この「データ保護および情報セキュリティにかかるポリシー」は、顧客データの取り扱いに関わる、AvePoint の情報セキュリティの中核的な標準手順を表明するものです。当社の情報セキュリティ プログラムは、適切な情報セキュリティを実現することを目的とした組織的環境を整備し、実施し、維持するための体系的なアプローチです。AvePoint は、すべてのお客様とのやり取りにおいて、情報プライバシーを尊重し、コミュニケーションの透明性を確保することを目標としています。

1. AvePoint のデータ分類方法

1.1 AvePoint のデータ分類および定義

管理者データ

「管理者データ」とは、AvePoint サービスの登録、購入、管理の際に提供された管理者に関する情報 (氏名、電話番号、e-メールアドレス等) を指します。また、お客様が選択するコントロールなど、お客様のアカウントに関連する集計された使用情報・データも含まれます。当社は、サービスの提供、取引の完了、アカウントの点検、不正行為の検出・防止等を目的として、管理者データを使用します。

顧客データ

「顧客データ」とは、お客様の環境に存在する、すべてのオブジェクトやコンテナを含むすべてのデータを指します。例えば SharePoint のサイト コレクション、リスト、ライブラリ、Exchange のメールボックスのほか、Exchange Online のメール本文と添付ファイル、SharePoint Online サイトのファイル コンテンツ、インスタント メッセージ (IM) の会話履歴等を一部含む顧客データのサブセットであるお客様コンテンツも含まれます。

構成データ

「構成データ」とは、お客様またはその代行者により提供された情報であり、バックアップ設定、サービス リクエスト、オブジェクト/コンテナの範囲な ど、アプリケーションを特定または構成するために使用されます。ただし、それらのコンテンツやユーザー IDは含まれません。「構成データ」 の例としては、サイト コレクションの URL、管理者のユーザー ID、サービス リクエスト (および該当する場合は、リクエスト元、テンプレート、設定などのメタデータ) 等があります。オブジェクト メタデータは、オペレーションを円滑にし、トラブル シューティングを行うために AvePoint のグローバル システム間で共有されることがありますので、お客様は個人データやその他の機密情報をオブジェクト メタデータに含めないでください。

アカウント・支払データ

「アカウント・支払データ」とは、お客様とのお取引関係を維持するためにAvePoint が収集するデータです。これには、お客様が AvePoint で購入をする際に提供する情報が含まれます。AvePoint はクレジットカードによる支払いを直接処理しません。すべてのクレジットカードによる支払は、PCI コンプライアンスに責務を持つ第三者機関によって処理されます。

個人データ

「個人データ」とは、特定された、または特定できる自然人に関係するあらゆる情報を意味します。つまり、「個人データ」とは、特定の個人に関連するあらゆるデータを意味します。お客様のエンドユーザーの氏名、連絡先情報など、当社の製品・サービスの使用を通じてお客様から提供される個人データは、「アカウント・支払データ」にも該当する場合があります。しかし、「個人データ」には、当社のサービスが各ユーザーに割り当てるユーザー IDなど、「アカウント・支払データ」に該当しないデータが含まれる場合があり、このような 「個人データ」は、それのみでは個人を特定できないため、ペンネームとみなされます。

サポート・コンサルティング データ

「サポート・コンサルティング データ」とは、サービスまたはサポートを受けるための AvePoint との契約を通じ、お客様やその代行者から AvePoint に提供される (またはお客様がオンライン サービスから AvePoint に許可する) 、すべてのテキスト、音声、ビデオ、画像ファイル、ソフトウェアなどのあらゆるデータを意味します。電話、チャット、e-メール、ウェブ フォームで収集された情報も含まれる場合があります。問題の内容、サポートとして問題を解決するために AvePoint に転送されたファイル、自動トラブルシューター、またはお客様の許可を得た上でのお客様のシステムへの遠隔アクセスなどが含まれます。管理者データや支払データは含まれません。

データ保管と場所のマトリックス表


*注1:バックアップおよびアーカイブを本質とするクラウド アプリケーション (例: Cloud Backup、 Cloud Archiving) では、お客様の指示の下、お客様が指定するデータセンターにある暗号化対応の Azure Storage に顧客データをコピーします。保存されたバックアップデータは、さらにアプリケーションによって、テナントごとに固有のキーで暗号化されます。AvePoint の従業員は、ストレージ内の暗号化されていないコンテンツにアクセスすることはできません。加えて、お客様独自の暗号化キー (BYOK) とストレージ(BYOS) を使用することができます。

