2σ Guide

ソフトウェア使用人数・
CPU数の超過対応

ライセンス超過は追加購入だけで終わりません。契約定義、利用実態、証拠保全、監査対応、会計・内部統制をつなぎ、過大請求と再発を防ぐ実務の流れを整理します。

48時間 初動対応
3原則 契約・証拠・統制
10問 FAQで確認
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

ソフトウェア使用人数・ CPU数の超過対応

ライセンス超過は追加購入だけで終わりません。

動画を読み込み中…
2σ GUIDE ・ VIDEO
ソフトウェア使用人数・ CPU数の超過対応
ライセンス超過は追加購入だけで終わりません。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • ソフトウェア使用人数・ CPU数の超過対応
  • ライセンス超過は追加購入だけで終わりません。

POINT 1

  • ソフトウェア使用人数・CPU数の超過対応の要旨
  • 契約定義、利用実態、証拠、統制の観点から整理します。
  • 契約第一原則
  • 証拠第一原則
  • 統制第一原則

POINT 2

  • ソフトウェア使用人数・CPU数の超過対応と基本用語の定義
  • 契約定義、利用実態、証拠、統制の観点から整理します。
  • 2.1 使用人数
  • 2.2 CPU数、プロセッサー数、コア数、vCPU数
  • 2.3 エンタイトルメント

POINT 3

  • ソフトウェア使用人数・CPU数の超過対応と法的構造― 契約、著作権、監査、内部統制
  • 契約定義、利用実態、証拠、統制の観点から整理します。
  • 3.1 契約法上の問題
  • 3.2 著作権法上の問題
  • 3.3 使用許諾が及ぶ人的範囲

POINT 4

  • ソフトウェア使用人数・CPU数の超過対応とライセンス・メトリックの類型
  • 1. 通知・発見を記録:日時、送信者、対象製品、添付資料を保存します
  • 2. 真正性と契約根拠を確認:公式窓口、通知条項、監査権限を照合します
  • 3. 技術変更の要否を判定:削除、停止、VM移動、ログ削除が証拠保全と矛盾しないか確認します
  • 4. 記録付きで暫定措置:新規発行停止や外部アクセス制限を承認付きで進めます

POINT 5

  • ソフトウェア使用人数・CPU数の超過対応と初動対応― 発見から48時間で行うべきこと
  • 契約定義、利用実態、証拠、統制の観点から整理します。
  • 5.1 初動48時間チェックリスト
  • 5.2やってはいけない初動
  • 5.3 暫定的な技術封じ込め

POINT 6

  • ソフトウェア使用人数・CPU数の超過対応と事実調査の方法
  • 契約定義、利用実態、証拠、統制の観点から整理します。
  • 6.1 契約・権利情報の収集
  • 6.2 使用実態データの収集
  • 6.3 データ正規化

POINT 7

  • ソフトウェア使用人数・CPU数の超過対応と超過判定の実務手順
  • 契約定義、利用実態、証拠、統制の観点から整理します。
  • 7.1 基本算定式
  • 7.2 使用人数の算定
  • 7.3 CPU・コアの算定

POINT 8

  • ソフトウェア使用人数・CPU数の超過対応とベンダー監査への対応
  • 契約定義、利用実態、証拠、統制の観点から整理します。
  • 8.1 監査通知の確認
  • 8.2 ベンダーとのコミュニケーション
  • 8.3 ベンダー算定への反論ポイント

まとめ

  • ソフトウェア使用人数・ CPU数の超過対応
  • ソフトウェア使用人数・CPU数の超過対応の要旨:契約定義、利用実態、証拠、統制の観点から整理します。
  • ソフトウェア使用人数・CPU数の超過対応と基本用語の定義:契約定義、利用実態、証拠、統制の観点から整理します。
  • ソフトウェア使用人数・CPU数の超過対応と法的構造 ― 契約、著作権、監査、内部統制:契約定義、利用実態、証拠、統制の観点から整理します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

ソフトウェア使用人数・CPU数の超過対応の要旨

契約定義、利用実態、証拠、統制の観点から整理します。

次の一覧は、このテーマの判断軸をまとめたものです。読者にとって重要なのは、どこに弱点があるかを早い段階で見つけ、本文の各章で具体的な確認事項へ落とし込むことです。

契約

契約第一原則

超過の有無は契約、注文書、EULA、製品別条件、監査条項、使用権証明で判定します。

証拠

証拠第一原則

利用ログ、台帳、購入権利、構成情報を保全し、推測や口頭説明だけで交渉を始めません。

統制

統制第一原則

購入、導入、ID発行、仮想環境変更、クラウド移行、退職者処理、M&Aまで管理します。

ソフトウェア使用人数・CPU数の超過対応は、単なる「ライセンスを買い足す作業」ではない。企業法務の観点では、契約違反、著作権侵害、監査対応、証拠保全、会計処理、内部統制、レピュテーション、セキュリティ、M&A・組織再編リスクが同時に交差する複合領域である。

実務上の最重要原則は、次の三つである。

  1. 契約第一原則

超過の有無は、一般的な感覚ではなく、契約上のライセンス・メトリック、注文書、製品別規則、監査条項、使用権証明書、サポート規約によって判定される。

  1. 証拠第一原則

ベンダー、監査人、社内IT部門、事業部門のいずれの主張も、証拠化された利用実態と購入権利に基づき検証する必要がある。推測、口頭説明、古い台帳だけで交渉を始めてはならない。

  1. 統制第一原則

超過が発生した後の是正だけでなく、購入、導入、アカウント発行、仮想環境変更、クラウド移行、退職者処理、M&A、外部委託、棚卸しまで含めたソフトウェア資産管理体制を構築しなければ、同じ問題は再発する。

---

Section 01

ソフトウェア使用人数・CPU数の超過対応と問題の所在 ― なぜ「使用人数」と「CPU数」の超過は重大なのか

契約定義、利用実態、証拠、統制の観点から整理します。

企業がソフトウェアを利用する場合、通常は「所有」ではなく「使用許諾」を受けている。したがって、企業はソフトウェアの価値を自由に使えるのではなく、契約で定められた範囲内でのみ利用できる。使用人数が契約数を超えた場合、CPU数・コア数・仮想CPU数が契約範囲を超えた場合、クラウド環境に移行した結果として計算対象が広がった場合、休眠アカウントや委託先アカウントが算入対象になった場合、いずれもライセンス超過の論点が生じ得る。

