多くの起業家は、事業経営はこれまでの何よりもリスクが高いだろうと考えているでしょう。これは、少なくとも財務判断という点では正しいといえます。(しかし、事業の失敗は不運ではありますが命取りにはなりません。スポーツや車の事故のほうが、それより高い確率で利用者の命を奪います)

事業におけるリスクは管理できます。だからこそ企業が存在できるのです。企業はリスクの源泉 (事業) をプールし、それからリスクを取ることの経済的な利益、リスクに伴う責任 (負債)、実際の業務遂行上の義務とを切り離しているのです。

法人化は、オーナーまたは投資家が負う金銭的責任に上限を設けることで、インターネット事業がリスクを制限する一つの方法です。原則として、負債、損害賠償、対人傷害の責任は法人からオーナーや投資家へ移行しないようになっています。しかし、企業は訴訟を起こされたときにすべての資産を失うことを嫌います。したがって、そのための仕組みも他に用意されています。そのいくつかをご紹介します。

保険

保険とは、リスクを被保険者から保険会社に移転する方法を指します。保険会社はリスクを肩代わりする代わりに幅広い被保険者から保証支払金(保険料)を受け取ります。この保険料が妥当であること、または保険会社が受け取った保険料を保険金として被保険者に支払う前に投資すると仮定すると、保険会社の側はこうしたサービスを提供することで利益を上げます。それに対して被保険者は予測不能な壊滅的損失と引き換えに予測可能な保険料を支払います。

事業者は何種類もの保険に加入しています。圧倒的多数の保険契約 (および支払われる保険料の割合) は雇用関連の保険です。それについては別の記事で詳しくご説明します。それに比べると企業を保護するための保険契約の割合はごくわずかです。

専門職賠償責任保険または過失怠慢賠償責任保険

顧客企業のデータにアクセスするソフトウェア、または顧客企業が実行するソフトウェア、あるいはクライアントが所有するシステム上で動作するソフトウェアなどを製造している企業は、自社のソフトウェアが誤作動を起こした場合に比較的大きな賠償責任にさらされます。ソフトウェアのアップグレードに失敗して中断すると、中規模企業の事業の場合数十万ドル規模の収益の損失につながる可能性があり、損害賠償を求めて訴訟を起こすことも考えられます。また、ソフトウェア会社がテスト中に本番環境のデータベースを誤って削除した場合、そのデータベースの復旧にかかる全費用について責任を問われる可能性があり、その費用はほとんど青天井になることもあり得ます。

こうしたリスクは専門職賠償責任保険 (過失怠慢賠償責任保険、E&O 保険) の対象となります。この保険契約はわかりやすいメカニズムになっています。すなわち、毎年の支払い額は少額で、一般的には 1,000 ドル程度から始まり、従業員数または収益に応じて少しずつ増えていきます。訴訟を起こされなければ、何も発生しません。しかし訴訟を起こされた場合、保険会社に関連する詳細情報を転送して、保険金請求の手続きを開始します。ご加入の保険で補償される請求に対する賠償責任は、企業から保険会社に移転されます。ただし、その責任の範囲は保険契約に定められた範囲および支払限度や免責の対象金額に従います。保険会社は通常、その訴訟への対応を引き継ぎますが、裁判費用を回避するために和解を提示することが頻繁にあります (訴訟には多額の費用がかかります。そのため最後まで争いたい人はいないでしょう)。

実際にソフトウェア会社が訴えられることはまれです。保険会社が規制当局に提出する書類によると、小規模のソフトウェア開発コンサルティング会社が訴訟リスクにさらされる割合は年間 1% にも満たない程度です。顧客データを主に取り扱う企業のほとんどは契約で責任を制限しており、ソフトウェアが顧客の希望に添わなかった場合には返金することで対応しています。したがって、貴社のサービスが気に入らないからという理由で訴えられる可能性は極めて低いといえます。

