2σ Guide

SaaS利用規約の法務設計
定型約款・データ・SLA・AIまで

SaaS利用規約は、利用条件だけでなく、データ、個人情報、セキュリティ、SLA、AI機能、責任制限、契約終了を統合する契約インフラです。企業法務・情報セキュリティ・内部統制の視点で、作成とレビューの要点を整理します。

10 主要レビュー視点
28 代表条項体系
6/12か月 責任上限の例
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

SaaS利用規約の法務設計 定型約款・データ・SLA・AIまで

SaaS 利用規約は、利用条件だけでなく、データ、個人情報、セキュリティ、SLA、AI機能、責任制限、契約終了を統合する契約インフラです。

動画を読み込み中…
2σ GUIDE ・ VIDEO
SaaS利用規約の法務設計 定型約款・データ・SLA・AIまで
SaaS 利用規約は、利用条件だけでなく、データ、個人情報、セキュリティ、SLA、AI機能、責任制限、契約終了を統合する契約インフラです。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • SaaS利用規約の法務設計 定型約款・データ・SLA・AIまで
  • SaaS 利用規約は、利用条件だけでなく、データ、個人情報、セキュリティ、SLA、AI機能、責任制限、契約終了を統合する契約インフラです。

POINT 1

  • SaaS利用規約の全体像とレビュー軸
  • まず、SaaS 利用規約が担う役割と、作成・審査で同時に見るべき論点を整理します。
  • 具体的な対応は、資料を整理したうえで弁護士等の専門家や社内の関係部門へ確認する必要があります。

POINT 2

  • SaaS利用規約とは何か ― 定義・機能・重要性
  • クラウド上の機能利用というSaaSの性質から、売買ではなく継続的な利用許諾・データ処理の契約として整理します。
  • 利用条件と権限
  • 料金・更新・解約
  • データと個人情報

POINT 3

  • SaaS利用規約と定型約款・B2B/B2Cの基本構造
  • 1. 申込導線で規約を見られる:申込画面、注文書、管理画面などで規約へのリンクと同意の記録を残します。
  • 2. 定型約款としての条件を確認:多数利用者に画一的条件で提供する場合、民法上の定型約款として扱われ得ます。
  • 3. 不当条項のリスクを点検:相手方の利益を一方的に害する条項は契約内容にならない可能性があります。
  • 4. 通知・効力日・解約機会を設計:料金、データ利用、SLA低下、AI学習などは個別同意が必要になる場合があります。
  • 5. 周知と履歴管理を維持:リリースノートや改定履歴で透明性を確保します。

POINT 4

  • SaaS利用規約の条項体系と契約運用
  • 1. 申込・同意:申込フォーム送信、提供者の承諾、アカウント発行、注文書締結、利用開始のどれを契約成立時点にするか明確にします。
  • 2. 管理者設定:登録情報、ID・パスワード、管理者権限、ユーザー追加・削除、退職者・異動者、不正アクセス発見時の通知を定めます。
  • 3. 利用権限の範囲

POINT 5

  • SaaS利用規約の核心 ― データ・個人情報・DPA
  • 1. 利用者の業務目的で処理:CRM、HR、会計、MAなどで、利用者の個人データをサービス提供のために処理します。
  • 2. 委託先として整理しやすい:DPAで処理目的、処理期間、安全管理、再委託、国外移転、漏えい時通知、削除・返還を定めます。
  • 3. 第三者提供等を検討:広告、AI学習、独自分析などでは、委託だけで整理できない可能性があります。
  • 4. DPAと監督情報を整備:委託先の選定、契約、取扱状況の把握に必要な情報を提供できるようにします。

POINT 6

  • SaaS利用規約のセキュリティ・SLA・責任共有
  • 提供者と利用者の責任分界、SLA、サービスクレジットを契約に落とし込みます。
  • SaaSを利用すると、サーバ管理やパッチ適用の多くは提供者側に移りますが、利用者側の責任が消えるわけではありません。
  • 内閣サイバーセキュリティセンターの資料も、クラウドサービスの特性や責任分界を理解する必要性を示しています。
  • SaaS利用規約では、提供者と利用者の責任分界を明確にすることが重要です。

POINT 7

  • SaaS利用規約の知財・AI機能・責任制限
  • 入力データ
  • 個人情報や機密情報を入力してよいか、第三者モデルに送信されるか、プロンプト・ログを保存するかを明示します。
  • 学習利用
  • 利用者データをAI学習に使うか、対象データ、停止方法、オプトアウト、初期設定を具体化します。

POINT 8

  • SaaS利用規約の終了・チェックリスト・社内運用
  • 1. 規約オーナーと版管理:規約オーナーを明確にし、改定履歴、旧規約と新規約の適用関係を保存します。
  • 2. 周辺文書の点検:営業資料、ヘルプページ、プライバシーポリシー、DPA、SLA、セキュリティチェックシート回答との矛盾を確認します。
  • 3. 特約と顧客対応:顧客への個別特約を契約管理システムで管理し、改定時には営業・CS・サポートへ周知します。
  • 4. 法改正・監査・利用実態の確認

