Contract
標準取引条件
1. 契約の範囲及び内容
1.1 本契約の目的、締結及び効力は下記のとおりとする。
(a) アムジェン株式会社(以下「アムジェン」という。)は、両当事者が同意した本商品及び本サービスの内容並びに購入注文番号を記載した購入注文書(以下「注文書」という。)により発注し、注文書にサプライヤーと記載される会社(以下「サプライヤー」という。)は、当該注文書及び本標準取引条件に従い、本商品、成果物、及び/又は本サービスをアムジェン、Amgen Inc.、又はその子会社・関連会社(アムジェンを含む。)(以下、これらを総称し「アムジェングループ」という。)のメンバーに供給する。「本商品」とは、サプライヤーが、アムジェン又はその他のアムジェングループのメンバーに供給する商品であって、注文書に記載されるものをいい、「本サービス」とは、サプライヤーが、アムジェン又はその他のアムジェングループのメンバーに供給するサービスであって、注文書に記載されるものをいう。「成果物」とは、サプライヤーが、本契約の履行過程において、書面又は口頭により提供する、有形もしくは無形のあらゆる財産をいう。本標準取引条件は、その内容として注文書に適用される。
(b) 本契約(以下「本契約」という。)は注文書及び本標準取引条件から構成され、サプライヤーがアムジェンに対し注文書の内容を受諾する旨の書面による通知を行った時点、又はサプライヤーが注文書を受領した日の翌日から起算して3営業日以内に受諾を拒否する旨の書面による通知を行わなかった場合には当該期間が満了した時点において、アムジェン及びサプライヤー間で締結されたものとみなされる。
(c) アムジェンにより適式に発行された注文書がない場合、サプライヤーは支払を受けることはできない。
(d) 本標準取引条件と、サプライヤーによるアムジェンへの本商品又は本サービスの供給についての両当事者間におけるその他の契約(各当事者の権限を有する者が締結したもの。注文書を含む。)の条件との間に齟齬がある場合、当該その他の契約の条件が優先される。
1.2 サプライヤーは以下について表明し、保証する。
(a) サプライヤーは、本契約を履行する能力があり、本契約を締結する十分な権限を有していること。
(b) サプライヤーは、明示的か黙示的かを問わず、本契約と矛盾するいかなる契約上の義務も負担していないこと。
(c) 本契約に関与するサプライヤーの役員及び従業員は、サプライヤーがxxかつxxな方法で本商品、本サービス及び成果物(以下「本商品等」という。)を提供することを妨げるような、いかなる金銭的又は個人的利害関係も有していないこと。
(d) サプライヤーは、アムジェンに本商品等を提供するにあたり、関連法令により資格停止、資格剥奪、又は除名処分を受けた医療専門家の雇用、下請としての利用、又はかかる医療専門家への業務の指示を行わないこと。サプライヤーは、本契約に関与する医療専門家について、かかる資格停止、資格剥奪、又は除名処分に関する調査又は手続が開始された場合、直ちに書面によりアムジェンに通知すること。
1.3 サプライヤーは、以下の各号の事項を遵守しなければならない。
(a) 善良なる管理者の注意をもって本サービスを提供すること。
(b) 注文書に従って、本商品等を提供すること。
(c) 本商品等を提供するために必要な、あらゆる同意、承認、免許及び免責を取得すること。
(d) アムジェンが、医薬品の販売促進及び医療専門家・組織との交流に関する行動規範の規制を受ける製薬会社であることに鑑み、
(i) 本サービスに関連した医療専門家との契約の存在及びその内容(該当する雇用者の書面による同意を含む)について、開示又は同意を求める関係当局又は雇用者に対して書面により開示すること、
(ii) 医療専門家・組織への報酬を含め本サービスが適正であること(報酬が独立当事者間の取引におけるxxな市場価格であり、適用される法令、規則等及び行動規範に定められた上限に従っていることを含む)及び医療専門家・組織との間の契約がその他の取引への助言又はその促進を含まず、その他いかなる法令、規則等にも違反しないことを保証すること。
(e) 本商品等に関連して、政府又は規制当局に対して連絡・問い合わせを行わないこと。ただし、適用法令により要求されておりアムジェンと事前に書面による協議を行っている場合、又はアムジェンよりかかる行為を求められた場合はこの限りではない。
2. 本商品等の納入と受領
2.1 本商品及び成果物の納入
(a) サプライヤーは、自己の危険及び費用負担において、注文書の内容及びアムジェンの指示に従って、本商品及び成果物を納入する。サプライヤーは、本商品又は成果物が破損することなく納入場所へ到着するよう適切かつ安全に梱包する。
(b) 注文書には納入日を記載されなければならない。納入は、アムジェンの書面による別段の同意がない限り、通常の営業時間内に行われなければならない。サプライヤーは アムジェンに対し、本商品又は成果物の納入時に、発注番号、発注日、数量及び内容明細が記載された納品書を提出しなければならなない。
(c) サプライヤーは、アムジェンへの本商品又は成果物の納入前に本商品又は成果物の紛失又は破損により本契約に従った本商品又は成果物の全部又は一部の納入ができない場合、書面により速やかにその旨を アムジェンに通知し、自社の負担において、本契約に従い本商品又は成果物を提供できるよう、速やかに本商品又は成果物を補充又は修繕しなければならない。
2.2 所有権と危険負担 本商品又は成果物の所有権及び危険は、サプライヤーによる本商品又は成果物の納入時にサプライヤーからアムジェンに移転する。アムジェンに本商品又は成果物を納入した後は、サプライヤーは、本商品又は成果物に関しオプション、担保権、留置権、負担その他のいかなる権利による制約も付してはならない。サプライヤーも第三者も、本商品又は成果物について、所有権を留保する権利その他のいかなる権利も留保することはできない。
2.3 検査及び受領拒絶
(a) アムジェンは、本契約に従って提供されなかった本商品及び/又は成果物の全部又は一部について、納品後10日間は、以下の(i)又は(ii)の対応を取ることができる。
(i) 本商品又は成果物が本契約の条件を満たすのに必要な作業を行い、サプライヤーに対し、同作業の費用を含め、サプライヤーの本契約違反の結果被った損害の賠償を請求すること。
(ii) 本商品又は成果物を返品(かつ何らの債務を負うことなくさらなる本商品又は成果物の受領
を拒否)し、サプライヤーから直ちに支払済みの代金の返還及び本商品又は成果物をサプライヤーに返品する際の保管・運搬費用の支払を受けること。
(b) アムジェンが、本商品又は成果物の納入後10日間以内に、納入された本商品又は成果物の受領を拒絶する旨サプライヤーに通知しない場合には、アムジェンにより受領されたものとみなす。
2.4 本商品の修理・補充の保証 サプライヤーは、本商品又は成果物が、注文書及びアムジェンの指示通り作成されており、いかなる欠陥や不適合も有しないこと並びにアムジェンが要求する目的に適合するものであることを保証する。かかる保証は、本商品又は成果物の受領後注文書記載の期間(以下「保証期間」という。)存続する。
(a) 保証期間中に、適正な使用にもかかわらず本商品又は成果物に欠陥が生じた場合、サプライヤーは、以下(A)、(B)いずれかの対応をとらなければならない。
(A) 欠陥のある本商品又は成果物を遅滞なく無償で修理又は交換する。ただし、(i)アムジェンが欠陥の発見後直ちにサプライヤーに対して書面による欠陥の通知をすること、及び(ii)かかる欠陥が設計、原材料又は製造工程に関するものであることを条件とする。
(B) アムジェンが欠陥のある本商品又は成果物の代金をサプライヤーに支払済みの場合、サプライヤーは支払済みの金額を返金する。サプライヤーは自己の費用負担において、アムジェンより欠陥ある本商品又は成果物を回収することができる。
(b) 修理済の本商品又は成果物及び交換用の本商品又は成果物は、本契約に従い、注文書に記載された当初の納入先へ無償で配送される。
(c) 本第2.4項の規定は、法令又は本契約に基づくアムジェン及びその他のアムジェングループメンバーの権利や救済手段を制限するものでない。
3. 支 払
3.1 価格設定 注文書に記載される価格には、包装費、梱包費、保険料、関税及び送料等のあらゆる費用が含まれる。
3.2 請求書の作成・送付 両当事者間に別段の合意がない限り、サプライヤーは、毎月、アムジェンへの本商品等の提供に関する請求書を作成し送付する。請求書には、注文書番号、実労働時間数及び立替費用の明細を記載し、消費税又はその他の適用される税金を別項目として明確に記載される。アムジェンは、請求書の内容について異議のない場合には、請求書の日付から60日以内にサプライヤーに対し請求書記載の金額を支払うものとする。アムジェンは、アムジェンのサプライヤーに対する債権と本商品等の代金とを対当額で相殺することができる。
3.3 費用 いかなる費用も、アムジェンの書面による事前の承認がない限り支払われない。あらゆる費用の返還の請求は、法人税申告の際経費として認められるよう税務当局の要求を満たすに足りる詳細と様式を備えた書類を添付して行わなければならない。
4. 免責と保険
4.1 免責補償 サプライヤーは、下記の各号に該当する場合には、アムジェンに対し、サプライヤー、サプライヤーの従業員、担当者、代表者又は下請業者が本商品等の提供に際して取った作為もしくは不作為に関連して、直接的又は間接的に生じた、あらゆる損失(経済的損失、利益の損失、派生的損失、
事務上の損失を含む。)、請求、費用、コスト(法的コストを含む。)及び損害について免責し、補償しなければならない。
(i) サプライヤーが本契約(本標準取引条件を含む。)に違反した場合
(ii) 本商品等の使用、製造もしくは供給の過程において、知的所有権を侵害した場合もしくは侵害の申し立てがあった場合
4.2 保険 サプライヤーは、本契約に基づく債務及び責任をカバーするのに適切かつ十分な保険に自社の負担で加入し、これを継続しなければならない。アムジェンが要求した場合、サプライヤーは、本契約に基づいてサプライヤーがアムジェンにとって受諾可能な保証内容の保険に加入している旨を証明する書類をアムジェンに提供しなければならない。
5. 秘密保持
5.1 サプライヤーは、注文書に記載された本契約の期間中、又は注文書に記載がない場合は注文書の日から本商品等を受領するまでの期間中、及びその後10年間にわたり、秘密情報を秘密として保持し、いかなる第三者にも開示せず、本契約で規定する目的以外で使用してはならない。サプライヤーは、善良な管理者の義務をもって秘密情報を秘密として取り扱い、権限を付与されていない者による秘密情報へのアクセスを防止するために必要かつ合理的な手段を常時講じなければならず、かかる手段はいかなる場合でもサプライヤーが自らの秘密情報を保護するために使用する手段と同等以上のものでなければならない。「秘密情報」とは、情報、手続、開発、結果、データ、ノウハウ、マーケティング戦略、慣習、治験報告書、調査者によるパンフレット、結論、技術及び発明で、サプライヤーがアムジェングループのメンバーからその形態(書面、電子的又は口頭を含むがこれらに限られない。)の如何を問わず直接又は間接的に入手したものを含む、すべての秘密情報及び資料をいう。秘密情報には、サプライヤー又はその他の第三者が作成したか否かにかかわらず、すべての原稿、分析、編集物、研究及び他の文書で、かかる情報に組み込まれ、かかる情報を要約し、包含し、その他反映し、又は参照するものが含まれるがこれらに限られない。
5.2 サプライヤーは、サプライヤーの直接の管理下にあり、かつ本契約の守秘義務と同程度以上の守秘義務を既に負っている者にのみ、秘密情報を利用させることができる。
5.3 本条は、以下の情報には適用されない。
(i) サプライヤーの過失によらず、使用、公表、又はそれらに類した方法により、公知となっている、又は公知となる情報、
(ii) サプライヤーに対して開示することができる法的権利を有する第三者より、守秘義務を負うことなく入手した情報、
(iii) サプライヤーが既に保有しており、アムジェンから入手する前に入手したことを書面による記録によって証明できる情報、又は
(iv) 裁判所又はその他政府当局からの有効な命令に応じてサプライヤーに開示が要求される情報(ただし、サプライヤーは、開示に際して、アムジェンに事前にかつ適時に書面により通知し、かかる開示の範囲を制限するよう努めるものとする。)
5.4 サプライヤーは、アムジェンより書面による要求があった場合又は本契約がどのような理由であれ終了し
た場合、あらゆる形式の複製を含む有形の秘密情報を速やかに返却し、さらに、法令上禁止されていない限り、すべての磁気式又は光学式ディスク、又はメモリーに保存された秘密情報を削除しなければならない。ただし、適用法上の義務がある場合、サプライヤーは、記録保持目的のために秘密情報の複製を一部保持することができる。サプライヤーは、本商品等の提供に関して、サプライヤー又は第三者の秘密情報を アムジェンに開示してはならない。
6. 情報の取扱い及び開示
6.1 情報の取扱い
(a) 本契約の管理と運用において、アムジェンがサプライヤーの個人情報を収集し処理する場合がある。かかる個人情報には、氏名、連絡先の詳細、専門分野及び本契約の内容などのセンシティブではない情報が含まれるが、これらに限られない。当該情報は、当該情報を収集した国以外に、米国又は EU/EEA諸国で安全に保管し、取扱い、又は処理するために、第三者に移管される場合があり、サプライヤーは本契約をもって当該移管に承諾する。サプライヤーの情報を収集又は処理した国がどこであるかを問わず、アムジェンは、サプライヤーの個人情報を保護するために、業界基準に沿った合理的な努力を尽くさなければならない。
(b) サプライヤーは、適用法令による一定の制約に服することを条件として、アムジェンに通知することにより、かかる情報の利用、訂正、又は削除を求めることができる。
6.2 開示
(a) 本契約に相反する事項が規定されている場合であっても、サプライヤーは、適用法令、規則等及び開示義務に関する行動基準により求められる、又はそれらを遵守するために必要な範囲において、以下の事項を認識し、同意する。
(i) アムジェンがサプライヤー及び本契約に関する情報を公開できること、及び
(ii) かかる情報には、開示法の対象となる、サプライヤーに対する支払その他有価物の提供、又は、サプライヤーがアムジェンに代わり、もしくはアムジェンの要請で行った、ヘルスケア専門家、ヘルスケア専門機関及びその他の個人もしくは法人への支払その他有価物の提供が含まれること。
(b) サプライヤーは、すべての関連する開示法令及び規則に準拠した情報の収集に関するアムジェンの合理的要請に対し、速やかに対応及び協力することに同意する。
7. 知的財産
7.1 第三者に対する非侵害
(a) サプライヤーは、本商品等のいずれも第三者の全世界における特許、著作権、著作成果物の権利
