7月19日、ジョナサン・カーディとその家族は、ノースカロライナ州ローリー・ダーラム国際空港の出発案内板が緑色から赤一色に変わっていくのを眺めていた。「なんとも、ありえない光景でした」とカーディは振り返る。「遅延、遅延、遅延、遅延」
ウェイク・フォレスト大学の法学教授で米国法学会のメンバーでもあるカーディは、デルタ航空でフロリダ州フォートローダーデールの会議に向かう予定だった。何千人もの旅行者とともに、彼は「間もなく離陸します」というアナウンスを聞きながら、1日中列に並んでいた。しかし、飛行機がどこにも飛ばないことが明らかになったので、彼はレンタカーで11時間の道のりを走った。同じ会議に向かう予定だったほかの人たちは空港で寝泊まりしたことを、カーディは後で知った。
この混乱は、CrowdStrikeが配信したソフトウェアのアップデートに欠陥があり、それが原因でマイクロソフトのOS「Windows」搭載のコンピューターが何百万台もクラッシュしたことで起きた。航空会社や金融サービス、そのほかのさまざまな業界に影響を与えたIT障害により、推定50億ドル(約7,300億円)以上の経済的損失が生じた。「これほどまでに多くの損失が出たこともあり、これから訴訟が起こされていくことでしょう」と、民事の損害賠償分野を専門とするカーディは言う。
始まりつつある数々の訴訟
すでに法的な争いは始まっている。7月29日、デルタ航空は、このシステム障害により5億ドルの損失を被ったとして訴訟を起こす意向を、CrowdStrikeとマイクロソフトに通知した。 また、CrowdStrikeの株主を代表して、法律事務所Labaton Keller Sucharowが集団訴訟を起こしている。さらに、法律事務所Gibbs Law Groupが、この大規模なシステム障害の影響を受けた中小企業を代表して集団訴訟を起こすことを検討していると発表している。
株主による集団訴訟に関する『WIRED』の問い合わせに対し、CrowdStrikeは「この訴訟には正当性がないと確信しており、当社は全力で会社を守るつもりだ」と語った。『WIRED』が入手したデルタ航空の顧問弁護士宛ての書簡で、CrowdStrikeの法律担当者は「重過失や故意の違法行為があったという申し立ては、まったく認められない」と主張している。マイクロソフトはコメントを控えた。デルタ航空の顧問弁護士はインタビューの依頼を断った。
損害賠償を求める人たちがCrowdStrikeに対する訴訟をするには、独創的な方法を見つけなければならない。カーディによると、ソフトウェア契約における典型的な免責条項によって、CrowdStrikeはかなりの程度保護されているという。CrowdStrikeのミスに責任があることは直感的に理解できるかもしれないが、同社は契約の細かな部分によって「よく守られている」可能性が高いと言う。
「制限条項」とは
CrowdStrikeはシステム障害の責任を認めている。しかし、その顧客(直接の顧客でも、そうでなくても)が、損失を取り戻すのは容易ではない。まずは、CrowdStrikeに対してどんな主張をしていくのかという問題がある。契約違反なのか、過失なのか、詐欺なのか、理論上いくつかの選択肢はあるが、いずれも簡単ではない。
顧客側は、何らかの契約違反を主張するかもしれない。しかし、「顧客が取り戻せる金額は"制限条項"によって大幅に限定される可能性が高い」と、ロンドン・スクール・オブ・エコノミクス・アンド・ポリティカル・サイエンスの法学准教授ポール・マクマホンは言う。こうした制限条項の目的は、ソフトウェア企業が支払うべき金額を抑えるための、いわば「無罪放免カード」のようなものだ。 CrowdStrikeと顧客が締結した契約内容はケースバイケースで異なるが、利用規約ではCrowdStrikeの責任限度額が「顧客がサービスの対価として支払った額」となっている。
デルタ航空の弁護士宛ての手紙で、CrowdStrikeの代表者は、同社の責任は「数百万ドル」に上限が設定されていると主張している。これは、同航空会社が主張する5億ドルの損失額をはるかに下回る。デルタ航空やそのほかの顧客が高額の賠償金を得るには、この条項が本質的に不公平なので法的強制力がない、あるいはCrowdStrikeが何らかのかたちで詐欺行為をした、と主張して裁判所に認めてもらう必要がある、とマクマホンは言う。
キングス・カレッジ・ロンドンの法学上級講師であり、『Journal of Professional Negligence』の共同編集者でもあるコルム・マクグラスは、賠償金額については「企業間の個々の契約内容の特殊性に左右されるでしょう」と語る。しかし、「大手企業間」のケースでは、裁判所は多くの場合、「リスクをしっかりと理解した上で、両者が落とし所をさぐった」結果としての合意条件を尊重しがちだと、マクグラスは言う。
Gibbs Law Groupのローズマリー・リーバスは、契約内容の問題についてのコメントを拒否し、調査の一環として「幅広い企業と協議をしている」とだけ語った。リーバスは、CrowdStrikeの顧客および間接的にサービス停止の影響を受けた中小企業を代表して集団訴訟を起こすための調査を主導している。
一方、CrowdStrikeと直接的な契約関係がない企業は、制限条項の影響を受けないものの、「そもそも申し立てをすることはできないでしょう」とマクマホンは言う。契約そのものが存在しないので、契約違反を理由に訴えることはできない。また、過失を理由に訴えることもできない。なぜなら、関連法は人身傷害や物的損害のみに適用され、経済的損失には適用されないからだ。
