クラウドサービス利用規約を締結する際の留意点

クラウドサービスは、画一的なサービスを安価に提供するため、サービス提供者とユーザとの契約は、サービス提供者が事前に用意した定型フォームの定型約款(契約条項)が適用されることが多く、ユーザには交渉の機会はありません。
とはいえ、ユーザは、クラウドサービスを利用(=利用規約を締結)する前に、利用規約の内容を確認しておくことは重要です。

利用規約の確認すべきポイントを挙げたいと思います。

ユーザ満足度の向上が期待できるか

サービス提供者が定める利用規約の中には、「いざというときは自身を守りたい」という意識が強くなりすぎて、「一切の責任を負いません」といった免責文言で固められている場合があります。
この場合、障害が起きた時や、ユーザが困った時に、一切の支援を受けられない事態となります。

実際には、こういった利用規約は稀で、障害時や困った時に問合せできる窓口が提供されているかやカスタマーサービスを専門とする部署が設置されている場合がほとんどです。
ユーザ満足度を維持・向上して、継続的にサービスを利用してもらいやいという姿勢があり、困ったときに頼れるカスタマーサービスが、定めれているかを確認することが重要です。

データ利用範囲が約束されているか

クラウドサービスは、ユーザのサービス利用状況をサービス提供者が詳細に把握できるという特徴があります。
どの画面や機能がどの程度利用されているか、どの時間に利用が集中するかといったデータを容易に収集・分析することができます。こういった利用履歴データは、サービス内容の改善や保守に非常に有益な情報であり、サービスに性能向上に繋がります。しかし、ユーザにとっては、利用状況がモニタリングされていることは好ましくはありませんし、扱うデータが個人情報や営業情報にあたるのは、当然です。

したがって、利用履歴や扱うデータが、保守などの必要最低限の範囲を超えてサービス提供者に無断で利用されるようなことがないことが約束されていなければなりません。
サービス提供者による個人情報の取扱いともに、ユーザが入力したデータの管理・利用について規定されているかを、「個人情報の管理」並びに「当社による情報の管理・利用」などの条項で確認しましょう。

別のサービスへのデータ移行は可能か

ユーザが別のサービスに乗り換えようと思った場合、データの抽出、新サービスに適した(あるいは、業界標準の)フォーマットへの変換、新サービスへのデータ投入などの必要な作業について、サービス提供者の協力を得ることが必要です。
また、ユーザの意思によらず、サービス提供者がサービスを閉鎖することもあり得るため、契約終了やデータ移行などの手続きが定められているかについても確認しておきたいところです。

因みに、欧州一般データ保護規則(GDPR)では、利用者がサービス提供者間の移転を容易にし、もってパーソナルデータに対するコントロールを可能にするデータポータビリティの権利を認めており、日本でも令和2年の改正個人保護法にも導入されています。

カスタマイズは、保証範囲を確認してから

クラウドサービスは、サービス提供者が提供するシステムのプログラムの変更をすることなく、設定作業さえすれば、すぐに利用できることがほとんどです。
しかし、開発環境が提供され、ユーザがカスタマイズ開発したソフトウェアを動作させることができる場合があります。
この場合に、ベースとなるクラウドサービスが、バージョンアップしたら、カスタマイズ開発したソフトウェアが動作しなくなる恐れがあります。

サービス提供者が、バージョンアップ時にユーザが開発したカスタマイズ部分に不具合が生じないことを保証することは、ほとんどありません。とはいえ、バージョンアップなどの機能変更を実施する際の手続きや責任の範囲がどのように定めれているかを、予め確認した上で、カスタマイズを実施しなければなりません。

第三者サービスの免責事項に合理性はあるか

クラウドサービス事業者が、すべてのインフラ(ハードウェア、ミドルウェア等)を自らが準備するとは限りません。ユーザが直接操作するアプリケーションを開発するベンダは、ミドルウェアやハードウェアは別の第三者ベンダが提供するものを利用するケースは珍しくありません。

ユーザとしては、どのような第三者サービスが利用されているか、どのようなリスクがあるかを知りえないことがほとんどのため、免責事項に、ミドルウェア(OSやサーバーソフト等)やハードウェア(サーバー機器、ネットワーク機器等)に関する免責条項に合理性があるかを吟味しておく必要があります。

セキュリティ等の相互責任分界点に合理性はあるか

データ管理に関するセキュリティなどについての全責任はサービス提供者にあり、ユーザはその責任はないと思いがちです。
しかし、サービスの設定や操作、データの取扱いによって生じた結果の責任は、ユーザが負わなければならない面もあります。ユーザの設定ミスにより外部からの侵入を容易にしてしまった、ユーザIDの杜撰な管理にためにデータが漏洩した場合は、ユーザが責任を負います。
サービスのソフトウェア自身の不具合やハードウェアの故障によって障害が発生した場合は、サービス提供者が責任を負います。

このような場合に備えて、相互の責任分界点がどのように定められているか、その定めは合理的なのかを確認しておかなければなりません。

投稿者プロフィール

行政書士 尾﨑
行政書士 尾﨑

無料相談

ご相談内容を問い合わせフォームにてお送りください。
メールにて対応いたします。
平日のお問合せには24時間以内に、休日のお問合せには翌営業日中に返信いたします。
【毎月10名様限定 無料相談実施中】

ZOOMを使ったオンラインでのWEB面談の申し込みも承っております。