クラウドサービスでインシデントが発生し、ユーザー企業が損害を受けた場合、その損害賠償額や賠償責任の有無などは、裁判において要素に基づいて判断される可能性が高いのだろうか。また、一方でユーザー企業側にも責任はあるという論調も少なくないなか、そのユーザー側の責任とはどのようなもの、どの程度のものなのだろうか。今回の事件の行方とともに、クラウドリスクを業界全体でどのように考えて行くべきなのか、弁護士の宮内宏氏にお話を伺った。氏はもともとエンジニア出身で、大手電機メーカーの研究所で情報セキュリティに関する研究とシステム開発に従事した経験を持つほか、「内閣官房 社会保障・税に関わる番号制度 情報保護評価サブワーキンググループ」も委員を務めるなど、情報セキュリティと法律が接する領域におけるエキスパートである。［聞き手：渡辺聡］

宮内 宏氏（みやうち・ひろし）
弁護士。2004年まで日本電気株式会社に勤務。2007年、東京大学法科大学院を卒業し、ひかり総合法律事務所に入所。2011年に宮内宏法律事務所を設立。2011年より内閣官房 情報保護評価サブワーキンググループ委員を務めている。

現在の損害賠償制度ではユーザーと消費者を守りきれない事例

──まず、宮内さんご自身は、今回の件をどのように捉え、どう理解していますか？

宮内氏（以下敬称略）：ユーザーとしては、こういったサーバーはしっかり管理されていて、そこに預けておけば自分でバックアップを取る必要がないと、自分でも思っていました。正直に言えば私も利用を考えたことがあり、万が一にも消えてしまうことはないものと漠然と思っていたので、インパクトがありました。

ユーザーとしては消えたデータに対して損害賠償を受け取っても、自分たちの商売がそのまま続けられるかというと難しい場合もあります。私も仕事に関するいろんなデータがあり、万が一全部消えたら仕事を続けられません。ですから、損害賠償だといっても、実際の商売はどうにもならないというのが現実です。

──では、法律家としては、今回の事件をどういう状態にあるとお考えでしょうか。

宮内：法律家としては、損害賠償が一番大きなポイントだと思っています。すでに多くの人が言っていますが、システム関係の契約では損害賠償の上限が必ず設定されているため、ユーザーが大きな損害を被ったとき、契約上の上限設定をどうやって突破するかが大きなハードルです。今の制度だと、基本的に事業者側に重過失があれば、損害賠償の上限を突破できます。ただし、重過失をどうやって証明するのかという問題はあります。

さらに制度上の問題として、単純に金銭に換えられない損害をどうカバーするのか、という視点がありません。例えば、消えたシステムをユーザーが再構築するために掛かった費用は損害として立証できますが、損害はもっといろんな形であるはずです。そういった損害賠償に関する民法等の法律ではカバーできない部分がたくさんあるはずです。

個人のユーザーについては、重過失の有無とは関係なく、消費者契約法の規定で上限は設定できないことになっているのですが、その半面、損害賠償額の立証が難しいと思います。このような損害額の推定方法などについて制度化していかないと、今後同様の事件が起こってしまったときに、被害者が事実上ノーガードの状態におかれてしまいます。

──そういった小規模事業者や個人ユーザーを保護する方向としては、集団賠償訴訟や損害賠償モデルの確立のような方向に収斂していきそうですか？

宮内：小規模なユーザーで具体的な損害が証明できないような場合はあり得ると思います。情報漏えい事件での被害者への対応も似たような形になっていますが、そういう枠組みを作るのは、ひとつのやり方だと思います。

日本には米国風のクラスアクション制度がなく、また今の法制度の中に埋め込むのも不可能に近いです。今の枠組みの中では集団訴訟がありますが、原告（被害者）を募って、勝てるかどうかもわからないところで、手弁当の弁護士も含めてやっていくことが多い。そういうボランティアベースでしかできないというのは、制度的に問題があると思っています。

