シティサプライヤー向け基準 オーナー(責任元): エンタープライズサプライチェーン部門グローバルヘッド 発行日: 2015 年 1 月 バージョン 1.0 © 2015 Citigroup Inc. 目次 1 概要 ...................................................................................................... 1 2 シティの行動原則と倫理基準 .................................................................... 3 3 サプライヤーの多様性 ............................................................................. 13 4 サプライヤーの関係と契約の遵守 ............................................................. 14 5 出張経費 ............................................................................................. 16 6 贈答品と接待 ....................................................................................... 22 7 記録管理 ............................................................................................. 23 8 職場のセキュリティに関するガイドライン ...................................................... 24 9 情報セキュリティ (IS) .............................................................................. 25 10 ビジネスの継続性 .................................................................................. 41 11 グローバル経歴スクリーニング基準 ............................................................ 43 補遺 A - 定義 ............................................................................................. 48 1 概要 1.1 目的 シティサプライヤー基準(「基準」)はサプライヤーがシテイとの契約の要件を遵守し、取引を行う 際にシティの方針に従うようにすることを目的としてます。 a. 本書に規定されている基準、他のシティ方針、シティ行動規範および/またはサプライヤー が製品やサービスを提供しているシティのビジネスと法人に該当する方針と手順に従わない 場合には、シティとのビジネスが即時中止される可能性があります。この中には、本書に関 連のあるすべての合意および/または他の契約結果が含まれます。さらに、本基準を違反し た場合には法律の違反になったり、シティ(または他の第三者)に対して民事的な賠償責 任を負ったり、あるいはサプライヤーが刑罰を受ける可能性もあります。。 b. 本基準は、サプライヤーが遵守する必要のあるシティの主要な標準方針要件について概 説したもので、すべての基準と要件を含むよう意図されたものではありません。さらに、シティ のビジネスや法人では、サプライヤーが従うべき独自の方針と基準を設定している可能性 もあります。銀行、ブローカー・ディーラー、その他、ライセンスを受諾したシティの事業体には、 各々の事業の特性に基づいて特定の要件と制限が課せられます。このような要件と制限 は、当該事業体の方針に反映されます(当該事業体のサプライヤーに適用される方針も 含まれます)。このような各事業体特有の方針が同じ項目に関して本基準とは異なった場 合には、より制限的な方針が優先されます。サプライヤーは、サプライヤーが製品とサービス を提供しているシティのビジネスと法人組織を管理するシティの補足方針と手順を熟知し、 これに従う責任を負っています。 c. シティの方針は常時変更されたり、進化したりする可能性があるため、サプライヤーは積極 的に、それぞれのシティビジネスサプライヤー関係管理責任者(BSRM)および/または主要 なシティのビジネス担当者に問い合わせて、シティの方針を遵守していることを確認できるよ うにする必要があります。 d. 本基準は、本書で概説されている要件を補足するためにサプライヤーが使っている可能性 のある慣習や手順を否定したり、妨げたりするよう意図されていません。ただし、このような 慣習または手順は当該基準の要件に矛盾しないものとします。シティの方針要件よりも厳 格または厳重な関連方針または手順がサプライヤーにある場合、サプライヤーは独自の方 針のより厳格な要件に従うことができますが、その場合にも、常に本基準を完全に遵守し ていることを前提とします。 e. サプライヤーの方針が本基準の要件を別の方法で取り扱っており、サプライヤーの経営陣 が保証する要件が本基準の要件と本質的および/または機能的に同等の場合、サプライ ヤーは独自の方針要件に従いたいという要請を書面でシティに通知する必要があります。 サプライヤーはシティの経営陣と協力し、サプライヤーの代替アプローチに関するシティの質 問や懸念について話し合うことに同意し、シティに適用される業界および規制要件が満た されるようシティと誠実に協力するものとします。サプライヤーの方針または慣習が最低限、 本基準あるいは他の適切なシティの方針を満たしていないとシティが判断した場合、サプラ イヤーは当該基準および他の適切なシティ方針に遵守すべく、すべての必要な対策を講じ るものとします。 シティサプライヤー向け基準 概要 1/52 ページ f. 現地の法律または規制が本書の規定よりも高く設定されている場合、サプライヤーはこれ らの法律と規制に従う必要があります。現地の法律または規制が本基準と矛盾しているよ うに見える場合、影響を受けるサプライヤーはシティの BSRM および/または主要なシティの 連絡窓口に通知し、シティと誠実に協力して、相互に合意できる解決策を見出し、適切 な法律あるいは規制、そして可能な限り本基準が遵守されるようにする必要があります。 g. 本基準の適用は、契約、法律、または衡平法および権利に基づきサプライヤーのシティに 対する他の義務、表明、または保証すべてに追加して行われるものであり、これに代わるも のではありません。本書で設定されているシティの救済策は、サプライヤーまたは他の当事 者に関してシティが有する他の契約、法的権利または衡平法上の権利、あるいは救済策 に追加して行われるものであり、これに代わるものではありません。 h. シティは独自の裁量によりいつでも本基準を変更、修正、改定でき、サプライヤーは変更、 修正、または改定されたかかる基準の対象となり、これに完全に従うものとします。 i. 本基準は Citigroup.com (http://www.citigroup.com/citi/suppliers/supplierstandards.htm)に掲載されていま す。 シティ行動規範は Citigroup.com ( http://www.citigroup.com/citi/investor/corporate_governance.html )に掲載され ています(「シティの方針」を参照)。 1.2 本基準の対象者 本基準は、シティグループまたはその関連会社(子会社を含む。これらの組織は総称して、または 個々に「シティ」または「会社」と称す)に製品あるいはサービスを提供する第三者として定義され ているすべてのサプライヤーに適用され、その社員、代理人、または代表者が含まれます。ただし、 サプライヤーとして行動する場合に限ります。 さらに、サプライヤーは、(a)サプライヤーのシティに対するサービスの提供に関連してサプライヤー が使用する下請け業者、あるいは(b)サプライヤーがシティの機密情報を共有する(あるいはシテ ィの当該機密情報にアクセスする可能性のある)下請け業者がすべて、本基準およびサプライヤ ーに適用される他のシティの方針と手順の条項すべてを遵守することを確認します。本基準での 下請け業者に関する具体的な言及または下請け業者に関する条項(または当該下請け業者 に関するサプライヤーの義務についての具体的な言及またはこれに関する情報)は、強調するた めにのみ記載されているものであり、本基準に基づいて契約業者がサプライヤーの他のすべての 義務に従うことを確認するというサプライヤーの義務を限定するものではありません。 シティサプライヤー向け基準 概要 2/52 ページ 2 シティの行動原則と倫理基準 シティは、社会的な責任、倫理的なビジネス慣習、職場における人権、環境的な持続可能性を促 進するようサプライヤーに奨励する枠組みを支援するガイドライン(シティサプライヤー原則など)を採用 しています。シティの全サプライヤーは、個人的な利益がシティまたはその顧客の利益と矛盾する、ある いは矛盾するように見られる可能性のある状況を回避することが義務付けられています。シティのサプ ライヤーは常に最高の倫理基準を遵守してプロフェッショナルな行動を示し、該当法規に従う必要があ ります。シティのサプライヤー原則に関する詳細な情報は、シティのサプライヤー原則ウェブサイトに掲載 されています。 2.1 公平な対応 シティは、顧客、サプライヤー、競合他社、従業員に公平に対応することを尽力しています。ま た、公平な融資の提と客観的な基準に基づく融資決定にも尽力しています。さらに、シティはよ り多くの国で、人種、性別、宗教、その他、リスクに関係のない要因に基づく潜在顧客あるいは 実際の顧客に対する差別を特に禁止する「公正融資」または「公平なアクセス」に関する法規 を遵守しています。シティの委託で行動するサプライヤーは、機密情報の操作、隠蔽、使用また は誤用、重大な事実の不正確な説明、その他の公平でない対応や慣習によって他者を不公 平に利用すること(または利用しようとすること)は禁じられています。 2.2 事業に関する懸念事項の上申 業務の全側面とそれに関連するすべての行動において、サプライヤーは適切な判断を下し、常 識をもってシティの委託で行う取引の潜在的な影響を査定する必要があります。サプライヤーは シティのフランチャイズまたは評判に対する潜在的なリスクについて懸念がある場合、それぞれの シティ BSRM および/または主要なシティの連絡窓口に速やかに連絡しなくてはなりません。 2.3 自由かつ公平な市場 シティは、サプライヤーが証券、オプション、先物、その他の金融商品の市場あるいは価格を操 作もしくは不正に変更しようとすることは一切許容しません。 2.4 シティ資産の保護 サプライヤーはシティおよびその顧客の有形・無形資産を保護しなくてはなりません。シティおよび 顧客の資産は、承認された目的のために、承認された方法(該当するライセンス、条項、条件 に従うなど)で、シティおよびシティ関連会社の事業目的に関してのみ使用することができます。 資産には、現金、証券、物理的な資産、サービス、事業計画、シティ関連情報、サプライヤー 情報、代理店情報、知的財産(コンピュータープログラム、モデルなど)および他のすべての個人 情報、専有情報、機密情報が含まれます。 シティ資産の不正な使用は、シティに対する義務違反となり、シティに対する詐欺行為となる可 能性があります。同様に、シティの資産に関する不注意、無駄遣い、許可のない使用もシティ に対する義務違反となります。セクション 8 の「安全な職場に関するガイドライン」を参照してくだ さい。 シティサプライヤー向け基準 シティの行動原則と倫理基準 3/52 ページ 2.5 贈収賄・汚職防止 シティは贈収賄・汚職防止法を遵守するための方針、手順、内部標準を作成しており、(i)す べての国または領土の連邦、州、省もしくは地方の管轄区において立法、行政、司法、管理ま たは軍隊で職位に就いている人物、あるいは当該管轄区、公的機関、または公共法人におい て公的な職務を執行している人物(将校、官公吏、政府や政府が所有または統制する組織 あるいは公的な国際組織の職員または代理人、政府組織の公的地位にある、あるいは政府 組織の代理として行動する個人を含む)、もしくは(ii)政党、政党幹部、選挙候補者(総称し て「政府役人」)、または事業を維持したり公的な活動に影響を与えることを目的としている他 者に対し、直接または間接的に不適切な支払い、支払いの約束、雇用のオファー、または何ら かの価値のあるものの不適切な提供を禁止しています。 シティの贈収賄・汚職防止方針(「AB&C 方針」)では、該当する法律1の順守を義務付けて おり、ビジネスを行っているすべての国であらゆる形の贈収賄を厳しく禁止しています。シティの全 サプライヤーは、シティの業務行動規範の最高の基準に基づいて、シティのビジネスと業務に関 連した活動を行うものと期待されています。これには、贈収賄、汚職、不正、虚偽の陳述を禁 止するすべての法律の遵守、および不正行為や不適切に見える行為の回避が含まれます。シ ティの AB&C 方針は、すべての種類の「公務員に対する利益供与金の支払い」を禁じていま す。サプライヤーは該当するすべての法律を遵守するための適切な方針と手順を策定するもの とします。 どのような状況下でも、サプライヤーおよびその社員は、不適切な利益を確保する、または公的 な行為を行うか控えるようにさせる、あるいはシティのためのビジネスを獲得または維持する目的 で、シティのために直接的、もしくは第三者(家族、仲介業者、代理人、組織など)を介して間 接的に、政府の役人または他の人物へ、あるいは当該人物から何らかの価値のあるもの(贈答 品や接待、寄付、政治献金、雇用などの金銭的および非金銭的な恩恵を含む )の提供を約 束する、授与する、受諾するまたは要請する申し出を行うことはできません。サプライヤーは、い かなる種類の「利益供与」や「賄賂」をも一切提供しないものとします。 シ テ ィ の 贈 収 賄 ・ 汚 職 防 止 プ ロ グ ラ ム の 概 要 に つ い て は 、 http://www.citigroup.com/citi/investor/corporate_governance.html(「シティ方針」で「贈 収賄・汚職防止プログラム」を選択)を参照してください。 2.6 反マネーロンダリング(「AML」)コンプライアンス マネーロンダリングは、違法な収益を合法的なものに見せて商業ベースに載せるために替えるプ ロセスです。現金取引に限らず、通貨代替物や他の違法な活動の収益も含まれます。テロ資 金供与には、テロ活動とテロ組織への資金供与が含まれます。テロ資金供与には、違法な資 金源と合法的な資金源双方からの収益が含まれている可能性があります。 サプライヤーは、シティの製品とサービスがマネーロンダリングとテロ資金供与の促進に使われるこ とを防ぎ、適切な法律と規制に従って疑わしい活動を検知できるよう怠りなく努める必要があり ます。シティは、マネーロンダリングとテロ資金供与の防止において金融機関が果たすことのでき る、また果たすべき役割を促進するために世界的な AML 業界原則を採用しています。シティ 1 このセクションで使用されている「適用法」は、関連国のすべての贈収賄、詐欺、リベート、その他の類似した汚 職を禁止する法律または規制(地方の贈収賄・汚職防止法など)と、2010 年英国賄賂防止法や 1977 年米 国海外腐敗行為防止法といった域外適用効果のある法律を指します。 シティサプライヤー向け基準 シティの行動原則と倫理基準 4/52 ページ は法的に許される限度一杯の範囲で、マネーロンダリング、テロ資金供与、その他の犯罪に対 抗する措置を講じます。 シティでは、口座と取引に関する疑わしい活動を監視するための手順を実施するようすべてのビ ジネスに義務付けています。これにより、必要に応じて疑わしい活動を適切な政府および/また は規制機関に報告することができます。すべてのサプライヤー(金融取引などの製品またはサー ビスをシティのために顧客に提供するサプライヤー、またはシティのブランドを使用するサプライヤー を含む)はビジネスに関連したリスクのレベルに見合った AML プログラムを設けて、シティが審査 や監査で利用できるようにする必要があります。 AML や報告手順に関するサプライヤーの質問は、シティ BSRM および/または主要なシティの 連絡窓口にお問い合わせください。 2.7 禁輸、制裁、反ボイコット、輸出規制に関する法律と規制 シティは、米国人、米国企業、および場合によっては外国の子会社が特定の国やグループ、個 人と事業を行ったり契約を締結したりすることを制限する米国の経済制裁、禁輸措置、反ボイ コットに関する法律と規制を完全に遵守します。この中には、テロ活動に関与している組織や麻 薬密売が含まれますが、これらに限られません。さらに、シティは該当するすべての輸出規制法 規に完全に従います。この中には、特定製品(または製品の一部)の特定の国(またはその国 民)および特定国の民間人以外のエンドユーザー(軍隊など)への、あるいは特定国の民間人 以外のエンドユーザーのための輸出あるいは再輸出(直接的または間接的)を禁止、もしくは制 限する法規が含まれます。 サプライヤーはサプライヤーが所在する、および/または製品およびサービスを提供している国の適 切なシティの方針、および米国の法律を理解してこれを遵守し、関連のある経済制裁、禁輸、 反ボイコット、輸出規制法規を確実に遵守するために十分な方針と手順を設ける責任を負っ ています。 すべてのサプライヤー(1 回のみの購入で使用されたサプライヤーを含む)は、外国資産管理局 (OFAC)の発行した特定国籍業者(SDN)リスト、国内の制裁リスト、その他の適切な制裁リ ストに照合してチェックする必要があります。 2.8 独占禁止と公正な競争 シティは多くの国で、企業間の競争を維持し、不公正なビジネス上の取り決めや慣行から消費 者を保護するための複雑な法律の対象となっています。サプライヤーは常に、このような法律を 認識して遵守することが求められています。。競合他社あるいはシティの顧客が反競争的な行 為に関して懸念を生じさせるような事項についてサプライヤーと話し合おうとした場合、サプライヤ ーはこれを拒否し、速やかに話をやめるよう当該人物に要請しなくてはなりません。