システムの運用・保守をめぐる法律問題(3)システム運用事業者の過失

   前回は、システム運用事業者の債務が、結果債務であるのか、手段債務であるのか、換言すると、どのような場合にシステム運用事業者は、債務不履行となるのかという点について言及いたしました。しかし、単に履行遅滞等の債務不履行の状況になったとしても、それだけで、システム運用事業者の責任を追及できるわけではありません。システム運用事業者の責めに帰すべき事由、即ち、過失があって初めて責任を追及することができるようになるのです。

   システム運用事業者の過失が肯定されるか否かを検討する場合、@システム障害を発生させた点に過失が認められるのかという視点と、Aシステム障害を発生させた後のシステム運用事業者の対応に過失が認められるのかという視点が必要となります。そこで、今回は、どのような場合に、システム運用事業者の過失が肯定されるのかという点について、裁判例を見ながら@、Aの順番で解説していきます。

 

1 システム障害の過失は、予見可能性の有無で判断される

  過失とは、一般に、「損害発生の予見可能性があるのにこれを回避する結果回避義務を怠ったこと」などと説明されたりします。システム障害の例でいえば、すなわち、システム障害の発生により、乗客らに損害が発生することが予見可能であったにもかかわらず、このような損害を発生する義務を怠った場合には、システム運用事業者が責任を追及されてもやむをえないということになるのです。では、千葉地方裁判所平成21年4月17日判決の事案では、どのように評価されることになるのでしょうか。この事案における障害(以下「本件システム障害」という)は、以下のとおりでした。

 

@システム運用事業者(被告)の従業員がルータの設定を誤ったため、本件システムのネットワーク全体が一時停止した。

A本件システムが停止したため、システム運用事業者(被告)はバックアップシステムを起動した。

Bルータ設定の誤りが判明し、本件システムのネットワークが復旧した。

Cシステム運用事業者(被告)はバックアップシステムに入力した乗客のチェックイン情報を、復旧後の本件システムのホストコンピュータに転送する作業(以下「切り戻し作業」という)を実施した。

D切り戻し作業では、航空便ごとにチェックイン情報の仮ファイルを作成し、ホストコンピュータが、取り込みを完了した便については、仮ファイルを削除し、チェックテーブルが「未完了」から「完了」へ変更される。

E 通常は、チェックイン情報の取り込みは数秒で完了するが、取り込み開始から200秒間が経過するうちに完了しない場合は、完了しなかった航空便の仮ファイルのデータをエラー警告リストに出力する。

F本件では、9便分のチェックイン情報が取り込まれる予定であったが、3連休の初日で、座席予約率が高く、データ送信量が大量になり、6便目の取り込み作業中に200秒が経過した

G6便目の取り込み作業は、200秒の制限時間直後に完了し、エラー警告リストに出力される直前に仮ファイルが削除されてしまったため、エラー警告リストへの出力ができず、ホストコンピュータが異常終了した。

Hチェックテーブルを「未完了」から「完了」に変更するために、0.00016秒が掛かると計算されており、200秒の制限時間がちょうどその変更時と合致した。

 

 本件システム障害の発生により、システム運用事業者に過失が認められるか否かについて、裁判所は以下のように判示しました。

 

(千葉地方裁判所平成21年4月17日判決の抜粋)

(1)本件システム及びバックアップシステムは、昭和63年に開発された後、平成15年3月21日まで、長期にわたって不具合が発生しておらず、本件システム障害が発生し、その切り戻し作業の際に不具合が発生するまでの間に、いずれもが使用不能な状況に陥るであろうと具体的に予見することは困難であったこと、(2)本件システム障害が発生した後、バックアップシステムからホストコンピューターへの切り戻し作業の際にホストコンピューターが異常終了したものであるが、チェックイン情報を送信する際に、タイムラグが発生することは避けようがないこと、(3)本件システム障害は、制限時間200秒が経過した時点が0.00016秒(計算値)という一瞬の間隙と重なってしまったために生じたもので、このような偶発的なタイミングの一致から本件のような障害が発生することを予測することは、現在のコンピューターシステムの技術水準では極めて困難であったこと(乙14、22)が認められる。そうすると、被告が本件システム障害に起因して、本件システム及びバックアップシステムの双方が使用不能になることを予見するのは困難であり、予見可能性があったとは認められないので、本件システム障害が発生したことについて、被告の過失を認めることはできない。  

 

   この判決では、予見可能性を否定する事情として、(1)乃至(3)の3つの理由をあげています。理由(1)は、単純に、長期間システム障害が発生しなかったことを指摘しているだけですので、説明を省略しますが、(2)(3)は、少し説明が必要ではないかと思います。理由(2)及び(3)は、ホストコンピュータが、6便目のチェックイン情報を受信し、チェックテーブルを「未完了」から「完了」に変更するために必要となる0.00016秒の間に200秒の制限時間を経過したため、本来、まだ削除されないはずの仮ファイルが削除されてしまったことが原因であると認定しているようです。通常であれば、チェックテーブルを「未完了」から「完了」に変更するために必要となるわずか0.00016秒の間に200秒の制限時間を経過するなどということは滅多に発生しない事象でしょうから、このような事象を捉えて、技術水準に照らし、予見可能性があったとはいえないと判断しているわけです。