*注2: tyGraph は分析のためにお客様のYammer 投稿からコンテンツを収集します。データ収集範囲には、ドキュメント及び Email のコンテンツは含まれません。データは転送中の場合、Microsoft 社の要求事項を満たす TLS1.2 によって暗号化され、保存データは Microsoft Azure 標準に従い AES 256 に従い暗号化されています。

*注3: US政府向けに AOS 環境の独立性を確保する必要がある場合 (US FedRAMP及び21V)、これらの国の居住者のみが Cloud Ops 及びサポート業務を提供します。


原則 AvePoint 製品を試用、購入、使用、サブスクリプションする場合や当該製品に関するサポートやサービスを受ける場合、AvePoint はサービスの提供 (サービスの提供に伴う利用も含む)、製品の最大限のエクスペリエンスの提供、事業の運営、お客様とのコミュニケーションのためにデータを収集します。例:

  • AvePoint の営業担当者と連絡を取る際、今後の連絡手段として、お客様の氏名、連絡先、お客様の組織に関する情報を収集します。
  • AvePoint のサポート担当者とやり取りする際、問題を診断し解決するために、デバイスデータ、使用状況データまたはエラー レポートを収集する場合があります。
  • 製品の代金を支払う際、支払い手続きのために連絡先および支払いに関するデータを収集します。
  • AvePoint がお客様にコンタクトする場合、データを利用して通信内容をお客様に即した内容とします。
  • AvePoint とサービス契約をする場合、お客様が指定した窓口の氏名および連絡先のデータを収集し、お客様からの情報を使用して必要とされるサービスを行います。

1.2 AvePoint のデータ管理方法

お客様自身によるデータの所有

顧客データは、合意に基づくサービスを提供するためにのみ使用されます。お客様がサービスから離れた場合も、お客様が引き続きデータを所有できるようにするために必要な措置を講じます。

データの保管場所

データの保管場所は、「データ保管と場所のマトリックス表」で説明されているデータの具体的な性質によって異なります。

1.3 データのアクセス権者

第一に、アクセス権はお客様にあります。AvePoint は、外部または内部からの権限のない者による不正なアクセスや使用から顧客データを保護し、お客様同士のデータにアクセスすることを防止するために、強力な対策を講じています。AvePoint のオペレーション・サポート担当者は世界各地に配置されており、365 日 24 時間、適切な人員が対応できるようにしています。当社はサービス業務の大部分を自動化し、人の手が介在する部分はごく一部に限られています。詳細は、「データ保管と場所のマトリックス表」でご確認ください。

1.4 AvePoint では、第三者(特に政府当局の取締機関や諜報機関など)からのアクセス要求にどのように対応していますか?

第三者からのデータへのアクセス要求があった場合、AvePoint は、有資格者により法的な評価をしたうえで、かかる要求によりデータの影響を受ける顧客に対し速やかに通知します。顧客データへのアクセスまたは開示は、AvePoint の法的評価により、適用性および有効性について法的根拠があり、その根拠に基づいて要求を許可する必要があると判断された場合にのみ許可されます。アクセスまたは開示は、法的効力が及ぶ最小範囲に限定されるものとします。さらに、AvePoint は、要求事案によっては、訴訟または差し止め請求等を含め、アクセス要求に対して対応が可能な限りの法的救済措置を講ずるものとします。AvePoint はまた、アクセス要求に対する顧客自身の法的防御に合理的に協力するものとします。

1.5 データの保持と移行

サブスクリプションの解約、終了、満了、またはサブスクリプション契約の終了に伴い、SaaS ソリューションの顧客データは 15 日間(以下「保持期間」という。)保存され、商業的に合理的な期間、要求に応じて AvePoint は顧客がこれを利用できるようにします。保持期間終了後、当該顧客データは AvePoint のサーバから永久的に削除され、お客様ご自身によっても回復することはできません。保持期間終了後、AvePoint は顧客データの保存や完全性に関し、いかなる表明や保証も致しかねます。法律で禁止されていない限り、保持期間終了後に AvePoint が顧客データを保持する義務を負いません。保持期間終了前に顧客が SaaS ソリューションのサブスクリプションを更新した場合、顧客データは引き続き利用可能となります。AvePoint は、文書の保持と廃棄について社内規程を整備しており、規程に従い保持と廃棄のスケジュールを設定しています。

