Privacy and Security Terms

サプライヤーまたはキンドリルは、相手方の連絡先個人情報にアクセスしますか？

アクセスする場合、そのアクセスには、第1条（連絡先個人情報）と第10条（協力、検証および修復）が適用されます。

例：

サポートまたは保守を目的として、サプライヤーがキンドリルまたはお客様の従業員の名前、電子メール・アドレス、電話番号を使用する。
キンドリルがサプライヤーの従業員の名前と電子メール・アドレスを認証に使用して、会社システムにアクセスする。

注：

サプライヤーが保守またはサポートを提供している場合、サプライヤーはBCI以外の情報（個人データを含む、または含まないログ・ファイルなど）にアクセスできます。この場合、サプライヤーは、項目2（個人データにアクセスする場合）と項目3（個人データ以外のデータにアクセスする場合）のチェック・ボックスにもチェック・マークを付けます。
サプライヤーがキンドリルの従業員のデータを処理している場合、サプライヤーは項目2のボックスにもチェック・マークを付けます（個人データにアクセスする場合）。

第 1 条連絡先個人情報

本条は、サプライヤーまたはキンドリルが他方当事者の連絡先個人情報（BCI）を処理する場合に適用されます。

1.1 キンドリルおよびサプライヤーは、サプライヤーによるサービスおよび成果物の提供に関連するビジネスを行っている限り、他方当事者のBCIを処理することができます。

1.2 一方の当事者は以下をします。

(a) 他のいかなる目的のためにも、他方当事者のBCIを使用または開示しない（明確にすると、いずれの当事者も、事前に他方当事者の書面による同意を得ることなく、他方当事者のBCIをマーケティングを目的として販売、使用もしくは開示しない。また、必要に応じて、影響を受けるデータ主体の事前の書面による同意を得る。

(b) 他方当事者が書面で要求する場合、個人情報の不正使用が発生し、その当事者が処理の停止および修正を求める場合はいつでも、他方当事者のBCIの削除、修正、訂正、返却、処理に関する情報の提供、処理の制限、またはその他の合理的に要求された措置を速やかに講じる。

1.3 両当事者は、互いのBCIに関して共同管理者関係を締結しておらず、取引文書のいかなる規定も、共同管理者関係を確立する意図を示すものとして解釈または理解しないでください。

1.4 キンドリルのBCI処理に関するその他の詳細が記載されているキンドリルのプライバシー・ステートメントは、https://www.kyndryl.com/us/en/privacyでご覧いただけます。

1.5 両当事者は、他方当事者のBCIを喪失、破壊、改変、偶発的もしくは不正な開示、偶発的もしくは不正なアクセス、および違法な処理から保護するための技術的および組織的なセキュリティ対策を実施し、今後も維持します。

1.6 サプライヤーは、キンドリルのBCIに関連するセキュリティ侵害に気付いた場合、キンドリルに速やかに（いかなる場合も48時間以内に）通知します。サプライヤーは、cyber.incidents@kyndryl.com宛てに通知を提供します。サプライヤーは、そのような違反やサプライヤーの是正と修復に関する活動の状況に関して、合理的に要求された情報をキンドリルに提供するものとします。例えば、合理的に要求される情報には、デバイス、システムまたはアプリケーションに対する特権、管理その他のアクセスを証明するログ、デバイス、システムまたはアプリケーションの法的証拠となる画像、その他類似の項目を含むことがあります。ただし、これらは侵害またはサプライヤーの修復と回復の作業に関連する範囲に限ります。

1.7 サプライヤーがキンドリルのBCIのみを処理しており、その他のいかなる種類のデータもしくは資料、またはキンドリルの会社システムにアクセスしない場合、その処理には、本条および第10条（協力、検証および修復）のみが適用されます。

第 10 条協力、検証および修復

本条は、サプライヤーがキンドリルにサービスまたは成果物を提供する場合に適用されます。

1. サプライヤーの協力

1.1 サービスまたは成果物がサイバー・セキュリティ上の懸念に寄与したか、寄与しているか、または今後寄与するかについて、キンドリルが疑問を抱く理由がある場合、サプライヤーは、この懸念事項に関するキンドリルからの問い合わせに合理的に協力するものとします。こうした協力には、情報の要求（文書その他の記録、関連するサプライヤーの担当者との面談、またはこれらに類似するもの）に対する適時かつ十分な対応などが含まれます。

1.2 両当事者は、(a) 要求された場合、追加情報を相互に提供すること、(b) それに関するその他の文書を作成し、相互に提供すること、(c) その他の行為および物事を行うことに同意します。これらはすべて、本規約と本規約において参照される文書の意図を実行することを目的として他方当事者が合理的に要求する場合があります。例えば、キンドリルが要求する場合、サプライヤーがその権利を有する場合に、契約書自体へのアクセスを付与するなどによって、サプライヤーは復処理者および従契約者との書面による契約のプライバシーとセキュリティに焦点を当てた条項を適時に規定します。

1.3 キンドリルが要求する場合、サプライヤーは、その成果物およびそれらの成果物のコンポーネントが製造、開発、またはその他の方法で調達された国に関する情報を適時に提供します。

2. 検証（以下で使用される「施設」とは、サプライヤーがキンドリル資料をホスティング、処理、またはその他の方法でアクセスする物理的な場所を意味します）

2.1 サプライヤーは、本規約の遵守を示す監査可能な記録を保持します。

2.2 キンドリルは、単独で、または外部監査人とともに、サプライヤーに30日前までに書面で通知することにより、サプライヤーによる本規約の遵守を確認することができます（この目的のために施設にアクセスすることを含みます）。ただし、キンドリルは、そうすることで関連情報が提供されると信じる誠実な理由がある場合を除き、サプライヤーがキンドリルのデータを処理するデータセンターにアクセスすることはありません。サプライヤーは、文書、その他の記録、関連するサプライヤー担当者の面談などを通じて、情報の要求に対する適時かつ完全な対応を含め、キンドリルの検証に協力します。サプライヤーは、キンドリルが検討するために、承認された行動規範または業界の証明書に準拠しているという証左を提供するか、または本規約の遵守を立証する情報を提供することができます。

