初回は以下のように、Zoom ベンダーリスク管理ポータルから送信されたユーザー名とパスワードを使用してログインします。

初回ログイン時にパスワードを変更する必要があります。ユーザー名を変更するオプションは初回ログイン後に利用できます。注: ユーザー名は初回に自動生成され、お使いのメールアドレスがデフォルトとはなりません。ユーザー名とパスワードについては、サインインエラーの原因となる末尾のスペースをコピーしないよう、コピー / ペーストではなく入力を行ってください。注: 多要素認証（MFA）を求められます。

TPRM が当社に必須アクションのお知らせを送信してくる方法には何がありますか？

メールベンダーポータル上の通知

TPRM エンゲージメントには、どのようなステップがありますか？

準備キックオフアセスメントワークミーティングと分析エンゲージメントの終了継続的モニタリング

何が機密データに該当しますか？

顧客コンテンツデータお客様データ従業員データ従業員候補のデータイベントログ設定データミーティングのメタデータ

リスク評価の対象となりうるものは何ですか？

固有リスクアンケート（IRQ）対象分野の専門チーム（SMEチーム）が実施するデューデリジェンスリスク評価には、サードパーティリスク管理、プライバシー、コンプライアンス、IT、セキュリティアーキテクチャ、攻撃的セキュリティ、オープンソースセキュリティなどが含まれる場合があります。

リスク評価が求められる頻度はどの程度ですか？

新規ベンダー契約にはIRQの提出が必要です。リスク評価の要件は、固有リスクの階層に基づきます。継続的モニタリングに関しては、以下の一般的なスケジュールに従うものとします。重大: 年1回高: 年1回～2年に1回中: 2年～3年に1回低: 随時

潜在的なリスクや問題が特定されるとどうなりますか？

セキュリティ上の問題が特定された場合、Zoomの事業責任者はベンダーが問題に対するリスク対応計画を提供することを確認する責任があり、必要に応じてその計画を法的契約に組み込むことができます。リスク対応計画には、問題の修復または受容が含まれる場合があります。

プライバシーまたはセキュリティ上のインシデントが発生した場合、当社は何をすべきですか？

インシデントは、Zoomベンダーマネージャーへの直接連絡か、TPRM（ tprm@zoom.us ）へのメール送信により報告をお願いいたします。以下の内容を記載してください。インシデントが発生した日付ベンダー名製品 / アプリケーション名（該当する場合）通知されたZoom担当者関連する PO （該当する場合 / 利用可能な場合）インシデントの概要

サードパーティベンダーの関連情報

Q: ユーザー名 / パスワードを忘れてしまい、リセットする必要がある場合はどうすればよいですか？

本ポータルで [パスワードを忘れた場合] 機能を使用することで、ご自身によるリセットが可能です。 TPRM@zoom.us または TPRM_Assessments@zoom.us にご連絡いただければ、Zoomより新しい一時パスワード付きリンクを再送信します。

Q: TPRM が当社に必須アクションのお知らせを送信してくる方法には何がありますか？

メール ベンダーポータル上の通知

ベンダーオンボーディング

Zoom はサードパーティベンダーと提携して、顧客とビジネスのニーズを満たします。これらのサードパーティ企業は、サプライヤー、ベンダー、またはサードパーティベンダーを指すこともあります。サードパーティリスク管理（TPRM）プログラムでは、これらのサードパーティベンダーの多くに対して助言や評価を行っています。TPRM は、法務、プロキュアメント、テクノロジーコンプライアンス、プライバシー、IT、およびビジネスの各部門と提携して、Zoom ベンダーグループの包括的なガバナンスと管理を行っています。

TPRM プログラムは、Zoom にテクノロジーやサービスを提供し、Zoom の機密データにアクセスするベンダーが、主なセキュリティ原則に従い、コンプライアンスと規制要件を満たすために策定されました。この TPRM プログラムの一環として、リスク評価が実施されます。

