個人情報の取り扱い 以前の作成データも対象？

2002年頃にショッピングカートを作成（シェアウェアプログラムの設置）したのですが、それが最近、個人情報が漏れているらしいことが発覚しました。

この時点では個人情報云々という規制はそれほど無かったと思うのですが、その時点で作成、もしくはプログラムの設置をしたものの責任も問われますでしょうか？

制作後の経過としては‥
制作の後に法が改定されて、通信サイトのプロセス変更（いきなり購入ではなく、確認画面を挟むこと）や個人情報の取り扱いが変更になったので、プログラムの変更を先方には提案したこともあるのですが、その際には聞き入れてもらえませんでした。

No.1 回答者： bls 回答日時： 2007/10/20 14:45

ここでは二言目には個人情報保護法をかざすバカがいますが、まず個人情報保護法の観点からアプローチするのなら運営会社が個人情報保護法に該当する企業かどうかの確認が必要です。

たしかに５０００人以上の個人情報を常時扱うとか、一定規模以上が対象となるため、それ未満は個人情報保護法の保護範囲外です。
ただし、個人情報保護法以前より個人情報の漏洩に対する精神的苦痛などは民事上の不法行為として損害賠償の対象とはなります。

責任の所在については、顧客は店などショッピングカートの運営会社に賠償を求めることとなり、運営会社は瑕疵担保責任としてプログラム設置者に賠償を求めることとなります。
ただし、一般にプログラム開発は、プログラムの瑕疵による賠償請求の放棄を前提として開発しているはずです。
しかし、この条項を入れた契約書を交わしていない場合は、残念ながら賠償責任を追う可能性があります。