必要があれ ば、サプライヤーはその場から立ち去るか、会話を中止し、サプライヤーが製品またはサービスを 提供しているシティの事業体に、この件を速やかに報告する必要があります。 シティサプライヤー向け基準 シティの行動原則と倫理基準 5/52 ページ 2.9 抱き合わせ取引 顧客がシティから他の製品またはサービスを購入するか、シティに提供することに同意すれば、シ ティの製品またはサービスの価格あるいは入手可能性を顧客に伝えるという行為(「抱き合わ せ」)は、場合によって違法になります。サプライヤーは抱合せに関するすべての法律と、関連の あるシティの方針および手順を認識して、これに従うことが求められます。 顧客が以下に述べる条件または要件に基づくとしても、サプライヤーは、シティのために、いかな る種類の資産の信用提供、リースまたは売却、あるいはサービスの提供をも行うことはできず(そ れぞれ「抱き合わせ製品」)、これに関する考慮事項を不正工作したり変更することもできませ ん。 a. 「抱き合わせの取り決め」に合意すること(従来の銀行商品以外で、通常はこれに関連して 提供される信用、資産、またはサービスを追加で当該銀行またはその関連会社から取得す るなど) b. 「相互恩恵取り決め」に合意すること(従来の銀行商品以外で、通常はこれに関連して提 供される信用、資産、またはサービスを追加で当該銀行またはその関連会社に提供するな ど) c. 「排他的取引」に合意すること(信用の健全性を保証するために銀行が信用取引に適切 に貸す条件または要件以外で、当該銀行またはその関連会社の競合他社から他の信用、 資産、あるいはサービスを取得しないことなど) 2.10 シティ情報のプライバシーとセキュリティ シティは、シティの情報の保護に万全を尽くしており、かかる情報が適用法律とシティの方針に 完全に従って使用され、シティのビジネスにのみ関連していることを確認します。サプライヤーは、 シティ情報の保護、非開示、禁止されている使用について適切な法律、規制、シティ方針すべ てを遵守するよう求められています。上記に制限されることなく、サプライヤーは当該情報が許可 された目的のみで使用され、許可のある人物のみと共有され、適切かつ安全に維持されるよう にすることで、すべてのシティ情報を保護するものとします。当該情報、または機密情報、機密 PII、または極秘情報として定義されている他の情報にアクセスできるサプライヤーは、シティ情報 の適切な使用について質問がある場合、製品あるいはサービスを提供しているシティの事業体 に相談する必要があります。セクション 8 の「安全な職場に関するガイドライン」を参照してくださ い。 2.11 不正管理 シティは、不正に対して断固とした方針を持っています。シティは、疑わしい、または申し立てら れている盗難、詐欺、あるいは潜在的な犯罪活動もしくは不正行為を調査し、詐欺または 犯罪行為は法律で可能な限り告訴する権利を保有しています。各サプライヤーは、サプライ ヤーがシティのために、あるいはシティの代理として行っているすべての活動に関して、盗難、詐 欺、または潜在的な犯罪活動もしくは不正行為(「詐欺」)を防ぎ、対処するよう意図された 詐欺管理プログラム(文書化されたもの)を設定して従う必要があります。このようなプログラム は、サプライヤーがシティのために行う業務に関連した詐欺のリスクに合わせて調整する必要が あり、通常は、潜在的な詐欺に関するトレーニング、検知、緩和が含まれます。また、サプライ ヤーは潜在的な詐欺イベントをシティに適時、報告および照会する手順を作成して文書化す る必要があります。この中には、シティ、シティ従業員、シティのサプライヤーまたは代理店、シテ シティサプライヤー向け基準 シティの行動原則と倫理基準 6/52 ページ ィの非従業員(派遣社員、契約業者など)が関与する盗難、詐欺、疑わしい資金あるいは 証券の消失、犯罪活動、不正行為の試み、疑い申立、あるいは実際の当該行為が含まれ ますが、これらに限られません。サプライヤーは潜在的な詐欺活動の調査においてシティの担 当者に協力しなくてはなりません。 サプライヤーは、全従業員が毎年、詐欺認識トレーニング を受けるようにする必要があります。 2.12 ビジネスの継続性 シティは、災害や危機、事業中断、または緊急事態が発生した場合、金銭的な損失を最低 限に抑え、市場と顧客のニーズに対応するため、ビジネス継続性プランを維持しています。シティ は、通常のビジネス業務に影響を与える可能性がある事象に対応すべく準備を整える必要が あります。サプライヤーは、サプライヤーがシティに提供している製品とサービスに関する中断に対 処し、シティが定義する復旧時間枠内に修正できるよう、適切なビジネス継続性プランを設定 しておくよう求められます。サプライヤーは、関係に応じた危機管理手順または要件を把握でき るよう、適切なシティ BSRM および/または主要なシティの連絡窓口と相談してください。セクショ ン 10 の「ビジネスの継続性」を参照してください。 2.13 シティ従業員のプライバシー シティでは、自社とそのサプライヤーが従業員に関して収集、使用、維持する個人の機密情報 を保護すべく尽力します。この中には、医学的な情報、政府関連の情報(国または政府の ID や税金データなど)、身辺調査情報が含まれます。このような情報はシティ以外で共有または検 討されるべきではありません。ただし、該当する法律や規制で義務付けられている場合、もしくは 適格な管轄区の裁判所が発行した召喚令状あるいは命令に従う場合、または司法、帰省、 行政、立法機関に要請された場合は除きます。プライバシーとセキュリティに関する従業員の方 針と手順はシティ従業員のほか、勤務関係という枠内でシティに情報が提供された他の個人が 対象となります。 サプライヤーは弊社の従業員に関して受領した個人機密情報を保護するよう義務付けられて います。サプライヤーは、個人機密情報のセキュリティとプライバシーに関連して、すべてのシティ の方針とガイドラインのほか、適用される現地の法規に従うとともに、当該情報を許可のある個 人のみと共有するようにする必要があります。かかる情報の要請への対応は、該当するシティの 方針、法律、または規制によって許可されている場合にのみ行われます。 2.14 公正な雇用慣行:差別とハラスメント シティは、公正な雇用慣習と反差別に関するすべての法律の文章と精神に完全に準拠するこ とを保証している雇用機会均等雇用者であり、全サプライヤーにも公正な雇用慣習と反差別 に関する法律すべてに完全に従うよう期待しています。 シティの方針では、人種、性別、性、性同一性または容姿、肌の色、信条、宗教、出身国、 国籍、市民権、年齢、障害、遺伝的情報、婚姻状況(該当する法律によって定義、認識され ている内縁関係とシビル・ユニオンを含む)、性的嗜好、文化、祖先、退役軍人資格、社会経 済的ステータス、または法的に保護されている他の個人的特徴またはステータスに基づく差別と ハラスメントを禁止しています。 シティサプライヤー向け基準 シティの行動原則と倫理基準 7/52 ページ 違法、またはシティの方針に違反する差別、ハラスメント、または威嚇は、マネージャー、同僚、 顧客、サプライヤー、または訪問者によるものか、あるいはこれらの人物に対するものかを問わず、 禁止されています。差別またはハラスメントを報告した個人に対する報復も禁止されています。 このような行動に関する苦情は、シティ倫理ホットライン、各シティ BSRM、または主要なシティ の連絡窓口に報告してください。 2.15 職場の安全性 シティの職場の安全性とセキュリティは、シティの重要な懸念事項です。サプライヤーは、職場の 衛生と安全性に関する適用法律とシティの方針に従う必要があります。さらに、職場での違反 またはその恐れ、あるいは上記の報告を怠ることは許容されません。 2.16 違法薬物のない職場 シティの職場で、サプライヤーの従業員がシティにサービスまたは製品を提供している間、規制 対象物質の不正使用、違法な薬物の販売、製造、配布、所持、使用、またはその影響を受 けること、およびサプライヤーの従業員が職務に不適切になるような物質濫用は禁止されていま す。 2.17 通信、機器、システムおよびサービス シティの機器、システム、サービスはシティの事業目的のみで、事前にシティからの許可がある場 合にサプライヤーがシティに提供する製品とサービスに関するタスクを実施できるように提供されま す。これにより、該当する法律と規制で許可されている範囲において、シティはいつでもサプライ ヤーによるシティの機器、システム、サービスの使用を監視して記録することができます。このため、 サプライヤーはシティの機器、システム、サービスを利用する際、個人的なプライバシーが保たれ るものと期待するべきではありません。サプライヤーは、事前にシティによる許可を得ていない限り、 シティの機器、システム、サービスを使用できません。このような許可が与えられた場合、サプライ ヤーは不適切な目的または許可のない目的で、あるいは該当する法規制、もしくはシティの方 針、標準、ガイドラインに違反するような方法でシティの機器、システム、サービスを使用すること はできません。上記に関わらず、シティのイントラネット/インターネットサーバーを使用する場合は、 すべての該当法規とシティのサイトおよびアクセスする第三者のサイトの使用条件に従わなくて はなりません。シティのイントラネット/インターネットサーバーは、著作権で保護されているデータや ライセンスのないデータを許可のないダウンロードまたは利用のために使用することはできません。 この中には、音楽のダウンロードや、ライセンスのないソフトウェア、著作権で保護されている画像、 ビデオ、または印刷資料の許可のないダウンロードが含まれます。違法、迷惑、品位を落とす、 攻撃的、不適切な内容を表示、ダウンロード、保管、送信、掲示したり、違法な差別とハラス メントに関するシティの方針、基準、ガイドラインと矛盾するその他の目的で、シティのサーバーか らインターネットにアクセスすることはできません。情報、ソフトウェア、他の形式の知的財産を知 的財産法またはライセンス権利に違反して複製、販売、使用、配布することは禁止されていま す。 シティは、敵対的または攻撃的な勤務環境を創成するためにシティの通信、機器、システム、サ ービス(電子メールサービスやイントラネット/インターネットサービスなど)を使用することを容認しま せん。サプライヤーは決して、性的な内容、または人種に対する中傷、人種的な蔑称、その他、 迷惑、品位を落とす、攻撃的、わいせつ、または不適切な性質の内容を含む電子的な画像ま シティサプライヤー向け基準 シティの行動原則と倫理基準 8/52 ページ たはテキストを作成、ダウンロード、表示、保存、送信、交換するために、シティのシステムを使 用することはできません。 2.18 個人情報、専有情報およびシティ内部情報の保護 a. シティのために製品またはサービスを提供する期間中、また、サプライヤーがシティとの関係を終 了した後でも、サプライヤーは形式に関わらず、シティのための業務に関連して取得または作成し た個人情報、専有情報、内部情報、機密情報、またはより高度な情報を保護する義務を負 います。サプライヤーは、以前の雇用者からの事前の同意なしに、また、該当する法律または規 制で許可されていない限り、以前の雇用者の専有あるいは機密情報およびより高度な情報を シティに持ち込んだり、シティの事業を支援するために当該情報を使用したりすることはできませ ん。 b. サプライヤーは、形式に関わらず、シティまたはその顧客に関する個人情報、専有情報、内部情 報を(i)許可のない開示、アクセス、使用または修正、(ii)横領、盗難、破壊、または損失、あ るいは(iii)当該情報の説明不能から保護するに十分なセキュリティ慣習と手順を採用、維持、 遵守するものとします。 c. サプライヤーは、シティへの製品やサービスの提供に関連した義務を遂行するためにのみ、要請 に応じて、関連のあるシティ情報を開示、使用、または複製することができます(必要な範囲に 限られます)。サプライヤーは他の目的でシティ情報を使用したり、使用されることを許可したりし ないものとします。シティ情報はシティ以外で共有または検討されるべきではありません。ただし、 該当する法律や規制で義務付けられている場合、もしくは適格な管轄区の裁判所が発行した 召喚令状あるいは命令に従う場合、または司法、行政、立法機関に要請された場合は除きま す。 d. サプライヤーは、職場とコンピューターへのアクセスが適切に管理されていることを確認します。サ プライヤーは、エレベーター、廊下、レストラン、トイレ、公共交通機関、インターネットまたは他の 電子メディア(ブログ、ソーシャルネットワーキングサイトなど)といった公共の場で機密扱いの項 目や専有または機密情報について話し合わないものとします。 e. サプライヤーは、携帯電話や他の通信機器、メッセージサービスを利用する際は注意を払うも のとします。このような情報を職場の開放的なエリア(個人用小室、スピーカー電話など)で話し 合う際は充分注意してください。 f. サプライヤーがシティへの製品やサービスの提供を中止した後(あるいはシティから要請があった 場合はそれよりも早く)、サプライヤーはシティのシステムへのアクセス手段すべてを無効にして停 止し、シティの指示に従ってすべてのシティ情報を返却、破棄、または保持し、シティの資産(す べての ID カード、鍵、1 回限りのパスワード(OTP)トークン(SafeWord カードなど)が含まれま すが、これらに限られません)をすべて返却する必要があります。 g. サプライヤーは、シティとの関係終了を予測して、シティ情報を自宅のコンピューター、個人的な 電子メールアドレス、または第三者サービス提供業者あるいはサーバー、もしくはシティ以外のウ ェブサイトに転送したり、他の許可のないシティ情報の使用、横領、または開示に関与したりす ることはできません。 h. サプライヤーは、シティ情報の保護に関するすべてのシティの方針とガイドラインを確実に遵守す る責任を負っています。 シティサプライヤー向け基準 シティの行動原則と倫理基準 9/52 ページ 2.19 メディアへの対応、公式会見、シティの名前、施設または関係の使用 シティのグローバル広報業務は、シティのためのプレスリリースや公的なステートメントを発表する ことを許可されている唯一の部署です。サプライヤーは、シティ、サプライヤーとシティ間の契約ま たは取り決め、あるいはサプライヤーからシティが調達した製品とサービスを直接的または間接的 に識別するプレスリリースを発行することはできません。さらに、サプライヤーはシティに関して、シテ ィの各 BSRM または主要なシティの連絡窓口およびシティのグローバル広報業務ディレクターか らの書面による事前の承認なしに顧客、シティの従業員、他のシティのサプライヤー、サプライヤ ーの他の顧客、他の第三者に対していかなる広報活動にも同意したり、関与したりすることはで きません。 サプライヤーは、シティの各 BSRM または主要なシティの連絡窓口およびシティのグローバル広 報業務ディレクターからの書面による事前の承認なしに、シティ、シティの業務、顧客、製品また はサービスに言及した資料を書面または電子形式(書籍、生地、ポッドキャスト、ウェブキャスト、 ブログ、ウェブサイトの掲示、写真動画、ソーシャルメディア、他のメディアなど)で公表または掲 示したり、講演、インタビュー、公式会見に参加することはできません。 シティへのサービスまたは製品の提供に関係しているかどうかに関わらず、サプライヤーはそれぞれ のケースでシティの書面による事前の同意を得ることなく、シティの専有証印、商標、サービスマ ーク、商標名、ロゴ、シンボル、またはブランド名を使用することはできません。 サプライヤーはシティの外部で利益を得たり、仕事をしたりするためにシティの名前、ロゴまたは商 標、施設あるいは関係を利用することはできません(レターヘッド、個人的なウェブサイト、ブログ、 他のソーシャルネットワーキングサイトが含まれます)。さらに、サプライヤーは慈善やプロボノ目的 でシティの名前、施設、または関係を使用できません。 2.20 インサイダー取引 シティの方針、および米国と他の多くの国の法律では、会社に関する重大な非公表情報(「内 部情報」とも呼ばれます)を所持している間、当該会社の証券(利権証書、転換証券、オプシ ョン、債券、証券を含む株価指数など)を取引することが禁止されています。また、当該情報を 受領する人物が証券の取引や当該情報のさらなる伝達により当該情報を不正使用することを 知っているか、これが妥当に疑われる場合、内部情報を他の人物に「内報」または伝達したりす ることも禁じられています(内報者から金銭的な利益を得ていない場合でも該当します)。サプラ イヤーは内部情報を所持するに至ったと考える場合、最初にシティの内部法律顧問に相談す ることなく、当該企業の証券を取引することはできません。内部法律顧問は、このような取引が シティの方針や適用法に違反するかどうか判定します。さらに、サプライヤーは、内部情報の内 容や伝達がシティの方針または該当法に違反する場合、決してこれを行うことはできません。重 大な、および/または非公表の情報の交換または伝達は、顧客に対する、あるいは顧客のため にシティが引き受けた契約義務のほか、サプライヤーとシティ間の契約の規定に違反する可能 性があります。インサイダー取引違反は重大な影響を及ぼす可能性があります。シティとのサプ ライヤーとの関係の終了(すべての契約を含む)、サプライヤー、関与していたサプライヤーの従業 員、内報者の刑事制裁と刑罰、罰金、その他の損害賠償が含まれますが、これらに限られませ ん。 インサイダー取引に関するサプライヤーからの質問は、シティ BSRM および/または主要なシティ の連絡窓口にご連絡してください。 シティサプライヤー向け基準 シティの行動原則と倫理基準 10/52 ページ 2.21 シティと他の証券への個人投資 シティの特定のビジネスにサービスを提供しているサプライヤーには、個人的な証券取引に関す るさらなる制限が課され、方針が適用される可能性があります(シティの証券も含まれます)。こ の中には事前承認、無給付期間、報告要件が含まれる可能性があります。影響を受けるサプ ライヤーには通知が行われ、通知後はシティが当該サプライヤーに適用する追加制限を遵守す る必要があります。 2.22 調査 サプライヤーは、適切な許可のあるシティの内部または外部の調査に完全に協力する必要があ ります。倫理的な問題や、差別またはハラスメントの苦情に関するものが含まれますが、これらに 限られません。サプライヤーは決して調査に関連した適切な情報または記録を保留、破棄、改 ざんしたり、連絡を怠ったりすることはできません。