Contents
【ご相談内容】
当社は、事業者が保有するデータを当社が指定するサーバに格納してもらい、当該データを当社が独自開発した人工知能に基づき最適化し、その最適化した加工データを事業者に使用許諾するというサービスを行っています。
上記サービスを展開している中で、指定サーバ内に格納されていた情報が消失する事故が発生すると共に、外部に情報が洩れている可能性が明らかとなりました。
当社としては、サービスを利用する事業者からの損害賠償請求に誠実に対応する方針ですが、データ消失等により発生する損害とは何か、具体的な損害額はどのように算定すればよいのか、今一つ理解ができていません。また、できる限り当社の負担を少なくしたいと考えており、利用規約に定める事項を根拠に減額交渉も視野に入れています。
データを預かった者が、データの消失等により生じた損害賠償問題へ対処する当たり、注意するべき事項について教えてください。
【回答】
データを預かった者(=データ受託者)が、何らかの原因によりデータを消失等させた場合、結果だけを見ればデータ受託者は損害賠償責任を負担して当然であると考えるかもしれません。
しかし、法律論として検討した場合、データ受託者は、①データの消失等をさせない義務を負っていたと言えるのか、②義務違反があるとしても、損害賠償責任が免責される場合があり得るのではないか、③データ消失等により生じたあらゆる損害を負担するいわれはないのではないか、等々検討するべき事項が多々あります。
以下では、データ受託者の責任論に関する問題、損害賠償責任の減免に関する問題、損害賠償を負担するべき範囲の問題について分けて解説を行います。
【解説】
1.成立要件(責任論)
(1)義務の有無、義務違反の成否
データ受託者が損害賠償責任を負う要件としては、データの消失等に繋がった原因行為ついてデータ受託者に帰責性があること、すなわちデータの消失等が発生しないよう注意する義務があったにもかかわらず、その義務に違反したことが必要となります。
この点、データのような無体物ではなく、預かった物が有体物である場合、預かった物を消失等させない義務が一般的に認められます(商法第595条。なお、商取引であるため民法第659条については適用がありません)。さて、無体物について商法第595条がそのまま適用されるのか微妙な問題があるのですが、一般論としては、無体物(データ)であっても預かった無体物(データ)を消失等しないようにする義務があるとされています(例えば東京地判平成13年9月28日など)。
ただ、義務が存在するとしても、データが消失等した場合、当然に義務違反といえるのかは別途議論する必要があります。なぜなら、データのセキュリティ対策について、技術的に100%消失等しないと保証することは現時点では不可能だからです。したがって、データ受託者としては、人為的なミスでデータが消失等したものではないことの立証は当然の前提としつつ、データ消失等につき技術的に回避が不可能であることを立証できる限り、責任を負わない可能性があるという点を押さえておく必要があります。
なお、セキュリティ技術については日進月歩であり、どこまで最新のセキュリティ対策を講じるのかその程度の見極めが難しいところ、最低でも政府系機関が公表しているセキュリティ対策(例えば、IPA・情報処理推進機構など)について確実に実施しておかないことには、技術的回避不能とは言い難いように考えられます(なお、東京地判平成26年1月23日など参照)。
(2) データ受託者とユーザとが契約関係が立たない場合の特殊性
上記(1)で記載した通り、一般論として、データ受託者はデータを消失等させない注意義務を負担するとしても、誰に対して負担しているのかは別途検討する必要があります。
例えば、サービス提供事業者(データ受託者)は販売代理店と契約しているのみであり、ユーザは販売代理店のみと当該サービスに関する契約を締結しているにすぎない場合、データ受託者とユーザとの間には契約関係がないことから、果たしてデータ受託者はユーザに対して直接義務を負担しているとはいえないと考えられるからです。
さて、上記でも記載した通り、データ受託者とユーザとの間に契約関係が存在しない以上、契約に基づき注意義務が発生すると考えることは不可能です。では、データ消失等の事故が発生した場合にユーザがデータ受託者に不法行為責任を追及するとして、不法行為上の注意義務がデータ受託者に発生するといえるのでしょうか。
