Contract
業務委託名: 委託業者名: 確 認 日:
個人情報の取扱いに関する特記仕様書の項目遵守の確認表(契約前)
※ 二重太線内の項目は必須項目です。(全94項目のうち51項目が必須です。)
1 ISMS(情報セキュリティマネジメントシステム)の認証を取得していますか?
□ は い □ いいえ
2 プライバシーマークの認証を取得していますか?
□ は い □ いいえ
(作業責任者等監督)
第1条 受注者は、本件業務に従事する個人情報取扱作業の責任者(以下「作業責任者」
という。)及び同業務に従事する個人情報取扱作業従事者(以下「作業従事者」という。)に対し、個人情報の保護に関する法律(平成15年法律第57号)第66条、第67条、第176条及び第180条の規定の内容を周知し、作業責任者及び作業従事者から誓約書(様式第1号)の提出を受けなければならない。
2 受注者は、前項の規定により作業責任者及び作業従事者から誓約書の提出を受けたときは、発注者に対し、その写しを提出しなければならない。
3 受注者は、その取り扱う個人情報の適切な管理が図られるよう、作業責任者及び作業従事者に対して、第9条により行うこととされた個人情報の管理に係る周知及び遵守状況の監督その他の必要かつ適切な監督を行わなければならない。
(責任体制の整備)
第2条 受注者は、個人情報の安全管理について、内部における責任体制を構築し、その体制を維持しなければならない。
3 個人情報の保護に関する体制を維持することを社内ルール等に定めていますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 個人情報の保護に関する体制を維持するための規定の適用及び運用を行った際の成果物として、どのようなものが保存されていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 個人情報管理体制を表す体制図、体制xx
□ 個人情報を取り扱う業務が体制に沿って行われたことを示す報告書等
□ 個人情報管理体制について記述されている研修資料や個人情報管理体制を周知した文書
□ 個人情報管理体制を維持するための会議体の議事録等
□ その他(具体的に: )
4 個人情報の保護に関する体制の維持に対して、経営層がその活動を支援していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 個人情報の保護に関する体制の維持に対して、経営層がその活動を支援した記録として、どのようなものが保存されていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 経営者の見直し活動に関する議事録等
□ 経営者の見直し活動の結果に対して、対策が行われた際の報告書等
□ その他(具体的に: )
5 個人情報の取扱いに関する苦情処理の体制を整備していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのような体制を整備していますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 苦情及び相談を受け付ける事が、社内ルール等により定められている。
□ 苦情処理窓口を設置している。
□ その他(具体的に:
)
(作業責任者等の届出)
第3条 受注者は、個人情報の取扱いに係る作業責任者及び作業従事者を定め、書面により発注者に報告しなければならない。
7 個人情報取扱いに係る作業従事者を定めることができますか?
□ は い □ いいえ
8 個人情報取扱いに係る作業責任者及び作業従事者を、書面により久喜市に報告することができますか?
□ は い □ いいえ
9 個人情報取扱いに係る作業責任者を明確にした、個人情報の取扱体制図又は体制xxを作成することができますか?
□ は い □ いいえ
6 個人情報取扱いに係る作業責任者を定めることができますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 個人情報取扱いに係る作業責任者の特定について、どのようなことが行われていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 個人情報取扱いに係る作業責任者の責任を明確にした文書等を作成している。
□ 個人情報取扱いに係る作業責任者を責任部門の長にしている。
□ 個人情報取扱いに係る作業責任者を個人情報の保護に関する知識を有していると考えられる担当者にしている。
□ その他(具体的に: )
2 受注者は、個人情報の取扱いに係る作業責任者及び作業従事者を変更する場合の手続きを定めなければならない。
10 個人情報取扱いに係る作業の責任者、作業従事者を変更する場合の手続きが定められていますか?
□ は い □ いいえ
3 受注者は、作業責任者を変更する場合は、事前に書面により発注者に申請し、その承認を得なければならない。
11 個人情報取扱いに係る作業の責任者を変更する場合、変更する前に、書面により久喜市に申請し、その承認を受けることができますか?
□ は い □ いいえ
12 個人情報の取扱体制に変更があった場合、個人情報の取扱体制図等や作業従事者の名簿情報を適宜更新することができますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 個人情報の取扱体制図等や作業従事者の名簿情報を更新した記録を残すことができますか?
□ は い □ いいえ
4 受注者は、作業従事者を変更する場合は、事前に書面により発注者に報告しなければならない。
13 個人情報の取扱体制図や作業従事者の名簿等に変更があった場合、適宜、それらの情報を、書面により久喜市に報告することができますか?
□ は い □ いいえ
14 個人情報の取扱体制図や作業従事者の名簿等に変更があった場合、その更新記録を残すことができますか?
□ は い □ いいえ
5 作業責任者は、特記仕様書に定める事項を適切に実施するよう作業従事者を監督しなければならない。
6 作業従事者は、作業責任者の指示に従い、特記仕様書に定める事項を遵守しなければならない。
15 個人情報の取扱いに係る作業従事者の管理・監督を行うことができますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 個人情報の取扱いに係る作業従事者を監督した結果として、どのようなものを保存することができますか。以下のうち当ては
まる項目すべてにチェックしてください。
□ 作業指示書等の作業内容を指示している書類
□ 作業完了報告等の作業結果を報告させ、承認している書類
□ その他(具体的に:
)
(作業場所の特定)
第4条 受注者は、個人情報を取り扱う場所(以下「作業場所」という。)を定め、業務の着手前に書面により発注者に報告しなければならない。
16 個人情報を取り扱う場所(以下「作業場所」という)を限定することができますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのように限定することができますか。以下のうち当てはまる項目1つにチェックしてください。
□ 作業場所は事業所内に限定し、さらに事業所内の特定の空間に限定する。
□ 作業場所は事業所内に限定する。
□ 作業場所は限定するが、事業所外の不特定箇所での利用を前提とする。
□ その他(具体的に:
)
(「いいえ」を選択した場合)
② 作業場所を限定できない理由を記述してください。
( )
17 訪問先への立ち寄りが発生する等、業務上、作業場所の特定が困難な場合には、立ち寄り等の際に取るべき行動について、久喜市に対して報告することができますか?
