はじめに
サーバ上のデータが消失した場合の責任の所在は、サーバ事業者、SaaS事業者、ユーザーのいずれにとっても事業の存続にかかわる重要な問題です。
本コラムでは、サーバ上に保管されていた利用者のデータの消失についてサーバ事業者の不法行為責任が否定された事例(東京地方裁判所平成21年5月20日判タ1308号260頁)を紹介し、サーバ事業者や自前のサーバを持たないSaaS事業者のデータ消失に対する責任と法律実務上のポイントについて解説します。
事案の概要
本件は、原告らが、被告の共用サーバホスティングサービスを利用してウェブサイトにおいてサプリメントの販売店を運営していたところ、サーバの障害事故が生じ原告らのプログラム及びデータが消失しました。
そこで、原告らが被告に対して、プログラム及びデータの消失を防止する義務違反等を主張して損害賠償を求めました。
本件の事実関係は、以下のとおりです。
- 原告らは、サーバ事業を運営する企業(N社)との間でサービス利用契約を締結して、ウェブサイトにおいてサプリメントの販売店を運営していた。
- 上記サーバはN社自身のサーバではなく、N社はサーバ事業者である被告との間でサービス利用契約を締結して、被告のサーバを原告らに提供していた(つまり、原告らと被告との間には直接の契約関係はない。)。
- N社のサービス利用規約には「本サービスにおける当社のサーバのデータが、滅失、毀損、当社の責によらない第三者による漏洩・傍受その他の事由により本来の利用目的以外に使用されたとしても、その結果発生する損害について、当社はいかなる責任も負わないものとします。」との規定があった。
- 被告のサービス利用規約には下記の規定があった。
- 9条(権利の譲渡等の制限)
1 契約者は、第三者が本規約その他被告の定める制限事項を遵守することに同意する場合に限り、第三者に対して本サービスを利用させることができる。
2 前項の場合、契約者は第三者が本サービスを利用することについて、すべての責任を負うこととする。 - 40条(責任の制限)
被告は本サービスを提供すべき場合において、被告の責めに帰すべき理由により、契約者に対し本サービスを提供しなかったときは、契約者が本サービスを全く利用できない状態にあることを被告が知った時刻から起算して、連続して24時間以上、本サービスが全く利用できなかったときに限り、損害の賠償をする。 - 41条(免責)
40条(責任の制限)の規定は、本契約に関して被告が契約者に負う一切の責任を規定したものとする。被告は契約者、その他いかなる者に対しても本サービスを利用した結果について、本サービスの提供に必要な設備の不具合・故障、その他の本来の利用目的以外に使用されたことによってその結果発生する直接あるいは間接の損害について、被告は40条(責任の制限)の責任以外には、法律上の責任並びに明示または黙示の保証責任を問わず、いかなる責任も負わない。また、本契約の定めに従って被告が行った行為の結果についても、原因の如何を問わずいかなる責任も負わない。ただし、被告に故意又は重大な過失があった場合には、本条は適用しない。
- 9条(権利の譲渡等の制限)
- サーバのハードディスクの故障により、原告らの販売店のプログラム及びデータが消失した。
- 原告らは、被告は善管注意義務、具体的には原告らのプログラム及びデータの消失を防止する義務を負うのにこれに違反した旨主張して被告に対して損害賠償を求めて提訴した。
裁判所の判断
本件では、被告が原告らに対して記録の消失防止義務を負うか、及びその違反の有無が争われました1。裁判所は以下のとおり判断して、被告は原告らに対して記録の消失防止義務を負わないと判断しました。
| 被告はN社との間で共用サーバホスティングサービスの利用契約を締結しているだけであって,原告らとの間には契約関係はなく,本件サーバに保存された本件プログラムや本件データの保管について寄託契約的性質があるともいえないから,被告が契約関係にない原告らに対し本件サーバに保存された記録について不法行為法上の善管注意義務を負うとする根拠は見いだし難い。そうすると,被告がレンタルサーバ業者であるとの一事をもって,契約関係にない第三者に対する関係で当然に本件サーバに保管された記録について善管注意義務を負うとか,記録の消失防止義務を負うということはできない。 |
