２乙は、本契約の実施に当たって、ウェブサイトを構築又は運用する場合には、インターネットを介して通信する情報の盗聴及び改ざんの防止並びに正当なウェブサーバであることを利用者が確認できるようにするため、TLS(SSL)暗号化の実施等によりウェブサイトの暗号化の対策等を講じなければならない。

会計アドバイザリー及び財務諸表等作成支援業務に係る業務委託契約書

独立行政法人エネルギー・金属鉱物資源機構（以下「甲」という。）と●●●●（以下「乙」という。）は、以下のとおり委託契約を締結する。

（業務の委託）

第１条甲は、別紙１「仕様書」に記載の支援業務等（以下「本業務」という。）を乙に委託し、乙はこれを受託する。

２乙は、本業務を実施し、甲は乙にその対価を支払うものとする。

（資料の提出と情報の帰属）

第２条乙は、仕様書に記載された本業務を遅滞なく行い、甲に提供する。

２乙が本業務により生成した成果物は、一切甲の所有に属するものとする。

（資料の不備、不足、遅滞）

第３条甲が乙に提供した資料に不備、不足又は資料の提供の遅滞があったことにより、乙の本業務の履行に支障を来し、若しくは乙の本業務に瑕疵を生じた場合には、乙はその責任を負わない。

２乙は、甲の提供した資料に不足がある場合又は不備を発見した場合には、甲に対し、提出期限を定めて資料の追加または訂正を求めることができる。

（契約保証金）

第４条甲は、本契約において、乙に対し契約保証金を全額免除する。

（契約期間）

第５条本業務の委託期間は、令和５年●月●日より令和１０年７月３１日までとする。

（本業務の委託料）

第６条本業務に係る契約金額は、金●●●●●●●円（うち消費税額及び地方税消費税額金●●●●●●円）とする。なお、各年度における契約金額及び業務内訳は別紙 2 のとおりとする。

内訳：

令和５事業年度金●●●●●円（うち消費税額及び地方税消費税額金●●●●●円）令和６事業年度金●●●●●円（うち消費税額及び地方税消費税額金●●●●●円）令和７事業年度金●●●●●円（うち消費税額及び地方税消費税額金●●●●●円）令和８事業年度金●●●●●円（うち消費税額及び地方税消費税額金●●●●●円）令和９事業年度金●●●●●円（うち消費税額及び地方税消費税額金●●●●●円）

（乙の報告義務）

第７条乙は、仕様書に定めるとおり、各事業年度の業務期間完了後、速やかに業務完了報告書を甲に提出しなければならない。なお、当該業務報告書は、３月末に完了する業務については３月の最終営業日、それ以外の業務については完了する日の翌月の１０日までに提出するものとする。

２前項に定めるほか、乙は、甲の求めがあったときは、その都度、本業務の実施状況を甲に報告しなければならない。

３乙は本業務の実施に伴い、業務内容、完了期限、若しくは契約金額等に変更が生ずるおそれのある事態が発生したとき又は仕様書記載の仕様に誤謬若しくは脱漏があることを発見したときは、速やかに甲に報告しその指示を受けなければならない。この場合において、上記の業務内容、完了期限、契約金額又はその他仕様等を変更する必要があるときは、甲が書面によりこれを通知するものとする。

（仕様等の変更）

第８条甲は、必要があると認めるときは、業務内容、完了期限、契約金額又はその他仕様等を変更することができる。この変更の内容及びその他の措置については、甲が書面によりこれを通知するものとする。

（検査）

第９条甲は第７条第１項ないし第２項の報告に基づき、本業務の成果及び履行内容を検査する。

２前項の検査の結果、本業務の成果又は履行内容が仕様書又は甲の必要とする水準に適合していないと甲が判断するときは、乙は、甲の指定する期限までに、乙の費用負担において、甲の指示に従い、修補、契約金額減額、その他、必要な措置をとらなければならない。この場合において、乙のとった措置については、甲に書面にて報告しなければならない。

３前項により甲が新たに期限を付する場合には、第５条の期限内に完了期限を設定するものとする。ただし、甲が書面又は電磁的方法により完了期限を延期する旨を乙に通知したときは、当初の完了期限経過後であっても、当該通知に定める日をもって完了期限とする。

（契約金の請求、支払い）

第１０条乙は、前条の検査に合格したときは、甲に対し、請求書を提出のうえ第６条に定める各事業年度の契約金額の支払いを請求することができる。甲は、適法な請求書を受領した日から３０日以内に支払うものとする。

２前項の規定にかかわらず、乙は委託業務の完了前に委託業務に必要な経費として概算払請求書を提出することができる。この場合において、甲は、当該請求に対し支払うことが適当であると判断したときは、支払いを行うことができる。

３甲は、自己の責に帰すべき事由により、本条第１項に規定する期日までに支払わなかったときは、遅延日数に応じ、請求金額に政府契約の支払遅延防止等に関する法律（昭和２４年

法律第２５６号）第８条第 1 項に規定する財務大臣が銀行の一般貸付利率を勘案して決定する率を乗じて計算した金額を乙に支払わなければならない。

（監督）

第１１条甲又は甲が定めた監督員は、必要があるときは、乙の業務に立ち会い、指示その他の方法により乙の履行状況を監督することができる。

２乙は、xxx監督員の指示に従うとともに、その職務に協力しなければならない。

（再委託）

第１２条乙は、業務の全部又は一部を第三者に委託し、又は請け負わせてはならない。ただし、事業全体の企画及び立案並びに根幹に関わる執行管理以外の業務を再委託するときで、あらかじめ甲の書面による承諾を得た場合は、この限りではない。

