EBA ガイドライン

項 74

当該機関、支払い機関、サービス プロバイダーの権利と義務は、明確に割り当てられて書面による合意として定める必要がある。

通常、Atlassian 顧客契約によって対応します。

項 75

重大または重要な機能に関するアウトソーシング契約には、少なくとも次を定める必要がある。

(a) 提供されるアウトソーシング機能の明確な説明。

対象となるお客様の Atlassian 顧客契約で言及されて組み込まれるアトラシアンのドキュメントには、該当するクラウド製品に関する明確な説明が含まれています。

(b) サービス プロバイダーと当該機関または支払い機関に対する契約と通知期間の開始日と終了日 (該当する場合)。

Atlassian 顧客契約では、サブスクリプション期間のデフォルトの期間と該当するすべての通知期間が定められています。さらに、対象のクラウド製品のいずれかを注文する際は、対応するサブスクリプション期間の開始日と終了日が含まれます。

(c) 本契約の準拠法。

Atlassian 顧客契約のデフォルトの準拠法はカリフォルニア州法です。詳細はエンタープライズ セールス チームにお問い合わせください。

(d) 当事者の金融的義務。

各対象クラウド製品の価格は www.atlassian.com で公開されています。

(e) 重大または重要な機能、または重要な部分のサブアウトソーシングが許可されているかどうか、許可されている場合は、サブアウトソーシングの対象となる第 13.1 条 (重要な機能のサブアウトソーシング) に指定された条件。

21 ～ 36 行目の第 13.1 条のコメントをご参照ください。

(f) 場所、つまり 重大または重要な機能が提供される、および/または関連するデータが保存して処理される地域または国など (可能な保管場所を含む)、またサービス プロバイダーが場所の変更を提案した場合は当該機関または支払い機関に通知する要件を含む、満たすべき条件。

ここで詳述されているように、特定の対象クラウド製品には製品内のデータ レジデンシー機能が備わっており、お客様側の管理者が対象製品データを任意の場所に固定できます。このページでは、アトラシアンのクラウド ホスティング インフラストラクチャについて説明します。

アトラシアンは (a) 該当するサブスクリプション期間中に製品の機能を著しく低下させないこと、(b) アトラシアンのデータ ホスティングの場所の変更をお客様に通知することを契約によって確約します。

(g) 該当する場合は、第 13.2 条 (データとシステムのセキュリティ) に規定されている、関連データのアクセシビリティ、可用性、完全性、プライバシー、安全性に関する規定。

36 ～ 39 行目の第 13.2 条のコメントをご参照ください。

(h) サービス プロバイダーのパフォーマンスを継続的に監視する当該機関または支払い機関の権利。

アトラシアンは status.atlassian.com でサービスの可用性について最新情報を公開して、対象クラウド製品の可用性に深刻な影響を及ぼすイベントをお客様に通知することを契約によって確約します。

(i) 合意したサービス レベル。このサービス レベルが満たされない場合に遅滞なく適切な是正措置を講じられるように、アウトソーシングされた機能の正確な定量的かつ定性的なパフォーマンス目標を含めてタイムリーな監視を可能にする必要がある。

対象クラウド製品に対応するサービス レベル条件、およびサービス レベルを満たさない場合の救済策は、アトラシアンのサービス レベル アグリーメントと対応する製品別規約に記載されています。

(j) サービス プロバイダーの当該機関または支払い機関への報告義務。これには合意されたサービスレベルと、適用される法律および規制要件の準拠に応じて、サービス プロバイダーが重大または重要な機能を効果的に実行する能力に重大な影響を与える可能性のある開発に関するサービス プロバイダーによる通信、および必要に応じて、サービス プロバイダーの内部監査機能のレポートを提出する義務を含む。

アトラシアンは status.atlassian.com でサービスの可用性について最新情報を公開して、対象クラウド製品の可用性に深刻な影響を及ぼすイベントをお客様に通知することを契約によって確約します。

