先週、関西のCGN(コーポレートガバナンス・ネットワーク)勉強会におきまして、ITシステムに精通された某弁護士の方が「ファーストサーバ事件」について発表されました。もう数か月前の事件ではありますが、ご承知のとおり、レンタルサーバーを主たる業務とされているファーストサーバ社が5000件以上の顧客のデータを消失させてしまった、という事件に関するものです。本件については、関西の大手製薬会社さんが、ファースト社のクラウドサーバーを利用されていて被害に遭遇し、HP上のデータが一部消失してしまったことは存じ上げておりました。しかし、今年7月末に本事件に関する第三者委員会報告書(要約版)が公表されましたことから、その報告書に基づく今回の解説をお聴きして、このたび事件の概要を知った次第です。私的には「企業のリスク管理と内部統制」という視点から、とても新鮮なものでした。
利用契約上では、(消費者契約法上の問題は別として)ファーストサーバ社の管理運用上の過失については免責条項があり、事業者側が損害を被ったとしてもファーストサーバ社に故意または重過失が認められなければ損害賠償義務を負担しない、ということです。サーバー管理会社の場合、ほぼすべての会社がこの免責条項を入れている、とのことだそうですが、今回の事件でも、第三者委員会は(特定した原因事実をもとにしても)ファーストサーバ社の過失は軽過失である、ただし軽過失であったとしても、比較的重い程度の軽過失だと認定しておられます(「比較的に重い軽過失」と「重過失」とはどう違うのか?というツッコミは、法律専門家的なお話になってしまうので割愛)。
発表者の方は「この第三者委員会が認定した事実を前提にしてもなお、重過失になるのではないか」とのご意見でありましたし、本件については「ファースト社の管理・運用上のミスは重過失になるのかどうか」というところがネット上でも話題になっているようです。「重過失」なるものが、故意立証の代替的機能を重視して「故意に近いような、誰でも容易に重大な結果を予見しうるほどの注意義務違反」を重過失と捉えるだけでなく、そもそも高度の注意義務を要求される人のうっかりミスも重過失だと捉えるのであれば、重過失にあたるのかもしれません。このあたりは実際に裁判になってみないとわかりませんが、ともかく「重過失」と認定されてしまうリスクは生じていたのであり、だからこそ、会社側は免責条項にも関わらず、利用者の方々に利用料の範囲においては返金手続きをとったものと思われます。
ただ私は、「会社のミスが重過失にあたるかどうか」という純粋な法解釈上の関心とともに、実際に更新プログラムの作業ミスを発生させてしまった社員の方が「社内のルール違反を承知で作業を行っていたこと」「当該社員が長年ルールを無視して作業をしていることを上司が黙認していたこと」が第三者委員会の調査で明らかにされており、これが「軽過失といえども、その程度において重大なもの」との結論に影響を及ぼしている点にも関心があります。結果からみれば、今回のミスはファーストサーバ社の経営に極めて大きな影響を与えたことになり、重大なリスクが顕在化したことになります。そもそも会社が「重過失」リスクに見舞われないために、(業務の性質上、トラブルを完全に防止することは不可能でありますから)重大なリスクの発生しそうなところには社内ルールを策定して内部統制システムをきちんと整備していたものと思われます。しかし、社員自身がシステム(社内ルール)を無効化させてしまったわけですから、「重過失」リスクが顕在化することも当然のことかと思われます。
今年10月に日本内部統制研究学会で自社の7、8年にわたる内部統制構築の取り組みとその効果(検証結果)を発表されたSさんの話では、内部統制が現場に浸透するようになると、現場に合わないシステムについては現場から疑問の声があがり、現場自身がシステムを提言して、上司と一緒に効果的かつ効率的なシステムの改正がされるようになる、とのことでした。つまり、内部統制が浸透したことの証として「現場から声があがること」だとおっしゃっていたことが印象的でした。こういったことが現場で許容される「例外的取扱」と許容されない取扱も区別されるのでしょう。
上記のファーストサーバ社の一件も、プログラムに精通された熟練の技術者にとっては、社内ルールに則って運用することなど「かったるい」ことだったのかもしれません。また、彼のスキルを信用していたからこそ、上司が例外的取扱いを許容していたのかもしれません。しかし、第三者委員会の報告書を読むと、そういった例外的取り扱いが社内で協議されたような形跡もなく、社内ルールは例外を許さず、事実上彼の手法が現場で黙認されていたにすぎないように思われます。会社法が改正されますと、会社法上の内部統制の運用状況の概要についても事業報告の記載事項となりますが、いったん整備されたシステムが正しく運用されていないことに関する会社のリーガルリスクは高まることが考えられます。今回の事件が裁判沙汰にならなければ今後は特に問題にはならないかもしれません。しかし、第三者委員会報告書でも、「比較的程度の重い軽過失」と評価されるに至った原因として、この社内ルール違反という事実が(調査委員の方々にとって)重く受け止められているように思われます。
数年前に、内部統制の構築が世間で話題となり、リスク管理のために社内ルールがいろいろと整備されてきた会社も多いとは思うのですが、個々の企業のリスク評価の結果と比較しながら、リスク低減に向けたシステムの運用が正しく行われているのかどうか、検証しておく必要があります。裁判上でも、内部統制の運用上の不備が会社側に不利な判決に影響しているものと思われるものが出てきています。このファーストサーバ事件を通じて、内部統制の不適切な運用によってリーガルリスクが顕在化するおそろしさを改めて認識いたしました。
編集部より:この記事は「ビジネス法務の部屋 since 2005」2012年11月14日のブログより転載させていただきました。快く転載を許可してくださった山口利昭氏に感謝いたします。オリジナル原稿を読みたい方はビジネス法務の部屋 since 2005をご覧ください。
