Contract
別紙3
電算処理の業務委託契約の特記事項
(兼電算処理の個人情報を取り扱う業務委託契約の特記事項)
(秘密保持義務)
1 受託者は、当該委託契約(業務内容に保守委託を伴う賃貸借契約等を含む。以下同じ。)に係る電算処理業務(以下「委託業務」という。)により知り得た個人情報その他の情報(以下「情報」という。)を、いかなる理由があっても第三者に漏らしてはならず、この旨を委託業務に従事する者(以下「従事者」という。)へ周知徹底しなければならない。また、契約期間満了後も、同様とする。
(書面主義の原則)
2 受託者は、本特記事項により通知、報告、提出等が求められている事項については、特段の定めがない限り、書面により行うものとする。
(管理体制等の通知)
3 受託者は、当該委託契約の締結後直ちに、以下の文書を区に提出しなければならない。提出後に内容の変更があった場合も、同様とする。
(1) 情報セキュリティ及び個人情報保護に関する社内規程又は基準
(2) 以下の内容を含む従事者名簿
① 電算処理の責任者及び電算処理を行う者の氏名、責任、役割及び業務執行場所
② 委託業務において個人情報を取り扱う者の氏名、責任、役割及び個人情報の授受に携わる者の氏名並びに業務執行場所
③ 委託業務に関する緊急時連絡先一覧
(3) 委託業務に係る実施スケジュールを明記した文書
(4) 委託業務において使用する情報システムのネットワーク構成図(特定個人情報ファイル(コンピュータ等で検索することができるよう体系的に構成した情報の集合物であって、個人番号をその内容に含むもの。以下同じ。)を取り扱う場合のみ。第 23 項の事項を証するもの。)
(5) 委託業務において使用する情報システムのセキュリティ仕様書(特定個人情報ファイルを取り扱う場合のみ。第 24 項の事項を証するもの。)
(6) クラウドサービス(有料、無料に関わらず、民間事業者等がインターネット上で提供する情報処理サービスで、約款への同意及び簡易なアカウントの登録等により当該機能が利用可能となるサービスのこと。以下同じ。)利用に係るリスク対策文書(委託業務においてクラウドサービスを利用する場合のみ。第 25 項の事項を証するもの。)
(再委託の禁止)
4 受託者は、委託業務の全部又は一部を、他の者に再委託してはならない。ただし、附属業務でやむを得ず再委託する必要があるときは、受託者は、再受託者(委託先の子会社(会社法(平成 17 年法律第 86 号)第 2 条第 1 項第 3 号に規定する子会社
をいう。)である場合も含む。以下同じ。)に当該委託契約及び本特記事項を遵守させ、かつ、再受託者にかかる再委託の内容及び第3項に規定する事項を、区に事前に書面をもって通知し、その承認を得なければならない。
再受託者も、委託業務の全部又は一部を、他の者に更に再委託してはならない。附属業務でやむを得ず更に再委託する必要があるときは、再委託と同様の条件と手続きにより、区の承認を得なければならない。更に再委託が繰り返される場合も同様とする。
(目的外使用等及び複写等の禁止)
5 受託者は、委託業務で取り扱う情報を委託業務の目的以外に使用してはならない。また、第三者に提供してはならない。
6 受託者は、区が委託業務での使用を目的として受託者に提供し、又は貸与する情報及び情報資産(世田谷区電子計算組織の運営に関する規則(平成16年世田谷区規則第47号)第2条第9号に規定する情報資産をいう。以下同じ。)を、委託業務以外の目的に使用してはならない。
7 受託者は、委託業務で取り扱う情報及び情報資産について、業務上必要なバックアップを取得する場合を除き、区の承認を得ずに複写してはならない。委託業務を実施する上でやむを得ず複写するときは、あらかじめ区に通知し、その承認を得なければならない。この場合において、委託業務の終了後、受託者は、直ちに複写した電磁的記録の消去及び印刷物の廃棄を行い、使用できない状態にするとともに、消去又は廃棄した日時、担当者及び処理内容を区に報告しなければならない。
8 受託者は、区の事前の承諾なく、委託業務で取り扱う情報及び情報資産を区の事業所または受託者の事業所から持ち出してはならない。
(物的セキュリティ対策)
9 受託者は、委託業務に使用する情報システムに係る装置の取付けを行う場合は、できる限り、火災、水害、埃、振動、温度、湿度等の影響を受けない場所に設置するものとし、施錠等容易に取り外すことができないよう必要な措置を講じなければならない。
