概要
ソフトウェア、SaaS、ライセンスに関するIT法契約は、オランダ民法典第6巻の債務法一般法によって規定されています。公式の英語訳については、以下を参照してください。 オランダ民法典第6巻(債務及び契約)これらのルールに基づいた確固たるIT法務契約は、テクノロジープロバイダーとその顧客双方を保護します。
デジタル時代において、IT法と技術法は企業にとって極めて重要です。ソフトウェア開発を行うテクノロジー企業、ITシステムを導入する企業、データプライバシーコンプライアンスを扱う組織など、どのような企業であっても、専門的な法的アドバイスはイノベーションを保護し、規制遵守を確実にします。当事務所は、GDPR(一般データ保護規則)への準拠、データ処理契約、ソフトウェアにおける知的財産権の保護なども網羅しており、お客様の技術と顧客データがオランダおよび欧州の規則を遵守するようサポートいたします。
At 法律 &Moreは、テクノロジー企業、スタートアップ企業、そして一般企業に対し、IT法、サイバーセキュリティ、デジタルコンプライアンスのあらゆる側面についてアドバイスを提供しています。 Eindhoven テクノロジーエコシステムにおいて、私たちはソフトウェア企業、SaaSプロバイダー、ハードウェアメーカー、そしてデジタルイノベーターと幅広く連携しています。当社のIT弁護士は、技術的な知識と法的専門知識を融合させ、デジタル環境におけるお客様のビジネスを保護します。
最新の洞察
IT法に関する記事
私たちの活動
ソフトウェアライセンスおよびSaaS契約
GDPRコンプライアンスとデータ保護
プライバシーポリシーとデータ処理契約
IT契約およびベンダー契約
サイバーセキュリティとデータ侵害への対応
知的財産とソースコードの保護
クラウドコンピューティング契約
電子商取引とオンラインプラットフォームの規制
AIと新興技術に関する法律
技術紛争と責任
選ばれる理由 Law & More
テクノロジー業界とデジタルビジネスモデルに関する深い専門知識
ブレインポートに位置する Eindhoven テクノロジーエコシステム
ソフトウェア開発とIT運用に関する実践的な理解
スタートアップ、スケールアップ、エンタープライズクライアントでの経験
国際的なテクノロジー企業向けの多言語サービス
よくある質問 – IT法
IT法に関するよくある質問を、専門家がお答えします。
処理契約書は、GDPRに基づき、管理者と処理者の間の取り決めを記録したものです。これには、処理の対象、期間、性質、目的、個人データの種類とデータ主体のカテゴリー、セキュリティ対策、下請け業者の利用、データの返却または削除に関する義務など、様々な事項を明記する必要があります。当社は、データ処理契約書(DPA)が万全なものとなるよう、作成およびレビューを行います。
受注開発ソフトウェアの著作権は、書面による別段の合意がない限り、原則として開発者に帰属します。したがって、権利の取得を希望する顧客は、明確な譲渡証書または包括的なライセンス契約書を用意する必要があります。既存のコンポーネント、オープンソース、および使用権についても取り決めを行う必要があります。当社は、知的財産権の保護を万全にいたします。
SLA(サービスレベル契約)は、可用性、応答時間、サポート、保守期間など、ITサービスの品質に関する合意事項を記録したものです。これらの基準を満たせない場合、多くの場合、ペナルティやサービスクレジットが課されます。明確なSLAは、「良質なサービス」の意味に関する紛争を防ぎ、サービス不履行が発生した場合に顧客に具体的な交渉力をもたらします。当社は、バランスの取れたSLAの作成と、サプライヤーのSLAのレビューを行っています。
オープンソースコンポーネントは無料で利用できますが、適用されるライセンスの条件に従う必要があります。一部のライセンス(コピーレフトなど)では、派生ソースコードの公開が義務付けられており、商用ソフトウェアに影響を与える可能性があります。ライセンス一覧とコンプライアンスポリシーを策定することで、意図しない義務や権利侵害を防ぐことができます。当社は、オープンソースの責任ある利用についてアドバイスを提供します。
NIS2指令は、重要かつ不可欠なセクターに属する中規模および大規模組織の幅広いグループに対し、サイバーセキュリティに関する要件を定めています。この指令では、リスク管理措置、インシデント報告、経営陣の責任などが求められています。違反した場合、多額の罰金が科される可能性があります。弊社は、お客様がNIS2指令の対象となるかどうか、また、どのように準拠すればよいかを判断するお手伝いをいたします。
