質問

2012年06月28日 14時11分
  • ファーストサーバの損害補償

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

レンタルサーバー事業を営むファーストサーバでデータ消失事件がありましたが、そこのサイトを見ると約款が掲示されていました。その36条に「損害賠償の限度は「当社に支払った総額を限度とする」とあります。
これって損害額(修復額)が同じ100万円でも
何年も前からお客になっていて何百万も払っているお客には満額の100万円を払うが、先月契約してまだ10万円しか払ってない客には10万円しか払わないってことですよね。
なんだか不公平ですね。こんなもんなのでしょうか。

2件の回答があります

回答

大体、そのような契約になっていると思います。

2012年06月29日 09時33分

回答

こんなものが妥当だと思います。
「当社に支払った総額を限度とする」というのは約款に極めてよく
見かける条項です。

本来バックアップをとらなければならないのは頼む側のはずですから
慎重な(?)企業は私達のような社内担当者に人件費を払ってでも自社で
バックアップ作業をしております。GBあたりの保存単価は相応に
高くなるかと思います。ところがその社内人件費を削減する等のため
目的はどうであれ作業として社外に頼んだ訳ですが仕事を受ける側は
相応のコストがかかるため、体制の程度によって料金を変えなければ
企業が存続できません。例えば以下の様なコースを用意したとします。

コース
松・・・日次世代管理テープバックアップつき最長1年間保管+損害保険つき
竹・・・RAID 1 + バックグラウンドでのレプリケーション
梅・・・RAID5 バックアップなし

今回は実際どうだかわかりませんが、竹・梅コースのようなものでは
操作ミスやウイルス感染による被害には対応できません。

それを選んだのは利用者であってさらに良いサービスを受けたければ、
上記であれば松コースを選んで費用を負担しなければなりません。

お互い経済活動をしている訳ですからデータが消失したからといって
無制限に損害賠償を強いる負担をさせる様な事を致しますと場合に
よってはそんな要求をした方が加害者になることもあり得ます。
若しくはそんな体制しかとれない脆弱な会社とみなされます。

生命保険で例えますと(たとえて良いかわかりませんが)保険料を
払った月額に応じて保険金の額は変わりますし、生きていれば
種類によっては「掛け捨て」ですので一銭も返金されません。

事業活動の要となる情報システムを企業が利用するのであれば管理を
アウトソースする場合はそのリスクというのも想定した上でアウト
ソースすべきだと思います。事業リスクを想定できないのであれば、
ちょっとしたコスト増を軽く評価して情報漏洩を起こし150億円の
機会損失をしてしまう様な事も実際に起こっています。その責任は
自社で負わなければ長期的に世間は評価してくれません。

経営者が「うちの業績が上がらないのは」、「従業員が愛社精神を
もって働いてくれないからだ」とか「派遣社員が自分のことばかり
考えて定時で帰るからだ」とか「あの外注先がこんな品質のもの
しか作れないからだ」とか耳にする事もあるかもしれませんが、
その様な場合に限って給料が低かったり正社員比率が低かったり、
外注価格を値切りすぎていたりします。 他社(者)に仕事を頼む場合は
相応のコスト(金額、負担、リスク) はかかりますし、業績のいい
ところはむしろ従業員の給料が高かったり、正社員比率が高かったり、
要の事柄に関しては内製化し競争差別化を図っています。

約款を超えて請求するような会社さんもあるかと思いますが、
裁判では絶対に負けるでしょうし ( 無限連鎖はありませんで
しょうし、損害賠償の限度の範囲で普通は価格を設定しています。)、
その様な会社は本業でうまくゆかなくなっている所が他にも
あるのではないかと考えられます。

私の勤務先はファストサーバを利用しており今回影響を受けて
おりませんが、それはリスクを自社で請けた結果であり、障害発生が
あることを前提にしてシステム構築をしてきた結果でもあります。

別に肩を持つ訳ではありませんが質の良いサービスをコストパフォー
マンスの良い妥当と考えられる価格で提供されておりいますので
利用しているだけです。当然他に更に質が良くパフォーマンスが
いいサービスがあれば移りますし、そうでなければこのまま利用
いたします。

ただリスクはありますので今回影響は受けておりませんが念のため
バックアップしてくれるサービスがあったとしてもベンダロックを
回避するため自社でもバックアップは持ちます。

ところで話は変わりますが最近はネット上の攻撃が盛んで、マスコミ
も報道する様な事が起こっていますが、社内のウイルス検出状況を
みますと今年に入りまして新種ウイルスを発見するケースが増えて
います。(パターンファイルが配布される前に感染してしまうケース
です。)

ガンブラータイプのものですと感染後、上記の攻撃に加わっている
可能性もありそれだけではなく社内の他のPCに対しても攻撃を
行って社内のネットワークをつぶす様な事をするPCがでないとも
限りません。その様な場合に自社で十分に体制がとれない場合、
ASPで管理をしていますと、自社の状況は社外のWEBに接続しませんと
わからない状況になりますので管理要員が社内にいても手も足も
出せなくなってしまいます。(2005年に前任者がその様なASPの
仕組みを導入されたのですが、朝8時に出勤してチェックしますと
メンテ中でよく表示されないことが頻繁にあり管理になって
いませんでした。)

おそらくコードレッドの様なものがゼロデイアタックをして再び
流行ってしまいますと管理サーバーが社内ないASPは(同じASPでも
社内にも管理サーバーがあれば話は別です。)対応のしようがなく、
損害が発生した場合にどうするかなんて話も出てくるかもしれ
ませんがASPは「責任は一切負わない」条項があるかまたは
「当社に支払った総額を限度とする」条項になるでしょうから
やはり対策は(何でもそうですが) 基本的には自己責任で
考えていくべきではないかなと思います。

長々とすみません。

2012年06月30日 17時36分

あなたもコメントしましょう!