10 受託者は、委託業務に係る区が運用する情報システムのサーバ等を区庁舎外に設 置する場合は、区の承認を得なければならない。また、定期的に当該サーバ等への 情報セキュリティ対策状況について確認するとともに、区から要請があった場合は、その結果を区に報告しなければならない。
11 受託者は、その従事者に名札等の着用及び身分証明書等の携帯を義務付け、区の情報システム室その他の区の管理区域に立ち入る場合において区から求められたときは、身分証明書等を提示するよう指導しなければならない。
12 受託者は、委託業務で使用するパソコン等の盗難を防止するため、当該パソコン等をセキュリティワイヤーで固定し、又は従事者が業務執行場所を離れる間において施錠可能なロッカー等に収納させるなどの措置を講じなければならない。
(人的セキュリティ対策)
13 受託者は、委託業務において、区に提出した情報セキュリティ及び個人情報保護に関する社内規程又は基準を遵守しなければならない。また、情報セキュリティ対
策について不明な点、遵守することが困難な点等がある場合は、速やかに区に報告し、代替策について協議しなければならない。
14 受託者は、情報及び情報資産を適切に保管するものとし、パソコン等により情報及び情報資産を使用する場合は、第三者に使用され、又は閲覧されることがないように、離席時にパスワードロック又はログオフ等を行わなければならない。
15 受託者は、従事者に情報システムの保守又は運用業務に関し、次の事項を遵守させなければならない。
(1) 自己が利用している ID は、他人に利用させないこと(ID の共用を指定されている場合は除く。)。
(2) 共用 ID を利用する場合は、共用 ID の利用者以外の者に利用させないこと。
(3) パスワードを秘密にし、パスワードの照会等には一切応じないこと(パスワード発行業務を除く。)。
(4) パスワードのメモの不用意な作成等により、パスワード流出の機会を作らないこと。
(5) パスワードは、十分なxxxx、想像し難い文字列とすること。
(6) 複数の情報システムを取り扱う場合は、パスワードを情報システム間で共有しないこと。
(7) パソコン等のパスワードの記憶機能を利用しないこと。
(8) 社員間でパスワードを共有しないこと(ID の共用を指定されている場合を除く。)。
16 受託者は、従事者に対して、情報セキュリティに関する教育及び緊急時対応のための訓練を計画的に実施しなければならない。
(技術的及び運用におけるセキュリティ対策)
17 受託者は、情報システムの保守又は運用業務を遂行するに当たり、情報システム の変更記録、作業日時及び実施者を記録するとともに、各種アクセス記録及び情報 セキュリティの確保に必要な記録を全て取得し、一定期間保存しなければならない。
18 受託者は、アクセスログ等を取得するサーバについて、正確な時刻設定を行わなければならない。自動的にサーバ間の時刻同期が可能な場合は、その措置を講じなければならない。
19 受託者は、情報システム等に記録された重要性の高い情報について、定期的にバックアップを取得しなければならない。また、バックアップの取得前にその手法を区に通知し、承認を得なければならない。
20 受託者は、情報システムの開発及び導入に当たり、開発及び導入前に区と協議の上、情報セキュリティに係る検証事項を定め、検証を実施しなければならない。
21 受託者は、委託業務に使用する情報システムがネットワークに接続されている場合は、不正アクセスを防ぐため、常にセキュリティホールの発見に努め、メーカー等からのセキュリティ修正プログラムの提供があり次第、情報システムへの影響を確認し、区と協議の上、修正プログラムを適用しなければならない。また、ウィルスチェックを行い、ウィルスの情報システムへの侵入及び拡散を防止しなければならない。
22 受託者は、情報システムを開発する場合は、システム開発及びテスト環境と、本番運用環境を分離しなければならない。
23 受託者は、委託業務において特定個人情報ファイルを取り扱う場合は、当該特定個人情報ファイルをインターネットから物理的又は論理的に分離された環境にて取り扱わなければならない。
24 受託者は、委託業務に使用する情報システムにおいて特定個人情報ファイルを取り扱う場合は、定期に及び必要に応じ随時に当該情報システムのログ等の分析を行うなど不正アクセス等を検知する仕組みを講じるとともに、当該情報システムの不正な構成変更(許可されていない電子媒体、機器の接続等、ソフトウェアのインストール等)を防止するために必要な措置を講じなければならない。