(人格権を含む。)、商標、意匠、営業秘密、ノウハウ及びその他の知的財産権(以下、これらを総称し「知的所有権」という。)を侵害していないこと、及び注文書において合意される場合を除いてアムジェンがサプライヤーその他第三者に対してロイヤルティーの支払義務を負わないことを保証する。
(b) サプライヤーは、本商品等が第三者の著作権(第三者の著作者人格権を含む。)の対象となる場合、サプライヤーが当該第三者の著作権の使用許諾を行う権利(サプライヤーが供給した本商品等をアム ジェンが第三者の著作権を侵害することなく自由に利用できるよう、アムジェンに再実施権を付与するこ とが可能な権利)の付与を当該第三者から受けていることを保証する。第三者の著作権について何ら かの争いが発生した場合、サプライヤーは当該紛争を自らの責任と費用負担をもって解決し、アムジェン
に対しいかなる損害も被らないようにし、アムジェンに生じた損害について補償を行う。
7.2 作業成果物
(a) アムジェンもしくはアムジェングループのメンバーがサプライヤーに開示した情報又は本契約に基づくサプライヤーの本サービスもしくは成果物についての、成果物、情報、結果、仕様及び提案(サプライヤーが獲得した発見、発明、知的所有権、アイディア、仕様及び報告書を含む。)(以下「作業成果物」という。)に関する現在及び将来の知的所有権その他すべての権利は、アムジェン又はアムジェンにより指定されたアムジェングループのメンバーに独占的に帰属する。サプライヤーは、本契約により、作業成果物に関するサプライヤーのすべての権利、権原及び利益(現在及び将来のあらゆる知的所有権(日本の著作xx第27条及び第28条に基づく権利を含む。)を含む。)を、適用法令が許容する限りにおいて、アムジェンもしくはアムジェンにより指定されたアムジェングループのメンバーに譲渡し、又は将来的に譲渡するものとし、いかなる権利も留保しない。また、サプライヤーは、作業成果物に関していかなる人格権も行使しないことを誓約する。
(b) 本契約成立時より前に既に各当事者が保有していた知的所有権(以下「バックグラウンド知的所有権」という。)は、当該保有者が引き続き保有する。
(c) 上記第7.2(b)項にかかわらず、サプライヤーは、アムジェンが本商品等を利用するのに合理的に必要な限りにおいて、サプライヤーのバックグラウンド知的所有権を無償で利用する権利をアムジェンに許諾する。
8. 解 除
8.1 アムジェンは、サプライヤーに対し、注文書に定められた本商品等の納入期限の20日前に書面による通知を行うことにより、いつでも、損害を賠償することなく、注文を取り消すことができる。本サービスに関し、アムジェンによる注文の取消しがアムジェン自身の理由によるものであってサプライヤーに起因するものではない場合、サプライヤーは、サプライヤーが既に実行した本サービスの代金を受領する権利を有する。
8.2 納入不能による解除
(a) 本商品等が期限までに納入されない場合、アムジェンは、アムジェンが有するその他の権利に影響を与 えることなく、本契約の全部又は一部を解除し、サプライヤーが引き続き納入しようとする本商品等の受け取りを拒否することができる。この場合、サプライヤーは、アムジェンより受領済みの本商品等の代金を、直ちに アムジェンに返金する。
(b) 前号の場合、アムジェンは、サプライヤーが期限までに本商品等を納入できなかったことが原因でアムジェンが被った追加コスト、損失もしくは費用(別のサプライヤーから本商品等の代替品、代替サービスを入手するために負担した合理的な範囲の費用を含む。)について損害賠償を請求することができる。
(c) アムジェンは、その合理的な裁量により、本商品等の一部が納入されなかったために、アムジェンの通常の事業遂行において使用不能であると判断した場合には、受領済みの本商品等をサプライヤーの負担において返品することができる。この場合、サプライヤーは、返品された本商品等について、アムジェンより受領済みの本商品等の代金及びその他費用を、直ちにアムジェンに返金する。
(d) アムジェンは、本項の規定に従って本契約を解除した場合、サプライヤーに対して、いかなる責任も負わない。
8.3 その他の解除事由 アムジェンは、次の各号のいずれかに該当する場合、サプライヤーに対し、書面による通知を行うことによって、サプライヤーに対し何らの責任を負うことなく、本契約を直ちに終了させることが
できる。
(i) サプライヤーが、本契約に定める義務に違反し、是正不能な場合。
(ii) サプライヤーが、本契約に定める義務に違反し、是正措置を講じることが可能でありながら、 14日以内にかかる是正措置を講じず、又は14日以上本契約に定める義務の違反が存続する場合。
(iii) サプライヤーに支払の停止があったとき、又は破産手続開始、民事再生手続開始、会社更生手続開始、特別清算開始その他これに類する手続の申立を受け、あるいはその申立を行った場合。
(iv) サプライヤーが、その資産又は権利について、差押、仮差押、仮処分又は競売の申立を受けた場合。
(v) サプライヤーが、手形交換所の取引停止処分又は公租公課の滞納処分を受けた場合。
8.4 存続 いかなる理由により本契約が終了した後も、各当事者は、両当事者が契約終了後も存続することを明確に合意している、又は契約終了後も引き続き履行されもしくは性質上適用されることが意図されている、本契約の規定に基づく義務及び責任を引き続き負担する。
8.5 契約解除後の措置 サプライヤーは、アムジェンから解除通知書を受領した後、アムジェンから別途指示がない限り、(i)さらなる義務を負担せず、解除による本契約の終了に関して生じる経費をできるだけ抑えるために最善を尽くし、(ii)アムジェン又は アムジェンの指定する者への引渡しが完了するまで、進行中の又は完了した業務や関連データを保存し、(iii)アムジェンの指示に従って、作業成果物を提出しなければならない。
9. 下請業者
9.1 サプライヤーは、アムジェンによる事前の書面による承認が得られた下請業者に対してのみ、本契約に定める業務を委託することができる。サプライヤーと下請業者との契約は、本契約に基づくサプライヤーの義務又は責任を免除するものではない。
9.2 サプライヤーは、アムジェン及びその他のアムジェングループのメンバーに対して、提供する本商品等について責任を負うとともに、サプライヤー自身、下請業者、サプライヤー又は下請業者の社員、代表者、代理人の過失、誤謬、行為、不作為及び行動について責任を負うものとする。また、xxxxxxは、アムジェン及びその他のアムジェングループのメンバーに対して、下請業者が本契約に定める事項及びすべての適用法、規程、規則を遵守することについても、責任を負う。
10. 情報セキュリティ
サプライヤーは、本契約に基づく自らの義務を履行するために別紙に規定されるアムジェンの情報セキュリティ方針、手順及び基準を遵守する必要がある場合には、その内容を遵守しなければならない。
11. 腐敗防止及び反社会的勢力に関する表明及び保証
11.1 腐敗防止 サプライヤーは、本契約開始日より契約終了日までの間、以下について、表明、保証し、誓約する。
(i) サプライヤーは、直接、間接を問わず、あらゆる個人又は法人に対して、取引又は本契約に関係
する不適切な優位性を取得もしくは保持する目的で、商業賄賂を含む公務員等への贈賄もしくは汚職に関するあらゆる適用法、規則及び規制(以下「腐敗行為防止法」という。)に違反する恐れのある金品の提供、支払又は支払の合意をせず、かつ、それらの行為を承認しないこと。その知る限りにおいて、サプライヤーのオーナー、取締役、役員、従業員、代理人、代表者、下請業者、その他サプライヤーのためにもしくはサプライヤーに代わって活動する第三者(以下、これらを総称して
「代理人」という。)についても、同様とする。
(ii) 本契約に関する業務、又はアムジェンのために実施される業務に関連するサプライヤーの帳簿、会計口座、記録及び請求書が完全かつ正確に整備されており、今後もその状態を保つこと。
(iii) アムジェンは、(A)サプライヤー又は代理人が、腐敗行為防止法又は本条項に違反した場合、又は(B)サプライヤー又は代理人が、腐敗行為防止法に違反したこと、違反しようとしていること、又は違反させたことについてアムジェンが合理的な確信を持つ場合、本契約を解除できること。
(iv) アムジェンがサプライヤーに対してコンプライアンスを証明する文書の作成を要求した場合において、 (A)サプライヤーがかかる文書を提出しようとしない場合、(B)サプライヤーがかかる文書を誠実かつ正確に作成しない場合、又は(C)サプライヤーがかかる証明書に規定する条項を遵守しない場合、アムジェンは本契約を解除できること。
11.2 反社会的勢力 サプライヤーは、本契約の本件発効日から本契約の満了又は終了までの期間、犯罪組織、暴力団、犯罪組織グループと資本関係にある団体もしくは政治活動標榜ゴロ、及びこれらの種類のグループの構成員(以下「反社会的勢力」という。)の維持、経営又は運営に関与又は協力していないことを表明、保証及び誓約する。サプライヤーは、反社会的勢力に自らの経営又は活動 に関与又は協力させてはならない。サプライヤーは、反社会的勢力に対していかなる種類の資金供与及び資金提供(貸付を含むがそれに限らない。)も行ってはならず、サプライヤーは、反社会的勢力か らいかなる種類の資金供与又は資金提供も受けてはならない。サプライヤーは、反社会的勢力と認識 したうえで反社会的勢力と何らかの取引を行ってはならない。アムジェンは、(A)サプライヤーもしくはサプ ライヤーの代理人が本項を遵守しなかった場合、又は(B)サプライヤーもしくはサプライヤーの代理人が本項に違反し、違反するおそれがあり、もしくは違反が発生したと合理的に認められる状況である場合、本契約を解除することができる。なお、アムジェンは、本契約に基づく終了によってサプライヤーが被った損失をサプライヤーに保証する義務を負わない。
12. 個人情報保護
サプライヤーは、アムジェンに代わって個人情報を取り扱う場合は、アムジェンのプライバシー及び個人データ保護に関する別紙を遵守しなければならない。サプライヤーは、アムジェングループに対していかなる個人情報も提供しない。ただし、アムジェンが書面により事前に合意する場合はこの限りではない。
13. 雑 則
13.1 記録と監査 サプライヤーは、適用法令及び規則等上要求されるあらゆる記録を保持し、かかる記録の破損、紛失又は改変を防ぐために合理的な予防措置を日常的に実施するものとする。
13.2 譲渡 サプライヤーは、本契約又は本契約におけるいかなる利益も、アムジェンの書面による事前同意なしに譲渡できないものとする。
13.3 公 表 サプライヤーは、アムジェンの書面による事前の同意なしに、アムジェン、アムジェングループのメンバー又はその従業員名に言及するプレスリリース、声明又は公表(広告又は販売促進資料を含むがこれに限られない。)を行ってはならない。サプライヤーは、アムジェンの書面による事前の承認なしに、本商品等の提供に関する情報を公表しないものとする。
13.4 準拠法及び裁判管轄権 本契約は日本の法令に準拠するものとする。両当事者の間で解決できないすべての紛争に関しては、東京地方裁判所を第xxの専属的合意管轄裁判所とする。
13.5 言語 本契約は日本語をxxとする。本契約につき、英語で作成された翻訳は参考のためのものであり、当事者を拘束するものではない。
別紙1 ― 情報セキュリティ要件
本別紙は、以下の場合に適用される。
- サプライヤーが、アムジェンの専有情報を創出、アクセス、保存、取扱い又は移転する場合
- サプライヤーがサービスを提供するために、アムジェンとサプライヤーの間にネットワーク接続が必要とされる場合又はアムジェンの内部又は外部のネットワークに存在するシステムへのアクセスが必要とされる場合
- サプライヤーがアムジェンのためのソフトウェア開発を行う場合
情報セキュリティ要件
本情報セキュリティ要件は、この別紙が添付される契約(以下「本契約」という)の条件を補足するものであって、本契約に規定する条件に従う。また、本契約の条件を制限することを意図するものではなく、そのよ うに解釈されてはならない。本契約に別段の定義がない用語は、本契約に定める意味を有する。サプライヤ ーは、本契約に定める要件に加えて本情報セキュリティ要件に従って、アムジェンの秘密情報(又は本契約 において同様に定義されるもの)を取り扱い、保存し、アクセス(またはアクセス制限)し、保護するものとする。
1.情報セキュリティプログラム要求基準.サプライヤーは、以下の各号に挙げられた業界標準情報セキュリティフレームワーク(それぞれを「情報セキュリティ業界標準」という)の1つ又は複数に基づいた文書化された情報セキュリティプログラムを、本契約の有効期間中実施しなければならず、また、実施することを保証するものとする。
(a) 国際標準化機構(ISO)/国際電気技術委員会(IEC)― ISO/ IEC 27002 - 情報技術 - セキュリティ技術 - 情報セキュリティ管理のための実務規範
(b) 米国公認会計士協会(AICPA)― 信託業務の原則、基準及び例示
(c) 情報セキュリティフォーラム(「ISF」)― 情報セキュリティのためのグッド・プラクティス基準(SoGP)
(d) 米国標準技術局 (NIST) スペシャルパブリケーション800-53 - 連邦情報システム及び連邦組織のためのセキュリティ及びプライバシー管理
(e) 情報システム監査管理協会(ISACA) ― 情報技術管理についてのベストプラクティス集
(COBIT)
2.電子情報システムまたは会社の秘密情報へのアクセス.サプライヤー、その担当者(または本契約において同様に定義されるもの)又はその下請業者が、アムジェンの電子情報システム(以下「EIS」という)又はアムジェンが収集、移転若しくは保管するアムジェンの秘密情報にアクセスする場合、サプライヤーは、常にアムジェンのEIS及び秘密情報を保護するためのセキュリティを実施しなければならない。なお、本情報セキュリティ要件において「セキュリティ」とは、技術的、物理的、管理上及び手続上の安全策を意味する。たとえば、組織の規程、定められた手続き、管理方法、ハードウェア、ソフトウェア又はファームウェアであって、その機能又は目的の全部若しくは一部が情報及びデータの機密性、完全性及び利用可能性を担保するためのものをいうが、これらに限定されない。
3.セキュリティ.本契約に基づく義務の履行の開始日以降、サプライヤーがアムジェンの秘密情報を管理、保管、送信又は処理する限りにおいて、サプライヤーは、アムジェンのすべての秘密情報を許諾されない使用、改変、アクセス若しくは開示又は違法な破壊から保護し、当該アムジェンの秘密情報の機密性、完全性及び利用可能性を担保するように設計された合理的かつ適切なセキュリティを採用し、維持し、実施することに
同意する。当該セキュリティには、以下を含むが、これに限定されない。
(i) サプライヤーが未採用の限りにおいて、サプライヤーは、アムジェンの機密情報の機密性、完全性、利用可能性を担保するために、そのアクセス、保持、輸送、廃棄についての事項を含む、技術的、物理的、運用上及び手続上の管理策の実施を要求する合理的で適切なデータセキュリティポリシーを作成し、維持するものとする。
(ii) サプライヤーは、物理的なアクセス管理、安全なユーザー認証手順、特権的アクセスを含む安全なアクセス管理方法、ネットワークセキュリティ及び侵入防止保護、マルウェア対策、パッチ管理及び更新のための管理、適用法令(または本契約において定義される同様の用語)により必要とされる業界標準暗号化の使用など、アムジェンの秘密情報への物理的及び電子的アクセスに関する合理的な制限措置を実施するものとします。
(iii) サプライヤーは、退職した従業員の当該情報への物理的及び電子的アクセスを直ちに終了させることにより、アムジェンの秘密情報にアクセスすることを防ぐものとします。
(iv) サプライヤーは、社内でこれらの安全策が確実に遵守されるよう、評価、ログ管理、監視及び監査手順を採用しなければならない。
(v) サプライヤーは、少なくとも毎年これらの安全策の評価を実施しなければならない。
(vi) アムジェンの指示により、以下のコントロールを実施しなければならない:
(a)EISを通じて送信されるアムジェンの秘密情報及びデータを、アムジェンの指示又はリクエストに従って、情報がどこに保存されているものであっても、保全すること(ただし、アムジェンの文書管理規程や米国訴訟における文書保全を含むが、これらに限定されない)
(b)アムジェンの秘密情報を使用不能又は読み取り不能になるまで破壊すること、または、サプラ イヤーが本契約における義務の履行において不要になった場合、アムジェンの裁量により、アムジ ェンの要求する形式及びサプライヤーの費用によって、アムジェンの秘密情報をアムジェンに返却すること。本契約(又は注文書)の終了後30日以内に、サプライヤーは、すべての当該情報が返却又は削除されたこと、又はその両方を証明する書面をアムジェンに提出しなければならない。
(vii) アムジェンの秘密情報及びEISへのアクセスを、本契約に基づくサービス又は商品の供給を行うために当該アクセスを必要とするサプライヤーの担当者(下請け業者を含む)に限定するための方法であって、(a) 許可されたアクセス方法、(b) ユーザーのアクセス及び特権的アクセスに関する許可プロセス、並びに(c) アクセス許可されたユーザーのリストの維持、を含むが、これらに限定されない方法をとらなければならない。
4. 情報セキュリティ事故の管理.サプライヤーは、情報へのアクセス及び活動の監査並びにログ記録の手順を確立し、実施しなければならない。サプライヤーは、情報セキュリティ事故を監視し、対応し、通知し、調査するための情報セキュリティ事故対応計画及び通知手順が存在すること(及びサプライヤーが実施すること)を保証する。本情報セキュリティ要件において、「事故」とは、(1)サプライヤー又はその1名もしくは複数の担当者によるアムジェンの秘密情報に対する不正な使用、改変、開示若しくは盗用又はアクセス、(2)サプライヤー又はその1名もしくは複数の担当者によるアムジェンの秘密情報の偶発的又は非合法な破壊、(3)サプライヤー又はその1名若しくは複数の担当者による会社の秘密情報の紛失、またはサプライヤー又はその1名若しくは複数の担当者の安全対策の不履行、不備又は不十分に起因する(1)乃至(3)の各号に含まれる事由をいう。本契約に基づくアムジェンの権利又は救済手段を制限することなく、アムジェンは、いずれかの事故が発生した場合、本契約の全部または一部を終了する権利を有するものとする。
サプライヤーは、本契約に規定するアムジェンの秘密情報に関するサプライヤーの義務に限らず、各事故に関して、以下の各号に掲げる事項を行う義務を負う。
(i) 事故に関するxx原因分析、xx原因分析結果並びに同一又は類似の事故を防止するための是正措置及びその実施スケジュールをアムジェンに通知することを含む(がこれらに限定されない)、当該事故を取り巻く理由及び状況についての合理的な調査を直ちに実施すること。サプライヤーは、アムジェンが調査、是正措置又はスケジュールに関して提供するすべてのコメントについて誠意をもって検討すること。
(ii) 事故の影響を防止、封じ込め、緩和するために必要なあらゆる措置を講じること。
(iii) 本契約に基づく他の通知義務に限定せず、mailto:xxxx@xxxxx.xxxxxx、速やかに電子メールでアムジェンに通知する(以下「事故通知」という)こと。ただし、いかなる場合も、サプライヤー又はその担当者が事故を発見又は知った後24時間以内に通知しなければならない。事故通知には、少なくとも、以下の情報を含めなければならない。
(a) 事故の内容。事故の対象となった、または事故によって影響を受けた会社の機密情報又はアプリケーション(もしあれば)に関連する情報を含む
(b) サプライヤーが事故を修復するために講じた措置及びサプライヤーが将来の事故を防止するために講じた対策
(c) アムジェンとサプライヤーの間の連絡役を果たすことのできる、サプライヤーのスタッフの氏名および連絡先
(d) アムジェンが事故から自らを守ることに役立つその他の関連情報(セキュリティー侵害の指標を含む)
(iv) 事故の発見、原因、システムの脆弱性、セキュリティ上の弱点、修復活動及び影響に関するすべての証拠の収集及び保存;
(v) アムジェンの要求に応じて、アムジェンが合理的に指定する方法及び形式で、政府当局及び影響を受ける個人に通知を行うこと。
(vi) アムジェンに対し、(i)リスク緩和及び修復活動に関する週次の状況報告書、並びに(ii)アムジェンが合理的な範囲で要求する文書及び情報を提出すること。
(vii) アムジェンの要求に応じて、調査、執行、モニタリング、文書作成、通知要件及び報告、サプライヤー及びアムジェンの適用法令及び業界基準の遵守において、合理的な協力を行うこと。また、アムジェンが事故を第三者に通知するに際して、アムジェンと合理的な範囲で協力すること。
5. 暗号化.サプライヤーは、サプライヤーとアムジェンとの間、及びサプライヤーと第三者(サプライヤーの代理人を含む)との間で、留まっている又は転送されているすべてのアムジェンの秘密情報を暗号化しなければならない。「暗号化」は、(1)留まっているデータについては、米国標準技術局(以下
「NIST」という)スペシャルパブリケーション800-111に準拠した暗号化を、(2)転送中のデータについては、連邦情報処理規格140-2に準拠した暗号化又は米国保健福祉省長官が、データを使用不能、読み取り不能、又は判読不能にするのに適切なものとして随時正式に公表するその他の暗号化規格に準拠した暗号化を利用しなければならない。
別紙2 ― プライバシー及びデータ保護に関する別紙
プライバシー及び個人データ保護に関する別紙
本プライバシー及び個人データ保護に関する別紙(「本別紙」)は、本別紙が添付される本契約の条項及び条件を補足するものであり、本契約の条項及び条件に従う。定義語のうち本別紙において別途定義されていないものは、いずれも本契約に定義される意味を有する。
1. 定 義
「個人情報」とは、直接又は間接的な手段により、個人に関係し、個人を記述し、また個人を特定しうる情報(プライバシー法に規定されている個人を特定しうる情報の分類、カテゴリー及びその他の類型を含むがこれらに限定されない)であって、本契約に基づくサプライヤー又はその代理人の義務の履行に関連して、アムジェン若しくはその関連会社によりサプライヤーに提供されるもの、又はサプライヤー若しくはその代理人によって取得されるものをいう。
「プライバシー・インシデント」とは、以下の事象が実際に発生したこと又はその発生が合理的に疑われることをいう。(1) 個人情報に不正アクセスし又は個人情報を盗むこと、(2) 個人情報へのアクセス権限のある者が、実際の又は合理的に疑わしい窃盗、詐欺又はなりすまし犯罪目的で、個人情報を不正使用すること、
(3) 個人情報を不正に開示又は改ざんすること、(4) 個人情報を偶発的に又は違法に破棄すること、及び
(5) 個人情報を紛失すること(これには、セキュリティの障害、不足若しくは不備又はサプライヤー若しくはその代理人1名若しくは複数名の違法行為により生じた前記(1)乃至(4)に該当する事象を含むが、これらに限定されない)。
「プライバシー法」とは、個人情報の処理に関して、当該管轄地域で適用される、その時々に有効な個人データの保護に関する法律をいい、これには、EUの一般データ保護規則(Regulation (EU) 2016/679)(GDPR)、及びそれとともに適用されるEU加盟国その他の国の法律(以下「EU個人データ保護法」という)及びEU個人データ保護法によって特定されるすべてのデータ侵害通知及び情報セキュリティに関する法令を含むが、それらに限定されない。
「処理(process)」又は「処理する(processing)」(その他の変化形を含む)とは、自動的手段によるか否かを問わず、個人情報又は個人情報を含む情報の集合体に対して行われるあらゆる操作、又は一連の操作をいい、それには表示、アクセス、収集、記録、編集、格納、改変若しくは変更、検索、参照、利用、開示、保有、頒布その他の方法で入手可能な状態にすること、配列若しくは組合せ、利用停止、削除又は破壊などが含まれるが、それらに限定されない。
「セキュリティ」とは、管理上の技術的・物理的安全策をいい、これには社内規程、手順、組織体制、ハードウェア及びソフトウェアの機能、並びに物理的セキュリティ対策で、個人情報の秘密性、完全性又は利用可能性を部分的に又は全面的に保証することを目的とするものが含まれるが、それらに限定されない。
2. 個人情報の処理
2.1. サプライヤーは、個人情報を処理する場合、本別紙の条項及び条件を遵守することを誓約しこれに同意する。
2.2. 本別紙及び本契約に別途規定されるサプライヤーの義務(守秘義務を含むがこれに限定されない)を制限することなく、サプライヤーは、(i) 個人情報の処理にあたりアムジェンの書面による指示に従っ て行動し、適用されるすべてのプライバシー法の要件を遵守し、(ii) 本契約に基づく義務を履行する ためにのみ個人情報を処理し、(iii) サプライヤーの代理人に対し、本契約に基づく義務の履行にお いて合理的に必要な範囲に限定して個人情報へのアクセスを許可しなければならない。ただし、サプ ライヤーの代理人に対して個人情報へのアクセスを許諾するに先立ち、サプライヤーは、(a)明確か つ完全に同代理人に対して本別紙の要求事項を伝えて理解させ、従わせるとともに、(b)本契約 及び本別紙に基づきサプライヤーに課される義務と実質的に同様のかつ同程度の秘密保持及びプ ライバシーに関する義務を課すものとする。
2.3. 本別紙の他の条項に定める本サプライヤーの義務を制限することなく、欧州経済領域(EEA)、スイス又はその他の EU データ保護法に依拠、類似若しくは準拠する別の法域のサプライヤーによって個人情報が処理される場合に限り、サプライヤーは、(a) アムジェンが当該情報の「controller」 (EU データ保護法に定義)であることを認めるとともに、(b) 当該処理が以下 2 点を遵守して履行されることを保証しなければならない。
「processor」(EU データ保護法で定義)として、サプライヤーが EEA 外の法域で当該欧州個人情報を処理する場合、当該処理は、本契約に別段の規定がない限り、欧州委員会又は関連する国のデータ保護当局が適切なデータ保護水準を備えると認める法域(以下「十分性認定法域」という)においてのみ行われること。
当該欧州個人情報が、十分性認定法域の外部のサプライヤー又はその代理人によって処理される場合に限り、サプライヤーは、その処理活動に関連する EU データ保護法、それに類似するすべての国内法及び関連する諮問機関(GDPR 第 29 条により設置される作業部会、欧州データ保護委員会など)の指導及び決定のその時点で実効性のあるすべての要件を遵守するためアムジェンに協力しなければならない。なお、その処理活動には EU が承認した標準契約条項を含む国際データ移転契約の作成及び締結を含むが、これらに限定されない。本契約に関連する欧州個人情報の処理に先立ち、サプライヤーは、当該欧州個人情報を処理する十分性認定法域以外に所在するすべての関連会社又は子会社のリストを速やかにアムジェンに提供しなければならない。
2.4. 本別紙の他の条項に定める本サプライヤーの義務を制限することなく、2018 年カリフォルニア消費者プライバシー法(以下「CCPA」という)に従ってサプライヤー及びその代理人が個人情報を処理する場合に限り、サプライヤーは、以下の義務を遵守することを保証する。 (i) サプライヤーが個人情報を「販売」(CCPA に定義)しないこと、(ii) サプライヤーが本契約に基づくサービスを提供する目的又は CCPA で許容されている目的以外の目的で個人情報を処理しないこと、(iii)サプライヤーが、CCPA で定義されるサプライヤーとアムジェンのビジネス関係と関係なく個人情報を処理しな
いこと。
3. 保 護 及 び 管 理
3.1. 本契約におけるサプライヤーの他の義務を制限することなしに、サプライヤーは、サプライヤー又はサプライヤーの代理人が個人情報を処理する期間の間、個人情報をプライバシー・インシデントから保護するためにセキュリティを設け、これを維持しなければならない。セキュリティは、最新のものであり、かつプライバシー法及び関連業界の基準に合致したものでなればならないが、これに限定されない。少なくとも年に一回、サプライヤーは、独立の監査人にサプライヤーのセキュリティの評価をさせなければならず、当該評価は、関連業界の基準(例えば、米国公認会計士協会保証業務基準書第16号又は国際保証基準3402号)に従って行われるものとする。サプライヤーは、アムジェンの書面による随時の要求があったときは、直ちにかかる評価の結果をアムジェンに提供する。
4. アムジェンの評価、監査権及び情報維持
4.1. 本契約に基づくアムジェンの監査権を制限することなく、本契約期間中おいて年に一回、アムジェン又はその指名を受けた者は、合理的な通知をした上で、サプライヤーの本別紙の遵守につき評価及び監査を行うことができる。前記を制限することなくかつ前記に加えて、アムジェン又はその指名を受けた者は、合理的な通知をした上で、(i)プライバシー・インシデントのいずれかが生じた場合、(ii)セキュリティについて評価又は監査の結果が悪かった場合、又は(iii)サプライヤーがプライバシー法又は関連業界の基準に準拠してセキュリティを実行、維持又は実施していない可能性があるとアムジェンが判断するか又は疑う場合には、サプライヤーのセキュリティを監査することができる。
4.2. サプライヤーは、(i) 自らのプライバシー法及び関連業界の基準の遵守、(ii)プライバシー・インシデント、(iii)自らの個人情報の処理状況、並びに(iv)サプライヤーのコンピュータシステムへのアクセス及び利用状況に関して、情報を収集及び記録し、ログ、監査証跡、記録及び報告を維持しなければならない。
4.3. 本別紙に規定されるサプライヤーの義務を制限することなしに、サプライヤーは、以下の各号に規定する目的のために、合理的に必要とされる情報のリクエストに応じるよう協力しなければならない。
(i) サプライヤーが本別紙に定める要件を遵守していることを立証するため、(ii) 国のデータ保護当局などを含む政府当局のアムジェンに対する問い合わせ、要求若しくは要請(召喚状その他のディスカバリ要請又は裁判所命令などを含む)への協力、相談又は対応を支援するため、(iii) 本契約に基づく個人情報処理活動のプライバシー影響評価を実施するにあたりアムジェンを補佐するため、 並びに(iv) アムジェンがサプライヤーに提供する個人情報の認証(保管記録の作成などを含む)にあたりアムジェンを補佐するため。
5. プライバシー・インシデント
5.1. サプライヤーは、個人情報を処理するサプライヤーのすべての代理人がプライバシー・インシデントを認識しそれに対応できるようトレーニングしなければならない。プライバシー・インシデントが発生した場合、サプライヤーは以下の事項を実施しなければならない。
直ちに当該プライバシー・インシデントの原因及び周辺事情について合理的な調査を行うこと。
当該プライバシー・インシデントを防止、抑制し、及びその影響を軽減するために必要なすべての措置を行うこと。
本契約に規定されるサプライヤーの通知義務を制限することなしに、アムジェンに対し、直ちに、ただし、サプライヤー又はその代理人がプライバシー・インシデントを発見し又は知ったときから24時間以内に、japanprivacy@xxxxx.xxxxxxxxxxxxxxxxxx@xxxxx.xxxxxxxxxxxxxxx(以下「インシデント通知」という)を行う。インシデント通知には少なくとも以下の事項が含まれなければならない。
a) 当該プライバシー・インシデントの対象となる又は影響を受ける個人情報に関する情報を含む、プライバシー・インシデントの概要
b) プライバシー・インシデントを解決するためにサプライヤーがとった行動及び将来的なプライバシー・インシデントを防ぐためにサプライヤーが実施した方策
c) アムジェンとサプライヤーの間の連絡役となるサプライヤーの担当者の連絡先情報
d) アムジェンがプライバシー・インシデントから自らを保護できるようなその他の関連情報
当該プライバシー・インシデントに関連する、発見、原因、脆弱性、セキュリティ上の弱点、是正措置及び影響についてのすべての証拠を収集し、保存すること。
アムジェンのリクエストに応じ、 (i)各プライバシー・インシデントの軽減及び是正措置についての定期的な書面による状況報告、及び(ii)当該プライバシー・インシデントに関連しアムジェンが合理的に要求する書類及び情報をアムジェンに提供すること。
プライバシー・インシデントに関する、アムジェンの調査、履行、モニタリング、書類の作成、通知要求及び報告について、合理的な範囲でアムジェンと調整し、協力する。これには、アムジェンの代理としてまたその裁量により、プライバシー・インシデントの通知を(i) 個人情報を開示された又は合理的に開示されたと思われる個人、(ii)規制当局及び(iii)メディアに対して、
(アムジェンの指定する方法及びフォーマットにより)送付することを補佐することも含まれる。
6. 個人情報の保存、破棄及び返却
6.1. サプライヤーは、個人情報が保存されている場所にかかわらず、アムジェンの指示及び要求(文書保存規程及び訴訟ホールド命令を含むがこれらに限定されない)に従い、サプライヤーにより処理されている又は処理された個人情報を保存する。(i)本契約の期間満了若しくは解約、又は(ii)個人情報の処理の完了、のいずれか早い方の時点で、サプライヤーは、アムジェンの選択により、(a)確実に個人情報を破棄し、使用及び判読できないようにするか、又は(b)アムジェンが合理的に要求するフォーマットにより、個人情報をアムジェン又はその指名者に返却する。
7. 第三者によるアクセス要求
サプライヤーは、適用法において認められている権利を行使する個人からの要求に対応するため、アムジェンと協力しなければならない。この対応すべき個人の要求には、サプライヤー又はその代理人が保管する情報へのアクセスリクエスト、訂正、ブロッキング、破棄又はデータの移動(以下、それぞれ「アクセスリクエスト」という)が含まれ、サプライヤーによるかかる協力には、アムジェンの要求から2日以内に、アムジェンに対し、通常の業務上使用されるフォーマットによる当該個人情報のコピーを提供するか又は当該個人情報へのアクセスを許可することが含まれるが、これに限定されない。また、本条の規定を制限することなく、サプライヤー又はその1又は複数の代理人が、本契約に基づくサービスの提供に関連して処理された個人情報の該当個人からアクセスリクエストを受領した場合は、サプライヤーは直ちに(ただし、そのようなリクエストを受けてから24時間以内に)アムジェンに対して、japanprivacy@amgen.com又は xxxxxxxxxxxxx@xxxxx.xxxxxxxxxxxxxxxx、それに関するアムジェンの合理的な指示に従わなければならない。
(Translation)
STANDARD TERMS AND CONDITIONS OF TRANSACTION - JAPAN
1. SCOPE AND ENGAGEMENT
1.1 The purpose, execution and validity of this Agreement shall be as follows:
(a) Amgen K.K. (“Amgen”) shall place a purchase order which provides the description of Goods and Services as agreed to by the parties and the purchase order number (“Order”) and the company indicated as the supplier in an Order (“Supplier”) shall supply the Goods, Deliverables, and/or Services to Amgen or Amgen Inc. and its subsidiaries and affiliates (including Amgen) (“Amgen Group”) members in accordance with such Order and these standard terms and conditions. “Goods” means the goods to be supplied and “Services” means any services to be performed by Supplier for Amgen or other Amgen Group members as described in an Order. “Deliverables” means all tangible and intangible property in written or oral form provided by Supplier in the performance of this Agreement. These standard terms and conditions shall be incorporated in and apply to an Order.
(b) This Agreement (this “Agreement”) shall consist of an Order and these standard terms and conditions and be deemed to be executed between Amgen and Supplier at the time when Supplier notifies Amgen in writing of its acceptance of an Order or upon expiration of a period of three (3) business days from the date immediately following the date of Supplier’s receipt of an Order if Supplier fails to notify Amgen in writing of its refusal to accept an Order within such period.
(c) Supplier will not be able to receive any payments without an Order properly issued by Xxxxx.
(d) In the event of conflict between these standard terms and conditions and the terms and conditions of any other contract between the parties for Supplier’s provision of Goods or Services to Amgen which were executed by the authorized individual of each party, including an Order, the terms and conditions of such other contract shall prevail.
1.2 Supplier represents and warrants as provided below:
(a) Supplier is capable of performing this Agreement and has the full power and authority to enter into this Agreement;
(b) Supplier has not entered into any contractual obligations, express or implied, which are inconsistent with the terms of this Agreement;
(c) Directors, officers and employees of Supplier, who are involved in this Agreement, have no financial or personal interests that would prevent Supplier from providing the Goods,
Services and Deliverables (“GS&D”) in an objective and non-biased manner; and
(d) Supplier shall not employ, subcontract or instruct any healthcare professional, who has been subject to suspension, disqualification or expulsion under any relevant laws and regulations, to provide the GS&D to Amgen. Supplier shall notify Amgen immediately in writing upon commencement of any investigations or proceedings concerning any such suspension, disqualification or expulsion.
1.3 Supplier shall comply with each of the following:
(a) to provide the Services in good faith and with the care of a reasonable manager;
(b) to provide the GS&D in accordance with any Order;
(c) to obtain any and all consents, authorizations, licenses and releases necessary for the provision of the GS&D
(d) since Amgen is a pharmaceutical company regulated by the codes of practice for the sales promotion of medicines and interactions with healthcare professionals/institutions:
(i) to disclose in writing the existence and contents of any agreement with any healthcare professional related to the Services (including obtaining the written consent of any applicable employer) to the relevant regulatory authority or employer that requires such disclosure or consent; and
(ii) to ensure that any Services, which include the reimbursement of expenses to healthcare professionals/institutions, are reasonable (which means, among others, that any compensation is at fair market value in terms of it being at an arm’s length transaction and is in compliance with the maximum limits set forth in any applicable laws, rules and regulations and code of practice) and any agreement with healthcare professionals/institutions does not include any advice on or promotion of any other business transaction and does not otherwise violate any applicable laws, rules and regulations;