(k) サービス プロバイダーが特定のリスクに対して強制保険に加入すべきかどうか、また該当する場合は要求される保険の適用レベル。

アトラシアンは特定されたさまざまなリスクに対して、またアトラシアンの事業に適用される法律で義務付けられているとおり、保険の適用範囲を保っています。

(l) ビジネス緊急時対応計画を実施してテストするための要件。

Trust Center に記載のとおり、アトラシアンはビジネス継続性計画とディザスター リカバリ計画を保持しています。これらの計画は少なくとも年に 1 回見直してテストしています。

(m) サービス プロバイダーの事業運営が破産、破綻処理または終了した場合に、関係当局または支払い機関が所有するデータへのアクセスを保証する規定。

契約期間中、アトラシアンはお客様がそのデータにアクセスしてエクスポートすることを許可します。

これらのコミットメントはいずれも、アトラシアンの破産には適用されません。また、アトラシアンはアトラシアン自体の破産のために解除する権利を有しません。ただしその場合、便宜上、お客様から解除することを選択できます。

万が一、アトラシアンの破産が発生した場合、任命された破産実務担当者と対応する際にお客様はこれらのコミットメントを参照できます。

(n) サービス プロバイダーが、当該機関または支払い機関の関係当局または破綻処理当局、およびそれらの機関から任命された個人と協力する義務。

アトラシアンは監査、情報、アクセス権の行使において、当該機関の関係当局および破綻処理当局と協力します。

(o) 各機関については、国内破綻処理当局の権限、特に指令 2014/59/EU (BRRD) の第 68 条と第 71 条への明確な言及、特にその指令の第 68 条の意義における契約の「実質的義務」の説明。

アトラシアンは、当該機関とすべての破綻処理団体が破綻処理中も事業を継続する必要があることを理解しています。破綻処理のサポートを提供するために、アトラシアンは BRRD の要求に応じて破綻処理中も対象クラウド製品を継続して提供することをお約束します。

(p) 第 13.3 条 (アクセス、情報、監査権) に規定されているとおり、特に重大または重要なアウトソーシングされた機能に関してサービス プロバイダーを調査して監査する当該機関、支払い機関、管轄当局の無制限の権利。および

40 ～ 53 行目の第 13.3 条のコメントをご参照ください。

(q) 第 13.4 条 (解除権) に規定されている解除権。

56 行目の第 13.4 条のコメントをご参照ください。

項 76

アウトソーシング契約には、重大または重要な機能、またはその不可欠な部分のサブアウトソーシングが許可されるかどうかを明記する必要がある。

中断を最小限に抑えてグローバル製品を提供するために、特定の重大または重要な機能を高品質のサービス プロバイダー (データ ホスティング プロバイダーなど) にサブアウトソーシングさせる場合があります。

項 77

重大または重要な機能のサブアウトソーシングが許可されている場合、当該機関および支払い機関はサブアウトソーシングされる機能の一部が重大または重要 (つまり、重大または重要な機能の不可欠な部分) かを決定して、重要であればそれを登録簿に記録する必要がある。

これはお客様の考慮事項です。

項 78

重大または重要な機能のサブアウトソーシングが許可されている場合、書面による合意は次のようにする。

(a) サブアウトソーシングから除外されるあらゆる種類の活動を指定する。

上記 22 行目をご参照ください。

(b) サブアウトソーシングの場合に遵守すべき条件を指定する。

アトラシアンは重大または重要な機能の変更や新規サブアウトソーシングを通知して、そのようなサブアウトソーシング業者に関する情報を提供します。各機関がそのようなサブアウトソーシングについて懸念を抱いている場合、アトラシアンはその機関がアトラシアンとの契約を解除することを許可します。

(c) サービス プロバイダーと当該機関または支払い機関の間のすべての契約上の義務が継続的に満たされるように、下請契約したサービスをそのサービス プロバイダーが監督する義務があることを明記する。