そうとはいえ、貴社のソフトウェアが顧客に物理的な損害を与えた場合には (特に B2B サービスで起こり得る)、裁判を起こされる可能性は十分にあります。これは特にアメリカに当てはまります。アメリカでは制度的に多くの論争が司法制度を通じて扱われます。他の国々では当事者間の話し合いで解決されています。(海外で事業を行う起業家はこうした違いに戸惑うことがよくあります)。

さらに、高度な事業を行う企業は、貴社がその企業のシステムと連携することで費用のかかる修復作業を強いられる可能性があることを知っています。そのため、取引の条件として貴社に保険契約の締結を求めることがよくあります。

E&O 保険契約の標準的な支払限度額は 100 万ドルからです。さらに補償額を増やすことは比較的安価にできます。しかし起業したばかりの会社には通常は 100 万ドルで十分です。保険契約は毎年更新できますし、そうする必要があります。更新の際に貴社が抱えるリスクに対する補償が十分であるかを検討するとよいでしょう。

アメリカでは企業保険は一般に保険代理店が販売しています。保険代理店は販売担当者であると同時に専門アドバイザーでもあります。代理店は保険会社からコミッションを受け取っているため、当然のことながら、より多くの保険商品を購入するようアドバイスしてくることがよくあります。弁護士や会計士のほうが貴社のリスクの度合いを考慮して適切な補償レベルを提案してくれる可能性があります。

一般賠償責任保険

アメリカ国内に物理的な拠点を有している企業は、一般賠償責任保険に加入する必要があります。(アメリカに拠点を持っていない場合、これが貴社の所在する国に該当しなければこの項目はスキップしてください。)一般賠償責任保険は、E&O 保険とセットで販売されることがあります。

E&O 保険は貴社の事業の種類に固有のリスクを補償するものです。それに対して一般賠償責任保険の範囲はそれより広く、貴社の物理的な活動から引き起こされるリスク全般を補償します。例えば、貴社が事務所を構えていれば、誰かがオフィス内または入口で転倒して、貴社がその (場合によっては高額な) 医療費について賠償責任を負う、ということが起こりえます。このような事態は比較的まれでしょう。しかし一般賠償責任保険はそれぞれ独立した、「比較的まれ」な不安材料を十分に補償してくれるため、多くの起業家にもたらされる安心感に見合う価値があります。

一般賠償責任保険は物理的な場所で起きる事故に加えて、従業員による不正行為、事業所からの所有財産の盗難被害、火災による損失といった事態についても補償してくれる可能性があります。実際に補償対象となるリスクについては保険契約書に明記されていますので、よくお読みください。一般に、一般賠償責任保険の保険料請求が行われるのは、極端に高額な損失が発生した場合のみです。「今回発生した高額な事態は補償対象外です。22 ページのD 項を読んでいないのですか？そこに次のように明記されていますよ…」などとは言われたくないでしょう。

保険会社については時折不満の声が聞かれますが、概して悪徳業者ではありません。アメリカでは厳しい規制の対象となっており、事業の細部まで管理されており、創作的な文筆業というよりはプログラミングに近いといえます。

一般賠償責任保険は保険代理店から購入します。多くは E&O 保険と同じ代理店から購入することになるでしょう。一般賠償責任保険の契約は E&O 保険契約と組み合わされていることもあれば別々に販売されることもあります。年間保険料は 200 ～ 300 ドル程度です。

保険引受におけるリスク軽減要因

保険契約を結ぶにあたり、保険会社の「引受」部門から質問を受けることになります。これは、貴社のリスク水準が保険会社が提示する保険料で利益を上げて補償できる水準にあるか否か、を判断するためです。その質問に対するプロフェッショナルかつ誠実な回答の仕方を知っておくことは、申請を承認させる上で貴社にとって有利になります。

可能であれば、保険会社が知りたいことを事前に理解しておくことがとても役立ちます。それは保険会社は文字通り、どのような選択が悪い結果をもたらすかを見極めるのが仕事だからです。引受担当者の質問に対してより好ましい回答ができるように、事業内容の一部を変更することもあり得ます。そうすることでより低い保険料で補償を受けられる可能性が高まるとともに、事業からリスクの源そのものを排除することができます。