特に近年は、次の事情によってソフトウェア使用人数・CPU数の超過対応が複雑化している。

  • 従業員、派遣社員、業務委託、外部委託先、海外子会社、取引先、顧客、API利用者、サービスアカウントが混在している。
  • 物理サーバー、仮想サーバー、コンテナ、クラウド、DR環境、テスト環境、バックアップ環境が混在している。
  • CPU単位からコア単位、vCPU単位、PVU、RVU、Named User、Authorized User、Concurrent User、CALなどへメトリックが多様化している。
  • 契約当時の利用条件と現在の製品別ルールが異なる場合がある。
  • ベンダー監査、業界団体からの連絡、内部通報、M&Aデューデリジェンス、会計監査、情報セキュリティ監査を契機に発覚することがある。
  • 仮想化やクラウド移行により、実際に使っている仮想CPU数よりも、物理ホスト全体、クラスタ全体、移行可能範囲全体が問題になる場合がある。

このため、ソフトウェア使用人数・CPU数の超過対応では、「本当に超過しているのか」「どの時点から超過しているのか」「誰が何を根拠に算定しているのか」「どの契約条項に基づいて追加費用が発生するのか」「事業継続を止めずに是正するにはどうすべきか」を、法務・IT・購買・経理・監査が共同で検討する必要がある。

---

Section 02

ソフトウェア使用人数・CPU数の超過対応と基本用語の定義

契約定義、利用実態、証拠、統制の観点から整理します。

2.1 使用人数

このページでいう「使用人数」とは、ソフトウェアのライセンス上、利用権の算定対象となる自然人、アカウント、デバイス、外部ユーザー、またはシステム利用主体の数をいう。単純に「ログインした人数」だけを意味するとは限らない。

たとえば、ある製品では退職者の休眠アカウントが算入されない一方、別の製品では「アクセス権を付与された者」が使用人数として算入されることがある。ある製品では個人だけがユーザーである一方、別の製品ではデバイスや非人間アカウントがユーザーとして扱われることもある。

2.2 CPU数、プロセッサー数、コア数、vCPU数

「CPU数」という表現は、実務上は広い意味で使われる。厳密には、契約によって次のいずれを指すかが異なる。

次の比較表は、この章の項目を列ごとに整理したものです。読者にとって重要なのは、左側の分類と右側の確認事項を対応させ、どの条件や数値を見れば実務判断につながるかを読み取ることです。

用語概要実務上の注意点
CPU中央演算処理装置を指す一般用語契約上は「Processor」「Socket」「Core」と異なる場合がある
Processorベンダー定義上のプロセッサーコア係数、搭載ソケット、稼働サーバー、物理ホスト全体が問題になることがある
Core物理コアまたはライセンス上のコアハイパースレッディング、仮想コア、クラスタ範囲との関係を確認する
vCPU仮想CPU物理コアと同一に扱われるとは限らない
SocketCPUソケット一部製品でStandard Edition系の算定対象になることがある
PVU/VPC/RVUベンダー固有の容量メトリック変換表、ツール要件、サブキャパシティ要件が重要

CPU数の超過対応では、「OS上で見えるCPU数」だけでなく、物理ホスト、クラスタ、仮想化基盤、VM移動可能範囲、クラウドインスタンス、DR環境、テスト環境、コンテナ基盤、サブキャパシティ要件まで確認する必要がある。

2.3 エンタイトルメント

エンタイトルメントとは、企業が契約上保有する使用権をいう。購入した本数、使用権証明書、注文書、サブスクリプション契約、ボリュームライセンス契約、保守契約、移行権、ダウングレード権、アップグレード権、子会社利用権などを含む。

「購入履歴」はエンタイトルメントの一部にすぎない。過去に購入していても、保守失効、契約終了、法人移転、譲渡制限、地域制限、製品変更、サブスクリプション移行によって現在の使用権が変わっていることがある。

2.4 デプロイメントと実使用

デプロイメントとは、ソフトウェアをインストール、展開、配置、実行可能状態にすることをいう。実使用とは、ユーザーやシステムが実際にアクセス、実行、処理、閲覧、API呼び出しを行うことをいう。ライセンス条項によっては、実際に使っていなくても「インストールされている」「アクセス権がある」「稼働可能である」だけでカウントされる場合がある。

2.5 トゥルーアップ

トゥルーアップとは、実際の利用量が契約上の使用権を超えている場合に、契約上または交渉上、追加ライセンスを購入し、差額を調整する手続をいう。トゥルーアップは、契約上予定された定期調整である場合もあれば、監査・交渉の結果として行われる場合もある。

2.6 バックサポート

バックサポートとは、過去に無許諾または超過状態で使用していた期間について、保守・サポート料金を遡及して請求されることをいう。常に当然に発生するわけではなく、契約条項、ベンダーポリシー、交渉、対象製品、超過期間、証拠状況によって異なる。

2.7 SAM/ITAM

SAM(Software Asset Management)はソフトウェア資産管理、ITAM(IT Asset Management)はIT資産管理をいう。ライセンス超過対応では、購入台帳、契約台帳、導入台帳、端末・サーバー台帳、アカウント台帳、仮想基盤情報、クラウド利用情報、監査証跡を結合し、契約上の使用権と実利用を継続的に照合する体制が必要である。ISO/IEC 19770-1:2017はIT資産管理システムの要求事項を定める国際規格であり、全ての種類・規模の組織に適用可能とされている。

---

Section 04

ソフトウェア使用人数・CPU数の超過対応とライセンス・メトリックの類型

契約定義、利用実態、証拠、統制の観点から整理します。

4.1 Named User / Authorized User

Named UserやAuthorized Userは、特定の個人に割り当てられるライセンスである。ここでは、同時利用者数ではなく、アクセス権を持つ個人の数が問題となることが多い。退職者、休職者、異動者、テストユーザー、管理者、閲覧専用ユーザー、共有アカウント、外部委託先、API利用者が含まれるかを確認する。

IBMの一般的なライセンス定義では、Authorized Userはプログラムへのアクセス権を与えられた一意の人であり、直接または間接にアクセスする各Authorized Userについて専用の使用権が必要で、共有や一時的な再割当てはできないと説明されている。これはIBMの例であり、全ベンダーに共通する法則ではないが、ユーザー単位ライセンスの厳密性を理解するうえで参考になる。

4.2 Concurrent User

Concurrent Userは、同時にアクセスしている利用者数を基準とする。ここではピーク同時利用数、セッションの定義、タイムアウト設定、複数端末からの同時ログイン、バッチ処理、API呼び出し、共有アカウントの扱いが重要である。

