第1条(総則)
- 本約款は、株式会社FRONTEO(以下「当社」といいます)が、当社に対し、第3項に定める業務(以下「情報システム・セキュリティ調査」といいます)を依頼する者(以下「契約者」といいます)に対して、情報システム・セキュリティ調査を実施するための諸条件を定めるものです。なお、以下では、本約款に基づいて当社と契約者との間で成立する契約のことを「本契約」といいます。
- 本約款は、情報システム・セキュリティ調査に関連して、当社と契約者の間に生ずる全ての事項に対して適用するものとします。
- 本約款に用いられる情報システム・セキュリティ調査とは、以下の(1)から(3)に定める業務の全部または一部をいいます。なお、いずれの業務も準委任業務とします。
脆弱性を含む外部に公開された資産(機能)や設定不備、機密情報の漏洩など攻撃者が悪用可能な情報(例:悪意のあるペイロード、脆弱性、パターンファイル、侵害の痕跡、漏洩した情報、攻撃者の活動、攻撃に関するレポート)をダークウェブ/ディープウェブなどから収集、分析する業務
侵害経路や攻撃の継続性を確認するため、お客様の外部公開資産(例:グローバルIPアドレス、ドメイン名)と外部脅威(例:C&C)との通信を分析する業務
ペネトレーションテスト等の手法を用いて、不正侵入や情報窃取等に関する脆弱性・被攻撃対象となるおそれの有無やその程度を外部から調査する業務
- 内部領域調査
- NDR(Network Detection and Response)調査
契約者が保有するファイアウォールなどの通信ログから、エンドポイントと外部脅威(例:C&C)との通信を分析する業務
- EDR(Endpoint Detection and Response)調査
組織が所有するエンドポイント単位からログデータを収集し、解析サーバーで相関解析、不審な挙動・サイバー攻撃などを分析する業務
各種エンドポイントや外部記録媒体に含まれる電磁的記録(電子データ)を保全、分析する業務
ペネトレーションテスト等の手法を用いて、不正侵入や情報窃取等に関する脆弱性・被攻撃対象となるおそれの有無やその程度を内部から調査する業務
- その他、前各号に付随したコンサルタント業務その他契約者および当社間で合意した業務
- 契約者は、本約款に同意した上で、当社に対して、情報システム・セキュリティ調査の申込をするものとします。
- 当社は本約款を変更することがあります。この場合、本約款の変更に伴う提供条件(料金その他を含む)の変更は、特段の定めがない限り、本約款の変更と同時に、自動的に全ての本契約に適用されるものとします。なお、本約款の変更に際しては、当社は当該変更の対象となる契約者に対し事前にその内容を告知します。(告知は、当社のWebページなどで行います。)
第2条(契約の成立)
- 本契約は当社所定の発注書にて情報システム・セキュリティ調査の申込を受け、この申込に対し当社が承諾した場合に、当社の承諾の日をもって成立するものとします。
- 契約者または契約者の役員、社員が、現在または過去において、「暴力団員による不当な行為の防止等に関する法律」にいう暴力団およびその関係団体等(以下「反社会的勢力」といいます)に該当する場合、または何らかの関わりを有する場合には、申込資格がないものとします。
- 当社は、情報システム・セキュリティ調査の申込を承諾しないことがあります。その場合、当社は申込者に対しその旨を通知しますが、承諾しない理由の説明義務は負わないものとします。
第3条(情報システム・セキュリティ調査)
- 当社は、本契約で定めた履行期間中、情報システム・セキュリティ調査を善良なる管理者の注意義務をもって遂行するものとします。
- 当社は関係者から事故状況に関するヒヤリングの実施後に、当社の裁量で、契約者に対して書面または口頭で一次報告をする場合があります。ただし、当該一次報告は、次項に定める調査報告書の記載事項を拘束するものではありません。
