IBM OpenPages GRC on Cloud

サ ービス記述書

1. IBM OpenPages GRC on Cloud

本「サービス記述書」は IBM がお客様に提供する「クラウド・サービス」について規定するものです。お客様とは、契約を結ぶ当事者、その許可ユーザーおよび「クラウド・サービス」の受領者を意味します。適用される「見積書」および「証書 (PoE)」は、別途「取引文書」として提供されます。

1. クラウド・サービス

IBM OpenPages GRC on Cloud は、企業全体でリスクおよびコンプライアンスのイニシアチブを特定、管理、監視、報告できるように設計されたツール・セットをお客様に提供するサービスです。

1. 基本サブスクリプション

お客様は、以下に記載の「GRC エディション」のいずれか 1 つと GRC Data Storage に対する使用許諾を取得しなければなりません。

1. IBM OpenPages GRC Starter Edition on Cloud

IBM OpenPages GRC Starter Edition on Cloud の使用許諾により、約 200 人の「IBM OpenPages GRC ビジネス・ユーザー」相当の取引量の増加をサポートする「クラウド・サービス」の構成が利用できます。

2. IBM OpenPages GRC Basic Edition on Cloud

IBM OpenPages GRC Basic Edition on Cloud の使用許諾により、約 1,000 人の「IBM OpenPages GRC ビジネス・ユーザー」相当の取引量の増加をサポートする「クラウド・サービス」の構成が利用できます。

3. IBM OpenPages GRC Classic Edition on Cloud

IBM OpenPages GRC Classic Edition on Cloud の使用許諾により、約 2,500 人の「IBM OpenPages GRC ビジネス・ユーザー」相当の取引量の増加をサポートする「クラウド・サービス」の構成が利用できます。

4. IBM OpenPages GRC Data Storage on Cloud

IBM OpenPages GRC Data Storage on Cloud (必須コンポーネント) 使用許諾は、「クラウド・サービス」のお客様のインスタンスのために、GRC データのストレージを提供します。ストレージは、150 ギガバイトを割り当て単位として販売されます。

2. GRC ソリューション

お客様は以下に記載する「GRC ソリューション」のうち少なくとも 1 つのソリューションに対する使用許諾を取得する必要があります。

1. IBM OpenPages Financial Control Management on Cloud

IBM OpenPages Financial Controls Management on Cloud は、お客様が、財務管理および財務報告規制に関連する関連プロセスを文書化して管理できるようにするツールです。

2. IBM OpenPages Operational Risk Management on Cloud

IBM OpenPages Operational Risk Management on Cloud は、運用リスクを特定し、測定し、監視するプロセスをお客様が自動化できるようにするツールです。これは、リスクと統制自己評価、損失イベント、シナリオ分析、外部損失、および重要リスク評価指標を含む、リスク・データをまとめて単一のモジュールに統合します。

3. IBM OpenPages IT Governance on Cloud

IBM OpenPages IT Governance on Cloud は、企業ビジネスのイニシアチブ、戦略、および規制要件に合わせてお客様が IT 運用管理を調整できるようにするツールです。

4. IBM OpenPages Policy and Compliance Management on Cloud

IBM OpenPages Policy and Compliance Management on Cloud は、お客様が、ポリシーおよびコンプライアンス管理を統合し、ポリシー管理ライフサイクルを自動化し、規制の変更や規制当局の対話を管理できるようにするツールです。

5. IBM OpenPages Internal Audit Management on Cloud

IBM OpenPages Internal Audit Management on Cloud は、お客様は内部監査業務を自動化して管理し、リスクとコンプライアンスに関するより幅広い管理活動を実施できるようにするツールです。

