ブログ・コラム

2021年03月09日

SaaS利用前に!サービス品質保証契約(SLA)の利用契約確認を

SaaS利用前に!サービス品質保証契約(SLA)の利用契約確認を

サービスの形態として、「SaaS」という言葉をよく目にします。
それがどのような性質のサービスなのか、導入にあたってはどのような問題に注意する必要があるのか、SaaSによるサービス導入の検討のために、簡潔にご説明いたします。

1 SaaSとは

インターネットが現在ほど発展する以前は、ソフトウェアの機能を利用しようとする場合、利用者はソフトウェアを購入し、それを自分のハードウェア上で作動させる必要がありました。
しかし、インターネットの発展により、利用者はソフトウェアを購入はせず、その機能のみをネットワーク経由で利用して対価を支払うサービスが普及しました。
これがSaaS(Software as a Service)と呼ばれるサービスです。
多様なサービスを含みますが、経済産業省によれば「インターネット経由でアプリケーション機能を提供 するサービスの形態」と定義されています。※1

例えば弁護士も、かつては法令集や判例集を、書籍やDVD、パッケージのソフトウェア等で購入していました。実際に使うのはごく一部でも、まとめて購入せざるを得ず、これが非常に高額で苦労したものでした。
しかし、現在はネットワークによるデータベース提供サービスを利用している場合が圧倒的に多く、必要な情報だけを都度取り出せるため大変便利で、安価です。これもSaaSにあたるサービスといえます。
事業会社へ向けたサービスでは、Salesforceの顧客管理システムや、SmartHRの人事情報管理サービスが有名です。

「SaaS」という言葉自体には馴染みは薄くとも、すでに利用している方や会社が多いのではないでしょうか。

2 SaaSの普及

SaaS市場の成長は目覚ましいものがあります。
例えば、2018年10月28日付の日経新聞では、国内SaaS市場は、2022年には17年比で約7割増になり、アメリカでもベンチャーキャピタル投資の4割がSaaSへ向けられていると、報じられています。※2

パッケージのソフトウェアで著名だったアドビやマイクロソフトも、クラウドサービスを事業の中心とする方向へ舵を切って話題となりました。
いまやソフトウェアは、インターネットを通じて利用するものとの認識が一般的になりつつあります。

3 SaaS特有の問題について

このBlogを閲覧される会社におかれても、すでにSaaSによるサービスを導入したり、導入を検討されたりしている会社が少なくないと思われます。
SaaSには、それがネットワークを介したクラウドサービスであることによる特有の問題点があります。
以下ではそのうち、例として3つの問題点(システム・ネットワーク障害、データ消失、及び、サービス品質の不満足)を取り上げて法的な説明を加えるとともに、それらの問題点について、ベンダ(サービス提供事業者)が何にどこまで対応するかを定めるサービス品質保証契約(SLA)について説明します。

(1) システム・ネットワーク障害

SaaSのユーザは外部にあるベンダのシステムを利用するため、ベンダのシステムとユーザをつなぐネットワークに障害が起きたり、システムがダウンしたりした場合、ただちに業務に重大な支障を生じる可能性があります。
仮に障害自体が軽微なものであっても、例えばベンダのサポート時間外に障害が生じると復旧に時間がかかり、特にユーザがSaaSによるシステムをサービスとして外部へ提供している場合は、営業利益について大きな損失が生じてしまうことがあります。
後で改めて述べるところでが、損害の填補については、ほぼ必ず、契約によってベンダの責任が制限されているため、完全な填補を期待することが困難です。
この点、後述するSLAでは障害時の対応レベルについて規定するとともに、それが達成できなかった場合のベンダの責任を定めている場合が多数です。したがって、ユーザはそれをよく確認しておく必要があります。

(2) データ消失

ベンダが保管するユーザのデータが、障害により消失してしまうことがあります。
データ入力自体がSaaS上で行われ、ユーザ自身はデータの十分なバックアップをしていない場合、ユーザの損害が非常に大きくなる危険があります。
この点で有名な「ファーストサーバ事件」(2012年6月)では、約5700件ものユーザがデータ消失の被害を受けたと報じられました。※3
また近時では、2019年12月にNTTデータ傘下の日本電子計算が全国の自治体に提供していたクラウドサービスで大規模な障害が発生し、相当部分のデータが消失しました(後にほぼ回復)。※4、5
2020年11月には、NECキャピタルソリューションが、ふくい産業支援センター運営によるWebサービス「ふくいナビ」に提供していたクラウドサーバ上のデータが完全に消失する事故が生じました。※6、7
これらのベンダはいずれも相当の規模と体制を有する事業者でしたが、そうであってもこのような事故が生じ得るということであり、ユーザも現実に起こり得る事故として十分に留意する必要があります。