まとめ

  • SaaS利用規約の法務設計 定型約款・データ・SLA・AIまで
  • SaaS利用規約の全体像とレビュー軸:まず、SaaS 利用規約が担う役割と、作成・審査で同時に見るべき論点を整理します。
  • SaaS利用規約とは何か ― 定義・機能・重要性:クラウド上の機能利用というSaaSの性質から、売買ではなく継続的な利用許諾・データ処理の契約として整理します。
  • SaaS利用規約と定型約款・B2B/B2Cの基本構造:日本法上の契約成立、定型約款、不当条項、B2BとB2Cの違いをまとめます。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

SaaS利用規約の全体像とレビュー軸

まず、SaaS利用規約が担う役割と、作成・審査で同時に見るべき論点を整理します。

この記事は、SaaS利用規約に関する一般的な法務・実務上の論点を整理するものです。実際の作成、改定、交渉、紛争対応では、サービス内容、利用者属性、データの性質、個人情報の取扱い、業法規制、国外展開、販売形態、価格体系、セキュリティ水準などで結論が変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家や社内の関係部門へ確認する必要があります。

SaaS利用規約は、ウェブサイトに載せる約束事にとどまらず、利用条件、責任範囲、料金、データ利用、個人情報、知的財産権、セキュリティ、SLA、解約、紛争解決を統合する契約インフラです。利用者にとっても、自社データ、顧客情報、業務継続、内部統制、監査対応、法令遵守、ベンダーロックイン、事故時の損害回復に直結します。

次の一覧は、SaaS利用規約を読むときに同時に確認すべき10の視点を表しています。複数領域が絡むため、一つでも抜けると導入審査や事故対応で弱点になりやすい点が重要です。左から順に、契約への組込み、利用者保護、B2B実務、データ、クラウド運用、AI、責任制限、終了処理、変更管理、文書の優先順位を読み取ってください。

視点確認すること見落とした場合のリスク
契約・定型約款申込画面、クリック同意、注文書、継続利用により規約が契約内容に組み込まれるか。掲載しただけの規約になり、重要条項の拘束力が争われます。
消費者向け規制消費者契約法、特定商取引法、景品表示法、電子消費者契約法との整合性。全面免責、自動更新、解約制限、表示不足が問題になり得ます。
B2B実務社内規程、委託先管理、監査要件、下請法・独占禁止法との関係。利用者の稟議・内部統制・委託先審査で差し戻されます。
個人情報・DPA委託先監督、第三者提供、越境移転、漏えい等対応、DPAとの整合性。個人情報保護法上の説明・監督・通知が不足します。
クラウド運用責任共有モデル、セキュリティ対策、ログ、バックアップ、SLA、障害対応。停止・漏えい・データ消失時に責任分界が不明確になります。
AI機能入力データ、出力データ、学習利用、権利侵害、説明責任。秘密情報や個人情報の二次利用、誤出力の責任が曖昧になります。
責任制限免責・責任上限が実務上必要な範囲を超えて過度でないか。法務審査で拒否され、B2Cでは無効リスクが生じます。
終了時処理データ返還、削除、移行支援、バックアップの扱い。解約時のベンダーロックインや保存義務違反につながります。
規約改定通知、効力発生日、異議申立て、解約権、重要変更の扱い。一方的変更として信頼や有効性が問題になります。
文書優先順位利用規約、プライバシーポリシー、DPA、SLA、注文書、個別契約の関係。営業資料や別紙との矛盾が紛争時に不利に働きます。
要点SaaS利用規約は、提供者のリスク遮断だけでなく、利用者が安心して導入し、社内承認を取り、監査に耐え、長期利用できるようにする信頼形成文書です。
Section 01

SaaS利用規約とは何か ― 定義・機能・重要性

クラウド上の機能利用というSaaSの性質から、売買ではなく継続的な利用許諾・データ処理の契約として整理します。

SaaSは、Software as a Serviceの略で、利用者がソフトウェアを自社環境にインストールして保有するのではなく、クラウド上で提供されるアプリケーション機能をネットワーク経由で利用する形態です。NISTのクラウド定義でも、利用者は原則としてネットワーク、サーバ、OS、ストレージなどの基盤を管理しないモデルとして説明されています。

この一覧は、SaaS利用規約が担う主要機能を並べたものです。単なる禁止事項集ではなく、サービス提供、データ、料金、品質、終了処理まで契約運用全体を支えるため重要です。各項目から、どの条項が自社サービスの中核リスクに直結するかを読み取ってください。

