ベンダーとパートナーの関係を築く際に、契約上の法的リスクはできるだけ事前に回避した上で、サービスの改善という共通の目標に向けた共同作業に専念するのが望ましい。この部分をあいまいにしておくと、余計な火種になる恐れもある。
システム運用をめぐる法律問題に詳しい内田・鮫島法律事務所の松島淳也弁護士は、「クラウドサービスを使うとこれまでにはない法律上のリスクも増えるので、注意が必要だ」と指摘する(別掲記事を参照)。
日本たばこ産業(JT)は日立製作所が所有するプライベートクラウドの利用に関する契約書を策定する際に、「法務部に積極的に協力してもらった」(國枝尊志 IT部次長)という(図1)。
この時、法務部の担当者からは「クラウドサービスは一般に公共性が高いので、試用期間を設けるべきだ。性能や料金については、他社とのベンチマークを通じて常に改善を続けるべき」といったアドバイスを得た。これに基づき、JTは日立から「2年の試用期間を設定したり、価格の妥当性に関して申告してもらったりすることで承諾を得た」と國枝次長は話す。
りそな銀行は、システムの開発と運用を委託するNTTデータと、その配下でプライベートクラウドを提供する富士通の間で交わした契約について、サービスの提供内容や法律関係の内容を事前に協議・確認した。
「ベンダー間の取り決めとはいえ、最終的にアプリケーションとインフラのサービスを受けるのは我々だ。インフラの囲い込みをされたりしないように、サービスの停止条件などを中心にチェックした」と、りそなホールディングスのIT企画部長とりそな銀行の執行役員システム部長を兼務する白鳥哲也氏は話す。
松島 淳也氏
内田・鮫島法律事務所 弁護士
従来のシステム運用で訴訟まで発展するケースは大きく三つある。一つめはオペレーションミスなどに起因するシステム障害により損害が発生した場合。二つめは情報漏洩。三つめはデータ消失で、データセンター事業者が誤って消してしまうケースなどがある。
クラウドサービスでは物理的なサーバーの状況を直接見ることができない。そこにリスクがある。一つめのケースでは、運用現場に乗り込んだ復旧作業ができなくなるので、システム復旧時間が今まで以上に長くなるだろう。その結果、損害額が膨らむことになる。
情報漏洩に関してはベンダーへの立ち入り検査ができないことが多く、リスクが残る。データ消失の場合も消えた原因をベンダーがすべて開示するとは限らない。
それ以外にも、特許権を侵害しているSaaSがあった場合、利用者も特許侵害に問われる恐れがある。そもそも違法行為があってもサービスの提供先の国が明確でなく、どの国の法律が適用されるかわからないという問題もある。
法律問題の解決はこれからだ。ユーザー企業はどのシステムをクラウド上に移行すべきかを十分吟味しなければならない。
