・Google Chrome ・Safari ・Firefox ・Microsoft Edge
プレミアム・パスポートデジタル化システム構築業務委託仕様書
1 委託業務名
プレミアム・パスポートデジタル化システム構築業務 一式
2 目的
プレミアム・パスポート事業は、県内在住の妊娠中の子どもを含めた18歳未満の子ども
2人以上持つ家庭の経済的な負担を軽減するため、県内の企業(店舗)に協力を求め、購入代金の割引やポイントの付与、施設の優待などの特典を提供することにより、子育てを社会全体で支える気運の醸成を図ることを目的としている。
妊娠中の子どもを含めた18歳未満の子ども2人以上持つ家庭からの申請により、プレミアム・パスポートを交付する。パスポートを提示することにより、事業に協賛する企業、店舗、施設等において、割引・特典等経済的サービスを受けることができる。
現在、パスポートは紙媒体で交付しているが、さらなる利便性の向上と、協賛企業(店舗)の情報発信を強化するため、デジタル化を図ることとする。
3 プレミアム・パスポートの制度について(現状)
(1)パスポートの種類
① 3子以上世帯用
xx県内における住民票上の世帯で、基準日において妊娠中の子どもを含む満18歳未満の子どもが3人以上いる世帯とする。
② 2子世帯用
xx県内における住民票上の世帯で、基準日において妊娠中の子どもを含む満18歳未満の子どもが2人いる世帯とする。
※基準日とは、原則としてパスポート有効年の1月1日とし、2人目又は3人目妊娠中の時は、母子手帳交付の日以降、他道府県から転入の時は、その転入の日以降の申請日とする。
(2)交付対象世帯及び交付枚数
対象世帯は、妊娠中を含む18歳未満の子どもを2人以上持ち、かつその子どもと一定の生計関係にあるとみなされることが要件となる。なお、「一定の生計関係にあるとみなされる」とは、次のいずれかを満たすことをいう。
① 住民票上同一世帯である。
② 健康保険証において扶養関係を証明することができる。
③ 所得税において扶養、又は被扶養となっている(18歳以上の者は県内に居住している者に限る)。
④ その他、子育てにやさしい企業推進協議会が認める者
パスポートは、18歳以上の世帯員の数まで交付できる(1世帯あたり上限6枚)。対象世帯には、世帯ごとにパスポートナンバー(登録番号)が発行される。
(3)申請方法
申請者は、プレミアム・パスポート申請書に所定の事項を記入のうえ、申請する家族全員について、続柄が分かる住民票を添付して協議会事務局(以下「事務局」という。)に申請する。
妊娠中の場合は、上記に加え、母子手帳の写し(手帳の持ち主の氏名と発行日または出産予定日が確認できるページ)の提出が必要とする。
(4)登録内容の変更
世帯構成や住所など申請内容に変更があった場合は、速やかに関係が分かる書類を添付して変更申請を行うものとする。
① 世帯構成の変更
世帯員を追加する場合、申請書と追加する世帯員の氏名が記載されている住民票の提出が必要である。妊娠中に申請した場合も、出産後に同様の手続きが必要とす る。
ただし、世帯員が減じる場合は、添付書類は不要とする。申請受付後、新たなパスポートを交付する。
② 住所の変更
申請書と家族全員の氏名が記載された住民票の提出が必要である。
この場合は管理データのみの修正となるため、新たなパスポートは発行しない。
③ その他の変更
代表者や連絡先(TEL、メールアドレス)など、その他の変更は申請書のみを提出するものとする。
この場合は管理データのみの修正となるため、新たなパスポートは交付しない。
(5)再発行
パスポートを紛失・破損した場合、申請書とパスポート1枚当たり500円分の郵便切手を提出することで再発行が可能である。
(6)追加発行
申請時に不要となっていた交付対象者に対し、後日申請があれば、追加で発行可能である。
(7)有効期限と更新
有効期間は、交付日から5年を経過する年の年末まで、または年齢が満18歳未満の子どもが、3子以上世帯用プレパスにおいては2人、2子世帯用プレパスにおいては1人と
なる年の年末までのいずれか早い方とする。
パスポートは自動更新とし、有効期間が満了する年の年末までに更新発行する。ただし、満18歳未満の子どもが3人以上からから2人に減少する世帯については、自動的に
2子世帯用のプレパスを交付する。
4 業務内容
(1)パスポート取得と画面表示について
① 支給された対象世帯データをもとに表示すること。またその画面は、スマートフォン画面に最適化されたサイズで作成すること。
② 対象世帯内の取得可能者が専用ログイン画面にて事務局から発行された情報を入力後、交付対象者別にパスポート画面を表示可能とすること。またデータの管理は、世帯ごとに発行されるパスポートナンバーに加え、個人別の番号を必要とする。
③ パスポート画面には、以下のものを表示すること。
・協賛店により2子世帯用と3子以上世帯用で特典が異なる場合があるため、2子世帯用、3子以上世帯用の区別がつくデザイン(3子以上用から2子用への自動切換え機能含む)
・対象世帯ごとのパスポートナンバー(現状のもの)
・交付対象者本人の氏名
・交付対象者の顔写真(登録時に顔写真を登録)
・パスポートの有効期限
・対象世帯家族全員の氏名(別画面で表示可)
・現プレパスホームページの店舗検索、「協賛店からのお知らせ」、「協議会からのお知らせ」など、リンクさせるため必要とされるアイコン
・その他、不正防止用の工夫(時間の表示など)
④ 対象世帯データの取扱いについては、CMSにより発注者側が管理でき、且つCS Vデータ等により随時アップロード、及びダウンロード可能とすること。
またパスポート利用者のデータ管理は、発注者が委託する場合があるため、必要最低限な情報にアクセスできるよう適切なロール管理を必要とする。
(2)稼働環境
① パスポート発行サイトは、原則として24時間365日運用すること。また障害発生時も同様とする。
② ブラウザだけで動作するCMSにより管理・更新を可能とすること。
③ 発注者が直接サーバー等の機器を有さない形態で運用すること。ただし、サーバーは国内に設置し、セキュリティ対策の施された建物内に設置されていること。
サーバーOSはRHEL8または9相当とし、サーバー毎に毎日(1日 4 時間ごと)自動的にバックアップを実行することとし、障害発生時には直近のデータに復元できること。
期間中のアクセス集中に対応し、サーバー増強などの対策がとれること。
④ パスポートの利用手続きで使用するサーバーのデータ送信はSSL通信による暗号化を行うこと。
⑤ 最低限必要なポートを開放するため、セキュリティ保持のためのファイヤーウォール、ルーター等の通信ソフトウェア等を的確に設定すること。