さらに、サプライヤーは可能な限り、調査の機 密性を維持して保護する必要があります。内部または外部の監査役、調査官、法律顧問、シ ティ代表者、規制当局、または他の政府機関に虚偽の供述を行ったり、誤解を招いたりするこ とは禁止されています。 2.23 必要な報告 現地の法律で禁止されていない限り、シティの職場でサービスまたは製品を提供するサプライヤ ーは、刑事犯罪で逮捕、召喚、罪状認否、起訴または有罪判決の対象となった場合、シティ に通知しなくてはなりません。公判前ダイバージョンや類似プログラムへの参加も含まれます。 2.24 政治活動と献金 政治活動には以下が含まれます。(i)企業または個人的な政治献金、政治献金の勧誘、シテ ィの資金またはリソース(施設、機器、ソフトウェア、または従業員)の使用、または候補者の選 挙キャンペーン、政党の委員会あるいは政治委員会のために企業での勤務時間に個人的なサ ービスのボランティア、(ii)直接的に、または第三者を介して公吏に接触するためのロビー活動ま たは関与(立法府に影響を与えるための試み、また、管轄区によっては規則を制定する期間に 影響を与える試みや政府の契約の授与が含まれます)、 (iii)政府と関連のある政治職を求め ること、受諾すること、あるいは保有すること(政府の評議会、委員会、または他の類似した組 織など)。 シティとそのサプライヤーの政治活動は、様々な法律によって規制されています。関連のある法 律または規制を遵守していないサプライヤーの政治活動は禁止されています。 さらに、シティのグローバル政府業務室の書面による事前の許可なしに、シティのために(または シティの代理であると主張して)サプライヤーが政治活動を引き受けたり実施したりすることはで きません。シティは、いかなる種類の個人的または企業の政治献金についてもサプライヤーに払 戻しを行うことは一切ありません。 2.25 慈善寄付 ビジネスに関する決定に影響を与えるため(「 見返り」など)、サプライヤーがシティのために慈善 寄付を授与したり、シティの従業員、顧客、政府役人、またはシティの他のビジネスパートナーに よる、または当該個人からの要請に応じて、慈善寄付を行うことはできません。 シティサプライヤー向け基準 シティの行動原則と倫理基準 11/52 ページ 2.26 企業の機会 サプライヤーは、シティに対して、機会が生じた場合は正当な利息を前払いする義務を負ってい ます。サプライヤーは、シティとの関わりを通して、またはシティの資産、情報、立場を利用するこ とによって発見したシティの潜在的な企業機会を自らのために利用することはできません。また、 サプライヤーはシティと競合できません。 2.27 関係者のビジネス取引 サプライヤーは、サプライヤーまたは関係者が直接的あるいは間接的な利害を有する会社とシ ティが行う可能性があり、サプライヤーまたは関係者が利益を得たり、関係者が雇用されたりす ることがある事業関係もしくは提案されているビジネス取引について、当該関係または取引によ り利害の対立と見られる可能性が生じる場合は、シティに通知する必要があります。 2.28 懸念事項の報告 倫理基準の維持は、シティが世界一流のビジネス基準を維持する上で重要です。法律、規制、 またはシティ倫理基準に対する違反が生じたという合理的な疑いがあるか、違反の可能性に気 づいた場合は、直ちに以下のいずれかの方法でシティに連絡してください。 シティサプライヤー向け基準 シティ倫理ホットライン:(866)-ETHIC 99/ (866) 384-4299、(212) 559-5842(直通 またはコレクトコール)あるいは各国のアクセスコード+ (866) 384-4299 ファックス:(212) 793-1347 電子メール:[email protected] 郵送先: Citi Ethics Office 1 Court Square, 24th Floor Long Island City, NY 11101 シティの行動原則と倫理基準 12/52 ページ 3 サプライヤーの多様性 シティでは、多様なサプライヤーの利用を奨励しており、長期的な成長と開発における多様なサプライ ヤーの支援に献身しています。さらに、シティは適宜、下請け業者として利用できる多様なサプライヤー を開拓・利用するようサプライヤーに促しています。シティのサプライヤー多様性プログラムに関する追加 情報については、シティサプライヤーウェブサイトをご覧ください。 http://www.citigroup.com/citi/citizen/people/diversity/index.htm シティサプライヤー向け基準 サプライヤーの多様性 13/52 ページ 4 サプライヤーの関係と契約の遵守 a. サプライヤーと潜在的なサプライヤーは、各シティ BSRM および/または主要なシティの連絡窓口 と協力し、シティの機密情報についてシティとサプライヤーの間で話し合ったり交換したりする前に、 シティと秘密保持契約(NDA)を締結していることを確認する必要があります。 b. サプライヤーは、契約が十分に交渉され、シティとサプライヤーの間で締結されるか、シティがサプ ライヤーに注文書(PO)を発行するまで、サービスの実施を開始したり、シティに製品を提供した りできません。 c. サプライヤーは、自らの主要な経営チームおよび/またはそれぞれの契約情報の変更について、各 シティ BSRM および/または主要なシティの連絡窓口が常に把握できるようにしておかなくてはな りません。 d. サプライヤーは、適切かつ必要な継続的サプライヤー管理活動を施行するためのシティの尽力を 支援し、必要に応じて協力する必要があります。この中には、情報セキュリティ評価のほか、適 宜、顧客からの苦情と解決策に関する情報が含まれます。アウトソースサービスプロバイダー (OSP)として指定されているサプライヤーのために、さらなるデューディリジェンスが行われます。サ プライヤーは適宜、さらなるデューディリジェンスを実行できるよう必要なサポートをシティのビジネス に提供しなくてはなりません。(セクション 9「情報のセキュリティ」を参照してください。) e. システム、施設、機密情報以上として分類されている情報にアクセスできるサプライヤーは、識 別目的で情報を提供するというシティの要請を支援しなくてはなりません。 f. シティが書面で別途合意しない限り、サプライヤーは下請け業者を利用してシティに対するサプ ライヤーの義務を履行することはできません。このような事前の承認は、最低でも(a)下請け業 者がサプライヤーに適用される義務すべてを準拠できること、(b)提案されている下請け業者が サプライヤーに適用される義務すべてを準州するとサプライヤーが確認すること、(c)サプライヤー のシティとの契約に基づき、下請け業者による非遵守についてシティに対し、サプライヤーが継続 的に責任を負うことが条件となります。 g. 下請け業者の承認は、上記(b)および(c)におけるサプライヤーの義務のほか、シティが必要とみ なし提案されている下請け業者の活動の重要性またはリスクの程度に応じて、より具体的な義 務を再確認し、サプライヤーが署名した書面による認定で文書化する必要があります。書面に よる認定の正確な形式とテキストは、基本となるサプライヤーとの契約およびシティが必要とみな し承認した正確な用語に基づいて変更される可能性があります。シティ BSRM および/または主 要なシティの連絡窓口と協力し、適切な同意フォームを利用して承認を文書化してください。 下請け業者の使用に関するサプライヤーの認定 指定された下請け業者の使用に関するサプライヤーの認定 h. シティは、サプライヤーが最も直近の 3 年間の監査済み期末財務諸表を提供し、要請に応じ て最も直近の中間財務諸表を提供するようサプライヤーに要求することができます。サプライヤー はさらに、翻訳または財務評価を行う目的で、シティが利用している第三者サービス提供業者 にサプライヤーの財務諸表をシティが提供できるようにするため、書面による同意を提供するよう 求められることがあります。 シティサプライヤー向け基準 サプライヤーの関係と契約の遵守 14/52 ページ i. シティは、サプライヤーが必要なサービスおよび品質レベルを満たしていることを確認するための情 報および/またはこれを検証する文書、サプライヤーのビジネス継続性(CoB)プログラムと慣行(セ クション 10 を参照)が十分かどうか、および/または契約条件が遵守されているかどうかを査定す る文書を要請することがあります。 j. サプライヤーは、該当するすべての輸出法を完全に遵守していることを確認する必要があります。 また、サプライヤーがシティに提供しているサービスと製品に技術データやコンピューターソフトウェア、 または当該技術データまたはコンピューターソフトウェアの直接的な製品であるプロセスあるいはサ ービスの米国外での共有、あるいは米国の市民または住人ではない個人との共有が関与してい るか、当該共有が必要な場合は、適切かつ必要な情報をシティに提供するものとします。さらに、 製品とサービスの性質に応じて、シティはサプライヤーに当該製品およびサービスの輸出分類を 特定するよう求めることがあります。また、サプライヤーは米国外の該当するすべての輸出法のほ か、適用される現地の法律と規制を遵守し、米国外でのシティによる製品とサービスの使用に関 する具体的な要件をシティに通知するものとします。 k. サプライヤーは、不正行為が関与する犯罪、信用違反、マネーロンダリング、またはサービスに関 する他のタイプの犯罪に関して有罪判決が出るか、罪を認めるか、公判前ダイバージョンに参加 したことをサプライヤーが知っている、疑っているまたは、そう考える理由がある従業員をシティへの サービス提供で選定したり、選定を保持したりしないものとします。シティは、シティのためのサービ ス提供の条件として犯罪歴チェックを実施して合格するか(指紋採取が含まれることがあります)、 犯罪歴チェックが行われたことを示す書面による証拠と、現地の法律が許可されている場合は 当該チェックの結果をシティの要請に基づいて提供するようサプライヤーに求めることがあります。 l. サプライヤーは、自然人で、該当する法律と該当する団体交渉合意により、およびこれに基づき 許可されている範囲において、シティのためにサービスを提供するよう選定された従業員について、 勤務許可の確認と身辺調査に関する包括的な方針と手順を維持し、効果的に管理する必要 があります。このような方針と手順は身辺調査に関するシティの基準を満たしていなくてはなりま せん。この中には、従業員の職歴の審査、有罪判決、雇用前薬物検査が含まれます。シティは 随時、シティの基準と適用される現地のすべての法律および規則に従って、経歴スクリーニングを サプライヤーがすべて行ったことを検証する情報を要請することができます。 m. 従業員の経歴スクリーニング実施においてシティがサプライヤーに何を期待しているかについては、 セクション 11 「グローバル経歴スクリーニング基準」に規定されています。 n. シティは、シティの方針を読んで、この遵守を認識するようサプライヤーの従業員に求めることがあ ります。この中には、セキュリティとプライバシー、職場方針、その他、該当する法律または規制要 件の遵守を確保するよう意図された方針、手順、ガイドラインに関するものが含まれます。 シティサプライヤー向け基準 サプライヤーの関係と契約の遵守 15/52 ページ 5 出張経費 シティは、書面によりシティが事前に承認し、適切な契約の条件に基づくシティへの製品とサービスの提 供に関連したシティの出張についてサプライヤーで生じた業務関連の適切な経費のみについて払戻し を行います。経費は適切に文書化し、シティの請求要件に従ってシティに請求書を提出する必要があ ります。契約の条件によって、シティ経費管理方針を確実に遵守するものとします。明確にするため、 サプライヤーがシティからの払戻しを求めている経費は、主張経費を承認する適切なレベルの権限を 与えられているシティの従業員による事前の書面による承認が必要です。有効かつ承認された経費項 目の払戻しについてシティに提出される請求書には以下を含めてください(他の請求要件に追加される ものです)。 経費支出の業務目的 経費の金額と説明 経費の発生場所と日付 サプライヤーがサービスを提供しているプロジェクトの名前と説明 当該経費が生じたサービスを要請したシティ担当者の名前と業有無上の関係 該当する契約でシティとサプライヤー間で設定された支払い条件も経費の払戻しに適用されます。 払戻しが可能な経費の詳細については、シティ BSRM にお問い合わせください。シティ BSRM は、適 宜、シティ指定旅行代理店(DTA)を使用した旅行の予約など、シティ経費管理方針に従って払戻し までの情報がサプライヤーに提供されていることを確認します。払戻しを請求する際は詳細な日程と請 求書を提出し、適切なビジネススポンサーおよび/またはシティ BSRM の承認を受ける必要がありま す。 これを遵守しない要請については払戻しが行われません。サプライヤーは、非遵守金額の払戻し について請求書を提出することはできません。 以下はシティ経費管理方針の旅行・接待セクションからの適切な修正を含めた抜粋で、シティの指定 旅行代理店を使用した旅行の予約から払戻しまでに関してサプライヤーとその従業員に適用されるも のです。払戻しが可能な経費の詳細については、シティ BSRM にお問い合わせください。 I. 払戻しできない出張関連経費:サプライヤーとその従業員はどのような状況下でも、払戻しできな い経費項目については払戻しされません。 II. 払戻しできる出張関連経費:どのような場合でもサプライヤーとその従業員が該当するサービス契 約の条件を遵守している限り、以下の項目について払戻しを受けることができます。 A. 全般 1. 適宜、旅行の予約はシティ指定旅行代理店(DTA)を介して行う必要があります。各地 のシティ指定旅行代理店の連絡先情報については、シティ BSRM にお問い合わせくださ い。シティ DTA を使用する場合、サプライヤーとその従業員は適宜、シティ従業員 ID (NEMS ID)、またはシティ「スポンサー」(ビジネス遂行のために協力しているシティ従業 員)のシティ従業員 ID(GEID)を DTA に提供する必要があります。 a. 予約には以下が含まれます。 シティサプライヤー向け基準 出張経費 16/52 ページ i. ホテル ii. レンタカー iii. 二地点間の航空旅行 iv. 複数の目的地を回る航空旅行 v. 適格な列車による旅行(鉄道会社に直接予約する必要がある場合は DTA が旅行者に指示します) 2. 旅行はすべて、顧客収益創出または非顧客収益創出として分類する必要があります。 a. シティ顧客/シティ収益創出は、顧客関係または収益創出活動に直接案連した 経費として定義されています。 b. 非シティ顧客/非シティ収益創出は、法務、規制、ビジネスの継続性など、収益 創出活動に関連していないものの、事業にとって重要な活動として定義されてい ます。 3. サプライヤーとその従業員は、出発日の 7 日以上前に航空券を購入し、ホテルを予約す るよう推奨されています。 4. サプライヤーとその従業員は、個人的な利益を得るために旅行の日程を組んだり、これを 変更したりすることはできません。 a. サプライヤーとその従業員は、個人的な目的で累積マイルを利用したり、割引さ れた金額以上を支払ったりして追加マイレージボーナスや他の利益を得るために サービスのクラスを下げることはできません(ビジネスクラスからエコノミーに変更する など)。 5. シティのグローバル出張プログラムはサプライヤーとその従業員の個人的な旅行で利用す ることはできません。 6. 通勤経費については払戻しできません。 7. 地上交通費は、ビジネス関連の目的の場合にのみ払戻しが可能です。 a. 料金タグ、割引トークンの購入、無制限の列車・バスのパスは、ビジネス関連の 出張のみで使用されるのでない限り、払戻し対象ではありません。 8. 配偶者の旅行については払戻しできません。 9. 出張中に発生したインターネットアクセス料金は、シティ関連のビジネス目的のみでインタ ーネットにアクセスする必要があった場合に払戻しが行われます。 10. 指定旅行代理店を介して適格な予約を行う必要があった場合、これを行わなければ、サ プライヤーとその従業員に対して払戻しは行われません。 11. 悪天候(暴風雪など)による緊急時の旅費、ビジネスの継続性を原因とする旅費、旅行 中の事故(空港の混乱や閉鎖など)が報告されている場合、サプライヤーとその従業員が 指定旅行代理店に連絡できなかった場合は、航空会社、ホテル、レンタル会社、適格な 列車での旅行を直接予約できます。 シティサプライヤー向け基準 出張経費 17/52 ページ B. 航空旅行 1. サプライヤーとその従業員は、シティの優先航空会社で可能な限り最低運賃の航空券を予 約する必要があります。 a. 指定旅行代理店が、適切な旅行時間枠内のフライト情報を提供し、ここから可能 な限り最低運賃を提示します。 b. 旅行時間枠は、国際線の場合は要請された出発時間の前後 2 時間、国内線およ び EMEA 域内のフライトの場合は 1 時間です。 c. サプライヤーとその従業員は、シティ優先航空会社で直行便を利用できる場合、経 由便を利用する必要はありません。 d. 指定旅行代理店は、代替空港からの航空運賃に関する情報を提供することもでき ます。代替空港から出発するオプションは、航空運賃がより低く、業務目的に影響が 出ない場合に推奨されます。 e. サプライヤーが顧客と同じフライトまたはサービスクラスで旅行する必要のあるシティ顧 客関連の出張、または可能な限り最低の航空運賃を利用した場合に到着する時 間では重要な顧客とのミーティング時間に間に合わない場合には、指定旅行代理店 を使用して予約する必要があります。 2. 航空旅行はコーチ/エコノミークラスでなくてはなりません。ビジネスクラス(またはコーチ/エコノミー の 1 つ上のクラス)は以下の場合に許可されます。 a. EMEA 域内:片道 1,200 マイル(約 1,930 キロ)を超えるフライトすべて b. 片道 2,100 マイル(約 3,380 キロ)を超える他のフライトすべて 3. サプライヤーとその従業員が許可されているクラスよりも上のクラスにアップグレードを希望する 場合、アップグレードの費用は払い戻されません。 4. サプライヤーとその従業員は可能な場合、e チケットを使用してください。 5. サプライヤーとその従業員は、予定されている出発時間よりも前に使用される予定のない予 約をキャンセルし、返金が処理されるようにしなくてはなりません。 