BaFin

契約にはクラウド サービス プロバイダーが実行するサービスの仕様、そして必要であればその説明を含める必要があります。これはサービス レベル アグリーメントに規定されている必要があります。この文脈では、次の側面を定義しておく必要があります。

対象となるお客様の Atlassian 顧客契約で言及されて組み込まれるアトラシアンのドキュメントには、該当するクラウド製品に関する明確な説明が含まれています。

対象となるお客様は、Atlassian 顧客契約の対象となる アトラシアン サポートのサービスにアクセスできます。

通常、Atlassian 顧客契約によって対応します。

ここで詳述してあるように、特定の対象クラウド製品には製品内のデータ レジデンシー機能が備わっており、お客様側の管理者が対象製品データを任意の場所に固定できます。このページでは、アトラシアンのクラウド ホスティング インフラストラクチャについて説明します。

アトラシアンは (a) 該当するサブスクリプション期間中に製品の機能を著しく低下させないことと、(b) アトラシアンのデータ ホスティングの場所の変更をお客様に通知することを契約によって確約します。

Atlassian 顧客契約では、サブスクリプション期間のデフォルトの期間と該当するすべての通知期間が定められています。さらに、対象のクラウド製品のいずれかを注文する際は、対応するサブスクリプション期間の開始日と終了日が含まれます。

対象クラウド製品に対応するサービス レベル条件、およびサービス レベルを満たさない場合の救済策は、アトラシアンのサービス レベル アグリーメントと対応する製品別規約に記載されています。

アトラシアンは https://status.atlassian.com/ でサービスの可用性について最新情報を公開して、対象クラウド製品の可用性に深刻な影響を及ぼすイベントをお客様に通知することを契約によって確約します。

監督対象企業の情報および監査権、ならびに管理可能性は、契約上の制限の対象としてはなりません。アウトソーシングに関連するリスクを適切に管理して監視するために必要な情報を、監督対象企業が確実に受け取れるようにする必要があります。

アトラシアンの監査プログラムは、対象となる顧客とその監督当局が対象クラウド製品を効果的に監査できるように設計されています。

上記の 12 行目をご参照ください。

上記の 12 行目をご参照ください。

適用除外

監督法で適用される要件によっては、監督対象企業が自社の監査活動の効率を向上させるために適用除外を申請できます。このような適用除外には、プール監査、または共通の基準に基づく文書/証明書、あるいは認定された第三者の監査レポート、またはクラウド サービス プロバイダーの内部監査レポートの使用などがあります。

これはお客様の考慮事項です。上記 12 行目と下記 20 行目もご参照ください。

プール監査

セクション 25a、25b KWG の遵守を条件とする監督対象企業は、Circular 09/2017 (BA) – リスク管理の最小要件 – (MaRisk) の適用除外を利用できます。BT 2.1 Item 3 MaRisk に従い、外部サービス プロバイダーが実行する監査作業が AT 4.4 および BT 2 MaRisk の要件を満たしていれば、実質的なアウトソーシングにおける監督対象企業の内部監査部門がその監査活動を放棄する場合があります。監督対象のアウトソーシング会社の内部監査部門は、これらの条件を満たしていることを定期的に確認する必要があります。監督対象企業に関する監査結果は、監督下にあるアウトソーシング会社の内部監査部門に引き継がれます。

これはお客様の考慮事項です。上記 12 行目もご参照ください。

この点で、監査活動は、クラウド サービス プロバイダーの内部監査部門、1 つ以上の監督対象のアウトソーシング会社に代わるその内部監査部門 (プール監査)、クラウド サービス プロバイダーが任命した第三者、または監督対象のアウトソーシング会社が任命した第三者によって実行されることがあります。

これはお客様の考慮事項です。上記 12 行目もご参照ください。

他の監督対象企業については、個々のケースにおいて、プール監査を通じて他の監督対象企業と共同でクラウド サービス プロバイダーに対して特定の情報および監査権の行使を許可される場合があります。

