2σ Guide

ソフトウェア提供者の
保証と責任制限

契約不適合、SLA、セキュリティ、知財、個人情報、AI、責任上限、条項例まで、企業法務のレビューで確認すべき論点を体系的に整理します。

6項目設計順序
10例条項例
7段階レビュー手順
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

ソフトウェア提供者の 保証と責任制限

契約不適合、SLA、セキュリティ、知財、個人情報、AI、責任上限、条項例まで、企業法務のレビューで確認すべき論点を体系的に整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
ソフトウェア提供者の 保証と責任制限
契約不適合、SLA、セキュリティ、知財、個人情報、AI、責任上限、条項例まで、企業法務のレビューで確認すべき論点を体系的に整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • ソフトウェア提供者の 保証と責任制限
  • 契約不適合、SLA、セキュリティ、知財、個人情報、AI、責任上限、条項例まで、企業法務のレビューで確認すべき論点を体系的に整理します。

POINT 1

  • ソフトウェア提供者の保証と責任制限の全体像
  • 1. 1. 保証対象を明確にする:仕様、性能、可用性、セキュリティ、知財、法令、データを分けます。
  • 2. 2. 保証しない事項を明確にする:現状有姿や絶対保証ではなく、除外事由を具体化します。
  • 3. 3. 一次的救済を定める:修補、再履行、代替提供、サービスクレジット、解除を整理します。
  • 4. 4. 金銭賠償を調整する:対象損害、上限、除外損害、請求期間を確認します。
  • 5. 5. 例外を定める:故意・重過失、秘密保持、個人情報、知財、安全関連損害を検討します。
  • 6. 6. 周辺文書と整合させる:SOW、SLA、DPA、セキュリティ別紙、保守、監査、保険と結び付けます。

POINT 2

  • ソフトウェア提供者の保証と責任制限で使う基本用語
  • 提供者、保証、責任制限、免責の違いを先にそろえると、条項の読み違いを防げます。
  • ソフトウェア提供者
  • 責任制限
  • 典型的な保証の種類

POINT 3

  • ソフトウェア提供者の保証と責任制限を左右する日本法の枠組み
  • ソフトウェアの環境依存性
  • 仕様書にない前提条件が変わるだけで性能や動作が変化します。
  • 非機能要件の曖昧さ

POINT 4

  • ソフトウェア提供者の保証条項をどう設計するか
  • 保証対象を抽象的な品質ではなく、文書、測定方法、除外事由、救済手順に分解します。
  • 仕様適合保証
  • 性能・可用性保証とSLA
  • セキュリティ保証

POINT 5

  • ソフトウェア提供者の責任制限条項をどう設計するか
  • 故意または重過失
  • 中核義務の重大違反や悪質な行為まで一般上限で処理すると、交渉上も解釈上もリスクが高まります。
  • 秘密保持義務違反
  • 営業秘密や機密情報の流出は、通常の修補費用を超える損害を生み得ます。

POINT 6

  • ソフトウェア提供者の保証と責任制限を取引類型別に見る
  • 受託開発、SaaS、パッケージ、保守、AIでは、同じ責任制限でも重視するリスクが異なります。

POINT 7

  • ソフトウェア提供者の保証と責任制限の条項例
  • 条項例は検討の素材です。取引類型、価格、リスク、準拠法、当事者属性に応じた修正が必要です。
  • 仕様適合保証
  • 修補を中心とする救済
  • 黙示保証の限定

POINT 8

  • ソフトウェア提供者の保証と責任制限のチェックリスト
  • 1. 取引類型を特定する:受託開発、準委任、SaaS、パッケージ、保守、AI、データ処理を分け、複合契約は各部分に分解します。
  • 2. 業務重要度を評価する:基幹業務、顧客接点、決済、個人情報、営業秘密、規制業務、安全制御への関係を確認します。
  • 3. 仕様と非機能要件を確認する:機能、可用性、性能、セキュリティ、運用、保守、移行、バックアップ、監査、ログを確認します。
  • 4. 保証条項を確認する:保証対象、期間、条件、除外事由、救済方法を確認し、曖昧な保証や過度な免責を修正します。
  • 5. 責任制限を確認する:責任上限、除外損害、唯一救済、請求期間、例外を確認し、重要リスクに対する不足を検討します。
  • 6. 事故時対応を確認する:障害、情報漏えい、知財侵害、サービス停止、データ喪失、当局対応、顧客説明、移行支援を確認します。
  • 7. 社内承認と記録を残す:受け入れたリスクを、稟議、リスクメモ、取締役会資料、委託先評価記録として残します。