２前項のただし書きによる甲の承諾を受けた場合であっても、乙は、受託者又は下請負人の行為につき、甲に対して一切の責めを負うものとする。

（甲の契約解除権）

第１３条乙に次の各号の一に該当する事実があったときは、甲はこの契約を解除することができる。

（１）乙がこの契約の条項に違反したとき。

（２）乙の責に帰すべき事由により、契約期間内に完了の見込みがないと明らかに認められるとき。

（３）その他契約に違反し、その違反により契約の目的を達することができないと認められたとき。

２前項の規定により甲が本契約を解除したときは、乙は、契約総額（契約締結後、契約総額を変更した場合には、変更後の契約総額（実費として給付した金額を含む。））の１００分の

１０に相当する額を違約金として、甲に支払わなければならない。

（乙の契約解除権）

第１４条甲の責に帰すべき事由又は天災その他不可抗力の災害のため、本業務を継続することが不可能になったときは、乙はこの契約を解除することができる。

２前項の規定により乙が本契約を解除した場合において、これにより乙に損害を及ぼしたときは、甲は乙に対しその損害を賠償しなければならない。この場合における賠償額は、甲乙協議して定めるものとする。

（賠償金等の徴収）

第１５条乙がこの契約に基づく賠償金、損害金又は違約金を甲の指定する期間内に支払わないときは、甲は、その支払わない額に甲の指定する期限を経過した日から契約代金の支払いの日まで年３パ－セントの割合で計算した利息を付した額と、甲の支払うべき契約代金額とを相

殺し、なお不足があるときは追徴する。

２前項の追徴をする場合には、甲は、乙から遅延日数につき年３パーセントの割合で計算した額の延滞金を徴収する。

（秘密の保持等）

第１６条甲及び乙は、本契約若しくはこれに付随して知り得た相手方の業務、技術、営業上の情報は秘密として取り扱い、本契約の請負期間内並びに期間終了後も、第三者に開示、漏洩してはならない。ただし、本条第２項に定める情報については、この限りではない。

２前項において次の各号のいずれかに該当するものはこの限りではない。

（１）相手方から提供される以前に公知となっていたもの。

（２）相手方から提供される以前にすでに自己が保有していたもの。

（３）相手方から文書による同意を得たもの。

（４）相手方から提供された後に自己の責によらず公知となったもの。

（５）正当な権限を有する第三者から秘密保持義務を課されることなく合法的に取得したもの。

（６）法令又は政府若しくは裁判所等の指示により開示を求められたもの。

３乙はその使用人、第１２条第１項による委託先及び下請負先の第三者に対しても同様の義務を遵守させなければならない。

（情報セキュリティの確保）

第１７条乙は、契約締結後速やかに、情報セキュリティを確保するための体制並びに本条第

２項から第１１項まで、次条及び１９条に記載する事項の遵守の方法及び提出を求める情報、書類等（以下「情報セキュリティを確保するための体制等」という。）について、甲に提示し了承を得た上で確認書類として提出しなければならない。ただし、別途契約締結前に、情報セキュリティを確保するための体制等について甲に提示し了承を得た上で提出したときは、この限りでない。また、乙は、本契約期間内に履行する内容のうち、情報セキュリティの確保が必要となる業務が、複数回発生又は一定期間にわたり継続する場合は、情報セキュリティを確保するための体制及び対策に係る実施状況について、定期的に、様式第１により作成した情報セキュリティに関する事項の遵守の方法の実施状況報告書を甲に提出しなければならない。加えて、これらに変更が生じる場合は、事前に甲へ案を提出し、同意を得なければならない。

なお、報告の内容について、甲と乙が協議し不十分であると認めた場合、乙は、速やかに甲と協議し対策を講じなければならない。

２乙は、本契約に使用するソフトウェア、電子計算機等に係る脆弱性対策、不正プログラム対策、サービス不能攻撃対策、標的型攻撃対策、アクセス制御対策、情報漏えい対策を講じるとともに、本契約にかかわる従事者に対しては、本契約への従事を開始する前までに必ずこれらの対策に関する情報セキュリティ教育を実施していなければならない。また、契約期間中においても情報セキュリティ対策の調整や教育を、必要に応じて実施しなければならない。

３乙は、本契約遂行中に得た本契約に関する情報（紙媒体、電子媒体及びオンラインストレ

ージ等にて、本契約遂行中に得た本契約に関する情報を言う。またこれらの複製も含む。）の取扱いには十分注意を払い、甲の内外にて甲の許可なく複製してはならない。

４乙は、本契約遂行中に得た本契約に関する情報について、甲内に複製が可能な電子計算機等の機器を持ち込んで作業を行う必要がある場合には、事前に甲の許可を得なければならない。なお、この場合であっても、本契約遂行中に得た本契約に関する情報の取扱いには十分注意を払い、甲の内外にて甲の許可なく複製してはならない。

５乙は、本契約を終了又は契約解除する場合には、乙において本契約遂行中に得た本契約に関する情報を速やかに甲に返却し、又は廃棄し、若しくは消去しなければならない。また、乙の作業環境内に、本契約遂行中に得た本契約に関する情報を含むデータが残らないように、データの削除及び廃棄を実施しなければならない。その際、返却又は廃棄若しくは消去した結果について、甲の確認を必ず受けなければならない。

６乙は、契約期間中及び契約終了後においても、本契約に関して知り得た甲の業務上の内容について、他に漏らし又は他の目的に利用してはならない。

但し、乙は、正当な理由にて甲の業務内容を外部に提供する必要が生じた場合は、提供先で当該情報が適切に取り扱われないおそれがあることに留意し、提供の可否を十分に検討した上で、甲の承認を得るとともに、取扱上の注意点を示して提供しなければならない。

７乙は、本契約の遂行において、情報セキュリティが侵害され又はそのおそれがある場合の対処方法について甲に提示しなければならない。また、情報セキュリティが侵害され又はそのおそれがあることを認知した場合には、速やかに甲に報告を行い、原因究明及びその対処等について甲と協議の上、その指示に従わなければならない。

８乙は、本契約全体における情報セキュリティの確保のため、内閣サイバーセキュリティセンターが公開する「政府機関等のサイバーセキュリティ対策のための統一基準」（令和５年度版）（以下「規程等」と総称する。）に基づく、情報セキュリティ対策を講じなければならない。

