スイス金融市場監査局 - FINMA
Atlassian アウトソーシング ガイドライン
免責事項
以下に提供するガイダンスは、スイスの公共部門におけるクラウドのお客様、および金融市場監督局 (Eidgenössische Finanzmarktaufsicht、FINMA) により「規制対象組織」とみなされ、クラウドへのビジネス機能のアウトソーシングを検討している企業組織が、アトラシアンのクラウド製品や関連サービスを評価する際にサポートすることのみを目的としています。
このレポートは、アトラシアンが FINMA にどのように準拠しているかに関して、アトラシアンがクラウド顧客に情報やガイダンスを提供することのみを目的としています。これと並行して、アトラシアンなどの Cloud サービス プロバイダ (以下「CSP」) とその顧客の双方が、FINMA のコンプライアンスを確保する際に念頭に置く必要がある共同責任について論じた専用の共同責任ホワイトペーパーを用意しています。この共同責任モデルでは、Atlassian Cloud 製品を使用するお客様の説明責任とリスクがなくなるわけではありませんが、システム コンポーネントや施設の物理的制御を管理・制御し、セキュリティとコンプライアンス コストの一部をアトラシアンに移し、お客様から切り離すなどのさまざまな方法で、お客様の負担を軽減するのに役立ちます。
お客様のデータ保護への取り組みについての詳細は、アトラシアンのセキュリティ プラクティス ページをご覧ください。
| | FINMA ガイダンス | アトラシアンの対応 | アトラシアンのリソース |
概要 |
| FINMA は、主に金融機関のオペレーショナル リスクとアウトソーシング リスクに対処する責任を負っています。つまり、(i) 金融機関がアウトソーシング サービス プロバイダに関与する際に、金融機関自身、債権者、および個人を保護するために適切なセキュリティ ガバナンス管理を維持すること、および (ii) スイスの金融市場が効果的に機能することを確保します。 |
|
BaFin アウトソーシング ガイダンス |
| FINMA アウトソーシング ガイダンスのホワイトペーパーは、監査権、指示権限、データ セキュリティ、解約、チェーン アウトソーシングに関する情報など、各要件への具体的な対応と、Atlassian Cloud Enterprise がお客様の義務の順守をサポートする方法を提供します。顧客データ保護への取り組みについての詳細は、アトラシアンのセキュリティ プラクティス ページをご覧ください。 | |
EBA ガイダンス |
| FINMA アウトソーシング ガイダンスのホワイトペーパーは、監査権、指示権限、データ セキュリティ、解約、チェーン アウトソーシングに関する情報など、各要件への具体的な対応と、Atlassian Cloud Enterprise がお客様の義務の順守をサポートする方法を提供します。顧客データ保護への取り組みについての詳細は、アトラシアンのセキュリティ プラクティス ページをご覧ください。 | |
アウトソーシングされた機能のインベントリ | 4.1. (14) 顧客は、アウトソーシングされた機能、サービス プロバイダ (下請け業者を含む)、アウトソーシングの受領者、およびアウトソーシングを担当する顧客の内部部門などの説明を含む、アウトソーシングされた機能の最新の目録を保管する必要があります。 | これは、アトラシアンの顧客である規制対象機関に対する義務であるとアトラシアンは認識しています。ただし、場合によっては、アトラシアンは GDPR に準拠し、特定の重大または重要な機能を高品質のサービス プロバイダ (データ ホスティング プロバイダなど) に再委託することがあります。 | |
サービス プロバイダの選定、指示および監視 | 5.1. (16) サービス仕様は、アウトソーシングの目的に沿って合意され、契約締結前に文書化されなければなりません。これには、主な経済的および運用上の考慮事項と、関連するリスクと機会を考慮したリスク分析の実施が含まれます。 | この義務は、Cloud サービス プロバイダには適用されません。しかし、アトラシアンは、お客様が必要なリスク評価とデュー デリジェンスを実施する際に役立つリソースをいくつか提供しています。アトラシアンのセキュリティと運用プラクティスの詳細については、アトラシアンの Trust Center (https://www.atlassian.com/ja/trust) にアクセスし、ご確認ください。 | |
