コンテンツへスキップ

Exabeam Confronts AI Insider Threats Extending Behavior Detection and Response to OpenAI ChatGPT and Microsoft Copilot — Read the Release.

デモを見る

エクサビーム・ベンダー・データ・セキュリティ・ポリシー

EXABEAMと契約書に記載された相手方(以下「契約者」といいます)との間で締結された契約(以下「本 契約」といいます)において特定された製品および/またはサービス(以下「ソリューション」といい ます)に関連して、両当事者は、契約者、および場合によってはその下請業者が、EXABEAM、その関連会社、または EXABEAMもしくはその関連会社の顧客もしくは顧客がデータ保護法(以下に定義します)に基づきデータ管理者となる可能性のある保護されたデータを処理する場合があることを予期しています。契約者および エクサビームは、データ保護法により要求される保護されたデータの保護に関して適切な保護措置が講じられるよう、エ クサビームが随時更新する本データセキュリティポリシー(以下「ポリシー」といいます)の条件に同意します。契約者は、本ポリシーの更新版を積極的に入手し、これを厳守するものとします。

1.定義.本ポリシーで使用される大文字の用語は、別段の定義がない限り、本契約で規定されるのと同じ意味を持つものとします。

1.1「適切な国」とは、保護されたデータに対して適切な保護を提供するものとして、データ保護法制の下で随時認められている国または地域を意味します。

1.2「関連会社」とは、当事者を直接的または間接的に支配している、支配されている、または当事者と共通の支配下にある事業体を意味します。本ポリシーにおいて、"支配 "とは、直接的または間接的に、取締役選任またはその他の統治権について投票権を有する議決権株式(またはその他の証券もしくは権利)の 50%以上を所有または支配することを意味します。

1.3 「CCPA」とは、随時改正または補足される2018年カリフォルニア州消費者プライバシー法を意味します。

1.4 「秘密情報」とは、Exabeam 、その関連会社、顧客または顧客に関するあらゆる情報(ソフトウェア、ソースコードおよび仕様書、企業秘密、技術情報、事業予測および戦略、人事情報、クレジットカードまたはその他の財務情報、ならびに相手方に秘密として提供された第三者の専有情報を含みます;また、口頭で開示された場合、または有形の形式で開示された場合、開示後30日以内に書面によりその旨が確認された場合、または開示された情報が機密情報または専有情報であることを合理的な人が理解できるような方法で開示された場合。上記を制限することなく、すべてのソフトウェアおよび文書は、エクサビームの「秘密情報」とみなされるものとし、すべての顧客データは、エクサビームおよびその顧客の「秘密情報」とみなされるものとします。

1.5 「顧客データ」とは、SaaS 環境にアップロードされたデータ(PII を含む)、および Exabeam、その関連会社、クライアント、または顧客による SaaS 環境の使用から出力されたデータを含みますが、これらに限定されません。

1.6「データ保護法制」とは、データ保護指令95/46/EC(GDPR、プライバシーおよび電子通信指令2002/58/EC、CCPA、英国データ保護法2018、および上記を実施または補足するすべての国内法を含みますが、これらに限定されません。

1.7 "GDPR "とは、保護されたデータの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日の欧州議会および理事会の規則(EU)2016/679を意味し、指令95/46/EC(一般データ保護規則)を廃止する。

1.8「PCI DSS」とは、Payment Card Industry Security Standards Council(ペイメントカード業界セキュリティ基準協議会)、またはその後継の協議会もしくは機関により随時発行および更新されるデータセキュリティ基準を意味し、電子データのセキュリティ管理、ポリシー、手順、ネットワークアーキテクチャ、ソフトウェア設計、およびその他の重要な保護手段に関する要件を含みます。

1.9 "個人データ"データ保護法において「個人データ」と定義されるデータであって、エクサビームが直接または間接的に契約者に提供するもの、または契約者もしくはそのサブプロセッサー(該当する場合)がエクサビームにソリューションを提供する目的でアクセス、保存、その他の処理を行うものを意味します。