９乙は、xxx内閣官房内閣サイバーセキュリティセンターが必要に応じて実施する情報セキュリティ監査、マネジメント監査又はペネトレーションテストを受け入れるとともに、指摘事項への対応を行わなければならない。

１０乙は、本契約に従事する者を限定しなければならない。また、乙の資本関係・役員の情報、本契約の実施場所、本契約の全ての従事者の所属、専門性（情報セキュリティに係る資格・研修実績等）、実績及び国籍に関する情報を甲に提示しなければならない。なお、本契約の実施期間中に従事者を変更等する場合には、事前にこれらの情報を甲に再提示しなければならない。

１１乙は、本契約の一部を第三者に委任し、又は請け負わせる場合には、第三者に委任し、又は請け負わせることにより生ずる脅威に対して本条から第１９条までの規定に基づく情報セキュリティ対策が十分に確保される措置を講じなければならない。

（外部公開ウェブサイトにおける情報セキュリティ対策）

第１８条乙は、外部公開ウェブサイト（以下「ウェブサイト」という。）を構築又は運用するプラットフォームとして、乙が管理責任を有するサーバ等がある場合には、当該ウェブサイト又は当該サーバ等で利用するＯＳ、ミドルウェア等のソフトウェアの脆弱性情報を収集し、セキュリティ修正プログラムが提供されている場合には業務影響に配慮しつつ、速やかに適用を実施しなければならない。また、ウェブサイトを構築した際には、サービス開始前に、

運用中においては年１回以上、第三者によるポートスキャン、脆弱性検査を含むプラットフォーム診断を実施し、脆弱性を検出した場合には必要な対策を実施しなければならない。なお、外部公開ウェブサイトを構築又は運用するプラットフォームとして業者が管理するサーバを利用する場合には、その旨と情報セキュリティ対策の実施について甲に説明し、甲の了承を得なければならない。

２乙は、本契約の実施に当たって、ウェブサイトを構築又は運用する場合には、インターネットを介して通信する情報の盗聴及び改ざんの防止並びに正当なウェブサーバであることを利用者が確認できるようにするため、TLS(SSL)暗号化の実施等によりウェブサイトの暗号化の対策等を講じなければならない。

なお、必要となるサーバ証明書には、利用者が事前のルート証明書のインストールを必要とすることなく、その正当性を検証できる認証局（証明書発行機関）により発行された電子証明書を用いなければならない。

３乙は、ウェブサイトの構築又は改修を行う場合には、独立行政法人情報処理推進機構が公開する最新の「安全なウェブサイトの作り方」（以下「作り方」という。）に従わなければならない。また、ウェブサイトの構築又は改修時においてはサービス開始前に、運用中においてはウェブアプリケーションへ修正を加えた場合や新たな脅威が確認された場合に、「作り方」に記載されている脆弱性の検査等（ウェブアプリケーション診断）を実施し、脆弱性を検出した場合には必要な対策を実施しなければならない。併せて、「作り方」のチェックリストに従い対応状況を確認し、その結果を記入したチェックリストを甲に提出しなければならない。

なお、チェックリストの結果に基づき、甲から指示があった場合には、その指示に従わなければならない。

４乙は、ウェブサイト又は電子メール送受信機能を含むシステム等の機構外向けシステムを構築又は運用する場合には、政府機関のドメインであることが保証されるドメイン名「．ｇｏ．ｊｐ」を使用しなければならない。

（情報システム等における情報セキュリティ対策）

第１９条乙は、情報システム（ウェブサイトを含む。以下同じ。）の設計、構築、運用、保守、廃棄等（電子計算機、電子計算機が組み込まれた機器、通信回線装置、電磁的記録媒体等のハードウェア又はソフトウェア（以下「機器等」という。）の調達を含む場合には、その製造工程を含む。）を行う場合には、以下を実施しなければならない。（ただし、本契約期間内に履行する内容のうち、情報セキュリティの確保が必要となる業務が、複数回発生又は一定期間にわたり継続する場合に限る。）。

（１）各工程において、甲の意図しない変更や機密情報の窃取等が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること。また、具体的な管理手順や品質保証体制を書類等にて甲に提出すること。

（２）情報システムや機器等に意図しない変更が行われる等の不正が見つかったときに、追跡調査や立入検査等、甲と連携して原因を調査し、排除するための手順及び体制を整備していること。それら内容について書類等にて甲に提出すること。

（３）不正プログラム対策ソフトウェア等の導入に当たり、既知及びxxの不正プログラムの検知及びその実行の防止の機能を有するソフトウェアを導入すること。

（４）情報セキュリティ対策による情報システムの変更内容について、甲に速やかに報告

すること。また、情報システムが構築段階から運用保守段階へ移行する際等、他の事業者へ引継がれる項目に、情報セキュリティ対策に必要な内容を含めること。

（５）サポート期限が切れた又は本契約の期間中にサポート期限が切れる予定がある等、サポートが受けられないソフトウェアの利用を行わない及びその利用を前提としないこと。また、ソフトウェアの名称・バージョン・導入箇所等を管理台帳で管理することに加え、サポート期限に関するものを含むソフトウェアの脆弱性情報を収集し、甲に情報提供するとともに、情報を入手した場合には脆弱性対策計画を作成し、甲の確認を得た上で対策を講ずること。

（６）電子メール送受信機能を含むシステム等の機構外向けシステムを構築又は運用する場合には、政府機関のドメインであることが保証されるドメイン名「．ｇｏ．ｊｐ」を使用すること。

（７）電子メール送受信機能を含む場合には、SPF（Sender Policy Framework）等のなりすましの防止策を講ずるとともに SMTP によるサーバ間通信の TLS（SSL）化や S/MIME 等の電子メールにおける暗号化及び電子署名等により保護すること。

