コラム

公開 2021.09.07 更新 2023.01.27

データ消失事故を予防!ITベンダーとの契約で確認すべきポイントとは?

データ消失事故を予防!ITベンダーとの契約で確認すべきポイントとは?

データ消失事故は、企業不祥事の中でも特に身近なトラブルです。データ消失事故を起こすと、その企業のコンプライアンスに疑義が生じ、信用が失墜してしまうことにもなりかねません。
では、データ消失事故を予防するにはどのような対策を取ればよいのでしょうか?

記事を監修した弁護士
Authense法律事務所
弁護士 
(第二東京弁護士会)
一橋大学法学部法律学科卒業。元裁判官。企業法務、M&A、労働法、事業承継、倒産法(事業再生含む)等、企業に係わる幅広い分野を中心とした法律問題に取り組む。弁護士としてだけでなく、裁判官としてこれまで携わった数多くの案件実績や、中小企業のみならず、大企業や公的企業からの依頼を受けた経験と実績を活かし、企業組織の課題を解決する多面的かつ実践的なアドバイスを提供している。
<メディア関係者の方>取材等に関するお問い合わせはこちら

データ消失事故とは

ある日突然、大切なデータが消失してしまったら……。
考えただけでぞっとしてしまう方も少なくないのではないでしょうか?
企業のデータの消失事故は、決して他人事ではありません。
まずは、データ消失事故の事例や原因について詳しくお伝えしていきましょう。

「ふくいナビ」のデータ消失事例

データ消失事故はさまざまな企業で日々発生しているものと思われますが、中でも近年話題となったデータ消失事例に「ふくいナビ」があります。 ふくいナビとは、福井の企業支援策を見つけるためのポータルサイトで、その運営者は公益財団法人ふくい産業支援センターです。※1

このふくいナビのデータがすべて失われ、使用できなくなったことが、2020年11月に報道されました。
この原因は、ふくいナビが利用していたクラウドサーバーが、サーバー管理会社との契約更新手続きを漏らしてしまったことにあったようです。

ふくい産業支援センター内にバックアップが保存されていたため、その後データは復旧していますが、それでも復旧までには1ヶ月半以上を要しました。※2

データ消失事故の主な要因

データ消失事故の要因にはさまざまなものが考えられます。
その代表的なものには次の4つがあります。

なお、これらは必ずしも独立してデータ消失の原因となるわけではなく、いくつかの要因が重なることで事故が発生する場合もあります。

ハードウェアのトラブル

まず考えられるのは、データを格納していたハードウェアの故障です。
ハードウェアの故障の原因には、落下の衝撃によるものの他、長期間使い続けたことによる経年劣化もあります。

ソフトウェアのトラブル

ソフトウェアのトラブルも、データ消失事故の原因となります。
OSのアップデート時には特にトラブルが起きやすいため、事前にバックアップを取るなど注意が必要です。

人的ミス

データ消失事故は、人的ミスが原因で発生することも少なくありません。
例えば、操作を誤って重要なデータを削除してしまうことや、ハードウェアを落下させてしまうことなどが考えられます。

ウイルス感染

コンピュータウイルスの侵入もデータ消失の原因の一つです。
ウイルスにはさまざまな種類のものがあり、中にはデータを人質に取り金銭を支払うよう要求するものも存在します。

データ消失事故の影響

データ消失事故が起きてしまうと、その影響は多岐にわたります。
主な影響は次の3点です。

業務が中断する

データ消失事故が発生すると、そのデータを必要とする業務を進めることができません。
仮にデータが復旧できたとしても、復旧までの間は業務が中断することになります。
中断が長引けば、納期の遅延や顧客の離脱などへと影響が拡大してしまう可能性もあるでしょう。

データ復旧のコストがかかる

データが消失し、その復旧を外部業者に委託すればコストが発生します。
消失したデータが大規模であればあるほど、多額の費用を要する可能性が高くなるでしょう。

信用の失墜につながる

消失したデータが顧客に関するデータであった場合など、消失したデータの種類によっては企業の信用失墜にもつながります。
一度失墜した信用を回復させることは容易ではなく、長期にわたり業績へ影響する可能性も否定できません。

企業が取るべきデータ消失事故の予防策

データ消失事故が発生すれば、その影響は計り知れません。
そのため、企業としてはあらかじめデータ消失事故の予防策を取っておく必要があります。
考えられる予防策には次のようなことがあります。

定期的にバックアップを取る

基本的なことですが、定期的にデータのバックアップは取っておくべきでしょう。
あらかじめ、自動的にバックアップを行うバックアップスケジュールを設定しておけば、バックアップの失念を避けることができ安心です。

セキュリティソフトやOSを最新の状態にする

データ消失の原因となり得るコンピュータウイルスは日々進化しています。
そのため、セキュリティソフトもきちんと更新し、最新の状態を保つようにしましょう。
セキュリティソフトを古い状態のまま放置しておけば、不正アクセスやウイルス感染の脅威が高まります。
また、OSも、セキュリティ対策のために頻繁にアップデートされており、会社のOSが古いままですと、悪質なハッカーなどにセキュリティホールを付かれて、侵入されてしまう危険性があります。サポートが終了した古いOSについての危険性は言うまでもありませんので、直ちに新しいOSに変更すべきです。

