(前略)

• セキュリティ対策についてX社からの指示はなかったが、Y社は必要なセキュリティ対策を講じる義務（債務）があり、それを怠った債務不履行がある
• Y社は、SQLインジェクションはカード情報とは無関係の箇所にあったので、この脆弱性が原因ではないと主張したが、裁判所はこの主張を退けた

(中略)
SQLインジェクション脆弱性が（要求仕様に明記されていないにもかからわず）受注者の重過失であると認定した点にも注目する必要があります。今後は、開発会社は自衛のため、せめて「安全なウェブサイトの作り方」に載っている脆弱性くらいは、顧客から要求がなくても、対策しておくべきでしょう。
(中略)
「専門家なのだからそれくらいやって当たり前」ということではないでしょうか。
(後略)

http://blog.tokumaru.org/2015/01/sql.html?m=1

これは…ひどい判決。
当然だけれど、ＳＱＬインジェクション脆弱性対策ってのは、それだけで金が取れる改修案件であり、やれば相応に工数も掛かるから、まず「タダでは出来ない改修」である。
これをきちんと「工数」として乗っけて文句が来ないなら、最初からこんな問題は起きなかったのではなかろうか。
ＷＥＢシステム運用に関するコンサル的な保守業務まで契約しているならともかく、自前のサイトならＷｅｂサイトの管理者(依頼主)側も積極的に勉強して保守していくのが一般的。*1
それらを「専門家だから」の一言で払ってない費用の分までＳＩｅｒ側に押し付けられても困ると思うのだが。