引受部門からの質問の例をいくつか挙げてみましょう。

サービスを販売する際に書面による契約を行いますか？ この質問に対する正しい答えはもちろん「はい、書面で契約します」です。引受担当者の中には契約内容の詳細にまで掘り下げてくるところもあります。例えば次のような質問をしてくることがあるでしょう。

• その契約書には貴社のサービスに関して保証範囲を制限する文言が含まれていますか？
  
• その契約書には貴社に義務付けられている注意義務標準を高める文言が含まれていますか、または貴社に裁量の余地が与えられていますか？
  
• その契約書には顧客による正式な承認が必要な節目や、明確な支払いスケジュールなど、プロジェクトの中間チェックポイントが設けられていますか？
  
• その契約書では貴社に課せられる可能性のある損害賠償額に制限が設けられていますか？
  
• この契約書には、業務範囲の変更について両当事者が書面で合意することを要する正式な変更支持手続きが明記されていますか？
  

これらの質問をすることで引受担当者は、貴社の契約書がクライアントとの係争が発生する可能性を前提に作成されていると判断することができるでしょう。

該当する業界で十分な事業経験がありますか？当然のことながら、経験豊富な方が望ましいものです。ご自身の経験を誠実に、またその業界に詳しくない人にもわかりやすく説明することが貴社にとってメリットとなります。

クリックスルーによる同意とポリシーの公開

標準的な条項は比較的交渉の余地がありません。あなたもこれまでにそういうものに同意した経験があるでしょう。例えば、携帯電話会社の「利用条件」を受け入れたり、契約書にサインしたりしたことがあるはずです。

このような契約が使われるのは、a) すべての顧客と個々の契約条項について交渉することが非生産的である場合、および b) それでもその契約が企業のリスクを有意義に制限できる場合です。

あなたと取引する人々に一般に適用される契約を用意することになる可能性が極めて高いです。さらに、契約ではないけれどもあなたとの取引で重要な詳細を明らかにするための何らかのポリシーを明文化する場合もあります。

業務内容にもよりますが、次のようなポリシーを用意しておくと良いでしょう。

• プライバシーポリシー
  
• 返金、保証、返品に関するポリシー
  
• サービス利用規約または利用条件
  

プライバシーポリシー

インターネット企業はいずれもデータを収集しています。それも山のように大量なデータを収集しています。

顧客は貴社が集めた個人情報を濫用しないか知りたがっています。さらに重要なことは、規制当局が企業に対して、そのデータ取り扱い慣行を顧客に通知するように求めているということです。プライバシーの開示については、重複し、時には相反する法律、規制、ガイドラインが存在します。それらのうちいくつかは、海外の法律は言うまでもなく、業種や州によっても異なります。しかし一般に求められているのは、貴社のプライバシーポリシーを貴社ウェブサイトやモバイルアプリに掲載することです。

個人データを収集したりオンラインでユーザーデータを取り扱ったりする企業は、概してプライバシーポリシーを定めています。プライバシーポリシーの提示は、特定の州法や特定の業界に適用される法律などで義務付けられることがあります。またはオンライン広告などの特定の活動に従事している場合にも義務付けられています。金融機関やホスティングプロバイダーなど様々な取引先は、貴社にプライバシーポリシーが存在しないことを不利に扱う可能性があります。たとえ貴社が内部で、「いや、我々は一般的なことしかしていません。スパムもなく、Google Analytics を使い、標準的な Nginx ログを使っています」という認識を持っていたとしても、です。また、貴社が他の企業に販売する場合、相手先企業がプライバシーポリシーの提示を取引の条件として求めてくることもあり得ます。

プライバシーポリシーは法的な契約というよりも、貴社のデータに関する計画を顧客に知らせるための準標準化された方法です。それでも不正確なプライバシーポリシーでは、まったくポリシーがないよりもかえって悪い結果を招くことがあります。(例えば Orrick は一見無害に見える条項が規制当局から厳しく精査された事例について詳細に 記述 しています。)

