第 A 章 総則
(令和5年 12月版)
別紙
第 A 章 総則
(個人情報の保護)
第1条 受託者は、この契約による業務を処理する上で個人情報を取り扱う場合、xxx個人情報取扱事務要綱(平成 17 年3月 31 日付 16 生広情報第 708 号)第2に定める管理体制及び「保有個人情報の安全管理に関する基準イメージ」と同等以上の水準により個人情報を保護しなければならない。
(秘密等の保持)
第2条 受託者は、この契約による業務に関して知り得た個人情報の内容をこの契約以外の目的で他人に知らせ、また、この契約以外の目的に利用してはならない。
2 受託者は、この契約が終了し、又は解除された後においても、前項の規定を遵守しなければならない。
3 顧客情報等の営業秘密を取り扱う場合、受託者は、経済産業省が策定する営業秘密管理指針(平成 15 年 1 月 30 日(最終改訂:平成 31 年 1 月 23 日))において示される水準以上の対策を講ずるものとする。
(個人情報等の取扱い)
第3条 受託者は、この契約による業務を処理する上で、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「個人情報保護法」という。)第2条第1項に定める個人情報
等(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成 25
年法律第 27 号。以下「番号利用法」という。)第2条第8号に定める特定個人情報を含む。以下同じ。)を取り扱う場合は、個人情報保護法の他関係法令の規定に従い、個人の権利利益を侵すことのないよう最大限努めなければならない。
なお、取り扱う個人情報等に加工等を施す場合、この契約における個人情報等は、個人情報保護法第2条第5項に定める仮名加工情報及び同条第6項に定める匿名加工情報並びに同条第7項に定める個人関連情報を含むものとする。
(受託者に提供する個人情報等の範囲)
2 この契約による業務の処理に際して、公益財団法人東京観光財団(以下「財団」という。)が受託者に対して提供する個人情報等(以下「財団提供個人情報等」という。)がある場合、財団は、その提供する個人情報等の件名及び件数等について、財団提供個人情報等一覧(目録 A)に記載し、事前にその旨を明示する。
なお、この契約による業務の処理に際して、受託者が都民及び財団以外の第三者から
<令和 6 年 1 月>
直接取得する個人情報等(以下「受託者取得個人情報等」という。)がある場合、財団は、その取得が予定される個人情報等の件名や件数等について、可能な限り具体的に見積を行った上で、その内容を、受託者取得個人情報等一覧(目録B)に記載し、事前にその旨を明示する。
この場合、受託者は、業務の進捗等を報告するにあたって、必要に応じ、目録 B「受託者取得個人情報等一覧」の記載内容を修正し、財団に報告するものとする。受託者取得個人情報等のうち、目録に定めがないものについては、財団及び受託者間で別途合意をした上で、当該受託者取得個人情報等の処理権限を定めるものとする。
(表明保証)
3 受託者は、この契約において取り扱う個人情報等を処理する場合には、その作成、取得及び提供等について、個人情報保護法に定められている手続を履行していることを保証するものとする。
(権限)
4 受託者は、この契約で明示的に規定されるものを除き、この契約において取り扱う個人情報等について開示、内容の訂正、追加または削除、利用の停止、消去及び提供の停止を行うことのできる権限を有しない。
第 B 章 安全管理体制
(責任体制の整備)
第4条 受託者は、個人情報等の安全管理について、内部における責任体制(個人情報等の漏えいの発生等に備えた連絡・対処体制を含む。)を構築し、その体制を維持しなければならない。
(責任者、従事者)
第5条 受託者は、この契約による個人情報等の取扱いの責任者及び業務に従事する者(以下「従事者」という。)を定め、前条の責任体制とともに、あらかじめ財団に届け出なければならない。これらを変更しようとするときも、同様とする。
なお、この契約による業務の処理に際して、受託者が番号利用法第2条第5項及び第
8項に定義する個人番号及びこれらの個人番号をその内容に含む特定個人情報と同等の水準により管理された個人情報(以下「特定個人情報等」という。)を取り扱う場合、財団は、その取扱いが予定される特定個人情報等の件名や件数等について、具体的に見積を行った上で、その内容を目録 C「特定個人情報同等水準管理情報一覧」)に記載し、事前にその旨を明示する。
また、受託者は、目録 C「特定個人情報同等水準管理情報一覧」に記載された特定個人情報等の監査者を定め、あらかじめ財団に届けなければならない。
2 受託者は、責任者に、従事者が本特記仕様に定める事項を適切に実施するよう監督さ
