ここから本文です

サーバ事業者さん。契約は結んでいませんが、あなたを訴えます:IT訴訟解説

5/10(木) 7:00配信

@IT

 IT訴訟事例を例にとり、システム開発にまつわるトラブルの予防と対策法を解説する本連載、今回は「ホスティング業者が預かったデータの消失」にまつわる紛争を解説する。

クラウド上のデータを守るのは誰?(画像はイメージです)

●データの消失による紛争は珍しくない

 近年、クラウドコンピューティングが企業ITの主役の座を奪った感がある。自社内に置いていた各種のシステムをセールスフォースやAWSなどのサービスに置き換える企業が多くなっている。

 クラウドサービスを使うコストメリットは大きい。セキュリティ対策も、「自社内で体制やツールを整えて行うよりも、ITの専門家であるクラウドベンダーに任せた方が安心だ」という意見がある。

 確かに、日々高度化、複雑化するITセキュリティ技術を、専門家ではないユーザー企業が常時勉強し続け、必要な対策を適宜施すには、それなりの要員が必要だ。金銭的にも、工数的にも負担が大きい。

 さらに、そこまでしても専門の業者が行うレベルのセキュリティ対策を打てるとは限らない。高度なセキュリティインフラをそろえ、専門的な知識のあるメンバーがいるクラウドベンダーに自社のサーバと大切なデータの保守運用を任せることは合理的な判断といえよう。

 問題は、預けたプログラムやデータが破損したり、消失したりしたときの「責任」だ。

 ユーザー企業は、「専門家であるクラウドベンダーに預けたプログラムやデータの保全は、当然ベンダーの責任でなされるべき」と思うだろう。しかし、契約書など(クラウドサービスの場合、多くは約款)でクラウドベンダーの責任についてきちんと定義していない場合、クラウドベンダーが免責事項を盾に責任を負わないと主張する場合もある。

 だからこそ、本連載第30回「サーバ屋がデータを飛ばしただと? 1億円払ってもらえ!」のように、問題が拗れて裁判にまでなってしまうことがある(※)。

●三者の責任が交錯するクラウド上のデータ

 上記記事の裁判では、「契約書に特段の記述がなくても、データを預かるような仕事をするのであれば、サーバレンタル業者は、データが紛失、破損しないために一般的な手段を、当然に講じておくべき」という、いわゆる「善良なる管理者の注意義務」の考え方を基にした判決が出され、レンタル業者に一部の損害賠償が命じられた。

 この裁判は、登場人物がレンタルサーバ業者と顧客企業の二者とシンプルだった。しかし最近のクラウドサービスは、サービスを提供する事業者が自社の施設内にサーバを設置せず、サーバ事業者から借り受けたサーバに自分たちのサービスを実装して顧客に提供する形態が珍しくない。

 この場合、サーバ事業者のサーバに障害が発生し、保持されていたプログラムやデータが消失したら、責任は誰が負うのだろうか。

 サーバ事業者か、クラウドベンダーか、あるいは顧客自身の責任になるのだろうか。

●消えたプログラム

 まずは判例を見ていただこう。

---
東京地方裁判所 平成21年5月20日判決から

ある顧客企業が、サービスベンダーが提供するサーバ上でWebサイトを運営していた。このサーバは、サービスベンダー自身のものではなく、同社が契約したサーバ事業者のものだった。

あるとき、このサーバに障害が発生して顧客企業のプログラムとデータが消失してしまった。原因は人的な作業ミスではなく、HDDの故障だとされている。自身が保有するプログラムとデータを失った顧客企業は、これをサーバ事業者の不法行為(善良なる管理者の注意義務違反)に当たるとして、合計約2億円の損害賠償を求める訴えを提起した。
---
 関係を整理しよう。

顧客企業(プログラム、データの持ち主):Webサイト運営
サービスベンダー:クラウドサービスを提供
サーバ事業者:サービスベンダーへサーバ機器をレンタル

 なおサーバ事業者は、サービスベンダーにサーバを貸し出す際、約款に以下の「責任の制限」と「免責」事項を記載していた。

---
40条(責任の制限)

1 サーバ業者は本サービスを提供すべき場合において、同業者の責めに帰すべき理由により、契約者に対し本サービスを提供しなかったときは、契約者が本サービスを全く利用できない状態にあることを被告が知った時刻から起算して、連続して24時間以上、本サービスが全く利用できなかったときに限り、損害の賠償をする。

(中略)

3 第1項の場合において、被告の故意又は重大な過失により本サービスを提供しなかった場合には、前項の規定は適用しない。

41条(免責)

40条の規定は、本契約に関してサーバ業者が契約者に負う一切の責任を規定したものとする。

サーバ業者は契約者、その他いかなる者に対しても本サービスを利用した結果について、本サービスの提供に必要な設備の不具合、故障、その他の本来の利用目的以外に使用されたことによってその結果発生する直接あるいは間接の損害について、40条の責任以外には、法律上の責任ならびに明示または黙示の保証責任を問わず、いかなる責任も負わない。