クラウドサービスにおいては、可用性、セキュリティ、データ、バックアップの責任範囲、そして責任の限定方法が重要です。サプライヤーとの契約には広範な免責条項が含まれていることが多く、顧客としてはこれらの条項を慎重に評価し、必要に応じて調整することが不可欠です。解約およびデータ返却に関する取り決めも明確に規定されている必要があります。弊社は、お客様に代わってこれらの条件交渉を行います。
欧州経済領域(EEA)域外への個人データ移転は、十分なレベルの保護が保証されている場合に限り許可されます。例えば、十分性認定や追加措置を含む標準契約条項などが挙げられます。重要な判例が存在するため、慎重な評価が必要です。当社は、合法的な国際データ移転および必要な文書作成についてアドバイスを提供いたします。
厳密には必要不可欠ではないクッキーやトラッカーを設置するには、原則としてユーザーの事前の同意が必要です。クッキーに関する声明を通じて、透明性を確保する義務も生じます。不適切なクッキーバナーや、実際には強制的な「同意」は、法的措置のリスクを生じさせます。当社は、お客様のクッキーソリューションの合法性を評価いたします。
営業秘密は、秘密性、価値、そして合理的な保護措置によって保護されている場合に保護されます。法定保護に加え、契約書や雇用契約書における守秘義務および競業避止義務の条項も不可欠です。侵害が発生した場合、差止命令や損害賠償などを請求することができます。当社は、契約上および実務上の両面から、お客様のノウハウの保護を支援いたします。
紛争は、遅延、欠陥、追加作業、または契約解除に関するものであることが多いです。最初のステップは、契約内容と納品された成果物を精査し、その後、根拠に基づいた請求を行い、必要に応じて債務不履行通知を送付することです。交渉や調停による解決がうまくいかない場合は、訴訟手続きに進む可能性があります。当社は、最初の催促から法廷に至るまで、お客様の利益を代表して対応いたします。
譲渡契約の場合、ソフトウェアの著作権は顧客に永久的に移転しますが、ライセンス契約の場合は、作成者が権利を保持し、使用権のみを付与します。特注ソフトウェアの場合は、この点を事前に合意しておく必要があります。合意がない場合、権利は開発者に留まります。
ウェブショップは、販売者の身元、税込み価格、配送料、返品権、支払い方法などを明確に表示しなければなりません。必須情報が欠けている場合、返品期間が延長され、規制当局から罰金が科される可能性があります。
DPIA(データプライバシー影響評価)は、大規模なプロファイリングやビデオ監視など、高いリスクをもたらす可能性のあるデータ処理におけるプライバシーリスクを評価するための必須のツールです。この評価結果は、データ処理を開始する前に適切な対策を講じるのに役立ちます。
SaaS契約では、可用性、セキュリティ、データ損失、および賠償責任の上限に関する取り決めが定められています。結果的損害の免責条項、賠償責任の上限額、および契約終了時のデータ返却と削除に関する取り決めに注意してください。
個人データの処理を委託する第三者と契約する場合、セキュリティ、機密保持、下請け業者、データ侵害の報告に関する取り決めを含むデータ処理契約を締結する必要があります。データ管理者として、合法的な処理に対する最終的な責任は依然としてあなたにあります。
重要な法律用語
重要な用語を分かりやすい言葉で説明
GDPR(一般データ保護規則)
2018年5月に発効した、EU全体の個人データ処理に関する規則です。組織の所在地を問わず、EU居住者の個人データを処理するすべての組織に適用されます。主要原則:処理の法的根拠、目的の限定、データの最小化、正確性、保存期間の制限、セキュリティ、説明責任。透明性(プライバシーポリシー)、データ主体の権利(アクセス、訂正、消去、ポータビリティ)の有効化、高リスク処理に関するデータ保護影響評価、および特定のケースにおけるデータ保護責任者の任命が求められます。違反は72時間以内に監督当局に報告する必要があります。罰金は最大2,000万ユーロまたは世界年間売上高の4%に達する可能性があります。各国のデータ保護当局(オランダではAutoriteit Persoonsgegevens)によって執行されます。
SaaS 契約(サービスとしてのソフトウェア)
クラウドベースのソフトウェア配信モデル。顧客はソフトウェアをローカルで購入してインストールするのではなく、サブスクリプションベースでインターネット経由でアプリケーションにアクセスします。SaaS契約では、サービスレベル(稼働率の保証、サポート対応時間)、データの所有権と可搬性(顧客が所有権を保持し、データのエクスポートが可能)、セキュリティ対策と認証、機能とアップデート、拡張性、統合機能、契約終了と移行のサポート、価格モデルについて規定する必要があります。従来のライセンスとの重要な違いは、顧客がソフトウェアを所有しないこと、ベンダーがインフラストラクチャとアップデートを管理すること、データがベンダー側にあること、そして契約が一度限りではなく継続的であることです。よくある問題としては、サービスの中断、データ漏洩、ベンダーロックイン、顧客のセキュリティ要件への準拠などが挙げられます。適切に構成されたSaaS契約は、ベンダーの運用柔軟性と顧客の信頼性およびデータ保護のニーズをバランスよく満たします。
