Oracle社 監査条項の変更点

Oracle社は、監査業務に非常に積極的であり、時には積極的過ぎるとさえ思われてきました。この監査業務は、すべて契約条項に則ったものですが、最近、Oracle社はかなりの契約条項を変更しました。特に最新のものは監査条項に関連したものになっています。ここではその変更点とユーザーに与える影響について説明します。

まず監査条項の変更点をご紹介する前に、組織的な変更点をご紹介しましょう。「License Management Services（以下LMS）」は最近、「Software Investment Advisory（SIA）」と「License Management Services（LMS）」から構成される「Global License Advisory Services（GLAS）」に名称が変更されました。これについては、近日中にブログで詳しく説明します。Oracleチームに関連して何が変わったのかというと、SIAチームはお客様へのアドバイスに重点を置いているのに対し、LMSチームはOracleエンドユーザーの監査とライセンスレビューの実施に引き続き重点を置いています。LMSチームが引き続き存在していることから、LMSチームがOracle社の全体的な収益に大きく貢献していることは容易に想像がつきます。

同時に、ルーマニアにリモート監査を行うコンサルタントのチームが設置されました。この業務の一極集中により、各現地国のLMS監査員の数が削減されました。これに加えて、Oracle LMSでは、Oracle社に代わって監査を実施する第三者であるLMSパートナーの導入も進めています。これらのLMSパートナーは、監査の実施に対して報酬は支払われませんが、監査の結果、コンプライアンス違反が見つかった場合には、再販マージンや紹介料で補償される仕組みになっています。 

一方で、今回、20年以上前から適用されているOracle社の監査条項の一部が変更されました。この記事では、変更された内容の概要、変更の背景、Oracleユーザーにとってそれが何を意味するのか、そして変更された監査条項に対応するために準備しておくべきことをご紹介します。 

当社がOracleユーザーに提言する最も重要なことは、ソフトウェアベンダーが自社の（監査）条項や製品に対して行う変更に対応するために、常にライセンス管理を最新の状態にしておくことです。そして、そのためにソフトウェア資産管理（SAM） をサポートしてくれる適切なパートナーを見つけることです。

変更点の概要

ここでは、「Oracle Master Agreement（OMA）」のSchedule Pに含まれる新しい標準監査条項の概要を説明しています。直近の変更点は太字で示しています。

「お客様による対象プログラムの使用が該当の注文及び本契約の条件に適合していることを確認するため、オラクルは、45日前までに書面で通知することにより、お客様による対象プログラムの使用状況について、監査を行うことができます。かかる監査のいずれも、お客様の通常の業務活動を不当に妨げないものとします。お客様は、オラクルによる監査に協力すること、並びに合理的な範囲内の助力及び情報であってオラクルから合理的に要請されたものを提供することに同意します。かかる助力には、オラクルのデータ測定ツールをお客様のサーバーにおいて動作させること、及びその結果として生じたデータをオラクルに提供することも含みますが、これらに限定されません。 監査の実施、及び監査中に得られた非公開データ（監査に由来する知見又は報告内容も含みます）には、基本条項第8条（機密保持）の規定が適用されるものとします。 不遵守が監査により明らかとなった場合、お客様は、当該不遵守についての書面による通知から30日以内に当該不遵守の是正（対象プログラムの追加的なライセンスについての料金の支払いの場合も含みますが、これに限定されません）を行うことに同意します。お客様が当該不遵守の是正を行わなかった場合、オラクルは、（a） 対象プログラム関連の対象サービス（テクニカル・サポートを含みます）を終了し、（b）本付則P及び関連する契約に基づき注文された対象プログラムの使用権を終了し、及び/又は（c）本契約を終了することができるものとします。お客様は、監査に協力することによってお客様に生じたあらゆる費用について、オラクルが責任を負わないことに同意します。」

背景

Oracle社監査条項の1つ目の追加事項

「お客様による対象プログラムの使用が該当の注文及び本契約の条件に適合している」と記述されているのは、お客様が何を使用する権利があるのかを理解し、コンプライアンス上の立場を確定するために考慮すべき複数の契約文書が存在することを意味しています。これまでは考慮すべき契約文書が明示されていなかったため、多くのエンドユーザーに混乱を与え、監査時の論争につながっていました。本質的には、これは実際の変更ではなく、契約上の権利を決定するためにどの条件を考慮に入れるべきかについて、Oracle社が明確にしたものです。

要約すると、以下の契約書類を指しています：

• お客様のオリジナルのライセンス注文書（または「注文」）。お客様がOracleと合意した非標準的な契約条件（使用制限や保有ライセンスの制限数など）は、このオリジナルの注文書にのみ記載されています。 
• お客様の最新の保守注文書（または「注文」）。保守の有効期限は、お客様が利用できるソフトウェアの特定のバージョン（例：12.1、12.2、18、19）を示しています。 
• お客様のライセンス契約（OLSA/OMA）。これらには、お客様が関与した各ライセンスまたはクラウド取引（顧客定義、監査条項、M&A、事業分離など）に適用される一般的な条件が含まれています。 
• ライセンス契約書に記載され、docs.oracle.comで公開されているOracleのプログラム文書。この文書では、特定のソフトウェアライセンスに含まれる特定の製品/コンポーネント、および個別にライセンスが必要な特定の製品/コンポーネントが明示されています。 

