法人向け損害保険のご相談で、最近多いご相談がシステム開発時のトラブルです。
特にクラウドサービスやアプリのようにエンドユーザーを抱えるサービス提供会社と、サービス開発会社の「BtoBtoC」の訴訟は、経営に直結する深刻なトラブルに発展してしまう可能性があります。
そこで今一度、開発・運用のIT事業を行う企業様の注意点をご紹介いたします。
※ 本記事は、追記・修正して2025年11月11日に再度公開しました。
「BtoBtoC」とは
「BtoBtoC」とは「Business to Business to Consumer」の略で、「Business to Business to Consumer」の略で、最初の企業(B1)が別の企業(B2)に商品やサービスを提供し、そのB2が消費者(C)に販売するモデルです。このモデルでは、最初のビジネス(BtoBでの最初の「B」)がサービス提供者として行動し、商品やサービスを別のビジネス(BtoBでの2番目の「B」)に提供し、それが製品をパッケージ化し、マーケティングし、最終的な消費者(BtoBでの「C」)に販売します。
例:マーケットプレイス型EC
メーカーや小売店がモールに出店し商品を消費者に提供する「楽天市場」「Amazon」等
この構造では、トラブルが発生した際に『消費者→サービス提供者→開発会社』と責任が連鎖しやすく、訴訟や損害請求が複雑化します。
このほかにも問屋・卸売業、流通業・金融業など様々な業種でBtoBtoCモデルが存在しますが、本コラムではITの「BtoBtoC(B2B2C)」についてご説明させていただきます。
IT系「BtoBtoC」のシステム開発は?
IT系のBtoBtoCには、消費者(あるいは顧客)と提供会社をつなぐプラットフォームとサービスが存在するケースが多いです。例:「クラウドサービス」「業務システム」等
IT系のBtoBtoCモデルには、エンドユーザーと提供会社をつなぐプラットフォームやアプリケーションが存在します。
クラウドベンダーやSaaS企業のように自社で開発体制を持つ企業も増えていますが、非IT業種の企業が自社ブランドでサービスを展開する場合には、システム開発を専門のベンダー(システムインテグレーター)に委託するケースが一般的です。
このように、外注先のベンダーが設計・構築を担い、提供会社が運用・サービス提供を行う形が、BtoBtoCの典型的な構図です。
プロジェクトが完了した後も、SIerはアップグレード・障害対応・継続的な改善などの必要に応じて、システムやサービスの保守やサポートを提供するケースも見られます。
なお、システム開発を受託する企業を「ベンダー(vendor)」、開発を依頼する企業を「ユーザー(user)」と呼びます。
システム開発におけるトラブルの原因
プラットフォームサービスは高度な開発技術を要しますが、システム開発では発注側と開発側の認識のずれや、契約内容の不明確さが原因でトラブルが発生するケースが少なくありません。特に、業務範囲や成果物の完成基準があいまいなまま契約を結ぶと、後に責任の所在が不明確になり、紛争へ発展するおそれがあります。
実際のシステム開発現場では、次のような点がトラブルの原因となることが多く見られます。
▼契約・法務上の不備
・業務範囲や成果物の完成基準が曖昧
・知的財産権(著作権や利用権)の帰属が不明確
・請負契約か準委任契約か曖昧
▼ 要件・仕様の不十分な定義
・要件定義書の記載が抽象的で、性能・品質要件が明確でない
・セキュリティ要件や可用性要件の合意不足
・サーバーサイジングや運用体制を設計段階で十分検討していない
▼ 手続・合意形成の欠落
・仕様変更や追加要望の合意方法が契約で定められていない
・検収の手続きが契約で定められていない
・未確定の項目を「後日協議」として放置している
なぜ「BtoBtoC」のトラブルは深刻なのか
もし納品後にシステムに不具合があった場合、クライアントより「事業中断に伴う逸失利益(事業に支障が生じたことに伴う減収金額)」が請求される可能性があります。さらに問題となるのは、クライアント企業のサービス利用者にまで被害が及んだ場合です。