□ は い □ いいえ
2 受注者は、作業場所を変更する場合は、事前に書面により発注者に申請し、その承認を得なければならない。
18 作業場所に変更がある場合は、変更する前に作業場所に関する情報を更新して書面により申請し、久喜市から承認を得ることができますか?
□ は い □ いいえ
19 作業場所に変更があった場合、作業場所の変更に関する記録を残すことができますか?
□ は い □ いいえ
3 受注者は、発注者の事務所内に作業場所を設置する場合は、作業責任者及び作業従事者に対して、受注者が発行する身分証明書を常時携帯させ、事業者名が分かるようにしなければならない。
20 作業従事者には、貴社が発行する身分証明書を常時携帯させていますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 作業従事者に対する身分証明書携帯に関する指導が適切になされていますか?
□ は い □ いいえ
(教育の実施)
第5条 受注者は、個人情報の保護、情報セキュリティに対する意識の向上、特記仕様書における作業従事者が遵守すべき事項その他本委託事業の適切な履行に必要な教育及び研修を、作業従事者全員に対して実施しなければならない。
2 受注者は、前項の教育及び研修を実施するに当たり、実施計画を策定し、実施体制を確立しなければならない。
21 情報セキュリティに対する意識向上を図るための教育を、個人情報取扱いに係る作業従事者に対して実施していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのような研修を実施していますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 情報セキュリティ教育は社内研修やOJTの一環として実施している。
□ 情報セキュリティ教育は外部の研修サービスを利用している。
□ その他(具体的に:
② 教育を行っている時期を記述してください。
(
③ 教育内容として、個人情報保護に関する社内ルールに違反した場合の罰則規定を含めていますか?
)
)
□ は い □ いいえ
④ 教育内容が分かる資料を添付し、そのドキュメント名を記述してください。
( )
⑤ 個人情報取扱いに係る作業責任者への教育実施の結果が記録されていますか?
□ は い □ いいえ
22 情報セキュリティに対する意識向上を図るための教育を、個人情報取扱いに係る作業責任者に対して実施していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのような研修を実施していますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 情報セキュリティ教育は社内研修やOJTの一環として実施している。
□ 情報セキュリティ教育は外部の研修サービスを利用している。
□ その他(具体的に:
)
② 教育を行っている時期を記述してください。
( )
③ 教育内容として、個人情報保護に関する社内ルールに違反した場合の罰則規定を含めていますか?
□ は い □ いいえ
④ 教育内容として、責任者が負うべき責任と守るべき行動規範について盛り込まれていますか?
□ は い □ いいえ
⑤ 教育内容として、責任者の指揮下で個人情報保護が侵害された場合の責任者の対応方法について盛り込まれていますか?
□ は い □ いいえ
⑥ 教育内容についての資料を添付し、そのドキュメント名を記述してください。
( )
⑦ 個人情報取扱いに係る作業責任者への教育実施の結果が記録されていますか?
□ は い □ いいえ
23 セキュリティポリシーやガイドライン等で、貴社が定める個人情報保護の指針を、作業従事者へ周知していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのように作業従事者へ周知していますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 冊子等で配布している。
□ 社内サイトに公開するなど、作業従事者がいつでも参照できるようにしてある。
□ その他(具体的に:
)
24 セキュリティに関する最新情報が、作業従事者に適切に周知される体制や制度が存在しますか?
□ は い □ いいえ
25 情報セキュリティに対する意識向上を図るための教育を実施する担当者の選定基準を定めていますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのような選定基準を定めていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 作業従事者への教育の実施責任者は個人情報取扱いに係る作業責任者である。
□ 作業従事者への教育の実施責任者は情報セキュリティに関する知識を十分に有した者である。
□ その他(具体的に:
)
26 情報セキュリティに関する教育及び研修を適切なタイミングで実施していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのようなタイミングで策定していますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 契約期間のうち業務開始前、業務履行中に各1回
□ 契約期間内で1回
□ 社内プログラムとして年度内に1回
□ その他(時期や頻度を具体的に:
)
(守秘義務)
第6条 受注者は、本委託業務の履行により直接又は間接に知り得た個人情報を第三者に漏らしてはならない。契約期間満了後又は契約解除後も同様とする。
27 委託された業務の履行にあたり、直接又は間接的に知り得た個人情報を第三者に漏洩してはいけないことを、個人情報取扱いに係る作業責任者及び作業従事者に教育又は周知をしていますか?
□ は い □ いいえ
28 個人情報取扱いに係る作業責任者及び作業従事者に対する秘密保持に関する教育又は周知の結果を記録していますか?
□ は い □ いいえ
29 秘密保持に関する誓約書を個人情報取扱いに係る作業責任者及び作業従事者から取得していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 作業責任者及び作業従事者から取得した誓約書は、保存され、参照できるようになっていますか?
