セキュリティ慣行

英語版の優越

この契約の英語版以外の翻訳版は、あくまで便宜のために提供されるものです。現地の法律で禁止されていない限り、翻訳版に曖昧な部分や矛盾がある場合には、英語版の規定が優先します。

 

Smartsheet は、お客様がオンライン サービスを利用する際に、ご自分のデータがどのように保護され、安全が確保されているかについて知る必要があることを理解しています。本 Smartsheet セキュリティ慣行は、情報セキュリティの脅威からオンライン サービスおよびお客様のコンテンツの安全、完全性、および秘匿性を保護するよう策定され、Smartsheet が適用する物理的、組織的、および技術的対策を含む業務慣行および安全対策について記載するものです。

 

1.        一般条項。

1.1     情報セキュリティ プログラム。 Smartsheet は、書面による包括的な情報セキュリティ プログラムを維持するものとします。これには、本契約および補足に基づくサービスの提供に関連して、お客様のコンテンツの処理およびセキュリティを管理する、またお客様のコンテンツの処理ないし保護のために使用される Smartsheet のシステムまたはネットワーク (以下「Smartsheet 情報システム」といいます) を管理する基準、手段、方法、および措置を定めた、ポリシー、基準書、手順書、および関連文書が含まれます。 

1.2     秘密保持、トレーニング。 Smartsheet は、Smartsheet 社員に対し以下を確実に行います。(a) Smartsheet 社員は、お客様のコンテンツに関し、本契約に定めるものと実質的に同程度の保護的な秘密保持義務に拘束され、(b) お客様のコンテンツの処理に関連する適切なトレーニングを受講します。

1.3     定義。 

1.3.1    「本契約」とは、お客様によるオンライン サービスへのアクセスおよびその使用について定める契約を意味します。

1.3.2    「お客様」とは、注文を締結ないし承諾する個人または事業体、もしくはサービスの無料お試しにアクセスし、それを使用するために登録を行い、かつ本契約を締結している個人または事業体を意味します。

1.3.3    「お客様のコンテンツ」とは、お客様ないしユーザーがオンライン サービスにアップロードまたは送信し、Smartsheet がお客様に代わって処理する、あらゆるデータ、添付ファイル、テキスト、画像、レポート、個人情報、またはその他のコンテンツを意味します。 

1.3.4    「処理」とは、自動化された方法によるか否かを問わず、お客様のコンテンツについて実行する業務または一連の業務を意味し、これには収集、記録、整理、構造化、保管、修正、変更、検索、参照、使用、調整、結合、制限、消去、破棄、または送信、頒布、ないしその他の方法で利用可能にすることによる開示が含まれます。

1.3.5    「セキュリティ侵害」とは、お客様のコンテンツの偶発的または違法な破壊、喪失、改ざん、不正開示、もしくはお客様のコンテンツへの偶発的または違法なアクセスを引き起こすセキュリティ侵害を意味します。

1.3.6    「サービス」とは、サブスクリプション サービス、およびサブスクリプション サービスで使用するために Smartsheet が提供または管理するその他のオンライン サービスまたはアプリケーションを意味します。

1.3.7    「Smartsheet 社員」とは、お客様のコンテンツを処理することを Smartsheet が認めた個人を意味します。

1.3.8    「サブスクリプション サービス」とは、Smartsheet が提供または管理するサブスクリプションベースのオンライン サービスおよびアプリケーションを意味します。 

1.3.9     「補足」とは、Smartsheet の特定の製品およびサービス、または特定の種類のお客様に適用される基準、手段、方法、措置、および利用規約を意味し、www.smartsheet.com/legal/agreement-supplement に掲載されています。

1.3.10   「ユーザー」とは、本契約の条件に基づき、お客様または別のユーザーによる承認ないし招待により、オンライン サービスにアクセスして使用する個人を意味します。

 

2.       セキュリティ制御。 Smartsheet は、当社の情報セキュリティプログラムに従って、以下の目的で策定された適切な物理的、組織的、および技術的な制御を実施するものとします。(a) Smartsheet が処理するお客様のコンテンツの安全性、完全性、および機密性を確保する。(b) お客様のコンテンツを既知の、または合理的に予想される脅威ないし危険 (お客様のコンテンツの安全または完全性に対する脅威または危険、偶発的な損失、改ざん、開示、およびその他違法な形式の処理を含む) から保護する。上記を制限することなく、Smartsheet は必要に応じて次の制御を適用します。

