セキュリティサービスに関するマスターサービス契約(「MSA」)は、デル株式会社(「デル」)と、お客様または第2.7条に定義する関連会社との間で、注文書またはSOWの発効日を発効日として締結されます。MSAは、後に定義する「本サービス」の提供条件に関して、デルとお客様の間の関係を規定するものとします。デルとお客様は、以下の条件に合意します。
1. サービス、本機器、優先順位
1.1 サービス MSAの契約期間中、デルはMSAの条件に従って、(i) マネージドセキュリティサービス(「MSSサービス」)、(ii) お客様が第1.1条に基づいて発注したセキュリティリスク・コンサルティングサービス(「コンサルティングサービス」)を提供するものとします。 MSSサービスとコンサルティングサービスを総称して、以下「本サービス」といいます。
本サービスは、1通または複数の注文書(「注文書」)またはサービス仕様書(「SOW」)において特定されます。お客様が発注したMSSサービスの詳細な条件は、注文書またはSOWに添付されたサービス記述書またはサービスレベルアグリーメント(「SLA」)に記載され、当該注文書およびSOWの一部を構成するものとします。全ての有効な注文書およびSOWには、(i)本サービスの提供内容および該当する場合はSLA、(ii)本サービスの提供期間、(iii)本サービスの対価および支払方法、および(iv)その他両当事者で合意した事項が記載され、MSAが適用されるものとします。
1.2 本機器 デルは、お客様が注文書に従って機器またはハードウェア(「お客様購入機器」)を購入する場合を除き、お客様がMSSサービスを受ける為に必要な機器またはハードウェア(「本機器」)をお客様に提供します。お客様は、MSA、または適用される注文書の契約期間の満了時または終了時のいずれか早い時期に、すべての本機器をデルに返却し、お客様購入機器に搭載されたすべての本ソフトウェア(第5条に定義)を消去、破棄し、またはその使用を中止するものとします。当該本機器が、お客様から返却されない場合、お客様は、本機器のその時点での代替品取得費用を負担する責任を負います。本機器およびお客様購入機器の危険負担は、お客様に引き渡した時点でお客様に移転するものとします。お客様購入機器の所有権は、デルがお客様購入機器の代金の完済を受けたときにお客様に移転します。ただし、お客様購入機器が日本国外で引き渡されるとき、お客様購入機器の所有権は、輸入地の保税地域または保税倉庫に搬入された時にお客様に移転するものとします。本機器は日本国内に設置されるものとし、本機器の所有権は、デルに帰属します。
1.3 優先順位 MSAの条件と注文書/SOW(添付別紙または添付資料を含む)の条件が抵触する場合は、当該注文書/SOWの条件が、当該注文書/SOWの範囲において優先的に適用されるものとします。
2. サービス料金、税金、請求書と支払
2.1 サービス料金 デルの本サービスに対するサービス料金は、各注文書/SOWに記載されるものとします。MSS サービスに適用される デル のサービス料金は、サービス料金および本機器の設置・配送費用(初回の請求のみ)から構成され、注文書に記載されるものとします。注文書に基づいて発注されたMSSサービスは、両当事者がサービス開始確認書(「サービス開始確認書」)にて書面で合意したMSSサービスの開始日に開始するものとし、サービス開始確認書またはその他の書面によるサービス開始日の合意がない場合は、(i)デルが、契約対象のデバイスと、本機器/お客様購入機器との間で通信を確立した日、(ii)お客様がデルのオンラインのお客様ポータル(「ポータル」)へのログイン情報を受領しアクセス可能となった日、または、(iii)デルがポータルにおいて、お客様データの可用性を確認した日のうち、いずれか最も早い日をサービス開始日(「サービス開始日」)というものとします。デルは、サービス開始日以降、MSSサービスの料金をお客様に請求することができます。
サービス開始確認書によりサービス開始日を規定しない場合で、かつ、注文書/SOWに基づいてサーバ/ネットワークインフラストラクチャ監視またはセキュリティインフォメーションおよびイベント管理サービスを購入した場合、お客様は、適用される注文書に記載された階層・デバイス数に応じて、当該階層内の全てのデバイス数に対する料金を、最初のデバイスのサービス開始日に請求されるものとします。 その後、統合されていないデバイスがある場合、お客様は、ポータル経由で当該デバイスを統合する責任を負うものとします。
2.2 変更管理 「変更」とは、(i)本サービスの提供内容または本サービスの構成に関する修正もしくは変更、(ii)本サービスに対するお客様の費用の変更、または(iii)お客様とデルが書面で合意した変更を意味します。本サービスの提供期間中、お客様およびデルは本サービスに関する変更を申し入れることができます。注文書/SOWに対する変更は、(i) お客様およびデルによって合意され、(ii)お客様およびデルの権限ある責任者により承認され、(iii)変更記述書(「変更記述書」)または注文書/SOWに対する変更、修正、追記、新設された条件が明記されたその他の書面による合意によって記録されるものとします。
2.3 お客様施設での作業 本サービスを実装、実施または提供するために、デルがお客様の施設に立ち入る必要がある場合、デルは、出張が含まれることが記載された注文書/SOWに基づく発注により、お客様の出張承認を得ることとし、デルの旅費規程または該当する注文書/SOWに規定されたその他の旅費規程に従うものとします。お客様は、本サービスの実装、実施、提供に関連して発生した合理的で現実に発生し、注文書/SOWに基づく発注により事前に承認された、宿泊費、交通費、食費その他の出張費用をデルに支払うものとします。
2.4 税金 お客様は、本サービスの利益を受ける国または地域において、MSAに基づき提供された本サービスに課されるすべての税金と料金、またはMSAに基づき請求される金額の支払いについて、お客様自身とその関連会社を代表して責任を負うものとします。これには、法人税、使用税、消費税、付加価値税、またはこれらに相当するその他の税金が含まれますが、(i)お客様が提出した有効な再販証明書または非課税証明書の対象となる税金、または(ii)デルの法人所得またはデルおよび従業員の雇用関係に掛かる税金は含まれません。 お客様のMSAに基づくデルに対する支払が法律上源泉徴収の対象となる金額を含む場合、お客様は、源泉徴収がなかった場合にデルが受領すべき金額を、源泉徴収後にデルが受け取れるよう、支払金額に金額を加算して支払うものとします。
2.5 請求および支払い デルは、注文書/SOWに規定または詳述される請求条件に従って、お客様に請求します。適用される注文書/SOWに別途定める場合を除き、(i)MSAに基づくすべての手数料、料金、支払い、その他の金額は、日本円とし、 (ii)異議のない支払金額は、お客様に請求書が送付された日の属する月の翌月末日まで(「請求書の支払期日」)に支払われるものとします。
2.6 異議および料金の不払い お客様は、請求書の支払期日までに支払うべき金額としてデルが請求した金額の全部または一部について、合理的にかつ誠意をもって異議を申し立てる権利を有します。ただし、お客様は、請求書の支払期日前に、(i)異議のない請求金額を期限通りに支払い、(ii)異議のある請求金額およびその根拠の合理的な詳細を記載した書面をデルに送付します。 本条に基づきお客様が誠意を持って異議を申し立てた金額を除き、デルは、請求書の支払期日を渡過した未払金額に対して月利1.5 %、または法律で認められる最高利率のいずれか低い方を適用した額を遅延利息としてお客様に請求する権利を留保します。 またデルは、お客様に対して事前に書面で通知することにより、未払金額を受領するまで本サービスの提供を留保する権利を有するものとします。
2.7 関連会社 当事者に関連して使用される「関連会社」という用語は、直接的または間接的に、1つ以上の媒介を通じて、当該当事者を支配する組織、当該当事者によって支配される組織、または当該当事者と共通の支配下にある組織を意味します。「お客様」には、次のお客様の関連会社を含む場合があるものとします。(i)デルからMSAに基づき本サービスを利用する旨の承諾を得て、本サービスに関する注文書/SOWをデルに対して直接発注する関連会社(「直接発注するお客様の関連会社」)または当該サービスに関する注文書/SOWをお客様が関連会社のために発注することにより発注する関連会社、(ii) お客様が本サービスを利用することにより利益を受ける関連会社、または(iii) お客様が利用する本サービスの履行に関連してデルに提供されるデータに、自己のデータが含まれ、アクセスされ、受け取られる関連会社。お客様は、お客様の関連会社に関して(A)お客様が、各お客様の関連会社から、デルが本サービスの提供に関してお客様の関連会社のネットワークおよびデータにアクセスすることについて必要な同意を得ていること、および、(B) 各お客様の関連会社がMSAの条件に法的に拘束されることに同意することを表明し保証します。両当事者は、直接発注するお客様の関連会社を除き、お客様の関連会社はMSAに関して利益を受ける第三者に該当することを意図するものではなく、デルに対して直接請求を行う権利を有しないものとします。直接発注するお客様の関連会社を除き、お客様は本サービスの提供を受け、または、アクセス権を有するお客様の関連会社によるMSAの契約違反に対してすべての責任を負うものとします。