⑥ パスポート発行サイトは、下記ブラウザで閲覧及び利用が可能なものとすること。
・Google Chrome
・Safari
・Firefox
・Microsoft Edge
⑦ 発注者の環境での動作確認について、特別なプログラムをインストールすることなく、利用者同様に上記ブラウザで確認可能とすること。
(3)データセンター要件
データセンター(データを保管するサーバー設置場所)は国内に限り、以下の要件を満たすこと。
① IC カード鍵または生体認証による、入退室管理が行われていること。
② 監視カメラにより、出入口及び室内の監視が行われていること。
③ 停電に備え、 UPS(無停電電源装置)が提供されていること。
④ サーバーを格納しているキャビネットは、震度6以上の耐震性能を持ち、施錠管理されていること。
⑤ 24時間365日入室が可能なこと。
⑥ 設備稼働に適した空調管理がなされていること。
⑦ 消火設備は、ガス系消火設備を利用していること。
⑧ 個人情報保護方針を有し、情報セキュリティマネジメントシステムなどの国際的な基準規格やそれに準ずる資格認証等を保持するなど、情報セキュリティに関する体制を構築していること。
(4)インターネット接続要件
① 本仕様書に記載するサーバーとインターネットを繋ぐ通信回線(共有可)を有し制限なくインターネットサービスプロバイダに接続できること。
② 委託者がデータセンターに設置するサーバーにアクセスしてコンテンツの管理 が可能であること。
(5)情報セキュリティの確保
① 情報セキュリティの遵守
受託者が業務を行う場合にあたっては、別紙1「xx県情報調達共通特記仕様
(令和4年4月版)」を遵守しなければならない。
② 個人情報の保護
受託者が業務を行うにあたって個人情報を取り扱う場合には、別紙2「個人情報の取扱いに係る特記事項」を遵守しなければならない。
③ 守秘義務
受託者は、業務で知り得た秘密を他に漏らし、又は自己の利益のために利用することはできない。また、委託業務終了後も同様とする。
(6)システム保守業務
受注者はシステムに関する問い合わせ、セキュリティ情報等の提供、障害発生時における解決支援に対応すること。
(7)開発体制
① 受託者は、直近5年以内に類似業務の履行実績があり、豊富な経験を有すること。
② 本事業を推進し全体の責任を取る実施責任者と、同責任者のもとで開発を行う。実施担当者を2名以上、サーバーを管理する責任者を1名以上配置すること。
なお、技術協力事業者の実施者を含めて提案する場合においても、実施責任者及び実施担当者の計2名以上は自社の実施者であることを要する。
③ Linux 、Apache 、PHP 、JavaScript 、Ruby 、MySQL 等国際的に使用されているソフトウェア環境に関する技術力に関する知識を有した実施者による開発体制を確保すること。
④ 実施責任者及び実施担当者は、事務局担当者と十分な意思疎通を図ることができること。
⑤ 開発体制に変更が生じる場合、その旨を委託者に報告し、承認を得ること。
⑥ 品質評価計画の立案、検証及び品質改善策の検討と実施を管理する体制を確保すること。
5 業務スケジュール(予定)
・8月中旬~ システム構築
・10月中旬~ 検証期間
・11月初旬~ 本稼働
6 成果品
次に掲げるものについて、紙媒体及びデータにより納品すること。
・設計書一式
・システム一式
・システムおよびバックアップテスト仕様書
・操作マニュアル一式
・業務完了報告書等(システムおよびバックアップテスト報告書含む)
なお、受託者は子育てにやさしい企業推進協議会に対して上記一式について、一切の著作者人格権を行使しないものとし、第三者をして行使させないこと。
W½┴ሗㄪ㐩ඹ㏻≉グßᵝ᭩(௧ 4 ᖺ 4 ☎∧)
1 ┠ⓗ ................................................................................................................................. 2
2 ሗ✰⟶⌮ 2
3 pクʥ✰ᣢ㎸ᶵჾ 3
4 ➓⫱ ................................................................................................................................. 3
5 ┘ᰝ 3
6 ࣃࢵ¥㐺⏝ 4
7 ⬤ᙅᛶᑐᛂ(㛤Ⓨ)(ಖᏲ) 4
8 ➺ࣥࣆ➦—ࢱ࢘T0ࢫᑐ⟇ 4
9 7ࢡセࢫไᚚ(㛤Ⓨ) 4
10 ࣃࢫF—ࢻ(㛤Ⓨ) 5
11 セࢵシࣙࣥ⟶⌮(㛤Ⓨ) 5
12 ㄆྍฎ⌮(㛤Ⓨ) 5
13 7࢝࢘ࣥࢺ⟶⌮(㛤Ⓨ) 6
14 ➫YTࣥ≧ែ࠶ࡿ⏝ʥ✰ពᅗbࡓᶵ⬟ᐇ⾜✰㜵£(㛤Ⓨ) 7
15 ➫Y(㛤Ⓨ)(ಖᏲ) 7
16 ᬯྕ(㛤Ⓨ) 9
17 ㄪ㐩 9
18 እ㒊ࢿࢵࢺF—ࢡ᥋⥆ 10
19 ࢿࢵࢺF—ࢡ⟶⌮ 11
20 እ㒊k✰y—ࢱ 11
21 Aᛶ(㛤Ⓨ) 11
22 7ࢡセシࣅࣜz 11
23 3⣙ ........................................................................................................................ 12
24 ?➫ジ➦ࢡࢺ➴3ୖࡆ 12
25 ᇶᮏタィ(㛤Ⓨ) 12
26 シࢫz࣒㛤Ⓨ(㛤Ⓨ) 13
27 zࢫࢺ(㛤Ⓨ) 13
28 ◊ಟ 14
29 ⛣⾜(㛤Ⓨ) 14
30 ᳨............................................................................................................................ 15
31 㐠⏝(ಖᏲ) 15
32 ➓✰ᑐᛂ 16
33 3⣙⤊................................................................................................................. 16
34 ⴭసᶒ✰ᖐᒓ 17
35 ⴭసᶒ✰⣮த 17
36 3⣙㐺ྜ㈐௵ 17
37 ࡑ✰ ........................................................................................................................ 18