２乙は、本契約を実施するに当たり、民間事業者等が不特定多数の利用者に対して提供する、画一的な約款や規約等への同意のみで利用可能となる外部サービス（ソーシャルメディアサービスを含む）を利用する場合には、これらのサービスで要機密情報を扱ってはならず、第

１７条第８項に掲げる規程等に定める不正アクセス対策を実施するなど規程等を遵守しなければならない。また、外部サービスを利用する場合は、その利用状況を管理しなければならない。なお、乙は、本契約を実施するに当たり、クラウドサービスを調達する際は、「政府情報システムのためのセキュリティ評価制度（ＩＳＭＡＰ）」において登録されたサービスから調達することを原則とすること。

３乙は、ウェブサイトの構築又はアプリケーション・コンテンツ（アプリケーションプログラム、ウェブコンテンツ等の総称をいう。以下同じ。）の開発・作成を行う場合には、利用者の情報セキュリティ水準の低下を招かぬよう、以下の内容も含めて行わなければならない。

（１）提供するウェブサイト又はアプリケーション・コンテンツが不正プログラムを含まないこと。また、そのために以下を含む対策を行うこと。

①ウェブサイト又はアプリケーション・コンテンツを提供する前に、不正プログラム対策ソフトウェアを用いてスキャンを行い、不正プログラムが含まれていないことを確認すること。

②アプリケーションプログラムを提供する場合には、当該アプリケーションの仕様に反するプログラムコードが含まれていないことを確認すること。

③提供するウェブサイト又はアプリケーション・コンテンツにおいて、甲外のウェブサイト等のサーバへ自動的にアクセスが発生する機能が仕様に反して組み込まれていないことを、ＨＴＭＬソースを表示させるなどして確認すること。

（２）提供するウェブサイト又はアプリケーションが納品時点において、脆弱性を含まないこと。

（３）実行プログラムの形式以外にコンテンツを提供する手段がない場合を除き、実行プログラム形式でコンテンツを提供しないこと。

（４）電子証明書を用いた署名等、提供するウェブサイト又はアプリケーション・コンテンツの改ざん等がなく真正なものであることを確認できる手段がある場合には、それをウェブサイト又はアプリケーション・コンテンツの提供先に与えること。

（５）提供するウェブサイト又はアプリケーション・コンテンツの利用時に、脆弱性が存在するバージョンのＯＳ、ソフトウェア等の利用を強制するなどの情報セキュリティ水準を低下させる設定変更をＯＳ、ソフトウェア等の利用者に要求することがないよう、ウェブサイト又はアプリケーション・コンテンツの提供方式を定めて開発すること。

（６）甲外へのアクセスを自動的に発生させる機能やサービス利用者その他の者に関する情報が本人の意思に反して第三者に提供されるなどの機能がウェブサイト又はアプリケーション・コンテンツに組み込まれることがないよう開発すること。ただし、必要があって当該機能をウェブサイト又はアプリケーション・コンテンツに組み込む場合は、甲外へのアクセスが情報セキュリティ上安全なものであることを確認した上で、他のウェブサイト等のサーバへ自動的にアクセスが発生すること、サービス利用者その他の者に関する情報が第三者に提供されること及びこれらを無効にする方法等が、サービス利用者において容易に確認ができるよう、甲が示すプライバシーポリシー等を当該ウェブサイト又はアプリケーション・コンテンツに掲載すること。

（個人情報の取扱い）

第２０条乙は、甲から預託された個人情報（個人情報の保護に関する法律（平成１５年法律第

５７号。以下「個人情報保護法」という。）第２条第１項及び第２項に規定する個人情報をいう。）及び行政機関等匿名加工情報等（個人情報保護法第１２１条に規定する行政機関等匿名加工情報等をいう。）（以下「個人情報等」という。）については、善良なる管理者の注意をもって取り扱わなければならない。

２乙は、個人情報等を取り扱わせる業務を第三者（乙の子会社（会社法（平成１７年法律第

８６号）第２条第１項第３号に規定する子会社をいう。）である場合も含む。以下この条において同じ。）に委任し、又は請負わせる場合には、事前に甲の承認を得るとともに、本条に定める、甲が乙に求めた個人情報等の適切な管理のために必要な措置と同様の措置を当該第三者も講ずるように求め、かつ当該第三者が約定を遵守するよう書面で義務づけなければならない。承認を得た第三者の変更及び第三者が再委任又は再下請け等を行う場合についても同様とする（以下、承認を得た再受任者及び再下請人等を単に「第三者」という。）。

３乙は、前項の承認を受けようとする場合には、書面をもって甲に提出しなければならない。甲は、承認をする場合には、条件を付すことができる。

４乙は、次の各号に掲げる行為をしてはならない。ただし、事前に甲の承認を得た場合は、この限りでない。

（１）甲から預託された個人情報等を第三者（前項記載の書面の合意をした第三者を除く。）に提供し、又はその内容を知らせること。

（２）甲から預託された個人情報等について、甲が示した利用目的（特に明示がない場合は本契約の目的）の範囲を超えて使用し、複製し、又は改変すること。

（３）本契約に関して自ら収集し、又は作成した個人情報について、甲が示した利用目的

（特に明示がない場合は本契約の目的）の範囲を超えて使用すること。

５乙は、本契約において個人情報等を取り扱う場合には、責任者及び業務従事者の管理体制及び実施体制、個人情報等の管理の状況についての検査に関する事項等の必要な事項について定めた書面を甲に提出するとともに、個人情報の漏えい、滅失、及び毀損の防止その他の個人情報等の適切な管理（第三者による管理を含む。）のために必要な措置を講じなければな

らない。また、乙は、契約内容の遵守状況及び下請負先（再委託先を含む。）における個人情報等の取扱い状況について、甲に定期的に報告しなければならない。

６甲は、必要があると認めるときは、所属の職員に、乙（第三者を含む。）の事務所、事業場等において、個人情報等の管理が適切に行われているか等について調査をさせ、乙に対し必要な指示をさせることができる。乙は、甲からその調査及び指示を受けた場合には、甲に協力するとともにその指示に従わなければならない。

