はじめに|SaaS契約は「申込みボタンを押すだけ」ではない
クラウドサービスの普及に伴い、SaaSの契約手続きは驚くほど簡素化された。クレジットカード情報を入力して申込みボタンを押せば、数分後には利用を開始できる。
しかし、その手軽さゆえに、契約条件を十分に確認しないまま利用を開始している企業は少なくない。サービスが正常に稼働している間は問題が顕在化しないが、障害が発生した時、解約を検討した時、ベンダーがサービスを終了した時に、契約条件の確認不足が深刻な問題として表面化する。
本記事では、SaaS契約時に確認すべき10の重要項目と、特に見落とされがちな解約時の注意点を実務視点で解説する。
確認項目1|SLA(Service Level Agreement)の内容
確認すべきポイント
SLAは、サービスの品質水準をベンダーが約束する契約上の取り決めだ。以下の項目を確認する。
稼働率保証: 多くのSaaSベンダーは月間稼働率99.9%(年間約8.7時間のダウンタイムを許容)を保証している。99.5%と99.9%では、許容されるダウンタイムに大きな差がある。自社の業務にとって許容できるダウンタイムはどの程度かを事前に検討する。
SLA未達時の補償: 稼働率が保証値を下回った場合、多くのベンダーはサービスクレジット(翌月の利用料からの割引)を提供する。ただし、クレジットの上限が月額料金の10〜30%に制限されている場合が多く、実際のビジネス損失を補填するものではない点に注意が必要だ。
計画メンテナンスの扱い: 計画メンテナンス(事前通知されたサービス停止)がSLAの計算対象外とされていることが多い。メンテナンスの頻度、実施時間帯、事前通知の期間を確認する。
確認項目2|データの所有権と取り扱い
確認すべきポイント
SaaSに保存されたデータの所有権が誰にあるのかを、契約書で明確に確認する。
データ所有権: 多くのSaaS契約では、ユーザーが入力・作成したデータの所有権はユーザーに帰属すると規定されている。しかし、ベンダーがサービス改善やAI学習のためにデータを利用する権利を留保している場合がある。
データの保存場所: 個人情報保護法や業界固有の規制により、データの保存場所(国内サーバーか海外サーバーか)が重要になる場合がある。特にEU圏の顧客データを扱う場合はGDPRとの関係も確認が必要だ。
バックアップ体制: ベンダー側でのバックアップ頻度、保持期間、リストア手順を確認する。ベンダーのバックアップはサービス障害時の復旧用であり、ユーザー側の操作ミスによるデータ削除の復旧に対応していない場合もある。
確認項目3|解約時のデータエクスポート
確認すべきポイント
SaaS契約において、最も見落とされがちなのが解約時のデータ取り扱いだ。
エクスポート形式: 解約時にデータをどの形式でエクスポートできるかを確認する。CSV、JSON、XMLなどの汎用的な形式でエクスポートできるか。独自形式でしかエクスポートできない場合、移行先での利用が困難になる。
エクスポート期間: 解約後、どの程度の期間データにアクセスできるかを確認する。即日アクセス不可となるサービスもあれば、30日間の猶予期間を設けているサービスもある。
データ削除の保証: 解約後、ベンダー側でデータが完全に削除されるまでの期間と、削除完了の証明(削除証明書)を発行してもらえるかを確認する。個人情報を含むデータの場合は特に重要だ。
添付ファイルやメディアの扱い: テキストデータだけでなく、添付ファイル、画像、動画などのメディアデータも含めてエクスポート可能かを確認する。
確認項目4|自動更新条項と解約手続き
確認すべきポイント
自動更新の有無: 多くのSaaS契約は年間契約の自動更新が初期設定となっている。契約満了の何日前までに解約通知を行えば自動更新を停止できるのかを確認する。30日前通知、60日前通知、90日前通知など、ベンダーによって異なる。
解約通知の方法: メールでの通知で足りるのか、書面での通知が必要なのか、管理画面からの操作で完了するのかを確認する。「書面での通知が必要」と規定されているにもかかわらず、メールで解約を申し入れた場合、解約が有効に成立しない可能性がある。
中途解約の可否: 年間契約の途中で解約できるかを確認する。中途解約不可の場合、残存期間分の料金を一括で支払う必要が生じる。中途解約可能な場合でも、違約金が設定されていることがある。
