2020年4月に施行される改正民法(*1)では、「瑕疵担保責任」が「契約不適合責任」となり、「引渡しから1年以内に瑕疵の修補」とされていたものが「契約不適合の事実を知った時から 1年以内に通知。権利行使は最長10年。」としています。これを受け多くの企業・組織では、契約書雛形の変更、契約内容の見直しの必要が生じました。
また、2019年は内部不正により委託先からHDDが廃棄されずに転売され情報が漏洩したり、クラウドサービスが長時間停止し業務が停止したり、といったサプライチェーン上の信頼を脅かすようなセキュリティ事故が発生しました。これらの報道を契機に、中には過去の取引実績や現在の契約内容が自社のリスクに見合っているのかといったことを再点検する企業もありました。
このような企業の問題意識を受け、IPAではITシステムやサービスの業務委託契約書見直しの契機と実際の見直し状況について、2019年度に実態調査を行いました。その結果、企業規模の違いにより法改正の認知度や取組みの状況に差があるという実態が分かりました。具体的には、中小企業の委託元ではセキュリティ事故の教訓が対策の見直しにつながりにくいといったことです。
調査の概要と明らかになった調査結果のポイントは次のとおりです。
1.契約に関係する民法改正の内容を知っていたのは、大規模企業1/3、中規模小企業1/4
120年ぶりの大改正と言われた民法は2017年6月2日に公布され、2017年12月に施行日2020年4月1日と決定しました。
調査の結果、大規模企業の72.5%、中小規模企業の61.6%の人が民法改正を知っていましたが、契約に関連する改正内容については大規模企業1/3、中規模小企業1/4にとどまり、あまり認識されていないことが分かりました。

図1:設問「民法改正(2020年4月から施行)により契約における考え方
(瑕疵担保責任や準委任契約など)が変更になる事を知っていますか?」(全員対象)
【設問番号 Q2 参照】
2.「契約書雛形の見直し」は大規模企業5割、中小規模企業3割が実施
大規模企業5割以上、中小規模企業の3割以上が民法改正に対応した契約書の雛形の見直しに着手していました。なお、「既に見直しを行った」「見直し中」と回答した人の約7割が2020年3月までに見直し完了予定と回答しています。

図2-1:設問「民法改正に伴い、自社の業務委託契約に関する
契約書の雛形の見直しを行う予定はありますか?」
(対象 自社で契約書の雛形を有する企業の従事者(「わからない」回答者を除く))
【設問番号 Q4-5 参照】

図2-2:設問「民法改正に伴い業務委託契約に関する
契約書の雛形の見直しを完了した時期、もしくは、完了する予定をお伺いします」
(対象 「既に見直しを行った」「見直し中」と回答した人)
【設問番号 Q4-6 参照】
3.セキュリティ要件の検討において必要なものは「何を決めるべきかのガイドライン」
セキュリティ要件を決める上での困りごとや課題として委託元52.3%、委託先の37.0%が「社内に十分な知見・スキルを持った人材が不足している」を上げており、ともに1位となっています。そして困りごと、課題解決のために最も必要な情報は「何を決めるべきかのガイドライン」でした。

図3:設問「業務委託契約に関するセキュリティ要件を決める上での
困りごとや課題を解決するために、最も知りたい情報は何ですか?」
(対象 知りたい情報ある契約関連業務の従事者 n=1996)
【設問番号 Q17-1 参照】
4.セキュリティ事故を契機として契約内容や情報の取り扱いを確認した企業が多い
リース機器が返却後に内部不正により転売され、情報漏えいが発生したセキュリティ事故は、委託元、委託先、再委託先というサプライチェーン上で発生した事故として注目されました。
委託先では7割以上、委託元でも規模により若干差がみられるものの6割前後の企業が、契約内容や情報の取り扱いについて確認を行っていました。

図4:設問「(セキュリティ事故を契機として)IT機器やストレージに関する
リース契約内容や情報の取り扱いについて確認を行ったことがありますか?」
(対象 IT機器をリースしている会社の契約実務担当者)
【設問番号 Q29 参照】
5.クラウドサービスの契約見直しはリスクの変化に応じて実施することが必要
2019年度は世界中で利用されている大手クラウド事業者でのサービス停止や自治体で利用するクラウドサービスの停止、データ消失といったセキュリティ事故が発生しました。クラウドサービスの利用方法や障害によるビジネスへの影響度などを確認し、リスクに応じた契約の見直しをすることが重要です。
調査結果からは、中小規模の委託元では6割、大規模の委託元、及び委託先では7割前後の企業が契約内容の確認を行っていました。
クラウドサービスで利用されることが多い利用規約(定型約款)は、民法改正で2020年4月以降、内容が見直されることがあります。利用にあたっては、クラウド事業者からの通知に留意する必要があります。(*4)

図5:設問「(セキュリティ事故を契機として)クラウドサービスの契約内容の確認を
行ったことがありますか?」
(対象 クラウドサービスを利用している会社の契約実務担当者)
【設問番号 Q31 参照】
IPAでは、今後もITサプライチェーンのセキュリティ要件や責任範囲の明確化について、事例や実態把握等の調査・分析を行っていきます。
(*1)
(*2)
調査対象としたITシステムやITサービスの業務委託・受託契約には以下のような業務が含まれる。
- システム・ネットワーク構築
- システム運用・管理
- ソフトウェア開発(貴社固有のアプリケーションソフトウェアを開発する業務を指し、パッケージソフトウェアを利用した事例も含む)
- アプリケーション保守
- ソフトウェアサポートサービス
- システム・ハードウェア保守
- Webサイト構築・運用
- サービス提供(ASP、SaaS等)
- インフラ提供(IaaS、ホスティング等)
- データ処理・分析
- コンサルティング
- フォレンジック
- 監視サービス
(*3)
委託元企業は、ITシステム・サービスを主に発注する企業・組織である。委託先企業はITシステム・サービスを主に受注する企業と受注、発注の両方を行う企業・組織が含まれる。委託元企業については、勤務先企業の総従業員数(役員、社員、職員、パート、アルバイト等を含む)が301人以上を大規模企業、300人以下を中小規模企業とする。委託先企業については101人以上を大規模企業、100人以下を中小規模企業とする。
(*4)
IPA セキュリティセンター セキュリティ対策推進部 小山/小川
TEL:03-5978-7530 FAX:03-5978-7513 E-mail: