マイクロソフト バグ報奨金プログラム条項 (以下「条項」といいます) は、マイクロソフト バグ報奨金プログラム (以下「プログラム」といいます) への参加条件を規定したものです。 これらは、お客様とマイクロソフト (以下「マイクロソフト」または「当社といいます) との間で締結される条項です。 マイクロソフトに脆弱性を報告したりなんらかの方法でプログラムに参加したりすることによって、お客様はこれらの「条項」を受け入れます。

本プログラムの概要

このプログラムでは、対象となるマイクロソフト製品およびサービス (以下、「製品」といいます) に関する脆弱性および攻撃手法 (以下、「脆弱性」といいます) をマイクロソフトに報告し、マイクロソフトが独自の裁量で決定した金額の報酬 (以下「報奨金」といいます) を獲得する機会をユーザーに提供します。 「報奨金」が設けられた「製品」には、それぞれ別個の条項が適用されます (以下「製品プログラム条項」といいます)。「製品プログラム条項」は、参照によって前述の「条項」に組み込まれます。 特定の「製品」についてこれらの「条項」と「製品プログラム条項」との間に矛盾がある場合は、その「製品」に限り、「製品プログラム条項」が適用されます。 「報奨金」に関してマイクロソフトが行う決定は最終的で、かつ両当事者に対して拘束力を持つものとします。 マイクロソフトは、なんらかの事情があった場合は本「プログラム」を随時変更または取り消すことがあります。

条項の変更

マイクロソフトは、本「条項」をいつでも変更できます。 変更が有効になった後で「プログラム」へ参加すると、お客様は新しい「条項」に同意したものとします。 新しい「条項」に同意されない場合、お客様は本プログラムに参加することはできません。
お客様が「プログラム」から脱退し、「報奨金」の獲得対象から辞退することを希望される場合は、secure@microsoft.com までご連絡ください。 「プログラム」から脱退しても、お客様から提供された「提出マテリアル」に対して当社に付与され使用許諾権に影響はありません。

プログラム参加資格

お客様が「プログラム」に参加するには、次のすべての基準を満たす必要があります。
  • 14 歳以上であること。 14 歳以上であるが、居住地において未成年として見なされる場合、「プログラム」に参加する前に保護者または法定後見人の許可を得る必要があります。
  • 個人の資格でプログラムに参加する個人リサーチャーか、または、ある組織に所属して「プログラム」への参加がこの組織により許可されていること。 お客様は「プログラム」への参加が雇用主の服務規程において許可されているかどうか確認する責任を負います。
公的機関に勤務する職員 (公務員) に対する注意 : お客様が公的機関に勤務する職員 (政府機関および教育機関) である場合、すべての「報奨金」はお客様が勤務する公的機関に直接授与されます。その際、ギフト カードを受領し、組織内の倫理担当役員、弁護士、または組織の倫理方針を担当する指定幹部/役員がこれに署名する必要があります。 マイクロソフトでは、参加者の適用贈答品/倫理規定の文言と精神に則って、本「プログラム」の下、「報奨金」を提供することに努めています。
 
お客様は、次のいずれかの基準に当てはまる場合、「プログラム」に参加することはできません
  • 米国から制裁を受けている国の居住者 (アメリカ合衆国財務省が公開している最新の制裁リストのリンクを参照)、またはこのようなプログラムへの参加を認めていない国の居住者。
  • 14 歳未満の方。
  • 所属する組織でこのようなプログラムへの参加が認められていない。
  • お客様が公的機関の職員 (政府機関および教育機関) であり、担当の法令遵守担当者から「プログラム」への参加許可を受けていない。
  • 現在、お客様、またはお客様の近親者 (親、兄弟姉妹、配偶者、子供)、あるいは世帯員がマイクロソフトまたはその子会社の従業員である。
  • 「提出マテリアル」を提供する 6 か月前までマイクロソフトまたはその子会社の従業員であった。
  • 現在 (または、「提出マテリアル」の提出前 6 か月以内に)、マイクロソフトの社内ネットワークへのアクセスが必要な外部委託スタッフの資格でマイクロソフトに代わってサービスを提供している (提供していた) (例 : 代理店の派遣社員、ベンダー従業員、取引客、契約業者)。
  • 本「プログラム」の開発業務、管理業務、または遂行に部分的に従事している、または従事していた。
お客様は、「プログラム」への参加資格に影響を及ぼす可能性のある雇用主の方針を順守する責任を負います。 雇用主の方針に違反してプログラムに参加しようとした場合、プログラムへの参加資格または「報奨金」を受領する資格がはく奪される可能性があります。 報奨金はすべて、現地の法律、法令、倫理規定に基づいて支払われます。 マイクロソフトは、この件に関連して従業員とその雇用主との間で発生した紛争に一切の責任を負いません。
現地法によっては、参加資格に制限が追加される可能性があります。

提出プロセス & 協調的な脆弱性の公開

お客様が「製品プログラム条項」に規定する適用要件に該当する「脆弱性」を特定したと考えられる場合、「製品プログラム条項」に記述されているプロセスに従ってマイクロソフトに提出してください。特に規定がなければ、次のプロセスに従って提出してください。
 
マイクロソフトに提出された脆弱性はそれぞれ「提出マテリアル」となります。 提出マテリアルは secure@microsoft.com または MSRC Researcher Portal に送信していただく必要があります。 初回メールでは、「提出マテリアル」を提出する「報奨金プログラム」の名称、「脆弱性」の詳細情報、およびリサーチの検証に使用した具体的な製品のバージョン番号を記載してください。 次の情報についてもできるだけ詳しく記載してください。
  • 問題の種類 (バッファー オーバーフロー、SQL インジェクション、クロスサイト スクリプティングなど)
  • バグを含んでいる製品とバージョン、または URL (オンライン サービスの場合)
  • インストールした製品のサービス パック、セキュリティ更新、その他の更新
  • 問題の再現に必要となった特別な構成
  • 新規インストールで問題を再現するための段階的な手順
  • 概念実証コードまたはエクスプロイト コード
  • 問題の影響 (攻撃者がどのように脆弱性を悪用するのか、など)
サンプル レポートには、ここからアクセスできます。 マイクロソフトに「脆弱性」を報告する際は、必ず、協調的脆弱性開示 (CVD) に従う必要があります。 CVD に従わない「提出マテリアル」は「報奨金」の対象から外れます。CVD に従わない場合、今後、「プログラム」への参加資格がはく奪される可能性があります。
 
「提出マテリアル」の詳細度に応じ、マイクロソフトが授与する「報奨金」の金額は異なります。 レポート内容が優れている、または、攻撃可能なエクスプロイトが報告された場合、「報奨金」を獲得できる可能性が高くなります。 上記の最小限の水準に達しない「提出マテリアル」は不十分と見なされ、「報奨金」の対象から外れます。
 
マイクロソフトは、なんらかの理由で当社に「提出マテリアル」が届かなかった場合、いかなる責任も負いません。 「提出マテリアル」の提出後に当社から確認メールが送られてこない場合は、secure@microsoft.com までお問い合わせください。
 
お客様が提出することができ、報奨金を受け取ることのできる適格な「提出マテリアル」の数には特に制限を設けていません。
 
お客様がある製品またはサービスの「脆弱性」を提出したものの、その時点で「プログラム」の対象外だった場合、その製品またはサービスが後日「プログラム」に追加されたとしても、お客様は「報奨金」を受け取ることはできません。

提出マテリアルの使用許諾権

マイクロソフトは、お客様の「提出マテリアル」に対する所有権を主張することはありません。 ただし、お客様は、マイクロソフトに「提出マテリアル」を提供することによって、以下を承諾するものとします。
  • 「提出マテリアル」の知的財産権に対する非独占的で取り消し不能、永続的、ロイヤルティなし、地域非限定のサブライセンス可能な、以下の使用許諾権をマイクロソフトに付与する : (i) 「提出マテリアル」の使用、レビュー、評価、テスト、および解析、(ii) 「提出マテリアル」とそのすべてのコンテンツの全体または一部の複製、改変、頒布、表示、公開、商品化、およびその二次的著作物の作成、(iii) 本「プログラム」または他のプログラムのマーケティング、販売、またはプロモーションに関連し、すべてのメディア (既存メディア、または後日に開発される可能性のあるメディア) への「提出マテリアル」とそのすべてのコンテンツの紹介 (社内外での販売会議、会議プレゼンテーション、見本市、およびプレスリリースでの「提出マテリアル」のスクリーンショットなど)。
  • 当社または当社代理人がお客様から付与された権利を確認するために必要となる文書に署名することに同意する。
  • マイクロソフトが「提出マテリアル」と類似した、または同一のマテリアルを考案または委託する可能性があること、および「提出マテリアル」の類似物から生成されたという主張をお客様が放棄することを理解し承認する。
  • 「提出マテリアル」の使用に対するなんらかの補償または信用がお客様に保証されないことを理解する。
  • お客様が実際に「提出マテリアル」を提出したこと、お客様が他者または他の団体に所有権のある情報を使用していないこと、およびお客様が「提出マテリアル」をマイクロソフトへ提供する法的権利を持つことを表明し保証する。

提出マテリアルの守秘義務/開示制限

お客様の保護は当社の最優先事項です。 マイクロソフトは、それぞれの「脆弱性」に関するレポートを即座に対応することに努力しています。 それと同時に、「報奨金」を目的とした「提出マテリアル」の機密を守り、査読または会議発表として第三者に開示しないことをお客様に要求します。 お客様は、「脆弱性」が修正された後に自身のリサーチ デモおよび非可逆的実証の概要を閲覧に供することができます。 マイクロソフトは、顧客を容易に攻撃する可能性のある詳しい概念実証エクスプロイト コードと詳細情報を、「脆弱性」が修正された後 30 日間公表しないことを要求します。 マイクロソフトは、「提出マテリアル」に記述されている「脆弱性」が解決された時点でこの旨をお客様に通知します。 フィックスのリリース前に報奨金が支払われる可能性がありますが、これはフィックス完了の通知ではありません。 本条の違反があった場合、「脆弱性」に対してお客様に支払われた「報奨金」の返却を求められ、今後、「プログラム」への参加資格がはく奪される可能性があります。

提出マテリアルの審査プロセス

「提出マテリアル」が前述の第 5 条に従ってマイクロソフトに提出された後、マイクロソフトのエンジニアが「提出マテリアル」を審査し、その適格性を検証します。 審査時間は、「提出マテリアル」の複雑度と完全性、および当社が受領した「提出マテリアル」の数により異なります。
 
マイクロソフトは、独自の裁量で「製品プログラム条項」に規定する規則に基づきながら「提出マテリアル」の適格性を判断します。 同じ問題についてさまざまな関係者から複数のバグ レポートが当社に送られてきた場合、適格な最初の「提出マテリアル」に「報奨金」が与えられます。 マイクロソフトが知らなかった新しい情報が重複レポートに含まれている場合、そのレポートを提出した個人に差分報奨が授与される場合があります。
 
攻撃可能なエクスプロイトを含めずに「脆弱性」を報告した場合、部分的な「報奨金」を受け取ることができる可能性が高くなります。 「脆弱性」の提出から 90 日以内に攻撃可能なエクスプロイトを提出した場合、当社は、独自の裁量で追加の「報奨金」を支払う可能性があります (ただし、これは義務ではありません)。

報奨金の支払い

「報奨金」に関してマイクロソフトが行う決定は最終的で、かつ両当事者に対して拘束力を持つものとします。
 
「提出マテリアル」が、適用される「製品プログラム条項」の下で「報奨金」を受け取る資格があると当社が判断した場合、「報奨金」の金額をお客様に通知し、支払い手続きのための必要な事務手続きを行っていただくことになります。 「報奨金」を受け取りたくない場合は辞退することができます。
 
適格性のある提出者に関して争議が発生した場合、マイクロソフトは、適格な提出者を「プログラム」への参加に使用された電子メール アドレスの正式なアカウント保有者であると見なします。
 

「報奨金」をお受け取りになる前に、米国内国歳入庁納税申告書 (W-9 フォーム、W-8BEN、8233 など) を確認の通知から 30 暦日以内に記入してご提出していただく必要があります。 指示どおり必要書類にご記入いただけなかったり、通知メッセージに記載された期間内に必要書類をご返信いただけない場合、報奨金のお支払いができない場合があります。 すべて記入し署名していただいた必要書類をご提出していただくまで、お支払いを処理することはできません。