Concurrent User型では、単に登録ユーザー数が多いだけでは超過とは限らない。一方、ログの取り方が不十分でピーク同時利用数を証明できないと、ベンダー算定に対抗しにくくなる。

4.3 CAL、外部ユーザー、アクセス権

Microsoftのサーバー製品では、CAL(Client Access License)やExternal Connectorが問題となることがある。Microsoftは、CALをサーバーサービスへアクセスする権利であり、User CALはユーザーごと、Device CALはデバイスごとのライセンスであると説明している。また、外部ユーザーについては、各外部ユーザーにCALを取得する方法と、外部ユーザーがアクセスするサーバーごとにExternal Connectorを取得する方法があると説明している。

この類型では、「サーバーにアクセスしている者が誰か」「外部ユーザーか内部ユーザーか」「子会社・関連会社・委託先はどの範囲に含まれるか」「ユーザーCALとデバイスCALのどちらが合理的か」が争点となる。

4.4 Processor / Core / Socket

ProcessorやCore単位のライセンスでは、ソフトウェアが稼働しているサーバー上のプロセッサー、物理コア、ソケット、またはベンダー定義上の計算単位が問題となる。Oracleのライセンス定義では、Processorは対象プログラムがインストールされ、または稼働しているサーバー上のすべてのプロセッサーとして定義され、必要ライセンス数はコア総数にコア係数を乗じ、小数点以下を切り上げるなどの計算が示されている。

一般化すると、Processor/Core型の算定は次のように表現できる。

実務メモ必要ライセンス数 = 契約上対象となるCPU・コア・プロセッサー等の数 × 契約上の係数

ただし、実際には次の確認が不可欠である。

  • 対象が物理サーバーか、仮想サーバーか。
  • 稼働中のみか、インストール済みも含むか。
  • クラスタ全体、移行可能ホスト全体、DRホストを含むか。
  • コア係数、PVU表、VPC定義、最小ライセンス数があるか。
  • Standard EditionとEnterprise Editionでカウント方法が違うか。
  • オプションや管理対象システムのプロセッサーも含むか。
  • コンテナやKubernetes環境で特別ルールがあるか。

4.5 Per CoreとCAL不要モデル

Microsoftは、一部サーバー製品について、Per Coreモデルでは物理OSEでサーバーソフトウェアが稼働する場合にサーバー上の全物理コアをライセンスする必要があり、CALは不要であると説明している. また、Windows Serverのライセンスページでは、Windows ServerはPer Core/CALでライセンスされ、DatacenterとStandardで利用できるOSE数等に違いがあることが説明されている。

このように、同じベンダーでも、ユーザー単位、デバイス単位、コア単位、サーバー単位が併存するため、製品ごとの契約条件を分けて読む必要がある。

4.6 PVU、VPC、サブキャパシティ

IBMのPVUでは、必要なPVU数はプロセッサー技術とプログラムに利用可能とされたプロセッサー数に基づくとされ、プロセッサーは各プロセッサーコアと定義されている。また、Full Capacityではプログラムに利用可能な物理ハードウェア環境の全アクティブコアをカバーする必要があるとされている。

一方、サブキャパシティでは、対象製品をサーバー全体より小さい容量でライセンスできるが、適格仮想化環境、適格製品、IBM License Metric Toolまたは承認済みツールの利用などが要件となる。IBMは、要件不遵守の場合には物理サーバーの全容量で課金されることがあると説明している。

このようなルールは、仮想化環境の超過対応で特に重要である。単に「VMには4 vCPUしか割り当てていない」と主張しても、サブキャパシティ要件を満たしていなければ、物理ホスト全体で算定されるリスクがある。

4.7 オプション、機能、モジュール、間接アクセス

超過は、人数やCPU数だけで発生するわけではない。データベースの圧縮、暗号化、監査、診断、チューニング、分析、レポーティング、API、管理パック、連携モジュール、Webサービス、モバイルアクセス、外部公開機能など、特定機能の有効化によって追加ライセンスが必要になる場合がある。

また、ユーザーが直接ログインしていなくても、アプリケーションサーバー、API、RPA、ETL、BI、データ連携、ID管理基盤を経由して間接的にソフトウェアを利用している場合、間接アクセスとしてカウントされることがある。これは「ログインユーザー数」と「契約上の使用人数」が一致しない典型例である。

---

次の判断の流れは、実務対応の順番を表しています。上から下へ進むほど外部対応や是正に近づくため、前段階の記録や確認を飛ばさないことが重要です。

初動対応の判断の流れ

通知・発見を記録

日時、送信者、対象製品、添付資料を保存します

真正性と契約根拠を確認

公式窓口、通知条項、監査権限を照合します

技術変更の要否を判定

削除、停止、VM移動、ログ削除が証拠保全と矛盾しないか確認します

記録付きで暫定措置

新規発行停止や外部アクセス制限を承認付きで進めます

Section 05

ソフトウェア使用人数・CPU数の超過対応と初動対応 ― 発見から48時間で行うべきこと

契約定義、利用実態、証拠、統制の観点から整理します。

ソフトウェア使用人数・CPU数の超過対応では、初動が結果を左右する。発見直後に不用意な削除、隠蔽、口頭回答、担当者単独交渉、監査ツール実行、無限定なデータ提出を行うと、後の交渉・訴訟・監査で不利になる。

5.1 初動48時間チェックリスト

次の比較表は、この章の項目を列ごとに整理したものです。読者にとって重要なのは、左側の分類と右側の確認事項を対応させ、どの条件や数値を見れば実務判断につながるかを読み取ることです。

項目対応担当
受付記録監査通知、通報、ベンダー連絡、内部報告の日時・送信者・宛先・添付資料を保存する法務・IT
真正性確認ベンダー公式窓口、契約上の通知先、文書形式、署名者、ドメイン、書面送付の有無を確認する法務
対応チーム設置法務、IT、購買、経理、内部監査、セキュリティ、事業部門、外部弁護士を指定する経営・法務
証拠保全契約、注文書、使用権証明、台帳、ログ、VM構成、クラウド設定、メールを保全する法務・IT
口頭回答停止ベンダーへの回答窓口を一本化し、担当者の個別回答を止める法務
技術変更統制証拠を壊すアンインストール、アカウント削除、VM移動、ログ削除を一時停止するIT
事業影響確認該当製品の業務重要度、停止可否、代替手段、SLAを確認するIT・事業部
秘匿特権・機密管理外部弁護士を含む検討資料の配布範囲、件名、保存先を統制する法務
暫定リスク評価想定金額、対象期間、対象法人、重大性、開示・監査対応の要否を評価する法務・経理

