本金融機関向け変更契約 (以下「本変更契約」といいます) は、マイクロソフト クラウド契約 (以下「原契約」といいます) の当事者である貴社とマイクロソフト関連会社の間で締結されるものです。両当事者は、本変更契約が原契約を補完するものであり、貴社が原契約に基づいて購入する Online Service (以下に定義します)にのみ適用されるものであることに同意します。

マイクロソフト クラウド契約

金融機関向け変更契約

本金融機関向け変更契約 (以下「本変更契約」といいます) は、マイクロソフト クラウド契約 (以下「原契約」といいます) の当事者である貴社とマイクロソフト関連会社の間で締結されるものです。両当事者は、本変更契約が原契約を補完するものであり、貴社が原契約に基づいて購入する Online Service (以下に定義します)にのみ適用されるものであることに同意します。

貴社または貴社の関連会社は、金融サービスの規制当局による監督の対象となります。かかる監督を考慮して、両当事者は原契約を以下のとおり変更することに合意します。

1. 用語の定義

本変更契約で使用されている用語のうち定義のないものについては、原契約またはオンライン サービス条件 (以下「OST」といいます) における定義が適用されます。本変更契約においては、以下の定義が使用されます。

本変更契約において、「貴社」とは、規制当局による監督の対象であって、かつ、Online Service を利用する法人またはその関連会社を意味します。

「Microsoft Online Services FSI カスタマー コンプライアンス プログラム」または「FSI カスタマー コンプライアンス プログラム」とは、規制当局による監督の対象である、当社の顧客またはその関連会社に提供される、オプションの有料プログラムを意味します。

本変更契約において、「Online Service」とは、それぞれ OST の「データ処理条件」の項に定義されている、 Microsoft Dynamics 365 コア サービス、Office 365 サービス、Microsoft Azure コア サービス、Microsoft Intune オンライン サービス、および Microsoft Power BI サービスを意味します。

「規制当局」とは、貴社、または貴社に対するOnline Service のプロバイダーとしての当社に対する調査権または監督権を有する金融サービスの規制当局を意味します。

2. 貴社による法令の遵守

a. データおよび事業所に対する実効的なアクセス 本変更契約の規定に従い、かつ、明確化および適用される規制との整合性を図るため、当社は、貴社、貴社の内部および外部監査人 (本変更契約ではその両者を「貴社監査人」と定義します) ならびに貴社の規制当局に対し、当社に外部委託される活動に関連するデータへの実効的なアクセス、および当社の事業所への合理 的なアクセスを提供します (第 2 条 (b)(ii) 項および第 2 条 (c)(iii) 項を参照)。貴社は、Online Service に展開されている貴社の仮想マシンおよびアプリケーションを含め、顧客データに直接アクセスする権利を常に有します。これには、貴社が Online Service における貴社の展開内容の脆弱性および侵入テストまたは貴社が使用している特定の Online Service に適用される他の類似のテストを実施する権限を含みます。疑義の発生を避けるため付言すると、貴社は、当社の条件に従ってテストを実施する必要があり、当社の条件においては、特に貴社がテストを行う場合は当該テストについて当社に事前に通知することを義務付けたり、貴社が当社の他の顧客を対象にすることを禁じることがあります。

b. 規制当局の調査権

(i) 貴社の規制当局が、貴社による Online Service の使用に関する情報を要求した場合、貴社は最初に、Online Service の標準機能と貴社に提供された情報を、かかる要求への回答に使用します。

(ii) 規制当局が、貴社のサービス プロバイダーとしての当社を監督するという規制当局の義務を果たすために Online Service の運用および管理について調査したいと要求した場合、当社は、規制当局に対し、Online Service について調査する権利 (実地で調査を実施し、当社の担当者および当社の外部監査人と面談し、関連する情報、記録、報告および文書にアクセスする権限を含みます) を直接提供します。かかる活動は、当社の事業所、貴社および

その関連会社に提供される Online Service に関する活動が行われるその他の場所、ならびに規制当局が別途要請した場所で行われることがあります。

(iii) 当社は、OST の「標準のプライバシーとセキュリティの条件」に定める場合を除き顧客データを規制当局に開示せず、規制当局は当社の他の顧客に帰属するデータへのアクセス権を付与されません。

(iv) 貴社は常に、Online Service の標準機能を使用して顧客データにアクセスすることができ、規制当局の担当者に貴社の顧客データへのアクセスを代行させることもできます。