6. サプライヤーとその従業員は、個人的な利益を得るためにより高い航空運賃を選択することは できません(マイレージプログラムのマイル数、そのステータス、または同乗者チケットなど)。サプ ライヤーとその従業員は、シティの経費が増加しない限り、マイレージプログラムのマイルを維持 することができます。 7. チャーター便は払戻し対象ではありません。 8. 払戻し a. 指定旅行代理店でフライトを予約した場合 i. サプライヤーとその従業員は、可能な限り最低の航空運賃が承諾され た場合は完全に払戻しを受けますが、その他の場合は、これを超える費 用は払い戻されません。 ii. サプライヤーとその従業員は払戻しを受けるため、指定旅行代理店の請 求書と日程(方針に関する備考を含む)の双方を提出する必要がありま す。 b. 指定旅行代理店を介してフライトを予約する必要があった場合、これを行わなけ れば、サプライヤーとその従業員に対して払戻しは行われません。 シティサプライヤー向け基準 出張経費 18/52 ページ C. 地上交通 地上交通には、レンタカー、自家用車、列車、バス、プライベートな車やタクシーなど、ビジネス目 的での車両の使用が含まれます。 1. レンタカー a. 承認されているレンタカーは標準以下のクラスです。 i. フルサイズまたはスポーツユーティリティ(SUV)は、4人以上で車を使用す る場合にのみ借りることができます。 ii. 特別/高級車の払戻しはできません。 b. 交通違反や駐車違反については払戻しできません。 c. レンタカーの燃料費は払戻しできます。 2. 自家用車 a. シティの出張で自家用車を使用した場合は、通常の通勤を超える移動距離に 基づいて払戻しが行われます。燃料費は払戻しされません。 b. 出張に時運の車を使うサプライヤーとその従業員は、移動距離の記録、出発日、 到着日、適切な業務の理由に基づき、各地の税法に従って払戻しを受けます。 i. 駐車料金、高速料金、走行距離に対しては払戻しが行われます。 ii. 交通違反や駐車違反については払戻しできません。 iii. 指定のビジネスを行っている際に生じたサプライヤーおよびその従業員の 車の盗難または損傷に関連した経費は、払戻しされません(保険の控 除額も含まれます)。 iv. 通常の通勤の一部としての駐車料金と毎日の職場への通勤経費は払 い戻されません。 3. プライベート車 a. 公共交通機関を利用できないか、この使用が適切でない場合は、最低費用の タクシーまたは承認されたプライベートカーサービスを適宜、利用する必要がありま す。承認されたプライベート車サービス提供業者のリストについては、シティ BSRMにお問い合わせください。 i. ビジネス関連の目的で使用された場合にのみ費用が払い戻されます (承認された出張中の空港の行き来、顧客の会議場所との交通費な ど)。 ii. シティのオフィス間で交通手段が必要なサプライヤーとその従業員は、公 共交通機関を使用するか、適宜、シティの運行しているシャトルサービス を利用してください。 iii. サプライヤーとその従業員は、航空運賃の一部として航空会社が提供 している空港の無料送迎がある場合は、これを利用してください。このサ ービスを利用できる場合は、サプライヤーとその従業員に通知されます。 iv. 主要都市のサプライヤーとその従業員は、市外からの、あるいは市外へ の送迎サービスで承認されていない運送会社を使用できます。 シティサプライヤー向け基準 出張経費 19/52 ページ v. 停車料金は払い戻されませんが、出張で使用する乗合目的の場合は 除きます。経費の払戻し要請には、出発・到着場所、ビジネスの目的、 参加者の氏名を含める必要があります。 vi. 駐車料金(路肩での出迎えが許可されていない空港を除く)、サプライ ヤーまたはその従業員の時刻での空港送迎、自動車電話、個人的な 乗車、利用しなかった場合の料金は払い戻されません。 vii. 承認されたプライベートカーサービスを利用する際、チップは払い戻されま せん。 viii. サプライヤーとその従業員は、払戻しを受けるために経費管理で承諾さ れている形式の領収書を提出しなくてはなりません。 b. 6人乗りまたは大型リムジンは使用できません。 4. 列車 a. 適格な列車での旅行は指定旅行代理店を通して予約してください。他の鉄道 会社で旅行する際は、その会社と直接予約する必要があります。 b. 列車での旅行はすべて、コーチ、2 等車、または利用可能な最低価格の特急サ ービスでなくてはなりません。 i. 1 等車(クラブまたはカスタムクラスなど)での旅行は、より高価な航空券 の代わりに使用する場合は許可されます。 ii. 1 等車を使用する際は、サプライヤーまたはその従業員の払戻し要請に 書面による説明を添付する必要があります。 5. シャトルサービス a. シャトルサービスは、ビジネス会議向けに特定のシティのオフィスビル間の輸送をサ プライヤーの従業員に提供します。シャトルサービスに乗車する際にシティ ID また は有効な訪問者パスを提示する必要があります。 D. ホテル 1. サプライヤーとその従業員は、必ずシティ指定旅行代理店を介してホテル、長期滞在型ホテ ル、サービス付きアパートを予約する必要があります。旅行部門を通しておよび旅行シティ指 定旅行代理店を介して予約できない長期滞在型ホテルとサービス付きアパートは、シティグロ ーバル旅行部門を通して予約してください。、 サプライヤーまたはその従業員が顧客と同じホテルに滞在する必要がある顧客関連の旅行は、 指定旅行代理店を介して予約する必要があり、例外の承認は必要ありません。 2. サプライヤーとその従業員は、シティのビジネス遂行に必要な場所に最も便利なシティの優先 ホテルで、シティが交渉した最低利用価格で予約しなくてはなりません。 3. シティ優先ホテルのない都市では、サプライヤーとその従業員は承認されたホテルと料金を利 用するようシティ指定旅行代理店より指示されます。 4. サプライヤーの従業員が 5 泊を超えてホテルに滞在する必要がある場合、シティ優先長期滞 在型ホテルまたはサービス付きアパートとして特定されている宿泊場所に適宜、滞在しなくて はなりません。 シティサプライヤー向け基準 出張経費 20/52 ページ 5. サプライヤーとその従業員は、ホテルのキャンセル方針(キャンセル料のかからないもの)に従って、 使用予定のない予約をキャンセルする必要があります。サプライヤーとその従業員はキャンセル 番号を取得しなくてはなりません。 6. 払戻し a. 指定旅行代理店でホテルを予約した場合 i. サプライヤーまたはその従業員は、承認されたホテルと料金を選択した場合、 全額が払い戻されます。これを超過する費用は払い戻されません。 ii. ホテルの明細請求書のほかに、サプライヤーまたはその従業員は払戻しを受 けるにはシティ指定旅行代理店の請求書と旅程(ホテル滞在方針のため)を 買掛金勘定部に提出する必要があります。 iii. サプライヤーとその従業員は、シティグローバル旅行部門が予約した宿泊につ いては、長期滞在型およびサービス付きアパートの承認フォームをシティの買 掛金勘定に提出しなくてはなりません。 b. それが義務付けられているにも関わらず、ホテルがシティ指定旅行代理店を介して予 約されなかった場合、サプライヤーまたはその従業員は払戻しを受けられません。 i. 顧客が直接、または顧客関連の旅行を取り扱う外部企業が予約したホテル にサプライヤーが宿泊する必要のある顧客関連の出張 ii. 社外セミナー、会議、協会の会議、コンベンションに出席する場合、特別な グループ料金または割引料金がある場合、会議の場所、会議場所に便利 なホテルで、指定旅行代理店を通して予約する必要はありません。払戻し 要請とともに会議への参加を証明するものとして会議参加登録書のコピーを 提出してください。 シティサプライヤー向け基準 出張経費 21/52 ページ 6 贈答品と接待 シティの方針では、シティの従業員またはその近親者は贈答品、接待、サービス、ローンまたは優遇措 置を顧客、外部ビジネスパートナーサプライヤー、または他者から授受することは禁じられています。現 在または将来のシティとのビジネス関係の代わりに サプライヤーは、このような制限と禁止事項を遵守 してシティをサポートし、シティの従業員を不快な立場または妥協の必要な立場に置かないようにする 必要があります。通常、サプライヤーはシティの従業委員に贈答品や価値のあるもの(接待など)を提 供できません。これを行うと実際の利害の衝突となったり、利害の衝突のように見える可能性があり、 従業員の判定が妥協されたり、従業員の意思決定に潜在的に影響を与える可能性があります。上 記に関わらず、現金または同等物(ギフトカード、バウチャーなど)の贈答はどのような状況でも許可さ れていません。サプライヤーは合計で 1 人当たり毎年 100 米ドルを超える現金以外のビジネス贈答品 2 をシティ従業員に提供してはなりません。ビジネス贈答品の受領は、特定のシティ事業体、地域およ び/または法人の方針の追加制限対象になる可能性があります。 サプライヤーがビジネス接待(食事、社会的、スポーツ、文化、その他の類似したイベントなど)をシティ 従業員に提供する場合、サプライヤーも当該イベントに出席し、接待は贅沢または過剰に頻繁で明ら かにシティのビジネスに影響を与えるよう意図されたものではなく、適切で習慣的かつ妥当なものでなく てはなりません。 サプライヤーは、シティのグローバルコンプライアンス(米国政府役人の場合)または贈収賄・汚職防止 承認者(米国以外の政府役人の場合)の事前の承認なしに、シティのために、またはシティのためとい う名目で政府役人または職員に贈答品または接待を提供することはできません。 2 「ビジネス贈答品は、シティのビジネスまたは外部当事者のビジネスに関連してシティ従業員が授与または受領 する価値のあるもの(ビジネス接待以外)です。通常、25 米ドル以下のものは除きます。 シティサプライヤー向け基準 贈答品と接待 22/52 ページ 7 記録管理 シティは、シティ情報を所持している全サプライヤーが各シティBSRMおよび/または主要なシティの連絡 窓口あるいは記録管理責任者(RMO)と協力し、(i)情報を記録または一時的なものとして特定、(ii) マスター記録カタログ(MRC)に従った記録を分類、(iii)維持要件に基づいた情報を保持し、(iv)記 録保留がない場合は、情報ライフサイクルの終了時に適切な情報の処分を行うよう義務付けます。 サプライヤーはシティBSRMおよび/または主要なシティの連絡窓口あるいはRMOと協力し、記録イン ベントリでMRCのシティ記録コードに従って記録を特定し、少なくとも年1回更新されていることを確認 する必要があります。MRCで特定されている保持期間は、サプライヤーが所持しているシティ情報に適 用する必要があります。MRCに記載されている保持要件を満たし、記憶保留中でない記録は、シティ 情報セキュリティ基準に従い、適格な12か月以内に破棄しなくてはなりません。サプライヤーは、記録 保留を通知された場合、シティ情報の破棄または変更を中止する必要があります。一時的な情報は、 記録保留の対象でない場合、最後に使用してから2年以内に破棄しなくてはなりません。 サプライヤーは、シティBSRMおよび/または主要なシティの連絡窓口あるいはRMO の承認なしに、分 類に関わらずシティ情報を破棄しなくてはなりません。この中には、アクティブな記録保留が処分予定の 情報に適用されないことの確認が含まれます。保持要件と他の情報取扱い要件はすべて、明示的に 別途合意されていない限り、契約の終了または満期後も続くものとします。 サプライヤーは、サプライヤーが所持するシティ情報の管理監督責任を負ったサプライヤーの従業員全 員を列記した文書を維持するものとし、各シティBSRMおよび/または主要なシティの連絡窓口あるい はRMOと定期的にミーティングを行い、連絡先氏名、手順の詳細、役割、責任、サプライヤー記録イ ンベントリーを審査して更新するものとします。 シティサプライヤー向け基準 記録管理 23/52 ページ 8 職場のセキュリティに関するガイドライン 職場のセキュリティに関するガイドラ イン 詳細 シティ情報(電子文書およびハー ドコピー) 通常の勤務時間後、また、サプライヤーが指定された勤務エリアから離れる際 は常に、シティ情報を鍵のある場所で安全に保管してください。 個人的な持ち物(財布、スケジュ ール帳、携帯電話など) およびコ ンピューティング機器(ノートパソコ ン、PDA、ブラックベリー、携帯電 話など) 個人的な所持品とコンピューティング機器は決して放置しないでください。シテ ィは、サプライヤーの個人的な所持品またはコンピューティング機器の紛失に対 して責任を負いません。 デスクトップパソコン(PC)とノートパ ソコン シティ情報のアクセスまたは表示に使用する PC とノートパソコンは、一定期 間、使用しなければスクリーンセーバーのパスワードで保護する必要がありま す。サプライヤーは指定された作業エリアから離れる場合、CTRL + ALT + DEL で PC やノートパソコンをロックし、「コンピューターをロック」を選択する必 要があります。サプライヤーはシティ情報を表示するためにノートパソコンを使用 している際、勤務時間中、このようなノートパソコンがケーブルまたはセキュリティ ロックでベースユニットに固定され、通常の勤務時間後は仕舞わなくてはなりま せん。 PC のログオフ サプライヤーは、ビジネス上のニーズで PC をオンにしておく必要がない限り、 PC から離れる前に使用中の PC すべてからログアウトして、シャットダウンする 必要があります。サプライヤーのワークステーションがオンのままになっている場合 は、ワークステーションがロックされ、モニターがオフになっていることを確認してく ださい。 保管エリア デスクの下またはキャビネットの上のエリアは、過剰な個人の持ち物や、潜在的 な火事または物理的な危険の原因になる可能性がある物を置くために使用 しないでください。 鍵をかけて保管 ファイルキャビネットと引き出しは、通常の勤務時間後は鍵をかけておく必要が あります。 開放オフィスエリア 開放オフィスエリアは、ファイルサーバー/ミニデータセンターとして使用しないでく ださい。ただし、このような使用目的で作られ、シティに文書で報告されている 場合は除きます。 プリンター、コピー機、ファックスのト レイ 機密文書はすべて、プリンター、コピー機、ファックスのトレイから取り除かなくて はなりません。 個人オフィス/会議室 サプライヤーがオフィスを使用しているかどうかに関わらず、方針ガイドラインすべ てが適用されます。鍵がかかっている場合でもサービス要員がアクセスできるた め、個人オフィスと会議室は必ずしも安全ではない点に留意してください。 処分 不要になったシティ情報は処分してください(具体的な保存スケジュールに従 います)。文書はシュレッダーにかけるか、安全な、またはロックされたリサイクル 用ゴミ箱に入れてください。磁気メディアは適切な消去手順に従った後、安全 に処分する必要があります。 シティサプライヤー向け基準 職場のセキュリティに関するガイドライン 24/52 ページ 9 情報セキュリティ (IS) 9.1 概要 このセクションでは、シティとそのサプライヤーがビジネスを行っている場所に該当する法律および規制要件と 最高レベルの業界基準(ISO/IEC 27002 など)に応じて情報を保護するため、シティが期待している情報 保護規制に関してシティ情報を保管、処理、管理、アクセスしたり、シティのアプリケーションをホスティングし たりするシティのサプライヤーの要件について説明します。 これらの基準は単に最低要件を設定したものです。現地の法律、規制、または関連のある業界基準が本 書の規定よりも高く設定されている場合、サプライヤーはこれらの法律、規制、または基準に従う必要があり ます。さらにサプライヤーは、他のシティ方針や締結した契約条件の遵守の一環として、さらなる情報セキュ リティ慣行および手順を取り入れるよう求められることがあります。 サプライヤーが追加セキュリティ慣行または詳細な情報セキュリティ手順を実施すると決めた場合、サプライ ヤーはこのような慣行と手順が本書で定義されている最低規制と矛盾しないよう確認する必要があります。 9.2 情報セキュリティ方針 a. 情報セキュリティ方針文書 1. サプライヤーは、情報セキュリティ方針および基準を文書化しておく必要があります。これらの文 書の所有権は、年次審査と更新を担当するサプライヤーの役員またはチームに割り当てなくて はなりません。 2. サプライヤーは情報セキュリティ方針、手順および基準に関する役割、責任、およびガバナンス について説明したプロセス文書が必要です。 b. 情報セキュリティ方針の審査 サプライヤーの情報セキュリティ方針および基準は、毎年 1 回以上、経営陣が審査し、組織的な 適切性、テクノロジーの状態との一貫性、最新の業界基準、法律および規制要件の遵守をチェッ クする必要があります。 9.3 組織的な情報セキュリティ a. 情報セキュリティ/評価に対する経営陣の責任 1. サプライヤーは、サプライヤーの方針、手順、基準の遵守に関する規制、情報セキュリティに関 する法律および/または規制要件(シティまたはサプライヤーに適用)の評価について、シティの 第三者情報セキュリティ評価(TPISA)の対象になります。この評価はセキュリティに関するアン ケートで構成されており、サプライヤーからの回答ならびに、シティの機密情報が保管、処理、 管理、またはアクセスされる場所への訪問が必要になります。TPISA の結果によりセキュリティ の問題と懸念事項が開示または指摘された場合、シティはサプライヤーへの通知を通して結 果を文書化し、サプライヤーと協力して、問題の修正方法を特定します。サプライヤーは必要 な修正を素早く行い、シティが合理的に満足するまで懸念事項に対処する必要があります。 2. サプライヤーはサプライヤーの情報セキュリティ基準、方針、手順に対してビジネス業務と関連 規制事項を定期的に評価しなくてはなりません。 3. 定期的な評価には少なくとも以下を含めてください。 i. ii. シティサプライヤー向け基準 サプライヤーが IS 方針と基準を確実に遵守するために使用するプロセスの評価 補足リソースの評価(サプライヤーが使用するアプリケーションとインフラストラクチャー、 適宜、サプライヤーの下請け業者がビジネス業務をサポートするために使用する IS プ ロセスなど) 情報セキュリティ (IS) 25/52 ページ 4. 情報セキュリティリスク評価の結果として特定された問題は文書化し、終了するまで追跡しなく てはなりません。 5. サプライヤーの情報セキュリティ管理部門が国外に移転した場合、サプライヤーはシティの承認 書を取得する必要があります。 