1.10 「保護されたデータ」とは、エクザビーム、その関連会社、顧客および顧客のすべての秘密情報、顧客データ、個人データを意味します。

1.11「処理」、「データ管理者」、「データ処理者」、「 データ主体」、および「監督機関」は、データ保護法における意味を有するものとします。

1.12「標準契約条項/SCC」とは、欧州議会および理事会規則(EU)2016/679(https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en)に従い、個人データを第三国に移転する際の標準契約条項に関する2021年6月4日付の欧州委員会実施決定(EU)2021/914を意味します。

1.13 「英国補遺」とは、S119A(1) Data Protection Act 2018に基づきコミッショナーが発行したSCCへの国際データ移転補遺、バージョンB1.0(2022年3月21日施行)を意味し、https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf。

2.データ処理

2.1 当事者の範囲および役割両当事者は、保護されたデータの処理に関して、エクサビームがデータ管理者であり、契約者がデータ処理者であることを認識し、同意するものとします。

2.2 法律の遵守。各当事者は、データ保護法制を含め、本ポリシーに基づく義務の履行において、当事者に適用され、当事者を拘束するすべての法律、規則、および規制を遵守します。

2.3 処理指示。契約者は、EXABEAM と契約者との間で有効な契約に従い、また、EXABEAM の合理的な書面による指示(かかる指示が契約条件および本ポリシーと整合する場合)に従って、保護されたデータを処理するものとします。

3.データ転送

3.1 契約者またはそのサブプロセッサーは、エクサビームの書面による事前の承認なしに、保護されたデータにアクセスし、本国外で移転し、または処理してはならないものとします。

3.2 契約者による保護されたデータの処理が EEA 域外の国(適切な国を除く)で行われる場合、当事者は、その処理に 関して標準契約条項が適用され、契約者が標準契約条項における「データ輸入者」の義務を遵守し、エ クサビームが「データ輸出者」の義務を遵守することに同意するものとします。契約者は、対象契約に関連して提供された個人データを、EXABEAM のためにのみ処理するものとし、かかる処理は SCC のモジュール 3 に従うものとします。SCC に基づき、契約者が管理者、データ主体、または監督機関に提供するすべての通知は、速やかにエ クサビームに対して行われるものとし、エクサビームは、契約者に代わって適切な管理者、データ主体、または監督 機関に通知することに同意するものとします。両当事者は、SCC のモジュール 3 に基づく選択を以下のとおりとすることに同意します:

  1. 第7条(「ドッキング条項」)は適用されない;
  2. 第9条(「サブプロセッサーの使用」)には、オプション2(「一般的な書面による承認」)が含まれるものとし、60日間の異議通知期間を設けるものとします。ただし、個人データ、EXABEAMの書面による事前の同意なく、本国外で処理されることはないものとします;
  3. 第11条(a) 項(「救済」)には、前述のオプションは含まれないものとする;
  4. 第 17 条(「準拠法」)には、アイルランド共和国加盟国とのオプション 2 が含まれるものとする。
  5. 第18条(「裁判地および管轄権の選択」)には、アイルランド共和国の裁判所が含まれるものとする。

両当事者は、本ポリシーの附属書I、附属書IIおよび附属書IIIが、両当事者のSCCのそれぞれの附属書として機能することに同意する。

3.3 契約者が、本契約の履行において、保護されたデータをサブプロセッサー(契約者の関連会社を含むが、これに限定されない)に移転する場合、第7条を損なうことなく、当該サブプロセッサーがEEAまたは英国外で保護されたデータを処理する場合、契約者は、当該移転に先立ち、当該処理に関する適切性を確保するための以下のような仕組みが整備されていることを確認するものとします:(i)データ保護法に基づいてEU当局により承認され、別紙1(または該当する場合は英国当局)に記載されている標準契約条項を、契約者が締結すること、または第三者がエクサビームに代わって締結することを契約者に要求すること、または(ii)データ移転に関するその他の特別に承認されたセーフガード(データ保護法に基づいて認められるもの)の存在、および/または関連当局による適切性の認定(データ保護法に基づいて提供されるもの)。

