万8000円を支払った(乙4)。その後、被告は、原告に対し、同報告書 を交付した(弁論の全趣旨)。 イ被告は、平成30年4月11日、F株式会社に対し、モバイルルータの通信料として、合計563万4073円を支払った(乙2の1~11)。 その後、被告は、同月12日、原告市教委に対し、当該モバイルルータ等を貸与した(乙10)。 ⑺ 本件不正アクセスに係る検証ア原告市教委は、本件不正アクセスの原因の究明及び再発防止策を検討させるため、本件委員会(前橋市学校教育ネットワークセキュリティ調査対策検討委員会)を設置し、平成30年4月16日、本件委員会に対し、MENETのシステム運用の経緯や本件不正アクセス発生後の初動における問題点等を検証し、それらを踏まえ、本件不正アクセスの原因究明とともに再発防止等を検討し、その結果を提言又は意見として報告書にまとめることを委嘱した(甲1)。 イ本件委員会は、平成30年6月25日頃、同日付け検証報告書(甲1)により、本件不正アクセスの原因は、教育資料公開サーバの脆弱性の放置及びファイアウォールの設定の不備に原因があったとの判断を示した。なお、同報告書には、MENET内の端末やファイル共有サーバには、本件不正アクセスの原因となったものに限らず、それ以前からウイルスが存在し、ウイルス対策ソフトで検知されたものがあったとの記載がある。 ⑻ 情報インシデントにおける対応についての文献の記載ア 「サイバーセキュリティ法務」と題する書籍(甲50)では、インシデント対応の基本手順につき、①インシデント情報の検知、②インシデント情報の分析(トリアージ)、③初動対応及び証 文献の記載ア 「サイバーセキュリティ法務」と題する書籍(甲50)では、インシデント対応の基本手順につき、①インシデント情報の検知、②インシデント情報の分析(トリアージ)、③初動対応及び証拠保全、④当局対応及び情報開示、⑤原因分析及び再発防止、⑥事後対応(被害者への補償、被害回復及び責任追及)と整理されている(141~142頁)。 イ Gが作成した「情報セキュリティセミナーインシデントマネジメント (v1.0)」(甲26)では、インシデントの対応手順について、①組織体内部のコミュニケーションや関連組織とのコミュニケーション、②暫定的対応として、ネットワーク接続の切断、サービスの停止などを行うこと、③本格的対応として、攻撃者にシステム特権を奪われてしまったときは、悪意あるプログラムを仕掛けられていないことを検出し、それが存在しないことを保証することは不可能に近く困難であることから、原則としてクリーンなシステムを再構築する必要があり、信頼できるメディアからクリーンなシステムを再インストールし、修正プログラムを適用した上で、設定ファイルの情報やデータをバックアップから復旧すること、④改善を図ることとされている。 2 争点⑴ア(本件委託契約に基づく外部ファイアウォール及び内部ファイアウォールを適切に設定することにより通信制限を行うべき債務の不履行又は注意義務違反(不法行為)の有無)について⑴ 債務不履行の有無についてア原告は、本件委託契約では、提案依頼書から基本契約書に至るまで一貫してセキュリティ対策が重要視されているのであるから、被告は、同契約において、個人情報保護ネットワークに保存されている個人情報を保護するため、本件システムの提供に当たり、その外部ファイアウォール及び内部ファイアウォールを適切 されているのであるから、被告は、同契約において、個人情報保護ネットワークに保存されている個人情報を保護するため、本件システムの提供に当たり、その外部ファイアウォール及び内部ファイアウォールを適切に設定して通信制限を行う債務を負っていた旨の主張をする。 そこで検討するに、上記1⑴で認定したところからも明らかなとおり、ソフトウェアの開発に係る業務委託契約においては、契約締結の前後に提案依頼書、提案書、要件定義書、基本設計書などをやり取りすることにより委託業務の内容を確定していくものであるから、本件委託契約において受託者である被告が負う債務の内容は、同契約の契約書の記載の内容のみならず、同契約の前後にやり取りがされた要件定義書や基本設計書などの 内容を総合的に考慮して確定すべきであると解するのが相当であるところ、上記1⑴ア、、イ、ウ、エ及びオで認定したところによれば、本件システムについて、①提案依頼書、提案書、要件定義書及び基本設計書には、外部ファイアウォール及び内部ファイアウォールにより通信制限を行うものと記載されていること、②設計方針及び基本設計書には、データセンター内理論接続図及び通信制限イメージにおいて、DMZネットワークと個人情報保護ネットワークとをつなぐ通信経路が存在しないことがそれぞれ認められ、これらの事実に加えて、③被告は、経験豊富な専門家を多数擁する技術的セキュリティ対策チームによる総合的なセキュリティソリューションを提供することを可能とする技術力を有していたことを併せ考えると、被告は、本件委託契約において、DMZネットワークと個人情報保護ネットワークとの間の通信経路を遮断するため、本件システムの提供に当たり、その外部ファイアウォール及び内部ファイアウォールを適切に設定して通信制限を 託契約において、DMZネットワークと個人情報保護ネットワークとの間の通信経路を遮断するため、本件システムの提供に当たり、その外部ファイアウォール及び内部ファイアウォールを適切に設定して通信制限を行う債務を負っていたものと認めるのが相当である。 これに対し、被告は、原告が主張するような債務が契約書に明示されているわけではなく、適切に設定することによる通信制限を行う義務のような観念的抽象的な債務を負うものではない旨の主張をするが、上記に照らし、同主張は採用することができない。 イそして、①上記1⑴カのとおり、被告は、原告に対し、本件システムの外部ファイアウォールをDMZネットワークから個人情報保護ネットワークを含む全ての内部ネットワークへの全ての通信を許可するとの設定及び内部ファイアウォールをDMZネットワークを含む全てのネットワークからの個人情報保護ネットワークへの全ての通信を許可するとの設定としたまま、同システムを引き渡していること、②上記1⑸ウによれば、被告において、このような設定が不適切であったこと自体は自認していたことがそれぞれ認められ、これらの事実に加えて、本件記録を見ても、被告にお いて、原告に対して外部ファイアウォール及び内部ファイアウォールを上記①のように設定したまま本件システムを引き渡した理由について合理的な理由がある旨の主張は見当たらないことを併せ考えると、被告には、本件システムの外部ファイアウォール及び内部ファイアウォールを適切に設定して通信制限を行う債務の不履行があるものと認めるのが相当である。 ⑵ 不法行為の成否について本訴事件では、債務不履行に基づく損害賠償請求と不法行為に基づく損害賠償請求とが選択的に主張されているが、附帯請求の起算日の違いにより不法行為に基づく損 ⑵ 不法行為の成否について本訴事件では、債務不履行に基づく損害賠償請求と不法行為に基づく損害賠償請求とが選択的に主張されているが、附帯請求の起算日の違いにより不法行為に基づく損害賠償請求の方が請求金額が高額となることから、不法行為の成否についても判断する必要があると解されるところ、上記⑴イで説示したところに照らせば、本件委託契約において、本件システムの提供に当たりその外部ファイアウォール及び内部ファイアウォールを適切に設定することは、本件委託契約の付随的な義務ではなく、主たる給付義務の内容を構成するもの、すなわち本来的債務そのものであると解するのが相当であるから、本件は、単なる債務の不履行であり、不法行為を構成するものではないと解するのが相当である。 3 争点⑴イ(本件保守契約に基づく外部ファイアウォール及び内部ファイアウォールの設定における通信制限の不備を修正すべき債務の不履行又は注意義務違反(不法行為)の有無)について原告は、被告には、本件保守契約に基づき、保守契約での対応を超えるものであった場合を除き、本件システムの不備を修正すべき債務又は注意義務があったところ、その債務の不履行又は注意義務の違反がある旨の主張をする。 しかし、①原告において、被告が、本件不正アクセスが発覚する以前において、原告市教委から通信制限の不備を指摘され、修正の要求を受けていたにもかかわらず、不備を自ら確認することもなく放置したと主張する点については、本件保守契約や保守手引書(甲5の1)の内容を見ても、その修正が本件保守 契約の対象となっているものか否かについては判然としないといわざるを得ないから、被告に債務不履行又は注意義務違反があると直ちには認められないし、また、②原告において、被告が、他県での教 契約の対象となっているものか否かについては判然としないといわざるを得ないから、被告に債務不履行又は注意義務違反があると直ちには認められないし、また、②原告において、被告が、他県での教育情報システムへの不正アクセスによる個人情報漏えい事件に関連して、原告市教委から問い合わせを受けたにもかかわらず、システムの確認を怠ったと主張する点については、本件記録を見ても、原告市教委が被告に対して具体的にどのような連絡をしたのかは判然としないから、被告に債務不履行又は注意義務違反があると直ちには認められないし、さらに、③原告において、被告が、その後も、原告から上記②とは別の通信制限の不備を指摘されたにもかかわらず、必要な措置を講じなかったと主張する点についても、同様に、本件記録を見ても、原告が被告に対して具体的にどのような連絡をしたのかは判然としないから、被告に債務不履行又は注意義務違反があると直ちには認められず、結局、原告の上記⑴の主張は採用することができない。 4 争点⑴ウ(想定されるリスク及びその対策について適切な提案をすべき注意義務違反(不法行為)の有無)について原告は、被告を含む数社に対し、提案依頼書で「想定されるリスク及びその対策について適切な提案を行うこと」が可能な事業者を募集し、これに対し、被告が、提案書において、ISO27001及びISO9001の認証取得者であることを強調し、原告の要求を十分に満たすことをアピールしたのであるから、被告は、想定されるリスク及びその対策について適切な提案をすべき注意義務がある旨の主張をする。 しかし、上記1⑴アで認定したところによれば、①原告は、被告を含む数社に対し、提案依頼書により、想定されるリスク及びその対策について適切な提案をすることを求めていること、②被告は 張をする。 しかし、上記1⑴アで認定したところによれば、①原告は、被告を含む数社に対し、提案依頼書により、想定されるリスク及びその対策について適切な提案をすることを求めていること、②被告は、原告に対し、提案書により、被告が強固なセキュリティ対策を講じることができることやISO27001やISO9001などを取得していることをあげて、安全・安心面をアピールして いることがそれぞれ認められるが、これらの事実から直ちに、被告には、想定されるリスク及びその対策について適切な提案をすることに係る具体的な注意義務があったと認めることは困難というべきであるから、原告の上記⑴の主張は採用することができず、被告につき不法行為の成立は認められない。 5 争点⑴エ(債務不履行又は不法行為と本件不正アクセスとの間の相当因果関係の有無)について⑴ 上記2ないし4で認定及び判断をしたところによれば、上記2⑴で認定した本件委託契約の債務不履行と本件不正アクセスとの間の相当因果関係の有無が問題となるところ、原告は、DMZネットワークから内部ネットワークへの侵入を外部ファイアウォール及び内部ファイアウォールにより遮断することが必須であるところ、そのファイアウォールの設定に不備があったために本件不正アクセスが発生したのであるから、外部ファイアウォール及び内部ファイアウォールの通信制限が適切に設定されなかったことと本件不正アクセスの発生との間には因果関係がある旨の主張をする。これに対し、被告は、本件不正アクセスは、原告が適切な管理を怠った教育資料公開サーバに仕掛けられたバックドアにより管理者権限が行使されたことが原因であり、外部ファイアウォール及び内部ファイアウォールにおける通信制限の設定との因果関係はない旨の主張をする。 ⑵ そこ 開サーバに仕掛けられたバックドアにより管理者権限が行使されたことが原因であり、外部ファイアウォール及び内部ファイアウォールにおける通信制限の設定との因果関係はない旨の主張をする。 ⑵ そこで検討するに、前提事実⑷イによれば、本件不正アクセスは、①MENETの教育資料公開サーバにバックドアが仕掛けられたことと②本件システムにおける外部ファイアウォール及び内部ファイアウォールにおける通信制限の設定が不適切であったことの両方の事象が相まって発生したものであることが認められるのであり、したがって、被告の債務不履行の結果である上記②の事実がなければ、本件不正アクセスは発生しなかったということができるのであるから、上記①の事実について原告に過失(教育資料公開サーバについて適切な管理を怠ったこと)があるか否かにかかわらず、被告の上 記の債務不履行と本件不正アクセスとの間には相当因果関係があると認めるのが相当である。 ⑶ なお、被告の上記⑴の主張は、原告が本件システムの適切な管理を怠ったことから何者かによって教育資料公開サーバにバックドアが仕掛けられ管理者権限が行使されたとの過失相殺の主張を含むものとも解されるが、仮にそうであったとしても、本件記録を見ても、上記のバックドアが仕掛けられた経緯や原因を具体的に認定するに足りる的確な証拠は見当たらないから、原告の過失は認定できず、仮に被告が過失相殺の主張をしているとしても、同主張は採用することができない。 6 争点⑴オ(原告の損害)について⑴ デジタルフォレンジック対応業務委託料 918万円証拠(甲19の1・2)及び弁論の全趣旨によれば、原告は、株式会社H(以下「H」という。)