昨日のエントリに対しては、「クラウドとかホスティングとかレンタルサーバとか言いながら、バックアップとは呼べないバックアップしかしていなかったということが、重過失にあたるのではないか」という意見を、コメント欄ほかで頂きました。
私は、一部のユーザーに限り、“バックアップ”をしていなかったことについての契約違反(債務不履行責任)による損害賠償を請求できるとは思いますが、それによってファーストサーバ社の重過失が認められ、損害賠償額の上限を超えて責任を追求できるとは考えていません。以下そう思う理由を述べます。
まず確認ですが、ファーストサーバさんの利用規約には、「契約者がバックアップを取れ」とは書いてありますが、「ファーストサーバが契約者データの保全のためのバックアップを取ります」とは書いていません。
第16条(データ等の保管およびバックアップ)
1.契約者は、本サービスが本質的に情報の喪失、改変、破壊等の危険が内在するインターネット通信網を介したサービスであることを理解した上で、サーバ上において利用、作成、保管記録等するファイル、データ、プログラム及び電子メールデータ等の全て(以下「契約者保有データ」といいます。)を自らの責任において利用し、保管管理し、且つ、バックアップをするものとします。
2.当社は、システム保安上の理由等により、契約者保有データを一時的にバックアップする場合があります。ただし、当該バックアップは、契約者データの保全を目的とするものではなく、当社が契約者からの当該バックアップデータの提供要求に応じる場合であっても、当社は、当該データの完全性等を含め何らの保証をしません。
3.契約者が契約者保有データをバックアップしなかったことによって被った損害について、当社は損害賠償責任を含め何らの責任を負わないものとします。
事故が発生した後の中間報告の説明の図において、ファーストサーバさん自身が「バックアップ環境」という言葉を使ってしまっていることもあって、議論が混乱している気がしますが、利用規約上はデータ保全のための“バックアップ”の提供はファーストサーバの義務ではないことが明確に記載されていた、ということを、まずここでは抑えておきたいと思います。
(なお、ファーストサーバさんの事故対象サービスの中で、簡易バックアップというオプションメニューが存在しますが、これは“顧客のサーバ領域内でのファイルコピー”である旨ウェブサイト等で明示されていたようです。)
ただし、ある一部のユーザーについては例外が。昨日の日経新聞が報じた、サービスメニュー「ビズ2」の営業パンフに存在したバックアップに関する表記のミスについてです。
▼ファーストサーバ障害、深刻化する大規模「データ消失」(日本経済新聞)
ファーストサーバの主力サービスであるビズ2・シリーズのパンフレットに、こうある。
「ファーストサーバは、これまで以上に安心してレンタルサーバーサービスをご利用いただくために品質保証制度(SLA)を設け、稼働率100%を保証した高いビジネス品質のサービスでお客様のビジネスを支えます」
これは、本番系と同時にリアルタイムで待機系を動かし、サーバーを止めることなく稼働させる仕組みをうたっている。「100%」は実現できなかったが、もう1カ所の記述が事実であれば、少なくとも消失は防げたはずだった。
「さらに人為的なデータ損失があった場合にそなえ、日に1回、外部サーバーにデータを保存していますので、お客様によるデータの誤消去があった場合にも、前日の状態に戻すことが可能です」――。
今回はファーストサーバによる「人為的な誤消去」。しかし実際は、バックアップは「外部サーバー」ではなく、「同一のサーバー内の別ディスク」にあり、完全なデータ消失に至ってしまった。この点についてファーストサーバの村竹室長は「数年前までは記述の通りだったが、現在は説明の通り異なる。記述ミスで、修正をせずにいた可能性がある」と語った。
パンフレットを契約書と一緒に後生大事に保管していた「ビズ2」ユーザがいたとしたら、それはファインプレーです。
第1条(約款の適用)
4. 当社のウェブページ等において当社が公開するまたは個別に通知若しくは提供等する本サービスの機能説明、利用方法に関する説明、注意事項及び制限事項等(以下「説明書等」といいます。)は、本約款の一部を構成するものとし、本サービスの利用に適用されます。
この条項により、パンフレットの記載内容、すなわち外部サーバに1日1回“バックアップ”するという約束が<約款の一部を構成するもの>となり、契約義務違反を問うことが出来るからです。法務の世界では、例え話的に「営業担当者が(勝手に)作るパワポ資料も契約の一部を構成するものとなりうるから、きちんとチェックしなければならない」とは教わるのですが、著名事件でこういう事例に出くわしたのは初めてのような気がします。
とはいえ、パンフレットで間違ったサービス説明をしていたから過失が重過失になるわけではなく、あくまでそれはそのパンフを見て誤認したまま契約したユーザーに対する「契約違反」になるという話。パンフレットによって提供されると誤認した“バックアップ”サービスを提供しなかったという契約違反に対して、(利用規約に定められた上限額の範囲で)債務不履行による損害賠償を請求するということになります。しかもその責任が追求できるのは、パンフレットを見て誤認したまま契約したと立証できる一部のユーザーだけ。
バックアップがそもそも契約上のサービスとして約束されていなかった他のユーザー(パンフレットを見てないユーザー)については、重過失であったかどうかについて責任を追求していくしかありませんが、重過失議論は、昨日のエントリに書いた通り、脆弱性対策のための更新プログラムに潜む「プログラム削除コマンド」と「対象サーバーの設定」の瑕疵によって、別のサーバの消すべきでないデータを消してしまったという行為(原因1)が過失を超えた重過失にあたるかがポイントだと私は思っています。事故調査委員会の論点も、そこに絞られていくんじゃないでしょうか。
「クラウド/ホスティング/レンタルサーバを名乗る以上、全ユーザー分のデータ保全のための“バックアップ”を取っていて当たり前」
それをこの業界の常識として明確化し、クラウド・レンタルサーバ事業者の責任として問いたいのなら、一昨日来の繰り返しになりますが、そのことを法律として定めるしかないと思っていますが、それができないうちは、利用規約・約款・サービス仕様書をよくよく読み込んでサービスを選んで使うしかない、ということなのでしょう。