サブアウトソーシングされた機能を含めて、アトラシアンは Atlassian 顧客契約に基づく全体的なパフォーマンスについて責任を負います。また、重大または重要なサブアウトソーシングに関しては、アトラシアンはそのようなサブアウトソーシング業者と適切な契約を結ぶことをお約束します。この契約は、各機関とその関係当局および破綻処理当局に適切な監査、アクセス、情報権を付与して、そのようなサブアウトソーシング業者に適用法をすべて遵守することを要求します。

(d) データのサブアウトソーシング前に、サービス プロバイダーに当該機関または支払い機関から具体的または全般的な書面による承認を事前に得ることを要求する。

アトラシアンの DPA では GDPR 遵守の一環として、お客様の事前の書面による同意なしにお客様の個人データ処理に復処理者を関与させないことをお約束します。

(e) 計画されたサブアウトソーシングまたはその重大な変更について、特にサービス プロバイダーがアウトソーシング契約に基づく責任を果たす能力に影響を与える可能性がある場合に、サービス プロバイダーから当該機関または支払い機関に通知する義務を含める。これには、下請業者の重要な変更予定とその通知期間が含まれます。特に、設定される通知期間では、計画されたサブアウトソーシングまたは重大な変更が実施される前に、少なくともアウトソーシング機関または支払い機関が提示された変更のリスク評価を実行して、変更に対して異議を唱えることを可能にする必要がある。

上記 26 行目をご参照ください。

(f) 該当する場合は、当該機関または支払い機関が、対象のサブアウトソーシングまたはその重大な変更に異議を唱える権利を有する、または明示的な承認を必要とすることを保証する。

上記 26 行目をご参照ください。

(g) サブアウトソーシングが不当な場合は、当該機関または支払い機関が契約を解除する契約上の権利を有することを保証する。サブアウトソーシングが当該機関または支払い機関のリスクを大幅に増加させる、またはサービス プロバイダーが当該機関または支払い機関に通知せずにサブアウトソーシングする場合。

上記 26 行目をご参照ください。

項 79

下請業者が次を行う場合にのみ、当該機関および支払い機関はサブアウトソーシングに同意する。

(a) すべての適用法、規制要件、契約上の義務を遵守する。

上記 27 行目をご参照ください。

(b)サービス プロバイダーによって付与されたものと同じアクセスおよび監査の契約上の権利を当該機関、支払い機関、関係当局に付与する。

上記 27 行目をご参照ください。

項 80

当該機関と支払い機関は当該機関または支払い機関によって定義されたポリシーに従い、サービス プロバイダーがサブサービス プロバイダーを適切に監督することを保証する。提案されたサブアウトソーシングが重大または重要な機能のアウトソーシングの取り決めに重大な影響を及ぼす可能性がある、または第 79 項の条件が満たされない場合を含めてリスクの重大な増加につながる場合、当該機関または支払い機関はサブアウトソーシングに異議を唱えること、および/または契約を解除する権利を行使する。

上記 26 行目と 27 行目をご参照ください。

項 81

当該機関と支払い機関は、サービス プロバイダーが適切な IT セキュリティ基準に準拠していることを確認する必要がある。

アトラシアンは、セキュリティ、プライバシー、コンプライアンスの管理について定期的に独立した検査を受けています。お客様との契約期間中、アトラシアンは少なくとも ISO/IEC 27001 と ISO/IEC 27018 の各認証および SOC 2 Type II と SOC 3 の各監査レポートを含む、アトラシアンの Trust Center に記載されている基準を遵守します。
https://www.atlassian.com/trust/compliance

項 82

該当する場合 (クラウドやその他の ICT アウトソーシングを行うなど)、当該機関や支払い機関はアウトソーシング契約内でデータとシステムのセキュリティ要件を定義して、これらの要件への準拠を継続的に監視する必要がある。