に対し、平成30年4月26日にデジタルフォレンジック作業初期対応の費用として86 託料 918万円証拠(甲19の1・2)及び弁論の全趣旨によれば、原告は、株式会社H(以下「H」という。)に対し、平成30年4月26日にデジタルフォレンジック作業初期対応の費用として86万4000円を、平成30年5月31日にデジタルフォレンジック対応の費用として831万6000円の合計918万円をそれぞれ支払ったことが認められるところ、原告は、不正アクセスによる個人情報漏えいの可能性が発覚した場合、デジタルフォレンジックを行うことにより、情報漏えいの経路、規模、不正アクセスを行った者などの情報を保全しておくことは、事実確認の明確化として、社会通念上不可欠とされており、また、これは個人情報の漏えいが結局確認されていないことにより、個人情報漏えいの有無等を調査する必要性がなくなるものではないから、これにかかった費用は、本件不正アクセスと相当因果関係のある損害である旨の主張をする。 そこで検討するに、上記1⑻イで認定したところによれば、インシデント対応の基本手順につき、①インシデント情報の検知、②インシデント情報の分析(トリアージ)、③初動対応及び証拠保全、④当局対応及び情報開示、 ⑤原因分析及び再発防止、⑥事後対応(被害者への補償、被害回復及び責任追及)と整理している書籍があり、本件記録を見ても、その内容の信用性を疑わせる事情は特段見当たらないから、原告における上記①~⑥に該当する対応にかかった費用については、相当と認められる範囲において、被告の債務不履行を原因とする本件不正アクセスとの関係で相当因果関係のある通常生ずべき損害(通常損害)と認めるのが相当である。 そして、原告が、Hに対し、本件不正アクセスの原因、個人情報の漏えいの有無、マルウェアの感染状況等の調査を委託したことは、その内容に照らし、上 常生ずべき損害(通常損害)と認めるのが相当である。 そして、原告が、Hに対し、本件不正アクセスの原因、個人情報の漏えいの有無、マルウェアの感染状況等の調査を委託したことは、その内容に照らし、上記②のインシデント情報の分析や同③の初動対応及び証拠保全に該当するものと認められ、本件不正アクセスが検知された後の対応として必要かつ相当な範囲のものといえるから、その委託にかかった上記の918万円の費用は、被告の債務不履行との関係で相当因果関係のある通常生ずべき損害と認めるのが相当である。 これに対し、被告は、個人情報の漏えいは結局確認されていない上、マルウェアは原告の管理不十分によって仕掛けられたものであるから、被告が賠償義務を負う損害とはいえない旨の主張をするが、個人情報の漏えいが確認されなかったとの点については、上記の委託による調査の結果にすぎず、それをもって調査の必要性を否定できるものではないし、また、原告の管理不十分との点については、上記5で認定及び判断をしたとおり、これを認めることはできないから、被告の上記の主張はいずれも採用することができない。 ⑵ インシデント対応支援コンサルティング業務委託料 540万円証拠(甲20)及び弁論の全趣旨によれば、原告は、平成30年5月31日、Hに対し、インシデント対応支援コンサルティング業務の委託料として540万円を支払ったことが認められるところ、原告は、本件不正アクセスのような大規模かつ重大なインシデントへの対応には、ネットワーク技術に関する知識やインシデント発生時の対応についての専門的知識及び経験が必 要不可欠であるから、原告がHに対して原告が採るべき対応に係るコンサルティング業務を委託したことによる上記の費用は、被告の債務不履行と相当因果関係のある通 ての専門的知識及び経験が必 要不可欠であるから、原告がHに対して原告が採るべき対応に係るコンサルティング業務を委託したことによる上記の費用は、被告の債務不履行と相当因果関係のある通常損害である旨の主張をする。 そこで検討するに、上記の業務の委託は、その内容に照らし、上記⑴で認定したインシデント対応の基本手順の③初動対応及び証拠保全並びに④当局対応及び情報開示に係る対応に係るコンサルティング業務であると認められ、また、本件システムの規模や本件不正アクセスの内容に照らし、原告において専門的知識や経験を前提としたコンサルティング業務を依頼することも合理的であるというべきであるから、上記の540万円の費用は、被告の債務不履行と相当因果関係のある通常損害と認めるのが相当である。 ⑶ 保護者・教職員宛て通知のための郵送料等 370万0766円証拠(甲21、22の1・2)及び弁論の全趣旨によれば、原告は、園児、児童、生徒の保護者(4万2983名)及び教職員関係者(1316名)宛てに、本件不正アクセスに係る事情の説明、情報流出に関するコールセンター設置の案内及び謝罪の通知文書を送付したが、その費用の支払として、①丸菱紙工株式会社に対して窓空封筒の印刷費用として平成30年4月23日頃に31万5900円を、②日本郵便株式会社に対して郵送料等として同年5月頃に328万2424円及び同年6月頃に10万2442円をそれぞれ支払ったことが認められるところ(以上の合計は370万0766円)、原告は、本件不正アクセスにより個人情報が流出した可能性のある園児、児童、生徒の保護者及び教職員関係者宛てに通知を発し、その経緯の説明や注意喚起を図ることは市民への情報開示として必要な措置であることから、これにかかった郵送料等の費用は、被告の債務 能性のある園児、児童、生徒の保護者及び教職員関係者宛てに通知を発し、その経緯の説明や注意喚起を図ることは市民への情報開示として必要な措置であることから、これにかかった郵送料等の費用は、被告の債務不履行と相当因果関係のある通常損害である旨の主張をする。 そこで検討するに、上記1⑷エで認定したとおり、本件不正アクセスにより、児童、生徒、その保護者等に係る多数の個人情報が流出した可能性が非 常に高いことが判明したことに照らすと、原告が、上記⑴で認定したインシデント対応の基本手順の④当局対応及び情報開示や⑥事後対応として、その児童、生徒、保護者等及びその関係者に対して通知を発し、その経緯の説明や注意喚起を図ることは必要かつ相当のものということができるから、上記の370万0766円の費用は、被告の債務不履行と相当因果関係のある通常損害と認めるのが相当である。 ⑷ 職員時間外勤務手当分等 455万8066円証拠(甲42)及び弁論の全趣旨によれば、原告は、本件不正アクセスを受けての対応として、個人情報の流出の可能性に不安を抱いた市民からの問い合わせに対応するためのコールセンターを設置し、原告市教委の事務局職員をして同センターの事務に従事させるとともに、同事務局職員をして上記⑶の通知文書の発出等の事務にも従事させたが、同事務局職員はこれらの事務の遂行のために時間外労働を行わざるを得ず、これにより、原告は、同事務局職員の時間外労働手当分及び週休日の振替等の対応により低下した労働力分(振替休暇対応分については時間外手当が支給されたものとして算出)として合計455万8066円を支出ないし負担したことが認められるところ、原告は、上記の支出ないし負担は、被告の債務不履行と相当因果関係のある通常損害に当たる旨の主張をする。 