SaaS SLAとは？クラウド障害時の「免責条項」の壁とベンダーの重大な過失の立証方法

2026年06月22日

クラウドサービス（SaaS）を業務の中核に据えた企業にとって、サービス停止や障害は事業継続に直結するリスクです。しかし、いざ損害賠償を請求しようとしたとき、契約書に記載されたSLAの「免責条項」が大きな壁となって立ちはだかります。

「SLAに書いてあるから仕方ない」と諦める前に、その免責条項が本当に有効かどうかを確認してください。ベンダーに「重大な過失」があれば、免責条項の適用を排除し、損害賠償を勝ち取れる可能性があります。

この記事を監修したのは

代表弁護士 春田 藤麿

第一東京弁護士会 所属

経歴

慶應義塾大学法学部卒業
慶應義塾大学法科大学院卒業
都内法律事務所勤務
当事務所開設

資格

宅地建物取引士
情報処理安全確保支援士

詳しくはこちら

SLAとは何か――その法的性質と限界

SLAの基本的な意味

SLA（Service Level Agreement：サービスレベル合意）とは、クラウドサービス提供者（ベンダー）と利用者との間で、提供するサービスの品質水準（稼働率・障害復旧時間など）を定めた合意文書です。

一般的なSaaSのSLAには、たとえば次のような記載があります。

• 月間稼働率99.9%を保証する（ダウンタイムは月8.7時間以内）
• SLA未達の場合はサービスクレジット（翌月分の料金割引）を付与する
• 不可抗力その他一定の事由による障害についてはSLAの適用外とする

一見すると「99.9%稼働保証」は心強い約束に見えますが、契約書の全体を読み込むと、損害賠償責任は「サービスクレジットの範囲内に限定する」「損害賠償額の上限は月額料金の○倍まで」「間接損害・逸失利益は賠償しない」といった広範な免責条項が設けられているのが通常です。

SLAが定める賠償は「損害の一部」にすぎない

クラウド障害によって企業が被る損害は多岐にわたります。

• 取引先への納期遅延による損害賠償・違約金
• 受注機会の喪失（逸失利益）
• システム復旧・代替手段確保のための費用
• 顧客信頼の毀損・解約による売上減少

これらと比べると、SLAが約束する「サービスクレジット」（月額料金の数十%程度が多い）は、実際の損害の極めて一部しかカバーしません。「月額10万円のサービスで、クレジットは3万円。でも実際の損害は500万円」という状況が現実に起こり得ます。

SaaS・クラウド利用に関する契約書で押さえるべき重要条項については、こちらの記事で詳しく解説しています。

コラム

2025/11/10

サイバーセキュリティ契約書はテンプレートで十分？委託先管理で押さえるべき重要条項

「免責条項」はなぜ問題になるのか

免責条項の典型的な文言

SaaSの利用規約・契約書に頻出する免責条項の典型例を示します。

これらの条項は、ベンダーにとって「どんな大きな障害を起こしても賠償は限定的」という状況を作り出します。

日本法における免責条項の効力

しかし、契約書に書いてある免責条項が常に法的に有効とは限りません。日本の民法・消費者契約法・不当条項規制の観点から、以下のような場合に免責条項の効力が制限・否定されることがあります。

① 故意・重大な過失による損害への免責は原則として無効

民法上、「故意又は重大な過失による損害」を免責する特約は、公序良俗（民法90条）や信義則に反するとして無効となる場合があります。また、消費者契約法8条1項は、消費者契約において事業者の「故意または重大な過失による損害賠償責任の全部を免除する条項」は無効と定めています。

BtoB取引では消費者契約法の直接適用はありませんが、同法の趣旨は商事取引にも影響を与えており、「重大な過失に基づく損害の全部免責」を認める条項は無効とされるリスクがあります。

▶ 参照：民法（e-Gov法令検索）：https://elaws.e-gov.go.jp/document?lawid=129AC0000000089

▶ 参照：消費者契約法（e-Gov法令検索）：https://elaws.e-gov.go.jp/document?lawid=412AC0000000061

② 定型約款（利用規約）の不当条項規制

民法548条の2以下が規定する「定型約款」の規律の下では、定型約款の条項が「相手方の利益を一方的に害する」ものである場合、合意しなかったものとみなされます（民法548条の2第2項）。一方的に重大な損害を免責する条項は、この規律の対象となり得ます。

