新規_システム開発後のトラブルや障害の法的判断の枠組みとは？弁護士がわかりやすく解説

システム運用中の代表的なトラブル

はじめに、システムの運用中に起き得る代表的なトラブル例について解説します。
なお、この記事ではシステムの開発や運用を委託している企業を「ユーザー」、システムの開発や運用を受託している企業を「ベンダー」と表記します。

システムの故障やバグ

1つ目は、システムの故障やバグです。

システムの運用段階で、バグや故障が生じることがあります。
その故障やバグの責任がベンダーにあると考える場合、ユーザーはベンダーに対して損害賠償請求をしたいと考えるでしょう。

一方で、ベンダーとしてはそのバグや故障の責任が自社にないと考える場合、損害賠償に応じる義務はないと主張します。

このように、バグや故障への対応について両者の主張が食い違い、トラブルが生じることがあります。

ユーザーの情報消失

2つ目は、情報の消失です。

たとえば、クラウドサービスなどでユーザーがクラウド上に格納していた情報が、何らかの原因で消失することがあります。
これに関して、ユーザーからベンダーに損害賠償請求ができるか否かなどについてトラブルとなることがあります。

情報漏洩

3つ目は、情報の漏洩です。

運用しているシステムから、何らかの原因で情報が漏洩する場合があります。
中には、漏洩した情報にユーザーの顧客の個人情報が含まれている場合もあるでしょう。

このような場合に、ベンダーに責任を問えるか否かなどについてトラブルとなることがあります。

システムの故障やバグが生じた場合の法的判断の枠組み

ここからは、先ほど解説した3つのトラブル例について、解決に至るまでの法的判断の枠組みをそれぞれ解説します。

なお、ここで解説するのはあくまでも考え方の概要であり、実際のケースでは具体的な状況に応じて慎重な検討が必要です。
そのため、実際にトラブルが生じてお困りの際は、早期に弁護士へご相談ください。

まずは、システムの故障やバグが生じた場合における法的判断の枠組みを解説します。

ベンダーの義務違反の有無を確認する

はじめに、ベンダーによる義務違反の有無を確認します。

ベンダーに義務違反がなければ、ベンダーが損害を賠償する必要はありません。
一方で、ベンダーに義務違反がある場合は、次の検討に進みます。

ベンダーの義務違反の代表例は、運用や保守作業にあたっていたベンダーのスタッフによるミス（過失）です。
システムの運用や保守は民法上の「準委任契約」に該当することが一般的であり、ベンダーは善良な管理者としての注意義務（「善管注意義務」といいます）を負います。
そのため、たとえ故意ではなかったとしても、過失によって損害を生じさせた場合は損害賠償責任を負う可能性があります。

なお、システムの保守や運用を委託する際は、SLA（サービスレベルアグリーメント）でサービス品質の具体的な水準を定めることが多いでしょう。
ベンダーの義務違反の有無を判断する際は、このSLAを満たしていたか否かが一つの基準となります。

ユーザーに生じた損害を確認する

次に、ユーザーに生じた損害を確認します。

ベンダーに義務違反があったとしても、ユーザーに一切損害が生じていない場合は、損害賠償の問題とはなりません。
一方で、ユーザーに損害が生じている場合は、次の検討ステップへと進みます。

システムのバグや故障によってユーザーに生じ得る損害は、主に次の3つに分類できます。

1. バグや故障に対応するための作業などに要した費用
2. システムのバグや故障によって生じた直接的な損害（一定期間中システムが利用できず、事業や業務ができなくなったことなどによる損害など）
3. その他の間接的な損害（ユーザーの信用低下など）

どこまでの損害賠償が認められるかは事案によって異なるため、一概にいえるものではありません。
ただし、一般的には「1」と「2」までは認められる可能性が高いでしょう。

過失相殺を基礎づける事情の有無を確認する

次に、過失相殺の有無を検討します。
過失相殺とは、ベンダーのみならずユーザーにも過失があった場合において両者の責任を相殺し、損害賠償額を減額することです。

ユーザーに過失相殺に値する事情があれば、その事情に応じて損害賠償額を減額したうえで次の検討ステップに進みます。
また、ユーザーに過失相殺に値する事情がない場合は、そのまま次のステップに進みます。