されたものとして算出)として合計455万8066円を支出ないし負担したことが認められるところ、原告は、上記の支出ないし負担は、被告の債務不履行と相当因果関係のある通常損害に当たる旨の主張をする。 そこで検討するに、原告が、本件不正アクセスを受けての対応として、コールセンターを設置し、また、上記⑶の通知文書の発送をすることは、上記⑶で説示したとおり、必要かつ相当なものであると認められるから、そのために要した上記の455万8066円の支出ないし負担は、被告の債務不履行と相当因果関係のある通常損害と認めるのが相当である。 ⑸ 第三者委員会委員報酬等 112万8560円証拠(甲24)及び弁論の全趣旨によれば、原告は、本件不正アクセスを受けての対応として、第三者委員会である本件委員会を設置し、平成30年 7月5日頃、同委員会の委員3名に対し、委員報酬及び委員旅費として合計112万8560円を支払ったことが認められるところ、原告は、本件不正アクセスが重大な事案であり、行政機関として市民に対して説明責任を負っていたところ、結論が恣意的にならないよう、MENETの関係者から独立した本件委員会を設置して、事実関係の明確化の観点から、本件不正アクセスの原因究明を行う必要があったのであるから、本件委員会の委員報酬及び委員旅費は、被告の債務不履行と相当因果関係のある通常損害に当たる旨の主張をする。 そこで検討するに、上記1⑷エで認定したところによれば、本件不正アクセスで流出した可能性のある個人情報は、センシティブな内容を含むものであり、その情報流出の規模も大規模なものであったということができるから、上記⑴で認定したインシデント対応の基本手順の②インシデント情報の分析、④当局対応及び情報開示並びに⑤原因分析及び再発防 ものであり、その情報流出の規模も大規模なものであったということができるから、上記⑴で認定したインシデント対応の基本手順の②インシデント情報の分析、④当局対応及び情報開示並びに⑤原因分析及び再発防止を第三者的な視点から慎重に行うことは合理的であったということができるし、これに、本件不正アクセスに係る原因分析などについては、その性質及び内容に照らし、専門的な知見を要するものであることを併せ考えると、原告が本件不正アクセスを受けて本件委員会を設置して事実確認を行ったことは合理的な措置ということができるから、そのために要した上記の112万8560円の費用は、被告の債務不履行と相当因果関係のある通常生ずべき損害と認めるのが相当である。 ⑹ 各種外部ネットワーク調査業務(Web調査)委託料 1107万円証拠(甲25の1~11)及び弁論の全趣旨によれば、原告は、平成30年5月頃から同年12月頃までにかけて、株式会社Iに対し、WebMonitor調査サービスの費用として、少なくとも1107万円を支払っていることが認められるところ、原告は、本件不正アクセスにより流出した情報がインターネット上に存在するかどうか調査することは、市民に対する情報 開示及び事実関係の明確化に必要不可欠であり、また、その調査業務については、原告の職員での対応は不可能であったことから、情報技術の専門家へ委託する必要があったとして、原告が当該調査のために支出した上記の費用は、被告の債務不履行と相当因果関係のある通常損害に当たる旨の主張をする。 そこで検討するに、上記⑸アで認定したとおり、本件不正アクセスで流出した可能性のある個人情報は、センシティブな内容を含むものであり、その情報流出の規模も大規模なものであったということができるから、上記 こで検討するに、上記⑸アで認定したとおり、本件不正アクセスで流出した可能性のある個人情報は、センシティブな内容を含むものであり、その情報流出の規模も大規模なものであったということができるから、上記⑴で認定したインシデント対応の基本手順の②インシデント情報の分析並びに④当局対応及び情報開示の観点から、流出した可能性のある情報がインターネット上に存在するか否かを調査する必要性は高いといえ、また、その調査の性質上、専門的な知見を有する者に対して委託することも合理的であるということができるから、上記の調査業務に要した1107万円の費用は、被告の債務不履行と相当因果関係のある通常損害と認めるのが相当である。 ⑺ MENET校務系端末復旧作業業務委託料 3242万5380円証拠(甲27)及び弁論の全趣旨によれば、原告は、平成30年5月14日頃、B社に対し、MENETに接続されていた1892台の校務系PCのクリーンインストール(前橋市教育ネットワーク校務系端末復旧作業)の委託費用として3242万5380円を支払ったことが認められるところ、原告は、本件不正アクセスのように攻撃者にシステム特権を奪われた場合、今日のコンピュータシステムは複雑であるから、悪意あるプログラムを仕掛けられていないことを保証することは不可能に近いため、引き続きコンピュータを安全に利用するためには、クリーンなシステムを再構築する必要があり、その方法として、信頼できるメディアからクリーンなシステムの再インストールをすることが合理的であるから、そのための費用は、被告の債務不履行と相当因果関係のある通常損害に当たる旨の主張をする。 そこで検討するに、①上記1⑻イで認定したとおり、インシデントが起きた際の本格的な対応として、攻撃者にシステム特権を奪われた 当因果関係のある通常損害に当たる旨の主張をする。 そこで検討するに、①上記1⑻イで認定したとおり、インシデントが起きた際の本格的な対応として、攻撃者にシステム特権を奪われた場合には、悪意あるプログラムを仕掛けられていないことを検出し、それが存在しないことを保証することは不可能に近く困難であることから、原則としてクリーンなシステムを再構築する必要があり、信頼できるメディアからクリーンなシステムを再インストールする必要があるとの記載がある資料があるところ、本件記録を見ても、上記の資料について、その内容の信用性を疑わせるに足りる的確な証拠は見当たらないことや、②上記1⑷ウのとおり、実際に、本件不正アクセスにおいて、攻撃者は、本件システムの個人情報保護ネットワーク内に設置されたドメインコントローラサーバに管理用アカウントで接続して、管理者権限を行使し、多数の個人情報が保存されたファイル共有サーバから各種ファイルを教育資料公開サーバに収集、保存したことが認められることに照らせば、原告が本件不正アクセスを受けての対応としてMENETに接続されていた1892台の校務系PCのクリーンインストールを行ったことは、合理的かつ必要なことであったということができるから、そのために要した上記の3242万5380円の費用は、被告の債務不履行と相当因果関係のある通常損害に当たると認めるのが相当である。 