SQLインジェクション脆弱性でクレジットカード情報が漏洩
→ソフトメーカーに責任あり、という判決
********************************************************
細かいところはさておき、これ結構怖いなぁと思うわけですよ。

実際、SI（システム開発）の現場では、セキュリティに対する意識が低いお客さんなんて山ほどいる。どことはいえないけど、暗号化ロジックが数世代前とか。
で、日本のSIって基本は受注にあわせていろいろ作るパターンなので、機能の選択権は完全に客側に一任されてる。
製品とかだと、スペックが決まってるものをお客さんが買うだけなので、きちんと仕様書を漏れなく作っておけば、「こんなはずじゃなかった！」とはならない（ハズ。実際はなるんだけどさ）
そうなっちゃうと、当たり前だけど、客とSIerの知識のレベルを超えた成果物ってのは出てこない。
言われてみれば当然だけど、IT業界では頭の痛い問題だなぁと思う。
通常、知識のレベルの最低ラインを担保しようと思ったら、資格とか、免許とかが必要になるわけ。とあるレベルの知識が絶対に必要な仕事につける代わりに、知識不足で失敗を起こせば責任を問われる。
で、ＩＴ業界ですが恐ろしいことに免許がないのです。（資格はあります）
ある程度わかってるお客さんは開発要件に「担当者は～～資格保有者（相当の知識保有者）」とかって指定してくる。
ただ、こういう指定をしないお客さんももちろんいて、そういう現場では猫でも杓子でもセキュリティ担当者になれる。

今回の判決文だと
-------------------------------------------------------------
そこで検討するに，証拠（甲１４，２５，２９）によれば，経済産業省は，平成１８年２月２０日，「個人情報保護法に基づく個人データの安全管理措置の徹底に係る注意喚起」と題する文書において，ＳＱＬインジェクション攻撃によってデータベース内の大量の個人データが流出する事案が相次いで発生していることから，独立行政法人情報処理推進機構（以下「ＩＰＡ」という。）が紹介するＳＱＬインジェクション対策の措置を重点的に実施することを求める旨の注意喚起をしていたこと，ＩＰＡは，平成１９年４月，「大企業・中堅企業の情報システムのセキュリティ対策～脅威と対策」と題する文書において，ウェブアプリケーションに対する代表的な攻撃手法としてＳＱＬインジェクション攻撃を挙げ，ＳＱＬ文の組み立てにバインド機構を使用し，又はＳＱＬ文を構成する全ての変数に対しエスケープ処理を行うこと等により，ＳＱＬインジェクション対策をすることが必要である旨を明示していたことが認められ，これらの事実に照らすと，被告は，平成２１年２月４日の本件システム発注契約締結時点において，本件データベースから顧客の個人情報が漏洩することを防止するために，ＳＱＬインジェクション対策として，バインド機構の使用又はエスケープ処理を施したプログラムを提供すべき債務を負っていたということができる。
---------------------------------------------------------------
こんな感じなんだけど、ざっくり言うと
「専門家であるソフトメーカーは一般的なセキュリティ対策を行わなければならない」
「SQLインジェクション対策はIPAが注意喚起をしている」
「SQLインジェクション対策は行うべき一般的なセキュリティ対策である」
ってことです。
この行間に、恐ろしい一文が実は仕込まれていて、
「専門家は、IPAの出す注意喚起文書くらいは読まなければならない」
ってことね。
こうじゃなかったら、「IPAが出した文書に載ってるから専門家は警告しなきゃいけない」なんて理屈にはならない。

もし、セキュリティ関係の技術者が免許制なら、まったく問題ないと思うんですね。
一定の水準の知識レベルを維持する義務がある、っていう縛りがあっても。
********************************************************

続きは近いうちに書きます。