3.4 保護されたデータの処理に適用されるメカニズムとして英国の補遺が使用される範囲:

3.4.1 エクサビームを「輸出者」とし、契約者を「輸入者」とします。

3.4.2 表4では "Exporter "が選択されるものとする。

4.セキュリティ監査

4.1 セキュリティ。契約者は、保護されたデータの不正かつ違法な処理、保護されたデータの偶発的な紛失または破壊および損傷に対する適切な技術的および組織的な保護措置を維持すること、ならびに契約者が上記を反映した包括的なセキュリティプログラムを作成し、継続して維持することを表明し、保証するものとします。上記を制限することなく、当該セキュリティプログラムは、定期的なセキュアコーディングトレーニング、実施された静的および動的テスト、脆弱性およびアプリケーションのリスク判定、セキュリティテストが確実に実施されるためのソフトウェア提供プロセスにおけるチェックポイントなど、必要とされる共通管理を詳述するものとする。セーフガードには、保護されたデータにアクセスするエンドポイントへのバックアップおよびデータ損失防止ソフトウェアのインストールを含むが、これらに限定されないものとする。契約当事者は、パッチ管理、ウィルスおよびマルウェア対策、バックアップ、標準的な機器の 構築および設定など、セキュリティ態勢を確実に維持するための管理を維持するものとする。ソリューションは、最新バージョンのみが使用されるように更新されなければならない。契約者は、随時契約者に通知されるすべてのEXABEAMのポリシーおよび手続を遵守することに同意する。

4.2 契約者は、可能な限り保護されたデータの使用を最小限に抑え、保護されたデータがデバイス上にあることが意図されているか否かにかかわらず、情報を保存または処理するすべてのデバイス上で、静止時および転送時に保護されたデータの暗号化を維持するものとします。本ポリシーにおいて、「暗号化」とは、商業的に合理的であり、業界で認知されたベンダーから商業的に入手可能な、受け入れられている業界標準のソリューションを意味します。契約者は、本条項が遵守されていることを確認するため、使用されている暗号化標準を定期的に見直すものとします。上記を制限することなく、契約当事者は、データおよび画面イメージのインターネット転送がすべて暗号化されるような SSL および HTTPS プロトコルの使用を可能にするデジタル証明書をウェブサーバーで利用しない限り、保護されたデータをある場所から別の場所に電子的に転送しないものとします。保護されたデータを含むデータパケットは、契約者のファイアウォールの内部でのみ復号化されるものとし、すべてのデータは暗号化されたパケットを介してインターネット上で転送されなければならない。ウェブサーバにデジタル証明書を使用し、TLS1.2 またはそれ以上のバージョンを使用できるようにし、HTTPS プロトコルを使用することで、データおよび画面イメージのすべてのインターネット転送を暗号化できるようにすること。契約当事者は、非推奨または攻撃に対して脆弱であることが示されていない業界標準のアルゴリズ ムまたはメカニズムを使用して接続が暗号化されていない限り、保護されたデータを無線技術、電子メール、 またはインターネット経由で送信しないものとします。契約者は、契約者と エクサビームとの間で公衆インターネットを経由して送信されるすべての保護されたデータが暗号化されるよう、適切な技術的、手続き的、管理的措置を維持するものとする。パスワードおよび PIN のデータストアは、最高レベルの完全性を提供するように設定されなければならない。パスワードおよび PIN(人間以外の一時的なパスワード/PIN を含む)は、暗号化された形式で保存されなければならない。

4.3 契約者は、保護されたデータへのアクセス(リモートアクセス接続、外部に面する顧客データ を含むがこれに限定されない)には、多要素認証を使用するものとする。

4.4 契約者は、すべての保護されたデータについて、記録保持プロセス及び事業継続計画を維持する。契約者は、要求があった場合、これらの方針および計画をEXABEAMに提供するものとします。