７乙は、本契約の完了又は契約解除等により、甲が預託した個人情報等が含まれる紙媒体及び電子媒体（これらの複製を含む。）が不要になった場合には、速やかに甲に返却又は破砕、溶解及び焼却等の方法により個人情報等を復元及び判読不可能な状態に消去又は廃棄し、書面をもって甲に報告しなければならない。ただし、甲が別段の指示をしたときは、乙はその指示に従うものとする。

８乙は、甲から預託された個人情報等の漏えい、滅失、毀損、不正使用、その他本条に違反する事実を認識した場合には、直ちに自己の費用及び責任において被害の拡大防止等のため必要な措置を講ずるとともに、甲に当該事実が発生した旨、並びに被害状況、復旧等の措置及び本人（個人情報等により識別されることとなる特定の個人）への対応等について直ちに報告しなければならない。また、甲から更なる報告又は何らかの措置・対応の指示を受けた場合には、乙は当該指示に従うものとする。

９乙は、甲から預託された個人情報等以外に、本契約に関して自ら収集又は作成した個人情報等については、個人情報保護法に基づいて取り扱うこととし、甲が別段の指示をしたときは当該指示に従うものとする。

（１）乙は、乙又は第三者の責めに帰すべき事由により、本契約に関連する個人情報等（甲から預託された個人情報等を含む。）の漏えい、滅失、毀損、不正使用、その他本条に係る違反等があった場合は、これにより生じた一切の損害について、賠償の責めを負う。なお、本項その他損害賠償義務を定める本契約の規定は、本契約のその他の違反行為（第三者による違反行為を含む。）に関する乙の損害賠償義務を排除又は制限するものではない。

（２）本条の規定は、本契約又は請負業務に関連して乙又は第三者が甲から預託され、又は自ら取得した個人情報等について、本契約を完了し、又は解除その他の理由により本契約が終了した後であっても、なおその効力を有する。

（契約の公表）

第２１条乙は、この契約の名称、請負代金額並びに乙の氏名及び住所等が公表されることに同意するものとする。

（危険負担）

第２２条本業務の実施中に生じた損害その他業務の処理に関して生じた損害（第三者に及ぼした損害を含む。）は、乙の負担とする。ただし、その損害が甲の責に帰する理由によるものであるときは、甲の負担とする。

（協議事項）

第２３条本契約の条項について解釈上疑義を生じた場合、又は契約に定めのない事項につい

ては、甲、乙協議の上で決定する。

（紛争の解決）

第２４条本契約に関して甲乙間に紛争を生じた場合には、甲及び乙は、誠意をもってその解決を図るものとする。この場合において、紛争の処理に要する費用については、特別の定めをしたものを除き、甲乙協議の上で各々が負担する。

（管轄裁判所）

第２５条本契約に係る訴訟の提訴又は調停の申し立てについては、東京地方裁判所を第一審の専属的合意管轄裁判所とする。

特記事項

【特記事項１】

（談合等の不正行為による契約の解除）

第１条甲は、次の各号のいずれかに該当したときは、契約を解除することができる。

(1) 本契約に関し、乙が私的独占の禁止及び公正取引の確保に関する法律（昭和２２年法律第５４号。以下「独占禁止法」という。）第３条又は第８条第１号の規定に違反する行為を行ったことにより、次のイからハまでのいずれかに該当することとなったとき

イ独占禁止法第６１条第１項に規定する排除措置命令が確定したときロ独占禁止法第６２条第１項に規定する課徴金納付命令が確定したとき

ハ独占禁止法第７条の４第７項又は第７条の７第３項の課徴金納付命令を命じない旨の通知があったとき

(2) 本契約に関し、乙の独占禁止法第８９条第１項又は第９５条第１項第１号に規定する刑が確定したとき

(3) 本契約に関し、乙（法人の場合にあっては、その役員又は使用人を含む。）の刑法（明治４０年法律第４５号）第９６条の６又は第１９８条に規定する刑が確定したとき

（談合等の不正行為に係る通知文書の写しの提出）

第２条乙は、前条第１号イからハまでのいずれかに該当することとなったときは、速やかに、次の各号の文書のいずれかの写しを甲に提出しなければならない。

(1) 独占禁止法第６１条第１項の排除措置命令書

(2) 独占禁止法第６２条第１項の課徴金納付命令書

(3) 独占禁止法第７条の４第７項又は第７条の７第３項の課徴金納付命令を命じない旨の通知文書

（談合等の不正行為による損害の賠償）

第３条乙が、本契約に関し、第１条の各号のいずれかに該当したときは、甲が本契約を解除するか否かにかかわらず、かつ、甲が損害の発生及び損害額を立証することを要することなく、乙は、契約金額又は契約単価に予定数量を乗じて得た金額（本契約締結後、契約金額又は契約単価の変更があった場合には、変更後の契約金額又は契約単価に予定数

量を乗じて得た金額）の１００分の１０に相当する金額（その金額に１００円未満の端数があるときは、その端数を切り捨てた金額）を違約金として甲の指定する期間内に支払わなければならない。

２前項の規定は、本契約による履行が完了した後も適用するものとする。

３第１項に規定する場合において、乙が事業者団体であり、既に解散しているときは、甲は、乙の代表者であった者又は構成員であった者に違約金の支払を請求することができる。この場合において、乙の代表者であった者及び構成員であった者は、連帯して支払わなければならない。

４第１項の規定は、甲に生じた実際の損害額が同項に規定する違約金の金額を超える場合において、甲がその超える分について乙に対し損害賠償金を請求することを妨げるものではない。

５乙が、第１項の違約金及び前項の損害賠償金を甲が指定する期間内に支払わないときは、乙は、当該期間を経過した日から支払をする日までの日数に応じ、年３パーセントの割合で計算した金額の遅延利息を甲に支払わなければならない。