6. サプライヤーが新しい組織を買収した場合、サプライヤーは本セクションの要件に従い、これら の基準の遵守について買収した組織の査定を行わなくてはなりません。 7. サプライヤーは、シティが事前に書面で承認しない限り、セキュリティ管理機能を外注すること はできません。この中には、シティ情報の保管、処理及び/または送信に使われるシステムのファ イアウォール管理、セキュリティ設定管理、パッチ管理、または情報セキュリティ管理(ISA)機 能が含まれますが、これらに限られません。 8. サプライヤーが、シティ情報の含まれているウェブサイト、またはシティのブランドになっているウェブ サイトのホスティングを行う場合、当該ウエブサイトの定期的な脆弱性評価を行い、評価中に 特定された重大な問題を適時、修正する必要があります。 9. サーバーおよび/またはシティ内部ネットワーク上の情報システムに接続する必要がある場合、 サプライヤーは現在の接続プロセスを遵守できるよう、シティの連絡窓口に通知する必要があり ます。 10. サプライヤーは、シティ情報の許可のないアクセス、取得、損失、不正操作、削除のほか、シテ ィ情報の保管、処理、送信に使われる情報システムの危険について、適切なシティの連絡先 に速やかに通知する必要があります。 9.4 外部当事者 a. 外部当事者に関連したリスクの特定 1. サプライヤーは、シティ情報が関わる業務をサポートするために下請け業者を使用する予定 があれば、シティに書面で通知する必要があります。 サプライヤーはシティ情報について話し合ったり、これを交換したりする前に、秘密保持 契約(NDA)または潜在的な下請け業者の守秘義務に関する合意を潜在的な各下 請け業者と締結しなくてはなりません。このような合意は、潜在的な下請け業者がシテ ィ情報を利用できる期間中、効力を有する必要があります。 2. サプライヤーは下請け業者がアクセス、処理、処分、または管理するシティ情報および情報 システムのセキュリティが適切であるか確認しなくてはなりません。 i. サプライヤーは、下請け業者の提供する製品またはサービスの導入により、シティ 情報および情報システムのセキュリティが危険に晒されないことを確認する必要が あります。 ii. サプライヤーは定期的にシティのブランドを使用したインターネット経由のアプリケー ションをホスティングしているか、シティ情報へのアクセスを許可された下請け業者の 情報セキュリティ管理を見直さなくてはなりません。 iii. サプライヤーは毎年、上記の基準を満たす下請け業者との関係を評価し、セキュリ ティ管理の審査が必要かどうか判定しなくてはなりません。 3. 関係者にシティ情報へのアクセスを提供する必要がある場合、下請け業者はサプライヤー の施設および管理監視範囲外で適宜、サプライヤーと追加当事者間の合意文書を通し て情報セキュリティ要件に対応する必要があります。この中には以下が含まれます。 i. シティサプライヤー向け基準 サプライヤーに対してシティが行う可能性がある評価と完全に一致する情報セキ ュリティ評価を定期的に実施する権利、ならびに要請に応じて、評価で見つかっ た重大な問題を修正するか、対応する補正管理法を確立する義務。 情報セキュリティ (IS) 26/52 ページ ii. iii. iv. v. vi. vii. シティ情報への許可のないアクセスや取得があった場合、またはシティ情報の保 管、処理、送信に使われる情報システムが危険に晒された場合、関係者はサプ ライヤーに通知するという要件。 関係者は契約期間中の合意された時点で、または契約終了時にシティ情報を すべて返却または破棄するべく適切なすべての努力を払うという要件。 サプライヤーが下請け業者を使用し、シティの機密情報へのアクセス権を与えるこ とをシティに通知するという要件、ならびに下請け業者を承認するシティの権利、 またはサプライヤーに通知することなく契約を中止する権利。 下請け業者は、サプライヤーへの基本的なサービス提供でシティ情報へのアクセス が必要な下請け業者の従業員にのみ当該アクセス権を限定するという要件。 法律で義務付けられている場合を除き、シティの書面による許可なしに下請け業 者または第三者に情報を開示するためではなく、サービスをサプライヤーに提供す る目的のみで下請け業者は情報を使用するという義務。 サプライヤーのセキュリティ要件が変更され、当事者がこのような変更に同意しな い場合、当該当事者に通知を行うことにより契約を中止する権利。 4. 上記の要件に加えて、サプライヤーの内部ネットワーク上のサーバーおよび情報システムへ のアクセスまたは接続が必要な当事者との合意には、サプライヤーがアクセスを無効にする 権利、またはサプライヤーと当事者のシステム間の接続を中断する権利が含まれます。 5. 機密以上の情報に関与するか、稼働システムとして機能する外部クラウド提供業者を使 用する際は毎回、稼働を開始する前、およびその後は毎年、シティの承認を得る必要があ ります。 9.5 資産管理 a. 資産のインベントリ 1. サプライヤーは、シティ情報の保管、処理、送信に使われるアプリケーションとハードウェアがすべ てインベントリで管理されていることを確認する必要があります。 2. サプライヤーは、シティ情報資産のインベントリが管理維持されていることを確認しなくてはなり ません。 3. サプライヤーが稼働/ビジネス継続性(CoB)情報システムで職務 ID を使用している場合は、 この ID をインベントリーで維持し、主要な属性を捕捉する必要があります。 b. 資産の保護 1. サプライヤーは、管理下のシティ情報をすべて保護する責任を負っています。 2. シティ情報が存在する稼働/CoB 情報システムの職務 ID は、所有者が指定されていない限 り作成できません。 c. アクセスと資産の許容可能な使用 1. サプライヤーは、業界の慣行と一致する方法でユーザーの活動の説明責任を確保する必要が あります。 2. 個人的な外部インターネットの E メールアカウントに、シティ情報が存在するサプライヤーのグロ ーバルネットワークからアクセスすることは制限しなくてはなりません。 シティサプライヤー向け基準 情報セキュリティ (IS) 27/52 ページ d. 情報分類 1. シティは以下の情報分類に基づいて情報を分類します。 極秘 機密 社内 公開 機密個人識別情報(PII)は機密情報の一種であり、社内 PII は社内情報の一種です。す べての場合において、データは、「機密」情報および「社内」情報のすべての要件、ならびに PII の追加要件を遵守する必要があります。 認証 認証は別個の分類で、基準内で独自の要件が定義されており、他の情報分類からは完全に 独立している。 e. 情報のラベル付け、取扱、保管 1. シティ情報の分類に基づき、サプライヤーは当該情報の保護に必要なセキュリティのレベルを特 定し、十分な管理が設定されていることを確認しなくてはなりません。シティはその後、レベルを 引き上げたり修正したりする可能性があります。 2. シティ情報は以下に保管する必要があります。 サプライヤーの情報セキュリティ方針および基準に従って管理されているデバイスとアプリケ ーション ii. 下請け業者の管理するデバイス。下請け業者は、サプライヤーとの契約の対象となり、サ プライヤーの情報セキュリティ方針および基準に拘束されます i. 3. シティが「公開」として分類している情報のみをサプライヤーの従業員が所有するデバイスに保 管できます(自宅のコンピューター、PDA、モバイルインタネットおよび電子メールアプリケーション など)。 9.6 物理的および環境的な保安 a. 防火 1. サプライヤーは、物理的なセキュリティと安全な勤務環境の設定に関する該当法規制の要件 に従う必要があります(地方の防火規則など)。 2. サプライヤーは火災検知、警報、防火システムを利用しなくてはなりません。このようなシステム は毎年、点検してテストしてください。 b. 物理的セキュリティ 1. シティの情報は安全なエリアに保存され、権限のある従業員のみにアクセスを制限するよう管 理する必要があります。 2. サプライヤーは、物理的な可聴アクセスシステムを設定して文書化しておかなくてはなりません。 3. サプライヤーは、セキュリティアラーム/侵入システムの組み合わせを利用する必要があります。こ の中には、環境と提供サービスに合わせて、第三者の監視するセキュリティアラーム、警備員、 ビデオ監視が含まれます。 4. サプライヤーは、訪問者に関する方針を文書化しておく必要があります。この中には、すべての 訪問者の到着時に確認可能な ID を提供し、入退室を記入する要件が含まれます。 シティサプライヤー向け基準 情報セキュリティ (IS) 28/52 ページ 通信および業務管理 9.7 a. 文書操作手順 サプライヤーがシティにソフトウェア開発サービスを提供する場合、サプライヤーはシティの最低基準 に従い、安全なシステム開発ライフサイクル(S-SDLC)を設定して文書化しておく必要があります。 b. 管理職の変更 サプライヤーは、管理職の変更プロセスを設定して文書化しておく必要があります。 c. 職務の分離 1. サプライヤーは、認証または検出なしに同じ活動、変更、規制情報システム、または取引に対 して常時アクセス権限があり、シティ情報にアクセスできる個人が、2 つのビジネス機能や規制 情報システム機能を遂行できないようにプロセスを設定する必要があります。ただし、リスクを緩 和するために十分な補正管理策が講じられている場合は除きます。現時点では、唯一認識 されている例外は以下に限られています。 i. ユーザーは実際の取引を開始または承認し、非稼働環境で同じシティ情報システムの新 しい要件のテストに参加することができます。 ii. 開発機能のあるユーザーは稼働をサポートできますが、アクセス権が読み取りまたは表示 のみに限定されており、機密 PII または制限データへのアクセスが含まれていない場合にの み、シティ情報システムへの一貫したアクセス権を授与できます。 2. 実装機能を利用して故障/修理サポートを提供する必要のある開発または認定機能のある 人は、規制情報システムへの一時的なアクセス権を使用する必要があります。 3. アプリケーション管理外で稼働データを更新する必要のある人は、一時的なアクセス権を利用 しなくてはなりません。 4. 業界標準変更管理手順は、すべての変更活動で遵守する必要があります。 5. ネットワーク運用責任は、コンピューター運用責任とは分離しなくてはなりません。 d. 開発、テスト、運用施設の分離 適宜、サプライヤーは開発、テスト、稼働環境がすべて物理的および/または論理的にお互い分離 されていることを確認する必要があります。 e. サービスの提供 サプライヤーは、シティ基準を完全に満たすシティ情報にアクセスできる下請け業者との合意を文 書化するとともに、当該下請け業者がこのような合意と基準を遵守していることを確認できる仕組 みを設けなくてはなりません。 f. 能力管理 サプライヤーは、適切な業界基準を満たす能力管理プロセスを設定して文書化する必要がありま す。 g. システムの受諾 サプライヤーは、適切な業界基準を満たすプロジェクト範囲管理およびシステム受諾プロセスを設 定して文書化する必要があります。 シティサプライヤー向け基準 情報セキュリティ (IS) 29/52 ページ h. 悪意あるコードの対策 サプライヤーは、悪意あるコード(ウイルス、ワーム、トロイの木馬ウイルス、アドウェア、スパイウェアな ど)の導入を防いで検出できるよう必要な注意を払い、悪意あるコードから保護するための予防・ 検出・回復対策を実施しなくてはなりません。サプライヤーは以下を行う必要があります。 i. すべてのパソコンでウイルス防止およびスパイウェア防止テクノロジーならびに、ローカル エリアネットワーク(LAN)サーバー、メールサーバー、シティ情報を保管、処理、送信す るその他のデバイスで、ウイルス防止テクノロジーを実施、更新、維持します。 ii. ネットワークの周辺で適切なブロック戦略を設定します。 iii. スタッフがサプライヤーのネットワークから外部インターネット電子メールアカウントまたは ビジネスに関係のないウェブサイトにアクセスしないよう、技術的な対策とプロセス対策 と実施します。 iv. ビジネスに関連していない、または情報セキュリティのリスクがあるとみなされるインター ネットサイトへのアクセスをブロックする能力を提供する周辺インフラストラクチャーを実 装します。 i. モバイルコード対策 サプライヤーは、モバイルコードの使用を適切に管理するために必要な注意を払う必要があります。 モバイルコードの使用が許可されている場合、その設定は最低でもすべての業界基準とシティへの 契約義務を満たしている必要があり、許可を受けているモバイルコードが明確に定義され文書化さ れたセキュリティ方針に従って運用され、許可のないモバイルコードの実行を防げることを確認してく ださい。 基本的なオペレーティングシステムまたはプラットフォーム(「サンドボックス」外など)に影響を与える 可能性のあるモバイルコードについて、サプライヤーは以下を確認する必要があります。 i. サプライヤーの発行するモバイルコードは、シティの承認した認定機関が署名し、サプ ライヤーは認定ライフサイクルを管理して、認定の期限切れやローテーションに対応し なくてはなりません。 ii. 認定の期限が切れた署名入りモバイルコードは実稼働環境から外してください。 j. ネットワーク制御 1. シティ情報の保管、処理、送信に使われるサプライヤーのネットワークは脅威から保護し、この ネットワークを使用する情報システムのセキュリティを維持する必要があります。この中には、ネッ トワークを移動中の情報も含まれます。 2. シティ情報分類が「機密」以上の情報は、インターネットに直結している非武装地帯(DMZ) でシステムに常に保管することはできません。 3. シティ情報の保存、処理、送信に使われるネットワークについて、サプライヤーは以下を確認す る必要があります。 i. 許可のないアクセスを防ぐための適切な対策を含むワイヤレスローカルエリアネットワー ク(WLAN)または他のワイヤレスデバイスソリューション(PEAP-TLS、EAP-TTLS な ど)を シティ情報が含まれるネットワークに接続できること。 ii. サプライヤーのグローバルネットワークへの外部 IP 接続がすべて、サプライヤーの管理 するファイアウォールで保護されていること。 iii. シティの情報が保存、処理、または送信されるネットワークへのインターネット接続を監 視および保護する、侵入検出システム(IDS)および侵入防止システム(IPS)がリアル タイムで実行されていること。 iv. シティのブランドを使用したインターネットアプリケーションと、サプライヤーのサイトでホス ティングされているサービスはすべて、シティの承認した DDoS(分散型サービス拒否) 予防サービス、またはシティの承認した類似対策が必要です。 シティサプライヤー向け基準 情報セキュリティ (IS) 30/52 ページ v. 外部ファイアウォールは、デフォルトの「すべて拒否」ルールで設定しなくてはなりません。 ファイアウォールルールは最低権限原則に基づいて設定する必要があります。 k. リムーバブルメディアの管理 1. サプライヤーは、シティ情報が保持されているメディアのタイプに関わらず、シティ情報を保護し なくてはなりません。この基準は、情報が含まれているカード、カセット、コンパクトディスク(CD)、 チェックストック、ディスケットまたは他のリムーバブルストレージデバイス、ハードコピー出力、磁気 ディスク、磁気テープ、マイクロフィルム、マイクロフィッシュ、光ディスク、紙面といったタイプのメデ ィアに適用されますが、これらに限定されません。 2. シティ情報が保存されているシステムのポータブルメディア/ストレージデバイスへのアクセスのデフ ォルト設定は、読み取り専用でなくてはなりません。例外で読み取り・書き込みアクセスが許可 される場合は、ポータブルメディアデバイスでデータを暗号化する必要があります。 l. メディアの処分 シティ分類が「機密」以上のシティ情報をシティの提供する指示に従って処分できる場合(情報が 不要になるか、シティにとって利用価値がなくなった時点、法律、規則、シティ方針で定められた追 加保持期間など)、サプライヤーは、このような情報を使用・回復不能な方法で破棄する必要が あります。 m. 情報の取扱手順 1. サプライヤーは常に、許可のないアクセスや変更、削除からシティ情報を保護しなくてはなりま せん。 2. 電子輸送可能メディア(ETM)に保存されているシティ情報は安全に移動させ、受領を確認 する必要があります。 サプライヤーは、意図されていた受領者が受領予定日に ETM を受け取ったことを確認し、引 き続き、受領が確認されるまで、受領予定者とフォローアップを行わなくてはなりません。受領 予定日に受領を確認できなかった場合、サプライヤーはシティに通知してください。 n. 電子メッセージ インスタントメッセージ、ピアツーピアネットワーク、その他のインターネットコラボツールは、セクション 9.9c(暗号対策の使用に関する方針)に従ってすべてのシティのデータについて適切な暗号化が行 われているのでない限り、サプライヤーのネットワーク外で、あるいは、シティ情報が含まれているネッ トワークからシティ情報の送信や保存に使用できません。 o. E コマース シティ情報の保存、処理、送信に使われ、動的なパスワードまたはデジタル証明書を利用する情 報システムでは、情報セキュリティの最低基準すべてを満たしているものと業界のアナリストが認知 している認証サービスを使用して、資格情報を確認する必要があります。 p. オンライン取引 1. 適宜、サプライヤーはログイン資格の確認のために、動的なパスワードまたはデジタル証明書を 使用する情報システムが必要です。 2. すべての証明書の使用期間は 2 年を超えてはなりません。 3. インターネット接続ウェブサイトおよびシティとサプライヤー間のポイントツーポイント通信では、延 長検証(EV)証明書を使用する必要があります。 4. シティ情報を保管、処理、送信するサプライヤーのアプリケーションは以下に従わなくてはなりま せん。 シティサプライヤー向け基準 情報セキュリティ (IS) 31/52 ページ i. ii. iii. 補遺 A の認証要件に従います。 マルチファクター認証(MFA)コンプライアンス評価を行います。最新の要件については、 BSRM にお問い合わせください。 疑わしい活動検出(SAD)オンラインソリューションを実装します。最新の要件について は、BSRM にお問い合わせください。 q. 