| 5.2. (17) サービス プロバイダは、その専門的能力だけでなく、財務的・人的資源も十分に考慮し、チェックした上で選択する必要があります。複数の機能を同じサービス プロバイダに委託する場合、リスクの集中を考慮する必要があります。 | 第 4.1 条と第 5.1 条への回答にあるガイダンスをご参照ください。 |
| |
| 5.3. (18) アウトソーシングを決定し、サービス プロバイダを選定する際には、サービス プロバイダを変更する見込みと、その変更によって起こりうる結果を考慮しなければなりません。サービス プロバイダは、永続的なサービス提供を保証しなければなりません。アウトソーシングされた機能をインソーシングするか、移管するための準備が必要です。 | 顧客が該当する対象クラウド製品を購入したサブスクリプション期間中、アトラシアンは商業的に合理的な努力を払って、以下に定義する月間稼働率 (「サービス レベル コミットメント」) を顧客に提供します。
対象クラウド製品に対応するサービス レベル条件、およびサービス レベルを満たさない場合の救済策は、アトラシアンのサービス レベル アグリーメントと対応する製品別規約に規定されています。 | アトラシアン サービス レベル アグリーメント | |
| 5.4. (19) 両当事者の義務は、特にインターフェイスと責任に関して、契約で合意され、範囲が定められている必要があります。 | アトラシアン カスタマー アグリーメントをご確認ください -> https://www.atlassian.com/ja/legal/atlassian-customer-agreement | ||
| 5.5. (20 - 21) 顧客は、アウトソーシング プロバイダのサービスを継続的に監視・評価しなければならず、そのために必要な指示や管理権に関する契約条件を定める必要があります。 | アトラシアンでは、コンプライアンスとレポーティングをサポートするために、情報やベスト プラクティスを共有し、製品の機能に関するドキュメンテーションに簡単にアクセスできるようにしています。アトラシアンの製品は、お客様の信頼を得られるよう、定期的にセキュリティ、プライバシー、コンプライアンス管理のそれぞれを検証し、グローバル標準に対する認定を受けています。 | ||
セキュリティ | 6.1. (24) 両当事者は適用されるセキュリティ要件に契約上同意しなければならず、顧客はこれらの要件の遵守を監視する必要があります | セキュリティに関する契約上のコミットメントは、アトラシアン カスタマー アグリーメント (https://www.atlassian.com/ja/legal/atlassian-customer-agreement) の第 4.2 条に含まれています。アトラシアンは、不正なアクセス、破壊、使用、変更、および開示からお客様の顧客データを保護するために設計された物理的、技術的に組織で対策を実施し、適切に維持します。本条には、アトラシアンが独立した第三者による監査および認証を含むコンプライアンス プログラムを維持することも記載されています。当社のセキュリティ対策および認証のさらなる詳細については、Trust Center (https://www.atlassian.com/ja/trust) をご覧ください。 | |
| 6.2. (25) 両当事者は、アウトソーシングされた機能が緊急時にも引き続き実行できるように、セキュリティのフレームワークを策定する必要があります | Trust Center (https://www.atlassian.com/ja/trust/security/security-practices#business-continuity-and-disaster-recovery-management) に記載のとおり、アトラシアンはビジネス継続性計画とディザスタ リカバリ計画を維持しています。これらの計画を少なくとも年に 1 回見直してテストしています。 | ||
監査と監督 | 7.1. (26) 顧客、その監査法人、および FINMA は、サービス プロバイダが監督規制を遵守していることを検証できなければなりません。そのためには、アウトソーシングされた機能に関するすべての情報をいつでも制限なく閲覧および監査する契約上の権利を有していなければなりません。 | アトラシアンは、FINMA の規制対象組織は当社のサービスを効果的に監査できなければならないと認識しています。アトラシアンは、適用される法律に従い、特定の監査権、アクセス権、および情報提供権を当該規制対象組織およびその監督当局に付与します。規制対象組織はいつでもサービス上のデータにアクセスすることができ、監督当局にアクセスを提供することも可能です。 |
|