2.1    ファイアウォール。 Smartsheet は、インターネット経由でアクセス可能なデータを保護するためにファイアウォールをインストールし、維持します。 

2.2    更新。 Smartsheet は、Smartsheet 情報システムを最新のアップグレード、更新、バグ修正、新バージョン、およびその他の変更に対応した最新状態に保つためのプログラムおよびルーチンを維持します。

2.3   マルウェア対策。 Smartsheet は、マルウェア対策ソフトウェアを実装および使用し、かつこれを最新状態に保ちます。Smartsheet は、マルウェア対策ソフトウェアを使用して、すべてのウイルス、スパイウェア、および検出された、または合理的に検出されるべきその他の悪意あるコードによる脅威を低減します。 

2.4    テスト。 Smartsheet は、セキュリティに関わるシステム、プロセス、および制御を定期的にテストし、本セキュリティ慣行の要件を満たしていることを確認します。

2.5    アクセス制御。 Smartsheet は、以下を遵守することで、Smartsheet 情報システムが処理するお客様のコンテンツの安全を確保します。

  • 2.5.1    Smartsheet は、Smartsheet 情報システムにアクセスできる Smartsheet 社員に一意の ID を割り当てます。 
  • 2.5.2    Smartsheet は、Smartsheet 情報システムへのアクセスを、本契約で許可されている特定の義務を遂行するために必要な Smartsheet 社員のみに制限します。 
  • 2.5.3    Smartsheet は、Smartsheet 情報システムにアクセスできる Smartsheet 社員およびサービスのリストを定期的に (少なくとも 90 日に 1 回) 確認し、アクセスが不要になったアカウントを削除します。
  • 2.5.4    Smartsheet は、いかなるオペレーティング システム、ソフトウェア、または Smartsheet 情報システムにおいても、メーカー提供の初期値をそのシステム パスワードとして使用せず、ベスト プラクティス (以下で説明) と同等またはそれ以上の強度を有するシステム強制の「強力なパスワード」の使用を必須とするとともに、すべてのパスワードおよびアクセス認証情報を秘密に保ち、Smartsheet 社員間で共有させません。 
  • 2.5.5    Smartsheet の本番環境パスワードは、最低限次のとおりとします。(i) 8 文字以上。(ii) 過去に使用したパスワード、ユーザーのログイン名、または一般的な名称と一致しない。(iii) アカウント侵害が疑われる、または推測される場合は必ず変更する。および (iv) 定期的に変更する。
  • 2.5.6    Smartsheet は、間違ったパスワード入力が特定の期間に所定の回数を超えて試行された場合、お客様のコンテンツを処理するアカウントを無効化し、そのアカウントを強制的にロックします。
  • 2.5.7    Smartsheet は、Smartsheet 社員が Smartsheet 情報システムにアクセスするために使用したすべてのアカウントおよび認証情報のログ データを維持し、悪意ある動作または不正アクセスの兆候がないか定期的にアクセス ログを確認します。 

2.6    ポリシー。 Smartsheet は、Smartsheet 社員を対象に、ログ ポリシー違反を検知する方法など本セキュリティ慣行に定める基準を満たす、適切な情報セキュリティ ポリシー、秘密保持ポリシー、および利用規約ポリシーを維持し、実施します。 

2.7    開発。 Smartsheet 情報システムは、開発環境およびテスト環境からそれぞれ隔絶されます。 

2.8    削除。 Smartsheet は、少なくとも National Institute of Standards and Technology (米国国立標準技術研究所、NIST) の SP 800-88 改訂 1 の推奨事項 (または業界で広く使用されている後継規格) に準拠した手順を使用して、媒体を廃棄する前にお客様のコンテンツを回復不能にします。  

2.9    暗号化。 Smartsheet は、承認されたアルゴリズム、鍵の長さの要件、および NIST の推奨事項を含め、その時点で最新の業界標準と一致するかそれ以上の水準の鍵管理プロセスを義務付ける暗号化標準を適用し、SANS Institute、NIST、または Center for Internet Security (CIS) の推奨事項を含め、その時点で最新の業界標準の手法に一致する要塞化要件および構成要件を適用します。これらの標準に従い、Smartsheet はオンライン サービス内で保存されているお客様のコンテンツを暗号化し、お客様のコンテンツの転送では、オンライン サービスへの暗号化された接続のみを許可します。

