DORA(デジタル運用レジリエンス法)マッピング
GitLab がデジタル運用レジリエンス法の主要な契約要件に対応する方法
重要なお知らせ
この概要に含まれる情報は、デジタル運用レジリエンス法(「DORA」)に関連する特定の事項の概要および概説を目的としています。その目的は、DORA 規制の対象となる GitLab の現在および見込み顧客に情報を提供し、意識を高めることです。この DORA マッピングは法的助言を提供するものではなく、そのように解釈または使用されるべきではありません。また、この文書は GitLab と顧客との間の合意、表明、保証、またはその他の義務の一部を構成したり、作成または修正したりするものではありません。顧客は DORA に関連する事項について独立した法的助言のみを求め、それに依拠する必要があり、顧客は法的および規制上の要件を遵守することについて単独で責任を負い続けることを認識しています。GitLab は、この DORA マッピング文書の内容における誤り、誤った記述、または脱落から生じるいかなる責任も負いません。
規制の背景
デジタル運用レジリエンス法は、欧州連合で事業を行う金融事業体(「FE」)全体にわたってセキュリティとレジリエンスの慣行を調和させるために作成され、これまで広範な ICT セキュリティ規制の対象とされていなかったすべての金融市場参加者(信用機関、決済機関、口座情報サービスプロバイダー、電子マネー機関、投資会社、保険会社、暗号資産サービスプロバイダー、取引所およびクリアリングハウス、オルタナティブファンドマネージャー、年金、信用格付け機関など)が、サイバーセキュリティおよび情報通信技術(ICT)の問題によって引き起こされる深刻な運用上の混乱を通じて、回復力のある運用を維持できるようにすることを要求しています。DORA は金融セクターに適用される既存のサイバーセキュリティ規制(NIS-2、EBA など)に取って代わるものではなく、それらと並行して存在します。GitLab はこれまで EBA ガイドラインの下でアウトソーシングパートナーとは見なされてきませんでしたが、DORA はアウトソーシング契約だけでなく、すべての「ICT サービス」の使用に適用され、情報技術プロバイダーの間でより広い範囲に及びます。したがって、GitLab は顧客が GitLab の DevSecOps プラットフォームの使用に関連して DORA の要件をどのように遵守できるかをより深く理解できるよう支援することを望んでいます。DORA は 2023 年 1 月 16 日に正式に発効し、実施期間終了後の 2025 年 1 月 17 日から規定が適用・執行されています。
GitLab のアプローチ
この DORA マッピング文書は、DORA の規則の対象となる金融サービス顧客が、DORA によって導入されたさまざまな考慮事項に関連して GitLab ソフトウェアの使用を整理できるよう支援することを目的としています。この文書を通じて、金融セクターの顧客が自社の規制コンプライアンスに必要な情報を収集しやすくしたいと考えています。以下の表には、DORA に基づく要件のリストと、関連する情報および GitLab ポリシーへの参照が含まれています。
DORA コンプライアンスに関連する GitLab の契約フレームワークは、以下を含む複数のコンポーネントで構成されています:
GitLab サブスクリプション契約(「GLSA」)(または当事者間で締結された類似の文書)には、GitLab ソフトウェアの使用に適用される利用規約が含まれています;
データ処理補足契約(「DPA」)は GLSA に組み込まれてその不可分の一部を形成し、当事者間のデータ処理規則を規定しています;
注文フォーム – 購入した特定の製品/サービス、価格設定、およびその他の特定の商業的な利用条件が含まれています;
作業範囲記述書(「SOW」) – プロフェッショナルサービスを購入した場合、SOW にはそのようなサービスの説明および提供方法、ならびに当事者の前提条件と具体的な義務などが含まれます。プロフェッショナルサービスチームがお客様のニーズと要件を話し合い、決定するためにご協力します。
サービス固有/追加条件 – 購入した製品/サービスに応じて、AI 条件、アジャイルプランニング、プロフェッショナルサービス補足条件などの追加条件が適用される場合があります。GitLab Dedicated をご検討中の場合は、営業チームが特定の条件や規定についてお手伝いします。
金融サービス補足条件 – 金融セクターの顧客に適用される特定の規制要件に対応するための追加条件が含まれています。この規制補足条件がお客様の組織に関連する場合は、担当 Account Executive にお問い合わせください。
上記のすべての文書は、関連する場合にこの DORA マッピング文書で参照されています。以下の情報提供チャートに含まれる情報に加えて、GitLab は IT コンプライアンス認証を専門とする評判の高いサードパーティ会社と提携し、GitLab の Dedicated サービスに関する DORA 関連の審査および評価を実施しました。このレポートの概要は GitLab のトラストセンターで確認できます。
この文書の情報は 2025 年 1 月時点のものです。
| DORA の要件と考慮事項 | DORA 参照 | GitLab のコメント |
|---|---|---|
