システムの開発をベンダーに委託し、その後も同じベンダーに保守を委託していましたが、その後、保守や改修について別のベンダーとの契約に切り換えたり、システムを自社で内製化することはできるのでしょうか。

昨今、既存ベンダーが法的・技術的にユーザーを既存ベンダーに依存させるベンダーロックインが問題となっています。ユーザーにおいては、事前・事後対策を講じて切換え・内製化を進めていく必要があります。


1.ベンダー切換え・内製化時の問題の所在

 ある企業が自社システムの全部又は一部について、その開発をベンダーに委託し、その後も同じベンダーに保守を委託しているという状況において、いわゆる「ベンダーロックイン」という状況に陥ってしまい、ユーザー側にベンダーを選ぶ余地がなくなってしまうことがあります。
 ここでいう「ベンダーロックイン」とは、公正取引委員会の定義に従えば、「ソフトウェアの機能改修やバージョンアップ、ハードウェアのメンテナンス等、情報システムを使い続けるために必要な作業を、それを導入した事業者以外が実施することができないために、特定のシステムベンダーを利用し続けなくてはならない状態のこと」をいいます[1]

 その原因としては、既存ベンダーしか既存システムの機能詳細を把握していないとか、既存ベンダーのみが既存システムに保存されるデータを把握・管理しているなどという技術上の問題も挙げられますが、法的な観点からいえば、以下のような問題が考えられます。

①既存システムに関する知的財産権(主にソースコードの著作権)が既存ベンダーに帰属しており、ユーザーが勝手に改変したり、別ベンダー修正・変更させることなどができない。
②仕様書等の既存システムに関する資料が秘密情報と指定され、ユーザーがこれを参考に別システムを開発することなどができない。また、別ベンダーに当該資料を開示できない。
③ユーザーが既存システムの利用を通じて蓄積したデータを保有していない。また、別システムに重要なデータを移行できない。

 以下、これらの問題と対策についてご説明いたします。

2.既存システムに関する知的財産権について

 ベンダーがユーザーからの委託に応じてシステムを開発する際、その成果物であるシステムに関して知的財産権(主にソースコードの著作権。以下著作権を念頭に置いて述べます。)が生じます。
 そして、契約上何ら規定していない場合、その著作権は原則として創作者であるベンダーにすべて帰属するということになります。
 そうであるからこそ、システム開発委託契約においては、成果物に関する知的財産権がどちらに帰属するかを定める規定が重要となります。
 この点、権利帰属の中間的な落としどころとして、例えば、委託料を受領して今回新たに開発した部分の権利についてはユーザーに帰属し、従前からベンダーがその著作権を保有している部分(例えば、汎用的な自社パッケージソフトウェア部分等)については、ベンダーが引き続き保有するというような規定が見受けられます。
 このような場合、既存システムの(重要な)一部について、ベンダーが著作権を保有し続けるため、ユーザーが当該部分についてベンダーの許諾なく複製、改変したり、第三者へ譲渡したりすることができないということになります。

 このような著作権によるベンダーロックインへの対策としては、成果物の著作権をユーザーに帰属させる規定にすることや、そうでなくても、ユーザー自身による改変行為等についてベンダーから予め許諾を受けておくなどの契約上の対処が考えられます。
 その他、実務的な対処としては、システムの構成を検討するにあたり、ベンダー保有のパッケージソフトウェアを使用するのではなく、オープンソースソフトウェア(ソースコードが公開されており、ライセンス条件を遵守することにより自由に利用することができるソフトウェアのこと。)を利用することができないか検討するということも選択肢に入ります。
 また、方法を工夫することにより、既存システムのソースコードを参考にして、新たなシステムを構築することも考えられます。著作権が保護しているのはソースコードの具体的記述のみであって、システムの機能やアイデアそのものは保護していないこと、及び、既存の著作物を知らずに偶然に類似の著作物を創作してしまった場合には著作権侵害が成立しないと解されている(いわゆる「依拠」の要件。)ことから、既にソースコードを閲覧・記憶してしまったユーザー側の開発担当者がその機能やアイデアのみを抽出し、別の担当者や外部の別ベンダーに当該抽出情報のみを提供し、新たにソースコードを記述してもらうという方法(いわゆるクリーン・ルーム手法)をとることができます。
 なお、そもそもユーザーがベンダーからソースコードの引渡しを受けることができず、閲覧・カスタマイズ等ができないという問題もあり得ます。この点は以下の記事をご参照ください。

