レポート

システム運用における法的諸問題
松島・木村法律事務所 弁護士 松島 淳也 氏

印刷用

 システム運用に関する事件数は開発8割、運用2割と開発の方が多いが、運用に関するものの方が影響が大きい場合があり、開発・稼働後にも注意を払う必要があることをお伝えするためにも本日はシステム運用に主眼を置いて説明する。

 開発段階での問題との比較では、
  1.情報は消滅しやすく、伝播しやすい
  2.ビジネスの最中に発生する
  3.利害関係人が多い
  4.損害額が高額になりやすい
  5.突然、紛争が顕在化する
  6.免責条項や責任制限条項の解釈が重要
といった特徴が挙げられる。

情報システムの運用における紛争類型

 情報システムの運用における紛争類型は大きく、
  1.システム障害発生時の法律問題(株誤発注事件、予約チェックインシステム事件等)
  2.システム運用・保守時の情報消失に関する法律問題
  (レンタルサーバ事件、F社の情報消失事件等)
  3.システム運用・保守時の情報漏えい(T社、Y社事件等)
に関する法律問題に分けられる。

紛争発生時の検討手順

 検討すべき点は上記紛争類型のいずれにおいてもユーザ企業が被った損害に対する賠償義務の有無及び賠償額であり、
  1.いかなる義務を負担しているのか
  2.故意または過失等の責めに帰すべき事由により1.の義務に違反したと評価できるか
という債務不履行責任、不法行為責任の有無(責任論)と、損害賠償額の確定にあたり、
  3.ユーザ企業に発生した損害額
  4.損害賠償義務を免責規定または責任制限規定で免責・制限できるか
  5.過失相殺の法理により損害賠償額を減額できるか
という手順で検討を行う。

システム障害発生時の法律問題

 予約チェックインシステム事件の争点は、
  1-1. 被告(システム運用事業者)が負うべき定刻運送義務、
  1-2. 顧客配慮義務の内容、
  2. 被告の責めに帰すべき事由による義務違反の有無、であった。
 争点1-1について原告が「定刻に遅れたら即義務違反」と主張していたところ、裁判所は、「運航時刻の遵守よりも優先すべき安全にかかわる事情(優先事情)がある場合にはできる限り遅れを小さくするように対処すればよく、優先事情自体が被告の責めに帰すべき事由により発生した場合には債務不履行責任を負うことになる」とし、優先事情である本件システム障害がきわめて偶発的な事由から生じた予測困難なものであったことから、定刻運送義務は生じないという判決が下った。
 ここで注意して欲しいのは法律の判断が
 (1)システム障害を発生させたこと自体への責任、
 (2)事後対応の2段階になっている点である。システム稼働後の運用保守を含めてリスクを予見し対応を考えておく必要がある。
 
 株誤発注事件では、
  1.システム提供者が負う債務の内容
  2.システム提供者の帰責性の有無
  3.免責規定の適用の有無
  4.過失相殺の有無
 が争点であった。
 3.について、本件約款では「故意または重過失が認められる場合を除き」免責されると定めていた。裁判所は、重過失について、「ほとんど故意に近い著しい注意欠如の状態」とした最高裁判所昭和32年7月9日の判決をもとにしながら、ここに「回避可能性」を判断基準に加え、「予見可能性」と「回避可能性」の「容易性」の有無が重過失の有無の判断基準になるとした。
 
 4.について、証券取引所に求められる注意義務の程度は高く、誤発注があった午前9時27分56秒から約8分しかなかった午前9時35分時点で証券取引所が売買停止措置を講じなかったことは重過失であるとされた。実務上かなり厳しい判断と思われるが、このような判断がなされた以上、今後のシステム運用ではそれ相応の対応が求められる可能性がある。また、証券取引所7:証券会社3の割合で責任を負うとされたが、重過失が認められた9時35分以降の損害(415億円のうち約115億円)に対しての割合であり、当事者が負担した実際の損害額の割合と、過失割合とは一致していない。

システム運用・保守時の情報消失に関する法律問題

 レンタルサーバ事件では、レンタルサーバ事業者が業務中に誤ってデータを消滅させた「積極的な行為」によって発生した事故であり、そのような場合に約款にある免責規定は適用されないとした。しかし、原告(ユーザ)も容易にバックアップ等の措置をとることができていながらそれをしなかったため、消滅したホームページを作り直した費用として請求した約1,500万円のうち736万5000円を損害賠償額として認定した。
 ここで注意すべきは、容易にバックアップができないサービスもあるので、利用者側は約款の内容、及び、そこで定められた義務を履行できるか否かを考慮する必要があり、また提供側もバックアップできる手段を提供していない中で「バックアップ責任は利用者」とする約款を交わしていないか、約款の妥当性を検討する必要がある。
 F社の情報消失事件の調査報告書では、担当者が社内マニュアルに従わず独自方式でメンテナンスを行い、上長もこれを黙認していながら、過去10年間同様のやり方で事故が起きていないことを理由に重過失に相当しないとされた。

システム運用・保守時の情報漏えいに関する法律問題

 情報漏えいの類型は
  1.内部犯行による場合
  2.担当者の設定ミスによる場合
  3.第三者からの不正アクセスに分けられる。
 3.については、クレジットカード会社のシステムがSQLインジェクション攻撃を受けたため、個人情報が流出した事故がある。裁判所の判断は、損害賠償額が甚大になることが多いシステム開発業務において損害賠償額の上限を設けること自体は適切としながらも、約款の「故意又は過失による損害に対しては賠償の責を負う」という定めについて、SQLインジェクションはすでに一般化した攻撃手法であり、METIやIPAから具体的な対策法を含め注意喚起されていたにも関わらず適切な対策を講じていなかったことから、重過失ありと認められた。情報システムの専門家に求められる注意義務の程度は比較的高度なものであることに留意しておく必要がある。

 ベンダとユーザは、脆弱性対応について、
  1.対応すべき脆弱性の脅威の程度
  2.公表されてから対応までに要する時間
  3.コストについて合意すべきである。

免責規定・責任制限規定の適用

 免責や責任を制限する規定は万能ではない。免責規定の適用の有無について裁判所は、
  1.契約文言の規定内容
  2.約款あるいは相対の契約
  3.法人対法人か、法人対個人か
  4.過失の内容・程度
  5.発生した損害の額を判断事情とし、規定の適用範囲等を柔軟に解釈して原告・被告間のバランスに配慮している。