本ランサムウェア復旧保証契約(以下「本契約」)は、米国デラウェア州法人であるAvePoint, Inc(以下「AvePoint」。該当する場合にはその関係会社(以下第1条に定義) を含む。)と、貴社(以下「顧客」)との間で締結され、対象ソリューション(以下第1条に定義)の購入に関してAvePoint が顧客に対してランサムウェア復旧保証(以下「本保証」)を提供する条件について記述するものである。AvePointおよび顧客のそれぞれを「当事者」といい、総称して「両当事者」という。本契約の適用対象である本保証は、AvePointによって承認され、かつ、AvePointまたはAvePoint認定パートナー(以下第1条に定義)と顧客との間の対象ソリューションに係る発注書面に記載されているものでなければならない。本契約で明示的に定義されていない限り、用語はAvePointの基本ソフトウェアライセンスおよびサブスクリプション契約https://www.avepoint.com/agree... において付与されている意味を有するものとする。

本契約は、顧客がAvePointのウェブサイト上で本契約の承諾を示すボックスをクリックした時点(以下「発効日」)において直ちに発効する。両当事者は、以下の条件について承諾および合意をし、それぞれの権限ある代表者によって本契約を締結するものとする。

1. 定義

1.1 「関係会社」とは、AvePointに関して、それを支配する、それによって支配される、またはそれと共通の支配下に置かれる他の法人を意味し、また、「支配」とは、当該他の法人の議決権付株式の過半数を保有することにより、直接または間接に、当該他の法人の経営および方針を指図する権限を有していることを意味する。

1.2 「認定パートナー」とは、AvePoint の代理店やディストリビューターであり、その関係性を定めるパートナー契約をAvePointと締結している事業体を意味する。

1.3 「顧客」とは、AvePoint から直接、または AvePoint の認定パートナーを通じて、対象ソリューションを購入する事業体を意味する。

1.4 「顧客契約」とは、顧客による対象ソリューションの使用について規定する契約を意味する。

1.5 「顧客データ」とは、a) 対象ソリューションで使用するために、顧客から又は顧客のためにAvePoint へと提供されるデータ、b) 対象ソリューションの構成及び運用に必要な、顧客固有の構成データ、または c) 対象ソリューションの機能によって生成され AvePoint が提供するストレージ上でホストされる顧客のデータ、とする。MSP の顧客データとは、MSPが自らのマネージドサービスを提供するうえで対象ソリューションを利用しAvePoint の提供するストレージ上で管理する、MSPのクライアントのデータ全てを意

味する。MSPは、対象ソリューションを提供する特定のマネージドサービスクライアントにつき、AvePointへ通知するものとする。

1.6 「発見時刻」とは、顧客がランサムウェアインシデントを最初に発見した正確な時刻を意味する。

1.7 「対象ソリューション」とは、AvePointのランサムウェア保証付クラウドバックアップのサブスクリプションを意味する。

1.8 「発生日」とは、ランサムウェアインシデントが最初に発生した日を意味する。ただし、同一の、連続する、関連する、または反復するランサムウェアインシデントを構成する各ランサムウェアインシデント(以下「関連ランサムウェアインシデント」)については、関連ランサムウェアインシデントを構成するランサムウェアインシデントまたは既存インシデント(該当する場合)のうち、最も早く発生した日を発生日とする。

1.9 「給付」とは、復旧インシデントに直接起因する復旧インシデント費用の償還を意味する。

1.10 「既存インシデント」とは、顧客の該当する保証期間以前の顧客の環境において、何らかの状態で、ランサムウェアが実際に存在し、または合理的に疑われることを意味する。

1.11 「ランサムウェアインシデント」とは、外部ソース(すなわち、自然界)から顧客のシステムに感染するマ

ルウェアソフトプログラムであって、インストールし、固着し、ファイルの重要な部分を暗号化したうえで(「ランサムウェア」)、暗号化したファイルを復号するために支払いを要求し続ける(「ランサム」)ものを意味する。明確にするため記すと、ランサムウェアには、顧客または第三者が顧客の内部システムに導入するマルウェア(例:意図的なマルウェア試験、またはシステムのセキュリティに違反して導入されたもの)は含まれない。ランサムウェアインシデントは、AvePoint のランサムウェア検出機能を作動させるものでなければならない。