25 受託者は、委託業務においてクラウドサービスを利用する場合は、当該クラウド サービスの利用に伴い想定される情報セキュリティ上のリスクを回避するために 必要な措置を講じなければならない。(例:当該クラウドサービス提供事業者が公 表している情報セキュリティ対策内容の確認、受託者が従業員に付与するクラウド サービス用 ID の適切な付与管理、クラウドサービス上に記録した情報が第三者に 提供される場合についての確認、サービス利用終了時のデータの取扱い条件の確認、等)
(データのセキュリティ対策)
26 受託者は、委託業務に関し、区より情報及び情報資産を受領した場合は、預かり証を区に対して交付しなければならない。また、当該情報及び情報資産を適切に管理するため、情報及び情報資産の受領日時、受領者名、受領した情報及び情報資産の種類等の記録簿を作成するとともに、区から要請があった場合は、速やかに当該記録簿を区に提示しなければならない。
27 受託者は、委託業務に係る重要度の高い情報及び情報資産を運搬する場合は、可能な限り暗号化、パスワード設定等の保護対策を行い、鍵付きのケース等に格納する等、情報及び情報資産の滅失や不正利用を防止するための処置を講じなければならない。また、重要度の高い情報を電子メール等で送受信する場合は、暗号化、パスワード設定等の保護対策を行わなければならない。
28 受託者は、委託業務で取り扱う情報及び情報資産を施錠可能な金庫、ロッカー等に適切に保管する等善良な管理者の注意をもって当たり、情報及び情報資産の取扱いには十分注意し、情報及び情報資産の滅失、毀損及び漏えいの防止に努めなければならない。
29 受託者は、委託業務が終了したときは、区より受領した情報及び情報資産を速やかに区に返却しなければならない。また、返却が不可能な場合は、区の了承のもと、バックアップデータを含む電磁的記録の消去及び印刷物の廃棄を行い、使用できない状態にする(電算処理機器を廃棄する場合は復元できない状態にする)とともに、消去又は廃棄した日時、担当者及び処理内容を区に報告しなければならない。
30 受託者は、情報資産の作成業務を終了したときは、直ちに当該情報資産を区があらかじめ指定した職員に引き渡さなければならない。
(電算処理機器の廃棄)
31 受託者は、委託業務で使用しているサーバ、パソコン等の機器(以下これらを「電算処理機器」という。)を廃棄する場合は、事前に当該電算処理機器に保存されている情報及び情報資産を消去、復元できない状態にした上で廃棄しなければならな
い。
(委託業務の報告)
32 受託者は、区に対し、委託業務の状況を定期的に報告するものとする。ただし、必要があるときは、その都度報告するものとする。
(監査、施設への立入検査の受入れ)
33 受託者は、情報及び情報資産の情報セキュリティ管理状況について、区の求めに応じて報告するものとする。また、区が必要に応じて監査又は検査を実施する場合は受け入れなければならない。なお、再受託者及び更に再委託が繰り返される場合も同様とする。
34 受託者は、区が必要とする場合は、業務執行場所へ区の職員の立入りを認めるものとする。
(緊急時の対応)
35 受託者は、委託業務において、業務上のトラブル、災害、事故、電算処理機器の不良、故障及び破損等が発生した場合は、直ちに区にその状況について報告し、区の指示に従わなければならない。
36 受託者は、委託業務について次に掲げる事象が発生した又は発生したおそれがある場合は、直ちに、区にその状況を具体的に報告しなければならない。
(1) 情報及び情報資産の滅失
(2) 情報及び情報資産の毀損
(3) 情報の漏えい
(4) 不正アクセス
(5) 情報セキュリティポリシーの違反
(6) 前各号に掲げるもののほか、情報セキュリティに悪影響を及ぼす事象
(サービスレベルの保証)
37 受託者は、委託業務のサービスレベルについて、事前に区と合意している場合は、そのサービスレベルを保証するものとする。
(契約解除及び損害賠償)
38 受託者が、法令及び本特記事項に違反した場合、区は、この契約を解除することができる。ただし、債務の不履行がこの契約及び取引上の社会通念に照らして軽微であるときは、この限りでない。また、受託者は、本特記事項に違反し、又は本特記事項を履行しなかったことにより、区に損害が生じた場合には、区に対しこれを賠償するものとする。