アトラシアンの対象クラウド製品には一対多の性質があるため、すべてのお客様に同じ堅牢なセキュリティを提供します。これらのセキュリティ プラクティスは、アトラシアンの Trust Center で詳述しています。
https://www.atlassian.com/trust/

お客様のサブスクリプション期間中、アトラシアンはアトラシアンの Trust Center におけるセキュリティ プラクティスを順守して、対象クラウド製品の全体的なセキュリティの深刻な低下を防止することをお約束します。

項 83

クラウド サービス プロバイダーへのアウトソーシング、および個人データまたは機密データの取り扱いまたは譲渡を伴うその他のアウトソーシング契約の場合、当該機関および支払い機関はデータ ストレージおよびデータ処理の場所 (つまり、国または地域) および情報セキュリティに関する考慮事項に対するリスク ベースのアプローチを採用する必要がある。

これはお客様の考慮事項です。

項 84

当該機関と支払い機関は (特に第三国に) アウトソーシングする場合に、規則 (EU) 2016/679 の要件を損なうことなくデータ保護に関する国内規定の差異を考慮する必要がある。当該機関と支払い機関は、アウトソーシング契約に、サービス プロバイダーが機密情報、個人情報、またはその他の機密情報を保護して、当該機関または支払い機関に適用されるデータの保護に関するすべての法的要件を遵守する (たとえば、個人データの保護、および該当する場合は顧客の情報に関する銀行の秘密保持または同様の法的守秘義務を遵守する) 義務が含まれていることを確認する必要がある。

アトラシアンは、お客様の個人データの処理とセキュリティに関する詳細なコミットメントを実現するデータ処理補遺を提供しています。GDPR コンプライアンス プログラムの詳細については、こちらをご確認ください。

https://www.atlassian.com/trust/compliance/resources/gdpr

項 85

当該機関と支払い機関は、書面によるアウトソーシング契約の中で、内部監査部門がリスクベースのアプローチによってアウトソーシングされた機能をレビューできることを保証する。

アトラシアンは、対象クラウド製品を継続的にレビューするための契約上のメカニズムを当該機関に提供します。

項 86

アウトソーシングされた機能の重大性または重要性に関係なく、機関とサービス プロバイダー間の書面によるアウトソーシング契約は、加盟国に所在するサービス プロバイダーに関して指令 2014/59/EU の第 63 条 (1)(a) および指令 2013/36/EU の第 65(3) 条に基づく関係当局および破綻処理当局の情報収集および調査権限に従うものであり、そのような国に位置するサービス プロバイダー上記権限を保証するものである。

アトラシアンは関連する EU 適用法の下で、関係当局および破綻処理当局の情報収集および調査権限を認めます。

項 87

重大または重要な機能のアウトソーシングに関して、当該機関と支払い機関は、書面によるアウトソーシング契約の範囲内で、サービス プロバイダーがそれ自体とその関係当局 (破綻処理当局を含む)、そこから任命された他の個人または関係当局、次を許容します。

(a) 関連する事業所 (本社およびオペレーション センター)、およびその関連デバイス、システム、ネットワーク、情報、データなど、関連する財務情報、個人、サービス プロバイダーの外部監査人 (「アクセスと情報権」) など、アウトソーシングされる機能を提供するもの

(b) アウトソーシング契約に関連する調査および監査の無制限の権利 (「監査権」) へのフルアクセス。これによって、アウトソーシング契約を監視して、適用されるすべての規制と契約上の要件を確実に遵守する。

対象クラウド製品を使用するすべての機関に対して、アトラシアンは必要な監査、情報、アクセス権を機関、関係当局、その被指名人に提供します。

項 88

重大または重要ではない機能をアウトソーシングする場合、当該機関と支払い機関は、アウトソーシングされた機能の性質および関連する運用と評判のリスク、拡張性、その活動の継続的なパフォーマンスと契約期間に対する潜在的な影響を考慮して、リスクベースのアプローチによって、87 項 (a) および (b)、第 13.3 条に規定されているアクセスおよび監査権を確保する必要がある。当該機関と支払い機関は、機能が時間の経過とともに重大または重要になる可能性があることを考慮する。