===

サービスレベルの基準作りには情報セキュリティ分野の格付けが参考になる

──今回の件によって、ユーザーはどうやってサービスを選んだらよいのか疑心暗鬼になっています。サービスレベルを横断的に見ることのできる、業界基準や標準を求める声もあります。

宮内：業界標準としてサービスレベルの松竹梅みたいな基準を作り、それぞれのレベルに応じたサービス品質を確保していることが見えるのが、ひとつの望ましい形です。

情報セキュリティの分野では認証レベルについて、そういった枠組みの検討が進んでいて、ISOでもDIS（Draft International Standard）がまとめられています。サービスのひとつひとつの機能や性能を全部判断していくのは難しいので、そうした標準などを参考にして、松なら最低ここまで機能を実現するとか、竹だったここまで性能を保証するという枠組みを、業界団体等で策定できるのが一番いいかなと思います。

──保証に関しては、保険商品の必要性は他でも論じられていますが、保険会社ではリスクファクターが判断できず、商品化できないと聞きました。

宮内：どこにどういうリスクがあるのか、リスク分析が網羅的にできていないと思います。いわゆる情報セキュリティ分野だとかなりの蓄積があって、リスク分析が進んでいますが。

今回のようなサービスの場合は。システム管理の問題になり人間系がかなり入りますから難しいところがあります。また、復旧過程での情報漏えいといった、いわば二次災害も起こりえます。他にどんな種類のミスがあるのか、すべてを網羅するのは非常に難しいです。

それに、こういったインシデントは、実際に起こっても表沙汰になりにくいところがあります。今回はバックアップまで消してしまったため、隠しようがなく表沙汰になりましたが、バックアップが残っていて密かにロールバックしていたら、大きな話題にならなかったかもしれません。

──建築分野では数百年かけてやってきた上で基準を作っています。それに比べればIT業界はまだよちよち歩きで、今がスタート地点なんだと言えます。

宮内：そう思います。とりあえず対策レベルを決めてしまい、動かしてしまうというのが良いかもしれません。

格付けモデルについては、やはり情報セキュリティ分野が参考になると思います。人的側面も考慮されていますし、ハードウェアの堅牢さについても研究が進んでいます。ただ、格付けモデルを実施する際に非常に重要なのは、明快なことです。専門家が作ると難しいものになってしまい、一般的なユーザーはどうしたらいいかわからなくなってしまいます。そこを割り切って、非常に明快なものとして作らないといけません。

===

ユーザーがとれる責任には限界がある

──では、ユーザー企業が今回のような事件に直面した場合、法律面の動き方はどうしたら良いでしょうか？　事業にとって重要なデータが消えるということは、大企業なら株主代表訴訟のような経営責任を問われる可能性があります。

宮内：経営者が違法なことをしたなら株主代表訴訟は当然ですが、今回のケースは経営判断の妥当性の問題です。経営していく上で結果が悪かったからといって、経営者にすべての責任を負わせることはできません。

したがって、経営判断を下す際に、どこまできちんと調べたかというところがポイントになります。ただ、曖昧なところも多いです。もちろん素人判断でも無理だと思えるような判断から、実行してみないと結果がわからないようなケースもあるので、明確な線を引くことはできないでしょう。システム選定にあたっても、それと同じような面はあります。

課題としては、今回のような事件によって、今後クラウドサービスの利用時に求められる調査が重くなっていくと、クラウドサービスの普及が遅れてしまう可能性があります。したがって、あまりユーザー側に責任や、多くの手間が掛からない仕組みにしないと、業界全体にとってマイナスです。

──クラウドを使うことで、社会全体でコストが上がってしまったら、本末転倒です。

宮内：個々のユーザーが個別に調べるというのは、やはり無理があります。例えば従業員100人くらいの企業で、きちんと調査して経営判断を下せといっても、無理なところはいくらでもあります。そういうところであっても大事なデータは存在しますが、すべてを自分で管理しろというのは無理です。