- 当社は、情報システム・セキュリティ調査の終了後、被害範囲、原因、発生日時と頻度、(クレジットカード情報の漏洩調査の場合は)Payment Card Industry Data Security Standard(PCI DSS)への適合状況、再発防止策の評価その他当社が必要と判断した項目についての内容を記載した最終レポート(以下「調査報告書」といいます)を書面にて提示します。
- 当社が契約者に対し、調査報告書を提示した日をもって、情報システム・セキュリティ調査は完了したものとみなします。
第4条(契約者の責務)
- 契約者は、当社が情報システム・セキュリティ調査を行うにあたり、次の各号に定める事項を履行するものとします。情報システム・セキュリティ調査が開始された後に各号に定める事項が遵守されていないことが判明した場合には、当社は、当社の裁量で、いつでも情報システム・セキュリティ調査を中止することができるものとします。
- 当社に対し、情報システム・セキュリティ調査対象となるすべてのハードウェア、記録及び文書を開示、無償貸与すること。なお、当社は、本契約が終了した後速やかに、貸与品を直ちに返還または廃棄するものとします。
- 当社担当者及び当社の指定する者の事務所及び作業エリアへの立ち入り及び関係者へのヒヤリングを許可し、かつ、これらが円滑に行われるよう配慮すること。
- 情報システム・セキュリティ調査対象となるハードウェア、その付属品及び周辺環境等の証拠保全が確実に図られていること。
- 責任者を選任し、当社に通知すること。
- 契約者は、情報システム・セキュリティ調査対象先に第三者の権利または利益にかかる書類情報または電子データ等がある場合は、当該第三者から情報システム・セキュリティ調査に必要な同意を取得すること。万一、情報システム・セキュリティ調査の遂行にあたり、当社が当該第三者から苦情、訴訟等の請求を受けた場合には、当社は契約者に速やかに当該請求等につき書面により通知するものとし、契約者は、自己の費用と責任において、これを処理するものとし、当社に一切の負担を負わさないものとします。
- 契約者は、情報システム・セキュリティ調査の際、自己の従業員(派遣社員、業務委託先従業員を含む。)を情報システム・セキュリティ調査に同席させるときは、その者の機密保持について全責任を持つものとします。
- 契約者は、当社の請求に従い、次の料金(以下「委託料等」といいます)を当社に支払うものとします。なお、当社が必要であると判断した場合は、別途、着手金を請求する場合があります。
- 基本料金
- 情報システム・セキュリティ調査料金
- (クレジットカード情報の漏洩調査の場合は)PCI DSSアセスメント料金
- 当社が情報システム・セキュリティ調査を遂行するにあたり合理的に支出 した交通費、通信費、日当、宿泊費、機材の発送、設置案内、撤収、発送費用その他の費用
第5条(機密保持)
- 契約者及び当社は、本契約を通じて知り得た相手方固有の技術上、販売上その他業務上の秘密情報及びこれらに含まれる個人情報(以下「機密情報」といいます)を第三者に対し漏らし、または、情報システム・セキュリティ調査以外の目的で使用してはならないものとします。
- 前項に関わらず、次の各号のいずれかに該当する情報は機密情報に当たらないものとします。
- 受領者が開示を受けた時点で、既に合法的に知得していた情報
- 受領者が開示を受けた時点で、既に公知となっていた情報
- 受領者が開示を受けた後、受領者の故意または過失によらず公知となった情報
- 受領者が機密情報に依存することなく、独自に開発、作成した情報
- 受領者が第三者から機密保持義務を負うことなく合法的に入手した情報
- 当社は、契約者から開示、提供された資料等を、情報システム・セキュリティ調査上必要な範囲で複製または改変することができるものとします。
- 当社は、国、地方公共団体、裁判所その他これらに準ずる機関から法令上の根拠に基づき相手方の秘密情報の開示を求められた場合、または、当社の認定機関(PCI SSC)との契約により機密情報の開示を要求された場合は、機密情報を開示することができます。ただしその場合は、法令及び上記認定機関との契約によって規制されない限り、当社は契約者に通知するものとします。