1 目的
(1) 本特記仕様書(以下「本書」という。)は、ハードウェア(パソコン、サーバ等)、ソフトウェアライセンス、情報システム等の調達(購入のみならずリースや委託を含む)及び保守を行う際、xx県情報セキュリティポリシーに基づき、調達仕様書(以下「仕様書」という。)に加え、遵守すべき項目を定めるものである。受注者は本書に従わなくてはならない。
(2) 本書に記載のない仕様に関しては仕様書による。契約書及び仕様書の記載が本書と異なる場合は、本書を優先する。ただし、以下の場合は、本書の該当項番を適用しない。
・契約書または仕様書に本書の項番及び選択した項番を適用しない旨が記載されている場合
・システム開発を伴わない場合、項目名に(開発)と注記されている項目内の項番
・システムの運用・保守を伴わない場合、項目名に(保守)と注記されている項目内の項番
・契約内容と無関係の項番(例えば、Web アプリケーションでないシステムを納品する場合のWeb アプリケーションに関する項番)
2 情報の管理
(1) 受注者は、xx施設以外で、個人情報等、xx県情報公開条例に定める非公開情報(以下「非公開情報」という。)を取り扱う場合、以下のとおり管理しなければならない。
・非公開情報を受け取った際、預り証を提出すること。
・非公開情報の保管場所は施錠した保管庫又は施錠若しくは入退室管理を行っている部屋とすること。
・保管場所を事前に書面により報告すること。
・保管場所を追加または変更する場合は、事前に書面により報告すること。
・非公開情報を保管場所から持ち出さないこと。ただし、県の施設または県が指定した場所へ持ち出す場合を除く。
・非公開情報を電子データで移送する場合は、電子データの暗号化処理又はこれと同等以上の保護措置を施すこと。また、ウイルス対策ソフトの最新のパターンファイルによりスキャンが実施されていること。
・非公開情報を複製又は複写しないこと。ただし、事前に県の承認を受けて、業務に必要最小限の範囲で行う場合を除く。
・非公開情報を電子データで保管する場合、当該データが記録された媒体及びそのバックアップの保管状況並びに記録されたデータの完全性について、定期的に点検すること。
・非公開情報を管理するための台帳を整備し、利用者、保管場所、利用期間等を当該台帳に記録すること。
・非公開情報の紛失、漏洩、改ざん、破損その他の事故(以下「情報セキュリ
ティ事故」という。)を防ぎ、真正性、見読性及び保存性の維持に責任を負うこと。
・作業場所に、個人所有のパソコンまたは外部記録媒体を持ち込んで、非公開情報を扱う作業を行わないこと。
・非公開情報を利用する作業を行うパソコンに、ファイル交換ソフト等、業務に関係のないアプリケーションをインストールしないこと。
・県から非公開情報の状況について報告を求められた際、直ちに報告すること。
(2) 開発及び運用で使用する媒体及び資料は、利用する資格のない者が利用できないよう施錠した保管庫又は施錠若しくは入退室管理を行っている部屋に保管すること。
(3) 受注者のうち、アクセス権限のない者は、重要な情報(非公開情報を含む)にアクセスしてはならない。
(4) 受注者のうち、アクセス権限を有する者は、業務上の目的以外の目的で重要な情報(非公開情報を含む)にアクセスしてはならない。
3 受託者の持込機器
(1) 受注者の情報機器を県のネットワークに接続する場合は、以下に掲げる項目を守らなければならない。
・県の許可を得ること。
・必要な情報セキュリティ対策(ウイルス対策ソフトの導入、セキュリティパッチの適用等)を実施し、実施状況を確認すること。
・個人所有の情報機器を接続しないこと。
4 教育
(1) 作業責任者及び作業従事者全員に対して以下の事項を教育すること。
・個人情報の保護
・情報セキュリティ対策
・その他本書に定める遵守事項
(2) 作業責任者及び作業従事者を変更する場合も上記の教育を実施すること。
(3) 受注者は、県の承諾を得て委託業務の一部を再委託するときは、再委託先の作業責任者及び作業従事者に対し、上記の教育を実施しなければならない。
5 監査
(1) 県は、契約書、仕様書及び本書の履行に係る県の情報の取扱いについて、契約書、仕様書及び本書に基づき必要な措置が講じられているかどうか検証及び確認するため、受注者及び再委託先に対して、監査又は検査を行うことができる。
6 パッチ適用
(1) システムの OS、ミドルウェア、ソフトウェア部品(ライブラリ等)、アプリケーションは以下の要件を満たすこと。
・当該ソフトウェアのメーカーにおけるサポートライフサイクルポリシーにおいて、メーカーから、契約期間中、脆弱性修正パッチ(以下「パッチ」という。)の開発及び提供がされること。
・新たに発見された脆弱性に関する情報やパッチのリリース情報(以下「パッチ情報」という。)が遅滞なくインターネットに公開または県に情報提供されること。
(2) 納品時点で提供されているパッチは全て適用した状態で納品すること。
7 脆弱性対応(開発)(保守)
(1) Web アプリケーションの場合、独立行政法人 情報処理推進機構セキュリティセンター「安全なウェブサイトの作り方」の「チェックリスト」に示されている脆弱性がないこと。
(2) システムの場合、契約期間中に発見された脆弱性への対処について、以下の場合は追加費用なしで修補(パッチの開発・提供)すること。なお、修補以外の代替案によって可用性の低下を伴わずに脆弱性の影響を回避でき、かつ県の了解を得た場合、代替案による対処も可とする。
・Web アプリケーションの場合、独立行政法人 情報処理推進機構セキュリティセンター「安全なウェブサイトの作り方」の「チェックリスト」に含まれる脆弱性。
・修補せずに運用を継続すると情報セキュリティ事故が発生する可能性のある脆弱性
・本書によらず、受注者が追加提案として修補を約束した脆弱性。
8 コンピュータウイルス対策
(1) ネットワーク接続の有無に関わらず、全てのパソコン及びサーバにソフトウェアまたはアプライアンス製品の導入によりウイルス対策を施すこと。
(2) パソコン及びサーバの用途上必要のない OS のサービスは停止し、必要のないソフトウェアは削除すること。
9 アクセス制御(開発)
(1) 利用者の認証方式はパスワード認証とすること。
(2) 利用者認証を経ていない者は本システムの利用者認証を要する機能(画面)を利用できないこと。
(3) 利用者認証を要する機能(画面)は、セッションが終了した後は利用できないこと。
(4) システム管理者の操作等、重要な情報の処理はアクセス可能な端末を限定するこ
と。