2.3 検証は、12か月間に2回を超えて行われることはありません。ただし、(a) 12か月間に過去の検証に起因する懸念に対するサプライヤーの是正をキンドリルが確認している場合、または (b) セキュリティ侵害が発生し、キンドリルが侵害に関連した義務の履行の検証を希望している場合を除きます。いずれの場合も、キンドリルは上記の第2条2項で指定されているのと同様に、30日前までに書面により通知しますが、セキュリティ侵害に対処する緊急性により、キンドリルは30日より短い期間で書面で通知して検証する必要がある場合があります。

2.4. 規制当局またはその他の管理者は、規制当局が法の下で有する追加の権利を行使できることを理解した上で、第2条2項および第2条3項でキンドリルと同じ権利を行使することができます。

2.5 キンドリルに、サプライヤーがこれらの条件のいずれかを遵守していないと結論付ける合理的な根拠がある場合（そのような根拠が、本規約に基づく検証またはその他に起因するかにかかわらず）、サプライヤーはそのような不履行を速やかに是正します。

3. 偽造防止プログラム

3.1 サプライヤーの成果物に電子部品（ハードディスク・ドライブ、ソリッド・ステート・ドライブ、メモリー、中央処理装置、論理デバイスまたはケーブルなど）が含まれる場合、サプライヤーは、文書化された偽造防止プログラムを実施し、これに従います。まず第一に、サプライヤーが偽造コンポーネントをキンドリルに供給することを防止し、次に、サプライヤーが偽造コンポーネントをキンドリルに誤って提供した場合には、速やかに検出して修復します。サプライヤーは、キンドリルに対するサプライヤーの成果物に含まれる電子部品を提供するすべてのサプライヤーに対して、文書化された偽造防止プログラムを実施し、これに従うという同じ義務を課すものとします。

4. 修復

4.1 サプライヤーが本規約に基づく義務のいずれかを遵守できず、その不履行がセキュリティ侵害の原因となった場合、サプライヤーは、キンドリルの合理的な指示とスケジュールに従って、履行と修復を行うことで、その不履行を修正し、セキュリティ侵害の悪影響を修復します。ただし、サプライヤーによるマルチテナントのホスティング・サービスの提供に起因してセキュリティ侵害が発生し、その結果、キンドリルを含む多くのサプライヤーのお客様に影響を与える場合、サプライヤーは、セキュリティ侵害の性質を考慮して、機能不全を適時かつ適切に修正し、セキュリティ侵害の有害な影響を修復する一方で、そのような修正と修復に関するキンドリルの意見を十分に考慮します。上記を損なうことなく、適用されるデータ保護法によって設定された義務をサプライヤーが遵守できなくなった場合、サプライヤーは遅滞なくキンドリルに通知する必要があります。

4.2 キンドリルは、そうすることが適切または必要と思われる場合には、第4条1項で言及されているセキュリティ侵害の修復に参加する権利を有し、その際、サプライヤーは、その履行を修正する際の費用および経費、およびそのようなセキュリティ侵害に関して両当事者が負担する修復費用と経費に対して責任を負います。

4.3 例えば、セキュリティ侵害に関連する修正費用および経費には、セキュリティ侵害の検出と調査、適用される法律および規制に基づく責任範囲の決定、侵害の通知の提供、コール・センターの設立と維持、信用監視および信用回復サービスの提供、データのリロード、製品の欠陥の修正（ソース・コードまたはその他の開発によるものを含む）、上記またはその他の関連する活動を支援する第三者の確保、セキュリティ侵害の悪影響を是正するために必要なその他の費用および経費などが含まれる可能性があります。明確にすると、修正費用および経費には、キンドリルの逸失利益、事業価値、収益、信用、または予想される節減の喪失は含まれていません。

サプライヤーは個人データにアクセスしますか？

アクセスする場合、そのアクセスには、第2条（技術的および組織的措置、データのセキュリティ）、第3条（プライバシー）、第8条（技術的および組織的措置、一般的なセキュリティ）および第10条（協力、検証および修復）が適用されます。

例：

サプライヤーが、キンドリルの社内使用もしくはお客様による使用、あるいはその両方のために、いずれかのホスティング・サービスを提供する際、個人データにアクセスする。
サプライヤーが、医療またはヘルスケア関連サービス、マーケティング・サービス、あるいは人事または福利厚生に関連するサービスを提供する際に、個人データにアクセスする。
サプライヤーは、サポートのサービスを提供するために、個人データを含むログ・ファイルにアクセスする。

第 2 条技術的および組織的措置、データのセキュリティー

本条は、サプライヤーがキンドリルのBCI以外のキンドリルのデータを処理する場合に適用されます。サプライヤーは、すべてのサービスと成果物を提供する際に本条の要件を遵守し、そうすることにより、キンドリルのデータを紛失、破壊、改変、偶発的または不正な開示、偶発的または不正なアクセス、および違法な形態の処理から保護します。本条の要件は、サプライヤーが成果物およびサービスを提供する際に運用または管理するすべてのITアプリケーション、プラットフォームおよびインフラストラクチャー（すべての開発、テスト、ホスティング、サポート、運用およびデータ・センター環境を含む）に適用されます。