値上げ条項: 更新時の値上げに関する規定を確認する。「更新時に合理的な範囲で価格を改定できる」といった曖昧な規定がある場合、大幅な値上げのリスクがある。値上げの上限(前年比XX%以内など)が明記されているかを確認する。
確認項目5|セキュリティ認証と体制
確認すべきポイント
第三者認証の取得状況: ISO 27001(情報セキュリティマネジメント)、SOC 2 Type II(サービス組織の統制に関する報告書)、ISMAP(政府情報システムのためのセキュリティ評価制度)などの認証を取得しているかを確認する。
脆弱性対策: 定期的な脆弱性診断やペネトレーションテストを実施しているか。実施結果のサマリーを開示してもらえるかを確認する。
インシデント対応: セキュリティインシデント発生時の通知体制を確認する。インシデント発覚から何時間以内に顧客に通知するか、どのような情報が提供されるかが規定されているか。
従業員のセキュリティ管理: ベンダーの従業員に対するセキュリティ教育、バックグラウンドチェック、アクセス権管理の体制を確認する。
確認項目6|責任分界と免責事項
確認すべきポイント
責任分界点: SaaS利用において、ベンダーの責任範囲とユーザーの責任範囲を明確にする。一般的に、以下の分界が適用される。
- ベンダー責任: サービスの可用性、データの物理的な安全性、インフラの保守
- ユーザー責任: アカウント管理、アクセス権の設定、データの内容の正確性
損害賠償の上限: ベンダーの損害賠償責任が、「過去12か月間に支払った利用料を上限とする」と規定されていることが一般的だ。年間120万円の利用料のサービスで情報漏えいが発生し、数千万円の損害が生じても、ベンダーの賠償上限は120万円にとどまる可能性がある。
免責事項: 不可抗力(天災、戦争、パンデミックなど)による障害は免責されるのが一般的だ。しかし、免責事項の範囲が広すぎる場合は交渉の余地がある。
確認項目7|サービス終了(EOS/EOL)時の対応
確認すべきポイント
ここまで読んで
「うちも同じだ」と思った方へ
課題は企業ごとに異なります。30分の無料相談で、
御社に合った進め方と概算費用をお伝えします。
営業電話なし エンジニアが直接対応 相談だけでもOK
SaaSベンダーがサービスを終了する場合の取り決めは、契約時に見落とされやすい項目だ。
事前通知期間: サービス終了の何か月前までに通知されるかを確認する。6か月〜12か月の事前通知が一般的だが、契約書に明記されていない場合もある。
移行支援: サービス終了時に、データのエクスポート支援や移行先サービスへの移行支援が提供されるかを確認する。
返金ポリシー: 年間契約の途中でサービスが終了した場合、残存期間分の料金が返金されるかを確認する。
確認項目8|API利用と連携の制約
確認すべきポイント
SaaSを他のシステムと連携する場合、APIの利用条件が重要になる。
APIのレート制限: 1分間あたり、1日あたりのAPI呼び出し回数の上限を確認する。業務上の連携頻度がレート制限に収まるかを事前に検証する。
APIの後方互換性: APIのバージョンアップ時に後方互換性が保証されるか、旧バージョンのサポート期間はどの程度かを確認する。
追加料金: APIの利用に追加料金が発生するか、利用量に応じた従量課金が適用されるかを確認する。
確認項目9|コンプライアンスと法的要件
確認すべきポイント
準拠法と管轄裁判所: 契約の準拠法がどの国の法律か、紛争時の管轄裁判所がどこかを確認する。海外ベンダーの場合、米国法が準拠法となっていることが多い。日本法を準拠法とする交渉が可能かを確認する。
個人情報保護: 個人情報の取り扱いに関する規定が、日本の個人情報保護法に準拠しているかを確認する。特に、委託先としてのベンダーの位置づけ(個人情報の処理委託者)と、再委託の有無を確認する。
監査権: ユーザー側がベンダーのセキュリティ体制や契約遵守状況を監査する権利が契約書に含まれているかを確認する。直接の監査が困難な場合、第三者監査報告書(SOC 2レポートなど)の提供を求める。
確認項目10|価格体系と隠れコスト
確認すべきポイント
