米セキュリティー大手クラウドストライクがユーザー企業に配信したファイルに含まれたバグ（不具合）は、世界各地の航空便や金融取引、自動車生産などに打撃を与えた。普及が進むクラウド型サービスが招いた「史上最大級」とされるIT障害は、ソフトウエア更新のあり方などをめぐって多くの課題を残した。

欠陥ファイルは米マイクロソフトの基本ソフト（OS）「ウィンドウズ」となんらかの衝突を引き起こした。一部のサーバーやパソコンがうまく起動しなくなり、端末の画面が青くなって停止する「ブルースクリーン」状態になった。世界で850万台の端末に障害が発生し、運輸や金融、放送、製造業など幅広い企業活動をまひさせた。

 日ごろはサイバー防衛における初動の重要性を説いている同社だが、自社のミスであると認めたのは日本時間午後7時前だった。障害発生からすでに5時間超が経過しており、情報開示の遅れが混乱を広げた側面がある。

クラウドストライクはパソコンやサーバーの異常をネットワーク経由で常時監視するサービスに強みを持つ。セキュリティー意識の高い企業を中心に、世界で約2万9000社の顧客企業を抱える。絶えずソフトを更新することで最新の脅威に備えるのがサービスの特徴だが、今回は世界中の端末を1社で集中管理するリスクがあらわになった。

＜損害賠償請求は難航か＞

今後の焦点はIT障害で損失を被ったユーザー企業への補償だ。航空機の欠航や遅延によって足止めを食らった旅行客など間接的な被害も大きい。ロイター通信は保険業界関係者の話として「経済的損害は数百億ドル規模に達する可能性がある」と報じている。

TMIプライバシー&セキュリティコンサルティング代表の大井哲也弁護士は「一般論としてソフトの欠陥でシステムが停止した場合、ソフト提供会社はユーザー企業に対する法的責任を負う場合がある」と話す。

ソフト提供企業の責任はユーザーと結ぶライセンス契約の中などで定められている。ただ、賠償の対象はソフトを使えなかった期間のライセンス料などに限られ、システム停止に伴う事業活動上の機会損失は対象とならない旨を規定していることが多い。

賠償額の上限が定められているケースもあり、大井氏は「システム停止によって生じたすべての損害について賠償請求するのは難しいだろう」とみる。仮にユーザー企業が幅広い損害賠償を求める場合は、ソフト提供企業に重過失があったとして責任を制限する条項の無効を主張する必要があるという。

一部の企業はサイバー攻撃などの損失をカバーする保険に加入しているが、多くの商品は顧客や取引先に支払うキャンセル料といった損害を補償の対象としている。大井氏は「ユーザー企業が本来得られたはずの収益まで補償されるかどうかは、保険約款などを確認する必要がある」と話している。