最終更新:7月22、2025
目的:
本補足契約は、LOGICMONITOR(以下「当社」)とお客様(以下「お客様」)との間のマスターサービス契約を補足するものであり、お客様が当社のオンライン利用規約に同意し、EU規則2022/2554(DORA)に基づく規制に直接従う場合にのみ適用されます。お客様がDORAの直接的な規制を受けていない場合は、本補足契約は適用されません。ただし、LOGICMONITORは、お客様のDORA関連コンプライアンス活動を支援するために、商業的に合理的な範囲で情報および文書を提供するよう努めます。
- 定義
- 適切な保証メカニズム: 当社が維持し、お客様に提供する、当社の ICT システムおよび当社が処理する個人データの機密性、整合性、可用性を証明するための一連の独立した第三者による評価、レポート、認証、および証明。これには、お客様のデータのセキュリティ、可用性、機密性、処理の整合性、プライバシーを網羅した SOC 2 タイプ II レポート、当社の情報セキュリティ管理システムが国際的なベスト プラクティス要件を満たしていることを示す ISO/IEC 27001:2013 認証、表 2 – 該当する第三者監査に記載されている評価と認証、および欧州銀行監督機構 (EBA) の ICT およびセキュリティ リスク管理に関するガイドライン (EBA/GL/28/5 § 2022) の比例原則に沿った、規則 (EU) 2554/2019 (DORA) の第 02 条 (5.3) に基づき同等であると当社が判断する、業界で認められた追加のフレームワークまたは認証が含まれます。
- 可用性ゾーン(AZ): 1 つの AZ で障害が発生しても別の AZ で障害が発生しないように設計されたデータ センターまたはデータ センター グループ。
- 重要なICTサードパーティサービスプロバイダー(CTPP): DORA に基づき欧州監督当局によって重要とみなされる ICT サービス プロバイダー。
- 重要な下請け: ICTサードパーティサービスプロバイダーが、サービスを提供する金融機関の重要または重要な機能、もしくはその重要な部分を支援するICTサービスをさらに下請けする契約。このような下請けは、規則(EU) 30/2 (DORA)第2022条(2554)(a)および関連するICT下請け規則に関する委員会委任規則に規定されている、強化されたデューデリジェンス、リスク評価、および契約上の要件の適用対象となります。これらのサービスは、その中断により金融機関の業務のセキュリティまたは継続性が損なわれる可能性があります。
- DORA: EUのデジタル運用レジリエンス法(規則(EU)2022/2554)、金融セクター向けの包括的なレジリエンスフレームワークを確立します。
- DORA監査 or DORA検査DORA に基づいて管轄当局が実施する監査または検査。
- 撤退計画 or 整然とした退出窓: 現実的かつ実現可能なシナリオでサービスを移行できるようにするために当社が実行するアクション プランです。
- ICT: 情報通信技術。
- ICTリスク当社の ICT システムおよびサービスの機密性、完全性、可用性、継続性に悪影響を及ぼす可能性のあるリスク。
- 報告対象インシデント (または 入射): 重要な機能および影響を受けるクライアントへの影響に基づいて、DORA に基づく報告の基準を満たすイベント。
- 目標復旧時点 (RPO): 災害発生時に発生するデータ損失の最大量(時間で測定)で、 セキュリティ慣行.
- 目標復旧時間 (RTO): 事故発生後にサービスを復旧するまでの最大時間。 セキュリティ慣行.
- レジリエンス目標: RPOとRTOの組み合わせ目標は、 セキュリティ慣行.