- 当社は、クレジットカード情報の漏洩調査の場合は、当社の裁量で、PCI SSCが定めるPFI(PCI Forensic Investigator)に関する規約に則り、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社に対して、調査報告書を開示することができるものとします。また、契約者が契約するカード会社(イシュア及びアクワイアラを含む)から情報システム・セキュリティ調査の内容の開示を要求された場合には、契約者に通知の上、調査報告書を含む機密情報を開示することができるものとします。
第6条(当社が行う契約の解除)
- 当社は、契約者が以下に定める各号のいずれかの場合に該当したときは、直ちに本契約を解除することができるものとします。なお、本契約の解除は損害賠償の請求を妨げないものとします。
- 第三者より差押、仮差押、競売の申立て、公租公課の滞納処分を受けたとき
- 支払停止または支払不能となったとき、またはその振出、引受、裏書もしくは保証をした手形または小切手が不渡りとなったとき
- 破産、会社更生、民事再生等の倒産手続開始の申し立てがあったとき
- 解散または事業の全部若しくは重要な一部を第三者に譲渡しようとしたとき
- 契約者が、現在および過去において、反社会勢力に該当する場合、または何らかの関わりを有する場合
- 独占禁止、不正競争禁止、あるいは贈収賄禁止に関する法令違反など、重大なコンプライアンス違反が発覚したとき
- 契約関係の存続が当事者の社会的信用の維持に有害であることが客観的事象により明らかとなったとき
- 前各号のほか、契約者が本契約の義務に違反したとき
- 契約者が前項に定める各号のいずれかの場合に該当するに至ったときは、当社の契約者に対する一切の債務につき直ちに期限の利益を喪失するものとします。
第7条(調査報告書)
- 調査報告書は、契約者の情報セキュリティ対策の参考資料として当社が契約者に提示するものであり、それ以外のいかなる目的にも適合するものではなく、情報セキュリティ対策を実施する責任は契約者にあることを、契約者は予め承諾するものとします。
- 調査報告書において、契約者の情報セキュリティ対策として記載されている方法は、汎用かつ一般的なものであり、契約者のインターネット環境によっては当該方法が適合せず、契約者が行う情報セキュリティ対策に不具合が生じうる場合があることを、契約者は予め承諾するものとします。
- 調査報告書は、契約者によって当社に提供された情報および設備等に依拠して提示されるものであり、依拠した情報および設備等の誤り、不具合、瑕疵等があった場合は、調査報告書の記載が契約者に適合しないことがあることを、契約者は予め承諾するものとします。
- 調査報告書は、情報システム・セキュリティ調査時点において、通常想定しうる不正に対する危険性とその対策を提示するものであって、通常想定しえない方法および程度で不正が行われた場合は、この限りではないことを、契約者は予め承諾するものとします。
- 調査報告書は、当社が第三者の立場で行った公正な情報システム・セキュリティ調査の結果を報告するものであり、契約者の意思や意向に沿わなかったり、不利益な記載になったりすることがあることを、契約者は予め承諾するものとします。
- 前各項の場合に、契約者に損害または不利益が生じても、当社は責任を負わないものとします。
第8条(損害賠償)
- 万一、契約者が当社による情報システム・セキュリティ調査に起因して何らかの損害(情報等が消失、破損もしくは減失したことによる損害、または契約者が調査報告書から得た情報の使用等に起因する損害を含むがそれに限定されない。)を負うことがあっても、当社は、その原因の如何を問わず、一切の賠償責任を負わないものとします。
- 前項の規定にかかわらず、当社が本契約に違反したことにより生じた賠償責任については、当該違反に起因して発生した通常かつ直接生ずべき損害(逸失利益及び特別利益は含まない)の範囲で、当該違反日より前6ヶ月の間に契約者が当社に支払った料金の合計金額を損害賠償金額の限度とします。
