クラウドサービス(SaaS)の利用契約においてSLAとして規定すべき項目と留意点

IT・情報セキュリティ

 当社では、クラウドサービス(SaaS)の利用を検討しているのですが、クラウドサービス(SaaS)利用契約のSLA(Service Level Agreement)として、どのような項目を規定すればよいのでしょうか。また、SLAを規定する際には、どのような点に留意すればよいのでしょうか。

 SLAの主な項目として、① 通信の暗号化、② 稼働保証、③ 同時アクセス数、④ データのバックアップ、⑤ ログの取得があげられます。しかし、クラウドサービス(SaaS)ごとに重要になる項目が異なりますので、利用するクラウドサービス(SaaS)において、どの項目が重要であるかを検討することが肝要です。
 また、SLAを検討するうえでは、SLAに違反した場合の効果や、免責規定の有無について留意が必要です。

解説

目次

  1. SLAとは
  2. SLAに規定すべき項目
    1. 通信の暗号化
    2. 稼働保証
    3. 同時アクセス数
    4. データのバックアップ
    5. ログの取得
    6. まとめ
  3. SLAに違反した場合の効果、免責条項
  4. まとめ

SLAとは

 近時、クラウドサービス(SaaS)の利用が急速に進んでいます。クラウドサービス(SaaS)の品質に関しては、SLA(Service Level Agreement)が重要になります。SLAとは、提供されるサービスの範囲・内容・前提事項を踏まえたうえで「サービス品質に対する利用者側の要求水準と提供者側の運営ルールについて明文化したもの」をいい、多くの場合、契約文書の一部、または、独立した文書として締結されます 1

SLAに規定すべき項目

 クラウドサービス(SaaS)には様々なものがあり、各クラウドサービス(SaaS)によって重要となるSLAの項目は異なります
 また、クラウドサービス(SaaS)利用契約においては、高いサービスレベルを求めるほど、利用料金が高くなる傾向にあります。
 そのため、利用するクラウドサービス(SaaS)において必要性の高いSLAの項目が何であるかを検討したうえで、重要性の高い項目を中心に、クラウドサービス(SaaS)事業者に対して合意を求めていくことが重要となります。

 この検討を進めるうえでは、情報システム部門が主体となって対応する必要がありますが、SLAは契約内容の一部であることに加えて、SLAの内容は、情報漏えい等の法的リスク、損害賠償の内容等と関連するため、法務部門と連携して進めることが望ましいといえます。

 以下では、SLAの主な項目について、当該項目の内容、および、当該項目が重要となるのはどのようなクラウドサービス(SaaS)であるかについて解説いたします。

通信の暗号化

 クラウドサービス(SaaS)では、インターネットを介してサービスが提供されます。そのため、特に、機密性の高いデータをクラウドサービス(SaaS)事業者との間で送受信するサービスを利用する場合には、通信のセキュリティを確保するために、通信内容を暗号化することをサービス事業者に求める必要性が高いといえます

 ところで、クラウドサービス(SaaS)に対しては、自社で保有するPCやサーバにアクセスしてソフトウェアを利用する場合と異なり、インターネットを介してデータの送受信を行う必要があるために、セキュリティに対する「不安」があると指摘されることがあるようです。

 しかし、現在は、多くの企業が出張先等からアクセスすることができるシステムを採用しています。また、近時、急速に普及したテレワークでは、インターネットを介して自社システムへのアクセスを行っています。

 このように、インターネットを介したデータの送受信は、企業が利用するシステム全般において行われているものであり、クラウドサービス(SaaS)に特有のものではないといえます。

稼働保証

 稼働保証とは、一定の稼働率(「(計画サービス時間-サービス停止時間)÷(計画サービス時間)」)を保証するものです。
 利用したいときに高い確率で利用することができる状態を維持しておくことが重要なクラウドサービス(SaaS)を利用する場合には、稼働保証をクラウドサービス(SaaS)事業者に求める必要性が相対的に高くなります。たとえば、基幹系システムについてクラウドサービス(SaaS)を利用する場合には、稼働保証を求める必要性が相対的に高くなります。

 稼働率の計算方法は様々であるため、稼働保証を定める場合には、稼働率の計算方法に留意する必要があります。たとえば、5分を超えてサービスが停止した場合のみを「サービス停止時間」とし、5分以内のサービスの停止についてはサービスが稼働し続けていたものとして稼働率を計算する場合等があります。

同時アクセス数

 同時アクセス数とは、クラウドサービス(SaaS)に同時にアクセスする人数のことをいい、たとえば、同時アクセス数が100以下の場合には、平均応答時間を5秒以内とする旨の合意をする場合があります。

