ここから本文です

サーバ屋がデータを飛ばしただと? 1億円払ってもらえ!

@IT 8月3日(水)6時10分配信

 IT訴訟事例を例にとり、トラブルの予防策と対処法を解説する本連載。前回までは3回に渡って「多段階契約」にまつわる争いを解説した。

【その他のイメージ画像】預かった“だけ”のつもりだったのに……

 今回は、顧客から預かったデータの管理をめぐる裁判例を解説する。

 データを格納したサーバを運用するインターネットプロバイダーが、誤って顧客のデータを滅失(めっしつ)させてしまったら、責任はどこまで及ぶのか。

 顧客のサーバを運用する立場の読者、顧客の情報を自社のサーバに入れて管理する立場の読者、そして業者にデータを預ける立場の読者にも、是非読んでいただきたい。

●レンタルサーバ業者が顧客のデータを滅失した裁判例

 まず、事件の概要を紹介しよう。

○東京地裁 平成13年9月28日判決より抜粋して要約
 ある建築業者がインターネットプロバイダーとレンタルサーバ契約を締結した。建築業者はレンタルしたサーバ上に宣伝用のWebサイトを開設し稼働していたが、プロバイダーはサーバを貸しているだけで、Webサイト自体の運用については請け負っていなかった。

 ところがある時、プロバイダーが運用上の都合から、Webサイトのデータファイルを別のディレクトリに移し替える作業を行った際、誤ってデータを滅失してしまった。このファイルは、もともと建築業者が自己のPC上で作成し、サーバに転送したものであったが、この時点ではPC上にデータが残っておらず、また、建築業者、プロバイダー共にファイルのバックアップを取っていなかったため、Webサイトは建築業者が再構築する他なかった。この再構築に当たり、プロバイダー側から建築業者側に作業量として仮払金3000万円が支払われたが、結果として建築業者が使った費用は400万円だった。

 作業は終了し、Webサイトは再開されたが、建築業者はプロバイダーに対して、その再構築費用と公開中断による逸失利益の損害賠償 約1億円(※)を求めて訴訟を提起した。

※約1億円=サーバ再構築費用5329万円と逸失利益8229万円の合計から、ベンダーの仮払金3000万円を引いた額

※実質的には「仮払い3000万円から幾らプロバイダーに返金するべきか」という裁判になる。また、実際の裁判はもう少し複雑だったが、記事の趣旨に照らして割愛した

--

 「再構築費用の支払い」については双方合意している。プロバイダーは「自社のミスでデータを滅失してしまった以上、仕方がない」との考えだろう。

 しかし「逸失利益」については主張が対立している。

 建築業者は、ある意味単純に「プロバイダーの不注意で損害を受けたのだから、それを賠償するのは当然」という考えだ。

 プロバイダーは、「自分たちはサーバをレンタルしただけで、データの保守、運用は行っていない。データの滅失に備えてバックアップを取っておくなどの策を取り、保全を図る責任は、データオーナである建築業者にある」として、逸失利益分、つまり再構築費用400万円を超える分の支払いを拒否している。

 本件では滅失したのがWebサイトのデータだったので、大きな被害は出なかった。しかし、これが個人情報の漏えいだったらどうだろう。

 例えば、レンタルサーバに何らかの脆弱(ぜいじゃく)性があり、顧客もしかるべき防御策を取っておらず個人情報が漏えいしてしまったら、プロバイダーはどこまで責任を負うべきなのだろうか。

●レンタルする“だけ”でもデータに責任を負うのか

 「サーバ内のデータ保全の責任」は、顧客とレンタルサーバ業者(プロバイダー)のどちらにあるのだろうか。裁判所の判断を見てみよう。

○東京地裁 平成13年9月28日判決より抜粋して要約(続き)
 一般に、物の保管を依頼された者は、その依頼者に対し、保管対象物に関する注意義務として、それを損壊又は消滅させないように注意すべき義務を負う。この理は、保管の対象が有体物ではなく電子情報から成るファイルである場合であっても、特段の事情のない限り、異ならない。

 裁判所は「レンタルサーバ業者の注意義務」(いわゆる「善良なる管理者の注意義務」)を認め、Webサイト再構築費用の400万円と逸失利益分400万円、合計800万円の支払いをプロバイダーに命じた(実際は「3000万円の仮払いから2200万円を返還を命じた」)。
--

 「800万円」は建築業者が請求していた「1億円」と比べれば小さいが、問題は額ではない。「裁判所が、再構築費用を超える支払いをプロバイダーに命じた」という点だ。

 PaaSであれSaaSであれ、「本来なら責任範囲外であるデータの保全の注意義務も、プロバイダーにある」と裁判所は判断したのだ。「データを壊したときの再構築費用」だけではなく、「データが壊れないように注意」し、かつ「壊れたときに損害が出ないように注意する」義務までもがプロバイダーにはあるということだ。

 これを個人情報漏えいに当てはめると、プロバイダーはサーバという「機械への攻撃」を防ぐだけではなく、「なりすまし」のように「サーバをすり抜けてデータを取得する攻撃」にも配慮しなければならないことになる。

 契約の内容はともかく、他者のデータをサーバに置いたら、全方位で「善良なる管理者の注意義務」が発生するということだ。

●データは守るのは誰なのか?

 しかし、プロバイダーができることは限られている。

 顧客に無断でデータを暗号化することは許されないだろうし、勝手にWebサイトのコードを書き換えてSQLインジェクション対策を打つこともできないだろう。

 となればプロバイダーにできるのは、「あらかじめ顧客とデータの保全について相談し、双方の役割と責任を決めておく」ことだ。今回の裁判例であれば、「データ滅失に備えたバックアップを、『どちらが』『どのタイミングで』取るのか」を決めておくべきだった。

 セキュリティの場合は、「想定される攻撃を洗い出し、それに『どのように対応するか』『どちらに何ができるか』を話し合っておく」必要がある。

 その上で、双方の「役割」と「責任」を契約書に記しておけば、何かあったときにも裁判にまではならない。さらに、こうした話し合いはデータの安全性向上につながる。

 契約書が難しければ覚書でも良い。少なくとも、「ウチはファイアウォールとサーバのID管理をやっておくので、後はお好きに……」ではデータは守れないし、争いの元にもなる。結局、「データは皆で守る」という覚悟が必要なのだ。

●専門家責任をまっとうすべし

 さらに注意してほしいのは、顧客がITセキュリティに明るくない場合は、彼らが「サーバとその上に載るシステムのセキュリティとして、何を考慮すべきか」の知識が十分にない場合がある、ということだ。

 そうしたときは、プロバイダーが顧客をリードして「セキュリティの考慮点を洗い出す」必要がある。システム開発における「ベンダーの専門家責任」と同じ考えだ。

 ここまでやらねば、プロバイダーやベンダーが「安全」であるとは言い難いのだ。

●細川義洋:ITコンサルタント
NECソフトで金融業向け情報システムおよびネットワークシステムの開発・運用に従事した後、日本アイ・ビー・エムでシステム開発・運用の品質向上を中心に、多くのITベンダーおよびITユーザー企業に対するプロセス改善コンサルティング業務を行う。2007年、世界的にも希少な存在であり、日本国内にも数十名しかいない、IT事件担当の民事調停委員に推薦され着任。現在に至るまで数多くのIT紛争事件の解決に寄与する。

最終更新:8月3日(水)6時10分

@IT