システムの運用・保守業務を委託しようとしたところ,契約書とは別にSLAが提示されました。SLAを確認する上で,特に注意すべき点はありますか。
ユーザとしては,業務・サービスに関して必須と思われる指標が適切な水準で定められているかを確認する必要があります。
また,SLAの定める水準に達しなかった場合にもなんら効果が生じないような構成とされている例もありますので,どのような効果をもたらすものとなっているかという点についても,十分に確認しておく必要があります。

システムの運用・保守や,クラウドサービスの利用に関して,SLA(Service Level Agreement)が締結されることが多くあります。

(a)SLAとは

運用・保守業務といっても,内容が一義的に定まるものではなく,いかなる種類の業務が含まれるのか,さらに,対象の業務その詳細な条件如何については,ベンダとユーザの認識に齟齬が生じることがあります。例えば,「障害対応」という業務が対象となっている場合でも,どの程度の時間間隔で障害を検知しユーザに通知するのか,どの程度の時間で応急対応を行うのかといったことは明らかでなく,ユーザの期待と,ベンダが実際に提供できる業務の品質にギャップが生じる可能性があります。

また,クラウドサービスの場合は,一定の仕様に基づくサービスが提供されるものですが,その品質や性能についても,ユーザとの認識に齟齬が出ることは少なくありません。例えば,「不正アクセスに対して堅牢なシステム」が謳われていたとしても,具体的にどのようなレベルでの安全性を備えているのか明らかではありません。
こうした認識齟齬によるトラブルを防止したり,スムーズな解決を目指したりするために用意されるのがSLA(Service Level Agreement)です。

(b)SLAに定めるべき内容

上記のような認識齟齬の問題を回避すべく,SLAにおいては,提供する業務やサービスの条件をできるだけ定量的に定めることを試みることになります。
具体的には,セキュリティ,保守,サポートデスクといったサービス対象ごとに,可用性,機密性,信頼性,性能などのサービスレベル条件が定められることが多いといえます。

サービス範囲 項目 内容 サービスレベル
セキュリティサービス ウィルス対策 機密性 (検知時間)ウィルスを検知してから通知するまでの時間 15分以内
ファイアウォール 機密性 (検知時間)不正アクセスを検知してから通知するまでの時間 15分以内
保守サービス HW障害対応 可用性 (故障率)一定期間内にHWが故障している時間の比率 0.5%以下
確実性 (復旧時間)障害発生から障害復旧までの時間 3時間以内
ネットワークサービス 回線通信 可用性 (回線稼働率)故障により停止した時間の割合 0.1%以下
帯域保証機能 性能 (帯域保証) あり
障害管理 確実性 (障害復旧時間)異常を検出し,復旧するまでの時間 3時間以内

(図2)SLAの例

ユーザとしては,業務・サービスに関して必須と思われる指標が適切な水準で定められているかを確認する必要がありますし,ベンダとしては,起こりうるトラブル等を想定した上で,実際に提供可能な水準を定めたものとなっているかについて検討しておく必要があります。

(c)SLAの拘束力

SLAを定める,あるいは,提示されたSLAを評価するにあたっては,上表のような具体的内容に加えて,SLAの定める水準に達しなかった場合にどのような効果をもたらすかという点についても,十分に確認しておく必要があります。

SLAが定める水準に達しなかった場合,その程度に応じて利用料金を減額するといった具体的な効果が定められている例もあれば,特段の効果を生じさせない(SLAは単に努力目標を定めたのみ)というものもあります。また,水準に達しなかったことにより,ユーザに損害が発生した場合には,損害賠償の対象になるのかどうかも確認する必要があります。
SLA違反の場合の効果によっては,SLAの意味が大きく異なってくるため,この点を確認することは非常に重要です。

ベンダが単独でSLAを作成したとしても,それが契約書と何ら紐づけられていない場合,当該SLAが法的拘束力を有するものとはならない可能性があります。SLAに従った業務・サービスの提供を法的に義務づける(=不履行の場合に損害賠償・契約解除等の対応をとり得る)ためには,SLAが契約の内容の一部を構成するようにしておく必要があります。

(弁護士 久礼美紀子 H29.2.28)