Close

BaFin

Atlassian アウトソーシング ガイドライン

この表は、ドイツ連邦金融監督庁、BaFin の監督下にある金融サービス機関が「Guidance on Outsourcing to Cloud Service Providers」(BaFin ガイダンス) の第 5 章 ((実質的な) アウトソーシングの場合の契約条件) の各段落はアトラシアンの顧客契約書にどのように相当するかをマッピングします。

既存の Atlassian 契約がある、またはこれらの条件を契約にどのように適用できるかの詳細を知りたい場合は、お問い合わせください。

#
考慮事項と要件
アトラシアンの解説

1.

監督法の要件に応じて、次の条件を実質的なアウトソーシング1 または KAGB による非差別化アウトソーシングのアウトソーシング契約に具体的に含める必要があります。

 

2.

1. 実行の範囲

 

3.

契約にはクラウド サービス プロバイダーが実行するサービスの仕様、そして必要であればその説明を含める必要があります。これはサービス レベル アグリーメントに規定されている必要があります。この文脈では、次の側面を定義しておく必要があります。

 

4.

  • アウトソーシング品目とその実装 (例: サービスの種類とデプロイ モデル、提供されるサービスの範囲 (コンピューティング能力や利用可能なメモリ容量など)、可用性要件、応答時間)
  • 対象となるお客様の Atlassian 顧客契約で言及されて組み込まれるアトラシアンのドキュメントには、該当するクラウド製品に関する明確な説明が含まれています。

    5.

  • サポート サービス
  • 対象となるお客様は、Atlassian 顧客契約の対象となる アトラシアン サポートのサービスにアクセスできます。

    6.

  • 責任、協力および提供の義務 (例: 更新の場合)
  • 通常、Atlassian 顧客契約によって対応します。

    7.

  • 実行の場所 (例: データ センターの所在地)
  • ここで詳述してあるように、特定の対象クラウド製品には製品内のデータ レジデンシー機能が備わっており、お客様側の管理者が対象製品データを任意の場所に固定できます。このページでは、アトラシアンのクラウド ホスティング インフラストラクチャについて説明します。

    アトラシアンは (a) 該当するサブスクリプション期間中に製品の機能を著しく低下させないことと、(b) アトラシアンのデータ ホスティングの場所の変更をお客様に通知することを契約によって確約します。

    8.

  • アウトソーシング契約の開始と終了
  • Atlassian 顧客契約では、サブスクリプション期間の既定の期間と該当するすべての通知期間が定められています。さらに、対象のクラウド製品を 1 つ以上注文する際は、対応するサブスクリプション期間の開始日と終了日が含まれます。

    9.

  • サービス レベルの継続的なレビューを実施する主な比率
  • 対象クラウド製品に対応するサービス レベル条件、そしてサービス レベルを満たさない場合の救済策は、アトラシアンのサービス レベル アグリーメントと対応する製品別規約に記載されています。

    10.

  • 許容できないサービス レベルを特定するための指標
  • アトラシアンは https://status.atlassian.com/ でサービスの可用性について最新情報を公開して、対象クラウド製品の可用性に深刻な影響を及ぼすイベントをお客様に通知することを契約によって確約します。

    11.

    2. 監督対象企業の情報および監査権

     

    12.

    監督対象企業の情報および監査権、ならびに管理可能性は、契約上の制限の対象としてはなりません。アウトソーシングに関連するリスクを適切に管理して監視するために必要な情報を、監督対象企業が確実に受け取れるようにする必要があります。

    アトラシアンの監査プログラムは、対象となる顧客とその監督当局が対象クラウド製品を効果的に監査できるように設計されています。

    13.

    情報および監査権を保護するために、特に次の条件について契約上の合意を得る必要があります。

  • アウトソーシングされた品目の提供に使用されるすべてのデータセンター、機器、システム、ネットワークへのアクセスの許可を含む、情報およびデータへのフル アクセス、ならびにクラウド サービス プロバイダー事業へのアクセスの許可。これには、関連するプロセスと制御が含まれます。
  • アウトソーシング チェーン全体を制御して監査する効果的な機会。
  • 上記の 12 行目をご参照ください。

    14.