【特記事項２】

（暴力団関与の属性要件に基づく契約解除）

第４条甲は、乙が次の各号の一に該当すると認められるときは、何らの催告を要せず、本契約を解除することができる。

(1) 法人等（個人、法人又は団体をいう。）が、暴力団（暴力団員による不当な行為の防止等に関する法律（平成３年法律第 77 号）第２条第２号に規定する暴力団をいう。以下同じ。）であるとき又は法人等の役員等（個人である場合はその者、法人である場合は役員又は支店若しくは営業所（常時契約を締結する事務所をいう。）の代表者、団体である場合は代表者、理事等、その他経営に実質的に関与している者をいう。以下同じ。）が、暴力団員（同法第２条第６号に規定する暴力団員をいう。以下同じ。）であるとき

(2) 役員等が、自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもって、暴力団又は暴力団員を利用するなどしているとき

(3) 役員等が、暴力団又は暴力団員に対して、資金等を供給し、又は便宜を供与するなど直接的あるいは積極的に暴力団の維持、運営に協力し、若しくは関与しているとき

(4) 役員等が、暴力団又は暴力団員であることを知りながらこれと社会的に非難されるべき関係を有しているとき

（下請負契約等に関する契約解除）

第５条乙は、本契約に関する下請負人等（下請負人（下請が数次にわたるときは、全ての下請負人を含む。）及び再受任者（再委任以降の全ての受任者を含む。）並びに自己、下請負人又は再受任者が当該契約に関連して第三者と何らかの個別契約を締結する場合の当該第三者をいう。以下同じ。）が解除対象者（前条に規定する要件に該当する者をいう。以下同じ。）であることが判明したときは、直ちに当該下請負人等との契約を解除し、又は下請負人等に対し解除対象者との契約を解除させるようにしなければならない。

２甲は、乙が下請負人等が解除対象者であることを知りながら契約し、若しくは下請負人等の契約を承認したとき、又は正当な理由がないのに前項の規定に反して当該下請負人等との契約を解除せず、若しくは下請負人等に対し契約を解除させるための措置を講

じないときは、本契約を解除することができる。

（損害賠償）

第６条甲は、第４条又は前条第２項の規定により本契約を解除した場合は、これにより乙に生じた損害について、何ら賠償ないし補償することは要しない。

２乙は、甲が第４条又は前条第２項の規定により本契約を解除した場合において、甲に損害が生じたときは、その損害を賠償するものとする。

３乙が、本契約に関し、第４条又は前条第２項の規定に該当したときは、甲が本契約を解除するか否かにかかわらず、かつ、甲が損害の発生及び損害額を立証することを要することなく、乙は、契約金額又は契約単価に予定数量を乗じて得た金額（本契約締結後、契約金額又は契約単価の変更があった場合には、変更後の契約金額又は契約単価に予定数量を乗じて得た金額）の１００分の１０に相当する金額（その金額に１００円未満の端数があるときは、その端数を切り捨てた金額）を違約金として甲の指定する期間内に支払わなければならない。

４前項の規定は、本契約による履行が完了した後も適用するものとする。

５第２項に規定する場合において、乙が事業者団体であり、既に解散しているときは、甲は、乙の代表者であった者又は構成員であった者に違約金の支払を請求することができる。この場合において、乙の代表者であった者及び構成員であった者は、連帯して支払わなければならない。

６第３項の規定は、甲に生じた実際の損害額が同項に規定する違約金の金額を超える場合において、甲がその超える分について乙に対し損害賠償金を請求することを妨げるものではない。

７乙が、第３項の違約金及び前項の損害賠償金を甲が指定する期間内に支払わないときは、乙は、当該期間を経過した日から支払をする日までの日数に応じ、年３パーセントの割合で計算した金額の遅延利息を甲に支払わなければならない。

（不当介入に関する通報・報告）

第７条乙は、本契約に関して、自ら又は下請負人等が、暴力団、暴力団員、暴力団関係者等の反社会的勢力から不当要求又は業務妨害等の不当介入（以下「不当介入」という。）を受けた場合は、これを拒否し、又は下請負人等をして、これを拒否させるとともに、速やかに不当介入の事実を甲に報告するとともに警察への通報及び捜査上必要な協力を行うものとする。

本契約の証として本書２通を作成し、甲乙記名押印の上、各自１通を保有する。令和５年 ●月 ●日

甲東京都港区虎ノ門二丁目１０番１号

独立行政法人エネルギー・金属鉱物資源機構契約担当役理事西川信康

乙

様式第１

令和年⽉⽇

独⽴⾏政法⼈エネルギー・⾦属鉱物資源機構経理部情報セキュリティ責任者殿

住所

名称

代表者⽒名

情報セキュリティに関する事項の遵守の⽅法の実施状況報告書

契約書第１７条第１項の規定に基づき、下記のとおり報告します。

記

１．契約件名等

契約締結⽇	令和５年⽉⽇
契約件名	会計アドバイザリー及び財務諸表等作成⽀援業務に係る業務委託契約

２．報告事項

項⽬	確認事項	実施状況
第１７条第２項	本契約に使⽤するソフトウェア、電⼦計算機等に係る脆弱性対策、不正プログラム対策、サービス不能攻撃対策、標的型攻撃対策、アクセス制御対策、情報漏えい対策を講じるとともに、本契約にかかわる従事者に対しては、本契約への従事を開始する前までに必ずこれらの対策に関する情報セキュリティ教育を実施する。また、契約期間中においても情報セキュリティ対策の調整や教育を、必要に応じて実施する。
第１７条第３項	本契約遂⾏中に得た本契約に関する情報（紙媒体、電⼦媒体及びオンラインストレージ等にて、本契約遂⾏中に得た本契約に関する情報を⾔う。またこれらの複製も含む。）の取扱いには⼗分注意を払い、甲の内外にて甲の許可なく複製しない。
第１７条第４項	本契約遂⾏中に得た本契約に関する情報について、甲内に複製が可能な電⼦計算機等の機器を持ち込んで作業を⾏う必要がある場合には、事前に甲の許可を得る。なお、この場合であっても、本契約遂⾏中に得た本契約に関する情報の取扱いには⼗分注意を払い、甲の内外にて甲の許可なく複製しない。
第１７条第５項	本契約を終了⼜は契約解除する場合には、⼄において本契約遂⾏中に得た本契

