【データ消失事故に備えるべき法的根拠とは（講演）】

＜自己紹介＞

みずほ中央グループ（弁護士法人みずほ中央法律事務所）
代表弁護士　三平 聡史
１９９６年，早稲田大学理工学部資源工学科卒（修了）
２００２年，弁護士登録
２００７年，弁護士法人みずほ中央法律事務所を開設。代表弁護士となる。
サイエンス・テクノロジーに関する法的なトラブルやこれらを活用した新サービスの開発に関する法的サポートを行っている。
各種シェアリング・エコノミーのプラットフォーム開発や事業上の情報の管理などがその一例である。

＜データ消失事故の法的責任と予見可能性＞

あ　実際の事故の責任の実質的な根拠

　『どういう対策を取れば回避できたのか』
　＝予見可能性・損害発生回避可能性

い　対策をとるべき者

　ア　サーバー運営業者
　イ　システム開発業者
　ウ　ユーザー企業（過失相殺）

う　サービスのニーズ

　『事故の回避策の実行』はITを利用する企業の任務である
　＝『事故の回避策』というサービスのニーズがある

え　まとめ

『責任』は『予防策を取るべきだった』と同じ意味である

＜システムのセキュリティレベルの基準＞

あ　セキュリティレベルの基準

　システム開発時の技術水準に沿ったセキュリティ対策を施す
　※東京地裁平成２６年１月２３日

い　システム納品後のリスク発生

　システムの納品・稼働開始後に新たなセキュリティホールが発覚した
　この攻撃により事故が発生した場合
　→システム開発業者は責任を負わない
　＝発注企業の自己責任となる

う　まとめ

現時点での既知のセキュリティだけのカバーで足りる

＜セキュリティに関するユーザー企業の責務とニーズ＞

あ　ITを利用する企業の責任

　常に新たな手法による事故を回避する義務がある
　＝継続的にシステムを改良する義務がある

い　社会的なニーズの存在

　常時新たなセキュリティホールを調査・把握する
　既存のシステムに対策を施す
　例；データ保護ソリューション
　ITを利用するすべての企業がこのような業務を必要としている

う　まとめ

常時最新のセキュリティリスクへの対応が求められる

＜事故の原因と責任を負う者＞

あ　不正行為をした第三者

　意図的・違法な第三者によるクラック（不正アクセス）
　→刑事・民事（金銭賠償）の責任を負う
　→実際には回収できないことが多い

い　運用業者

　『過失』があれば責任を負う
　例；セキュリティ・人為的ミス
　約款上の免責の規定が適用されることもある
　ユーザーの落ち度により『過失相殺』がなされる

う　まとめ

悪意ある第三者の攻撃を許した者も責任を負う

＜事故の種類と損害（全体）＞

あ　システムの稼働停止

　販売の機会損失

い　データの消失

　復元に要する業務の発生

う　データの流出

　プライバシー侵害
　DM送付を誘発した事例
　クレジットカード情報の漏洩→不正使用

え　まとめ

販売の機会損失が大きい

＜法的な責任の内容＞

あ　損害賠償責任

損害額相当の賠償金の支払い

い　まとめ

損害を金額として算定することになる

＜約款の有効性＞

あ　約款の有効性の基本

　約款に責任の制限（免責）があることが多い
　合理性を欠く内容は無効となることがある
　ユーザーが消費者でない場合でも無効となることがある

い　典型的な免責条項

　ユーザーによるバックアップ義務
　バックアップ不備による損害の責任一部or全部の免除
　運営業者の責任を『故意・重過失』に限定する
　『既払いの利用料金の総額』を賠償額の上限とする

う　重過失の意味

　著しい注意義務違反
　→結果の予見の容易性＋結果の回避の容易性

え　まとめ

合理性を欠く責任制限条項は無効となることがある

＜過失相殺＞

あ　過失相殺の基本

　ユーザー側の損害発生回避の可能性が認められる場合
　過失相殺が認められる
　運営業者の賠償額がディスカウントとなる

い　過失相殺の判断基準

　ア　ユーザー／保管業者の役割分担
　　特に『バックアップ作業』がどちらに分配されているか
　　＝コストとサービス内容の設定という意味である
　　例；バックアップ自体をサービス内容とする
　イ　個別的なユーザーへの注意・伝達内容