これはお客様の考慮事項です。上記 12 行目もご参照ください。

監督対象企業が前述の適用除外のいずれかを利用する場合、その情報および監査権は制限されません。

上記の 12 行目をご参照ください。

証拠/証明書および監査レポート

、監督対象企業は原則として、共通の基準 (例: 国際標準化機構の国際セキュリティ標準 ISO/IEC 2700X、BSI のクラウド コンピューティング コンプライアンス コントロール カタログ (C 5 カタログ) など)、認定された第三者の監査レポート、またはクラウド サービス プロバイダー内部監査レポートに基づく文書/証明書を使用します。この点に関して、監督対象企業はそのような文書/証明書および監査レポートの認証者または監査人の範囲、詳細度、最新性および適合性を考慮する必要があります。

アトラシアンはセキュリティ、プライバシー、コンプライアンスの管理について、定期的に独立した検査を受けています。お客様との契約期間中、アトラシアンは少なくとも ISO/IEC 27001 および ISO/IEC 27018 認証および SOC 2 Type II および SOC 3 監査レポートを含む、アトラシアンの Trust Center に記載されている基準を遵守します。https://www.atlassian.com/trust/compliance

ただし、監督対象企業は監査活動の実践をこれらだけに頼るものではなりません。内部監査部門がそのような文書/証明書を活動に使用する場合は、その根底にある証拠を調査できる必要があります。

これはお客様の考慮事項です。上記 12 行目もご参照ください。

監督当局の情報および監査権、ならびに制御の可能性は、契約上の制限の対象としてはなりません。監督当局は、監督対象企業に対する適用法に規定されているとおりにクラウド サービス プロバイダーを監視できなければなりません。監督当局は、アウトソーシングされる品目に関して、情報および監査権、ならびに制御の可能性を適切かつ制限なく行使できるものとします。これは監督当局が監査を実施する際の監査担当者にも適用されます。

アトラシアンの監査プログラムは、対象となる顧客とその監督当局が対象クラウド製品を効果的に監査できるように設計されています。

上記 23 行目をご参照ください。

権利の (間接的な) 制限なし

情報および監査権の許容範囲を超えた制限、およびドイツ監督当局の制御の可能性は、一定の条件のもとに権利を付与するとの規定がある場合のみ存在するものとみなされます。繰り返しを避けるために、監督対象企業の権利の制限に関する上記の声明を参照します。

上記 23 行目をご参照ください。

4. 指示を発行する権利

指示を発行する監督対象企業の権利は合意が必要です。指示を発行する権利は、合意されたサービスの遂行に必要なすべての指示の発行を保証するものです。つまり、アウトソーシングされた品目に反映して、これを管理できる必要があります。技術的な実装は、会社の特定の状況に基づいて個別に整理される場合があります。

アトラシアンの顧客は、顧客サポート チャンネルを通じて、対象クラウド製品に関する指示 (第三者の認証および監査レポートに関するものを含む) をアトラシアンに発行できます。

監督対象企業が証拠/証明書または監査レポート (V.2 参照) を使用している場合は、証拠/証明書または監査レポートの範囲に影響するため、関連するシステムや統制を含むように拡張される可能性があります。そのような指示発行の回数と頻度には妥当な割合があります。

上記 27 行目をご参照ください。

さらに、監視対象企業には、データの修正、削除、ブロックについてクラウド サービス プロバイダーに随時指示する権限を付与する必要があり、クラウド サービス プロバイダーには、監督対象企業が発行した指示の範囲でのみデータを収集、処理、使用することを許可します。これは、クラウド サービス プロバイダーが処理したデータを監督対象企業に速やかに、かつ制限なく転送するように随時指示することにも対応します。

アトラシアンは、お客様の個人データの処理とセキュリティに関する詳細なコミットメントを実現するデータ処理補遺を提供しています。GDPR コンプライアンス プログラムの詳細については、こちらをご覧ください:

https://www.atlassian.com/trust/compliance/resources/gdpr

さらに、すべてのお客様に、契約期間中、お客様自身でいつでもデータをエクスポートできる製品機能を提供しています。

監督対象企業が指示を発行する権利に関する明示的な合意を放棄できる場合、アウトソーシング会社が提供するサービスはアウトソーシング契約で十分な明確性をもって指定する必要があります。

