プレス発表　DX時代のユーザー企業とITベンダーへ、「情報システム・モデル取引・契約書」第二版を公開

最終更新日：2021年10月5日
2020年12月22日公開
独立行政法人情報処理推進機構

経済産業省が2018年9月に公開した「DXレポート」では、デジタルトランスフォーメーションを円滑に進めるためにユーザー企業、ITベンダーがそれぞれの役割を変化させ、新たな関係を構築していく必要性が示されました。そのためには情報システム開発の委託契約のあり方について見直しが必要であると指摘されています。これを受けIPAでは、同省が2007年に公開した「情報システム・モデル取引・契約書」について、ユーザー企業、ITベンダー、業界団体、法律専門家の参画を得て見直しを検討してきました。2019年12月には民法改正に直接関係する論点を見直した「情報システム・モデル取引・契約書」<民法改正を踏まえた、第一版の見直し整理反映版>を先行して公開しました。

今回公開する第二版は、2007年の第一版公開時からの情勢変化に応じて見直しが必要とされた論点を反映しています。主な論点は、「セキュリティ」「プロジェクトマネジメント義務および協力義務」「契約における『重大な過失』の明確化」「システム開発における複数契約の関係」「再構築対応」でした。

「セキュリティ」では昨今のサイバーセキュリティの重要性を鑑みて、システムに実装する「セキュリティ仕様」をユーザー企業とITベンダー双方が協議して決めることが必要であることから、まず、モデル契約書におけるセキュリティに関する条項と解説を充実させました。具体的には、セキュリティの定義規定を追加するとともに、セキュリティ条項である第50条で、より踏み込んだ形で、ITベンダーとユーザー企業がセキュリティをめぐって取るべきコミュニケーションについて、セキュリティの基準等が確立しているかどうかに応じて2パターンの条項で規定するなどの見直しを行っています。さらに、条項以外の解説においてもユーザー企業とITベンダーが、システム開発の各フェーズにおいて、セキュリティに関してそれぞれ行うべきことについて加筆しました。

さらに、ユーザー企業とITベンダーがコミュニケーションしながらセキュリティ仕様を策定するプロセスを解説した「セキュリティ仕様策定プロセス」と、セキュリティ仕様の検討を技術的に支援するため、より具体的な表現で実装方法を参照可能な公表情報としての「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」を補足資料として公開しています。同ガイドラインでは、Windows Active Directory環境を対象としてOS、デスクトップアプリ、ブラウザーのセキュリティ設定を具体的に示しています。最新のサイバー攻撃の実態や対応策を記載しているため、今後も状況に応じて対応策や設定値を追加するなど、改訂を続けていく予定です。

このほか、「プロジェクトマネジメント義務および協力義務」の論点では、まず、第一版策定以降に多く出されたITベンダーの「プロジェクトマネジメント義務」とユーザー企業の「協力義務」の裁判例を踏まえた議論が行われました。その結果、裁判例でITベンダーとユーザー企業に求められた行動について、モデル契約書の関連する条項に係る逐条解説で紹介をすることによって注意喚起を行うとともに、システム開発プロセスにおける双方の役割に関する記述を見直しました。さらに、変更の協議不調に伴う契約終了について定めた第38条において、これまでユーザー側からのみの解約を定めていたところ、システム開発プロジェクトを進めることが困難となったような場合に一定の条件のもとでITベンダー側から個別契約を解約することができる条項を、必要に応じて当事者が使用を選択するオプション条項として追記しました。

その他の論点についても、ユーザー側、ベンダー側それぞれの意見を踏まえた見直し検討の経緯及び結果を補足資料「第二版公表にあたって」で公開しています。

IPAは本版の活用により、ユーザー企業、ITベンダー双方が契約時にそれぞれの役割を明確にすることで、システム開発が円滑に進むことを期待しています。

本版および補足資料は、本日よりIPAのウェブサイトからダウンロードが可能です。