ステートメント
キャップジェミニは、サイバーセキュリティが組織にとって非常に重要な要素であると認識しています。 また、当社は場所を問わず、すべてのユーザとお客様の保護に努めています。
キャップジェミニは、透明性のあるアプローチで、より広範なセキュリティコミュニティと連携した脆弱性管理を実施しています。
キャップジェミニは、システム、サービス、および製品のサイバーセキュリティを綿密に監視する専任チームを設置しています。並行して、社内のグループサイバーセキュリティチームは、グループの外部脆弱性管理プロセスを実行し、受領、アセスメント(調査)、および対応に関する調整活動を管理しています。
脆弱性開示の通知プロセス
キャップジェミニへセキュリティ課題を通知する方法
キャップジェミニのシステム、サービス、または製品に脆弱性を発見した場合は、次の宛先まで速やかにメールでご連絡ください:cert.global@capgemini.com
少なくとも次の情報の記載をお願いします。
- ご希望の連絡先の詳細(電話番号を含む)
- 脆弱性の詳細な記述
- 脆弱性を発見した日時と方法
- 脆弱性が発見されたシステム、サービス、または製品の仕様
- その他の関連情報(コードサンプル、ログ、スクリーンショットなど)
解決プロセス
当社は、通知された課題を調査し、当該の課題の軽減や解決に要するすべての活動と対処を実施します。
約束事項
脆弱性通知を送信することにより、以下に同意されたこととなります。
- 当該の脆弱性の修正完了前、および相互に合意した期間の満了前に、当該脆弱性を他者に開示または公開しないこと。
- 当該の脆弱性を悪用して、記録やデータを改ざん、ダウンロード、または削除することや、当該脆弱性に基づいた何らかの攻撃を開始したりしないこと。
- 通知者の所在地に関連する法令および規制を遵守すること。
- 適用されるデータ保護法を遵守し、特に正当な法的根拠なしに第三者の個人データを開示しないこと。
- 通知に含まれる要素が、第三者の知的財産権を侵害していないことを確認すること(例えば、インターネットで利用可能な要素をコピーしていないなど)。
キャップジェミニに脆弱性通知を提出することにより、キャップジェミニに対し50年間、当該情報を無償で使用できる取消不能で世界的な権利を付与することに同意するものとします。
個人データの処理
通知を送信することで、キャップジェミニが通知者の個人データを処理することを受諾するものとします。 当該処理は、適用されるデータ保護法に従って行われ、いかなる場合も通知者の個人データは、通知者へのフォローアップのためにのみ処理されます。 キャップジェミニは、通知者の個人データをその他の目的で処理しないことを保証します。
個人データの共有先
通知者の個人データは、厳密に必要な範囲に限定して第三者と共有されます。 そのような第三者に依拠する場合、通知者の個人データが安全かつ厳密にキャップジェミニの指示に従って処理されるよう、キャップジェミニは必ず契約上の合意を締結しています。
さらに、キャップジェミニの関連会社または関係する第三者は欧州経済地域(以下、「EEA」と言います)外に所在する場合があるため、通知者の個人データが域外へ移転されることがあります。
→ キャップジェミニの事業体間でこのような移転が行われる場合、キャップジェミニのBinding Corporate Rules(拘束的企業準則:以下、「BCR」と言います)が適用されます。 キャップジェミニのBCRの詳細については、次のリンクをクリックしてください: https://www.capgemini.com/wp-content/uploads/2017/06/Capgemini-Binding-Corporate-Rules.pdf.
→ キャップジェミニと外部の第三者との間でこのような移転が行われる場合、キャップジェミニおよび当該第三者は、個人データのセキュリティを確保するために、欧州委員会によって承認されたモデル条項であるEuropean Model Clausesを締結します。
個人データの保管期間
キャップジェミニは、通知者の個人データを、収集された目的のために必要な期間を超えて保持することはありません。
キャップジェミニは、通知者の個人データを収集日から3年間保管するものとします。
通知者の権利とその行使方法
通知者は、ご自身の個人データへのアクセス、修正、または削除を要求することができます。 また、通知者は個人データの処理に異議を唱え、制限を求める権利があります。 さらに通知者は、構造化され、一般的に使用され、機械で読み取り可能な形式で個人データの伝達を要求することができます。
これらの権利の行使を希望される場合は、キャップジェミニのグローバルデータ保護オフィスにメールでご連絡ください。アドレスは次のとおりです: dpocapgemini.global@capgemini.com. 必要に応じて、通知者の要求または苦情を関連する現地のデータ保護責任者に通知します。
通知者には、管轄の情報保護機関または裁判所に苦情を申し立てる権利があります。