(e) not to initiate any communication or inquiry relating to the GS&D, with or to any governmental or regulatory authority, unless such communication or inquiry is required by applicable law and has been discussed with Amgen in advance in writing or unless Amgen requests for such communication or inquiry.
2. DELIVERY AND ACCEPTANCE OF GOODS
2.1 Delivery of Goods and/or Deliverables.
(a) Supplier shall, at Supplier’s own risk and expense, deliver the Goods and Deliverables as specified in the Order or as directed by Amgen. The Goods and/or Deliverables shall be properly and safely packed so as to reach their delivery place in an undamaged condition.
(b) The Delivery date shall be specified in the Order. Delivery shall take place during normal business hours unless otherwise agreed by Amgen in writing. Supplier shall provide Amgen with a delivery note with the purchase order number, date of Order, quantity and description of contents at the time of delivery of the Goods and/or Deliverables.
(c) In the event that all or portion of the Goods and/or Deliverables cannot be delivered in accordance with this Agreement due to loss or damage to the Goods and/or Deliverables prior to the delivery of the Goods and/or Deliverables to Supplier, Supplier shall promptly give a written notice to Amgen and shall, at Supplier’s own expense, promptly replace or repair such lost or damaged Goods and/or Deliverables so that the Goods and/or Deliverables will be provided in accordance with this Agreement.
2.2 Title and Risk of Loss. Title and risk of loss with respect to the Goods and/or Deliverables shall pass from Supplier to Amgen upon Supplier’s delivery of the Goods and/or Deliverables. After delivery of the Goods and/or Deliverables, Supplier may not attach any option, collateral, lien, encumbrance or other adverse right. Neither Supplier nor any third party shall be entitled either to retain title to the Goods and/or Deliverables or any other rights over the Goods and/or Deliverables.
2.3 Inspection and Rejection.
(a) Amgen shall be entitled to take either of the measures under (i) and (ii) below for a period of ten (10) days after the delivery with respect to all or portion of the Goods and/or Deliverables which were not provided in accordance with this Agreement:
(i) to carry out such work as may be necessary to make the Goods and/or Deliverables comply with this Agreement and to bring a claim against Supplier for such damages, including costs for such work, as Amgen may have sustained as a result of Supplier’s breach of this Agreement; and
(ii) to return the Goods and/or Deliverables (and refuse to accept any further deliveries of the Goods and/or Deliverables without owing any liability to Supplier) and to immediately receive from Supplier the reimbursement of any amount already paid by Amgen and payment of any delivery and storage costs for returning the Goods and/or Deliverables to Supplier.
(b) In the case where Amgen did not notify Supplier of its refusal to accept the Goods and/or Deliverables within ten (10) days after the delivery of the Goods and/or Deliverables, the Goods and/or Deliverables shall be deemed to be accepted by Amgen.
2.4 Goods Repair and Replacement Warranty.
Supplier shall warrant that the Goods and/or Deliverables are made in accordance with the Order and Amgen’s instructions, are without any defect or nonconformity, and are fit for the purpose required by Amgen. Such warranty shall apply after the acceptance of Goods and/or Deliverables for the term specified in the Order (“Warranty Period”).
(a) In the event of any defects in the Goods and/or Deliverables during the Warranty Period despite proper use, Supplier shall take either of the measures under (A) and (B) below:
(A) to repair or replace the defective Goods and/or Deliverables free of charge without delay, provided that (i) Amgen shall notify the defect to Supplier in writing immediately after Amgen’s discovery of such defect and (ii) such defect is related to design, materials or workmanship; or
(B) to refund the price of the defective Goods and/or Deliverables in the event that such amount has already been paid by Amgen to Supplier. Supplier shall be entitled to collect the defective Goods and/or Deliverables from Amgen at Supplier’s cost.
(b) Any repaired or replaced Goods and/or Deliverables shall be redelivered by Supplier free of charge to the original point of delivery as specified in the Order and in accordance with this Agreement.
(c) This Section 2.4 does not restrict any rights or remedies of Amgen and other Amgen Group members under law and/or any other provision of this Agreement.
3. PAYMENT
3.1 Pricing. Prices set forth in the Order are inclusive of any and all costs and expenses, including, without limitation, packaging, packing, insurance premium, customs, and shipping fees.
3.2 Issuance and Delivery of Invoice. Unless otherwise agreed between the parties, Supplier shall issue and send an invoice to Amgen for the supply of GS&D on a monthly basis. Invoices shall set forth the Order number, actual number of hours worked, itemize reimbursable costs incurred and separately list consumption tax and other applicable taxes. Undisputed invoices will be payable by Amgen to Supplier within sixty (60) days of date of the invoices. Amgen shall be entitled to offset any Amgen claim against Supplier against the price of any GS&D
3.3 Expenses. No expenses are payable unless approved in writing by Amgen in advance. Any and all requests for reimbursement for expenses must be accompanied by documentation in form and detail sufficient to meet the requirements of the taxing authorities to be accepted as expenses for corporate tax purposes.
4. INDEMNITY AND INSURANCE
4.1 Indemnity. Supplier shall indemnify Amgen against any and all losses (including economic losses, loss of profits, consequential losses and administrative losses), claims, expenses, costs, (including legal costs) and damages of whatever nature for any of the following cases which relate to any act or omission of Supplier, its employee, personnel in charge, representative or subcontractor upon providing the GS&D:
(i) any breach of this Agreement (including these standard terms and conditions) or
(ii) any infringement or allegation of infringement of any Intellectual Property Rights in the course of use, manufacture or provision of GS&D
4.2 Insurance. Supplier shall take out and maintain at its own cost the insurance policies which are appropriate and adequate to cover its obligations and liabilities under this Agreement. Upon Amgen’s request, Supplier shall provide to Amgen a written proof of Supplier’s insurance coverage acceptable to Amgen in accordance with this Agreement.
5. CONFIDENTIALITY
5.1 Supplier shall, during the term of this Agreement as set forth in the Order or, if the Order is silent, the period of time from the date of the Order until the acceptance of GS&D, and for ten (10) years thereafter, keep the Confidential Information confidential, not disclose the Confidential Information to any third party and not use the Confidential Information for any purpose other than the purpose prescribed in this Agreement. Supplier shall treat the Confidential Information as confidential with the duty of care of a prudent manager and at all times take necessary and reasonable measures to prevent access to the Confidential Information by unauthorized persons, and such measures shall in no event be less than those that the Supplier utilizes to protect its own confidential information. “Confidential Information” means all confidential information and materials, including information, procedures, developments, results, data, know-how, marketing strategies, protocols, clinical reports, investigator brochures, conclusions, technologies and inventions, which have been acquired by Supplier from any Amgen Group member in any form whatsoever (including, without limitation, written, electronic or oral form), whether directly or indirectly. Confidential Information shall include, without limitation, all manuscripts, analyses, compilations, studies and other documents, whether prepared by the Supplier or others, which incorporate, summarize, contain or otherwise reflect or refer to any such information.
5.2 Supplier shall limit the access to the Confidential Information to only those persons under Supplier’s direct control who are already under confidentiality obligations at least as restrictive as those under this Agreement.
5.3 This section shall not apply to the following information:
(i) information which is or later becomes generally available to the public by use, publication or other means, through no fault of Supplier;
(ii) information which is obtained without the confidential obligations from a third party who had the legal right to disclose the same to Supplier;
(iii) information which Supplier already possesses as evidenced by Supplier’s written
records, predating the receipt thereof from Amgen; or
(iv) information which is required to be disclosed by Supplier in response to a valid order of court or other governmental body (provided that Supplier provides Amgen with a timely prior written notice and makes efforts to limit the scope of such disclosure).
5.4 Supplier shall promptly return to Amgen, upon Amgen’s written request or upon the termination of this Agreement for any reason, the Confidential Information in tangible form, including copies in any form whatsoever and shall delete the Confidential Information stored in any magnetic or optical disc or memory; provided, however, that Supplier shall be entitled to retain one copy of Confidential Information for record keeping purposes if required by applicable law. Supplier shall not disclose to Amgen any confidential information of Supplier or any third party, in connection with the provision of GS&D
6. DATA PROCESSING AND DISCLOSURE
6.1 Data Processing.
(a) The administration and management of this Agreement may involve Amgen’s collection and processing of Supplier’s personal information. Personal information includes, without limitation, non-sensitive information including, but not limited to, name, contact details, field of expertise and the contents of this Agreement. This information may be transferred to a third party to safely store, handle or process the information in countries outside of the country in which it was collected, such as the United States or EU/EEA countries, and Supplier hereby consents to such transfer. Regardless of the country where Supplier’s personal information is either collected or processed, Amgen will make reasonable efforts, in line with industry standards, to safeguard Supplier’s personal information.
(b) Supplier may request for the use, correction or deletion of its personal information by notifying Amgen, subject to certain restrictions imposed by applicable laws, rules and regulations.
6.2 Disclosure.
(a) Notwithstanding anything to the contrary in this Agreement, Supplier acknowledges and agrees to the following, to the extent required under or to the extent necessary to comply with applicable laws, rules and regulations and codes of practice on disclosure obligations:
(i) Amgen is permitted to publicly disclose information regarding Supplier and this Agreement; and
(ii) such information includes payments or other transfers of value made to Supplier or made by Supplier on behalf or at the request of Amgen to healthcare professionals, health care institutions, and other individuals or entities that are subject to the disclosure laws.
(b) Supplier agrees to promptly respond to, and cooperate with, reasonable requests of Amgen regarding the collection of information in compliance with all relevant disclosure laws and regulations.
7. INTELLECTUAL PROPERTY
7.1 No Third Party Infringement.
(a) Supplier warrants that no GS&D shall infringe on any worldwide patents, copyrights, works of authorship rights (including moral rights), trademarks, designs, trade secrets, know-how, and other proprietary rights (“Intellectual Property Right”) of any third party and that Amgen does not owe any royalty payment obligations to Supplier or any third party, save as agreed in the Order.
(b) Supplier warrants that, if the GS&D is subject to a third party’s copyright, including a third party’s moral right, Supplier is granted a right to license such third party’s copyright by such third party, which is sub-licensable to Amgen so that Amgen can freely dispose of the GS&D supplied by Supplier without violating any third party’s copyright. If any dispute occurs over any third party’s copyright, Supplier shall settle the dispute at its responsibility and at its expense, hold Amgen harmless, and indemnify Amgen from any damages.
7.2 Work Product.
(a) All current and future Intellectual Property Rights and other rights relating to the any Deliverables, information, results, specifications and proposals, including discoveries, inventions, Intellectual Property Rights, ideas, specifications and reports acquired by Supplier, in connection with information disclosed by Amgen or any Amgen Group member to Supplier or in connection with Supplier’s Services or Deliverables under this Agreement (“Work Product”) shall be the exclusive property of Amgen or its designated member of Amgen Group. Supplier hereby assigns or will assign to Amgen or its designated member of Amgen Group all of Supplier’s rights, titles and interests in all Work Products (including any and all present and future Intellectual Property Rights (including the rights under Articles 27 and 28 of the Copyright Act of Japan), without retaining any rights whatsoever, to the maximum extent permitted by applicable laws. Supplier shall covenant not to exercise any moral rights on the Work Product.
(b) Any Intellectual Property Rights of either party existing prior to the execution date of this Agreement (“Background Intellectual Property Rights”) shall remain the property of such party.
(c) Notwithstanding 7.2 (b) above, Supplier shall grant to Amgen the right to use Supplier’s Background Intellectual Property Rights for free to the extent that such use is reasonably necessary for Amgen to dispose of the GS&D
8. CANCELLATION
8.1 Amgen shall be entitled to cancel any Order at any time without becoming liable for any damages by giving a prior written notice to Supplier no later than twenty (20) days prior to the delivery deadline of GS&D as provided in such Order. As for the Services, if the cancellation of Amgen is based on Amgen’s own reasons and not attributable to Supplier, Supplier shall still be eligible to receive the price of the Services already performed by Supplier.
8.2 Cancellation due to Non-delivery.
(a) If the GS&D are not delivered by the due date, Amgen may cancel this Agreement, in whole or in part, and refuse to receive any subsequent delivery of the GS&D which Supplier attempts to continue to make. In such case, Supplier shall immediately reimburse to Amgen the price of such GS&D already paid by Amgen to Supplier.
(b) In case of cancellation under (a), Amgen shall be entitled to bring a damages claim against Supplier for any additional costs, losses or expenditures (including reasonable expenses incurred by Amgen to obtain the goods or service replacing the GS&D from another supplier), which are attributable to Supplier's failure to deliver the GS&D by the due date.
(c) In the event that Amgen determines in its reasonable discretion that the GS&D are unusable in the ordinary course of Amgen’s business due to the fact that a portion of the GS&D was not delivered to Amgen, Amgen shall be entitled to return to Supplier at Supplier’s expense the GS&D already accepted by Amgen. In such case, Supplier shall immediately refund to Amgen any payment of the GS&D and other costs already paid by Amgen in respect of returned GS&D
(d) Amgen shall not be liable to Supplier in any way whatsoever for the cancellation of any Order pursuant to the provisions of this section.
8.3 Other Termination Events. In the event of occurrence of any of the following events, Amgen shall be entitled to immediately terminate this Agreement with a written notice to Supplier without becoming liable to Supplier in any way:
(i) Supplier breaches any of its obligations under this Agreement and such breach cannot be cured;
(ii) Supplier breaches any of its obligations under this Agreement, and Supplier fails to cure such breach within a period of fourteen (14) days despite the fact that such breach could have been cured or such breach continues for a period of fourteen (14) days or more;
(iii) Supplier suspends its payments, or petitions or is petitioned for commencement of bankruptcy proceedings, civil rehabilitation proceedings, corporate reorganization proceedings, special liquidation or other similar proceedings;
(iv) Supplier is petitioned for attachment, provisional attachment, preliminary injunction or auction with respect to any of its assets or rights; or
(v) Supplier becomes subject to penalty of a clearing house which suspends Supplier’s transaction
or penalty for delinquent payment of any tax or other public charges.
8.4 Survival. The termination of this Agreement for any reason shall not release either party from any obligations and liabilities under this Agreement which the parties have expressly agreed will survive such termination or any obligations and liabilities which are intended to continue to be performed or to apply by their nature even after such termination.
8.5 Rights upon Termination. Upon receipt of notice of termination, Supplier shall do the following, unless otherwise specified by Amgen: (i) not to assume any further obligations and to use its best endeavors to reduce as much as possible any costs associated with the termination of this Agreement; (ii) to preserve any work in progress or completed work and the data relating thereto until the completion of transfer of such work and data to Amgen or Amgen’s designee; and (iii) to turn over the Work Products in accordance with Amgen’s instructions.
9. SUBCONTRACTORS
9.1 Supplier shall only subcontract its obligations under this Agreement to the subcontractors approved by Amgen in advance in writing. No subcontract shall relieve Supplier from any of its obligations or liabilities under this Agreement.
9.2 Supplier shall be responsible to Amgen and other Amgen Group members for all GS&D to be
provided and for any negligence, errors, acts, omissions and conduct of Supplier itself, its subcontractors or any of employees, representatives or agents of Supplier or its subcontractors. Supplier shall also be responsible to Amgen and other Amgen Group members for subcontractors’ compliance with the provisions of this Agreement and all applicable laws, rules and regulations.
10. INFORMATION SECURITY
Supplier must comply with Amgen information security policies, procedures and standards as well
as Amgen’s Information Security Schedule, if applicable.
11. ANTI-CORRUPTION AND ANTI-SOCIAL FORCES REPRESENTATION AND WARRANTY
11.1 Anti-corruption. Supplier represents, warrants and covenants as provided below during the period between the effective date of this Agreement and the expiration or termination of this Agreement:
(i) Supplier and, to the best of its knowledge, Supplier’s owners, directors, officers, employees, or any agent, representative, subcontractor or other third party acting for or on Supplier’s behalf (collectively, “Representative”), shall not, directly or indirectly, offer, pay, agree to pay anything of value or authorize such offer, agreement or payment to any individual or entity for the purpose of obtaining or retaining business or any improper advantage in connection with this Agreement or that would otherwise violate any applicable laws, rules and regulations relating to public official or commercial bribery or corruption (“Anti-Corruption Laws”);
(ii) Supplier’s books, accounts, records and invoices related to this Agreement or related to any work conducted for Amgen are and will remain complete and accurate;
(iii) Amgen shall be entitled to terminate this Agreement (A) if Supplier or Supplier’s Representative fails to comply with the Anti-Corruption Laws or this section, or (B) if Amgen is reasonably certain that Supplier or Supplier’s Representative has violated, intends to violate or has caused a violation of the Anti-Corruption Laws; and
(iv) If Amgen requires Supplier to prepare a compliance certificate, Amgen shall be entitled to terminate this Agreement if Supplier (A) fails to provide such certificate, (B) fails to prepare such certificate accurately and in good faith, or (C) fails to comply with the terms of such certificate.
11.2 Anti-social Forces. Supplier represents, warrants and covenants during the period between the effective date of this Agreement and the expiration or termination of this Agreement that it shall not engage in or cooperate with the maintenance, management or operation of a criminal organizations or bouryoku-dan, enterprises that have a capital relationship with a criminal organization group, politically-branded racketeering organizations (seiji-katsudo hyobo goro), and the members of these types of groups (“Anti-Social Force”). Supplier shall also not have an Anti- Social Force engage in, or cooperate with its management or operations. Supplier shall not provide any form of capital contribution, or any form of finance (including, but not limited to, providing a loan) to an Anti-Social Force and Supplier shall not receive any form of capital contribution, or any form of finance from an Anti-Social Force. Supplier shall not knowingly enter into any transaction with an Anti-Social Force. Amgen shall be entitled to terminate this Agreement (A) if Supplier or Supplier’s Representative fails to comply with this section, or (B) if Amgen is reasonably certain that Supplier or Supplier’s Representative has violated, intends to violate or has caused a violation of this clause. For the avoidance of doubt, Amgen shall not be obligated to compensate Supplier for any losses incurred by Supplier due to the termination hereunder.
12. DATA PROTECTION
If Supplier processes Personal Information of behalf of Amgen, Supplier shall comply with Amgen’s Privacy and Data Protection Schedule. Supplier shall not provide the Amgen Group with any personal information, unless otherwise agreed in advance in writing by Xxxxx.
13. MISCELLANEOUS
13.1 Records and Audit. Supplier shall maintain all records required in accordance with the applicable laws, rules and regulations and shall take reasonable precautions on a daily basis to prevent any damages, losses or alterations to such records.
13.2 Assignment. Supplier may not assign this Agreement or any interest in this Agreement without the prior written consent of Amgen.
12.3 Public Announcements. Supplier will not make any press release, statement or public announcement (including, without limitation, advertisements or sales promotion materials), which refers to Amgen, any Amgen Group member or the names of any employees of the Amgen Group, without Amgen’s prior written consent. Supplier shall not publish the supply of any GS&D or the results of any Deliverables or Services, without the prior written approval of Amgen.
13.4 Governing Law and Jurisdiction. This Agreement shall be governed by the laws of Japan. Tokyo District Court shall be the court of first instance with exclusive jurisdiction over all disputes that cannot be resolved between the parties.
13.4 Governing language. The governing language of this Agreement shall be Japanese. English translation hereof is made for reference purpose and shall not bind the parties hereto.
Schedule 1 – IS Security Requirement Schedule
This Schedule shall only apply if Supplier shall:
- Create, access, store, process or transfer Amgen proprietary information
- Require a network connection be established between Amgen and Supplier in order to provide its Services or access Amgen systems hosted on the internal OR external Amgen ecosystem
- Provide software development services to Amgen
INFORMATION SECURITY REQUIREMENTS SCHEDULE
This Information Security Requirements Schedule ("Information Security Schedule") supplements (and is not intended, and shall not be interpreted, to limit the terms of the Agreement) and is governed by the terms and conditions of the Agreement to which it is attached. Any defined terms not otherwise defined herein shall have the meanings set forth in the Agreement. In addition to requirements set forth in the Agreement, Supplier shall handle, treat, store, access (or limit access), and otherwise protect Company’s Confidential Information (or similarly defined term in the Agreement) in accordance with the terms of this Information Security Schedule.
1. INFORMATION SECURITY PROGRAM REQUIREMENTS STANDARDS. Supplier shall implement, and warrants that it will implement throughout the Term of the Agreement, a documented information security program that is based on one or more of the following industry standard information security frameworks (each an "Information Security Industry Standard"):
(a) International Organization for Standardization ("ISO") / International Electrotechnical Commission ("IEC") ISO/IEC 27002 - Information technology – Security techniques – Code of practice for information security controls; or
(b) American Institute of Certified Public Accountants (“AICPA”) Trust Services Principles,
Criteria and Illustrations; or
(c) Information Security Forum ("ISF") Standards of Good Practice ("SoGP") for Information Security; or
(d) National Institute of Standards and Technology ("NIST") Special Publication 800-53 - Security and Privacy Controls for Federal Information Systems and Organizations; or
(e) Information Systems Audit and Control Association ("ISACA") Control Objectives for Information and related Technology (COBIT).
2. ACCESS TO ELECTRONIC INFORMATION SYSTEMS OR COMPANY’S CONFIDENTIAL INFORMATION. In the event Supplier or its Representatives (or such similar term in the Agreement), including any Subcontractors, have access to Company’s Electronic Information Systems (“EIS”) or access to Company’s Confidential Information that is collected, transferred, or stored by Company, Supplier shall at all times implement Security (as such term is defined herein. For purposes of this Information Security Schedule, the term “Security” means Supplier’s technological, physical, administrative and procedural safeguards, including but not limited to policies, procedures, standards, controls, hardware, software, firmware and physical security measures, the function or purpose of which is, in whole or part, to protect the confidentiality, integrity or availability of information and data) satisfactory to Company to protect EIS and Company’s Confidential Information.
3. SECURITY. Supplier agrees that, commencing upon the date Supplier is retained by Company to perform its obligations under the Agreement, and continuing as long as Supplier controls, possesses, stores,
transmits or processes Company’s Confidential Information, Supplier shall employ, maintain and enforce reasonable and appropriate Security designed to protect all Company Confidential Information from unauthorized use, alteration, access or disclosure, and unlawful destruction, and to protect the confidentiality, integrity and availability of such Company Confidential Information. Such Security shall include, but not be limited to, the following:
(i) To the extent Supplier does not already employ one, Supplier shall develop and maintain a reasonable and appropriate written data security policy that requires implementation of technological, physical, administrative and procedural controls to protect the confidentiality, integrity and availability of Company’s Confidential Information that encompasses access, retention, transport and destruction, and that provides for disciplinary action in the event of its violation;
(ii) Supplier shall implement reasonable restrictions regarding physical and electronic access to Company’s Confidential Information, including but not limited to physical access controls, secure user authentication protocols, secure access control methods (including privileged access), network security and intrusion prevention protection, malware protection, controls for patch management and updates, and use of industry standard encryption where appropriate or required by Applicable Laws (or such similar term in the Agreement);
(iii) Supplier shall prevent terminated employees from accessing Company’s Confidential Information by immediately terminating their physical and electronic access to such information;
(iv) Supplier shall employ assessment, logging, monitoring and auditing procedures to ensure internal compliance with these safeguards;
(v) Supplier shall conduct an assessment of these safeguards at least annually.
(vi) Controls for, at Company’s direction, (a) preserving any Company’s Confidential Information and data and any information transmitted through EIS in accordance with Company’s instructions and requests, including without limitation any retention schedules and/or litigation hold orders provided by Company to Supplier, independent of where the information is stored; (b) destroying Company’s Confidential Information (such that the information is rendered unusable and unreadable) or, at Company’s sole discretion, returning Company’s Confidential Information to Company in a format requested by Company and at Supplier’s expense, when it is no longer needed for Supplier to perform its obligations under the Agreement. Within thirty (30) days following termination of the Agreement (or any Order), Supplier shall provide Company with written certification that all such information has been returned or deleted or both, as applicable;
(vii) Methods for limiting access to Company’s Confidential Information and to EIS only to Supplier’s Representatives, including Subcontractors, who have a need for such access in order to perform services or supply goods under the Agreement, which shall include without limitation (a) permitted access methods; (b) an authorization process for users’ access and privileges; and (c) maintenance of a list of authorized users.
Without limiting any rights and remedies hereunder, Company shall have the right to audit and
monitor Supplier’s compliance with the requirements of this Information Security Schedule. Upon reasonable notice to Supplier, once per year during the Term of the Agreement (and except as otherwise stated in this Information Security Schedule), Company (or any vendor selected by Company) may undertake an assessment and audit of Supplier’s Security and Supplier’s compliance with all Applicable Laws as relevant to Supplier’s actions related to Company Confidential Information in connection with this Agreement. Company shall have the right to revoke or limit Supplier’s access to Company’s Confidential Information or to EIS at any
time for any reason. In addition to its other obligations hereunder, upon Company’s request, Supplier shall immediately return to Company any hardware and software provided to Supplier by or on behalf of Company.
4. INFORMATION SECURITY INCIDENT MANAGEMENT. Supplier shall establish and implement access and activity audit and logging procedures, including without limitation access attempts and privileged access. Supplier shall ensure Incident response planning and notification procedures exist (and Supplier implements) to monitor, react to, notify and investigate any Incident. For purposes of this Schedule, the term “Incident” shall mean any actual or reasonably suspected: (1) unauthorized use, alteration, disclosure or theft of or access to Company’s Confidential Information by Supplier or one or more of its Representatives; (2) accidental or unlawful destruction of Company’s Confidential Information by Supplier or one or more of its Representatives; or (3) loss of Company’s Confidential Information by Supplier or one or more of its Representatives, including without limitation, any of the foregoing described in (1) – (3) caused by or resulting from a failure, lack or inadequacy of security measures of Supplier or one or more of its Representatives. Without limiting Company’s rights or remedies hereunder, Company shall have the right to terminate the Agreement, in whole or in part, in the event of any Incident.
Without limiting Supplier’s obligations regarding Company’s Confidential Information, with respect to each Incident, Supplier shall:
(i) immediately conduct a reasonable investigation of the reasons for and circumstances surrounding such Incident, including without limitation performing a root cause analysis on the Incident, informing Company of the root cause analysis and remedial actions and schedule to prevent the same or similar Incident. Supplier shall consider in good faith all comments that Company provides with respect to the investigation, remedial actions or schedule;
(ii) take all necessary actions to prevent, contain, and mitigate the impact;
(iii) without limiting any other notification obligations under the Agreement, provide notice to Company promptly by electronic mail at xxxx@xxxxx.xxx (“Incident Notice”), but in no event later than twenty-four (24) hours, after Supplier or its Representatives discovered or became aware of an Incident. The Incident Notice shall contain at a minimum the following information:
(a) Description of the Incident, including information related to what (if any) Company Confidential Information or applications, was the subject of or affected by the Incident;
(b) Actions taken by the Supplier to remediate the Incident and any countermeasures implemented by Supplier to prevent future Incidents;
(c) The name and contact information of the Supplier’s staff member that can act
as a liaison between Company and Supplier; and
(d) Any other relevant information (including indicators of compromise) that can help Company protect itself from the Incident.
(iv) collect and preserve all evidence concerning the discovery, cause, vulnerability, exploit, remedial actions and impact;
(v) at Company’s request, provide notice in a manner and format reasonably specified by
Company to governmental authorities and/or affected individuals;
(vi) provide Company with: (i) weekly written status reports concerning mitigation and remediation activities and (ii) any documents and information reasonably requested by Company;
(vii) at Company’s request, reasonably cooperate and coordinate with Company concerning Company’s investigation, enforcement, monitoring, document preparation, notification requirements and reporting concerning Incidents and Supplier’s and Company’s compliance with Applicable Laws and/or relevant industry standards; and reasonably cooperate with Company in the event that Company notifies third parties of the Incident.
5. ENCRYPTION. Supplier shall encrypt all Company Confidential Information at rest or in transit between Supplier and Company and between Supplier and all third parties (including Supplier’s Representatives). 'Encryption' must utilize, (1) for data at rest, encryption consistent with National Institute of Standards and Technology (“NIST”) Special Publication 800-111 and (2) for data in transit, encryption that complies with Federal Information Processing Standard 140-2 and such other encryption standards as the US Secretary of Health and Human Services formally publish, from time to time, as being adequate to render data unusable, unreadable, or indecipherable.