まとめ

  • ソフトウェア提供者の 保証と責任制限
  • ソフトウェア提供者の保証と責任制限の全体像:保証、救済、責任上限、例外を分けて設計すると、品質とリスク配分を説明しやすくなります。
  • ソフトウェア提供者の保証と責任制限で使う基本用語:提供者、保証、責任制限、免責の違いを先にそろえると、条項の読み違いを防げます。
  • ソフトウェア提供者の保証と責任制限を左右する日本法の枠組み:契約自由は出発点ですが、強行法規、消費者保護、個人情報、知財、安全関連責任による限界があります。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

ソフトウェア提供者の保証と責任制限の全体像

保証、救済、責任上限、例外を分けて設計すると、品質とリスク配分を説明しやすくなります。

ソフトウェア提供者の保証と責任制限は、ソフトウェア、SaaS、ライセンス、保守、AIサービスなどで、提供者がどの水準まで責任を負うか、ユーザーがどの救済を受けられるかを整理する中核論点です。このページは日本法を中心とする一般的な情報提供であり、個別案件の法的助言ではありません。実際の条項は、取引類型、対象システムの重要性、当事者の属性、価格、保険、業界規制、交渉力によって調整が必要です。

保証は、仕様、品質、性能、セキュリティ、SLA、知的財産、法令遵守、データやAIの取扱いについて、契約上どこまで約束するかを示します。責任制限は、損害賠償の上限、除外損害、請求期間、一次的救済、第三者サービスやユーザー環境に起因する障害の扱いを定め、負担するリスクを予測可能にする仕組みです。

次の重要ポイントは、保証と責任制限を単なる免責文言ではなく、仕様、SLA、セキュリティ、知財、個人情報、AI、事故対応までつなげて読むための要点を表します。契約レビューの最初に、何を保証し、何を保証せず、どのリスクを上限や例外で扱うのかを読み取ることが重要です。

契約はリスク配分の運用ルールです

適切な条項設計は、提供者だけを守るものでも、ユーザーだけを守るものでもありません。仕様、価格、保守、障害対応、データ管理、紛争解決の前提を明確にし、過大な紛争を予防するための共通ルールになります。

実務では、次の順番で確認すると論点の抜け漏れを減らせます。この判断の流れは、契約書の各条項がどの役割を担うかを示すもので、上から順に確認することで、保証、救済、金銭賠償、例外、周辺条項の整合性を読み取れます。

保証と責任制限を設計する順番

1. 保証対象を明確にする

仕様、性能、可用性、セキュリティ、知財、法令、データを分けます。

2. 保証しない事項を明確にする

現状有姿や絶対保証ではなく、除外事由を具体化します。

3. 一次的救済を定める

修補、再履行、代替提供、サービスクレジット、解除を整理します。

4. 金銭賠償を調整する

対象損害、上限、除外損害、請求期間を確認します。

5. 例外を定める

故意・重過失、秘密保持、個人情報、知財、安全関連損害を検討します。

6. 周辺文書と整合させる

SOW、SLA、DPA、セキュリティ別紙、保守、監査、保険と結び付けます。

Section 01

ソフトウェア提供者の保証と責任制限で使う基本用語

提供者、保証、責任制限、免責の違いを先にそろえると、条項の読み違いを防げます。

ここでいうソフトウェア提供者は、プログラムの販売者だけではありません。受託開発ベンダー、SaaS・ASP・クラウドサービス提供者、パッケージソフトの販売者・ライセンサー、SIer、保守・運用・監視事業者、AIモデルや生成AI関連サービスの提供者、API・SDK・データ基盤の提供者、販売代理店、導入支援事業者、OSSを組み込んだ製品・サービスの提供者を広く含みます。

次の一覧は、基本用語が契約上どの役割を持つかを表します。用語の違いは、どの条項で何を約束し、どこから金銭賠償や免責の問題になるかを判断する土台になるため重要です。特に免責と責任制限の違いを読み取ることで、条項が責任そのものを否定しているのか、金額や範囲を調整しているのかを区別できます。

Provider

ソフトウェア提供者

クラウド、API、データ、AI、外部ライブラリ、保守、サポート、業務プロセスまで含む継続的サービスの担い手として捉えます。納品物の欠陥だけでなく、運用中の品質や事故対応も論点になります。