この点、データの保管について寄託契約的性質がある場合はともかく、契約関係に無い第三者に対して、当然にデータの消失防止義務を負うことはないと判断した裁判例が存在します(東京地判平成21年5月20日)。「寄託契約的性質」という用語が曲者であること(どういった契約関係を意味・包含するのか不明確です)、上記裁判例の前提となった事例はデータ保管者がレンタルサーバにすぎなかったことを踏まえると、過度に一般化することは禁物と考えられます。とはいえ、データ受託者としては、直接の契約当事者ではないユーザより責任追及されたとしても、そもそもユーザに対して注意義務を負担しないことを主張することが一応可能であると考えて間違いありません。
(3)データ受託者とユーザとの間に契約関係がある場合
ユーザが、データ受託者と直接の契約関係にある場合、データ受託者は契約上の義務としてデータを消失等させないよう義務を負うものと基本的には考えられます。
しかし、データ受託者とユーザとの契約内容として、そもそもデータを保管するといった性質のものではなく、例えばデータ受託者が提供するサービス内容に基づき、ユーザが演算処理を行うためにデータを記録しただけにすぎない場合(ユーザの利便性の為に、一時的にデータを保管できる場所を提供しているにすぎず、データを預かって保管するという契約内容となっていない)、データを消失等させてはならない義務をデータ受託者が負担しているは言い難いものと考えられます。
また、データ受託者が、ユーザのデータを当該受託者の支配領域内で占有管理する態様であったとしても、データの完全な保管を保証しないこと及びユーザにおいてバックアップ義務を行う必要があることを契約内容として定めている場合、やはりデータ受託者において、データを消去させない義務が当然にあるとは言えないと考えられます。
なお、実際に現場で多いクレームとして、データ受託者とユーザとの間で締結していたサービス利用契約が終了した場合、データ受託者が直ちにユーザより預かっていたデータを消去してしまった場合です。ユーザとしては、サービス利用契約が終了した以上、サービスは利用できないとしても、預けたデータそれ自体は自分の所有物という感覚があるため、サービス契約終了後であっても当然に返還してもらえる(データをダウンロードできる)と考えていることが多いためです。データ受託者としては、こういった場面を見据えて、データ保存義務を負担しないような契約内容にするといった対策を講じておくことが無難です。
2.損害賠償制限条項との関係
(1)いわゆる全部免責規定
サービス提供を行うデータ受託者が利用規約等を作成した場合、「当社は、事由の如何を問わず、本サービスを使用することによって利用者に生じた損害について、一切の責任を負いません。」といった条項を定めがちなのですが、そもそも当該条項を定める意義があるのかを確認する必要があります。
まず、対象となる利用者に消費者が含まれる場合、消費者契約法が適用されますので、こういった条項を定めても法律上の意義はありません(消費者契約法第8条第1項第1号又は同項第3号に基づき、当該条項は無効となります)。
一方、対象となる利用者が事業者(非消費者)に限定される場合、消費者契約法が適用されないことはもちろん、消費者契約法のような当該条項を直接的に無効と根拠づける法律が存在しない状況です。したがって、当該条項は原則有効と考えられます。もっとも、複数の裁判例により、賠償義務者において故意又は重過失がある場合は、当該条項を根拠に全部免責を主張することは信義則に反する(又は権利濫用である)とする解釈論が現場実務では主流になっています。したがって、データ受託者は、当該条項を盾に、常に全部免責を主張できるわけではないことを理解し、データ消去等の原因については適切に調査した上で、故意又は重過失がないことを主張立証できるよう準備するべきです。
(2)一部免責規定
サービス提供を行うデータ受託者が負担する損害賠償について、例えば「通常損害に限定され、予見可能性の有無を問わず特別損害については責任を負いません。」とする損害項目の一部について免責を認める条項、あるいは例えば「負担する損害額は利用料の3ヶ月分を上限とします。」とする損害賠償額の上限を設け、上限額を超える損害については免責を認める条項といった、一部免責条項を定めることが多くみられます。これについても、当該条項を定めることにつき意義があるのか確認する必要があります。