また、日本国外に拠点を持つお客様の関連会社(「お客様の海外関連会社」)が、MSAに基づき本サービスを購入する場合、お客様の海外関連会社は、(i)本サービスの注文書および/またはSOWを、デルの現地関連会社(「デルの現地関連会社」)と直接締結するものとし、(ii) お客様は、お客様の海外関連会社のために、現地に特有の条件を定めた覚書を締結するものとします。MSAに基づき本サービスを履行、提供、または利用する各当事者の関連会社に関して、MSAにおけるデルおよびお客様という記載はすべて、それぞれの関連会社を指すものとみなされます。
2.8 第三者製品の購入 お客様が、注文書またはSOWに基づき、デルを介して第三者製品またはサービス(「第三者製品」)を購入する場合、または今後購入することになった場合、お客様は、必要に応じて、当該第三者製品に関連して当該注文書/SOWに添付または参照される、最終使用者向け使用許諾条件を含む、第三者から提示される第三者製品に関する条件を遵守するものとします。
3. MSAの契約期間、注文書およびSOW
3.1 MSAの契約期間 MSAは、発効日に始まり、MSAに基づくすべての注文書およびSOWの満了もしくは終了まで、またはMSAがその規定に従って終了されるまでの間(「期間」)継続するものとします。
3.2 注文書/SOWの契約期間 本サービスの提供期間は、適用される注文書またはSOWに記載されるものとし、MSAによって解除されない限り、記載された期間の間(「サービス期間」)有効に存続するものとします。注文書またはSOWの期限が満了したにもかかわらず、デルが本サービスの提供を継続し、お客様が本サービスの提供を受けた場合、当該本サービスの終了までMSAの条件が適用されるものとします。
4. 契約の解除
4.1 契約違反による解除 いずれの当事者も、相手方にMSA(注文書/SOWを含む)に基づく重大な義務の不履行があり、当該不履行について相手方に対する書面による通知後30日以内に当該不履行が是正されない場合には、MSA、または有効な注文書およびSOWを終了することができます。 MSA、または有効な注文書またはSOWが、デルの契約違反以外の理由でお客様により本サービスの契約終了日以前に終了された場合、お客様は、デルに対して、以下を支払うことに同意するものとします。 (i)コンサルティングサービスに関し、当該終了日時点で提供済みの適用されるSOWに記載されたコンサルティングサービスの未払い料金全額、および(ii)MSSサービスに関し、適用される注文書が解除される日までに提供する未払いのMSSサービス料金および残存期間中に支払うべきものとなるMSSサービス料金と同じ額の解約手数料。 お客様が、デルの違反の結果として、MSA、または有効な注文書またはSOWを終了する場合、お客様がサービス料金を前払いしている限りにおいて、デルは、当該終了日以降の期間に基づく前払い料金があるときは、これに相当する前払い料金を返金するものとします。
4.2 支払い不能による契約終了 いずれの当事者も、相手方が以下のいずれかに該当する場合には、相手方に対する書面による通知をもって、MSAを終了できます。(a) 相手方当事者が破産、会社更生手続、民事再生手続、特別清算破産命令の対象となり、支払不能に陥った場合、(b) 債権者との債務整理若しくは債務免除若しくは債権者のための譲渡をした場合、(c)相手方当事者のいずれかの資産が第三者からの差押、仮差押、仮処分差押え(方式の如何を問いません)の対象となる場合、(d)相手方の解散
4.3 契約終了の効果 特定の注文書またはSOWが終了または満了した場合、黙示その他の方法により、MSA、または他の有効な注文書/SOWが終了するとはみなされないものとします。 ただし、MSAが終了された場合、有効な注文書またはSOWも終了するものとします。
5. MSSサービスソフトウェア、制限事項
デルはお客様に対し、MSSサービスを受けるために必要な (i)アクセス権およびソフトウェア(オブジェクトコード形式のみ)の使用権 (「本ソフトウェア」)、(ii) ユーザーID、トークン、パスワード、デジタル署名 (「保護対象情報」)、および(iv)ポータルへのアクセス権および使用権、および、MSSサービスに関して適用される書面による指示および/またはポリシーの印刷文書もしくは電子文書(「本ドキュメント」、MSSサービス、本ソフトウェア、本機器、および本ソフトウェアと合わせ総称して「本製品」)、または、MSSサービスを受けポータルにアクセスするためにお客様が必要なその組み合わせを提供するものとします。 デルはお客様に対し、下記の制限事項に従って、MSSサービスの有効期間中に、お客様とお客様の関連会社が、お客様に提供された本製品にアクセスし、これを使用するための限定的、譲渡不可、ロイヤルティ不要、および非独占的なライセンスを許諾します。
お客様は、(i)本製品を、お客様または本契約に基づきMSSサービスを購入するお客様の関連会社の社内のセキュリティ目的で使用するものとし、(ii)お客様自身、お客様の関連会社、または第三者のために、以下を行わないものとします。 (a)第14.1条に基づく相手方の承諾を得た場合を除く、本製品の販売、貸出、ライセンス許諾、譲渡、配布、移転、(b)本ソフトウェアの 暗号解読、逆コンパイル、逆アセンブル、再構成、翻訳、リバースエンジニアリンク、もしくはソースコードの取得、(c)本ソフトウェアまたは本ドキュメントのコピー(内部使用目的で合理的な数のドキュメントのコピーを作成することはできますが、その場合、デルまたはそのサプライヤのすべての所有権表示を当該コピー上に複製するものとします)、または(d)本ソフトウェア、本ドキュメント、または本機器から、デルもしくはそのサプライヤの権利表示、または機密保持を示す文言または指示の削除。 またお客様は、以下を行わず、関連会社ではない第三者に許可しないものとします。(I)本製品のタイムシェアリング、アウトソーシング、サービスビューロ、ホスティング、アプリケーションサービス提供、またはマネージドサービス提供を目的とした使用、(II)本ソフトウェアまたは本機器の何らかの変更、および(III)本製品の関連会社ではない第三者に対する譲渡、移転、配布、アクセス提供、またはその他の方法による関連会社ではない第三者との共同使用、第三者のための使用(第14.1条に基づき許可される場合を除く)。
第5条は、MSAの満了または終了後も存続するものとします。
6. 所有権
6.1 お客様の権利 お客様は、MSAに基づきデルにお客様の個人情報を含むお客様データ(各々以下に定義)を送信するために必要な権利、権能および権原を有していること、および、お客様が、お客様データに関して適用されるすべての法律、規則、その他の制限事項を含む、デルがMSAを履行する上で必要な個人に関するすべての義務を継続的に履行することを表明し、保証するものとします。 お客様とデルとの間において、お客様は、以下に関する権利、権原、および権益をすべて所有しているものとします。(i)デルの本サービスの提供に関連して、お客様またはお客様の関連会社がデルまたはデルの関連会社に提供するデータ、デルがアクセスもしくは使用するお客様またはお客様の関連会社のデータ、お客様またはお客様関連会社がデルまたはデルの関連会社もしくは本機器に送信するお客様およびお客様の関連会社のデータ(以下、お客様とお客様の関連会社のデータを総称して「お客様データ」)。お客様データには、本サービスに関連して生成された書面または印刷によるサマリー、分析、レポートが含まれますが、これらに限定されません。(ii)MSAに基づき本サービスを提供する過程でデルが利用できるようになったお客様の特許、著作権、商標、企業秘密、その他の専有情報を含む、すべての知的財産(「知的財産」)、および(iii)MSAおよびセキュリティイベント・データ(以下に定義)の保有に関する機密保持義務に服することを条件として、デルが取得したお客様またはお客様の関連会社のすべての機密情報または専有情報。この情報には、お客様データ(お客様の個人情報を含む)、お客様レポート(第6.3条に定義)、および本第(iii)号に基づくいずれの場合にも、お客様のその他のファイル、文書、および関連資料が含まれますが、これらに限定されません。