Oracle社監査条項の2つ目の追加事項

「かかる助力には、オラクルのデータ測定ツールをお客様のサーバーにおいて動作させること、及びその結果として生じたデータをオラクルに提供することも含みますが、これらに限定されません。」という記述は、監査に直面したエンドユーザーが、Oracle社のLMS Collection Tool（測定ツール）を実行を拒否するという事実が増えているということに対する解決策として追加されたものです。これは、エンドユーザーがそのようなツールを実行することでパフォーマンスに影響を与えることを懸念したり、ライセンスコンサルタント会社からツールを実行しないようにアドバイスされているためです。このようなアドバイスは、通常、意図しない頒布やOracleプログラムの使用がOracle社に開示されるのを避けるために行われます。

Oracle社は、Oracleの測定ツールを通じてテクニカルデータを収集すると、ほぼすべてのエンドユーザーがコンプライアンス違反状態にあることを検出できることがわかっています。逆に言えば、Oracle社が測定ツールから得られるデータを入手できないということは、エンドユーザーのコンプライアンス違反を検出することが難しく、さらにLMSが用意した高度に自動化されたデータ分析プロセスを活用した正確な分析ができないことを意味します。 

Oracleの監査条項の3つ目の追加事項

「監査の実施、及び監査中に得られた非公開データ（監査に由来する知見又は報告内容も含みます）には、基本条項第8条（機密保持）の規定が適用されるものとします。」という記述は、監査に直面しているエンドユーザーの中には、監査を開始する前にOracle社に個別で秘密保持契約を要求するケースが増えているという事実を解決するために追加されました。

Oracle社は、監査の開始時に、可能な限り短い時間枠内でソフトウェアプログラムの頒布と使用情報を収集することが重要であることを認識しています。エンドユーザーが、監査を遅らせるための戦略として（LMSに開示される前にコンプライアンス違反の問題を修正するための時間を稼ぐ可能性がある）、個別の秘密保持契約を要求した場合、この条項の追加に基づいて、そのような要求はOracle社によって拒否される可能性があります。 

これらはエンドユーザーにとって何を意味するのか？

前述のとおり、Oracle社の監査条項に追加された１つ目の「お客様による対象プログラムの使用が該当の注文及び本契約の条件に適合している」という記述は、新しい条項ではなく、明確化されたものです。しかし、この条項は、完全かつ正確で詳細なライセンスエンタイトルメントを管理することの重要性を強調しています。Home - Zynccでは、これにならい、契約上合意されたすべてのライセンスおよび/またはサブスクリプション、ならびに関連する条件を管理、維持することができます。

Oracle社の監査条項に追加された2つ目の「かかる助力には、オラクルのデータ測定ツールをお客様のサーバーにおいて動作させること、及びその結果として生じたデータをオラクルに提供することも含みますが、これらに限定されません。」という記述は、新しい条項です。Oracle社はこれまでも、エンドユーザーに「LMS Collection Tool」の実行を要求してきました。この監査条項への新たな追加を受諾したエンドユーザーは、監査中に「オラクルのデータ測定ツール」の実行を強制され、その結果得られたデータをOracle社と共有することになります。 

この「オラクルのデータ測定ツール」が何を意味するかは、解釈や議論の余地が出てくる可能性がありますが、それはおそらく、Oracle社が独自に開発した以下のツールや方法論のみの使用を許可するということを意味しているのでしょう。

• Standalone Scripts: 特定製品に関するデータを抽出するためのシンプルで実行容易な測定クエリ
• Oracle LMS Collection Tool: 使用状況に関するデータの検出と収集
• Oracle Server Worksheet: エンドユーザーが組織内にインストールしているすべてのOracle製品の状況を明記した申告書
• Oracle Enterprise Manager: 複数のOracle製品にわたるディスカバリー機能と測定機能、および検証済みサードパーティ製ツール（Aspera SmartCollect、iQuate、Lime Software、Micro Focus、Flexera）の使用。

Oracle社が述べているように、これらのツールから収集した使用状況データは、手動で収集する必要のあるデータ要素で補完する必要があります。さらに、これらのツールから収集したデータは、ライセンス専門家が分析してライセンスの必要性を評価した上で、コンプライアンスポジションを明確にする必要があります。

Oracle社の監査条項に追加された最後の追加事項「かかる助力には、オラクルのデータ測定ツールをお客様のサーバーにおいて動作させること、及びその結果として生じたデータをオラクルに提供することも含みますが、これらに限定されません。」という記述も、新しい条項ではありません。これもOracle社が明確化したものであり、エンドユーザーが監査開始時に、監査向けに新たな秘密保持契約書の締結を要求することを避けるためのものです。