お客様は、保持期間終了前に顧客データのエクスポートや移行について AvePoint に対し以下のサービスを要請することができます。(1) 生成データ エクスポート サービス - 顧客の生成データのコピーを、顧客が選択する別のクラウドストレージ プロバイダーまたはオンプレミスの場所にエクスポート (2) データ 移行サービス - 同一地域内であるか地域を越えているかを問わず、お客様の提供するストレージとお客様が選択する別のストレージ間でのデータ移行支援、または、お客様のオンライン サービス テナントと別のオンライン サービス テナント間でのデータ移行。上記いずれの場合も、そのような要請が合理的に実施可能であるかどうか、そしてどの程度実施可能であるかをAvePoint が事前に評価するものであり、実施可能と AvePoint が判断した場合、AvePoint とお客様間で別途書面による合意がない限り、その時点での適用される料金をもって有料でサービスを実施致します。

2. プライバシーおよび情報セキュリティ

2.1 情報セキュリティ

AvePoint は、機密情報への不正アクセスの脅威を最小限に抑えるような方法で、サービスを実施し提供します。AvePoint は、機密情報のセキュリティと機密性を保護し、当該情報のセキュリティ・完全性に対して想定される脅威または災害から保護するために設計された、管理上、技術上、手続上の対策と物理的な防止策を含む、書面による包括敵な情報セキュリティ プログラムを実施し、維持しています。AvePoint は、以下のような適切なセキュリティ対策を実施しています。(i) お客様から提供されたデータは、送信または保存の際に Advanced Encryption Standard (AES 256) などの現在国内で認知されている業界標準に基づき常に暗号化すること。 (ii) 侵入・脆弱性管理プログラムを維持すること。 (iii) 中央管理、自動更新されるマルウェア対策技術を導入すること。 (iv) ネットワーク リソースへのすべてのアクセスを追跡・監視すること。 (v) データ漏洩を防ぐ適切な技術対策をとること。

2.2 セキュリティ評価

AvePoint は、少なくとも年に一度、本サービスのセキュリティ評価を実施します。セキュリティ評価には、以下のものが含まれますが、これに限られません。(i) ISO 27001:2013 認証または同等のもの (ii) 公開されているシステムまたはウェブサイトのウェブ アプリケーション評価 (iii) その脆弱性テストの概要。

2.3 セキュリティ ログおよびモニタリング

該当する場合、テナントレベルの監査ログを利用してエクスポートすることができます。テナントレベルの監査ログには、必要に応じて以下の内容が含まれます。

  • ユーザー アカウント情報
  • タイム スタンプ
  • ユーザーによる操作 アクション

2.4 構成・変更管理

AvePoint では、すべての変更を本番環境でテストし、変更の承認プロセスを文書化することを含む、文書化された機能的な構成・変更管理プロセスを採用しています。

2.5 セキュリティ啓発トレーニング

AvePoint は、必須の情報セキュリティ トレーニングとセキュリティ啓発プログラムを文書化しています。これには、全従業員を対象とした一般的な啓発トレーニングや、業務に応じたトレーニングが含まれます。

2.6 セキュア コーディング

AvePoint は、 OWASP セキュア コーディング ガイドラインなどのセキュア コーディング ガイドラインを順守しています。

2.7 インシデント・侵害対応プログラム

AvePoint は、セキュリティ インシデントの軽減・検知・対応を行うためのインシデント対応プログラムを導入しており、セキュリティ インシデントの原因を発見・除去・隔離するためのツールも用意しています。

2.8 多要素認証

AvePoint は、顧客のアプリケーションまたはシステムをサポートする AvePoint システムへの管理アクセスに、 (サポートされている) 多要素認証を採用しています。

2.9 第三者ベンダー

AvePoint の第三者ベンダー リスク評価プログラムでは、ベンダーに対して情報セキュリティ・プライバシー、GDPR、デューデリジェンス、コンプライアンスに関するリスク評価アンケートへの参加を求めており、これには SOC II、タイプ 2 または同等の証明書などのセキュリティ証明書のレビューが含まれています。