人的ミスを防ぐ工夫をする

前述のとおり、データ消失の原因の一つには人的なミスが挙げられます。
そのため、人的ミスを防ぐこともデータ消失を防ぐ重要な予防策の一つです。

例えば、データの取り扱いルールを決めて周知したり、特に重要なデータは特定のパソコンのみで管理し、IDとパスワードがなければアクセスできないようにし、アクセスログを残したりすることなどが考えられます。

クラウドサービスを利用する

クラウドサービスの利用も、データ消失事故を防ぐための選択肢の一つです。
ハードウェアへの保存と併せてクラウド上でもバックアップを残すことで、ハードウェアの故障などによるデータ消失を防ぐことができます。

弁護士へご相談可能な時間帯
平日:10:00~最終受付18:00 /
土日祝:10:00~最終受付17:00

ITベンダーとの契約で注意すべきこと

データをクラウド上で保存する際には、そのITベンダーとの間で契約を締結したり、提示された約款を承認したりする手順を踏むことが一般的です。
この際、契約条項によく目を通さないまま契約をしてしまうケースもあるのではないでしょうか?
しかし、企業の大切なデ―タの保管を依頼する際にはその契約条項を読み込むようにしてください。

契約は、問題が起きない限りあまり意識することはないかもしれません。
しかし、いざ問題が起きた際に初めて契約条項を熟読し、その時点で落とし穴に気づくのでは遅いのです。

主に注意すべき点として次の3点を紹介しますので、契約時の参考としてください。

免責事項を確認する

ITベンダーの作成する契約書や約款には、免責条項が定められていることが一般的です。
免責条項とは、例えば次のような一文です。

当社は、データの破損・紛失に関して一切の責任を負いません

この条項が定められていたからといって、ITベンダーに故意や重過失がある場合まで実際に免責されるとは限りません。※3
しかし、このような条項がある以上、ITベンダーに、故意又は重過失がない場合には責任を問えない可能性は低くありませんので、免責事項については契約時にきちんと確認しておくようにしましょう。

なお、免責事項に納得ができない場合であっても、契約条項を変更することが現実的に困難であるケースも多いでしょう。
そのため、万が一データを消失させられても責任を問えない可能性を踏まえ、自社でもバックアップを定期的に取っておくなど、自己防衛策を強化する方向で検討することも一つの方法です。

損害賠償についての規定を確認する

仮に損害賠償を請求できる場合であっても、損害賠償額の上限を定める条項が入っていることもあるため確認しておきましょう。
例えば、次のような一文です。

当サービスの利用に関し当社が損害賠償義務を負う場合の損害賠償金額の上限は、契約者の月額利用料の12ヶ月分に相当する金額とします

このような損害賠償額の予定条項が入っていても、ITベンダーに、故意又は重過失が認められる場合や、定められた金額が実際の損害と比べてあまりにも低廉である場合は、定められた上限額を超えて損害賠償請求が認められる可能性があります。※4

しかし、データの消失は目に見えるモノの紛失と異なり、その損害額の算定が容易ではないことが一般的です。
そのため、結果的に契約に定められた額までしか賠償を受けられない場合もあるでしょう。
こうした条項についても、契約締結前に確認をしておいてください。

契約終了時のデータの取り扱いを確認する

契約終了時のデータの取り扱いについての契約条項も確認しておきましょう。
クラウドサービスには、契約終了後一定期間はデータが保存されるものと、契約終了にともない即座にデータが削除されるものがあるためです。

前述した「ふくいナビ」の例では、契約更新の失念と同時にデータが削除されてしまったようで、万が一自社でバックアップの保存さえしていなければ復旧が不可能となっていた可能性さえあります。
契約の更新を忘れないよう契約の管理をするのはもちろんのこと、契約が終了した際の取り扱いについても確認しておくとよいでしょう。

まとめ

データ消失事故は、どの企業でも起こりうるとても身近なトラブルです。

消失したデータの種類によっては、長期にわたって事業が中断してしまう可能性もあります。万が一の際に備えて、定期的なバックアップなど対策をしておきましょう。

また、データの管理をクラウドサービスなどへ委託する際には、その契約内容もきちんと確認をしてください。

とはいえ、自社のみですべての契約上のリスクを見つけ、検討することは容易ではありません。
事故が起きてから後悔することのないよう、あらかじめ弁護士に契約条項を確認してもらい、リスクの把握をしておくことをおすすめします。

顧問契約、企業法務のご検討・ご相談はこちら

企業法務に関する資料、様々なプランを
ご用意しています。

弁護士へご相談可能な時間帯
平日:10:00~最終受付18:00 /
土日祝:10:00~最終受付17:00

こんな記事も読まれています

CONTACT

法律相談ご予約のお客様
弁護士へご相談可能な時間帯
平日:10:00~最終受付18:00 /
土日祝:10:00~最終受付17:00

ご相談から解決までの流れ