データ処理契約(DPA)
GDPRに基づき、データ管理者とデータ処理者の間で個人データの処理方法を規定する契約を締結する必要があります。クラウドストレージ、メールマーケティング、給与計算サービスなど、データ処理を委託するベンダーを雇用する場合、あなたは管理者となり、ベンダーは処理者となります。DPAには、処理の対象と期間、処理の性質と目的、個人データとデータ主体の種類、管理者の権利と義務、処理者の義務を明記する必要があります。処理者は、管理者の指示に従い、適切なセキュリティ対策を講じ、承認されたサブプロセッサーのみを使用し、データ主体の要求や違反通知に対応し、サービス終了時にデータを削除または返却し、コンプライアンスを遵守する必要があります。適切なDPAがない場合、両当事者はGDPR違反のリスクを負うことになります。標準的な処理者契約はベンダーに有利な場合が多いため、管理者は自らのリスクプロファイルと規制上の義務に沿った保護策について交渉する必要があります。
ソースコードエスクロー
ソフトウェアベンダーが中立的な第三者機関(エスクローエージェント)にソースコードを預け、指定されたトリガーイベント(ベンダーの倒産、ソフトウェアの保守失敗、契約違反)が発生した場合に、エスクローエージェントが顧客にソースコードを提供する契約。ベンダーが製品をサポートできない場合でも、プロプライエタリソフトウェアに依存している顧客が困窮するのを防ぎます。エスクロー契約では、預ける資料(ソースコード、ビルド手順書、ドキュメント)、預ける頻度(メジャーリリースごと)、検証手順(コードが実際にコンパイルできるか)、リリース条件を定義します。エンタープライズソフトウェア取引、特にミッションクリティカルなシステムでは一般的です。費用は通常、年間2,000~10,000ユーロです。ベンダーは、管理負担が増え、知的財産が露出する可能性があるためエスクローに抵抗しますが、エンタープライズ取引を締結するにはエスクローが必要になることがよくあります。完全なソリューションではありません。ソースコードがあっても、顧客には複雑なソフトウェアを保守するための専門知識が不足している可能性があります。代替案としては、必須のサポート条件や運用保証などがあります。
AI法(EU人工知能法)
2025年から2027年にかけて段階的に導入される、人工知能システムに関する包括的なEU規制。リスクベースのフレームワークを構築:禁止AI(ソーシャルスコアリング、リアルタイム生体認証監視)、高リスクAI(雇用ツール、信用スコアリング、重要インフラ - 適合性評価、登録、継続的な監視が必要)、限定リスクAI(チャットボット、ディープフェイク - 透明性要件のみ)、最小リスクAI(ほとんどのアプリケーション - 特定のルールなし)。高リスクシステムは、データ品質、技術文書、透明性、人間による監視、精度、サイバーセキュリティ、およびリスク管理の要件を満たす必要があります。汎用AIモデルには追加の義務があります。各国当局による執行により、最高35万ユーロまたは世界売上高の7%の罰金が科せられます。EU市場にAIを展開するプロバイダーと、EU内の高リスクシステムのユーザーに適用されます。開発者にとってコンプライアンスの負担は大きくなりますが、法的確実性をもたらします。EUの顧客にサービスを提供する国際企業は遵守する必要があります。
eIDAS(電子識別および信頼サービス)
EU加盟国における電子署名、印鑑、タイムスタンプ、その他のトラストサービスに関する法的枠組みを確立する規則。署名レベルは、シンプル(電子的な承認表示)、アドバンス(署名者に一意にリンクされ、署名者を識別し、単独管理下で安全な手段を用いて作成)、クオリファイド(認定証明書と安全なデバイスを用いた高度な署名、手書きと法的に同等)の3段階に分けられます。認定トラストサービスプロバイダーは、厳格なセキュリティおよび監査要件を満たす必要があります。EU加盟国1カ国からの電子署名は、他のすべての国でも承認される必要があります。契約書については、一般的にシンプル署名で十分ですが、クオリファイド署名は特定の法的行為にのみ必要です。セキュリティと法的確実性を維持しながら、ペーパーレス取引を可能にします。オランダでは、電子署名法を通じて導入されました。デジタル経済とリモートビジネスにとって重要です。以前の電子署名指令をより包括的な枠組みに置き換えました。