1. データの使用

1.1 サプライヤーは、キンドリルから事前の書面による同意を得ることなく、キンドリルのデータに追加したり、キンドリルのデータに個人データを含むその他の情報やデータを含めたりすることはできません。また、サプライヤーは、サービスと成果物を提供する以外の目的で、集計またはその他のいかなる形式であれ、キンドリルのデータを使用することはできません（例えば、サプライヤーは、サプライヤーの提供物の有効性または改善手段の評価、新しい提供物を作成するための研究開発、またはサプライヤーの提供物に関する報告書の生成を目的として、キンドリルのデータを使用または再利用することは許可されていません）。サプライヤーは、取引文書で明示的に許可されている場合を除き、キンドリルのデータを販売することは禁じられています。

1.2 サプライヤーは、取引文書で明示的に許可されている場合を除き、成果物またはサービスの一部としてWeb追跡技術（HTML5、ローカル・ストレージ、第三者のタグまたはトークン、Webビーコンなど）を埋め込みません。

2. 第三者の要求と守秘義務

2.1 サプライヤーは、キンドリルが書面によって事前に許可しない限り、いかなる第三者にもキンドリルのデータを開示しません。政府（規制当局を含む）がキンドリルのデータへのアクセスを要求する場合（米国政府がサプライヤーに対して、キンドリルのデータを取得するよう国家安全保障命令を出す場合など）、またはキンドリルのデータの開示が法律で別途義務付けられている場合、サプライヤーはキンドリルに、その要求もしくは要件を書面で通知し、キンドリルがいかなる開示に対しても異議を申し立てる合理的な機会を得られるようにします（法律によって通知を禁じられている場合、サプライヤーは、裁判その他の手段を通じて、キンドリルのデータの禁止または開示に異議を唱えることが適切であると自身が合理的に判断する措置を講じます）。

2.2 サプライヤーは、キンドリルに対し、(a) サービスまたは成果物を提供するために、キンドリルのデータにアクセスする必要がある、キンドリルの従業員のみがアクセスし、それらのサービスおよび成果物を提供するために必要な範囲でのみアクセスできること、および、(b) 本規約が許可する範囲でのみ、キンドリルのデータを使用および開示することを義務付ける機密保持義務をキンドリルの従業員に課していること、を保証します。

3. キンドリルのデータの返却または削除

3.1 取引文書の解約もしくは期間満了時、またはキンドリルが要求する場合はそれ以前に、サプライヤーは、キンドリルの選択に従い、キンドリルのデータを削除または返却します。キンドリルが削除を要求する場合、サプライヤーは、業界のベスト・プラクティスに従って、データを読み取れず、再度つなぎ合わせたり、組み立てたりできないようにしたうえで、キンドリルに対し、削除を証明します。キンドリルが、キンドリルのデータの返却を要求する場合、サプライヤーは、キンドリルの合理的なスケジュールに従い、かつ、キンドリルの合理的な書面による指示に従って、返却します。

第 3 条プライバシー

乙が「Kyndryl 個人情報」を「処理」する場合、本条が適用されます。

1. 処理

1.1 甲は、甲の指示に従って「成果物」および「サービス」を提供することのみを目的として「Kyndryl 個人情報」を「処理」する「処理者」として乙を指名します。かかる指示には、「本条件」、両当事者間の「取引文書」および関連する基本契約に記載されているものが含まれます。乙がいずれかの指示に対応しなかった場合、甲は、書面で通知することにより、影響を受ける部分の「サービス」を解約することができます。指示がデータ保護法に違反していると乙が判断する場合、速やかに、かつ、法律により要求される期間内に、甲にその旨を通知します。

1.2 乙は、「サービス」および「成果物」に適用されるすべてのデータ保護法を遵守します。

1.3 「取引文書」の「補足」または「取引文書」自体において、「Kyndryl データ」に関して以下のことが定められています。

(a) 「情報主体」のカテゴリー。

(b) 「Kyndryl 個人情報」の種類。

(c) データ・アクションおよび「処理」対応。

(d) 「処理」の期間および頻度。

(e) 「復処理者」のリスト

2. 技術的および組織的措置

2.1 乙は、第 2 条 (「技術的および組織的措置、データのセキュリティー」) ならびに第 8 条 (「技術的および組織的措置、一般セキュリティー」) に定められた技術的および組織的措置を実装し、維持し、それにより、自らの「サービス」および「成果物」に存在するリスクに対する適切なセキュリティーレベルを確保します。乙は、第 2 条、本第 3 条および第 8 条における制限を認め、理解し、それらに従うものとします。

3. 情報主体の権利および要請

3.1 乙は、「情報主体」から届いた「Kyndryl 個人情報」に関する「情報主体」の権利行使の要求 (例: データの修正、削除およびブロッキング) について甲に速やかに (甲および「その他の管理者」が法律上の義務を履行することが可能なスケジュールで) 通知します。また、乙は、「情報主体」がKyndrylに対してかかる要求を行うように速やかに指示することもできます。法律により義務づけられるか、または書面により甲から対応するよう指示される場合を除き、乙は「情報主体」からのいかなる要求にも応じないものとします。

3.2 「Kyndryl 個人情報」に関する情報を「その他の管理者」その他第三者 (例:「情報主体」または規制当局) に提供する義務が甲にある場合、乙は、かかる「その他の管理者」または第三者に対して甲が適時に対応可能なスケジュールで、甲の要求に応じてすべての情報を提供し、甲が要求する合理的なその他の措置を講じることによって速やかに甲を支援するものとします。

4. 復処理者

4.1 乙は、新規の「復処理者」の追加、または既存の「復処理者」による「処理」の適用範囲の拡大に先立ち、事前に書面で甲に通知するものとします。また乙は、かかる通知において、「復処理者」の名称を特定し、新規または拡大される「処理」の適用範囲を説明します。甲は、かかる新規の「復処理者」または拡大される適用範囲に対して合理的な根拠に基づいて随時異議を申し立てることができます。甲が異議を申し立てた場合、両当事者は、甲の異議申し立てに対処するために誠意をもって協力するものとします。甲が上記のとおり随時異議を申し立てる権利を条件として、甲が乙の書面通知から 30「日」以内に異議を提起しなかった場合、乙は、新規の「復処理者」に委託し、または既存の「復処理者」の適用範囲を拡大することができます。

