おまかせセキュリティ事故駆け込み窓口 同意書
東日本電信電話株式会社(以下 NTT東日本)が開設するセキュリティインシデントが発生した際の状況把握、対応方針決定支援、復旧支援を行うおまかせセキュリティ事故駆け込み窓口(以下 本窓口。)に申し込むお客さまは、この申し込み同意書(「おまかせセキュリティ事故駆け込み窓口 同意書」。以下 本同意書。)の内容を事前にご確認および同意の上、お申し込みいただきます。
1.個人情報の扱い
- ①NTT東日本は、本窓口の提供にあたり、別紙1 第2項に規定する情報を取得します。
- ②申込者がインシデントレスポンス/フォレンジックサービスの利用意思をNTT東日本に表明した場合には、NTT東日本がNTTアドバンステクノロジ株式会社(以下 NTT-AT)に対して、別紙1 第2項に規定するすべての情報を提供することに同意いただきます。
- ③NTT東日本は、本項第1号の規定により取得した情報については、当社が別に定める「プライバシーポリシー」に基づき取り扱うものとします。なお、本同意書と当該プライバシーポリシーに齟齬がある場合、本同意書の定めが優先して適用されるものとします。
- ④NTT東日本は、当社が提供する役務又は販売する商品等の紹介、提案及びコンサルティングに必要となる範囲内で、取得した情報を統計化した情報を利用する場合があります。
- ⑤NTT東日本は、個人情報保護法の規定に基づき、本項第1号の規定により取得した情報を当社が業務を委託する他の事業者に対して提供することがあります。
- ⑥申込者が法人等の団体である場合における当該申込者の法人情報についても、前各号の規定と同様に扱うこととします。
- ⑦申込者は、本項第2号の規定により当社がNTT-ATに提供した情報については、NTT-ATがインシデントレスポンス/フォレンジックサービスの提供、並びに個人を特定しない統計情報として、NTT-ATのプログラムの安全性の判定・分析、セキュリティ上の脅威に対する対策の提供、セキュリティ上の脅威についての傾向のレポートへの活用及び同社サービスのマーケティングに利用することについて同意していただきます。
- ⑧NTT東日本は、事前に申込者との書面による承諾なしに本窓口提供以外の目的で提供いただいた情報を使用せず、またはNTT-ATを除く第三者への提供を行いません。
2.機密保持について
- ①申込者は、本窓口を通じてNTT東日本から口頭又は書面を問わず開示されたアイディア、ノウハウ、コンセプト、データ等の当社の技術上、営業上及び業務上の一切の情報(有形であるか無形であるかどうかを問わない。以下「機密情報」といいます。)を本窓口以外に使用し、又は第三者に開示、漏洩してはならないものとします。
- ②申込者は、善良なる管理者の注意をもって、機密情報(複写又は複製したものを含む。以下本条において同じ。)を取り扱わなければならないものとします。
3.報告書の共有
本窓口を介し申込者がNTT-ATのインシデントレスポンス/フォレンジックサービスを申し込んだ場合には、NTT-ATが提供する報告書をNTT-ATからNTT東日本にも共有いただくことに同意いただきます。NTT東日本は、当該報告書を申込者のセキュリティ対策の強化に向けたセキュリティ設定提案及び設定代行を実施する目的で利用します。
4.免責事項
- ①NTT東日本は申込者の問い合わせを遅延無く受け付けることを保証しません。
- ②NTT東日本は、本窓口の提供をもって、申込者の問題・課題等の特定、解決方法の策定、解決または解決方法の説明を保証するものではありません。
- ③NTT東日本は、オペレータの説明に基づいて申込者が実施した作業およびオペレータが遠隔で実施した作業の内容について保証するものではありません。
- ④NTT東日本は、オペレータの説明に基づいて申込者が実施した作業、オペレータが遠隔で実施した作業で生じる申込者の損害について責任を負いません。
- ⑤本窓口は、メーカー、ソフトウェアハウスおよびサービス提供事業者が提供する正規サポートを代行するサービスではありません。問い合わせの内容によっては、問い合わせの対象となるモバイル端末、ソフトウェア(OS)等をそれぞれ提供するメーカー、ソフトウェアハウス、サービス提供事業者などのホームページを紹介することや、それぞれに対して申込者自身で直接問い合わせすることを依頼するに留まる場合があります。