5.2 やってはいけない初動

  • 「超過していると思います」と事実確認前に認める。
  • ベンダー指定ツールを法務レビューなしに本番環境で実行する。
  • 不利なデータを隠すためにアカウントやログを削除する。
  • IT担当者だけで監査人と技術的・契約的な議論を進める。
  • 購買担当者が単価交渉として処理し、法的論点を見落とす。
  • 過去の契約書を確認せず、現行ウェブ規約だけで判断する。
  • 子会社、委託先、海外拠点を対象外と決めつける。
  • 「使っていないから問題ない」と、アクセス権やインストール基準のライセンスを無視する。
  • 「仮想CPUだけ見ればよい」と、物理ホスト・クラスタ・サブキャパシティ要件を無視する。

5.3 暫定的な技術封じ込め

超過が疑われる場合、事実調査と並行して、追加超過を防ぐための暫定措置を検討する。たとえば、新規アカウント発行の凍結、未使用アカウントの無効化、外部委託先アクセスの一時制限、不要VMの停止、クラウド自動スケールの制限、ライセンス対象機能の停止、DR環境の稼働条件確認などである。

ただし、これらは証拠保全と矛盾してはならない。削除・停止前に、変更前状態、担当者、日時、理由、承認者、取得ログ、スクリーンショット、設定ファイルを記録する。

---

Section 06

ソフトウェア使用人数・CPU数の超過対応と事実調査の方法

契約定義、利用実態、証拠、統制の観点から整理します。

6.1 契約・権利情報の収集

最初に行うべきは、エンタイトルメントの確定である。次の資料を収集する。

  • 基本契約、マスターライセンス契約、クラウド契約
  • 注文書、見積書、請求書、納品書、契約更新書
  • EULA、製品別利用条件、ライセンス定義集
  • 使用権証明書、PoE、ライセンスキー情報
  • 保守・サポート契約、S&S、Software Assurance
  • ボリュームライセンス契約、EA、ELA、包括契約
  • サブスクリプション契約、更新履歴
  • ダウングレード権、アップグレード権、移行権、コンバージョン権
  • 子会社・関連会社利用条項
  • 外部委託先・再委託先利用条項
  • 仮想化・クラウド・BYOL条項
  • 監査条項、通知条項、準拠法、裁判管轄、仲裁条項
  • M&A、会社分割、事業譲渡、吸収合併に伴う移転書類

この段階では、現在の契約だけでなく、導入時点、更新時点、移行時点、超過疑義期間の各契約を確認する。ベンダー規約は頻繁に改定されるため、どの版が契約に組み込まれていたかを確定することが重要である。

6.2 使用実態データの収集

次に、使用実態を収集する。対象データは、ライセンス・メトリックによって異なる。

次の比較表は、この章の項目を列ごとに整理したものです。読者にとって重要なのは、左側の分類と右側の確認事項を対応させ、どの条件や数値を見れば実務判断につながるかを読み取ることです。

メトリック主な収集データ
Named User / Authorized UserID一覧、ロール、アクセス権、最終ログイン、所属、雇用区分、退職日、委託先情報
Concurrent User同時接続ログ、セッションログ、ピーク利用時間、タイムアウト設定
Device端末台帳、MDM、EDR、SCCM/Intune、インストール検出、資産番号
CALサーバーアクセスログ、AD/Entra ID、端末・ユーザー紐付け、外部アクセス状況
Processor/Core物理ホスト構成、CPU型番、コア数、ソケット数、クラスタ構成、VM割当、DR構成
vCPU/Cloudインスタンスタイプ、vCPU数、起動時間、オートスケール、リージョン、BYOL設定
Feature/Option有効化ログ、設定値、監査ビュー、管理コンソール、機能使用履歴
Indirect AccessAPIログ、連携システム、RPA、ETL、BI、アプリケーションサーバー、データ連携経路

6.3 データ正規化

収集データは、そのままでは使えない。次の正規化が必要である。

  • 同一人物の複数IDを統合する。
  • 退職者、休職者、異動者、委託終了者を区分する。
  • 管理者アカウント、テストアカウント、サービスアカウントを分類する。
  • 共有アカウントの利用実態を補足する。
  • グループ会社、関連会社、外部委託先、顧客、取引先を区分する。
  • 物理CPU、物理コア、vCPU、ソケット、クラスタ単位を区分する。
  • 稼働中、停止中、インストール済み、スタンバイ、DR、バックアップを区分する。
  • ライセンス対象製品と同名だが対象外のコンポーネントを除外する。
  • ベンダーの監査ツール結果を、契約定義に基づき再分類する。

6.4 証拠としての品質管理

調査結果は、交渉や紛争の証拠になる可能性がある。したがって、次の点を記録する。

  • 誰が、いつ、どのツールで、どの範囲を取得したか。
  • 取得時点のタイムゾーン、対象期間、フィルタ条件。
  • 取得データのハッシュ値、保存場所、改変防止措置。
  • 除外・補正・重複排除のロジック。
  • サンプル調査の場合は、サンプル抽出方法と誤差範囲。
  • ベンダーツールと自社ツールの差異。
  • 不明点、推定値、保留事項。

---

Section 07

ソフトウェア使用人数・CPU数の超過対応と超過判定の実務手順

契約定義、利用実態、証拠、統制の観点から整理します。

7.1 基本算定式

最も単純化すれば、超過数は次の式で表される。

実務メモ超過数 = 契約上カウントされる利用量 − 契約上有効な使用権数

しかし、実務上は「契約上カウントされる利用量」と「契約上有効な使用権数」の双方が争点となる。たとえば、退職者アカウントをカウントするか、DR環境をカウントするか、クラスタ全体をカウントするか、子会社保有ライセンスを控除できるか、過去のサポート失効ライセンスを再利用できるかが問題となる。

7.2 使用人数の算定

使用人数の算定では、次の順序で検討する。

  1. 契約上のユーザー定義を確認する。
  2. アクセス権付与者、実ログイン者、同時利用者、登録者のどれが基準か確認する。
  3. 従業員、役員、派遣、契約社員、委託先、取引先、顧客、外部ユーザーを区分する。
  4. 共有アカウント、管理者アカウント、サービスアカウントを扱う。
  5. 退職者、休眠者、削除済みユーザー、ロック済みユーザーを扱う。
  6. グループ会社・海外拠点の利用権を確認する。
  7. 間接アクセス、API、RPA、連携システムを扱う。
  8. カウント基準日または対象期間を特定する。
  9. 除外理由と証拠を記録する。

