【世界的システム障害でも賠償責任はない?】業界に慣行する「利用規約」の罠、日本が取るべき対策
〝余裕な〟謝罪の言葉を述べるクラウドストライク
サイバーセキュリティ業界に限らず米国の企業がこの種のトラブルを起こした場合、幹部が謝罪を述べたり、過ちを認めたりする習慣はない。それでも、クラウドストライクの幹部たちは、いち早く謝罪の言葉を述べている。 カーツ氏は、問題が発生してからわずか数時間後、NBCのニュース番組「Today」に出演し、システム障害の規模もまだ判然としない中、「顧客や旅行者、本件で影響を受けた全ての人に深く謝罪することから始めたいと考えている」と謝罪の言葉を述べている。また、CSO(最高セキュリティー責任者)であるショーン・ヘンリー氏は、7月19日にSNSで「私たちは多くの人を失望させた」と述べている。 クラウドストライクのマイケル・セントナス社長は8月11日、世界最大のハッカー大会であるBlack Hat USA2024の余興として行われるポニーアワード(Pwnie Awards)の授賞式に現れ、「最も壮大な失敗(Most Epic Fail)部門」に選出されてトロフィーを受け取っている。 筆者も何度か授賞式に参加しているが、この賞は、基本的なセキュリティ対策もできていないことを嘲笑する意味で、皮肉を込めて授与するもの。表彰される当事者は、筆者の記憶では一度も授賞式に現れた試しがない。過去には、選考委員の満場一致で北朝鮮にハッキングされたソニー・ピクチャーズ・エンタティンメント(PSE)が、セキュリティ対策を取っていなかったとして表彰されているが、この時もソニーの関係者は会場に姿を現していない。 セントナス氏は、「われわれは大きな間違いを犯した。トロフィーはクラウドストライクの社屋に飾り、同じ間違いを犯さないよう従業員に意識付を図りたい」としている。 「一切保証しません」という利用規約 デルタ空港や株主代表訴訟など、次々に損害賠償を求める訴訟を起こされているクラウドストライク幹部が早々と謝罪の意を表した背景には、同社のダメージコントロールと自己防衛の行動だとの見方もある。しかし、多くの専門家の間では、同社が掲げる「利用規約」が、製品代金以上の金額を返金する義務から保護されているからだという。 カーツ氏は、マカフィ(McAfee)のCTO(最高技術責任者)だった2020年にもWindows XPのアップデートのバグが原因で、世界規模のシステム障害を起こしており、「企業体質に問題があるのでは」と指摘する声もあるが、この時も「利用規約」が幸いしている。 クラウドストライクの利用規約「8.6 免責」には「本第8条が定める明示的な保証を除き、クラウドストライクおよびその関連会社は、明示的か黙示的かを問わず、制定法に基づくか否かを問わず、他の全ての保証を免責します。(略)本提供物またはクラウドストライクツールにエラーがないこと、中断することなく作動すること、お客様の個別の目的や必要を充たすことについては一切保証されません。本提供物およびクラウドストライクツールは、耐障害性を有するものではなく、フェイルセーフのパフォーマンスや運用が要求される危険な環境で用いられるために設計されておらず、そのような使用がされることを意図していません。(略)」と規定している。