Smartsheetセキュリティ慣行

英語版の優越

このセキュリティ慣行の英語版以外の翻訳版は、あくまで便宜のために提供されるものです。現地の法律で禁止されていない限り、翻訳版に曖昧な部分や矛盾がある場合には、英語版の規定が優先します。

 

Smartsheetは、お客様がオンライン サービスを利用する際に、ご自分のデータがどのように保護され、安全が確保されているかについて知る必要があることを理解しています。本Smartsheetセキュリティ慣行は、情報セキュリティの脅威からオンライン サービスおよびお客様コンテンツの安全、完全性、および秘匿性を保護するよう策定され、Smartsheetが適用する物理的、組織的および技術的対策を含む業務慣行および安全対策について記載するものです。

 

1. 一般条項。

1.1 情報セキュリティ プログラム。Smartsheetは、書面による包括的な情報セキュリティ プログラムを維持するものとします。これには、ポリシー、基準書、手順書をはじめ、お客様コンテンツの処理およびセキュリティに適用される、かつサービスの提供に関連してお客様コンテンツを処理するまたは安全を確保するために使用されるSmartsheetのシステムまたはネットワーク(以下「Smartsheet情報システム」といいます)に適用される、基準、手段、方法、および措置を定めた関連文書が含まれます。

1.2 秘密保持、トレーニング。Smartsheetは、Smartsheet社員に対し以下を確実に行います。(a)Smartsheet社員は、お客様コンテンツに関し、本契約の規定と実質的に同程度で守るべき秘密保持義務に拘束され、および(b)お客様コンテンツの処理に関連する適切なトレーニングを受講します。

1.3 定義

  • 1.3.1「本契約」とは、お客様によるオンライン サービスへのアクセスおよびその利用について定める契約を意味します。
  • 1.3.2「お客様」とは、注文を締結または承諾する、またはサービスの無料トライアル アクセスおよび利用を登録しかつ本契約を締結している個人または事業体を意味します。
  • 1.3.3「お客様コンテンツ」とは、お客様またはユーザーがオンラインでサービスにアップロードまたは送信し、かつお客様に代わってSmartsheetが処理する、あらゆるデータ、添付ファイル、テキスト、画像、レポート、個人情報、またはその他のコンテンツを意味します。
  • 1.3.4「処理」とは、自動化された方法によるか否かを問わず、お客様コンテンツについて実行する業務または一連の業務を意味し、これには収集、記録、整理、構造化、保管、修正、変更、検索、参照、使用、調整、制限、消去、破棄、または送信による開示、頒布、またはその他の方法で利用可能にすることが含まれます。
  • 1.3.5「セキュリティ侵害」とは、偶発的または違法な破壊、喪失、改ざん、不正な開示、またはお客様コンテンツへのアクセスに起因して生じたセキュリティ侵害を意味します。
  • 1.3.6「サービス」とは、サブスクリプション サービス、およびサブスクリプション サービスで使用するためにSmartsheetが提供または管理するオンラインでのその他のサービスまたはアプリケーションを意味します。
  • 1.3.7「Smartsheet社員」とは、お客様コンテンツを処理することをSmartsheetが認めた個人を意味します。
  • 1.3.8「サブスクリプション サービス」とは、Smartsheetが提供または管理するサブスクリプション ベースのオンライン サービスおよびアプリケーションを意味します。
  • 1.3.9「ユーザー」とは、本契約の条件に基づいてオンライン サービスにアクセスし、これを利用いただくことをお客様または別のユーザーが承認したまたは招待した個人を意味します。

 

2. セキュリティ管理。Smartsheetは、当社の情報セキュリティプログラムに従って、(a)Smartsheetが処理するお客様コンテンツの安全性、完全性および機密性を確保し、および(b)お客様コンテンツを既知のまたは合理的に予想される脅威または危険(お客様コンテンツの安全または完全性に対する脅威または危険、偶発的な損失、改ざん、開示、およびその他違法な形式の処理を含みます)から保護するよう策定された、適切な物理的、組織的、および技術的な管理を実施するものとします。上記を制限することなく、Smartsheetは、必要に応じて次の管理を適用します。