7.3 CPU・コアの算定

CPU・コアの算定では、次の順序で検討する。

  1. 契約上のメトリックを確認する。
  2. 物理ホスト、VM、クラウド、コンテナのどこが対象か確認する。
  3. 対象製品がインストールまたは稼働している範囲を特定する。
  4. 物理CPU型番、ソケット数、コア数、クラスタ構成を取得する。
  5. コア係数、PVU表、VPC定義、最小数量、切上げ規則を確認する。
  6. 仮想化による限定が契約上有効か確認する。
  7. VM移動可能範囲、DR、HA、バックアップ、テスト環境を確認する。
  8. サブキャパシティ要件、承認済みツール、レポート保存義務を確認する。
  9. ベンダー算定と自社算定の差異を説明できる資料を作成する。

7.4 超過期間の特定

超過金額は、数量だけでなく期間によっても変わる。次の時点を確認する。

  • 初回導入日
  • 追加ユーザー発生日
  • CPU・コア増設日
  • VM移行日
  • クラウド移行日
  • 機能有効化日
  • 委託先アクセス開始日
  • 契約更新日
  • 保守失効日
  • ベンダー監査通知日
  • 是正完了日

過去のログが残っていない場合、変更管理記録、CMDB、クラウド請求データ、ハイパーバイザー履歴、ADログ、メール承認、購買記録、構成管理ツール、バックアップ台帳を使って推定する。

---

Section 08

ソフトウェア使用人数・CPU数の超過対応とベンダー監査への対応

契約定義、利用実態、証拠、統制の観点から整理します。

8.1 監査通知の確認

監査通知を受けたら、次を確認する。

  • 通知元は契約上の監査権者か。
  • 通知方法は契約上有効か。
  • 事前通知期間を満たしているか。
  • 対象法人、製品、期間、地域、環境が明示されているか。
  • 監査人がベンダー社員か第三者か。
  • 秘密保持契約は締結済みか。
  • 個人情報、営業秘密、顧客情報、セキュリティ情報の取扱いが定められているか。
  • 監査ツールの機能、送信データ、セキュリティ、停止リスクを確認したか。
  • 監査頻度、監査時間、業務妨害防止義務が守られているか。

8.2 ベンダーとのコミュニケーション

ベンダー対応では、窓口を法務または法務が指定したPMOに一本化する。IT担当者は技術説明を行うが、法的評価、責任認定、超過認定、支払約束、是正約束を単独で行ってはならない。

初期返信では、次の姿勢が望ましい。

  • 監査通知を受領したことを認める。
  • 契約上の権利義務を確認中であることを伝える。
  • 対象範囲、手順、スケジュール、秘密保持を協議したいと伝える。
  • 調査協力の意思は示すが、超過事実や金額は認めない。
  • データ提出前に、提出範囲、形式、利用目的、保存期間、第三者提供を確認する。

8.3 ベンダー算定への反論ポイント

ベンダーの算定結果に対しては、次の観点で検証する。

  • 契約上対象外の法人、環境、製品が含まれていないか。
  • テスト環境、DR環境、バックアップ環境の扱いが契約と一致しているか。
  • 退職者、無効化ユーザー、休眠アカウントが誤って含まれていないか。
  • 同一人物の複数IDが二重計上されていないか。
  • サービスアカウントやシステムアカウントの扱いが契約と一致しているか。
  • 物理ホスト全体を数える根拠があるか。
  • 仮想化限定、パーティショニング、クラスタ範囲の解釈が正しいか。
  • コア係数、切上げ、最小数量、割引が正しく適用されているか。
  • 過去の購入、保守、移行権、無償利用権、バンドル権が控除されているか。
  • 現在のライセンス規則を過去利用に遡及適用していないか。
  • 監査ツールの誤検知、旧版コンポーネント、未使用ファイルが含まれていないか。

8.4 和解・是正の方向性

超過が確認された場合、解決策は一つではない。一般的には次の選択肢を組み合わせる。

  • 追加ライセンス購入
  • サブスクリプション移行
  • 包括契約・Enterprise Agreementへの移行
  • 不要環境の削除または縮退
  • ユーザー数削減、アカウント整理
  • 機能停止、オプション無効化
  • 過去分の限定的支払
  • サポート遡及の減免交渉
  • 将来の監査頻度制限
  • 是正計画書の提出
  • no admission条項を含む和解
  • NDA、プレス非公開、再発防止義務

重要なのは、「追加購入すれば終わり」ではないという点である。契約上の解釈、対象期間、支払根拠、再監査、将来利用権、保守条件、違反認定の有無を整理しなければ、再度同じ争点が発生する。

---

Section 09

ソフトウェア使用人数・CPU数の超過対応と交渉戦略

契約定義、利用実態、証拠、統制の観点から整理します。

9.1 交渉前の準備

交渉前に、次の資料をそろえる。

  • 自社算定メモ
  • 契約条項マッピング表
  • ベンダー算定との差異表
  • エンタイトルメント台帳
  • 使用実態証拠
  • 除外環境一覧
  • 事業影響評価
  • 想定支払上限
  • 代替製品・移行可能性
  • 将来利用見込み
  • 会計・税務影響
  • 経営承認資料

交渉では、法的に争える点と、商業的に譲歩できる点を分ける。たとえば、過去分の全額支払には争いがあるが、将来の包括契約は受け入れられる場合がある。逆に、短期的には追加購入できても、契約上の違反認定を残すことは避けるべき場合がある。

9.2 争点別の交渉論点

次の比較表は、この章の項目を列ごとに整理したものです。読者にとって重要なのは、左側の分類と右側の確認事項を対応させ、どの条件や数値を見れば実務判断につながるかを読み取ることです。

争点交渉上の論点
対象期間超過開始日、ログ保存期間、時効、契約更新日
対象法人契約主体、子会社、関連会社、吸収合併、事業譲渡
対象環境本番、開発、テスト、DR、バックアップ、クラウド
使用人数実利用、アクセス権、退職者、外部委託、共有ID
CPU数物理ホスト、VM、クラスタ、コア係数、最小数
単価定価、過去割引、包括契約割引、将来契約条件
保守料遡及可否、サポート未提供期間、減免
監査費用契約上の負担条件、超過割合、監査範囲
違約金損害賠償額予定の有無、過大性、適用条件
表明違反認定、故意認定、再発防止義務、秘密保持

9.3 no admission条項

和解書では、可能な限り「本和解は責任または違反の承認を意味しない」とするno admission条項を検討する。これにより、会計・監査・レピュテーション・将来紛争への影響を限定できる。ただし、ベンダーが違反認定を重視する場合や監査条項上の是正義務がある場合には、表現調整が必要である。