Warranty

保証

一定の事実、品質、性能、権利関係、法令適合性を契約上約束することです。表明保証、保証、補償、損害賠償、免責が混在しやすいため、役割を分けて書く必要があります。

Limit

責任制限

責任が発生する場合でも、金額、範囲、期間、救済方法、対象損害を契約で制限することです。価格設定、保険、リスク負担、契約交渉の中心になります。

典型的な保証の種類

  • 仕様適合保証 ― 仕様書、提案書、要件定義書、マニュアルへの適合性を扱います。
  • 稼働保証 ― 稼働率、応答時間、処理能力などを扱います。
  • セキュリティ保証 ― 合理的な対策、脆弱性管理、マルウェア非混入などを扱います。
  • 知的財産権非侵害保証著作権、特許権、商標権、営業秘密への侵害リスクを扱います。
  • 法令遵守保証 ― 個人情報保護法、業法、輸出管理、制裁規制などを扱います。
  • データ・AI関連保証 ― 入力データ、出力、モデル更新、学習利用、バイアス、説明可能性を扱います。

責任制限で典型的に定める事項

  • 損害賠償額を契約金額、支払済料金、過去12か月分の利用料などに限定します。
  • 間接損害、特別損害、逸失利益、データ喪失、営業機会喪失などの扱いを整理します。
  • 修補、再履行、代替提供、サービスクレジットを唯一または優先的救済にします。
  • 請求可能期間を検収後、納品後、障害発生日後、契約終了後の一定期間に限定します。
  • 第三者クラウド、通信回線、ユーザー環境、不可抗力などに起因する障害を除外します。
  • 故意・重過失、秘密保持違反、知財侵害、個人情報漏えいなどを上限の例外にします。
用語の分岐免責は責任そのものを負わないとする定めです。責任制限は責任を認めたうえで金額や範囲を限定する定めです。全面免責は交渉で受け入れられにくく、消費者契約では無効リスクが高いため、合理的な保証と合理的な責任制限を組み合わせる設計が重要です。
Section 03

ソフトウェア提供者の保証条項をどう設計するか

保証対象を抽象的な品質ではなく、文書、測定方法、除外事由、救済手順に分解します。

保証条項で最初に確認すべきなのは、何について保証するのかです。抽象的に品質を保証すると書いても、紛争時には判断が難しくなります。仕様書、SOW、注文書、SLA、セキュリティ別紙、DPA、サポートポリシーなど、保証対象ごとに根拠文書を切り分けることが重要です。

次の比較表は、保証対象ごとに参照すべき文書と実務上の注意点を示します。読者にとって重要なのは、保証の対象が広がるほど、測定方法、除外事由、ユーザー側の役割、救済方法も同時に具体化しなければならない点です。

保証対象典型的な文書実務上の注意点
機能仕様書、要件定義書、提案書仕様変更、検収基準、既存システム連携を明記します。
性能SLA、非機能要件表負荷条件、測定方法、除外時間を定めます。
可用性SLA、運用設計書メンテナンス、第三者クラウド障害、不可抗力を定めます。
セキュリティセキュリティポリシー、委託先管理表脆弱性対応、ログ、暗号化、監査を定めます。
知財ライセンス条項、表明保証、補償条項OSS、第三者ライブラリ、特許侵害対応を含めます。
法令遵守個人情報条項、業法条項ユーザー側の利用態様に依存する部分を分けます。
データデータ処理契約、AI条項入力データの適法性、二次利用、学習利用を定めます。
サポートサポートポリシー対応時間、優先度、回避策、エスカレーションを定めます。

仕様適合保証

仕様適合保証は、ソフトウェアが契約で合意された仕様に実質的に適合することを保証する条項です。提案書、営業資料、デモ画面、口頭説明、FAQ、マニュアル、ロードマップ、議事録が仕様に含まれるのかを明確にしなければなりません。適合文書の優先順位、軽微な不具合、ユーザー環境に起因する不具合、第三者API変更、保証期間、修補・回避策・再履行、修補不能時の解除や返金まで定めます。

性能・可用性保証とSLA

SaaSやクラウドでは、稼働率、測定対象サービス、測定期間、除外時間、計画メンテナンス、緊急メンテナンス、第三者クラウドや通信回線、ユーザー操作やAPI利用、サービスクレジット、継続的なSLA未達時の解除権を具体化します。99.9%の稼働率でも、月次か年次か、全ユーザー平均か個別テナント単位か、外部監視か提供者監視かで意味が変わります。

セキュリティ保証

完全に安全という絶対保証は現実的ではありません。合理的な管理策、脆弱性管理、セキュア開発、インシデント対応、通知、監査、ログ保全、暗号化、アクセス制御を具体化します。NIST SSDFやOWASP ASVSのような実務基準を参照し、重大脆弱性の修正期限、SOCレポート、ペネトレーションテスト、サプライチェーン、OSS、SBOMの扱いも整理します。