□ は い □ いいえ
② 秘密保持に関する誓約書には、在職中及び職を退いた後も、職務上知り得た秘密を漏らしてはならないことを明記していますか?
□ は い □ いいえ
③ 故意または過失により、秘密保持に関する誓約書に違反し、事故を招いてしまった場合の罰則について、社内ルール等に定めていますか?
□ は い □ いいえ
(「はい」を選択した場合)
ア その罰則規定を、正社員だけでなく非正社員にも適用していますか?
□ は い □ いいえ
(「いいえ」を選択した場合)
④ 誓約書を取得していない理由を記述してください。
( )
(再委託)
第7条 受注者は、本委託業務を第三者へ委託(以下「再委託」という。)してはならない。
2 受注者は、本委託業務の一部をやむを得ず再委託する必要がある場合は、再委託先(受注者の子会社(会社法(平成 17 年法律第 86 号)第2条第1項第3号に規定する子会社をいう。)である場合も含む。以下の項において同じ。)の名称、再委託する理由、再委託して処理する内容、再委託先において取り扱う情報、再委託先における安全性及び信頼性を確保する対策並びに再委託先に対する管理及び監督の方法を明確にした上で、業務の着手前に、書面により再委託する旨を発注者に申請し、その承認を得なければならない。
3 前項の場合、受注者は、再委託先に本契約に基づく一切の義務を遵守させるとともに、発注者に対して、再委託先の全ての行為及びその結果について責任を負うものとする。
30 久喜市から委託された個人情報を取り扱う業務の再委託が原則禁止であることを理解していますか?
□ は い □ いいえ
31 久喜市から委託された個人情報を取り扱う業務の再委託をやむを得ず行う場合、次の事項を明確にしなければならないことを理解していますか?
① 再委託して処理する内容
② 再委託する理由
③ 再委託先事業者の名称
④ 再委託先事業者において取り扱う情報
⑤ 再委託先事業者における安全性及び信頼性を確保する対策並びに再委託先事業者に対する管理及び監督の方法
□ は い □ いいえ
32 久喜市から委託された個人情報を取り扱う業務の再委託をやむを得ず行う場合、久喜市の承認を得なければならないことを理解していますか?
□ は い □ いいえ
33 久喜市の許可を受けて再委託を行う場合には、貴社と久喜市とで合意した内容と同様の情報セキュリティ対策を、貴社が再委託先に求めることが必要であることを理解していますか?
□ は い □ いいえ
34 久喜市の許可を受けて再委託を行う場合には、貴社が再委託先のすべての行為及びその結果について責任を負わなければならないことを理解していますか?
□ は い □ いいえ
35 個人情報を取り扱う業務の再委託先の選定方法や選定基準について、社内ルール等に定めていますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのようなことを定めていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ ISMSやプライバシーマーク等の認定を受けた事業者のみが選定されることになっていること。
□ 委託先の選定基準が明確になっており、委託前に事業者の調査を実施しなければならないこと。
□ 委託先の選定基準が定期的に見直されること。
□ その他(具体的に:
)
36 提供された個人情報を取り扱う業務に関して再委託を行いますか?
□ は い(行う) □ いいえ(行わない)
(「はい」を選択した場合)
① 再委託を行うことについて久喜市から承認を受けることができますか?
□ は い □ いいえ
② 再委託を行う理由を記述してください。
(
)
③ 再委託先にも、貴社が久喜市と合意した内容と同様の個人情報保護対策が必要であることを、再委託先と契約書等の明文化さ
れた書面で合意することができますか?
□ は い □ いいえ
④ 再委託先の個人情報保護対策に関する実施状況の確認を行うことができますか?
□ は い □ いいえ
(「はい」を選択した場合)
ア 再委託先の個人情報保護対策状況の確認に関して、以下のうち当てはまる項目すべてにチェックしてください。
□ 定期的に、貴社担当者が実地により対策状況の確認を実行する。
□ 定期的に、再委託先の担当者に対策状況の確認を実行させる。
□ その他(具体的に: )
⑤ 再委託先の個人情報保護対策状況が、久喜市と合意した内容と同様であるかの確認を行った結果を記録に残すことができますか?
□ は い □ いいえ
⑥ 再委託先の責任者及び作業従事者から秘密保持に関する誓約書を取得することができますか?
□ は い □ いいえ
⑦ 再委託先の個人情報の受渡しはどのような手段を用いていますか?
□ 対面による受渡し
□ 本人限定便や書留による受渡し
□ 普通郵便による受渡し
□ 電子メールによる受渡し
□ FAXによる受渡し
□ その他(具体的に: )
⑧ 個人情報が保存された電子媒体を外部委託先に持ち出す場合、データ保護措置を実施することができますか?
□ は い □ いいえ
(「はい」を選択した場合)
ア どのような措置を実施できますか?以下のうち当てはまる項目すべてにチェックしてください。
□ 個人情報ファイルを暗号化した状態で媒体へ記録する。
□ (PCに保存されたものを持ち出す場合)BIOSレベルのユーザー認証をする。
□ (PCに保存されたものを持ち出す場合)ハードディスクを暗号化する。
□ その他(具体的に: )
⑨ 再委託先へ個人情報をFAXにて送受信する場合、誤送信防止のための措置を実施することができますか?