せなければならない。また、受託者は、従事者に、責任者の指示に従い本特記仕様を遵守させなければならない。
3 受託者は、責任者及び従事者を変更する場合の手続を定めなければならない。
なお、監査者は、受託者における第1項に定める個人情報の管理状況を定期に及び必要に応じ随時に監査する。受託者は、監査の結果を踏まえ、個人情報の管理に不適切な点があると認めるときは、直ちに是正措置を講じなければならない。
4 受託者は、従事者に対し、在職中及び退職後においても、受託業務により知り得た個人情報等を他に漏らしてはならないことなど、個人情報保護に関して必要な事項の周知徹底をしなければならない。
(派遣労働者)
第6条 受託者は、この契約による業務を派遣労働者によって行わせる場合、労働者派遣契約書に、秘密保持義務等個人情報等の取扱いに関する事項を明記しなければならない。その場合の守秘義務の期間は、第2条に準ずるものとする。
2 受託者は、派遣労働者にこの契約に基づく一切の義務を遵守させるとともに、受託者と派遣元との契約内容にかかわらず、財団に対して派遣労働者による個人情報等の処理に関する責任を負うものとする。
(従事者等の教👉及び研修)
第7条 受託者は、個人情報等の保護及び情報セキュリティに対する意識の向上を図るため、責任者及び従事者に対し、個人情報保護法における受託者の義務並びに本特記仕様において従事者が遵守すべき事項その他この契約による業務の適切な履行に必要な事項について、教👉及び研修を実施しなければならない。
2 受託者は、前項の教👉及び研修の実施に関して計画を定めなければならない。この計画には、個人情報の保護に関する法令等に基づく罰則の内容及び個人情報の漏えいが生じた際に負う民事上並びに刑事上、行政上の責任等に関する事項を含むものとする。
3 受託者は、第1項の教👉及び研修は、責任者及び従事者にこの契約による業務を行わせる前に少なくとも1回は行わなければならない。
4 要配慮個人情報を取り扱う場合、財団は、受託者が前2項に基づき策定する計画のほか、前項に基づき実施する教👉及び研修の実施状況について、必要に応じてその提出を求めるものとする。
(再委託)
第8条 受託者は、個人情報等の処理について再委託(受託者の子会社(会社法(平成 17
年法律第 86 号)第2条第1項第3号に規定する子会社をいう。)への委託を含む。以下同じ。)を行う場合、個人情報等を適切に管理する能力を有しない事業者を選定しないよ
うにするために、再委託しようとする業者名及び次の各号に規定する項目を記載した書面を財団に通知し、xxx個人情報取扱事務要綱第7.7に定める承諾を得なければならない。再委託の内容を変更する場合又は選定した業者が個人情報等を適切に管理する能力を有しないことが判明した場合において別の業者に変更する場合も同様である。
(1) 再委託を行う業務の内容及び事業執行場所
(2) 再委託で取り扱う個人情報等の目録
(3) 再委託の期間
(4) 再委託が必要な理由
(5) 再委託の相手方(名称、代表者、所在地、連絡先)
(6) 再委託の相手方における責任体制並びに責任者及び従事者
(7) 再委託の相手方に求める個人情報保護措置の内容(契約書等に規定されたものの写し)
(8) 再委託の相手方に対する個人情報保護法第 25 条等に基づく監督方法
2 前項の場合、受託者は、再委託の相手方にこの契約に基づく一切の義務を遵守させるとともに、受託者と再委託の相手方との契約内容にかかわらず、財団に対して再委託の相手方による個人情報等の処理に関する責任を負うものとする。
3 受託者は、再委託契約において、再委託の相手方に対する監督及び個人情報等の安全管理の方法について具体的に規定しなければならない。
4 受託者は、この契約による業務を再委託した場合、その履行を管理監督するとともに、財団の求めに応じて、その状況等を財団に適宜報告しなければならない。
5 受託者は、前項の管理監督とは別に、再委託の相手方における責任者及び従事者に対して、この契約による業務を行わせる前に、少なくとも1回は第7条第1項に定めるものと同等以上の教👉及び研修を行わせなければならない。
(目的以外の利用禁止)
第9条 受託者は、この契約による業務を処理するため取得、作成した個人情報等又は財団から引き渡された文書等(当該文書に記録された個人情報の全部又は一部を複写及び転写等した他の媒体を含む。以下、本特記仕様において同じ。)を財団の指示又は承諾を得ることなくこの契約の目的以外に利用し、又は第三者に提供してはならない。
(複写、複製等の禁止)
第 10 条 受託者は、この契約による業務を処理するため財団から引き渡された文書等を財団の指示又は承諾を得ることなく複写又は複製若しくは転写してはならない。
(個人情報等の安全管理)
第 11 条 受託者は、この契約による業務を処理するため取得、作成した個人情報等又は財団から引き渡された文書等に記録された個人情報等を漏えい、漏示、毀損及び滅失(以
