顧客データの利用・返却・削除─SaaS規約の設計ポイント
弁護士 濵田建介SaaSビジネスにおいて、顧客データの取り扱いは事業の信頼性を左右する重要な要素です。利用規約や契約書で顧客データ条項を適切に設計しておかなければ、サービス運営中のトラブルはもちろん、解約時の紛争にも発展しかねません。本記事では、SaaS事業者が顧客データ条項を作成する際に押さえるべきポイントを、法的観点から整理します。
本記事の想定読者
- SaaS事業を立ち上げ準備中のベンダー
- 顧客データに関する条項をどう定めるべきか迷っている方
- 顧客データの利用範囲、返却、削除などの論点を整理したい法務担当者
結論:顧客データ条項は「定義・権利帰属・利用範囲・終了時対応」の4軸で設計する
顧客データ条項を設計する際は、
①顧客データの定義
②権利帰属の明確化
③ベンダーによる利用範囲の設定
④サービス終了時の返却・削除義務
という4つの軸を意識することが重要です。
これらを体系的に整理することで、顧客との認識齟齬を防ぎ、法的リスクを低減できます。
「顧客データ」の定義が曖昧だとトラブルの原因になる
顧客データに含まれる情報の範囲を明確にする
「顧客データ」という言葉は一見明確に思えますが、実際には何を指すのか曖昧なケースが少なくありません。顧客がアップロードしたファイル、入力した情報、サービス利用に伴い生成されたログデータなど、どこまでを顧客データとして扱うかを明確に定義する必要があります。
定義条項のサンプルと作成時の注意点
定義条項では、「顧客データとは、顧客が本サービスにアップロード、入力または送信した一切のデータをいう」といった基本的な記載に加え、除外されるデータ(システムログ、匿名化済みデータなど)を明記することが有効です。
顧客データの権利帰属は原則「顧客に帰属」と明記する
権利帰属を曖昧にした場合のリスク
顧客データの権利帰属を明記しないと、「データはベンダーのものではないか」という誤解が生じたり、解約時にデータ返還を巡る紛争が発生したりする可能性があります。顧客データは原則として顧客に帰属する旨を明確に規定しておくべきです。
ベンダーが保持すべきライセンス条項の書き方
一方で、ベンダーがサービスを提供するためには、顧客データを処理・保存する権限が必要です。そこで、「顧客は、ベンダーに対し、本サービス提供に必要な範囲で顧客データを利用する非独占的ライセンスを付与する」といったライセンス条項を設けることが一般的です。
ベンダーによる顧客データ利用の範囲をどこまで認めるか
サービス提供目的の利用は当然に認められる
ベンダーは、どの範囲で顧客データを利用することが許されるのでしょうか。
まず、サービスを正常に稼働させるためのデータ処理は、契約の本質的な内容として当然に認められます。この点は利用規約で確認的に記載しておくとよいでしょう。
サービス改善・分析目的の利用には明示的な許諾が必要
機能改善や新サービス開発のために顧客データを分析利用する場合は、その旨を明示的に規定し、顧客の許諾を得る必要があります。特に個人情報が含まれる場合は、利用目的の特定という観点からも慎重な設計が求められます。
第三者提供・マーケティング利用の可否と条件
顧客データを第三者に提供したり、マーケティング目的で利用したりする場合は、より厳格な許諾取得が必要です。個人情報保護法上の規制も踏まえ、オプトイン(事前同意)方式を採用することが望ましいケースが多いでしょう。
サービス終了時のデータ返却・削除義務の定め方
返却方法・形式・期間を具体的に規定する
解約時のデータ返却については、返却可能な形式(CSV、JSONなど)、返却手続きの方法、対応期間を具体的に定めておくことが重要です。曖昧な規定は解約時のトラブルの原因となります。無理な返却要求をお断りできるように、対応できること・しないことの線引きを明確にしておきます。
削除義務の範囲とバックアップデータの扱い
データ削除義務についても、バックアップデータを含むか、完全削除までの猶予期間をどう設定するかなど、実務上対応可能な範囲で規定する必要があります。
顧客が対応しない場合の取扱いを明記する
顧客が返却請求やデータエクスポートを行わないまま一定期間が経過した場合の取り扱いも、あらかじめ規定しておくことでリスクを軽減できます。
利用規約・個別契約・DPAの役割分担
利用規約には基本的なデータの取り扱い方針を記載しますが、すべての詳細を盛り込むことは現実的ではありません。
大口顧客との取引では、個別契約やサービス仕様書でデータの取り扱いに関する詳細を補完することが一般的です。
GDPRの適用を受ける場合や、顧客から要請がある場合は、DPA(Data Processing Agreement)を別途締結することを検討しましょう。
専門家に相談すべきケース
個人情報の大量処理や要配慮個人情報(健康情報など)を扱う場合、海外顧客へのサービス提供を予定している場合、既存の利用規約を大幅に改定する場合などは、法的リスクを適切に評価するためにも、専門家への相談をお勧めします。
まとめ:信頼されるSaaS事業のための顧客データ条項設計
顧客データ条項は、SaaS事業の信頼性を支える重要な契約要素です。定義・権利帰属・利用範囲・終了時対応の4軸を意識し、自社のサービス特性に合った条項設計を行いましょう。ご不明な点がございましたら、当事務所までお気軽にご相談ください。
\ 最新情報をチェック /