TPRM は、リスクベースのレビューサイクルを通じて、これらの要件のコンプライアンスを促進します。新規ベンダーの場合、このプロセスが完了するまで業務を開始できません。

よくあるご質問

Vendor Risk Management Portal

初回ログイン時にパスワードを変更する必要があります。
ユーザー名を変更するオプションは初回ログイン後に利用できます。
注: ユーザー名は初回に自動生成され、お使いのメールアドレスがデフォルトとはなりません。ユーザー名とパスワードについては、サインインエラーの原因となる末尾のスペースをコピーしないよう、コピー / ペーストではなく入力を行ってください。
注: 多要素認証（MFA）を求められます。

本ポータルで [パスワードを忘れた場合] 機能を使用することで、ご自身によるリセットが可能です。TPRM@zoom.usまたはTPRM_Assessments@zoom.usにご連絡いただければ、Zoomより新しい一時パスワード付きリンクを再送信します。

貴社の主要ベンダー担当者は、必要に応じてベンダーポータルで追加の連絡先を登録できます。

メール
ベンダーポータル上の通知

Program Scope

全ベンダーが固有リスクアンケート（IRQ）の対象となります。IRQの結果に応じ、一部ベンダーには追加のリスクアセスメントが必要になる場合があります。低リスクとして認識された一部サービスには、詳細なアセスメントを求められないケースもあります。

TPRMチームにより、新しいエンゲージメントの開始時に皆様とのキックオフミーティングがスケジュールされます。同期間中、皆様には評価アクティビティとタイムラインについてお伝えし、90暦日以内に完了するよう設定いたします。

準備
キックオフ
アセスメントワーク
ミーティングと分析
エンゲージメントの終了
継続的モニタリング

顧客コンテンツデータ
お客様データ
従業員データ
従業員候補のデータ
イベントログ
設定データ
ミーティングのメタデータ

Risk Assessments

リスクアセスメントは、規制上のコンプライアンスや情報セキュリティに関連した助言およびアセスメントサービスを指します。その目的は、プロジェクトチームやリーダーシップにガイドを提供し、新しいソリューションによるテクノロジーリスクを管理することにあります。

固有リスクアンケート（IRQ）
対象分野の専門チーム（SMEチーム）が実施するデューデリジェンスリスク評価には、サードパーティリスク管理、プライバシー、コンプライアンス、IT、セキュリティアーキテクチャ、攻撃的セキュリティ、オープンソースセキュリティなどが含まれる場合があります。

IRQは、Zoomおよび固有リスク階層に課せられる潜在リスクの判断に使用される、ベンダーサービスについての質問で構成されています。

固有リスク階層は、あらゆる管理を適用または検討する前に、1件のベンダーエンゲージメントがZoomに示す潜在リスクを意味します。このリスク階層は「低」、「中」、「高」の範囲で測定されます。固有リスク階層は、求められるリスクアセスメントワークを判断する推進要素となります。

新規ベンダー契約にはIRQの提出が必要です。
リスク評価の要件は、固有リスクの階層に基づきます。
継続的モニタリングに関しては、以下の一般的なスケジュールに従うものとします。
- 重大: 年1回
- 高: 年1回～2年に1回
- 中: 2年～3年に1回
- 低: 随時

セキュリティ上の問題が特定された場合、Zoomの事業責任者はベンダーが問題に対するリスク対応計画を提供することを確認する責任があり、必要に応じてその計画を法的契約に組み込むことができます。
リスク対応計画には、問題の修復または受容が含まれる場合があります。

Incident Management

インシデントは、Zoomベンダーマネージャーへの直接連絡か、TPRM（tprm@zoom.us）へのメール送信により報告をお願いいたします。
以下の内容を記載してください。
- インシデントが発生した日付
- ベンダー名
- 製品 / アプリケーション名（該当する場合）
- 通知されたZoom担当者
- 関連する PO（該当する場合 / 利用可能な場合）
- インシデントの概要