4.5 契約者は、エクサビームが合理的に要求する(処理の性質および契約者が利用可能な情報を考慮した)商業上合理的な支援を、以下の事項に関して提供するものとします:(i) データ保護影響評価(この用語は GDPR で定義されています)に関するデータ保護法に基づくエ クサビームの義務、(ii) セキュリティインシデント(以下に定義します)に対応する監督機関への通知および/またはデータ主体へのエ クサビームによる連絡、(iii) 処理のセキュリティに関する GDPR に基づくエクサビームの義務の遵守。

4.6 契約者は、エクサビームにソリューションを提供するために使用するインターネット環境と、契約者内部の要員が使用するインターネット環境を分離するものとします。契約者は、すべての保護対象データを他の保護対象データから物理的かつ論理的に分離するものとします。明確化のため、契約者は、エクサビームが提供する各クライアント、顧客またはアフィリエイトの保護されたデータについて、物理的および論理的に分離された状態を維持するものとする。契約者は、必要最小限のアクセスという原則に基づいてファイアウォールルールを作成する。ファイアウォールは、ソリューションが機能するために必要なトラフィックのみを通過させ、不必要なトラフィックは遮断する。

4.7 契約者は、自己の費用と負担において、独立した第三者を雇い、少なくとも年1回、発見され た脆弱性の修正とパッチ適用を伴う環境の侵入テストを実施するものとします。請負者は、かかるテストを実施するために、かかる侵入テストを実施する資格があると業界基準で認定された信頼できる第三者を利用するものとします。これには、クリティカリティのレベルに応じて、クリティカル:3日、ハイ:4週間、ミディアム:6ヶ月のタイムラインに従って、脆弱性を修正し、パッチを適用するためのエクサビームの推奨に従うことを含みますが、これに限定されません。

4.8 契約者は、エクサビームの書面による事前の承認を得ることなく、スマートフォン、USBドライブ、フラッシュメモリカード、フロッピードライブ等のモバイルデバイスを保護されたデータの保存または処理に使用してはならない。

4.9 契約者は、ネットワークトラフィックのパターンを監視し、ログを関連付け、1つ以上のプロセス(例:セキュ リティ情報・イベント管理(Security Information and Event Management)または SIEM ソフトウェア)を通じて不審なトラフィックを監視するものとする。

4.10 契約当事者は、保護されたデータへのアクセス、保存、処理、または送信に使用されるシス テムおよびアプリケーションについて、監査証跡が有効かつアクティブであることを保証するも のとします。また、契約当事者は、当該システムおよびアプリケーションへの全アクセスをリンクするプロセスを確立するものとする。さらに、契約当事者は、毎日または毎週セキュリティログを確認するためのセキュリティポリシーと手順が整備され、例外に対するフォローアップが必要であることを保証するものとします。契約者のネットワークおよびソリューションに関するシステムセキュリティレポートは、EXABEAM の要求に応じて、EXABEAM に提供する。EXABEAMの要求に応じて、契約者は、保護されたデータの処理をサポートするシステムに関する独立した第三者による監査レポートを提供する。

4.11 契約者は、データが保存される物理的な場所または主要なサービスが実施される物理的な場所の変更を含む、システムまたは技術環境の重大な変更について、事前にEXABEAMに通知するものとします。エクサビームは、変更が適用される規制要件の遵守に影響を及ぼすかどうかを確認するために、変更を評価する。エクサビームは、コンプライアンス違反となる変更に対処するために必要な改善活動について、契約者に通知する。

4.12 契約者は、施設およびシステムの物理的安全性およびセキュリティを確保するために、一意に 識別される周辺アクセス管理(例:スマートカードまたは生体認証システム)および監視な どの管理を維持するものとします。保護されたデータを含む領域へのアクセスは、最小特権の原則に基づいて制限されるものとする。サーバー・ルームおよびデータ・センターへのアクセスは、多要素認証により保護されるも のとする。

