事業継続のためにチェックすべきクラウドサービス(SaaS)利用契約の4つのポイント

IT・情報セキュリティ

 当社では、業務上重要なデータを取り扱うクラウドサービス(SaaS)の利用を検討しています。日々の業務において、また、将来において、事業に支障が生じないようにするためには、クラウドサービス(SaaS)利用契約において、どのような点に留意すればよいのでしょうか。

 日々の業務で事業に支障が生じないようにするためには、クラウドサービス(SaaS)事業者との間で、SLAとして、一定の稼働保証をしてもらうことが望ましいといえます。また、将来において事業に支障が生じないようにするためには、クラウドサービス(SaaS)利用契約を終了する際に、データを、別のクラウドサービス(SaaS)や自社システムへ移行するために、汎用性が高いデータ形式(または、汎用性が高いデータ形式と互換性のあるデータ形式)で受領すること等を、あらかじめ、クラウドサービス(SaaS)利用契約に規定しておくことが重要です。

解説

目次

  1. 日々の業務における事業継続
  2. 将来における事業継続
    1. 契約終了時のデータ受領
    2. クラウドサービス(SaaS)事業者によるサービスの廃止等
    3. データのバックアップ等
  3. まとめ

日々の業務における事業継続

 顧客管理システムやクラウド型ERPシステムのように、業務上重要なデータの取扱いを含むクラウドサービス(SaaS)を利用する場合において、日々の業務で事業に支障が生じないようにするためには、当該サービスが停止しないことが重要となります。

 そのためには、SLA(Service Level Agreement:クラウドサービス(SaaS)に対する利用者側の要求水準と提供者側の運営ルールについて明文化したもの)において稼働保証を求めることが望ましいといえます。稼働保証とは、クラウドサービス(SaaS)事業者が、一定の稼働率を保証するものです。稼働率は、基本的には以下のように計算されます。

(計画サービス時間 − サービス停止時間)÷(計画サービス時間)

 しかし、具体的な稼働率の計算方法には様々なものがあるため、留意が必要です。たとえば、5分を超えてサービスが停止した場合のみを「サービス停止時間」とし、5分以内の停止については稼働し続けていたものとして稼働率を計算する場合等があります(SLAについては、「クラウドサービス(SaaS)の利用契約においてSLAとして規定すべき項目と留意点」をご参照ください)。
 また、保証されている稼働率を下回った場合であっても、地震、火災等の天災、停電、電気通信事業者が管理する通信回線・通信機器の故障・不具合等が原因で稼働率が保証された値を下回ったときには、サービス事業者が免責される旨の免責条項が規定されていることがあります。クラウドサービス(SaaS)はインターネット回線を利用するため、インターネット回線に関する事項について免責規定が設けられることにはやむを得ない面がありますが、過度に免責の範囲が広くなっていないかを確認することが必要だと考えられます。

将来における事業継続

契約終了時のデータ受領

 利用者としては、将来における事業継続の観点から、クラウドサービス(SaaS)利用契約が終了する場合には、クラウドサービス(SaaS)事業者からデータを受領できる旨の条項を規定することが重要です。そして、データの受領を迅速かつ円滑に行うことができるようにするために、データ受領についての条項を、できる限り具体的かつ詳細に規定することが望ましいといえます。

 特に重要なのが、受領するデータのデータ形式です。汎用性が高いデータ形式(または、汎用性が高いデータ形式と互換性のあるデータ形式)でデータを受領することができれば、別のクラウドサービス(SaaS)や自社システムへの移行が容易になります。これに対して、クラウドサービス(SaaS)独自のデータ形式のデータを受領すると、そのような移行が困難となる場合があります。そのため、クラウドサービス(SaaS)を選定する際に、当該クラウドサービス(SaaS)が取り扱うデータ形式が独自のデータ形式であり、当該データ形式でしかデータを受領することができないと思われる場合には、事業継続の観点から、当該クラウドサービス(SaaS)の利用については慎重に検討する必要があります。

 また、データ受領に関しては、データ形式以外に、データの提供方法や、データの提供を受ける際の費用負担についても規定することが望ましいといえます。データの提供を受ける方法としては、サービス事業者のサーバからデータをダウンロードする方法や、記録媒体により受領する方法等があります。また、費用負担については、有償と無償のいずれにするかを規定し、有償とする場合には支払い方法等について規定することとなります。