  なお、本件の原告(乗客ら)は、システム運用事業者(被告)の従業員がルータの設定を誤った点を捉えて「システム運用事業者(被告)の過失」と主張していましたが、裁判所は、この点について明示的には判断していないようです。しかし、本件のように、バックアップシステムの作動が予定されている場合、一従業員が設定を誤ったとしても、バックアップシステムの利用により、業務に支障がでないと推測されていたのであれば、やはり、損害発生の予見可能性はないということになるのではないかと思います。  

  

2 システム障害発生後の対応も過失の判断対象

  システム運用事業者の過失は、システム障害発生後の対応が適切であったか否かという視点からもチェックされます。システム障害発生後の対応が不適切であることによって、損害を発生させる、又は損害額を拡大させることがあるからです。千葉地方裁判所平成21年4月17日判決の事案でも、裁判所は、以下のとおりシステム運用事業者の障害発生後の対応を認定し、最終的に被告とされたシステム運用事業者には、システム障害発生後の対応においても、過失なしの判断がされています。

 

(千葉地方裁判所平成21年4月17日判決の抜粋)

被告羽田旅客部は、勤務予定より多数の従業員を出勤させて旅客への説明等の応対に当たっていたこと、当日予定されていたすべての航空便を運航していては、航空機ダイヤを回復するのは不可能であったため、被告の羽田空港への到着便50便及び羽田空港からの出発便58便を欠航にして、航空機ダイヤを回復しようとしていた。

 

3 ジェイコム株誤発注事件における過失の認定

   前述のとおり、千葉地方裁判所平成21年4月17日判決では、システム運用事業者の過失は、システム障害を発生させた点、システム障害発生後の対応が適切であったか否かという点のいずれにおいても否定されました。

   次は、システム運用事業者の過失を肯定したジェイコム株誤発注事件(東京地裁平成21年12月4日判決)の内容を確認しましょう。この事案において、裁判所は、被告となったシステム運用事業者の過失について、千葉地方裁判所平成21年4月17日判決と同様、システム障害を発生させた点、システム障害発生後の対応が適切であったか否かという点の2点について、以下のように判断しています。

 

(東京地裁平成21年12月4日判決の抜粋)

被告には@受入れテストにおいて要件定義書に記載された機能がシステムに誤り無く実装されているか否かを確認すべきところ、その過程においてなされた修正との関係において開発者が行う回帰テストの確認を怠ったことについての注意義務違反がることになるが、(中略)回帰テストの確認を怠っただけでは、重大な過失があるとまではいえないにせよ、被告は、Aその完全無欠性の確認ではなく、認知できた不具合件数の推移からの推論によってその提供判断を行って、本件売り注文のような注文に関しては取消注文が奏功しない被告売買システムを取引参加者に提供した上、B有価証券市場の運営を現に担っていた被告の従業員としては、その株数の大きさや約定状況を認識し、それらが市場に及ぼす影響の重大さを容易に予見することができたはずであるのに、この点についての実質的かつ具体的な検討を欠き、これを漫然と看過するという著しい注意義務の欠如の状態にあって、売買停止措置を取ることを怠ったのであるから、C被告には人的な対応面を含めた全体としての市場システムの提供について、注意義務違反があったものであり、このような欠如の状態には、もとより故意があったというものではないが、これにほとんど近いものといわざるを得ないものである。

 

 この裁判所の判断のうち、@、Aの部分はシステム障害を発生させた理由に関する判断であり、Bはシステム障害が発生した後のシステム運用事業者の対応が不適切であったこと(売買の停止措置を速やかにとらなかったこと)を認定した部分です。

 その上で、Cは、システム障害の発生とシステム障害発生後の対応の両方を総合的に判断して過失(本件の場合は重過失)を認定しており、チェックしているポイントは、前述の千葉地方裁判所平成21年4月17日判決の事案と同じではないかと思います。

 

4 まとめ

 システム運用事業者が航空会社であった千葉地方裁判所平成21平成21年4月17日判決の事案と、システム運用事業者が証券取引所であった東京地裁平成21年12月4日判決の事案ではいずれも、システム運用事業者の過失を認定するにあたり、システム障害が発生した原因と、システム障害が発生した後の対応に着目しています。

  裁判所の判断方法から逆算すると、システム運用事業者としては、システム障害の発生を阻止するのみならず、システム障害の発生を前提とした社内マニュアルの整備や訓練を実施する等の準備が必要になるのではないかと思います。また、それでも損害の発生を阻止できない場合に備え、保険の活用を検討することも必要なのではないかと思います。

以上

  

▲このページのトップに戻る