上記 27 行目をご参照ください。

データ保護規則やその他のセキュリティ要件への準拠を保証する規定には合意が必要です。

対象クラウド製品には一対多の性質があるため、すべてのお客様に同じ堅牢なセキュリティを提供します。これらのセキュリティ プラクティスは、アトラシアンの Trust Center で詳しく説明しています: https://www.atlassian.com/trust/

アトラシアンはお客様のサブスクリプション期間中、アトラシアンの Trust Center におけるセキュリティ プラクティスを順守し、対象クラウド製品の全体的なセキュリティの深刻な低下を防止することをお約束します。

上記 27 行目と 29 行目もご参照ください。

データ ストレージの場所は監督対象企業に通知しておく必要があります。通知にはデータ センターの特定の所在地を含めます。原則として地名 (市区町村) だけで十分です。ただし、監督対象企業がリスク管理の考慮事項に基づいてデータ センターの正確な所在地を必要とする場合、クラウド サービス プロバイダーはこれを提供する必要があります。

上記 7 行目をご参照ください。

さらに、1 つのデータ センターに障害が発生してもサービスを確実に維持するために、データとシステムの冗長性を確保する必要があります。

Trust Center に記載のとおり、アトラシアンはビジネス継続性とディザスター リカバリの各計画を保持しています。これらの計画を少なくとも年に 1 回見直してテストしています。

データとシステムのセキュリティはアウトソーシング チェーン内でも確保する必要があります。

上記 32 行目をご参照ください。

監督対象企業は随時クラウド サービス プロバイダーに保存されているデータに迅速にアクセスして、必要に応じてデータを再転送できる必要があります。この点で、選択した形式における再転送によってデータの使用を制限または除外されないことを保証する必要があります。そのため、プラットフォームに依存しない標準データ形式についての合意が必要です。異なるシステム間の互換性を考慮しなければなりません。

上記 29 行目をご参照ください。

解約権と適切な解約通知期間について合意する必要があります。特に、監督当局が契約の終了を要求した場合に正当な理由によって解約する特別な解約権については合意が必要です。

便宜上、アトラシアンはいかなる状況でも解約が可能な幅広い解約権をお客様に提供します。

解約した場合でも、クラウド サービス プロバイダーにアウトソーシングされた品目は、そのような品目が別のクラウド サービス プロバイダーまたは監督対象企業に完全に譲渡されるまで引き続き提供されることを保証する必要があります。この点で、特に、クラウド サービス プロバイダーは、アウトソーシングされた品目を別のクラウド サービス プロバイダー、または監督対象企業に直接譲渡する際に、監督対象企業に合理的な支援を提供することを保証する必要があります。

各機関から要求された場合は、別のサービス プロバイダーへの譲渡を可能にするために、サブスクリプション期間を短期間延長できます。

アウトソーシングされた品目とデータの譲渡の種類、形式、品質を定義する必要があります。データ形式を監督対象企業の個々のニーズに適合させている場合、クラウド サービス プロバイダーは解約時にそのような適合に関する文書を提出する必要があります。

この情報はアトラシアンのドキュメントから入手できます。

データを監督対象企業に再度譲渡した後は、そのデータがクラウド サービス プロバイダー側で完全に削除されることに同意する必要があります。

この考慮事項は、当社のデータ処理補遺に記載されています。

契約の計画上の解約または計画外の解約時にアウトソーシング領域が確実に維持されるようにするには、監督対象企業は出口戦略を策定してその実現可能性を検討する必要があります。

これはお客様の考慮事項です。

監督法の要件を引き続き満たすことを保証するチェーン アウトソーシングの可能性とその方法に関する規定に合意する必要があります。たとえば、実質的に最も類似している義務のみを想定するような制限は許容されません。チェーン アウトソーシングの場合は、特に監督対象のアウトソーシング会社および監督当局の情報および監査権、ならびに制御の可能性は、下請業者にも適用されることを保証する必要があります。