監査ログ サプライヤーは、シティ情報の保存、処理、送信に使われる規制情報システムがすべて、インフ ラストラクチャーまたはアプリケーションレベルで監査トレイルを使用し、以下の項目をログしてい ることを確認する必要があります。 1. 関連のあるプラットフォームのインフラセキュリティ関連のアクションがログされていなくてはなりませ ん。 2. ファイアウォールまたは IDS/IPS 生成セキュリティイベントに関連のあるシステムアラームはすべ てログする必要があります。 3. すべてのシステムセキュリティ違反の試み(ユーザーログイン試行の失敗など)はログする必要が あります。 4. 金銭的な取引とシティ情報に関わる重大なイベント(特に以下の項目が含まれているもの)は すべて、ログする必要があります。 i. 金銭的な取引の更新 ii. 機密 PII データの更新 iii. 制限データの更新 iv. 認証データの更新 5. 技術的に可能で、シティのアプリケーション(ウェブサイトおよびモバイルアプリケーション)でログさ れている場合は、一意のデバイス ID などのセッションアーチファクト(最低でも IP アドレス、また は他の関連情報)を捕捉して、詐欺調査を支援する必要があります。このようなアーチファクト はシティの取引とシティ口座開設活動で捕捉しなくてはなりません。情報は、セッションアーチフ ァクトを取引または口座開設に関連付けられるような方法で捕捉する必要があります。 6. 重大な ISA イベント、特に以下の項目を含むものはログしてください。 i. ユーザーの作成 ii. ユーザーアクセス権の変更 iii. 規制情報システムでの役割/プロフィールの削除、作成、変更 iv. パスワードのリセット v. システムセキュリティ設定の変更 7. 権限のある職務 ID のインタラクティブな活動はすべてログしてください。 8. 技術的に不可能でない限り、ログを生成しているシステムに関わらず、セキュリティログには、最 低でも以下の情報を含める必要があります。 i. イベントの日時(UTC 形式の時間) ii. アクションを実施している人物のユーザーID iii. イベントのタイプ iv. 影響を受ける資産またはリソースの名前 v. アクセスのタイプ(削除、変更など) vi. イベントの成功または失敗 vii. ソース(ターミナル、ポート、場所、IP、ホスト名など) シティサプライヤー向け基準 情報セキュリティ (IS) 32/52 ページ r. 監視システムの使用 1. 以下のイベントは、直接または自動審査プロセスによって捕捉、ログ、審査しなくてはなりませ ん。 ファイアウォールまたは IDS/IPS 生成セキュリティイベントに関連したシステムアラームはすべ て審査してください。 2. 以下の例外を除くセクション 9.7 q(監査ログ)に記載されている重大な ISA イベント: i. ユーザー、役割、プロフィールからの権利の削除。 ii. エンドツーエンド統合管理機能のある自動ワークフロー/実施システムで情報セキュリティ 管理活動が実施された場合。 3. 安全な基準構築で特定された重大なリソースの更新すべて。 4. 特権のある職務 ID の実行したインタラクティブな活動すべてを審査する必要があります。 s. ログ情報の保護 1. サプライヤーは、監査トレイルの完全性を維持するため、以下の場合にアクセス制御が設定さ れていることを確認しなくてはなりません。 i. 起動およびシャットダウン中 ii. 保管中および送信中 2. 監査ログへの許可のない変更を防ぐため、サプライヤーは、活動を追跡しているシステムユーザ ーがログを上書きまたは変更できないようにする必要があります。 3. サプライヤーは、該当する法律・規制要件すべてを遵守するログデータの保持期間を定義し、 当該保持要件を維持して遵守しなくてはなりません。 t. 9.8 クロックの同期 組織内またはセキュリティドメイン内の適切な情報処理システムすべての時計は、正確な情報源 の時刻に同期させてください。 アクセス制御 a. アクセス制御方針 1. サプライヤーは以下のようなアクセス制御を実装する必要があります。 i. 完全に文書化されている ii. 監査できる 2. サプライヤーは、シティ情報の保存、処理、痩身に使用する規制情報システムすべてを許可の ないアクセスから保護し、情報システムの IS リスクレベルおよび適切な情報分類と一致するセ キュリティ製品、機能、プロセスを使用して安全に維持しなくてはなりません。 3. サプライヤーは、自らの組織内のユーザーのアクセス権について責任を負っています。 4. シティ情報の保存、処理、送信に使われる規制情報システムへのユーザーのアクセス権はすべ て、仕事を遂行するためにユーザーが必要とするアクセスの最も制限的な権利/特権を施行で きるようにアクセス承認者が「最小権限の原則」を確保しなくてはなりません。 5. 規制情報システムへの一時的なアクセス特権は、文書化されたパスワード/アカウントのリリース プロセスに従い、以下を行う必要があります。 i. 要請者は事前に承認された認定ユーザーリストに含まれているか、使用時に承認がなく てはなりません。 ii. アクセスを授与する前に変更/問題チケットで理由を文書化しなくてはなりません。 iii. アクセス権を使用して行われた活動の独立審査を含めます。 iv. 事前に定義された期間(24 時間以内)後にアクセスを無効/削除するプロセスを含めま す。 シティサプライヤー向け基準 情報セキュリティ (IS) 33/52 ページ v. 稼動および実装後の安定化(主要なアップグレードや故障・修理解決策の実施後など) では、最高で 7 暦日、アクセス権を延長できるようにしてください。 b. ユーザー登録 1. サプライヤーは、ユーザーがマネージャーやマネージャーの指名者から承認を得ることなく、指定 情報の保存、処理、送信に使用される規制情報システムに自らアクセス権を取得できないよ うにしなくてはなりません。 2. 以下の条件すべてが満たされている場合にのみ、指定情報の保存、処理、送信に使われる 規制情報システムで持続的なアクセス特権をユーザーに授与することができます。 i. 持続的なアクセスの判定理由は承認の一環として文書化します。 ii. ユーザーのマネージャーおよび情報所有者/規制情報システムの代表者がアクセスを承 認します。 3. 稼働/CoB 情報システムでの新しい職務 ID または既存の職務 ID への変更はすべて、ID 作 成/変更プロセスの一環として、ID 所有者/代表者および ID が含まれている情報システムの 所有者が承認する必要があります。 4. 認定ユーザーリストがある場合、職務 ID 権限のある職務 ID 所有者/代表者は当該リストへ の追加を承認しなくてはなりません。 c. 特権の管理 1. サプライヤーはアクセス制御を実施し、ユーザーが職務の遂行に必要な特権と権利のみを授 与されるようにする必要があります。 2. サプライヤーは、許可のない使用を防ぐため、すべてのデフォルトのアクセス能力が削除、無効 化、または保護されるようプロセスを実装しなくてはなりません。 3. 職務 ID 特権への直接的なログインは、一時的なアクセス特権プロセスを介して授与してくだ さい。 d. ユーザーアクセス権の審査 1. サプライヤーは、シティ情報の保存、処理、送信に使われる規制情報システムに対して不要な ユーザー権限がないか見直して確認し、削除するプロセスを文書化して実施する必要がありま す。 2. サプライヤーは、少なくとも半年に 1 回、すべてのユーザー権限を審査して、不要なアクセス権 があれば取り除かなくてはなりません。 3. ユーザーは、自分の権限、または審査を任されている個人の権限を審査または承認することは できません。 4. 稼働/CoB 情報システムでの特権のある非固定職務 ID の権限については、ID 所有者/代表 者が毎年 1 回、審査します。 e. パスワードの使用 1. ユーザーの静的パスワードは共有したり、他者に知らせたり、書き留めたりしてはなりません。 2. 稼働/CoB 情報システムのインタラクティブな職務 ID 特権のパスワードは、共有できません。 f. 整理整頓されたデスクとスクリーンに関する方針 サプライヤーのスタッフは、すべての形式のシティ情報(自分の作業スペースで使用または保管する 物理的な情報など)を保護するよう義務付けられています。 シティサプライヤー向け基準 情報セキュリティ (IS) 34/52 ページ g. 外部接続のユーザー認証 1. 指定情報の保存、処理、送信に使われる情報システムへのリモートアクセスは、許可のない使 用から保護する必要があります。 2. サプライヤーがネットワークへのリモートアクセスを個人に許可した場合は、標準的なリモートアク セス技術(VPN、Citrix など)を使用し、トークンまたは証明書のいずれかに基づく認証によっ てリモートアクセスが保護されていることをサプライヤーは確認しなくてはなりません。 h. ネットワーク内の機器の識別 1. 本基準を遵守し、サプライヤーが許可しているサプライヤーの機器(デスクトップ、ノートパソコン、 リムーバブルデータストレージメディアなどのハードウェアが含まれますが、これらに限られません) のみが、シティ情報が保存、処理、送信されるサプライヤーのネットワークにアクセスできます。 2. 本基準を遵守し、シティが許可しているサプライヤーの機器(デスクトップ、ノートパソコン、リム ーバブルデータストレージメディアなどのハードウェアが含まれますが、これらに限られません)のみ が、シティのネットワークにアクセスできます。 i. ネットワーク内での分離 1. サプライヤーは、シティ情報の保存、処理、送信に使われ、インターネットからアクセスできる情 報システムとアプリケーションすべてについて、サプライヤーの非武装地帯(DMZ)を介してのみ アクセスできるようにする必要があります。 2. 緊急時には、サプライヤーはネットワークのセキュリティイベント(ウイルス発生時のポートのフィル タリングなど)の影響を抑えられるようネットワークの部分間のアクセスをフィルタリングすることが 出来なくてはなりません。 3. リモートアクセスとホストセキュリティはグループベースのアクセス制御(スタッフ、下請け業者など) を実施し、サプライヤーネットワークのネットワークリソースへのアクセスを制限する必要がありま す。ホストレベルでは、グループまたは個人レベルでアクセス制御を実施できます。 j. 安全なログオン手順 静的なパスワードに関連付けられているログイン ID は、ログイン試行が最高で 6 回連続して失敗 した後、無効にする必要があります。 i. 職務 ID は、所定のログイン失敗回数後のログイン ID のロックアウト要件からは除外さ れます。 ii. ロックアウトされたユーザーのログイン ID は、業界基準のリセットサービスまたは別の認定 機能によって再度有効にしなくてはなりません。 k. ユーザーID および認証 1. サプライヤーが管理する情報システムはすべて、シティ情報にアクセスできるセッションや取引を 開始する前にプラットフォームにアクセスするユーザーまたはシステムの ID を認証しなくてはなり ません。 2. すべてのユーザーには以下の条件が課されます。 i. ユーザーID によって一意に特定されるか、技術プラットフォームにマッピングできなくてはな りません。 ii. 認証方法を使用して技術プラットフォームに認証されなくてはなりません。承認されてい る最新の方法については、BSRM にお問い合わせください。 共有認証インフラストラクチャー(シングルサインオン、低減サインオン、その他の共有 認証サービスなど)を使用する場合は常に、認証要件に従ってください。承認されて いる最新の方法については、BSRM にお問い合わせください。 シティサプライヤー向け基準 情報セキュリティ (IS) 35/52 ページ iii. 職務 ID の所有者は、インタラクティブなアクセスの責任を明確に示すプロセスが実装さ れていることを確認する必要があります。 l. パスワード管理システム 1. ユーザーの静的パスワードは決して画面上に平文で表示しないでください。 インタラクティブ特権職務 ID のパスワードは平文でハードコードしないでください。 2. 静的なパスワード(PIN 以外)は 6 字以上で、文字と数字の双方を含める必要があります。 技術的に可能であれば、大文字と小文字を区別できるようにします。 3. PIN は、物理的なデバイスの制約(キーパッド、電話、スマートカードなど)に合わせるために PIN が必要な場合にのみ情報システムにアクセスする唯一の認証方法として使用できます。 4. 静的なパスワードはすべて、最低でも 90 日おきに変更してください。職務 ID の静的なパスワ ードはこの要件の対象外です。また、以下の点についても留意してください。 i. 職務 ID は期限が切れないように設定することもできます。 ii. 認証システムはすべて、技術的に可能な場合 100 日を超えないログイン無活動/非使 用制御を施行する必要があります(職務 ID と顧客ログイン ID はこの要件の対象外で す)。無効なログインは、ユーザまたは別の認定職務によって再度有効にすることができ ます。 iii. 認証プロセスでは、少なくとも最後の 6 回の変更では同じパスワードを使用しないように してください。 m. システムユーティリティの使用 サプライヤーは、システムおよびアプリケーションのコントロール機能をオーバーライドできるユーティリテ ィプログラムの使用が制限され、管理されていることを確認する必要があります(周辺機器からの起 動など)。 n. セッションタイムアウト 1. シティ情報の保存、処理、送信で使われる規制情報システムのユーザー全員について、再認 証またはログインが必要になります。 2. 無活動が 30 分を超えない時間内に、再認証するようユーザーに求める必要があります。活 動には、エンドポイントへの入力が含まれます(マウス、キーボード、タッチスクリーンなど)。パスワ ードで保護されたスクリーンセーバーを使用している場合は、アプリケーション/シングルサインオン は不要です。 o. モバイルコンピューティングおよび通信 1. サプライヤーが管理しているノートパソコンすべてと、シティ情報の保存、処理、送信に使われる すべてのデスクトップでは、リモートアクセスを使用して、シティ情報分類が「機密」または「極秘」 である情報のローカルストレージ/処理が行われる場合、業界標準を満たす暗号化ツールを利 用して暗号化する必要があります。 2. サプライヤーの管理しているコンピューターでは、直接インタネットに接続する場合、個人的なフ ァイアウォールを有効にしなくてはなりません(サプライヤーの管理するファイアウォールまたはプロ キシを介さないなど)。 3. シティモバイルアプリについては、シティが署名してモバイルマーケットプレース(iTunes など)に公 開する必要があります。 p. 自宅勤務 サプライヤーネットワークへのすべての接続では、上記の基準に従い、承認済みのリモート接続ソリ ューションを使用してください。 シティサプライヤー向け基準 情報セキュリティ (IS) 36/52 ページ 9.9 情報システムの取得、開発、メンテナンス a. セキュリティ要件の分析と仕様 1. サプライヤーは、アプリケーション、製品、サービスの選択、開発、実装のプロセスと手順に情報 セキュリティ手順を取り入れる必要があります。 2. サプライヤーは、シティ情報が保存、処理、送信されるシステムすべてについて安全な構築手 順を設定しなくてはなりません。 3. 安全な構築手順には、稼働展開時のセキュリティ/標準構築設定の自動設定確認をサポー トするツールを含めてください。 b. 入力データの検証 1. サプライヤーは、オンラインのセキュリティ脅威に対する保護を行うための制御手段が必要です (クロスサイトスクリプティング、SQL インジェクションなど)。 2. 入力検証は、すべてのインターネットおよびイントラネットのアプリケーションで実装してください。 c. 暗号化制御の使用に関する方針 以下の表は暗号化要件について説明したものです。シティ情報分類「機密 PII」以上の情報が含 まれる送信の場合は、アプリケーション間/サーバー間で暗号化を行う必要があります。サプライヤー がホストしているアプリケーションで情報を保存または送信する場合、サプライヤーはコンプライアンス に責任を負います。 機能/データ 制限されたデータ 認証データ 機密 PII データ 暗号化 (送信時)3 すべての環境 すべての環境 暗号化 (継続的なストレージ) すべての環境 すべての環境 (a) (a) インターネット すべての環境(新しいアプリケーション) (b) (c) (b) 機密データ インターネット (b) (b) リモートアクセス すべての環境 該当しない (a) 認証データ:1 回のみ使用するパスワード、動的なパスワード、期限が切れているパスワードは、送信時 またはストレージ中に暗号化する必要はありません。 (b) 機密または機密 PII データは、シティのセキュリティ基準を満たさず、シティ以外が管理しているインフラス トラクチャー内で送信される場合、または継続的に保存される場合、暗号化しなくてはなりません。 (c) ID 確認に使われる機密 PII データ(取引履歴、信用情報、住所など)は 認証データの追加暗号化要 件の対象にはなりません。 上記の暗号化要件に加えて、以下の環境の追加基準が定義されています。 3 データの送信には多くの形式があります。電子ファイル受渡し(FTP、NDM など)、ウェブトラフィック、電子メール、 様々なプロトコルを使用したプロセス間通信(アプリケーション間など)が含まれますが、これらに限られません。 シティサプライヤー向け基準 情報セキュリティ (IS) 37/52 ページ 1. 個人の外部電子メール:サプライヤーがシティの承認したエンドツーエンドの暗号化ソフトウェア や規制・サプライヤー方針に基づいてツールを使用することを許可されていない場合、シティとサ プライヤー間でシティ情報分類が「機密」(PII 以外)のシティ情報が含まれる個人の電子メー ルの暗号化要件は、トランスポート暗号化(トランスポート層セキュリティ(TLS)を介したゲート ウェイ間の暗号化など)によって完全に満たすことができます。 2. データベース:データベースに保存されている制限情報は、シティの承認したデータベース管理 システム(制限情報のストレージ向けに承認されたもの)を使用している限り、暗号化されてい ない状態で保存できます。この例外は、暗号化の必要な認証データ(パスワードなど)には適 用されません。 