本連載では、「DX時代の法務・知財」と題し、新しいタイプのITビジネスに関連する契約類型や法令について解説するとともに、そのようなビジネスを保護するための権利の取得・活用の考え方についても解説します。

サービスの電子化に伴い、サービスの提供を受ける際の契約も「利用規約」という形で成立することが多くなってきており、特に、DXを進めるために既存のサービスを利用する場合においては、利用規約の形をとることがほとんどです。そのため、ユーザとしても、当該サービスに内包するリスクやサービスの継続性・安定性を見極めるため、利用規約の内容を正確に把握し、理解することが不可欠と言えます。

本稿では、事業化段階に関する契約①――利用規約(総論)に続き、事業化段階に関する契約②――利用規約(責任制限条項・契約内容の一方的変更・SaaS利用規約)として、利用規約においてとりわけ重要である責任制限条項及び契約内容の一方的変更を取り上げます(その他の条項については前回の記事で簡単な解説を加えていますので、そちらもご覧ください。)。加えて、SaaS利用規約(SaaS型クラウドサービス契約)特有の問題として、サービスレベル及びユーザデータに関する条項についても解説します。

ポイント

検討のポイント

  • 責任制限条項

・事業者の立場からは、消費者契約法や民法の定型約款規制による制約があり得ることを意識する必要があります。
・ユーザの立場からは、サービスの内容そのものに加え、事業者が責任を負う条件、責任を負う範囲、賠償額の上限などを確認し、万一事故があった場合のリスクを具体的に想定したうえでサービスを利用するかを検討することになります。

  • 契約内容の一方的変更

・事業者の立場からは、消費者契約法や民法の定型約款規制による制約があり得ることを意識する必要があります。
・ユーザの立場からは、少なくとも、契約内容の変更に応じられない場合の手続(契約解除権など)が定められているかや、周知期間が代替のサービスを検討するのに十分な期間設けられているかを確認しておく必要があります。

  • SaaS利用規約(SaaS型クラウドサービス契約)特有の問題

・SaaS利用規約においては、提供されるサービスの品質をどの程度まで約束できるのかにつき、サービスレベルアグリーメント(Service Level Agreement/SLA)と呼ばれる契約を行う場合もあります。
・ユーザデータに個人データが含まれる場合は、個人情報保護法上の規制にも留意する必要があります。

解説

はじめに

モバイルアプリやクラウドサービスの多くは汎用的なサービスを多数のユーザに対して低額で提供するビジネスモデルであるため、利用規約においては、一般の契約に比べて、特に責任制限条項や契約内容の変更条項が重要となります。以下では、責任制限条項、契約内容の変更条項について詳しく取り上げたうえで、SaaS利用規約に特有の問題についても併せて取り上げます。

責任制限条項

責任制限条項の必要性

サービス提供にあたり事業者がユーザに損害を与えてしまった場合、事業者の責任について利用規約上何ら制限する規定がないとすると、事業者は、民法に従って、逸失利益等も含む相当因果関係のある損害全てを賠償する責任を負うこととなります(民法416条)。しかしながら、モバイルアプリやクラウドサービスの多くは汎用的なサービスを低額で提供するビジネスモデルであるため、無制限の損害賠償リスクを負うとなると、事業の継続が難しくなります。そこで、モバイルアプリ利用規約やSaaS型クラウドサービス契約には、事業者の責任を制限する規定が置かれていることがほとんどです。

事業者の責任を制限する方法としては、損害賠償金額の上限を設ける方法(過去●ヶ月分のサービスの利用料を上限とする等)や、賠償の対象となる損害の類型を限定する方法(特別損害、逸失利益を含まないこととする等)が代表的です。また、責任制限を原則として規定しつつ、例外として一定の場合を制限の対象から外すこともあります(例えば、故意又は重過失による損害については責任制限の対象としない、といった方法など)。

責任制限条項の限界

サービス事業者としては、本音を言えば「一切の責任を負わない」と書いてしまいたいところでしょう。一方で、ユーザとしては、一方的に事業者の責任を制限・免除するような規定内容が定められている利用規約は受け入れがたいものです。
では、このような責任制限条項は、どの程度まで有効と判断されるのでしょうか。

まず、BtoCの場合については、損害賠償責任の制限条項は、消費者契約法8条・10条によって規制を受け、無効となるおそれがあります。例えば、消費者に生じた損害を賠償する責任の全部を免除する条項は無効となります(消費者契約法8条1項1号、3号)。また、消費者に生じた損害を賠償する責任の一部を免除する条項(損害賠償額に一定の上限を設ける等)は、故意又は重大な過失によって生じたものである場合、無効となります(消費者契約法8条1項2号、4号)。