中断を最小限に抑えてグローバル製品を提供するために、特定の重要な機能を高品質のサービス プロバイダー (データ ホスティング プロバイダーなど) にサブアウトソーシングさせる場合があります。重要なサブアウトソーシングに関しては、アトラシアンはそのようなサブアウトソーシング業者と適切な契約を結ぶことを保証します。この契約は、各機関とその監督当局に適切な監査、アクセス、情報権を付与して、そのようなサブ アウトソーシング業者に適用法をすべて遵守することを要求します。上記 12 行目もご参照ください。

チェーン アウトソーシングの観点から、アウトソーシング会社の同意の留保またはチェーン アウトソーシングを可能にするために満たすべき特定の条件は、アウトソーシング契約に記載するものとします。アウトソーシング品目やその一部のどれがチェーンアウトソーシングされるかされないかを定義する必要があります。

上記 44 行目をご参照ください。

監督対象企業には、アウトソーシング品目やその一部をチェーン チェーンアウトソーシングする前に、テキスト形式で通知する必要があります。そのため監督対象企業は、下請業者、およびそこにチェーン アウトソーシングされた品目/その一部を把握することになります。

アトラシアンは重大または重要な機能の変更や新規サブアウトソーシングを通知して、そのようなサブアウトソーシング業者に関する情報を提供します。各機関がそのようなサブアウトソーシングについて懸念を抱いている場合、アトラシアンはその機関がアトラシアンとの契約を解除することを許可します。

新しいチェーン アウトソーシングが発生した場合、これがアウトソーシングのリスク状況、ひいてはアウトソーシング会社に影響を与える可能性があることを認識しておく必要があります。したがって、新しいチェーン アウトソーシングが発生した場合は、少なくともリスク分析を見直すか再度実行する必要があります。これは、下請業者が提供するクラウド サービスの重大な欠陥や重大な変更が判明した場合にも当てはまります。

これはお客様の考慮事項です。

企業は、そのクラウド サービスがクラウド サービス プロバイダーまたはその下請業者のどちらから提供されているか関係なく、サービス全体のパフォーマンスを継続的に確認して監視する必要があります。

これはお客様の考慮事項です。

クラウド サービス プロバイダーはアウトソーシング品目の正常なパフォーマンスに悪影響を与える可能性のある開発について、監督対象企業に通知することを保証する規定に同意します。これには、クラウド サービス提供の中断に関する報告などが含まれます。これは、会社がアウトソーシング品目を適切に監視することを目的としています。

アトラシアンは https://status.atlassian.com/ でサービスの可用性について最新情報を公開して、対象クラウド製品の可用性に深刻な影響を及ぼすイベントをお客様に通知することを契約によって確約します。

クラウド サービス プロバイダーが処理する監督対象企業のデータのセキュリティに対して、第三者による措置 (例: 差押えまたは没収)、破産または和議手続きなどの結果として生じるリスクをもたらす可能性がある場合、クラウド プロバイダーはこれを監督対象企業に遅滞なく通知する必要があります。

上記 50 行目で言及しているコミットメントに加えて、セキュリティ インシデントの通知をアトラシアンのデータ処理補遺でお客様に提供することをお約束します。

クラウド サービス プロバイダーが提供するクラウド サービスに関する変更が発生した場合は、クラウド サービス プロバイダーから監督対象企業に、適宜、事前に通知される必要があります。サービスの説明とそれに対する変更は、テキスト形式で監督対象企業に提供または通知する必要があります。第三者によって監督対象企業のデータ放棄が要求される場合は、法律で定められる範囲で監督対象企業に十分な情報が提供されているものとします。

アトラシアンは、対象クラウド製品に対する重大な変更についてお客様に通知するクラウド製品ロードマップを公開しています。

また、アトラシアンは、法的執行要求に関するガイドラインに従った場合のみ、お客様データを第三者に提供します。

法条項の選択に合意してドイツの法律が準拠法として合意していない場合、EU または欧州経済地域の現地法はいかなる場合も契約の準拠法になることに合意する必要があります。

Atlassian 顧客契約のデフォルトの準拠法はカリフォルニア州法です。詳細については、エンタープライズ セールス チームにお問い合わせください。