□ は い □ いいえ
(「はい」を選択した場合)
ア どのような措置を実施できますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 送信者・受信者の相互確認機能等を持った、FAX誤送信防止ソフト等の導入によりFAX誤送信を防止する。
□ 個人情報を含むFAX送信の際には、複数名による相互確認を行う。
□ 個人情報を含むFAX送信は、個人情報保護責任者の承認の上で行う。
□ その他(具体的に: )
⑩ 再委託先へ個人情報を電子メールにて送受信する場合、誤送信防止の措置を実施することができますか?
□ は い □ いいえ
(「はい」を選択した場合)
ア どのような措置を実施できますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 送信先ごとのメッセージルール指定機能等を持った電子メール誤送信防止ツール等を導入することにより、電子メールの誤送信を防止する。
□ 個人情報を含む電子メールの送信は、個人情報保護責任者の承認の上で行う。
□ その他(具体的に: )
➃ 再委託先において、提供した個人情報の廃棄又は消去が行われる際は、貴社担当者が立会うことができますか?
□ は い □ いいえ
⑫ 再委託先において久喜市の指定した方法に応じて情報の廃棄又は消去を適切に実施していることを、貴社が確認することができますか?
□ は い □ いいえ
(「はい」を選択した場合)
ア どのような内容の確認をしますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 複製が無い場合の廃棄又は消去の方法
□ 複製が有る場合の廃棄又は消去の方法
□ その他(具体的に: )
4 受注者は、再委託先との契約において、再委託先に対する管理及び監督の手続及び方法について具体的に規定しなければならない。
37 再委託事業者に対する管理及び監督の手続き及び方法について、社内ルール等に具体的に定めていますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 再委託事業者に対する管理及び監督の手続き及び方法について具体的に規定された資料のコピーを提出してください。また、当該資料の名称及び参照箇所を下記に記述してください。
( )
5 受注者は、再委託先に対して本委託業務を委託した場合は、その履行状況を管理・監督するとともに、発注者の求めに応じて、管理・監督の状況を発注者に対して適宜報告しなければならない。
38 再委託先に対する情報セキュリティ対策状況の確認を行うことができますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 確認の方法はどのような方法で行っていますか。
□ 実施検査により行っている。
□ 書面で行っている。
□ その他(具体的に:
)
② 再委託先に対する情報セキュリティ対策状況の確認を行った結果を記録することができますか?
□ は い □ いいえ
③ 再委託先に対する情報セキュリティ対策状況の確認結果に応じて、必要な対応を行うことができますか?
□ は い □ いいえ
(「はい」を選択した場合)
ア どのような対策を実施していますか。以下のうち当てはまる項目1つをチェックしてください。
□ 契約の解除等の措置を講じる。
□ 改善の指示を出した後、改善がなされない場合は契約の解除等の措置を講じる。
□ 改善の指示を出す。
□ その他(具体的に:
)
x 再委託先に対する情報セキュリティ対策状況の確認結果に応じて、対応した結果を記録しますか?
□ は い □ いいえ
39 再委託先に対する情報セキュリティ対策状況の報告を、久喜市に対して行うことができますか?
□ は い □ いいえ
(派遣労働者等の利用等の措置)
第8条 受注者は、本委託業務を派遣労働者、契約社員その他の正社員以外の労働者に行わせる場合は、正社員以外の労働者に本契約に基づく一切の義務を遵守させなければならない。
2 受注者は、発注者に対して、正社員以外の労働者の全ての行為及びその結果について責任を負うものとする。
40 派遣労働者、非常勤従事者等、正社員以外の労働者に対しても貴社が久喜市と合意した内容の義務を遵守させなければならないことを理解していますか?
□ は い □ いいえ
41 個人情報の取扱いに関しては、正社員以外の労働者のすべての行為及びその結果について貴社が責任を負うことを理解していますか?
□ は い □ いいえ
42 派遣労働者、非常勤従事者等、正社員以外の労働者から、正社員と同様の秘密保持に関する誓約書を取得していますか?
□ は い □ いいえ
(「いいえ」を選択した場合)
① 誓約書を取得していない理由を記述してください。また、誓約書を取得していないことの代替策を提示してください。
( )
(個人情報の管理)
第9条 受注者は、本委託業務において利用する個人情報を保持している間は、次の各号の定めるところにより、個人情報の管理を行わなければならない。
43 本委託業務において利用する個人情報を保持している間、個人情報の秘匿性等その内容に応じて、個人情報の管理に努めなければならないことを理解していますか?
□ は い □ いいえ
(1) 施錠が可能な保管庫又は施錠若しくは入退室管理の可能な保管室で厳重に個人情報を保管すること。
44 本業務委託において利用する個人情報は、施錠できる保管庫又は施錠若しくは入退室管理の可能な保管室に保管することができますか?
□ は い □ いいえ
45 個人情報が保管された部屋(個人情報を保存したサーバー・PCの設置場所を含む)への入退室に際して、入出資格の確認を行っていますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのような方法で確認されていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ IDカードや生態認証等認証装置を用いた施錠が行われている。
□ 受付等、xxによる認証が行われている。
□ 物理的な鍵による施錠が行われている。
□ その他(具体的に:
)
② 入出資格の申請、審査、登録、抹消等に関する手続きを社内ルール等に定めていますか?
□ は い □ いいえ
③ 入出資格に関する棚卸を定期的に行っていますか?
□ は い □ いいえ
④ ユーザーIDによる認証が行われている場合、ユーザーIDの共用を禁止していますか?
□ は い □ いいえ
⑤ 個人情報が保存された場所への入退室に際して、入出資格を持たない者が臨時に入室することはできませんか?
