ソフトウェア契約レビュー・チェックリスト

なぜ契約レビューがSAMの出発点なのか

SAMの核心は「保有ライセンスと実際の使用状況のギャップを管理すること」ですが、そのためにはまず「何のライセンスをどのような条件で保有しているか」を正確に把握することが前提です。この情報はすべて契約書に記載されています。

ライセンス契約書には、製品名・バージョン・メトリクス（課金単位）・使用許諾範囲・地理的制限・転用禁止事項・監査権限など、SAM運用に必要なすべての基礎情報が含まれています。これらを把握せずにSAMツールにデータを入力しても、正確なコンプライアンス判断はできません。

また、ソフトウェアベンダーが監査を実施する際の根拠も契約書です。「監査を受ける義務があるか」「どの範囲の情報を提供する必要があるか」「監査費用は誰が負担するか」といった重要な権利・義務関係も、契約書のレビューなしには把握できません。SAMプログラムを構築する際は、必ず現行契約の全件棚卸しとレビューから始めることを強くお勧めします。

ライセンスメトリクス条項の確認ポイント

ライセンスメトリクスとは、ライセンスの課金単位・カウント方法を定義するルールです。同じ「1ライセンス」でも、メトリクスの定義によって実際に必要なライセンス数が大きく変わります。

確認項目1：メトリクスの定義を正確に理解しているか。「Named User Plus（NUP）」「Processor」「Employee」「Authorized User」など、ベンダーごとに独自のメトリクスが存在します。特にOracleのProcessorライセンスはコアファクター表による換算が必要であり、サーバのスペックによって必要数が変わります。契約書中の定義条項を確認し、自社の環境に照らし合わせた解釈を文書化してください。

確認項目2：最小ユーザー数の要件があるか。OracleのNUPライセンスには「Processorライセンスあたり最低25Named User Plus」といった最小値要件が設定されています。ユーザー数が少なくてもProcessorライセンス数に応じた最低ユーザー数のライセンスが必要となります。

確認項目3：バージョンアップ時のメトリクス変更はないか。ベンダーはバージョンアップやライセンスモデル変更に合わせてメトリクスを変更することがあります。Oracle Java SEは2023年にSubscriptionモデルに移行し、課金単位が「Employeeあたり」に変わりました。更新時には必ずメトリクスの変更有無を確認してください。

確認項目4：サードパーティ・アクセスに関する定義。自社の取引先や顧客が自社のシステムにアクセスする場合、そのアクセスもライセンスカウントの対象となるケースがあります。特にOracleデータベースへの間接アクセス（Internet Deploymentルール）は見落とされやすい項目です。

監査条項：企業側が知るべき権利と義務

ほぼすべてのエンタープライズソフトウェア契約には、ベンダーが顧客のライセンス利用状況を検証する権利を定めた「監査条項」が含まれています。この条項の内容を事前に把握しておくことが、監査対応の第一歩です。

確認項目1：監査の通知期間と頻度。契約書には通常「何日前までに書面で通知する」という要件が定められています。多くの契約では30〜45日前の書面通知が標準ですが、一部の契約では「合理的な事前通知」と曖昧に規定されているケースもあります。また年間の監査実施頻度の上限が定められているかも確認してください。

確認項目2：監査の対象範囲。「どの製品が」「どの期間の」利用状況を監査できるかを確認します。契約書に記載のない製品や期間への拡大要求には、応じる義務がない場合があります。

確認項目3：監査費用の負担者。一般的にはベンダーが監査費用を負担しますが、コンプライアンス違反が一定規模以上であった場合に顧客が費用を負担する条項が含まれる契約もあります。事前に把握しておくことでリスクの定量化が可能です。

確認項目4：自己申告（Self-Certification）の選択肢があるか。一部のベンダーは、完全な外部監査の代替として、顧客による自己申告レポートの提出を認めています。この選択肢が契約書に含まれているかを確認し、SAM体制が整っている場合は積極的に活用することを検討してください。

クラウド・仮想化に関する特別条項の確認

クラウドおよび仮想化環境でのライセンス適用は、従来のオンプレミス環境と異なる特別なルールが適用されることが多く、契約書中の関連条項を丁寧に確認することが不可欠です。

仮想化環境での適用ルール。VMwareなどのハイパーバイザー上でOracle製品を稼働させる場合、Oracleは「ソフトパーティショニング」を認めておらず、物理サーバ全体をライセンス対象とする場合があります。この解釈は契約書の「Partitioning Policy」や「Technology Definitions」セクションに記載されていますが、極めて複雑です。自社の仮想化環境の構成と照らし合わせて、専門家による解釈確認を強くお勧めします。

クラウド（IaaS）での適用ルール。AWSやAzure、GCPなどの認定クラウド環境では、一部のベンダーが独自の課金ルールを設定しています。OracleはAWS・Azureでのライセンス適用について独自の認定ポリシーを持ち、UCSやベアメタルインスタンスの扱いが異なります。クラウド移行前に必ず契約書の「Cloud and Hosted Environment」に関する条項を確認してください。

SaaS・PaaS製品との関係。オンプレミスのライセンスからクラウドサービスへの移行時に、既存ライセンスの「クレジット」や「移行特典」が利用できる場合があります。一方で、オンプレミスとSaaSを並行して使用する場合の「二重課金」が発生するケースもあります。これらの条項を契約更新のたびに確認する習慣をつけることが重要です。

契約レビューを継続的に行うための仕組み

契約レビューは一度行えば終わりではありません。ソフトウェアベンダーは定期的にライセンスポリシーを変更し、企業側の環境も常に変化します。継続的な契約管理の仕組みを組織に組み込むことが重要です。

契約台帳（Contract Repository）の整備。すべてのソフトウェアライセンス契約を一か所に集約した契約台帳を作成し、製品名・ベンダー・メトリクス・数量・更新日・担当者を記録します。SAMツールに契約モジュールがある場合はそこで管理し、なければExcelベースでも構いません。重要なのは「更新日アラート」を設定し、更新前90日の段階でレビューを開始できる体制を作ることです。

契約変更のトリガーリスト。以下のイベントが発生した場合は、関連する契約書の再レビューを必ず実施してください：ベンダーによるライセンスポリシー変更の通知受領、クラウド移行・仮想化環境の構成変更、M&A・組織再編による子会社・グループ会社の増減、新製品・新バージョンへの移行、ユーザー数や展開規模の大幅な変化。

法務・調達・IT部門の三者連携。契約書は法務が保管し、調達が更新し、ITが利用するという分断状態が最も危険です。三者が同じ契約台帳にアクセスし、それぞれの変更をリアルタイムに反映する体制を構築することで、契約管理の実効性が大幅に高まります。SAM委員会などの定期的な連携の場を活用することをお勧めします。

このトピックについて専門家に相談する

ソフトウェアライセンス契約の解釈・レビュー体制の構築・SAMプロセスへの統合について、専門的なアドバイスを提供します。特にOracle・IBM・VMwareの複雑な契約条項の解釈支援を得意としています。初回相談は無料です。