9.4 再発防止義務の設計

和解で再発防止義務を負う場合には、義務の範囲を具体化する。

  • 四半期棚卸しを実施する。
  • 新規導入時に法務・購買・ITAM承認を必須化する。
  • 外部委託先アクセスを契約承認制にする。
  • VM移行時にライセンス影響評価を行う。
  • 退職者アカウントを一定期間内に無効化する。
  • 年次でエンタイトルメントと使用実態を照合する。

抽象的に「適切に管理する」とだけ書くと、将来の監査で再び争いになる。実施可能で検証可能な義務に落とし込むべきである。

---

Section 10

ソフトウェア使用人数・CPU数の超過対応と会計・税務・内部統制の観点

契約定義、利用実態、証拠、統制の観点から整理します。

10.1 会計処理

ライセンス超過に伴う支払は、追加ライセンス購入、過去使用料、保守料、和解金、違約金、監査費用、弁護士費用などに分かれる。会計処理は、支払の性質、対象期間、将来経済便益、契約内容、重要性によって異なる。財務諸表に重要な影響がある場合、監査法人との協議が必要である。

10.2 偶発債務・引当

監査通知を受けたが金額が未確定の場合、偶発債務または引当の検討が必要となることがある。可能性、金額の見積可能性、法的主張の強さ、交渉状況、過去事例を整理し、経理・会計監査人と連携する。

10.3 内部統制上の不備

ライセンス超過が発生した原因が、購買承認の不備、アカウント管理の不備、退職者処理の不備、仮想環境変更管理の不備、契約台帳の不備、棚卸し未実施にある場合、内部統制上の不備として評価され得る。特にJ-SOX対象会社では、財務報告への影響と合わせて、統制の設計・運用状況を評価する必要がある。

10.4 税務

追加ライセンス購入費、サブスクリプション費、保守費、和解金、違約金、弁護士費用は、税務上の取扱いが異なる可能性がある。税務処理は契約書・請求書・支払目的・会計処理との整合性が必要であり、税理士または税務担当と連携する。

---

Section 11

11. 予防体制 ― ソフトウェア使用人数・CPU数の超過対応を「事件」にしないために

契約定義、利用実態、証拠、統制の観点から整理します。

11.1 ITAM/SAM統制の基本設計

予防の中心は、ITAM/SAMの管理システムである。CIS Control 2は、ネットワーク上の全ソフトウェアを積極的に管理し、承認されたソフトウェアのみがインストール・実行され、未承認・未管理ソフトウェアが発見・防止される状態を求めている。NISTIR 8060は、SWIDタグがソフトウェア資産管理と情報セキュリティ管理を支援し、信頼性ある標準化されたソフトウェアインベントリや発見手法、SAM報告、継続的監視に寄与すると説明している。

11.2 管理すべき台帳

最低限、次の台帳を整備する。

次の比較表は、この章の項目を列ごとに整理したものです。読者にとって重要なのは、左側の分類と右側の確認事項を対応させ、どの条件や数値を見れば実務判断につながるかを読み取ることです。

台帳管理項目
契約台帳契約名、契約主体、対象製品、数量、メトリック、監査条項、更新日
エンタイトルメント台帳使用権数、PoE、ライセンスキー、保守、移行権、子会社利用権
導入台帳インストール先、バージョン、環境区分、担当部門、導入日
アカウント台帳ユーザー、所属、雇用区分、ロール、開始日、終了日、最終ログイン
サーバー台帳物理ホスト、CPU型番、ソケット、コア、VM、クラスタ、DR
クラウド台帳インスタンス、vCPU、リージョン、BYOL、起動時間、スケール設定
機能台帳有効化されたオプション、モジュール、管理パック、API
例外台帳一時利用、評価版、開発用、PoC、特別承認、棚卸し差異

11.3 購入前チェック

ソフトウェア購入前に、次の質問を必ず行う。

  • 誰が使うのか。
  • 何人が使うのか。
  • 外部委託先、派遣、海外拠点、子会社、顧客は使うのか。
  • どのサーバー、どのクラウド、どの仮想基盤で動くのか。
  • 将来の増員、クラウド移行、M&A、外部公開の予定はあるか。
  • 利用メトリックは人数、デバイス、コア、サーバー、売上、取引量、データ量のどれか。
  • 本番、開発、検証、DR、バックアップはカバーされるか。
  • 監査条項、データ提出義務、違約金、責任制限は適切か。
  • 退職者・異動者・委託終了者のライセンス回収は可能か。
  • 追加購入単価と将来の割引条件は明確か。

11.4 変更管理

ライセンス超過は、購入時よりも変更時に起こる。次の変更にはライセンス影響評価を組み込む。

  • ユーザー追加、部署追加、子会社追加
  • 役職者・管理者権限の追加
  • 外部委託先・再委託先アクセス開始
  • SSO・ID統合
  • サーバー増設、CPU増設、VM増設
  • クラスタ構成変更、VMware/Hyper-V/KVM等の変更
  • クラウド移行、BYOL、リフト&シフト
  • コンテナ化、Kubernetes移行
  • DR環境構築、バックアップ方式変更
  • データ連携、API公開、BI/RPA導入
  • M&A、会社分割、事業譲渡、組織再編

11.5 定期棚卸し

少なくとも年1回、重要製品については四半期ごとに、エンタイトルメントと実使用を照合する。棚卸しはIT部門だけでなく、法務、購買、経理、事業部門が参加する。棚卸し結果には、超過、未使用、休眠、期限切れ、契約不明、証拠不足、是正期限を記録する。

---

Section 12

ソフトウェア使用人数・CPU数の超過対応と契約交渉で入れるべき条項

契約定義、利用実態、証拠、統制の観点から整理します。

新規契約・更新契約では、将来のソフトウェア使用人数・CPU数の超過対応を見据えて、次の条項を交渉する。

12.1 定義条項

  • ユーザー、従業員、契約社員、派遣社員、委託先、外部ユーザーの定義
  • 関連会社、子会社、グループ会社の範囲
  • CPU、Processor、Core、vCPU、Socket、Serverの定義
  • 本番、開発、検証、DR、バックアップ、待機系の定義
  • 直接アクセス、間接アクセス、API、機械アカウントの扱い

12.2 利用範囲条項

  • 関連会社利用の可否
  • 外部委託先利用の可否
  • 在宅勤務、社外利用、海外利用の可否
  • クラウド、仮想化、コンテナ環境での利用可否
  • DR、バックアップ、テスト環境の無償または限定利用
  • M&A、組織再編時の移転・継続利用