- ⑥オペレータの説明に基づいて申込者が実施した作業、オペレータが遠隔で実施した作業に関連して、申込者のIDまたはパスワードで実行された操作は、申込者による操作であるとみなし、これに伴い生じる申込者の損害について、NTT東日本は責任を負いません
- ⑦NTT東日本は、業務の遂行上やむを得ない理由があるときは受付専用番号を変更することがあります。
- ⑧本窓口は、あらゆるウイルスへの対応、不正通信の遮断及びセキュリティ対策機能を保証するものではなく、本窓口の利用により生じた申込者の損害および申込者の行為または申込者が利用する通信機器その他の機器の動作を通じて第三者が被った損害について、申込者は、自己の責任でこれを解決するものとします。
- ⑨申込者は、本窓口の利用により第三者に対し損害を与えた場合は、自己の責任でこれを解決するものとします。
- ⑩NTT東日本は、本窓口の利用により生じる結果について、本窓口の提供に必要な設備の不具合、故障、第三者による不正侵入、商取引上の紛争、法令等に基づく強制的な処分その他の原因を問わず、責任を負いません。
- ⑪NTT東日本は、事象の完全な解析及び解析結果の精度について保証するものではありません。
- ⑫NTT東日本は、以下の場合に十分にサポートを行えない可能性がありますが、サポート内容について一切の責任を負いません。
- データ複製を実施する前に痕跡となるデータが消去、変更されている場合
- HDD/SSDが暗号されている場合
- 解析に必要な周辺情報(ネットワークログ、セキュリティアラートログ等)がご提供いただけない場合
- 解析に必要なヒアリング(インシデント発生状況、ネットワーク構成、システム運用状況等)が十分に行えていないとNTT東日本が判断した場合
- ⑬NTT東日本が提示する解決策は、参考情報として提示するものであり、今後いかなるセキュリティインシデントを発生させないことを保証するものではありません。
- ⑭提供いただいたデータの中に、著作権で保護された著作物、申込者以外の第三者の権利情報が含まれている場合において、NTT東日本は一切の責任を負いかねます。
- ⑮本窓口の参加に基づき発生した損害、間接的損害、派生的損害、遺失利益について当社は一切その責任を負いかねます。
別紙1
1.提供する内容
| 内容名 | 詳細 |
|---|---|
| 初動対応サポート(遠隔) | インシデント発生状況、本窓口の参加目的を把握したうえで、遠隔で迅速に実施できる初動対応のサポートを実施する |
| インシデントレスポンス/フォレンジックの提供会社の紹介 | 申込者が現地でのインシデントレスポンス/フォレンジックを要望した際の提供会社の紹介する |
| おまかせシリーズのセキュリティログ抽出 | おまかせシリーズで検知したセキュリティログ有無の確認と抽出する |
| セキュリティログのインシデントレスポンス/フォレンジックの提供会社への提供代行 | おまかせシリーズで検知したセキュリティログがあった場合にインシデントレスポンス/フォレンジックの提供会社への提供を代行して行う |
| セキュリティ設定提案および設定代行 | NTT-ATの報告書をもとに、NTT東日本が提供するおまかせシリーズの設定変更が有効である場合に設定変更の提案と設定代行を行う |
2.本サービスを提供するにあたり取得する情報
| 種別 | 項目 |
|---|---|
| 本件の窓口 | 貴社名 |
| 部署名/担当名 | |
| 電話番号 | |
| メールアドレス | |
| 実施責任者 | |
| インシデントの概要 | インシデント概要 |
| 調査の目的 | |
優先順位
|
|
| 発見日時 | |
| 発見契機(発見方法) | |
| 発生日時 | |
| 発生対象 | |
| 発生時の操作内容 | |
| その他弊社への依頼内容 | |
| インシデント発生対象機器 | 発生対象の特定状況 |
| 発生対象の利用状況(個人利用/共用) | |
| OS | |
| アンチウィルスソフト名 | |
| 外部との接続状況 | |
| その他弊社への共有事項 | |
| ネットワーク構成 | 発生対象機器が属するネットワーク構成 |
| ログ | プロキシ、ファイアウォール、IDS/IPS、UTM、アンチウィルスソフト、EDRなどのネットワークログ、セキュリティアラートログ |
| その他 | 弊社が調査に必要と判断した情報 |