SaaS・IT企業の法務｜利用規約・決済フロー・SES契約の実務を弁護士解説

この記事でわかること

• SaaS利用規約・決済フロー・SES契約で押さえるべき法的論点
• 個人情報保護法・知的財産・生成AI利用にまつわる実務上の注意点
• シード期から上場準備期まで、フェーズ別に必要な法務体制

この記事のポイント

• SaaS利用規約は「料金・解約・データ・SLA・損害賠償上限」の5点が要
• SES契約は指揮命令権の所在を契約と運用の両面で整理しないと偽装請負リスクが残る
• 個人情報・OSS・生成AIの取扱いは、フェーズに応じてルール化と社内教育を進めるべき

「利用規約はテンプレで足りるのか」「SES契約は派遣と何が違うのか」「個人情報の越境移転はどこまで許されるのか」。SaaS・IT企業の経営者から、こうしたご相談をいただく機会が増えています。

結論からお伝えすると、SaaS・IT領域の法務は「契約書・規約のテンプレ流用」では事故が起きやすい分野です。プロダクトの設計、決済・データの流れ、開発体制（自社開発か業務委託か）、利用するOSSや生成AIまで含めて、事業実態に合わせて条項と運用ルールを設計する必要があります。

本記事では、SaaS・IT企業の経営者・法務担当者が押さえておくべき主要論点を、利用規約・決済・SES契約・個人情報・知的財産・フェーズ別法務の順で整理します。

SaaS利用規約で必ず押さえるべき5つの条項

SaaS利用規約は、料金・解約・データ取扱・SLA（サービスレベル）・損害賠償上限の5点が中核となります。テンプレートを流用しただけのものだと、自社プロダクトの実態に合わず、解約時のトラブルや高額な損害賠償請求のリスクが残ります。

料金条項では、月額・年額・従量課金の構造、最低利用期間、自動更新の有無、値上げ時の通知義務などを明記します。サブスクリプションモデルでは「中途解約時の返金しない」旨と、その合理性（消費者契約法10条との関係）を意識する必要があります。BtoB向けでも、相手が個人事業主の場合は消費者契約法が適用される余地があり要注意です。

解約・データ返還条項では、解約後にユーザーデータをいつまで保管し、いつ削除するか、エクスポート機能を提供するかどうかを明記します。「契約終了後30日以内にエクスポート可能、その後は削除」のようなルールは、データロックインの懸念を避ける意味でも重要です。

SLAでは稼働率（例：99.5%）と、未達時の補償（翌月の利用料金から控除など）を定めます。損害賠償上限は「直近12か月の利用料金相当額を上限とする」とするのが一般的ですが、故意・重過失の場合は適用除外になる点も併せて整理が必要です。データ取扱については、個人情報・機密情報の扱い、AI学習への利用可否などを明文化しておくべきです。

決済フローの設計と資金決済法・割賦販売法との関係

SaaSの決済フローは、自社で決済代行業者（Stripe、GMOペイメントゲートウェイなど）を介してクレジットカード決済を行うのが一般的です。この場合、自社が「加盟店」として割賦販売法上の各種義務（カード情報の非保持化、加盟店調査への協力など）を負います。

注意したいのは、自社プラットフォーム上で「ユーザー間の送金」「ポイントのチャージ・払い戻し」を行う場合です。これらは資金決済法上の「資金移動業」「前払式支払手段」に該当する可能性があり、登録・届出が必要になることがあります。「弊社のプラットフォームは送金機能がある」と気軽に始めてしまうと、無登録で資金移動業を営んだことになり罰則の対象となるため、設計段階での法務確認が必須です。

また、サブスク決済ではチャージバック（カード会社からの返金請求）への対応も避けて通れません。利用規約に「不正利用が判明した場合の対応」を明記し、決済代行業者との契約条件（チャージバック手数料、ペナルティ）も把握しておく必要があります。

さらに、特定商取引法上の「通信販売」に該当する場合、表示義務（事業者名・住所・連絡先・解約方法など）を満たさないと行政処分の対象になります。BtoB SaaSでも、特商法は表示義務の対象になるため、規約とは別に「特定商取引法に基づく表記」ページの整備が必要です。