10 パスワード(開発)
(1) パスワードに利用する文字は以下を遵守すること。ただし、二要素認証の第 2 要素(ワンタイムパスワード生成器の生成するパスワードなど)はこの限りでない。
・パスワードに利用できる文字種は、英字(大文字、小文字を区別)、数字、記号の 3 種とし、それぞれ自由に利用できること。
・パスワードに利用する文字数は 8 文字未満を受け付けないようにすること。
また、少なくとも 64 文字のパスワードは受け入れられること。
(2) 初期パスワードまたは仮パスワードを発行する場合、パスワードは英字大文字、英字小文字、数字、記号を含み、12 文字以上とすること。
(3) ログインフォームはパスワードの入力欄は入力した文字を伏字にする(Web アプリケーションの場合、input 要素において type 属性の値に password を指定する)こと。または、伏字にする・しないを選択できる機能を持つこと。
(4) パスワード認証に失敗した際に、利用者 ID の間違いか、パスワードの間違いかが区別できるメッセージを表示しないこと。
(5) パスワードを連続して一定回数間違った場合は、当該アカウントを一定時間ロックすること。特に仕様書に明示されていない場合、一定回数は 10 回、一定時間は 30 分間とする。
(6) パスワードは平文で保存せず、ソルトつきハッシュの形で保存すること。ソルトは利用者毎に別々に設定し、最低 5 文字以上とること。
11 セッション管理(開発)
(1) Web アプリケーションの場合、利用者のセッション管理にはプログラミング言 語や Web アプリケーション実行環境の備えるセッション管理機構を用いること。
(2) Web アプリケーションの場合、ログイン状態にある利用者のセッション識別のための情報(セッション ID)は、クッキーを用いて保持すること。
(3) セッションはログイン処理成功後に開始すること。
(4) セッションの有効期間を設定すること。特に仕様書に明示されていない場合、インターネットに公開するシステムの場合、有効期間を 30 分、インターネットに公開しないシステムは 3 時間とすること。
(5) 次の場合はセッションを終了し、セッション情報を破棄すること。
・利用者がログアウト機能を呼び出した場合(ログアウトボタンを押す等)
・最後にページが表示された時刻を起点としてセッションの有効期間を超えた
(セッションタイムアウト)場合
12 認可処理(開発)
(1) 認可処理は以下のとおり文書化し、求めがあった際に提出すること。
・認可処理の必要な機能、情報を識別して、認可処理の必要な画面には、画面遷移図上に識別マーク等をつけること。
・各ロールと権限を一覧表(権限マトリックス)に整理すること。
(2) Web アプリケーションの場合、各利用者の権限確認には、セッション変数に保存された利用者識別情報(利用者 ID 等)を基準とすること。
(3) 認可を要する情報表示や機能実行をする前に、実行中の利用者が、当該情報の表示や機能を実行するための権限を有していることを画面毎に確認すること。
(4) 認可されなかった場合は、適切なエラー表示をすること。
13 アカウント管理(開発)
(1) 利用者 ID により、利用者を個別に識別できること。
(2) 利用者 ID が重複しないよう、チェック処理を行うこと。
(3) 情報システム管理者が、パスワードをリセットできること。
(4) 利用者がパスワードを変更できること。
(5) パスワード変更機能の実行前に、現在のパスワードの入力を利用者に求め、正しいパスワードであることを確認すること。
(6) 情報システム管理者が、利用者アカウントを追加及び削除できること。
(7) 情報システム管理者が、利用者アカウントを一時的に利用停止できること。
(8) システムに利用者のメールアドレスが登録されている場合、利用者がパスワードを失念した場合の対処機能は以下の①、②いずれかの方式とし、③または④の要件を満たすこと。(利用者確認の手段として、予め登録したメールアドレスに宛てたメールが受信できることを用いる。)
①パスワードリセット機能を利用するためのURL を登録メールアドレスにメール送付する方式
②仮パスワードを発行し、メールで通知する方式(仮パスワードでログインした場合は、パスワード変更機能のみが利用できるものとする)
③①の機能の実装に際して、第三者がパスワードリセット機能を使えないように、URL には十分長い乱数による秘密情報(トークン)をつけること。
④②の機能に対する総当たり攻撃対策を施すこと。
(9) インターネットに公開し、利用者登録が可能なシステムの場合、以下を遵守すること。
・利用者登録時にメールアドレスを登録させること。
・利用者によって登録されたメールアドレスに対してメールを送付し、登録メールアドレスが利用者に利用されているアドレスであることを確認する処理を実装すること。
・登録メールアドレスが利用者に利用されているアドレスであると確認できた後に本システムにおける利用者登録を完了(登録の確定)とし、利用者登録の完了を経てからアカウントを作成すること。
・登録されたメールアドレスに対してメールを送付する際に、利用者が登録したパスワードを記載しないこと。
・利用者が登録したメールアドレスを変更する機能を実装すること。
・メールアドレス変更機能の実行前に、パスワードの入力を利用者に求め、正
しいパスワードであることを確認すること。
・メールアドレス変更機能の実行後は、利用者登録時と同様の処理を経ること。
・変更前のメールアドレス(旧メールアドレス)にも登録メールアドレスが変更された旨の通知をメール送付すること。
・パスワード変更機能の実行後に、登録されているメールアドレスへ、パスワードが変更された旨の通知をメール送付すること。
・利用者による自身のアカウント削除機能を提供すること。
・アカウント削除機能の実行前に、パスワードの入力を利用者に求め、正しいパスワードであることを確認すること。
・アカウント削除機能の実行後、登録されていたメールアドレスにアカウントが削除された旨の通知をメール送付すること。
14 ログイン状態にある利用者の意図に反した機能実行の防止(開発)
(1) Web アプリケーションの場合、外部リンク等により本システムの画面(機能)に遷移することにより、本システムの機能がログイン状態にある利用者の意図に反して実行されることを防止すること。なお、ここで言う「ログイン状態にある利用者の意図に反した機能実行の防止」とは、クロスサイト・リクエスト・フォージェリ(以下「CSRF」という。)対策及びクリックジャッキング対策を指す。