4.13 証明書。契約当事者は、外部監査人を利用してセキュリティ対策の妥当性を検証するものとする。この監査は、(i)少なくとも年 1 回、(ii)サービス組織管理(SOC)2 トラストサービス原則またはその他同等の基準に従い、(iii)契約者が選択し、費用を負担して、関連業界においてかかる監査を実施する権限を有する独立した第三者によって実施される。契約者は、四半期ごとに、ワークステーションのコンプライアンスおよび認証状況についての最新情報をEXABEAMに提供するものとする。契約者は、EXABEAM のネットワークおよびシステムに接続するため、または保護されたデータにアクセス、処理、使用するため に、安全に設定された企業所有のデバイス(BYOD 非対応デバイスまたは業務用/個人用ハイブリッドデバイス)のみを使用する。

4.14 監査手続き契約者は、EXABEAM および/またはその監査人に対し、EXABEAM がデータ保護法制に基づき適用される要件を満たすための合理的な協力および支援を提供するものとします。(i) 登録された独立した外部監査人による、契約者の技術的および組織的な対策が十分であり、ISO 27001 または SOC2 などの業界監査基準に従っていることを証明する、12 ヶ月以内の監査報告書。

ただし、セキュリティ侵害が発生した場合、エクサビームは年1回を超える監査を行うことができるものとします。契約者は、かかる監査または検査に関して、本ポリシーの遵守を証明するために必要なすべての情報をEXABEAMに提供することを含め、EXABEAMに協力することに同意する。

当社は、本ポリシーに基づき実施される監査または検査について、契約者に合理的な通知を行うものとし、当該監査または検査の過程で契約者の従業員が当該施設に滞在している間、契約者の業務に支障をきたさないよう(または、支障をきたさないことができない場合は、最小限にとどめるよう)合理的な努力をするものとします。ただし、セキュリティ違反があった場合、または契約者が本ポリシー、本契約もしくはデータ保護に関する法令に基づく義務に重大な違反をした場合は、前述の通知義務は適用されません。

4.15.記録。契約者は、データ保護法により要求される場合、契約者が保護されたデータの処理に関してデータ保護法に基づくデータ処理者の義務を遵守していることを証明するために、EXABEAMが合理的に要求する契約者の所有または管理する情報をEXABEAMに提供するものとします。

4.16 削除。本契約または本契約に基づき適用される期間が終了または満了した後、合理的に実行可能な限り速やかに、また、いかなる場合であっても30日以内(または、エクサビームからの要請があればそれよりも早く)に、契約者は、本ポリシーに従って受領、アクセスまたは処理されたお客様のすべての保護対象データ(そのコピーを含む)を削除するものとします。ただし、契約者は、EXABEAMから書面による要求があった場合には、すべての保護されたデータを削除するものとします。契約者は、データ破棄の証明書を、破棄後 10 日以内に、速やかに提出するものとします。

保護されたデータを削除するための措置には、少なくとも以下のものが含まれるものとする:

(a) 保護されたデータを含む紙を燃やしたり、粉砕したり、シュレッダーにかけたりして、情報の読み取りや再構築が現実的に不可能な状態にすること;

(b)保護されたデータを含む電子媒体の破壊または消去を確実にし、情報の読み取りまたは再構築が実際上不可能にすること、および/または

(c) 上記(a)および(b)の行為を契約者に代わって行う第三者が、本ポリシーと矛盾しない方法で行うことを保証すること。

契約者は、本ポリシーまたは適用される法律に基づき義務付けられる場合を除き、保護され たデータを保持しないことを保証するものとします。上記を条件として、契約者の廃棄方針は、かかる情報を定期的に見直し、廃棄することを要求するものとします。

4.17 PCI DSS。契約者は、公表された PCI DSS に従い、PCI DSS への準拠を維持するものとします。契約者は、自己の費用負担により、PCI DSSへの準拠を毎年維持するものとし、また、要求があった場合には、当該基準への準拠を証明するために、以下の適切な文書をEXABEAMに提供するものとします。エクスアビームは、PCI DSSへの準拠を確認するために、フォレンジック調査の一環として必要とされる第三者による監査を含め、年1回、契約者を監査する権利を有するものとする。この監査権は、本契約に定めるその他の監査権に追加されるものとする。