	約に関する情報を速やかに甲に返却し、⼜は廃棄し、若しくは消去する。また、⼄の作業環境内に、本契約遂⾏中に得た本契約に関する情報を含むデータが残らないように、データの削除及び廃棄を実施する。その際、返却⼜は廃棄若しくは消去した結果について、甲の確認を必ず受ける。
第１７条第６項	契約期間中及び契約終了後においても、本契約に関して知り得た甲の業務上の内容について、他に漏らし⼜は他の⽬的に利⽤しない。但し、正当な理由にて甲の業務内容を外部に提供する必要が⽣じた場合は、提供先で当該情報が適切に取り扱われないおそれがあることに留意し、提供の可否を⼗分に検討した上で、甲の承認を得るとともに、取扱上の注意点を⽰して提供する。
第１７条第７項	本契約の遂⾏において、情報セキュリティが侵害され⼜はそのおそれがある場合の対処⽅法について甲に提⽰する。また、情報セキュリティが侵害され⼜はそのおそれがあることを認知した場合には、速やかに甲に報告を⾏い、原因究明及びその対処等について甲と協議の上、その指⽰に従う。
第１７条第８項	本契約全体における情報セキュリティの確保のため、内閣サイバーセキュリティセンターが公開する最新の「政府機関等のサイバーセキュリティ対策のための統⼀基準」（令和 5 年度版）（以下「規程等」と総称する。）に基づく、情報セキュリティ対策を講じる。
第１７条第９項	甲⼜は内閣官房内閣サイバーセキュリティセンターが必要に応じて実施する情報セキュリティ監査、マネジメント監査⼜はペネトレーションテストを受け⼊れるとともに、指摘事項への対応を⾏う。
第１７条第１０項	本契約に従事する者を限定する。また、⼄の資本関係・役員の情報、本契約の実施場所、本契約の全ての従事者の所属、専⾨性（情報セキュリティに係る資格・研修実績等）、実績及び国籍等に関する情報を甲に提⽰する。なお、本契約の実施期間中に従事者を変更等する場合には、事前にこれらの情報を甲に再提⽰する。
第１７条第１１項	本契約の⼀部を再委託する場合には、再委託することにより⽣ずる脅威に対して本条から第１９条までの規定に基づく情報セキュリティ対策が⼗分に確保される措置を講じる。
第１８条第１項	外部公開ウェブサイト（以下「ウェブサイト」という。）を構築⼜は運⽤するプラットフォームとして、⼄が管理責任を有するサーバ等がある場合には、当該ウェブサイト⼜は当該サーバ等で利⽤するＯＳ、ミドルウェア等のソフトウェアの脆弱性情報を収集し、セキュリティ修正プログラムが提供されている場合には業務影響に配慮しつつ、速やかに適⽤を実施する。また、ウェブサイトを構築した際には、サービス開始前に、運⽤中においては年１回以上、第三者によるポートスキャン、脆弱性検査を含むプラットフォーム診断を実施し、脆弱性を検出した場合には必要な対策を実施する。

	なお、外部公開ウェブサイトを構築⼜は運⽤するプラットフォームとして業者が管理するサーバを利⽤する場合には、その旨と情報セキュリティ対策の実施について甲に説明し、甲の了承を得る。
第１８条第２項	本契約の実施に当たって、ウェブサイトを構築⼜は運⽤する場合には、インターネットを介して通信する情報の盗聴及び改ざんの防⽌並びに正当なウェブサーバであることを利⽤者が確認できるようにするため、TLS(SSL)暗号化の実施等によりウェブサイトの暗号化の対策等を講じる。なお、必要となるサーバ証明書には、利⽤者が事前のルート証明書のインストールを必要とすることなく、その正当性を検証できる認証局（証明書発⾏機関）により発⾏された電⼦証明書を⽤いる。
第１８条第３項	ウェブサイトの構築⼜は改修を⾏う場合には、独⽴⾏政法⼈情報処理推進機構が公開する最新の「安全なウェブサイトの作り⽅」（以下「作り⽅」という。）に従う。またウェブサイトの構築⼜は改修時においてはサービス開始前に、運⽤中においてはウェブアプリケーションへ修正を加えた場合や新たな脅威が確認された場合に、「作り⽅」に記載されている脆弱性の検査等（ウェブアプリケーション診断）を実施し、脆弱性を検出した場合には必要な対策を実施する。併せて、「作り⽅」のチェックリストに従い対応状況を確認し、その結果を記⼊したチェックリストを甲に提出する。なお、チェックリストの結果に基づき、甲から指⽰があった場合には、その指⽰に従う。
第１８条第４項	ウェブサイト⼜は電⼦メール送受信機能を含むシステム等の機構外向けシステムを構築⼜は運⽤する場合には、政府機関のドメインであることが保証されるドメイン名「．ｇｏ．ｊｐ」を使⽤する。
第１９条第１項	情報システム（ウェブサイトを含む。以下同じ。）の設計、構築、運⽤、保守、廃棄等（電⼦計算機、電⼦計算機が組み込まれた機器、通信回線装置、電磁的記録媒体等のハードウェア⼜はソフトウェア（以下「機器等」という。）の調達を含む場合には、その製造⼯程を含む。）を⾏う場合には、以下を実施する（ただし、本契約期間内に履⾏する内容のうち、情報セキュリティの確保が必要となる業務が、複数回発⽣⼜は⼀定期間にわたり継続する場合に限る。）。（１）各⼯程において、甲の意図しない変更や機密情報の窃取等が⾏われないことを保証する管理が、⼀貫した品質保証体制の下でなされていること。また、具体的な管理⼿順や品質保証体制を書類等にて甲に提出すること。（２）情報システムや機器等に意図しない変更が⾏われる等の不正が⾒つかったときに、追跡調査や⽴⼊検査等、甲と連携して原因を調査し、排除するための⼿順及び体制を整備していること。それら内容について書類等にて甲に提出すること。（３）不正プログラム対策ソフトウェア等の導⼊に当たり、既知及び未知の不正