3. プライベートネットワーク:認定機関が独立して規制し、ライセンスがあるか認定を受けている相 手(SWIFT または中央銀行など)とのビジネス取引の金融サービス業界標準とみなされている プライベートネットワークは、暗号化された送信を完全にサポートするために必要なインフラスト ラクチャーを提供できるようになるまで、通過中の暗号化要件の機密 PII が除外されるものと みなすことができます。 4. 外部当事者:「機密」以上に分類されているシティのデータをサプライヤーが外部当事者(下 請け業者)に提供した場合、この外部当事者は暗号化要件を満たすか、IS 評価によって検 証されサプライヤーが受諾した類似制御対策を提供しなくてはなりません。(当該情報は電子 的に送信された場合、下請け業者とのやりとりでは暗号化する必要があります)。 5. 音声およびファックス:シティ情報分類で「機密」以上の情報をファックスで送るか、これについて 電話(ボイスオーバーIP(VOIP)など)で話し合う場合は、暗号化しなくても構いません。必要 に応じて、サプライヤーはこのような方法で送られる機密以上の情報を保護するための具体的 な手順と指針を策定する必要があります。 d. キーの管理 1. 業界標準の暗号化アルゴリズムと最低キーの長さを使用して暗号化を行います。 2. ワイヤレスネットワークは、業界標準暗号化アルゴリズムで暗号化してください。 3. すべての形式の暗号化メカニズムを利用するサプライヤーは、業界標準のキー管理ツールとテ クニックを使用してください。 e. 業務ソフトウェアの管理 1. サプライヤーは以下を確認しなくてはなりません。 i. 現在、業界の認定している業務用プロバイダーがサポートしているか、セキュリティの問題 対応で利用できる有効で適切なパッチと設定更新のリリースがあるオペレーティングシステ ムとソフトウェアのみを使用できます。 ii. 承認されたセキュリティパッチおよび設定すべてを適用する期間を指定した文書化済みの プロセスを実施します。 2. サプライヤーは、サプライヤーとシティ間で別個のメンテナンス契約があるかどうかに関わらず、シ ティのために開発され、ライセンス契約で管理されていうソフトウェアが以下の状態であることを 確認しなくてはなりません。 i. 既知の脆弱性がありかつサポートされていないようなソフトウェアのバージョンを使用しない ii. 必要に応じて、適時、更新・パッチ修正されている f. システムテストデータの保護 1. シティ情報分類が「機密 PII」以上の情報は、シティの明示的な書面による許可がない限り、 実稼働システム以外には搭載できません。 シティサプライヤー向け基準 情報セキュリティ (IS) 38/52 ページ 2. サプライヤーが、このようなタイプのデータを保管する許可を書面で受領した場合、業界標準を 満たすツール/方法を使用してデータを不可逆的に改訂し、データを機密でないようにするか、 実稼働システムと同じ制御対策を実施する必要があります。 g. 変更管理手順 1. サプライヤーは、ファイアウォール、侵入検出システム(IDS)、侵入防止システム(IPS)の設定 変更がサプライヤーの変更管理プロセスを経るように確認しなくてはなりません。 2. 一時的な ID を使用して行われたアクセスは、環境への変更を追跡できるようログして監視す る必要があります。 3. シティの分類「機密 PII」以上、または完全性、あるいは「高」可用性の顧客情報が含まれて いる規制情報システムでは、サプライヤーはセクション 9.7s(監査ログ)に従って捕捉されたログ をサンプル抽出して審査しなくてはなりません。この審査は、適切なリスクベースのサンプル抽出 方法に基づいて行うことができます。 4. 審査では、一時的な特権アクセスの一環として行われる変更が意図されているように実施さ れたことを確認します。 h. 情報漏洩 サプライヤーは、情報漏洩を防ぐため、以下を含む安全なコーディング基準を作成しておく必要が あります。 i. 詳細なシステム情報(サーバーのタイプ、テクノロジーなど) ii. ディレクトリーのツリー構造と基本的なデータベースのタイプを示すスタックトレースおよび例 外エラー i. 9.10 技術的な脆弱性の管理 1. サプライヤーが自ら管理するアプリケーションまたはインフラストラクチャー上でシティのデータにア クセスするか、データを保管、または処理する場合は、脆弱性の評価が行われ、脆弱性の問 題がベンダー向けシステムセキュリティテスト要件に従って修正されたことを確認しなくてはなりま せん。 情報セキュリティインシデント管理 a. 情報セキュリティイベントの報告 1. サプライヤーは以下の IS インシデント、イベント、脆弱性を即時シティに報告しなくてはなりませ ん。 i. ウイルスおよび/または悪意あるコードが疑われる場合は、指定されたヘルプデスクまたはサ ポート部門に速やかに報告してください。 i. 確認されたトロイの木馬ウイルスは、IS インシデントとして取り扱ってください。 ii. サービス停止の原因になったり、シティで特にターゲットとしているウイルスは、IS インシ デントとして取り扱ってください。 iii. フィッシングのイベントが疑われる場合は、シティに報告してください。 2. サプライヤーは速やかにシティのデータまたは情報システムに関する疑わしい活動に対処し、シ ティに通知する必要があります。 b. セキュリティ上の弱点の報告 サプライヤーが速やかに、シティ情報資産に危険が生じるようなアプリケーションならびにインフラの脆 弱性についてシティに報告できるプロセスが必要です。 シティサプライヤー向け基準 情報セキュリティ (IS) 39/52 ページ c. 責任と手順 サプライヤーは、シティの情報に影響を与える情報セキュリティインシデントを管理するため、効果的 なアプローチを適用しなくてはなりません。サプライヤーは、セキュリティイベントに対応し、同意された 期間内にシティに通知するプロセスを維持する必要があります。この期間は、年中無休 24 時間 体制で、イベントに気づいてから壱(1)時間を超えることはできません。この中には、IDS/IPS/ネット ワーク挙動異常検出(NBAD)から生成されたアラートが含まれますが、これに限られません。 シティサプライヤー向け基準 情報セキュリティ (IS) 40/52 ページ 10 ビジネスの継続性 10.1 概要 シティは、人災、自然災害、危機、事業中断、または緊急事態が発生した場合、金銭的な損失を最低 限に抑え、市場と顧客のニーズに対応するため、ビジネス継続性プランを維持しています。シティは、通常の ビジネス業務に影響を与える可能性がある事象に対応すべく準備を整える必要があります。 シティの全サプライヤーは、シティに提供している製品とサービスに関する中断があれば対処し、シティの定義 した復旧時間枠内に修正できるよう、ビジネス継続性プランを設定しておく必要があります。 適宜、継続性プランには以下の要素を含めるか、この要素が該当しない旨を示す必要があります。復旧時 間目標(RTO)および目標復旧時点(RPO)、復旧手順、テクノロジーを利用できない場合に採用する手 動回避策、復旧現場とリソース要件、復旧現場における従業員配属プラン(ビジネスおよび技術復旧スタ ッフなど)、シティ連絡先情報(連絡先、契約サービスレベルなど)、下請け業者情報、アプリケーション情報、 主要な職場に戻る手順、電話リスト、電話連絡手順、オフサイトのストレージ施設リストなどです。 サプライヤーのビジネス継続性プランは少なくとも年 1 回更新する必要があります。 シティの全サプライヤーは、ビジネス再開および災害復旧計画が実施された場合に行うべき業務手順をビ ジネスサプライヤー関係管理責任者(BSRM)に提供しなくてはなりません。 10.2 復旧リソース サプライヤーのビジネス継続性プランでは、サプライヤーの主要な施設を利用できなくなった場合、シティにす べての製品とサービスを提供できる代替リソースを提供してください。復旧リソースは、主要施設から地理的 に十分離れ、同じ災害が主要施設と復旧現場の双方に影響を与える恐れを最低限に抑えるか、排除で きるような場所になくてはなりません。復旧リソースは情報システムに限定されず、シティに対する製品とサー ビスの継続的な提供に必要なリソースがすべて含まれます。スタッフ、建物、ビジネス機器、データセンター、 音声ネットワーク、輸送サービスが含まれる可能性があります。 10.3 復旧サービスレベル サプライヤーのビジネス継続性は、シティにとって効果的な、設定済みのサービスレベルを満たなくてはなりま せん。最低でも各サプライヤーの契約では、以下の変数に対する特定の値を確立するものとします。場合 によっては、契約に基づき、以下の変数のうち、複数の組み合せを特定の製品やサービスに適用できます。 復旧時間目標 サービスの中断から製品とサービスの復旧までの時間 目標復旧時点 ビジネス中断後にデータを復旧する必要のある過去の時点(時間)。主要なインシデントにより IT サービスからデータが失われた可能性のある最大対象期間。RPO は、IT サービスに影響する 主要なインシデントがあった場合、データが失われた可能性がある最大期間の測定値であり、ど れくらいのデータが失われたのか直接計測したものではない(例えば、前日の処理終了時まで)。 復旧能力 サプライヤーの製品・サービス提供の容量、数量、速度を通常の製品・サービス提供の割合で 示したもの。 復旧期間 サプライヤーが復旧モードで業務を維持できる最長期間(日数)。 シティサプライヤー向け基準 ビジネスの継続性 41/52 ページ 10.4 テスト サプライヤーの復旧リソースおよび計画はすべて、少なくとも年 1 回はテストし、復旧テストの結果はテスト 実施日から 1 週間以内に、シティが決めた形式でシティに提供するものとします。テストでは、シティに提供 するすべての製品とサービスの復旧サービスレベルを満たすサプライヤーの能力を示すこととします。 サプライヤーは、シティに提供するサービスの復旧テストについて 30 日以上前にシティに通知しなくてはなり ません。シティはサプライヤーの復旧テストに参加するか、観察できます。 サプライヤーは、以下の中断シナリオについてテストする必要があります。 アクセス拒否(DOA)テストでは、定義された RTO 内で回復できるシティビジネスプロセスの従業 員配置とサポートを検証します。 サービス拒否(DOS)テストでは、定義された RTO 内で復旧できるシティのビジネスプロセスと、定 義された RPO 内で復旧できるデータをサポートするテクノロジーを検証します。 シナリオ演習では、自然の、人工的、技術的またはインフラにおけるイベント発生時の復旧能力を 示します。 テストの証拠には、テスト、その範囲と目標、結果、フォローアップ活動に関する説明を含める必要がありま す。 10.5 危機管理 ビジネス継続性プランと共に、サプライヤーは復旧業務の指令と管理のために危機管理プランも保持するも のとします。最低でも、サプライヤーの危機管理プランでは、復旧業務を開始する充分な権限のある個人を 特定し、危機情報を取集・伝達するための通信プロトコルを定義して、危機が生じた場合にシティと連絡 するための通知プロトコルを含めるものとします。 シティサプライヤー向け基準 ビジネスの継続性 42/52 ページ 11 グローバル経歴スクリーニング基準 11.1 概要 このセクションは、サプライヤーの経歴スクリーニングに関するシティの世界的な基準を定義することを目的と しています。経歴スクリーニングは、シティの専有または機密情報、システムへのアクセスおよび/またはシティ 施設への同伴者なしでのアクセスを得るサプライヤーの全従業員のほか、指定された職位の従業員に該当 する現地のあらゆる法律と規制に従い、実行してください。 各国特有の要件と、本基準の例外に関する追加情報は、以下に掲載されています: http://www.citigroup.com/citi/suppliers/data/ctry_background_screening_requirements.pdf サプライヤーの従業員は適宜、本書で説明されている情報と自己開示内容のすべてを提供しなくてはなり ません。履歴書、面接、入社フォーム、または入社プロセス中などに情報を改ざんまたは削除すると、いつ発 見されたかに関わらず、現地の法律に従い、シティとの取引の拒否または中止の理由になる可能性があり ます。実施されたスクリーニングの結果がよくなかった場合も、いつ発見されたかに関わらず、現地の法律に 従い、シティとの取引の拒否または中止の理由になる可能性があります。 シティはいつでも、シティ向けのサービスを遂行する職務にサプライヤーが指名する予定である、または指名 した個人が、本基準と現地の該当法規に従い、経歴スクリーニング要件をすべて完了していることを検証す る情報を要請できます。 11.2 基本的な情報、居住地履歴、ID 確認情報の収集 サプライヤーの従業員がシティの職務を開始する前にサプライヤーは個人の姓名、郵送先住所、本籍地 (異なる場合)、電話番号、電子メールアドレス(該当する場合)を確認しなくてはなりません。さらに、個人 は過去参(3)ヶ所の居住地または六(6)年間の居住地のいずれか、期間の長い方の居住地の住所を提 供する必要があります。法律で許可されている場合、提供された居住履歴は、サプライヤーの従業員が過 去参(3)ヶ所の居住地または六(6)年間の居住地のいずれか、期間の長い方の居住地の住所を正確に 示していることを確認する必要があります。 サプライヤーの従業員は、自らの身元を検証する文書も提供しなくてはなりません。これには、身分登録番 号、政府の発行した身分証明書(写真入り)またはパスポートに関する情報および/または文書提供が含ま れることがあります。 11.3 制裁スクリーニング サプライヤーの従業員は全員、米国財務省外国資産管理局(「OFAC」)の特定国籍業者リスト(「SDN リスト」)および米国が制裁を課している国のリスト(「米国の制裁」)、ならびに適切な地方政府または機関 の管理リストに従ってチェックされなくてはなりません。この中には、職務初日の前に確認プロセスで提供され た氏名、別名、生年月日の使用が含まれます(現地の法律で許可されていない場合は除きます)。示唆 または不正確な説明を行うと、業務割り当てに不適格になったり、業務割り当てが中止されたりする可能 性があります。 11.4 雇用資格 サプライヤーは、その従業員が業務執行先の国で勤務する許可を得ていることを確認し、現地の該当法で 義務付けられている労働許可を確認できなくてはなりません。サプライヤーの従業員は、現地の法律に基づ き、業務開始後、雇用適格性を検証した文書を提供するものとします。これには、身分登録番号、政府 の発行した身分証明書(写真入り)、パスポート、または就業査証に関する情報および/または文書提供が 含まれることがあります。 シティサプライヤー向け基準 グローバル経歴スクリーニング基準 43/52 ページ 11.5 職歴 サプライヤーは、過去 3 回の雇用者または過去 7 年の雇用のいずれか、期間の長い方について従業員の 職歴を検証するものとします。個人の職歴を検証して、雇用者、職位、日付、関連のある職務が正確に 示されていることを確認する必要があります。 職歴の確認はインターンでは必要ありません。 サプライヤーの従業員は、以前の雇用またはコンサルタントあるいはシティもしくは以前に務めていた企業の 派遣社員としての職務も開示しなくてはなりません (シティバンク、シティコープ、トラベラーズ、サロモン・ブラ ザーズ、スミスバーニーなど)。ここでは、解雇されたのか、辞職するよう求められたのか、シティまたはその前 任者の企業からオファーを受けた後に雇用または職務を拒否されたのかについて、開示する必要もあります。 サプライヤーの従業員は、国内または海外で権限のある証券、保険、住宅ローン、商品ライセンスの保有 を特定しなくてはなりません。法律で義務付けられている場合、候補者が職務を開始した後、サプライヤー は職務に必要なライセンスのコピーを保持するものとします。 11.6 学歴 サプライヤーは、従業員の最高レベルの教育を検証するものとします。検証情報には、在籍期間、教育機 関名、住所、取得学位を含めてください。 直接、教育機関に連絡するか、適宜、同機関の発行した書状、成績表、卒業証書を確認/受諾するとよ いでしょう。 11.7 社内および政府の関係 法律で許可されている場合、サプライヤーの従業員は、シティ取締役会メンバー、シティ役員、政府役人 (当該役人あるいはその役人が代表する政府機関と利害の矛盾があるように見える場合、または実際に 利害の衝突がある場合)との関係を開示する必要があります。政府役人には、米国以外の政府のすべて の職位の役人、職員、代表者、すべての政党の職員や公職の候補者、公的国際機関の職員、国有企 業の職員、金融サービス業界の自主規制機関の職員、およびソブリン・ウェルス・ファンド、公的年金基金、 連邦、州または地方政府機関によって設立または運営される教育機関の職員などが含まれます。 11.8 犯罪歴 法律で許可されている場合、サプライヤーは、犯罪に関する裁判が始まる前、シティでの職務が開始される 前に、従業員に犯罪の有罪判決や有罪答弁、または非抗訴抗弁(公判前ダイバージョンプログラムを含む) がないことを検証するものとします。 犯罪記録の審査および指紋チェックは、法律で許可され、利用できる場合、職務開始日の前に始める必 要があります。 盗難、詐欺、不正行為、信頼の違反に関連した有罪判決があれば、職務遂行の拒否や職務適格性喪 失の可能性があります(法律で禁止されている場合は除きます)。他の有罪判決は、適用される現地の法 律および規則に基づき、職務の拒否や職務適格性の喪失につながることもあります。有罪判決に基づく職 務に関する決定は、各国の法規に従って行う必要があります。 シティサプライヤー向け基準 グローバル経歴スクリーニング基準 44/52 ページ 11.9 違法薬物スクリーニング 法律で許可されている場合、サプライヤーは、シティで職務を始める前に従業員が違法薬物スクリーニング テストを受けるようにするものとします。違法薬物スクリーンは最低でも「5 パネル」テストでなくてはなりません。 このテストでは、アンフェタミン、カンナビノイド(THC)、コカイン、アヘン、フェンシクリジン(PCP)の存在を調べ ます。陽性の結果は、医療専門家が判断し、職務を拒否する十分な理由になります。この結果を勤務開 始の前か後のどちらに受領したのかは関係ありません。ただし、このような拒否が現地の法律で許可されて いない場合は除きます。 特定のサプライヤーの従業員は、職位(運転手、パイロットなど)の要件に基づいて、あるいは現地の法規 に基づく他の理由から職務の遂行中でも、違法薬物スクリーニングテストを完了するよう求められることがあ ります。 11.10 信用調査 サプライヤーは、指定された職位で、あるいは金融商品や投資に関して顧客に助言を与える活動が含まれ る職位で、あるいは各国の慣習であり法律で許可されている場合に、シティに割り当てられた従業員の信 用調査を行うことができます。