| 契約前のデューデリジェンスおよび一般原則 | ||
| 1. 比例原則およびリスクと依存関係の評価。 ICT サードパーティリスクの FE による管理は、比例原則に照らして実施される必要があります。考慮すべき要素: (i) ICT 関連依存関係の性質、規模、複雑さおよび重要性、(ii) ICT サードパーティサービスプロバイダーとの ICT サービス使用に関する契約上の取り決めから生じるリスク(それぞれのサービス、プロセスまたは機能の重要性または重要性、および個別またはグループレベルでの金融サービスと活動の継続性および可用性への潜在的な影響を考慮して)。 | 第 28 条 (1) b) | GitLab は、当社の製品と顧客が選択した展開方法のコンテキストで、私たちが提供するサービスの性質を評価する際に、新規または既存の金融セクター顧客を支援します。一般的に、GitLab の DevSecOps プラットフォームは、顧客が顧客に金融サービスを提供する継続性と可用性に直接的な影響を与えることは期待されていません。リスクや影響評価に関するご質問は、担当 Account Executive にお問い合わせください。 |
| 2. 情報セキュリティ基準。 金融事業体は、適切な情報セキュリティ基準に準拠している ICT サードパーティサービスプロバイダーとの契約上の取り決めのみを締結できます。 | 第 28 条 (5) | GitLab では、セキュリティビジョンとミッションに詳述されているように、情報セキュリティに取り組んでいます。私たちは SafeBase を活用した GitLab トラストセンターを作成しました。これにより、コンプライアンスと保証資格を伝えるための単一の統一された場所を維持し、顧客が利用できるセキュリティおよびプライバシー文書をホストし、サードパーティの侵害への対応などの重要な通知を共有し、顧客がアンケートで提供するのと同じ回答に簡単にアクセスできる内部ナレッジベースをホストしています。GitLab トラストセンターには、GitLab.com と GitLab Dedicated の両方のポータルが含まれています。 |
| 3. アクセス、監査および検査。 ICT サードパーティサービスプロバイダーに対するアクセス、検査および監査権を行使する際、金融事業体は「リスクベースのアプローチ」に基づいて、サードパーティサービスプロバイダーに対する監査と検査の頻度および監査対象の領域を事前に決定する必要があります。ICT サービスに高い技術的複雑さが伴う場合、企業は関連する監査人が監査と評価を効果的に実施するための適切なスキルと知識を有していることを確認する必要があります。 | 第 28 条 (6) | 顧客は、GitLab のトラストセンターを通じて、ISO 27001、ISO 27017、ISO 27018、SOC 2 Type 2(または同等の基準)に対して独立したサードパーティ監査人によって述べられた目標に対して発行されたさまざまな認証、ならびに GitLab のポリシー、手続きおよびセキュリティ対策を証明するその他のレポートと文書を含む業界標準の文書へのアクセスを提供するポータルを通じて、継続的なリモートセルフサービス評価を実施できます。GitLab のトラストセンターの通知機能に登録することで、認証とその他の資料の将来または更新バージョンに関する関連通知を受け取ることができます。 |
| 4. 解約権。 金融事業体は、参照条文に詳述された状況のリストで ICT サービス使用のための契約上の取り決めを終了できることを確保する必要があります。 | 第 28 条 (7) a)–d) | GitLab の FSA はこれらの規制上の解約権に対応しています。この規制補足条件がお客様の組織に関連する場合は、担当 Account Executive にお問い合わせください。 |
| 主要な契約条項 | ||
| 5. 金融事業体および ICT サードパーティサービスプロバイダーの権利と義務は、明確に割り当てられ、書面で定められる必要があります。完全な契約にはサービスレベルアグリーメントが含まれ、1 つの書面文書として文書化される必要があり、当事者が紙または別のダウンロード可能で耐久性があり、アクセス可能な形式の文書として利用できる必要があります。 | 第 30 条 (1) | 当事者の権利と義務は、GitLab サブスクリプション契約に書面で定められています。SaaS サービスレベルはサブスクリプション契約の付録 1 に定められ、その一部を構成します。GitLab Dedicated については、Dedicated SaaS のサービスレベル可用性を含む単一の製品固有の添付書類がリクエストに応じて提供されます。 |
| 6. ICT サードパーティサービスプロバイダーが提供するすべての機能と ICT サービスの明確で完全な説明。重要または重要な機能をサポートする ICT サービスのアウトソーシング、またはその重要な部分が許可されているかどうか、許可されている場合はそのようなアウトソーシングに適用される条件を示す必要があります。 | 第 30 条 (2) a) | GitLab が提供するすべての機能とサービスの説明は、該当する注文フォームに定められているように、https://docs.gitlab.com/ で公開されている GitLab の各文書に含まれています。GitLab の FSA と DPA の両方に、GitLab のサブコントラクター/サブプロセッサーの使用に関する適切な条項が含まれています。GitLab のサブプロセッサーは https://about.gitlab.com/privacy/subprocessors/ にも記載されており、各サブプロセッサーに関連するサービスと GitLab 製品の詳細が含まれています。 |
| 7. 契約またはサブコントラクトされた機能と ICT サービスが提供される場所、およびデータが処理される場所(保管場所を含む)、ならびに ICT サードパーティサービスプロバイダーがそのような場所の変更を検討している場合に金融事業体に事前に通知する要件。 | 第 30 条 (2) b) | GitLab の FSA には、必要に応じた場所に関連する特定の条項が設けられています。すべてのクラウドホスティングサブプロセッサーのクラウドホスティング場所は、https://about.gitlab.com/privacy/subprocessors/#third-party-sub-processors に記載されています。注文フォームまたはサブスクリプション契約に記載されているように相互に合意・指定された特定の地域ホスティング場所を持つ GitLab の Dedicated ソフトウェアを含むサービスを利用する顧客については、そのホスティング場所はそのように指定されます。セルフマネージドの展開方法を選択した顧客は、顧客自身のサーバーと環境にソフトウェアをインストールして実行します。 |
| 8. 個人データの保護を含む、データの保護に関する可用性、真正性、完全性および機密性に関する条項。 | 第 30 条 (2) c) | GitLab の FSA には、データの可用性、真正性、完全性および機密性に関連する特定の条項が設けられています。DPA は、適用されるデータ保護法に従って、個人データの処理とセキュリティに関する両当事者の義務を定め、適用される標準契約条項も組み込んでいます。GitLab は、契約上の義務を果たすために個人データにアクセスする必要がある担当者に限り個人データへのアクセスを制限しています。顧客は GitLab のプライバシーステートメントも参照できます。 |
| 9. ICT サードパーティサービスプロバイダーの破産、解散または事業運営の停止、または契約上の取り決めの終了の場合における、金融事業体が処理した個人および非個人データへのアクセス、回復および返還を容易にアクセス可能な形式で確保するための条項。 | 第 30 条 (2) d) | GitLab の FSA には、データのアクセス、回復および返還に関連する特定の条項が設けられています。顧客はいつでも、ソフトウェアの製品内管理設定またはグループダッシュボードからグループを削除したり、https://docs.gitlab.com/ee/user/project/settings/import_export.html に説明されているように、サブスクリプション中いつでもプロジェクトを移行またはエクスポートしたりできます。 |
| 10. その更新と改訂を含むサービスレベルの説明。 | 第 30 条 (2) e) | SaaS サービスレベルはサブスクリプション契約の付録 1 に定められ、その一部を構成します。GitLab Dedicated については、Dedicated SaaS のサービスレベル可用性を含む単一の製品固有の添付書類がリクエストに応じて提供されます。サービスレベルは、独自の環境とインフラ内にアプリケーションを展開・運用するセルフマネージドのお客様には適用されません。 |
| 11. ICT サードパーティサービスプロバイダーが、金融事業体に提供される ICT サービスに関連する ICT インシデントが発生した場合に、追加費用なしで、または事前に決定された費用で金融事業体を支援する義務。 | 第 30 条 (2) f) | インシデント報告と協力に関する条項は FSA に定められています。GitLab のインシデント管理ポリシーは https://handbook.gitlab.com/handbook/engineering/infrastructure-platforms/incident-management/ で確認できます。 |
| 12. ICT サードパーティサービスプロバイダーが、金融事業体の管轄当局および解決当局(それらによって任命された者を含む)と完全に協力する義務。 | 第 30 条 (2) g) | GitLab の協力コミットメントは FSA に定められています。 |
| 13. 管轄当局および解決当局の期待に従った、契約上の取り決めの終了に関する解約権および関連する最低通知期間。 | 第 30 条 (2) h) | GitLab サブスクリプション契約は、解約権と関連する通知または治癒期間(該当する場合)を明確に定めています。GitLab は FSA に含まれる DORA 規制に基づく第 28 条 (7) の追加的な解約権にも対応しています。 |
| 14. ICT サードパーティサービスプロバイダーが金融事業体の ICT セキュリティ意識向上プログラムとデジタル運用レジリエンストレーニングに参加するための条件。 | 第 30 条 (2) i) | 金融事業体の ICT セキュリティ意識向上プログラムへの GitLab の参加に関する条項は FSA に含まれています。 |