| 次に,被告と原告ら双方の事情を踏まえ,被告が第三者である原告らに対しプログラムやデータの消失防止義務を負うかどうかについて判断する。 …以上のとおり,被告は本件利用規約の免責規定を前提として契約者及び契約者の提供先である第三者に対して共用サーバホスティングサービスを提供しており,他方,第三者である原告…も上記免責規定を前提として被告の上記サービスを利用していたのであるから,被告は,原告…との間で契約を締結していないものの,同原告との関係においても免責規定を超える責任を負う理由はなく,したがって,本件プログラムや本件データの消失を防止する義務を負うとはいえない。 …実質的に考えても,被告は本件利用規約に責任制限規定や免責規定を設け,これを前提として料金を設定して契約者から料金の支払を受けて共用サーバホスティングサービスを提供している。他方,原告…は,N社の免責規定によりN社に対して本件プログラムや本件データの滅失,毀損について責任を追及することができない。しかも,サーバは完全無欠ではなく障害が生じて保存されているプログラム等が消失することがあり得るが,プログラム等はデジタル情報であって,容易に複製することができ,利用者はプログラム等が消失したとしても,これを記録・保存していれば,プログラム等を再稼働させることができるのであり,そのことは広く知られている(弁論の全趣旨)から,原告らは本件プログラムや本件データの消失防止策を容易に講ずることができたのである。このような原告ら及び被告双方の利益状況に照らせば,本件サーバを設置及び管理する被告に対し,原告らの上記記録を保護するためにその消失防止義務まで負わせる理由も必要もないというべきである。 |
裁判所の判断のポイント
裁判所の判断枠組み~不法行為における過失~
本件では、原告らと被告との間に契約関係はないことから、過失による不法行為責任が問題となっていました。
不法行為における過失とは、一般的に意味での「不注意」ではなく、あるべき行為をとらなかったことを意味します。
このあるべき行為義務は、一律、機械的に定まるものではなく、複数の要素の比較衡量によって定まるものと考えられています。代表的な見解は、
- 結果発生の蓋然性
- 危険が実現した場合の損害の重大性
- 十分な予防措置をとることによる負担
を考慮すべきとするもので、他の見解も考慮要素に違いはあれど複数の要素の比較衡量によって決定されるという点では共通しています。
本件において、裁判所は注意義務の有無・内容についての判断基準を示してはいないものの、免責規定に関する事情やサーバホスティングサービスの性質、利用者においてデータのバックアップにより損害を容易に限定できるなどを挙げ、「このような原告ら及び被告双方の利益状況に照らせば」被告に善管注意義務ないし記録消失防止義務はないと判断しています。
これは上記過失の考え方のとおり、複数の要素を比較衡量したものと整理することができます2。
なお、注意義務の内容・程度に関しては、契約責任と不法行為責任の双方が生じうる場面において契約上の責任が軽減されるときは不法行為責任も同程度に軽減されるべきという考え方3もあるところで、本件の裁判所の判断はこれと軌を一にするものとも言えそうです。
つまり、本来、サービスは契約を締結した当事者に対してのみ提供されるものであるのに、契約関係にない第三者に対して、契約相手に対して負う以上の責任を負うことになるのはオカシイ、という価値判断があるように思われます。
契約当事者間の免責条項も有効か
本件は、サーバ事業者が契約関係にない第三者に対してデータ消失防止義務を負うか否かについて判断した事例であり、契約当事者間で利用規約上の免責規定が有効と判断されたわけではありません。
もっとも、裁判所は、被告・N社間及びN社・原告ら間でそれぞれデータ消失についての免責規定を設けられていたことを理由の一つとして、被告がデータ消失防止義務を負わないと判断しています。このことからすれば、一般論としては、
- 自前のサーバを提供している事業者・その利用者間の利用規約
- サーバ事業者のサーバを利用してサービスを提供している事業者・その利用者間の利用規約
のいずれにおいても、データ消失についての免責規定は有効と考えてよいものと思われます。
ただし、裁判所は、利用者がデータの消失防止措置を容易に講ずることができたことも考慮していたことからすれば、サービスの設計上そもそも利用者がバックアップなどの消失防止措置を採ることができない場合にまで、免責条項によってサービス提供者が責任を負わないことになるかには疑義があります。
サーバ事業者・SaaS事業者の実務対応
免責条項
本件ではサーバ事業者の責任が問題となりましたが、第三者のサーバを利用してサービスを提供するSaaS事業者も、ユーザーの関係ではデータを保管している立場にあるので、サーバ事業者と同様ユーザーに対する損害賠償責任が生じる可能性があります。