(2) Web アプリケーションの場合、CSRF 対策及びクリックジャッキング対策を施すべき画面(機能)を洗い出し、求めがあった際に提出すること。なお、当該機能のページは POST メソッドで呼び出すようにすること。
(3) Web アプリケーションの場合、対策対象の画面(機能)を実行する前のページにて十分長い乱数による秘密情報(トークン)を生成して埋め込み、処理を実行する際は、その値が正しい場合のみ実行すること。
(4) Web アプリケーションの場合、対象画面の 1 つ手前の画面にて、次のいずれかの HTTP レスポンスヘッダを出力すること。なお、対象画面以外にも出力してよい。
・X-FRAME-OPTIONS: DENY
・X-FRAME-OPTIONS: SAMEORIGIN
15 ログ(開発)(保守)
(1) システム監査、情報セキュリティ事故調査を目的として以下のログを出力及び保管すること。
・Web アプリケーションの場合、Web サーバのアクセスログ
・メールの送受信を行う場合、メールの送受信ログ
・ファイアウォールを設置する場合、ファイアウォールのアクセスログ
・データベースを使用する場合、データベースのアクセスログ
・アプリケーションログ
・エラーログ
(2) デバッグログについては、構築時、動作テスト時には出力してよいが、本番稼働
時までに無効にしておくこと。ただし、システム検証やトラブル対応のために、認めた場合は除く。
(3) 以下のイベントをアプリケーションログにて取得すること。なお、以下に記載していない他のイベントも取得してもよい。
・ログイン(成功・失敗問わず)
・ログアウト
・アカウントロック
・利用者登録・登録削除
・利用者の登録内容更新
・利用者のパスワード変更
・非公開情報の参照
・その他重要な操作(Web アプリケーションの場合、CSRF 対策の対象となる操作は必須)
(4) 以下の情報をログに含めること。なお、これ以外の情報を含めても良い。
・アクセス日時(年、月、日、時、分、秒)
・Web アプリケーションの場合、アクセス元 IP アドレス(IPv4 又は IPv6)
・利用者 ID
・アクセス対象(Web アプリケーションの場合、URL 又はページ番号等)
・操作内容
・操作対象(利用者 ID、文書 ID など)
・実行結果(成功あるいは失敗、処理件数など)
(5) パスワードはログの項目として取得しないこと。
(6) ログが不正に参照・変更・削除されないよう保護すること。
(7) ログから非公開情報が漏えいすることを防ぐため、ログの目的(監査、情報セキュリティ事故調査)を妨げない範囲で非公開情報を含めない処理又は非公開情報の一部のみの出力(マスク処理)をすること。
(8) ログは 3 年間保管すること。ただし、ファイアウォール等、ハードウェアの仕様によりこの保管期限を達成できない場合は、最大限保管すればよいものとする。
(9) ログの安全な保管方法(媒体、保管フォーマット、保管場所等)を定めること。
16 暗号化(開発)
(1) システムで送受信する情報✰うち、非公開情報に該当するも✰を要件定義時に一覧表にまとめ、求めがあった際に提出すること。
(2) インターネットに公開する Web アプリケーション✰場合、利用者と本システム間で非公開情報を送受信する際に利用する画面(機能)を SSL/TLS ✰利用対象とすること。
(3) インターネットに公開する Web アプリケーション✰場合、サーバ証明書はブラウザで警告✰出ないも✰を使用し、証明書✰発行先名は、運営者✰名称とする。
(4) Web アプリケーション✰場合、SSL2.0 は使用しない設定にすること。
(5) 非公開情報をデータベースまたはファイルに保存する際は暗号化を施すこと。
(6) 非公開情報をデータベースまたはファイルに保存する際✰暗号化アルゴリズムは CRYPTREC「電子政府における調達✰ために参照す➴き暗号✰リスト」に記載されたアルゴリズムを用いること。
(7) 県から求めがあった場合、暗号鍵✰管理方法を提出すること。
17 調達
(1) パソコンを調達する場合、コンシューマー向け製品ではなく、業務に関係✰ないプリインストールソフトが少ない法人向け製品を選定すること。
(2) 機器を調達する場合、重要な機器は、障害発生を想定し、必要に応じて二重化等を行うこと。
(3) ソフトウェアライセンス(以下「ライセンス」という。)を調達する場合、県✰定める様式に従って以下✰事項を報告すること。ただし、県が不要と判断した場合はこ✰限りではない。
・ソフトウェア名
・版(アカデミック版、アップグレード版等)
・種類(プリインストール、パッケージ、ボリュームライセンス等)
・メーカー
・導入可能数
・特筆す➴き使用許諾条件
・ブログラム✰追加と削除(ブログラムと機能)で✰表示
(4) ライセンスを調達する場合、ユーザ登録またはライセンス登録は事前に県に登録内容の了解を得てから実施すること。
(5) ライセンスを調達する場合、障害や互換性を考慮すること。複数のライセンスを調達するとき、メーカーからボリュームライセンスが提供されている場合は、 OS を除き原則としてボリュームライセンスを調達すること。特段の理由によりボリュームライセンスを選択しない場合は、事前に県の了解を得ること。
(6) ライセンスを調達する場合、県が既に保有しているライセンスの✲用許諾条件の制約を考慮すること。
(7) 賃貸借契約でライセンスを調達する場合、✲用許諾条件上問題がないか確認すること。
(8) 更新前の機器で利用していたライセンスを更新後の機器で利用する場合、更新後の機器及び利用形態等が当該ライセンスの✲用許諾条件を満たすか確認し、必要に応じてライセンスの調達を行うこと。
(9) システムを調達する場合、ハードディスクの一部に障害が発生したときもデータが保全されるよう定期的にバックアップを取得すること。重要システムの場合、 RAID 構成やホットスペアの配置等により、ハードディスクの一部に障害が発生したときも運用が継続できること。
(10) 契約書、仕様書及び本書に定める納品物に第三者が権利を有する著作物(ソフトウェアライセンスを除く。)が含まれている場合、当該著作物の✲用に必要な費用の負担及び✲用許諾契約に係る一切の手続を行うこと。
18 外部ネットワーク接続
(1) 外部ネットワーク(インターネットを含む。)と接続する場合、以下の項目を遵守すること。
・外部のネットワークを経由した接続において非公開情報を取り扱う場合、利用者 ID とパスワードによる利用者の認証を行うこと。
・外部の端末からネットワークを経由した重要な操作が行われる場合は、アクセス可能な外部端末を限定すること。
