「サービスとしてのソフトウェア」は結構だが、契約を交わす際はベンダー側のひな型に潜む落とし穴について認識しておくことが必要だ。
「サービスとしてのソフトウェア」(Software as a Service:SaaS)をまだ知らない人も、近い将来に出くわすのは確実だ。最近のIDC予想によると、SaaSへの支出額は2009年までに110億ドル近くに達する見通しだ。CIOならこのソフトウェア配信モデル(アプリケーションが会社内ではなく集中拠点から管理され、顧客はWebを介してリモートでアプリケーションにアクセスできる)がITインフラ全体に普及しつつあることは知っているだろう。
しかし、CIOはSaaS契約交渉について不安を抱えているはずだ。ここではわたしが最近手掛けたSaaS契約の2つの局面を取り上げ、ベンダーの出来の悪い契約書書式の犠牲になるのを避ける方法を幾つか提案する。
われわれが扱ったのは、この市場でかなりのプレゼンスを確立している大手SaaSベンダーだった。このベンダーのWebサイトでは、同社のアプリケーションは「100%の可用性」を持ち、「1日24時間年中無休での利用とモニタリングが可能」とうたっていた。しかし同社の契約書式では、いずれの保護措置も認めていなかった。
ベンダーの様式を検討し、われわれはこれらの保護措置を提供する条項を追加した(ベンダーは最初これを拒んだ)。SaaS契約ではアプリケーションの可用性とパフォーマンスモニタリングは必須だ。従ってSaaS契約にはサービスレベルの保証が含まれなければならない。サービスレベル規定では、反応時間、アップタイム、顧客満足度など、容認できる最低レベルのパフォーマンスを明記しておくことだ。
さらに、ベンダーにパフォーマンス上の不備があった場合、契約を打ち切る権利を加えておくことも検討するといい。最低限のパフォーマンス保証がなければ、自社にとってのSaaSの価値は大きく損なわれる。われわれが扱ったベンダーは最終的に、一定のサービス基準と可用性に関連したパフォーマンス保証に同意した。しかし、Webサイトの宣伝文句と契約の文言を一致させることには及び腰だった。
同ベンダーのWebサイトによれば、「データセキュリティ」が同社にとって「最大の財産」であり、同社の「データセンターは最新のファイアウォール技術を利用」していて、業務上の「全局面でデータセキュリティを優先課題」としているという。しかし契約書式では、このベンダーのデータセキュリティの扱いについては何も触れられていない。顧客のデータのセキュリティに関する義務規定も盛り込まれていなかった。しかも、ベンダーの書式には、データ損失に関する責任は一切負わないという免責条項があった。
こうした姿勢はベンダーに共通のものだが、扱うデータの重要性を考えると、SaaS契約においてこれは一般的に容認できない。
われわれの契約では、データセキュリティ関連で次のような複数の条項を盛り込んだ。
われわれのケースでベンダーは、すべての条項を受け入れはしなかったが、多くについて同意した。その結果、ベンダーが作成した当初の書式に比べて顧客の保護が大幅に強化された契約となった。確かなことが1つある。SaaSが社内全体に広がる中、IT担当幹部はベンダー契約に潜む落とし穴について認識しておくべきだということだ。
本稿筆者のマット・カーリン氏は法学士、経営学修士を持ち、米シカゴにあるNeal, Gerber & Eisenberg's Information Technology Practice Groupの会員。
「ECプラットフォーム」 売れ筋TOP10(2024年3月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
GoogleがZ世代のローカル検索でInstagramやTikTokに敗北 なぜこうなった? これからどうなる?
Googleは依然として人気の検索サイトだが、ことZ世代のローカル検索に関しては、Instagra...
DE&Iに関する実態調査 「公平」と「平等」の違いについて認知度は2割未満
NTTデータ経営研究所がNTTコム オンライン・マーケティング・ソリューションと共同で実施...