機能には以下が含まれます。

1. 監査計画立案

2. 調書管理

3. 時間および経費に関するレポート

4. 監査のレポートおよび要約

6. IBM OpenPages Model Risk Governance on Cloud

IBM OpenPages Model Risk Governance on Cloud は、お客様が自社モデルのガバナンスを管理できるようにするツールです。

7. IBM OpenPages Regulatory Compliance Management on Cloud

IBM OpenPages Regulatory Compliance Management on Cloud は、お客様が内部のデータと分類法に合わせて規制データを調整し、規制にかかわる義務の影響を評価できるようにするツールです。

8. IBM OpenPages Vendor Risk Management on Cloud

IBM OpenPages Vendor Risk Management on Cloud は、お客様が、第三者のコンプライアンスとリスクを管理し、ベンダーまたはエンゲージメントのそれぞれがビジネス・プロセスにどのように関連しているのかを理解できるようにするツールです。

3. ユーザーの役割

   1. IBM OpenPages GRC Administrator User on Cloud

IBM OpenPages GRC Administrator User on Cloud (少なくとも 1 つが必須) のユーザーは、すべての管理機能および「クラウド・サービス」の利用資格のある GRC 機能に対するアクセスを許可されます。

2. IBM OpenPages GRC Business User on Cloud

IBM OpenPages GRC Business User on Cloud のユーザーは、「クラウド・サービス」の利用資格のあるすべての GRC 機能と対話することを許可されます。

3. IBM OpenPages GRC Limited User on Cloud

IBM OpenPages GRC Limited User on Cloud のユーザーは、「クラウド・サービス」の利用資格のある GRC 機能とともに使用する以下のカテゴリーの 1 つに個別に限定されます。

1. ライト・タッチ:「クラウド・サービス」を使用して、制限付きのサブコンポーネント・セットへアクセスする必要のあるビジネス機能を実行します (3 つ以内)。

2. 低頻度な使用:「クラウド・サービス」を使用して、月単位、四半期単位、または年単位で発生する定期的なビジネス機能を実行します (その場しのぎではなく、また 1 か月未満の頻度は不可)。

3. 読み取り専用:「クラウド・サービス」を使用して、データとレポートのみを表示します。

4. IBM OpenPages GRC Single-Function User on Cloud

IBM OpenPages GRC Platform Single-Function User on Cloud のユーザーは、「クラウド・サービス」の利用資格のある GRC 機能のサブコンポーネントの 1 つを使用して、特定の機能 (事前定義画面経由の自動化された定期的な質問に対する応答を含みますが、これに限定されません。) を実行し、ポリシーに関する理解と承諾を証明する明白な目的のためにポリシー管理の目標を評価するか、または損失イベントの目標を作成することに限定されます。これには、レポートの評価は含まれません。

4. セットアップ・サービス

お客様は、IBM OpenPages GRC New Client Jump Start on Cloud または IBM OpenPages GRC Existing Client Jump Start on Cloud のいずれかを取得する必要があります。

1. IBM OpenPages GRC New Client Jump Start on Cloud

IBM OpenPages GRC New Client Jump Start on Cloud は、OpenPages GRC のことをまったく知らないお客様を対象に、「クラウド・サービス」の初回の導入に関するサービスを提供します。

「クラウド・サービス」の「GRC ソリューション」を構成/拡張またはその後に追加するためのサポートは、IBM OpenPages の「サービス」と共に別個の「作業指示書 (SOW)」を通じて提供されます。

以下のような、お客様固有のその他の活動に対して「作業指示書 (SOW)」が必要です。

5. ビジネス・エンティティー階層のセットアップ

6. ユーザー・ベースのセキュリティーの実装

7. データ・ローディングの支援

8. お客様固有のその他の活動

2. IBM OpenPages GRC Existing Client Jump Start on Cloud

IBM OpenPages GRC Existing Client Jump Start on Cloud は、既存の「OpenPages GRC プラットフォーム」のオンプレミス導入でつながるお客様を対象に、「クラウド・サービス」の初回の導入に関するサービスを提供します。

