この国/地域を使用しますか?
日本

Meta Horizon Managed Solutionsデータセキュリティ補足条項

2023年11月13日から適用

本データセキュリティ補足条項は、参照によりMeta Horizon Managed Solutions利用規約(www.meta.com/legal/meta-for-work/terms-of-service/) (以下「規約」)に明示的に組み込まれました。英語の正文において大文字で始まるものの、本データセキュリティ補足条項で定義されていない用語は、規約に定めのある意味を有します。

  1. 背景と目的

    本ドキュメントでは、Metaが貴社に本サービスを提供する際に適用される最小限のセキュリティ要件を定めています。

  2. 情報セキュリティ管理システム

    Metaは、本サービスの提供に適用される業界標準の情報セキュリティ対策の実施を目的とした情報セキュリティ管理システム(ISMS)を確立しており、これを継続的に運用します。MetaのISMSは、顧客データを不正なアクセス、開示、使用、喪失、改ざんから保護するためのものです。

  3. リスク管理プロセス

    ITインフラや物理的な設備を含め、情報のセキュリティ対策および情報処理設備は、リスク評価に基づいています。本サービスのリスク評価は定期的に実施されます。

  4. 情報セキュリティ組織

    Metaは、組織のセキュリティ全般を担うセキュリティ責任者を任命しています。Metaは、本サービスに関する貴社の顧客インスタンスのセキュリティ監視担当者を任命しています。

  5. 物理的セキュリティと環境セキュリティ

    Metaのセキュリティ対策には、物理的な処理設備へのアクセスが権限者に制限され、環境危害による破壊を検知、防止および制御する環境管理システムが確立されていることを合理的に保証する、管理手段が含まれています。管理手段には次のようなものがあります。

    • 本サービスに携わる全人員がMetaのすべての施設に入る際にIDカードを提示することを義務付ける指示の徹底
    • 従業員および請負業者によるデータ処理設備へのすべての物理的アクセスを記録、監査
    • データ処理設備への重要な入り口にカメラ監視システムを設置
    • コンピューターデバイスの温度と湿度を監視、調整するシステムを設置

    • 電力供給と予備発電装置を確保

    Metaは、規約に従って、電子メディアの保存データを安全に削除、廃棄するために業界標準手順を導入します。

  6. 人員

    トレーニング: Metaは、顧客データへのアクセス権を持つ従業員全員にセキュリティに関するトレーニングを必ず実施するものとします。

    審査および経歴調査: Metaは次の規定に従うものとします。

    • Metaは、本サービスの顧客インスタンスで作業するすべての人員に、氏名が記載された写真付きIDカードを支給するものとします。Metaのすべての施設に入る際にIDカードが必要となります。
    • 本サービスの顧客インスタンスで作業する人員の身元を確認するプロセスを備えるものとします。

    • 法律上認められる場合には、Metaのポリシーに従って、本サービスの顧客インスタンスで作業する人員に対する身元調査を実施するためのプロセスを備えるものとします。

    人員によるセキュリティ侵害: Metaは、Metaの人員による顧客データへの不正アクセスまたは許容されないアクセスに対して懲戒措置(法律上認められる場合には最も重いもので解雇を含みます)を設けます。

  7. セキュリティテスト

    Metaは、セキュリティおよび脆弱性テストを定期的に実施し、主要な管理手段が適切に導入され、効果的であるかどうかを評価するものとします。

  8. アクセス管理

    利用者パスワードの管理: Metaは、パスワードを個人的なものとし、未承認の人物によるアクセスを阻止する利用者パスワードの管理プロセスを設けるものとします。このプロセスには少なくとも以下を盛り込みます。

    • 新規、代替、臨時のパスワードを提供する前に利用者の本人確認を行うことを含む、パスワードのプロビジョニング
    • コンピューターシステムでの保管時、またはネットワークを介する移転時にパスワードを暗号化
    • ベンダーから取得したデフォルトのパスワードを変更
    • 用途に応じた強力なパスワード

    • 利用者の意識向上とトレーニング

    利用者アクセスの管理: Metaはアクセス権およびユーザーIDの変更および/または取り消しプロセスを、不当に遅滞することなく実行します。Metaは、365日24時間、危険にさらされたアクセス資格情報(パスワード、トークンなど)を常時報告、取り消せる手段を整えるものとします。Metaは、該当する場合、ユーザーIDやタイムスタンプなどを含む適切なセキュリティロギングを導入するものとします。時計はNTPと同期させます。

    少なくとも以下のユーザーアクセス管理イベントを記録するものとします。

    • 承認権限の変更
    • 認証の成否およびアクセスの試み

    • 読み取りおよび書き込み操作

  9. 通信関連のセキュリティ

    ネットワークセキュリティ: Metaは、ネットワーク分離の業界標準に沿った技術を採用するものとします。リモートネットワークアクセスには、セキュアプロトコルを使用した暗号化通信と多要素認証を必要とします。

    送信中データの保護: Metaは、パブリックネットワークで転送するデータの機密性を保護するために適切なプロトコルを強制的に使用します。

  10. 運用上のセキュリティ

    Metaは、本サービス向けに脆弱性管理プログラムを策定し維持します。このプログラムには、役割と責任の定義、脆弱性モニタリングの専属責任者、脆弱性リスク評価、パッチの展開などが含まれます。

  11. セキュリティインシデントの管理

    Metaは、本サービスに影響するセキュリティインシデントの疑いを監視、検知、処理するセキュリティインシデント対応プランを策定し維持するものとします。セキュリティインシデント対応プランは少なくとも、役割と責任の定義、コミュニケーションのほか、根本原因分析や是正プランなどの事後検討評価を含むものとします。

    Metaは、セキュリティ侵害や悪意のある活動がないか本サービスをモニタリングします。モニタリングプロセスと検知手法は、関連する脅威と現在進行中の脅威に関する情報に従って、本サービスに影響するセキュリティインシデントを検出できるように設計します。

  12. 事業継続

    Metaは、本サービスを害するおそれのある緊急事態などの重大な状況に対応する事業継続計画を保持するものとします。Metaは、少なくとも年に一度、事業継続計画を正式に見直すものとします。