そのような中小企業がシステムを利用する上でのリスクを、どうやって担保していくのか。技術的に絶対に消えないとは言えませんから、第三者によるお墨付きが必要になります。第三者の認定があれば、インシデント発生時に、役員は株主に対してエクスキューズできますから、結果的に、企業に取ってクラウドが導入しやすくなります。

──ビジネス全般がデジタル的なものの上で動くことが増え、ビジネスの仕組みを理解することが、コンピュータやネットワークの上で行われていることを理解することと、一部でイコールになりつつあります。となると、自分の商売を把握するためには、何を理解していないといけないのでしょうか。

宮内：セキュリティというものの考え方を皆がもっと把握することが必要です。セキュリティは一番脆弱な部分の強さが全体の強さになります。コンピュータの脆弱性を考えたときに、あらゆる点を考えた上で全部防がないといけません。対策をひとつやったらお終いではないということを理解して欲しいです。

例えば、住宅なら防犯に関する設計ノウハウを建築業者が持っています。一般住宅でも私たちが知らないリスクは結構あるそうです。だから、建築業者と相談しながら作っていくわけです。コンピュータの安全性についても、ある程度は専門家と相談するのが普通に行われるようになって来ました。そういう文化が大事だと思います。

ビジネスの話に戻ると、大手企業はシステム専門の部門があり、そういう部署はセキュリティも業務の一環なので、しっかりやることが多いと思います。困るのは100人以下の中小企業です。大事なはずなのに、きちんとやっている人がおらず、誰かが片手間でやっている。そういう状況が一番憂慮すべき状況かなと思います。

人もお金も掛けられないところが、インシデントに当たったときにどうするのか。データを失ったことで、信用も失っているわけですから。そこで単純に諦めろと言ってしまうと、その先は「つぶれろ」と言うことに等しいです。

単純にすべてをユーザーの責任とするには、リスクに関するあらゆる情報が入手できるということが前提になります。現実はそうではないので、ユーザーがとれる責任には限界があります。

===

重過失の主張は相当に可能な事案

──ひとつのリスクのケースとしても、被害者が損害賠償を求めるための材料としても、第三者委員会の報告書は重要です。

宮内：すでに公開されている情報を見ただけでも、普通に見たら重過失と言えるものだと思います。ここまで影響が大きい運用の瑕疵が見出されなかったというのは、普通ではあり得ないではないでしょうか。

今のところ、損害賠償をもとめて裁判を起こしたという話は聞いていませんが、被害者も多いのでそのうち訴訟は起きるかもしれません。裁判に勝てるかどうかは時の運もありますが、今の情報だけでも裁判を維持することは可能だと思います。最高裁判例の重過失の定義に照らし合わせて、今の段階でも主張は相当にできると思います。

クラウドサービスは、それぞれの被害者の損害額を証明しにくいため、明らかに事業者が問題のあるサービス運用をしていても、事業者の責任を追及するのは難しい場合があります。被害者をまとめていかないと交渉することすら難しいケースが、これからは考えられますが、制度面を考えると、日本では被害者を束ねて交渉するような方向が希薄なので、もう少しクラスアクションに近いものが必要だと思います。あるいは、大量生産の工業製品のリコールみたいなものが必要かもしれません。

──ITシステム全般において、皆が直感的な思っているリスクと、実際に起きていることは大きな差があり、それを見逃していました。今回は、それを学ぶためのスタートラインかもしれません。

宮内：パソコンのハードディスクが壊れることと同じです。一度、自分で痛い目を見ると、バックアップをとるようになりますが、そうでない人は他人事だと思っています。ハードディスクを使う以上、リスクは皆に等しくあるはずです。

ただ、クラウドの場合はハードディスクと違って、同時多発的に被害が生じるので、保証や救済については違うアプローチを考えないといけません。ユーザー個人にとっては、自分だけなのか全体が壊れたのかで、あまり違いはないですが、事業者側は重大なことをやっているという認識を徹底しないといけません。