IT業で注意すべきクラウドサービス契約のポイント
クラウドサービスの利用は増加の一途をたどっており、日々さまざまなサービスが誕生しています。
メールサービスや、オンラインストレージサービスなど身近なサービスもありますが、クラウドサービスは一概に説明することが難しいものです。
このページでは、IT業が注意するべきクラウドサービス契約の注意点についてご説明します。
雛形を無料ダウンロードできます
ページの最後にあるリンクから、損害賠償責任制限・免責条項の書式の雛形を無料でダウンロードしていただけます(※あくまでサンプルですので、実際に契約書を作成する際には弁護士にご相談ください。)
なお、クラウドサービスは、その提供するサービスがソフトウェアなのか、プラットフォームなのか、インフラストラクチャなのかによって、SaaS、PaaS、IaaSに分類するのが一般的ですが、この記事はSaaS(ASPも同義とします)を前提に解説いたします。
SLA
情報セキュリティの3要素
クラウドサービス契約については、SLA(Service Level Agreement)を定めるのが一般的だと思われます。
一般的に、情報セキュリティの3要素(ISO/IEC27002)と言われる
- 可用性(必要な時に確実に情報にアクセスできる)
- 機密性(許可された利用者のみが情報にアクセスできる)
- 完全性(情報の正確さや完全さを確保・維持すること)
などの条件について定められることが多いです。
よく見られるのは
- オンライン運用の場合の稼働率:要求水準○○%
- バッチ処理の完全時間遵守率:要求水準○○%
などです。
SLAの注意点
注意点としては、要求水準の定義、算定方式については明確にしておくべきです。
たとえば、「稼働率」が1年間を通してなのか、サービス提供期間に限定されたものなのか、「99.9%」がどのように算定されるものなのか、といった事項です。
なお、SLAについては、経済産業省から「SaaS向けSLAガイドライン」を定められているので参考にされている業者も多いと思われます。
しかし、あくまでこれらはガイドラインであり法的拘束力はありませんので、SLAの項目についても自由に定めることもできます。
ペナルティ
SLAが守られていない場合のペナルティについても定め方は様々です。
「努力目標」としてSLAを規定する場合や、達成しない場合に、利用料金等を減額する場合などが考えられます。
あくまでサービスとして「どこまで他社と差別化するのか」という意味で用いられることの多い条項ともいえるでしょう。
しかし、努力目標であるからと安易に定めた場合で実際にサービスレベルが保証できなかった場合などは、誤認を生じさせるおそれがあるなどとして景品表示法違反のリスクがあるので、注意は必要です。
契約の解消時
クラウドサービスとオンプレ型のソフトウェア契約との違いとしては、データやプログラムがサービス提供者側にあることが挙げられます。
そのため、利用者がサービスを乗り換える時に提供者の協力が必要となります。
提供者側としても利用者側としても、契約終了時の情報の取り扱いについての手続を定めておく必要があります。
免責条項
免責条項が無効となる場合
一般的に多くのサービスで、提供者側の責任限定、免責条項が定められています。
たとえば「一切の責任を免れる」あるいは「賠償額は過去◯ヶ月分の利用料金を上限とする」とする条項です。
注意が必要なのは、全ての責任を免れるという規定は無効となる可能性が高いということです。
少なくとも提供者の故意・重過失による損害の場合には責任を負うことになるでしょう。
賠償額の上限を定める規定も一般的には有効とされていますが、あまりに低すぎるときは、信義公平の原則に反して合理的な額を上限とするとした裁判例もあるため注意が必要です(ただし、クラウドサービスについての事例ではありません。)
消費者契約法の適用にも要注意
そもそも利用者が消費者である場合には、消費者契約法が適用され、
- 責任全部を免除する条項
- 故意又は重過失が有る場合に責任の一部を免除する条項
などは消費者契約法で無効とされています。
最後に
クラウドサービス契約に関しては、そのほかに
- 電気通信事業法における登録の必要性
- 改正民法における「定款」の該当性
- 営業秘密、個人情報、マイナンバー、知的財産に関する問題
など検討すべき事項が多く、非常に複雑です。
クラウドサービス契約を検討している企業様は、契約締結前に弁護士にご相談ください。