知的財産譲渡
知的財産権の創作者から第三者への譲渡。オランダ法では、知的財産権は自動的には譲渡されません。雇用契約においては、雇用主が従業員の成果物を所有する例外が設けられますが、契約で明示的に譲渡されない限り、請負業者が権利を保持します。書面による譲渡は明確かつ包括的でなければなりません。「[定義された成果物]に関するすべての権利、権原、および権益(すべての著作権、特許、商標、営業秘密、および関連する権利を含む)を譲渡する」という文言が用いられます。譲渡は即時または有償で行うことができます。著作者人格権(帰属、完全性)はオランダでは原則として譲渡できませんが、放棄することは可能です。譲渡対象(特定のコード、すべての成果物、将来の改良?)、範囲(全世界?特定の利用分野?)、対価(支払い、株式、その他の価値交換)を明記することが重要です。適切な譲渡が行われない場合、企業は支払ったはずの対価を所有できない可能性があります。これは、ソフトウェア開発、コンテンツ制作、そしてあらゆる委託クリエイティブワークにおいて不可欠です。
SLA(サービスレベルアグリーメント)
ITサービスの可用性、応答時間、サポートなど、合意された品質レベルを記録した契約書。多くの場合、これらの基準を満たさなかった場合のサービスクレジットやペナルティが規定されている。
ソフトウェア著作権 (Auteursrecht op Software)
ソフトウェアの無断複製または公開から製造者を保護する権利。特注品の場合、書面による譲渡がない限り、原則として開発者に権利が帰属する。
オープンソースライセンス (オープンソースライセンス)
特定の条件下でソフトウェアの使用、改変、配布を許可するライセンス。一部の(コピーレフト)ライセンスでは、派生ソースコードの公開が義務付けられている。
NIS2 ディレクティブ (NIS2-richtlijn)
欧州の法律は、重要かつ不可欠な分野の幅広い組織に対し、より厳格なサイバーセキュリティ要件を課し、リスク管理、インシデント報告、および経営陣の責任に関する義務を定めている。
クラウドコンピューティング(クラウドコンピューティング)
インターネット経由でストレージ、コンピューティング能力、ソフトウェアなどのITサービスを取得すること。クラウド契約においては、可用性、セキュリティ、データ保存場所、責任、および解約に関する取り決めが特に重要となる。
データ漏洩(データリーク)
セキュリティ侵害とは、個人データの破壊、紛失、改ざん、または不正アクセスにつながる事象を指します。GDPR(一般データ保護規則)では、特定の状況下において、データ侵害は監督機関およびデータ主体に報告されなければなりません。
コントローラー (Verwerkingsveranttwoordelijke)
個人データの処理の目的と手段を決定する当事者であり、したがってGDPRの遵守について第一義的な責任を負う。
プロセッサー(Verwerker)
管理者の代理として個人データを処理する当事者。例えば、クラウドサービスプロバイダーなど。これに関する取り決めは、データ処理契約書に記載されます。
企業秘密(Bedrijfsgeheim)
秘密情報、商業的に価値のある情報、および合理的な措置によって保護されている情報。不正な取得または開示があった場合、差止命令や損害賠償などが請求できる。
撤回の権利 (Herroepingsrecht)
消費者は、オンラインまたは実店舗で締結した購入について、理由を問わず、かつ法定のクーリングオフ期間内であれば、契約を解除する権利を有する。ウェブショップは、この点について明確に告知しなければならない。
DPIA(データ保護影響評価)
個人情報に重大なリスクをもたらす可能性のあるデータ処理について、プライバシーリスクを義務的に評価する。この評価結果は、組織が処理開始前に適切な技術的および組織的措置を講じるのに役立つ。
エスクロー契約 (Escrow-overeenkomst)
ソフトウェアのソースコードを独立した第三者に預託する取り決め。例えば、供給元が倒産したり、ソフトウェアの保守を停止したりした場合に、顧客はソースコードにアクセスできるようになる。
処理の記録 (Verwerkingsregister)
組織は、データ保護法で義務付けられているとおり、個人データの処理活動の概要(目的、データの種類、保存期間など)を保管しなければならない。
標準契約条項(SCC)
欧州委員会が採択したモデル契約条項は、十分性認定を受けていないEU域外の国への個人データ移転に対して、適切なレベルの保護を提供するものである。
デジタルサービス法(DSA)
違法コンテンツへの対処、広告の透明性、ユーザー保護など、オンラインプラットフォームや仲介業者に義務を課す欧州の法律。