(v) 貴社および当社は、本第 2 条(b) 項に定める活動に伴って各々に生じた費用について責任を負います。

(vi) なお、当社および貴社は、規制当局の各要請に対し、貴社、当社および規制当局の協議および情報交換を通じて解決するよう協力します。当社および貴社は、規制当局の調査権に関する規定は、適用される法令または規制に違反または抵触することを意図したものではなく、本条のいかなる規定も規制当局の Online Service を調査する権限の履行を妨げるものとは解釈されないことを、確認します。

c. 貴社の調査、監視および監査の権利 当社は、貴社が貴社の調査、監督、管理および監査に関する要件を満たすことができるようにするため、貴社を含め規制当局による監督の対象であ る顧客に対し、情報、当社の担当者および当社の外部監査人へのアクセスを提供する特定の 権利およびプロセスを設けています。かかる権利およびプロセスは、Online Service を運用し 他の顧客のデータのプライバシーおよび秘密を保護する当社の能力を維持しながら、当社が規制当局に提供する情報および担当者へのアクセスと事実上同一のアクセスを貴社に提供するためのものです。具体的には、当社は、貴社監査人を含む貴社に対し、以下に定める権利を提供します。以下の第 2 条 (c)(iii) 項に定める活動は、当社の事業所または Online Service に関する活動が実施されるその他の場所でオンサイトで行うことができます。

(i) Online Service の情報セキュリティ ポリシー OST に規定するとおり、各 Online Service は、一定の制御標準およびフレームワークに適合する、明文化されたデータ セキュリティ ポリシー (以下「情報セキュリティ ポリシー」といいます) に従います。当社は、各情報セキュリティ ポリシーを、該当する Online Service について実施されるセキュリティ制御手段の内容ならびに当社のセキュリティ手順およびポリシーに関して貴社が合理的に要求した他の情報と共に貴社に提供します。

(ii) Online Service の監査 当社は、貴社および貴社監査人を含む顧客、ならびに規制当局に代わり、当社が各 Online Service において、顧客データ (個人データを含む) の処理に使用するコンピューター、コンピューティング環境および物理的なデータ センターのセキュリティの監査を実施させます。各監査の結果、OST に定める監査レポート (以下「監査レポート」といいます) を作成します。貴社から要求があった場合には、当社は OST に規定する条件に従い、貴社に各監査レポートを提供します。

(iii) FSI カスタマー コンプライアンス プログラム 貴社は、原契約に基づきいつでも FSI カスタマー コンプライアンス プログラムに参加することを選択できます。このプログラムでは、第 2条 (c)(iii)(1) 項および (2) 項に定めるように、貴社に追加的な監視、監督および監査の権利ならびに Online Service に対する追加的な制御手段が認められます。

1) Online Service の情報および当社の担当者に対する監督アクセス

A. 当社の追加サポート 貴社は、貴社のプレミア サポート サービス契約を通じて、当社の担当者に連絡し、Online Service に関する質問およびエスカレーションを行うことができます。

B. 監査ウェブキャスト 当社は、Online Service 監査レポートを受領した後、FSI カスタマー コンプライアンス プログラムのメンバー (以下「メンバー」といいます) すべてを、メンバーが監査結果について議論するために当社が主催するウェブキャストに招待します。各ウェブキャストには、(1) 統制手順が設計どおりに運用されること

によって所定の内部統制目標が達成されることが合理的に保証できるよう統制手順が適切に設計されているか否か、および (2) 統制手順が報告期間中効果的に運用されていたか否かの評価が含まれます。監査ウェブキャストの参加メンバーから要請があった場合、当社は、監査で指摘された不備について予定されている改善策に関する詳細情報を提供します。

C. 重大イベント 当社は、全メンバーに対し、(1) メンバーによる Online Service の使用に対し重大なサービス上の影響を及ぼすことが合理的に予想され得るセキュリティ インシデントおよびその他の状況について、その性質、共通の原因および解決法、(2) 当社のリスク/脅威評価、ならびに (3) 当社の業務復旧および緊急時対応計画の重大な変更その他の状況であって、メンバーによる Online Service の使用に深刻な影響を及ぼすおそれがあるものについて、連絡します。

D. 侵入テスト 当社は、少なくとも年 1 回、Online Service に対する第三者の侵入テストを実施します。これには、マルチテナント Online Service 内のテナント間でのデータ分離の検証が含まれます。要請に応じて、当社はメンバーに対し、かかる侵入テストの結果をまとめた概略報告書を提供します。