また、本契約の定めに従って被告が行った行為の結果についても、原因のいかんを問わずいかなる責任も負わない。ただし、被告に故意又は重大な過失があった場合には、本条は適用しない。
---

 「約款」を要約すると「損害賠償をするのは、自分たちの積極的な行為によってプログラムやデータが消失、破損しているときのみだ」ということだ。

 判例のプログラムとデータの消失は、サーバ業者が保有するHDDの障害によって発生した。その障害は、人為的なミスによらないものだった。これは約款の免責部分に当たるので、サーバ業者の責任は追及できないと考えられる。

●では、誰が責任を負うのか

 もう一方の事業者であるサービスベンダーの責任はどうなるだろうか。

 顧客企業と直接契約を結んでいるのはサービスベンダーなので、サーバの安定的な稼働とプログラム、データの保全責任を負うべきはサービスベンダーではないだろうか。

 しかし、顧客企業はサービスベンダーを訴えなかった。他の会社で発生したHDD障害の責任をサービスベンダーに負わせるのは、形式的にはともかく現実にそぐわないと考えたのかもしれない。

 事実、ここでサービスベンダーを相手に訴訟を起こしても、「サービスベンダーに何ができたのか」という議論になり、ベンダーの責任は追及しきれなかったかもしれない。いずれにせよ、サービスベンダーに実質的な責任を負わせるのは、やや現実的ではない。

 そして顧客企業は、「自分たちが障害に備えておく責任はなかった」と考えている。サービスベンダー、およびサーバ業者を信頼して運用を任せていたからだ。

 まさに「三すくみ」の状態だった。

 裁判では責任論は争われなかった。そもそも、顧客企業とサーバ業者の間には、何ら契約関係が存在しない。「契約がない以上、そこに債務不履行も損害賠償も存在し得ず、争う理由がない」というのが裁判所の結論だった。

●本当の責任者は?

 裁判は顧客企業が敗訴した。

 しかし「これで一件落着」といかないのが、本連載である。改めて考えてみよう。本当に顧客のデータに責任を持つべきは誰だったのだろう?

 私が今回本判例を持ち出したのは、裁判所がこうした場合の1つの考え方を示したからだ。以下の部分が、それに該当する。

---
東京地方裁判所 平成21年5月20日判決から(つづき)

サーバは完全無欠ではなく、障害が生じて保存されているプログラムなどが消失することがあり得るが、プログラムなどはデジタル情報であって、容易に複製することができ、利用者(この場合は顧客企業)はプログラムなどが消失したとしても、これを記録・保存していれば、プログラムなどを再稼働させることができるのであり、そのことは広く知られているから、顧客企業は本件プログラムや本件データの消失防止策を容易に講ずることができたのである。
---

 裁判所は、サーバは障害を起こすものである。それは誰もが簡単に予見できるものであり、プログラムやデータの破損に備えてあらかじめバックアップを取る程度のことは、顧客企業の責任においてできたことであり、やるべきだったと述べている。プログラムやデータの保全は顧客の責任という判断だ。

 無論、顧客企業自らが作業を行わなくてもいい。例えば、「運用設計の時点で危険を予測して定期的なバックアップを計画する」などの対策を、顧客が主導して行うべきだ、ということだ。

 私は長らくベンダーサイドにいたので、サーバの故障によるデータ消失の話題を何度か聞いたことがある。しかし、その責任が顧客側にあるとは、一度も考えたことがなかった。機械の故障はもちろん、顧客の操作ミスさえも、ベンダーの責任であると信じて疑わなかった。

 もちろん顧客は「お客さま」だ。満足度や次の商売を考えると、簡単に責任を押し付けることなど現実的にはなかなかできないだろう。ただ、それにあぐらをかいて全てを丸投げしてくる顧客をそのままにしていたら、いつ、どんな災厄が降ってくるかは分からない。

 機会があれば、「こんな判決が出た」ことを顧客と話題にして、双方の責任について共に考えてみてはどうだろうか。

●細川義洋
政府CIO補佐官。ITプロセスコンサルタント。元・東京地方裁判所民事調停委員・IT専門委員、東京高等裁判所IT専門委員NECソフト(現NECソリューションイノベータ)にて金融機関の勘定系システム開発など多くのITプロジェクトに携わる。その後、日本アイ・ビー・エムにて、システム開発・運用の品質向上を中心に、多くのITベンダーと発注者企業に対するプロセス改善とプロジェクトマネジメントのコンサルティング業務を担当。独立後は、プロセス改善やIT紛争の防止に向けたコンサルティングを行う一方、ITトラブルが法的紛争となった事件の和解調停や裁判の補助を担当する。これまで関わったプロジェクトは70以上。調停委員時代、トラブルを裁判に発展させず解決に導いた確率は9割を超える。システム開発に潜む地雷を知り尽くした「トラブル解決請負人」。2016年より政府CIO補佐官に抜てきされ、政府系機関システムのアドバイザー業務に携わる

最終更新:5/10(木) 14:07
@IT