13) 受託者は、ウェブサイトを構築又は運用する場合には、インターネットを介して通信する情報の盗聴及び改ざんの防止並びに正当なウェブサーバであることを利用者が 確認できるようにするため、TLS(SSL)暗号化の実施等によりウェブサイトの暗号化の対策等を講じる。 15) 受託者は、ウェブサイト又は電子メール送受信機能を 含むシステムを構築又は運用する場合には、政府機関のドメインであることが保証されるドメイン名「.go.jp」を使用する。 ⑥電子メール送受信機能を含む場合には、SPF(Sender...
情報セキュリティに関する事項
以下の事項について遵守すること。
1) 受託者は、契約締結後速やかに、情報セキュリティを確保するための体制を定めたものを含み、以下2)~18)に記載する事項の遵守の方法及び提出を求める情報、書類等(以下「情報セキュリティを確保するための体制等」という。)について、経済産業省(以下「当省」という。)の担当職員(以下「担当職員」という。)に提示し了承を得た上で確認書類として提出する。ただし、別途契約締結前に、情報セキュリティを確保するための体制等について担当職員に提示し了承を得た上で提出したときは、この限りでない。また、定期的に、情報セキュリティを確保するための体制等及び対策に係る実施状況を紙媒体又は電子媒体により報告する。加えて、これらに変更が生じる場合は、事前に担当職員へ案を提出し、同意を得る。
なお、報告の内容について、担当職員と受託者が協議し不十分であると認めた場合、受託者は、速やかに担当職員と協議し対策を講ずる。
2) 受託者は、本業務に使用するソフトウェア、電子計算機等に係る脆弱性対策、不正プログラム対策、サービス不能攻撃対策、標的型攻撃対策、アクセス制御対策、情報漏えい対策を講じるとともに、契約期間中にこれらの対策に関する情報セキュリティ教育を本業務にかかわる従事者に対し実施する。
3) 受託者は、本業務遂行中に得た本業務に関する情報(紙媒体及び電子媒体であってこれらの複製を含む。)の取扱いには十分注意を払い、当省内に複製が可能な電子計算機等の機器を持ち込んで作業を行う必要がある場合には、事前に担当職員の許可を得る。なお、この場合であっても、担当職員の許可なく複製しない。また、作業終了後には、持ち込んだ機器から情報が消去されていることを担当職員が確認できる方法で証明する。
4) 受託者は、本業務遂行中に得た本業務に関する情報(紙媒体及び電子媒体)について、担当職員の許可なく当省外で複製してない。また、作業終了後には、複製した情報が電子計算機等から消去されていることを担当職員が確認できる方法で証明する。
5) 受託者は、本業務を終了又は契約解除する場合には、受託者において本業務遂行中に得た本業務に関する情報(紙媒体及び電子媒体であってこれらの複製を含む。)を速やかに担当職員に返却又は廃棄若しくは消去する。その際、担当職員の確認を必ず受ける。
6) 受託者は、契約期間中及び契約終了後においても、本業務に関して知り得た当省の業務上の内容について、他に漏らし又は他の目的に利用しない。
なお、当省の業務上の内容を外部に提供する必要が生じた場合は、提供先で当該情報が適切に取り扱われないおそれがあることに留意し、提供の可否を十分に検討した上で、担当職員の承認を得るとともに、取扱上の注意点を示して提供する。
7)受託者は、本業務の遂行において、情報セキュリティが侵害され又はそのおそれがある場合の対処方法について担当職員に提示する。また、情報セキュリティが侵害され又はそのおそれがあることを認知した場合には、速やかに担当職員に報告を行い、原因究明及びその対処等について担当職員と協議の上、その指示に従う。
8)受託者は、「経済産業省情報セキュリティ管理規程(平成18・03・22シ第1号)」、「経済産業省情報セキュリティ対策基準(平成18・03・24シ第1号)」及び「政府機関等の情報セキュリティ対策のための統一基準群(平成30年度版)」(以下「規程等」と総称する。)を遵守する。また、契約締結時に規程等が改正されている場合は、改正後の規程等を遵守する。