知的財産権非侵害保証

保証対象を著作権、特許権、商標権、営業秘密のどこまでにするか、日本国内か全世界か、OSSを含むか、ユーザーの指示・仕様・データ・素材に起因する侵害を除外するかを明確にします。侵害申立て時の防御・和解権限、代替品、修正、ライセンス取得、返金、知財補償の上限も設計します。

法令遵守、AI、データ関連保証

提供者は自社の提供・運用・管理について適用法令を遵守し、ユーザーは自己の業務、データ、利用目的、同意取得、業法遵守について責任を負うという分担が基本です。AIサービスでは、出力の正確性、第三者権利侵害、学習データ、入力データ、モデル更新、バイアス、説明可能性、人間による確認、禁止用途、ログ、学習利用の可否を別途条文化します。

次の一覧は、保証条項をレビューするときに見落としやすい調整項目を表します。各項目は、保証を広げるか狭めるかだけでなく、どの文書と手順に接続するかを判断するために重要です。

仕様の範囲

仕様書、注文書、SOW、提案資料、議事録、マニュアルの優先順位を確認します。

保証対象

測定方法

SLA、性能、可用性は、測定期間、測定主体、除外時間を具体化します。

SLA

セキュリティ水準

脆弱性管理、ログ、暗号化、監査、通知期限、当局対応協力を整理します。

事故対応

知財とOSS

第三者ライブラリ、OSS一覧、SBOM、補償対象、除外事由、防御権限を定めます。

知財
AI

AI出力の限界

出力の確率性、利用者確認、人間によるレビュー、禁止用途、学習利用の可否を分けます。

AI
Section 04

ソフトウェア提供者の責任制限条項をどう設計するか

上限、除外損害、唯一救済、請求期間、例外を分けると、過不足のある免責を避けやすくなります。

もっとも典型的な責任制限は損害賠償額の上限です。ただし、上限は低ければよいものではありません。ユーザーにとって重要なシステムで上限が極端に低い場合、契約は締結できても事故時の実質的救済が乏しく、取引全体の信頼性を損ないます。

次の比較表は、責任上限の代表的な設計と適した場面を示します。読者にとって重要なのは、上限の種類ごとに価格、事故規模、契約単位、保険、重要リスクへの対応が異なるため、自社の取引類型に合うかを読み取ることです。

上限設計適した場面注意点
契約金額上限受託開発、単発導入契約範囲が広い場合、過大または過小になり得ます。
支払済金額上限ライセンス、継続契約長期契約初期では上限が低すぎることがあります。
直近12か月分利用料SaaS、サブスクリプション重大事故には不足することがあります。
個別注文書単位の上限複数SOW契約どの注文書に損害が帰属するか争い得ます。
事故類型別上限セキュリティ、知財、秘密保持条項は複雑になりますが実務的です。
保険金額連動高リスク案件保険免責、支払条件、対象範囲の確認が必要です。
無制限重大義務違反、故意・重過失提供者側の受容可能性、価格への反映が必要です。

直接損害、間接損害、特別損害

日本語契約でも直接損害、間接損害、特別損害、逸失利益、結果的損害という表現が使われます。しかし、英米法由来の概念と日本法の通常損害・特別損害の枠組みは完全には一致しません。逸失利益、売上喪失、事業機会喪失、代替サービス利用費、データ復旧費用、営業停止損害、第三者請求、規制当局対応費用、内部調査費用など、除外したい損害を具体的に列挙する必要があります。

唯一の救済と請求期間

SLA違反ではサービスクレジット、パッケージソフトでは修補または交換を唯一の救済とすることがあります。ただし、重大な義務違反、故意・重過失、セキュリティ事故、秘密保持違反、知財侵害にも適用されるのかを確認します。請求期間も、契約不適合、秘密保持、知財、個人情報、セキュリティ、監査、支払義務、補償義務で分けるのが実務的です。

次の一覧は、責任制限の例外として検討されやすい重大リスクを表します。これらは一般の不具合とは損害構造が異なるため、読者は、一般上限から外すのか、別上限を設けるのか、保険や通知協力で補うのかを読み取る必要があります。

故意または重過失

中核義務の重大違反や悪質な行為まで一般上限で処理すると、交渉上も解釈上もリスクが高まります。

秘密保持義務違反

営業秘密や機密情報の流出は、通常の修補費用を超える損害を生み得ます。

個人情報・個人データ事故

当局対応、本人通知、調査、再発防止、顧客説明が必要となるため、一般上限とは分けて検討します。

知的財産権侵害補償

差止め、代替品、ライセンス取得、和解金、防御費用が問題となり、別上限や保険連動が検討されます。

生命・身体・有体物への損害

安全関連ソフトウェアや組込みAIでは、契約上限だけで事故対応や第三者被害を処理できません。

法令上制限できない責任

消費者契約法、強行法規、規制法上の義務に抵触する免責は、そのまま有効とは限りません。

設計の注意責任制限条項は、すべてを無制限にする必要はありません。秘密保持、個人情報、知財について一般上限より高い別上限を設ける設計もあります。重要なのは、どの例外には一般上限が適用されないのかを明示し、契約全体との整合性を取ることです。
Section 05