信用調査に基づく職務の決定は、各国の法規に従って行う必要があります。 11.11 再スクリーニング 職務が中止されたサプライヤーの従業員が再びシティに割り当てられた場合は、再度スクリーニングを行う必 要があります。再スクリーニング要件の詳細情報については、表 2 「サービス中断期間の長さによる再スクリ ーニング」を参照してください。 11.12 国際的な移転 スクリーニングはすべて、従業員が所在する国の規制に従って実施する必要があります。サプライヤーの従 業員が新しい国に異動し、シティとのサービスが中断された場合、当該個人は新しい国の要件に従って再 スクリーニングを行う必要があります。再スクリーニング要件の詳細情報については、表 2 「サービス中断期 間の長さによる再スクリーニング」を参照してください。 11.13 追加スクリーニング 実施中の職務で必要だとシティが特定した場合は、追加スクリーニングを要請できます。この中には職務関 連の評価と医療スクリーニングが含まれますが、これらに限られません。すべての追加のスクリーニングは、各 国の法律や規則に従って行われなければならない。 シティサプライヤー向け基準 グローバル経歴スクリーニング基準 45/52 ページ 表 1:経歴スクリーニング完了のタイミング タイプ 必須 自己開示 基本情報 X 居住歴 確認 開始 完了 説明 X オファー 前 オファー前 一般的な個人情報を提供(氏名、住 所、電話番号、電子メールアドレス) X 開始以 前 開 始 後 90 日以内 X 開始前 開始後 5 日 以内 制裁スクリ ーニング X ID の確認 X X X 開始前 開始前 雇用資格 X X X 開始前 開始後 3 日 以内 X オファー 前 オファー前 選定評価 雇用歴の確 認 X X X 開始以 前 開 始 後 90 日以内 学歴の確認 X X X 開始前 開 始 後 90 日以内 内部および 政府との 関 係 X X 開始以 前 開始以前 犯罪歴のチ ェック X X X 開始前 開始後 30 日以内 違法薬物ス クリーニング X X 開始以 前 開始後 5 日以内 医療スクリ ーニング X 開始以 前 開 始 後 30 日以内 信用チェック X 開始以 前 開 始 後 90 日以内 シティサプライヤー向け基準 過去参(3)ヶ所または六(6)年間の居住 地の情報収集と必要に応じた確認 サプライヤーの従業員は、適切な地方の 政府または機関の管理リストに照らし合 わせてチェック(名前、別名、生年月日を 使用)されなければなりません。 身分を確認できる身分登録番号および 文書を提供 雇用資格を検証する身分登録番号およ び就業許可書を提供 必要に応じて、また、法的に許可されて いる場合、候補者が職務の遂行に必要 な知識、能力および/または態度をもって いることを確認するために行う評価 過去参(3)ヶ所の雇用先または七(7)年 間の雇用のうち、どちらか期間の長い方を 確認 最も高い教育レベルの日付、教育機 関、および学位の確認 シティ取締役会のメンバー、シティの役 員、または政府役人との関係の自己開 示 裁判所での有罪判決、有罪答弁、また は非抗訴抗弁の確認、入手可能な記 録の審査および/または指紋チェック(法律 で許可されており利用可能な場合) アンフェタミン、カンナビノイド(THC)、コカ イン、アヘン、フェンシクリジン(PCP)の「5 パネル」テスト(現地の法律による) 必要に応じて、法律で許可されている場 合、候補者が職務を完了できるか確認 するために医療スクリーニングを実施 法律で許可されている場合、シティの顧 客に金融商品および/または投資を勧め る職位に就く従業員に関して実施。現地 の慣習になっている場合に実施されること もある。 グローバル経歴スクリーニング基準 46/52 ページ 表 2:サービス中断期間の長さによる再スクリーニング タイプ 犯罪歴のチェック 違法薬物スクリーニング 制裁スクリーニング 詳細なスクリーニング 中断 7 日 < 中断 ≤ 30 日 30 日超の中断 X X X X X X X 1 X 1 – スクリーニングが過去に実施され、スクリーニングに関する記録が保持されていると確認できる限り、 経歴スクリーニングの要素の中で、1) 新しい結果または異なる結果が出ないもの、および 2) 法律または その他の理由で必要とされていないものは、再スクリーニング(学歴の確認など)は不要です。 シティサプライヤー向け基準 グローバル経歴スクリーニング基準 47/52 ページ 補遺 A - 定義 関連会社は、シティと直接的または間接的に管理する、管理される、もしくは共通の管理下にある事業体。 「管理する」とは、当該事業体の議決権株式または権益の弐拾(20)%以上の所有権もしくは議決権を 有していることを意味する。 経歴スクリーニング:サプライヤーの従業員が提供した情報を確認し、その経歴に関する適切な記録(犯罪、 薬物など)を まとめるプロセス。 ビジネスサプライヤー関係管理責任者(BSRM)は、契約および必要なサービスレベル(適宜)に対するサプ ライヤーのパフォーマンス管理を担当するシティの従業員。この中には、サポート、サービス提供、必要な出 口戦略プランに関する重要サプライヤーおよび最重要サプライヤーとの毎日のやりとりが含まれる。CASP で のサプライヤー情報の検証、情報セキュリティ要件、アウトソースサービスプロバイダーの要件(適宜)の遵守 などがあるが、これらに限られない。BSRM は通常、事業体内に属している。1 つのサプライヤーに複数の BSRM が割り当てられることがある。 エンタープライズサプライチェーン(ESC)は、サプライヤーのリスク査定から競争入札と選定、契約、支払にい たるまで、エンドツーエンドのサプライヤーのライフサイクルをサポートする責任を負ったシティの世界的な組織。 具体的な事業内容としては、ビジネスパートナーへの重要な製品とサービスの継続的な提供を確保するた めの適切なサプライヤーのデューディリジェンス、サプライヤーの参加、戦略的なソーシング、広範な製品とサ ービスの契約交渉、購入と注文履行、支払処理、多様で持続可能なサプライヤーのイニシアチブが挙げら れる。 シティ承認サプライヤープログラム(CASP)は、一般的なサプライヤーリスク管理プロセスとコントロール評価 を会社全体で促進し、シティがサプライヤーに対して持つコンプライアンス、取引、財務、戦略、技術、評判 に関するリスクを軽減し、サプライヤーをまとめて、シティの経済的影響力を最大限にするグローバルプログラ ム。CASP システムではシティの企業全体の承認サプライヤーリストが含まれており、シティの事業体がより 効果的に承認サプライヤーを管理できます。また、ビジネスが様々な特徴とリスク属性(ビジネスの重要度、 OSP 指定、機密以上の情報へのアクセス、支出閾値など)に基づくサプライヤーの特定と分類、サプライヤ ーとシティの連絡先の表示、サプライヤーのデューディリジェンス情報の審査、サプライヤーのリスク管理レポー トおよびスコアカードへのアクセスなどを行うための集約的な場となる。 顧客はすべてのシティの顧客または顧客を指し、個人(自然人など)、事業体、機関、組織、法人が含ま れる可能性がある。 シティ情報は、シティが所有しており、保護する義務を負っているすべてのタイプの情報を指す。所有権はサ プライヤー契約で定義され、シティの法務部が判断する。 機密情報は、シティの各事業所が保護する義務のある情報で、顧客、従業員、第三者、シティの各事業 所に属する情報を含むが、これらに限らない。 個人を特定できる機密情報(PII)で、なりすまし犯罪、信用詐欺、その他、個人に対する金融詐欺を促 進するようなものは「機密」とみなされる。適用される国内法/州法、規制、または契約の下で、より高度な データ保護(例えば、暗号化、多要素認証など)が求められるすべてのPII。 契約とは、2 人あるいはそれ以上の当事者が署名する書面による法的文書で、両当事者によるオファー、 受領、考慮事項、義務および主旨の合法性について記載されています。契約の例として、製品およびサー ビスのマスター契約、作業記述書/作業指示書、修正と付録、日程、発注書、その他、シティ組織とサプラ イヤーが署名した文書が挙げられる。秘密保持契約(NDA)も、この方針の目的上、契約とみなされる。 制裁スクリーニングには、OFAC SDN リスト、米国が制裁を課している対象国のリスト(「米国の制裁」)、 該当する地方政府のリスト、該当する代理店管理リストが含まれる。 情報分類 シティサプライヤー向け基準 補遺 A - 定義 48/52 ページ 部外秘情報は、 シティに勤務する者も含む未許可の人物に開示されると、シティの法的義務や 規制による義務、当社の財務状況、お客様またはフランチャイズに大きな影響を及ぼし得る情報。 機密は、シティの各事業所が保護する義務のある情報であり、顧客、従業員、第三者、シティの 各事業所に属する情報を含むが、これらに限らない。機密情報は、開示に対する規制上または 契約上の制限の対象となるデータの組み合わせのすべてを含む。また、権限のない個人に開示さ れた場合に、競合企業に競争上の優位性を与える可能性がある、または事業に重大な影響を 与える、と各事業部門が判断する情報も含まれる。 社内情報は、シティ内で一般に共有され、社外への配布は前提とされておらず、「制限付き」また は「機密」と分類されていない情報。社内情報の例には、当社の方針や基準が挙げられる。 公開情報は、シティのプレスリリースやシティに関するニュース記事など、社外の人が自由に利用で きる情報、または一般社会での使用が意図されている情報。 機密以上は、機密、機密 PII、極秘、または認証*と定義される。 *認証は、基準内で定義されている独自の要件がある別個の分類。他の情報分類からは完全に 独立している。 機密 PII は、ID 盗難、信用詐欺またはその他の金融詐欺を促すような方法で個人を識別する PII の組 み合わせと定義される。適用される国/州の法律、規制または契約に基づき、より高度なデータ保護(例: 暗号化)が求められるすべての PII が含まれる。機密 PII の例としてには以下が挙げられるが、これらに限 定されない。 顧客の名前または連絡先情報と、社会保障番号、政府発行の ID または納税番号、運転免許 証、旅券、クレジットカード番号、その他の金融口座番号との組み合せ 米国社会保障番号 政府が発行する識別番号で、米国社会保障番号と同じように使用できるもの 顧客の身元を検証するための認証コードとして、シティが使用する顧客支払カード情報または金 融口座番号 シティの社員名、社員 ID または連絡先情報と、人種、宗教、民族、市民権、政党、または組合 員といった情報の組み合わせ シティの社員名、社員 ID または連絡先情報と、従業員業績評価、報酬情報、身体的/精神 的健康状態に関する情報、または犯罪歴との組み合わせ 社内 PII は、連絡、識別または管理など、シティの社内プロセスを可能にする PII。 社内 PII の例としては以下が挙げられるが、これらに限定されない。 シティのビジネス活動に関連する連絡、識別または管理のために使用されるシティ社員の名前、 社員 ID および業務連絡先情報。 ビジネス継続性(CoB)コールツリーなど、CoB の維持を目的に社内で使用されるシティ社員 の個人的な連絡先情報および緊急時連絡先情報。 シティの顧客名と、正当なビジネス目的でその顧客と直接連絡を取り合うために使用される、 顧客の郵送先住所、電子メールアドレスまたは電話番号との組み合わせ。 機密 PII は機密と社内 PII を組み合せたサブセット。この場合、データは「機密」情報および「社内」情報 のすべての要件、ならびに PII の追加要件を遵守する必要がある。 シティサプライヤー向け基準 補遺 A - 定義 49/52 ページ マスター契約は、シティの組織が交渉した契約で、一貫した条件を設定し、シティの組織がスケジュールと注 文書という形式の取引文書を実施することで、マスター契約に基づきサプライヤーから製品とサービスをシテ ィは調達できるが、通常、この調達を行う義務はシティにはない。マスター契約は、交渉済みの価格表を反 映する可能性がある。あるいは、該当する取引文書の交渉の一環として別個に価格交渉を行う必要があ る場合がある。 秘密保持契約(NDA)は、シティとサプライヤー間の合意で、情報の交換、使用、開示は当該契約の条 件によって管理される。 アウトソースサービスプロバイダー(OSP)とは、外部または関連会社のサービスプロバイダーで、シティのビジ ネスと調整して、シティのビジネス内部または類似するビジネスにより社内で通常単発で行われるビジネス機 能、役割、サービス、システムオペレーションすべてまたは大半を運営、実施、管理する。このような場合、シ ティは標準の設定、実際のパフォーマンスの測定、適切な是正策の実施(適宜)に責任を負う。第三者メ ンテナンス契約、法務、監査またはその他の専門的サービス、コンサルタントまたはシティの指示で勤務する 臨時スタッフなど、提供されたサービスについてシティのビジネスが直接的に管理統制を行うサービスは、 OSP に含まれない。直接的な管理統制には、計画立案、組織化、従業員配備、および指示が含まれる 可能性がある。OSP との関係には、中核的ビジネスプロセスのアウトソーシング、情報技術のアウトソーシン グ、または非中核的ビジネスプロセスが含まれる可能性がある。 中核的ビジネスプロセスアウトソーシング(中核的BPOは、提供されない場合、効率的にビジネスを行うこ とができなくなったり、商品やサービスが提供できなくなったり、適切な法規制を遵守できなくなるような影響 が生じる機能、オペレーションまたはサービス。中核的BPOには、ローン処理、預金処理、信用発行および 取引活動、インターネット銀行サービス、財務運営、加盟店処理サービス、記録管理サービス、顧客コー ルセンター(インバウンド、またはカスタマーサポート/サービス)が含まれるが、これらに限らない。この方針の目 的上、社内監査とコンプライアンス職能も中核的BPOとしてもみなされる。 情報技術アウトソーシング(ITO)は、シティビジネスの情報技術(IT)機能、運営、役割、あるいはサービス のすべてまたは大半をサプライヤーに委託すること。この中には、システムの開発とメンテナンス、稼働サポー ト、セキュリティ監視とテストと、ネットワーク運営、ウェブホスティングサービス、ヘルプデスクの運営サポートが 含まれるが、これらに限定されない。 非中核ビジネスプロセスは、中核 BPO ではない職務、オペレーションまたはサービスを指す。非中核プロセ スには、郵便室の運営、資産管理、移転サービスが含まれるが、これらに限られない。 アウトソーシングは、外部または関連会社のサービスプロバイダーで、かつてはシティのビジネスによって社内 で行われていた、または通常であれば類似するビジネスによって社内で行われていたであろうビジネス機能、 役割、サービス、システムオペレーションのすべてまたは大半を運営、実施、管理する。第三者メンテナンス 契約、法務、監査またはその他の専門的サービス、コンサルタントまたはシティの指示で勤務する臨時スタッ フなど、提供サービスについてシティのビジネスが直接的に管理統制を行うサービスは含まれない。アウトソー シングには3種類のビジネス契約が含まれる可能性がある。 (1)事業部門と同じ国内のアウトソースサービスプロバイダー(OSP)間の契約(国内アウトソーシン グ/オンショアアウトソーシングなど)。 (2)事業部門と異なる国のOSP間の契約。地理的に近い地域のサプライヤーとビジネスとの取り 決め(ニアショアアウトソーシングなど)や、地理的にビジネスとは異なる地域のサプライヤーとの取り 決め(オフショアアウトソーシングなど)。この方針の目的上、「オフショア」は「オフショア」と「ニアショア」 アウトソーシング取り決めの双方を指す。 (3)2 つ以上のシティ関連会社間の法的な契約であるシティ間サービス契約(ICSA)。特定の状 況では、特定管轄区で該当する法律に基づき、ICSA は一定の距離を置いた関係者間ではない 実勢レートの取引と支払条件を反映する必要がある。ICSA は、「関連会社間の契約」とも呼ば れることがある。ICSA は国内でもオフショアのアウトソーシングでも構わない シティサプライヤー向け基準 補遺 A - 定義 50/52 ページ 個人識別情報(PII)は、個人に関連し、その身元を特定したり、特定するために使用できる情報。PII は 生存している個人なら誰に関係するものでも構わない。現在および過去のシティの顧客、シティの商品また はサービスの申込者、従業員あるいはシティのサプライヤー、シティのスタッフとその扶養家族、シティの職の 応募者、その他すべての個人が含まれる。 従業員は本方針で使用されている場合、サプライヤーの役員、従業員、代理人、監査役、コンサルタント、 契約業者、下請け業者のほか、その取締役、役員、従業員、代理人、監査役、コンサルタント、または、 シティに製品またはサービスを提供するためにサプライヤーが利用する関連会社、契約業者、下請け業者 の代表者を指す。 着任前は、サプライヤーのリソースがシティのシステムまたは施設へのアクセス権を授与されたり、シティのため にサービスを行ったりする前の期間。 オファー前は、候補者が就職オファーを受ける前の期間。 記録は、法律、規制、または承認されたビジネス上の理由からシティが保持することを義務付けられている 情報。 記録インベントリーは、シティの記録のタイプ、場所、日付などを含む詳細なリスト。情報ライフサイクルで記 録を適切に管理するため、ビジネスが必要としているもの。 記録保留は、記録・情報に課される要件で、保留を要請した機関が解除するまで、変更または処分を中 止する。 極秘情報は、未承認の個人に開示された場合、法律上または規制上のシティ義務に対して、またその財 務状況、顧客やフランチャイズに対して、大きな影響を及ぼし得る情報。 ESC ソーシングマネージャーは、エンタープライズサプライチェーン内の個人で、契約ビジネス条件、要件、 価格の交渉を担当している。RFP や他のサプライヤー選定活動、契約条件の管理、財務評価認定要件 が含まれる。ESC ソーシングマネージャーは必要に応じて、法的な条件の交渉を支援するため、法律サポ ートにも関与する責任を負っている。 サプライヤーは、その従業員、代理人、または代表者とともに製品やサービスを Citigroup Inc.あるいはその 関連会社(子会社が含まれ、総称して、または個別に当該組織を本書では「シティ」または「会社」と称す る)に提供する第三者。 シティサプライヤー向け基準 補遺 A - 定義 51/52 ページ
© Copyright 2024 Paperzz