2.1 ファイアウォール。Smartsheetは、インターネット経由でアクセス可能なデータを保護するためにファイアウォールをインストールし、維持します。

2.2 更新。Smartsheetは、Smartsheet情報システムを最新のアップグレード、アップデート、バグ修正、新バージョン、およびその他の変更に対応した最新状態に保つためのプログラムおよびルーチンを維持します。

2.3 マルウェア対策。Smartsheetは、マルウェア対策ソフトウェアを実装および使用し、かつこれを最新状態に保ちます。Smartsheetは、マルウェア対策ソフトウェアを使用して、すべてのウイルス、スパイウェア、および検出されたまたは合理的に検出されるべきその他の悪意あるコードによる脅威を低減します。

2.4 テスト。Smartsheetは、セキュリティ システム、プロセス、および管理事項を定期的にテストし、本セキュリティ慣行の要件を満たしていることを確認します。

2.5 アクセス制御。Smartsheetは、以下を遵守しつつ、Smartsheet情報システムが処理するお客様コンテンツの安全を確保します。

  • 2.5.1 Smartsheetは、Smartsheet情報システムにアクセスできるSmartsheet社員に一意のIDを割り当てます。
  • 2.5.2 Smartsheetは、Smartsheet情報システムへのアクセスを、本契約で許可されている特定の義務を遂行するために必要なSmartsheet社員のみに制限します。
  • 2.5.3 Smartsheetは、Smartsheet情報システムにアクセスできるSmartsheet社員およびサービスのリストを定期的に(少なくとも90日に1回)確認し、アクセスが不要になったアカウントを削除します。
  • 2.5.4 Smartsheetは、メーカー提供の初期値をいかなるオペレーティング システム、ソフトウェア、またはSmartsheet情報システムにおいてもそのシステム パスワードとして使用せず、ベスト プラクティス(以下で説明)と同等またはそれ以上の強度のシステム強制の「強力なパスワード」の使用を必須とし、およびすべてのパスワードおよびアクセス認証を秘密に保ち、Smartsheet社員間で共有させません。
  • 2.5.5 Smartsheetの本番環境パスワードは、最低限次のとおりとします。(1)8文字以上、(2)過去に使用したパスワード、ユーザーのログイン名、または一般的な名称と一致しない、(3)アカウント侵害が疑われる、または推測される場合は必ず変更する、および(4)定期的に変更する。
  • 2.5.6 Smartsheetは、間違ったパスワード入力が特定の期間に所定の回数を超えて試行された場合、お客様コンテンツを処理するアカウントを無効化し、そのアカウントを強制的にロックします。
  • 2.5.7 Smartsheetは、Smartsheet情報システムにアクセスできるSmartsheet社員が使用するすべてのアカウントおよびユーザー認証のログ データを維持し、悪意ある動作または不正アクセスの兆候がないか定期的にアクセスログを確認します。

2.6 ポリシー。Smartsheetは、Smartsheet社員を対象に、ログ ポリシー違反を検知する方法を含め本セキュリティ慣行に定める基準を満たす、適切な情報セキュリティ ポシリー、秘密保持ポリシー、および利用規約ポリシーを維持し、実施します。

2.7 開発。Smartsheet情報システムは、開発環境およびテスト環境からそれぞれ隔絶されます。

2.8 削除。Smartsheetは、少なくとも米国国立標準技術研究所(National Institute of Standards and Technology(NIST))のSP 800-88リビジョン1の推奨事項(または業界で広く使用されている後継規格)に準拠した手順を使用して、媒体を廃棄する前にお客様コンテンツを回復不能なものにします。

2.9 暗号化。Smartsheetは、承認されたアルゴリズム、鍵長要件、およびNISTの推奨事項を含め、その時点で最新の業界標準と一致するかそれ以上の水準の鍵管理プロセスを義務付ける暗号化標準を適用し、SANS Institute、NIST、またはCenter for Internet Security(CIS)の推奨事項を含め、その時点で最新の業界標準の手法に一致する要塞化要件および構成要件を適用します。Smartsheetは、これらの標準に従いオンライン サービス内で保存されているお客様コンテンツを暗号化し、お客様コンテンツの転送では、オンライン サービスへの暗号化された接続のみを許可します。

2.10 リモート アクセス。Smartsheetは、当社の保護された全社環境または本番環境の外部から行われるSmartsheet情報システムへの、またはSmartsheetの全社または開発ワークステーション ネットワークへのアクセスには、VPNや多要素認証などの適切な接続制御が確実に要求されるものとします。

