クラウドサービスだからバックアップをしないというのはリスクでしかない

スポンサードサーチ

企業のサーバは、自社の設備で運用するオンプレミスから、AWS(Amazon Web Service）や GCP(Google Cloud Platform)、Azureといったクラウド環境に移行して運用するのが一般的になってきました。

しかし、コンサルティングでクライアントのクラウドでの運用環境のヒアリングをした時に、バックアップや監視を全く行っていないケースが時々見受けられます。

確かに、クラウドサービスの大半ではストレージ機器やホストサーバ、ネットワークなどが冗長化されていて、サーバで障害があった場合にでも自動復旧ができると謳っているものが大半です。

ただし、震災や台風といった大規模災害や、施設の火災などにより広範囲に設備が破損し回復が困難となる場合や、OSやアプリケーションの不具合、誤操作などの論理的な障害についてはデータの保障がされていません。

実際、2019年8月23日に大手のクラウドサービス事業者であるAWS(Amazon Web Services)の東京リージョンのサーバの一部で障害が発生して、6～10時間前後に渡りこの対象サーバを利用していたECサイトやゲームサイトがサービスを提供できなくなるという事がありました。

また、古くは2012年6月20日にはレンタルサーバ会社のファーストサーバにおいて共有サーバに入っていたデータを消失してしまい、復旧ができなくなるという事件も発生しています。

そこで今回は、クラウドサービスでバックアップを行っていない場合のリスクについて見てみたいと思います。

クラウドサービスの約款はどうなっているか？

では、実際のクラウドサービスの約款はどうなっているのでしょうか？

AWS(Amazon Web Services)の「AWS カスタマーアグリーメント」をみてみると、以下のような記載があります。

ちょっと長いですが引用してみます。

10.保証の否認
提供される本サービス内容は「現状」のままで提供される。法律により禁止される場合、または制定法上の権利が除外、制限もしくは放棄されずに適用される場合を除き、アマゾン、アマゾンの関連会社およびアマゾンのライセンサーのいずれも、(A)提供される本サービス内容または第三者コンテンツに関して、明示であると黙示であるとを問わず、法定のものであるかその他のものであるかに関わらず、いかなる種類の表明も保証もせず、 (B)以下の(I)から(IV) を含め、黙示または明示の一切の保証をしない。(I) 商品性、満足な品質、特定目的への適合性、非侵害または平穏享有に関する保証、(II) 取引過程または取引慣行により生じる保証、(III)提供される本サービス内容または第三者コンテンツが中断されないこと、エラーがないこと、もしくは有害な構成要素を含まないことの保証、および(IV)すべてのコンテンツが安全であり、その他紛失または損傷もしないことの保証。

2019 年 4 月 30 日更新 AWS カスタマーアグリーメント

11.責任限定
アマゾン、アマゾンの関連会社およびライセンサーのいずれも、いかなる直接、間接、付随的、特別、結果的または懲罰的損害（利益、収益、顧客、機会、のれん、使用またはデータの損失による損害を含む。）につき、たとえ当事者がかかる損害の可能性を通知されていたとしても、サービス利用者に対して責任を負わない。さらに、アマゾン、アマゾンの関連会社およびアマゾンのライセンサーのいずれも、以下の(A)から（D）に関連して生じる填補、償還または損害賠償につき、いかなる責任も負わない。(A)サービス利用者が本サービスを利用できない場合（(I)本契約、またはサービス利用者による提供される本サービス内容へのアクセスもしくはその利用の、解除または停止、(II)アマゾンによる提供される本サービス内容の一部または全部の中止、または(III)サービスレベルアグリーメントに基づく義務を制限することなく、その理由を問わず、本サービスの全部または一部の予期されない、または予定されないダウンタイムの、いずれかの結果としての場合を含む。）、(B)代替の商品またはサービスの調達費用、(C)本契約、またはサービス利用者による提供される本サービス内容の利用もしくはアクセスに関連して、サービス利用者がなした投資、支出または履行約束、(D)サービス利用者コンテンツまたはその他のデータへの不正アクセス、その変更、またはその削除、破棄、損害、損失もしくは保存の失敗。
いずれの場合も、第 9.2 項に基づく支払義務を除き、本契約に基づくアマゾン、アマゾンの関連会社およびライセンサーの責任の総額は、請求の原因となった本サービスについて、かかる責任が生じる前の 12 ヶ月間に本契約に基づいてサービス利用者がアマゾンに対して実際に支払った金額を超えないものとする。本第 11 条による制限は、適用される法に認められる最大限の範囲のみにおいて適用されるものとする。

2019 年 4 月 30 日更新 AWS カスタマーアグリーメント

AWS カスタマーアグリーメントは更新されていますので、実際の契約を行うにあたっては、必ず最新のAWS カスタマーアグリーメントをご覧いただきご理解をいただければと思いますが、「10.保証の否認」と「11.責任限定」に書かれているポイントをまとめると以下の4点。

1. アマゾン、アマゾンの関連会社およびアマゾンのライセンサーのいずれも、提供される本サービス内容または第三者コンテンツに関して、黙示または明示の一切の保証をしない。
2. アマゾン、アマゾンの関連会社およびライセンサーのいずれも、いかなる損害（使用またはデータの損失による損害を含む）に対して、サービス利用者に対して責任を負わない。
3. アマゾン、アマゾンの関連会社およびアマゾンのライセンサーのいずれも、サービス利用者が本サービスを利用できない場合といった事態に関連して生じる填補、償還または損害賠償につき、いかなる責任も負わない。
4. それ以外の一切の責任は、「保証の否認」と「責任限定」の２つの条項により免責し、最大でも過去12ヶ月にユーザーが支払った金額に限定する。

つまり、サービスが停止してもデータ消失が起こっても責任は負わないとなっています。

クラウドサービスを行なっている会社の約款は、多少の違いはありますがこのような内容となっています。

裁判所の判断は？

クラウドサービスのデータ消失が発生した場合の責任について裁判所の判断としては、東京地方裁判所 平成21年5月20日判決を取り上げた以下の記事が参考になります。

EnterpriseZine：紛争事例に学ぶ、ITユーザの心得：クラウドサービスにおけるデータ消失の責任所在はどこか

この裁判の例では、ホスティング事業者にどこまで責任があるかとなっていますが係争内容的にはクラウドサービスも同じと考えられます。

本件サーバを設置及び管理するホスティング事業者に対し、顧客企業らの上記記録を保護するためにその消失防止義務まで負わせる理由も必要もないというべきである。

東京地方裁判所 平成21年5月20日判決

つまり、裁判所の判断もデータの管理についてはクラウドサービスなどを借りている企業の側で行う必要がある、という話です。

サービス継続のためにはリスクヘッジは必要

クラウドサービスは、自社でサーバを運用するオンプレミスに比べて、サーバやネトワーク機器などの初期導入費用が抑えられますし、構成変更なども柔軟に行えるので大変便利です。

また、障害発生時の復旧作業もクラウドサービス事業者によって行われますので、復旧までの時間や対応コストの面でもメリットは大きいものがあります。

しかし、クラウドサービスにあるデータについては上で述べたように基本的には保証対象となっていないため、クラウドサービスを利用する場合でも、必ずクラウドでのバックアップや、ローカルでのバックアップなどでリスクヘッジが必要だということを理解する必要があります。

スポンサードサーチ