BtoBクラウドの責任分界点—第3回:クラウド利用規約
前回はクラウドサービスの性質やメリット、そしてクラウド事業者と利用者の間の責任分担について解説しました。今回は、クラウドサービスの性質を踏まえたクラウド契約のあるべき姿について解説していきたいと思います。
目次
クラウドの定義と本質
前回のおさらいをすると、「クラウド」とは、①インターネット経由で、②従量課金制で提供される、③ オンデマンドの④ITリソースのことを指します。
各要素をより詳しく説明しますと、
①「インターネット経由」で利用できるということは、クラウドサービスはいつでもクラウド事業者のウェブサイトにアクセスすることで利用できることを意味します
②「従量課金制で提供される」クラウドサービスは、利用した分だけしか料金が発生しません
③「オンデマンド」のクラウドサービスは、必要な時に必要な分だけ利用者の判断で利用できます
④「ITリソース」とは、すべての利用者に対して同一に提供されるストレージや仮想サーバなどのサービスを指します
クラウド契約は、こういったクラウドサービスの性質を踏まえ、前回解説したようなメリットをしっかり活かせるものでなければなりません。クラウド契約のあるべき姿については、著者たちが最も精通しているAWS カスタマーアグリーメント(※)を代表的な例として挙げながら解説しますが、我々が把握している限り、主要なクラウド事業者の契約の間に大きな違いはありません。
※ AWS カスタマーアグリーメントの原文は英語であり、https://aws.amazon.com/agreement/ に掲載されていますが、本記事では カスタマーアグリーメントの参考和訳を参照します。
基本的な概念は、「成果物の納品」ではなく 「サービスの利用」
システムアプリを自前で整備する必要がある、いわゆるオンプレミスの世界やソフトウェアを開発してもらう世界では、ベンダーは、購入者が希望するスペックでシステムアプリを設計・開発します。こういったITの調達では請負契約が活用されるのが一般的ですが、請負契約の基本にあるのは、ベンダーと購入者との間で合意したスペックが契約の中で規定され、ベンダーがそのスペック通りの成果物を設計開発し、購入者がスペックを満たしていることを検収した上で、ベンダーが成果物を納品し、購入者が支払いを行うといったスキームです。
このように請負契約では「成果物の納品」が基本的な概念になりますが、クラウド契約では「サービスの利用」が基本的な概念になります。たとえば、AWS カスタマーアグリーメントの1.1条では
サービス利用者は本契約に従い本サービスにアクセスし利用することができる
旨規定されています。
「成果物」も「納品」もないクラウドサービスの契約に無理矢理請負の概念を当てはめようとすると、クラウド事業者が毎月発行する請求書を 「成果物」とみなし、請求書に対して「検収」が行われた上で、メールによる請求書の送信を「納品」とみなすといった、請負のそもそもの趣旨とはかけ離れた不自然な話になりかねません。
固定されない契約期間
ソフトウェアを開発してもらう場合やオンプレミスのITを購入する場合、ベンダーがいつまでに何を納品するのかを明確にする必要があるため、契約においては 「契約期間」が規定されるのが一般です。
しかし、クラウド契約では「契約期間」を定めることが望ましくありません。 サービスを“いつでも利用できる”というのがクラウドの大きなメリットなので、 サービスを利用することが決まってから契約を締結したり、サービスの利用が終了する時期を想定して契約終了日を設定するのではなく、 効力ある契約が常に存在していることがクラウドでは理想で、クラウドを利用するにあたっての利用者側の便益を最大化することができます。
契約が無期限に存在しうることに懸念を示す利用者がいますが、ここで重要なのは、クラウドサービスはオンデマンドであるため、契約を締結しても、サービスを利用する義務はないということです。利用者の判断としてサービスを利用しなければ、課金されることも契約が適用されることもありません。利用者としては、いつでも必要なサービスが必要に応じて使え、実際に使った分のみ課金されるという状況にあること、そのために基本的な契約に合意しておくことがクラウドを使うベネフィットを最大化するために必要なわけです。
もし、クラウドがいつでも使える状態にある必要もなくなり、当該契約を終了させることが必須なのであれば、たとえばAWS カスタマーアグリーメントの7.2条において
サービス利用者は、アマゾンへの通知……により、理由を問わず本契約を解除することができる
旨規定されているように、 利用者の希望によっていつでも契約が解除できるようにすることが考えられます。
逐一特定されないサービス
ソフトウェア開発やオンプレミスのIT購入に関する契約ではベンダーが何を納品するのかが明確なので、「契約の対象」も成果物の規定という形で明確化されます。しかし、クラウドの世界では継続的に新サービスや新機能が導入されており、それら最新サービス・新機能をいつでも利用できるのがメリットなので、契約の中で「契約の対象」を成果物のようなかたちで特定したり、すべての個別サービスをリスト化して特定することは望ましくありません。
