安易なクラウド利用契約に潜むリスクとその回避策:クリック操作の契約はリスク
クラウドサービスのクリック操作による契約手続きは、企業ユーザーが利用条件を交渉する機会を制限する。クラウドの利用に際しては交渉が必須だが、交渉を避けるサービスプロバイダーもいる。
プロバイダーの標準の利用条件は、企業ユーザーの要件を満たせないことが多い。そこで、クラウドユーザーは利用条件を適正化し、各ユーザーの状況に即した内容にすべく変更を求めている。
この方向に進もうとする動きは、特に大規模企業ユーザー層で起きているようだ。しかし、英Computer Weeklyの調査結果からは、特に低価格帯のサービスの場合、交渉に対するプロバイダーのプロセスありきの姿勢がうかがわれる。プロバイダーは、ユーザーの特殊な事情(米国外の子会社用にローカライズした契約が必要)に合わせることができないか、それをしたがらないように見える。
注:本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2013年5月29日号」(PDF:無償ダウンロード提供中)に掲載されている記事の抄訳版です。EPUB版およびKindle版も提供中です。
危機管理、ガバナンス、現状認識
多くのプロバイダーのルーツは、消費者や中堅・中小企業(SMB)向けの、クリック操作契約型のWebサービスにある。このようなWebサービスでは、ユーザーにプロバイダーの標準の契約条件が提示され、クリック操作で契約書に同意するスタイルになる。交渉の機会はない。
通常、クリック操作以外の唯一の追加ステップとして、ユーザーはクレジットカード情報を入力する。それが終わるとユーザーは直ちにサービスを使い始めることができる。このスタイルが、クラウドサービスの契約条項および登録のプロセスにも引き継がれているようだ。クラウドサービスの性質上、この消費者向けのクリック操作型配布モデルを利用できるため、クラウドプロバイダー契約にはこのクリック操作モデルが採用されることが多い。中には意図的にこのモデルを選択しているプロバイダーもいる。
ユーザーが管理するセルフサービス型のサービスの場合、中小企業ユーザーや試用ユーザー向けには通常のクリック操作によるオンライン契約モデルを適用し、大規模企業ユーザー向けにはフレームワーやマスター契約を用意し、特定の個々のサービスをオンラインで購入できるようにしているプロバイダーもいる。クリック操作モデルなら、プロバイダーは交渉のコストをゼロにでき、また、法的責任などのリスクを縮小できる可能性もある。
大手も含めて、中には契約条件の変更依頼に応じられる十分な法律スタッフが社内にいないプロバイダーもいるという。これが交渉を拒否する理由の1つであることも考えられる。
あるIaaS(Infrastructure as a Service)プロバイダーは、標準のクリック操作モデルの契約条件の変更をユーザーから求められたことはないという。別のプロバイダーは、契約条件の交渉に掛かる費用と時間を省くために、クリック操作モデルのみに移行することを検討している。しかし、クリック操作モデルは、正規の調達プロセスを(時に意図的に)回避する傾向を助長するなど、ユーザー企業にリスクを課すことになる。
担当者がクラウドの導入状況を把握していないことも
2010年に実施した調査によると、ITセキュリティ担当者の50%(欧州では44%)が、各自の組織内に導入されているクラウドコンピューティングリソースを完全に把握しているわけではなかった。
また、2011年のアンケートでは、幾つかの重要な質問に対して「分からない」と答えたクラウドサービスの導入担当者の割合が驚くほど高かった。
クリック操作モデルを使えば、効率よく柔軟にITサービスをプロビジョニングできるかもしれないが、ユーザー側のリスクは高まる可能性がある。
ドイツのデータ保護監督官は、すぐにサービスを使い始めることができるというクリック操作モデルの手軽さから、ユーザーがつい、契約条件の性質や影響を十分に検討したり、法律やデータ保護の観点での審査やセキュリティをはじめとするリスクの評価など、所属組織の標準の調達手続きを踏まずに、プロバイダーの標準の契約条件にオンラインで同意してしまう可能性を指摘する。
ユーザー企業の従業員がプロバイダーの標準の契約条件でクラウドサービスに登録した後で、より有利な契約条件を引き出そうとするのは、珍しいことではない。あるSaaS(Software as a Service)プロバイダーの話では、自分の会社の他の部署でこのプロバイダーのサービスが使用されていることをユーザーが知らなかったケースもあるという。ユーザーのIT部門がその状況を把握しない限り、サービスを統合することはできない。また、クラウドサービスの中には、無料であるか、パイロットまたは評価用の試用版であるという理由から、書面の契約条項なしに使用されているものもある。
サービスが無料の場合、社内の調達手続きがないがしろにされるケースも出てくるだろう。ただし、“無料”や“低コスト”は“リスクなし”“低リスク”を意味するとは限らない。
続きはComputer Weekly日本語版 2013年5月29日号にて
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
Copyright © ITmedia, Inc. All Rights Reserved.