□ は い □ いいえ
(「いいえ」を選択した場合)
ア どのような場合に入出資格を持たない者の入出が許可されますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 管理責任者が必要性等を勘案し、臨時に許可を与えている場合
□ 有資格者と同伴であった場合
□ その他(具体的に: )
46 個人情報が保管された部屋又は場所の施錠について、社内ルール等に定めていますか? □ は い □ いいえ (「はい」を選択した場合) ① どのような場合に施錠されますか。以下のうち当てはまる項目すべてにチェックしてください。 | ||
□ 個人情報は施錠できる机、戸棚等に保管されており、使用時だけ施錠が解除される。 | ||
□ 部屋に誰もいなくなる場合は必ず施錠される。 | ||
□ 時間指定で施錠される。 | ||
□ その他(具体的に: | ) | |
47 | 個人情報が保存された場所への入退室を記録していますか? | |
□ は い □ いいえ | ||
(2) | 発注者が指定した場所へ持ち出す場合を除き、個人情報を定められた場所から持ち出さないこと。 | |
48 | 個人情報を指定された場所以外に持ち出してはならないことを、社内ルール等に定めていますか? | |
□ は い □ いいえ | ||
(「はい」を選択した場合) ① 個人情報を指定された場所以外に持ち出してはならないことは、どのように周知徹底されていますか。以下のうち当てはまる項目すべてにチェックしてください。 | ||
□ 定期的な教育・研修 | ||
□ 定期的な周知連絡 | ||
□ 責任者等による定期的なチェック | ||
□ その他(具体的に: | ) | |
49 | 本委託業務において利用する個人情報を、指定した場所以外に持ち出しませんか? | |
□ は い □ いいえ | ||
(3) | 個人情報を電子データで持ち出す場合は、電子データの暗号化処理又はこれと同等以上の保護措置を施すこと。 | |
50 | 個人情報が保存された電子媒体を外部に持ち出す場合、データ保護措置を実施していますか? | |
□ は い □ いいえ | ||
(「はい」を選択した場合) ① どのような措置を実施していますか。以下のうち、当てはまる項目すべてにチェックしてください。 □ 個人情報ファイルが暗号化された状態で媒体へ記録している。 □ (PCに保存されたものを持ち出す場合)BIOSレベルのユーザ認証をしている。 □ (PCに保存されたものを持ち出す場合)ハードディスクを暗号化している。 □ その他(具体的に: ) |
51 個人情報が保存されたファイルを外部に送信する場合、データ保護措置を実施していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのような措置を実施していますか。以下のうち当てはまる項目すべてにチェックしてください。
□ データを暗号化している。
□ 通信相手の認証を行い、通信相手のなりすましを防止している。
□ その他(具体的に:
)
(4) 事前に発注者の承認を受けて、業務を行う場所で、かつ業務に必要最小限の範囲で行う場合を除き、個人情報を複製又は複写しないこと。
52 原則的に個人情報ファイルの複製を行ってはいけないことを社内ルール等に定めていますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 複写してはならないことは、どのように周知徹底されていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 定期的な教育・研修
□ 定期的な周知連絡
□ 責任者等による定期的なチェック
□ その他(具体的に: )
② 個人情報の複写を許可する場合がありますか?
□ は い □ いいえ
(「はい」を選択した場合)
ア どのような場合に許可しますか。記述してください。
( )
53 久喜市から委託された個人情報の複写を行いますか? □ は い □ いいえ (「はい」を選択した場合) ① どのような場合に複写を行いますか。記述してください。 | ||
( | ) | |
(5) | 個人情報を移送する場合、移送時の体制を明確にすること。 | |
54 | 個人情報を移送する場合の体制を明確にすることができますか? □ は い □ いいえ | |
55 | 個人情報の移送に関して、記録を残すことができますか? □ は い □ いいえ | |
(「はい」を選択した場合) ① 残された記録から何が明らかになりますか。以下のうち当てはまる項目すべてにチェックしてください。 □ 移送者 □ 移送日時 □ 移送元及び移送先 □ 移送経路 □ その他(具体的に: ) |
56 個人情報の移送に関して、紛失や盗難を防止するための措置を実施していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのような措置を実施していますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 個人情報記録と他の運送物との混同が防止されている。
□ 運搬用車両から離れる際、すべてのドアを施錠している。
□ 個人情報を運搬するときは、施錠できる運搬用ケースを使用している。
□ 運送業者と秘密保持に関する誓約が取り交わされている。
□ その他(具体的に:
)
57 個人情報をFAXにて送受信するときは、FAXより出力される通信管理レポートを記録として保管していますか?
□ は い □ いいえ
(6) 個人情報を電子データで保管する場合、当該データが記録された媒体及びそのバックアップの保管状況並びに記録されたデータの正確性について、定期的に点検すること。
58 個人情報の改ざんや破損に備え、バックアップを取得していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① バックアップデータに対して、定期的に保管状況及びデータ内容の完全性についての点検を行っていますか?
