何気ない記録

なんとなく自分の意見を書き記すときにつかいます。つまり不定期更新です。

免責されるかどうかは、実は実務的に適切な対応が行われたかによるところが大きい

 

【株式会社ZIG】Mechuの個人情報流出の経緯とZIGの隠蔽工作について【流星群プロジェクト】|ゆき|note

ちなみに、普通の法務関係者や経営者は理解しているが免責条項というものは「うちはセコムはいっとるで?」と宣言している程度のもので、実際に被害にあうかあわないか、つまり免責できるかとは実務的には関係ない。

 

本題とは関係ありませんが、契約書などに定型文のように織り込まれる「当社は一切の責任を負わない」的ないわゆる免責条項ですが、基本的にはコメントどおりで「私たちは一切責任を負わないと主張しますね」程度の宣言であって、宣言したからといって実際に責任が一方的に免除されるわけではありません。

 

もっとも、では無くてもよいのか?と言えばそんな事はなく、必要な事を必要なだけ、適切に行えている限りはその条項は有効となりますので、設ける意味はあります。

 

が、多くの場合、その条項に運命を委ねるようなケースは、大凡事後手続きにおいてやらかしている(過失または重過失と思われる内容の対応)事が多く、大抵は「それ免責される事はないで?」という話しになります。

 

その上、情報漏洩が発生するようなケースでは基本的には不備による所が多いため、事象が発生していた時点で企業側に一切の過失がないという事を宣言することも難しい事もあり、大抵の場合は、まずは「ごめんなさい」から始まって、免責条項をチラ見しつつ、それ以上の過失を犯さない為に「ごめん、情報が漏れていない事は保証できないので、秘匿情報に関するものは漏れた前提で対応してほしい」とお願いするわけです。

 

これは単純に「漏れてないから大丈夫だよ」などというと、後で「やっぱもれてた」となった場合「何をもって漏れてないと判断したのか」という点が議論となるのですが、

普通「漏れた」「漏れてない」などというのは痕跡から断定はできません。

 

相手が「立鳥後を気にせず」的に、わざわざ抽出したデータをサーバー内に固めていたものが残っていた、とか、バックドア仕掛けずにダイレクトで侵入できちゃうようなケースだったのに、ログまで全部残ってた、とか、本当に相手にバカにされているようなケースを除けば、大抵は「侵入されてる(されてた)っぽい」程度までしか断定できず、その後は「わかんらんけど、とりあえずこれ以上会社の責任を増やすべきではない」という視点で動くしかないからです。

 

というか、普通、真っ当な弁護士が顧問としてついている場合、免責条項を適用できるように注意義務であったり、情報提供であったりについては最善をつくすように促されます。

 

なぜかというと、最善を尽くしている限りは免責条項を適用できない可能性は低いので信頼は失うとしても資産まで失う事はないからです。

 

雰囲気として今回のケースは「事件発覚時に適切な法務関係者に相談できていなかった」であったり「そもそも経営陣が経験が浅かった」であったり「システム関連の責任者が経験が浅かった」という感じかな、という所です。

 

その他、契約というものは書かれていればなんでも有効なわけでもありません。

特に、企業が消費者と行う契約は書かれていてもより上位の規範により無効とされることも普通にあります。

これは契約という行為においては大抵の場合は企業側の方が強いであったり、消費者が契約行為についてその時点で適切な知識を有していないという事も想定される為です。

 

ですから「一切の責任を負わない」というような文言は「玄関にセコムシールを貼ってある」程度のものであって、別にシールを貼ってあるから安全なのではなく、セコムと契約して、その上で適切な設備や対応をして初めて安全となるわけですから、鍵もかけずに玄関を解放しておきながら「セコム入ってたのに!」といっても残念ながら意味はありませんし、セコムも迷惑な話でしょう。

 

 

本題とは全く関係ありませんが、どちらかというとその点の対応の知識がないという方がちょっとこの会社は怖いな・・・という感想です。

 

ミスであったりトラブルはどの会社でも起きてしまうことですが、そのミスやトラブルが起きたときにどのように立ち回るか、どのような知識も持っているのか、というのはその会社を信頼して良いのか、その会社は誠実な会社なのか、技術的側面の評価も含めよりわかりやすい判断基準になるものですから、経営者や管理職の方はそういった目で見られているという事と、実務的に「圧倒的に優位なおまじないは存在しない」という現実と向き合っていただければと思います。