9) 受託者は、当省又は内閣官房内閣サイバーセキュリティセンターが必要に応じて実施する情報セキュリティ監査、マネジメント監査又はペネトレーションテストを受け入れるとともに、指摘事項への対応を行う。
10) 受託者は、本業務に従事する者を限定すること。また、受託者の資本関係・役員の情報、本業務の実施場所、本業務の全ての従事者の所属、専門性(情報セキュリティに係る資格・研修実績等)、実績及び国籍に関する情報を担当職員に提示する。なお、本業務の実施期間中に従事者を変更等する場合は、事前にこれらの情報を担当職員に再提示する。
11)受託者は、本業務を再委託(業務の一部を第三者に委託することをいい、外注及び請負を含む。以下同じ。)する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、上記1)から10)まで及び12)から18)までの措置の実施を契約等により再委託先に担保させる。また、1)の確認書類には再委託先に係るものも含む。
12) 受託者は、外部公開ウェブサイト(以下「ウェブサイト」という。)を構築又は運用するプラットフォームとして、受託者自身(再委託先を含む。)が管理責任を有するサーバ等を利用する場合には、OS、ミドルウェア等のソフトウェアの脆弱性情報を収集し、セキュリティ修正プログラムが提供されている場合には業務影響に配慮しつつ、速やかに適用を実施する。また、ウェブサイト構築時においてはサービス開始前に、運用中においては年1回以上、ポートスキャン、脆弱性検査を含むプラットフォーム診断を実施し、脆弱性を検出した場合には必要な対策を実施する。
13) 受託者は、ウェブサイトを構築又は運用する場合には、インターネットを介して通信する情報の盗聴及び改ざんの防止並びに正当なウェブサーバであることを利用者が確認できるようにするため、TLS(SSL)暗号化の実施等によりウェブサイトの暗号化の対策等を講じる。
なお、必要となるサーバ証明書には、利用者が事前のルート証明書のインストールを必要とすることなく、その正当性を検証できる認証局(証明書発行機関)により発行された電子証明書を用いる。
14) 受託者は、ウェブサイト上のウェブアプリケーションの構築又は改修を行う場合には、独立行政法人情報処理推進機構が公開する最新の「安全なウェブサイトの作り方」(以下「作り方」という。)に基づく。また、ウェブアプリケーションの構築又は更改時においてはサービス開始前に、運用中においてはウェブアプリケーションへ修正を加えた場合や新たな脅威が確認された場合に、「作り方」に記載されている脆弱性の検査等(ウェブアプリケーション診断)を実施し、脆弱性を検出した場合には必要な対策を実施する。併せて、「作り方」のチェックリストに従い対応状況を確認し、その結果を記入したチェックリストを担当職員に提出する。なお、チェックリストの結果に基づき、担当職員から指示があった場合は、それに従う。
15) 受託者は、ウェブサイト又は電子メール送受信機能を含むシステムを構築又は運用する場合には、政府機関のドメインであることが保証されるドメイン名「.xx.xx」を使用する。
16) 受託者は、情報システム(ウェブサイトを含む。以下同じ。)の設計、構築、運用、保守、廃棄等(電子計算機、電子計算機が組み込まれた機器、通信回線装置、電磁的記録媒体等のハードウェア又はソフトウェア(以下「機器等」という。)の調達を含む場合には、その製造工程を含む。)を行う場合には、以下を実施する。
①各工程において、当省の意図しない変更や機密情報の窃取等が行われないことを保証する管理が、一貫した品質保証体制の下でなされている。また、具体的な管理手順や品質保証体制を証明する書類等を提出する。
②情報システムや機器等に意図しない変更が行われる等の不正が見つかったときに、追跡調査や立入検査等、当省と連携して原因を調査し、排除するための手順及び体制を整備している。それらが妥当であることを証明するため書類を提出する。
③不正プログラム対策ソフトウェア等の導入に当たり、既知及びxxの不正プログラムの検知及びその実行の防止の機能を有するソフトウェアを導入する。