まず、対象となる利用者に消費者が含まれる場合、消費者契約法第8条第1項第2号又は同項第4号に基づき、軽過失の場合に一部免責を認める条項は有効、故意・重過失がある場合に一部免責を認める条項は無効と判断されることになります。なお、理屈の上では、上記のような条項であっても、軽過失の場合のみ一部免責条項を発動させることが可能であると解釈することが可能なのですが、現場実務では、上記条項の場合、故意・重過失の場合も一部免責が認められるかのような規定ぶりとなっており、当該条項自体が無効であると判断されるリスクが相当高いと考えられます。したがって、一部免責条項を定めるのであれば、上記条項例の後に、例えば「但し、故意又は重過失がある場合はこの限りではありません。」という軽過失の場合のみ一部免責条項は発動することを明確にするといった対策を講じておくのが無難です。
次に、対象となる利用者が事業者(非消費者)に限定される場合、上記(1)の全部免責条項と考え方は同じであり、原則有効と考えられています。もっとも、賠償義務者に故意又は重過失の場合は当該条項が無効と判断される可能性があるものの、全部免責条項とは異なり、一部とはいえ賠償は行われる以上、故意重過失があるから常に当該条項は無効と考えるわけではないようです。もちろん色々な事情を考慮して個別判断になるとは思われるものの、実際に被った損害額と支払われる損害額との乖離が大きい場合、一部免責条項は無効という判断に傾きやすいものと思われます。データ受託者としては、一部免責条項を定める場合であっても、サービス不具合によって生じることが予想される損害との差異が著しくならないよう、(絶妙な)免責範囲を定めることがポイントになると考えられます。
(3)SLAとの関係
SLA=サービス・レベル・アグリーメントと称されますが、要はサービス提供者側による品質保証を受けるために、ユーザ側が守るべき条件とここではイメージすればよいかと思います。上記(1)(2)と異なり、直接的に損害賠償の範囲や金額を制限するものではないものの、条件を充足しない限りは補償を受けられないという意味で、事実上の損害賠償制限に該当することから、ここで取り上げています。
さて、このSLAの問題を検討するに際してですが、次のような違いを意識する必要があります。すなわち…
- 上記(1)(2)は、サービス提供開始後において、当該サービスに何らかの不具合が発生し損害賠償問題となった場合に問題となりうること
- SLAは、取引を開始するにあたって、サービスを提供するデータ受託者側が対応できる品質保証、つまり契約の本旨に関する事項であって、SLA対象外の事由により損害賠償問題が発生したとしても、そもそも契約の範囲外であること
という点です。端的には契約違反の有無を前提にするのかという相違があります。
したがって、SLAにより損害賠償の範囲が制限されたとしても、契約違反を前提にしない以上は消費者契約法の適用は問題となりません。また、故意重過失がある場合の例外問題を検討する余地もありません(そもそも契約範囲外であるため)。
以上の通り、損害賠償論特有の問題に絞って検討した場合、SLAによって、ユーザの属性やサービス提供者であるデータ受託者の不手際の程度を考慮することなく、損害賠償を制限する内容は法的に有効と考えられます。しかし、SLAは、契約範囲に含まれるか否かというスタートラインの問題となりますので、契約締結時点において、SLAの内容につきユーザが認識しうる状況であったのか、認識しうる状況であったとして認識可能な内容だったのか等の別の問題が生じえます。つまり、契約締結時点で、サービス提供者であるデータ受託者が、SLAの内容につき十分な情報開示を行っていなかった(説明義務を尽くしていなかった)場合、契約内容とはなっていないという反論ができなくなってしまいますので、この点は注意が必要です。
(4)過失相殺
データ受託者が、預かったデータを消失等しないようにする義務があるにもかかわらず、当該義務に違反したことでユーザに損害を発生させた場合、損害賠償責任を負うことは不可避となります。
損害賠償責任を負う場合、具体的な損害額の算定を行うことになります。この点、データ受託者自らが負担する損害賠償額を減少させたい場合、上記(2)で解説したような免責条項の適用可能性のほかに、損害の発生につきユーザ側にも責任があるとして応分の負担を主張すること、すなわち過失相殺についても検討を行うべきです。