2.10 職務分掌

AvePoint は、お客様のクライアント データまたは機密情報を管理するすべてのシステム管理ユーザーのロールに対し、適切な「職務分掌」(SOD) の管理を実施しています。すべての SOD は、AvePoint の顧客情報へのアクセスを制限する最小限の権限で構成されており、一人一人の従業員が、他の人員の監視なしに、当社のサービスのハードウェア、ソフトウェア、または処理を操作して詐欺行為や不正な行為を行うことが不可能な事態、状況を確保しています。

2.11 システムのアクセス棚卸

AvePoint は、少なくとも年に一度、基幹システムへのアクセスを付与されたユーザーのアカウントの棚卸と検証を行い、アクセスと権限付与が引き続き適正であるかを確認します。

2.12 セキュリティ ポリシー

AvePoint は、ここに規定された要件を満たす包括的なセキュリティ ポリシーを導入し、これを維持しています。

AvePoint はセキュリティ ポリシーを定期的に見直し、特に適用法の改正、技術の進化や AvePoint の情報システムの変更に従い、そこに記載されたセキュリティ ポリシーおよびコントロールが正確かつ包括的で最新であることを確認しています。

2.13 保護の基準

AvePoint は、AvePoint が自社の機密情報および所有する情報を保護するために払う注意と少なくとも同程度の注意を払い、顧客データの安全性および保護に努めており、いかなる場合も顧客データが合理的な注意を下回る取り扱いを受けることがないよう努めています。

2.14 リスク評価と軽減

AvePoint は、データや事業資産 (例: 施設、機器、デバイス) 、事業プロセス、これらの資産およびプロセスに対する脅威 (内部および外部の両方)、これらの脅威の発生の可能性、および組織に与える影響について、定期的 (少なくとも年に一度) かつ包括的にリスク評価を行い、情報セキュリティ保護措置の適切なレベルを決定します。

AvePoint は、顧客データへの不正アクセス、コピー、使用、処理、開示、変更、転送、損失または破壊につながり得るとしてリスク評価で特定されたリスクを管理・制御・軽減しています。

2.15 組織的なセキュリティ

責任:AvePointでの情報セキュリティ管理の責任は、適切な熟練者および/または管理職員に帰属します。

「知る必要がある」アクセス:AvePoint は、適用されるお客様との契約に基づいて提供されるサービスに関連して使用される情報システムおよび/または顧客データへのアクセスを、割り当てられた役割について十分な技術的専門知識を有する、自らの責務を理解し、セキュリティ違反をした際の影響を理解している人員のみに制限しています。

機密保持:顧客データにアクセスした、またはその他の方法で知ることとなった AvePoint の従業員は、当該情報の機密性を保持するものとします。

2.16 資産管理

データの機密性:AvePoint は、顧客データの機密性を理解しています。

構成管理:AvePoint は、適用される情報セキュリティ基準、メーカーによる推奨事項、および業界のベストプラクティスなど、適切な知識リソースを使用して、すべての情報システムの構成ベースラインを確立しています。AvePoint は、情報システムの使用期間を通じて、確立された構成ベースラインに従って確実に情報システムが構成されているように適切な監視体制を確立しています。

2.17 コミュニケーション・オペレーション 管理

侵入テスト:AvePoint は、少なくとも年に一度、 AvePoint 製品の侵入テストを実施します。

データの暗号化:必要に応じて、AvePoint は、AvePoint が所有または管理する顧客データを暗号化またはその他の技術的手段で保護し、リムーバブルメディアにデータが保存されている場合も含め、保管中に権限のない者によって読み取り、コピー、変更または削除ができないようにするものとします。お客様の判断に基づき、FIPS 140-2 レベル 3 または ISO 19790 レベル 3 に準拠した、あるいは同等の暗号化が、特定のデータに対して要求されます。

送信・転送中のデータ保護:必要に応じて、AvePoint は業界で認められている暗号化アルゴリズムを使用して暗号化し、AvePoint が所有または管理する顧客データが、AvePoint の内部ネットワーク内外で送信・転送中に権限のない者によって読み取り、コピー、変更または削除されないように保護します。

ネットワーク ポート:AvePoint は、顧客データを処理する可能性のある環境への未許可のネットワーク トラフィックを制限しています。

ワイヤレス ネットワーク:AvePoint では、Wifi (別名 802.11) ネットワーク トラフィックを使用する際は AES 暗号化アルゴリズム オプション付きの WPA2 で暗号化されるようにし、顧客データを含むシステムにアクセスする際はサーバーとエンド デバイス間で相互認証を行います。