下「漏えい等」という。)することのないよう、当該個人情報等を安全に管理しなければならない。
2 受託者は、財団から文書等の引き渡しを受けた場合は、財団に受領書を提出する。
3 受託者は、第1項の個人情報等を取り扱う場所(以下「作業場所」という。)を特定し、あらかじめ財団に届け出なければならない。その特定した作業場所を変更しようとするときも、同様とする。財団は、必要に応じて作業場所の現況を確認するものとする。
4 受託者は、財団が承諾した場合を除き、第1項の個人情報等を作業場所から持ち出してはならない。
5 受託者は、第1項の個人情報等を運搬する場合は、その方法(以下「運搬方法」という。)を特定し、あらかじめ財団に届け出なければならない。その特定した運搬方法を変更しようとするときも、同様とする。
6 受託者は、第1項の個人情報等について郵便等発送、電子メールその他アプリケーションの利用等により外部に送付する場合は、その方法(以下「送付方法」という。)を特定し、あらかじめ財団に届け出なければならない。その特定した送付方法を変更しようとするときも、同様とする。
7 受託者は、従事者をして前項に基づき届け出た送付方法により第1項の個人情報等を送付させる場合は、次の各号を遵守させなければならない。
⑴ 送付先及び送付物に誤りがないか確認すること。
⑵ 送付先の情報及び送付内容が第三者に知られないようにすること。
⑶ 送付物の内容により適切な送付方法を選択すること。
⑷ 上記⑴及び⑵について従事者による送付の都度複数人により確認すること及び上記
⑶について責任者が了解していることその他責任者が指示した安全対策を講じること。
8 受託者は、この契約による業務を処理するために使用することとしたパソコン等(外部記録媒体を含む。以下同じ。)以外のパソコン等を使用してはならない。
9 受託者は、この契約による業務を処理するパソコン等に、ファイル交換ソフトその他情報漏えい等につながるおそれがあるソフトウエアをインストールしてはならない。
なお、クラウドサービスを利用する場合は、クラウドサービスに対する各種の認定・認証制度(ISMAP、ISO/IEC27001・27017・27018、JISQ27001 等)の適用状況から、クラウドサービスの信頼性が十分であることを総合的・客観的に評価し選定すること。
10 受託者は、第1項の個人情報等を、秘匿性等その内容に応じて、次の各号の定めるところにより管理しなければならない。
⑴ 個人情報等は、金庫、保管庫又は施錠若しくは入退室管理の可能な保管室に保管しなければならない。
⑵ 個人情報等を電子データとして保存又は持ち出す場合は、暗号化処理又はこれと同等以上の保護措置をとらなければならない。
⑶ 個人情報等を電子データで保管する場合、当該データが記録された外部記録媒体及び
そのバックアップの保管状況及び個人情報等の正確性について、定期的に点検しなければならない。
⑷ 個人情報等を管理するための台帳を整備し、個人情報等の受け渡し、利用、複写又は複製、保管、廃棄等の取扱いの状況、年月日及び担当者を記録しなければならない。
(個人情報等の帰属及び返還、廃棄又は消去)
第 12 条 財団から引き渡された文書等に記録された個人情報等のほか、この契約による業務を処理するために財団の指定した様式により、及びxxxと財団の名において、受託者が取得、作成、加工、複写又は複製等した個人情報等は、xxxまたは財団に帰属するものとする。
2 受託者は、この契約による委託業務完了時に、財団の指示に基づいて、前項の個人情報等を返還、廃棄又は消去しなければならない。
なお、上記の個人情報等に要配慮個人情報を含む場合、個人情報等の返還は、第5条の規定によりその役割を果たすべき者として財団に届け出られている者が行うものとする。
3 受託者は、第1項の個人情報等を廃棄する場合、記録媒体を物理的に破壊する等当該個人情報等が判読又は復元できないように確実な方法で廃棄しなければならない。
4 受託者は、パソコン等に記録された第1項の個人情報等を消去する場合、データ消去用ソフトウエアを使用し、当該個人情報等が判読、復元できないように確実に消去しなければならない。
5 受託者は、第1項の個人情報等を廃棄又は消去したときは、完全に廃棄又は消去した旨の証明書(情報項目、媒体名、数量、廃棄又は消去の方法、責任者、廃棄又は消去の年月日が記載された書面)を財団に提出しなければならない。ただし、他の法令に基づき受託者において一定期間の保管が義務付けられている個人情報等については、受託者は、廃棄又は消去できない個人情報等の概要に関する情報(情報項目、媒体名、数量、廃棄又は消去しない根拠法令、責任者、法令に基づき予定される廃棄又は消去の年月日が記載された書面)を上記証明書に記載すること。
