IT法務の基本⑧ IT事故/事件の責任

 IT事故/事件が起きた場合、その加害者の立場にある者は、一定の要件の下に法的責任を負います。一口に法的責任と言っても、複数の種類があり、要件に当てはまる限り、それらの責任を重ねて負う可能性があります。
 まず、私人間の責任として民事責任があります。契約関係にある当事者間であれば、債務不履行や契約不適合を理由として、損害賠償、契約解除、差止めといった責任を負います。契約における特約に基づき、別段の責任(報告義務等)を負ったり、逆に制限(賠償制限等)されたりすることがあります。また、契約関係にない当事者間においても、不法行為責任を負います。被害者側に過失の立証責任があるため、ややハードルは高くなりますが、損害賠償や名誉回復の処分が認められます。不正競争防止法等、個別法令違反の場合の民事責任は、不法行為責任の特則と位置付けられます。
 次に、刑法又は個別法令の罰則に触れる場合、刑事責任を負います。法律に規定されている法定刑の範囲内で、懲役刑や罰金刑が科されることになりますが、執行猶予がつく場合は猶予期間中に更に罪を犯すこと等がなければ刑の言渡しは効力を失います。原則として、故意犯のみが処罰の対象で、過失犯は特に規定がある場合や一定の行政犯のみ処罰対象となります。法人における犯罪については、刑罰法規に触れた個人に加え、法人にも刑罰が科されることがあります。
 さらに、個別法令に基づく立入検査、行政命令、許可の取消、といった行政上の責任を負う場合もあります。通常の裁判なしに支払を命じられる過料もその一つです。

IT事故・事件の責任 TOPICS (6)

システム障害

 対外サービスで利用されていたシステムに障害が発生し、サービス利用者が損害を被る場合が典型です。この場合、サービス事業者がサービス利用契約に基づく債務不履行責任を負う可能性があります。ただ、システム障害により直ちに責任が発生するわけではなく、当該システム障害の内容や障害発生後の善後策などを踏まえ、契約上の不履行や注意義務違反があったかどうかが判断されます。原則として責任ありと判断される場合でも、賠償すべき損害の範囲や免責条項の効力、サービス利用者側の行為による過失相殺が争われることが通常です。
 障害を起こしたシステムが他のベンダが受託開発したものであった場合、障害が運用等によるものでなくシステムの不具合自体を原因とするものであれば、ベンダがサービス事業者に契約不適合責任を負う可能性があります。また、サービス利用者としては、直接にベンダの不法行為責任を問う余地もありますが、ベンダの責任原因が明らかでないことが多い一方で、サービス事業者の責任を問えば足りることから、直接に請求する実益がないのことが殆どです。 smart_displayジェイコム株誤発注事件(東京地判平21.12.4)

情報漏えい

 企業の技術情報や営業情報の漏えいが起きた場合、まず、不正競争防止法への違反が問題となります。ただ、漏えいの態様が限定されているほか、秘密管理性、有用性、非公知性の要件が必要であるため、ハードルは高くなります。これに対し、NDAは要件等を契約で定めるため、保護の範囲を比較的広くとることができ、補完として機能します。両者は損害賠償や差止めが認められる点は同様ですが、前者は損害の推定規定や刑事罰がある点が異なります。
 個人情報の漏えいが起きた場合、それを顧客情報等として取得・保有していた企業との関係で、営業秘密等の侵害が問題となります。また、本人との関係では、情報を取得・保有していた企業、漏えいさせた企業とも、不法行為責任を負う場合があります。なお、個人情報保護法違反となるのは漏えいそのものではなく、それを生じさせた安全管理措置義務違反であり、同法に基づく責任としては報告や立入検査、指導・助言、勧告・命令といった行政責任と刑事責任ということになります。

データ消去

 データの保管は、法的には民法上の寄託契約と扱われるのが通常です。有償であれば善管注意義務をもって、無償であっても「自己の財産に対するのと同一の注意」をもってデータを保管する義務が課され、これに違反してデータ消去を招いたのであれば、債務不履行として損害賠償や契約解除の責任を負います。また、情報漏えいなどの場合と同様、社会的影響が大きければ、レピュテーション・リスクも無視できません。
 アップロードしたデータを加工したり、これを利用したサービスを提供するといった、そもそも契約上の義務にデータ保管が含まれているかどうか、あいまいなケースもあります。また、適切にバックアップが取られていれば、損害は大きく軽減(バックアップから漏れたデータの欠損、バックアップによる復旧までのサービスの停止くらい)されますが、これを受託側がどこまで保証していたのか、委託側にもその責任があると考えられる場合は過失相殺もあり得る、など問題は複雑です。 smart_displayホームページのデータ消滅事件(東京地判平13.9.28)

データ改ざん

 データ改ざんは、さまざまな場面で起こり得ます。データ改ざんについて法的責任を広くカバーしているのは、刑法です。文書偽造の一態様である電磁的記録不正作出罪、クレジットカード等についての支払用カード電磁的記録不正作出罪、いわゆるコンピュータ・ウィルス等についての不正指令電磁的記録作成罪(自ら投入すれば電子計算機損壊等業務妨害罪)などがあります。
 その他で法的問題となる場面としては、法令により報告を義務付けられているデータを改ざんし、安全性等の基準を満たしているかの虚偽の報告を行うような場合です。この場合の責任は、関係する法令の規定によります。また、主に企業の内部者が、背任・横領の過程で会計データ等を改ざんする場合もあります。この場合の責任は、データ改ざんの責任に、背任・横領そのものについての刑事責任及び民事責任(損害賠償や解雇など)が加わります。

不正アクセス

 権限のないサーバに不正アクセスし、データを持ち出した場合、いわゆる(情報)窃盗罪とはなりませんが、不正競争防止法に触れる可能性があります。さらに、一定の場合には、不正にアクセスしたこと自体で不正アクセス禁止法違反となります。要件として、アクセス制御機能を付加されたコンピュータに対するアクセスであること、電気通信回線を通じて行うアクセスであること、他人の識別符号(ID・パスワード)等を入力して行うアクセスであること、という限定はありますが、違反に対しては懲役又は罰金の刑事罰があります。
 また、コンテンツ保護の観点から、コンテンツに対する無断コピーや無断アクセスを防止するための規制が、不正競争防止法に設けられました。すなわち、影像や音、プログラムのコンテンツにコピー管理技術やアクセス管理技術が施されている場合、これを無効化する装置やプログラムを譲渡、提供するなどの行為が禁じられています。

製造物責任

 システム障害により損害を被ったユーザとしては、障害を起こしたシステムの開発ベンダの不法行為責任を問う余地もありますが、通常は困難です。開発過程に関与していないため、過失の立証が困難であるためです。ただ、引渡しを受けた製造物の「欠陥」(製造物が通常有すべき安全性を欠いていること,設計上の欠陥、製造上の欠陥、指示・警告上の欠陥があります)と損害との因果関係を立証できる場合、開発ベンダの製造物責任を問うことができます。
 製造物責任は、被害者救済の観点からの立法ですが、法人による請求にも適用があります。また、製造者のみならず、輸入者や加工者(バグ取りを超えた改修を行った者)、OEM供給者も責任を負います。ただし、製造物責任の対象は「製造又は加工された動産」とされているため、ソフトウェア単体では対象となりません。組込みソフトウェアなどハードウェアと一体化している場合に限り対象となります(単にメディアに化体されているだけの場合は含まれません)。