その対応として企業が商品券などを「お詫びの見舞い」として配布するケースがあり、その費用をベンダー側に請求される事例も見られます。
被害が深刻な場合は、エンドユーザーからサービス提供者(ユーザー)へ、サービス提供者からベンダーへと玉突き的に損害賠償責任が波及する可能性があります。
このように、ユーザー対応・代替提供・再発防止など、現実的な負担はクライアントやベンダー双方に波及します。
しかし、こうしたトラブルが発生した場合でも、賠償責任の範囲は契約条項によって明確に定められているのが一般的です。
多くのシステム開発契約では、
・特別損害(例:逸失利益等)を免責とする、
・損害賠償額の上限を契約金額までとする
といった条項が置かれます(重過失等を除くのが通例)。
なお、IPA(情報処理推進機構)が公表する「システム開発・保守委託契約モデル」でも、損害賠償責任について次のように定められています。
IPA「システム開発・保守委託契約モデル」(令和4年改訂版)より
1. 受託者の責めに帰すべき事由により甲(発注者)に損害が生じた場合、受託者はこれを賠償する。
2. ただし、特別損害(逸失利益を含む)については賠償責任を負わない。
3. 賠償額の上限は、当該契約金額を超えないものとする。ただし、故意または重過失の場合はこの限りでない。
※出典:IPA「情報システム・モデル取引・契約書(第二版)」〈令和4年改訂〉第20条(損害賠償責任)
「瑕疵が重過失にあたる場合」は、上記の「故意または重過失の場合」に該当し、
この場合は契約金額の上限を超えて損害賠償責任を負う可能性があります。
このように、損害賠償責任の範囲は契約で明確に定めることが重要です。
特に、逸失利益を含む特別損害の扱いや、重過失に該当する場合の上限適用除外については、事前に当事者間で合意を確認しておく必要があります。
システム開発トラブルの予防と対策
契約内容を明確に定義する
① 業務範囲と成果物の基準・契約書に業務範囲および成果物の完成基準を明示する。
・要件が未確定な場合は、未確定事項として文書化し、後日合意の対象とする。
② 契約形態と変更管理
・業務内容に応じて「請負契約」か「準委任契約」かを明確に区分する。
・不確定要素がある場合は、仕様変更の承認手続を契約条項として定める。
・契約締結前の作業着手は禁止し、正式な契約発効後に業務を開始する。
③ 支払条件
・支払時期・検収条件などを「別途協議」ではなく、契約書で確定させる。
④ 権利・責任の明確化
・知的財産権の帰属および利用範囲を契約に明記する。
・契約書に損害賠償の範囲を明示する。
・「重大な過失」の定義(例:データ消失・情報漏えい等)を明示し、責任範囲を明確化する。
要件定義の明確化
要件定義は、システム開発における品質と責任範囲を決定づける最重要工程です。曖昧な記述や認識の齟齬を防ぐため、次の点を徹底します。・専門用語や略語は定義を明確にし、不明確な表現を排除する。
・要件定義段階で、機能仕様・非機能要件・品質基準を文書化する。
・サーバーサイジングおよび性能要件に関する責任範囲を契約上明確にする。
・データ移行・初期設定・運用引継ぎなどを初期段階から計画に組み込む。
プロジェクト推進体制の整備
プロジェクトを円滑に進めるには、発注者・受託者双方が協働体制を構築し、情報共有の仕組みを明確にすることが重要です。・ユーザー企業とベンダー企業は、共通の目標と進行計画を共有し、相互に責任を果たす。
・定期的な進捗会議や連絡協議会を設置し、課題や変更事項を文書で合意する。
・意思決定ルートと承認手続を明確化し、属人的な判断を排除する。
検収と品質確認の徹底
検収は、成果物の完成を法的に確定させる重要な手続です。曖昧な対応は後日の紛争原因となるため、厳格に運用します。・検収条件および支払条件を契約で明示し、双方の合意に基づいて検収を実施する。