4.18 CCPA。契約者がカリフォルニア州居住者の保護されたデータを処理する場合、契約者はCCPAを厳格に遵守するものとします。具体的には、契約当事者は以下の事項に同意するものとします:(a)契約者は、カリフォルニア州居住者の保護されたデータに関するサービスプロバイダー(CCPAに定義)としてのみ行動し、EXABEAMは、保護されたデータの処理の目的および手段を単独で決定すること。CCPAの遵守のため、契約者は、本ポリシーに定める要件および制限を理解し、遵守すること、また、CCPAの対象となる保護されたデータに関して、(1)本契約に定めるサービスを実施する特定の目的以外の目的、または(2)EXABEAMと契約者との直接の取引関係以外の目的で、保護されたデータを保持、使用または開示しないことを証明するものとします。

5.違反通知

契約者は、セキュリティ事故対応方針および手順を維持し、法律で認められる範囲内で、以下のことを行うものとします:(i) 契約者が送信、保存またはその他の方法で処理した保護されたデータの偶発的または違法な破壊、紛失、改ざん、不正な開示、またはアクセスにつながるセキュリティ違反が実際に発生した場合、またはその疑いがある場合(以下、「セキュリティインシデント」といいます)、その事実に気づいてから24時間を超えない範囲で、速やかにその旨をEXABEAMに通知すること;(ii) 契約者がセキュリティ・インシデントを認識した時点で、処理の性質および入手可能な情報を考慮し、セキュリティ・インシデントの影響を軽減し、セキュリティ・インシデントから生じる損害を最小限に抑えるための合理的な措置を講じること。

6.契約社員

6.1 契約当事者は、保護されたデータの処理に関与する従業員が、保護されたデータの機密性について知らされており、その責任について適切な研修を受け、書面による機密保持契約を締結していることを確認するものとします。上記を制限することなく、契約当事者は、従業員および権限を有する下請業者を教育・訓練するため、本ポリシーおよび適用法のセキュリティ要件に実質的に対応するセキュリティ意識向上プログラムを、少なくとも年1回実施し、維持するものとします。

6.2 契約者は、保護されたデータへのアクセスが、本ポリシーおよび契約に従い、ソリューションの提供に関 与する人員に限定されることを保証するものとします。ユーザー認証は業界のベストプラクティスを下回らないものとし、最小権限アクセス、業務上必要な個人の説明責任、強固な認証メカニズムを利用・維持する際の職務分掌の概念に従うものとする。アプリケーションおよびオペレーションシステムのデフォルトアカウントおよびパスワードは、お客様が当該システムを本番稼動させる前に、エクサビームに提供されたソリューションをサポートする本番稼動システム上で無効化または変更されなければならない。エクサビームからの要求に応じて、現在のシステムユーザーとそのアクセスに関するレポートを提供する。システムへのアクセスが不要となったユーザーは、直ちに削除されるものとします。

6.3 契約者は、保護されたデータの処理に従事する契約者の従業員の信頼性を確保するために、商業上合理的な措置を講じるものとします。

6.4 契約者は、データ保護責任者及びガバナンスチームを任命し、EXABEAM に提供するものとする。

6.5 雇用主は、身元確認の実施において、適用されるすべての地方法、州法、連邦法を遵守す るものとする。(a)身分証明書の確認、(b)指定された国で働く法的権利、(c)住所の確認、(d)過去 2 年または過去 3 年間の雇用証明書、(e)政治的に露出した人物チェック(PEP)、(f)クレジット/破産チェッ ク、(f)独裁者とメディアチェック、(g)規制チェック:(h) 学位、証明書、および/または卒業証書の確認を含む学歴確認、(i) 過去 7 年間の米国連邦重罪調査(または国際的な契約当事 者の要員については現地での同等の調査)、(j) 過去 7 年間の連邦および国の軽犯罪・重罪調査(または国際的な契約当事 者の要員については現地での同等の調査)、(k) 各契約当事者は、以下の項目について審査を受けていること:司法省性犯罪者、医療制裁(FCIS)(保健福祉サービス監察総監室、一般役務庁、 薬物取締局、食品医薬品局、研究インテグリティ局、TRICARE、FDA の資格停止を含む)、グローバルな制裁と執行(連邦捜査局、米国麻薬取締局、米国司法省、国連制裁、米国禁輸、米国国防貿易管理、欧州資産凍結、外国資産管理局、連邦預金保険公社、金融業規制庁を含む。,米国証券取引委員会、欧州連合資産凍結、世界銀行)。