□ は い □ いいえ
(7) 個人情報を管理するための台帳を整備し、個人情報の利用者、保管場所その他の個人情報の取扱いの状況を当該台帳に記録すること。
59 個人情報の台帳を作成し、保護対象の個人情報を記録していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 当該台帳から明らかになる事柄すべてにチェックしてください。
□ 個人情報名が判明する。
□ 個人情報の保有者又は管理者が判明する。
□ 個人情報の保管場所が判明する。
□ 個人情報の使用場所が判明する。
□ その他(具体的に
)
(8) 個人情報の紛失、漏洩、改ざん、破損その他の事故(以下「個人情報の漏洩等の事故」という。)を防ぎ、真正性、見読性及び保存性の維持に責任を負うこと。
60 個人情報が保存された機器について、個人情報の紛失や漏洩を防止するための措置を実施していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのような措置が実施されていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 個人情報が保存されたノートPC等に盗難防止用チェーンが設置されている。
□ 離席時にも端末等での正当な権限者以外の者による窃視防止の対策が実施されている。
□ 個人情報が保存されているサーバやPCへのリモート接続が制限されている。
□ その他(具体的に:
)
61 個人情報を取り扱うサーバやPCにアクセスできる者について、社内ルール等に規定していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのようなことが規定されていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 操作者を定めることが規定されている。
□ 管理責任者を定めることが規定されている。
□ 管理責任者と操作者のみしかアクセスすることができないことが規定されている。
□ 代行操作が認められており、代行できる者についての基準が規定されている。
□ 代行操作が認められており、代行者、被代行者、代行の日時に関する情報を、管理・記録することが規定されている。
□ アクセス権限を有する場合でも、業務上の目的以外の目的ではアクセスしてはならず、アクセスは必要最小限にすることが規定されている。
□ その他(具体的に: )
62 個人情報を取り扱うサーバやPCにアクセスするために、IDごとの本人認証を行っていますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのように本人認証が行われていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 指紋、虹彩等の生体認証を使用して認証を行っている。
□ ICカード等のセキュリティデバイスを使用して認証を行っている。
□ ID/パスワードにて認証を行っている。
□ その他(具体的に:
)
② 個人情報を取り扱うサーバやPCへのアクセス権限は定期的に棚卸が行われていますか?
□ は い □ いいえ
63 個人情報を取り扱っているサーバやPCへのアクセスが行われた場合のアクセスログを残していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 取得されたアクセスxxは、定期的に確認されていますか?
□ は い □ いいえ
64 個人情報が記録された外部記録媒体に対して、真正性確保のための措置を実施していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのような措置が実施されていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 個人情報ファイルは書き込みが禁止になっている。
□ 媒体を変更したり、更新したりする際に、明確な記録が行われている。
□ 媒体に保存されたファイルの変更の有無が分かるようになっている。
□ その他(具体的に:
)
65 個人情報の授受を行うネットワークについて、個人情報の改ざんや漏洩を防止するための措置を実施していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのような措置が実施されていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ ネットワーク上のデータが暗号化されている。
□ 通信相手先が正当であることを認識するための相互認証が行われている。
□ ネットワーク上で、個人情報が改ざんされていないことを保障できる機能がある。
□ その他(具体的に:
)
66 個人情報の変更が行われた際には、作成責任者の氏名等の識別情報及び正確な時刻情報を用いた作成日時を記録していますか?
□ は い □ いいえ
67 システム開発におけるテストは、擬似の個人情報を利用する等、実際の個人情報を利用する機会は必要最低限となるようにしていますか?
□ は い □ いいえ
68 作業場所のPC(個人所有物も含む)にウィルス対策ソフトを導入しなければならないこと、またウィルス定義ファイルを常に最新化しておかなければならないことを、作業従事者に対し指導していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのように指導されていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 定期的な教育・研修
□ 定期的な周知連絡
□ 責任者等による定期的なチェック
□ その他(具体的に: )
69 個人情報を取り扱うPCにはウィルス対策ソフトをインストールしており、常に最新の定義ファイルに更新していますか?
□ は い □ いいえ
(9) 作業場所に、私用パソコン、私用外部記録媒体その他の私用物を持ち込んで、個人情報を扱う作業を行わせないこと。
70 作業従事者が、作業場所に私用パソコンや私用外部記録媒体を持ち込むことを禁止していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 持ち込み禁止であることはどのように徹底されていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 定期的な教育・研修
□ 定期的な周知連絡
□ 責任者等による定期的なチェック
□ その他(具体的に: )
71 作業従事者は、作業場所に私用パソコンや私用外部記録媒体等を持ち込んでいませんか?
□ は い □ いいえ
(10) 個人情報を利用する作業を行うパソコンに、個人情報の漏洩につながると考えられる業務に関係のないアプリケーションをインストールしないこと。
72 個人情報を取り扱うPCに情報漏洩につながるようなアプリケーションをインストールすることを禁止していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 情報漏洩につながるようなアプリケーションのインストール禁止は、どのように徹底されていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 定期的な教育・研修
□ 定期的な周知連絡
□ 責任者等による定期的なチェック
□ その他(具体的に: )
73 作業従事者は、作業場所のPC及び個人PCに情報漏洩につながるようなアプリケーションをインストールしていませんか?
□ は い □ いいえ
(提供された個人情報の目的外利用及び第三者への提供の禁止)
第10条 受注者は、本委託業務において利用する個人情報について、本委託業務以外の目的で利用してはならない。また、発注者に無断で第三者へ提供してはならない。
74 本委託業務において利用する個人情報について、委託業務外での使用が禁止であることを理解していますか?
□ は い □ いいえ
75 本委託業務において利用する個人情報について、第三者へ提供してはならないことを理解していますか?
□ は い □ いいえ
76 本委託業務において利用する個人情報について、受託業務外での使用及び第三者への提供が禁止であることを作業従事者に周知し、理解させていますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 委託業務外での使用及び第三者への提供が禁止であることを作業従事者に周知させ、理解させた結果を記録していますか?