プライバシーポリシーは技術的ではない平易な言葉で書かれていることが多く、比較的短くまとめられています。アメリカのプライバシーポリシーに収録すべき重要なポイントとしては以下のようなものが挙げられます。

• 貴社がどのような情報を収集しているのか。
  
• 誰がその情報にアクセスするのか。
  
• どのような状況でその情報を第三者に公開するのか。
  
• オンライントラッキングを含め、広告にデータをどのように利用するのか。
  
• どのくらいの期間保存するのか。
  

また、アメリカ以外の国・地域、特により厳格なデータプライバシー法が適用されている地域 (例えば欧州連合諸国) で事業全体または一部を行っているならば、追加情報が求められる可能性があります。

インターネット企業は収集した情報をすべて記載するのではなく、代表例を示しています。その大きな理由は、顧客にその詳細を判断する能力がないことが多いことにあります。(医療機関のような高いプライバシー意識が求められる分野、あるいは特別な規制がある子どもの個人情報を収集している分野においては、非常に具体的な対応が重要になります。そのため本ガイドでは扱いません。)

貴社がまだプライバシーポリシーを定めておらず、どのような情報を集めるかを検討中で、社内で考えをまとめている段階であるなら、事前に作成されたプライバシーポリシーを採用して貴社の事業運営に正確に合致するようにカスタマイズしてください。必要に応じて弁護士と連携して作業を進めることをお勧めします。WordPress の開発元である Automattic 社は、寛大なライセンスの元で 自社のプライバシーポリシー を惜しみなく公開しています。それにより、わずかに編集を加えるだけで極めて妥当なポリシーをほぼ瞬時に作成できます。

契約のような書類についてご不明な点がありましたら弁護士にご相談ください。

返金・返品ポリシー

EC が始まった当初、人々はインターネット経由で購入して代金を支払うことを恐れていました。注文した商品が思ったのと違ったらどうしよう？20 kB の画像で見るワンピースの色が実際と違っていたらどうする？こんなことや、あんなことが起こったらどうしたらいい？

返金ポリシーは、「もしこんなことが起きたらどうしよう？」という疑問に先んじて対応する素晴らしい方法です。それによりコンバージョン率が高まり、不満を持つ顧客が減り、業務効率も向上します。オンライン決済を受け付ける場合、決済代行業者は会社の返金ポリシーを明示するよう求めるでしょう。決済時に一部の顧客がそれを確認するので、目に付くようにすることは総じて会社にとってメリットになります。

一般にほとんどのインターネット企業は返金に対して極めて寛大なポリシーを提示しています。これは特にソフトウェア企業や SaaS 企業といった IP ベースの企業に当てはまります。こうした企業では商品やサービスを提供するのにハードコストがほとんどかからないからです。

多くのソフトウェア会社は、以下のような全額返金ポリシーを提示しています(ご自由にお使いください)。

EC 企業にとっては、特に服飾品などの有形の商品の返品に関わる場合、返金ポリシーは一般に多少複雑になります。

記述しておく必要があるのは、返品までのプロセス、返送先住所、使用済みのものを返品できるか、返品処理のタイムライン、送料 (返品送料も含む) を誰が負担するかといったことです。

「非常に寛大な返金ポリシーでも期限があるのはなぜか」と思われるかもしれません。これは会計士から求められることです。無期限の返金ポリシーでは収益認識が非常に複雑になるのです。多くの企業は、返金を受け付けるのは購入から 30 日または 60 日以内であると公式に表明しています。しかし実際には、(非公式または半公式で) 購入から数年経過していても返金に応じています。

一部の国では、取引が商品の受領またはサービスの提供より前に発生している場合、返金に応じる期間を取引発生日からではなく、その受領・提供日から数えると法律で定められています。返金の最低期限が法律で定められている場合もあります (例えば、90 日)。一般には、最も寛容な条件を採用するのが最良です。返金規定を厳格化しても事業の成果を左右することはほとんどありません。

サービス利用規約と利用条件

商業的に運営されているウェブサイトのほとんどとあらゆるウェブアプリケーションには利用条件 (terms of use)があります。(これらは “terms of service” とも呼ばれ、略して ToU、ToS と表記されます)

