IPA、DXの推進に向け情報システム開発委託契約のひな型となる「情報システム・モデル取引・契約書」第二版を公開

　独立行政法人情報処理推進機構（IPA）は22日、デジタルトランスフォーメーション（DX）の推進に向け、情報システム開発委託契約のひな型となる「情報システム・モデル取引・契約書」第二版を公開した。

　経済産業省が2018年9月に公開した「DXレポート」では、デジタルトランスフォーメーションを円滑に進めるために、ユーザー企業、ITベンダーがそれぞれの役割を変化させ、新たな関係を構築していく必要性が示された。また、そのためには情報システム開発の委託契約のあり方について見直しが必要であると指摘されている。

　IPAではこれを受け、経済産業省が2007年に公開した「情報システム・モデル取引・契約書」について、ユーザー企業、ITベンダー、業界団体、法律専門家の参画を得て見直しを検討してきた。2019年12月には、民法改正に直接関係する論点を見直した「情報システム・モデル取引・契約書」＜民法改正を踏まえた、第一版の見直し整理反映版＞を先行して公開している。

　今回、公開する第二版は、2007年の第一版公開時からの情勢変化に応じて見直しが必要とされた論点を反映している。主な論点は、「セキュリティ」「プロジェクトマネジメント義務および協力義務」「契約における『重大な過失』の明確化」「システム開発における複数契約の関係」「再構築対応」となっている。

　「セキュリティ」では、昨今のサイバーセキュリティの重要性をかんがみて、システムに実装する「セキュリティ仕様」をユーザー企業とITベンダー双方が協議して決めることが必要であることから、まず、モデル契約書におけるセキュリティに関する条項と解説を充実させた。具体的には、セキュリティの定義規定を追加するとともに、セキュリティ条項の第50条について、より踏み込んだ形で、ITベンダーとユーザー企業がセキュリティをめぐって取るべきコミュニケーションについて、セキュリティの基準などが確立しているかどうかに応じて、2パターンの条項で規定するなどの見直しを行っている。さらに、条項以外の解説においても、ユーザー企業とITベンダーがシステム開発の各フェーズにおいて、セキュリティに関してそれぞれ行うべきことについて加筆した。

　さらに、ユーザー企業とITベンダーがコミュニケーションしながらセキュリティ仕様を策定するプロセスを解説した「セキュリティ仕様策定プロセス」と、セキュリティ仕様の検討を技術的に支援するため、より具体的な表現で実装方法を参照可能な公表情報としての「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」を補足資料として公開している。同ガイドラインでは、Windows Active Directory環境を対象として、OS、デスクトップアプリ、ブラウザーのセキュリティ設定を具体的に示している。最新のサイバー攻撃の実態や対応策を記載しているため、今後も状況に応じて対応策や設定値を追加するなど、改訂を続けていく予定としている。

　「プロジェクトマネジメント義務および協力義務」の論点では、第一版策定以降に多く出されたITベンダーの「プロジェクトマネジメント義務」とユーザー企業の「協力義務」の裁判例を踏まえた議論が行われた。その結果、裁判例でITベンダーとユーザー企業に求められた行動について、モデル契約書の関連する条項に係る逐条解説で紹介をすることによって注意喚起を行うとともに、システム開発プロセスにおける双方の役割に関する記述を見直した。さらに、変更の協議不調に伴う契約終了について定めた第38条において、これまでユーザー側からのみの解約を定めていたところ、システム開発プロジェクトを進めることが困難となったような場合に一定の条件のもとでITベンダー側から個別契約を解約することができる条項を、必要に応じて当事者が使用を選択するオプション条項として追記した。

　その他の論点についても、ユーザー側、ベンダー側それぞれの意見を踏まえた見直し検討の経緯および結果を、補足資料「第二版公表にあたって」で公開している。

　IPAでは、第二版の活用により、ユーザー企業、ITベンダー双方が契約時にそれぞれの役割を明確にすることで、システム開発が円滑に進むことを期待するとしている。