なお、過失相殺の主張を行った場合、果たして認められるのか、認められるとしてどの程度の割合にて減額を見込めるのか等気になるところですが、これについてはケースバイケースというほかなく、一律に判断することは困難というのが実情です(交通事故損害賠償であれば過失相殺の類型化が図られていますが、データ消失等の事故に関する損害賠償問題については、そのような類型化は図られていません)。ちなみに、上記1.(1)でも触れた東京地判平成13年9月28日の事例では、過失相殺率を50%としています。その理由のとして、「ホームページにハッカー等が侵入するなどしてホームページが改変、破壊される危険があることについて認識していたこと」、「インターネット通信固有の原因により本件ファイルが消滅する危険は予見していたこと」、「(バックアップが必要であることを認識していたにもかかわらず)フロッピーディスクやCD-ROM、MO(光磁気ディスク)等を用いて、あるいはバックアップ用のハードディスクを購入することによって、比較的廉価かつ容易に、本件ファイル内容につきバックアップをとることができたこと」等の事情を指摘しています。
これらの指摘された事情は、本記事執筆時点(2021年11月)の電気通信の使用環境でもある程度当てはまるものであると考えられますので、過失相殺を主張する根拠事由として用いることは可能と思われます。しかし、執筆者個人としては、インターネット黎明期であればともかく、上記裁判当時とは比較にならないほど深化している現状においては、データ受託者に求められる専門的知見や対策もより高度なものとなっていると考えますので、50%という高い過失相殺率が当然であると考えることは難しいように思います(むしろ、データ受託者に対して厳しい過失相殺率になると予想します)。
3.損害の範囲・損害額の算定
データが消失等した場合の損害算定ですが、データが喪失したのか、漏洩したのかといった結果によって検討事項が異なってきます。また、そもそも対象となるデータについて具体的な損害額をどのように算定すればよいのか、という従来の損害賠償とは異なる視点での検討も必要となります。
(1)喪失した場合
例えば、データをハードディスクに格納しており、当該ハードディスク自体をデータ受託者が預かり保管していた場合において、データ受託者が当該ハードディスクを損壊等させることでデータが喪失したという事例を想定した場合、単純に算定できる損害賠償としては、当該ハードディスクの修理代又は買替え費用が考えられます。
ただ、上記のような考え方の場合、あくまでもハードディスクに対する損害を賠償しただけに留まり、データそれ自体の賠償を行ったわけではないと言わざるを得ません。もちろん、データ喪失による損害賠償を行うことは理論上可能なのですが、頭書に記載した通り、厄介なのがデータそれ自体の経済的価値をどうやって客観的に算出するのかという点です。この経済的価値を算出できるのであれば、この価値相当額の損害を賠償すればデータ受託者としては事足りるのですが、経済的価値の算出が極めて困難であるため、トラブルが長期化・複雑化する傾向があります。
ちなみに、データそれ自体の損害賠償ではなく、データ喪失に伴い付随的に発生する損害、例えば、データは喪失したものの事後的に復元可能というのであれば、復元に要する費用を損害賠償として認めるというのも1つの考え方になります。また、データを喪失したことで、データの預託者側の作業効率が落ち、その分人件費が増加したというのであれば、増加分の人件費相当額を損害として賠償するという考え方も可能です(但し、半永久的に増加分が認められるという訳ではなく、どこかで期間の区切りが必要となります。この区切る期間をめぐって熾烈な争いが生じることもあります)。あるいは、データ喪失により取引機会を失ったことを裏付けることができるのであれば、逸失利益相当の損害賠償も認められる可能性があります。
上記のように考えていった場合、データ喪失に伴う損害賠償の問題は、データ喪失によって付随的に生じる損害賠償への対応が、現場実務では主たる問題となってきます。そして付随的に生じるという性質上、損害賠償の範囲が際限なく広がる可能性があり(もちろん法律上は相当因果関係の範囲内という制限がありますが、抽象的な規範にすぎず、現場実務においては一律の判断基準にはなり得ません)、データ受託者としては、万が一の事態が生じた場合の損害賠償リスクについて、事前予測が不可能と言わざるを得ないとことがあります。