4.2 乙は、「本条件」に定めるデータ保護、セキュリティーおよび認証に関する義務を、承認済みの各「復処理者」が「Kyndryl データ」の「処理」を開始する前に、「復処理者」に課すものとします。乙は、各「復処理者」による義務の履行について甲に全面的に責任を負います。

5. 域外でのデータ処理

以下で使用される用語は、次のとおりの意味を表します。

「十分国」とは、適用されるデータ保護法または規制当局の決定に基づき関連する転送について適切なレベルのデータ保護を提供する国をいいます。

「データ輸入者」とは、「十分国」で設立されたのではない「処理者」または「復処理者」をいいます。

「EU 標準契約条項」 (EU Standard Contractual Clauses 以下「EU SCC」といいます。) とは、第 9 条 (a) のオプション 1 および第 17 条のオプション 2 を除く選択条項が適用される「EU 標準契約条項」(委員会決定 2021/914) をいいます ( 以下で公式に公開されています。 https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en ).

「セルビア標準契約条項」(Serbian Standard Contractual Clauses 以下「セルビア SCC」といいます。) とは、「Serbian Commissioner for Information of Public Importance and Personal Data Protection」( https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx に掲載) で採用されている「セルビア標準契約条項」をいいます。

「標準契約条項」(以下「SCC」といいます。) とは、「十分国」で設立されたのではない「処理者」への「個人情報」の転送について、適用されるデータ保護法により要求される契約条項をいいます。

EU委員会標準契約条項の英国国際データ転送補遺（以下、「英国補足契約書」）とは、EU委員会標準契約条項に対する英国の国際データ転送に関する補遺をいい、 https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-Transfer-agreement-and-guidance/ で公式に公開されています。

5.1 乙は、甲の書面による同意を事前に得ることなく、「Kyndryl 個人情報」を国境を超えて転送または開示しません (リモート・アクセスによる場合を含みます。)。甲がかかる同意を提供した場合、両当事者は、適用されるデータ保護法を確実に遵守するよう協力するものとします。かかる法律により「SCC」が義務づけられている場合、乙は、甲から要求があり次第速やかに「SCC」を締結します。

5.2 「EU SCC」に関して、

(a)乙が「十分国」で設立されたのではない場合、乙は、「本条件」により、「データ輸入者」として甲と「EU SCC」を締結します。また、乙は、「EU SCC」第 9 条に従って、承認済みの各「復処理者」と書面契約を締結し、かかる合意のコピーを要求に応じて甲に提出します。

(i) 「EU SCC」の「モジュール 1」は、書面により別途両当事者が合意する場合を除き、適用されません。

(ii) 「EU SCC」の「モジュール 2」は、Kyndryl が「管理者」である場合に適用され、甲が「処理者」である場合は「モジュール 3」が適用されます。「EU SCC」の第 13 条に従い、「モジュール 2」または「モジュール 3」が適用される場合、両当事者は、(1) 「EU SCC」は、管轄権を有する監督機関が配置されているEU加盟国の法律に準拠すること、(2) 「EU SCC」に起因するいかなる紛争も、管轄権を有する監督機関が配置されているEU加盟国の裁判所で処理されることに合意します。(1) において、かかる法律が第三者の受益権を許容しない場合、「EU SCC」はオランダの法律に準拠するものとし、(2) における「EU SCC」に起因するいかなる紛争もオランダのアムステルダムの裁判所で解決されるものとします。

(b) 乙が「欧州経済地域」で設立され、Kyndryl が「一般データ保護規則 2016/679」の対象でない「管理者」である場合、「EU SCC」の「モジュール 4」が適用され、乙は「本条件」により、データ輸出者として甲と「EU SCC」を締結します。「EU SCC」の「モジュール 4」が適用される場合、両当事者は、「EU SCC」がオランダの法律に準拠するものとすること、および「EU SCC」に起因するいかなる紛争も、オランダのアムステルダムの裁判所で解決されるものとすることに合意します。

(c) その他の「管理者」 (「お客様」または関連会社など) が第 7 条の「結合条約」に関連する「EU SCC」の当事者になることを要請する場合、乙は「本条件」により、かかるいかなる要請にも合意します。

(d) 「EU SCC」の「付録 II」を記入するのに必要な「技術的および組織的措置」が「本条件」、両当事者間の「取引文書」自体および関連する基本契約に記載されています。

(e) 「EU SCC」と「本条件」の間に矛盾がある場合、「EU SCC」が優先します。

5.3 「英国補足契約書」について：

(a) サプライヤー（乙）が十分性認定を受けた国（「十分国」）で設立されていない場合、(i) 乙は、甲（Kyndryl）を輸入者として「英国補足契約書」を締結し、本契約により、上記のEU SCC（処理活動の状況に応じて適用）を補足するものとし、かつ、(ii) 乙は、承認済みの各「復処理者」と書面による契約を締結し、要求に応じてこれらの契約のコピーを甲に提出するものとします。

(b) 乙が「十分国」で設立され、甲が英国一般データ保護規則（2018年EU（離脱）法に基づき英国法に組み込まれたもの）の対象でない「管理者」である場合、乙は、輸出者として甲と「英国補足契約書」を締結し、本契約により、上記第5条2項 (b) に定めるEU SCCを補足するものとします。

(c) 顧客や関連会社などの「その他の管理者」が、「英国補足契約書」の当事者になることを要求した場合、乙は、本契約により、そうした要求すべてに同意するものとします。

