アクセンチュアのクライアントデータ保護対策

以下の内容は、クライアントサービス業務に関連してクライアントから提供された、またはクライアントの代理として提供されたデータ（「クライアントデータ」）を保護するために、アクセンチュアが実施している技術的および組織的な対策、内部統制、情報セキュリティの運用体制を説明するものです。これらのセキュリティ対策は、アクセンチュアの環境（例：システム、ネットワーク、施設）において、クライアントデータが偶発的、または不正・違法なアクセス、開示、改ざん、損失、破壊から保護されることを目的としています。クライアントデータに個人データが含まれる場合、これらの対策（および該当するクライアント契約に定められた追加のセキュリティ対策）の実施および遵守は、個人データの処理に関して適切なセキュリティレベルを提供することを目的としています。アクセンチュアは、これらの対策を予告なく変更する場合がありますが、その変更によってクライアントデータの保護水準が大きく低下または損なわれることはありません。

標準的なデータ保護対策：

1. 情報セキュリティの管理体制

a. セキュリティ責任者の任命。アクセンチュアは、セキュリティ規則および手順を調整し監視するセキュリティ責任者を1名以上任命します。

b. セキュリティに関する役割と責任。クライアントデータにアクセスするアクセンチュアの従業員は、機密保持義務の対象となります。

c. リスク管理プログラム。アクセンチュアは、適用があるクライアントとの契約において、クライアントデータの処理に関連するリスクを特定・評価し、適切な対応を行うためのリスク管理プログラムを導入しています。

2. 資産管理

a. 資産インベントリ。アクセンチュアは、自社のインフラ、ネットワーク、アプリケーション、クラウド環境の資産インベントリを維持します。また、クライアントデータが保存されているメディアのインベントリも管理し、これらのメディアのインベントリへのアクセスは、書面で承認された従業員のみに制限されます。

b. データの取り扱い。アクセンチュアは以下を実施します：

1. クライアントデータを分類し、識別しやすくすることで、適切なアクセス制限を可能にします。
   
   
2. システムからクライアントデータを印刷することを、サービス提供に必要最小限な範囲に制限するとともに、クライアントデータを含む印刷物については廃棄に関する手順を設けます。
   
   
3. 契約で承認された場所以外でクライアントデータを保存する場合、クライアントデータにリモートアクセスする場合、または両当事者の施設外でクライアントデータを処理する場合には、従業員に対して適切な承認を取得するよう求めます。

3. 人事セキュリティ

a. セキュリティ研修。アクセンチュアは以下の対応を行います：

1. 関連するセキュリティ手順および各自の役割について、従業員に周知します。
   
   
2. セキュリティ規則やセキュリティ手順の違反がもたらす可能性のある損害・結果について、従業員に通知します。
   
   
3. トレーニング環境では、匿名化されたデータのみを使用します。

4. 物理的および環境的セキュリティ

a. 施設への物理的アクセス。アクセンチュアは、クライアントデータを処理する情報システムが設置されている施設へのアクセス権限を制限するための手順を導入・維持します。

b. コンポーネントへの物理的アクセス。アクセンチュアは、クライアントデータを含むメディアの送受信・入出庫の記録を保持します。記録には、メディアの種類、認可された送信者／受信者、日時、メディアの数量、および含まれるクライアントデータの種類が含まれます。

c. コンポーネントの廃棄。アクセンチュアは、クライアントデータが不要になった際に、ISO 27001、CIS Sans 20、NISTサイバーセキュリティフレームワークなどの適用ある業界標準に準拠したプロセスを用いてデータを削除します。

5. 通信および運用管理

a. 運用ポリシー。アクセンチュアは、クライアントデータにアクセスする従業員におけるセキュリティ措置の責任および関連手順を記載したセキュリティ対策に関する文書を維持します。

b. モバイルデバイス管理（MDM）／モバイルアプリケーション管理（MAM）。アクセンチュアは、以下の内容を含むモバイルデバイスに関するポリシーを維持します：

1. デバイスの暗号化を強制します。
2. ブラックリストに登録されたアプリの使用を禁止します。
3. 「脱獄（jailbreak）」されたモバイルデバイスの登録を禁止します。

c. データ復旧手順。アクセンチュアは以下の対応を行います：

1. クライアントデータを保持するシステムに関して、データ復旧を可能にするための具体的な手順を整備します。
   
   
2. データ復旧手順を少なくとも年に1回見直します。
   
   
3. データ復旧作業の記録を保持します。記録には、担当者、復元されたデータの内容が含まれ、データ復旧プロセスにおいて必要に応じて手動で入力されたデータがある場合はそのデータとその担当者を含みます。