お客様は、デルに対し、MSAによって意図されるセキュリティ関連サービスおよびデル製品およびサービスを開発および改良する目的(「利用目的」)の範囲で、お客様の個人情報を含むお客様データを使用するための、限定的かつ非独占的なライセンスを許諾し、デルはこれに同意するものとします。 デルは、本契約期間中および契約終了後において、利用目的の範囲でセキュリティイベント・データを処理することができるものとします。「セキュリティイベント・データ」とは、本サービスを提供する際にセキュリティイベントに関連してデルが収集する情報を意味します。お客様は、デルに対し、本契約期間中および契約終了後において、利用目的の範囲で、限定的で非独占的な、有効期限のない、世界的で、取消不能なセキュリティイベント・データの使用権、またはその他の方法で処理する権利を許諾します。MSAによって、お客様データの権利、権原、または権益、または関連する知的財産権が、デルまたは第三者に移転または譲渡されることはありません。ただし、MSAに従って許諾される取消可能な限定的使用権を除きます。
6.2 デルの権利 お客様とデルとの間において、デルは、本製品および本サービスのすべての権利、権原、および権益を所有するものとします。 MSAによって、本製品および本サービスの権利、権原、権益、または関連する知的財産権が、お客様または第三者に移転または譲渡されることはありません。ただし、MSAに従って許諾される、取消可能な限定的使用権を除きます。 デルは、本ドキュメントのすべての所有権を保持するものとします。 デルは、注文書に従って、お客様購入機器に搭載されたデルの知的財産を除き、お客様購入機器の権利、権原、および権益をお客様に譲渡することに同意するものとします。 また、お客様は、デルが、本サービスおよび/または本製品に含まれるあらゆる著作物(総称して「本著作物」)に関するすべての知的財産の権利、権原、および権益を所有していることに同意するものとします。本著作物には、MSAに基づく本サービスの実施に関連してデルが開発した、デルの顧客基盤全体に一般的適用性を持つすべての発明、手法、プロセス、コンピュータプログラム(ソースコードまたはオブジェクトコードを含む)、およびそのすべての強化と修正が含まれますが、これに限定されません。またお客様は、本著作物に関してお客様が有する可能性のある著作権(日本の著作権法第27条と第28条に基づく権利、およびこれに相当する外国の権利を含む)の権利、権原、および権益をデルに譲渡するものとします。ただし、本著作物には、第8条に定義するお客様機密情報、第6.3条に定義するお客様レポートその他のお客様またはお客様の関連会社に帰属、言及、特定もしくは関連する情報は含まれないものとします。 上記を制限することなく、デルは、脅威対策インテリジェンスサービスの提供において、お客様が入手できるアドバイザリーデータ、脅威データ、脆弱性データ、分析、サマリー、速報、および情報(「TIレポート」)に関するすべての知的財産の権利、権原、および権益をすべて所有するものとします。 本サービスの契約期間中、デルは、お客様に対し、お客様またはお客様の関連会社の社内セキュリティの目的でのみ、MSAに基づくサービスを受ける場合に限り、本著作物およびTIレポートを使用する限定的かつ非独占的なライセンスを許諾します。 お客様は、デルによる本製品、本サービス、本著作物およびTIレポートの使用許諾権は、各注文書/SOW、またはMSAの終了または解除により終了または解除されることに同意します
6.3 お客様レポート;第三者に対する非保証 お客様は、本サービスに関連してお客様のために、独自にかつ独占的に作成された書面によるサマリー、レポート、分析、調査結果、およびその他の情報もしくは文書のうち、注文書/SOWに規定されたもの(「お客様レポート」)について、すべての権利、権原、および権益を所有するものとします。 お客様が、お客様レポートまたはそこに記載された情報を、無関係の関連会社ではない第三者に提供した場合でも、当該関連会社ではない第三者は、いかなる目的または方法によっても、お客様レポートまたはその内容の使用権を得ることはありません。また、デルは、お客様レポートまたはその内容の関連会社ではない第三者による使用に起因または関連して発生した損害(予見可能性の有無にかかわらず、直接的損害、間接的損害、結果的損害、付随的損害、特別損害、または懲罰的損害を含む)について、すべての責任を明示的に否認します。
第6条は、MSAの満了または終了後も存続するものとします。
7. お客様の協力
お客様は、デルによる本サービスの実施および提供は、デルによる本サービスの履行、提供または実施に合理的に必要で、合理的に要請されるとみなされる、以下の条件に基づくことに同意するものとします。 (A)お客様の従業員、設備、機器、ハードウェア、ネットワーク、および情報へのアクセスを、安全かつ危険のない方法でお客様が提供すること、および(B)お客様が適時に意思決定を行い、速やかに正確で完全な情報を提供し、承認または許可を付与するなどの合理的な協力を提供すること。 お客様は、デルが本サービスを実施するために必要な許可、承認または同意を速やかに取得し、デルに提供するものとします。 MSAに基づくデルの義務の不履行が、MSAまたは適用される注文書/SOW(適用されるSLAを含むが、これに限られない)に基づくお客様の責任の履行遅延または不履行にのみ起因する場合、デルは、当該不履行について免責されるものとします。
8. 機密保持
本サービスの実施において、お客様とデルは、相手方の公知でない情報にアクセスしたり、公知でない情報の開示を受けたりする可能性があります。この情報には、機密であると指定されるか、開示の状況に基づき機密扱いすべきソフトウェア、製品計画、マーケティングおよび販売情報、顧客リスト、「ノウハウ」、または企業秘密(総称して「機密情報」)が含まれますが、これらに限定されません。 機密情報は、第三者と共有することはできません。ただし、MSAの履行義務に関連して知る必要のあるデルまたはお客様の従業員(社員、代理人、および委託先を含む)が、MSAの条件と同等以上の制限的な条件に基づき当該秘密情報を扱うことに同意した場合、当該従業員に対する開示を除きます。 各当事者は、機密情報の機密を保持するために、自己の同様の性質を持つ機密情報に関して払う注意と同等以上の(ただし、いかなる場合も、商業的に妥当な注意義務の基準を下回らない)注意を払うことにより、予防措置を講じることに同意するものとします。 上記の情報には、以下の情報は含まれないものとします。(A)当事者が、相手方から取得する前に知得していた情報、または受領当事者の過失によることなく公知であるか、公知となった情報、(B)受領当事者が、MSAの当事者以外の情報源から取得した情報、(C)当事者がMSAの条件に違反することなく、独自で開発した情報、または(D)当事者が、裁判所または政府機関の命令に応じて開示する必要がある情報(ただし、開示に関する事前通知を相手方に送付することを条件とする)。
MSAおよび本サービスの契約期間中、デルは、(a)デルが管理するお客様データを権限のない使用、変更、アクセスまたは開示から保護し、(b)以下に定義するセキュリティ義務違反を検知または防御し、(c) デル従業員および代理人に対して機密保持に関する適切な教育を行い、デルの管理下にあるお客様データのセキュリティを保持することを保証する目的で、合理的で適切な保護措置を講じるものとします。
デルは、第三者(デルの委託先である第三者を除く)による、お客様ネットワークまたは情報技術システムへのハッキングまたは侵入について、当該ハッキングまたは侵入がデルの監視対象となるエンドポイントまたはデバイスを経由して行われ、かつ、デルの故意または重過失に直接起因しない限り、責任を負わないものとします。疑いを避けるため、デルは、MSAに基づいて締結される、注文書またはSOWに基づいて監視する義務がない、お客様のネットワーク、環境、ソフトウェア、ハードウェア、または運用技術のいずれかの部分への第三者のハッキングまたは侵入に起因する、本条の違反については責任を負わないものとします。
デルは、MSAに違反するお客様データまたはお客様機密情報の使用、不慮もしくは違法な破棄、消去、または不正な開示(「セキュリティ義務違反」)を確認した場合、お客様に対して速やかに通知するものとします。