こういったリスクを防止する意味で、データ受託者は、上記2.で解説したような免責条項を定めておくことは必須と言わざるを得ません。なお、執筆者としては、可能な限りで免責条項の法的有効性を検証した上で規定してほしいと考えるところなのですが、実情としては安易に全部免責条項を定めていることが少なくありません。おそらくは裁判外交渉において、「利用規約上では全部免責となっており、ユーザはその内容に同意している」という主張を行うことで、ユーザに対する事実上の抑止効果を期待してのことだと思われます。たしかに、一定の抑止力があること自体は否定しえないものの、法的に通用しない条項であると分かった場合の後処理が非常に難しくなることから、何も考えずに全部免責条項を定めるという対処法は決して望ましいものではないことを、理解していただきたいところです。
(2)漏洩した場合
例えば、データ自体はデータ受託者が管理するサーバに保存されているものの、第三者からの不正アクセスを受けて当該データの複製物が持ち出されてしまった、又はデータ受託者によるサーバ内情報の閲覧権限設定をミスしたため、不特定多数の者がサーバ内のデータにアクセスできる状態であったという場合、データ受託者は漏洩事故として責任を負うことになります。
ただ、具体的な損害賠償額を算定するに際しては、上記(1)の場合よりもややこしいところがあります。なぜなら、データそれ自体は残っている以上、何らの損害を受けていないと考えることが可能だからです(もちろんデータの希少性が薄れたことによる損害は理屈の上では考えられるものの、最終的には客観的な経済的価値の算定ができないという問題に行き着きます)。結局のところは、データが漏洩したことに付随して生じた損害を検討することになりますが、損害賠償の範囲が一義的に明確ではないという問題が生じることは上記(1)と同様となります。一般論としては、データ受託者は、漏洩したデータの回収費用、データ漏洩事故への対応費用(苦情対応に要した増加人件費など)、漏洩により生じた信用棄損、データを預けた者が権利者に支払った損害賠償の求償分といった損害賠償義務を負うと考えられますが、個別性の強い問題とならざるを得ず、金額も相場がないというのが実情です。
また、漏洩したデータの属性によって、更に別途次のようなことも考える必要があります。
①プライバシー情報(個人情報を含む)
この場合、本人からのプライバシー侵害に基づく損害賠償義務を考える必要があります。ところで、個人情報漏洩が発生したことで民事裁判となった事例を検討してみると、プライバシー侵害に基づく損害賠償額は高くても3万円程度であり、一見すると安価な負担のように思われるかもしれません。しかし、これは1人当たりの損害賠償額ですので、漏洩件数が数千件となると一千万単位の損害賠償額が理論上生じることになります(理論上とあえて記載したのは、民事裁判を提起するのはデータ漏洩の被害者の極一部に過ぎないため、裁判を提起していない被害者分の損害については、裁判手続き内で支払を命じられないことを考慮してのことです)。
巷では、被害者1名当たりQUOカード500円の配布は安すぎる!と言われてりしますが、裁判外で全被害者に対して配布する総額で考えた場合、データ受託者は莫大な負担を強いられることに注意が必要です。
なお、データ受託者と各個人との間に契約関係がない場合(データを預けた者との契約に基づき、データを預けた者が収集した個人情報を預かっている場合など)、いわゆる免責条項を用いて、プライバシー侵害の歯医者に対して責任を免れることができない点も押さえておく必要があります。
②営業秘密
先ほどよりデータそれ自体の経済的価値を算定することは難しいことを繰り返し指摘してきましたが、不正競争防止法に定める営業秘密の場合、この困難性を克服する特別な条項が定められています(不正競争防止法第5条)。もっとも、データ漏洩事故の場合、不正競争防止法第5条第3項の適用が考えられるところ、営業秘密を第三者に使用させた場合のライセンス料相当額自体を計算することが困難ということもあったりしますので(営業秘密なので第三者にそもそもライセンスすることが想定されていない等の事情があった場合)、やはり具体的な損害額算定の困難さは残ることが多いものと思われます。
(参考 不正競争防止法第5条第3項)
第2条第1項第1号から第9号まで、第11号から第16号まで、第19号又は第22号に掲げる不正競争によって営業上の利益を侵害された者は、故意又は過失により自己の営業上の利益を侵害した者に対し、次の各号に掲げる不正競争の区分に応じて当該各号に定める行為に対し受けるべき金銭の額に相当する額の金銭を、自己が受けた損害の額としてその賠償を請求することができる。
<2021年11月執筆>
※上記記載事項は弁護士湯原伸一の個人的見解をまとめたものです。今後の社会事情の変動や裁判所の判断などにより適宜見解を変更する場合がありますのでご注意下さい。
|
|
弁護士 湯原伸一
