異なるIaaS／SaaS事業者、事故責任の所在はSaaSでデータが消失したら誰の責任？ 進むクラウド事業者の多層化問題

利用しているWebアプリケーションが他社のクラウドサービスなどの上で提供されている場合、利用者はクラウドサービスでのデータ消失事故に際して、いずれの業者にどのような責任を追及できるのだろうか。

[吉井和明，おおいた市民総合法律事務所日田事務所所属 弁護士]

併せて読みたい記事

• バックアップは誰の責任？　ファーストサーバ事件が残した教訓

異なるサービス事業者の多層化

　SaaS（Software as a Service）などのWebアプリケーションサービス（以下、アプリケーションサービス）事業者が、自社でITインフラを調達・構築せずに、外部のIaaS（Infrastructure as a Service）やホスティングサービス（以下、インフラサービス）を利用し、アプリケーションサービスを提供するケースが増えている。

　他社のインフラサービスを利用したアプリケーションサービスでは、アプリケーションサービス事業者が取得または受信した利用者のデータは、その多くが利用者と直接契約関係にないインフラサービス事業者の設備で保管されることとなる。

　このように、利用するサービスが数社をまたがり多層化しているケースでは、契約関係にある者／ない者が入り乱れ、多数関係するという複雑な法律関係が生ずる。このようなケースにおいて、もしインフラサービス事業者側の障害が原因でデータ消失事故が発生した場合、アプリケーションサービス利用者は、どの事業者にどのような責任を追及することができるのだろうか。

クラウドの障害に関する記事

• 専門家8人が徹底討論！　クラウドにデータを預けるリスクとメリット
• クラウドのベンダーロックインを回避するための処方せん
• クラウド事業者がサービスを中止する5つのケース
• クラウドは安全か？　事業者との責任分界点、注目すべき安全基準とは
• エンドユーザーによるクラウド設備実査要求は百害あって一利なし

アプリケーションサービス事業者の責任（総論）

　利用者がまず思い付く責任追及先は、利用者と直接契約し、サービスを提供しているアプリケーションサービス事業者だろう。

　この場合、アプリケーションサービス事業者からすれば、「コントロールできない外部のインフラサービスで障害が起きたことの責任は負わない」と主張することが考えられる。他方で、利用者からすれば、「アプリケーションサービス事業者は、自社でインフラを用意せず、あえてインフラサービスを利用することでコストを削減し、より多くの利益を得ているのであるから、それによる損害を負担すべきだ」と思うだろう。また、利用者としては、アプリケーションサービスの一環として、アプリケーションサービス事業者によりデータが適切に保管されることを期待して契約をしているのであるから、事業者が異なるという形式的な理由のみで否定されるのは、すぐには納得がいかないだろう。

アプリケーションサービス事業者がインフラサービスを利用した責任

　まず、アプリケーションサービス事業者が自社のインフラではなく、外部のインフラサービスを利用することによる責任を考える。