1.12 「復旧インシデント」とは、復旧の失敗(第2.1条で定義)を意味する。

1.13 「復旧インシデント費用」とは、復旧インシデントの直接的結果として顧客が負担した範囲において、本保証に基づき、顧客データを復元し、復旧し、または再製するための合理的かつ必要な手数料および費用のみ(他のすべての手数料、費用、損失、和解および損害賠償は含まれない。)を意味する。

上記の手数料および費用は、以下の要件をすべて満たす場合に限り、「復旧インシデント費用」を構成する。

(1) 当該サービスの調達または当該支出の負担についてAvePoint の書面による事前承認を得た後に顧客が負担したこと。

(2) AvePoint が書面により事前承認した第三者に支払われたこと。

(3) 該当するランサムウェアインシデントの発見時刻から1年以内に顧客が負担したこと。

(4) 支払および/または償還が、適用される国内または外国の法令または規則に違反しないこと(AvePointの独自の裁量による決定に従う)。

復旧インシデントの結果として、かつ、顧客関係会社による対象ソリューションの使用に基づいて、当該顧客関係会社が上記の手数料および費用を負担した場合、当該顧客関係会社も本契約に定める条件を遵守している限り、本定義においてのみ、顧客が負担した費用とみなされるものとする。

復旧インシデント費用には、AvePointプラットフォームまたはAvePointホスト型クラウドプラットフォーム上での第三者による復元、回復または再製の試みは含まれない。

2. ランサムウェア復旧保証

2.1 保証 AvePoint は、保証期間内を発生日とするランサムウェアインシデントが発生した場合、対象ソリューションのソフトウェアを使用してAvePointホスト型クラウドプラットフォームに保証期間中に正常にバックアップされていた顧客データを、対象ソリューションをもって実質的に復元すること(「復元」)が可能であることを顧客に保証する。

本契約に基づき提供される保証の範囲は、(i) 顧客が AvePoint に直接提供したデータ、(ii) 対象ソリューションにて利用されたデータ、かつ (iii) ランサムウェアにより侵害されたデータ、に限定されるものとする。対象ソリューションのソフトウェアの不具合のみによって顧客データが回復されないとAvePointが判断した場合、顧客の唯一かつ排他的な救済手段、および本契約の条件に従うAvePointの全責任は、復旧インシデントに直接起因する顧客の復旧インシデント費用の償還(「給付」)である。給付額は、対象ソリューションの保護する顧客データのうち復旧されない顧客データで1ギガバイト当たり1ドル、最大でも100万ドルを超えないものとし(「限度額」)、対象ソリューションのソフトウェアを使用して顧客が保護するデータの量に基づいて計算する(すなわち、顧客が対象ソリューション以外の製品を使用してバックアップしたデータは、本保証に基づくいかなる給付義務にも算入されない。)。また、保証期間内を発生日とする複数の復旧インシデントについての給付額の合計は、限度額を超えないものとする。

本契約に別段の定めがある場合を除き、本保証は、顧客およびその復旧インシデント費用にのみ適用され、第三者(仕入先、サービスプロバイダ、エンドクライアントおよび顧客の従業員または代理人を含むが、これらに限定されない。)およびその損失または損害には適用されない。

2.2 既存インシデントおよび関連ランサムウェアインシデント 本保証は、既存インシデントまたは既存インシデントを含む関連ランサムウェアインシデントには適用されない。関連ランサムウェアインシデントに起因するすべての復旧インシデント費用は、関連ランサムウェアインシデントを構成するランサムウェアインシデントのうち最初に発見されたインシデントの発生日において有効な