う　まとめ

ユーザー自身がバックアップしていないことで減額されることもある
ユーザーのセキュリティ対策不足で減額されることもある

＜損害額の算定＞

あ　損害額の算定

　客観的に正確な計算（判断）ができないことがある
　→救済措置として，裁判所の裁量による判断が可能である
　※民事訴訟法２４８条

い　まとめ

正確な算定ができないことも多い

＜ミスによるサーバーのデータ消失の裁判例＞

あ　事故の概要

　共用サーバーのメンテナンス作業中のミス
　ECサイトのデータ消失が生じた

い　損害の算定

　ア　再構築費用
　イ　逸失利益（収入の減少）
　　３か月分のホームページ経由の売上のうち利益相当額

う　過失相殺

　事故の前から，官庁を含め，各種サイトへのハッキング事故が多発していた
　ユーザーはバックアップを行っていなかった
　過失相殺は５割と判断された

え　賠償額

　損害額約１４７０万円×過失相殺５割減額
　→賠償額約７４０万円
※東京地裁平成１３年９月２８日レンタルサーバーデータ消失事件

＜経年劣化によるサーバーのデータ消失の裁判例＞

あ　事故の概要

　共用サーバーについて
　サーバー機器の経年劣化によりデータが消失した
　ECサイトのプログラム・顧客情報が消失した

い　約款の責任制限規定

　サーバー業者の責任を『重過失』に限定する
　→有効である

う　サーバー機器の機種・購入経路

　サーバー機器について
　→普及している有名メーカーの機種である
　保管業者は正規代理店から購入した
　耐用年数の範囲内である

え　サーバーのメンテナンス

　サーバの運用・管理は適切であった
　ア　管理施設において入退室管理・空調管理を行っていた
　イ　サーバー機器の保守・管理を行っていた

お　データ消失リスクの存在と対策の容易性

　一般的にサーバーは障害によるデータ消失が生じるリスクがある
　データ・プログラムは容易に複製・バックアップをすることができる
　→ユーザーが復旧のための対策を講じることは容易である

か　バックアップサービスとの比較

　オプションとして有償のバックアップサービスが用意されていた
　ユーザーはバックアップサービスを契約（購入）していなかった

き　結論

　サーバー運営業者に重過失はない
　→賠償責任はない
※東京地裁平成２１年５月２０日；ねこじゃらし事件

＜SQLインジェクション事件の裁判例（流出事故）＞

あ　概要

　ECサイトのシステム開発の発注がなされた
　第三者によるSQLインジェクション攻撃がなされた
　その結果，顧客情報が流出した
　クレジットカード情報７０００件以上の漏洩の可能性があった

い　セキュリティレベルの一般的基準

　システム開発時の技術水準に沿ったセキュリティ対策を施す

う　システム開発業者の重過失の根拠

　当時，SQLインジェクションの実例・対策が普及していた
　ア　経済産業省のアナウンス
　　平成１８年２月２０日
　　『個人情報保護法に基づく個人データの安全管理措置の徹底に係る注意喚起』
　イ　IPAのアナウンス
　　平成１９年４月
　　『大企業・中堅企業の情報システムのセキュリティ対策～脅威と対策』
　→システム開発業者に重過失が認められた

え　ユーザー側の過失（相殺）

　開発業者はユーザー企業にセキュリティの問題を指摘していた
　システムの改修の提案を行っていた
　ユーザー企業は対策を講じなかった
　→３割の過失相殺が認められた

お　主な損害

か　賠償額

　損害額約３２３０万円×過失相殺３割減額
　→賠償額約２２６０万円となった
※東京地裁平成２６年１月２３日

＜データ消失対策の責任＞

あ　データ消失の要因による区別

　ア　人為的ミス→サーバー側の責任
　イ　経年劣化→ユーザー側の責任

い　データ保管の不確実性

　サーバー・クラウドでのデータ保管について
　『データが消失しない保証』はない
　『バックアップ』はユーザーの義務である

う　ユーザーの具体的対応

　ユーザー企業内で定期的バックアップを履行する
　バックアップ業務を外注する

え　セキュリティ対策との関係

　セキュリティの不備によって
　データ消失や流出が生じる実例もある
　継続的な対策の履行が必要である