 

3. 第三者の使用。

3.1 一般条項。本契約に基づきSmartsheetが起用する第三者は、本セキュリティ慣行で適用および要求される安全水準と実質的に類似した安全水準を(最低でも)維持するものとします。

3.2 データホスティング。Smartsheetは、Smartsheetがお客様コンテンツを処理するために起用する第三者のホスティングプロバイダー(以下「サービスとしてのインフラストラクチャー」または「IaaS」といいます)が、次の要件を満たすよう確実にします。

  • 3.2.1 基本要件。Smartsheetは、IaaSプロバイダーが、少なくとも(a)本セキュリティ慣行第2.5条の定めに従い適切な物理的セキュリティおよびアクセス制御を維持し、(b)専門的なHVACおよび環境制御を使用し、(c)専門的なネットワークまたは配線環境を使用し、(d)専門的な火災検知機能または消火機能を使用し、および(e)包括的な事業継続計画を維持するよう確実にします。
  • 3.2.2 年次監査、評価。年次で個別リスク評価および独立監査を実施します。この評価および監査のレポートは、Smartsheetに提出されます。また、法律で義務付けられる場合は、お客様に提供されます。ただし、Smartsheetは、IaaSのセキュリティ慣行に関係のないすべての商業的および秘密情報または規定を削除する場合があります。さらにSmartsheetは、重要なIaaSの年次レビューおよび評価を実施して、少なくともセキュリティ対策が本セキュリティ慣行の要件を満たしていることを検証するものとします。
  • 3.2.3 拡張要件。高可用性の冗長(「N + 1」)データ センターの要件および機能を整備して、複数のコンポーネントがそれぞれ少なくとも1つの独立したバックアップ コンポーネントを備えることにより、システム障害が発生した場合でもシステム機能が許容可能な稼働水準で継続するようにします。

 

4. システムの可用性。Smartsheetは、災害発生後にサブスクリプション サービスの可用性を回復するように設計された災害復旧プログラムを維持します(または、第三者が管理するシステムについては、当該第三者に維持させることを確実にします)。 災害復旧プログラムには、少なくとも次の要素が含まれます。(a)喪失または破損したデータを復旧させる目的でお客様コンテンツの保存用コピーを定期的にプログラム(ユーザーの指示ではなく)で作成する手順の定期的検証、(b)Smartsheetの重要な情報システムをすべて記載し、少なくとも年次で更新される棚卸一覧、(c)災害復旧プログラムの年次の見直しおよび更新、および(d)災害復旧手順および当該手順に記載されるサービスの復旧可能性を検証することを目的とした災害復旧プログラムの年次テスト。

 

5. セキュリティ侵害。

5.1 手順

  • 5.1.1 Smartsheetは、セキュリティ侵害の検知について認識した場合、不当な遅滞なく書面でお客様に通知します。
  • 5.1.2 Smartsheetは、Smartsheetのセキュリティ インシデント ポリシーおよび手順(以下「侵害管理」といいます)に従い、セキュリティ侵害を調査し、必要に応じて低減または是正を行います。
  • 5.1.3 Smartsheetの法的義務に従い、Smartsheetは、インシデントの性質、開示された特定の情報(わかっている場合)、関連する低減策または是正策を含め、侵害管理の結果Smartsheetに入手可能となる情報(以下「侵害情報」といいます)をお客様に提供し、セキュリティ侵害の結果生じる、適用法に基づくお客様の義務をお客様が遵守できるようにします。
  • 5.1.4 お客様がインシデント情報に加えてセキュリティ侵害に関連する情報を必要とする場合は、お客様の費用負担および書面での要求により、お客様が自ら追加情報にアクセスできない範囲において、Smartsheetは、当該追加情報の収集および獲得を図るお客様の要求に従い、合理的な協力を提供します。

