ファーストサーバの事件は、まだ全容の把握がなされていない状況だが、5千を超える企業・団体などが被害を受けており、その中には事業の根幹に係わる損害を受けたところもあるという。ファーストサーバも親会社であるヤフーとともに、一定の賠償に応じるとのメッセージを発しているが、すべての被害者がそれに応じるとは限らず、最終的に法廷で争う事態は避けられないと考えられる。

そこで、まずは今回の件を法律家の立場から見るとどのような問題があり、または問題とは言えないのかを弁護士の葛山弘輝氏（ひかり総合法律事務所）にうかがった。氏は経済産業省にも出向経験があり、クラウドに関しての法的知見だけでなく、行政側の動向にも詳しい。その立場からクラウドが抱える法的問題の本質を明らかにしていただいた。［聞き手：渡辺 聡］

葛山 弘輝氏（かつらやま・ひろき）
弁護士。2008年慶應義塾大学法科大学院修了後、2009年ひかり総合法律事務所入所。2010年5月、経済産業省商務情報政策局情報処理振興課に出向。2011年度、 国立大学法人筑波大学大学院システム情報工学研究科非常勤講師（高度ICT特別講義 II 「サービスとデータプライバシー」）。

争点は過失の程度と契約約款の解釈

──クラウドサービスに置けるデータ消失という今回の件を、法律家としてどのように捉えていますか？

葛山氏（以下敬称略）：法律の面から見ると、最終的にはいかにお金を取り戻すかという話にしかならないですが、実際に難しい側面もあります。ファーストサーバと直接契約を結んでいる場合でも免責事項があります。平成21年のホスティングサービスにおけるデータ消失についての判例では、かなり広範に免責事項が認められています。

また、ファーストサーバは再販を認めていたので、ウェブ製作会社がファーストサーバと契約してECサイトの構築をまるごと請け負っていたような事例もあります。この場合、ユーザー企業とファーストサーバとの間に直接の契約関係がないため、不法行為を理由にファーストサーバに直接請求できるかどうかは難しいでしょうね。

いずれにしろ争点は、過失がどの程度あったかと、契約約款の解釈になると思います。

===

法的リスクを議論する材料にならないSLAの問題

──一般論として、クラウドサービスにおける、どのような問題が顕在化したと理解されていますか？

葛山：企業がクラウドサービスを使う時に、役員にとって内部統制として大丈夫なのかという問題があります。今回のように、クラウドを利用していてデータが消失して事業継続が危うくなった場合、そのサービスを選んだ役員は責任を負わないのかということです。これまでは一部の有識者だけが懸念していましたが、今回の件によって身をもってリスクにさらされたところもあるはずです。その時に、何らかの指針がないと「クラウドが使えない」ということは、どこの企業でも起こりうる話です。

事業の根幹に係わるところのデータが消失したときに、そのサービスを選ぶにあたって、そのプロセス自体が問題になります。何か事件や事故が起きたときに、経営者や役員が株主から訴訟を起こされないために、どのようなプロセスを経ればいいのか指針が必要です。それがないと、今後クラウドの導入が遅れる可能性もあります。

──そもそも事業の資産とリスクをどう把握しているのかという、マネジメントの問題だということですか？

葛山：ITシステムの導入をどのレベルで検討しているかということです。取締役会まで上げて、少なくとも役員会で議論して「材料を吟味して合理的な経営判断をした」と言えるレベルでないと、何かあったときに経営者が責を問われる。ごく当たり前の話ですよね。

──そのための材料のひとつがサービスレベルアグリーメント（SLA）だというのが業界内の認識でした。でも、現在のクラウドのSLAはダウンタイムの数字に集約されてしまっていて、オペレーション全体の話になっていません。

葛山：その通りだと思います。クラウドのセキュリティに関係するSLAは、技術の話しかしていません。法的リスクも含めて、きちんと取締役会で議論できるための材料になっていません。国でも指針を出すという動きが一部でありましたが、結局のところ実現しませんでした。

今回はたまたま属人的なミスでしたけど、データセンターが地震や津波で破壊される可能性はあります。そう考えると、クラウドであったとしても一般的な事業継続に際しての、リスクマネージメントと変わらないんです。

===

経営者がサービスを選択したプロセスが問題になる

──今後、どのような影響が出てくるでしょうか？

葛山：おそらく、クラウドの導入に対して経営者が、自分に掛かるリスクについて考えるようになるでしょう。今回の件についても、ファーストサーバを利用していた上場企業が、データ消失によって原因で業績が下がった場合、株主代表訴訟を起こされるリスクがあります。それに対して、会社側は技術部門を強化することでは対処できません。したがって、先ほど述べたように、どのようにサービスを選んだのかというプロセスが問題になります。