デルは、一年に一度、米国公認会計士協会が発行した信頼と実績のある会計事務所からサービス組織に関するStatement Standards for Attestation Engagements (「SSAE」)に基づく監査(「セキュリティ監査」)を受け、当該監査法人からService Organization Control (「SOC」) 2 Type II報告書(または業界標準でなくなった場合は、同等の基準に基づく報告書)(「監査報告書」)の発行を受けるものとし、監査報告書には少なくとも、MSAに基づくセキュリティポリシー、手続および管理を含むものとします。デルは、お客様の要求に応じて、デルの最新の監査報告書の写しを提供します。 お客様は、SSAE16およびMSAの規定に基づきデルが提供するデルのセキュリティコントロール、ポリシー、手続、その他の情報がデルの機密情報であることに同意し、MSA第8条を含むMSAの規定に基づいて取り扱うものとします。
第8条は、MSAの満了または終了後3年間存続するものとします。ただし、MSAの満了後または終了後も受領当事者の管理下に置かれた機密情報については、当該機密情報が受領当事者の管理下にある限り、機密保持義務が存続するものとします。
9. 保証および責任の制限
9.1 保証 デルは、本サービスが(i) 本サービスを履行する者が適切なトレーニングを受け履行する能力があり、(ii)本サービスが注文書/SOWに基づいて適切かつ専門的に実行されることを保証します。 第9.1条に明示的に定める場合を除き、デル(その関連会社、委託先、および代理人を含む)およびそれぞれの従業員、取締役、および役員(総称して「デル当事者」)は、本製品、本サービス、またはお客様レポートについて、明示または黙示の保証を一切行いません。 この保証には、商品性、特定目的に対する適合性、適切性、もしくは非侵害性の保証、または第三者製品に関する保証が含まれますが、これらに限定されません。 お客様は、本サービスが、お客様のシステム、ネットワークおよび資産のセキュリティが侵害され、あるいは侵害のおそれがある状態にならないことを、保証するものではないことを認識します。
9.2責任の制限
9.2.1 デル当事者およびお客様は、MSAに起因または関連する付随的損害、間接的損害、懲罰的損害、特別損害、または結果的損害について、一切の責任を負いません。 MSAに基づく注文書またはSOWに基づいて監視する義務がない、お客様のネットワークまたは環境、ソフトウェア、ハードウェア、または運用技術のいずれかの部分に関連して生じたいかなる損害に対して、デル当事者は責任を負わないものとします。
9.2.2 デル当事者およびお客様は、以下についての責任を負わないものとします。 (A)収益、所得、利益、または貯蓄の損失、(B)消失または破損したデータまたはソフトウェア、システムまたはネットワークの使用不能損失または回復不能損失(C)ビジネス機会の消失、または(D)ビジネスの中断または稼動停止時間。
9.2.3 第10.1条または第10.2条に規定する場合を除き、MSAに起因または関連するデルの損害賠償責任の総額は(契約、不法行為、またはその他に基づくかを問わず)、以下の金額を超えることはないものとします。 (A)MSSサービスに関連し、当該賠償請求の原因となるMSSサービスの対価として当該賠償請求時から遡って12ヶ月間にお客様が支払った金額、および(B)コンサルティングサービスに関連し、当該賠償請求の原因となるSOWの金額。
9.2.4 上記の制限、除外、および免責は、当該損害賠償請求が、契約、保証、厳格責任、過失、不法行為またはその他に基づくかにかかわらず、適用されるものとします。 MSAの制限が、適用法で禁止される場合、両当事者は、当該制限が自動的に修正されることに同意します。ただし、この修正は、かかる法律に基づき可能な限り当該制限を許容可能なものにする範囲においてのみ行われるものとします。 両当事者は、MSAに定める責任の制限が、デルによるお客様への本サービスおよび/または本製品の販売に対する約因の一部を構成する、合意されたリスク分担であること、また当該制限は、限定的な救済が本来の目的を果たさなかった場合、および当事者が当該責任の可能性について知らされていた場合でも適用されることに同意するものとします。
第9条は、MSAの満了または終了後も存続するものとします。
10. 補償
「補償される当事者」とは、デルについてはデル、関連会社および委託先、ならびにその取締役、執行役員、従業員、契約社員および代理人を指し、お客様については、お客様、関連会社ならびにその取締役、執行役員、従業員、契約社員および代理人を指します。
10,1 デルによる補償 デルは、デルによって用意または作成され、MSAに従って提供された本製品、本サービス、またはお客様レポートが、これらがデルによってお客様のために実施または作成された国において法的強制力を持つ第三者の特許、著作権、企業秘密、またはその他の知的財産権を侵害しているまたは不正に使用している旨の第三者の請求または訴訟(「補償対象請求」)から、現実に発生し、または最終的に確定した損害、経費、責任、費用(合理的で現実に発生した弁護士費用を含む)(「損害賠償」)の範囲においてお客様の補償される当事者を防御し、補償し、損害を与えないものとします。 第10.1条に基づく補償対象請求が発生した場合、または補償対象請求が発生する可能性があるとデルが判断した場合、デルは、自己の裁量により、以下を行うものとします。 (A)お客様が当該本製品、本サービス、またはお客様レポートを引き続き使用するための権利をお客様のために取得する、(B)侵害のないよう当該本製品、本サービス、またはお客様レポートを修正する、または(C)当該本製品、本サービス、またはお客様レポートを、侵害のない同等品と交換する。(A)、(B)または(C)の対応が合理的に取れなかった場合、両当事者は自己の裁量でMSAおよび関連する注文書/SOWを解除することができるものとし、デルは侵害の申立てを受けた当該本製品、本サービス、またはお客様レポートの、比例配分により算出された未実施または未提供分の前払い料金を返金します。 上記にかかわらず、デルは、以下に起因する請求について、第10.1条に基づく義務を負わないものとします。(A)デルによって、またはデルに代わって実施されたものではない本製品、本サービス、またはお客様レポートの修正、または(B)お客様またはお客様の代理人による第三者の製品またはサービスと関連する、本製品、本サービス、またはお客様レポートの組み合わせ、運用、または使用(当該組み合わせが侵害の原因である場合)。
第9.2.3条の責任の上限に関する定めは、第10.1条に定めるデルの補償責任には適用されないものとします。
10.2 お客様による補償 お客様は、第三者の以下の主張による請求、訴訟または申立てから、現実に発生し、または最終的に確定した損害賠償の範囲でデルの補償される当事者を防御し、補償し、損害を与えないものとします。(i)お客様データがデルによりアクセス、提供、受領された地域における著作権を侵害している、あるいは当該地域の法律に基づき法的強制力を持つ企業秘密を不正利用している、またはお客様のプライバシーポリシーもしくは適用法(もしくはこれに基づき公布された規制)に違反してデルに不適切に提供されているとの請求または訴訟、(ii)デルの本MSAに基づく債務の履行が、暗号の復号、分析、収集、またはデル へのデータの移転に関連する請求または申立てを含む、違法行為または第三者の権利侵害に該当するという主張、(iii)お客様の関連会社(直接発注するお客様の関連会社を除く)による本サービスに関する請求または訴訟、(iv)お客様レポートおよびお客様レポートに記載された情報、または本サービスの結果あるいは成果を信頼した第三者からの主張。 誤解を避けるために、第10.2条(ii)に規定するお客様の補償責任は、MSAに基づくお客様の権利または救済に影響を与えないものとします。
第9.2.3条の責任の上限に関する定めは、第10.2条に定めるお客様の補償責任には適用されないものとします。
10.3 共通の一般補償 各当事者は、第三者の以下の主張による請求または訴訟から相手方を防御し、補償し、損害を与えないものとします。(i)補償する当事者の重大な過失または故意の不法行為に起因して発生した人身被害(死亡を含む)または有形の財産に対する損害。なお、第9条に定める責任の上限は適用されないものとします。(ii)補償する当事者の第11条の違反または違反の申立て。
10.4 補償手続 補償される当事者は、(i)補償の請求、訴訟、手続について、補償する当事者に対し、速やかに申立てを書面で通知し(ただし、通知義務の不履行は、それにより不利益を与えない限り、補償する当事者の義務を免除するものではないものとします)、(ii)補償する当事者に請求、訴訟、手続または和解交渉の申立てに対する防御および処理を管理する排他的権利を付与するものとします。いずれの当事者も、相手方当事者の書面による同意がない限り、相手方当事者の権利行使に影響を与え、または相手方当事者を当該第三者との条件に拘束する、第三者との契約を締結しないものとします。