過失相殺を基礎づける事情は、事案の内容に応じて個別的に検討することとなります。

責任制限条項を確認する

最後に、責任制限条項を確認します。
保守や運用の委託契約書に、責任制限条項を入れることは少なくありません。

責任制限条項とは、「本契約によって生じた損害賠償の上限額は本作業による1か月分の報酬額とする」など、損害賠償の上限額や上限額の計算式などを定める条項です。

このような条項が契約内容となっている場合、原則としてその条項に従って損害賠償額を決めることとなります。
そのため、ベンダーとしては万が一の事態に備え、責任制限条項を積極的に設けておいた方がよいでしょう。

ただし、このような条項があっても解釈や有効性が問題となり、規定以上の損害賠償が認められる場合もあります。
ユーザーとしては、ベンダーに損害賠償請求をすべき事態が生じた場合、たとえこのような条項が入っていても自己判断で諦めず、まずは弁護士へご相談ください。

ユーザーの情報消失が生じた場合の法的判断の枠組み

次に、クラウド上に格納したユーザーの情報が消失した場合における法的判断の枠組みを解説します。

ベンダーの義務違反の有無を確認する

はじめに、ベンダーの義務違反があったか否かを確認します。
ベンダーに義務違反があったか否かは、そもそもベンダーがデータの保管についてどこまでの義務を負っていたのかがポイントとなります。

データは法律上の「物」ではないため、民法の「寄託」の規定をそのまま適用することはできません。
寄託であれば業務として預かった物の保管について善管注意義務を負うものの、この規定をクラウドサービス上でのデータ保管にそのままあてはまめることは困難です。

一方で、　ベンダーのミスによってデータが消失した場合においてまで、責任を負わなくてよいわけではありません。
たとえば、ベンダーがレンタルサーバー事業者であれば、データを消失させない義務を負っていたと判断される可能性が高いでしょう。
この判断にあたっては、ベンダーが提供していたサービス内容や契約内容などによって個別に判断されることとなります。

ベンダーに義務違反がなかったのであれば、たとえデータが消失してもベンダーがその損害を賠償する必要はありません。
一方、ベンダーに義務違反がある場合は、次の検討に進みます。

ユーザーに生じた損害を確認する

次に、ユーザーに生じた損害を確認します。

ベンダーの義務違反が認められても、ユーザーに損害が生じていなければ損害賠償の問題とはなりません。
一方、ユーザーに損害が生じている場合は、次のステップへと進みます。

データ消失によって生じ得る主な損害には、次の2つが挙げられます。

1. 消失したデータの再構築費用
2. データ消失がなければ得られたはずの利益（逸失利益）

一般的に、「1」の損害は認容されることが多いでしょう。
ただし、再構築費用をいくらと見積もるのかの主張や立証がハードルとなる可能性があります。

一方、「2」の請求は逸失利益の算定が容易ではないため、認められないケースも少なくありません。

過失相殺を基礎づける事情の有無を確認する

ユーザーにも過失がある場合は、過失相殺がなされます。

クラウドサービスの利用規約では、データの保全義務はユーザーが負うことなどを定めていることが少なくありません。
そのため、ユーザーがデータのバックアップを取っていなかった場合は、一定の過失相殺が認められる可能性があります。

責任制限条項を確認する

最後に、契約書や定型約款などから責任制限条項を確認します。

ただし、先ほども解説したように、責任制限条項は必ずしも有効とされるわけではなく、無効と判断される可能性もあります。
特に、ベンダーの損害賠償義務を一切免除する規定などは、無効と判断される可能性が高いでしょう。

中でも、ユーザーが消費者である場合は消費者契約法が適用され、次の条項は無効となります（消費者契約法8条1項）。

• ベンダーの損害賠償義務を一切免除する条項
• 損害賠償責任の有無の決定権限を、ベンダーに付与する条項
• ベンダーの故意や重過失による損害について、損害賠償義務の一部を免除する条項や、ベンダーが損害賠償の上限額を定める条項

情報漏洩が生じた場合の法的判断の枠組み

続いては、個人情報の漏洩が発生した場合における法的判断の枠組みを解説します。

ここでは、個人情報を取り扱っている事業者（ユーザー）が、個人情報の取り扱いを含む事務をベンダーに委託している前提とします。
また、個人情報の対象者を「本人」といいます。