Use

利用条件と権限

サービス内容、アカウント、ID、管理者権限、利用者範囲、禁止行為、利用停止の根拠を定めます。

Payment

料金・更新・解約

初期費用、月額・年額、従量課金、支払方法、自動更新、途中解約、返金制限、プラン変更を整理します。

Data

データと個人情報

利用者データ、個人情報、機密情報、ログ、統計情報、AI入力・出力、削除・返還の扱いを区別します。

Quality

セキュリティとSLA

安全管理、責任共有、障害通知、保守、復旧目標、サービスクレジット、サポート範囲を契約に落とし込みます。

Rights

知財・ライセンス

SaaS本体、画面、API、ドキュメント、利用者コンテンツ、営業秘密、AI出力の権利関係を定めます。

Risk

責任制限と紛争対応

保証否認、損害賠償範囲、責任上限、準拠法、管轄、ADR、仲裁、終了後の存続条項を設計します。

立場によって悩みは変わる

次の比較表は、SaaS提供者側と利用者側が気にする典型論点を対比しています。双方の関心が違うため、片方の都合だけで条項を強くすると合意形成が難しくなります。左列は提供者が管理したいリスク、右列は利用者が確認したい業務・データ・監査上の条件として読んでください。

提供者側の主な悩み利用者側の主な悩み
どこまで免責できるか、無料・有料プランや法人・個人で規約を分けるべきか。自社データの所有権・利用権が守られ、勝手な分析・学習・第三者提供がないか。
利用規約、注文書、個別契約、SLA、DPAの優先順位をどう定めるか。個人情報の委託先管理、再委託先、国外移転、サブプロセッサーを把握できるか。
利用者データをサービス改善、統計分析、AI学習に使えるか。障害時の復旧目標、連絡方法、補償、ログ、証跡、レポート取得が明確か。
障害発生時の損害賠償責任をどこまで限定できるか。解約時にデータを返還・エクスポート・削除でき、規約が一方的に変わらないか。
禁止行為違反時の即時停止、海外利用者向けの準拠法・管轄、セキュリティ情報の公開範囲。利用停止やアカウント削除の条件が広すぎず、自社の顧客・取引先への責任と整合するか。

SaaSは勤怠、会計、人事、CRM、電子契約、文書管理、チャット、データ分析、EC、決済、マーケティング、生成AIなど企業活動の中核に入り込んでいます。導入時には問題が見えなくても、障害、漏えい、解約、紛争の段階で利用規約の弱点が大きな損失として顕在化します。

Section 02

SaaS利用規約と定型約款・B2B/B2Cの基本構造

日本法上の契約成立、定型約款、不当条項、B2BとB2Cの違いをまとめます。

SaaS利用規約は、契約書に署名押印しない場合でも、申込画面、クリック同意、注文書、利用開始、継続利用などにより契約内容を構成することがあります。ただし、ウェブサイトに掲載しているだけで当然に拘束されるとは限らず、利用者が認識できる導線、同意取得、申込画面の表示、重要条項の明示、変更通知が重要です。

次の判断の流れは、SaaS利用規約を契約内容として機能させるための確認順序を示しています。組込み、定型約款、重要条項、変更手続は連続して検討する必要があるため重要です。上から順に進み、利用者にとって不意打ちになりやすい条項ほど表示と通知を厚くする、と読み取ってください。

SaaS利用規約の有効な組込みを確認する順序

申込導線で規約を見られる

申込画面、注文書、管理画面などで規約へのリンクと同意の記録を残します。

定型約款としての条件を確認

多数利用者に画一的条件で提供する場合、民法上の定型約款として扱われ得ます。

不当条項のリスクを点検

相手方の利益を一方的に害する条項は契約内容にならない可能性があります。

重要変更あり
通知・効力日・解約機会を設計

料金、データ利用、SLA低下、AI学習などは個別同意が必要になる場合があります。

軽微変更中心
周知と履歴管理を維持

リリースノートや改定履歴で透明性を確保します。

不当条項として問題になりやすい例

次の一覧は、提供者側に有利に見えても、信義則や利用者保護の観点で争点になりやすい条項を整理しています。B2Cでは特に問題化しやすく、B2Bでも交渉力格差や不意打ちがある場合には注意が必要です。各行から、条項の強さと合理的な補正の必要性を読み取ってください。

無理由停止

提供者がいつでも無理由でサービスを停止できる条項は、業務継続への影響が大きくなります。

無制限な料金変更

効力発生日、通知期間、更新時適用の有無がない料金変更は、利用者の予算管理を害します。

データの広範な自由利用

利用者データを統計分析、AI学習、広告、第三者提供に使う場合は、目的と手続を分ける必要があります。

完全免責

すべての損害について完全に免責する条項は、消費者契約法や実務交渉で問題になり得ます。

返金の全面否定

解約や重大変更があっても一切返金しない設計は、有料SaaSでは対価との均衡が争われます。

異議機会の欠如

規約変更に異議・解約の機会がない場合、定型約款変更の合理性を支えにくくなります。

B2B SaaSとB2C SaaSを分けて考える

次の比較表は、法人向けと消費者向けで重視される法務設計の違いを表しています。同じSaaSでも販売先と課金方法により規制・表示・交渉の重みが変わるため重要です。左側はB2Bで文書間調整が厚くなる点、右側はB2Cで消費者保護と申込表示が強く働く点として読んでください。