悪意のあるコード:AvePoint は、顧客データを取り扱いまたは保有する情報システムへの悪意のあるコードの侵入を検知し、お客様へ追加料金を請求することなく、あらゆる顧客データへの不正アクセス、開示または完全性の喪失を防止し、その影響を除去・解消します。

2.18 アクセス制御

権限のあるアクセス:AvePoint は、お客様にサービスを提供するために使用されるビジネス関係のデータをホストする AvePointが使用するすべての内部システムへのアクセスが、アクセスを要求する個人を一意に識別し、最小権限の原則に基づき、権限のある人員にのみアクセスを許可するように、論理的な分離を維持します。

ユーザー アクセス インベントリ:AvePoint は、これらのシステムにアクセス権限のあるすべての人員のリストを正確かつ最新に維持し、個々の人員によるアクセスの移動または終了から 24 時間以内にアクセスを速やかに無効化するプロセスを有しています。

認証情報管理:AvePoint は、対象ユーザーの適切な身元確認を行った上で、安全な方法で認証情報をユーザーに伝達します。パスワードは読み取り可能な形態で保存・送信されません。

ログと監視:AvePoint は、これらの情報システムへのすべてのアクセスについて、追加、変更、削除、およびコピーのログを取り、監視しています。

リモート アクセスにおける多要素認証:AvePoint では、顧客データを含むシステムにリモート アクセスする際、多要素認証と安全なトンネルを使用します。

インターネットに接続されたアプリケーションの多要素認証:AvePoint では、金銭等の指示/取引を許可する、または個人を特定できる情報を表示するインターネットに接続されたアプリケーションのすべてのユーザーに対して、多要素認証を要求します。

2.19 ノート PC、モバイル端末の使用

暗号化の要件:AvePoint は、従業員が使用する、機密性の高い顧客データを含むノート PCまたはモバイル端末 (携帯電話等) を、業界で認められている 256 ビット以上の暗号化 AES (または同等のもの) を用いた暗号化アルゴリズムを使用して暗号化します。

安全な保管:AvePoint では、担当者がすべてのノート PC およびモバイル端末を直接所持していないときは、安全な場所に保管することを義務付けています。顧客データを含むノート PCまたはその他のモバイル端末を紛失または盗難された場合、AvePoint は速やかにお客様に通知します。

ネットワーク/システムパスワードの保管:AvePoint は、ノート PCまたはその他のモバイル端末 (携帯電話等) を使用して、顧客システムまたは顧客データを取扱いまたは保有するその他のシステムへのアクセスを可能にするネットワークまたはシステムパスワードを保管することを禁止します。ただし、かかるパスワードが暗号化されている場合は除きます。

リモートワイプ/非アクティブ時のタイムアウト:AvePoint は、AvePoint の従業員が使用するすべてのノート PC、デスクトップおよびモバイル端末に、アクセスとパスワード制御、ならびに 30 分以下の非アクティブ時のタイムアウトを採用しており、紛失、盗難または元従業員が所有するモバイル端末から顧客データを直ちにリモートで削除できるようにしています。

ノート PC・モバイル端末:AvePoint は、上記の要件を満たしていないノート PC・モバイル端末で顧客データへアクセスすることを禁止しています。

2.20 情報システムの取得・開発・保守

上記のデータ保管と場所のマトリックス表に示されるように、AvePoint の従業員は顧客データにアクセスすることはありません。ただし Cloud Backup の場合などで、お客様と特別に個別契約を締結した上で、当該契約の目的に限って AvePoint が顧客データをアプリケーションによって処理する場合があります。そのような場合であっても、以下の事項は順守されます。

  • お客様の本番データを他の目的 (QAテスト、開発テスト、ユーザー アクセプタンス テスト領域 (UAT)、トレーニング、デモンストレーションなど) に使用することはありませn。
  • 本番環境は、その他の非本番環境 (開発環境、UATなど) とは別の環境と分けられます。

ソフトウェアのパッチ適用:AvePoint は、顧客データを取り扱ったり保有したりするシステム上のすべてのコンピュータ ソフトウェアを定期的に更新し、パッチを適用します。「クリティカル」または「高」と評価された脆弱性については、脆弱性を軽減する他の管理策がとられていない限り、パッチが利用可能になってから 30 日以内にパッチを適用します。