第10条の規定は、知的財産権の侵害または不正利用に関する各当事者の唯一かつ排他的な義務を定めるものです。
第10条は、MSAの満了または終了後も存続するものとします。
11. 輸出
11.1 デルおよびお客様は、MSAに基づいて提供される本製品、お客様購入機器、および本サービスには、暗号や機能が含まれる場合があり、日本、米国および本製品、お客様購入機器、ならびに本サービスが提供される地域の関税法および輸出規制法が適用されることを認識します。各当事者は、MSAに基づく義務の履行に対して、日本、米国、および本機器、お客様購入機器、および本サービスが提供されるすべての地域の適用法および規制を遵守するものとします。 本条はMSA、注文書およびSOWに規定される他のすべての条項にかかわらず適用されます。
11.2 デルの責任 デルは、米国輸出許可の申請および取得を含む、本製品およびお客様購入機器の提供に係る米国輸出規制の遵守について、自己の責任において対応することに同意します。本製品およびお客様購入機器の注文の成立は、米国政府による輸出許可の発行を条件とします。デルは、輸出許可が受けられなかったことに伴う、本製品およびお客様購入機器の納入遅延および不履行に関して責任を負わないものとします。
11.3 お客様の責任 お客様は、デルから購入した本製品およびお客様購入機器の再移転および使用に係る、日本および米国のすべての輸出規制法を遵守し、かつ、お客様の関連会社に遵守させるものとします。また、お客様およびお客様の関連会社は、デルの書面による事前の承諾なく、本製品を譲渡または再輸出しないものとします。この原則に反することなく、お客様は、本製品またはお客様購入機器を、制裁対象者に再輸出、譲渡、共有、その他制裁対象者の一切の用に供する行為を行わないものとし、お客様の関連会社にも同等の義務を負わせるものとします。日本国外においてお客様購入機器または本製品が引き渡される場合、お客様は、本製品またはお客様購入機器が引き渡される国において適用される、本製品またはお客様購入機器輸入および使用に係る関連法令規則等の遵守について、単独で責任を負うものとします。当該責任には、通関および関税の申告、本製品またはお客様購入機器の輸入および使用に係るすべての関税、税金、費用の支払、暗号機器の輸入および使用に関する規則等に基づき必要とされるライセンス、許可等の認可の取得が含まれますが、これらに限定されません。
11.4 協力 お客様は、日本および米国輸出許可の申請に必要な情報の提供について、デルに協力し、またお客様の関連会社から協力が得られるようにするものとします。日本国外においてお客様購入機器または本製品が引き渡される場合、デルは、お客様またはお客様の関連会社が本製品またはお客様購入機器の輸入および使用に関して必要とされるライセンス、許可等の認可の申請に必要な情報の提供に協力するものとします。ただし、デルは、MSAの他の条項またはMSAに基づき発行された注文書、SOWの定めにかかわらず、ライセンス、許可等の認可の取得に関して、ソースコード、その他の知的財産を提供する義務を負わないものとします。
第11条は、MSAの満了または終了後も存続するものとします。
12. データ・プライバシーおよびデータ保護
12.1 デルが本サービスを提供するために、お客様の個人データが、デルに提供される場合があります。デルは、お客様の個人データに関して、別紙Aに記載されているデータ保護契約 (「DPA」) に定める義務と責任を遵守します。
12.2 お客様は、お客様の個人データの処理(MSAに基づいてデルに開示されたお客様の個人情報のお客様による収集、利用、開示、保管および取り扱いも含まれます。)に関して、適用されるすべての法律を遵守しており、引き続き遵守することをデルに保証します。お客様は、お客様の個人情報によって特定され得る個人から、個人情報の保護に関する法律(「個人情報保護法」)および関連法令によって義務づけられている次の事項について同意を得ていることを表明し、保証します:(a)お客様の個人データが利用目的の範囲内で第三者に提供される可能性があること、(b)お客様の個人データがお客様の個人データを収集した国の域外にある国(異なるデータ保護規制が適用される可能性がある国)に越境して移転される可能性があること。
12.3 「個人データ」とは、識別され、または識別可能な個人に関する情報をいい、 (a) その個人が所在する国、または (b) その個人に関するデータが処理された国におけるプライバシーに関する法律または情報保護に関する法律により保護された情報が含まれ、いずれの場合も、デルが本サービスの提供に関連して、お客様の処理者として(DPAに定義する)プライバシー法の適用を受けるものを意味します。「お客様の個人データ」とは、お客様が本契約に関連して随時デルに開示する個人情報をいいます。
第12条は、MSAの満了または終了後も存続するものとします。
13. 反社会勢力の排除 デルおよびお客様は、相手方当事者に対し、次の各号の事項を確約します。(i)自らが、暴力団、暴力団関係企業、総会屋若しくはこれらに準ずる者またはその構成員(「反社会的勢力」)ではないこと。(ii)自らの役員(業務を執行する社員、取締役、執行役またはこれらに準ずる者をいう)が反社会的勢力でないこと。(iii)MSAに基づくMSSサービスまたはコンサルティングサービスの提供が終了するまでの間に、自らまたは第三者を利用して、相手方に対する脅迫的な言動または暴力を用いる行為、若しくは偽計または威力を用いて相手方の業務を妨害し、または信用を毀損する行為をしないこと。デルまたはお客様が本条(i)または(ii)の確約に反したことが判明した場合、または(iii)の確約に反した行為をした場合、相手方当事者は、何らの催告を要せずして、MSAおよび有効な注文書/SOWを解除することができるものとします。
14. 重要な補則
14.1独立契約者の関係、広報の禁止、譲渡、再委託 両当事者は独立した契約者です。 いずれの当事者も、MSAに規定する場合を除き、明示または黙示を問わず、他方当事者の代理として行動したり、義務を負わせたりする権利、権能、または権限を有しません。 いずれの当事者も、相手方の事前の書面同意を得ることなく、その名称(内部使用に限られる場合を除く)、商標、ロゴ、または商号を使用しないものとします。 デルは、MSA、またはMSAに基づく権利、責務、義務、または責任の全部または一部を、法の作用によるかを問わず、譲渡、再委託、または外注する権利を有します。ただし、デルは、MSAに基づく本サービスの実施に引き続き責任を負うものとします。 また、両当事者は、合併、営業の全部または一部の譲渡、その他の支配権の変更に伴う場合は、相手方の承諾なくMSAを譲渡することができるものとします。それ以外の場合は、いずれの当事者も、相手方の承諾なく、MSAを譲渡することはできません。ただし、いずれの当事者も、合理的な理由なく、承諾を留保または遅延しないものとします。
14.2 完全合意、修正、契約の可分性、条項の見出し MSA(覚書による変更を含む)、注文書およびSOWは、その主題に関する、デルとお客様の間の完全合意であり、従前の口頭および書面による了解、合意、連絡、およびお客様が本サービスに関連して発行する注文書の契約条件(両当事者間で別途締結された守秘契約またはプライバシー契約を含みますがこれに限定されません)を含むすべての両当事者間の契約に優先するものとします。 MSAの全部または一部の修正または変更は、両当事者の正式な代表者が署名した書面による場合を除き、効力または法的拘束力を有しないものとします。ただし、SLAについては、その修正が以下に該当する限りにおいて、デルの合理的な裁量により、合理的に必要な場合には、デルによって適宜修正できるものとします。(a)デルがその時点でお客様に提供している本サービス、サービスレベル、またはサービスクレジットに重大な悪影響を及ぼさない場合、および(b)同じ状況のデルのお客様すべてに関連して効力を生じる場合。 MSAの規定が無効または強制不能である場合、MSAの残りの規定は、完全に有効に存続するものとします。 条項の見出しは、参照のみを目的とし、MSAの意義または解釈に影響を与えないものとします。
14.3 不可抗力 いずれの当事者もMSAに基づく義務の不履行について、火災、洪水、戦争、禁輸措置、ストライキ、暴動または政府の介入など(ただしこれに限定されない)当事者が適切に制御できない状況(「不可抗力」)により履行が遅延した期間中、相手方に責を負わないものとします。ただし、かかる事態が生じた場合、遅延当事者当該不可抗力を相手方に書面にて直ちに通知するものとします。 遅延当事者の義務の履行は、不可抗力の期間免責されます。ただし、不可抗力の事態が30日以上続く場合、または不可抗力によりお客様の支払が15営業日以上遅延する場合、相手方は遅延当事者に書面で通知することにより直ちに該当する注文書およびSOWを終了することができます。