(d) 「英国補足契約書」の付録情報（表3）は、該当するEU SCC、「本条項」、「取引文書」自体、および当事者間の関連する基本契約に記載されています。「英国補足契約書」が変更された場合、甲乙いずれの当事者も「英国補足契約書」を終了させることはできません。

(e) 「英国補足契約書」と本規約の間に矛盾が生じた場合、「英国補足契約書」が優先されます。

5.4 「セルビア SCC」に関して、

(a) 乙が「十分国」で設立されたのではない場合、(i) 乙は、「本条件」により、乙自身を代表して「処理者」として甲と「セルビア SCC」を締結します。また、(ii) 乙は、「セルビア SCC」第 8 条に従って、承認済みの各「復処理者」と書面契約を締結し、かかる合意のコピーを要求に応じて甲に提出します。

(b) 乙が「十分国」で設立された場合、乙は、「本条件」により、「非十分国」を拠点とする各「復処理者」を代理して甲と「セルビア SCC」を締結します。乙がかかる「復処理者」のために「セルビア SCC」を締結できない場合、乙は、「復処理者」に「Kyndryl 個人情報」の「処理」を許可する前に、「復処理者」が署名済みの「セルビア SCC」を甲に提出し、甲が副署できるようにします。

(c) 甲と乙の間の「セルビア SCC」は、必要に応じて、「管理者」と「処理者」間の「セルビア SCC」、または「処理者」と「復処理者」間の書面による back-to-back 契約とみなすものとします。「セルビア SCC」と「本条件」の間に矛盾がある場合、「セルビア SCC」が優先します。

(d) 「非十分国」への「個人情報」の移転を管理するために「セルビア SCC」の「別紙 1」から「別紙 8」を記入するのに必要な情報は、「本条件」および「取引文書」の「別表」または「取引文書」自体に記載されている場合があります。

6. 支援および記録

6.1 「処理」の性質を考慮して、乙は、「情報主体」の要求および権利に関連する義務を履行するための適切な技術的および組織的措置を設けることにより、甲を支援します。乙は、乙が入手可能な情報を考慮して、「処理」のセキュリティー、「セキュリティー侵害」の通知および連絡、ならびにデータ保護に関する影響評価の作成 (必要に応じて、責任を負う「規制当局」との事前協議を含みます。) に関する義務の遵守を確実にするために、甲を支援するものとします。

6.2 乙は、各「復処理者」(各「復処理者」の代表およびデータ保護担当者を含みます。) の名前および連絡先の詳細に関する最新の記録を維持します。要求に応じて、乙は、お客様その他第三者からの要求に対して甲が適時に対応可能なスケジュールで、この記録を甲に提出するものとします。

第 8 条技術的および組織的措置、一般セキュリティー

本条は、サプライヤーがサービスまたは成果物をキンドリルに提供する場合に適用されます。ただし、サプライヤーがそれらのサービスおよび成果物を提供する際にキンドリルのBCIに対してのみアクセスする場合（サプライヤーは、他のキンドリルのデータを処理しない、または他のキンドリル資料や会社システムにアクセスしない）、サプライヤーの唯一のサービスおよび成果物がオンプレミス・ソフトウェアをキンドリルに提供することである場合、またはサプライヤーがそのすべてのサービスおよび成果物を第7条（第1.7条を含む）に従って人材の増強モデルで提供する場合を除きます。

サプライヤーは、本条の要件を遵守し、そうすることによって、(a) キンドリル資料を喪失、破壊、変更、偶発的または不正な開示、および偶発的または不正なアクセスから、(b) キンドリルのデータを違法な形態の処理から、(c) キンドリルのテクノロジーを違法な形態の取り扱いから保護します。本条の要件は、すべての開発、テスト、ホスティング、サポート、運用、およびデータセンター環境を含む、成果物およびサービスの提供、およびキンドリルのテクノロジーの取り扱いにおいてサプライヤーが運用または管理するすべてのITアプリケーション、プラットフォーム、およびインフラストラクチャーに適用されます。

1. セキュリティ・ポリシー

1.1 サプライヤーは、サプライヤーの業務に不可欠で、すべてのサプライヤーの担当者が遵守しなければならない、業界のベスト・プラクティスに合致するITセキュリティに関するポリシーと慣行を実施し、それに従います。

1.2 サプライヤーは、少なくとも年に1回、ITセキュリティ・ポリシーと慣行を見直し、キンドリル資料を保護するために必要であるとサプライヤーが判断する場合、それらを修正します。

1.3 サプライヤーは、すべての新規従業員の採用に対して標準かつ必須の雇用確認要件を実施し、それを遵守し、さらに、その要件をすべてのサプライヤーの担当者とサプライヤーの完全所有子会社にも適用します。これらの要件には、現地の法律で許可されている範囲の犯罪歴の確認、身元確認の証明、およびサプライヤーが必要と考える追加の確認が含まれます。サプライヤーは、必要であると考える場合、これらの要件を定期的に繰り返し、再検証します。

1.4 サプライヤーは、毎年その従業員にセキュリティとプライバシーに関する研修を提供し、サプライヤーの行動規範または同様の文書に規定されているとおりに、サプライヤーの倫理的な行動規範、機密保持、セキュリティ・ポリシーを遵守することを毎年証明することを従業員全員に要求します。サプライヤーは、サービス、成果物、またはキンドリル資料のいずれかのコンポーネントに管理上アクセスする人物に、追加のポリシーとプロセスに関する研修を提供します。その研修は、各自の職務に固有で、サービス、成果物、およびキンドリル資料を補強し、必要なコンプライアンスと証明を実施するために行われます。

1.5 サプライヤーは、すべてのサービスと成果物、およびキンドリルのテクノロジーのすべての取り扱いについて、意図されたセキュリティとプライバシー、セキュアなエンジニアリング、セキュアな運用を求めるポリシーと手続きの実装、保守、それらの遵守を通じてなど、キンドリル資料の利用可能性を保護および維持するためのセキュリティおよびプライバシー対策を設計します。