ウイルスおよびその他のマルウェア管理:AvePoint は、少なくとも 24 時間ごとに更新されるウイルス シグネチャを含む最新バージョンのソフトウェアを使用して、顧客データを取り扱ったり保有したりする AvePoint のシステムに対してウイルスおよびその他のマルウェア (スパイウェア等) からの保護を提供します。

2.21 インシデント イベントおよびコミュニケーション管理

インシデント管理/侵害の通知:AvePoint は、第三者が顧客データまたは顧客データを含むシステムもしくはアプリケーションへ不正アクセスを行った疑いがある場合、またはそれを検知した場合に取るべき行動を規定したインシデント対応計画 (以下「対応計画」) を策定および実施しています。

対応計画には以下の内容が含まれます。

  • インシデントの報告:AvePoint は、AvePointが入手した、あるいは今後入手する可能性のある、不正アクセスの一般的な状況と範囲に関する詳細情報(顧客の個人情報のカテゴリー、影響を受けるデータ主体の数や身元のほか、顧客データを保護し、必要な調査に向けて情報を保存するために取られた措置を含むが、これらに限られない)を速やかにお客様に提供するよう努めるものとする。
  • 調査と予防:AvePoint は、そのようなアクセスを調査し再発防止するために合理的な努力を行いお客様を支援します。また、(i) お客様による不正アクセスまたは不正使用に起因する法的通知またはお客様やそのクライアントに適用されるその他の法的義務の遵守および差止命令その他の衡平法上の救済を求める努力に協力し、かつ (ii) 不正アクセスの再発防止し、損失を軽減するために必要となるあらゆる合理的行動を迅速に取るよう努めます。
  • 従業員のトレーニングおよび守秘義務:AvePoint では、すべての従業員がインシデントに対して適切な対応を行うための手順および条件を完全に理解できるよう、強固なポリシーおよび実施手順を設けています。Ave Point は、顧客データの不正な所有、使用、知得やそれらの疑いが生じたか、Ave Point のセキュリティ対策の失敗、セキュリティ・ポリシーの実施や遵守をし損なうことがないよう、厳格な守秘義務を徹底します。

2.22 アクセスの制限

顧客データへのアクセスをお客様が管理している場合に、AvePoint の従業員がアクセスを必要としなくなったか、何らかの理由で不許可となった際に、AvePoint は、当該アクセスが不要または不許可となった日の少なくとも 24 時間前までに書面でお客様に通知するよう努めます。ただし、緊急の事情で当該アクセスが削除された場合は、24 時間前の通知が不可能であるためにこの限りではありません。そのような場合は、AvePoint はアクセスが削除されることを知った時点で直ちにお客様に通知するものとします。上記にかかわらず、AvePoint の従業員が解任された場合、お客様の業務に積極的に従事しなくなった場合、従業員でなくなった場合、AvePoint は、当該従業員によるお客様のシステムおよび施設へのアクセスを直ちに停止するものとします。機器、文書または情報などを含むすべてのお客様の資産は、お客様との業務が終了した時点で返却されます。

AvePoint は、以下の事項に努めます。

  • AvePoint は、お客様が実施するセキュリティ対策にすきがあることを発見した場合、速やかにお客様に通知します。
  • お客様の施設でのサービスの実施に関連して、お客様のセキュリティ対策の不備または顧客データに関するセキュリティ侵害を認めた場合、速やかにお客様に通知します。
  • そのようなセキュリティやセキュリティ対策の不備に関して、法律上の開示義務の制約下で、第三者に対する守秘義務を守ります。

コンピュータ、ソフトウェア、機密情報、通信機器などのお客様の資産は、お客様の業務に関係のない活動には使用されません。お客様との連絡のために割り当てられた全てのモバイル端末について、 AvePoint の従業員が所持する場合は常に所持し、その他の場合は常に安全な場所に保管します。お客様のネットワークには、承認された接続 (ASG、SSL VPNなど) を通じてしかアクセスしません。

本ポリシー及び個別の適用されるお客様との契約に反する規定にもかかわらず、AvePoint が各適用される契約に基づく義務を履行するために顧客データをコピー(紙、電子的、またはその他の形式にて)、輸送、送信、転送、またはその他の移動をしなければならない場合、AvePoint は、このようなコピーまたは移動された顧客データが、常にお客様の敷地内および場合によってはお客様のネットワーク内にある場合に限り、これを行うものとします。いかなる場合においても、AvePoint は事前の許可なく顧客データをお客様の敷地内またはネットワークから取り出すことはありません。加えて、AvePoint では従業員が以下の行動をとることを禁止しています。