条件、除外および上限額が適用されるものとする。

2.3 免責事項 本契約第2.1条に定める限定保証および顧客契約に定める保証を除き、対象ソリューションは現状有姿のまま提供される。

3. 保証給付の前提条

3.1 AvePointは、ランサムウェアインシデントの発生時および保証期間中、以下の要件をすべて満たす場合に限り、顧客に給付を提供するものとする。

(a) 顧客が対象ソリューションの有効なサブスクリプションを維持していたこと。

(b) 当該ランサムウェアインシデントの発生日および発見時刻が保証期間中であり、顧客が保証期間中に第5条に従ってAvePointに報告しており、かつ、ランサムウェアインシデントがAvePointのランサムウェア検出機能を作動させたことをAvePointが確認したこと。

(c) 顧客契約を顧客が遵守していたこと(支払義務を含むが、これに限定されない。)。

(d) 顧客が、(i) 第4.1条に定める要求事項を含む、 AvePoint が推奨するすべての修復方法およびセキュリティ対策の実施、(ii) 合理的に要求されたすべての情報の提供、(iii) 第6条に定める償還請求プロセスの遵守、ならびにその他の点において、AvePoint に完全に協力したこと。

(e) AvePoint によって正常にバックアップされた顧客データの復元を顧客が求めるシステムにおいて、マルウェア、バグ、バックドアまたはその他の悪意のあるコードが存在せず、その他安全が確保されていること。

(f) 顧客データが AvePoint の提供するストレージに存在すること(すなわち、BYOSでないこと)。

(g) 本保証が適用法によって制限または禁止されていないこと。

4. 要求事項

4.1 顧客は、セキュリティの脅威が時とともに進化することについて認識および同意をし、その時点の業界のベストプラクティスに従ってセキュリティ(アクセス認証情報の保護を含む。)を維持する責任を負うものとする。本保証を受けるためには、顧客は、第3条に定め

る前提条件に加え、保証期間中、以下の最低限のセキュリティ要求事項(「要求事項」)を遵守しなければならない。

(a) データセキュリティのベストプラクティス 顧客は、データ セキュリティのベストプラクティス(以下を含むが、これらに限定されない。)に従わなければならない。

(i) データの健全性

• バックアップが正常に行われ、ウイルスに感染していないことを確認し、これを監視すること。

(ii) ユーザーアクセス

• すべてのユーザーアカウントが多要素認証であること。

• 強力なパスフレーズ保護を使用すること。

• 最小権限のアクセスでユーザーロールを割り当てること。

• 定期的に権限設定および監査ログを確認し、システムや対象ソリューションの異常な動作をチェックすること。

(iii) データの暗号化

• 第三者システムのプロトコルを確実に実行すること。

(iv) アプリケーションのアクセス

• IP ホワイトリストを作成し、顧客が所有するネットワークへの接続のみに制限すること。

(v) APIセキュリティ

• サービスアカウントを安全に保つこと。

• 最小権限でスコープされたAPIロールであること。

4.2 付加的要求事項 顧客は以下のすべてを行わなければならない。

(a) アンチウィルス保護を含む最新のエンドポイントセキュリティを維持すること。

(b) 変更管理のベストプラクティスを実施すること。

(c) 保証期間を通じて、AvePointが適宜推奨するその他のセキュリティ対策およびベストプラクティスを実施すること。

(d) ランサムウェア検出アラート機能の最新版を設定していること。

5. ランサムウェアインシデントの通

5.1 顧客が該当する保証期間中にランサムウェアインシデントを発見した場合、顧客は当該ランサムウェアインシデントの発見時刻から24時間以内に、Warranty@ avepoint.com宛てに電子メールを送信することによってAvePointに通知するものとする。

6. 修復および償還請求プロセス

顧客は、修復および償還請求を開始するにあたり、顧客が第4条に定めるすべての要件に完全に準拠していることを、AvePointが合理的に満足するように証明するものとする。

本契約の下で、AvePointがランサムウェアインシデント後に推奨するすべての修復方法が尽くされ、復旧インシデントが発生したとAvePointが判断した場合、顧客は、AvePointの修復および償還手続(https://cdn.avepoint.com/asset...で随時更新される。)に従って、復旧インシデント費用の償還請求(「償還請求」)を提出することができる。

