2 乙は、委託業務の実施に当たって、ウェブサイトを構築又は運用する場合には、インターネットを介して通信する情報の盗聴及び改ざんの防止並びに正当なウェブサーバで あることを利用者が確認できるようにするため、TLS(SSL)暗号化の実施等によりウェブサイトの暗号化の対策等を講じなければならない。 (6)電子メール送受信機能を含む場合には、SPF(Sender Policy Framework)等のなりすましの防止策を講ずるとともに SMTP によるサーバ間通信の TLS(SSL)化や S/MIME...
別添 「情報セキュリティに関する事項」(出典:経済産業省と協会の契約書)
(情報セキュリティの確保)
第26条 乙は、契約締結後速やかに、情報セキュリティを確保するための体制並びに本条第2項から第11項まで、次条及び第26条の3に記載する事項の遵守の方法及び提出を求める情報、書類等(以下「情報セキュリティを確保するための体制等」という。)について、甲に提示し了承を得た上で確認書類として提出しなければならない。ただし、別途契約締結前に、情報セキュリティを確保するための体制等について甲に提示し了承を得た上で提出したときは、この限りでない。また、乙は、情報セキュリティを確保するための体制及び対策に係る実施状況については、定期的に、様式第10により作成した情報セキュリティに関する事項の遵守の方法の実施状況報告書を甲に提出しなければならない。加えて、これらに変更が生じる場合は、事前に甲へ案を提出し、同意を得なければならない。なお、報告の内容について、甲と乙が協議し不十分であると認めた場合、乙は、速やかに甲と協議し対策を講じなければならない。
2 乙は、委託業務に使用するソフトウェア、電子計算機等に係る脆弱性対策、不正プログラム対策、サービス不能攻撃対策、標的型攻撃対策、アクセス制御対策、情報漏えい対策を講じるとともに、契約期間中にこれらの対策に関する情報セキュリティ教👉を委託業務にかかわる従事者に対し実施しなければならない。
3 乙は、委託業務遂行中に得た委託業務に関する情報(紙媒体及び電子媒体であってこれらの複製を含む。)の取扱いには十分注意を払い、経済産業省(以下「当省」という。)内に複製が可能な電子計算機等の機器を持ち込んで作業を行う必要がある場合には、事前に甲の許可を得なければならない。なお、この場合であっても、甲の許可なく複製してはならない。また、作業終了後には、持ち込んだ機器から情報が消去されていることを甲が確認できる方法で証明しなければならない。
4 乙は、委託業務遂行中に得た委託業務に関する情報(紙媒体及び電子媒体)について、甲の許可なく当省外で複製してはならない。また、作業終了後には、複製した情報が電子計算機等から消去されていることを甲が確認できる方法で証明しなければならない。
5 乙は、委託業務を終了又は契約解除する場合には、乙において委託業務遂行中に得た委託業務に関する情報(紙媒体及び電子媒体であってこれらの複製を含む。)を速やかに甲に返却し、又は廃棄し、若しくは消去しなければならない。その際、甲の確認を必ず受けなければならない。
6 乙は、契約期間中及び契約終了後においても、委託業務に関して知り得た当省の業務上の内容について、他に漏らし、又は他の目的に利用してはならない。なお、乙は、当省の業務上の内容を外部に提供する必要が生じた場合は、提供先で当該情報が適切に取り扱われないおそれがあることに留意し、提供の可否を十分に検討した上で、甲の承認を得るとともに、取扱上の注意点を示して提供しなければならない。
7 乙は、委託業務の遂行において、情報セキュリティが侵害され、又はそのおそれがある場合の対処方法について甲に提示しなければならない。また、情報セキュリティが侵害され、又はそのおそれがあることを認知した場合には、速やかに甲に報告を行い、原因究明及びその対処等について甲と協議の上、その指示に従わなければならない。
8 乙は、委託業務全体における情報セキュリティの確保のため、「政府機関等のサイバーセキュリティ対策のための統一基準」(令和3年度版)、「経済産業省情報セキュリティ管理規程」(平成18・03・22シ第1号)及び「経済産業省情報セキュリティ対策基準」
(平成18・03・24シ第1号)(以下「規程等」と総称する。)に基づく情報セキュリティ対策を講じなければならない。
