一般化するクラウドサービス
こうしたクラウドサービスには、アプリケーションプログラムを含むソフトウェアのサービスについて丸々クラウドベンダの用意したものを使うSaaSや、アプリケーションは自前だが、ハードウェアやネットワークに加え、基盤ソフトウェアと付帯サービスを利用するPaaS、ハードウェアやネットワークだけを利用するIaaSなど、さまざまな形態があります。このうち、自分達のデータをクラウドベンダに預けて運用してもらうIaaSやPaaSを利用するにあたり、ちょっと注意が必要な判決がありました。
もっともこの裁判は、まだクラウドサービスが十分に認知されていない平成21年当時のもので、問題となったサービスも単なるサーバホスティング事業者と称されています。しかし、その内容を読んでみると、現在のPaaSやIaaSにおいても全く同じ危険があると思われましたので、あえて取り上げさせていただきます。
事件の争点はそれほど複雑なものではなく、顧客企業が自分等の業務で利用するプログラムとデータをホスティング事業者に預け、事業者がこれを契約したサーバに格納して運用していたところ、ハード障害によってデータを消失させてしまったというものです。
さて、こうした場合、データ消失に伴って発生した損害は顧客企業とホスティング事業者のどちらが責任を持つべきものなのでしょうか。事件の概要から見ていくことにしましょう。
(東京地方裁判所 平成21年5月20日判決より)
ある企業がサーバホスティング事業者の運営するサーバに自分達で作ったプログラムやデータを格納するホスティング契約を結んだ。契約は顧客企業とホスティング事業者の間に、中間事業者が入った形で行われた(顧客企業とホスティング事業者には直接の契約関係はなかった。)
ところがあるとき、このサーバのハードディスクに故障が発生し、格納されていたプログラムとデータが消失してしまった。
そこで、顧客企業は、プログラムやデータの消失はサーバホスティング事業者の責によるところが多いとして、この事業者に対して、不法行為に基づく損害賠償約2億円を請求する訴訟を提起した。
どちらの責任か?
およそコンピュータというものを利用するなら、プログラムやデータのバックアップを行い、障害に備えることは基本中の基本なのですが、このシステムは、どうやらそうしたことが不十分だったようです。こうした問題というのは意外に多いようで、私の周囲でも時々聞くことがあります。
ただ、今回この事例を取り上げたのは、何も「プログラムやデータのバックアップはちゃんと取りましょう」という注意喚起をするためではありません。顧客企業もホスティング事業者も、流石にバックアップが必要であるということ自体は分かっていたはずです。両者の見解が異なるのは、”それを誰の責任でやるべきだったのか” という点です。
顧客企業からすれば、サーバのホスティングサービスを提供するということは、そこに格納するプログラムやデータの保全についても、ホスティング事業者が責任を持つものであり、故障を起こしたハードウェアがホスティング事業者のものであることと考え合わせても、この事業者に損害を賠償する責任があるはずだとの考えです。
一方、ホスティング事業者からすれば、自分達はサーバの領域を貸しただけであり、そこで何が起きても、自分達は責任を追わない。ちょうど駐車場内で発生した事故についてオーナーが一切の責任を持たないのと同じように、データやプログラムを保全する責任は、自分達にはないとする論です。一体、どちらの考えが正しいのでしょうか?