12.3 監査条項

  • 監査の事前通知期間
  • 監査頻度の上限
  • 監査対象期間の上限
  • 監査対象製品・法人・環境の明示
  • 監査人の秘密保持義務
  • 監査ツールの事前検証
  • 個人情報・営業秘密・セキュリティ情報の取扱い
  • 監査費用負担条件
  • 是正期間とトゥルーアップ方法
  • 追加購入単価と割引
  • 監査結果に異議を述べる手続
  • 紛争解決中の支払留保

12.4 支払・責任制限条項

  • 過去分の遡及請求期間
  • サポート遡及の有無
  • 遅延損害金
  • 違約金・損害賠償額予定
  • 責任制限
  • 間接損害・特別損害の除外
  • 故意・重過失・知財侵害の例外
  • 秘密保持違反時の救済
  • 契約解除時の利用停止・データ削除

---

Section 13

ソフトウェア使用人数・CPU数の超過対応とM&A・組織再編・クラウド移行での特別論点

契約定義、利用実態、証拠、統制の観点から整理します。

13.1 M&A

M&Aでは、対象会社のライセンス超過が買収後に発覚することがある。デューデリジェンスでは、契約台帳、エンタイトルメント、監査通知履歴、主要製品の導入状況、仮想基盤、クラウド契約、外部委託先アクセス、BSA・ベンダー対応履歴を確認する。

株式譲渡では法人格が維持されるが、親会社変更に伴う契約上の通知義務や支配権変更条項が問題となることがある。事業譲渡や会社分割では、ライセンス移転が禁止またはベンダー承認制となっていることが多い。

13.2 組織再編

合併会社分割、子会社統合、シェアードサービス化では、使用主体と契約主体がずれることがある。ある会社が契約したライセンスを別法人の従業員が利用していないか、関連会社利用権があるか、グループ包括契約の範囲に入っているかを確認する。

13.3 クラウド移行

オンプレミスからクラウドへ移行する場合、既存ライセンスをクラウドで利用できるか、BYOL条件、対象クラウド、専有ホスト要件、vCPU換算、ライセンスモビリティ、地域制限、DR条件を確認する。クラウドではオートスケールにより短時間でCPU数・インスタンス数が増加するため、利用上限やアラート設定が必要である。

---

Section 14

ソフトウェア使用人数・CPU数の超過対応と役割分担

契約定義、利用実態、証拠、統制の観点から整理します。

ソフトウェア使用人数・CPU数の超過対応では、単一部門だけでは十分な対応ができない。

次の比較表は、この章の項目を列ごとに整理したものです。読者にとって重要なのは、左側の分類と右側の確認事項を対応させ、どの条件や数値を見れば実務判断につながるかを読み取ることです。

役割主な責任
経営陣重大性判断、予算承認、対外方針、リスク許容度決定
法務・企業内弁護士契約解釈、監査対応、交渉、証拠保全、外部弁護士管理
外部弁護士法的意見、紛争対応、和解交渉、秘匿特権・訴訟リスク管理
IT資産管理担当台帳、利用量算定、SAMツール、棚卸し
情報システム部門技術構成、ログ取得、アカウント管理、是正作業
情報セキュリティ担当監査ツール安全性、データ持出し、アクセス制御
購買部門契約履歴、価格交渉、発注、更新管理
経理・財務引当、偶発債務、支払処理、予算管理
税務担当・税理士税務処理、損金性、消費税、国外取引
内部監査統制評価、再発防止策の監査
事業部門実利用説明、業務影響、ユーザー整理
デジタルフォレンジック専門家ログ保全、証拠性確保、削除・改変調査

---

Section 15

ソフトウェア使用人数・CPU数の超過対応と実務テンプレート

契約定義、利用実態、証拠、統制の観点から整理します。

15.1 ベンダーへの初動返信文案

実務メモ件名 ― ソフトウェアライセンス監査通知に関する確認

〇〇株式会社
〇〇部 〇〇様

貴社からの〇年〇月〇日付通知を受領いたしました。
当社は、当該通知の内容および当社との契約関係を確認しております。

今後の手続を適切に進めるため、以下の点をご教示ください。

1. 監査の契約上の根拠条項
2. 対象となる契約、製品、法人、拠点、期間
3. 予定される監査手順、スケジュール、提出資料
4. 監査ツールを使用する場合、その仕様、取得データ、送信先、保存期間
5. 秘密情報、個人情報、セキュリティ情報の取扱い
6. 監査結果に対する当社の確認・異議申立て手続

当社は、契約上必要な範囲で合理的に協力する方針です。
なお、本メールは、貴社の主張する超過利用、契約違反、支払義務その他の法的評価を認めるものではありません。

以上

15.2 社内ヒアリング質問票

実務メモ1. 対象ソフトウェアをどの業務で利用していますか。
2. 利用者は従業員、派遣、委託先、取引先、顧客のどれですか。
3. 利用者の登録・削除は誰が承認していますか。
4. 退職者・異動者のアカウント削除は何日以内に行われますか。
5. 共有アカウントはありますか。
6. 管理者アカウント、テストアカウント、サービスアカウントはありますか。
7. 外部システム、RPA、BI、APIからアクセスしていますか。
8. 本番、開発、検証、DR、バックアップ環境のどこにインストールされていますか。
9. 仮想環境、クラウド、コンテナで利用していますか。
10. CPU、コア、vCPU、インスタンス数の変更履歴はありますか。
11. ベンダーまたは代理店から過去に監査・警告・確認依頼を受けたことがありますか。
12. 購入時の見積・契約・注文書・ライセンス証明はどこに保管されていますか。

15.3 エンタイトルメント台帳項目

実務メモ- ベンダー名
- 製品名
- エディション
- バージョン
- 契約番号
- 注文番号
- 契約主体
- 対象法人・関連会社
- 購入数量
- ライセンス・メトリック
- 使用権開始日
- 使用権終了日
- 保守開始日・終了日
- サブスクリプション更新日
- PoE/証明書番号
- ライセンスキー
- ダウングレード権
- アップグレード権
- クラウド利用可否
- 仮想化利用条件
- 監査条項
- 追加購入単価
- 備考

