IT業者の責任範囲を契約書で明確にする条項例と交渉ポイント

「IT業者に発注したのに、障害が起きたら『それは契約範囲外』と言われた」——中小企業の経営者や情シス兼任担当者から最も多く聞くIT外注トラブルの原因は、責任範囲の曖昧さです。契約時にスコープを明確にしないまま発注すると、障害時のたらい回し・追加費用の青天井・情報漏洩時の賠償不能という三重のリスクを抱えることになります。

この記事では、IT業者との契約書において責任範囲を明確にするための具体的な条項例と、業者との交渉で主導権を握るためのポイントを解説します。士業所長・情シス兼任担当者を中心に、ITに詳しくない経営者でも実践できる内容にまとめました。

IT業者との契約で「責任範囲」が曖昧なまま進む3つのリスク

「とりあえず発注して、細かいことは後で」——こうした進め方がITプロジェクトの失敗を招きます。特に中小企業では、IT業者との契約時に責任範囲を明文化しないケースが多く、後になって深刻な問題が発生します。具体的なリスクを3つ挙げます。

1. 障害対応の”たらい回し”

社内ネットワークが突然使えなくなったとき、ルーターを管理するA社に問い合わせると「サーバー側の問題では？」と言われ、サーバー保守を担うB社に問い合わせると「回線側の問題では？」と返ってくる——こうした”たらい回し”は責任範囲の境界が不明確なときに起きます。業者Aの守備範囲と業者Bの守備範囲の間に”空白地帯”が生まれ、業務が数時間～数日停止するケースは珍しくありません。

実際、ある士業事務所では顧客データベースへのアクセス障害が4時間続き、対応費用35万円を全額自己負担することになりました。原因は保守契約書に「ハードウェア障害のみ対応」とだけ書かれており、クラウドサービス側との連携対応が誰の責任かを定めていなかったことでした。「システム構成図」で業者ごとの管轄範囲を図示する対応があれば、この問題は防げた可能性があります。

2. 追加費用の青天井化

システム開発・改修の現場では「仕様変更は都度見積もり」という条項が盛り込まれることがあります。何が仕様変更に当たるかを明確にしないままスタートすると、当初の依頼範囲のはずだった作業が「追加作業」として請求されるトラブルが発生します。

ある情シス兼任担当者は、クラウド移行プロジェクトで当初見積もり200万円に対して最終的に310万円を支払った事例を報告しています。「データ移行テスト」「初期動作確認」「マニュアル整備」がすべて「契約範囲外の追加作業」として個別請求されたのです。これら3項目は契約書に「含む/含まない」のどちらも明記されていませんでした。業務仕様書を別紙で作成し、対象業務と非対象業務を明示することがこのリスクの根本的な解決策です。

3. 障害時の損害賠償請求ができない

業者の過失でデータが消失したり、セキュリティ設定のミスで情報漏洩が起きたりした場合、適切な損害賠償条項がなければ法的救済が難しくなります。「業者の責任は直接損害のみ、間接損害・逸失利益は免責」という条項は業者側に有利な条件であり、小規模案件の契約書には頻繁に見られます。これら3つのリスクはいずれも、契約書に責任範囲を明確に記載することで大幅に軽減できます。

契約書に明記すべき責任範囲の4区分と条項例

IT業者との契約書で最低限明文化すべき責任範囲は次の4区分です。それぞれ条項例とともに解説します。

1. 業務範囲（スコープ）の明文化

契約書の冒頭または別紙に「業務仕様書」を添付し、対象業務と非対象業務を明示します。本文に書くと変更のたびに契約書を全面改訂しなければなりませんが、別紙形式なら覚書による追記で対応できます。

条項例（スコープ）：

第○条（業務範囲）
受託者は、別紙「業務仕様書」に定める範囲内において本業務を遂行する。
業務仕様書に記載のない作業については、委託者と受託者が別途書面により合意した場合に限り
実施するものとし、当該追加作業の対価は別途定める。

2. 保守・障害対応の対象範囲と応答時間

「保守」という言葉の解釈は業者によって大きく異なります。「定期点検のみ」と解釈する業者もあれば「障害時の緊急対応込み」と理解する業者もいます。応答時間（連絡を受けてから最初の応答をするまでの時間）と復旧目標時間を数値で明記することが重要です。

条項例（障害対応）：

第○条（障害対応）
受託者は、委託者から障害報告を受けた場合、以下の時間内に初期応答を行う。
・平日（9:00～18:00）：1時間以内
・上記時間外および休日：翌営業日10:00まで
2. 受託者の対応範囲は別紙「システム構成図」に記載された機器・ソフトウェアに限る。
   別紙対象外の機器・回線・クラウドサービスの障害は本条の対象外とする。