 
お客様からの「提出マテリアル」に「報奨金」を受け取る資格がある場合は、次の点にご注意ください。
  • 「報奨金」の受領人として他の人間を指定できるのは、居住地で未成年と見なされるお客様だけです。
  • この「プログラム」についてお客様に参加資格があり、居住地で未成年と見なされるお客様については、お客様に代わって保護者/法定後見人に「報奨金」を授与し、お客様に代わってすべての必須書類に署名していただく必要があります。 「報奨金」は保護者/法定後見人の課税所得への加算対象となります。
  • 「報奨金」を受け取ることができない場合、または受け取りたくない場合は、マイクロソフトがこれを取り消す権利を有します。
  • お客様は、「報奨金」を受け取る場合、報奨金の受領に伴うすべての納税義務を専ら負うものとします。
注意 : 公的機関に勤務する職員 (政府機関および教育機関) であるお客様については、すべての「報奨金」はお客様が勤務する公的機関に直接授与されます。その際、ギフト カードを受領し、組織内の倫理担当役員、弁護士、または組織の倫理方針を担当する指定幹部/役員がこれに署名する必要があります。 マイクロソフトでは、参加者の適用贈答品/倫理規定の文言と精神に則って、本「プログラム」の下、「報奨金」を提供することに努めています。

発表

マイクロソフトは、「報奨金」が授与された個人を発表する場合があります。 マイクロソフトは、その裁量により、氏名を公表しないようにお客様から明示的な要請がない限り、Web プロパティまたは他の印刷物でお客様の氏名を発表します。

プライバシー

「プログラム」に関するお客様の情報の収集および使用に関しては、マイクロソフトのプライバシーに関する声明の開示に関する項をご覧ください。

倫理規定

「プログラム」へ参加することによって、お客様は以下の規定に従うものとします。
  • 何であれ違法な行為をしてはなりません。
  • 子供を搾取する、害する、または害する恐れがある活動には関与しないでください。
  • スパムを送信してはなりません。 スパムとは、不要なまたは未承諾の一括電子メール、投稿、コンタクトの申請、SMS (テキスト メッセージ) またはインスタント メッセージです。
  • 不適切なコンテンツまたはマテリアル (ヌード、獣姦、ポルノ、激しい暴力描写、犯罪行為に関するものなど) を共有しないでください。
  • 虚偽の、または誤解されやすい活動に関与しないでください。
  • お客様、「プログラム」、または他者に有害な行為 (ウイルスの送信、ストーキング、テロリストに関するコンテンツの投稿、差別発言の発信、他者に対する暴力の擁護など) に関与しないでください。
  • 他者の権利を侵害 (著作権で保護されたマテリアルの不正共有など) したり、他者のプライバシーを侵害する活動に従事したりしないでください。
  • 他のユーザーによるこれらの規則違反に力を貸してはなりません。
これらの「条項」に違反した場合、今後、「プログラム」への参加が禁止され、お客様が提供した「提出マテリアル」は「報奨金」を受ける適格性がないと判断される可能性があります。

無保証

マイクロソフト、マイクロソフトの関連会社、リセラー、販売業者、およびベンダーは、「プログラム」に関連して、保証、または条件を明示的にも黙示的にも一切負いません。 お客様は、自己責任で「プログラム」に参加することを認めます。 お客様の現地法で許可される範囲で、マイクロソフトは、「プログラム」に関連する保証を明示および黙示を問わず排除します。 お客様は、お客様の現地の法の下では一定の権利を有する場合があります。 そのような権利が適用される場合、本規約のいかなる規定もそれらの権利に影響を及ぼすものではありません。

責任制限 & 拘束力のある仲裁

お客様が「プログラム」に関連して (当該「条項」の違反を含め) 損害賠償を請求する根拠がある場合、お客様の唯一の救済方法として、マイクロソフトまたは関連会社、リセラー、販売業者、サードパーティ プロバイダー、ベンダーから 100 ドルを上限とする直接損害賠償を受けることにお客様は同意するものとします。 お客様は、直接的損害、派生的損害、逸失利益、特別損害、間接損害、付随的損害、または懲罰的損害を含む、その他のいかなる損害または損失の補償を受けることはできません。 上記の制限および除外は、お客様の損失が完全には賠償されないか、その本質的な目的が達成されない場合、またはマイクロソフトが損害の可能性を認識していたもしくは認識しえた場合であっても適用されます。 法律により許容される最大限の範囲内で、上記の制限および除外事項は、当該「条項」と「プログラム」に関連するいかなる請求にも適用されます。
 