上記 44 行目をご参照ください。

項 89

当該機関と支払い機関は、アウトソーシング契約またはその他の契約上の取り決めが、これら機関、関係当局、またはこれらの権利行使のために任命された第三者によるアクセスおよび監査権の効果的な行使を妨げる、および制限しない。

アトラシアンの監査プログラムは、対象となる顧客とその関係当局が対象クラウド製品を効果的に監査できるように設計されています。

項 90

当該機関と支払い機関はアクセス権と監査権を行使して、リスクベースのアプローチによって監査頻度と監査対象分野を決定して、一般に認められている国内および国際的な関連する監査基準を遵守する必要がある。

アトラシアンはこの考慮事項に対応する監査プログラムを開発しました。

項 91

当該機関と支払い機関はアウトソーシング契約に関する最終的な責任を損なうことなく、次を使用できる。

(a) 監査リソースをより効率的に使用してクライアントとサービス プロバイダーの両方の組織的負担を軽減するために、同じサービス プロバイダーの他のクライアントと共同で組織的に実施されて、これらのクライアントまたはこれらのクライアントよって任命された第三者により実行されるプール監査。

(b) サービス プロバイダーが提供する、第三者認証および第三者/内部監査レポート。

アトラシアンの監査プログラムでは、当該機関がプール監査および/または第三者認証によって対象クラウド製品をレビューすることを許可しています。

項 92

重大または重要な機能のアウトソーシングについては、当該機関と支払い機関は、91(b) 項で言及されている第三者の認証とレポートが、規制上の義務の遵守に適切かつ十分であるかどうかを評価するが、長期にわたってこれらの報告だけに頼ってはならない。

これはお客様の考慮事項です。

項 93

次の場合に限り、当該機関と支払い機関は 91(b) 項で言及されている方法を利用できる。

(a) アウトソーシングされた機能の監査計画に満足している。

(b) 当該機関または支払い機関によって特定された認証または監査レポートの範囲が、システム (すなわち、プロセス、アプリケーション、インフラストラクチャ、データ センターなど)、主要な統制、関連する規制要件への準拠を網羅している。

(c) 継続的に認証または監査レポートの内容を徹底的に評価して、レポートまたは認証が無効になっていないことを確認する。

(d) 主要なシステムと統制が、認証または監査レポートの将来のバージョンでもカバーされる。

(e) 認証機関または監査機関の適性 (認証会社または監査会社のローテーション、資格、専門知識、基礎となる監査ファイル内の証拠の再現/検証など) に満足している。

(f) 認証が発行され、監査が一般に普及している専門的基準に照らして実施され、主要な統制の運用上の有効性のテストが含まれていることに満足している。

(g) 認証または監査レポートの範囲を他の関連システムと統制に拡大することを要求する契約上の権利を有している。そのような範囲変更の依頼回数と頻度は、リスク管理の観点から合理的かつ合法的である必要がある。

(h) 重大または重要な機能のアウトソーシングに関して、独自の裁量で個別監査を実施する契約上の権利を保持する。

副項 (a) ～ (f) はお客様の考慮事項です。副項 (g) に関しては、アトラシアンの監査の管理とプロセスの変更を要求する契約上のメカニズムを当該機関に提供します。副項 (h) は上記 44 行目で言及しています。

項 94

SREP による ICT リスク評価に関する EBA ガイドラインに従い、当該機関は該当する場合、実施されたサイバーおよび内部 ICT セキュリティ対策とプロセスの有効性を評価するために、セキュリティ侵入テストを実施できることを保証する。タイトル I を考慮して、支払い機関は ICT セキュリティ管理および緩和対策を含む内部 ICT 制御メカニズムも備える必要がある。