14.4 通知 MSAに基づくデルに対する通知は、書面により、料金前払いの第1種郵便、または配達証明付国際宅配便を利用して、下記の住所、または書面にて指定されるその他の住所(ファックスまたは電子的方法を含む)宛てに送付するものとし、受領された時点で有効になります。
デル株式会社
気付:法務部
〒212-8589
神奈川県川崎市幸区堀川町580番地ソリッドスクエアビル
第14.4条は、正式な契約の通知のみに適用されるもので、両当事者が合意した通常連絡のための電子メールやその他の方法による連絡を制限するものではありません。
14.5 準拠法、裁判地、および言語 両当事者は、MSA、それに基づくあらゆる販売、またはMSA、その解釈、違反、終了、もしくは有効性、またはMSAから生じた関係、または関連する購入に起因または関連してお客様とデルとの間に発生したあらゆる請求、紛争、または論争(契約、不法行為、またはその他に基づくか、既存、現在、または未来であるかを問わず、制定法、普通法、および衡平法上の請求を含みます)は、抵触法に拘わらず、日本の法律に準拠するものとします。
両当事者は、MSA、その解釈、違反、終了、もしくは有効性、またはMSAから生じた関係、または関連する購入に起因または関連する請求、訴訟原因、または紛争(根拠を問わない)は、日本の東京地方裁判所をもって第一審専属的管轄裁判所とすることに同意するものとします。 お客様とデルは、日本の東京地方裁判所の人的裁判管轄権に服することに同意するものとし、当該裁判所による両当事者への管轄権の行使、および当該裁判所を裁判地とすることに対する一切の異議を放棄することに同意するものとします。
MSAは日本語によって解釈されるものとします。
14.6 法律の遵守 両当事者は、MSAの履行に係るすべての法令を遵守することに同意します。
14.7 紛争解決 両当事者は、MSA、またはMSAに基づく関連する購入に起因または関連する請求、または紛争または論争(「紛争」)が生じた場合(契約、不法行為、またはその他に基づくかを問わず)、訴訟ではなく、紛争解決の権限を与えられている担当者との直接交渉、または相互に合意した調停者による調停を通じて解決します。交渉または仲裁の存在または結果は、機密事項として扱われます。 上記に関わらず、本条項に従い根本的な紛争の理非曲直は明らかになるとしても、一方の当事者には、現状維持、回復不能の損害防止、期限切れのリスク回避、または他の債権者に対する優位な立場の維持を目的として、一時的差し止め命令、仮差し止め命令、またはその他の衡平法上の救済を管轄裁判所に求める権利があります。 両当事者は、紛争について相手方に通知してから30日以内に当該紛争を解決できない場合、普通法上または衡平法上取り得るあらゆる救済を自由に求めることができるものとします。
14.8 第三受益者契約の否認 両当事者は、直接発注するお客様の関連会社、デル当事者および補償される当事者を除き、本契約のいずれの条項も、両当事者が第三者に対して、利益を与えることを意図しないものとします。
別紙 A
データ保護契約書(Data Protection Agreement、「DPA」)は、デルとお客様との間で締結されたMSAの一部を構成し、デルがお客様に提供するサービスにおいて「プライバシー法」の対象となる「個人データ」の処理を行う場合に適用されます(カッコ内の用語は以下に定義されます。)。別途明記される場合を除き、MSAに基づいて処理される個人データについて、お客様は「データ管理者」となり、デルは「データ処理者」となります。DPAとMSAの条項が抵触する場合、DPAの範囲においてDPAが優先するものとします。
1. 定義 DPAにおいて使用される「データ管理者」、「データ主体」、「データ処理者」および「監督当局」という用語は、「プライバシー法」において定義された意味と同じ意味を有するものとします。DPAにおいて定義されていない用語は、MSAの定義に従うものとします。
1.1 「データ侵害」とは、デルがDPAに基づくセキュリティ義務に実際に違反したことにより生じた、伝送、保管、その他の手段により処理された、偶発的または不正な個人データの毀損、消失、変更、漏洩またはアクセスを意味します。
1.2 「個人データ」の定義は、MSAに規定した通りとします。
1.3 「プライバシー法」とは、MSAの各当事者が規制の対象となる、または、本サービスに係るすべてのデータ保護およびプライバシーに関する法律、法令、指令その他の規制(改正法を含む)を意味します。日本の個人情報の保護に関する法律およびEU一般データ保護規則(General Data Protection Regulation 2016/679、 「GDPR」)を含みますが、これらに限られないものとします。
1.4 「処理」とは、自動的手段で行われるか否かにかかわらず、個人データに対して行われる収集、記録、組織化、構造化、保管、修正もしくは変更、復旧、参照、利用、伝送による開示、周知もしくはその他の方法による提供、整列もしくは結合、制限、消去または破棄などの操作を意味します。
1.5 「セキュリティイベント・データ」とは、セキュリティサービスの提供に関連してデルが収集する、セキュリティイベントに関する情報を意味します。
1.6 「サービス」とは、デルがお客様に提供する、MSSサービスおよびコンサルティングサービスを意味します。
1.7 「復処理者」とは、個人データの処理に関連してデルに関与する、デルの関連会社、委託先を含む、第三者を意味します。
2. 処理の内容 MSAおよびDPAに基づいて行われる処理の内容は、別紙1に記載の通りとします。
3. 法律の遵守 両当事者は、プライバシー法に規定される各々の義務を遵守するものとします。特にお客様は、個人データをデルに開示、伝送、その他の手段で提供する前に、自己または(関係する場合は)各関連会社のためにプライバシー法を遵守するために必要なすべての許可および同意を取得すること、また、個人データがMSAおよびDPAに基づいて処理される利用目的についてデータ主体に対する適切な通知を行うことを表明し、保証します。
4. デルの義務
4.1 指示 デルは、(法令上の要請がない限り)個人データをお客様の適切で正当な指示に基づいて処理するものとします。お客様は、デルに対して、本サービスを提供するために個人データを処理し、デルのMSAおよびDPAに基づく権利および義務に従うよう指示するものとします。MSAおよびDPAは、個人データの処理に関するデルに対するお客様のすべての指示を構成するものとします。両当事者間における指示の追加または変更は、書面により合意されるものとし、指示に従うことによって追加の費用が生じる場合は、費用の取扱いについて取り決めるものとします。デルは、お客様の指示が適用される法律を遵守しているかについて判断する責任を負いませんが、お客様の指示が、適用されるプライバシー法の規定に反するという意見を有する場合、お客様に対して合理的に速やかにその旨をお客様に通知することにより、当該指示に従う義務を負わないものとします。
4.2 機密保持義務 個人データが(適用される法律に従い)機密情報とされる範囲において、デルは、個人データをMSA第8条に基づき機密情報として取り扱うものとし、個人データにアクセスする権限を持つ者(復処理者を含む)に対して、本条に定める義務と同等の義務を課すものとします。
4.3 開示 デルは、次の各号に定める場合、個人データを第三者(関連会社および復処理者を含む)に開示することができるものとします。
(a) お客様の合理的で正当な指示に従う場合
(b) 本サービスの提供に関連し、MSAおよびDPAによって許諾されている場合
(c) プライバシー法を遵守するために必要な場合、またはデルおよびデルの関連会社もしくは復処理者に対して管轄権を有する裁判所、審判機関、規制当局、政府当局から開示を要求された場合。ただし、デルは、(法律に従って認められる範囲において)お客様に対して当該個人データの開示について事前に通知するものとし、開示範囲を法令上必要な範囲に限定するために、合理的な範囲でお客様に協力するものとします。
4.4 データ主体の権利に関する支援 デルは、本サービスに関して、データ主体が個人データに関して(アクセス、変更および消去を含むがこれらに限定されない)プライバシー法に基づく権利を行使した場合に、お客様が要求に応じる上で、合理的な範囲において支援するものとします。デルは、当該支援に費用を要する場合、お客様に対して請求する権利を有するものとします。デルは、データ主体からMSAの有効期間内に個人データに関連して適用されるプライバシー法に基づく権利の行使について要求を受けたときは、お客様に対して合理的に速やかに通知するものとします。