    権利の (間接的な) 制限なし。情報および監査権の効果的な行使は、契約によって制限されない場合があります。ドイツの監督当局は、このような情報および監査権に対する許容範囲を超えた制限は、一定の条件のもとに権利を付与すると契約で定めた場合のみ存在するものとみなしており、具体的には以下のケースが含まれます。

  • 監督対象企業が独自の監査活動を行う前に、まず監査レポート、証明書、あるいはクラウド サービス プロバイダーが認めた基準への準拠の証明を必要とする義務など、情報および監査手順の増分に合意する。
  • 情報および監査権の履行を、監査レポート、証明書、あるいはクラウド サービス プロバイダーが認めた基準への準拠の証明の提出だけに制限する。
  • 情報へのアクセスを特別なトレーニング プログラムへの事前参加にリンクさせる。
  • 監査の履行を、その商業的な妥当性を条件とするように条項を定める。
  • タイミングと人員の観点から監査の実施を制限する。ただし、原則として事前の通知により通常の営業時間へのアクセスを制限することは許容されます。
  • 会社の情報および監査権を行使するための管理コンソールの独占的使用などについて言及する。
  • 上記の 12 行目をご参照ください。

    15.

    適用除外

    監督法で適用される要件によっては、監督対象企業が自社の監査活動の効率を向上させるために適用除外を申請できます。このような適用除外には、プール監査、または共通の基準に基づく文書/証明書、あるいは認定された第三者の監査レポート、またはクラウド サービス プロバイダーの内部監査レポートの使用などがあります。

    これはお客様の考慮事項です。上記 12 行目と下記 20 行目もご参照ください。

    16.

    プール監査

    セクション 25a、25b KWG の遵守を条件とする監督対象企業は、Circular 09/2017 (BA) – リスク管理の最小要件 – (MaRisk) の適用除外を利用できます。BT 2.1 Item 3 MaRisk に従い、外部サービス プロバイダーが実行する監査作業が AT 4.4 および BT 2 MaRisk の要件を満たしていれば、実質的なアウトソーシングにおける監督対象企業の内部監査部門がその監査活動を放棄する場合があります。監督対象のアウトソーシング会社の内部監査部門は、これらの条件を満たしていることを定期的に確認する必要があります。監督対象企業に関する監査結果は、監督下にあるアウトソーシング会社の内部監査部門に引き継がれます。

    これはお客様の考慮事項です。上記 12 行目もご参照ください。

    17.

    この点で、監査活動は、クラウド サービス プロバイダーの内部監査部門、1 つ以上の監督対象のアウトソーシング会社に代わるその内部監査部門 (プール監査)、クラウド サービス プロバイダーが任命した第三者、または監督対象のアウトソーシング会社が任命した第三者によって実行されることがあります。

    これはお客様の考慮事項です。上記 12 行目もご参照ください。

    18.

    他の監督対象企業については、個々のケースにおいて、プール監査を通じて他の監督対象企業と共同でクラウド サービス プロバイダーに対して特定の情報および監査権の行使を許可される場合があります。

    これはお客様の考慮事項です。上記 12 行目もご参照ください。

    19.

    監督対象企業が前述の適用除外のいずれかを利用する場合、その情報および監査権は制限されません。

    上記の 12 行目をご参照ください。

    20.

    証拠/証明書および監査レポート

    、監督対象企業は原則として、共通の基準 (例: 国際標準化機構の国際セキュリティ標準 ISO/IEC 2700X、BSI のクラウド コンピューティング コンプライアンス コントロール カタログ (C 5 カタログ) など)、認定された第三者の監査レポート、またはクラウド サービス プロバイダー内部監査レポートに基づく文書/証明書を使用します。この点に関して、監督対象企業はそのような文書/証明書および監査レポートの認証者または監査人の範囲、詳細度、最新性および適合性を考慮する必要があります。

    アトラシアンはセキュリティ、プライバシー、コンプライアンスの管理について、定期的に独立した検査を受けています。お客様との契約期間中、アトラシアンは少なくとも ISO/IEC 27001 および ISO/IEC 27018 認証および SOC 2 Type II および SOC 3 監査レポートを含む、アトラシアンの Trust Center に記載されている基準を遵守します。https://www.atlassian.com/trust/compliance

    21.

