今回は、クラウド上(事件当時の言い方を借りるとレンタルサーバ上)に置いたデータ消失に関する裁判の例を紹介したいと思います。データをインターネット上のサーバに置くという利用法は、クラウドの使い方として最も古く、かつ一般的でもあり、この連載の読者の皆様の中でもかなり多くの方が利用されていると思います。またクラウドベンダ側も、こうしたデータ消失が起きないようにとさまざまな安全策をとっています。それでも最後の最後は、ユーザとベンダがやるべきことを行っていなければ、この事件のように事業に重大な影響をもたらす結果となってしまいます。
まずは、事件の概要からご覧ください。
(東京地方裁判所 平成13年9月28日判決)
ある建築業者がインターネットプロバイダーとレンタルサーバ契約を締結した。建築業者はレンタルしたサーバ上に宣伝用のWebサイトを開設し稼働していたが、プロバイダーはサーバを貸しているだけで、Webサイト自体の運用については請け負っていなかった。
ところがある時、プロバイダーが運用上の都合からWebサイトのデータファイルを別のディレクトリに移し替える作業を行った際、誤ってデータを滅失してしまった。このファイルは、もともと建築業者が自己のPC上で作成し、サーバに転送したものであったが、この時点ではPC上にデータが残っておらず、また、建築業者、プロバイダー共にファイルのバックアップを取っていなかったため、Webサイトは建築業者が再構築する他なかった。この再構築に当たり、プロバイダー側から建築業者側に作業料として仮払金3000万円が支払われたが、結果として建築業者が使った費用は400万円だった。
作業は終了し、Webサイトは再開されたが、建築業者はプロバイダーに対して、その再構築費用と公開中断による逸失利益の損害賠償 約1億円を求めて訴訟を提起した。
以前にも、この連載で「クラウドサービスにおけるデータ消失の責任所在はどこか」というテーマで取り上げたことがあります。このときと異なるのは、データの滅失を招いたのが、プロバイダー側の作業ミスであることがはっきりとしている点でしょう。勝手に作業をして、勝手にデータを滅失させてしまったのですから、損害賠償を求めるユーザ企業(建築業者)の気持ちもよくわかります。
しかし、プロバイダー側は、その賠償に素直には応じませんでした。プロバイダーは、「自分たちはサーバをレンタルしただけで、データの保守、運用は行っていない。データの滅失に備えてバックアップを取っておくなどの策を取り、保全を図る責任は、データオーナである建築業者にある」として、1億円の請求のうち、ほとんどの支払いを拒絶しています(支払いを容認したのは、データベースサーバの再構築費用である400万円だけでした)。
さて、この問題、皆さんはどのようにお考えでしょうか?
ミスをしたのは確かにプロバイダー側です。しかし、プロバイダー側は、そうしたことも考慮して、データのバックアップを取っておくのはユーザ側の責任であり、本来、サーバを貸していただけの自分たちには、賠償の責任はないとしています。
ミスの責任は、そこまでに重くはない。コンピュータを人間が扱う以上、そうしたことも考慮した運用が必要だが、サーバを貸しているだけの自分たちにそこまでの責任はない。―なんだか、手前勝手な言い分にも聞こえるのですが、裁判所はどのように判断したのでしょうか。判決の続きを見てみましょう。
(東京地方裁判所 平成13年9月28日判決)
一般に、物の保管を依頼された者は、その依頼者に対し、保管対象物に関する注意義務として、それを損壊又は消滅させないように注意すべき義務を負う。この理は、保管の対象が有体物ではなく電子情報から成るファイルである場合であっても、特段の事情のない限り、異ならない。
裁判所は、このように述べて、プロバイダー側の責任を認める判決を出しました。単にサーバをレンタルするだけの契約であったとしても、そこにデータ等ソフトウェアを預かるのであれば、一般的に当然に期待される保管の義務があるというもので、いわゆる「善良なる管理者の注意義務」を怠っていたとする判断です。
この部分だけを見れば、それはそうだろうと納得される読者の方も多いことでしょう。ところが、これを元に裁判所がプロバイダーに命じた支払いの金額には、多くの人が驚きました。裁判所の命じた金額は、Webサイト再構築費用の400万円と逸失利益分400万円、合計800万円でした。当初、ユーザである建築業者が請求していたのは1億円です。むろん、この数字は裁判用に色々と積み上げた結果ではあるのですが、失われたデータの価値を考えれば、やはり数千万円の価値はあると見積もってのことではないでしょうか? それに対して、この支払額は、あまりに小さいと言わざるを得ません。
簡単に言えば、この差額こそがユーザが自らデータのバックアップをとっておかなかった代償ということになります。この建築業者はIT導入の経験が、それほど多かったわけではなかったのか、このごく基本的な保守・運用作業を怠っていたがために、こうした不幸に見舞われ、重要資産であるデータをなくしてしまったことになります。
この裁判とは別の話になりますが、あるユーザ企業が、重要なデータを格納したサーバをインターネットからアクセス可能な位置に配置しており、攻撃を受けたという例がありました。この時には、システムを構築したSIベンダからサーバをインターネットから切り離した場所に移すべきとの提案を受けながら、これを無視して、その結果、重大な結果を招いてしまったのです。この時にも、クラウドサービスを提供していたプロバイダーは特に責任は問われませんでした。
いずれの場合についても、言えることは、特にデータの扱いについてはユーザ側も単なる“お客様”ではいられないということです。プロに預けてしまえば、あとは安心などということは決してありません。プロバイダーはプロバイダーでしっかりとした責任分界点を持っており、必要以上に責任を負わないことを、約款などで詠っています。このあたりは、いろいろあっても、結局は面倒を見てくれたかつてのSIベンダとは違って、非常にドライです。
契約前にユーザで対応すべきこと、ベンダが実施することをしっかり認識し、その上で必要な対策を取ることが必要になります。クラウドを使う際には、ユーザ側にも、データの保全やセキュリティについて一定の知識が必要になってくるのです。こうした必要知識については、クラウドベンダ自身が行っている研修や、公開しているホワイトペーパーなどに記されていることもあります。そのあたりをぜひ、自身でも学習されてみてはいかがでしょうか?(了)