▶ 参照：民法第548条の2（定型約款）（e-Gov法令検索）：https://elaws.e-gov.go.jp/document?lawid=129AC0000000089

業務委託やシステム開発契約における免責・機密保持などのセキュリティ条項の設定方法については、こちらの記事でまとめています。

コラム

2025/12/03

外部との契約に必須のセキュリティ条項：機密保持・業務委託・システム開発リスクを最小化するルール設定

「重大な過失」とは何か――立証の鍵

故意・過失・重大な過失の違い

重大な過失は、単なる「ミス」や「不手際」より重い概念ですが、故意ほど厳格ではありません。裁判例では「通常求められる最低限の注意義務すら怠っていた」と評価される場合に認定されています。

SaaS障害における「重大な過失」の具体例

SaaS提供者側の重大な過失として主張・認定されうる事実は次のようなケースです。

システム設計・構築上の重大な過失

• 単一障害点（SPOF）の排除など基本的な冗長化設計が実施されていなかった
• バックアップが存在しない、またはバックアップのリストア検証が一度も行われていなかった
• 既知の重大な脆弱性（CVSSスコア9.0以上など）を長期間放置していた

運用・管理上の重大な過失

• セキュリティパッチの適用を合理的な理由なく何ヶ月も遅延させた
• 監視体制が不十分で、障害の発生に長時間気づかなかった
• インシデント対応手順が未整備で、復旧対応に著しく長時間を要した

告知・開示義務違反

• 既に認識していた重大なシステムリスクを利用者に告知しなかった
• 障害発生後の事実関係・原因について虚偽または不完全な説明をした

クラウド障害・サイバーインシデント発生時に企業が取るべき初動対応フローについては、こちらの記事でわかりやすく解説しています。

コラム

2025/11/06

サイバー攻撃とインシデント対応：企業が危機発生時に取るべきフロー

重大な過失を立証するための証拠収集

被害企業側が重大な過失を立証するためには、以下のような証拠・情報を収集・保全することが重要です。

障害に関する記録の保全

• 障害発生・復旧の時刻を示すシステムログ・エラーログ
• ベンダーからの障害通知メール・インシデントレポート
• サービスステータスページのスクリーンショット（日時入り）
• 自社内で確認した障害状況の記録（担当者のメモ・社内チャット）

ポイント：時刻が明確に記録された状態で保全すること。スクリーンショットはメタデータが残るよう保存する。

ベンダーの技術対応・情報開示の記録

• ベンダーへの問い合わせ履歴・回答メール
• ベンダーが公表した障害原因レポート（RCA：Root Cause Analysis）
• 同種障害の過去の発生履歴（SLAレポート・公開情報）
• SNS・技術ブログ・ニュース記事（他のユーザーの被害報告含む）

ポイント：ベンダーが公表するRCAの内容は「重大な過失」の有無を判断する重要な手がかりになる。

自社の損害を示す証拠

• 取引先への損害賠償・違約金の支払い記録
• 受注できなかった案件・逸失利益を示す書類
• 代替システム導入・復旧作業にかかった費用の領収書・請求書
• 顧客解約通知・売上減少を示す財務資料

外部専門家の意見書

技術的な過失の有無は、一般的には法律の専門家だけでは判断できません。ITセキュリティ・システム開発の専門家による「この設計・運用が標準的な注意義務を満たしていたかどうか」に関する意見書が、裁判における重要な証拠となります。

▶ 参考：IPA「クラウドサービス安全利用の手引き」：https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/sme_guideline_v4.0_app_cloudservice.pdf

損害賠償請求の実務的な進め方

証拠の保全と損害の整理

障害発生直後から、前述の証拠を系統的に収集・保全します。自社が被った損害を項目ごとに整理し、金額を具体化します。

弁護士への相談（早期が重要）

証拠の収集・保全、免責条項の有効性判断、損害額の見通し立て、ベンダーへの交渉戦略は、法律と技術の両面の知識を持つ専門家のサポートが不可欠です。障害発生後できる限り早い段階で弁護士に相談することで、証拠が失われるリスクを防ぎ、適切な対応を取れます。

内容証明郵便による請求

弁護士名義で、ベンダーに対して損害賠償請求の意思表示と証拠保全を求める内容証明郵便を送付します。これは後の訴訟手続においても重要な証拠となります。

交渉・調停・訴訟

ベンダーとの任意交渉から始め、合意できない場合は民事調停・訴訟へと移行します。「重大な過失」の立証が認められれば、免責条項の適用を排除した損害賠償請求が可能となります。

