SaaS・サブスクリプションビジネスの利用規約—データ消失時の責任

投稿日:

特にBtoB SaaSでは重要となる、データ保全の責任に関する利用規約の定めについて分析する入門編第6回。ユーザーによるバックアップ義務規定の有効性が大きなポイントとなります。

事業者・ユーザーともに避けたいデータ消失事故

SaaS・サブスクリプションサービスを提供する事業者と利用するユーザーとの契約関係は、長期にわたります。それだけに、利用期間が積み重なるにつれて、蓄積されていくデータ量も増えていくことになります。ユーザーにとっては、そうしたデータを自社サーバーで管理しなくてよくなることも、メリットのひとつです。

ところが、そうして 膨大に蓄積されたユーザーに関するデータが、サーバーの障害や人為的ミスにより、一瞬で消え去ってしまう事故 も珍しくありません。

有名なところでは、2012年にファーストサーバ株式会社で発生したデータ消失事故があります。この事故は、会社のシステム管理担当者がメールシステムの障害対策を行うために更新プログラムを実行した際、本来入れるべきではないコマンドを消し忘れて実行したために、バックアップデータを含むすべてのファイルを消去したというものです。

このような場合、利用規約等で何も手当がなければ、ユーザーから事業者に対し、

  1. データ復元費用
  2. データ再作成費用
  3. ユーザーに発生した逸失利益
  4. ユーザーが当該事故に関し第三者に支払った損害賠償金
  5. その他対応にかかる人件費

などの財産的損害について、相当因果関係が認められる範囲で損害を賠償する責任を負うことになります。

SaaS事業者の事故例ではありませんが、省電力機器の販売と設置を行った事業者が工事の際に停電を発生させ、ユーザー企業の開発中のソフトウェアをはじめとするデータ一式を消失させた事件(東京地裁平成16年3月2日 平成12年(ワ)第6049号)などで、実際に損害賠償請求が一部認められた例が存在します。

ほとんどの事業者が「二段構え」の利用規約でデータ消失責任を限定

ユーザーデータを取扱うサービスを提供する以上、データ消失事故は発生可能性の高いセキュリティ事故です。それだけに、データ消失リスクを限定するための規定がおおよそ以下のような二段構えで設けられているのが、SaaS・サブスク利用規約の通常水準 となっています。

特に、BtoB向けSaaS利用規約には漏れなく入っていると言っても言い過ぎではないでしょう。

(1)免責・責任限定規定

サービスの利用に関しユーザーに発生する損害賠償責任を免責または限定する規定 については、入門編第3回で詳しく取り上げました。

今回テーマとして取り上げているデータが消失した際の免責や責任についても、当然にこの条項の対象となります。

なお、米国のSaaS利用規約ひな形では、”LOSS OR INACCURACY OR CORRUPTION OF DATA”が免責の対象である旨が特掲されています。

(2)バックアップ義務規定

データ消失リスクとの関係で特徴的なのは、事業者として負いかねないデータ消失リスクを回避するために、ユーザーに対してバックアップを取得する義務を課す規定 が、クラウドサービスの利用規約に多く見受けられる点です。

例えば、経済産業省「クラウドセキュリティガイドライン活用ガイドブック」P72では、ユーザーによるバックアップの責任について以下のように定めることを推奨しています。

経済産業省「クラウドセキュリティガイドライン活用ガイドブック」P72 https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudseckatsuyou2013fy.pdf

さらに、同条の解説において、

仮にこのような規定が設けられていない場合であっても、クラウドサービスにおいて利用者データが消失した場面において、利用者がデータ消失に供えてバックアップを取得していないことは、利用者側の過失として考慮され(過失相殺)、利用者にとって不利に解される可能性があります(P72)

と、バックアップは当然にユーザーの義務であるとのスタンスに立っています。

JISA「ASPサービスモデル利用規約」ではどうでしょうか。こちらのP8にも、バックアップ責任はユーザーの責任であるとの規定があります。こちらはそれに加えて、一般の免責規定とは独立する形データの保存・バックアップ等に関して一切責任を負わない旨の強い免責文言も添えられています。

JISA「ASPサービスモデル利用規約」P8 https://www.jisa.or.jp/Portals/0/resource/legal/download/asp_policy_model.pdf

バックアップの技術的手段をユーザーに提供していることが前提

ただし、ここで一点、SaaS・サブスク事業者として注意すべきポイントがあります。

同じクラウドサービスの中でも、PaaS・IaaSの場合は、そのサービスの性質上ユーザーに対し容易にバックアップデータ(マシンイメージ、スナップショットなど)を取得可能な仕組みを用意できます。

総務省『平成30年版情報通信白書』第1部第3節 図表3-3-2-1 クラウドサービスの3つのサービス内容と3つの利用形態 http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/html/nd133210.html

しかしながら、SaaSの場合、ユーザーの「所有物」であるデータと一体化して動くソフトウェアまでが事業者の提供責任範囲となります。そのため、

ことがほとんどです。

したがって、いくら 利用規約においてユーザーにバックアップ義務を課したところで、現実にユーザーがバックアップデータを取得できない構造となっていれば、その部分は無意味な規定となり、結果SaaS事業者がデータ消失責任を負うものと解される余地がある、という点です。

この問題点を指摘している文献として、伊藤雅浩ほか『ITビジネスの契約実務』(商事法務,2017)があります。

例えば、単なるストレージサービスであれば、ユーザが簡単な作業を行えば、ローカルのPCや、記録媒体にバックアップのデータを保存することも可能であるため、バックアップの責任をユーザに課すことも不合理だとはいえないだろう。しかし、SaaSのように、ユーザが日々、データを入力・保存するようなサービス(伝票入力、出退勤の入力、名刺データの入力等)の場合、ユーザが自らデータのバックアップを取ることはできない。消失する場合に備えて、データを入力する前に別のファイルにデータを二重入力してバックアップの代替とするなどということはおよそ現実的ではない。(中略)
したがって、データ保全責任をユーザに課すのであれば、サービス提供者はそれを可能にする手段(バックアップ、エクスポート等の保存手段ほか、万が一の消失時におけるリストア(復元)手段)を提供していなければならず、そのような手段もないまま一方的に定められた免責規定の有効性には疑問がある。
(伊藤雅浩ほか『ITビジネスの契約実務』(商事法務,2017)P151-152)

画像: den-sen / PIXTA(ピクスタ)、ahasoft / PIXTA(ピクスタ)

(橋詰)

参考文献

関連記事