システム運用事業者のデータ紛失リスクと法的責任
企業がデータベースに保管する重要な企業情報が不慮の事情によって紛失するというトラブルが、システム部門の現場で起こることがあります。こうした場合において、システムの運用業務を外部業者に外注している場合に、その責任を外部業者に追及することは法律上可能なのでしょうか。
本記事では、企業における情報の紛失事故について、その法的責任はどこに帰属するのかについて解説していきます。
この記事の目次
ITシステムにおける「運用」とは
ITシステムにおける「運用」とは、ごく簡単に述べるなら、ITシステムに関わる仕事のうち、「今あるシステムを今までどおり使い続けていく仕事」と言えます。ITエンジニア・プログラマが新たに作り上げた(=開発)システムは、一度作ればそれで終わりというものではありません。たとえば、画面側から実行することのできないオペレーションを実行しようと思えば、データベースにコンピューターを接続し、直接コンピューター言語(SQLなど)を入力する必要が生じることが考えられます(たとえば画面側からは実行のできないデータの抽出・変更など)。
こうした運用の業務は、プログラムを新たに実装したりする仕事と比較すると、手順書を整備するなどによって定型化することが容易な場合が多く、外部業者への外注に回しやすいことも多いものです。
しかし、定型化が容易な業務であっても、それが企業が管理するデータベースを直接操作する仕事であるからには、大規模なインシデントと隣り合わせになりがちであるということもまた、念頭に置いておくべきでしょう。企業がもつ情報の漏洩や紛失といったリスクは、業務のもつ責任の重大さに無頓着なまま安易に外注を進めることで、いつのまにか大きく膨れ上がっていることがあるものです。
情報の紛失リスクは意外と身近にある
企業が用いるデータベースにもいくつか種類はありますが、その実態は一種のソフトウェアです。そして、そこで管理されるデータの抽出・変更・追加・削除といった処理は基本的に、SQLというコンピュータ言語が用いられます。
法務の重要性
ITシステムに関わる技術者の仕事には、開発・運用・保守など、様々な種類がありますが、その働き方に共通するのは、「データ」そして「コンピューター言語」といった抽象的な事物の取り扱いが中心になるという点です。それゆえ、やっている作業の外観だけでいうなら、それこそ一つのボタン操作の誤り・ちょっとした入力間違いに過ぎないものであっても、そのミスの影響範囲というものは、事前に予期できないほど広範に波及していくことがあるのです。こうした大前提は、IT技術の専門家であろうとなかろうと、基本的にはシステムに関わる仕事をする人すべてが自覚すべきものでもあるでしょう。システムに関与する仕事は性質上、なにか問題が起きれば、その影響範囲は当該部署を超えて、また社内の垣根を超えて、瞬時に波及していくことが多いものです。システムになぜ法務が重要なのかは、発注者側からも、受託者側からも、こうした観点から統一的に説明づけられるものでもあります。
企業データの紛失リスク
少し卑近な例を取り上げてみることにしましょう。SQLでひとつのテーブルが有するデータを全て削除するクエリ(命令)は、たったの一行「TRUNCATE」と書くのみにすぎません。企業がもつデータの紛失リスクについて考える際に、SQLの文法や、データベースソフトウェアの操作法を熟知することはさほど重要ではないでしょう。しかし、企業が保管するデータ一式を削除することについても、やり方の話に限れば、こうもあっけないものにすぎないのだという点は認識すべきでしょう。こうした現実認識こそが、企業のデータの紛失リスクについて考える際の出発点でもあるのではないでしょうか。
たしかに運用業務は定型化しやすく、手順通りに行えばなにも問題はないことも多いものです。しかし同時に、手順通りに行われず、イレギュラー事態を引き起こす場合を想定するならば、法務の重要性は自ずと明らかでもあるでしょう。
情報の紛失は法律上誰の責任となるのか
運用事業者の仕事の法的性質
では、こうして不慮のインシデントによってデータを紛失し、かつ復旧方法もないという場合、その法的責任はどこに帰属するのでしょう。以下、法的な観点から、こうしたインシデントを分析してみましょう。