- 制限付きデータ:本契約に定義される。
- 第三者監査: 当社の管理およびプロセスを評価するための信頼できる独立系企業による監査。
- セキュリティ対策: LogicMonitorが維持し公開している包括的なセキュリティ管理、ポリシー、手順、およびプロセスのセット https://www.logicmonitor.com/security-practices、または該当する契約書に別途規定されている場合。
- サービス: 本契約に基づき当社がお客様に提供する製品およびサービス。
- 適切な保証メカニズム: 当社が維持し、お客様に提供する、当社の ICT システムおよび当社が処理する個人データの機密性、整合性、可用性を証明するための一連の独立した第三者による評価、レポート、認証、および証明。これには、お客様のデータのセキュリティ、可用性、機密性、処理の整合性、プライバシーを網羅した SOC 2 タイプ II レポート、当社の情報セキュリティ管理システムが国際的なベスト プラクティス要件を満たしていることを示す ISO/IEC 27001:2013 認証、表 2 – 該当する第三者監査に記載されている評価と認証、および欧州銀行監督機構 (EBA) の ICT およびセキュリティ リスク管理に関するガイドライン (EBA/GL/28/5 § 2022) の比例原則に沿った、規則 (EU) 2554/2019 (DORA) の第 02 条 (5.3) に基づき同等であると当社が判断する、業界で認められた追加のフレームワークまたは認証が含まれます。
- DORAコンプライアンス
- 当社は、以下を含む DORA の関連規定を遵守することをお約束します。
- 危機管理。 当社は、ICTリスクを特定、評価、管理、監視し、リスク軽減策の有効性を確認するためのリスク管理フレームワークを維持します。
- インシデント報告。 当社は、報告義務のあるインシデントが発生した場合、速やかにお客様に通知し、その原因を調査し、セキュリティ プラクティスに記載されているとおりに問題の解決をお手伝いします。
- 事業継続性。 当社は、セキュリティプラクティスに記載されているとおり、災害復旧テストを含む包括的な事業継続計画を維持します。
- 危機管理。 当社は、ICTリスクを特定、評価、管理、監視し、リスク軽減策の有効性を確認するためのリスク管理フレームワークを維持します。
- テスト。 当社はICTシステムとプロセスの定期的なテストを実施します。 表1 – 試験方法 を参照してください。
- 情報の共有。 当社はお客様に合理的に協力し、お客様の DORA コンプライアンスに必要な情報を共有します。
- 出口計画。 本契約の終了に伴い、当社はお客様に追加料金なしで、秩序ある終了プランをご提供いたします。このプランには、お客様が別のプラットフォームへの移行のためにデータをエクスポートまたはダウンロードするための、終了時に定められた終了期間が含まれます。LogicMonitorは、独自の裁量により、このプロセスを円滑に進めるために合理的な支援を提供する場合がありますが、お客様のデータを競合他社の製品またはシステムに直接転送する必要はありません。
- 下請け。 当社は、書面による通知および適切な保護措置(当社のデータ処理契約で義務付けられているとおり)を講じることなく、本サービスのいかなる部分についても、重要な下請け業務を大幅に外部委託または変更することはありません。明確化のために付言すると、当社は本サービスを提供するために第三者の下請け業者を雇用する場合があります。DORAの目的上、Amazon Web Services(「AWS」)は本契約に基づく唯一の重要なICT下請け業者です。LogicMonitorデータ処理補足(https://www.logicmonitor.com/data-handling-supplement)は、DORAに基づく重要な下請業者とはみなされず、該当するデータ処理補足契約に定められた制限および要件(該当する場合)のみが適用されます。AWSを重要な下請業者として追加または変更する場合は、合理的な期間内に書面でお客様に通知します。
- 規制当局による終了。 管轄当局が DORA に基づいて明示的に終了を指示した場合、当社はそれに従い、未使用の料金を比例配分して返金します。