15.4 CPU・仮想化確認表

実務メモ- 物理ホスト名
- CPUベンダー・型番
- ソケット数
- 物理コア数
- ハイパースレッディング有無
- クラスタ名
- VM移動可能範囲
- 対象VM名
- vCPU数
- メモリ
- OS
- 対象ソフトウェアのインストール有無
- 対象ソフトウェアの稼働有無
- DR/HA構成
- バックアップ構成
- クラウドインスタンスタイプ
- 起動期間
- オートスケール設定
- サブキャパシティツール導入有無
- ツールレポート保存有無

---

Section 16

ソフトウェア使用人数・CPU数の超過対応とFAQ

契約定義、利用実態、証拠、統制の観点から整理します。

Q1. 使っていないアカウントも使用人数に入りますか。

契約次第である。実ログイン者だけをカウントする契約もあれば、アクセス権を付与された者をカウントする契約もある。退職者や休眠アカウントがある場合、削除・無効化の証拠、最終ログイン、アカウント状態、契約上の定義を確認する。

Q2. 退職者のライセンスを新入社員に使い回せますか。

契約次第である。Named User型では、恒久的な再割当ては可能でも短期的な共有・ローテーションが禁止される場合がある。再割当てルール、最低保持期間、変更記録を確認する。

Q3. 派遣社員や業務委託先は使用人数に含まれますか。

契約で定義されていればその定義に従う。明示がない場合には、人的帰属、指揮監督、使用目的、業務実態、使用場所、委託関係を踏まえて判断する。経済産業省の準則も、使用許諾の人的範囲について、契約条項と合理的意思解釈を重視している。

Q4. 仮想環境なら、VMに割り当てたvCPUだけを数えればよいですか。

必ずしもそうではない。契約によっては、物理ホスト全体、クラスタ全体、VM移動可能範囲、DR環境、サブキャパシティ要件が問題となる。IBMのサブキャパシティのように、承認済みツールやレポート要件を満たさない場合にフルキャパシティ課金となるリスクもある。

Q5. ベンダー監査ツールはすぐ実行すべきですか。

すぐに実行すべきとは限らない。監査条項、対象範囲、ツール仕様、取得データ、個人情報・機密情報、セキュリティ、停止リスクを確認し、必要に応じて検証環境でテストする。実行前後のログ、設定、取得範囲を記録する。

Q6. 過去分のサポート料は必ず払わなければなりませんか。

契約、サポートポリシー、交渉、超過態様による。サポートを実際に受けていない期間の遡及請求、対象期間、単価、割引、契約上の根拠を確認する。支払う場合でも、和解書で対象期間、対象製品、将来権利、再請求禁止を明確にする。

Q7. 監査通知がメールで来ました。どうすべきですか。

真正性を確認する。送信元ドメイン、署名者、契約上の通知先、書面送付の有無、ベンダー公式窓口への確認を行う。BSA Japanは、BSAを騙る不審メールへの注意を促し、不正使用に関する連絡はメールではなく書面で送付すると説明している。添付ファイルやURLは、確認前に開かない。

Q8. 超過が軽微なら放置してもよいですか。

放置すべきではない。軽微でも、監査時に過去分や関連製品に波及することがある。まず事実を記録し、契約上の是正方法に従い、追加購入、削除、アカウント整理、設定変更を行う。是正記録を残すことが重要である。

Q9. 不正コピーとライセンス超過は同じですか。

同じではない。ライセンス超過には、管理ミス、契約解釈の相違、仮想環境計算の誤り、意図しないアカウント増加などが含まれる。一方、不正コピーは、無許諾複製、海賊版、指定外インストール、キー共有など、より深刻な法的・刑事・信用リスクを伴う場合がある。ただし、ライセンス超過でも、態様によって著作権法上の問題が併発し得る。

Q10. 最も重要な再発防止策は何ですか。

契約台帳、エンタイトルメント台帳、導入台帳、アカウント台帳、サーバー・クラウド台帳を結合し、購入前・変更時・退職時・棚卸し時にライセンス影響評価を行うことである。法務だけ、ITだけ、購買だけでは足りない。ITAM/SAMを内部統制として設計する必要がある。

---

Section 17

ソフトウェア使用人数・CPU数の超過対応と結論

契約定義、利用実態、証拠、統制の観点から整理します。

ソフトウェア使用人数・CPU数の超過対応は、企業法務、IT、会計、監査、購買、セキュリティが交差する高度な実務である。成功する対応は、感情的な反論でも、早急な追加購入でも、単なる台帳整備でもない。契約を読み、証拠を保全し、利用実態を正規化し、算定根拠を検証し、事業継続を守りながら、合理的な是正と交渉を行うことである。

最終的に目指すべき状態は、次のように整理できる。

  • どのソフトウェアを、誰が、どの環境で、どの権利に基づいて利用しているかが説明できる。
  • 使用人数とCPU数の算定根拠を、契約条項と証拠に基づいて提示できる。
  • ベンダー監査に対して、協力しつつも過大請求を検証できる。
  • 追加購入・和解・是正のいずれを選んでも、将来の再発を防げる。
  • M&A、クラウド移行、外部委託、組織再編でも、ライセンス影響評価が組み込まれている。

ソフトウェアは、企業の業務基盤であり、同時に法的リスクの源泉でもある。ソフトウェア使用人数・CPU数の超過対応を「発覚後の火消し」ではなく、「契約・資産・統制・証拠のマネジメント」として捉えることが、企業価値を守る実務上の核心である。

---

次の重要ポイントは、このページの結論を表しています。契約条項、技術情報、台帳、証跡、部門連携を一体で管理することが、単発対応を再発防止へ変える要点です。

契約・資産・統制・証拠のマネジメントとして扱う

契約を読み、証拠を保全し、利用実態を正規化し、算定根拠を検証し、事業継続を守りながら是正と交渉を行うことが核心です。

Reference

ソフトウェア使用人数・CPU数の超過対応の参考資料

法令・公的資料

  • Japanese Law Translation Copyright Act
  • Japanese Law Translation Civil Code
  • 経済産業省「電子商取引及び情報財取引等に関する準則」
  • ISO/IEC 19770-1:2017 Information technology ― IT asset management
  • Center for Internet Security, CIS Critical Security Control 2
  • NISTIR 8060, Guidelines for the Creation of Interoperable Software Identification Tags

ベンダー・業界資料

  • BSA Japan「不正対策」
  • BSA Japan「BSAを騙る不審なメールにご注意ください」
  • Oracle Japan LMS FAQs
  • Oracle License Definitions and Rules Booklet
  • Microsoft Client Access Licenses and Management Licenses
  • Microsoft Windows Server Licensing
  • IBM Passport Advantage Common License Types and Definitions
  • IBM Sub-capacity licensing