2. セキュリティ・インシデント

2.1 サプライヤーは、コンピューターのセキュリティ・インシデント処理に関する業界のベスト・プラクティスに沿って文書化したインシデント対応ポリシーを実施し、それに従います。

2.2 サプライヤーは、キンドリル資料の不正アクセスや不正使用を調査し、適切な対応計画を定義して実行します。

2.3 サプライヤーは、セキュリティ侵害を認識した場合、キンドリルに迅速に（いかなる場合も48時間以内に）通知します。サプライヤーは、cyber.incidents@kyndryl.com宛てに通知を提供します。サプライヤーは、そのような違反やサプライヤーの是正と修復に関する活動の状況に関して、合理的に要求された情報をキンドリルに提供するものとします。例えば、合理的に要求される情報には、デバイス、システムまたはアプリケーションに対する特権、管理その他のアクセスを証明するログ、デバイス、システムまたはアプリケーションの法的証拠となる画像、その他類似の項目を含むことがあります。ただし、これらは侵害またはサプライヤーの修復と回復の作業に関連する範囲に限ります。

2.4 サプライヤーは、セキュリティ侵害に関連して、キンドリル、キンドリルの関連会社、およびお客様（そのお客様と関連会社を含む）の法的義務（規制当局またはデータ主体に通知する義務を含む）を満たすために、合理的な支援をキンドリルに提供するものとします。

2.5 サプライヤーは、キンドリルが書面で承認する場合、または法律によって義務付けられている場合を除き、キンドリルまたはキンドリル資料に直接的または間接的に関連するセキュリティ侵害について、第三者に報告または通知しないものとします。サプライヤーが第三者に法的に通知を送付する必要があり、それがキンドリルの識別情報を直接的または間接的に公開する場合、サプライヤーはキンドリルに書面で通知します。

2.6 サプライヤーが本規約に基づく義務に違反したことによりセキュリティ侵害が発生する場合、以下が適用されます。

(a) サプライヤーは、該当する規制当局、その他の政府機関および関連する業界の自主規制機関、報道機関（適用法により義務付けられている場合）、データ主体、お客様その他の者に対して、セキュリティ侵害の通知を提供する際は、自らに発生する費用およびキンドリルに発生する実費を負担します。

(b) キンドリルが要求する場合、サプライヤーは、データ主体からのセキュリティ侵害に関する質問に回答するために、自ら費用を負担してコール・センターを設立し、その後、当該データ主体がセキュリティ侵害の通知を受けた日付から1年間、または適用されるデータ保護法で義務づけられている期間のうち、より手厚い保護が与えられる期間の間、実施します。キンドリルとサプライヤーは、コール・センターの担当者が問い合わせに対応する際に使用するスクリプトやその他の資料を作成するために協力します。あるいは、キンドリルはサプライヤーに対し書面で通知することにより、サプライヤーにコール・センターを設立させる代わりに、自身のコール・センターを設立し、維持することができます。その場合、サプライヤーは、キンドリルがそのコール・センターを設立および維持するために負担した実費をキンドリルに弁済します。

(c) サプライヤーは、そのようなサービスへの登録を選択し、侵害の影響を受けた個人がセキュリティ侵害についての通知を受けた日から1年間、または、適用されるいずれかのデータ保護法が求める期間、キンドリルが信用のモニタリングと信用回復のためのサービスを提供するにあたって負担する実費をキンドリルに弁済します。

3. 物理的セキュリティと入退室管理（以下で使用される「施設」とは、サプライヤーがキンドリル資料をホスト、処理、またはその他の方法でアクセスする物理的な場所を意味します）。

3.1 サプライヤーは、施設への不正な立ち入りを防ぐために、障害物、入口のカード制御、監視カメラ、有人受付デスクなど、適切な物理的入退室管理を実施します。

3.2 サプライヤーが施設および施設内の管理区域にアクセスする場合（一時的なアクセスを含む）は、正式な承認を必要とし、職務および業務上の必要性により制限付きでアクセスします。サプライヤーが一時的なアクセスを許可する場合、訪問者が施設および管理区域にいる間、許可された従業員が付き添います。

3.3 サプライヤーは、施設内の管理区域への立ち入りを適切に制限するために、業界のベスト・プラクティスに準拠した、多要素アクセス制御を含む物理的なアクセス制御を実装し、すべての立ち入りの試みを記録し、そのログを最低1年間保持します。

3.4 サプライヤーは、(a) 許可されたサプライヤーの従業員が離職する場合、または(b) 許可されたサプライヤーの従業員がアクセスする正当な業務上の必要性を失った場合、施設および施設内の管理区域へのアクセスを取り消すものとします。サプライヤーは、アクセス管理リストから迅速に削除し、物理的なアクセス許可証の返納など、文書化された正式な削除手順に従うものとします。

3.5 サプライヤーは、周囲の極端な温度、火災、洪水、湿気、盗難、破壊行為など、自然発生および人為的な環境面の脅威から、サービスと成果物、およびキンドリルのテクノロジーの取り扱いをサポートするために使用されるすべての物理的インフラストラクチャーを保護するための予防措置を講じます。

4. アクセス、介入、移送、分離管理

4.1 サプライヤーは、サービスの運用、成果物の提供、およびキンドリルのテクノロジーの取り扱いを管理する、文書化されたネットワークのセキュリティ・アーキテクチャーを維持します。サプライヤーは、そのネットワーク・アーキテクチャーを個別に確認し、システム、アプリケーション、およびネットワーク・デバイスへの不正なネットワーク接続を防止する手段を採用し、安全なセグメンテーション、分離、および多層防御の標準に準拠します。サプライヤーは、ホスティング・サービスのホスティングおよび運用に無線技術を使用してはなりません。それ以外の場合では、サプライヤーは、サービスと成果物の提供、およびキンドリルのテクノロジーの取り扱いにおいて無線ネットワーキング・テクノロジーを使用することができますが、サプライヤーは、そのような無線ネットワークの暗号化と安全な認証が必要です。