これに対し、被告は、本件不正アクセスの原因がバックドアと判明している以上、当該バックドアを取り除くことで足りる旨の主張をするが、上記で説示したところに照らせば、バッグドアを取り除くだけでは足りないことは明らかというべきであるから、被告の上記の主張は採用することができない。 また、被告は、仮にウイルスを除去するためにクリーンインスト 示したところに照らせば、バッグドアを取り除くだけでは足りないことは明らかというべきであるから、被告の上記の主張は採用することができない。 また、被告は、仮にウイルスを除去するためにクリーンインストールが必要であるとしても、本件不正アクセス以前に生じていたウイルスを除去するためにもともと必要なものであり、被告の債務不履行とは無関係である旨の主張もするところ、上記1⑺イで認定したところによれば、本件システムには、本件不正アクセスの以前から、複数のウイルスが存在していたことが認 められるものの、本件記録を見ても、それらのウイルスに対処するためにクリーンインストールが必要であったというべき事情はうかがわれないから、被告の上記の主張は採用することができない。 ⑻ MENET学習系端末復旧作業業務委託料 4349万8080円証拠(甲28)及び弁論の全趣旨によれば、原告は、平成30年8月30日、B社に対し、MENET学習系端末復旧作業業務(前橋市教育情報ネットワーク学習系端末等復旧作業)の委託費用として4349万8080円を支払ったことが認められるところ、原告は、前橋市内の小中学校等では、学習系端末として、学習用タブレットPCが各学校に41台と指導者用タブレットPCが各学級数分配備されており、これらもMENETに接続されていたところ、これらのタブレットPCについても、本件不正アクセスにより悪意のあるプログラムを仕掛けられた可能性があったから、児童生徒の学習のために継続して安全に利用するため、合計3822台(学習用2844台、指導者用978台)についてクリーンインストールを行う必要があったのであるから、これに要した費用は、被告の債務不履行と相当因果関係のある通常損害に当たる旨の主張をする。 そこで検討するところ、 者用978台)についてクリーンインストールを行う必要があったのであるから、これに要した費用は、被告の債務不履行と相当因果関係のある通常損害に当たる旨の主張をする。 そこで検討するところ、上記⑺で認定及び判断をしたのと同様に、本件不正アクセスにおいて、本件システムの個人情報保護ネットワーク内に設置されたドメインコントローラサーバに管理用アカウントで接続して、管理者権限を行使されたのであるから、それに接続されたタブレットPCについてもクリーンインストールを行うことは必要な対応であったということができるから、これに要した上記の4349万8080円の費用は、被告の債務不履行と相当因果関係のある通常損害に当たると認めるのが相当である。 ⑼ 連絡手段確保のためのノートPCリース代 248万6484円証拠(甲29、30)及び弁論の全趣旨によれば、原告は、平成30年7月頃、J株式会社に対し、インターネット環境の整備のための学校配備用ノ ートパソコン賃貸借業務のリース料として238万7664円を支払い、また、平成30年6月25日頃、B社に対し、インターネット環境構築のためのPC回収・配布業務として9万8820円を支払ったことがそれぞれ認められるところ(合計248万6484円)、原告は、上記につき、本件不正アクセスが発覚した後の平成30年3月26日、MENET全体をインターネットから完全切断したことから、同年4月16日から同年6月15日までの2か月間、インターネットの利用できるリースのノートPCを各学校へ1台ずつ配備して最低限の連絡手段を確保し、その後もMENET復旧の目途が立たなかったことから、各学校で保管されていたリースアウトPC70台を選別し、それらをクリーンインストールし、各学校に1台ずつ追加配備したことに要 の連絡手段を確保し、その後もMENET復旧の目途が立たなかったことから、各学校で保管されていたリースアウトPC70台を選別し、それらをクリーンインストールし、各学校に1台ずつ追加配備したことに要した費用であり、被告の債務不履行と相当因果関係のある通常損害に当たる旨の主張をする。 そこで検討するに、前提事実⑵ア及び上記1⑻イによれば、①MENETは、インターネットへの接続を含めた市内各学校(園)、教育機関等を結ぶ情報通信ネットワークであること、②インシデントの暫定的対応として、ネットワーク接続の切断、サービスの停止などを行うべきであることを指摘する資料があることがそれぞれ認められ、これらの事実に加えて、本件記録を見ても、上記②の資料について、その内容の信用性を疑わせるに足りる的確な証拠は見当たらないことに照らせば、本件不正アクセスを受けての対応として、原告が情報通信ネットワークであるMENETのネットワークをインターネットから切断しサービスを停止することは、必要なものであり、かつ、これにより市内各学校(園)、教育機関等を結ぶ情報通信ネットワークが一時的に遮断されるため、各学校への最低限の連絡手段の確保をして事業継続を行うに当たって、上記のノートPCのリースやリースアウトPCのクリーンインストールを行うことは必要かつ相当なものであったということができるから、そのために要した上記の248万6484円の費用は、被告の債務不 履行と相当因果関係のある通常損害に当たると認めるのが相当である。 ⑽ MENET再構築に関する情報セキュリティ支援業務委託料原告は、本件不正アクセスの発生により、MENETの再構築を余儀なくされ、その際の安全性確保のためのシステム要件定義や設計等のセキュリティ面に関し、外部専門家による ュリティ支援業務委託料原告は、本件不正アクセスの発生により、MENETの再構築を余儀なくされ、その際の安全性確保のためのシステム要件定義や設計等のセキュリティ面に関し、外部専門家による総合的な技術支援を受ける必要があったことから、それをHに委託し、その費用として218万8400円を支出したとし、これが被告の債務不履行と相当因果関係のある通常損害に当たる旨の主張をする。 しかし、証拠(甲31)によれば、上記の支援業務の内容は、本件システムの内容や管理体制の再検討などの本件不正アクセスの再発防止を主眼とするものであり、MENETの機能の追加又は増強に係るものと認めるのが相当であり、これは、MENETを本件不正アクセス前の状態に戻すために必要なものとはいえないから、被告の債務不履行と相当因果関係のある損害であると認めることはできず、原告の上記の主張は採用することができない。 ⑾ MENET再構築業務委託料 1653万4886円証拠(甲33、乙8)及び弁論の全趣旨によれば、原告は、平成31年1月16日頃、被告に対し、MENET再構築業務の報酬として3913万9200円を支払ったが、そのうちの2260万4314円は、MENETの機能の追加又は増強に係る費用であったことが認められるところ、原告は、本件不正アクセスの発生により、MENETの再構築を余儀なくされたところ、情報セキュリティ対策は日進月歩であり、数年前のシステムと同様のセキュリティ対策では信頼の回復は困難であるから、システムの再構築をするに当たっては、その時点で文部科学省が求めるセキュリティ水準に合致するように行う必要があり、また、同水準に合致するシステムの再構築は、本件不正アクセスの被害者である園児、児童、生徒及びその保護者の不安を解消するために必要 文部科学省が求めるセキュリティ水準に合致するように行う必要があり、また、同水準に合致するシステムの再構築は、本件不正アクセスの被害者である園児、児童、生徒及びその保護者の不安を解消するために必要なものであったといえ、上記の3913万9200円の費用 の全額が、被告の債務不履行と相当因果関係のある通常損害である旨の主張をする。 そこで検討するに、MENETを本件不正アクセス以前の状態に再構築すること自体は、その内容に照らし、被告の債務不履行と相当因果関係のある通常損害であることは明らかというべきであるが、他方で、上記⑽で説示したのと同様に、MENETの機能の追加又は増強に関係する部分については、被告の債務不履行と相当因果関係のある損害であると認めることはできない。 これに対し、原告は、本件におけるMENETの機能追加又は増強は、本件不正アクセスによりMENETを急遽再構築する必要が生じたため、必要となったものであり、また、仮に本件不正アクセス時において潜在的に同様の機能追加又は増強が必要であったとしても、実際にそれを構築する時期は、更新時期に新たに検討されて決まるものであって、少なくとも本件と同じ時期に同様の機能追加又は増強が実施されることはなかった旨の主張をするが、MENETの機能追加又は増強が、本件不正アクセスを契機として行われたものであるとしても、本件不正アクセスの有無にかかわらず適時に必要となるものであって、本件不正アクセスがなければその時期に必要がなかったという関係にはないから、原告の上記の主張は採用することができない。 以上によれば、次の計算式のとおり、原告のMENET再構築業務委託料に係る損害は、1653万4886円の限度で認められるとするのが相当である。 (計算式) ができない。 以上によれば、次の計算式のとおり、原告のMENET再構築業務委託料に係る損害は、1653万4886円の限度で認められるとするのが相当である。 (計算式)3913万9200円-2260万4314円=1653万4886円⑿ C学校校内ネットワーク再構築業務委託料原告は、C学校は独自のネットワークを構築していたところ、そのネットワークがMENETと接続している状態であったことから、本件不正アクセスにより、校内PCのクリーンインストールを行うとともに校内ネットワー クの再構築を余儀なくされ、その費用として194万1602円を支出したとし、この費用は、被告の債務不履行と相当因果関係のある通常損害である旨の主張をする。 しかし、独自のネットワークを構築していたC学校の機器については、そのネットワークにも独自のセキュリティ機能があることが推認できることに照らせば、そのネットワークがMENETと接続している状態であったということから、直ちに、校内PCのクリーンインストールを行うとともに校内ネットワークの再構築をする必要があったとまでは認め難いというべきであり、その他、本件記録を見ても、その必要性があったことを認めるに足りる的確な証拠は見当たらないから、原告の上記の主張は採用することができない。 ⒀ 学校評価システム共有フォルダ利用型構築作業業務委託料原告は、本件不正アクセスにより、MENETのデータセンター内にあった独立したサーバである学校評価システム共有フォルダ利用型が汚染された可能性があったことから、サーバの再構築を行い、その費用として24万3000円を支出したが、この費用は、被告の債務不履行と相当因果関係のある通常損害である旨の主張をする。 型が汚染された可能性があったことから、サーバの再構築を行い、その費用として24万3000円を支出したが、この費用は、被告の債務不履行と相当因果関係のある通常損害である旨の主張をする。 しかし、本件記録を見ても、独立したサーバ(DMZネットワークや個人情報保護ネットワーク等から独立しているサーバ。甲8・6頁参照)である学校評価システム共有フォルダ利用型の再構築が必要であるということを認めるに足りる的確な証拠は見当たらないから、原告の上記の主張は採用することができない。 ⒁ 指導者用タブレットPC周辺機器購入費用原告は、本件不正アクセス発生の後、MENETの再構築に伴い、校務系ネットワークに接続する端末、学習系ネットワークに接続する端末の計2台の端末の配置が必要となったところ、端末が複数になると作業効率が悪化す ることから、2台の端末で一組のモニター、キーボード及びマウスの入出力デバイスを共有できるように周辺機器を配備する方法により、本件不正アクセス前と同様の作業効率を確保したが、これに要した指導者用タブレットPC周辺機器購入費用424万2499円は、被告の債務不履行と相当因果関係のある通常損害である旨の主張をする。 しかし、本件記録を見ても、上記のタブレットPC周辺機器がなければ従来の作業効率を確保できないとの事実を認めるに足りる的確な証拠は見当たらないから、原告の上記の主張は採用することができない。 ⒂ DNSサーバ移行費用原告は、本件不正アクセスによるMENETの再構築に伴い、DMZネットワークを撤去することとなり、同ネットワーク内にあったDNSサーバを外部のクラウドサービスにおいて利用する必要が生じたとし、同サーバ移行費用6万2640円は、被告の債務不履行と相当因果関係の ネットワークを撤去することとなり、同ネットワーク内にあったDNSサーバを外部のクラウドサービスにおいて利用する必要が生じたとし、同サーバ移行費用6万2640円は、被告の債務不履行と相当因果関係のある通常損害である旨の主張をする。 しかし、本件記録を見ても、本件不正アクセスを契機としてMENETを再構築する際に、DMZネットワークを撤去する必要があったと認めるに足りる的確な証拠は見当たらないから、原告の上記の主張は採用することができない。 ⒃ 弁護士費用 1299万8222円原告が本訴事件の訴訟追行を弁護士に委任していることは、当裁判所に顕著な事実である。 ところで、上記2⑵で説示したとおり、原告の被告に対する債務不履行に基づく損害賠償請求は、本件委託契約の本来的債務の不履行を問題とするものではあるが、同契約の内容は、MENETのデータセンターの移管設計及び構築業務というものであり、その理解のためにはシステム開発に係るある程度の専門的知見を要するものと認められる上、原告が求めている損害は、 いわゆる拡大損害であり、その主張立証に当たっても、同様にシステム開発に係るある程度の専門的知見を要するものと認められるのであり、このような事案の内容に照らせば、本件は、弁護士に訴訟追行を委任しなければ十分な訴訟活動をなしえないものであると認めるのが相当である。 