(b) B.A.C.0.04%を超える未承認の薬物またはアルコールを体内に入れて、エクサビームに出頭し、またはエクサ ビームのために、もしくはエクサビームのために業務を遂行すること。(c)EXABEAMの敷地内に出入りする際、身辺、所持品、EXABEAMまたは請負人の指定する物品の定期的な検査に応じないこと。契約者は、現地に赴く者、またはEXABEAMの業務に従事する者に対し、薬物検査を実施するものとする。

契約者は、本契約に基づくエクサビームに対する義務の履行のため、上記に違反している、または違反していると合理的に疑われる契約者の要員を排除し、入れ替えることに同意する。

7.サブコンダクター

7.1 下請契約契約者は、当社の書面による事前の承諾を得ることなく、本契約又は本ポリシーに基づく契約上の義務を履行するために、下請業者又は第三者を選任してはならないものとします。

8.データ対象者の要求、削除

データ保護法に基づいて要求される場合、契約者は、データ対象者から自己の保護されたデータへのア クセス、修正もしくは消去の要求があった場合、またはデータ対象者が当該保護されたデータの処理に対 して異議を申し立てた場合、または当該保護されたデータに関してデータポータビリティ要求を行った場合(以下、 「データ対象者の要求」といいます)、速やかにその旨をEXABEAMに通知するものとします。契約者は、EXABEAM がデータ対象者の要求に対応するよう指示した場合、EXABEAM を支援するために商業上合理的な努力をするものとします。契約者は、EXABEAM の書面による事前の同意なく、EXABEAM のエンドユーザーからの要求に対して、当該要求が EXABEAM に関連するものであることを確認する場合を除き、独自に対応しないものとします。EXABEAMがデータサブジェクトリクエストに対応できない場合、契約者は、EXABEAMの要求に応じて、当該データサブジェクトリクエストへの対応を促進するための合理的な支援を提供するものとします。EXABEAMは、当社がEXABEAMに提供する標準的な料金で、かかる支援を提供するために必要な料金を当社に支払うことに同意するものとします。

9.一般

9.1 解釈。本ポリシーによって修正される場合を除き、本契約は引き続き完全な効力を有します。本契約と本ポリシーの間に矛盾がある場合、保護されたデータの処理に関する限り、本ポリシーが適用されるものとします。

9.2 分離可能性。本ポリシーのいずれかの条項が管轄裁判所によって執行不能と判断された場合、その条項は分離され、残りの条項は完全な効力を有します。

9.3 準拠法および管轄権。本規約は、本規約の準拠法に準拠します。

9.4 賠償契約者は、本契約または当事者間で締結された作業指示書を含むその他の契約書に規定された責任の制限にかかわら ず、以下に起因または関連して発生したEXABEAMおよびその役員、評議員、従業員、関連会社、代理人、下請業者、ならびにその顧 客に対する一切の請求、罰則、罰金、費用、責任または損害(合理的な弁護士費用を含むがこれらに限定されない)を補償し、 防御し、損害を与えないものとする:(i)契約者による本ポリシーに基づく義務の違反、または本ポリシーの規定に反する保護されたデータへのアクセス、使用もしくは開示、または(ii)適用される法律の違反に関連する政府の罰金および罰則、または第三者からの請求、損害賠償、罰金、費用もしくはその他の関連する損害。本契約に定める反対の規定にかかわらず、契約者による本ポリシーの違反および前述の補償義務は、本契約に定める責任制限の対象とならないものとします。