 多くの利用者が同時にアクセスするクラウドサービス(SaaS)を利用する場合には、同時アクセス数に関する合意をサービス事業者に求める必要性が相対的に高くなります。

データのバックアップ

 データのバックアップ方法についても、クラウドサービス(SaaS)事業者と合意する場合があります。
 バックアップ方法としては、特に、地理的に離れた複数のデータセンタでデータを保管しておけば、地震等の局所的な災害が発生した場合にもデータが失われず、速やかにクラウドサービス(SaaS)の利用を再開できるというメリットがあります。
 そのため、重要なデータや、頻繁に利用するデータを取り扱うクラウドサービス(SaaS)を利用する場合には、地理的に離れた複数のデータセンタでデータのバックアップを行う旨の合意をサービス事業者に求める必要性が相対的に高くなるといえます。

 また、バックアップデータの取得頻度についてサービス事業者と合意する場合があります。
 特に、顧客管理システムのように、更新頻度が高く、かつ、重要なデータを取り扱うサービスでは、バックアップデータの取得頻度についての合意をサービス事業者に求める必要性が相対的に高くなるといえます。

ログの取得

 ログとはアクセス状況等の記録をいいます。ログを取得し、確認することにより、従業員によるクラウドサービス(SaaS)の利用状況(誰が、いつ、クラウドサービス(SaaS)にアクセスし、何の処理を行ったか等)を調べることができます。また、情報漏えいを未然に防いだり、発生してしまった情報漏えいの原因を調査したりするうえでも有益です。

 そのため、従業員による利用状況を確認することが重要であるクラウドサービス(SaaS)や、機密性の高いデータを取り扱うクラウドサービス(SaaS)を利用する場合には、ログに関する合意をサービス事業者に求める必要性が相対的に高くなります。

 また、ログの提供を求める場合には、どのログ(アクセスログ、操作ログ、認証ログ、イベントログ、通信ログ、エラーログ等)の提供を受けるかを明確に定めておくことが重要です

まとめ

 以上の通り、SLAの主な項目と、当該項目のSLAを規定する必要性が相対的に高いクラウドサービス(SaaS)との関係は、以下の通りです。

SLAの主な項目と、当該項目を規定する必要性が高いクラウドサービス(SaaS)

SLAの主な項目 当該項目を規定する必要性が相対的に高いクラウドサービス(SaaS)
通信の暗号化 機密性の高いデータを送受信するクラウドサービス(SaaS)
稼働保証 利用したいときに高い確率で利用することができる状態を維持しておくことが重要なクラウドサービス(SaaS)
同時アクセス数 多くの利用者が同時にアクセスするクラウドサービス(SaaS)
データのバックアップ方法 重要なデータや、頻繁に利用するデータを取り扱うクラウドサービス(SaaS)
バックアップデータの取得頻度 更新頻度が高く、かつ、重要なデータを取り扱うクラウドサービス(SaaS)
ログの取得 従業員による利用状況の確認が重要なクラウドサービス(SaaS)、
機密性の高いデータを取り扱うクラウドサービス(SaaS)

SLAに違反した場合の効果、免責条項

 クラウドサービス(SaaS)利用契約のSLAは、サービス事業者の努力目標として定められることも少なくありません。また、SLAに違反した場合の効果についても、多くの場合、利用料金の減額等に限定されています。

 さらに、免責規定にも留意する必要があります。たとえば、稼働保証の合意をしている場合において、保証されている稼働率を下回ったときであっても、地震、火災等の天災、停電、電気通信事業者が管理する通信回線、通信機器の故障、不具合等が原因で稼働率が保証された値を下回った場合には、クラウドサービス(SaaS)事業者が免責される旨の免責条項が規定されていることがあります。特に、海外の事業者が提供するサービスでは、免責条項が広く規定されている場合が多いため、注意する必要があります。
 このように、SLAについては、違反をした場合の効果、免責条項の有無にも留意する必要があります。

まとめ

 SLAの主な項目としては2で紹介したものがあげられますが、クラウドサービス(SaaS)ごとに重要になる項目が異なりますので、利用するクラウドサービス(SaaS)において、どの項目が重要であるかを検討することが求められます。
 また、SLAの合意の規定内容、違反をした場合の効果、免責条項の有無にも留意する必要があるでしょう。

 クラウドサービス(SaaS)利用契約のSLAにおいては、高いサービスレベルを求めるほど、利用料金が高くなる傾向にありますので、利用するクラウドサービス(SaaS)において必要性の高いSLAの項目を検討したうえで、当該項目を中心に、クラウドサービス(SaaS)事業者に対して合意を求めていくことが重要となります。


  1. 経済産業省「SaaS向けSLAガイドライン」(2008年1月21日)20頁。 ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する