「クラウド・サービス」の「GRC ソリューション」を拡張または追加するためのサポートは、IBM OpenPages の「サービス」と共に別個の「作業指示書 (SOW)」を通じて提供されます。

既存のお客様データまたはお客様固有のその他の活動を移行するには「作業指示書 (SOW)」が必要です。

5. 追加インスタンス

   1. IBM OpenPages GRC Non-Production Instance on Cloud

IBM OpenPages GRC Non-Production Instance on Cloud は、社内での開発およびテスト作業のための、「クラウド・サービス」の非実稼働インスタンスを提供します。

6. 追加アプリケーション

   1. IBM OpenPages Loss Event Entry on Cloud

IBM OpenPages Loss Event Entry on Cloud アプリケーションでは、使用頻度が少ないユーザーまたはプロビジョン対象外のユーザーが、完全なビジネス・ユーザー・エクスペリエンスに触れることなく、運用上のリスク損失イベントを「クラウド・サービス」に送信する際に使用できるインターフェースを利用できます。

2. IBM OpenPages GRC SDI Connector for UCF Common Controls Hub on Cloud

IBM OpenPages GRC SDI Connector for UCF Common Controls Hub on Cloud アプリケーションを使用すると、新規の規制や管理などの規制に関するコンテンツを Unified Compliance Framework (お客様は UCF Common Controls Hub サブスクリプションを取得しなければなりません。) から「クラウド・サービス」へインポートすることができます。

7. リモートで提供されるサービス

   1. IBM OpenPages GRC Custom Deployment Services on Cloud

IBM OpenPages GRC Custom Deployment Services on Cloud は、リモートで提供されるサービスであり、「クラウド・サービス」への拡張機能の導入を希望するお客様を支援するために、IBM OpenPages の「サービス」エンゲージメント時間を 40 時間提供します。

このエンゲージメントの一環として実施される活動の例は以下のとおりです。

9. お客様との調整

10. 導入する拡張機能の収集およびお客様からの指示の検討

11. お客様固有の拡張機能の導入

12. 拡張機能が適切に導入されているか確認するためのログのレビュー

お客様は、購入後 1 年以内またはサブスクリプション期間 (以降の更新を含まない) の終了前のうち、いずれか早期に終了する期限までに、すべての時間を利用する必要があります。

2. コンテンツおよびデータ保護

「データ処理およびデータ保護に関するデータ・シート」(「データ・シート」) には、処理対象の「コンテンツ」の種類、発生する処理活動、データ保護機能、および「コンテンツ」の保存および返却に関する仕様書に関する、「クラウド・サービス」に固有の情報が記載されています。「クラウド・サービス」およびデータ保護機能に関する詳細または説明および条件 (お客様の責任を含みます。) がある場合には、本条に記載されます。お客様が選択したオプションにより、「クラウド・サービス」のお客様による使用に適用される「データ・シート」が複数ある場合があります。「データ・シート」は英語のみの提供となります (現地言語での提供はありません)。現地の法律または慣習の慣行にかかわらず、両当事者は英語を理解していること、および「クラウド・サービス」の取得および使用に関して英語が適切な言語であることに同意します。以下の「データ・シート」が「クラウド・サービス」およびその利用可能なオプションに適用されます。お客様は、i) IBM が、IBM のみの裁量により、「データ・シート」を随時変更することができ、かつ ii) かかる変更された内容が変更前の内容に置き換わることを承諾します。「データ・シート」に対する変更は、i) 既存のコミットメントの改善もしくは明確化、ii) 最新の採用された基準および適用法への整合の維持、または iii) 追加コミットメントの規定のいずれかを行うことを意図しています。「データ・シート」のいかなる変更も「クラウド・サービス」のデータ保護を著しく低下させるものではありません。

