LegalOn Technologies Engineering Blog

LegalOn Technologies 開発チームによるブログです。

外部サービス利用規約の読み方

※ 本稿で紹介している内容はあくまで参考情報です。実際の場面では、自社の法務担当者や弁護士等の専門家に相談ください。

LegalForceの開発本部長(肩書が固いですが、プロダクトマネジャーをやっています)川戸( @kawato_takashi )です。

今回は外部サービスを利用する場合の特にビジネス観点からの留意点を解説します。外部サービスとは、ここでは一般にオープンソースで提供されているライブラリ等ではなく、商用で提供されているサービスを想定しています。OSSの場合にはGNU-GPL, MIT Licenseなど一般的なライセンスを中心に標準化が進んでいるのに対し、商用ソフトウェアの利用規約は会社やサービスごとにスタンスも文言も様々です。

 

日々複雑化・高度化するソフトウェア開発の世界において、全てを自前で開発することは不可能であり、適切な外部サービスを選定・調達することはソフトウェア開発者にとって必須の知見となっていると考えられます。

サービスを判断する基準として利用規約(英文の場合「Term of Service」「Master Service Agreement」等)は重要です。特に弊社はリーガルテック領域という法律に関する分野で製品を開発していることから、開発者も利用規約を読み込む傾向があります。

そこで本稿では、ある程度のサービス導入などの意思決定に携わるエンジニアを念頭に、私自身の限られた経験から特に重要と思われる点をご紹介します。

説明の方針

大きく3つに分けて下記の順番で説明します。

  • そのサービスを何に使うのか
  • ベンダーは何を約束しているか
  • 契約としての基本要素が揃っているか

まずサービスを利用する目的を明確にすることが重要です。使い方によって発生する問題や想定されるリスクは異なるからです。

続いてベンダーが約束している内容を確認します。利用規約ではベンダーと利用者のそれぞれの権利と義務が記載されています。つまり利用規約に記載されている内容が実際にベンダーが利用者に「約束」している内容です。ベンダーはこれを不特定多数の利用者に向けて約束しているので実際に何が問題かは個別の利用者の状況に依存します。

自社サービスで外部サービスを利用する場合に重要なのは顧客に自社が提供しているサービスや、その条件(多くの場合は自社の利用規約で整理されている)との整合性です。ベンダーの利用規約を読み解くにはそもそも自社の利用規約を熟知していなければなりません。本稿では一般的なB2B SaaS利用規約(というか、実際にはLegalForceの利用規約)を念頭に解説します。読者は自社の利用規約を参照しながら本稿の必要部分を参照することを推奨します。

最後に契約としての基本要素が揃っているかを確認します。契約ではトラブルがあった場合の対応や、取引を終了する場合の条件なども整理しておく必要があります。

そのサービスを何に使うのか

何のために使うのか、は一番重要な部分です。現時点で想定しているユースケースだけではなく、将来的なロードマップも含めて検討するべきです。法務部門等に相談する場合も、こういった利用目的の部分を明確にして相談をすることで、スムーズな議論や、建設的な提案が得られる場合が多いと思われます。特にB2B SaaSを想定すると、典型的に問題になるのは顧客データの処理に用いるか、そして競業避止義務等に抵触しないか、です。

顧客データの処理に用いるか

  • 関連する規定: データ等の取り扱い(英: Protection of Data 等(以下、英文の場合にはたとえばどのようなタイトルの条文に含まれることがあるかを括弧書きで例示しますが、全く違う表記であることもありえます。あくまで参考情報としてご利用ください。また本稿では米国の法令等を踏まえた解説はしておりません。この点もご了承ください。))

たとえば認証・認可プラットフォームやクラウドインフラなどを利用する場合、自社データを外部サービスに渡し、場合によっては当該サービス上で保存する必要があります。

この場合に外部サービスに渡すデータに顧客データ(顧客がサービス上で入力した情報や、顧客のサービス利用ログ等)が含まれるか、そして適切に取り扱われるかが大きな論点になります。顧客データが含まれる場合、自社の顧客に対する利用規約との整合性を検討する必要があります。この点は「データ」という項を別途立てて詳述します。

