クラウド・コンピューティングをめぐる法律問題(3)パブリック・クラウドではサーバの運用・保守状況の把握が困難

 今回は、クラウド・コンピューティングと稼動保証(ここでは、サービスの安定供給という意味で、少し広い意味でこの用語を使用しています。)の問題について検討してみようと思います。稼動保証というと、SLAService Level Agreement)の内容を詳細に決定することに注意が向きがちですが、SLAを検討する前に、クラウド・コンピューティング(特に、パブリック・クラウド)を採用しても、サービスの安定供給に支障がなのか否かを検討しなければなりません。そこで、今回は、具体的なSLAの内容ではなく、SLAを検討する前提として、クラウド・コンピューティング(特に、パブリック・クラウド)を採用した場合に。ユーザ企業がサービスを安定して提供することができるか否かという視点で法律上又は事実上、検討しておくべきであろう事項を指摘させていただこうと思います。

 

1 法律上、業務の確実な履行が求められている場合

 まず、法律上、業務の確実な履行が求められている場合があります。この場合、パブリック・クラウドを採用した場合でも、この種の法律規制を遵守することができるか否かを検討する必要があります。例えば、資金決済法上の資金移動業者には、明文で以下のような義務が課せられます。

 

資金決済法第50条(委託先に対する指導)

資金移動業者は、資金移動業を第三者に委託した場合には、内閣府令で定めるところにより、当該委託に係る業務の委託先に対する指導その他の当該業務の適正かつ確実な遂行を確保するために必要な措置を講じなければならない。

 

 そして、この条文を受け、内閣府令では、以下のような規定が設けられています。

資金決済法第27条(委託業務の適正かつ確実な遂行を確保するための措置)資金移動業者は、その業務を第三者に委託する場合には、当該業務の内容に応じ、次に掲げる措置を講じなければならない。

一 当該業務を適正かつ確実に遂行することができる能力を有する者に委託するための措

ニ 委託先における当該業務の実施状況を、定期的に又は必要に応じて確認すること等により、委託先が当該業務を適正かつ確実に遂行しているかを検証し、必要に応じ改善させる等、委託先に対する必要かつ適切な監督等を行うための措置

 

 資金決済法上の資金移動業者がパブリック・クラウドで提供されるクラウド・サービスのユーザ企業となり、第三者に対し、決済サービスを提供したとします。この場合、資金移動業者はクラウド事業者に対し、決済サービスを提供するために必要となる、サーバの運用・保守業務の全部又は一部を委託することになりますが、このような場合、資金決済法第50条及び資金移動業者に関する内閣府令の27条を遵守できるか否かという点を検討する必要があります。そして、資金移動業者に関する内閣府令の27条2号に規定されている「委託先が当該業務を適正かつ確実に遂行しているかを検証し、必要に応じ改善させる等、委託先に対する必要かつ適切な監督等を行うための措置」を実現するためには、資金移動業者は、クラウド事業者が管理するデータセンターへの立入調査をしなければならない場合もあるように思います。しかし、クラウド事業者は、多くの場合、このような立入調査を認めることは、データセンターのセキュリティ上問題であるとの理由で、なかなか容認してくれないのではないかと思います。

 従って、パブリック・クラウドで提供されるクラウド・サービスを利用して、第三者に対し、サービスを提供しようとするユーザ企業は、業務を確実に履行するために、委託先となるクラウド事業者をどの程度管理・監督する必要があるのか、そして、管理・監督を実現するための契約条項をクラウド事業者が受け入れてくれるのか否かという点に留意する必要があることになりそうです。

 

2 提供するサービスが公益的なものである場合

 例えば、「システムの運用・保守をめぐる法律問題」でとりあげた、ジェイコム株の誤発注事件(東京地方裁判所平成21年12月4日判決)や航空便の予約チェックインシステムのシステム障害に関する事件(千葉地方裁判所平成21年4月17日判決)のように、多くの人が利用するシステムを、パブリック・クラウドで提供されるクラウド・サービスを利用して提供していたらどうでしょうか。

 ユーザ企業(東京地方裁判所平成21年12月4日判決の東京証券取引所や千葉地方裁判所平成21年4月17日判決の航空会社は、システム障害が発生した後、適切に対応することは可能でしょうか?プライベート・クラウドのように、サーバが、ユーザ企業内に設置され、ユーザ企業が、サーバの稼動状況を、容易に確認できるのであれば、発生したシステム障害の事象を直接確認して、どのような対応をすればよいのか、判断できる場合もあるのではないかと思います。

 これに対し、パブリック・クラウドを採用した場合、ユーザ企業は、サーバの運用・保守を委託したクラウド事業者に対し、問合せをしながら、対応することになるように思いますが、直接状況を確認できるわけではありませんので、復旧の目処に関する情報等を、どの程度まで信用できるのか判断に迷うこともあるでしょうし、誤った情報をもとに対応したがために、損害が拡大してしまうリスクも発生するように思います。

 しかも、証券取引所のシステムや航空便の予約システムのように、公益性の高いシステムの場合、システム障害が発生した場合、影響を受ける企業又は個人が多数となり、損害額等も多額になる傾向があるように思いますので、パブリック・クラウドは公益性の高いシステムには向いていないように思います。

 これに対し、社内システムであるとか、ECサイトであるとか、システム障害が発生したとしても、公益性が比較的低く、システム障害が発生しても、損害賠償請求を受けるリスク等が比較的小さなシステムの方が、パブリック・クラウドに向いているのではないかと思います。