その範囲はそのサイトの利用方法として許容されるものについての非公式の説明 (「スパム行為の禁止」、「ウイルスのアップロード禁止」、「暴力や脅迫行為の禁止」といった条項を含むことがあります) から、アプリケーションの場合であれば支払い条件、責任の制限といった契約全文に至るまで多岐にわたります。

ウェブサイトの利用について直接請求しない企業の多くは、公式性の低い利用条件を公表することを選ぶ傾向があるようです。サイトで会員登録を求める場合、登録に際して顧客に利用条件の同意ボックスにチェックして同意を表明するよう求めることができます。その利用条件について後日問い合わせがあった場合に備えて、同意された日時を記録しておきましょう。

ソフトウェアやサービスとしてのソフトウェアを販売している場合、利用条件は短くてもおそらく本格的な契約書となるでしょう。弁護士が草案を作成する場合もありますが、通常はその必要はないでしょう。ただし、ソフトウェアの市場が非常に高いレベルのコンプライアンスや責任を求められる分野は例外です (医療、金融サービスなどが主に該当しますが、よく知りたい場合は弁護士にお尋ねください)。

顧客向けまたは小規模事業者向けにソフトウェアを製造している場合、Automattic 社の WordPress 製品が寛大なライセンスの元で公開している サービス利用規約 を使うことができます。わずか 2 ～ 3 分で完了します。顧客にはサービスの利用登録をする際にチェックボックスで同意を表明するように要求し、同意されたらその時刻を記録しておきましょう。

こうしたポリシーは本当に必要ですか？

貴社のポリシーが法廷で試されることはないかもしれません。

こうしたポリシーは、あなたの事業がプロフェッショナルな意識を持って運営されているかを取引先企業や規制当局が確認するために利用されています。

ToS、返金ポリシー、返品ポリシー (有形の商品を出荷する場合) がないと、金融機関は決済の受け付けを認めてくれないでしょう。

例えば、貴社のソフトウェアの購入に対してチャージバックが申し立てられたとします。カード発行会社から「顧客は支払いに同意していないと言っていますが、契約書はありますか？」と尋ねられて、あなたが「顧客はアカウントを登録しました」と応えるだけだと、ほぼ自動的に顧客の主張が認められることになると考えてください。この場合の正しい回答は次の通りです。「ボブ・スミス氏は 3 月 23 日にアカウントを登録しました。当社のサービス利用規約にも同意しています。規約のコピーを添付します。この規約では、顧客はサービスに対して支払う義務があると明記されています」

たとえすべてを正しく文書化していてもチャージバックの申し立てを受け入れざるをえない場合もあります。それでも、すべてを正しく記録すればチャンスはあります。

企業がプライバシーポリシーの草案を作成することにはメリットがあります。なぜなら、そうすることで必然的に自社のデータ実務を批判的に考察し、規制の現状を理解し (奇妙で費用のかかるルールや規制も含まれているかもしれません)、長期的に自社にメリットとなるポリシーや手続きを確立することになるからです。最初から良質なプライバシーポリシーを策定することで、自社のデータアセットの価値を最大限に高め、規制上の落とし穴に陥るのを避け、データ侵害のリスク (とその影響) を最小限に抑えることができます。

こうしたポリシーに最低限従うことは、そのメリットを考えれば企業には今すぐにできることです。これらのポリシー (特にプライバシーポリシー) は、事業が変化したり成長したりしたら見直したり更新したりする必要があります。また将来的に多くのリソースを獲得したときに更に深く掘り下げようと考えているならばなおさらです。しかし事業を行っている場所や事業内容によっては、これらのドキュメントをもっと頻繁に変更しなければならないかもしれません。例えば、子どもから提供されたデータを扱う事業であれば、現在適用されている様々な州法が混在しており、またその規制環境は常に変化しているため注意が必要です。またサブスクリプションサービスを提供する事業であれば、様々な州で自動更新に関して規約に追加の免責事項を付けることが義務付けられています。また現在そのような法律がないところもまもなく採用するでしょう。