9 乙は、当省又は内閣官房内閣サイバーセキュリティセンターが必要に応じて実施する情報セキュリティ監査、マネジメント監査又はペネトレーションテストを受け入れるとともに、指摘事項への対応を行わなければならない。
10 乙は、委託業務に従事する者を限定しなければならない。また、乙の資本関係・役員の情報、委託業務の実施場所、委託業務の全ての従事者の所属、専門性(情報セキュリティに係る資格・研修実績等)、実績及び国籍に関する情報を甲に提示しなければならない。なお、委託業務の実施期間中に従事者を変更等する場合には、事前にこれらの情報を甲に再提示しなければならない。
11 乙は、委託業務の一部を再委託する場合には、再委託することにより生ずる👉威に対して本条から第26条の3までの規定に基づく情報セキュリティ対策が十分に確保される措置を講じなければならない。
(外部公開ウェブサイトにおける情報セキュリティ対策)
第26条の2 乙は、外部公開ウェブサイト(以下「ウェブサイト」という。)を構築又は運用するプラットフォームとして、乙が管理責任を有するサーバ等がある場合には、当該ウェブサイト又は当該サーバ等で利用するOS、ミドルウェア等のソフトウェアの脆弱
性情報を収集し、セキュリティ修正プログラムが提供されている場合には業務影響に配慮しつつ、速やかに適用を実施しなければならない。また、ウェブサイトを構築した際には、サービス開始前に、運用中においては年1回以上、ポートスキャン、脆弱性検査を含むプラットフォーム診断を実施し、脆弱性を検出した場合には必要な対策を実施しなければならない。
2 乙は、委託業務の実施に当たって、ウェブサイトを構築又は運用する場合には、インターネットを介して通信する情報の盗聴及び改ざんの防止並びに正当なウェブサーバであることを利用者が確認できるようにするため、TLS(SSL)暗号化の実施等によりウェブサイトの暗号化の対策等を講じなければならない。
なお、必要となるサーバ証明書には、利用者が事前のルート証明書のインストールを必要とすることなく、その正当性を検証できる認証局(証明書発行機関)により発行された電子証明書を用いなければならない。
3 乙は、ウェブサイトの構築又は改修を行う場合には、独立行政法人情報処理推進機構が公開する最新の「安全なウェブサイトの作り方」(以下「作り方」という。)に従わなければならない。またウェブサイトの構築又は改修時においてはサービス開始前に、運用中においてはウェブアプリケーションへ修正を加えた場合や新たな👉威が確認された場合に、「作り方」に記載されている脆弱性の検査等(ウェブアプリケーション診断)を実施し、脆弱性を検出した場合には必要な対策を実施しなければならない。併せて、「作り方」のチェックリストに従い対応状況を確認し、その結果を記入したチェックリストを甲に提出しなければならない。
なお、チェックリストの結果に基づき、甲から指示があった場合には、その指示に従わなければならない。
4 乙は、ウェブサイト又は電子メール送受信機能を含むシステムを構築又は運用する場合には、政府機関のドメインであることが保証されるドメイン名「.go.jp」を使用しなければならない。
(情報システム等における情報セキュリティ対策)
第26条の3 乙は、情報システム(ウェブサイトを含む。以下同じ。)の設計、構築、運用、保守、廃棄等(電子計算機、電子計算機が組み込まれた機器、通信回線装置、電磁的記録媒
体等のハードウェア又はソフトウェア(以下「機器等」という。)の調達を含む場合には、その製造工程を含む。)を行う場合には、以下を実施しなければならない。
(1)各工程において、当省の意図しない変更や機密情報の窃取等が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること。また、具体的な管理手順や品質保証体制を証明する書類等を提出すること。
(2)情報システムや機器等に意図しない変更が行われる等の不正が見つかったときに、追跡調査や立入検査等、当省と連携して原因を調査し、排除するための手順及び体制を整備していること。これらが妥当であることを証明するため書類を提出すること。
(3)不正プログラム対策ソフトウェア等の導入に当たり、既知及びxxの不正プログラムの検知及びその実行の防止の機能を有するソフトウェアを導入すること。
(4)情報セキュリティ対策による情報システムの変更内容について、甲に速やかに報告すること。また、情報システムが構築段階から運用保守段階へ移行する際等、他の事業者へ引き継がれる項目に、情報セキュリティ対策に必要な内容を含めること。