Schedule 2 – Privacy and Data Protection Schedule
PRIVACY AND DATA PROTECTION SCHEDULE
This Privacy and Data Protection Schedule (“Schedule”) supplements (and is not intended, and shall not be interpreted, to limit the terms of the Agreement) and is governed by the terms and conditions of the Agreement to which it is attached. Any defined terms not otherwise defined herein shall have the meanings set forth in the Agreement.
1. DEFINITIONS
“Personal Information” means any information that relates to, describes or is capable of being associated with or linked to an individual, by direct or indirect means, including without limitation classes, categories and other types of information that may identify an individual as specified by Privacy Laws, that is provided to Provider by or on behalf of Company or its Affiliates or is obtained by Provider or its Representatives in connection with Provider’s or its Representatives’ performance obligations hereunder.
“Privacy Incidents” means any actual or reasonably suspected: (1) unauthorized access to or theft of Personal Information; (2) unauthorized use of Personal Information by a person with authorized access to such Personal Information for purposes of actual or reasonably suspected theft, fraud or identity theft; (3) unauthorized disclosure or alteration of Personal Information; (4) accidental or unlawful destruction of Personal Information; or (5) loss of Personal Information, including without limitation, any of the foregoing described in (1) – (4) caused by or resulting from a failure, lack of or inadequacy of Security or the malfeasance of Provider or one or more of its Representatives.
“Privacy Laws” means, as in effect from time to time, with respect to the Processing of Personal Information, the applicable data privacy laws of the applicable jurisdiction, including without limitation the European Union General Data Protection Regulation (Regulation (EU) 2016/679) (GDPR), together with any national implementing laws in any Member State of the European Union or, to the extent applicable, in any other country, as amended, repealed, consolidated or replaced from time to time (hereinafter “EU Data Protection Laws”) and all data breach notification and information security laws and regulations specific thereto.
“Process” or “Processing” (or any variation thereof) means any operation or set of operations that is performed on Personal Information or sets of Personal Information, whether or not by automatic means, including, without limitation, viewing, accessing, collection, recording, organization, storage, adaptation or alteration, retrieval, consultation, use, disclosure, retention, dissemination or otherwise making available, alignment or combination, blocking, and erasure or destruction.
“Security” means technological, physical and administrative controls, including but not limited to policies, procedures, organizational structures, hardware and software functions, as well as physical security measures, the purpose of which is, in whole or part, to ensure the confidentiality, integrity or availability of Personal Information.
2. PROCESSING OF PERSONAL INFORMATION
2.1. Provider covenants and agrees to comply with the terms and conditions of this Schedule if Provider Processes Personal Information.
2.2. Without limiting Provider’s obligations set forth elsewhere in this Schedule and in the Agreement (including without limitation obligations of confidentiality), Provider shall: (i) act in accordance with Company’s written instructions in the Processing of Personal Information and comply with the requirements of all applicable Privacy Laws; (ii) only Process Personal Information for purposes of performing its obligations under the Agreement and as further set forth herein; and (iii) provide access to Personal Information to its
Representatives only to the extent reasonably necessary for performing its obligations under the Agreement; provided, that prior to providing Provider’s Representatives with such access, Provider (a) has clearly and completely conveyed the requirements of this Schedule to its Representatives and ensured such requirements are understood and followed and (b) has entered into binding agreements with Provider's Representatives that include confidentiality and privacy obligations that are substantively similar to, and no less than, those imposed on Provider under the Agreement and this Schedule. Without limiting the foregoing and notwithstanding anything to the contrary set forth in the Agreement with respect to Provider's use of Subcontractors, Provider shall not subcontract any of its Processing activities under the Agreement without the prior written consent of Company.
2.3. Without limiting Provider's obligations set forth elsewhere in this Schedule, to the extent Personal Information Processed by Provider originates from a member country of the European Economic Area (EEA), Switzerland, or another jurisdiction with data protection laws that rely on, are similar to, or are based on EU Data Protection Laws (“European Personal Information”), Provider (a) acknowledges that Company is the “controller” (as defined in EU Data Protection Laws) of such information and (b) shall ensure that such Processing is performed in compliance with the following:
• As a “processor” (as defined in EU Data Protection Laws), if and when Provider Processes such European Personal Information in jurisdictions outside of the EEA, such Processing will occur only in jurisdictions that have been deemed by the European Commission or by the relevant national data protection authorities to provide an adequate level of data protection (“Adequate Jurisdiction”), except as otherwise stated herein.
• To the extent that such European Personal Information is Processed by or on behalf of Provider outside of an Adequate Jurisdiction, Provider shall cooperate with Company in Company’s efforts to comply with all current and effective requirements of EU Data Protection Laws, all national laws similar thereto and any guidance and decisions of a relevant advisory body (such as the Article 29 Working Party and the European Data Protection Board), as it pertains to such Processing activities, including but not limited to the preparation and execution of any required International Data Transfer Agreement with EU-approved Standard Contractual Clauses. Prior to Processing European Personal Information in connection with the Agreement, Provider shall promptly provide Company with a list of all affiliates and/or subsidiaries outside of an Adequate Jurisdiction that will Process such European Personal Information.
2.4. Without limiting Provider’s obligations set forth elsewhere in this Schedule, and to the extent Provider and its Representatives Process Personal Information subject to the California Consumer Privacy Act of 2018 (“CCPA”), Provider certifies that it shall comply with the following obligations: (i) Provider shall not “sell” (as defined in the CCPA) such Personal Information; (ii) Provider shall not Process Personal Information for any purpose other than to perform the Services or as otherwise permitted by the CCPA; and (iii) Provider shall not Process Personal Information outside of the business relationship between Provider and Company (as defined in the CCPA).
3. SAFEGUARDS AND CONTROLS
3.1. Without limiting Provider’s other obligations under the Agreement, Provider shall ensure that Security is implemented, maintained and enforced to protect Personal Information from Privacy Incidents throughout the period that Provider and/or its Representatives Process Personal Information. Security shall, without limitation, be current and consistent with all Privacy Laws and relevant industry standards. At least annually, Provider shall have an independent auditor complete an assessment of Provider’s Security, which assessment shall be conducted in accordance with relevant industry standards (such as, by way of example, the Statement on Standards for Attestation Engagements No. 16 or the International Standard for Assurance Engagements No. 3402). Provider shall promptly, upon Company’s written requests made from time to time, provide Company with the results of such assessment(s).
4. COMPANY ASSESSMENT, AUDIT RIGHTS AND INFORMATION MAINTENANCE
4.1. Without limiting Company’s audit rights under the Agreement, annually during the Term, Company or its designee may, upon reasonable notice, undertake an assessment and audit of Provider’s compliance with this Schedule. Without limiting and in addition to the foregoing, Company or its designee may upon reasonable notice conduct an audit of Provider’s Security in the event of: (i) any Privacy Incident; (ii) any adverse assessment or audit of Security; or (iii) Company discovers or suspects that Provider or any of its Representatives may not be complying with the terms of this Schedule, including without limitation any actual or suspected failure to implement, maintain, or enforce Security in compliance with applicable Privacy Laws or relevant industry standards. Provider shall, and shall cause its Representatives to, cooperate with Company in the conduct of any such audits.
4.2. Provider shall collect and record information, and maintain logs, audit trails, records and reports concerning (i) its compliance with Privacy Laws and/or relevant industry standards, (ii) Privacy Incidents, (iii) its Processing of Personal Information and (iv) the accessing and use of Provider’s computer systems.
4.3. Without limiting Provider’s obligations elsewhere in this Schedule, Provider shall cooperate with Company’s requests for information reasonably necessary to: (i) demonstrate Provider’s compliance with the requirements set forth in this Schedule, (ii) support Company’s cooperation or consultations with, or responses to any inquiries, requests, or demands (including, but not limited to any subpoena or other discovery requests, or court order) of, any governmental authorities including without limitation a national data protection authority, (iii) support Company in conducting a privacy impact assessment of the Processing activities subject to this Agreement, and (iv) support Company in authentication (including, without limitation, establishing chain of custody) of any Personal Information provided by Company to Provider.
5. PRIVACY INCIDENTS
5.1. Provider shall train all Provider’s Representatives that Process Personal Information to recognize and respond to Privacy Incidents. In the event of a Privacy Incident, Provider shall:
• immediately conduct a reasonable investigation of the reasons for and circumstances surrounding such Privacy Incident;
• take all necessary actions to prevent, contain, and mitigate the impact of, such Privacy Incident;
• without limiting Provider’s notification obligations under the Agreement, provide notice to Company promptly by electronic mail at xxxxxxxxxxxx@xxxxx.xxx or xxxxxxxxxxxxx@xxxxx.xxx, but in no event later than twenty-four (24) hours, after Provider or its Representatives discovered or became aware of a Privacy Incident (“Incident Notice”). This Incident Notice shall contain at a minimum the following information:
a) Description of the Privacy Incident, including information related to what (if any) Personal Information was the subject of or affected by the Privacy Incident;
b) Actions taken by the Provider to remediate the Privacy Incident and any countermeasures implemented by Provider to prevent future Privacy Incidents;
c) The name and contact information of Provider’s Representative that can act as a liaison between Company and Provider; and
d) Other relevant information (including indicators of compromise), if any, that can help Company protect itself from the Privacy Incident;
• collect and preserve all evidence concerning the discovery, cause, vulnerability, exploit, remedial actions and impact related to such Privacy Incident;
• at Company’s request, provide Company with: (i) periodic written status reports concerning mitigation and remediation activities related to each Privacy Incident and (ii) any documents and information reasonably requested by Company related to such Privacy Incident; and
• reasonably cooperate and coordinate with Company concerning Company’s investigation, enforcement, monitoring, document preparation, notification requirements and reporting concerning Privacy Incidents, which may include facilitating the delivery of notice of any Privacy Incident (in a manner and format specified by Company) on Company’s behalf and at Company’s discretion to: (i) individuals whose Personal Information was or may have reasonably been exposed,
(ii) governmental authorities, and/or (iii) the media.
6. PRESERVATION, DESTRUCTION AND RETURN OF PERSONAL INFORMATION
6.1. Independent of where Personal Information is stored, in accordance with Company’s instructions and requests (including without limitation retention schedules and litigation hold orders), Provider shall preserve Personal Information that is or has been Processed. Upon the earlier of (i) expiration or termination of the Agreement or (ii) completion of the Processing of Personal Information, Provider shall, at Company’s option, either (a) ensure Personal Information is destroyed and rendered unusable and unreadable or (b) return Personal Information to Company or its designee in a format reasonably requested by Company.
7. DATA SUBJECT ACCESS REQUESTS
7.1 Provider shall cooperate with Company in responding to any requests by individuals whom exercise rights under applicable Privacy Laws, including without limitation, requests for access or correction to, or blocking, destruction or data portability of, Personal Information in Provider’s or its
Representatives’ custody (each, an “Access Request”) and such cooperation shall include without limitation, providing Company, within two (2) business days after Company’s request, with either copies of or access to such Personal Information in the format in which it is maintained in the ordinary course of business. Without limiting the foregoing, in the event that Provider or one or more of its Representatives receives an Access Request directly from an individual whose Personal Information is being Processed by or on behalf of Provider in connection with the Services, Provider shall immediately (but in no event later than 24 hours after receiving such request) notify Company of such request by electronic mail at xxxxxxxxxxxx@xxxxx.xxx or xxxxxxxxxxxxx@xxxxx.xxx and follow Company’s reasonable instructions in connection therewith.