ベンダーの義務違反の有無を確認する

まず、ベンダーによる義務違反の有無を確認します。

個人情報の保護については個人情報保護法によって定められており、個人情報を取り扱う事業者にさまざまな義務が課されています。
中でも、漏洩事故に関連する義務は安全配慮義務です。

安全配慮義務について、個人情報保護法では次のとおり規定しています（個人情報保護法23条）。

• 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

求められる安全配慮義務の程度や具体的な内容については、個人情報保護法に関するガイドラインが参考となります。※1

また、個人情報の取り扱いに関する事務をベンダーに委託しており、ベンダーが情報を漏洩させたからといって委託者が責任を免除されるわけではありません。
個人情報の取り扱いを委託する場合、委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならないとされています（同25条）。

この場合において、ベンダーの安全配慮義務違反の有無は次の内容などから個別に判断されます。

• 個人情報保護法ガイドラインの内容に沿っていたか
• ユーザーとベンダーが交わしたSLA（サービスレベルアグリーメント）に沿っていたか

ベンダーに義務違反がなかった場合、ベンダーが損害を賠償する必要はありません。
一方で、ベンダーに義務違反がある場合は、次の検討に進みます。

生じた損害を確認する

次に、生じた損害を確認します。
ベンダーによる個人情報漏洩によってユーザーに生じ得る主な損害としては、次のものが挙げられます。

1. 本人にした損害賠償
2. 事故対応に要した費用
3. 情報漏洩による機会損失

一般的には、「1」と「2」の損害賠償請求が認容されることが多いでしょう。
一方、「3」については立証が困難であるうえ、ユーザーとベンダーとで取り交わす契約において損害賠償の対象から除外されていることが一般的です。

過失相殺を基礎づける事情の有無を確認する

次に、過失相殺を基礎づける事情を確認します。
ユーザーに過失がある場合は、その過失分を相殺してベンダーによる損害賠償額を算定します。

なお、ユーザーと本人との間では、本人による過失が認定されることはほとんどないでしょう。

責任制限条項を確認する

最後に、責任制限条項を確認します。
こちらは、先ほど解説した情報消失の場合と同様です。

なお、ユーザーと本人との間には消費者契約法が適用されることが多く、責任制限条項の適用は制限されます。

システム運用にまつわるトラブルへの対策

システム運用にまつわるトラブルをスムーズに解決するには、どのような対策を講じればよいのでしょうか？
最後に、主なトラブル対策を3つ解説します。

• 契約書でベンダーの義務を明確にする
• 適切な責任制限条項を検討する
• 弁護士のサポートを受ける

契約書でベンダーの義務を明確にする

1つ目は、契約書やSLA（サービスレベルアグリーメント）で、ベンダーが負う義務をできるだけ明確にすることです。
これにより、契約締結段階においてベンダーが負う義務やそのレベルが明確となり、双方の認識の齟齬を避けやすくなります。

また、万が一問題が発生した際もこれと照らし合わせることで、損害賠償責任の有無を判断しやすくなります。

適切な責任制限条項を検討する

2つ目は、適切な責任制限条項を設けることです。
責任制限条項は想定外の高額な損害賠償を予防する効果があるため、ベンダーとしては設けておくべきでしょう。

とはいえ、先ほども解説したように、故意や重過失の場合にまで責任を制限するような条項は無効となる可能性が低くありません。
責任制限条項を適切に定めておくことで、スムーズなトラブル解決につながりやすくなります。

弁護士のサポートを受ける

3つ目は、弁護士のサポートを受けることです。
あらかじめ弁護士に相談することで、トラブル発生時にスムーズかつ自社にとって有利な解決を図れる契約書を作成しやすくなります。

また、トラブルの種が生じた際に早期から弁護士へ相談することで、証拠の収集など事前の対策も取りやすくなるでしょう。

まとめ

システムの運用段階で発生しやすいトラブルの例と、解決の基本的な枠組みを解説しました。

システムの運用段階のトラブルとしては、システムのバグ発生や情報消失、情報漏洩などが挙げられます。
これらのトラブルが生じた際は、いずれもまずはベンダーの義務違反を確認し、その後損害額を確認したうえで、過失相殺や責任制限条項の適用を検討することとなります。

トラブルが生じた際は、スムーズなトラブル解決を図るため、弁護士へ早期にご相談ください。