マクマホンによると、CrowdStrike事件の状況は、3月に米東部のボルティモアにある橋をコンテナ船が破壊した事故の状況に似ているという。橋を使っている企業にとって、橋が崩落すれば大きな損害を受ける。しかし、その損失は純粋に金銭的なものだ。それは7月のIT停止によって業務が妨害された企業も同様である。「そうした企業には損害賠償請求権はないだろう」とマクマホンは言う。
しかし、今回の損失規模を考えると、さまざまな障壁があったとしてもCrowdStrikeに対する訴訟は止まらないだろうと専門家は指摘する。ソフトウェアサプライチェーン企業Sonatypeの最高技術責任者(CTO)ブライアン・フォックスによると、ソフトウェア契約の責任制限条項に挑むような画期的な訴訟は、これまでほとんどなかった。しかし、今回CrowdStrikeの顧客がそこに挑む可能性はあるという。「重大な転換期を迎えるかもしれません」
「あなたとわたしが契約交渉をするとしましょう。わたしがありとあらゆるものを(損害賠償責任から)除外したとしても、法廷では実際にそれが認められるかどうかはわからない。これが、法律の面白くて難しい点です」と、マクグラスは言う。「契約の合意内容が、そこの法律では認められていない内容だったと、法廷が判断する可能性も十分にあるのです」
企業が訴訟を起こす背景
企業が訴訟を起こす理由には、ほかにもさまざまなものがある。デルタ航空とCrowdStrikeの間での応酬には、“見せかけ”の要素があるかもしれないとマクグラスは言う。「訴訟を通じてどのような駆け引きをしていたとしても、正当だと思える法的救済を確実に得ることが重要です。しかし、時にはPRや宣伝のために訴訟をしているケースもあります。大企業は、どちらの必要性のほうが高いかを、慎重に議論しているのではないでしょうか」
デルタ航空に宛てた書簡で、CrowdStrikeは、業務をはるかに迅速に復旧させたほかの航空会社と比べて、デルタ航空がシステム停止から回復するまでに要した期間の長さを指摘している。「デルタ航空が公に訴訟をちらつかせたことは、まるでデルタ航空のITに関する決定や、今回のシステム停止への対応に関しても、CrowdStrikeが責任を負っているかのような誤解を招いた」とCrowdStrikeの担当者は書いている。この書簡には、CrowdStrikeが自社を擁護する意思があることを示す強い表現も含まれている。「訴訟は残念なことだが、CrowdStrikeは、株主、従業員、そのほかの利害関係者を保護するために、そうせざるをえない場合は、積極的に対処する」
『WIRED』に提供された声明のなかで、CrowdStrikeの企業広報担当シニアディレクターであるケビン・ベナッチは、同社はすでにすべての顧客に対して遺憾の意を表明し、謝罪したと語っている。そして、デルタ航空のやり方は「いかなる当事者にとっても建設的ではない」「公の場での見せかけ」と見なすべきだと示唆している。「デルタ航空が協力して解決策を見つけることに同意してくれるよう、期待しています」と、ベナッチは語った。
CrowdStrikeがサービス停止の原因をつくったことを認めていること、そして数十億ドル相当の損害が発生したことも事実だが、最終的にはそのコストは主に同社の顧客やそのほかの影響を受けた企業が負担することになるというのが、現実に近いかもしれない。報道されているように、サイバー保険で被害額のほんの一部しかカバーされない場合は、その傾向が強くなるだろう。
フォックスをはじめとするIT業界の企業は、ソフトウェアを提供する側がコーディングミスによる責任を顧客に転嫁し、ひいてはその顧客に依存する企業にも転嫁することを防ぐための規制改革を求めている。コーディングミスによる責任の所在については「これまではどちらかというと業界内の問題であり、予期せぬ結果に遭遇した人だけが関心を寄せていました」とフォックスは言う。「法的責任に関する改革は、おそらく、エンジニアが長年訴え続けてきたことに対して企業が真剣に耳を傾けることに尽きるでしょう。わたしたちは、アーキテクチャー、テスト、セキュリティの面に、もっと力を入れる必要があります」
しかしながら、マクグラスは現状をこう語る。「訴訟を起こす側は、消費者であれ大企業であれ、自分たちが活動している法制度の枠内で行動しなければならないという、厳しい現実があります」
(Originally published on wired.com, translated by Miki Anzai)
※『WIRED』によるセキュリティの関連記事はこちら。
雑誌『WIRED』日本版 VOL.53
「Spatial × Computing」 好評発売中!
実空間とデジタル情報をシームレスに統合することで、情報をインタラクティブに制御できる「体験空間」を生み出す技術。または、あらゆるクリエイティビティに2次元(2D)から3次元(3D)へのパラダイムシフトを要請するトリガー。あるいは、ヒトと空間の間に“コンピューター”が介在することによって拡がる、すべての可能性──。それが『WIRED』日本版が考える「空間コンピューティング」の“フレーム”。情報や体験が「スクリーン(2D)」から「空間(3D)」へと拡がることで(つまり「新しいメディアの発生」によって)、個人や社会は、今後、いかなる変容と向き合うことになるのか。その可能性を、総力を挙げて探る! 詳細はこちら。