区分主な文書・論点特に注意すること
B2B SaaS注文書、個別契約、見積書、SLA、DPA、セキュリティ資料、秘密保持契約優先順位、管理者権限、監査対応、再委託、事業継続、反社会的勢力排除、輸出管理、制裁対応。
B2C SaaS消費者契約法、特定商取引法、電子消費者契約法、資金決済法、景品表示法、個人情報保護法。全面免責、自動更新、最終確認画面、解除・解約表示、価格・期間・提供内容の明確性。
法人・個人併用共通規約、法人特約、個人特約、プラン別条件。法人向けには合理的な責任制限でも、消費者向けでは無効となる可能性がある点。

法人と個人の双方に提供する場合、同一規約で処理することもありますが、法人向け条項と個人向け条項の混在には注意が必要です。サービスの実態に応じて、法人向け利用規約と個人向け利用規約を分ける、共通規約に法人特約・個人特約を設ける、注文書やプランごとに適用条項を明示する、といった設計が考えられます。

Section 03

SaaS利用規約の条項体系と契約運用

契約成立、アカウント、利用権限、サービス内容、料金、無料トライアル、禁止行為、利用停止を条項単位で整理します。

SaaS利用規約は、総則から紛争解決まで多くの条項で構成されます。詳細機能をすべて規約本体に固定すると改定負担が大きくなりますが、対象サービスが不明確すぎても契約審査に耐えません。規約本体、サービス説明ページ、料金ページ、注文書、SLA、セキュリティ資料を階層化する設計が現実的です。

次の比較表は、SaaS利用規約に入る代表的な条項を、契約の入口、運用、リスク、終了の順に整理したものです。条項数が多いため、全体像を見失わずレビューすることが重要です。左から、条項群、主な内容、審査時に確認する観点を読み取ってください。

条項群主な内容確認する観点
入口総則・定義、適用範囲、利用登録、契約成立、アカウント管理。申込、承諾、アカウント発行、注文書締結、利用開始のどこで契約が成立するか。
利用条件サービス内容、プラン、料金、支払、更新、解約、利用権限、禁止行為。非独占・譲渡不能・再許諾不能・期間限定の利用権で足りるか、APIや委託先利用を許すか。
データ・保護利用者データ、個人情報、機密保持、セキュリティ、外部サービス、SLA。データ定義、二次利用、再委託、国外移転、障害通知、復旧、監査資料の範囲。
権利・AI知的財産権、AI機能、データ分析、表明保証、保証否認。入力・出力・学習利用、第三者モデル、用途制限、営業秘密、OSSやAPI仕様の扱い。
責任・終了免責、責任制限、終了時処理、反社会的勢力排除、輸出管理、規約変更、地位移転、準拠法、管轄。責任上限、適用除外、データ返還・削除、サービス終了、改定手続、紛争解決。

契約成立・アカウント・利用権限

次の時系列は、申込みから運用開始までの確認順序を表しています。B2B SaaSでは見積書、注文書、発注書、申込書、利用規約、個別契約が混在しやすいため重要です。各段階で、成立時点、管理者権限、ユーザー範囲、外部委託先利用の可否を読み取ってください。

Step 1

申込・同意

申込フォーム送信、提供者の承諾、アカウント発行、注文書締結、利用開始のどれを契約成立時点にするか明確にします。

Step 2

管理者設定

登録情報、ID・パスワード、管理者権限、ユーザー追加・削除、退職者・異動者、不正アクセス発見時の通知を定めます。

Step 3

利用権限の範囲

非独占的、譲渡不能、再許諾不能、期間限定の利用権を基本にしつつ、API、グループ会社、外部委託先、再提供の可否を調整します。

料金・無料トライアル・停止

次の一覧は、料金条項、無料トライアル、禁止行為、利用停止で必ず確認したい項目を整理しています。課金や停止は利用者の苦情と業務停止に直結するため重要です。各項目から、自動更新や返金制限、緊急停止と是正期間のバランスを読み取ってください。

