初回は以下のように、Zoom ベンダーリスク管理ポータルから送信されたユーザー名とパスワードを使用してサインインします。

初回サインイン時にパスワードを変更する必要があります初回サインイン後にユーザー名を変更するオプションをご利用いただけます注: ユーザー名は初回時に自動生成されるため、メールアドレスがデフォルトに設定されることはありません。末尾へのスペース挿入によるサインインエラーを回避するため、ユーザー名とパスワードはコピー＆ペーストせず手動入力してしてください。注: 2 要素認証（MFA）が求められます。

TPRM が当社に必須アクションのお知らせを送信してくる方法には何がありますか？

メールベンダーポータルの通知

TPRM エンゲージメントには、どのようなステップがありますか？

準備キックオフ評価作業ミーティングと分析エンゲージメント終了継続的なモニタリング

何が機密データに該当しますか？

カスタマーコンテンツデータカスタマーデータ従業員データ採用候補者データイベントログ設定データミーティングのメタデータ

リスク評価の対象となりうるものは何ですか？

固有リスク調査（IRQ）デューデリジェンスリスク評価は、サードパーティリスク管理、プライバシー、コンプライアンス、IT、セキュリティアーキテクチャ、オフェンシブセキュリティ、オープンソースセキュリティなどの SME チームが実施します。

リスク評価が求められる頻度はどの程度ですか？

新規ベンダーエンゲージメントの場合は、IRQ が必須です。リスク評価要件は、固有リスク階層によって異なります。以下は、継続的なモニタリングに適用される一般的なタイムラインです。重大: 毎年高: 毎年～隔年中: 隔年～3 年に 1 回低: 不定期

潜在的なリスクや問題が特定されるとどうなりますか？

セキュリティ上の問題が特定された場合、Zoom ビジネスオーナーはベンダーが問題へのリスク対応計画を策定し、必要に応じてその計画を法的契約に組み込めるようにする責任を負います。リスク対応計画には、問題の解決 / 承認に関する事項が含まれることもあります。

プライバシーまたはセキュリティ上のインシデントが発生した場合、当社は何をすべきですか？

インシデントは、Zoom ベンダーマネージャーに直接連絡するか、TPRM（ tprm@zoom.us ）にメールでご報告ください。以下の内容を記載してください。インシデント発生日ベンダー名プロダクト / アプリケーション名（該当する場合）お知らせした Zoom 連絡先関連する PO（該当する場合）インシデントの概要

サードパーティベンダーの関連情報

Q: ユーザー名 / パスワードを忘れてしまい、リセットする必要がある場合はどうすればよいですか？

本ポータルで [パスワードを忘れた場合] 機能を使用すると、セルフサービスでリセットできます。 TPRM@zoom.us または TPRM_Assessments@zoom.us にご連絡いただければ、Zoom より新しい一時パスワード付きリンクを再送信します。

Q: ベンダーリスク管理ポータルへのアクセス権を別の社内従業員に付与する方法はありますか？

貴社の主なベンダー連絡先は、必要に応じてベンダー ポータルから別の連絡先を追加できます。

Q: TPRM が当社に必須アクションのお知らせを送信してくる方法には何がありますか？

メール ベンダー ポータルの通知

Q: 本プログラムにかかる期間はどのくらいですか？

TPRM チームが、新規エンゲージメント開始時にキックオフ ミーティングのスケジュールを作成させていただきます。同期間中、皆様には評価アクティビティとタイムラインについてお伝えし、90 暦日以内に完了するよう設定いたします。

Q: 何が機密データに該当しますか？

カスタマー コンテンツ データ カスタマー データ 従業員データ 採用候補者データ イベントログ 設定データ ミーティングのメタデータ

Q: リスク評価の対象となりうるものは何ですか？

固有リスク調査（IRQ） デュー デリジェンス リスク評価は、サードパーティ リスク管理、プライバシー、コンプライアンス、IT、セキュリティ アーキテクチャ、オフェンシブ セキュリティ、オープンソース セキュリティなどの SME チームが実施します。

ベンダーオンボーディング

Zoom はサードパーティベンダーと提携して、顧客とビジネスのニーズを満たします。これらのサードパーティ企業は、サプライヤー、ベンダー、またはサードパーティベンダーを指すこともあります。サードパーティリスク管理（TPRM）プログラムでは、これらのサードパーティベンダーの多くに対して助言や評価を行っています。TPRM は、法務、プロキュアメント、テクノロジーコンプライアンス、プライバシー、IT、およびビジネスの各部門と提携して、Zoom ベンダーグループの包括的なガバナンスと管理を行っています。