4.2 サプライヤーは、キンドリル資料を論理的に分離し、許可されていない人への開示や、そうした人による利用を防止するために設計された措置を実施します。さらに、サプライヤーは、その実稼働環境、非実稼働環境、およびその他の環境を適切に分離し、キンドリル資料が非実稼働環境内に既に存在するか、非実稼働環境に転送される場合（エラーを再現するためなど）に、非実稼働環境におけるセキュリティとプライバシーの保護が実稼働環境のものと同等であることを確認します。

4.3 サプライヤーは、転送中および保管中のキンドリル資料を暗号化します（サプライヤーが、保管中のキンドリル資料の暗号化が技術的に不可能であるとキンドリルが合理的に満足するように立証できる場合はこの限りではありません）。サプライヤーは、バックアップ・ファイルを含む媒体など、物理的な記憶媒体がある場合もすべて暗号化します。サプライヤーは、安全な鍵の生成、発行、配布、保管、ローテーション、失効、回復、バックアップ、破棄、アクセス、およびデータ暗号化に関連した使用に関する文書化された手順を実施します。サプライヤーは、そのような暗号化に使用される特定の暗号化方法が業界のベスト・プラクティス（NIST SP 800-131aなど）に準拠していることを確認します。

4.4 サプライヤーがキンドリル資料にアクセスする必要がある場合、サプライヤーはそのアクセスを、サービスおよび成果物を提供およびサポートするために必要な最小限のレベルに制限します。サプライヤーは、基礎となるコンポーネントへの管理アクセス（特権アクセス）を含むそのようなアクセスは、個人の役割に基づいており、職務の分離の原則に従って、許可されたサプライヤーの従業員が承認と定期的な検証の対象となるようにします。サプライヤーは、重複したアカウントや休眠アカウントを特定して削除するための措置を実施します。サプライヤーはまた、アカウント所有者の離職後、またはキンドリルもしくはアカウント所有者のマネージャーなど、承認されたサプライヤーの従業員が要求する場合、24時間以内に特権アクセスを持つアカウントを取り消します。

4.5 サプライヤーは、業界のベスト・プラクティスに従った技術的な対策を実施し、非アクティブなセッションのタイムアウト、ログイン試行に連続して複数回失敗した後のアカウントのロックアウト、強力なパスワードとパスフレーズの認証、およびそのようなパスワードとパスフレーズの安全な転送と保管を要求する手段を義務付けます。さらに、サプライヤーは、キンドリル資料へのすべての非コンソールベースの特権アクセスに多要素認証を利用します。

4.6 サプライヤーは、(a) 不正なアクセスと活動を特定するため、(b) そのようなアクセスおよび活動に対し、適時かつ適切に対応しやすくするため、(c) （本規約におけるその検証する権利、および取引文書、関連する基本契約、または当事者間のその他の関連契約における監査権によって）サプライヤーがキンドリルまたはその他が、文書化されたサプライヤーのポリシーを遵守していることを監査するため、特権アクセスの使用を監視し、セキュリティ情報とイベント管理措置を実施します。

4.7 サプライヤーは、業界のベスト・プラクティスに従って、サービスまたは成果物の提供とキンドリルのテクノロジーの取り扱いにおいて使用されるシステムへの、またはシステムに関するすべての管理、ユーザー、またははその他のアクセスやアクティビティーを記録するログを保持します（要求された場合は、それらのログをキンドリルに提供します）。サプライヤーは、そのログを不正アクセス、変更、偶発的または意図的な破壊から保護することを目的とする措置を実施します。

4.8 サプライヤーは、自身が所有または管理し、サービスまたは成果物の提供またはキンドリルのテクノロジーの取り扱いに使用するシステム（エンド・ユーザーのシステムを含む）のコンピューティングの保護を確保します。これらの保護手段には、エンドポイントのファイアウォール、ディスク全体の暗号化、マルウェアの脅威や高度で持続的な脅威に対処するための署名と非署名に基づくをエンドポイント検出および応答テクノロジー、時間ベースの画面ロック、セキュリティ構成とパッチ要件を適用するエンドポイント管理ソリューションなどが含まれます。さらに、サプライヤーは、既知の信頼できるエンド・ユーザー・システムのみがサプライヤー・ネットワークの使用を許可されるように、技術的および運用上の管理を実装します。

4.9 サプライヤーは、業界のベスト・プラクティスに従い、キンドリル資料が存在する、または処理されるデータセンター環境を侵入の検出と防止やDoS攻撃の対策と軽減などによって保護します。

5. サービスとシステムの完全性と可用性の管理

5.1 サプライヤーは、以下を行います。(a) セキュリティおよびプライバシー・リスク・アセスメントを少なくとも年に一回実施する。(b) 製品リリースの前およびリリース以降は、サービスと成果物に関して毎年、キリンドルのテクノロジーの取り扱いに関しては毎年、セキュリティ・テストを実施し、脆弱性を評価する（自動化システムとアプリケーションのセキュリティ・スキャンと手作業による倫理的ハッキングを含む）。(c) 適格な独立した第三者に、業界のベスト・プラクティスに沿ったペネトレーション・テスト（自動化されたテストおよび手動のテストの両方を含む）を少なくとも年に1回実施することを依頼する。(d) サービスと成果物の各コンポーネントとキンドリルのテクノロジーの取り扱いに関するセキュリティ構成要件の遵守について、自動化管理とルーチン検証を実施する。(e) 関連するリスク、悪用可能性、影響に基づいて、特定された脆弱性またはセキュリティ構成要件の違反を修正する。サプライヤーは、テスト、評価、スキャン、および修復活動の実行時に、サービスの中断を回避するための合理的な措置を講じます。キンドリルが要求する場合、サプライヤーは、その時点で最新のサプライヤーの侵入テスト業務の要約を書面でキンドリルに提供します。この報告には、少なくとも、テストの対象となる製品の名前、テストの対象となるシステムまたはアプリケーションの数、テストの実施日、テストで使用された方法論、および調査結果の概要が含まれます。