実際問題として、クラウド契約の中でサービスを詳細に特定することは、非現実的かつ非効率的です。たとえば、クラウド事業者の観点からすると、まだ導入されていないサービスを契約内で特定することは現実的ではありません。また、サービス利用者の観点では、クラウドの利用が組織内で浸透するにつれて、利用されるサービスの範囲も広がっていきます。新しいサービスの利用が発生する度に契約を修正し対象サービスを追加していくのは非効率的です。そこで、たとえばAWSカスタマーアグリーメントの第14条では、
『本サービス』とは、……ウェブサービスを含む、アマゾンまたはアマゾンの関連会社が提供する各種サービス
といったかたちでサービス内容を幅広く定義しています。
たまに、利用中のサービスが廃止されると困るという理由から、契約の中でサービスを逐一特定し、サービス提供が継続される確約を希望する利用者がいます。
しかし、この懸念については、クラウド事業者が多数の利用者に同一のサービスを提供しているというクラウドの本質とそれによりもたらされる利用者の便益の最大化へ配慮する必要があります。クラウド事業者からすると、あるお客様にサービス提供の継続を約束してしまうとそのサービスが中断できなくなってしまい、クラウドのメリットである継続的な技術の改善を妨げることになりかねません。それは翻すと、クラウドのメリットである最新技術の提供を受けるという利用者の便益も損なうことになります。
サービスの中断については、サービス提供の継続を求めるのではなく、事前に通知をもらい、その期間に利用者側で技術的にシステム構成を変更することで対応することが実務的にも合理的な利用者側の対応となります。たとえばAWS カスタマーアグリーメントの2.1条では
サービス利用者が使用している本サービスの重要な機能を停止する場合……12ヶ月前までにこの旨サービス利用者に通知する
旨規定されています。
柔軟に変更できる契約
自前でシステムを整備するオンプレミスの世界では、購入者がスペックを特定し、その仕様に規定されるかたちで成果物が納品されます。結果、購入者もベンダーもスペック通りのシステム納品に注目することとなり、通常、契約書の内容は双方の合意がないと変更できない規定になっています。
一方、クラウドでは、最新の技術を取り込んだサービスがいつでも利用できるというメリットがあり、それを可能にしているのは、すべての利用者に対して同一のサービスが提供されているというクラウドの性質です。クラウドサービスは数百万の利用者に対して提供されるためスケールメリットが生み出され、個々では難しい規模の投資が可能になり、継続的に新サービスや新機能がすべての利用者に対して同時に導入され、利用者に還元されるというサイクルが繰り返されます。
クラウドでは利用者ごとにサービスがカスタマイズされないということを反映して、利用条件も個々の利用者ごとに異なる合意をするのではなく、等しく同じ合意が成立すべきということになります。よって、サービスの可用性に関して規定しているService Level Agreementなども、 すべての利用者に対して同一のものが適用されます。
さらに、技術革新のスピードやグローバルに展開するクラウドを取り巻く環境は文字通り日進月歩であり、 利用者のために常に数多くのサービスが生み出されているので、 契約合意時点において、将来どのようなクラウドサービスがどのような条件で提供されることになるのかを事前にすべてを見越して契約で定めることは適しません。したがって、 クラウド契約は、未知のイノベーションの可能性や規制環境の変化を常に考慮して、契約内容を随時変更できる仕組みにする必要があります。たとえばAWS カスタマーアグリーメントでは、12条において
アマゾンは、AWS サイトに改訂版を掲載する……ことにより、本契約……をいつでも変更することができる
旨規定しています。
ここで誤解のないように明確にしておきたいことは、これはあくまでクラウド事業者と利用者間で円滑にサービスの需給ができるよう契約変更できるようにしているということです。実際、IT業界を取り巻く環境は急激に変化しており、それに迅速に対応できるような契約形態を取らないと、サービスの利用を停止せざるを得なくなってしまう可能性があります。
たとえば、2020年の欧州裁判所によるシュレムス II 判決により、EU から米国への個人データの合法的な転送について、クラウド事業者に対しても一定の契約的な対応が求められました。AWSとしてはこの要求にオンラインで標準契約条項 (SCC)を規定することなどにより対応しましたが、各利用者と契約をあらためて交渉再締結する必要なく対応できたのは、各利用者と合意した契約の内容が上記のとおり柔軟性のあるものであったためです。法的環境が変化したにもかかわらずサービスの利用を継続することができたのは、利用者にとってもメリットがあることであり、契約変更の柔軟性が効果を発揮した一例といえます。
コスト最適化のために必要な「従量課金制」