適用される「データ・シート」へのリンク:

xxxxx://xxx.xxx.xxx/xxxxxxxx/xxxxxxx/xxxxxxxxxxxxx/xxxxxxx-xxxxxxx/xxxxxx/xxxx/xxxxxxxxXxxxXxxXxxxxxx?xxxxxxxxxxxXxx00X00X0000X000X0000X0X00000X0000

お客様は、「クラウド・サービス」の利用可能なデータ保護機能を注文、有効化、または使用するために必要な対策を講じる責任を負うものとします。お客様がかかる対策を講じることを怠った場合 (「コンテンツ」に関するデータ保護またはその他の法的要件を満たさないことも含みます。) には、お客様は「クラウド・サービス」の使用に対して責任を負います。

EU 一般データ保護規則 (EU/2016/679) (GDPR) が「コンテンツ」に含まれる個人データに適用される場合に、その適用範囲に限り、xxxx://xxx.xxx/xxx にある IBM の「データ処理補足契約書」(DPA) および「DPA 別表」が適用され、本契約の一部として参照されます。本「クラウド・サービス」に適用可能な「データ・シート」は「DPA 別表」の位置づけです。DPA が適用される場合、「復処理者」の変更の通知を提供する IBM の義務およびかかる変更に異議を申し立てるお客様の権利は、DPA に規定されるとおりに適用されます。

3. サービス・レベル・アグリーメント

IBM は、「PoE」に記載するとおり、「クラウド・サービス」に関して、以下の可用性のサービス・レベル・アグリーメント (以下「SLA」といいます。) を提供します。「SLA」は保証ではありません。「SLA」はお客様にのみ提供され、実稼働環境における使用に対してのみ適用されます。

1. 可用性クレジット

お客様は、「クラウド・サービス」が利用できず、業務に重大な影響が及んだことを最初に知り得たときから 24 時間以内に、IBM テクニカル・サポート・ヘルプデスクに対して「重要度 1」のサポート・チケットを記録するものとします。お客様は、あらゆる問題診断および解決に関して IBM を合理的な範囲で支援するものとします。

「SLA」の未達を申告するサポート・チケットは、契約月の末日から 3 営業日以内に提出するものとします。有効な「SLA」の申告に対する補償は、「クラウド・サービス」の実稼働システム処理が利用できない時間 (以下「ダウンタイム」といいます。) に基づいた「クラウド・サービス」の将来の請求に対するクレジットになります。「ダウンタイム」は、お客様が当該事象を報告した時点から「クラウド・サービス」が復元される時点までの間で計測され、次のものに関連する時間は含まれません。保守のための計画停止または発表された停止、IBM の支配の及ばない原因、お客様または第三者のコンテンツもしくはテクノロジーの問題または設計もしくは指示、サポート対象外のシステム構成およびプラットフォームまたはその他お客様による誤り、またはお客様に起因するセキュリティーに関する事故もしくはお客様によるセキュリティー・テスト。IBM は、下表のとおり、各契約月における「クラウド・サービス」の累積的な可用性に基づき、適用しうる最大の補償を適用します。各契約月の補償の合計額は、「クラウド・サービス」に対する年額料金の 12 分の 1 の 10% を超えないものとします。

2. サービス・レベル

「契約月」における「クラウド・サービス」の可用性

「契約月」における可用性	補償 (申告の対象である「契約月」における 「月額サブスクリプション料金」* の割合)
99.9% 未満	2%
99% 未満	5%
95% 未満	10%

*「クラウド・サービス」が IBM ビジネス・パートナーから取得されたものである場合、月額サブスクリプション料金は、申告の対象である「契約月」に対して有効な「クラウド・サービス」のその時点での最新の表示価格に基づいて計算され、それを 50% 割引した額となります。IBM は、直接お客様に払い戻します。

「可用性」は、以下のとおり算出されます。契約月における分単位の総時間数から、契約月における「ダウンタイム」の分単位の総時間数を差し引き、それを契約月における分単位の総時間数で除することにより算出され、結果はパーセントで表します。