・外部の端末からネットワークを経由した重要な操作が行われる場合は、暗号化された転送プ➫ト➺ル(SSL、SSH、SFTP 等)を✲用するよう努めること。
・総合行政ネットワーク等の外部機関が管理するネットワークとの接続を行う場合は、そのネットワーク接続仕様に従った対策を行うこと。
・外部の端末からネットワークを経由した重要な操作を実施する場合は、専用線や IP-VPN といった閉域網を利用すること。やむを得ず、インターネット等の公衆通信網を利用する場合は、 暗号化された通信プ➫ ト➺ ル
(IPsec/SSL/SSH/SFTP 等)を✲用すること。
・外部の端末からネットワークを経由した重要な操作が行われる場合は、利用者 ID とパスワードによる認証だけでなく、IP アドレス制限や二要素認証等を実施すること。
・ファイアウォールを構築し、情報機器を保護すること。
・ファイアウォール及びルータにおいて、次に掲げる内容を定め、求めがあった際に提出すること。
① 通過させるポート番号、通信方式、接続先、通信の方向
② 通過させる理由
19 ネットワーク管理
(1) ネットワークを構築または管理する場合、以下の項目を遵守すること。
・次に掲げる管理資料を作成し、不備または変更があった場合は修正すること。
① ネットワークの構成図
② ネットワークの運用管理方法
③ ネットワーク接続基準
④ ネットワーク障害時の対応方法
・重要なネットワーク回線及びネットワーク機器は、障害発生を想定し、必要に応じて二重化等を行うこと。
20 外部とのデータ交換
(1) ネットワークを利用して外部とのデータ交換を行う場合、以下の項目を遵守すること。
・✲用する回線及び通信方法等の手順を定め、遵守すること。
・決められた保存領域で行い、別の領域を✲用しないこと。
・ファイルサイズ又はデータの一部を交換前のデータと比較する等の確認をすること。
・交換相手、交換日時、交換方法、交換データの内容等について記録すること。
・非公開情報を交換する場合は、データを暗号化すること。
21 互換性(開発)
(1) システムを開発する場合、納品時にマイク➫ソフトがサポート中の Windows クライアント OS 及び納品から 5 年の間に販売される Windows クライアント OSに対応すること。
(2) Web アプリケーションの場合、納品時にマイク➫ソフトがサポート中の Microsoft Edge 及び納品から 5 年の間に提供されるMicrosoft Edge に対応すること。
(3) Web アプリケーションの場合、互換性を考慮し Microsoft Edge 以外でも✲用可能であることが望ましい。
22 アクセシビリティ
(1) インターネットに公開する場合、公開する全ての URL について、JIS X 8341-3:2016 のレベル AA に配慮すること。ここでの「配慮」とは、情報通信アクセス協議会ウェブアクセシビリティ基盤委員会「ウェブ➺ンテンツの JIS X 8341-3:2016 対応度表記ガイドライン – 2016 年 3 月版」で定められた表記によ
る。なお、既存のPDF、動画及び音声ファイルは対象外とする。
(2) インターネットに PDF ファイルを公開する場合、提供する情報はできるだけページ本文内に HTML 形式でも掲載すること。また、PDF ファイルは文書ファイル等から変換して作成するものとし、例外的にスキャンして作成した PDF ファイルを掲載する場合は、JPEG 形式のファイルでも公開すること。なお、既存の PDF ファイルは対象外とする。
(3) インターネットに表形式データを公開する場合、CSV 形式も公開すること。なお、既存の Excel ファイルは対象外とする。
23 契約時
(1) 受注者は、契約締結後、遅滞なく以下の書類を提出しなければならない。
・契約金額内訳書
・連絡先(緊急連絡先を含む少なくとも第三順位者までの氏名、常時連絡可能な電話番号及びメールアドレス)
24 プロジェクト立ち上げ
(1) システム開発や設定を伴う機器調達の場合、プ➫ジェクト立ち上げ時に以下の書類を県と協議のうえ作成、提出すること。また、これらの書類の記載事項を変更する場合、県と協議の後、変更後の書類及び変更点を記した文書を提出すること。
・作業工程表
・体制図(再委託先及び下請け先を含む作業責任者、作業従事者の氏名等)
(2) システムの開発を行う場合、以下の事項を含むプ➫ジェクト方針書を県と協議のうえ作成、提出すること。協議に際し、県と受注者双方で決定事項、検討事項、リスク要因を明確にし、現時点で不明点がないようにすること。プ➫ジェクト方針書について概ねの合意ができた時点で基本設計に着手すること。
・前提条件と制約条件
・仕様等を決定・変更する場合の合意の手順、報告の頻度
・県と受注者の役割と責任分担
・現状の課題と想定されるリスク
・変更管理計画
・仕様管理計画
・進捗管理計画
・品質管理計画
・問題管理計画
25 基本設計(開発)
(1) 基本設計時には以下の事項を遵守すること。
・県と認識の違いが発生しないよう、連絡を密にすること。
・県から口頭で説明を受けた場合、文書化(図、表なども活用)したものを作成し確認を求めるなどして正確な情報把握に努めること。
・少量の例外的な処理をシステム化するよう依頼を受けた場合は、システム化により得られるメリットと、システムの複雑化に伴う開発期間及び開発費用の増加並びに拡張性及びメンテナンス性の低下等のデメリットとを比較説明し、県の判断を仰ぐこと。
(2) 基本設計時には以下の事項を含む基本設計書を県と協議のうえ作成、提出すること。
・システム(ネットワーク含む)構成
・情報セキュリティの確保
・性能や信頼性(故障検出や故障対応等)
・処理方式や他システムとの連携方式
・将来の処理能力強化などの拡張性
・画面・帳票の種類やレイアウト(設計方針も含む)
・業務機能(利用者管理機能、利用状況確認機能等も含む)
・総合テスト、研修、移行などシステム導入に向けて必要な作業の概要
・システム導入(運用開始)後の業務運用や保守作業の概要
26 システム開発(開発)
(1) システム開発時には以下の事項を遵守すること。
・定期的な報告会または臨時会議を実施し、作業状況を県に報告すること。
・問題・課題やリスクと思われる事項は初期段階のうちに県に報告するとともに、原因の分析や処置方法の検討、スケジュールへの反映、類似問題有無の確認などを行うこと。
・業務で実際に✲用しているデータをテストデータとして✲用しないこと。ただし、業務上やむを得ず✲用する場合は、利用範囲及び利用目的を限定して、県の許可を得た上で必要な保護対策を実施すること。