・検収後に不具合が判明した場合は、速やかに報告・原因分析・再発防止策を共有する。
・不具合の報告や修正依頼は口頭ではなく、必ず記録(メール・チケット等)として残す。
上記の対策により多くのトラブルは未然に防ぐことが可能ですが、契約ではカバーしきれないリスクに備えるため、損害保険の活用を検討することが望ましいでしょう。
IT事業者が備えるべき損害保険
IT事業者の業務には、クライアントのシステムやデータに関わるさまざまなリスクが伴います。代表的なものとして、次のような事例が挙げられます。
・情報漏えい
・営業損害
・データの破壊、改ざん、消去
・サーバーやネットワークの停止
これらのリスクは、IT事業者向け損害保険によって補償できる場合があります。
IT事業者向けの損害保険の補償範囲
IT事業では、業務の性質上、以下のような事故やトラブルが発生する可能性があります。主なリスク例
・クライアントのシステムから顧客情報が漏えいした
・納品した業務システムの不具合により、データが破損・消去された
・システム停止やサーバーダウンにより、エンドユーザーの利用が不能になった
・開発中に自社がサイバー攻撃を受け、納期に遅延が発生した
・従業員が顧客データを不正に持ち出した
このような人的ミス・システム障害・サイバー攻撃などによる損害についても、IT事業者向けの損害保険に加入していれば、発生した損害に対し以下のような補償を受けられる場合があります。
事故対応に関する補償
・原因調査・復旧費用
・再発防止策の策定費用
・システム復旧・運用再開のための作業費用
・利用者へのお詫び対応費(通知・案内等)
・専門家(弁護士・コンサルタント等)への相談費用
損害賠償に関する補償
・損害賠償金および訴訟対応費用
・システム停止に伴う利益損失への補償
・風評被害への対応費(広告・広報活動等)
※補償範囲は保険会社やプランによって異なるため、詳しい内容は弊社までお問い合わせください。
※開発の遅れに関しては、遅れた原因が「サイバー攻撃を受けた結果の遅れ」等であれば対象になるケースがありますが、単なる納期遅れは通常のサイバー保険では補償の対象外となりますのでご注意ください。
情報漏えい後の調査や報告費用も保険がサポート
なお、2022年4月に改正個人情報保護法が施行され、不正アクセスによる情報漏洩の場合は1件から報告義務があり、1,000人以上の情報漏洩は大規模漏洩扱いとなり、より厳重な報告対応が必要となりました。報告にあたっては被害範囲の特定や原因の調査が必要となり、調査費用としてサーバー1台あたり20〜100万円程度が必要なため、調査だけで数千万と莫大な費用となるケースもあります。
システム開発におけるトラブルは、技術的な要因だけでなく、契約・体制・コミュニケーションの不備によって発生します。
予防の第一歩は「契約で明確化すること」、そして「万一に備えて適切な保険でリスクを可視化すること」です。
IT事業者が安心して開発・運用に専念できる環境を整備するためにも、リスクマネジメントの視点を持つことが重要です。
当サイトの運営会社ファーストプレイスでは、IT事業者向けのサイバー保険、IT事業者向け業務過誤賠償責任保険、IT事業者向けのE&O保険を取り扱っています。
上記保険を扱うメガ損保大手5社の保険料を無料で一括見積もり・比較いたします。
▶ サイバー保険 一括見積はこちら(無料)
当サイトを運営する「ファーストプレイス」では、
大手5社のサイバー保険の保険料を、無料で一括比較・見積りいただけます。
- 東京海上日動火災保険株式会社
- 三井住友海上火災保険株式会社
- 損害保険ジャパン株式会社
- あいおいニッセイ同和損害保険株式会社
- AIG損害保険株式会社
ECサイトやWebサービスを提供している企業様は、IT業務を提供する企業様向けの「IT業務用サイバー保険一括見積サイト」もご検討ください。
引用:
経済産業省「情報システム・ソフトウェア取引トラブル事例集」
IPA「情報システム・モデル取引・契約書(第二版)」