寄託契約に基づく保管義務を追及するのは困難
データ運用業務を代行する事業者の責任を問う際に考えられる理論構成として、ひとつ考えられるのは、有償の寄託契約に基づく善管注意義務を追及するというものです。これは簡単にいうならば、有料のコインロッカーなどで物品の寄託を受けた事業者がその品を滅失したような場合に原則損害賠償責任を追うのと同じように、「データ」の紛失責任を追及することができないかという問題です。しかし、「物」に対する保管義務の話と同様に、「データの保管義務」が当然に発生すると考えるのは、現行法上は現実的ではありません。
個別の契約内容次第である
結局、「データの保管義務を誰が負うのか」という問題は、民法上の規定をもとに一律の解を導くことは困難だと言うべきでしょう。したがって、その答えは、「個別の契約内容にどう定められているかによる」というのが妥当なところでしょう。
そして、「契約の内容は何だったのか」という点は、必ずしも契約書のみではなく、議事録等も合わせて判断されることになります。議事録の重要性に関しては下記記事にて詳細に解説しています。
契約者以外からの第三者からの不法行為責任の追及は困難
なお、契約関係がない第三者からの不法行為責任の追及は不可能である旨が裁判例上明確になっています。裁判例では、レンタルサーバーサービスにおけるデータの紛失事故で、ユーザーが不法行為に基づく損害賠償請求の可否が問題となりました。
不法行為の典型例には、たとえば交通事故があります。たとえば、自動車事故で運転者の過失により人を負傷させた場合、(刑事はもちろんのこと)民事上も責任を負います。赤の他人との間で「人を車でぶつけないという契約」を締結するわけではありませんが、私人間でも損害賠償責任が発生することが考えられるのです。こうした不法行為責任の枠組みに基づいて、直接的に契約関係がない相手だったとしても、データを紛失させたことへの責任追及が可能かが争われました。
しかし、裁判所はデジタル情報の特性を指摘したうえで、こうした義務の存在を当然に導くのは困難である旨を判示しました。
サーバは完全無欠ではなく障害が生じて保存されているプログラム等が消失することがあり得るが,プログラム等はデジタル情報であって,容易に複製することができ,利用者はプログラム等が消失したとしても,これを記録・保存していれば,プログラム等を再稼働させることができるのであり,そのことは広く知られている(弁論の全趣旨)から,原告らは本件プログラムや本件データの消失防止策を容易に講ずることができたのである。このような原告ら及び被告双方の利益状況に照らせば,本件サーバを設置及び管理する被告に対し,原告らの上記記録を保護するためにその消失防止義務まで負わせる理由も必要もないというべきである。(中略),原告らは,レンタルサーバ契約は第三者のプログラム又はデータに関する寄託契約の性質を持つとし,これを根拠として,被告はレンタルサーバ業者として本件サーバ上に記録を保管するすべての者に対して善管注意義務を負い,具体的には本件サーバの記録を消失させないようにする義務を負うとし,その前提に立って,被告が本件サーバに保存された原告らの記録を消失させたのは上記消失防止義務に違反すると主張する。
東京地判平成21年5月20日
しかしながら,被告はユーザーAとの間で共用サーバホスティングサービスの利用契約を締結しているだけであって,原告らとの間には契約関係はなく,本件サーバに保存された本件プログラムや本件データの保管について寄託契約的性質があるともいえないから,被告が契約関係にない原告らに対し本件サーバに保存された記録について不法行為法上の善管注意義務を負うとする根拠は見いだし難い。そうすると,被告がレンタルサーバ業者であるとの一事をもって,契約関係にない第三者に対する関係で当然に本件サーバに保管された記録について善管注意義務を負うとか,記録の消失防止義務を負うということはできない。
本判決は、契約関係が直接に存在しない第三者(原告)に関して、「データを消さない義務」というものを想定することが妥当ではないということを指摘したものです。この判決は、以後同様の事案が発生した際のリーディングケースになりうるものとして、一定の注目を集めるものとなりました。