2.10  リモート アクセス。 Smartsheet は、当社の保護された社内環境または本番環境の外部から行われる Smartsheet 情報システムへのアクセス、または Smartsheet の社内ないし開発ワークステーション ネットワークへのアクセスに対し、VPN や多要素認証などの適切な接続制御を確実に要求します。 

 

3.       第三者の使用。

3.1    一般条項。 本契約に基づき Smartsheet が起用する第三者は、本セキュリティ慣行で適用および要求される安全水準と実質的に類似した安全水準を (最低でも) 維持するものとします。

3.2   データ ホスティング。 Smartsheet は、Smartsheet がお客様コンテンツを処理するために起用する第三者のホスティング プロバイダー (以下「サービスとしてのインフラストラクチャ」または「IaaS」といいます) が、確実に次の要件を満たすようにします。

  • 3.2.1    基本要件。 Smartsheet は、少なくとも、IaaS プロバイダーが確実に次のことを実行するようにします。(a) 本セキュリティ慣行第 2.5 条の定めに従い、適切な物理的セキュリティおよびアクセス制御を維持する。(b) 業務用の HVAC および環境制御を使用する。(c) 業務用のネットワークまたは配線環境を使用する。(d) 業務用の火災検知機能または消火機能を使用する。および (e) 包括的な事業継続計画を維持する。
  • 3.2.2 年次監査、評価。 年次の個別リスク評価および独立監査を実施します。この評価および監査のレポートは、Smartsheet に提出されます。また、法律で義務付けられる場合は、お客様に提供されます。ただし、Smartsheet は、IaaS のセキュリティ慣行に関係のないすべての商業上および秘密の情報または規定を削除する場合があります。さらに Smartsheet は、重要な IaaS の年次レビューおよび評価を実施して、セキュリティ対策が少なくとも本セキュリティ慣行の要件を満たしていることを検証するものとします。
  • 3.2.3    拡張要件。 高可用性の冗長 (「N + 1」) データ センターの要件および機能を整備して、複数のコンポーネントがそれぞれ少なくとも 1 つの独立したバックアップ コンポーネントを備えることにより、システム障害が発生した場合でもシステム機能が許容可能な稼働水準で継続するようにします。

 

4.       システムの可用性。 Smartsheet は、災害発生後にサブスクリプション サービスの可用性を回復するように設計された災害復旧 (「DR」) プログラムを維持します (または、第三者が管理するシステムについては、当該第三者が確実に維持するようにします)。かかる災害復旧プログラムには、少なくとも次の要素が含まれます。(a) 喪失または破損したデータを復旧させる目的で、お客様のコンテンツの保存用コピーを定期的にプログラム (ユーザーの指示ではなく) で作成する手順の定期的検証。(b) Smartsheet の重要な情報システムをすべて記載し、少なくとも年次で更新される棚卸一覧。(c) 災害復旧プログラムの年次の見直しおよび更新。(d) 災害復旧手順および当該手順に記載されるサービスの復旧可能性を検証することを目的とした災害復旧プログラムの年次テスト。

 

5.      セキュリティ侵害。

5.1    手順。 

  • 5.1.1     Smartsheet は、セキュリティ侵害の検知について認識した場合、不当に遅滞することなく書面でお客様に通知します。 
  • 5.1.2    Smartsheet は、Smartsheet のセキュリティ インシデント ポリシーおよび手順 (以下「侵害管理」といいます) に従い、セキュリティ侵害を調査し、必要に応じて軽減または是正を行います。
  • 5.1.3    Smartsheet の法的義務に従い、Smartsheet は、インシデントの性質、開示された特定の情報 (わかっている場合)、関連する軽減策または是正策を含め、侵害管理の結果 Smartsheet が入手できる情報 (以下「侵害情報」といいます) をお客様に提供し、セキュリティ侵害の結果生じる、適用法に基づくお客様の義務をお客様が遵守できるようにします。
  • 5.1.4    お客様がインシデント情報に加えてセキュリティ侵害に関連する情報を必要とする場合は、お客様単独の費用負担および書面での要求により、お客様が自ら追加情報にアクセスできない範囲において、Smartsheet は、当該追加情報の収集および獲得を図るお客様の要求に従い、合理的な協力を提供します。