4.5 セキュリティ デルは、業界標準、対応に掛かる費用、種類、範囲、文脈および処理の目的、その他個人データの処理に関連する状況を考慮し、デルのポリシーに従って、個人データに関する適切なセキュリティリスクのレベルを保証するために求められる、適切な技術的・組織的安全管理措置を講じるものとします。両当事者は、別紙2(情報セキュリティ基準)の内容が本条に定める個人データの適切なセキュリティ保護基準を満たすことを合意します。
4.6 復処理者 お客様は、以下の各号に従うことを条件に、デルが本サービスの個人データを処理する復処理者(お客様ポータルに掲載され、随時更新されるリストにより特定される委託先)を指名し、利用することに同意します。
(a) デルが復処理者との間で、(i) 復処理者が行う業務の内容と、(ii) DPAに基づいてデルが負う義務と同等の義務を復処理者に課す内容の契約を書面により締結すること。
(b) 復処理者が(a)項に定めるデータ保護義務を満たさなかった場合、デルが当該不履行に対してお客様に対して責任を負うこと。
4.7 個人データの消去 (理由の如何を問わず)本サービスが終了し、お客様から書面による要求があった場合、デルは合理的に速やかに個人データを消去するものとします。ただし、デルは、(a) 法律、規制、司法、監査、社内コンプライアンスの要請に基づき、必要な範囲で1部の複製物を保持できるものとし、(b) 個人データまたはその複製物をデルのシステムから消去することが合理的かつ実務上できない場合、当該期間、消去を延期することが出来るものとします。本条 (a) または (b) に基づいて消去を延期している間、DPAの規定が引き続き適用されるものとします。デルは、本条に基づく個人データに掛かる合理的な費用をお客様に請求する権利を留保するものとします。
4.8 DPA遵守状況の報告 デルは、お客様から合理的な書面による要請を受けた場合(ただし12か月に1度の頻度を超えないものとします)、デルがDPAに基づく義務を遵守していることを証明するために合理的に必要な情報をお客様に提供します。
4.9 監査および検査 お客様は、第4.8条に基づいてデルが提供した情報がデルのDPA遵守状況の証明として十分ではないと合理的に判断する場合、関連するデルの処理に関するDPAの遵守状況を監査または検査する目的で、次の各号に従い、関連するデルの処理に関する活動への合理的なアクセスを要請することができるものとします。
(a) お客様は、デルに対して、監査または検査の30日以上前に合理的な書面による通知を行うものとします。(ただし、プライバシー法、監督当局の命令、両当事者間の合意、データ侵害が発生した場合に、本項の定めより短い期間が適用される場合は、この限りではないものとします。)
(b) 監査または検査は、12か月に1回という頻度を上回る頻度で行われないものとします。(ただし、プライバシー法、監督当局の命令、両当事者間の合意、データ侵害が発生した場合に、当該頻度を上回る場合は、この限りではなものとします。)
(c) お客様は、デルに対し、監査希望日の2週間以上前に、監査の範囲、監査期間、監査開始日を記載した詳細な監査計画書を提出するものとします。デルは、当該監査計画書を確認し、重要な懸念や質問事項を遅滞なくお客様に連絡するものとし、その後、両当事者は、最終的な監査計画を合意するものとします。
(d) デルは、調査を実施しつつ、法令および第三者との秘密保持義務に違反しない目的で、情報へのアクセスを制限することができるものとします。(セキュリティー・オペレーション・センターの見学者用スペースからガラス越しに見学することはできますが)、お客様およびお客様の監査人による、他のお客様のお客様データを取り扱っている機密性が高く立ち入りが制限されている区域へのお客様のアクセスは、法令により厳しく制限されます。お客様は、デルのポリシー、管理基準、手続に関する機密性の高い資料または内容を、監査または検査が行われたデルのオフィスに(電子的であるか物理的であるかを問わず)放置しないものとし、自己の監査人が当該条件に従うことを保証するものとします。
(e) お客様は、監査または検査をデルの通常の業務時間中に実施するものとし、デルの業務を中断させないものとします。
(f) 監査または検査は、デルの関連する施設におけるポリシーおよび手続に従って行われるものとします。
(g) お客様のために第三者が監査を実施する場合、当該第三者はMSA第8条(機密保持)と同等の義務に服するものとし、かつ、デルの直接の競合ではないものとします。デルは、当該第三者が監査を実施する前に、直接当該第三者との間で機密保持に関する契約書を締結する権利を留保するものとします。
(h) 当該監査または検査によりデルがDPAに定める義務に違反していたことが判明した場合を除き、お客様は、デルが本条の定めに従うために発生した合理的な費用(デルが監査に対応した時間に対し、デル、社員および専門家に対して発生した費用を含む)を負担するものとします。
お客様は、適用される法令により禁止されていない限り、本条に基づいて実施した監査報告書の写しを一部デルに提出するものとします。お客様は、当該監査報告書を、法令上の基準を満たす目的またはDPAの要件を満たすことを確認する目的で使用することができるものとします。当該監査報告書は両当事者間の機密情報に該当するものとします。
5. 国際的な移転 デルは、本サービスの提供に関連し、または通常の業務の一環において、個人データを自己の関連会社および復処理者に移転する可能性があります。当該移転を行う場合、デルは、MSAまたはDPAに関連して移転された個人データを保護するために適切な保護措置を講じるものとします。本サービスの提供の際に、(EUデータ保護指令95/46/ECまたはGDPRに基づく十分性認定に基づかずに) 欧州経済領域 (European Economic Area、「EEA」) 域内からEEA域外へ個人データが移転される場合、当該移転は次の各号に従って行われるものとします。
5.1 デルが、当該個人データの移転に対して適切な保護措置を講じること。
5.2 デルが、個人データに対してアクセス権を有する可能性がある関連会社との間で、欧州委員会が承認した標準契約条項 (「標準契約条項」) を組み込んだグループ間契約を締結していること。
5.3 デルが、必要に応じて、復処理者との間で標準契約条項を組み込んだ契約を締結していること。
6. データ侵害 デルは、DPAに基づく自らの債務不履行に起因してデータ侵害が発生した場合、次の対応を取るものとします。
6.1 デルは、データ侵害の発生を確認した場合、遅滞なくお客様に通知し、デルが把握している範囲でデータ侵害の概要、連絡先、当該データ侵害への実施済みの対策および今後の対策に関する情報を提供するものとします。
6.2 デルは、データ侵害に関する調査および復旧に関して、お客様に合理的な協力を提供します。(プライバシー法に基づく規制当局および影響を受けた個人に対する通知を含みますが、これらに限定されません。)
6.3 デルは、個人データに関するデータ侵害に関して、お客様の書面による同意を得ることなく、第三者に通知しないものとします。ただし、適用される法律に基づく通知義務がある場合を除くものとし、また、本条の規定は、データ侵害により自己の個人データに影響を受けた可能性がある他のお客様への通知を妨げるものではないものとします。
お客様が、監督当局、その他の規制当局または司法機関に対してデータ侵害に関する通知を行うこと意図する場合、(法律により禁止されている場合を除き)デルに対して当該通知内容を確認する機会を与えるものとし、デルが提示した合理的な意見および修正を反映させるものとします。
7. 責任および費用 デルおよび復処理者は、お客様の指示に従ったために生じた、デルの作為または不作為に起因するお客様または第三者からの一切の請求について、責任を負わないものとします。