アトラシアンでは、お客様がアトラシアンの事前の承認なしにいつでも侵入テストを実施する権利を提供します。https://www.atlassian.com/trust/security/security-testing

項 95

当該機関、支払い機関、関係当局、監査人、または当該機関、支払い機関、関係当局の代理となる第三者は、緊急事態、危機的状況あるいは監査の効力がなくなる状況に陥ったために通知できない場合を除き、予定されている現地訪問の前にサービス プロバイダーに適宜通知する必要がある。

アトラシアンの監査プログラムはこの考慮事項を含めて調整されています。

項 96

マルチクライアント環境で監査を実施する場合は、クライアントの環境に対するリスク (例: サービス レベル、データの可用性、機密性への影響) を回避または軽減するように注意しなければならない。

アトラシアンとお客様にとって、あるお客様に対する行為が他のお客様に対するリスクになってはならないことは非常に重要です。これはお客様が監査を行う際にも、他のお客様が監査を行う場合にも該当します。ある機関が監査を実施する際に、アトラシアンは協力して他のお客様への混乱を最小限に抑えます。監査中の他のお客様に対する場合と同様に、当該機関への混乱も最小限に抑えるように取り組みます。特にセキュリティに関するコミットメントを常に遵守するように努めています。

項 97

アウトソーシング契約が技術的に高度な複雑性を伴う場合、たとえば、クラウド アウトソーシングの場合、当該機関または支払い機関は、監査の実施担当者 (内部監査人、またはそれを代行する監査団や外部監査人など) が監査と評価の実施に関連する適切なスキルと知識を持っていることを検証する必要がある。これは同様に、サービス プロバイダーによって実施された第三者の認証または監査を確認する当該機関または支払い機関のスタッフにも該当する。

これはお客様の責任です。

項 98

次の状況を含め、アウトソーシングの契約は、適用法に従って当該機関または支払い機関が契約を解除する可能性を明示的に許可する。

(a) アウトソーシングされた機能のプロバイダーが適用法、規制または契約条項に違反している場合。

(b) アウトソーシングされた機能のパフォーマンスが変化する可能性のある障害が特定された場合。

(c) アウトソーシング契約またはサービス プロバイダーに影響を与える重大な変更がある場合 (たとえばサブアウトソーシングまたは下請業者の変更)

(d) 機密、個人またはその他の機密データまたは情報の管理とセキュリティに関する弱点がある。

(e) 当該機関または支払い機関の関係当局からの指示があった場合、たとえば、アウトソーシング契約によって、関係当局が当該機関または支払い機関を効果的に監督する立場ではなくなった場合など。

アトラシアンはお客様が適宜解除できる広範な権利を提供します。これによって、お客様は EBA ガイドラインの第 13.4 条に記載されているいずれかの場合に解約できます。

項 99

書面によるアウトソーシング契約には次のものを含める。

(a) データの取り扱いを含め、アウトソーシングされた機能を別のサービス プロバイダーに譲渡する、または当該機関または支払い機関に戻す場合の既存のサービス プロバイダーの義務を明確に説明する。

すべてのお客様に、契約期間中、お客様自身でいつでもデータをエクスポートできる製品機能を提供しています。

(b) アウトソーシング契約の解除後も、混乱のリスクを軽減するためにサービス プロバイダーがアウトソーシング機能を引き続き提供する適切な移行期間を設定する。

各機関から要求された場合は、別のサービス プロバイダーへの譲渡を可能にするために、サブスクリプション期間を短期間延長できます。

(c) アウトソーシング契約を解除した場合に、当該機関または支払い機関が機能を秩序立てて譲渡できるようにサポートするサービス プロバイダーの義務を含める。

上記 58 行目と 59 行目をご参照ください。