データ消失事件と諸問題

先日、TechTargetジャパンで、「SaaSでデータが消失したら誰の責任?進むクラウド事業者の多層化問題」という記事をかかせていただき(URL)、また一昨日は、情報セキュリティ大学院大学で、「クラウド時代の契約問題:サービス提供者のデータ消失やデータ漏洩にどう対処するか?」というワークショップ(URL)でお話をさせていただきました。
これらの記事と講演に関して、若干付言しようと思います。
まず、TechTargetジャパンの記事について。TechTargetでは、国内法の適用との関係で、それぞれのプロバイダが国内に存在する場合を想定して書かせていただきましたが、クラウドの多層化やサプライチェーンの関係で一番問題となるのは、越境を含む場合だと思っています。
想定しているのは、国内のSaaSが海外のIaaSを使っていて(海外IaaSを使用していることも表示していないケースもあるかもしれません)、IaaSの障害でデータが消失したようなケースです。
記事に記載しているとおり、もともと、このようなケースでIaaSの責任を問うことは簡単なことではないのですが、越境が絡むと、これは更に難しくなります。
ただ、それだけではなくて、IaaSの事業者がファーストサーバのように具体的な報告をするとは限りませんし、事故原因についての詳細を知る、すなわち、証拠を収集することも困難となる可能性があります。
その場合、SaaS事業者の責任を問うこともまた、難易度が上がるものと予想されます。
次に、講演中で質問があったバックアップの責任に関してです。
バックアップについてプロバイダが責任を負うかどうかは、クラウド利用契約の本質的な義務としてのバックアップ義務が存在するかと、規約の定めによります。
クラウド利用に当たって、クラウド側でのバックアップ機能を備えない限り、そもそもサービスの提供が不完全であるという考え方に立てば、バックアップは、クラウド事業者側の本質的な義務ということになると思われますし(ただし、バックアップをとらなかった利用者の過失を考慮する場合はある)、他方、オンプレミスの環境において、利用者でバックアップをとるのは当然であったところ、単にクラウドのインフラを自身の環境の拡張に利用しているだけで、データの保持に関する責任は利用者が負っているのは当然という立場に立てば、バックアップの責任は、原則として利用者が負うことになると思われます。
このあたりは、そもそも裁判例が少なく、判断も分かれているので、そのような義務があるかどうかはこれからの展開を待つことになるのだと思われますし、今後も裁判上で争いが続く部分と思われます。
また、バックアップができない、あるいは困難なサービスを提供していた場合、特にデータの組成もクラウド側で行っているようなサービスの場合、バックアップはそもそも困難ですし、あるいは、バックアップをユーザーが十分にとることができるようなインフラを備えていない事業者の場合はどうなるかという問題もあります。
そのような事業者を選択したことの是非の問題も当然生じるとは思いますが、法的に考えると、そのようなサービスを事業者が提供している以上、事業者側でバックアップを採るべき義務があるという考え方はできると思いますし、バックアップの容易性が事業者のバックアップ義務の有無にも関係するのではないかとも考えています(ワークショップで御紹介した平成21年判決も、バックアップが容易であったのに、というような言い回しをしています)。また、バックアップをとらなかったことによる利用者の過失がしん酌されるかも不明です。
その意味で、一律に今後、バックアップの責任が利用者だけにかかってくるとは断言できないと考えています。