4. テクニカル・サポート

「クラウド・サービス」のテクニカル・サポートは、オンライン問題報告システムを介して提供されます。IBM の IBM Software as a service support guide (xxxxx://xxx.xxx.xxx/xxxxxxxx/xxxxxxx/xxxx_xxxxxxx_xxxxx.xxxx) には、テクニカル・サポートの連絡先情報ならびにその他情報およびプロセスが規定されています。テクニカル・サポートは「クラウド・サービス」と共に提供されるものであり、別個のオファリングとして提供されるものではありません。

5. エンタイトルメントおよび課金情報

1. 課金単位

「クラウド・サービス」は、「取引文書」に記載された課金単位に基づいて提供されます。

13. 「許可ユーザー」は、「クラウド・サービス」を取得する際の課金単位です。お客様は、直接または間接のいかなる方法においても (例えば、多重化プログラム、デバイスまたはアプリケーション・サーバーを通じて)「クラウド・サービス」へのアクセスを与えられた特定の「許可ユーザー」ごとに、個別に専用のエンタイトルメントをいずれかの手段により取得しなければならないものとします。お客様の「PoE」または「取引文書」に定める課金期間中に「クラウド・サービス」へのアクセスを与えられた「許可ユーザー」の数をカバーするのに十分なエンタイトルメントを取得しなければならないものとします。

14. 「エンゲージメント」は、サービスを取得する際の課金単位です。「エンゲージメント」は、「クラウド・サービス」に関連するプロフェッショナル・サービス、研修サービスまたはその両方のサービスで構成されます。それぞれの「エンゲージメント」をカバーするのに十分なエンタイトルメントを取得しなければならないものとします。

15. 「インスタンス」は、「クラウド・サービス」を取得する際の課金単位です。「インスタンス」は、「クラウド・サービス」の特定の構成へのアクセスを意味します。お客様の「PoE」または「取引文書」に定める課金期間中にアクセスおよび利用が可能な「クラウド・サービス」の「インスタンス」ごとに十分なエンタイトルメントを取得しなければならないものとします。

16. 「アプリケーション」は、「クラウド・サービス」を取得する際の課金単位です。「アプリケーション」は、固有の名前が付けられたソフトウェア・プログラムです。お客様の「PoE」または「取引文書」に定める課金期間中に、「クラウド・サービス」によって開発されたか、またはアクセスおよび使用が可能となる各「アプリケーション」のために十分なエンタイトルメントを取得しなければならないものとします。

17. 「ギガバイト」は、「クラウド・サービス」を取得する際の課金単位です。「ギガバイト」とは、2 の 30 乗バイトのデータとして定義されます (1,073,741,824 バイト)。お客様の「PoE」または「取引文書」に定める課金期間中に「クラウド・サービス」によって処理される「ギガバイト」の総数をカバーするのに十分なエンタイトルメントを取得しなければならないものとします。

2. セットアップ料金

標準的なセットアップ・サービスおよびそれらに適用される料金は、IBM OpenPages GRC New Client Jump Start on Cloud オファリングまたは IBM OpenPages GRC Existing Client Jump Start on Cloud オファリングのいずれかにより定められます。

追加の構成またはサービスが必要なお客様は、追加の「作業指示書」により IBM の OpenPages GRC on Cloud サービスを契約する必要があります。

3. 超過料金

課金期間中の「クラウド・サービス」の実際の利用が、「PoE」に記載されたエンタイトルメントを超える場合には、かかる超過が生じた月の翌月に、「取引文書」に記載された料金で超過料金が請求されます。

4. リモート・サービス料金

リモート・サービスの料金は、かかるリモート・サービスの「取引文書」に記載された料金で請求され、リモート・サービスが使用されたか否かにかかわらず、購入から 1 年後に満了となります。