この点に関し、近時話題になったモバゲー判決(東京高判令和2年11月5日)は、「不当に迷惑をかけた」「会員として不適切である」と「当社が判断した場合」(高裁判決時は「当社が合理的に判断した場合」)につき、利用停止・会員資格取消しが可能とし、かつ、料金を返還しないものとし、かつこれにより損害が生じても「一切損害を賠償しません」と定めた条項について、「その不明確さを残しつつ、当該条項を自己に有利な解釈に依拠して運用しているとの疑いを払拭できない」とし、消費者契約法8条1号・3号に該当するものと判断しました。この判決を受け、事業者としては、消費者(ユーザ)の目から見て予測可能性が不足し事業者に有利に運用されるおそれがあるとみられるような条項は避け、わかりやすく明確な規定とすることを意識することが望まれます。

一方、BtoBの契約の場合は、基本的には、事業者側に故意重過失のない限りは、責任限定条項は有効と判断されると考えられます(例えば、東京地判平成26年1月23日は、「故意を有する場合や重過失がある場合・・・にまで・・・被告の損害賠償義務の範囲が制限されるとすることは,著しく衡平を害するものであって,当事者の通常の意思に合致しないというべきである」とし、契約書に記載されていた損害賠償金額制限規定の適用を否定しています。)。

なお、2020年4月の民法改正により、変更の余地のない「定型約款」については、「相手方の権利を制限し、又は相手方の義務を加重する条項であって、その定型取引の態様及びその実情並びに取引上の社会通念に照らして第1条第2項に規定する基本原則に反して相手方の利益を一方的に害すると認められるものについては、合意をしなかったものとみなす。」とされています(民法548条の2第2項)。BtoBの利用規約についても、取引相手の個性を重視せず、画一的な内容で締結されるものであれば、「定型約款」に該当する可能性があります。この定型約款の不当条項規制については、いまだ判断された裁判例はないため、BtoBの利用規約においても、民法548条の2第1項のみなし合意(前回記事で解説しています)により合意を取り付ける場合であり、「定型約款」に該当する可能性が高いときは、「相手方の利益を一方的に害する」内容は避ける必要があります。

ユーザとしては、事業者が責任を負う条件、責任を負う範囲、賠償額の上限などを確認したうえで、サービスの内容に照らし、万一事故があった場合のリスクを具体的に想定しておくことが肝要です。

契約内容の一方的変更

利用規約においては、一定の事由が生じた場合にサービス事業者が契約内容を変更することができる旨の規定が置かれることが多く見受けられます。特にSaaS型クラウドサービス契約やモバイルアプリ利用規約は、サービス内容の変更が容易であることから、契約内容を変更する必要性も大きくなってきます。

本来、契約内容の変更を行うには、相手方の同意を得ることが必要です。しかしながら、多数のユーザが利用することを想定している利用規約のような定型的な取引においては、変更の都度、利用者から個別に承諾を得るのは事実上不可能であるため、一定の場合に合意を得ずに変更を行う必要性があります。
そのため、民法上の「定型約款」については、以下の①又は②の場合に限り、合意なしに変更が可能とされています(民法548条の4第1項)。

① 変更がユーザの利益に適合する場合
② 変更の必要性、変更後の内容の相当性、定型約款の変更をすることがある旨の定めの有無及びその内容、その他の変更にかかる事情により、変更が合理的なものである場合

また、変更手続としては、効力発生時期を定めたうえで、定型約款を変更する旨、変更後の定型約款の内容、効力発生の時期を、インターネットその他の適切な方法により、周知することが必要となります(民法548条の4第2項)。不利益変更の場合、変更の効力発生日までに周知の手続を取らなければ変更の効力が生じないこととなります(民法548条の4第3項)。

これまでは、電子商取引及び情報財取引等に関する準則に従い、一定の要件を満たせば「(定型約款)変更後の利用継続による黙示的な同意」が有効であると判断されてきたところですが、当該利用規約が定型約款に該当する場合は、上述のような定型約款規制に従う必要がありますので、注意が必要です。

なお、定型約款に該当しない利用規約については、従前と同様、利用者による明示的な変更への同意がなくとも、事業者が利用規約の変更について利用者に十分に告知した上であれば、変更の告知後も利用者が異議なくサイトの利用を継続することをもって、黙示的にサイト利用規約の変更への同意があったと認定すべき場合があると考えられると述べています(本準則40頁)。なお、本準則については、別記事もご参照ください。

ユーザとしては、少なくとも、契約内容の変更に応じられない場合の手続(契約解除権など)が定められているかや、周知期間が代替のサービスを検討するのに十分な期間設けられているかを確認しておく必要があります。

SaaS利用規約(SaaS型クラウドサービス契約)特有の問題①サービスレベル

SaaS利用規約においては、提供されるサービスの品質をどの程度まで約束できるのかにつき、サービスレベルアグリーメント(Service Level Agreement/SLA)と呼ばれる契約を行う場合もあります。SLAとは、サービスレベル合意の略称であり、提供されるサービスの範囲・内容・前提事項を踏まえたうえで、サービス品質に対する利用者側の要求水準と提供者側の運営ルールについて明文化したものを言います(経済産業省「SaaS向けSLAガイドライン」(2008年)20頁)。