「別紙システム構成図」を用意することで、業者Aと業者Bの管轄境界を物理的に図示できます。これが”たらい回し”防止の最も有効な手段です。

3. 損害賠償の上限と個人情報漏洩の切り分け

業者が提示する標準契約書では多くの場合、損害賠償額を「当該月の月額報酬の○か月分を上限とする」と規定しています。月額10万円の保守契約なら上限30万円（3か月分）ということも珍しくありません。一方、情報漏洩による実損害は数百万円に上ることもあります。士業事務所や医療・介護関連事業者は特に「個人情報漏洩は上限適用外」とする条項を交渉すべきです。

条項例（損害賠償）：

第○条（損害賠償）
受託者の故意または重過失に起因して委託者に損害が生じた場合、受託者は当該損害を賠償する。
ただし、損害賠償額は本契約に基づき委託者が支払った総額を上限とする。
2. 前項にかかわらず、受託者の故意または重大な過失による個人情報の漏洩については
   賠償上限を適用しない。

4. 知的財産権・成果物の帰属

開発したシステムのソースコード・設計書・マニュアルの著作権が誰に帰属するかを明記しないと、業者変更時に「ソースコードは業者の財産」と主張されて乗り換えが困難になるトラブルが発生します。「汎用コンポーネントを除く」を認めること自体は問題ありませんが、「汎用コンポーネントの一覧」を別紙で明示させることが重要です。

条項例（著作権）：

第○条（知的財産権）
本契約に基づき作成された成果物（ソースコード・設計書・マニュアルを含む）の著作権は、
委託者が当該作業に対する報酬を完済した時点で委託者に移転する。
ただし、受託者が本契約以前から保有する汎用コンポーネント・ライブラリ（別紙一覧参照）
については除く。

責任範囲の明確さで何が変わるか：比較表

この比較が示すように、責任範囲を明確にするコストは「条項の追記」と「別紙の作成」だけです。一方、曖昧なまま進めた場合の損失は、追加費用・対応遅延・賠償不能という形で顕在化します。交渉の手間を惜しまないことが中長期的なコスト削減につながります。

交渉で主導権を握るための実践的な5つのポイント

条項例を知っていても、交渉の進め方を誤ると業者との関係が悪化したり、希望条件が通らなかったりします。中小企業の経営者や情シス兼任担当者が実践で使える交渉ポイントを5つ紹介します。

1. 業者の標準契約書を先にもらって読む

多くのIT業者は自社に有利な標準契約書を用意しています。まずそれを受け取り、上記4区分の観点で読み込みます。「どの条項が欠けているか」「どの条項が業者側に有利すぎるか」を箇条書きにしてから交渉に臨むと、修正交渉が格段に進めやすくなります。「発注前の社内確認に必要なので標準フォーマットをいただけますか」という言い方が角を立てません。

2. 「業務仕様書を別紙で作成してほしい」と依頼する

業者が「契約書は標準のもので」と言ってきた場合でも、業務仕様書（別紙）の作成を求めることは過大な要求ではありません。「後からトラブルになりたくないのでスコープを文書化しましょう」という提案の仕方が効果的です。まともな業者であれば作業範囲の明確化は自分たちにとってもメリットがあると理解しています。この要求を全面的に拒む業者は、責任範囲の曖昧さで利益を得ようとしている可能性があり、それ自体が業者選びの判断材料になります。

3. 損害賠償の上限は「個人情報漏洩」を切り分ける

「損害賠償の上限を引き上げてほしい」という交渉は業者側の抵抗が大きいことがあります。そのような場合には「通常の損害は月額の3か月分でよい。ただし個人情報漏洩については別途協議する」という分離交渉が有効です。個人情報保護法上の責任は発注側（委託者）にも残るため、業者の免責を認めすぎると委託者が全損害を負うことになります。士業や医療・介護関連事業者は特にこの点を重視してください。

4. 契約期間と更新・解約条件を確認する

「自動更新で3か月前に解約通知が必要」という条件は、業者変更を事実上困難にします。解約通知期間は最大でも1か月前が理想です。また、契約終了時のデータ返却・削除の方法と期限（30日以内が標準）を明記することで、業者変更後のデータ漏洩リスクを下げられます。「データ返却証明書の発行」を義務として追記することもできます。