d. マルウェア対策。アクセンチュアは、パブリックネットワークなどからのマルウェアによるクライアントデータへの不正アクセスを防止するためのマルウェア対策を実施します。

e. 境界を越えるデータの保護。アクセンチュアは以下の対応を行います：

1. パブリックネットワークを介して送信されるクライアントデータを暗号化します。
   
   
2. 施設外に持ち出されるメディア内のクライアントデータを保護します（例：暗号化による保護）。
   
   
3. 誤送信リスクを低減するため、可能な限り自動化ツールを導入し、システムからのメール、書簡、ファックスの誤送信を防止します。

f. イベントログの記録。

1. クライアントデータを含むシステムにおいて、アクセンチュアは自社のポリシーまたは標準に従ってイベントログを記録します。

6. アクセス制御

a. アクセスポリシー。アクセンチュアは、システムを通じてクライアントデータにアクセスする個人のセキュリティ権限の記録を維持します。

b. アクセス権限の付与。アクセンチュアは以下の対応を行います：

1. システムを介してクライアントデータにアクセスする権限を持つ従業員の記録を維持・更新します。
   
   
2. アクセス権限の付与を実施する場合、認証情報を速やかに発行します。
   
   
3. 認証資格情報が一定期間使用されていない場合、それらを無効化します（非使用期間は最大90日を超えないものとします）。
   
   
4. アクセスが不要になった旨の通知（例：退職、プロジェクト異動など）を受けた場合、2営業日以内に認証情報を無効化します。
   
   
5. データおよびリソースへのアクセス権限を付与・変更・取消できる従業員を特定します。
   
   
6. クライアントデータを含むシステムに複数の個人がアクセスする場合、それぞれが固有のID／ログイン情報を使用するようにします（共有IDの使用は禁止）。

c. 最小権限の原則。アクセンチュアは以下の対応を行います：

1. 技術サポート担当者が必要な場合のみクライアントデータにアクセスできるようにします。
   
   
2. Firefighter ID、一時ID、または特権アクセス管理（PAM）ソリューションによって、システムへの緊急時のアクセスを制御します。
   
   
3. システム内のクライアントデータへのアクセスは、業務遂行に必要な従業員のみに制限します。
   
   
4. システム内のクライアントデータへのアクセスを、サービス提供に必要最小限のデータのみに制限します。
   
   
5. 個人がタスクを実行する際にセキュリティ上の利益相反が生じることを防ぐため、環境間で職務を分離します（例：開発者とレビュー担当者、開発者とテスト担当者の分離）。

d. 保全性と機密保持。アクセンチュアは、従業員が施設を離れる際やコンピューターを放置する際には、管理者セッションを終了するよう指導します。

e. 認証。アクセンチュアは以下の対応を行います：

1. 業界標準（ISO 27001、CIS Sans 20、NIST Cyber-Security Frameworkなど該当するもの）の慣行に従い、情報システムにアクセスしようとするユーザーを識別し認証します。
   
   
2. 認証メカニズムがパスワードに基づいている場合は、パスワードを定期的に更新するよう要求します。
   
   
3. 認証メカニズムがパスワードに基づいている場合、パスワードには8文字以上および次の4種類の文字のうち3種類以上を含めることを要求します：数字（0～9）、小文字（a～z）、大文字（A～Z）、特殊文字（!、*、&など）
   
   
4. 無効または期限切れのIDが他の個人に付与されないようにします。
   
   
5. 無効なパスワードを使用して繰り返し試行される情報システムへのアクセスを監視します。
   
   
6. 破損した、または意図せずに開示されたパスワードを無効にするために、業界標準（ISO 27001、CIS Sans 20、NIST Cyber-Security Frameworkなど該当するもの）の手順を維持します。
   
   
7. 業界標準（ISO 27001、CIS Sans 20、NIST Cyber-Security Frameworkなど該当するもの）のパスワード保護の慣行に従い用ます。これには、パスワードの割り当て時、配布時、保管中に、パスワードの機密性と完全性を維持するように設計された慣行が含まれます。

f. 多要素認証（MFA）。アクセンチュアは、仮想プライベートネットワーク（VPN）を経由したシステムへのリモートアクセスと内部アクセスに対し、多要素認証を実装します。