(5)サポート期限が切れた、又は委託業務の期間中にサポート期限が切れる予定がある等、サポートが受けられないソフトウェアの利用を行わないこと、及びその利用を前提としな いこと。また、ソフトウェアの名称・バージョン・導入箇所等を管理台帳で管理することに 加え、サポート期限に関するものを含むソフトウェアの脆弱性情報を収集し、甲に情報提供 するとともに、情報を入手した場合には脆弱性対策計画を作成し、甲の確認を得た上で対策 を講ずること。
(6)電子メール送受信機能を含む場合には、SPF(Sender Policy Framework)等のなりすましの防止策を講ずるとともに SMTP によるサーバ間通信の TLS(SSL)化や S/MIME 等の電子メールにおける暗号化及び電子署名等により保護すること。
2 乙は、委託業務を実施するに当たり、民間事業者等が不特定多数の利用者に対して提供する、画一的な約款や規約等への同意のみで利用可能となる外部サービス(ソーシャルメディアサービスを含む。)を利用する場合には、これらのサービスで要機密情報を扱ってはならず、第26条第8項に掲げる規程等に定める不正アクセス対策を実施するなど規程等を遵守しなければならない。なお、乙は、委託業務を実施するに当たり、クラウドサービスを調達する際は、「政府情報システムのためのセキュリティ評価制度(ISMAP)」において登録されたサービスから調達することを原則とすること。
3 乙は、ウェブサイトの構築又はアプリケーション・コンテンツ(アプリケーションプログラム、ウェブコンテンツ等の総称をいう。以下同じ。)の開発・作成を行う場合には、利用者の情報セキュリティ水準の低下を招かぬよう、以下の内容も含めて行わなければならない。
(1)提供するウェブサイト又はアプリケーション・コンテンツが不正プログラムを含まないこと。また、そのために以下を含む対策を行うこと。
①ウェブサイト又はアプリケーション・コンテンツを提供する前に、不正プログラム対策ソフトウェアを用いてスキャンを行い、不正プログラムが含まれていないことを確認すること。
②アプリケーションプログラムを提供する場合には、当該アプリケーションの仕様に反するプログラムコードが含まれていないことを確認すること。
③提供するウェブサイト又はアプリケーション・コンテンツにおいて、当省外のウェブサイト等のサーバへ自動的にアクセスが発生する機能が仕様に反して組み込まれていないことを、HTMLソースを表示させるなどして確認すること。
(2)提供するウェブサイト又はアプリケーションが脆弱性を含まないこと。
(3)実行プログラムの形式以外にコンテンツを提供する手段がない場合を除き、実行プログラム形式でコンテンツを提供しないこと。
(4)電子証明書を用いた署名等、提供するウェブサイト又はアプリケーション・コンテンツの改ざん等がなく真正なものであることを確認できる手段がある場合には、それをウェブサイト又はアプリケーション・コンテンツの提供先に与えること。なお、電子証明書を用いた署名を用いるときに、政府認証基盤(GPKI)の利用が可能である場合は、政府認証基盤により発行された電子証明書を用いて署名を施すこと。
(5)提供するウェブサイト又はアプリケーション・コンテンツの利用時に、脆弱性が存在するバージョンのOS、ソフトウェア等の利用を強制するなどの情報セキュリティ水準を低下させる設定変更をOS、ソフトウェア等の利用者に要求することがないよう、ウェブサイト又はアプリケーション・コンテンツの提供方式を定めて開発すること。
(6)当省外へのアクセスを自動的に発生させる機能やサービス利用者その他の者に関する情報が本人の意思に反して第三者に提供されるなどの機能がウェブサイト又はアプリケーション・コンテンツに組み込まれることがないよう開発すること。ただし、必要があって当該機能をウェブサイト又はアプリケーション・コンテンツに組み込む場合は、当省外へのアクセスが情報セキュリティ上安全なものであることを確認した上で、他のウェブサイト等のサーバへ自動的にアクセスが発生すること、サービス利用者その他の者に関する情報が第三者に提供されること、及びこれらを無効にする方法等が、サービス利用者において容易に確認ができるよう、甲が示すプライバシーポリシー等を当該ウェブサイト又はアプリケーション・コンテンツに掲載すること。