- 契約者が調査報告書を利用したことにより第三者に損害を与えた場合、契約者は自らの責任において解決するものとし、当社は一切の賠償責任を負わないものとします。
第9条(有効期間及び中途解約)
- 本契約の有効期間は、本契約の成立日から委託料等の支払完了日までとします。
- 前項の定めにかかわらず、第7条第6項、第8条、本条および第13条の規定は、引き続きその効力を有するものとします。また、第5条については、契約の有効期間終了日から3年間に限り効力を有するものとします。第10条第2項については、契約者が当社に発注書を提出する時点に遡って効力を生じるものとします。
- 契約成立後、契約者が自己都合により本契約を解約する場合には、契約者は、情報システム・セキュリティ調査実施前の契約解約の場合は当社が定める基本料金に相当する金額を、情報システム・セキュリティ調査実施中及び情報システム・セキュリティ調査実施後の契約解約の場合は基本料金、情報システム・セキュリティ調査料金及び実費の全額に相当する金額を、契約解約料として当社に支払うこととします。
第10条(料金等の支払方法)
- 契約者は、委託料等およびこれにかかる消費税等租税公課の合計額を、本契約の履行期間の最終日の属する月の翌月末日までに当社の指定する銀行口座に振込んで支払うものとします。なお、当社が契約者に発行する請求書の発行時期は、原則として情報システム・セキュリティ調査の完了後としますが、着手金に関しては情報システム・セキュリティ調査実施前とします。振込みにかかる手数料は、契約者の負担とします。なお、契約者が当社に対して支払った金銭は、いかなる場合でも返還されないものとします。なお、契約者と金融機関等の間で紛争が発生した場合、当該当事者双方で解決するものとし、当社には一切の責任がないものとします。また、契約者が、料金その他の債務(延滞利息は除きます。)について支払期限を経過してもなお支払いをしない場合、契約者は、支払日まで、年6%の割合による遅延損害金(1年を365日として日割計算)を当社が指定する方法により支払うこととします。
- 契約者は、自己が加入する保険会社に前項に定める委託料等の支払行為を代行させることを希望する場合には、その旨および当該保険会社の正式名称・住所、保険期間その他別途当社が要求する事項を、発注書を当社に提出する時点で当社に対して通知し、当社の承諾を得るものとします。当社が上記事項を承諾しない場合には、契約者は自身で支払いを行うものとします。なお、かかる支払代行の承諾は、契約者の本契約上の支払い義務を何ら軽減・免責するものではありません。
第11条(再委託)
当社は、当社が必要と認めるときは、情報システム・セキュリティ調査業務の全部または一部を第三者に再委託することができることとし、契約者はあらかじめこれを承諾します。
第12条(反社会的勢力に係る情報の報告義務)
- 契約者は、本契約の有効期間中に、風説、マスメディアの報道、インターネット等情報媒体または取引先等からの伝聞により、契約者またはその関係者、株主、従業員、顧問、取引先と反社会的勢力との関係を示唆する情報を得た場合、その真偽にかかわらず、当社に対し、その情報を得た旨及び内容を速やかに報告しなければならないこととします。
- 契約者は、前項により自己または関係者等と反社会的勢力との関係を指摘された場合、当該事実が存在しない旨を速やかに書面により証明し当社の了承を得なければなりません。
- 当社は、契約者またはその関係者等と反社会的勢力との関係を示唆する情報を得た場合、契約者の同意を何ら要せず警察等関係当局への情報照会、その他の必要と認める調査を行うことができることとします。
第13条(準拠法と管轄裁判所)
本約款に関する準拠法は日本法とします。契約者と当社との間の本約款に関わる紛争については、訴額に応じ、東京簡易裁判所または東京地方裁判所を第一審の専属的合意管轄裁判所とします。
株式会社FRONTEO
東京都港区港南2丁目12番23号 明産高浜ビル(受付8F)
代表電話番号(03)5463-6344 FAX番号(03)5463-7578
2025年4月1日改訂