ソフトウェア提供者の保証と責任制限を取引類型別に見る

受託開発、SaaS、パッケージ、保守、AIでは、同じ責任制限でも重視するリスクが異なります。

ソフトウェア契約は、法律上も実務上も一つの型に収まりません。完成した成果物を納品する取引、継続的にクラウドサービスを提供する取引、保守や運用だけを担う取引、AI出力を利用する取引では、保証と責任制限の焦点が変わります。

次の一覧は、取引類型ごとに重要となる論点を並べたものです。読者にとって重要なのは、同じ責任上限を置いていても、検収、SLA、データ返還、セキュリティ、AI出力など、実際に確認すべき条項が類型ごとに変わる点です。

受託開発契約

成果物の範囲、仕様書の優先順位、検収基準、軽微な不具合、契約不適合責任、協力義務、変更管理、追加費用、納期延長、再委託、著作権帰属、保守移行を整理します。

検収変更管理
S

SaaS・クラウドサービス

稼働率、メンテナンス、サポート時間、障害通知、データ保全、バックアップ、サブプロセッサ、外部クラウド依存、API制限、サービス終了、データ返還を確認します。

SLAデータ返還
P

パッケージ・オンプレミス

対応OS、対応ブラウザ、ハードウェア要件、ユーザー改変、更新条件、EOL、保守終了、ライセンス監査、仮想環境利用、移行支援が問題になります。

環境条件

保守・運用契約

障害対応、問い合わせ対応、監視、パッチ適用、バックアップ、復旧支援、運用手順、変更管理、対象外原因、追加費用、復旧不能時の分担を整理します。

対応時間
AI

AIサービス・生成AI

出力の正確性、権利侵害、個人情報、秘密情報、プロンプト、学習利用、モデル更新、人間によるレビュー、機密情報投入制限、ログ管理を条文化します。

出力確認
類型別の視点受託開発では完成義務の範囲、SaaSでは継続的提供とデータ保全、保守では合意された対応時間と手順、AIでは出力の限界と利用者確認が中心になります。契約類型を形式で決めるだけでなく、各義務を成果保証、努力義務、特定水準のサービス提供義務に分解することが重要です。
Section 06

ソフトウェア提供者の保証と責任制限の条項例

条項例は検討の素材です。取引類型、価格、リスク、準拠法、当事者属性に応じた修正が必要です。

以下は実務検討用の例であり、そのまま使う趣旨ではありません。契約書では、用語定義、注文書、仕様書、SLA、DPA、セキュリティ別紙、サポートポリシー、準拠法、紛争解決との整合性を必ず確認する必要があります。

仕様適合保証

提供者は、本ソフトウェアが、検収完了時点において、注文書、仕様書その他本契約に明示された文書に実質的に適合することを保証する。ただし、軽微な不具合であって本ソフトウェアの通常の利用に重大な支障を及ぼさないもの、ユーザーの利用環境、設定、改変、第三者製品、通信回線または提供者の責めに帰すことのできない事由に起因する不具合については、この限りでない。

修補を中心とする救済

保証期間内に本ソフトウェアの契約不適合が判明し、ユーザーが提供者に対して合理的な詳細を添えて通知した場合、提供者は、自己の費用と責任において、合理的期間内に当該不適合の修補、回避策の提供または代替機能の提供を行うものとする。当該不適合が合理的期間内に是正されず、本ソフトウェアの利用目的を達成できない場合、ユーザーは当該注文書を解除し、既払金の返還を請求できる。

黙示保証の限定

本契約に明示的に定める場合を除き、提供者は、本ソフトウェアについて、特定目的適合性、完全性、無停止性、無誤謬性、第三者サービスとの継続的互換性、ユーザーの特定の業務成果の達成を保証しない。ただし、法令上免責または制限できない責任を除く。

SLAとサービスクレジット

提供者は、別紙SLAに定める稼働率を維持するよう合理的な努力を行う。提供者の責めに帰すべき事由により稼働率がSLAを下回った場合、ユーザーは別紙SLAに定めるサービスクレジットを請求できる。サービスクレジットは、当該SLA未達に関するユーザーの唯一の金銭的救済とする。ただし、故意または重過失、秘密保持義務違反、個人データ漏えい、知的財産権侵害、その他本契約で責任制限の例外とされた事由についてはこの限りでない。

