レンタルサーバにおけるデータ消失(平24.7.31調査報告書)

 事案  レンタルサーバ・サービスを運営していたA社の担当者は、メールシステムの障害対策を行うため、同サービスで使用されていたサーバ群に対してメンテナンスを行うこととした。その際、メンテナンス用のプログラムに残っていた不要なコマンドを消し忘れていたが、そのコマンドが「対象外サーバ群のファイルを削除する」というものであったため、検証環境下での実行結果を対象サーバ群についてチェックしただけでは、不具合を発見することができなかった。その後、所定の手順を経ずに当該プログラムを本番実行したところ、対象外サーバ群のデータが全て消失した(第1事故)。
 A社はその翌日、第1事故によって消失したデータの回復を図るため、オープンソフトウェアである復元プログラムを導入することとした。同プログラムは、復元したデータに不整合を生じさせる可能性もあったが、A社は十分な技術的検証を経ないまま、本番環境で復元作業を実施し、復元されたデータをFTPで顧客に提供した。ところが、復元されたデータには本来はアクセス権限のない他の顧客のデータが含まれる可能性のあることが判明したため、A社は顧客に対し、ダウンロードしたデータを削除するよう依頼するに至った(第2事故)。

 判断内容  第1事故については、A社担当者がシステム変更の際に従うべき社内マニュアルに従わずに独自方式でメンテナンスを(約10年前から)行っていたこと、不具合のあるプログラムを上司の許可を得ないまま本番環境の全サーバーで実行したこと等を前提に、「軽過失の枠内ではあるものの、比較的重度の過失であった」とされた。
 第2事故については、複数の役職員で回復の検討を行ったものの復元したデータに他の顧客のデータが混在する可能性を見逃したこと、データが消失した場合を想定したのマニュアルの作成や従業員に対する教育を行っていなかったこと等を前提に、やはり「軽過失の枠内ではあるものの、その過失の程度は比較的重度のものである」とされた。
 各事件に対してA社が策定した再発防止策については、いずれも「根本原因に対応したいずれも具体的かつ現実的な内容であり、これらの予防策が実施され、機能した場合には、今回発生した第1/第2事故を防ぐことができる内容」であり、「適切なものと評価することができる」とされた。

 コメント  この事件は訴訟になったものではなく、A社自らが事故の原因調査や再発防止策の策定のために第三者調査委員会を設置し、その活動結果として調査報告書が出された、というものです。もちろん、訴訟となれば、A社の過失は免れませんし、軽過失免責の規約があったとしても、IT専門家としての高い注意義務を前提に、調査報告書より踏み込んで重過失認定がなされていたかも知れません。もっとも、最終的にA社に法的責任が発生するかどうかは、契約上のそもそもの義務の内容や範囲にもよるわけですが。
 調査報告書(公開されたのは要約版のみ)では再発防止策にもかなりのスペースが割かれており、その内容は「適切」という評価なのですが、厳しく言えば問題点もあります。この事故自体は数年前のもので、その後に一定の改善等が進められた(はず)という事実は別にあるわけですが、他山の石ということで当時の調査報告書の記載だけから見てみます。
 第1事故の分については、組織や管理が杜撰だったという反省からの抜本対策ということで、「開発・運用プロセスの見直し」、「牽制(開発・運用)を含めた体制の確立」、「システム変更業務の運用移管と分掌管理」と徹底されています。しかし、内部統制(IT統制)でもセキュリティの第三者認証でも、この種の対策が実効性を伴わない「膨大な管理プロセスの山」に終わることは少なくありません。調査報告書が、いみじくも「機能した場合には」としているとおりです。他方で、喫緊の課題であるはずの「2次バックアップの取得」が「順次実現性を検討」と一部が後回しにされています。対象データと同種のリスクに晒されている同一筐体内のコピーでは、データ保全の最後の砦として不十分なのは明らかです。未然防止が重要なのは当然ですが、(考えたくない、目をつぶりたい)「事故が起きてしまった場合の対策」こそ真剣に考えなければならないのは、原発事故対策などと同様です。
 第2事故の分については、今回のデータ消失のような「事前に想定していない事象が発生した」場合の対策の一つとして、「リスクマネジメント委員会」を設置するとあります。おそらく、この委員会も抜本対策の一環なのでしょうが、いざという時に「委員会」という管理組織がどのように役に立つのか、疑問がないわけではありません。第2事故の場面のような、先行する事故への対応が急がれる場合、焦りから被害を更に拡大させたり、別の被害を生じさせたりすることが最も危惧されるリスクです。今回も、検討の際にわずかでも技術面からの注意が働いていれば、データの物理的な復元イコール障害回復、という発想にはならなかったはずです。火事場で役に立つのは、組織でもマニュアルでもなく、機に応じた判断力です。再発防止策の中には、「対策本部」や「社員教育」といった言葉もあるのですが、言うは易く行うは難し、相当の覚悟(時間、コスト、労力)を持って取り組むことが不可欠です。