顧客は、顧客データが復旧インシデントから復旧できなかったことを AvePoint が確認してから 30 日以内に、償還請求を AvePoint に提出するものとする。償還請求には、当該のランサムウェアインシデントおよび復旧インシデントについて顧客が知り得るすべての情報を含めるものとする。AvePointは顧客の償還請求を審査するものとし、顧客はAvePointが随時合理的に求める追加情報を提供するものとする。

6.1 給付 顧客は、AvePointの指示に従い、復旧インシデント費用の証憑をAvePointに提供するものとする。保証期間中およびその後3年間、AvePointは、書面による合理的な要求により通常の営業時間内において、当該復旧インシデント費用に関係する顧客の記録を自己の費用で検査する権利を有し、顧客はこれら記録を当該期間中維持し要求に応じ提供するものとする。

顧客は、償還請求がランサムウェアインシデントではないと後に判断された事故、または既存インシデントに関連する事故に起因する場合、当該償還請求に係るすべての給付を、速やかに(ただし、いかなる場合も書面による通知後 30 日以内に)AvePoint に返金するものとする。

AvePointは、顧客が本契約に十分に従っていない場合、または法律により当該給付が禁止されている場合、顧客に対していかなる給付も行う義務はないものとする。

顧客は、米国財務省外国資産管理局(OFAC)が管理または実施する経済制裁の対象となる個人または事業体(OFACの特別指定国民および凍結者(SDN)リストに登録され、またはその他関連法令で禁止対象とされている、個人または事業体を含む。)に顧客が給付を使用しないという証拠および保証をAvePointに提供しなければならない。

6.2 機密保持 顧客は、顧客がAvePoint に報告したランサムウェアインシデントおよび顧客の償還請求に基づくいかなる給付も機密とみなされることを認め、この機密保持の同意は本契約の約因の一部であることが了解されるものとする。

本契約の発効日以降、各当事者およびその弁護士その他の代理人のいずれも、直接的または間接的に、ランサムウェアインシデントもしくは償還請求に基づく給付の事実を第三者に開示し、または、マスメディア(新聞、雑誌、ラジオ、テレビ、インターネットを含むが、これらに限られない。)で公表してはならない。ただし、以下のいずれかに該当する場合はこの限りでない。

(a)
本契約を執行するために必要な場合。

(b)
法律により義務付けられる場合、または管轄裁判所が合法的に発付した令状に従う場合。

(c)
監査、規制上もしくはコンプライアンス上の調査、財務もしくは法務のデューデリジェンス、または保険金請求に関連して合理的に必要な場合。

(d)
当事者の弁護士その他の専門家に助言を求めるために必要な場合。

7. 一般事項

7.1 完全合意 本契約は、顧客とAvePointとの間における本保証に関する完全な合意を構成するものであり、両当事者間における本契約の主題についての一切の事前の合意または通知に取って代わるものである

疑義を避けるため記すと、本契約は顧客契約に追加さ

れるものであり、顧客契約における秘密保持条項は、本保証(復旧インシデントに関係する通知または情報を含むが、これらに限定されない。)に適用される。本契約の条件と顧客契約との間に矛盾または抵触がある場合、本契約が優先されるものとする。

AvePoint は、いつでも予告なく、本契約の条件を改訂し、またはランサムウェア復旧保証プログラムを終了することができる。ただし、かかる改訂または終了は、顧客が対象ソリューションを購入したときに締結された本契約には、遡って影響しないものとする。

復旧に成功した場合、顧客は当該復旧に関する AvePointのマーケティングケーススタディに参加することに同意するものとする。

上記のAvePointの権利に加え、かつこれを制限することなく、AvePoint は、以下のいずれかに該当する場合、いつでも独自の裁量で、全面的に、または特定の法域において、本契約を修正または解除する権利を留保する。

(i) いずれかの法域において、政府当局または規制当局が、本保証を保険の申し出に該当するもの、または保険、保険契約もしくは保険サービス契約を構成するものと解釈した場合。