6 受託者は、廃棄又は消去に際し、財団が立会いを求めたときはこれに応じなければならない。
第 C 章 事故対応及び検査
(漏えい等発生時の対応)
第 13 条 受託者は、この契約による業務の処理に関して個人情報の漏えい等が発生し、又は発生したおそれがある事態が生じた場合は、その事態に係る帰責の有無にかかわらず、当該漏えい等に係る個人情報の内容、数量、発生場所、発生状況等を財団に速やかに報告し、その指示に従わなければならない。
2 受託者は、前項の事態が生じた場合には、速やかに被害を最小限にするための措置を講ずるとともに、前項の指示に基づいて、当該事態が生じた旨を当該漏えい等に係る個人情報の本人に通知し、又は本人が容易に知り得る状態にする等の措置を講ずるものとする。この場合、受託者は、当該措置に係る費用を負担することとする。
3 受託者は、財団と協議の上、二次被害の防止、類似事案の発生回避等の観点から、可能な限り当該事態に係る事実関係、発生原因及び再発防止策の公表に努めなければならない。この場合、受託者は、財団が事実関係の公表にあたって受託者の名称及び代表者氏名を公表することがあることを承諾するものとする。
(立入調査等)
第 14 条 財団は、この契約による業務の処理に伴う個人情報等の取扱いについて、本特記仕様の規定に基づき必要な措置が講じられているかどうかを確認するため必要があると認めるときは、受託者に報告を求めること及び受託者の作業場所を立入調査することができるものとし、受託者は、財団から改善を指示された場合には、その指示に従わなければならない。
2 受託者は、再委託を行なう場合は、前項と同等の措置を講じるよう再委託の相手方に対して求めなければならない。また、受託者は、必要に応じて財団が再委託の相手方に報告を求めること及び再委託の相手方の作業場所を立入調査できるよう、必要な調整を行うものとする。この限りにおいて、受託者は、再委託の相手方の作業場所を立入調査できるように調整した記録(再委託の相手方に連絡した日時及び連絡内容、連絡の結果による再委託の相手方の返答内容など)を、財団の求めに応じて書面により報告しなければならない。
第 D 章 契約解除及び損害賠償等
(契約の解除)
第 15 条 財団は、受託者が本特記仕様に定める義務を履行しない場合は、この契約による業務を解除することができるものとする。
2 受託者は、前項の規定に基づく契約の解除により損害を被った場合においても、財団にその損害の賠償を求めることはできないものとする。
3 受託者が、第1項の規定に基づき契約を解除された場合、財団は、受託者の名称及び違反事実を公表することができる。
(損害賠償等)
第 16 条 受託者の故意又は過失を問わず、受託者が本特記仕様に定める義務に違反し、又は怠ったことにより財団が損害を被った場合には、財団にその損害を賠償しなければならない。
2 受託者は、第 13 条第1項に規定する事態に起因又は関連して第三者との間で紛争、クレーム又は請求(以下「紛争等」という)が生じた場合には、直ちに財団に対して書面により通知するものとし、かつ、自己の責任及び費用負担において、当該紛争等を解決することとする。
3 受託者は、第 13 条第1項に規定する事態に起因又は関連して、財団が被った損害又は損失及び費用(漏えい等した個人情報の本人(以下「被害者」という。)から財団に対してなされる訴訟並びに慰謝料その他の損害賠償の請求その他紛争解決手段の行使に対応するために財団において発生した費用を含む。以下「損害等」という)が生じた場合、財団の求めに応じて、当該損害等の全部又は一部を補償する。
4 第2条第3項に基づき管理された個人情報等の取扱いについて財団が損害を被った場合には、財団は不正競争防止法(平成5年法律第 47 号)第4条及び第5条に基づく損害の賠償を請求することができる。
(違約金)
5 第1条に基づき管理された個人情報の取扱いに関して、受託者の責任者及び従事者の故意又は重過失によって財団に損害が生じた場合、受託者は財団に対して違約金として契約金額の 100 分の 10 に相当する額を支払う義務を負う。
6 財団に生じた損害が前項に基づく違約金額を上回る場合には、財団は実際に生じた損害額を立証することで、受託者に対して立証した額を違約金として請求することができる。
(その他)
第 17 条 受託者は、保有個人情報の安全管理に関する基準イメージ及び本特記仕様の解釈等、個人情報等の取扱いについて疑義を生じた場合、その都度財団に確認し、本業務を行うこと。この限りにおいて、財団は、xxxの情報セキュリティ管理体制の維持に支障がない範囲で受託者に対して情報提供を行うものとする。
第 18 条 第 16 条の個人情報の漏えい等に伴う損害賠償その他の一切の責任は、受託者が再委託等(再々委託及びそれ以降の委託を含む。)をした相手方において発生した場合であっても、当該受託者が負うものとする。