こうした事情から、利用契約においてはユーザ自身にバックアップ義務を課すものも多くなっています。
経済産業省が発表した「クラウドセキュリティガイドライン活用ガイドブック」の契約の具体的な内容例としても、ユーザ自身のバックアップ義務を定めた条項を紹介しています。※8
契約においてこのような条項がある場合、ユーザのバックアップが不十分なためにユーザに損害が生じても、ユーザにも過失があったとしてベンダの賠償責任が減じられてしまうことがあります(過失相殺)。

ただし、データ入力自体を外部システム上で行うことが多いSaaSでは、バックアップのためのシステムがベンダから提供されていない限り、ユーザ自身がデータを抽出してバックアップすることは現実には困難です。
したがって、利用契約やSLAにおいては、データやシステムのバックアップのサービスが標準で提供されるのか、オプションなのか、どのような仕組みで行われるのか等を、利用者がよく確認する必要があります。

(3) サービス全体の品質

上記のような明らかな事故とまで至らずとも、提供されるサービスの品質が問題となることが少なくありません。ユーザにとって、例えばシステムの稼働率やサポート体制は常に重要な要素といえます。
「思っていたサービスではない。なのに費用が高すぎる。こんなことなら社内のシステムで足りた」といったトラブルを未然に防ぐため、多数のSaaSにおいては、利用契約自体とは別に、次項で述べるSLA(Service Level Agreement:サービス品質保証契約)をおいています。
これにより、ユーザは一定のサービスレベルの保証を受けることができ、ベンダも提供すべきサービス品質を明示することで責任の範囲を明確にすることができます。

4 SLAとは

SLA(Service Level Agreement:サービス品質保証契約)は、提供されるサービスの範囲、内容や前提事項を踏まえた上で「サービス品質に対する利用者側の要求水準と提供者側の運営ルールについて明文化したもの」です。
サービス利用契約を締結する際に、SaaS のベンダとユーザの双方による合意の結果として、契約文書の一部または独立した文書として締結されるケースが多いとされています。

この点、経済産業省は「SaaS向けSLAガイドライン」を発表しており、SLAで定められるべき内容や水準について参考になります。
※9
具体的な項目としては「可用性」、「信頼性」、「性能」、「拡張性」、「サポート」があげられ、モデルSLAも紹介されています。

例えば「可用性」の項目では、「サービス稼働率」99.9%以上(基幹業務)及び99%以上(基幹業務以外)、「ディザスタリカバリ」について遠隔地のバックアップ用データセンタで保管している日次バックアップデータと予備システムへの切り替え、等と規定されています。

アプリケーション運用

参照元:経済産業省 SaaS 向け SLA ガイドライン(46ページ目の「別表」の「アプリケーション運用」の「可用性」の一覧)

また通常、サービスレベルが達成されなかった場合の対応方法(補償)についても定めがあります。
例えば、サービスを一定の時間連続して利用できない状態が生じた場合に、一定の計算式に基づいて算出された金額を利用料月額等から控除する、等が定められていますが、同時に、ベンダはそれ以上の責任は負わない等、その責任を軽減する規定がほとんどです。
ベンダの責任を制限するこのような規定も有効であると考えられますので、ユーザはよく確認することが必要です。

ただし、ベンダがデータを消失させるといった積極的な損害を与えた場合まで免責することを意図した規定ではないとして、ベンダの責任を認めた裁判例もあり(東京地方裁判所平成13年9月28日判決)、また、ベンダに故意や重過失がある場合も含めて一切免責されるという内容であれば、民法上はその効力を否定される可能性が大きいといえます(改正後民法第548条の2参照)。

5 まとめ

会社の業務においてSaaSによるサービスを利用する機会は今後も増加すると思われます。
その利用形態に特有の問題が生じうるため、利用契約、特にSLAの内容をよく確認し、自社に必要な品質とそれに見合った価格のサービスを提供するベンダを選択することが必要です。

文責

CONTACT

案件のご相談・ご予約のお客様