お客様の居住地 (または会社の場合は主たる業務地) が米国内である場合の拘束力のある仲裁と集団訴訟の権利放棄
マイクロソフトは紛争が発生しないことを願っていますが、紛争が発生した場合には、お客様とマイクロソフトは 60 日間、解決に向けて非公式に努力することに合意します。 解決できなかった場合、お客様とマイクロソフトは、連邦仲裁法 (以下「FAA」といいます) に基づく米国仲裁協会 (以下「AAA」といいます) による拘束力のある個別の仲裁を受け、判事または陪審員による裁判所への提訴は行わないことに合意するものとします。 この場合、中立的な仲裁人が決定を下し、仲裁人の決定は、FAA に基づく限定された再審理権を除き、最終的なものとなります。 集団訴訟、集団仲裁、司法長官による民事訴訟、および任意の者が代表者として訴訟を提起するその他の手続は認められません。 また、当事者全員の同意なくして個別の手続を併合することもできません。 「マイクロソフト」には、マイクロソフトおよびマイクロソフトの関連会社を含みます。
  • 紛争は知的財産権を除くすべてを対象とすること。 「紛争」という用語は、最大限広義に解釈されます。 紛争には、契約、保証、不法行為、制定法、法令を含むあらゆる法理に基づく、「プログラム」またはこれらの「条項」に関してお客様と当社との間におけるすべての請求または紛争が含まれます。ただし、お客様、お客様のライセンサー、当社、または当社のライセンサーの知的財産権の執行または妥当性に関連する紛争を除きます。
  • 最初に紛争の通知を郵送すること。 紛争が発生し、当社のカスタマー サービス担当者が解決できなかった場合、紛争通知を米国郵便にて Microsoft Corporation (ATTN: CELA Arbitration, One Microsoft Way, Redmond, WA 98052-6399, U.S.A.) に (または、米国内のお客様の主たる業務地のお客様の携帯電話のキャリアの 法務部門宛てに送付します。 お客様の名前、住所、連絡方法、問題の内容、および要求事項をお知らせください。 フォームは http://go.microsoft.com/fwlink/?LinkId=245499 から入手することができます。 マイクロソフトとお客様の間で紛争が発生した場合も同様とします。 紛争が解決せずに 60 日が経過した場合、お客様またはマイクロソフトは仲裁を開始することができます。
  • 少額裁判所の選択。 お客様は、少額裁判所の要件を満たしている場合、紛争の通知を郵送する代わりに、お客様の居住地 (企業の場合はお客様の主たる業務地) または米国ワシントン州キング郡の少額裁判所でマイクロソフトに対し訴訟を提起することができます。
  • 仲裁手続 AAA は、その商事仲裁規則 (または、お客様が個人である場合、またはお客様が個人であるか否かにかかわらず 75,000 ドル以下の紛争の場合は、その消費者仲裁規則) に基づいて仲裁を実施します。 詳細については、www.adr.org を参照するか、1-800-778-7879 まで電話でお問い合わせください。 仲裁を開始するには、http://go.microsoft.com/fwlink/?LinkId=245497 から入手可能なフォームを AAA に提出し、マイクロソフトに写しを郵送します。 25,000 ドル以下の紛争では、仲裁人が対面による聴聞会を開く正当な理由があると判断した場合を除き、すべての聴聞は電話で行われます。 対面による期日は、お客様の住所地 (もしくは会社の場合は主たる業務地) または当社の主たる業務地 (お客様とマイクロソフトの間の紛争である場合は米国ワシントン州キング郡) の いずれかお客様が選択する場所で実施するものとします。 仲裁人は、裁判所と同じ損害賠償請求を個別のお客様に認めることができます。 仲裁人は差し止め命令による救済または宣言的救済を、個別のお客様の賠償請求に応じるために、個別のお客様にのみ認めることができます。
 