課金単位: ユーザー数課金、データ量課金、トランザクション量課金など、課金体系を正確に理解する。「アクティブユーザー」の定義(ログインしたユーザーか、登録されたユーザーか)によって費用が大きく変わる場合がある。
追加機能の料金: 基本プランに含まれない機能(API連携、SSO、監査ログ、優先サポートなど)の追加料金を確認する。セキュリティ上必須の機能が上位プランでしか利用できない場合、実質的に上位プランの契約が必要となる。
ストレージ超過料金: 基本プランに含まれるストレージ容量と、超過時の追加料金を確認する。利用開始時は容量内に収まっていても、データの蓄積により超過する可能性がある。
サポート料金: 標準サポート(メール対応、営業時間内のみ)と有償サポート(電話対応、24時間対応)の違いを確認する。障害発生時の対応速度がビジネスに影響する場合は、有償サポートの契約を検討する。
解約時に注意すべき5つのポイント
1. 解約予定日の逆算
自動更新停止の通知期限から逆算し、少なくとも3か月前から解約準備を開始する。データエクスポートとテスト、移行先サービスの選定と契約、ユーザーへの周知と教育を含めると、3か月は最低限の準備期間だ。
2. データエクスポートのテスト
解約前に必ずデータエクスポートのテストを実施する。エクスポートしたデータが完全であるか(欠損がないか)、移行先サービスでインポート可能な形式であるかを検証する。本番のエクスポートは解約日の直前に実施し、最新データを漏れなく取得する。
3. 連携しているサービスへの影響確認
解約するSaaSとAPI連携している他のサービスがないかを確認する。SSO(シングルサインオン)のIDプロバイダとして利用している場合、解約により他のサービスへのログインができなくなる可能性がある。
4. ユーザーへの移行スケジュールの周知
解約と移行先サービスへの切り替えスケジュールを、利用ユーザーに十分な余裕を持って周知する。新しいサービスの操作研修も併せて計画する。
5. 解約完了の確認
解約手続き完了後、ベンダーから解約確認の通知を受領する。翌月以降に課金が継続していないかをクレジットカード明細や請求書で確認する。データ削除の完了通知(削除証明書)を受領できる場合は、必ず取得して保管する。
契約レビューの実施体制
SaaS契約のレビューは、IT部門だけで完結させるべきではない。以下の部門が連携してレビューを行う体制を構築する。
- IT部門: 技術要件の確認(API、連携、セキュリティ仕様)
- 法務部門: 契約条件の確認(損害賠償、免責、準拠法)
- 経理部門: 費用構造の確認(課金体系、隠れコスト、支払い条件)
- 情報セキュリティ部門: セキュリティ認証、インシデント対応体制の確認
法務部門がない中小企業では、重要なSaaS契約(年間費用100万円以上、または個人情報を扱うサービス)については、外部の弁護士にレビューを依頼することを推奨する。
まとめ|契約は「導入前」と「解約時」に価値を発揮する
SaaS契約の確認は、手間がかかる作業に感じるかもしれない。しかし、契約条件を把握していないことで発生するトラブル、つまり予期しない値上げ、解約時のデータ喪失、セキュリティインシデント時の責任問題は、確認の手間とは比較にならないほど大きなコストをもたらす。
本記事で紹介した10の確認項目をチェックリストとして活用し、新規SaaS契約時はもちろん、既存契約の更新タイミングでも確認を行うことを推奨する。特に自動更新条項とデータエクスポートの2点は、確認を怠った場合のインパクトが大きいため、最優先で確認してほしい。
SaaS契約の見直し・選定を支援します
GXOでは、SaaS契約のレビュー支援、新規SaaS選定時の比較検討、既存契約のコスト最適化をサポートしています。「契約更新前に条件を見直したい」「解約・移行の進め方を相談したい」という方は、お気軽にご相談ください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
「やりたいこと」はあるのに、
進め方がわからない?
DX・AI導入でつまずくポイントは企業ごとに異なります。
エンジニアが30分で御社の課題を整理し、進め方・概算費用の目安をお伝えします。
- 要件が固まっていなくてもOK
- 営業ではなくエンジニアが対応
- 概算費用と進め方がその場でわかる
メールアドレスだけでOK|営業電話は一切なし