 さらに、サービス事業者に重要なデータを提供している場合には、情報漏えいを抑止するという観点から、契約終了後に、サービス事業者が当該データを廃棄する旨の規定を設けることが望ましいでしょう。ただ、受領したデータを別のクラウドサービス(SaaS)や自社システムへ移行する際に、何らかの理由でデータが消失してしまうことがあります。そのため、契約終了後、すぐにデータを廃棄するのではなく、一定期間(データの移行をするために必要な期間)はサービス事業者に引き続きデータを保管してもらい、一定期間の経過後に廃棄をする旨を規定することが望ましいといえます。


契約終了時のデータ受領に関する規定内容

データ形式 汎用性が高いデータ形式(または、汎用性が高いデータ形式と互換性のあるデータ形式)でデータを受領し、別のクラウドサービス(SaaS)に乗り換えたり、自社運用に切り替えたりしやすくすることが重要。クラウドサービス(SaaS)によっては、クラウドサービス(SaaS)事業者独自のデータ形式でしかデータを受領できない場合がある点に留意する
データの受領方法 サービス事業者のサーバからデータをダウンロードする方法、記録媒体により受領する方法等
データ受領に関する費用負担 有償または無償、有償の場合には支払い方法等
データの廃棄 情報漏えい抑止の観点からデータの廃棄を規定することが望ましい。その一方で、一定期間(データを移行するために必要な期間)はサービス事業者に引き続きデータを保管してもらうことが望ましい


契約条項例

  • 事業者は、利用者が本サービスにおいて利用する●●データ(以下「●●データ」という。)を、本契約の終了後、速やかに事業者の管理する一切の電磁的記録媒体から削除するものとする。

  • 利用者は、事業者に対して、本契約の終了までに、●●データを以下の条件で提供することを求めることができる。この場合、前項の規定にかかわらず、事業者は、利用者に●●データを提供した日から3か月の間(以下「●●データ保管期間」という。)、●●データを保管するものとし、また、●●データ保管期間の経過後、速やかに●●データを事業者の管理する一切の電磁的記録媒体から削除するものとする。
    (1)料金:●●円
    (2)支払方法:事業者が指定する銀行口座への振込
    (3)ファイル形式:●●
    (4)提供方法:事業者が指定するウェブサイトからダウンロードする方法

クラウドサービス(SaaS)事業者によるサービスの廃止等

 利用者としては、クラウドサービス(SaaS)事業者側の裁量で、いつでも自由にクラウドサービス(SaaS)を廃止することができる規定は設けないほうがよいといえます。しかし、サービス事業者側が、何らかの理由でサービスを継続することができないような場合には、クラウドサービス(SaaS)の提供が終了することはやむを得ない面があります。

 利用者としては、クラウドサービス(SaaS)が終了するのであれば、その後の対応(別のクラウドサービス(SaaS)の利用や自社システムへの切り替え)の検討や準備のために、サービスが終了することをできる限り早く知ることが望ましいといえます。そのため、サービス終了の一定期間前に、サービス事業者が、利用者に通知する旨の規定を設けることが重要です

データのバックアップ等

 業務上重要なデータの取扱いを含むクラウドサービス(SaaS)を利用する場合には、SLAにおいてデータのバックアップ方法について合意することが考えられます。バックアップ方法としては、特に、地理的に離れた複数のデータセンタでデータを保管しておけば、地震等の局所的な災害が発生した場合にもデータが失われず、速やかにクラウドサービス(SaaS)の利用を再開できるというメリットがあります。また、更新頻度が高いデータの場合は、バックアップデータの取得頻度について合意することも有益であるといえます

 さらに、クラウドサービス(SaaS)によっては、クラウドサービス(SaaS)事業者に提供したデータについて、自らバックアップしておくことが有益な場合があります。また、利用者が、サービス事業者に提供したデータについてバックアップを取っておけば、何らかのトラブル(クラウドサービス(SaaS)に利用者が提供したデータとは異なるデータが混入した場合等)が生じた場合に、自社での検証を行いやすくなるという利点もあります。

まとめ

 日々の業務で事業に支障が生じないようにするためには、クラウドサービス(SaaS)事業者との間で、SLAにおいて、一定の稼働保証をしてもらうことが望ましいといえます。稼働保証については、稼働率の計算方法や、免責条項に留意する必要があります。

 また、将来において事業に支障が生じないようにするためには、クラウドサービス(SaaS)利用契約を終了する際に、データを、別のクラウドサービス(SaaS)や自社システムへ移行するために、汎用性が高いデータ形式(または、汎用性が高いデータ形式と互換性のあるデータ形式)で受領すること等について、あらかじめ、クラウドサービス(SaaS)利用契約に規定しておくことが重要です。併せて、SLAとしてクラウドサービス(SaaS)の終了の一定期間前に、サービス事業者が利用者に通知する旨の規定を設けることや、データのバックアップについての合意を規定することも検討する必要があります。

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する