「オンプレミス型」、「クラウド型」のシステム開発における法律的注意点

システム開発、運用をする場合に、オンプレミス型とクラウド型があります。オンプレミス型は自社内のサーバーや設備にシステムを構築・設置する方式であり、その企業自身がハードウェアやソフトウェアを所有・管理します。一方、クラウド型はインターネット経由で提供されるサービスを利用し、データやアプリケーションがクラウド事業者（サービス提供者）のサーバー上に保存・稼働する方式です​

例えば、自社にサーバーを置いてERPシステムなどを導入するのはオンプレミス型、AWSやAzureなどのクラウドサービス上でシステムを動かすのがクラウド型です。

これら二つの方式では、技術面だけでなく契約関係や法的リスクのポイントも異なります。ここでは、オンプレミス型とクラウド型それぞれのシステム開発において、知っておくべき法的な注意点を解説します。

契約関係の注意点

システム開発契約の基本（請負契約と準委任契約）

システム開発契約には、大きく分けて「請負契約」と「準委任契約（業務委託契約の一種）」の二つの形態があります。

請負契約

ベンダー（受託者）が特定の成果物（完成したシステム）を納品することを約束する契約です。成果物が完成して納入された段階で報酬が発生します。​

請負契約では、納品されたシステムに契約不適合（バグや欠陥）があれば、発注者は修補（バグ修正）や損害賠償を請求できる場合があります。また納期遅延も契約違反となり得ます。そのため成果物の内容や納期を明確に定義し、万が一ベンダーが達成できなかった場合の対応（違約金や契約解除条件など）を契約書で定めておくことが重要です。

準委任契約

ベンダーが一定の業務遂行や作業提供を約束する契約で、​成果物ではなく「時間や労力の提供」に対して対価を払う形態です。
例えばエンジニアを月単位・時間単位で確保し、開発作業を依頼するケースがこれに当たります。契約書では作業範囲や報酬計算方法（例えば「月●●時間まで○○円」など）、契約期間や途中終了の条件などを定めます。

オンプレミス型とクラウド型での契約上の違い

オンプレミス型

オンプレミス型のシステム開発契約では、上記の請負契約や準委任契約によってシステムを開発・納品する契約を結ぶのが一般的です。完成後は、システム一式を自社サーバーに導入し、自社で運用します。この場合、開発契約とは別に保守契約（システム稼働後のサポートやアップデート対応を委うう託する契約）を結ぶことも多いです。

また、ソフトウェアやミドルウェアに他社製品を使う場合は、それらのライセンス契約も必要になります。オンプレミス型では契約交渉の範囲が広く、発注者が契約条件を細かく指定しやすい傾向があります。例えば、成果物の検収方法や受け入れ基準、支払いスケジュール、納品物に問題があった場合の保証内容（一定期間の無償修正など）を詳細に定められます。

クラウド型

一方、クラウド型の場合、基本的にはクラウドサービスの利用契約を結ぶ形になります。クラウドサービス提供企業が提示する利用規約（約款）に同意し、そのサービスを利用する契約です。

クラウド型での開発契約の場合は、完成しクラウド上に格納ソースコードなどのデータの権利関係が、ベンダ側にあるのか、ユーザ側にあるのかを明確にする必要があります。これは契約が終了した場合、これらのデータがどちらに帰属するのかも併せて規定する必要があります。
具体的には、データのエクスポート方法やフォーマット、移行作業における提供者側のサポート内容・費用負担、提供者側でのデータ削除の手順と期限などを取り決めておきます。契約書に「利用者の請求に応じて○○形式で全データを無償で提供する」等の条項があると安心です。

また個人情報などの重要データの管理権はどちらにあるのか、漏洩した場合の責任も明記しておく必要があるのでしょう。

クラウド型のシステム開発の注意点

クラウド型を採用する際に経営者が特に懸念すべきなのがベンダーロックインのリスクです。ベンダーロックインとは、一度特定のサービスや技術を採用すると、その環境に依存して他社サービスへ乗り換えが難しくなる状態を指します。クラウドではデータやプログラムがベンダ側に置かれるため、契約終了後に他社クラウドやオンプレ環境へ移行する際、提供者の協力が不可欠になるケースが多々あります​。

たとえばクラウド上に蓄積した顧客データをエクスポートしたり、システムを別環境に再構築する作業には、ベンダ企業からデータを受け取る手続きやサポートが必要です。ベンダ側がスムーズに対応してくれないと、移行に支障が出たり、最悪の場合データを失うリスクもあります。

システム障害・データ消失時の責任範囲

オンプレミス型の障害

自社内に構築したシステムで障害が発生した場合、まず責任はサーバを構築する側にあります。ハード故障や停電などインフラ障害への備え、日常のデータバックアップは当該会社の課題です。ただし、障害原因が納品物の不具合（バグ）だった場合は、契約に基づき開発ベンダーの責任にあります。

多くの開発契約では検収後一定期間の契約不適合責任が定められ、期間内であれば無償修正を求められます。例えば「納品後6ヶ月以内に発見された重大な不具合は無償で修正する」といった条項です。仮にその不具合で業務に損害が出た場合、損害賠償請求が認められるかは契約内容と過失の程度によります。

請負契約でベンダーに過失がある不具合なら損害賠償も視野に入りますが、契約で上限金額が定められていることが多いです。一方、準委任契約では結果保証がないので、障害が起きても契約違反とは言えず、ベンダーの明確な過失（ミスや怠慢）が証明できない限り賠償請求は難しくなります。

クラウド型の障害

クラウドサービスでシステム障害やデータ消失が起きた場合、責任の所在は契約内容（SLAや利用規約）に従って判断されます。一般にクラウド提供者は契約で自らの責任を大幅に限定しており、例えば「障害時の直接損害について、直近○ヶ月分の利用料金を上限に賠償」「間接損害や逸失利益は免責」といった規定があります​

そのため、クラウド上の障害で利用企業が被った損失（業務停止による売上損失など）は、契約上請求できないか、できてもごく限定的な額になるケースが多いです。実例として、ある企業がクラウドストレージに保存していた重要データを消失した事故では、利用規約に「データのバックアップ・復旧は最終的に利用者の責任」と明記されており、クラウド事業者は責任を負わない立場です。