・開発した情報システムの導入により、既存システムに影響を及ぼさないことを確認すること。
・海賊版や偽造品、その他ライセンスの保有を対外的に示すことができないソフトウェアを用いて開発を行わないこと。
27 テスト(開発)
(1) 県から求めがあった場合、テストの成果物を提出すること。
(2) 以下の場合は強化試験を実施するなどの処置を施すこと。
・障害発生率が基準値より多い
・障害発生率が基準値より極端に少ない
・基本的な事項で障害を検出した
(3) インターネットに公開する場合、ウェブアクセシビリティ基盤委員会の示す「JIS X 8341-3:2016 試験実施ガイドライン」に基づく試験を実施すること。この試験は、抽出により実施してよい。
(4) Web アプリケーションの場合、独立行政法人 情報処理推進機構セキュリティセ
ンター「安全なウェブサイトの作り方」の別冊「ウェブ健康診断仕様」により検査すること。この検査は抽出により実施してよい。
(5) 総合テスト時には以下の事項を含む総合テスト計画書を県と協議のうえ作成、提出すること。
・テスト環境
・検証ツール
・テスト項目(性能や信頼性、安全性、運用性、作成した媒体(CD-ROM やテープなど)の二次利用、他のシステムとの連携を含む)
・テストデータ
・テスト手順
・結果確認方法
・仕様書の要求事項を満たしていることの確認
・品質判定基準
(6) 総合テスト後、総合テスト成績書を県に提出すること。
28 研修
(1) 研修を行う場合、以下の事項を含む研修計画書を県と協議のうえ作成、提出すること。
・スケジュール
・県と受注者との役割分担、体制
・対象者(一般利用者、システム管理者等)
・研修内容
・研修で✲用する環境やデータの準備
・研修用マニュアル(操作マニュアル等)の作成
・研修結果アンケートの実施
(2) 研修結果アンケートにより操作マニュアル等の記載内容やわかりやすさに課題が見つかった場合は、運用開始前に改善すること。
(3) 研修結果アンケートにより習熟度が不足している場合は、追加の研修実施を行う等の対策をとること。
29 移行(開発)
(1) 既存システムからの移行を行う場合、データ移行において必要となる既存システムに関する調査、既存システムの保守業者等との調整、移行の際に必要となるシステムの設計・開発等、移行作業に関する全ての作業を行うこと。また、以下の事項を含む移行計画書を県と協議のうえ作成、提出すること。
・スケジュール
・県と受注者との役割分担、体制
・業務や利用中のシステムを停止しなければならない期間、範囲
・外部機関や他システムへの影響
・事前の周知、調整
・移行当日の体制(連絡方法や要員配置(出先機関などの対応も含む))
・移行の詳細な手順(移行後の確認手順も含む)
・移行の成功/失敗の判断基準
・旧システムへの戻し手順
・運用開始直後の支援体制、状況確認会議の実施
30 検収
(1) 検収のために、以下のものを提出すること。
・完了報告書
・システムの場合、システム一式及び付帯資料(設計書、マニュアル、報告書等)
・県が求めた場合、納品物が契約書や仕様書の要求事項を満たすことを確認するための補足説明資料
・その他、契約書や仕様書で定めた納品物
31 運用(保守)
(1) 事前に以下の事項を含む運用計画書を県と協議のうえ作成、提出すること。
・定常的な作業とその実施頻度
・定常的な作業以外の特別対応
・稼働状況、故障状況、利用状況等の把握
・作業報告
・発生しうる問題とその対応
(2) 契約期間中は以下の事項を遵守すること。
・作業の実施状況を記録し、定期的に報告書を提出すること。
・設計書、機器構成、データ仕様、システム間連携仕様等、各種書類の変更管理を行い、変更があった場合、県に最新版の書類を提出すること。
・運用計画どおりに安定的にシステムが利用されているか確認すること。
・運用計画と相違が生じた場合に、対処を検討し、必要な是正処置をとること。
・作業の記録及び保管を行うこと。
・ウイルス対策ソフトウェアのパターンファイルを最新の状態に保つこと。
・最新のパターンファイルを利用して、定期的に➺ンピュータウイルスの検査を行うこと。
・パッチリリース後 1 週間以内にパッチ適用・非適用の方針を決め、その判断理由について報告すること。なお、パッチを適用しないことによりセキュリティ上の問題がある場合、パッチを適用しなければならない。
・パッチリリース後 2 週間以内に追加費用なしでパッチ適用(動作検証を含む。)を行うこと。また、適用作業終了後は、正常動作を確認し、パッチ適用状況
(適用の成功・不成功、動作への影響有無等)を報告すること。
(3) トラブル発生時には以下の事項を遵守すること。
・二次災害の発生や影響の拡大防止を優先すること。
・重大な障害発生時には、作業担当者だけで対応するのではなく、組織的に取り組むこと。
・利用者への影響を確認し、県に対し状況や復旧予定を速やかに連絡すること。
・県へ報告する際は、事実と推測を区別すること。
・暫定的な処置を施すことで業務遂行が可能となるような方法も検討すること。
(4) 県が求めた際、以下の電子データを提出すること。
・ソース➺ード(受注者または第三者がツール等として従前から著作権を有している場合を除く)
・全件分のデータ(汎用的なデータ形式とすること)
・データのレイアウト、➺ード表など次期システムの参考となる資料
・次期システムにおいて設計上考慮すべき事項
(5) 次期システムの計画が生じた場合は、円滑なデータ移行を実現するための調査等を県の求めに応じて誠実に実施すること。
32 事故時の対応
(1) 契約書、仕様書及び本書の履行に関し情報セキュリティ事故が発生した場合、その事故の発生に係る帰責の如何に関わらず、直ちに県に対して、以下の事項を報告し、適切な措置をとること。また、調査結果を遅滞なく県に報告すること。
・当該事故に関わる情報の内容
・件数
・事故の発生場所
・発生状況
(2) 情報セキュリティ事故が発生した場合、県は必要に応じて当該事故に関する情報を公表することができる。
(3) 情報セキュリティ事故による影響の拡大を防止した後、県へ原因の調査結果、回復方法及び再発防止策について報告すること。
33 契約終了時
(1) 機器を廃棄またはリース返却する場合には以下の事項を遵守すること。
・記憶装置を物理的に破壊、又は磁気的に破壊し、情報を復元不可能な状態にすること。また、庁舎内で職員立ち会いのもと破壊する等、確実な履行を担保すること。
・データ消去証明書を県へ提出すること。
・県が所有するソフトウェアを削除すること。