7. アクセンチュアのシステムの侵入テストと脆弱性スキャン

a. アクセンチュアは、少なくとも年に1回、アクセンチュアの内部セキュリティポリシーと標準的な慣行に従って、アクセンチュアのIT環境に対する侵入と脆弱性の評価を実施します。

b. アクセンチュアは、サービスに適用される範囲において、アクセンチュアが実施したテストに関する概要レベルの情報をクライアントと共有することに同意します。

c. なお、このような侵入・脆弱性テストに関連し、クライアントは、（i）アクセンチュアの他の顧客またはクライアントのデータまたは情報、（ii）アクセンチュアがこのようなテストを許可する権利を有しない、第三者のIT環境のテスト、（iii）共有サービスインフラストラクチャまたは環境に対しなされるアクセスまたはテスト、または（iv）上述の侵入・脆弱性テストおよびクライアントサービスに直接関連しないアクセンチュアのその他の機密情報に対する権利を有しません。

d. 物理的にクライアント専用とされているアクセンチュアのITシステムについては、クライアントおよびアクセンチュアは別途書面によるテスト計画を策定することができ、そのようなテストは1年につき2回を超えないものとします。

8. ネットワークとアプリケーションの設計と管理。アクセンチュアは以下のことを行います：

a. 個人がそのシステム内のクライアントデータに不正にアクセスすることを防ぐための制御を実施します。

b. メールベースのデータ損失防止機能を使用して、機密データの移動を監視または制限します。

c. ネットワークベースのWebフィルタリングを使用して、許可されていないサイトへのアクセスを防止します。

d. 本番稼働環境へのアクセスにはFirefighter IDまたは一時的なユーザーIDを使用します。

e. システムにおいてネットワーク侵入検出・防止機能を使用します。

f. 安全なコーディング規格を使用します。

g. システム内のOWASPの脆弱性をスキャンして修正します。

h. 技術的に可能な限り、クライアントと協力し、アクセンチュアの従業員がクライアントシステムから非クライアント・非アクセンチュア環境にアクセスすることを制限できるようにします。

i. サーバー、ネットワーク、インフラストラクチャ、アプリケーション、クラウドのセキュリティ構成基準を最新の状態に維持します。

j. 特定されたシステム構成の脆弱性が修正されていることを確認するために、環境をスキャンします。

9. パッチ管理

a. アクセンチュアでは、クライアントデータの処理に使用するシステムにセキュリティパッチを展開するパッチ管理手順を整備し、これには以下を含むものとします。

1. パッチが実装されるまでの期間の画定（アクセンチュアの標準で定義されている高度または中程度のパッチでは90日を超えないようにする）
   
   
2. 緊急パッチや重要なパッチをできるだけ早く処理するためのプロセスの確立。

10. ワークステーション

a. アクセンチュアは、サービスの提供/受領に関連して使用される、自社が提供するワークステーションに対し、次のような制御を行います：

1. ワークステーションの全体的なコンプライアンスを管理し、週1回以上中央サーバーにレポートを送信するソフトウェアエージェント
   
   
2. ハードドライブの暗号化
   
   
3. 文書化されたパッチスケジュール内でワークステーションにパッチを適用するためのパッチプロセス
   
   
4. ブラックリストに登録されたソフトウェアがインストールされないようにする機能
   
   
5. 週1回以上のスキャンによるウイルス対策
   
   
6. ファイアウォールのインストール

11. 情報セキュリティ侵害管理

a. セキュリティ侵害への対応プロセス。アクセンチュアは、セキュリティ侵害の内容、期間、侵害の結果、侵害の報告者の氏名、侵害の報告先、データの復元プロセスを記載したセキュリティ侵害の記録を自社のシステム内に保持します。

b. サービスの監視。アクセンチュアのセキュリティ担当者は、セキュリティ侵害対応プロセスの一環として自社のログを確認し、必要に応じて改善策を提案します。

12. 事業継続管理（BCM）

a. アクセンチュアは、契約に従った業務遂行に影響を与える事象から復旧できるように、 ISO 22301に準拠したプロセスとプログラムを策定します。

補足的措置　さらに、欧州司法裁判所「Schrems II」判決に基づく規制ガイダンスに従い、アクセンチュアはクライアントデータ（個人データ含む）に関して以下の追加技術的・組織的・法的/契約的対策を維持することを約束します。