  • 仲裁手数料および支払
  • 75,000 米ドル以下の紛争。   マイクロソフトは、お客様による申立手数料を速やかに弁済し、AAA および仲裁人の手数料および費用を支払います。 お客様が、仲裁人が指名される前にマイクロソフトから提示された書面による最終和解案を拒否し、お客様による紛争に対して仲裁人の決定 (以下「裁定」といいます) まで行われ、仲裁人がこの最終案を超える賠償請求をお客様に認めた場合、マイクロソフトは、お客様に対して以下を行うものとします。 (i) 裁定と 1,000 ドルのいずれか高い方の金額を支払う、(ii) お客様が負担する合理的な弁護士手数料がある場合は、その金額を支払う、および (iii) お客様の弁護士が仲裁においてお客様の賠償請求について調査、準備、および追求するために発生した合理的な費用 (鑑定人の手数料および費用を含む) を弁済する。
  • 75,000 ドルを超える紛争。 申立手数料ならびに AAA および仲裁人の手数料および費用の支払には、AAA 規則が適用されます。
 
  • AAA 規則との抵触。 本規定と、AAA の商事仲裁規則または消費者仲裁規則が抵触する場合には、本規定が適用されます。
  • 1 年以内に申し立てること。 お客様および当社は、いかなる請求または紛争 (知的財産権に関する紛争を除きます) も、申し立てることが可能になった最初の日から 1 年以内に少額裁判所に申し立てるか、または仲裁を申し立てなければなりません。 1 年以内に申し立てなかった場合、かかる請求または紛争は永久に認められません。
  • 仲裁に関する今後の変更の拒否。   マイクロソフトが本条に変更を加えた場合 (所在地の変更を除く)、お客様は、変更後 30 日以内に第 (b) 条の所在地宛てに米国郵便で通知をマイクロソフトに送付することにより、かかる変更を拒否することができます。 お客様が変更を拒否された場合、お客様が拒否された変更前の本条の最新版が適用されます。
  • 可分性 集団訴訟の権利放棄が紛争の全部または一部について違法または執行不能と判断された場合、その部分は仲裁ではなく裁判所で手続が進められ、残りの部分は仲裁で手続が進められるものとします。 本項に規定するその他の条項で、違法または執行不能と判断されたものがある場合、その条項は本条の残りの条項とは切り離されますが、残りの条項は引き続き適用されます。

準拠法および紛争解決の場所の選定

お客様が米国に居住している場合 (または、企業の場合は主たる業務地が) 米国の場合、抵触法の原則にかかわらず、お客様が居住する州の法律がすべての申し立てに適用されます。ただし、仲裁に関するすべての規定には連邦仲裁法が適用されます。 お客様およびマイクロソフトは、本「条項」または本「プログラム」に起因または関連して生じるすべての紛争について、(仲裁や少額裁判所を除く) 法廷で取り扱う場合は、米国ワシントン州キング郡の州裁判所または連邦裁判所が専属的管轄権を有し、同地を裁判地とすることに同意し、この同意は取消不能であるものとします。

雑則

当該「条項」、マイクロソフトのプライバシーに関する声明、および適用されるすべての「製品プログラム条項」は、「プログラム」へのお客様の参加に関してお客様とマイクロソフトとの間の完全な合意を形成します。 これは、お客様による「プログラム」への参加に関するお客様とマイクロソフトの間の従前の契約に優先します。 本規約のすべての条項は、関連法令により許容される最大限度において適用されます。 裁判所または仲裁人により、本規約の一部の条項がそのままでは執行不能であると判断された場合、マイクロソフトは、当該条項を関連する法令の下で執行可能な範囲で同様の条項に変更することができるものとします。ただし、本規約の他の条項が変更されることはありません。

自発的なアイデアの提供

マイクロソフトは、「提出マテリアル」を除き、新製品、技術、プロモーション、製品名、製品に関するフィードバック、および製品の改良に関するアイデアを含め、マイクロソフトが募集したものではない提案またはアイデア (以下「自発的なフィードバック」といいます) を検討せず、受け入れることもありません。 「プログラム」またはその他を通じてマイクロソフトに自発的なフィードバックをお送りいただいても、マイクロソフトは、お客様のアイデアを機密情報または財産的な価値のある情報として取り扱うことを一切保証いたしません。
 

以上の条項に同意していただけない場合は、提出マテリアルを当社に送らず、また、本プログラムへの参加もしないでください。