5.2 失敗に終わった試み。失敗に終わった攻撃または侵入は、本第5条「失敗に終わった攻撃または侵入」におけるセキュリティ侵害ではありません。「失敗に終わった攻撃または侵入」は、お客様コンテンツへの不正なまたは違法なアクセスをもたらすものではありません。この事例として、pingやファイアウォールまたはエッジ サーバーを攻撃するその他のブロードキャスト攻撃、ポート スキャン、ログオン試行の失敗、サービス拒否攻撃、パケット スニッフィング(またはIPアドレスまたはTCPヘッダー、 UDPヘッダーを超えるアクセスをもたらさないトラフィック データへのその他の不正アクセス)、または類似のインシデントが含まれる場合がありますが、これらに限定されません。

5.3 お客様またはユーザーの関与。お客様の構成設定の結果生じるお客様コンテンツへの不正なまたは違法なアクセス、ユーザーのログイン認証の侵害、またはお客様またはユーザーによるお客様コンテンツの意図的なまたは不注意による共有または開示は、セキュリティ侵害ではありません。

5.4 通知。もしセキュリティ侵害が生じ、これについて通知が行われる場合は、Smartsheetが選択した合理的な手段(電子メールを含む)により、1名または複数名のお客様のSysAdminユーザーに通知されるものとします。お客様は、オンライン サービスに関連する正確な連絡先情報を常に維持する単独責任を負います。

5.5 免責事項。本第5条におけるセキュリティ侵害について報告または対応するSmartsheetの義務は、セキュリティ侵害に関するSmartsheetの過失または責任をSmartsheetが認めるものではありません。

 

6. 監査および報告。

6.1 監視。Smartsheetは、さまざまな監査、リスク評価、およびその他の監視活動を実施することにより、継続的に情報セキュリティ プログラムの有効性を監視して、セキュリティ対策とセキュリティ管理の有効性を確保します。

6.2 監査レポート。Smartsheetは、外部監査人を使用して、サブスクリプション サービスを含め特定のサービスのセキュリティ対策とセキュリティ管理の適切性を検証します。この監査は、(a)前回の測定期間終了後の測定期間全体に関するテストが含まれ、(b)AICPA SOC2基準、またはAICPA SOC2と実質的に同等のその他の代替基準に従って実施され、(c)Smartsheetの選択および費用による独立した第三者のセキュリティ専門家によって実施され、および(d)Smartsheetの秘密情報となるSOC2レポート(以下「監査レポート」といいます)が作成されます。監査レポートは、本契約または相互に合意した秘密保持契約の秘密保持義務に服することを条件として、書面による要求に応じて年に1回を上限としてお客様に提供されます。疑義を避けるために明記すると、各監査レポートでは、その監査レポートが発行された時点で存在していたサービスの記載に限られ、その後にリリースされたサービスについては、監査レポートの対象となる場合には、次回の年次監査の監査レポートに記載されます。

6.3 侵入テスト。Smartsheetは、外部のセキュリティ専門家を使用して、サブスクリプション サービスを含む特定のオンライン サービスの侵入テストを実施します。このテストは、(a)少なくとも年次で実施され、(b)Smartsheetの選択および費用による独立した第三者のセキュリティ専門家によって実施され、および(c)Smartsheetの秘密情報となる侵入テストレポートが作成されます。侵入テスト レポートは、本契約または相互に合意した秘密保持契約の秘密保持義務に服することを条件として、書面による要求に応じて年に1回を上限としてお客様に提供されます。

6.4 お客様側の監査。お客様が適用法を遵守するための情報を、監査レポートおよび侵入レポートの他にも法的に必要とする場合は、お客様の費用負担および書面での要求により、お客様が自ら追加情報にアクセスできない範囲において、Smartsheetは、Smartsheetによるお客様コンテンツの処理に関してお客様が実施する第三者監査人による必須監査(以下「お客様側の監査」といいます)について、これを許可し、協力を行います。ただし、以下が条件となります。

  • 6.4.1. お客様側の監査の監査人、監査予定日、および予定範囲を記載した合理的な事前通知をSmartsheetに提供すること。
  • 6.4.2 Smartsheetがお客様への通知によって当該監査人を承認すること。この承認は、不当に差し控えないこととする。
  • 6.4.3 お客様側の監査の実施中、Smartsheetの敷地建物、設備、または業務に危害、傷害、または混乱を引き起こさないようにお客様および監査人が行動すること。
  • 6.4.4. お客様は、監督当局によって別途要求されない限り、お客様側の監査を各暦年で1回のみ実施すること。

 

 

最終更新日:2021年10月5日