競争上の問題はないか

  • 関連する規定: 禁止事項(英: Responsibility and Restrictions 等)

将来的に自社で機能開発を行う予定で、短期的に外部サービスを利用したい、というケースもありえます。そのような場合、禁止事項等を確認する必要があります。

サービスによっては、競合する製品を開発する目的でのアクセスを明示的に禁止している場合もあります。どこから「競合」になるかは難しいところですが、コアとなる機能で利用を検討する場合には想定するロードマップも含めて法務部門や、外部の弁護士に相談する方が適切でしょう。

会社のスタンスにもよりますが、事前にベンダーに利用意図を伝えたうえで問題がないかを確認することが望ましいです。

禁止されているユースケースではないか

  • 関連する規定: 禁止事項(英: Responsibility and Restrictions 等)

禁止事項では競争上の問題に加えて、特定の業界や使用方法を禁止しているケースがあります。

例えばCDNサービスの中にはポルノ利用を禁止しているものがあります。またDDoSに当たる行為やスクレイピングを禁止しているサービスもあります。

自社の想定している使い方が禁止事項に該当しないかは利用開始前に確認が必要です。不安がある場合にはこれもベンダーに相談する方が望ましいです。

ベンダーは何を約束しているか

利用規約はベンダーの顧客に対する「約束」です。何が約束されているのかを注意して読み解き、自社でサービスを導入して利用するに際して支障が生じないかを確認することが必要です。

サービスレベルに問題はないか

  • 関連する規定: サービスレベル (英: Availability 等)

利用できなくなった場合の影響がどの程度なのか、にもよります。たとえば認証基盤サービスが落ちた場合、自社サービスの提供は困難になります。

特に重要なサービスを外部から利用する場合には、サービスレベルは確認するべきです。ただし返金等は多くの場合、事業上意味がある金額にはならないので想定されている可用性の数値が何%かや、直近1年間の障害実績等を確認する形になるでしょう。サービスによってはヘルスダッシュボードを公開しているサービスもあり、過去の障害情報を参照することができます。

自社が顧客に対してサービスレベルを約束している場合には、特にこの点の整合性は重要です。

サービスの提供について保証があるか

  • 関連する規定: 保証(英: Warranty 等)

サービスレベルに関する規定がない場合は特にですが、「本サービスは現状有姿で提供され…正確性、信頼性その他一切の保証を行なわない(The Service is provided AS IS without any warranty…)」といった記載がある場合には注意が必要です。

責任分界点はどこか

  • 関連する規定: 顧客の責任(英: Customer Responsibilities 等)

サービスを利用する上でベンダーが責任を負う範囲と、顧客(自社)が責任を負う範囲とを、利用開始前に明確にすることが重要です。利用規約の規定に加えて、各社のセキュリティホワイトペーパーや責任共有モデルに関する説明資料等を参照することが適切です。

他者の知財を侵害する可能性がないか

  • 関連する規定: 保証(英: Warranty 等)

特に海外サービスの場合には「infringement」というキーワードで検索すると見つけられるケースが多いですが、他者の知財を侵害する可能性を規約で排除しているかは重要です。

たとえば画期的なサービスと同様のサービスが安く使える、という場合にはこの知財の問題が発生しえます。自社が利用規約においてこういった特許侵害等に関する規定を設けている場合にはこの点は重要です。外部サービスによる第三者の特許侵害によって自社が顧客に対する義務に違反してしまう可能性があるからです。

もちろん規約があっても権利者から訴訟が提起されるなど、侵害に関して紛争が生じる可能性はあります侵害に関する訴訟が提起される可能性はあります。しかし少なくともベンダー側にこの点について自身の責任を認めているかはトラブルが発生した場合の対応方針に大きな違いになります。ベンダーが自身の責任を否定している場合、ベンダーの責任を追及することはできないからです。