おそらく、今後もデータ消失は起きてしまうと思います。人為的なものではなく、天災などによって消失が起きてしまった場合に、このプロセスを踏んでサービスを選んだのだから、損害を被るのはある程度仕方がなく、会社として役員として責任を負えない、ということが明らかになっている必要があります。

──リーガルリスクという点から見て、手元のサーバマシンとクラウドで異なるのはどのような点でしょうか？

葛山：例えば金融業界の場合、システムを外部に出す場合は監査ができるかどうかというのがひとつの基準になります。自社内にサーバルームを持っていれば、いつでもチェックできますが、クラウドを利用した場合に同じように監査できなければ、それ自体がリスクになります。

また、会社法の任務懈怠責任だけでなく、個人情報保護法でも監査できるかどうかが問題になります。法的に見ると、きちんと管理できるかというところが、自社で持っておくか、外部に出すかにあたっての最大の違いになると思います。逆に、きちんと監査できていれば、基本的に似たようなものと考えられます。

ただ、個人的に今回の件は、監査の問題ではないと考えています。例えば自社ビルでサーバルームを持っていても、メンテナンスを外注業者に委託することはよくあります。その外注業者が間違って、自社内サーバのデータを消してしまった場合と、今回のファーストサーバの件は、ほぼパラレルなんですよね。つまり、内部にサーバを持っている場合は、メンテナンスを委託する業者を選んだ責任があります。クラウドを利用した場合も、結局その責任を外部に出しているので、あまり大きく変わらない面もあります。

外部の人にデータのメンテナンスを任せるときのリスクは、サーバを自分で持っていようが、外部にあろうが変わらない気がします。クラウドのメンテナンスを担当した人が、自社のメンテナンスをしていましたというのはあり得ますよね。どちらも同じリスクを常に抱えていると言えるんじゃないでしょうか。

===

システム導入にはクラウドに限らず役員の判断が必要

──クラウド（外部サービス）の場合は、当初の仕様を事業者側が勝手に変えてしまうことがよくあります。勝手にOSのバージョンアップなどをして、それをユーザーは受け入れざるを得ない場合があります。ですが、本質的なリスクはもしかして単純で、クラウドだから新しいというのは違うと思います。

葛山：きちんと考えてみると、そんなに大きな違いってないように思います。今回のケースは所有している場合でも起こる可能性があります。クラウドだから起こったという、特有の問題はありません。

ただ、クラウドの場合は、一社の問題ではなくて、一人の間違いですべてが飛んでしまう。だから、被害の規模が個別か集団かというのが社会的な目で見ると変わります。

──ひとつのトラブル要因が、多くの企業に連鎖するという意味では新しいです。ただ、それだけとも言えるので、それを認識している技術者、専門家ほど今回の件は騒いでいません。

葛山：今回の件はクラウド独特の話ではなくて、システム導入にはクラウドに限らず役員の判断が必要だという話が本来です。経営のコアに係わる事案なのに、その判断を現場のIT担当者に落として、全部やらせていた。そのリスクが、今回の件で顕在化しました。

だから「クラウドが悪い」のではなく、例えば社内に自前のシステムを入れるとしても、メンテナンスを外部業者に委託するなら、まったく同じようなことが起きうる。だから、同じような形で意志決定しないといけません。

その当たり前の話が、クラウドになったことによって集団化して社会の耳目を集めている、というのが今の正しい状況理解なんでしょうね。

──そうなると、やはり新しいところは何もないということですね。ならば今回に限らず「バックアップを取ろう」というヒトコトで終わる話です。ただ、業界構造問題と考えると非常に根深いところもあり、SaaSやPaaSなどのクラウドサービスは価格競争になるので、品質にコストを割きづらくなり、それが回り回って良くない流れになっています。

葛山：それがクラウド特有の課題になるのでしょう。個別のメンテナンスや保守契約ならば、コストと係わる人員や工数、それに手順もある程度見えます。でも、クラウドだと事業者間の価格競争が厳しいため、表から見えないメンテナンスに掛かるコストが削られやすい。それなのに利用者数は大規模なので、何か起きると被害も大規模になりがちです。

結論として、ファーストサーバの教訓という趣旨で考えると、クラウド特有の注意点というのはありません。トラブルが発生した際に、約款や契約関係で、どこまで責任追及できるかというところに集約します。つまり、最終的にユーザー企業が気をつけるべきことは、一般的にシステム導入時に気をつけることと同じだと落ち着きます。

本特集の企画意図と概要はこちら

ファーストサーバ社による大規模データ消失事故は、「組織の生命線ともいえるシステムやデータを外部に預ける」ことのリスクと課題を顕在化させた。法律家、エンジニア、行政担当官、技術エキスパートなど、さまざまな立場の方にお話をうかがう。

緊急特集：ファーストサーバ社データ消失事故の教訓