 クラウド・コンピューティングは非常に注目されている有望な技術ではありますが、提供するサービスの性質に起因する限界もあるように思います。

 

3 クラウド事業者が倒産した場合

 クラウド事業者が倒産した場合におけるサービスの継続性が、稼動保証の問題としてとりあげられることがあります。運用・保守業務の委託先が、倒産した場合に、事業の継続性が問題となるのは、パブリック・クラウドでもプライベート・クラウドでも同じです。 しかし、パブリック・クラウドを採用するメリットは、ハードウェア及びソフトウェアを複数のユーザ企業が利用することを前提としていますから、クラウド事業者の倒産による影響は、プライベート・クラウドの場合よりもパブリック・クラウドの場合の方が大きくなる傾向にあるといってよいでしょう。また、クラウド事業者の業務遂行状況を確認できるプライベート・クラウドの方が、全くのブラックボックスとなってしまうパブリック・クラウドの場合よりも、事実上、クラウド事業者の経営状況を把握しやすいということもあるでしょう。

 もっとも、クラウド・サービスを提供するクラウド事業者は、大企業の場合が多く、ユーザ企業としては、あまり、この点を意識しすぎて、クラウド・サービスの利用を控える必要はないのではないかと思います。

 

4 クラウド事業者又はユーザ企業が知的財産権を侵害した場合

 最後に、ユーザ企業が、クラウド・サービスを受けられなくなる場合として、クラウド事業者の知的財産権侵害について検討しておきたいと思います。クラウド事業者がクラウド・サービスを提供するためにサーバを構築する作業が、特許発明の実施行為を規定した特許法第2条の「生産」に該当する場合、又はクラウド・サービスを利用するユーザ企業の利用行為が、特許法第2条の「使用」に該当する場合、クラウド事業者が、著作権が第三者に帰属しているプログラムを利用して、クラウド・サービスを提供していた場合などは、特許権、著作権等の知的財産権の権利者から、「生産」「使用」「複製」等の差止めを求められる場合があり、差し止められてしまうと、ユーザ企業はクラウド・サービスを利用できないばかりか、場合によっては、権利者から、損害賠償請求を受ける可能性まであります。

 このようなケースは、パブリック・クラウドのみならず、プライベート・クラウドの場合でも想定しえます。しかし、知的財産権侵害の場合には、訴訟で差止請求を受ける前に、権利者から警告書が送付されるのが通常です。プライベート・クラウドであれば、クラウド事業者に警告状がきても、クラウド事業者とユーザ企業の距離が近く、ユーザ企業も警告内容を把握できる場合があるように思います。警告内容がわかれば、訴訟で判決がでるまえに、ユーザ企業も対応に積極的に関与し、対抗策をとることができる場合もあるように思います。

 これに対し、パブリック・クラウドの場合、ユーザ企業とクラウド事業者の距離が遠く、場合によっては、判決が出て、あるいはその直前になって初めて知的財産権侵害が問題となっていることを知り、対応に窮するという場面が発生しやすい状況になるのではないかと思います。

 もっとも、実務的には、ユーザ企業が、クラウド・サービスを利用するための契約を締結する時点で、「クラウド・サービスの利用が、第三者の特許権、著作権等の知的財産権を侵害していた場合には、クラウド事業者が自己に費用と責任において紛争を解決する」「クラウド事業者に警告上が通知された場合、ユーザ企業に直ちに通知する」等の契約条項を追加しておくことで、ユーザ企業もリスク回避することができます。従って、ユーザ企業は、この点を意識しすぎて、クラウド・サービスの利用を控える必要はないのではないかと思います。

 逆に、クラウド事業者としては、パブリック・クラウドで提供するサービスが第三者の知的財産権を侵害していた場合、クラウド・サービスが差止を受けることによって、これを利用する複数のユーザ企業のサービスが、すべて提供不可能になる可能性がありますので、クラウド事業者にとっても警告状が通知された場合に、どのようなアクションを取ることができるのかということをユーザ企業との契約条項の中で明記しておくとともに、「クラウド・サービスにユーザ企業が開発したソフトウェアを追加することで、第三者の知的財産権を侵害することになる場合には免責される」といった趣旨の条項を追加することも検討することになるのではないかと思います。

 

5 SLA(Service Level Agreement)について

 ユーザ企業が、1乃至4の事項を検討した上で、クラウド・サービスの利用を決定した場合、クラウド事業者との間でSLAを含むクラウド・サービスに関する契約を締結することになります。この段階で、初めて、稼動率やシステム障害が発生した場合の復旧時間等を定めていくことになるわけです。

 

6 まとめ

 今回は、クラウド・コンピューティングの稼動保証について言及しました。クラウド事業者の法務担当者としては、クラウド・サービスの利用を決定したユーザ企業との間で、どのような契約(SLAを含む。)を締結すべきか(何をどこまで保証すべきか)という点で頭を悩ませることになろうかと思います。

 これに対し、ユーザ企業は、そもそも、自社が提供しようとするサービスの内容が、クラウド・サービス(特にパブリック・クラウド)になじむものなのか否かという点を検討する必要があります。SLAの詳細については、その次ぎに検討すべき事項ということになるのではないでしょうか。

 次回は、パブリック・クラウドの場合でも、特に、サーバを外国に設置された場合の法律問題についてとりあげようと思います。

以上

 
▲このページのトップに戻る