01

料金条項

初期費用、月額・年額、ユーザー数、従量、容量、API、消費税、支払期限、支払方法、遅延損害金、精算、自動更新、料金改定を明確にします。

課金更新前通知
02

無料トライアル

無料期間、終了後の有料移行、明示同意、機能制限、データ保存期間、サポート範囲、終了後削除を定めます。

試用誤認防止
03

禁止行為

法令違反、不正アクセス、脆弱性探索、過負荷、マルウェア、権利侵害、虚偽登録、共有ID、再販売、制裁違反などを明確にします。

安全性明確性
04

利用停止

不正利用、セキュリティ事故、料金未払い、権利侵害申立てでは停止条項が必要です。可能な場合は事前通知、是正期間、停止範囲の限定、復旧手続を置きます。

停止比例性
Section 04

SaaS利用規約の核心 ― データ・個人情報・DPA

利用者データ、個人情報、漏えい等対応、越境移転を分けて整理します。

SaaS利用規約では、「データ」という言葉を一括りにしないことが重要です。業務データ、個人データ、ログ、統計情報、AI入力・出力、バックアップでは、法的性質、契約上の扱い、削除可能性、第三者提供可能性が異なります。

次の比較表は、SaaSで扱うデータの種類と、規約上の整理ポイントを表しています。データの種類を分けることで、利用目的、権利帰属、二次利用、削除・返還の設計を誤りにくくなるため重要です。各行から、提供者がどの範囲で処理権限を得るべきか、追加説明が必要なデータはどれかを読み取ってください。

データ区分規約で定めること
業務データ利用者が入力・保存する取引先、契約、会計、人事、営業情報。権利は利用者または権利者に留保し、提供者はサービス提供・保守・サポートに必要な範囲で処理します。
個人データ顧客、従業員、見込み客、チャット内容、問い合わせ履歴。委託、第三者提供、共同利用、国外移転、安全管理措置、漏えい等対応を整理します。
ログ・メタデータ操作ログ、アクセスログ、利用統計、サポート履歴。セキュリティ監視、障害調査、監査証跡、統計分析の目的と保存期間を明確にします。
AI関連データプロンプト、入力ファイル、AI出力、モデル改善用ログ。学習利用の有無、外部AI事業者への送信、オプトアウト、禁止入力、出力確認責任を明示します。
バックアップ復旧用コピー、世代管理、解約後の残存データ。削除時期、復元可否、削除証明、法令保存データの扱いを定めます。

利用者データの帰属と二次利用

多くのB2B SaaSでは、利用者データの権利は利用者またはその権利者に留保され、提供者はサービス提供、保守、サポート、セキュリティ、障害対応、法令遵守に必要な範囲で利用します。サービス改善、統計分析、AI学習、広告、第三者提供、ベンチマークレポート作成に利用する場合は、利用者の合理的期待、秘密保持、個人情報保護、営業秘密、業界規制に配慮し、プライバシーポリシー、DPA、管理画面設定、オプトアウト手続を整合させるべきです。

次の判断の流れは、SaaS提供者が個人データを扱うときの立場整理を表しています。委託処理なのか、提供者自身の独自目的利用なのかで、説明、同意、DPA、第三者提供の要否が変わるため重要です。上から順に、利用者の指示に基づく処理か、独自目的があるか、国外・再委託があるかを読み取ってください。

個人データ処理の立場を分ける判断

利用者の業務目的で処理

CRM、HR、会計、MAなどで、利用者の個人データをサービス提供のために処理します。

委託先として整理しやすい

DPAで処理目的、処理期間、安全管理、再委託、国外移転、漏えい時通知、削除・返還を定めます。

独自目的あり
第三者提供等を検討

広告、AI学習、独自分析などでは、委託だけで整理できない可能性があります。

指示範囲内
DPAと監督情報を整備

委託先の選定、契約、取扱状況の把握に必要な情報を提供できるようにします。

漏えい等対応・越境移転・終了時処理

次の一覧は、個人情報とデータ処理で事故や解約時に問題になりやすい要素をまとめています。平時の利用規約だけでなく、事故発生時や契約終了時の実務に直結するため重要です。各項目から、通知期限、役割分担、保存国、削除時期を事前に決める必要性を読み取ってください。

漏えい等対応

定義、発見時の通知期限、通知先、初報・続報・最終報告、原因調査、影響範囲、証拠保全、再発防止、当局報告・本人通知の役割を定めます。

越境移転

データ保存国、サポートアクセス国、再委託先所在国、国外移転の法的根拠、移転先の安全管理措置、サブプロセッサー一覧の更新方法を整理します。

データ返還・削除

解約後のダウンロード期間、エクスポート形式、有償移行支援、バックアップ削除時期、法令保存、削除証明、復元可否を定めます。

Section 05

SaaS利用規約のセキュリティ・SLA・責任共有

提供者と利用者の責任分界、SLA、サービスクレジットを契約に落とし込みます。

SaaSを利用すると、サーバ管理やパッチ適用の多くは提供者側に移りますが、利用者側の責任が消えるわけではありません。内閣サイバーセキュリティセンターの資料も、クラウドサービスの特性や責任分界を理解する必要性を示しています。SaaS利用規約では、提供者と利用者の責任分界を明確にすることが重要です。