そうであれば、原告が本訴事件の訴訟追行を弁護士に委任したことにより要した弁護士費用は、事案の難易、請求額、認容された額その他諸般の事情を斟酌して相当と認められる額の範囲内のものに限り、被告の債務不履行と相当因果関係がある損害というべきであり、本件における上記の諸事情に照らせば、被告の債務不履行と相当因果関係の弁護士費用に係る損害は、上記⑴ないし⑼及び る額の範囲内のものに限り、被告の債務不履行と相当因果関係がある損害というべきであり、本件における上記の諸事情に照らせば、被告の債務不履行と相当因果関係の弁護士費用に係る損害は、上記⑴ないし⑼及び⑾で認めた損害額の合計の1億2998万2222円の約1割に相当する1299万8222円と認めるのが相当である。 ⒄ 以上によれば、原告の総損害額は、1億4298万0444円(1億2998万2222円+1299万8222円)である。 7 争点⑴カ(被告の債務不履行に係る帰責事由の不存在)について被告は、被告が原告に対して納品した完成図書には、外部ファイアウォール及び内部ファイアウォールについて実際にされた設定が記載されており、原告はその設定について了解ないし認識していたし、また、原告には本件委託契約の9条の規定に基づき検査をする義務があったのであり、原告は上記の了解ないし認識のもと完成図書を検収していたのであるから、被告の債務不履行について、被告に責めに帰すべき事由はない旨の主張をする。 そこで検討するに、証拠(甲45、46の1・2)及び弁論の全趣旨によれば、被告は、平成27年9月30日、原告に対し、本件システムを納品した際、完成図書のデータも納品したが、その完成図書には、本件システムの外部ファイアウォールにつき、DMZネットワークから個人情報保護ネットワークを含む全ての内部ネットワークへの全ての通信を許可するとの設定になっており、同内部ファイアウォールにつき、DMZネットワークを含む全てのネットワー クからの個人情報保護ネットワークへの全ての通信を許可するとの設定になっているという、そのまま使用するには不適切な設定になっていることが記載されていたことが認められる。 そして、証拠(乙11)及び弁論の全趣旨に 報保護ネットワークへの全ての通信を許可するとの設定になっているという、そのまま使用するには不適切な設定になっていることが記載されていたことが認められる。 そして、証拠(乙11)及び弁論の全趣旨によれば、一般に、ソフトウェアに係るシステムの引渡しを受ける際の検査に当たり、依頼者は、同システムがその要求する要件を満足するか否かのチェックをすべきであるということはできるものの、他方で、証拠(甲45、46の1・2)によれば、本件システムの完成図書は、大部であり、かつ、コンピュータ言語で記載されているものであることが認められるのであり、そのような本件システムの完成図書の交付を受けた者がその全体を見て本件システムが自らの要求を満たすものであるか否かを確認することは現実的に困難であり、不可能に等しいものというべきである。 しかも、上記1⑴で認定したとおり、本システムについて、①提案依頼書、提案書、要件定義書及び基本設計書には、外部ファイアウォール及び内部ファイアウォールにより通信制限を行うものと記載されていること、②設計方針及び基本設計書には、データセンター内理論接続図及び通信制限イメージにおいて、DMZネットワークと個人情報保護ネットワークとをつなぐ通信経路が存在しないことに照らせば、原告において、被告から提供された本件システムにおいて、外部ファイアウォール及び内部ファイアウォールが上記のように不適切な設定になっていることは想定し難い事実であったということもできる。 以上のほか、原告と被告との間のコンピュータシステムの構築などの専門性には相当の格差があることは、当裁判所に顕著な事実であり、このことを併せ考えると、被告が原告に対して本件システムを引き渡した時点において、原告に対してファイアウォールの不適切な設定について告知ないし説明をしていた があることは、当裁判所に顕著な事実であり、このことを併せ考えると、被告が原告に対して本件システムを引き渡した時点において、原告に対してファイアウォールの不適切な設定について告知ないし説明をしていたというのであれば格別、そうでない以上、被告に責めに帰すべき事由がないということはできないというべきであり、被告の上記の主張は採用することがで きない。 8 争点⑴キ(責任限定契約の適用の有無)について被告は、原告との間で、平成27年5月11日、本件委託契約の17条の規定により、同契約における被告の損害賠償責任の範囲につき、契約金額を限度として現実に生じた通常の直接損害を賠償するものとする旨の契約(本件責任限定契約)をしており、被告が賠償すべき損害は、本件委託契約の契約金額である1億0480万0500円が限度となる旨の主張をする。 そこで検討するに、本件委託契約の17条は、ソフトウェアの開発に係る契約に関連して生じる損害額が、その契約の性質上、想定外に多額に上るおそれがあることから、被告が原告に対して負うべき損害賠償金額を契約金額の範囲内に制限し、被告はそれを前提として当該契約の金額を設定できるという意味で一定の合理性がある約定であるということはできるが、他方で、被告が、権利・法益侵害の結果について故意又は重過失がある場合にまで、当該条項によって被告の損害賠償義務の範囲が制限されるということは著しく衡平を害するものであり、当事者の通常の意思に合致していないというべきであるから、本件委託契約の17条は、被告に故意又は重過失がある場合には適用されないと解するのが相当である(東京地裁平成26年1月23日判決・判例時報2221号71頁参照)。 そして、上記2及び7で認定及び判断をしたところによれば、被告は、原告 失がある場合には適用されないと解するのが相当である(東京地裁平成26年1月23日判決・判例時報2221号71頁参照)。 そして、上記2及び7で認定及び判断をしたところによれば、被告は、原告との間で、本件委託契約の前後における提案依頼書、提案書、要件定義書、設計方針及び基本設計書において、外部ファイアウォールないし内部ファイアウォールによる外部からのアクセス制限を行うことを複数回にわたって確認していたことが認められるから、被告が原告に対して不適切な設定のまま本件システムを引き渡したことは、単純かつ明白なミスであるというべきであり、かつ、被告が情報セキュリティについて高度な専門的知見を有していることを併せ考えると、被告には本件委託契約の債務不履行について少なくとも重過失がある ことは明らかというべきである。 