https://www.it-houmu.com/archives/2204

3.仕様書等の資料について

 仮に著作権等の知的財産権の問題がクリアできたとしても、契約上、既存システムに係る仕様書等の資料(記載の情報)が秘密情報に指定されており、これを第三者に開示してはならない、また、既存システムの開発・使用目的以外に使用してはならないなどの規定が設けられている場合があります。
 また、ここまで具体的に指定されていなくとも、「秘密である旨が明示されている情報」が秘密情報に指定されている場合に、ベンダーが提出した仕様書等の資料に「Confidential」等と表記されていることにより、同様の目的外使用禁止が問題となる場合があります。
 これらの場合、ユーザーが当該資料を参考にして別システムを開発しようとしても、そのような開発行為は秘密情報の目的外使用に該当するため、契約違反であるなどとの主張がベンダーからなされるおそれがあります。
 また、別ベンダーに開発を委託しようとすると、当該資料について秘密情報として第三者への開示禁止規定に反することになるため、やはり契約違反のおそれが生じます。
 仮に、ユーザーが仕様書等の資料を今後も活用していくか、又は別ベンダー等の第三者に開示していく必要があることが予想されるのだとすれば、当該情報を「秘密情報」の定義から除外しておくなどの工夫が必要となります。
 事後的に上記のような資料等が秘密情報と判明した場合には、そのような資料の参照・流用は避け、ユーザー側において新たに仕様書等を作成して、システムを開発すべきということになります。

4.データに関する権利について

 ユーザーが既存システムから別システムに移行しようとする場合に、既存システムに蓄積されたデータを移行したいと考えることがあります。
 しかし、このような場合に、必ずしも既存システムのベンダーがユーザーからの要望に応じてデータを提供(ないし移行作業に協力)してくれるとは限りません。それどころか、ベンダーしか把握・管理し得ないような内部データがある場合や、ユーザー単独では既存システムからデータを出力することが困難、ベンダーの協力を求めた場合等において、ベンダーがそのデータを引き渡さないなど、非協力的な態度を取ることにより、ユーザーを囲い込むというケースがあります。
 これに対して、ユーザーはどのような権利で対抗できるのかというと、実は、法律上(限定提供データ等の一部例外を除いて)「データに関する権利」というのは存在しませんので、ユーザー側から、契約上の規定なくベンダーが保有しているデータの引渡しを求めたりすることはできません。
 したがって、データに関するベンダーロックインにおいてはとりわけ、契約上ないしシステム構成上、ユーザに対するデータへのアクセス権を得ておく、データ移行時のベンダーの協力義務を明示しておく、ベンダーがデータ自体を独立して納品すべき義務を規定しておく、システム移行しやすいようなデータ形式等を指定しておくなど、事前の対策が重要となります。

5.おわりに

 以上のとおり、ベンダーロックインについては法的論点が多数あり、冒頭に掲げたとおり、公正取引委員会も問題視しています。既存ベンダーからの切換え、内製化を検討しているユーザーにおいては、事前・事後対策を講じて法令、契約等に違反しないように注意する必要があります。

2024年9月9日


[1] 公正取引委員会「官公庁における情報システム調達に関する実態調査報告書」(令和4年2月)https://www.jftc.go.jp/houdou/pressrelease/2022/feb/220208_system/220208_report.pdf