  • お客様の情報資産に権限の無い状態でのアクセスの試みを開始または助長すること。
  • お客様データまたは知的財産を、個人の e-メールアカウントまたはその他の個人アカウント (クラウド ストレージ アカウント、公共の場所、ソーシャル メディア サイト、ヘルプ フォーラムまたはブログを含むがこれらに限定されない) に保存または送信すること。
  • 顧客データまたは知的財産を、リムーバブル データ デバイスにコピー、ダウンロードまたは保存すること。ただし、お客様が許可した場合で、かつデバイスが暗号化され、お客様が承認した場合を除く。
  • お客様の認証情報 (ユーザーID・パスワード) やトークンを他人と共有すること、またはお客様の認証情報をお客様以外のアカウントに使用すること。

3. 人員管理・プライバシー・コンプライアンス

3.1 バックグラウンド チェックとセキュリティ クリアランス

AvePoint の担当者は、施設・システムへのアクセスの運用基準及び実施手順、ユーザー識別・パスワード管理、企業情報・セキュリティ・データ保護、プライバシーに関するものを含む、お客様のポリシーと規則を遵守します。これはお客様の施設、システムまたは顧客データへのアクセスを提供される条件として AvePoint に適宜通知され、書面上で承諾したものとします。AvePoint は、お客様のセキュリティ システムを破壊、無視、または回避しようとしたり、本ポリシーに従ってお客様が許可した以外の方法で、顧客データへのアクセスを取得または取得しようと試みたりしないものとし、AvePoint の従業員がこのようなことを行わないようにします。

AvePoint の独自の裁量により、実施するサービスの機密性や、当該従業員の過失または不正行為によってお客様または第三者に生じる損害のリスク・重大性を考慮して、サービスを実施する役割の従業員や、その他、顧客データにアクセスする従業員は、 AvePoint またはその代行者による業界標準に沿った適切な雇用前の身元調査の対象となる場合があります。お客様から書面による要請があった場合、適用されるデータ保護規制の制約下で、AvePoint は独自の裁量で、当該従業員に対して身元調査が実施されたことを示す証拠 (サービスに対する請求書など) を公開します。

3.2 物理的安全

物理的に安全な施設の確保: AvePoint は、AvePoint の社内システムを物理的に安全な環境で維持し、許可された個人のみにアクセスを制限し、不正なアクセスまたはアクセスの試みを検知し、セキュリティ ポリシーの違反およびインシデントを経営陣に報告します。安全な環境には、すべての関連する場所 (建物、コンピュータ施設、記録保管施設を含むがこれに限定されない) に対する 365日 24時間のセキュリティ担当者による統制または管理状況を監視するための同等の手段が含まれます。

3.3 個人データ

コンプライアンス:該当する範囲において、AvePoint は、適用される全ての法律、規則、規制、条例、指令、決定および規範 (関連するデータ保護法、プライバシー法を含むがこれに限定されない) に準拠した方法で、顧客データ内の個人データを保持し、処理し、取り扱い、アクセスし、その他の方法で利用し、本ポリシー上の義務を履行します。

グローバル データ保護とプライバシー:(i)「処理者」としてAvePoint が、「管理者」 (GDPR 第 4 条に規定) としてのお客様に代わって「個人データ」を処理し、かつ (ii) お客様が EEA またはスイスに設立されている場合や、 EEA またはスイスに所在する「データ主体」の「個人データ」を、AvePoint がお客様またはお客様の関連会社に代わって処理する場合に限り、「両当事者」 は、当該処理が EU データ保護法 (DPA 内で規定) を含む適用法に従って行われることを保証する目的で、AvePoint のデータ処理付属書 (「DPA」) の条件を遵守し、成就させ、履行するものとします。本項で使用されるカギ括弧内の用語は、適用される DPA で規定され、本項または当該 DPA で規定されていないカギ括弧内の用語は、AvePoint とお客様との間の適用される契約において規定される用語と同じ意味を有するものとします。

より詳細には、Trust Center のサイトをご覧ください。




v1.7 2023 年11 月