SES契約と業務委託・派遣契約の境界線（偽装請負リスク）

IT企業で多いのが、SES（システムエンジニアリングサービス）契約のトラブルです。SES契約は法的には「準委任契約」として整理されることが多く、形式上は業務委託です。しかし実態として、発注者側が直接エンジニアに作業指示を出していると、労働者派遣法に違反する「偽装請負」となります。

偽装請負は、労働局の指導・是正勧告の対象となるだけでなく、悪質な場合は「労働者派遣法違反」として罰則（1年以下の懲役または100万円以下の罰金）の対象にもなります。さらに、エンジニア側から「実態は派遣だったので直接雇用を求める」と主張され、労働契約申込みみなし制度（労働者派遣法40条の6）が適用されるリスクもあります。

境界線のポイントは、指揮命令権の所在です。SES（準委任）であれば、発注者は「成果物・業務範囲」を指定するだけで、具体的な作業手順・勤怠管理は受託会社（SES企業）が行います。派遣であれば、派遣先が直接指揮命令を出せます。

実務上は、SES契約書に「指揮命令系統は受託者の管理者を介する」と書いていても、現場では発注者の社員がSlackで直接エンジニアに指示を出している、というケースが頻発します。契約書の文言だけでなく、運用面でも線引きを徹底することが、偽装請負を回避する鍵です。発注側も受注側も、定期的に運用実態を点検する仕組みを入れることをお勧めします。

個人情報保護法（APPI）改正とSaaS事業者の対応

個人情報保護法は近年、頻繁に改正されており、SaaS事業者が押さえるべきポイントは増え続けています。特に重要なのは、クッキー等の取扱い、第三者提供の規制、越境移転の同意、漏えい時の報告義務の4点です。

クッキーやCookie ID単独では「個人情報」に該当しないとされていますが、提供元では個人データに該当する情報を、提供先で個人情報と紐付ける場合は「個人関連情報」として、第三者提供時に本人同意の取得確認が必要になります（個人情報保護法31条）。広告計測タグやMAツール連携を実装している場合は要確認です。

越境移転については、AWS・Google Cloud等の海外リージョンを利用している場合、原則として本人の同意が必要です（28条）。ただし、十分性認定を受けているEU・英国のリージョンや、提供先が「基準適合体制」を整えている場合は同意不要とされる例外があります。プライバシーポリシーで「データ保管地域」「移転先国」を明記する運用が一般化しています。

漏えい等が発生した場合、個人情報保護委員会への報告（速報3〜5日以内、確報30日以内）と本人への通知が義務化されています。SaaS事業者にとって、インシデント発生時の初動フロー（社内エスカレーション、調査、報告書作成、本人通知）をあらかじめ設計しておくことは、もはや必須事項です。

知的財産（OSS・コード著作権・生成AI）の実務

IT企業の知財論点は、OSS（オープンソースソフトウェア）の利用、コードの著作権帰属、職務発明、そして近年は生成AIの利用に集約されます。

OSS利用では、ライセンス類型（GPL、MIT、Apache 2.0など）ごとの義務（ソースコード開示義務、著作権表示義務など）を理解しないまま自社プロダクトに組み込むと、ライセンス違反となる可能性があります。GPLライセンスのコードを組み込んだプロダクトは、ソースコード公開義務（コピーレフト）が及ぶ場合があり、SaaSのコア競争力を毀損するリスクがあります。OSSライセンス管理ツールの導入と、ライセンスポリシーの明文化が望まれます。

コードの著作権については、業務委託したエンジニアが書いたコードの著作権は、契約で明示的に譲渡しない限り受託者に帰属します。「成果物の著作権は委託者に譲渡する（著作者人格権を行使しない）」旨の条項を契約書に必ず入れる必要があります。社員が業務として書いたコードは「職務著作」として原則会社に帰属しますが、職務発明（特許）については、会社帰属とする旨の規程整備（職務発明規程）が必要です。