次の比較表は、セキュリティ責任を提供者側と利用者側に分けて整理したものです。漏えいは提供者の侵害だけでなく、利用者側の設定ミスや過剰権限でも起きるため重要です。左列は提供者の基盤・運用責任、右列は利用者のアカウント・設定責任として読み取ってください。

提供者側の責任利用者側の責任
インフラ・アプリケーションの安全管理、脆弱性対応、アクセス制御、暗号化。ID・パスワード管理、多要素認証、管理者権限の適切な付与。
ログ取得・監視、バックアップ、インシデント対応、従業者管理、再委託先管理。退職者アカウント削除、端末・ネットワーク管理、利用者側設定の適切な管理。
セキュリティ認証、第三者監査、セキュリティホワイトペーパー、DPA・SLAとの整合。データ入力内容の適法性、アクセス権限の棚卸し、社内規程、教育。

公共部門や高度なセキュリティ要求を持つ企業では、ISMAP、ISO/IEC 27001、SOC 2、ISO/IEC 27017、ISO/IEC 27018などの認証・報告書が参照されることがあります。規約そのものが認証に代わるわけではありませんが、規約、SLA、DPA、セキュリティ資料が一貫していなければ、委託先管理や監査対応に支障が生じます。

次の一覧は、SLAで定める代表項目をまとめたものです。SLAは基幹業務、決済、人事、医療、金融、公共、教育などで導入可否に直結するため重要です。各項目から、品質水準だけでなく、通知、復旧、補償、適用除外まで契約に含める必要性を読み取ってください。

01

可用性

月間稼働率、計画メンテナンス、障害の定義、SLA適用除外を定めます。

稼働率
02

通知・復旧

障害通知方法、復旧目標、重大度分類、レポート提供を整理します。

運用
03

サポート

受付時間、初回応答時間、問い合わせ経路、エンタープライズ対応を定めます。

支援
04

サービスクレジット

稼働率が一定水準を下回った場合に、将来請求から控除する補償制度を定めることがあります。損害賠償との関係も整理します。

補償上限
整合性営業資料が「99.99%稼働保証」と記載しているのにSLAが存在しない場合や、サポートが「データはいつでも復元できます」と説明しているのに規約上は復元義務がない場合、表示と契約のずれが紛争リスクになります。
Section 06

SaaS利用規約の知財・AI機能・責任制限

知的財産権、営業秘密、AI入力・出力、保証否認、責任上限を整理します。

SaaSのソフトウェア、画面、デザイン、ロゴ、ドキュメント、API仕様、データベース、ノウハウ等に関する知的財産権は、原則として提供者またはライセンサーに帰属します。利用者は、契約期間中、利用規約に従って利用する権限を得るにすぎません。一方、利用者がアップロードする文章、画像、ファイル、データ、テンプレート、プロンプト、出力物については、権利帰属を別途整理する必要があります。

次の比較表は、知的財産権と利用者コンテンツの扱いを分けて示しています。SaaS本体と利用者データを混同すると、権利帰属やサービス改善利用で争いになりやすいため重要です。各行から、提供者が保持する権利と、利用者に留保される権利を読み分けてください。

対象基本整理追加で見ること
SaaS本体ソフトウェア、画面、ロゴ、API仕様、ドキュメントは提供者またはライセンサーに帰属します。利用者には契約期間中の利用権限だけを付与するのが一般的です。
利用者コンテンツ文章、画像、ファイル、テンプレート、プロンプト、出力物は利用者または権利者に留保される設計が多くあります。公開型サービス、UGC、マーケットプレイス、生成AIでは表示、配信、二次利用、通報対応が必要です。
営業秘密秘密管理性、有用性、非公知性との関係で、アクセス権限、ログ、社内規程、秘密保持契約が重要です。提供者側は、機密保持、従業者管理、再委託先管理を整える必要があります。

AI機能の条項設計

次の一覧は、生成AI、予測分析、自動分類、レコメンド、文章生成、音声認識、画像解析などをSaaSに組み込む場合の論点です。AI機能はサービスの魅力である一方、誤出力、差別、権利侵害、個人情報漏えい、営業秘密流出を生じさせる可能性があるため重要です。各項目から、入力・出力・学習利用・責任分界を利用者が理解できるようにする必要性を読み取ってください。