クラウドのメリットとして、多くの利用者はコストの最適化を挙げます。 クラウドでは、 需要がなくなり次第リソースの利用を中止すればよく、利用しなくなったリソースに関しては料金が発生しないからです。
そして、このコスト最適化に欠かせないのは、従量課金制です。
クラウドの世界では、契約合意時点で、将来、どのようなサービスが提供されるようになり、どのサービスを利用することになるのか、分かりません。さらに、クラウド事業者はスケールメリットを活かして継続的に値下げを実施する傾向にあるので、利用者は、契約の再交渉や修正なしに、直ちに効率よく値下げの恩恵を受けられるようにするのが望ましいといえます。
サービスが事前に詳細に特定できずサービスの価格が常に変更される状況を踏まえ、クラウドでは、価格を契約の中で規定するのではなく、クラウド事業者のホームページなどに公開されている価格表を契約内で参照し、利用料をこの価格表と利用された分に基づいて計算します。 たとえば、 AWS カスタマーアグリーメントの5.1条は、
アマゾンは料金等を毎月計算し、請求する。…… サービス利用者は、AWS サイトに記載されるとおり、……サービス……の利用に適用される料金等を……アマゾンに対して支払う
旨規定しています。
もちろん利用者にとっては、クラウド利用によって達成したい目的があり、それを実現するのにかかる費用をある程度見積もらねばビジネスプランがきちんと立てられないでしょう。そこで、各クラウド事業者はサービス毎、場合によっては機能ごとに料金を設定し、想定される利用量をベースに利用料を見積もれるツールをサービスの一環として提供しています。これを活用することで、利用者はサービスの利用開始前に精度が高い見積もりを算定することができるので、従前ではブラックボックス化される傾向にあったITのコストについて、クラウドでは透明性が担保できます。
クラウド事業者と利用者との間の責任の分担
クラウドでは、クラウド事業者が多種多様なかつ同一のサービスを利用者に対して提供し、利用者側でそれらサービスを組み合わせることにより自己のニーズに合ったITを構築していきます。
たとえば、クラウドサービスを利用すれば、家族写真を保存することもできますし、スマホのゲームを配信することもできます。これらは外部から見たら大きく違うITの利用のように見えますが、クラウド事業者からすると、提供しているサービスは同じで、違いはあくまで利用者側でのサービスの利用の仕方によって定まります。
従来ならベンダーの責任でシステムアプリやソフトウェアを設計・開発・運用してもらうことが可能でしたが、クラウドでは利用方法がセルフサービス形式なので、 利用者はサービスの利用に関連して一部の責任を負う必要があります。責任がクラウド事業者と利用者との間で分担されることは「shared responsibility model」と表現され、クラウド事業者と利用者との間の責任の分界点はクラウド契約の中で規定されています。
以下にこの責任の分担についての具体例を挙げていきますが、これはクラウドサービスの利用における各当事者の法律上契約上の責任の明確化のための整理であることに注意が必要です。実務的には、クラウド事業者と利用者がそれぞれ「ここから先はあなたの責任だから何があっても私は知らない」というのではなく、日頃のコミュニケーションなどを通じて、お互いの理解を深めていくことが、クラウドを利用した目的の実現の観点からは大事になってきます。よって、クラウド事業者は積極的に利用者が適切に責任を分担するためにクラウド技術やサービスの発展について学ぶ機会を提供していくべきですし、クラウドを適切円滑に利用するための様々なツールを提供していくべきでしょう。また利用者も最新の技術や規制の動向についてウオッチし、自らがサービスを最大限利用し契約・法令順守をきちんと果たすための研鑽を重ね、真にクラウドを利用したビジネス目的の達成を果たしていくことを心掛けていくべきです。
(ア)データ保護
データ保護に関し、クラウド事業者は利用者に対してデータへの不正アクセスや漏洩を防止するための対策をサービスの提供という形で実施し、利用者はそれらサービスを適切に利用することでデータを保護します。この責任分担は金庫を例に考えると分かりやすいです。金庫製造者は利用者が中に収める貴重品を守るための頑丈な金庫を設計・製造し、利用者は貴重品を収めた金庫に鍵をかける必要があります。
データ保護に関する双方の責任について、AWS カスタマーアグリーメントは、AWS側の責任に関して3.1条で
アマゾンは、サービス利用者コンテンツを、事故による、または違法な、紛失、アクセスまたは開示から保護するためにサービス利用者を支援するよう設計された合理的で適切な対策を実施する
旨規定し、利用者側の責任に関して4.3条で
サービス利用者は……本サービス……を適正に設定および利用し、その他サービス利用者のアカウントおよびサービス利用者コンテンツのセキュリティを確保し、保護し、バックアップするため、 サービス利用者コンテンツを不正アクセスから保護するため暗号化技術を使用すること、および定期的にサービス利用者コンテンツを保存することを含めて、適切なセキュリティおよび保護を備える方法による適切な手段をとることにつき責任を負う