| 7.2. (27) 監査は、サービス プロバイダの監査役が適切な資格を有している場合、その監査役に委任することができます。当該委任を行う場合、顧客の監査法人はサービス プロバイダの監査役による調査結果を監査に利用することができます。 | アトラシアンのクラウド製品は、定期的に独立したセキュリティ、プライバシー、コンプライアンス管理の検証が行われ、グローバルな標準に対する認定、コンプライアンス証明、監査レポートを受けています。業界をリードするアトラシアンのセキュリティ、サードパーティによる監査と認証、ドキュメンテーション、法的コミットメントは、コンプライアンス リソース センター (https://www.atlassian.com/ja/trust/compliance/resources) で確認できます。 | ||
| 7.3. (28) 機能のアウトソーシングは、特にその機能が他国にアウトソーシングされる場合、FINMA による監督をより困難なものにしてはなりません。 | サブアウトソーシングされた機能を含めて、アトラシアンは Atlassian 顧客契約に基づく全体的なパフォーマンスについて責任を負います。また、重大または重要なサブアウトソーシングに関しては、アトラシアンは当該サブアウトソーシング業者と適切な契約を結ぶことをお約束します。この契約は、必要に応じてアトラシアンに監査権を付与し、当該サブアウトソーシング業者に適用法をすべて遵守することを要求します。 |
| |
| 7.4. (29) サービス プロバイダが FINMA の監督を受けていない場合は、FINMA の監督活動に必要な、アウトソーシングされた機能に関するすべての情報とドキュメンテーションを FINMA に提供する契約上の義務があります。監査をサービス プロバイダの監査役に委任する場合は、要求に応じて、その報告書を FINMA だけでなく、アウトソーシングしている顧客の内部監査役および監査法人にも提出する必要があります。 | 要求に応じて、アトラシアンはサードパーティ監査報告書を提出します。 |
| |
海外へのアウトソーシング | 8.1. (30) 他国へのアウトソーシングは、自社、監査法人、および FINMA が情報を検査および監査する権利を主張し行使できることを顧客が明示的に保証できる場合に認められます。 | FINMA アウトソーシング ガイダンスのホワイトペーパーは、監査権、指示権限、データ セキュリティ、解約、チェーン アウトソーシングに関する情報など、各要件への具体的な対応と、Atlassian Cloud Enterprise がお客様の義務の順守をサポートする方法を提供します。顧客データ保護への取り組みについての詳細は、アトラシアンのセキュリティ プラクティス ページをご覧ください。 | |
| 8.2. (31) 顧客は、外国のサービス プロバイダへのアウトソーシングがスイスでの再編や整理を妨げないことを確認する必要があり、そのために必要な情報がスイスで常に入手可能でなければなりません。 | アトラシアンは、支配権の変更、売却、またはその他の組織再編の際に、顧客と合理的に協力します。 |
| |
契約 | 9.1. (32) アウトソーシングは書面による合意に基づいている必要があります。契約書には、当事者の名前とアウトソーシング機能の説明に加えて、マージン番号の要件も記載する必要があります。33–34. | 顧客とのすべての契約には、正式な契約が適用されます。アトラシアン カスタマー アグリーメントをご確認ください -> https://www.atlassian.com/ja/legal/atlassian-customer-agreement | |
| 9.2. (33) 顧客は、重要な機能に対する下請け業者の使用または入れ替えについて早い段階で通知を受けるようにしなければならず、マージン番号 18.1. に従って整然とアウトソーシングを終了する可能性があるものとします。下請け業者が利用される場合は、この通達に従うために必要なサービス プロバイダ側の義務と保証にも拘束されます。 | EBA ガイドラインの第 13.4 条には、顧客の解除権が記載されています。その内容には、「アトラシアンはお客様が適宜解除できる広範な権利を提供します。これによって、お客様は EBA ガイドラインの第 13.4 条に記載されているいずれかの場合に解約できます」と記載されています。https://www.atlassian.com/ja/trust/compliance/resources/eba/eba-guidance | ||
| 9.3. (34) 契約には、この通達 (特にマージン番号 21、24、26、29、30、31) に定められた要件を確実に実施するための措置が含まれていなければなりません。 | 質問 5.5、6.1、7.1、7.4、8.1、8.2 をご覧ください |
|