生成AI利用は、コード生成（GitHub Copilot等）、文章生成（ChatGPT等）の業務利用が広がっていますが、入力した情報がモデル学習に使われる可能性、出力物の著作権、第三者の権利侵害（学習データに起因する類似性）などのリスクがあります。社内ガイドラインで「機密情報の入力禁止」「出力物のレビュー必須」などを定めることが、最低限の防衛策となります。

スタートアップのフェーズ別法務（シード〜上場準備）

スタートアップの法務ニーズは、フェーズによって大きく変わります。

シード期は、共同創業者間契約、ストックオプション設計、シード投資契約（J-KISS、コンバーティブルノートなど）が中心です。創業株主間契約（CFA）を作っていないと、共同創業者の離脱時に株式を回収できず、後の資金調達に支障が出ます。

シリーズA〜Bでは、投資契約・株主間契約・財産分配契約のレビュー、優先株式の設計、第三者割当増資の手続きが入ります。VCとの交渉では、優先分配権、希薄化防止条項、ドラッグアロング権などの条件が今後の経営自由度を左右します。

シリーズC以降〜上場準備では、内部統制（J-SOX）、契約書管理体制、就業規則・労務コンプライアンス、関連当事者取引の整理、反社チェック体制、サイバーセキュリティ対応など、上場審査で見られる項目を計画的に整備していきます。上場準備は最低でも上場の2〜3年前から本格化させる必要があります。

顧問弁護士をつけるタイミングは、シード期からをお勧めします。早期から法務基盤を整えておけば、シリーズB以降のデューデリジェンスで指摘事項が積み上がる事態を避けられます。

FAQ：よくある質問

Q1. 利用規約のテンプレートをそのまま使うのは危険ですか？

テンプレートは出発点としては有用ですが、自社プロダクトの料金体系・データ取扱・SLA・損害賠償の上限などは個別事情に応じて調整する必要があります。特に解約時のデータ返還や、損害賠償の上限設定はトラブルになりやすいため、弁護士の確認をお勧めします。

Q2. SES契約で偽装請負と指摘されないために何をすべきですか？

契約書で受託者側に指揮命令権を置くだけでなく、運用面でも発注者社員が直接エンジニアに作業指示を出さないルールを徹底することが重要です。Slackやチャットでの連絡経路、勤怠管理、評価権限などを点検しましょう。

Q3. 個人情報の越境移転で同意が不要になるのはどんな場合ですか？

移転先国が「十分性認定」を受けている場合（EU・英国）や、移転先事業者が「基準適合体制」を整備している場合は本人同意が不要とされる例外があります。ただし、プライバシーポリシーでの情報提供義務は残るため、移転先国・体制を明記する運用が一般的です。

Q4. 生成AI利用について、社内ルールはどう作ればよいですか？

最低限「機密情報・個人情報の入力禁止」「出力物の人によるレビュー必須」「第三者著作物との類似性チェック」の3点を盛り込むのが基本です。利用ツール、利用目的別にルール化し、社内研修で浸透させることをお勧めします。

まとめ

SaaS・IT企業の法務は、契約書のテンプレ流用では事故が起きやすい分野です。利用規約の5条項（料金・解約・データ・SLA・損害賠償）を中心に、決済フロー・SES契約・個人情報・知的財産・フェーズ別の体制まで、事業実態に合わせた設計が必要です。

• 利用規約は5条項を軸にプロダクト実態に合わせて調整する
• SES契約は契約条文と運用実態の両面で偽装請負を回避する
• 個人情報・OSS・生成AI利用はガイドライン化と社内浸透がセット
• スタートアップは早期から顧問弁護士をつけておくと後の資金調達がスムーズ

弁護士法人ブライトでは、SaaS・IT企業の利用規約整備、SES契約の点検、個人情報対応、スタートアップ法務まで、フェーズに応じた支援を行っています。お気軽にご相談ください。

無料相談はこちら

関連記事

• 業種別 顧問弁護士の選び方
• 顧問弁護士の料金体系完全ガイド
• 退職者からのノウハウ流出・引き抜き対策

関連記事

• 資金決済法×プラットフォームの落とし穴【基礎編】
• 規約・決済フローの実務チェック【実務編】
• プライバシーポリシー整備の実務
• 委託先管理の実務｜APPI第25条
• システムトラブル損害賠償