旨規定しています。
利用者が契約上自己に分担される責任を履行するには、サービスを適切に利用することが極めて重要になります。たとえば、 クラウドに保存するデータが漏洩しないようにするためには、データが保存されているフォルダの利用者設定が「公開」 であってはなりません。こういった過ちが起こらないようにするためにはクラウド利用ガイドラインの策定やエンジニアの研修が欠かせなく、クラウドの利用に先立って組織内のガバナンス体制を整備することが必須です。
(イ)可用性
「可用性」とは利用者がシステムやサービスを利用できる能力のことを指しますが、これについても利用者とクラウド事業者の間で責任が分担されます。具体的には、クラウド事業者はサービスを複数のデータセンター群から提供し、利用者はこれら複数のデータセンター群を活用したシステム構築をすることにより、事業継続性などに必要な可用性を確保します。
システム全体の可用性の向上は、たとえば、障害が起こっても機能・稼働を継続できるようあらかじめ予備装置を複数のデータセンターで運用していれば、実現できます。どこまで可用性を上げる必要があるかは利用者のニーズによるので、クラウド事業者としても、利用者が過剰な可用性のために余計なコストをかけなくて済むよう、可用性のニーズに応じて選択できるサービスラインアップを用意しています。
(ウ) 機密保持
通常、機密保持は事業者と利用者との間でNDAを締結することにより担保されますが、クラウドの場合はこれが異なります。
クラウドに保存されるデータ(個人情報を含む)に対するオーナーシップは常に利用者に帰属します。 つまり、データは常に利用者の支配のもとにあり、クラウド事業者がそれを管理することはありません。そして、そのデータに対する機密性は、クラウド事業者がデータを開示しないという約束により担保されます。たとえば AWS カスタマーアグリーメントでは、8.1条で
アマゾンは、本契約に基づきサービス利用者……からサービス利用者コンテンツに関するいかなる権利も取得しない
旨規定しており、3.2条で
アマゾンは……いかなる政府または第三者に対しても、サービス利用者コンテンツを開示せず
旨約束しています。
なお、利用者としては、データの機密保持について契約条項のみに依拠する必要はありません。利用者側でデータを暗号化し、暗号化に利用する鍵を自己管理すれば、データの機密性を技術的に自ら担保することが可能となります。
(エ)法令遵守
クラウドを利用するにあたっての法令遵守の責任は、原則、利用者に分担されます。この概念はたとえばAWS カスタマーアグリーメントの4.2条で
「サービス利用者は……本サービス……の利用が……適用される法律に……違反していないことを保証する」
旨規定されることにより反映されていますが、法令遵守に関しては利用者の事情によって大きく異なるため、クラウド事業者としても責任を利用者に分担せざるを得ない側面があります。
たとえば、利用者の親会社が海外にある場合、日本以外の国の法律が適用されるかもしれません。また、利用者の業界によって適用される法律が異なりますし、金融業界に限っても、定期預金金利の特別キャンぺーンを公開するウェブサイトと勘定系システムの稼働では、遵守すべき法律が異なってきます。
さらに、適用される法律が特定できても、法令遵守はシステム構成に左右されます。個人情報をクラウドに保存する場合、データへのアクセス権を制御し、伝送するデータを暗号化することが適切だと思われますが、これらはクラウド事業者が提供する暗号化などのサービスを利用者が適切に利用することで実行されます。
(オ)利用料・予算管理
従量課金制であるクラウドでは利用したサービスに対する料金を支払う必要があり、利用料と予算の管理の責任は利用者に分担されます。
“いつでも最新のサービスを利用できる” クラウドサービスはとても便利なので、一人のエンジニアが許可なしに何時間もリソースを利用してしまうリスクが孕んでいます。従来のソフトウェア開発やオンプレミスのIT購入であれば契約の中で金額を固定することで予算をコントロールできましたが、 従量課金制であるクラウドでは、利用者側の内部統制の確立やガバナンスを効かせることにより、予算を超えないようサービスの利用を管理する必要があります。
この管理はクラウド事業者が提供するサービスを活用することにより実行できます。たとえば、利用者設定でアクセスを制御することによりリソースを利用できるエンジニアを限定したり、利用量をモニタリングするためのサービスを活用して予算を超えそうになった時点で利用を抑制することなどが考えられます。
技術的な理解・対応が欠かせないクラウド契約
この記事からも分かる通り、クラウドを利用するにあたってのITリスクを軽減するためには、利用者が自らシステムを適切に実装・構築・構成することが必須です。クラウドの適切な利用には社内体制の整備が重要となるため、クラウド契約に関する議論には、実際にクラウドサービスを利用するIT部門が関与することが強く推奨されます。