入力データ

個人情報や機密情報を入力してよいか、第三者モデルに送信されるか、プロンプト・ログを保存するかを明示します。

学習利用

利用者データをAI学習に使うか、対象データ、停止方法、オプトアウト、初期設定を具体化します。

出力確認

AI出力は参考情報であり、最終判断は利用者が行うこと、医療・法律・金融・採用等の高リスク用途では制限が必要になることを整理します。

権利侵害

出力データの権利帰属、第三者権利侵害リスク、外部AI事業者の条件変更を確認します。

保証否認・責任制限

次の比較表は、保証否認と責任制限でよく問題になる要素を整理しています。提供者は無制限責任を避ける必要があり、利用者は自社の損害規模や顧客責任に照らして過度な免責を見極める必要があるため重要です。左から、標準的な制限、慎重に扱う例外、B2Cでの追加注意を読み取ってください。

項目実務上の整理注意点
保証否認特定目的適合、常時無停止、エラー不存在、外部連携継続、期待成果を保証しない旨を定めます。契約の中核価値まで否定すると、信頼を損ないます。
B2B責任上限過去数か月分または過去1年分の利用料金を上限とする例があります。個人情報漏えい、秘密保持違反、知財侵害補償などを除外するか検討します。
適用除外故意または重過失、支払義務、不正利用、反社会的勢力条項違反など。秘密保持、個人情報、知財の扱いは交渉で重要になります。
B2C免責事業者の損害賠償責任を全部免除する条項などは無効となる可能性があります。法人向けの免責条項をそのまま流用しないことが重要です。
Section 07

SaaS利用規約の終了・チェックリスト・社内運用

契約終了後の存続条項、提供者・利用者のチェック、規約管理体制をまとめます。

SaaS利用規約では、契約期間満了、利用者による解約、提供者による解約、料金未払い、規約違反、倒産手続、反社会的勢力該当、サービス終了、法令・規制上の提供困難など、終了事由を明確にします。終了後も、未払料金、秘密保持、知的財産権、データ削除・返還、免責・責任制限、損害賠償、準拠法・管轄、監査・当局対応などは存続させる必要があります。

次の比較表は、提供者側と利用者側がSaaS利用規約を確認するときのチェック項目をまとめています。作成側と審査側の視点が異なるため、双方を並べて見ることで交渉の落とし所を探しやすくなります。左列は提供者が整備すべき項目、右列は利用者が導入前に確認すべき項目として読み取ってください。

提供者側のチェック利用者側のチェック
対象者が法人か個人か、無料・有料・エンタープライズを区別し、利用規約・注文書・個別契約・SLA・DPAの優先順位を明確にしているか。契約期間、自動更新、解約期限、料金改定、途中解約時の返金、注文書と利用規約の優先順位を理解しているか。
利用者データの定義、権利帰属、二次利用、AI学習、個人情報の委託・第三者提供・国外移転、DPA、漏えい等対応を整備しているか。自社データの権利、二次利用範囲、AI学習の有無、再委託先・国外移転、解約時のエクスポート・削除時期を確認しているか。
責任共有モデル、セキュリティ措置、障害通知、SLA、サービスクレジット、監査資料、認証、レポート提供範囲を整理しているか。認証、権限管理、ログ、多要素認証、障害通知、SLA、セキュリティ認証、インシデント連絡期限が必要水準を満たすか。
免責が過度でなく、責任上限が合理的で、消費者向け条項、知財侵害、準拠法・管轄、制裁・輸出管理を確認しているか。責任上限が損害規模に比べて低すぎないか、データ消失や情報漏えいが免責されすぎていないか、サービス終了時の通知期間が十分か。

作って終わりにしない管理体制

次の時系列は、SaaS利用規約を継続的に管理するための社内運用を表しています。営業資料、ヘルプページ、DPA、SLA、セキュリティ回答が規約とずれると、紛争時に説明が難しくなるため重要です。上から順に、規約オーナー、改定履歴、個別特約、社内周知、年次レビューを読み取ってください。

管理開始

規約オーナーと版管理

規約オーナーを明確にし、改定履歴、旧規約と新規約の適用関係を保存します。

整合確認

周辺文書の点検

営業資料、ヘルプページ、プライバシーポリシー、DPA、SLA、セキュリティチェックシート回答との矛盾を確認します。

個別管理

特約と顧客対応

顧客への個別特約を契約管理システムで管理し、改定時には営業・CS・サポートへ周知します。

年次点検

法改正・監査・利用実態の確認

法改正、判例、行政ガイドライン、業界基準、導入SaaS台帳、管理者権限、退職者アカウント、規約改定通知を年次で確認します。

よくある失敗

次の一覧は、SaaS利用規約で実務上よく起きる失敗をまとめています。条項文言だけでなく、プライバシー、AI、解約、営業表示との整合性が信頼に直結するため重要です。各項目から、強い免責より透明性と運用可能性が重要であることを読み取ってください。