    ただし、監督対象企業は監査活動の実践をこれらだけに頼るものではなりません。内部監査部門がそのような文書/証明書を活動に使用する場合は、その根底にある証拠を調査できる必要があります。

    これはお客様の考慮事項です。上記 12 行目もご参照ください。

    22.

    3. 監督対象企業の情報および監査権

     

    23.

    監督当局の情報および監査権、ならびに制御の可能性は、契約上の制限の対象としてはなりません。監督当局は、監督対象企業に対する適用法に規定されているとおりにクラウド サービス プロバイダーを監視できなければなりません。監督当局は、アウトソーシングされる品目に関して、情報および監査権、ならびに制御の可能性を適切かつ制限なく行使できるものとします。これは監督当局が監査を実施する際の監査担当者にも適用されます。

    アトラシアンの監査プログラムは、対象となる顧客とその監督当局が対象クラウド製品を効果的に監査できるように設計されています。

    24.

    このような権利を保護するために、特に次の条件について契約上の合意を得る必要があります。

  • 制限なく監督当局に協力するクラウド サービス プロバイダーの義務
  • アウトソーシングされた品目の提供に使用されるすべてのデータセンター、機器、システム、ネットワークへのアクセスの許可を含む、情報およびデータへのフル アクセス、ならびにクラウド サービス プロバイダー事業へのアクセスの許可。これには、プロセスや制御、クラウド サービス プロバイダー (および該当する場合はチェーン アウトソーシング会社) のオンサイト監査の実施の可能性が含まれます。
  • アウトソーシング チェーン全体を制御して監査する効果的な機会。
  • 上記 23 行目をご参照ください。

    25.

    権利の (間接的な) 制限なし

    情報および監査権の許容範囲を超えた制限、およびドイツ監督当局の制御の可能性は、一定の条件のもとに権利を付与するとの規定がある場合のみ存在するものとみなされます。繰り返しを避けるために、監督対象企業の権利の制限に関する上記の声明を参照します。

    上記 23 行目をご参照ください。

    26.

    4. 指示を発行する権利

     

    27.

    指示を発行する監督対象企業の権利は合意が必要です。指示を発行する権利は、合意されたサービスの遂行に必要なすべての指示の発行を保証するものです。つまり、アウトソーシングされた品目に反映して、これを管理できる必要があります。技術的な実装は、会社の特定の状況に基づいて個別に整理される場合があります。

    アトラシアンの顧客は、顧客サポート チャンネルを通じて、対象クラウド製品に関する指示 (第三者の認証および監査レポートに関するものを含む) をアトラシアンに発行できます。

    28.

    監督対象企業が証拠/証明書または監査レポート (V.2 参照) を使用している場合は、証拠/証明書または監査レポートの範囲に影響するため、関連するシステムや統制を含むように拡張される可能性があります。そのような指示発行の回数と頻度には妥当な割合があります。

    上記 27 行目をご参照ください。

    29.

    さらに、監視対象企業には、データの修正、削除、ブロックについてクラウド サービス プロバイダーに随時指示する権限を付与する必要があり、クラウド サービス プロバイダーには、監督対象企業が発行した指示の範囲でのみデータを収集、処理、使用することを許可します。これは、クラウド サービス プロバイダーが処理したデータを監督対象企業に速やかに、かつ制限なく転送するように随時指示することにも対応します。

    アトラシアンは、お客様の個人データの処理とセキュリティに関する詳細なコミットメントを実現するデータ処理補遺を提供しています。GDPR コンプライアンス プログラムの詳細については、こちらをご覧ください:

    https://www.atlassian.com/trust/compliance/resources/gdpr

    さらに、すべてのお客様に、契約期間中、お客様自身でいつでもデータをエクスポートできる製品機能を提供しています。

    30.

    監督対象企業が指示を発行する権利に関する明示的な合意を放棄できる場合、アウトソーシング会社が提供するサービスはアウトソーシング契約で十分な明確性をもって指定する必要があります。

    上記 27 行目をご参照ください。

    31.

    5. データ セキュリティ/保護 (データ ストレージの場所を参照)

     

    32.