技術的補足措置：

1. アクセンチュアの事業体間で転送するクライアントデータは、以下のような暗号化によって強力に暗号化されます。

a. 最新技術であること

b. 必要期間の機密性を確保すること

c. 適切に保守されたソフトウェアで実装されていること

d. 堅牢であり、公的機関による能動的・受動的攻撃（暗号解析含む）に対する保護があること

e. 該当クライアントと合意がない限り、ハードウェアやソフトウェアにバックドアがないこと

2. アクセンチュアのいずれかの事業体によって保管・保存されたクライアントデータは、以下のような暗号化によって強力に暗号化されます。

a. 最新技術であること

b. 必要期間の機密性を確保すること

c. 適切に保守されたソフトウェアで実装されていること

d. 堅牢であり、公的機関による能動的・受動的攻撃（暗号解析含む）に対する保護があること

e. 該当クライアントと合意がない限り、ハードウェアやソフトウェアにバックドアがないこと

組織的補足措置：

1. アクセンチュアの事業体間のクライアントデータ転送と、アクセンチュアのいずれかの事業体による処理は、以下に従って行われます。

a. 公的機関からの個人データへのアクセス要求を管理するためのアクセンチュアの社内ポリシーと手順

b. アクセンチュアの社内データアクセスおよび機密保持に関するポリシーと手順

c. アクセンチュアの社内データ最小化ポリシーと手順

d. アクセンチュアの社内データセキュリティおよびデータプライバシーに関するポリシーと手順

2. アクセンチュアは、公的機関から受け取った個人データへのアクセス要求の記録と、提供された回答、法的理由、関係者に関する文書記録を保管します。

3. アクセンチュアは、公的機関による個人データの要求（もしあれば）に関する報告を、アクセンチュアの最高コンプライアンス責任者に定期的に行います。

法的・契約的補足措置：

1. アクセンチュアは、クライアントデータを処理する国がEU諸国と本質的に同様の保護手段を提供すると正式に認められていない場合、当該国の監視法およびプライバシー慣行に関する評価報告書を定期的に更新し、クライアントからの要求に応じて該当する報告書の写しを提供します。
   
   
2. クライアントデータを処理するアクセンチュアの事業体は、該当するクライアントとの別段の合意がない限り、（a）システムおよび/または個人データへのアクセスに使用できるバックドアまたは類似のプログラムを意図的に作成していないこと、（b）個人データまたはシステムへのアクセスを容易にする方法でビジネスプロセスを意図的に作成または変更していないこと、（c）アクセンチュアが知る限りにおいて、適用される国内法または政府の方針では、アクセンチュアの事業体に対し、バックドアの作成もしくは保守、個人データもしくはシステムへのアクセスを容易にすること、または、法的に有効な命令および適切な法的審査を経ることなく暗号鍵の所有や引き渡しをアクセンチュアに義務付けていないことを証明します。
   
   
3. 適用法の下で許容される範囲において、クライアントデータを処理するアクセンチュアの事業体は、クライアントに代わってアクセンチュアが処理する個人データに関する政府の要求についてクライアントに通知します。適用される法律の下で、アクセンチュアがクライアントに政府の要求を通知することが許可されていない場合、アクセンチュアは、（i）可能な限り早期にクライアントに通知するための行政または司法による許可を取得するか、（ii）該当する政府当局がクライアントに直接通知するよう要請するかの合理的な対策を講じます。いずれの場合でも、アクセンチュアは、違法と判断される政府の要求がある場合には、異議を申し立てるために、裁判所または行政手続きにおいて合理的な対策を講じます。
   
   
4. アクセンチュアは、その依拠するデータの転送メカニズムの遵守に影響を与える適用法の変更について、該当するクライアントに通知します。
   
   
5. クライアントデータを処理するアクセンチュアの事業体は、該当するクライアントが、該当するクライアント契約に定められた合意された監査手順を通じて、個人データが公的機関に開示されたかどうかを確認できるようにします。
   
   
6. クライアントデータを処理するアクセンチュアの事業体は、該当するクライアント契約または法律で義務付けられるクライアントの承認を得ることなく、将来生じるクライアントデータの転送に関与せず、また、既に進行中のクライアントデータの転送の一時停止に関与しません。
   
   
7. 本書のいかなる内容も、アクセンチュアが選択された転送手段の下でなされた約定に違反して転送されたクライアントデータを開示した場合、適用法で認められる範囲において、データ主体がアクセンチュアから損害賠償を受ける権利を侵害するものではありません。