結論としては、責任追及は「困難」になりがちである
なお、実務上よく用いられる契約の話でいうならば、データの保管やバックアップまでを、運用事業者の責任とするような契約が用いられるケースは数としてそう多くなく、むしろそれは利用者(つまりユーザーとなるお客さん側の会社)の責任である旨を定めたもののほうが圧倒的に多数となっています。
したがって、特別になにか合意が交されているような場合の除けば、システム運用事業者が、データの紛失を防止する措置を講じる義務まで負っていると考えることは法律上もきわめて困難であると言うべきでしょう。
情報の紛失リスクに備えて行うべきこと
結局のところ、企業がもつ情報の紛失リスクに関しては、そもそもその企業自身が保管する情報に関する話でもあります。したがって、その紛失リスクをどう勘案し、いかなる保管体制を築くかという点ついても、その企業自身が決めるべき事柄であるという話になってしまう可能性が高いと言うべきでしょう。
またたとえ仮に事業者の責任が認められても、過失相殺になって損害賠償が満額認められなくなるといったことも考えられます。過去の裁判例のなかには、原告のデータをサーバー上で預かっていた被告がデータを消滅させてしまったという事案において、原告側がバックアップをとっていなかったことが「過失」に該当するとして、過失相殺を認めた裁判もあります。
原告は,本件ファイルの内容につき容易にバックアップ等の措置をとることができ,それによって(中略)の損害の発生を防止し,又は損害の発生を極めて軽微なものにとどめることができたにもかかわらず,本件消滅事故当時,原告側で本件ファイルのデータ内容を何ら残していなかったものと認められる。
そして,本件においては,被告の損害賠償責任の負担額を決するに当たり,この点を斟酌して過失相殺の規定を適用することが,損害賠償法上の衡平の理念に適うというべきである。(中略)
これに対し,原告は,プロバイダー業者である被告によって本件ファイルがサーバー内から消滅させられることを原告が予見することは不可能であり,それを予見すべきであったとはいえないから,バックアップをとる作為義務を法的義務として認めることはできないし,その不作為を法的な意味での過失とまではいえないと主張し,過失相殺の適用は否定されるべきであると主張する。
しかしながら,過失相殺を適用するに当たっては,原告に本件ファイルの消滅という結果発生に対する予見可能性が認められれば十分であって,その結果に至る因果経過として,被告の本件注意義務違反により本件ファイルが消滅したことに対する予見可能性までは必要ないと解すべきである。
本件では,(中略),ホームページにハッカー等が侵入する危険について認識していたことが明らかであり,また,原告は,インターネット通信には情報の改変,破壊の危険があり,その危険は予見可能であったことを認めているのであるから,原告は,インターネット通信固有の原因により本件ファイルが消滅する危険は予見していたと判断され,本件ファイルの消滅という結果発生に対する予見可能性が十分に肯定され,過失相殺の適用を肯定する上での支障は到底認められないものと解される。
東京地判平成13年9月28日
この事案では、「バックアップを取っていない以上、ハッカー等の侵入など、何らかの理由でファイルが消滅する危険を予見可能だったのであり、そうである以上は過失相殺の適用がある」として、損害賠償の金額が半額とされています。
まとめ
データの紛失リスクに限った点ではありませんが、システムの話を外注に回す時に、ユーザーは多くの場合画面側の操作感のことだけを気にしがちで、その背後で保管されるデータベース領域にまで組織のガバナンスが及ばなくなることが多いものです。
しかし、これらについても決して「他人事」でいていいわけではないのだということを、過去の裁判例は示唆しています。言い換えるならば、バックアップをとるなどの、情報紛失リスクを踏まえた管理体制の整備を進めることは、あくまでユーザー側の(社内内部の)問題なのだという自覚を持つべきなのだとも言えます。
過去の裁判例は、そうしたリスクに備えないことが、取り返しのつかない事態を引き起こしかねないことを示唆するものとして、予防の必要性を警告しているものと理解すべきでもあるのではないでしょうか。