E. プログラム イベントを通じた Online Service の情報開示 当社は、ウェブキャストまたは年次サミット イベントを含む対面の会合などのグループ イベントを通じて、 Online Service の該当分野の専門家を全メンバーに対応できるようにします。これらのイベントには、予定されている開発のロードマップ、メンバーが FSI カスタマーコンプライアンス プログラムとその将来的に望まれる進化について体系的なフィードバックや提案を提供する機会、および (本項に規定する) 重大イベントの報告が含まれます。これらのイベントでは、メンバーが共通の問題について話し合い、当社に提起する機会も提供されます。本項に定める目的が 1 年に 1 回以上達成される限りにおいて、コミュニティ イベントの形式および開催頻度は、時間の経過に伴い変更されることがあります。

F. メンバーによる追加の情報提供要請 OST に規定されているように、SSAE 16 SOC 1 Type II およびSSAE 16 SOC 2 Type II に従って監査が実施されたOnline Service については、メンバーは、Online Service の標準機能、第 2 条の規定、またはその他の利用可能なリソースにより対応されない追加の情報を、有償 (日当ベース) で、当社の該当分野の専門家に要求することができます。当社は、かかる要求に対応するため、当社の従業員 1 人につき 1 日 4,000 米ドルの日当をベースに、合理的な交通費を加えて計算した見積料金を記載した作業指示書を作成します。メンバーは、1 日のうち一定時間のみ必要とされる当社の技術スタッフについては、日当の満額を請求されません。当社は、実施された作業の割合の分の料金のみを請求します。さらに、当社は、会議の調整、訪問者の案内、または文書のコピーなどの管理業務を行う当社の従業員について料金を請求しません。作業指示書は、作業の開始前に両当事者が締結しなければなりません。請求、支払および税に関する条件については、マイクロソフト プレミア サポート サービス契約に基づくプロフェッショナル サービスと同じとします。

メンバーは、当社従業員が提供した情報が十分であると合理的に納得しない場合、当社の外部監査人との面談を書面で要請することができます。当社は、該当する Online Service の監査を行った外部監査人に、メンバーと面談し質問について協議するよう要請します。かかる協議は、外部監査人の同意を条件とし、メンバーの費用負担で行うものとし、かつメンバーが、外部監査人の納得する形式および内容の秘密保持契約を締結することを条件とします。

2) Online Service およびプログラムへの影響力の行使 – 追加テストの提案

当社は、各メンバーに対し、既存および将来の認証、監査計画および範囲についてさらに詳細な情報を提供し、かつ現行の認証に変更が予想される場合は変更に対するフィードバックの提供を募集します。当社の各監査については、その監査種別の範囲に含

まれる既存の制御手段の 100% が監査人のテスト対象となり、1 周 3 年の監査サイクルで各監査範囲のすべての制御手段がテストされる予定です。FSI カスタマー コンプライアンス プログラムの一環として、各メンバーは将来の監査範囲に追加の制御手段を含めるよう提案することができます。当社は、かかる各提案を検討し、受け入れない場合は合理的な根拠を説明します。当社は、いずれの監査サイクルにおいても、全メンバーのすべての提案の中から、(既存の一連の制御手段のうち) メンバーが指定した制御手段を少なくとも 5 つ監査指示に含めるものとし、監査人に対しこれらの制御手段がメンバーの選択したものであることを通知します。これらの制御手段の遵守状況は、実施される監査種別 (ISO または SSAE など) に適合したテストを使用して検証します。

FSI カスタマー コンプライアンス プログラムのメンバーが合計で 15 を超える場合、当社はエグゼクティブ・コミッティー (以下「エグゼクティブ・コミッティー」といいます) を設けます。エグゼクティブ・コミッティーは、いずれの監査サイクルにおいても、全メンバーを代表して上記の 5 つの制御手段を決定します。当社は、その単独の裁量により、メンバーが要請した追加の制御手段を含めることができます。

エグゼクティブ・コミッティーには、FSI カスタマー コンプライアンス プログラムの参加者のいる主要な各規制対象市場から少なくとも 1 社の代表者が含まれます。同一の市場から複数のメンバーが参加している場合、かかる市場から選出されるエグゼクティブ・コ ミッティー委員は、(1) 当該市場のメンバーのうち Office 365 サービスの有効シート数が 10,000 を超えているかまたは Microsoft Azure コア サービスの年間コミットメントが 500,000 米ドルを超えている者の過半数の合意、または (2) かかる市場の全メンバーを管轄する規制当局の指定によって決定します。主要な規制対象市場には、少なくとも、カナダ、米国、英国、フランス、ドイツ、日本およびイタリアが含まれます。当社は、全メンバーと協議したうえでのみ、主要な規制対象市場を追加し、またはエグゼクティブ・コ ミッティーに参加するメンバー数を増やすことができます。

