連載
» 2016年08月01日 05時00分 公開

サーバ屋がデータを飛ばしただと? 1億円払ってもらえ!「訴えてやる!」の前に読む IT訴訟 徹底解説(30)(2/3 ページ)

[ITプロセスコンサルタント 細川義洋,@IT]

 建築業者は、ある意味単純に「プロバイダーの不注意で損害を受けたのだから、それを賠償するのは当然」という考えだ。

 プロバイダーは、「自分たちはサーバをレンタルしただけで、データの保守、運用は行っていない。データの滅失に備えてバックアップを取っておくなどの策を取り、保全を図る責任は、データオーナである建築業者にある」として、逸失利益分、つまり再構築費用400万円を超える分の支払いを拒否している。

 本件では滅失したのがWebサイトのデータだったので、大きな被害は出なかった。しかし、これが個人情報の漏えいだったらどうだろう。

 例えば、レンタルサーバに何らかの脆弱(ぜいじゃく)性があり、顧客もしかるべき防御策を取っておらず個人情報が漏えいしてしまったら、プロバイダーはどこまで責任を負うべきなのだろうか。

レンタルする“だけ”でもデータに責任を負うのか

 「サーバ内のデータ保全の責任」は、顧客とレンタルサーバ業者(プロバイダー)のどちらにあるのだろうか。裁判所の判断を見てみよう。

東京地裁 平成13年9月28日判決より抜粋して要約(続き)

 一般に、物の保管を依頼された者は、その依頼者に対し、保管対象物に関する注意義務として、それを損壊又は消滅させないように注意すべき義務を負う。この理は、保管の対象が有体物ではなく電子情報から成るファイルである場合であっても、特段の事情のない限り、異ならない。

 裁判所は「レンタルサーバ業者の注意義務」(いわゆる「善良なる管理者の注意義務」)を認め、Webサイト再構築費用の400万円と逸失利益分400万円、合計800万円の支払いをプロバイダーに命じた(実際は「3000万円の仮払いから2200万円を返還を命じた」)。

 「800万円」は建築業者が請求していた「1億円」と比べれば小さいが、問題は額ではない。「裁判所が、再構築費用を超える支払いをプロバイダーに命じた」という点だ。

 PaaSであれSaaSであれ、「本来なら責任範囲外であるデータの保全の注意義務も、プロバイダーにある」と裁判所は判断したのだ。「データを壊したときの再構築費用」だけではなく、「データが壊れないように注意」し、かつ「壊れたときに損害が出ないように注意する」義務までもがプロバイダーにはあるということだ。

 これを個人情報漏えいに当てはめると、プロバイダーはサーバという「機械への攻撃」を防ぐだけではなく、「なりすまし」のように「サーバをすり抜けてデータを取得する攻撃」にも配慮しなければならないことになる。

 契約の内容はともかく、他者のデータをサーバに置いたら、全方位で「善良なる管理者の注意義務」が発生するということだ。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。