・機器の廃棄またはリース返却の記録を保管すること。
(2) 賃貸借契約の場合、追加費用なしで撤去すること。
(3) 賃貸借契約の場合、県名義で調達したライセンスを県に無償譲渡すること。ただし県が不要と判断したものを除く。
34 著作権の帰属
(1) 受注者は、成果品(契約✰履行過程において得られた記録、契約終了時に提出される移行データ等を含む。)を他人に閲覧させ、複写させ、又は譲渡してはならない。ただし、県✰承諾を得たときは、こ✰限りでない。
(2) 前項✰成果品に関し、著作権及び意匠xx✰す➴て✰権利は、受注者または第三者がツール等として従前から著作権を有している場合を除き、県に帰属するも✰とする。
(3) 受注者は、県に著作権を譲渡し、または県に著作xxに基づく利用を許諾した成果品に関し、著作者人格権を行使しないも✰とする。
35 著作権の紛争
(1) 契約書、仕様書及び本書に定める納品物に関し、第三者と✰間に著作権(ライセンスを除く。)に係る権利侵害✰紛争等が生じたときは、当該紛争✰原因が県✰責めに帰す場合を除き、受注者✰責任及び負担において一切を処理するも✰とする。こ✰場合、県は、当該紛争等✰事実を知ったときは受注者に通知し、受注者は必要な範囲で訴訟上✰防衛を県✰ために講じなければならない。
(2) 契約書、仕様書及び本書に定める納品物に関し、第三者と✰間にライセンスに係る権利侵害✰紛争等(必要ライセンス数✰不足✰指摘を含む。)が生じたときは、県が納品物を紛失した場合を除き、受注者✰責任及び負担において一切を処理するも✰とする。こ✰場合、県は、当該紛争等✰事実を知ったときは受注者に通知し、受注者は必要な範囲で訴訟上✰防衛(不足ライセンス✰追加調達を含む。)を県✰ために講じなければならない。
36 契約不適合責任
(1) 契約書、仕様書及び本書に定める納品物について契約✰内容に適合しないも✰
(バグも含む。以下「契約不適合」という。)が発見された場合、県は受注者に対して当該契約不適合✰修正を請求することができ、受注者は、修正するも✰とする。
(2) 受注者がかかる修正責任を負う✰は、以下✰いずれか✰期間内に県から請求された場合に限るも✰とする。
・検収完了後 1 年以内
・個々✰機能に関しては、運用開始以降、当該機能✰初動操作が正常に稼働してから 6 ヶ月以内
(3) 受注者が納品物✰一部を修正した場合、関連する他✰納品物も遅滞なく修正し、再提出すること。例えばシステムを修正した場合で設計書も納品していた場合、設計書も修正し、再提出すること。
37 その他
(1) 受注者は、本書に定めるも✰✰ほかに、業務内容に応じて、適切な情報セキュリティ対策を実施すること。
(2) 契約書、仕様書または本書に定め✰ない事項については、必要に応じて県と受注者とが協議して定める。
別紙2
個人情報の取扱いに係る特記事項
(趣旨)
第1 乙は、個人情報の保護の重要性を認識し、この契約による事務の実施に当たっては、個人の権利利益を侵害することのないよう、個人情報の取扱いを適正に行わなければならない。
(秘密の保持)
第2 乙は、この契約による事務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。この契約が終了し、又は解除された後においても同様とする。
2 乙は、この契約による事務に従事している者に対して、在職中及び退職後においてもこの事務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならないことその他個人情報の保護に関し必要な事項を周知するものとする。
(取得の制限)
第3 乙は、この契約による事務を行うため個人情報を取得するときは、その事務の目的を明確にし、当該目的の達成のために必要な範囲内で、適法かつ適正な方法により取得しなければならない。
(適正管理)
第4 乙は、この契約による事務に関して知り得た個人情報の漏えい、滅失又はき損の防止その他の個人情報の適切な管理のために個人情報の取扱責任者の設置等の管理体制の整備など、必要な措置を講じなければならない。
(従事者の監督)
第5 乙は、その従事者に個人情報を取り扱わせるに当たっては、当該個人情報の適正な管理が図られるよう、当該従事者に対する必要な監督を行わなければならない。
(目的外利用及び提供の禁止)
第6 乙は、この契約による事務に関して知り得た個人情報を、契約の目的以外の目的のために利用し、又は第三者に提供してはならない。ただし、あらかじめ甲の書面による指示又は承諾を受けたときは、この限りではない。
(複写又は複製の禁止)
第7 乙は、この契約による事務を行うため甲から提供を受けた個人情報が記録された資料等を複写し、又は複製してはならない。ただし、あらかじめ甲の書面による承認を受けた
ときは、この限りでない。
(再委託の禁止)
第8 乙は、この契約による個人情報を取り扱う事務について、第三者に再委託し、又は
下請させてはならない。ただし、あらかじめ甲の書面による承認を受けたときは、この限りではない。
2 乙は、甲の承諾により第三者に個人情報を取り扱う事務を再委託し、又は下請させる
場合には、甲が乙に求めた個人情報の保護に関し必要な措置と同様の措置を当該第三者に書面により求めるものとする。
(資料等の返還等)
第9 乙は、この契約による事務を行うため甲から提供を受け、又は乙自らが取得し、若しくは作成した個人情報が記録された資料等は、本契約終了後直ちに甲へ返還しなければならない。ただし、甲が書面により別に指示したときは、その指示に従うものとする。
2 乙は、この契約による事務により保有する個人情報については、本契約終了後直ちに消去し、又は廃棄しなければならない。ただし、甲が書面により別に指示したときは、その
指示に従うものとする。
(管理状況の報告等)
第10 甲は、乙がこの契約による事務を行うに当たり、個人情報の取扱責任者の設置及びその他個人情報の管理状況について報告を求め、又は調査をすることができるものとする。
(事故報告)
第11 乙は、この契約に違反する事態が生じ、又は生じるおそれのあることを知ったときは、直ちにその状況を甲に通知し、適切な措置をとらなければならない。また、調査結果を遅滞なく甲に報告しなければならない。
(指示)
第12 甲は、乙がこの契約による事務を行うために取り扱っている個人情報の管理状況について、不適切と認められるときは、乙に対して必要な指示を行うことができる。
注1 「甲」は、委託者である子育てにやさしい企業推進協議会会長、
「乙」は受託者をいう。
2 委託の事務の実態に即して、適宜必要な事項を追加し、また不要な事項を削除するものとする。