一般的な責任上限

提供者が本契約に関連してユーザーに対して負う損害賠償責任は、債務不履行、不法行為、契約不適合、補償その他請求原因のいかんを問わず、当該損害発生原因となった注文書に基づきユーザーが提供者に対して現実に支払った金額を上限とする。ただし、次条に定める責任制限の例外に該当する場合は、この限りでない。

責任制限の例外

前条の責任制限は、次の各号に起因する責任には適用しない。
(1) 提供者の故意または重過失
(2) 秘密保持義務違反
(3) 提供者の責めに帰すべき個人データの漏えい、滅失または毀損
(4) 第三者の知的財産権侵害に関する補償義務
(5) 生命、身体または有体物に対する損害
(6) 法令上、制限または免除することができない責任

知的財産権侵害補償

第三者が、本ソフトウェアが当該第三者の日本国内における著作権または特許権を侵害すると主張してユーザーに請求を行った場合、提供者は、ユーザーが速やかに提供者へ通知し、防御および和解に必要な合理的協力を行い、提供者が防御および和解を主導することを条件として、当該請求に起因してユーザーが負担する確定判決額または提供者が事前に承認した和解金を補償する。ただし、ユーザーの指示、仕様、素材、データ、改変、組合せ利用、または提供者の指定しない方法による利用に起因する請求を除く。

ユーザーの協力義務

ユーザーは、本契約の履行に必要な情報、資料、データ、既存システム情報、担当者の関与、レビュー、承認、テスト環境を、合理的期間内に提供するものとする。ユーザーの遅延、不正確な情報提供、承認遅延、追加要望または仕様変更により提供者の履行に影響が生じた場合、提供者は納期、費用、責任範囲について合理的な調整を求めることができる。

セキュリティインシデント通知

提供者は、本サービスに関連してユーザーの個人データまたは秘密情報に対する不正アクセス、漏えい、滅失、毀損その他のセキュリティインシデントを認識した場合、法令上許される範囲で、遅滞なくユーザーに通知し、影響範囲、原因、対応状況、再発防止策に関する合理的情報を提供する。提供者は、ユーザーによる当局報告、本人通知、顧客説明、影響調査に合理的に協力する。

AI出力に関する条項

ユーザーは、本AIサービスの出力が確率的処理に基づくものであり、常に正確、完全、最新、適法または特定目的に適合するとは限らないことを理解する。ユーザーは、出力を利用する前に、自己の責任において必要な確認、専門家レビュー、事実確認および法令適合性確認を行うものとする。提供者は、本契約に明示的に定める場合を除き、出力の正確性、完全性、第三者権利非侵害性、特定目的適合性を保証しない。
Section 07

ソフトウェア提供者の保証と責任制限のチェックリスト

提供者、ユーザー、経営層で確認軸を分けると、法務だけでは拾いにくい運用リスクまで見えます。

契約レビューでは、提供者側とユーザー側で見るべきリスクが異なります。さらに、重要システムでは経営層、IT、セキュリティ、内部監査、財務、経営企画も関与し、事業継続、データ、保険、事故時説明責任まで確認する必要があります。

次の一覧は、立場別に確認すべき項目を整理したものです。読者にとって重要なのは、条項文言だけでなく、価格、保険、業務依存度、社内の運用体制と整合しているかを読み取ることです。

Provider

提供者側の確認事項

  • 保証対象が明確に限定されているか。
  • 提案資料や営業説明が無制限の保証として扱われない設計か。
  • 仕様書、SOW、注文書、利用規約の優先順位が明確か。
  • 無停止、完全、全て、いかなる場合もといった過度な表現を避けているか。
  • SLAの測定方法、除外事由、サービスクレジットが明確か。
  • 責任上限が価格、保険、リスクに見合っているか。
  • 知財補償、ユーザー協力義務、第三者サービス、OSS、AI出力の限界を定めているか。
  • B2Cでは消費者契約法上の無効リスクを避けているか。
User

ユーザー側の確認事項

  • 重要な機能が仕様書に明記されているか。
  • 非機能要件、SLA、セキュリティ、バックアップが文書化されているか。
  • 検収基準、軽微な不具合、重大不具合の扱いが明確か。
  • 修補不能時の解除、返金、移行支援があるか。
  • 責任上限が低すぎず、データ復旧費用や規制対応費用が全面除外されていないか。
  • 秘密保持、個人情報、知財、故意・重過失が例外になっているか。
  • サブプロセッサ、越境移転、データ返還・削除、AIレビュー体制を確認できるか。
Governance