データの消失による損害は、自社で負担しきれないほどの規模となることもあるため、サーバ事業者・SaaS事業者いずれにとっても、データの消失に対する責任を限定することは実務上必須といえます。
前記裁判例で示された判断理由を踏まえると、ユーザーのデータを保管することになる事業者(サーバ事業者・SaaS事業者)としては、利用規約において次のような条項を設け、これを自社のウェブサイトなどで公表しておくことが有用と考えられます(ただし具体的なサービス内容に応じて修正する必要があります。)。
| 本サービス上で取得、生成等されるデータについては利用者が自らの責任でバックアップを取るものとする。本サービスにおける当社のサーバ又は当社の利用するサーバのデータが滅失、毀損した場合も、その結果発生する損害について、当社は責任を負わない。 本サービスに関し、当社が損害賠償責任を負う場合であっても、当社に故意又は重過失がある場合を除き、利用者が当社に支払った過去××か月分の利用料を上限とする。ただし、当社に故意又は重大な過失があった場合はこの限りでない。 |
| 【利用者が第三者に本サービスを利用させることを認める場合】 契約者は、第三者が本規約その他当社の定める制限事項を遵守することに同意する場合に限り、第三者に対して本サービスを利用させることができる。この場合、契約者は第三者が本サービスを利用することについて、すべての責任を負うこととする。 |
利用者が消費者である場合、事業者に故意又は重過失がある場合にまで責任を限定する条項は無効と定められているため(消費者契約法8条1項2号)、上記ただし書きのように、故意又は重過失がある場合を除外する必要があります。
利用者が事業者である場合は、故意又は重過失がある場合の免責について消費者契約法の適用はないものの、定型約款の不当条項規制(民法548条の2第2項)により免責規定全体について合意しなかったものとみなされる可能性が高いです4。
結局、利用者の属性にかかわらず、故意又は重過失がある場合は免責規定が適用されない旨記載しておくのが無難といえます。
SaaS事業者は、自身が第三者の提供するサーバを利用する立場でもあるので、利用者のデータを保管する機能を持つサービスを提供する場合は、サーバの提供元の利用規約との整合性を確保しつつ、自社の利用者に対する利用規約において免責規定を設ける必要があるので注意が必要です。
バックアップ機能
前記のとおり、本判決ではユーザーが消失防止措置を容易に講ずることができたことも考慮されていたことからすれば、サービス提供者としては、バックアップ機能を設けてアナウンスしておくのがよいでしょう(もしくはサービス内容からして長期保管が不要なデータはそもそも早期に削除する)。
例えば、HP制作ソフトのWordPress、会計ソフトのマネーフォワードクラウド、グループウェアのサイボウズofficeはいずれもデータのエクスポート機能ないしバックアップ機能を提供しつつ、利用規約5においてデータ消失にかかる損害賠償責任を免責又は制限しています。
免責条項としては、上記のような簡潔かつ包括的な定め方が一般的ですが、マネーフォワードクラウドの利用規約はマネーフォワードとユーザーの責任領域を具体的に示しているので参考になります。
【参考:マネーフォワードクラウド利用規約(2025年8月5日現在)】
(弁護士 玉川竜大)
- そのほか、原告らは、被告がサーバの障害が生じた場合の被告の善管注意義務(具体的にはサーバに保管された記録について損害の拡大を防止する義務など)に違反したとも主張したものの、裁判所は、データ消失防止義務と同様、原告被告間に契約関係がないこと、被告が被告の免責規定を超える責任を負う理由がないこと等から、被告は損害拡大防止義務を負わないと判断しました。 ↩︎
- 被告は、被告とN社との間の免責規定が被告と原告らとの間にも適用されるため被告が免責されると主張していました。もっとも、裁判所の判断は、免責規定に関する事情やそのほかの事情を総合的に考慮(衡量)した結果そもそもデータ消失防止義務を負わないというもので、被告とN社との間の免責規定が原告らとの間にも適用されるという被告の主張とは異なっています。 ↩︎
- 窪田充見 『不法行為法 民法を学ぶ』57頁(有斐閣、第2版、2018年) ↩︎
- 村松秀樹=松尾博憲『定型約款の実務&A』94頁(商事法務、補訂版、2023年) ↩︎
- WordPress https://wordpress.com/ja/tos/
マネーフォワードクラウド https://biz.moneyforward.com/agreement/
サイボウズoffice https://www.cybozu.com/jp/terms/
いずれも2025年8月5日時点 ↩︎