SLAで定めておくべき内容としては、動作環境等の前提条件、サービスレベル項目(サービス稼働率や応答速度、セキュリティに関わる項目など)、サービスレベル不達成時の対応(補償)が挙げられます。サービスレベル不達成時の対応としては、サービスの利用料の返還や減額などが規定されます。

サービスの導入を検討するユーザとしては、安定的にサービスを利用できるかという観点から、サービスレベルそのものだけでなく、サービスレベルを達成できなかった場合の補償の内容などにつき、検討しておくことが望ましいと言えます。

SaaS利用規約(SaaS型クラウドサービス契約)特有の問題②ユーザデータに関する条項

SaaS型クラウドサービス契約では、ユーザが自身のデータをクラウドサービス上で処理することが想定されますので、クラウドサービス事業者によるユーザデータの取扱いについても定めておく必要があります。

SaaS業者によるデータの取扱い

日本法上、データは無体物であって所有権の対象にはならず、著作権法上のデータベース(同法2条1項10号の3)、不正競争防止法上の営業秘密(同法2条6項)や限定提供データ(同条7項)などに該当する例外的な場合を除き、法的な保護の対象ではありません。そのため、ユーザデータの取扱いについては、利用規約の内容に依存することになります。

クラウドサービス事業者が利用者データを無制約に使用できてしまうと、セキュリティ上の懸念から利用者が離れてしまうことは言うまでもありません。そのため、クラウドサービス事業者はクラウド上のユーザデータを一切取り扱わない旨を定める場合もあります。また、クラウドサービス事業者による利用を認める場合であっても、サービスの機能向上、利用者へのサポートの提供など、一定の目的による場合に限定されている場合がほとんどです。

個人データが含まれる場合

ユーザデータが個人情報保護法上の「個人データ」を含む場合には個人情報保護法に照らした検討も必要です。

日本の個人情報保護法では、個人データを第三者提供するには原則として本人の同意が必要です(個人情報保護法23条1項柱書)。ただし、第三者への提供が個人情報の「委託」に伴うものである場合は、例外的に、同意が不要となります(個人情報保護法23条5項1号)。
また、個人情報保護法の監督機関である個人情報保護委員会は、「当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合」については、「委託」にすら当たらないとしています(「個人情報の保護に関する法律についてのガイドライン」及び 「個人データの漏えい等の事案が発生した場合等の対応について」 に関するQ&A Q5-33)。

このように、個人データを第三者に移転する方法としては、①同意に基づく第三者提供、②委託に伴う提供、③「当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合」の3つのパターンがあることになります。
①と②③の峻別については、本人同意の要否が異なってきますので、重要であることは明らかですが、②と③についても、「外国にある第三者」に個人データを提供する場合には、原則として、委託に伴う提供であってもあらかじめ本人の同意が必要であるとされており(法24条)、③に該当するといえるかが同意の要否の分かれ目となりますので、非常に重要です。また、②の場合には委託先に対する監督責任が生じることにも留意しなければなりません。

同意が必要な第三者提供(①)と同意が不要となる委託に伴う提供(②)の区別は、クラウドサービス事業者が提供を受けた個人データを自身の目的のために利用するかどうかによって判断されます。例えば業務委託契約に伴って提供が行われた場合であっても、クラウドサービス事業者が当該個人データを、委託された業務の範囲を超えて、クラウドサービス事業者の事業のための独自の利用目的のために利用してしまうような場合は、委託とは認められず、第三者提供として同意が必要になるものと思われます。

また、「委託」(②)と「当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合」(③)の区別については、個人情報保護委員会が、③の例として、「契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等」を挙げていることが参考になります。データについて一定の処理を加えることが想定されているSaaS等については、基本的に「個人データの取扱いの委託」に該当すると考えたほうが安全でしょう。一方、クラウドのストレージサービス等、データの中身を触らないこととなっているサービスについては、当該サーバに保存された個人データを取り扱わないこととなっている場合にあたり、例外的に委託に当たらない、と整理されます。

事業者の立場において、ユーザデータに個人データが含まれる事態を想定していない場合は、ユーザデータに個人情報が含まれないことを利用者に表明保証させることも考えられます。
また、ユーザにおいては、個人データの入力を想定している場合は、規約上、第三者提供か、「委託」か、「当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合」か、いずれに基づく移転となるかを確認し、当該個人データの本人に対する同意の要否について検討するとともに、事業者が採っている安全管理措置の内容を確認しておくことが望まれます。

本記事に関するお問い合わせはこちらから

(文責・秦野)