前回は,総務省から公表された「ASP・SaaSにおける情報セキュリティ対策ガイドライン」(注1)を検討しました。今回は,経済産業省から公表された「SaaS向けSLAガイドライン」(注2)(以下,SLAガイドライン)を取り上げます。SLA(Service Level Agreement)とは,サービス提供者と利用者との間におけるサービスレベルに関する合意のことです。
SLA契約の基本は自社の要求水準を正しく把握すること
SLAガイドラインのポイントは,経済産業省の公表資料によると以下のようにまとめられています(原文ママ)。
|
○企業の経営者および情報システム担当者がSaaSを利用するにあたって適切な取引関係を確保し,より効果的にSaaSを利用することを目的に,利用するサービスおよびサービス事業者選定の際に参考となるような利用者への対策向上の指針を定める。 ○企業等のSaaS利用者を初め,SaaS提供者,およびSaaSに関心のある人全般を対象とする。 ○情報セキュリティ確保の観点に重点を置き,SaaSの特徴と利用事例についても解説。 ○SaaSを提供するにあたってユーザ企業と提供企業間で合意すべきサービス内容とその具体的設定例を提示。 ○例えば,サービスの稼働率や障害復旧時間,データのバックアップ,セキュリティレベルなどをSaaS提供企業側が明確にし,ユーザ企業との間で合意するよう求めている。 ○SaaS利用における確認事項や留意点を具体的に解説。 |
前回取り上げた「ASP・SaaSにおける情報セキュリティ対策ガイドライン」は,専ら提供者側のセキュリティ対策を念頭に置いていました。これに対してSLAガイドラインは,当然ながら利用者と提供者の適切な取引関係を確保することを目的としています。ただ,上記のポイントに,「効果的にSaaSを利用することを目的に,利用するサービスおよびサービス事業者選定の際に参考となるような利用者への対策向上の指針を定める」とありますから,提供者側というよりも,どちらかというと利用者から見てわかりやすいSLAを目指しているようです。
SLAは,SaaS提供者と利用者間の契約の一部であり,どちらか一方のためだけのものではありません。しかし,利用者の側からすれば,SLAといったところで,どのような項目,あるいはどのような数値を実際に設定するのか,イメージしにくいものです。結果として,契約を結ぶ際に,SLAについてどのように交渉すべきかわからないことがあり得ます。SLAガイドラインは,そのような場合に役立つと考えられます。
もちろん,利用者側の企業が情報システム部門を持たない場合には,サービス提供者側が作成したSLAに従わざるを得ない場合が多いでしょう。しかし,その場合でも,事業者選択の際に比較の軸としてガイドラインは利用できると思います。
SaaSに限った話ではありませんが,ユーザー側がSLAを検討する上で重要なことは,自社の要求水準をきちんと把握することです。要求水準が分からないままだと,何か問題が起こると困るということで,往々にして必要のないサービスレベルまで要求しがちです。契約書の基本事項にSLAの細かい条件を追加する目的の一つには,こうした過剰品質を排除することもあるのです。
自社にとって必要十分なサービス内容が何かを把握するという観点からは,SLAガイドライン27頁以下の「SaaS利用における情報セキュリティを中心としたSLA上の確認事項」を参考にするとよいでしょう。
蓄積したデータの再利用についても注意を
SaaS特有のSLAの注意点の詳細については,SLAガイドラインを直接あたって頂きたいのですが,「蓄積したデータの再利用が不可欠」(注3)という指摘は重要だと思います。利用者の手元にデータをダウンロードできるのか,ダウンロードできる場合にどのようなデータ形式になるのか。さらには「SaaSを解約する際にデータを引き取ることができるのか」ということにも,注意を払うべきです。
自社所有のシステムでデータを取り出せないことは,費用の問題を別にすればあまり考えられません。しかし,SaaSの場合,契約終了・解約だけでなくSaaS提供会社が破産する可能性もあります。ですから,サービス終了時のデータの処理,帰属関係等の確認は必須となります。
もう一つ注意すべき点は,「コンプライアンス対応における考慮事項」です。法律に準拠するための考慮事項は当然の前提となりますが,さらに社内ルール(情報セキュリティ・ポリシー及びその下位の規程)と提供されるサービスが合致しているものでなければなりません。例えば,ID,アクセス権限管理について社内ルールがあり,そのルールに正当性があれば,SaaSとして提供されるサービスはそれに対応する必要があります。
また,ログの保管,検証の実施が規定されているのであれば,それに対応できるサービスを選択する必要が出てきます。ログも「蓄積したデータ」の一つですから,サービス提供中はもちろん,終了後も利用できるのかなどを検証しなければなりません。
SLAガイドラインには,サービスレベル項目のモデルケースも別表として付いています。ただし,設定例のバリエーションはあまり多くありません。SLAガイドラインのパブリックコメントの意見への回答(注4)を見ると,「今後必要に応じて実施する改定作業の中で,適切なモデルケースについて検討する」となっていますので,今後の充実を期待したいと思います。
なお,経済産業省では「情報システムの信頼性向上のための取引慣行・契約に関する研究会」が作成した「~情報システム・モデル取引・契約書~(パッケージ,SaaS/ASP活用,保守・運用)<追補版>(報告書案)」も公開しています(注5)。同報告書案によれば,「中小企業におけるパッケージ,SaaS/ASPを活用したモデル取引・契約書の策定」を目的としているということです。
(注1)ASP・SaaSの情報セキュリティ対策に関する研究会報告書(案)等に係る意見募集の結果(注2)「SaaS向けSLAガイドライン」公表について
(注3)「SaaS向けSLAガイドライン」の29頁参照
(注4)SLAガイドラインへの主要なご意見等及びご意見等に対する考え方
(注5)「情報システムの信頼性向上のための取引慣行・契約に関する研究会」~情報システム・モデル取引・契約書~(パッケージ、SaaS/ASP活用、保守・運用)<追補版>(報告書案)の公表について
| →「知っておきたいIT法律入門」の記事一覧へ |
■北岡 弘章 (きたおか ひろあき)【略歴】 弁護士・弁理士。同志社大学法学部卒業,1997年弁護士登録,2004年弁理士登録。大阪弁護士会所属。企業法務,特にIT・知的財産権といった情報法に関連する業務を行う。最近では個人情報保護,プライバシーマーク取得のためのコンサルティング,営業秘密管理に関連する相談業務や,産学連携,技術系ベンチャーの支援も行っている。 2001~2002年,堺市情報システムセキュリティ懇話会委員,2006年より大阪デジタルコンテンツビジネス創出協議会アドバイザー,情報ネットワーク法学会情報法研究部会「個人情報保護法研究会」所属。 【著書】 「漏洩事件Q&Aに学ぶ 個人情報保護と対策 改訂版」(日経BP社),「人事部のための個人情報保護法」共著(労務行政研究所),「SEのための法律入門」(日経BP社)など。 【ホームページ】 事務所のホームページ(http://www.i-law.jp/)の他に,ブログの「情報法考現学」(http://blog.i-law.jp/)も執筆中。 |