5.2 サプライヤーは、サービスまたは成果物への変更の適用、またはキンドリルのテクノロジーの取り扱いに関連するリスクを管理することを目的とするポリシーと手順を実施します。サプライヤーは、影響を受けるシステム、ネットワーク、および基盤となるコンポーネントを含め、変更を実装する前に、登録済みの変更要求の中で(a) 変更の説明と理由、(b) 実装の詳細とスケジュール、(c) サービスおよび成果物、サービスの顧客、またはキンドリル資料への影響に対処するリスクステートメント、(d) 予想される結果、(e) ロールバック計画、および (f) 承認されたサプライヤーの従業員による承認を文書化します。

5.3 サプライヤーは、サービスの運用、成果物の提供、キンドリルのテクノロジーの取り扱いに使用するすべてのIT資産のインベントリーを維持します。サプライヤーは、資産、サービス、成果物、キンドリルのテクノロジーの基盤となるコンポーネントなどを対象として、IT資産、サービス、成果物、キンドリルのテクノロジーの健全性（キャパシティーを含む）と可用性を継続的に監視および管理します。

5.4 サプライヤーは、サービスおよび成果物の開発または運用、およびキンドリルのテクノロジーの取り扱いにおいて使用するすべてのシステムを、Center for Internet Security（CIS）のベンチマークなどの業界のベスト・プラクティスを満たす、定義済みのシステム・セキュリティ・イメージまたはセキュリティ・ベースラインから構築します。

5.5 取引文書または関連する両当事者間の基本契約に基づく事業継続性に関するサプライヤーの義務またはキンドリルの権利を制限することなく、サプライヤーは、事業とITの継続性と災害復旧の要件について、文書化されたリスク管理ガイドラインに従って、各サービスと成果物、およびキンドリルのテクノロジーの取り扱いに使用される各ITシステムを個別に評価します。サプライヤーは、そのようなサービス、成果物、およびITシステムのそれぞれが、そのようなリスク評価によって正当化される範囲で、事業とITの継続性および災害復旧計画を個別に定義、文書化、実施、毎年検証し、業界のベスト・プラクティスと整合することを確認します。サプライヤーは、その計画が、以下の第5条6項に規定されている特定の復旧時間を実現するように設計されていることを確認します。

5.6 ホスティング・サービスに関する具体的な目標復旧時点（「RPO」）および目標復旧時間（「RTO」）は、RPO、RTO共に24時間ですが、キンドリルがより短時間のRPOまたはRTOを書面で通知する場合（電子メールは書面とみなします）、サプライヤーはキンドリルがお客様に約束した、目標より短時間のRPOまたはRTOを遵守します。サプライヤーがキンドリルに提供する他のすべてのサービスに関係するため、サプライヤーは、自身の事業継続性と災害復旧計画が、適時にテスト、サポート、および保守を提供する義務を含む、取引文書および関連する両当事者間の基本契約、および本規約に基づく、サプライヤーのキンドリルに対するすべての義務を遂行し続けることを可能にするRPOおよびRTOを実現するように作成されていることを確認します。

5.7 サプライヤーは、サービスおよび成果物、ならびにそのサービスおよび成果物の範囲内の関連するシステム、ネットワーク、アプリケーションおよび基盤となるコンポーネント、ならびにキンドリルのテクノロジーの取り扱いに使用するシステム、ネットワーク、アプリケーションおよび基盤となるコンポーネントを評価、テストし、それらにセキュリティ・アドバイザリー・パッチを適用するために設計された措置を実施します。セキュリティ・アドバイザリー・パッチが適用可能かつ適切であると判断する場合、サプライヤーは文書化された重大度およびリスク評価ガイドラインに従ってパッチを実装します。サプライヤーによるセキュリティ・アドバイザリー・パッチの実装は、その変更管理ポリシーの対象となります。

5.8 サプライヤーがキンドリルに提供するハードウェアまたはソフトウェアに侵入の要素（スパイウェア、マルウェアまたは悪意あるコードなど）が含まれている可能性があるとキンドリルが判断する合理的な根拠がある場合、サプライヤーは、キンドリルの懸念事項の調査および修復において、キンドリルに適時に協力します。

6. サービスのプロビジョニング

6.1 サプライヤーは、キンドリル・ユーザーまたはお客様のアカウントのフェデレーション方式の認証についての業界共通の方法をサポートし、サプライヤーはこのキンドリル・ユーザーまたはお客様のアカウントを認証する際、業界のベスト・プラクティスに従います（キンドリルによるOpenID ConnectまたはSecurity Assertion Markup Languageを使用した、一元管理された多要素シングルサインオンなど）。

7. 「復処理者」。取引文書または両当事者間の関連する基本契約に基づく、従契約者の維持に関するサプライヤーの義務またはキンドリルの権利を制限することなく、サプライヤーは、サプライヤーのために作業を遂行する従契約者が、本規約がサプライヤーに課す要件および義務を遵守するためのガバナンス管理を確立していることを確認します。

8. 「物理メディア」。サプライヤーは、再利用を目的とした物理的な記憶媒体を安全に殺菌してから再利用し、再利用を目的としていない物理的な記憶媒体を破棄し、媒体の殺菌に関する業界のベスト・プラクティスに従います。