以上によれば、原告の被告に対する本件委託契約の債務不履行に基づく損害賠償請求に係る損害額について、本件委託契約の17条の規定を適用することはできないから、被告の上記の主張は採用することができない。 9 本訴事件のまとめ以上によれば、本訴事件のうち原告の被告に対する債務不履行に基づく損害賠償請求は、損害賠償金1億4298万0444円及びこれに対する請求の日の翌日である平成31年1月29日から支払済みまで平成29年法律第45号による改正前の商事法定利率年6分の割合による遅延損害金の支払を求める限度で理由があり、その余は理由がなく、また、本訴事件のうち原告の被告に対する不法行為に基づく損害賠償請求は理由がない。 10 争点⑵ア(原告と被告との間の準委任契約の成否)について被告は、原告が、被告に対し、①各教育機関に配布したノートPCをインターネットに接続するためのモバイルルータを手配する い。 10 争点⑵ア(原告と被告との間の準委任契約の成否)について被告は、原告が、被告に対し、①各教育機関に配布したノートPCをインターネットに接続するためのモバイルルータを手配すること、②デジタルフォレンジックを行うこと、③各教育機関に設置されたネットワーク対応HDのクレンジング作業を行うことの各事務を委託した旨の主張をする。 しかし、上記①については、上記1⑸イによれば、MENET推進委員会委員のDが、被告に対し、各教育機関に1ないし2台のインターネットに直接接続できる環境を用意してもらえないかといった内容のメールをしていることは認められるものの、Dが原告の正式な職員でないとの点を措いて考えたとしても、上記のメールの内容に照らせば、同メールの送信のみで受任者による費用等の償還請求義務を負うことなどを前提とした準委任契約の申込みとまで認めることはできないというべきである。 また、上記②については、上記1⑸アによれば、原告は、被告との打ち合わせにおいて、被告に対し、デジタルフォレンジックの手配をするよう催促したことが認められるものの、上記と同様にそれのみで準委任契約の申込みがあっ たと認めるには足りないというべきである。 さらに、上記③については、本件記録を見ても、原告が被告に対して各教育機関に設置されたネットワーク対応HDのクレンジング作業の事務を委託したと認めるに足りる的確な証拠は見当たらない。 以上によれば、上記①ないし③のいずれについても準委任契約の成立は認められず、被告の上記の主張はいずれも採用することができない。 11 反訴事件の主位的請求のまとめ上記10で認定及び判断をしたところによれば、争点⑵アについて判断するまでもなく、反訴事件のうち被告の原告に対する主位的請求(準 することができない。 11 反訴事件の主位的請求のまとめ上記10で認定及び判断をしたところによれば、争点⑵アについて判断するまでもなく、反訴事件のうち被告の原告に対する主位的請求(準委任契約に基づく費用等償還請求)は理由がない。 12 争点⑵イ(営業の範囲内における他人のための行為の有無及び当該行為の相当費用の額)について被告は、自らの営業の範囲内において、原告のために、モバイルルータの手配、MENETサーバのフォレンジック及びNASクレンジング作業を行い、その報酬は、当該各作業に現に要した費用である1159万3184円を下らない旨の主張をする。 そこで検討するに、上記1⑸イによれば、Dは、被告に対し、各教育機関に1ないし2台のインターネットに直接接続できる環境を用意してもらえないかといった内容のメールをしているところ、証拠(甲54、乙1、9)によれば、DがMENET推進委員会の委員として、本件不正アクセスに係る対応について、原告市教委と被告の職員らが参加する打ち合わせや被告との連絡などを自ら行っていることが認められることからすれば、Dは少なくとも原告側の立場の者であるという外見を有していたということができる。また、上記1⑸アによれば、原告は、被告との打ち合わせにおいて、被告に対し、デジタルフォレンジックの手配を催促したことがそれぞれ認められる。そして、上記1⑹によれば、被告は、実際にモバイルルータを手配し、MENETサーバのデジタル フォレンジックを行っていることが認められる。以上によれば、被告は、上記のような依頼を踏まえて、その営業の範囲内において、原告のために、モバイルルータの手配やMENETサーバのフォレンジックを行ったものと認められるから、これらのために要した費用の金額は 、被告は、上記のような依頼を踏まえて、その営業の範囲内において、原告のために、モバイルルータの手配やMENETサーバのフォレンジックを行ったものと認められるから、これらのために要した費用の金額は、少なくとも相当報酬の金額に当たると認めるのが相当である。 そして、上記1⑹で認定したところ及び証拠(乙2の1~11、乙4)によれば、被告は、平成30年5月頃から平成31年4月頃までにかけて、F株式会社に対し、原告に提供したモバイルルータの通信料として合計563万4073円を支払い、また、平成30年3月26日、株式会社Eに対し、MENETサーバのフォレンジック調査業務を委託し、同年4月13日頃、その報酬として388万8000円を支払ったことがそれぞれ認められ、これらの合計952万2073円をもって相当の報酬の金額と認めるのが相当である。 他方で、被告は、NASクレンジング作業を行った旨の主張をするが、本件記録を見ても、そのような事実を認めるに足りる的確な証拠は見当たらないから、被告の上記の主張は採用することができない。 13 争点⑵イ(無償で行うことの合意の成否)について原告は、原告と被告は、被告がモバイルルータの手配、MENETサーバのデジタルフォレンジックを無償で行うとの合意をした旨の主張をする。 しかし、上記12で認定及び判断したとおり、相当な報酬の算定の基礎となる費用も相当程度高額である上に、本件記録を見ても、原告と被告との間でモバイルルータの手配及びMENETサーバのフォレンジックを無償で行うとの合意をしたと認めるに足りる的確な証拠は見当たらないから、原告の上記の主張は採用することができない。 14 反訴事件の予備的請求のまとめ上記12及び13で認定及び判断をしたところによれば、反訴事件のうち被 に足りる的確な証拠は見当たらないから、原告の上記の主張は採用することができない。 14 反訴事件の予備的請求のまとめ上記12及び13で認定及び判断をしたところによれば、反訴事件のうち被告の原告に対する予備的請求(商法512条の規定に基づく報酬請求)は、報酬9 52万2073円及びこれに対する請求をした日の翌日である平成31年4月10日から支払済みまで平成29年法律第45号による改正前の商事法定利率年6分の割合による遅延損害金の支払を求める限度で理由があり、その余は理由がない。 第4 結論よって、主文のとおり判決する。 前橋地方裁判所民事第2部 裁判長裁判官杉山順一 裁判官板野俊哉 裁判官竹内峻
▼ クリックして全文を表示