情報処理推進機構(IPA)は12月22日、デジタルトランスフォーメーション推進に向け、情報システム開発委託契約のひな型である「情報システム・モデル取引・契約書」第二版を公開した。
今回公開する第二版は、2007年の第一版公開時からの情勢変化に応じて見直しが必要とされた論点を反映している。主な論点は、「セキュリティ」「プロジェクトマネジメント義務および協力義務」「契約における『重大な過失』の明確化」「システム開発における複数契約の関係」「再構築対応」だという。
「セキュリティ」では昨今のサイバーセキュリティの重要性を鑑みて、システムに実装するセキュリティ仕様をユーザー企業とITベンダー双方が協議して決めることが必要であることから、モデル契約書におけるセキュリティに関する条項と解説を充実させている。
具体的には、セキュリティの定義規定を追加するとともに、ITベンダーとユーザー企業がセキュリティをめぐって取るべきコミュニケーションについて、セキュリティの基準等が確立しているかどうかに応じて、2パターンの条項で規定するなどの見直しを行っている。
さらに、条項以外の解説においてもユーザー企業とITベンダーが、システム開発の各フェーズにおいて、セキュリティに関してそれぞれ行うべきことについて加筆したという。
加えて、ユーザー企業とITベンダーがコミュニケーションしながらセキュリティ仕様を策定するプロセスを解説した「セキュリティ仕様策定プロセス」と、セキュリティ仕様の検討を技術的に支援するため、より具体的な表現で実装方法を参照可能な公表情報としての「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」も補足資料として公開されている。
同ガイドラインでは、Windows Active Directory環境を対象としてOS、デスクトップアプリ、ブラウザーのセキュリティ設定が具体的に示されている。最新のサイバー攻撃の実態や対応策を記載しているため、今後も状況に応じて対応策や設定値を追加するなど、改訂を続けていく予定だという。
他にも、「プロジェクトマネジメント義務および協力義務」の論点では、第一版策定以降に多く出されたITベンダーの「プロジェクトマネジメント義務」とユーザー企業の「協力義務」の裁判例を踏まえた議論が行われた。
その結果、裁判例でITベンダーとユーザー企業に求められた行動について、モデル契約書の関連する条項に係る逐条解説で紹介をすることによって注意喚起を行うとともに、システム開発プロセスにおける双方の役割に関する記述を見直したという。
その他の論点についても、ユーザー側、ベンダー側それぞれの意見を踏まえた見直し検討の経緯および結果を補足資料「第二版公表にあたって」で公開されている。
【関連記事】
・IPA、ユーザー主体のシステム開発を支援する「ユーザのための要件定義ガイド 第2版」を公開
・IPA、「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」報告書を公開
・IPA、「サイバーセキュリティ経営ガイドラインVer 2.0 実践のためのプラクティス集」を公開
・未完成のシステムに払ったお金、検収済みでも返金してもらえるのか?
・「契約の目的」をクリアにしないことで陥る落とし穴