□ は い □ いいえ
77 個人情報を取り扱う業務では、受託業務外で情報が閲覧されていないことを確認するための措置を実施していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのような措置を実施していますか。記述してください。
(
)
78 本委託業務において利用する個人情報を、許可された受託業務外で使用しませんか?
□ は い □ いいえ
(「いいえ」を選択した場合)
① 個人情報を許可された受託業務外で使用する理由を記述してください。
(
)
79 本委託業務において利用する個人情報を、第三者へ提供しませんか?
□ は い □ いいえ
(「いいえ」を選択した場合)
① 個人情報を第三者へ提供する理由を記述してください。
(
)
(受渡し)
第11条 受注者は、発注者、受注者間の個人情報の受渡しに関しては、発注者が指定した手段、日時及び場所で行った上で、発注者に個人情報の預り証を提出しなければならない。
80 個人情報の受渡しの手順を定めていますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのような手順を定めていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 個人情報の受渡しは、提供者が指定した日時及び場所で行うことになっている。
□ 個人情報の受渡し後に、受託者は、受領を示す証拠(受領証等)を提供者に提出している。
□ その他(具体的に:
)
81 個人情報をやむを得ずFAXにて送受信する場合の、誤送信防止の措置を実施していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのような措置を実施していますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 送信者受信者の相互確認機能等を持った、FAX誤送信防止ソフト等の導入によりFAX誤送信を防止している。
□ 個人情報を含むFAX送信の際には、複数名による相互確認を行っている。
□ 個人情報を含むFAX送信は、個人情報保護責任者の承認の上で行っている。
□ その他(具体的に:
)
82 個人情報を電子メールにて送受信する場合の、誤送信防止の措置を実施していますか?
□ は い □ いいえ
(「はい」を選択した場合)
① どのような措置を実施していますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 送信先ごとのメッセージルール指定機能等を持った電子メール誤送信防止ツール等を導入することにより、電子メールの誤送信を防止している。
□ 個人情報を含む電子メール送信は、個人情報保護責任者の承認の上で行っている。
□ その他(具体的に: )
83 本委託業務において利用する個人情報の受渡しに際し、久喜市へ個人情報の預り証を提出することができますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 本委託業務において利用する個人情報の受渡しについて、記録を残すことができますか?
□ は い □ いいえ
(「はい」を選択した場合)
ア 個人情報の受渡しの記録から何が判断できますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 受領の担当者が判断できる。
□ 受領の処理内容が判断できる。
□ 個人情報の内容が判断できる。
□ 個人情報の件数が判断できる。
□ 利用媒体が判断できる。
□ その他(具体的に: )
(個人情報の返還又は廃棄)
第12条 受注者は、本委託業務の終了時に、本委託業務において利用する個人情報について、発注者の指定した方法により、返還又は廃棄を実施しなければならない。
2 受注者は、本委託業務において利用する個人情報を消去又は廃棄する場合は、事前に消去又は廃棄すべき個人情報の項目、媒体名、数量、消去又は廃棄の方法及び処理予定日を書面により発注者に申請し、その承諾を得なければならない。
3 受注者は、個人情報の消去又は廃棄に際し発注者から立会いを求められた場合は、これに応じなければならない。
4 受注者は、本委託業務において利用する個人情報を廃棄する場合は、当該情報が記録された電磁的記録媒体の物理的な破壊その他当該個人情報を判読不可能とするのに必要な措置を講じなければならない。
5 受注者は、個人情報の消去又は廃棄を行った後、消去又は廃棄を行った日時、担当者名及び消去又は廃棄の内容を記録し、書面により発注者に対して報告しなければならない。
84 久喜市の許可なく個人情報の廃棄を行ってはいけないことを理解していますか?
□ は い □ いいえ
85 個人情報を久喜市に返却するときの手順を定めていますか?
□ は い □ いいえ
86 個人情報を久喜市に返却するとき、返却の記録を残すことができますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 個人情報返却の記録から何が判断できますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 返却の日時が判断できる。
□ 返却の担当者が判断できる。
□ 返却の処理内容が判断できる。
□ その他(具体的に:
)
87 本委託業務において利用する個人情報が不必要となった場合、廃棄又は消去することができますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 個人情報の廃棄又は消去の際には、電磁的記録媒体等に記録されているデータが判読できないよう必要な措置を実施することができますか?
□ は い □ いいえ
② 個人情報の廃棄又は消去の具体的な方法や手段を記述してください。
( )
③ 個人情報の廃棄又は消去の記録を残すことができますか?
□ は い □ いいえ
(「はい」を選択した場合)
ア 個人情報の廃棄又は消去の記録から何が判断できますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 廃棄又は消去を実施した年月日が判断できる。
□ 廃棄又は消去を実施した担当者が判断できる。
□ 廃棄又は消去の方法や手段が判断できる。
□ その他(具体的に: )
④ 個人情報の廃棄又は消去は、久喜市の立会いのもとで行うことができますか。
□ は い □ いいえ
(「いいえ」を選択した場合)
⑤ 個人情報の廃棄又は消去を行うことができない理由を記述してください。
( )
88 個人情報の複製物がある場合、業務完了後又は業務に必要がなくなった時点で、当該複製物を廃棄又は消去することができますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 個人情報の複製物の廃棄又は消去の際には、電磁的記録媒体等に記録されているデータが判読できないよう必要な措置を実施することができますか?
