Contract
別紙
個人情報取扱特記事項
(基本的事項)
第 1 乙は、個人情報の保護の重要性を認識し、この契約による事務の実施に当たっては、個人の権利利益を侵害することのないよう、個人情報の取扱いを適正に行わなければならない。
(秘密の保持)
第 2 乙は、この契約による事務に関して知り得た個人情報をみだりに他に漏らしてはならない。この契約が終了し、又は解除された後においても、同様とする。
(収集の制限)
第 3 乙は、この契約による事務を行うために個人情報を収集するときは、当該事務の目的を達成するために必要な範囲内で、適法かつ適正な方法により収集しなければならない。
2 乙は、この契約による事務を行うために個人情報を収集するときは、その目的を明示した上で本人から収集し、本人以外から収集するときは、本人の同意を得た上で収集しなければならない。ただし、甲の承諾があるときは、この限りでない。
(安全確保の措置)
第 4 乙は、この契約による事務に関して知り得た個人情報は「和歌山県個人情報保護事務取扱要
綱」第 1 章及び第 2 章に準じ、その漏えい、滅失又はき損の防止その他の個人情報の適切な管理のために必要な措置を講じなければならない。
2 乙は、この契約による事務を処理するために個人情報を取り扱うに際し、責任者及び作業者を明確にし、作業場所を特定しなければならない。また、乙は、甲の承諾がある場合を除いては、これらの者以外の者に作業させ、当該場所以外の場所において処理してはならない。
(利用及び提供の制限)
第 5 乙は、甲の指示又は承諾があるときを除き、この契約による事務に関して知り得た個人情報を契約の目的以外の目的に利用し、又は提供してはならない。
(複写又は複製の禁止)
第 6 乙は、この契約による事務を処理するため甲から提供された個人情報が記録された資料等を、甲の承諾なしに複写し、又は複製してはならない。
(再委託)
第 7 乙は、この契約による個人情報を取り扱う事務については自ら行うこととする。ただし、甲の承諾を得た場合に限り、第三者にその取扱いを再委託することができる。
2 前項の規定に基づき再委託を行った場合、乙は、再委託先に対し、個人情報の取扱いについて必要かつ適切な監督を行わなければならない。
(資料等の返還等)
第 8 乙は、この契約による事務を処理するために甲から提供を受け、又は自らが収集し、若しくは作成した個人情報が記録された資料等は、事務完了後直ちに甲に返還し、又は引き渡すものとする。ただし、甲が別に指示したときは、その指示に従うものとする。
(従事者への周知)
第 9 乙は、この事務に従事している者に対して、在職中及び退職後において、この契約による事務に関して知り得た個人情報の内容をみだりに他人に知らせてはならないこと又は不当な目的に使用してはならないことその他個人情報の保護に関し必要な事項を周知するものとする。
(事故報告)
第 10 乙は、この契約に違反する事態が生じ、又は生ずるおそれがあることを知ったときは、速やかに甲に報告し、甲の指示に従うものとする。
(調査)
第 11 甲は、乙がこの契約による事務を処理するに当たり、取り扱っている個人情報の状況について、随時調査することができるものとする。
(契約解除及び損害賠償)
第 12 甲は、乙が個人情報取扱特記事項の内容に反していると認めたときは、契約の解除又は損害賠償の請求をすることができるものとする。
「安全確保の措置」に係る遵守事項
(基本的事項)
第1 乙は、この契約による事務の実施に当たっては、甲の情報を閲覧する者の個人情報を侵害することのないよう、甲から委託を受けて情報を公開するために利用する機器等の管理を適正に行わなければならない。
2 乙は、この契約による事務の実施に当たり、ホスティングサービス、レンタルサーバー、ハウジングサービス又はこれらに類するサービスを利用する場合は、第 1 項に沿って本遵守事項に定める各事項を満たすよう、この契約による事務を処理するに当たり、事前にサービス提供者との間で取り決め又は確認をすること。
(ウイルス対策の実践)
第2 乙は、この契約による事務の実施に当たっては、利用するサーバ等の機器について、ウイルス検知用データは常に最新のものに更新すること。
2 Webサーバの管理用又は更新用等にパソコン等の機器を利用する場合は、乙はこれら機器に対しても第 1 項で規定する措置を講じること。
(ソフトウェアの更新)
第3 乙は、本遵守事項の第2の対象となる機器で利用するソフトウェアに対しては、定期的に修正プログラムを適用し、できる限りソフトウェアを最新の状態にしておくこと。
なお、サポートが終了しているソフトウェアは利用しないこと。
(ファイアウォールの導入)
第4 乙は、この契約による事務の実施に当たっては、ファイアウォールを設定し通過させるパケットや遮断するパケットに対するルールを設定しておくこと。
2 乙は、侵入防止システム(IPS)を導入すること。ただし、甲の承諾があるときは、この限りでない。
(セキュリティ診断)
第5 乙は、外部の者によるセキュリティ診断を受けること。ただし、甲の承諾があるときは、この限りでない。
(ログのチェック)
第6 乙は、この契約による委託期間中、定期的にログ(Web サーバー、OS、ルータ、DB 等)をチェックすること。
(コンテンツ内容の確認等)
第7 乙は、著作権を侵害するような写真やイラスト、ファイル等は使用しないこと。
2 乙は、この契約による事務を処理するに当たっては、コンテンツの取込持出時の検疫方法と取扱手順を事前に定めておくこと。
(パスワードの管理)
第8 乙は、この契約による事務を処理するに当たっては、本遵守事項の第2の対象となる機器等には安全なパスワードを設定することとし、定期的に変更すること。また、不要なアカウントを登録しないこと。
(コンテンツ等の管理)
第9 乙は、Web サーバやデータベースサーバ等、コンテンツや情報等を格納するディレクトリやファイルに対しては適正なアクセス権限を設定すること。
2 乙は、この契約による事務を処理するに当たり、下記の対策を講じること
① SQL インジェクション、クロスサイト・スクリプティング等の脆弱性への対策を講じること。
② 不要なページやウェブサイトを公開しないこと。
③ 不要なエラーメッセージを返さないこと。
④ 不要なサービスやアプリケーションを起動させないこと。
(セキュリティポリシー)
第10 乙は、この契約による事務を処理するに当たり、セキュリティポリシーを策定すること。ただし、既にセキュリティポリシーを定めている場合はこの限りではない。
2 乙は、この契約による事務を処理するに当たり、不正侵入やウイルス感染が発生した場合の対応方法を策定しておくこと。ただし、既にこれらの対応方法を定めている場合はこの限りでない。
(調査)
第11 甲は、乙がこの契約による事務を処理するに当たり、本遵守事項に定める各事項の状況について、随時調査することができるものとする。
(契約解除及び損害賠償)※契約書中に契約解除及び損害賠償に関する定めがない場合
第12 甲は、乙が本遵守事項の内容に反していると認めたときは、契約の解除又は損害賠償の請求をすることができるものとする。
注
1 甲は委託者である和歌山県を、乙は受託者を指す。
2 委託事務の実態に即して、適宜必要な事項を追加し、又は不要な事項を省略することができる。