    データ保護規則やその他のセキュリティ要件への準拠を保証する規定には合意が必要です。

    対象クラウド製品には一対多の性質があるため、すべてのお客様に同じ堅牢なセキュリティを提供します。これらのセキュリティ プラクティスは、アトラシアンの Trust Center で詳しく説明しています: https://www.atlassian.com/trust/

    アトラシアンはお客様のサブスクリプション期間中、アトラシアンの Trust Center におけるセキュリティ プラクティスを順守し、対象クラウド製品の全体的なセキュリティの深刻な低下を防止することをお約束します。

    上記 27 行目と 29 行目もご参照ください。

    33.

    データ ストレージの場所は監督対象企業に通知しておく必要があります。通知にはデータ センターの特定の所在地を含めます。原則として地名 (市区町村) だけで十分です。ただし、監督対象企業がリスク管理の考慮事項に基づいてデータ センターの正確な所在地を必要とする場合、クラウド サービス プロバイダーはこれを提供する必要があります。

    上記 7 行目をご参照ください。

    34.

    さらに、1 つのデータ センターに障害が発生してもサービスを確実に維持するために、データとシステムの冗長性を確保する必要があります。

    Trust Center に記載のとおり、アトラシアンはビジネス継続性とディザスター リカバリの各計画を保持しています。これらの計画を少なくとも年に 1 回見直してテストしています。

    35.

    データとシステムのセキュリティはアウトソーシング チェーン内でも確保する必要があります。

    上記 32 行目をご参照ください。

    36.

    監督対象企業は随時クラウド サービス プロバイダーに保存されているデータに迅速にアクセスして、必要に応じてデータを再転送できる必要があります。この点で、選択した形式における再転送によってデータの使用を制限または除外されないことを保証する必要があります。そのため、プラットフォームに依存しない標準データ形式についての合意が必要です。異なるシステム間の互換性を考慮しなければなりません。

    上記 29 行目をご参照ください。

    37.

    6. 解約規定

     

    38.

    解約権と適切な解約通知期間について合意する必要があります。特に、監督当局が契約の終了を要求した場合に正当な理由によって解約する特別な解約権については合意が必要です。

    便宜上、アトラシアンはいかなる状況でも解約が可能な幅広い解約権をお客様に提供します。

    39.

    解約した場合でも、クラウド サービス プロバイダーにアウトソーシングされた品目は、そのような品目が別のクラウド サービス プロバイダーまたは監督対象企業に完全に譲渡されるまで引き続き提供されることを保証する必要があります。この点で、特に、クラウド サービス プロバイダーは、アウトソーシングされた品目を別のクラウド サービス プロバイダー、または監督対象企業に直接譲渡する際に、監督対象企業に合理的な支援を提供することを保証する必要があります。

    各機関から要求された場合は、別のサービス プロバイダーへの譲渡を可能にするために、サブスクリプション期間を短期間延長できます。

    40.

    アウトソーシングされた品目とデータの譲渡の種類、形式、品質を定義する必要があります。データ形式を監督対象企業の個々のニーズに適合させている場合、クラウド サービス プロバイダーは解約時にそのような適合に関する文書を提出する必要があります。

    この情報はアトラシアンのドキュメントから入手できます。

    41.

    データを監督対象企業に再度譲渡した後は、そのデータがクラウド サービス プロバイダー側で完全に削除されることに同意する必要があります。

    この考慮事項は、当社のデータ処理補遺に記載されています。

    42.

    契約の計画上の解約または計画外の解約時にアウトソーシング領域が確実に維持されるようにするには、監督対象企業は出口戦略を策定してその実現可能性を検討する必要があります。

    これはお客様の考慮事項です。

    43.

    7. チェーン アウトソーシング

     

    44.

    監督法の要件を引き続き満たすことを保証するチェーン アウトソーシングの可能性とその方法に関する規定に合意する必要があります。たとえば、実質的に最も類似している義務のみを想定するような制限は許容されません。チェーン アウトソーシングの場合は、特に監督対象のアウトソーシング会社および監督当局の情報および監査権、ならびに制御の可能性は、下請業者にも適用されることを保証する必要があります。

    中断を最小限に抑えてグローバル製品を提供するために、特定の重要な機能を高品質のサービス プロバイダー (データ ホスティング プロバイダーなど) にサブアウトソーシングさせる場合があります。重要なサブアウトソーシングに関しては、アトラシアンはそのようなサブアウトソーシング業者と適切な契約を結ぶことを保証します。この契約は、各機関とその監督当局に適切な監査、アクセス、情報権を付与して、そのようなサブ アウトソーシング業者に適用法をすべて遵守することを要求します。上記 12 行目もご参照ください。

    45.