データの取り扱いは適切か

データはどこに保存されるか

  • 関連する規定: データ等の取り扱い(英: Protection of Data 等)

ベンダーは自社のデータを保存するか、その場合に場所はどこになるかを検討する必要があります。国内でサービス展開をしている場合、特に日本国内かどうかが重要になります。たとえば個人情報保護法では、越境移転が規制されています。

たとえば自社のクラウドインフラ上で建てられるサービスを利用する場合、問題は小さくなります。これに対してベンダーが独自に運営しているサービスをAPI等を通じて利用する場合には保存先に関する問題は大きくなります。

特に顧客データを保存する場合にはこの論点は非常に重要です。別途同意の取得を行うなどする必要が発生するでしょう。この問題は直接に顧客が製品上に入力したデータを扱う場合だけではなく、たとえば検索をパーソナライズするためにログを利用する、といった場合にも発生しえます。

ベンダーはデータをどの目的で利用するか

  • 関連する規定: データ等の取り扱い(英: Protection of Data 等) / 秘密保持(英: Confidentiality 等)

ベンダーは自社のデータを保存する場合に、これをサービス提供以外の目的で利用する可能性があるかは注意が必要です。可能性がある場合には、それが自社の利用規約や、個人情報保護法などの関連法令との関係で追加の同意取得等が必要がないかなど、検討が必要になります。

契約としての基本要素が揃っているか

解約条件や手続きは明確か

  • 関連する規定: 解約(英: Termination 等) / 有効期間(英: Term 等)

通常、利用規約には契約期間や更新の条件(通常ソフトウェアのライセンス契約は本契約の場合は放っておけば更新されます)が記載されています。多くの場合はXX日前までに連絡することで更新を拒絶できる、とされていますので、このスケジュールは確認しておくことが望ましいです。

定額かつ年契約のライセンスの場合、解約を忘れると数十~数百万円の支出になる場合もあります。

一般条項は整備されているか

  • 関連する規定: 反社会的勢力の排除(英文該当なし) / 準拠法(英: Goverinig Law; 日本語の場合は記載がない場合も多い) / 合意管轄(英: Jurisdiction 等) / 秘密保持義務(英: Confidentiality 等) / 不可抗力(英: Force Majeure 等) 等

提供しているサービスの利用規約の記載内容が、外形的に明らかに不十分な場合(たとえば国内で運営しているにも関わらず反社会的勢力排除や合意管轄、秘密保持、不可抗力等に関する条項がないなど)は、コンプライアンス体制が不十分である可能性が疑われます。

規約の内容以外では提供元がISO/IEC 27001などの認証を取得しているかも指標になります。この点は自社のセキュリティ部門などと連携して、チェックリスト(そう、セキュリティチェックリストです…)を作成し、記入を依頼するといったアプローチが考えられます。なお、大きなベンダーになるとセキュリティホワイトペーパー等を提供しているケースもありますので、まずはそれを読んで確認する、でもよいでしょう。

まとめ

本稿では特に問題になりやすい点を中心に外部サービス選定のポイントを利用規約を中心にまとめました。規約は長く、細かい字で書かれているため、読みづらいと思ってしまうことも多いと思います。しかし開発チームのリーダーであればオーナーシップを持って理解する必要がある論点が多数埋め込まれています。

利用規約は法的な拘束力を持つ「契約」であり、ビジネスはこうした契約の連鎖として成立しています。今日の話では法律の専門家だけでは知りえない、サービス運営の実態に関する情報が規約や契約の解釈では必要であることも理解いただけたと期待しています。契約は法律家に任せておけば安心!というものではありません。繰り返しますが、開発者がオーナーシップを持って議論をリードする必要があるのです。

株式会社LegalForceではこうした法務や契約の業務を支援するプロダクトを開発・運営しています。また日々上記のような点を議論しながら仕事をしています。これを読んで契約面白い(かも)と思っていただいた方、ぜひ一度お話ししてみませんか?

ということでまたどこかでお会いしましょう!