TPRM プログラムは、Zoom にテクノロジーやサービスを提供し、Zoom の機密データにアクセスするベンダーが、主なセキュリティ原則に従い、コンプライアンスと規制要件を満たすために策定されました。この TPRM プログラムの一環として、リスク評価が実施されます。

TPRM は、リスクベースのレビューサイクルを通じて、これらの要件のコンプライアンスを促進します。新規ベンダーの場合、このプロセスが完了するまで業務を開始できません。

よくあるご質問

Vendor Risk Management Portal

初回サインイン時にパスワードを変更する必要があります
初回サインイン後にユーザー名を変更するオプションをご利用いただけます
注: ユーザー名は初回時に自動生成されるため、メールアドレスがデフォルトに設定されることはありません。末尾へのスペース挿入によるサインインエラーを回避するため、ユーザー名とパスワードはコピー＆ペーストせず手動入力してしてください。
注: 2 要素認証（MFA）が求められます。

本ポータルで [パスワードを忘れた場合] 機能を使用すると、セルフサービスでリセットできます。TPRM@zoom.us または TPRM_Assessments@zoom.us にご連絡いただければ、Zoom より新しい一時パスワード付きリンクを再送信します。

貴社の主なベンダー連絡先は、必要に応じてベンダーポータルから別の連絡先を追加できます。

メール
ベンダーポータルの通知

Program Scope

全ベンダーが固有リスク調査（IRQ）の対象となります。IRQ の結果に基づき、一部のベンダーは追加のリスク評価が必要になる場合があります。低リスクと特定された一部のサービスは、詳細評価が不要となる場合もあります。

TPRM チームが、新規エンゲージメント開始時にキックオフミーティングのスケジュールを作成させていただきます。同期間中、皆様には評価アクティビティとタイムラインについてお伝えし、90 暦日以内に完了するよう設定いたします。

準備
キックオフ
評価作業
ミーティングと分析
エンゲージメント終了
継続的なモニタリング

カスタマーコンテンツデータ
カスタマーデータ
従業員データ
採用候補者データ
イベントログ
設定データ
ミーティングのメタデータ

Risk Assessments

リスク評価とは、規制コンプライアンスまたは情報セキュリティに関する助言や評価サービスを指します。本評価の目的は、新しいソリューションが招くテクノロジーリスクを管理するためのガイダンスをプロジェクトチームとリーダーシップに提供することです。

固有リスク調査（IRQ）
デューデリジェンスリスク評価は、サードパーティリスク管理、プライバシー、コンプライアンス、IT、セキュリティアーキテクチャ、オフェンシブセキュリティ、オープンソースセキュリティなどの SME チームが実施します。

IRQ は、ベンダーサービスについての質問で構成されています。Zoom と固有リスク階層が抱える潜在リスクの判断に使用します。

固有リスク階層とは、リスク制御が適用 / 考慮される前にエンゲージメントが Zoom にもたらす潜在リスクを指します。リスク階層は「低」、「中」、「高」で測定されます。固有リスク階層は、必要なリスク評価作業を決める際、重要な判断要因となります。

新規ベンダーエンゲージメントの場合は、IRQ が必須です。
リスク評価要件は、固有リスク階層によって異なります。
以下は、継続的なモニタリングに適用される一般的なタイムラインです。
- 重大: 毎年
- 高: 毎年～隔年
- 中: 隔年～3 年に 1 回
- 低: 不定期

セキュリティ上の問題が特定された場合、Zoom ビジネスオーナーはベンダーが問題へのリスク対応計画を策定し、必要に応じてその計画を法的契約に組み込めるようにする責任を負います。
リスク対応計画には、問題の解決 / 承認に関する事項が含まれることもあります。

Incident Management

インシデントは、Zoom ベンダーマネージャーに直接連絡するか、TPRM（tprm@zoom.us）にメールでご報告ください。
以下の内容を記載してください。
- インシデント発生日
- ベンダー名
- プロダクト / アプリケーション名（該当する場合）
- お知らせした Zoom 連絡先
- 関連する PO（該当する場合）
- インシデントの概要