経営層・内部統制の確認事項

  • 対象ソフトウェアが事業継続に与える影響を評価しているか。
  • 代替手段、障害時の売上・顧客・規制への影響、データ重要性を把握しているか。
  • ベンダーロックイン、終了時移行、保険、委託先管理記録を確認しているか。
  • セキュリティ評価、価格変更、規約変更、事故時の対外説明体制を確認しているか。

よくある失敗例は、条項が短いから起きるだけではなく、仕様、測定方法、例外、運用文書のつながりが切れているときに発生します。次の一覧では、どの失敗がどの実務リスクに直結するかを読み取ることが重要です。

一切責任を負わないと書く

交渉上の反発を招き、消費者契約では無効リスクが高く、事業者間でも限定解釈される可能性があります。

仕様書がないまま仕様適合保証を置く

要件定義書、SOW、注文書、検収基準、議事録、変更管理記録がなければ機能しません。

間接損害を定義しない

どの損害が除外されるか不明確になります。除外損害は列挙し、必要な例外も設けます。

SLAが測定不能である

稼働率だけでは不十分です。測定方法、除外時間、メンテナンス、第三者障害、請求手続が必要です。

セキュリティ事故を一般上限に押し込む

個人情報漏えい、営業秘密流出、重大脆弱性、不正アクセスは損害構造が異なります。

AI出力を通常の出力と同じに扱う

確率的・文脈依存的であり、正確性、権利侵害、バイアス、説明可能性、モデル更新を別に検討します。

利用規約と個別契約が矛盾する

SaaSでは注文書、DPA、SLA、セキュリティ別紙、サポートポリシーの優先順位を明確にします。

契約レビューは、取引類型の特定から社内承認まで順に進めると、保証と責任制限を孤立した条項として見ずに済みます。次の時系列は、各段階で何を確認し、後の段階でどの判断につなげるかを表しています。

第1段階

取引類型を特定する

受託開発、準委任、SaaS、パッケージ、保守、AI、データ処理を分け、複合契約は各部分に分解します。

第2段階

業務重要度を評価する

基幹業務、顧客接点、決済、個人情報、営業秘密、規制業務、安全制御への関係を確認します。

第3段階

仕様と非機能要件を確認する

機能、可用性、性能、セキュリティ、運用、保守、移行、バックアップ、監査、ログを確認します。

第4段階

保証条項を確認する

保証対象、期間、条件、除外事由、救済方法を確認し、曖昧な保証や過度な免責を修正します。

第5段階

責任制限を確認する

責任上限、除外損害、唯一救済、請求期間、例外を確認し、重要リスクに対する不足を検討します。

第6段階

事故時対応を確認する

障害、情報漏えい、知財侵害、サービス停止、データ喪失、当局対応、顧客説明、移行支援を確認します。

第7段階

社内承認と記録を残す

受け入れたリスクを、稟議、リスクメモ、取締役会資料、委託先評価記録として残します。

Section 08

ソフトウェア提供者の保証と責任制限を部門横断で管理する

交渉バランス、専門職の関与、証拠管理、国際契約の視点まで含めて運用します。

保証と責任制限は、対立的に交渉されがちです。しかし実務上は、提供者側は過度に広い保証や無制限責任を避け、ユーザー側は重要システムについて低すぎる上限、広範な免責、サービスクレジットのみの救済、データ返還なし、セキュリティ通知なし、知財補償なしを慎重に見極める必要があります。

合理的な着地点は、仕様・SLA・セキュリティ水準を明確にし、通常の不具合には修補・再履行を優先し、金銭賠償には合理的な上限を置き、重大リスクには別上限または例外を置き、ユーザーの協力義務と利用責任を明確にし、事故時の手続と証拠保全を定め、価格・保険・運用体制と整合させることです。

次の比較表は、専門職や担当部門ごとの関与ポイントを示します。読者にとって重要なのは、契約レビューを法務だけに閉じず、SLA、セキュリティ、データ、移行、運用、保険を評価できる部門と一緒に確認することです。

専門職・担当主な確認事項
企業内弁護士・法務担当契約全体、責任制限、表明保証、紛争条項、交渉方針
外部弁護士高リスク条項、裁判例、業法、国際契約、紛争対応
契約法務担当SOW、注文書、検収、変更管理、利用規約整合性
知財担当・弁理士著作権、特許、OSS、ライセンス、知財補償
個人情報保護担当DPA、委託先管理、漏えい報告、越境移転
セキュリティ担当脆弱性管理、監査、ログ、暗号化、インシデント対応
内部監査担当委託先管理、証跡、内部統制、リスク評価
経営者・取締役事業継続、重大事故、保険、説明責任、投資判断
公認会計士・監査人IT統制、システム変更管理、財務報告への影響
税理士・会計担当ソフトウェア資産計上、保守費、損害賠償・補償の会計税務
コンサルタント・PMO要件定義、プロジェクト管理、ベンダー評価、運用設計