□ は い
□ いいえ
② 個人情報の複製物の廃棄又は消去の具体的な方法や手段を記述してください。
(
③ 個人情報の複製物の廃棄又は消去の記録を残すことができますか?
)
□ は い □ いいえ
(「はい」を選択した場合)
ア 廃棄又は消去の記録から何が判断できますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 廃棄又は消去を実施した年月日が判断できる。
□ 廃棄又は消去を実施した担当者が判断できる。
□ 廃棄又は消去の方法や手段が判断できる。
□ その他(具体的に: )
④ 提供された個人情報の複製物の廃棄又は消去は、久喜市の立会いのもとで行うことができますか?
□ は い □ いいえ
(「いいえ」を選択した場合)
⑤ 個人情報の複製物の廃棄又は消去を行うことができない理由を記述してください。
( )
(定期報告及び緊急時報告)
第13条 受注者は、発注者から、個人情報の取扱いの状況について報告を求められた場合は、直ちに報告しなければならない。
2 受注者は、個人情報の取扱いの状況に関する定期報告及び緊急時報告の手順を定めなければならない。
89 個人情報の取扱い状況について定期的に報告する手順や方法を定めていますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 報告手順からはどのようなことが明確になっていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 報告体制(報告元・報告先)が明確になっている。
□ 報告時期が明確になっている。
□ その他(具体的に: )
② 定期的な報告の内容には何が含まれていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 業務の進捗状況
□ 処理態様
□ 処理の実績
□ 処理に要した時間等
□ その他(具体的に: )
③ 個人情報の取扱い状況について定期的に報告した結果を記録することができますか?
□ は い □ いいえ
90 緊急時の報告について手順や方法を定めていますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 報告手順からはどのようなことが明確になっていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 報告体制(報告元・報告先)が明確になっている。
□ 緊急時の対応が明確になっている。
□ その他(具体的に: )
(監査及び検査)
第14条 発注者は、本委託業務に係る個人情報の取扱いについて、本契約の規定に基づき必要な措置が講じられているかどうか検証及び確認するため、受注者及び再委託先に対して、監査又は検査を行うことができる。
2 発注者は、前項の目的を達するため、受注者に対して必要な情報を求め、又は本委託業務の処理に関して必要な指示をすることができる。
91 監査に対応可能な体制を整えていますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 個人情報保護に関する対応の記録について、社内ルール等に定めていますか?
□ は い □ いいえ
(「はい」を選択した場合)
ア 個人情報保護に関する対応の記録が残されていますか?
□ は い □ いいえ
② 情報セキュリティに関する監査に対応するための責任者及び担当者を定めていますか?
□ は い □ いいえ
(「はい」を選択した場合)
ア 情報セキュリティに関する監査に対応するための責任者及び担当者を明文化した体制図、体制表又は社内ルール規定が存在しますか?
□ は い □ いいえ
(事故時の対応)
第15条 受注者は、本委託業務に関し個人情報の漏洩等の事故が発生した場合は、その事故の発生に係る帰責の有無に関わらず、直ちに発注者に対して、当該事故に関わる個人情報の内容、件数、事故の発生場所、発生状況を書面により報告し、発注者の指示に従わなければならない。
92 セキュリティ事故が発生した場合は、その事故発生に係る帰責の有無にかかわらず、直ちに、個人情報の内容、数量、事件又は事故の発生場所、発生状況等を書面により久喜市に報告し、久喜市の指示に従わなければならないことを理解していますか?
□ は い □ いいえ
2 受注者は、個人情報の漏洩等の事故が発生した場合に備え、発注者その他の関係者との連絡、証拠保全、被害拡大の防止、復旧、再発防止の措置を迅速かつ適切に実施するために、緊急時対応計画を定めなければならない。
93 個人情報の紛失、漏洩、改ざん、破損その他の事故が発生した場合に備え、措置を迅速に行うための緊急時対応計画を定めていますか?
□ は い □ いいえ
(「はい」を選択した場合)
① 緊急時対応計画には、何について記載していますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 証拠保全に関する活動について記載されている。
□ 被害拡大の防止に関する活動について記載されている。
□ 復旧に関する活動について記載されている。
□ 再発防止に関する活動について記載されている。
□ 地方公共団体への連絡に関する活動について記載されている。
□ その他(具体的に: )
(5番目の「連絡に関する活動が記載されている」にチェックした場合)
ア 何について連絡するよう定められていますか。以下のうち当てはまる項目すべてにチェックしてください。
□ 個人情報の内容
□ 個人情報の数量
□ 事件又は事故の発生場所
□ 発生状況等
□ その他(具体的に: )
② 緊急時対応計画のコピーを提出してください。また、当該資料の名称及び参照箇所を下記に記述してください。
( )
3 発注者は、本委託業務に関し個人情報の漏洩等の事故が発生した場合は、必要に応じて当該事故に関する情報を公表することができる。
94 セキュリティ事故が発生した場合、当該事故の内容等の公表を、久喜市の必要に応じ行うことができることを理解していますか?
□ は い □ いいえ
(契約解除)
第16条 発注者は、受注者が本特記仕様書に定める義務を履行しない場合は、本特記仕様書に関連する委託業務の全部又は一部を解除することができる。
2 受注者は、前項の規定による契約の解除により損害を受けた場合においても、発注者に対して、その損害の賠償を請求することはできないものとする。
(損害賠償)
第17条 受注者の故意又は過失を問わず、受注者が本特記仕様書の内容に違反し、又は怠ったことにより、発注者に対する損害を発生させた場合は、受注者は、発注者に対して、その損害を賠償しなければならない。