情報セキュリティ関連のトラブルを弁護士に相談・依頼するメリットと選び方については、こちらの記事で詳しく解説しています。

コラム

2025/11/06

深刻化する情報セキュリティリスクへの対応：弁護士に相談・依頼するメリットと選び方

SaaS契約の見直し・交渉のポイント

損害を受けてからでは遅い面もあります。SaaSを新規導入する際や契約更新時には、以下の点を確認・交渉することが重要です。

▶ 参考：経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」：https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudsec2013fy.pdf

▶ 参考：総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン（第3版）」：https://www.soumu.go.jp/main_content/000771515.pdf

サイバーセキュリティ基本法が企業に求める法的責任とリスク対策の要点については、こちらの記事で解説しています。

コラム

2025/12/09

サイバーセキュリティ基本法 解説：企業が知っておくべき法的責任とリスク対策のポイント

よくある質問（FAQ）

Q：SLAの稼働率保証があるのに障害が起きた。すぐに損害賠償請求できますか？

A：SLAの未達だけで直ちに損害賠償請求ができるわけではありません。多くのSaaS契約では「SLAクレジット（料金割引）が唯一の救済手段」と定められています。ただし、ベンダーに故意・重大な過失がある場合はこの限りではなく、クレジットを超えた損害賠償請求が可能です。まず契約書の免責条項の内容と、障害の原因・状況を確認することが先決です。

Q：「重大な過失」は法律上どう判断されますか？

A：「重大な過失」とは、ごくわずかな注意を払えば容易に結果を回避できたのに、著しく注意を欠いた状態をいいます。裁判例では、冗長化設計の欠如・既知脆弱性の長期放置・バックアップ不存在など、業界の通常水準から大きく逸脱した技術的管理の怠慢が認定されています。

Q：クラウドベンダーとの契約は大企業に有利な内容になっていることが多く、交渉できない気がします。

A：特に海外系の大手SaaSでは、利用規約が「ノンネゴシアブル」とされていることも多いです。ただし、エンタープライズプランや大口契約では個別交渉の余地がある場合も多く、また日本法上の強行規定によって一方的な免責条項の効力が制限される場合もあります。弁護士に相談することで、法的有効性の評価と交渉戦略の立案が可能です。

Q：損害賠償請求にはどの程度の時間がかかりますか？

A：任意交渉が成立する場合は数ヶ月、訴訟に至る場合は1年以上かかるケースもあります。また、証拠の保全や時効（障害を知った時から5年、不法行為から20年）の問題もあるため、早期に専門家へ相談することを強くお勧めします。

Q：相手がアメリカ企業の場合、日本の裁判所に訴えられますか？

A：契約書に「準拠法はカリフォルニア州法、裁判管轄はサンフランシスコの裁判所」のような条項がある場合は、原則としてその条項に従う必要があります。ただし、日本に拠点があるベンダーや日本法人との契約の場合は日本での解決が可能なケースもあります。管轄・準拠法の問題は国際的な事件経験を持つ弁護士への相談が不可欠です。

まとめ

クラウド障害時の損害賠償をめぐる法的状況を整理します。

• SLAの免責条項は契約書に書いてあっても、ベンダーに故意・重大な過失がある場合は適用が制限・無効となる可能性がある
• 「重大な過失」の立証には、障害の技術的原因と標準的な注意義務水準との乖離を示す証拠が必要
• 障害発生直後からの証拠保全が損害賠償請求の成否を左右する
• 被害を最小化するためには、契約締結前のSLA・免責条項の事前確認と交渉が最も有効

「クラウド障害で損害を受けたが、免責条項があると言われて諦めている」「SaaS契約の法的リスクを事前に整理したい」といった場合は、法律と情報セキュリティの両面から支援できる専門家に早期に相談することをお勧めします。

春田法律事務所では、情報処理安全確保支援士の国家資格をもつ弁護士と経験豊富なIT人材が連携し、SaaSに関するトラブル対応・契約書レビューを法律・技術の両面からサポートしています。ご相談は土日祝日も24時間受け付けています。

情報セキュリティのコラムをもっと読む

※内容によってはご相談をお受けできない場合がありますので、ご了承ください。