2023.8.28
社労士向けクラウドにサイバー被害(弁護士:今井 慶貴)
※この記事は、株式会社東京商工リサーチ発行の情報誌「TSR情報」で、当事務所の企業法務チームの責任者 弁護士今井慶貴が2017年4月より月に一度連載しているコラム「弁護士今井慶貴のズバッと法談」を引用したものです。
第76回のテーマ
この“ズバッと法談”は、弁護士今井慶貴の独断に基づきズバッと法律関連の話をするコラムです。
気楽に楽しんでいただければ幸いです。
今回のテーマは、社労士向けクラウドにサイバー被害です。
その1.クラウドサービスにサイバー被害!
今年6月、大阪のシステム会社のエムケイシステムが提供している国内最大の社会保険労務士向けクラウドサービス「社労夢」がサイバー攻撃を受けたというニュースが報じられました。
「社労夢」は、クラウド経由でソフトを提供するいわゆる“SaaS(サース)”であり、クラウド上で給与履歴や勤務表など顧客企業の従業員情報をまとめて見られ、給与の自動計算や社会保険の手続きをすることができるというもので、2700以上の社労士事務所が利用し、管理する事業所数は約57万にも上っていたということです。
ところが、サービスを提供するデータセンターのサーバーがランサムウエア(身代金要求型ウイルス)の攻撃を受けた結果、社労士が給与や社会保険料の計算ができなくなり、エクセルにデータを入力して計算するなどの応急的対応を迫られるなど、業務に大きな支障が生じるケースもあったようです。
毎年6月は、賞与の支払いや、労働保険年度更新と社会保険算定基礎届の申告・届出など、社労士にとっての繁忙期であったこともタイミングが悪かったといえます。
その2.気になる、その後のこと。
エムケイシステムは、7月31日に自社サイトで外部専門機関によるフォレンジック調査が完了したとして、外部への情報漏洩の事実が確認されていないことを報告しています。
気になるのは、業務に支障があった社労士が顧客企業に対して迷惑を掛けてしまったことに対して、損害賠償などの法的責任が生じるのかです。
一般的には、SaaS事業者と利用者との契約においては、約款において損害賠償責任を制限する条項が入っていることから、本件でもこうした条項が入っているのであれば、社労士からエムケイシステムに対する損害賠償請求は難しそうです。
一方、社労士とその顧客企業との間で、そうした責任制限条項を含む委託契約書を締結しているところは少ないと思われます。
こうした業務上の基幹ソフトの障害による債務不履行が不可抗力免責の対象となりうるのかについても、はっきりしないところがあります。
私の所属する法律事務所でもSaaSによる業務管理ソフトを利用していることから、万が一、こうしたシステム障害が起こった場合の備えをどうするべきか、考えさせられます。
最後に一言。
クラウドサービスは便利ですが、いざ障害が起きたときの影響は大きく、クラウド利用者としては、日々の無事を祈るのみです。
クラウドの 雲の向こうで 大騒ぎ
一新総合法律事務所では、「契約書のリーガルチェック」「取引先とのトラブル」「事業承継」「消費者クレーム対応」「債権回収」「コンプライアンス」「労務問題」など、企業のお悩みに対応いたします。
まずはお気軽にお問い合わせください。