9.5 Exabeam 契約者エンドポイント管理基準。契約者およびその人員は、https://www.exabeam.com/legal/exabeam-contractor-endpoint-management-standard/ に定める Exabeam 契約者エンドポイント管理基準に定める要件を遵守するものとします

付録1

標準契約条項

  1. 当事者リスト

データエクスポーター:株式会社エクサビーム(以下「エクサビーム」という。

データインポーター:データインポーターは、契約者として特定される当事者である。

  • 譲渡の説明

個人データが移転されるデータ主体のカテゴリー

データ対象者には、データ輸出者の顧客(管理者)およびその従業員(顧客のアクティブ・ディレクトリのメンバー(社内外を問わない)、または管理者がエクサビーム製品の使用を通じて監視することを選択したその他の個人を含む)が含まれます。

………………………..

移転される個人データのカテゴリー:移転される個人データは、以下のカテゴリーに分類されます(データ対象者が自然人の場合のみ適用されます):

姓と名

連絡先情報(住所、Eメールアドレス、電話を含む)

会社および/または雇用主

役職名

データ・エクスポーターの判断で入力された追加データ

………………………..

例えば、厳密な目的制限、アクセス制限(特別な訓練を受けたスタッフのみへのアクセスを含む)、データへのアクセス記録の保管、転送の制限、または追加のセキュリティ対策など。

機微なデータは、管理者の裁量においてのみ入力されます。このような機密データには、HIPAAで定義されているPHIなどの健康情報が含まれる場合があります。

………………………..

転送の頻度(例えば、データが単発的に転送されるのか、継続的に転送されるのか)。

データ・エクスポーターの判断による。

…………………………

加工の性質

処理は、EXABEAMにソリューションを提供するために必要な活動のみで構成されます。

…………………………

データ転送とさらなる処理の目的

処理は、EXABEAMにソリューションを提供するために必要な活動のみで構成されます。

………………………..

個人データの保存期間、またはそれが不可能な場合は、その期間を決定するために使用した基準

処理の期間は、以下のいずれか早い日までとします:(i)本契約の満了または終了、または(ii)書面による別段の合意がない限り、いずれかの当事者が本契約に基づく義務を履行する目的で処理が必要でなくなった日。

……………………..

サブ)プロセッサーへの移転については、処理の対象、性質、期間も明記すること。

サブプロセッサーによる処理は、エクサビームが契約または本ポリシーに定める権利および義務を履行するために必要なものとします。

サブプロセッサーによる処理の期間は、以下のいずれか早い日までとします:(i)本契約の満了または終了、または(ii)書面による別段の合意がない限り、いずれかの当事者が本契約に基づく義務を履行する目的で処理が必要でなくなった日。

……………………..

  • 管轄監督当局

第13条に従い、管轄監督当局を特定する。

本ポリシーのセクション3.2を参照のこと。

………………………….

付録2

標準契約条項

データインポーターが実施すべき補足措置は以下の通り:

  1. Exabeamのベンダー・データ・セキュリティ・ポリシーの遵守については、https://www.exabeam.com/vendor-data-security-policy /;
  2. ストレージは単一のジオロケーション;
  3. SOC 2 Type II 認証の維持;
  4. NISTの暗号化基準により、静止時および転送時に暗号化されたデータ。
  5. NISTの削除方法。

データ輸出者は、書面による通知を行うことにより、本付属書 II を随時修正し、および/または処理に関する追加の指示を行う権利を有するものとします。データ輸入者は、データ輸入者の許可されたサブプロセッサーが本付属書 II に定める措置を遵守し、実施することを保証するものとします。

付録3

標準契約条項

I.サブプロセッサのリスト

契約者は、EXABEAMに対し、現在契約しているサブ・プロセッサーのリストを提供するものとします。

II.注意事項

サブ・プロセッサーへの変更通知は、SCCに従い、電子メールにて、[email protected]