5. 小さな変更でも「書面で合意」を習慣にする

口頭で「これもやっておいてください」と頼んだ作業が後から高額請求される事例は後を絶ちません。金額・工数に関わらず、追加・変更依頼はメールや覚書で記録に残す習慣をつけましょう。契約書に「本契約の変更は書面による合意を要する」という条項を入れておくと、業者側も口頭依頼での作業開始を避けるようになり、費用発生の予測が立てやすくなります。

よくある質問（FAQ）

Q1. 業者が「うちの標準契約書は変えられない」と言います。どうすればよいですか？

標準契約書そのものを変えなくても、「覚書」や「別紙」を追加する形で実質的に修正条件を加えることができます。「標準契約書＋別紙覚書（○○条の特約）」という形式は法的に有効です。業者が一切の修正・追加を拒む場合は、それ自体がリスクサインです。発注前に別の業者への見積もりも検討してください。

Q2. 個人でIT業者と交渉するのは難しいです。専門家に頼んだほうがよいですか？

契約金額が300万円を超える場合や、個人情報を大量に扱う業種（士業・医療・保育等）は、弁護士や行政書士に契約書レビューを依頼することを推奨します。費用は5万～15万円程度（2026年4月時点）が一般的で、トラブル発生後の解決コストを考えれば投資対効果は高いと言えます。

Q3. すでに契約が始まっていますが責任範囲が曖昧です。今から修正できますか？

契約期間中でも、双方の合意があれば覚書による条件変更は可能です。「今後の作業をスムーズに進めるためにスコープを文書化したい」という建設的な提案として持ちかけると業者も受け入れやすくなります。次回の契約更新時に全面的に整備するのが最も抵抗が少ない方法です。

Q4. 業者側から「責任範囲を広げると費用も上がる」と言われました。

業者の言い分は一定の合理性があります。応答時間の短縮や損害賠償上限の引き上げはコストに影響します。大切なのは「金額と責任の釣り合い」を数字で確認することです。月額10万円で応答1時間・賠償上限30万円の契約と、月額15万円で応答30分・賠償上限なしの契約を比較し、自社のリスク許容度に合わせて選択できれば理想的です。

Q5. システム開発終了後のサポート契約はどう決めればよいですか？

開発フェーズと保守フェーズは別契約にすることをお勧めします。開発業者と同じ業者に保守を依頼するケースが多いですが、保守契約は複数社への相見積もりが可能です。開発時点で「ソースコードと設計書は完済後に委託者に帰属する」と契約書に入れておけば、保守業者を変更しやすくなります。

契約締結前チェックリスト

以下の項目を確認してから契約書にサインしてください。

・業務仕様書（別紙）が添付されているか： 対象業務と非対象業務が明記された別紙が存在するかを確認する
・障害対応の応答時間が数値で定められているか： 「できるだけ速やかに」ではなく「○時間以内」と明記されているかを確認する
・対応範囲がシステム構成図で図示されているか： 業者Aと業者Bの境界が図で示されており、空白地帯がないかを確認する
・損害賠償の上限額と個人情報漏洩の扱いが明記されているか： 月額の何か月分が上限か、個人情報漏洩は別扱いかを確認する
・成果物の著作権帰属が「委託者移転」となっているか： 「受託者に帰属」や「共有」では業者変更時にリスクが残る
・解約通知期間が1か月以内か： 3か月前通知条件は業者変更を困難にするため交渉すること
・契約終了後のデータ返却・削除期限が明記されているか： 30日以内の返却方法と証明書発行義務も合わせて確認する
・追加作業の発注フローが「書面による合意必須」となっているか： 口頭依頼での作業着手を認める条項がないかを確認する
・準拠法・裁判管轄が自社に近い地区裁判所になっているか： 業者所在地が遠方の場合に不利になる条項がないかを確認する
・個人情報の取り扱いが個人情報保護法の要件を満たしているか： 再委託先リストの開示を求める権利が含まれているかを確認する

本記事のまとめ

IT業者との契約で発生するトラブルの大半は、責任範囲の曖昧さに起因します。「業務仕様書の別紙化」「障害対応の数値化」「損害賠償の個人情報漏洩切り分け」「著作権の委託者移転」の4点を契約書に明記するだけで、トラブル発生後の解決コストを大幅に下げることができます。

交渉においては、業者の標準契約書を事前に読み込み、不足条項を覚書で補う手法が現実的です。300万円超の案件や個人情報を多量に取り扱う業種では弁護士・行政書士への契約書レビュー依頼もご検討ください。今の契約書を一度見直すことが、将来の損失回避への最短ルートです。