紛争時に見られる証拠

ソフトウェア紛争では、契約書だけでなく、基本契約書、個別契約・注文書・SOW、提案書、RFP、要件定義書、議事録、課題管理表、変更要求書、メール・チャット、テスト結果、検収書、障害報告書、SLAレポート、インシデント報告書、ログ、ソースコード管理履歴、チケット管理履歴、脆弱性診断結果、セキュリティ監査報告書、稟議書・取締役会資料が確認されます。何が合意され、何が説明され、どの変更が行われ、どちらが遅延原因を作ったかは証拠で判断されます。

国際契約での注意点

英文ソフトウェア契約では、warranty、representation、indemnity、limitation of liability、exclusion of consequential damages、sole remedy、disclaimer of implied warranties などが登場します。日本語に直訳すると概念がずれることがあり、consequential damages や implied warranty の否認は、日本法上の契約不適合責任、消費者契約法、強行法規との関係も検討する必要があります。

海外SaaSを日本企業が利用する場合、責任上限が利用料に限定される意味、データ喪失・業務停止損害が除外される意味、SLA違反時の救済がクレジットだけである意味、個人情報保護法上の委託先管理・越境移転対応、海外裁判・仲裁のリスク、サービス終了時のデータ移行可能性を整理すべきです。

まとめ望ましい契約は、一方が全リスクを負う契約ではありません。ソフトウェアの性質、事業上の重要性、当事者の管理可能性、価格、保険、法令、技術標準に照らして、合理的かつ説明可能なリスク配分を実現する契約です。
Section 09

ソフトウェア提供者の保証と責任制限でよくある質問

一般的な制度説明として整理します。個別契約の結論は、文書と事情により変わります。

一切責任を負わない条項は有効ですか

一般的には、包括的な全部免責は交渉上受け入れられにくく、消費者契約では無効となる可能性があります。ただし、当事者属性、軽過失か故意・重過失か、義務の内容、法令上の制約によって結論が変わる可能性があります。具体的な対応は、契約書、利用規約、取引経緯を整理したうえで弁護士等の専門家へ相談する必要があります。

SLA違反の救済をサービスクレジットだけにできますか

一般的には、SLA未達時の金銭的救済をサービスクレジットに限定する設計は見られます。ただし、故意・重過失、秘密保持義務違反、個人データ漏えい、知財侵害、継続的な重大未達などでは、例外や解除権が問題となる可能性があります。具体的な対応は、対象サービスの重要性、損害規模、SLAの定義を整理したうえで弁護士等の専門家へ相談する必要があります。

セキュリティ事故も通常の責任上限で足りますか

一般的には、個人情報漏えい、営業秘密流出、ランサムウェア、重大脆弱性は、通常の不具合とは損害構造が異なるとされています。ただし、データの性質、委託範囲、安全管理措置、保険、当局対応、顧客説明の有無で判断が変わる可能性があります。具体的な対応は、DPA、セキュリティ別紙、事故対応手順を整理したうえで弁護士等の専門家へ相談する必要があります。

AI出力の正確性を保証できますか

一般的には、生成AIや機械学習モデルの出力は確率的・文脈依存的であり、常に正確、完全、最新、適法、特定目的適合と保証することは慎重に扱われます。ただし、用途、モデル、学習利用、入力データ、専門家レビュー、禁止用途、業界規制によって条項設計は変わります。具体的な対応は、利用目的とリスクを整理したうえで弁護士等の専門家へ相談する必要があります。

Reference

参考資料

法令、行政機関、技術標準、裁判所資料を中心に整理しています。

法令・行政資料

  • e-Gov法令検索「民法」
  • e-Gov法令検索「消費者契約法」
  • e-Gov法令検索「著作権法」
  • 情報処理推進機構(IPA)「情報システム・モデル取引・契約書」
  • 情報処理推進機構(IPA)「非機能要求グレード」
  • 消費者庁「製造物責任法の解説Q&A」
  • 個人情報保護委員会「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A
  • 文化庁「プログラムの著作物の登録」
  • 経済産業省「AIの利用・開発に関する契約チェックリスト」

裁判所資料・技術標準

  • 裁判所ウェブサイト掲載判決「野村ホールディングス株式会社ほか・日本アイ・ビー・エム株式会社関連事件」
  • National Institute of Standards and Technology, Secure Software Development Framework, SP 800-218
  • OWASP Application Security Verification Standard