8. セキュリティーイベント・データ デルは、本サービスの提供に関連してセキュリティイベント・データを処理するものとします。お客様は、デルが自らが顧客に提供するセキュリティサービス、製品、サービスの開発、機能向上、改良目的でセキュリティイベント・データを処理できることに同意します。デルは、セキュリティイベント・データに含まれる個人データについてはデータ管理者に該当し、デルは、(i) 適用されるプライバシー法を遵守し、(ii) DPAに定める保護基準を下回らないセキュリティ対策を講じることにより、当該セキュリティイベント・データを保護します。DPAに定める個人データの開示および移転に関する制約は、本条に定める利用目的に沿ってデルが実施する、セキュリティイベント・データの処理には適用されないものとします。ただし、MSAまたはDPAで許諾されている場合、または当該開示が適用される法律または司法手続において要求されない限り、お客様が特定可能なセキュリティイベント・データを、(関連会社および復処理者を除く)第三者に開示しないものとします。デルは、本サービスの終了時に(いかなる理由においても)セキュリティイベント・データを返却または消去する義務を負わないものとします。お客様は、本サービスに関連して自己の個人データがデルによって処理される自己の社員またはその他のデータ主体に対し、本条に規定されたセキュリティサービス、製品、サービスの開発、機能向上、改良目的で自己の個人データがデルによって処理されることについて適切な通知を行うことを保証します。お客様が、(管轄権を有する裁判所または規制当局等による)法的に拘束力を有する命令に基づき、セキュリティイベント・データを消去せざるを得ない場合、デルは当該命令に従い、速やかに、対象となるセキュリティイベント・データの匿名化、仮名化、または消去を行うことに同意します。
9. プライバシー影響評価 お客様が、本サービスにおけるデルが行う個人データの処理の範囲で、監督当局への事前相談を含む、デルが行う個人データの処理に関連するデータ保護影響評価を実施する場合、デルは、合理的な範囲でこれに協力するものとします。ただし、デルは、当該協力に掛かる合理的な費用を請求する権利を留保するものとします。
別紙 1 – 処理の内容
|
処理の目的 |
デルは、MSAの条件に基づいて情報セキュリティサービスをお客様に提供し、注文書、SOW、SLA、サービス説明書その他に規定された本サービスを提供するために個人データの処理を行います。 |
|
処理の期間 |
デルは、MSAの有効期間中、個人データを取得して処理するものとし、DPAに従って個人データを返還または消去するものとします。 |
|
データ主体 |
次の区分に属する個人が、個人データの移転に係るデータ主体となります。過去、現在、将来の、(i)従業員およびパートナー、(ii)SecureWorksが提供するサービスの対象となるお客様の情報システムを利用し、アクセスするお客様および個人、(iii)アドバイザー、コンサルタント、契約社員、業務委託先および代理人、(iv)不服申立者、取引先、照会者 |
|
個人データの種類 |
MSSサービス: 次の各号の個人データが対象となる可能性があります。
コンサルティングサービス: デルがコンサルティングサービスを提供する上で、必要に応じて処理する可能性がある個人データには、以下に例示する情報が含まれます。
|
別紙2 – 情報セキュリティ対策
別紙2は、デルおよびデルの関連会社で処理または移転された個人データの保護に関する、デルの管理指針を示すものです。情報セキュリティプログラムに基づいて、デルの各部門は、自部門の管掌する責任を把握します。
セキュリティに関する運用基準
デルは、企業環境を保護するために情報セキュリティ運用基準を施行し、(1)情報セキュリティ、(2)システムおよび資産管理、(3)開発、(4)ガバナンスについて定めています。当該運用基準はデル のCIOよって承認され、毎年見直しが行われています。
組織的安全管理措置
セキュリティに関する運用基準に従うことは、各社員の義務です。運用基準を遵守するために、情報セキュリティ部門は次の役割を担います。
- 戦略、ポリシー/基準ならびに規制の遵守、意識向上ならびに教育、リスク・アセスメント、セキュリティ要求管理、アプリケーションならびにインフラストラクチャー・コンサルティング、確認テストの実施および自社のセキュリティ指針の運用
- 当該環境におけるセキュリティ管理を施行するためのセキュリティテスト、設計およびセキュリティソリューションの実施
- 施行されたセキュリティソリューション、環境、資産に関するセキュリティの運用と、インシデント対応の管理
- (eDiscoveryおよびeForensicsを含む)調査のためのセキュリティ運用、法律、データ保護および人事に関するフォレンジック調査
資産の分類および管理
デルでは物理的および論理的な資産を記録し管理しています。デルのIT部門は、次のような資産を記録しています。
- 情報資産:特定のデータベース、災害復旧計画、事業継続計画、データ分類基準、アーカイブされた情報など。
- ソフトウェア資産:特定のアプリケーション、システムソフトウェアなど。
- 物理的資産:特定のサーバ、デスクトップ型/ノート型パソコン、バックアップ用/保管用テープ、プリンタ、通信機器など。
これらの資産は、事業への重要性に基づいて機密性の高さが分類されています。個人データの取り扱いに関する業界ガイドラインに基づいて、技術的、組織的、物理的な管理措置の枠組みが定められています。その中で、アクセス管理、暗号化、ロギングおよび監視、データ消去の制御が含まれる場合があります。
人的セキュリティ
採用プロセスにおいて、各地域の法令に基づいてスクリーニング審査が行われます。デルでは、毎年従業員向けの必修コンプライアンス・トレーニングが実施され、従業員は情報セキュリティとデータ・プライバシーに関するオンライン・コースを受講し、合格することが義務付けられています。職種に応じて、セキュリティ啓発プログラムに基づいてその他の資料が提供されます。
物理的・環境的セキュリティ
デルは、物理的なセキュリティのリスクを低減するため、様々な技術的・運用上の手段を講じています。デルのセキュリティチームは、各拠点の担当者と適切な対策を導入し、物理的な施設、事業内容、既知の脅威に関する変更点について継続的に確認します。また、セキュリティチームは、業界のベストプラクティスの情報を得て、全体として、独自の事業慣行とデルの期待値の両方を満たす手法を選択します。デルは、アーキテクチャ、運用、システムを含む、管理の要素を考慮したうえで、セキュリティに対する取り組みを検討するものとします。
コミュニケーションおよび運用管理
IT部門は、集中的な変更管理プログラムによって、企業インフラ、システム、アプリケーションに対する変更を管理します。テスト、ビジネス影響評価、必要に応じて経営層の承認などが含まれます。セキュリティおよびデータ保護に係るインシデントに対する、インシデント対応計画が策定されており、インシデント分析、封じ込め、対応、殲滅、報告、通常業務への復旧について定められています。
悪意のある資産の使用および悪意のあるソフトウェアから防御するために、リスクに応じた追加の対策が講じられており、情報セキュリティ運用基準の制定、アクセス権の制御、開発およびテスト環境の整備、サーバ、デスクトップ型/ノート型パソコンにおけるウィルス検知、電子メールおよび添付ファイルのスキャン、システムコンプライアンスのスキャン、侵入防止の監視および対応、主要なイベントのロギングおよび通知、データの種類に応じた情報取扱手順、eコマースのセキュリティおよびネットワークセキュリティ、システム/アプリケーションの脆弱性スキャンなどが含まれます。
アクセス管理
承認を取得する適切な手続きによって、企業システムへのアクセス権は制限されています。故意その他の理由を問わず、不正使用のリスクを低減するため、アクセス権は職務の分離と最小権限の原則に基づいて付与されます。リモートアクセスおよび無線接続は制限されており、ユーザおよびシステム上のセキュリティの設定が必要となっています。主要なデバイスとシステムの特定のイベントログは集中的に収集され、インシデント対応およびフォレンジック調査を可能にするために例外事項が報告されています。
システム開発およびメンテナンス
デルは、公表された第三者の脆弱性について、自社の環境での適用性を検討します。デルの事業およびお客様へのリスクを踏まえ、対処に向けた時間軸をあらかじめ設定しています。また、リスクに応じて、新規の主要なアプリケーションに対し、脆弱性スキャンおよび診断を実施しています。リスクに応じて、コードの脆弱性を事前に把握するために、実装前に開発環境でコードレビューおよびスキャンを行っています。これらの手続によって積極的に脆弱性を特定し、コンプライアンスを推進しています。
コンプライアンス
情報セキュリティ部門、法務部門、プライバシーおよびコンプライアンス部門は、デルに適用され得る適用法令の把握に協力しています。自社およびお客様の知的財産権、ソフトウェアの使用権、従業員およびお客様の個人情報の保護、データ保護およびデータ取扱手続、越境データ移転、財務および運用手続、技術に関する輸出規制、フォレンジック対応などの項目が含まれますが、これらに限定されません。情報セキュリティプログラム、プライバシー委員会、内部/外部監査およびアセスメント、 社内/社外弁護士による相談、内部管理アセスメント、社内ペネトレーションテストおよび脆弱性診断、契約管理、セキュリティ啓発、セキュリティ・コンサルティング、ポリシーの例外審査、リスク管理などを兼ね備えることによってコンプライアンスを推進しています。