5.2    失敗に終わった試み。 失敗に終わった攻撃または侵入は、本第 5 条の対象となるセキュリティ侵害ではありません。「失敗に終わった攻撃または侵入」は、お客様のコンテンツへの不正または違法なアクセスをもたらすものではありません。この事例として、ping や、ファイアウォールまたはエッジ サーバーを攻撃するその他のブロードキャスト攻撃、ポート スキャン、失敗に終わったログオン試行、サービス拒否攻撃、パケット スニッフィング (または IP アドレスないし TCP ヘッダー、UDP ヘッダーを超えるアクセスをもたらさない、トラフィック データへのその他の不正アクセス)、または類似のインシデントが含まれる場合がありますが、これらに限定されません。

5.3    お客様またはユーザーの関与。 お客様による構成設定の結果として生じるお客様のコンテンツへの不正または違法なアクセス、ユーザーのログイン認証情報の侵害、またはお客様ないしユーザーによるお客様のコンテンツの意図的または不注意による共有または開示は、セキュリティ侵害ではありません。

5.4    通知。 もしセキュリティ侵害が生じ、これについて通知が行われる場合は、Smartsheet が選択した合理的な手段 (電子メールを含む) により、1 人または複数人のお客様のシステム管理者ユーザーに通知されるものとします。お客様は、オンライン サービスに関連する正確な連絡先情報を常に維持する単独責任を負います。

5.5    免責条項。 本第 5 条におけるセキュリティ侵害について報告または対応する Smartsheet の義務は、セキュリティ侵害に関する Smartsheet の過失または責任を Smartsheet が認めるものではありません。

 

6.       監査とレポート作成。

6.1    監視。 Smartsheet は、さまざまな監査、リスク評価、およびその他の監視活動を実施することにより、継続的に情報セキュリティ プログラムの有効性を監視して、セキュリティ対策とセキュリティ制御の有効性を確保します。 

6.2    監査レポート。 Smartsheet は外部監査人を使用して、サブスクリプション サービスを含む特定のサービスのセキュリティ対策とセキュリティ制御の妥当性を検証します。この監査は、(a) 前回の測定期間終了後の測定期間全体に関するテストを含み、(b) AICPA SOC2 基準、または AICPA SOC2 と実質的に同等のその他の代替基準に従って実施され、(c) Smartsheet の選択および費用による独立した第三者のセキュリティ専門家によって実施され、(d) Smartsheet の秘密情報となる SOC2 レポート (以下「監査レポート」といいます) が作成されます。監査レポートは、本契約または相互に合意した秘密保持契約の秘密保持義務に服することを条件として、書面による要求に応じて年に 1 回を上限としてお客様に提供されます。疑義を避けるために明記すると、各監査レポートは、その監査レポートが発行された時点で存在していたサービスのみを対象とし、その後にリリースされたサービスについては、それが監査レポートの対象となる場合には、次回の年次監査の監査レポートに記載されます。  

6.3    侵入テスト。 Smartsheet は外部のセキュリティ専門家を使用して、サブスクリプション サービスを含む特定のオンライン サービスの侵入テストを実施します。このテストは、(a) 少なくとも年次で実施され、(b) Smartsheet の選択および費用による独立した第三者のセキュリティ専門家によって実施され、(c) Smartsheet の秘密情報となる侵入テスト レポートが作成されます。侵入テスト レポートは、本契約または相互に合意した秘密保持契約の秘密保持義務に服することを条件として、書面による要求に応じて年に 1 回を上限としてお客様に提供されます。  

6.4    お客様側の監査。 お客様が適用法を遵守するための情報を、監査レポートおよび侵入テスト レポートの他にも法的に必要とする場合は、お客様単独の費用負担および書面での要求により、お客様が自ら追加情報にアクセスできない範囲において、Smartsheet は、Smartsheet によるお客様のコンテンツの処理に関してお客様が実施する第三者監査人による必須監査 (以下「お客様側の監査」といいます) について、これを許可し、協力を行います。ただし、以下が条件となります。

  • 6.4.1.   お客様側の監査の監査人、監査予定日、および予定範囲を記載した合理的な事前通知を Smartsheet に提供すること。
  • 6.4.2    Smartsheet がお客様への通知によって当該監査人を承認すること。この承認は、不当に差し控えないこととします。
  • 6.4.3    お客様側の監査の実施中、Smartsheet の敷地建物、設備、または業務に危害、傷害、もしくは混乱を引き起こさないようにお客様および監査人が行動すること。
  • 6.4.4.   お客様は、監督当局によって別途要求されない限り、お客様側の監査を各暦年で 1 回のみ実施すること。

 

最終更新日: 2023 年 3 月 24 日