- ICT サードパーティ サービス プロバイダーの監視。 当社は重要な ICT サードパーティ プロバイダーを監視し、上記の対策以外にも当社のサービスに影響を及ぼす可能性のあるイベントが発生した場合はお客様に通知します。
- 継続的なパフォーマンス更新。 管轄当局から要請があった場合、当社は報告および技術監視プロセスを通じて継続的にパフォーマンスの最新情報を提供します。
- 当社は、以下を含む DORA の関連規定を遵守することをお約束します。
表1 – 試験方法
以下の表は、システムの脆弱性を評価し、セキュリティ対策の有効性を検証し、特定された脆弱性を迅速に修正するために設計された、当社の主要なテスト手法の概要です。各手法は、運用のレジリエンス(回復力)の維持、データの整合性の確保、信頼性の高いサービスの提供という当社の包括的な目標をサポートしています。当社は、進化する脅威、技術の進歩、規制ガイドラインに対応するため、これらのテストの範囲、頻度、プロバイダーを継続的に見直し、調整しています。テスト方法に重大な変更がある場合は、合理的な期間内にお客様に通知いたします。
| 方法/タイプ | 詳細説明 |
| 侵入テスト | 信頼できるサードパーティ企業によって、毎年侵入テストが実施されます。 |
| アプリケーションセキュリティテスト | 継続的なアプリケーション セキュリティ テストとスキャンは、文書化された周期で実行され、検証された欠陥は重大度別に分類されます。 |
| インフラストラクチャのスキャン/テスト | 継続的なインフラストラクチャの脆弱性スキャンは文書化された周期で実行され、レポートが生成されて文書化されます。 |
表2 – 適用可能な第三者監査
以下は、当社が情報セキュリティ、プライバシー、および運用管理に関する独立した保証をお客様に提供するために維持している第三者監査および認証の概要です。これらの監査は、基準または当社の管理環境の変更を反映するために、随時、合理的な更新、調整、または改訂が行われる場合があります。重要な変更が発生した場合は、合理的な事前の書面による通知を行い、以下に記載されている監査を、同じ主題を対象とする同等の第三者監査に置き換える場合があります。
| 認証/監査 | 詳細説明 |
| AICPA SOC 2 タイプ 2 | 第三者によって毎年実施され、レポートはリクエストに応じて、または当社の Trust Center から入手できます。 |
| ISO / IEC 27001:2013 | 当社の情報セキュリティ管理システムが国際基準を満たしていることを確認します。 |
| ISO / IEC 27017:2015 | クラウド サービスに固有のセキュリティ制御を検証します。 |
| ISO / IEC 27018:2014 | クラウド環境における個人データの保護に対する当社の取り組みを示します。 |
| 範囲外監査 | Details |
| PCI DSS | 適用できません。 当社のサービスでは、支払いカード取引を処理したり、対象となるアカウントを維持したりすることはありません。 |
| 対象アカウント監査 | 適用できません。 当社のサービスは、銀行に代わって取引を処理したり、支払い情報を取り扱ったりすることはありません。 |
表3 – 可用性機能
以下の表は、プラットフォーム全体の可用性、フォールトトレランス、データ保護を確保するために実装されたコア機能について説明しています。これらのメカニズムは連携して機能し、ダウンタイムを最小限に抑え、データ損失を防ぎ、インフラ障害や予期せぬ中断が発生した場合でもサービスの継続性を維持することを目的としています。これらの機能は、業界の慣行や変化する要件を踏まえて定期的に評価しており、重要な変更がある場合は事前にお知らせいたします。
| 機能 | 詳細説明 |
| データの冗長性 | データ損失のリスクを最小限に抑えるために、データの複数のコピーを保持しています。 |
| マルチAZ配置 | 当社では、Amazon Web Services (AWS) 内の複数の AZ にプラットフォームを展開しています。 |
| フォールトトレランスとスケーラビリティ | 最適なパフォーマンスと可用性を維持するために、容量を調整し、ワークロードを AZ 全体に分散します。 |
| 地理的分散 | 局所的な中断リスクを軽減するために、物理的に分離された AZ を使用します。 |
