24時間戦う価値のあるSaaS契約の保護規定：THE ESSENTIAL LAWYER

「サービスとしてのソフトウェア」は結構だが、契約を交わす際はベンダー側のひな型に潜む落とし穴について認識しておくことが必要だ。

[Matt Karlyn，TechTarget]

　「サービスとしてのソフトウェア」（Software as a Service：SaaS）をまだ知らない人も、近い将来に出くわすのは確実だ。最近のIDC予想によると、SaaSへの支出額は2009年までに110億ドル近くに達する見通しだ。CIOならこのソフトウェア配信モデル（アプリケーションが会社内ではなく集中拠点から管理され、顧客はWebを介してリモートでアプリケーションにアクセスできる）がITインフラ全体に普及しつつあることは知っているだろう。

　しかし、CIOはSaaS契約交渉について不安を抱えているはずだ。ここではわたしが最近手掛けたSaaS契約の2つの局面を取り上げ、ベンダーの出来の悪い契約書書式の犠牲になるのを避ける方法を幾つか提案する。

契約によってSaaSの価値が損なわれる場合

　われわれが扱ったのは、この市場でかなりのプレゼンスを確立している大手SaaSベンダーだった。このベンダーのWebサイトでは、同社のアプリケーションは「100％の可用性」を持ち、「1日24時間年中無休での利用とモニタリングが可能」とうたっていた。しかし同社の契約書式では、いずれの保護措置も認めていなかった。

　ベンダーの様式を検討し、われわれはこれらの保護措置を提供する条項を追加した（ベンダーは最初これを拒んだ）。SaaS契約ではアプリケーションの可用性とパフォーマンスモニタリングは必須だ。従ってSaaS契約にはサービスレベルの保証が含まれなければならない。サービスレベル規定では、反応時間、アップタイム、顧客満足度など、容認できる最低レベルのパフォーマンスを明記しておくことだ。

　さらに、ベンダーにパフォーマンス上の不備があった場合、契約を打ち切る権利を加えておくことも検討するといい。最低限のパフォーマンス保証がなければ、自社にとってのSaaSの価値は大きく損なわれる。われわれが扱ったベンダーは最終的に、一定のサービス基準と可用性に関連したパフォーマンス保証に同意した。しかし、Webサイトの宣伝文句と契約の文言を一致させることには及び腰だった。

　同ベンダーのWebサイトによれば、「データセキュリティ」が同社にとって「最大の財産」であり、同社の「データセンターは最新のファイアウォール技術を利用」していて、業務上の「全局面でデータセキュリティを優先課題」としているという。しかし契約書式では、このベンダーのデータセキュリティの扱いについては何も触れられていない。顧客のデータのセキュリティに関する義務規定も盛り込まれていなかった。しかも、ベンダーの書式には、データ損失に関する責任は一切負わないという免責条項があった。

　こうした姿勢はベンダーに共通のものだが、扱うデータの重要性を考えると、SaaS契約においてこれは一般的に容認できない。

SaaS契約の基本原則

　われわれの契約では、データセキュリティ関連で次のような複数の条項を盛り込んだ。

1. ベンダーが顧客のデータセキュリティ慣行に従う義務
2. データセキュリティ、損失、変質に関する保障
3. 監査と定期的なセキュリティ評価を顧客が実施する権利
4. 災害復旧・事業継続計画およびこれに関連したベンダーの義務、付随する適切な文言の不可抗力条項
5. データ所有権と返還に関する明示
6. 頻繁なバックアップ実施に関するベンダーの義務
7. データ復旧に関するベンダーの義務

　われわれのケースでベンダーは、すべての条項を受け入れはしなかったが、多くについて同意した。その結果、ベンダーが作成した当初の書式に比べて顧客の保護が大幅に強化された契約となった。確かなことが1つある。SaaSが社内全体に広がる中、IT担当幹部はベンダー契約に潜む落とし穴について認識しておくべきだということだ。

本稿筆者のマット・カーリン氏は法学士、経営学修士を持ち、米シカゴにあるNeal, Gerber & Eisenberg's Information Technology Practice Groupの会員。