なお、本条のいかなる規定も、メンバーが新しい制御手段またはいずれかの製品、機能もしくは Online Service のさらなる詳細を将来の監査のロードマップに含めるよう要請することを妨げるものではありません。当社は、かかる各要請を検討し、受け入れない場合は合理的な根拠を説明します。

3) FSI カスタマー コンプライアンス プログラムの条件およびプロセス

A. 条件 貴社による FSI カスタマー コンプライアンス プログラムへの参加は、貴社が (a) 規制当局による規制の対象であること、(b) 原契約を通じて 1 つ以上の Online Service の有料サブスクリプションを有効に維持していること、および (c) 有料のマイクロソフト プレミア サポート サービス契約を有効に維持していること、を条件とします。また、貴社は、貴社が参加している各年につき 50,000 米ドルの年間料金を支払う必要があります。

B. オンボーディング 貴社が FSI カスタマー コンプライアンス プログラムへの参加を決めた場合、権限を有する貴社の担当者は、貴社の連絡先担当者情報と年間料金の発注詳細を当社の電子メール アドレス

(xxxxxxxxxx@xxxxxxx.xxxxxxxxx.xxx) 宛てに送付することにより、当社に通知します。

C. 解除 貴社は、当社に通知することにより、いつでも自らの FSI カスタマー コンプライアンス プログラムのメンバーシップを解除することができます。当社は、貴社が第 2 条 (c)(iii)(3)(A) 項に定める条件のいずれかを満たさなくなった場合、貴社の FSI カスタマー コンプライアンス プログラムのメンバーシップを解除することができます。

3. セキュリティ インシデント: 一定のコストに関する限定的な補償

原契約に基づく義務を当社が遵守しなかったことに起因してセキュリティ インシデント (OST の定義による)が生じた場合、各 Online Service に適用される責任制限に従って、当社は貴社に対し、貴社が当該セキュリ

ティ インシデントに関して実際に支出した合理的な修復費用を補償します。「実際に支出した合理的な修復費用」は、(a) 当社に起因するセキュリティ インシデントについて裁判所、審判廷、仲裁廷、政府機関または規制当局に課された支払金、罰金、違約金、制裁金、弁護士費用、裁判所の費用または料金、その他の救済または責任、ならびにこれらに対する利息にかかった実費、(b) 当社に起因するセキュリティ インシデントの管理または是正のために貴社または貴社の関連会社が実際に支出したその他の商業的に合理的な費用 (影響を受けた Online Service の回復、修正または修復に関連する費用を含みますが、これらに限定されません)、および (c) 当社に起因するセキュリティ インシデントの場合に法律上義務付けられている貴社のエンド ユーザーへの通知に関して実際に支出した商業的に合理的な費用 (ただし、危機管理、広報または報道対応サービスに関するものなど、第三者である専門家のサービスの料金は含みません。これらは原契約に規定する間接損害および結果的損害です)、で構成されます。貴社は、かかるすべての費用を記録しなければならず、当社から要請があった場合には、両当事者が選任した、国際的知名度のある独立した第三者の金融業界の専門家による確認を受ける必要があります。疑義の発生を避けるため付言すると、本項に基づき当社が補償する費用は、原契約の責任制限が適用される直接損害として位置付けられるものであり、原契約で除外される間接的損害、派生的損害、特別損害、または付随的損害として位置付けられるものではありません。

4. 解除に関する貴社の権利

a. 規制当局の指示による解除 貴社は、規制当局の明示的な指示を受けた場合、合理的な通知を行ったうえで Online Service を解除することができます。

b. 規制遵守を理由とする解除 貴社が Online Service を使用しているために遵守することができないと貴社が判断する、新しい政府の法令、規制、要求、決定、命令その他の裁定が、貴社に対して課される場合、当社は、貴社の要件に対応する方法について貴社と協議します。両当事者は、その他の製品もしくはサービスの追加、第三者プロバイダーが提供する製品もしくはサービスの入手、または他のソリューションの追加を検討することができますが、いずれも費用は貴社の負担とします。両当事者が貴社の新しい規制要件を満たすことができない場合、貴社