6. 期間および更新オプション

「クラウド・サービス」の期間は、「PoE」に記述されるとおり、「クラウド・サービス」へのお客様のアクセスについて、IBM がお客様に通知した日に開始します。「PoE」には、「クラウド・サービス」が自動的に更新されるか、継続利用ベースで続行されるか、期間満了時に終了するかが記載されます。

自動更新の場合には、お客様が期間満了日の少なくとも 90 日前までに書面により更新しないことを通知する場合を除き、「クラウド・サービス」は、「PoE」に定める期間につき自動更新されます。更新には、見積書に記載されたとおりに年次の値上げが適用されます。「クラウド・サービス」の営業活動終了に関する IBM 通知を受領後に自動更新が行われた場合、当該更新期間は、現在の更新終了または発表された営業活動終了日のいずれか早期に到来する日に終了します。

継続利用の場合は、「クラウド・サービス」は、お客様が 90 日前までに書面により終了を通知するまで、月単位で継続利用することができます。「クラウド・サービス」は、かかる 90 日の期間後の暦月末日まで引き続き利用することができます。

7. 追加条件

1. 共通事項

お客様は、IBM が広報活動またはマーケティングのコミュニケーションにおいて、お客様を「クラウド・サービス」の利用者として公に言及できることに同意します。

2. バックアップ

バックアップは、実稼働インスタンスについては毎日実行され、非実稼働インスタンスについては必要に応じて実行されます。IBM はお客様のデータのバックアップ・コピーを、実稼働インスタンスについては最大 3 年間、非実稼働インスタンスについては最大 90 日間保持します。お客様は、個々のユーザーによるデータの削除を防止するために、「クラウド・サービス」のセキュリティーを構成する責任を負い、当該データが削除された場合には、IBM には当該削除データを復旧する義務がないこと、および可能な場合には、かかる作業について料金を課すことができることをお客様は了承し、同意するものとします。

3. クラウド・サービスの有効期限

「クラウド・サービス」の満了または終了の前に、お客様は「クラウド・サービス」について提供された報告機能またはエクスポート機能を使用してデータを抽出することができます。カスタム・データ抽出サービスは、別途契約に基づいて提供されます。

「クラウド・サービス」の満了日または終了日から 30 日以内にお客様からサポート要求を受け取った場合、IBM はお客様のコンテンツの電子コピーをネイティブ・アプリケーション形式でお客様に返却します。

4. 災害復旧

自然災害 (例: 火災、地震、洪水、その他) によって大規模なシステムの中断が発生した場合、目標復旧時間を 72 時間として、お客様の実稼働データを代替のデータセンターに復元するために、商業的に合理的な努力を払うことによって実稼働インスタンスの災害復旧を遂行します。これは保証ではなく、サービス・レベル・アグリーメントも一切適用されません。

5. 非実稼働 (Non-Production) に関する制限

「クラウド・サービス」が「非実稼働」と指定されている場合、その「クラウド・サービス」は、お客様の社内での非実稼働活動に対してのみ使用することができます。この活動には、テスト、パフォーマンス調整、障害診断、内部ベンチマーキング、ステージング、品質保証活動、または公開されたアプリケーション・プログラミング・インターフェースを使用して行われる「クラウド・サービス」に対する内部使用の追加機能または拡張機能の開発などが含まれますが、これらに限定されるものではありません。お客様は、「クラウド・サービス」のいかなる部分も、実稼働に関する適切な使用許諾を取得せずに、その他の目的で利用することはできません。

6. 第三者の利益のための使用に関する制限

お客様は、IBM が書面により別段の合意をした場合を除き、「クラウド・サービス」またはそのコンポーネント (「クラウド・サービス」により作成される出力データおよびレポートを含みますが、これらに限定されません。) を、サービス・ビューロー、ホスティング・サービスまたはその他の商業目的の情報技術サービスを第三者に提供するために使用することはできません。

i126-6682-06 (09/2018) 6 / 6 ページ