クラウドサービスベンダーに預けたプログラムが、HDDの故障で消失した。「さあ、訴えてやる!」。でも、誰を?――IT訴訟事例を例にとり、システム開発にまつわるトラブルの予防と対策法を解説する人気連載。今回は「クラウド上のデータの責任の所在」を考える。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
IT訴訟事例を例にとり、システム開発にまつわるトラブルの予防と対策法を解説する本連載、今回は「ホスティング業者が預かったデータの消失」にまつわる紛争を解説する。
近年、クラウドコンピューティングが企業ITの主役の座を奪った感がある。自社内に置いていた各種のシステムをセールスフォースやAWSなどのサービスに置き換える企業が多くなっている。
クラウドサービスを使うコストメリットは大きい。セキュリティ対策も、「自社内で体制やツールを整えて行うよりも、ITの専門家であるクラウドベンダーに任せた方が安心だ」という意見がある。
確かに、日々高度化、複雑化するITセキュリティ技術を、専門家ではないユーザー企業が常時勉強し続け、必要な対策を適宜施すには、それなりの要員が必要だ。金銭的にも、工数的にも負担が大きい。
さらに、そこまでしても専門の業者が行うレベルのセキュリティ対策を打てるとは限らない。高度なセキュリティインフラをそろえ、専門的な知識のあるメンバーがいるクラウドベンダーに自社のサーバと大切なデータの保守運用を任せることは合理的な判断といえよう。
問題は、預けたプログラムやデータが破損したり、消失したりしたときの「責任」だ。
ユーザー企業は、「専門家であるクラウドベンダーに預けたプログラムやデータの保全は、当然ベンダーの責任でなされるべき」と思うだろう。しかし、契約書など(クラウドサービスの場合、多くは約款)でクラウドベンダーの責任についてきちんと定義していない場合、クラウドベンダーが免責事項を盾に責任を負わないと主張する場合もある。
だからこそ、本連載第30回「サーバ屋がデータを飛ばしただと? 1億円払ってもらえ!」のように、問題が拗れて裁判にまでなってしまうことがある(※)。
上記記事の裁判では、「契約書に特段の記述がなくても、データを預かるような仕事をするのであれば、サーバレンタル業者は、データが紛失、破損しないために一般的な手段を、当然に講じておくべき」という、いわゆる「善良なる管理者の注意義務」の考え方を基にした判決が出され、レンタル業者に一部の損害賠償が命じられた。
この裁判は、登場人物がレンタルサーバ業者と顧客企業の二者とシンプルだった。しかし最近のクラウドサービスは、サービスを提供する事業者が自社の施設内にサーバを設置せず、サーバ事業者から借り受けたサーバに自分たちのサービスを実装して顧客に提供する形態が珍しくない。
この場合、サーバ事業者のサーバに障害が発生し、保持されていたプログラムやデータが消失したら、責任は誰が負うのだろうか。
サーバ事業者か、クラウドベンダーか、あるいは顧客自身の責任になるのだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.