は、60 日前までに書面をもって当社に通知することにより、何らの理由なくして該当する Online Service を解除することができます。

c. 削除（支払い免除条項であり、CSP についてはこれを決定するのは MS ではなくパートナーであるため）

5. Online Service のビジネス継続性

当社は、(1) 貴社またはその関連会社のいずれかに影響する規制その他の法的措置がとられた場合、または (2) 原契約が解除された場合に、貴社による業務の継続を確保するよう規制当局から要求される場合があることを了解します。当社と貴社は、以下のとおり合意します。

a. 貴社による権利の譲渡後の継続

1) 金融業界に適用される法令または規制の規定に従い、支払不能、会社更生、清算、またはその他の貴社またはその関連会社のいずれかに影響する何らかの措置がとられた場合 (「大きすぎて潰せない」、「再建・破綻処理」、「特別管理」、ならびに同様の規制および措置など)、貴社が原契約に基づいて購入した Online Service の提供を当社が継続するために必要な範囲において、当社は、貴社が原契約に基づく貴社の権利を、(A) 1 つ以上の関連会社、または (B) 貴社の事業、資産または株式の一部またはすべてを購入その他の形で継承する第三者、に譲渡、再許諾または移転することに同意します。いずれの場合も、権利の譲渡を受ける法人は「譲受人」となり、譲受人は、当社の標準的なプロセスおよびツールを使用して顧客データにアクセスできるようになります。

2) 当社は、原契約を解除することはなく、原契約に基づく当社の義務の履行を一時中断または遅滞することもありません。ただし、次の条件を前提とします。

A. 譲受人は、譲渡前におよび原契約の更新または差し替えを通じて提供されたサービスについて、原契約の条項に基づいて貴社が当社に支払うべき料金および手数料のすべてを支払わなければなりません。

B. 譲受人および当社は、当社が譲受人に Online Service を提供できるよう、原契約を更新するか、または該当する場合は原契約を適切な条項に差し替えるために、誠実に協力するものとします。

C. 当社および譲受人が、譲受人への権利の譲渡から 12 か月以内に、B 項に規定する条項について合意することができない場合、当社は、譲受人に通知することで原契約を解除することができます。

D. 貴社、貴社の関連会社、および譲受人に対する当社とその関連会社の責任累計額は、原契約に基づく当社とその関連会社の責任累計額を超えないものとします。

3) 譲受人が新しい原契約の締結を希望する場合、両当事者は、本第 5 条 (a) 項に基づく譲渡の観点から適切である条項を設けるべく、誠実に協力します。

b. 原契約の解除後の継続 何らかの理由で原契約が解除される場合、貴社は、月単位での延長を選択した旨を当社に通知することにより、解除日から最大 12 か月間、月単位で Online Service を延長することができます。原契約の条件に従って、かかる期間中、当社は Online Service の提供を継続し、貴社は引き続き Online Service の提供を受け、これについて支払を行います。さらに、かかる期間中、貴社は、当社の標準的なプロセスおよびツールを使用して貴社の顧客データを取得することができます。貴社は、当社に解約通知を提供することによって、延長したサービスを解約することができます。解約の効力は、当社が解約通知を受領してから 30 日が経過した月の最終日に生じます。

c. 可逆性 第 4 条および本第 5 条に規定するように原契約が解除され、貴社が別のオンラインサービスへの移行を選択する場合、貴社は当社に対し、当社のプロフェッショナル サービス組織を通じて、かかるサービスのその時点における料金で、かかる移行を支援するよう要求することができます。

貴社は、第 5 条 (a) 項および第 5 条 (b) 項に規定する延長サービス期間中いつでも、当社のプロフェッショナル サービス組織に対し、移行に関する支援およびサポートを要求することができます。

6. 雑則

a. 秘密保持 本変更契約、情報セキュリティ ポリシー、監査レポート、ならびに FSI カスタマー コンプライアンスプログラムに関するおよびこれを通じて提供されるすべての情報は、マイクロソフトの秘密情報です。貴社は、これらの項目を貴社監査人、コンサルタントまたは規制当局に開示することができます。ただし、(1) 貴社は事前に、価格情報および発注数量を含め、規制当局による監督または承認に無関係なすべての条件を削除するものとし、かつ (2) 貴社は、規制当局への開示を除き、貴社が貴社の担当者にマイクロソフト秘密情報を開示する場合と同様に、原契約の秘密保持条項を遵守しなければなりません。

b. 契約期間および解除 上記の第 4 条および第 5 条に従うことを条件として、本変更契約は、原契約が解除された場合には自動的に終了します。

本変更契約に基づく変更を除き、上記の原契約は変更されることなくその効力を完全に維持します。本変更契約の条項と、上記の原契約の条項および OST の条項の間で抵触が生じた場合は、本変更契約が優先して適用されるものとします。