    チェーン アウトソーシングの観点から、アウトソーシング会社の同意の留保またはチェーン アウトソーシングを可能にするために満たすべき特定の条件は、アウトソーシング契約に記載するものとします。アウトソーシング品目やその一部のどれがチェーンアウトソーシングされるかされないかを定義する必要があります。

    上記 44 行目をご参照ください。

    46.

    監督対象企業には、アウトソーシング品目やその一部をチェーン チェーンアウトソーシングする前に、テキスト形式で通知する必要があります。そのため監督対象企業は、下請業者、およびそこにチェーン アウトソーシングされた品目/その一部を把握することになります。

    アトラシアンは重大または重要な機能の変更や新規サブアウトソーシングを通知して、そのようなサブアウトソーシング業者に関する情報を提供します。各機関がそのようなサブアウトソーシングについて懸念を抱いている場合、アトラシアンはその機関から契約を解除することを許可します。

    47.

    新しいチェーン アウトソーシングが発生した場合、これがアウトソーシングのリスク状況、ひいてはアウトソーシング会社に影響を与える可能性があることを認識しておく必要があります。したがって、新しいチェーン アウトソーシングが発生した場合は、少なくともリスク分析を見直すか再度実行する必要があります。これは、下請業者が提供するクラウド サービスの重大な欠陥や重大な変更が判明した場合にも当てはまります。

    これはお客様の考慮事項です。

    48.

    企業は、そのクラウド サービスがクラウド サービス プロバイダーまたはその下請業者のどちらから提供されているか関係なく、サービス全体のパフォーマンスを継続的に確認して監視する必要があります。

    これはお客様の考慮事項です。

    49.

    8. 情報義務

     

    50.

    クラウド サービス プロバイダーはアウトソーシング品目の正常なパフォーマンスに悪影響を与える可能性のある開発について、監督対象企業に通知することを保証する規定に同意します。これには、クラウド サービス提供の中断に関する報告などが含まれます。これは、会社がアウトソーシング品目を適切に監視することを目的としています。

    アトラシアンは https://status.atlassian.com/ でサービスの可用性について最新情報を公開して、対象クラウド製品の可用性に深刻な影響を及ぼすイベントをお客様に通知することを契約によって確約します。

    51.

    クラウド サービス プロバイダーが処理する監督対象企業のデータのセキュリティに対して、第三者による措置 (例: 差押えまたは没収)、破産または和議手続きなどの結果として生じるリスクをもたらす可能性がある場合、クラウド プロバイダーはこれを監督対象企業に遅滞なく通知する必要があります。

    上記 50 行目で言及しているコミットメントに加えて、セキュリティ インシデントの通知をアトラシアンのデータ処理補遺でお客様に提供することをお約束します。

    52.

    クラウド サービス プロバイダーが提供するクラウド サービスに関する変更が発生した場合は、クラウド サービス プロバイダーから監督対象企業に、適宜、事前に通知される必要があります。サービスの説明とそれに対する変更は、テキスト形式で監督対象企業に提供または通知する必要があります。第三者によって監督対象企業のデータ放棄が要求される場合は、法律で定められる範囲で監督対象企業に十分な情報が提供されているものとします。

    アトラシアンは、対象クラウド製品に対する重大な変更についてお客様に通知するクラウド製品ロードマップを公開しています。

    また、アトラシアンは、法的執行要求に関するガイドラインに従った場合のみ、お客様データを第三者に提供します。

    53.

    9. 適用法に関する通知

     

    54.

    法条項の選択に合意してドイツの法律が準拠法として合意していない場合、EU または欧州経済地域の現地法はいかなる場合も契約の準拠法になることに合意する必要があります。

    Atlassian 顧客契約のデフォルトの準拠法はカリフォルニア州法です。詳細については、エンタープライズ セールス チームにお問い合わせください。

    1 BaFin ガイダンスで使用する用語「実質的なアウトソーシング」は、EBA ガイドラインで使用する用語「クリティカルまたは重要なアウトソーシング」に相当します。