(ii) いずれかの法域において、本保証の提供を継続するために、AvePointが何らかの許認可を取得しなければならない場合。

(iii) 本契約の条項が適用法に違反するとAvePointが判断し、または裁判所もしくは仲裁人が決定した場合。

上記に基づきAvePointが本契約を修正または解除する場合、AvePointは、法律、規制、条例、命令または政府その他の当局の決定によって当該処理が禁止されない限り、その変更または解除の発効日以前に顧客が提出したすべての償還請求を処理するものとする。

7.2 責任の制限 いかなる場合においても、AvePointまたはその仕入先は、逸失利益、逸失事業機会もしくは事業の中断、または、特別、偶発的、結果的もしくは懲罰的損害については、たとえ当該当事者がそのような損害もしくは損失の可能性について

通知され、またはそのような損害もしくは損失が合理的に予見可能であったとしても、(契約、法令、不法行為その他いかなる責任理論によっても)責任を負わないものとする。また、いかなる場合も、本契約に基づく、または本契約に起因するAvePointの責任は、当該保証期間に係る、上記第2.1条に定める顧客の上限額を超えることはないものとする。

申立てまたは復旧インシデントが複数あったとしても、上記の制限は拡張されるものではない。本契約に基づき支払われるいかなる給付、損害または損失も、顧客契約に規定された責任の上限に付加されるものとする。本第7.2条に定める責任の制限が適用法に基づいて無効であると判断された場合、本契約は無効とみなされるものとする。

7.3 準拠法 本契約は、抵触法規則を適用せず、米国バージニア州の法律に準拠して解釈されるものとする。本契約に起因または関連するすべての紛争および訴訟について、両当事者は、バージニア州に所在する州裁判所および連邦裁判所を専属的管轄裁判所とすることについて、撤回不能の同意をする。国際物品売買契約に関する国際連合条約(1980年)は、本契約への適用から完全に除外される。本第7.3条(準拠法)のいかなる内容も、いずれかの当事者が管轄権を有する裁判所に対して差止命令その他の衡平法上の救済を求めることを制限または抑制するものではない。

7.4 期間および終了

保証期間は、本第7.1条または顧客契約に基づいて早期に終了されない限り、対象ソリューションの当初のサブスクリプション期間に附従する(「保証期間」)。顧客契約が終了した場合には、本契約は終了するものとする。本契約が終了した場合には、顧客契約は終了しないものとする。

顧客は、AvePointの書面による事前の同意なくして、本契約を譲渡することはできない。ただし、組織変更に関連して、あるいは、全部または実質的に全部の事業および/または資産の合併、買収または売却に関連して、関係会社に譲渡する場合は、この限りでない(当該譲渡または支配権の変更事象が発表されてから30日以内に、顧客がAvePointに対して当該譲渡の通知をすることを条件とする。)。本条に違反する譲渡は無

効とし、本保証を失効させるものとする。以上を条件として、本契約に基づく当事者のすべての権利および義務は、承継人および許可された譲受人を拘束し、これらの者の利益のために効力を生じ、かつ、これらの者によって、またはこれらの者に対して、執行可能であるものとする。

7.5 本契約において含まれ、もしくは予定されているいずれの合意もしくは条項についても、またはこれらに関連しても、本契約は、何れの第三者に対しても何らの利益または権利(第三者の受益権を含むが、これに限られない。)を与えることを意図したものではなく、そのよ

うに解釈されてはならない。疑義を避けるために記すと、AvePoint に対して本契約を執行し、または本契約に関連する請求をする権利は、顧客のみが有するものとする。

7.6 本保証は、保険の申し出を構成することを意図したものではなく、保険または保険契約を構成するものではなく、かつ、顧客が加入した、または加入可能な保険に取って代わるものではない。

7.7 契約の言語 本契約の公式言語は英語とする。本契約が便宜上又はその他目的で別の言語に翻訳された場合、英語による規定が優先し解釈される。