④情報セキュリティ対策による情報システムの変更内容について、担当職員に速やかに報告する。また、情報システムが構築段階から運用保守段階へ移行する際等、他の事業者へ引継がれる項目に、情報セキュリティ対策に必要な内容を含める。
⑤サポート期限が切れた又は本業務の期間中にサポート期限が切れる予定がある等、サポートが受けられないソフトウェアの利用を行わない及びその利用を前提としない。また、ソフトウェアの名称・バージョン・導入箇所等を管理台帳で管理することに加え、サポート期限に関するものを含むソフトウェアの脆弱性情報を収集し、担当職員に情報提供するとともに、情報を入手した場合には脆弱性対策計画を作成し、担当職員の確認を得た上で対策を講ずる。
⑥電子メール送受信機能を含む場合には、SPF(Sender Policy Framework)等のなりすましの防止策を講ずるとともにSMTPによるサーバ間通信のTLS(SSL)化やS/MIME等の電子メールにおける暗号化及び電子署名等により保護する。
17) 受託者は、本業務を実施するに当たり、約款による外部サービスやソーシャルメディアサービスを利用する場合には、それらサービスで要機密情報を扱わないことや不正アクセス対策を実施するなど規程等を遵守する。
18) 受託者は、ウェブサイトの構築又はアプリケーション・コンテンツ(アプリケーションプログラム、ウェブコンテンツ等の総称をいう。以下同じ。)の開発・作成を行う場合には、利用者の情報セキュリティ水準の低下を招かぬよう、以下の内容も含めて行う。
①提供するウェブサイト又はアプリケーション・コンテンツが不正プログラムを含まないこと。また、そのために以下を含む対策を行う。
(a)ウェブサイト又はアプリケーション・コンテンツを提供する前に、不正プログラム対策ソフトウェアを用いてスキャンを行い、不正プログラムが含まれていないことを確認する。
(b)アプリケーションプログラムを提供する場合には、当該アプリケーションの仕様に反するプログラムコードが含まれていないことを確認する。
(c)提供するウェブサイト又はアプリケーション・コンテンツにおいて、当省外のウェブサイト等のサーバへ自動的にアクセスが発生する機能が仕様に反して組み込まれていないことを、HTMLソースを表示させるなどして確認する。
②提供するウェブサイト又はアプリケーションが脆弱性を含まない。
③実行プログラムの形式以外にコンテンツを提供する手段がない場合を除き、実行プログラム形式でコンテンツを提供しない。
④電子証明書を用いた署名等、提供するウェブサイト又はアプリケーション・コンテンツの改ざん等がなく真正なものであることを確認できる手段がある場合には、それをウェブサイト又はアプリケーション・コンテンツの提供先に与える。なお、電子証明書を用いた署名を用いるときに、政府認証基盤(GPKI)の利用が可能である場合は、政府認証基盤により発行された電子証明書を用いて署名を施す。
⑤提供するウェブサイト又はアプリケーション・コンテンツの利用時に、脆弱性が存在するバージョンのOSやソフトウェア等の利用を強制するなどの情報セキュリティ水準を低下させる設定変更を、OSやソフトウェア等の利用者に要求することがないよう、ウェブサイト又はアプリケーション・コンテンツの提供方式を定めて開発する。
⑥当省外へのアクセスを自動的に発生させる機能やサービス利用者その他の者に関する情報が本人の意思に反して第三者に提供されるなどの機能がウェブサイト又はアプリケーション・コンテンツに組み込まれることがないよう開発する。ただし、必要があって当該機能をウェブサイト又はアプリケーション・コンテンツに組み込む場合は、当省外へのアクセスが情報セキュリティ上安全なものであることを確認した上で、他のウェブサイト等のサーバへ自動的にアクセスが発生すること、サービス利用者その他の者に関する情報が第三者に提供されること及びこれらを無効にする方法等が、サービス利用者において容易に確認ができるよう、担当職員が示すプライバシーポリシー等を当該ウェブサイト又はアプリケーション・コンテンツに掲載する。