- 賢明な調整と代替保証メカニズム
- 非クリティカル プロバイダーの分類。 LogicMonitor Envisionプラットフォームは、顧客取引やその他のコアビジネス機能を直接実行・処理するのではなく、監視および可観測性サービスを提供するため、DORAまたはEBAのICTおよびセキュリティリスク管理ガイドラインにおいて、一般的に重要なICTサードパーティサービスプロバイダーには分類されません。当社のプラットフォームは、取引データ自体を処理せずに、監視と可視性を提供します。
- 代替保証メカニズム。 当社は、DORA に基づくお客様の保証要件を満たすために、以下の認定フレームワークからの認証とレポートを維持します。
- SOC2タイプII
- ISO/IEC 27001(情報セキュリティ)
- SOC2タイプII
- 明示的に例外が明記されていない限り、これらの認証は、当社の代替保証パッケージを構成します。
- 対象を絞った監査アクセス(重要な例外)。 重大な例外が特定された場合、次のことを行う対象を絞った監査を依頼することができます。
- 24 か月に XNUMX 回を超えて発生しないこと。
- 機密保持義務を負う認定された独立した第三者によって実施されること
- 弊社が提供するサービスに実質的に関連する制御に限定されます。
- 24 か月に XNUMX 回を超えて発生しないこと。
- 調整と混乱の最小化。 監査は、不必要な混乱を避けるように調整され、お客様のサービスに直接関連する情報またはシステムに限定されます。
- 突然のアクセスや現地検査はありません。 当社は、法律で義務付けられている場合、および当該命令に従うために必要な範囲を除き、予告なしのアクセスや検査を許可しません。
- 非クリティカル プロバイダーの分類。 LogicMonitor Envisionプラットフォームは、顧客取引やその他のコアビジネス機能を直接実行・処理するのではなく、監視および可観測性サービスを提供するため、DORAまたはEBAのICTおよびセキュリティリスク管理ガイドラインにおいて、一般的に重要なICTサードパーティサービスプロバイダーには分類されません。当社のプラットフォームは、取引データ自体を処理せずに、監視と可視性を提供します。
- セキュリティガバナンスとフレームワーク
- セキュリティプラクティス。 当社は、セキュリティ対策ページ(https://www.logicmonitor.com/security-practices)または、異なる場合は該当する契約書に規定されているセキュリティ対策が適用されます。これらの対策は、ネットワークおよびインフラストラクチャのセキュリティ、アプリケーションセキュリティ、アクセス管理、暗号化、監視、インシデント対応、脆弱性管理を網羅するように設計されています。当社は、業界の慣行、規制要件、そして進化する脅威に合わせて、これらの対策を継続的に更新・強化しており、当社が公表しているセキュリティ対策またはお客様の契約書に規定されている対策に重大な変更があった場合は、お客様に通知いたします。
- 戦略的ガバナンス。 当社では、セキュリティ ガバナンス プログラムをビジネス ニーズに合わせて調整し、リスク レジスタと管理プロセスの調整と可視性を実現するよう設計しています。
- ドキュメンテーション。 当社は、リスク管理ポリシー、手順、および管理を文書化して維持し、必要に応じてそれらを合理的に提供することで、お客様が DORA 義務を果たせるよう支援します。
- 契約による埋め込み。 当社のリスク管理およびセキュリティ ガバナンスに関する取り組みは契約に組み込まれており、書面によるポリシーと定期的な監査によってサポートされています。
- 行動規範。 当社は以下の行動規範を維持し、必要に応じて更新します。
- 契約上の義務
- 私たちは以下のことを目的とした措置を実施します。
- データのセキュリティとプライバシーを維持します。
- DORA の適用されるすべての法律および規制要件を遵守する。
- 適切な技術的および組織的なセキュリティ対策を維持する。
- 報告義務のあるインシデントを速やかにあなたに報告します。
- 上記のとおり、商業的に合理的な努力を払って、現在のすべての保証活動を継続します。
- 私たちは以下のことを目的とした措置を実施します。