免責だけを強くする

利用者の審査で差し戻されます。責任分界、SLA、インシデント対応、データ返還、責任上限の合理性が重要です。

プライバシーポリシーと矛盾

利用規約では広くデータ利用できるのに、プライバシーポリシーやDPAでは限定されていると重大な不整合になります。

AI学習利用が曖昧

「サービス改善」だけで機密データや個人データをAI学習に使う設計は不信を招きます。

解約時処理が不明確

データがいつまで残り、どの形式で取り出せ、バックアップがいつ削除されるかが不明だと導入しにくくなります。

営業資料とずれる

営業資料、FAQ、ヘルプ、サポート回答、セキュリティチェックシート回答と規約が矛盾すると、紛争時の説明が難しくなります。

Section 08

SaaS利用規約でよくある質問

作成・レビュー時に質問になりやすい論点を、一般情報として整理します。

Q1. SaaS利用規約は弁護士に依頼しないと作れませんか。

一般的には、弁護士に依頼しなければ作成できないものではありません。ただし、SaaS利用規約は契約法、個人情報保護法、消費者法、知的財産法、情報セキュリティ、業法規制、国際取引、AI規制が交差する文書です。具体的な条項設計は、サービス内容や利用者属性によって変わるため、重要な場面では弁護士等の専門家や社内関係部門へ相談する必要があります。

Q2. 競合他社のSaaS利用規約を参考にしてよいですか。

一般的には、他社規約を調査対象として参考にすることはあります。ただし、単純なコピーは避けるべきです。サービス内容、データ処理、料金体系、国際展開、セキュリティ体制、消費者向けか法人向けかによって必要条項は異なり、他社規約にも著作権やノウハウ上の問題があり得ます。

Q3. SaaS利用規約とプライバシーポリシーは別文書にすべきですか。

一般的には、別文書にすることが多いとされています。利用規約は契約条件、プライバシーポリシーは個人情報の取扱い説明という役割が異なるためです。ただし、両者は矛盾してはならず、個人情報の委託処理についてDPAを別途用意することもあります。

Q4. SLAは必ず必要ですか。

一般的には、全てのSaaSで必須とは限りません。ただし、法人向け、基幹業務向け、高可用性が求められるSaaSでは、SLAの有無が導入判断に影響する可能性があります。SLAがない場合でも、障害通知、メンテナンス、サポート範囲、復旧方針は明確にすることが望まれます。

Q5. 利用者データをサービス改善に使えますか。

一般的には、利用目的、データの性質、個人情報該当性、秘密保持義務、契約上の同意、匿名化・統計化の程度によって判断が変わります。個人情報や営業秘密を含む場合、単に「サービス改善」と書くだけでは不十分なことがあります。具体的には、二次利用の範囲、同意、オプトアウト、DPA、プライバシーポリシーを整理する必要があります。

Q6. AI学習に利用者データを使う場合、何を書くべきですか。

一般的には、学習利用の有無、対象データ、目的、第三者モデルへの提供有無、個人情報・機密情報の扱い、停止方法、管理画面設定、出力物の扱いを明示することが重要とされています。法人向けSaaSでは、初期設定や明示同意の設計によって受け止めが変わる可能性があります。

Q7. 責任上限はどの程度が妥当ですか。

一般的には、サービスの重要性、料金、損害規模、保険、交渉力、顧客属性によって変わります。B2B SaaSでは、過去6か月分または12か月分の利用料金を上限とする例がありますが、個人情報漏えい、秘密保持違反、知財侵害補償などを除外するかは個別検討が必要です。

結論SaaS利用規約は、提供者のリスクを管理するだけでなく、利用者が安心して導入し、社内承認を取り、継続利用できるようにする説明責任の文書です。契約法だけでなく、個人情報保護、セキュリティ、SLA、知的財産、AI、消費者保護、内部統制、国際取引を横断して見る必要があります。
Guide

SaaS利用規約で次に確認したいこと

目的に近い詳しい解説へ進めるよう、関連するテーマを整理しました。

知りたい内容を選ぶと、手続、費用、地域、具体的な論点などの詳しい解説に進めます。

このテーマから次に確認されやすい詳しい解説を8件表示しています。

Reference

SaaS利用規約の参考資料

クラウド・契約・消費者保護

  • National Institute of Standards and Technology, Computer Security Resource Center, “Software as a Service (SaaS) - Glossary”
  • National Institute of Standards and Technology, “The NIST Definition of Cloud Computing”
  • e-Gov法令検索「民法」
  • 消費者庁「逐条解説 消費者契約法」
  • 消費者庁「通信販売の申込み段階における表示についてのガイドライン」

個人情報・セキュリティ・SLA

  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」
  • 内閣サイバーセキュリティセンター「クラウドを利用したシステム運用に関するガイダンス」
  • ISMAP「政府情報システムのためのセキュリティ評価制度」
  • 経済産業省「SaaS向けSLAガイドライン」

知財・営業秘密・AI

  • e-Gov法令検索「著作権法」
  • e-Gov法令検索「不正競争防止法」
  • 経済産業省・総務省「AI事業者ガイドライン」