プログラムの検知及びその実⾏の防⽌の機能を有するソフトウェアを導⼊すること。

（４）情報セキュリティ対策による情報システムの変更内容について、甲に速やかに報告すること。また、情報システムが構築段階から運⽤保守段階へ移⾏する際等、他の事業者へ引継がれる項⽬に、情報セキュリティ対策に必要な内容を含めること。

（５）サポート期限が切れた⼜は本契約の期間中にサポート期限が切れる予定がある等、サポートが受けられないソフトウェアの利⽤を⾏わない及びその利

⽤を前提としないこと。また、ソフトウェアの名称・バージョン・導⼊箇所等を管理台帳で管理することに加え、サポート期限に関するものを含むソフトウェアの脆弱性情報を収集し、甲に情報提供するとともに、情報を⼊⼿した場合には脆弱性対策計画を作成し、甲の確認を得た上で対策を講ずること。

（６）電⼦メール送受信機能を含むシステム等の機構外向けシステムを構築⼜は運⽤する場合には、政府機関のドメインであることが保証されるドメイン名

「．ｇｏ．ｊｐ」を使⽤すること。

（７）電⼦メール送受信機能を含む場合には、SPF（Sender Policy Framework）等のなりすましの防⽌策を講ずるとともに SMTP によるサーバ間通信の TLS

（SSL）化や S/MIME 等の電⼦メールにおける暗号化及び電⼦署名等により

保護すること。

第１９条第２項

本契約を実施するに当たり、⺠間事業者等が不特定多数の利⽤者に対して提供する、画⼀的な約款や規約等への同意のみで利⽤可能となる外部サービス（ソーシャルメディアサービスを含む）を利⽤する場合には、これらのサービスで要機密情報を扱ってはならず、第１７条第８項に掲げる規程等に定める不正アクセス対策を実施するなど規程等を遵守しなければならない。また、外部サービスを利

⽤する場合は、その利⽤状況を管理しなければならない。なお、本契約を実施するに当たり、クラウドサービスを調達する際は、「政府情報システムのためのセキュリティ評価制度（ＩＳＭＡＰ）」において登録されたサービスから調達する

ことを原則とすること。

第１９条第３項

ウェブサイトの構築⼜はアプリケーション・コンテンツ（アプリケーションプログラム、ウェブコンテンツ等の総称をいう。以下同じ。）の開発・作成を⾏う場合には、利⽤者の情報セキュリティ⽔準の低下を招かぬよう、以下の内容も含めて⾏う。

（１）提供するウェブサイト⼜はアプリケーション・コンテンツが不正プログラムを含まないこと。また、そのために以下を含む対策を⾏うこと。

①ウェブサイト⼜はアプリケーション・コンテンツを提供する前に、不正プ

ログラム対策ソフトウェアを⽤いてスキャンを⾏い、不正プログラムが含

まれていないことを確認すること。

③提供するウェブサイト⼜はアプリケーション・コンテンツにおいて、機構外のウェブサイト等のサーバへ⾃動的にアクセスが発⽣する機能が仕様に反して組み込まれていないことを、ＨＴＭＬソースを表⽰させるなどして確認すること。

（２）提供するウェブサイト⼜はアプリケーションが納品時点において、脆弱性を含まないこと。

（３）実⾏プログラムの形式以外にコンテンツを提供する⼿段がない場合を除き、実⾏プログラム形式でコンテンツを提供しないこと。

（４）電⼦証明書を⽤いた署名等、提供するウェブサイト⼜はアプリケーション・コンテンツの改ざん等がなく真正なものであることを確認できる⼿段がある場合には、それをウェブサイト⼜はアプリケーション・コンテンツの提供先に与えること。

（５）提供するウェブサイト⼜はアプリケーション・コンテンツの利⽤時に、脆弱性が存在するバージョンのＯＳ、ソフトウェア等の利⽤を強制するなどの情報セキュリティ⽔準を低下させる設定変更をＯＳ、ソフトウェア等の利⽤者に要求することがないよう、ウェブサイト⼜はアプリケーション・コンテンツの提供⽅式を定めて開発すること。

（６）甲外へのアクセスを⾃動的に発⽣させる機能やサービス利⽤者その他の者に関する情報が本⼈の意思に反して第三者に提供されるなどの機能がウェブサイト⼜はアプリケーション・コンテンツに組み込まれることがないよう開発すること。ただし、必要があって当該機能をウェブサイト⼜はアプリケーション・コンテンツに組み込む場合は、機構外へのアクセスが情報セキュリティ上安全なものであることを確認した上で、他のウェブサイト等のサーバへ⾃動的にアクセスが発⽣すること、サービス利⽤者その他の者に関する情報が第三者に提供されること及びこれらを無効にする⽅法等が、サービス利

⽤者において容易に確認ができるよう、甲が⽰すプライバシーポリシー等を

当該ウェブサイト⼜はアプリケーション・コンテンツに掲載すること。

記載要領

１．「実施状況」は、第１７条第２項から同条第１１項まで、第１８条及び第１９条に規定した事項について、第１７条第１項に基づき提出した確認書類で⽰された遵守の⽅法の実施状況をチェックするものであり、「実施」、「未実施」⼜は「該当なし」のいずれか⼀つを記載すること。「未実施」と記載した項⽬については、別葉にて理由も報告すること。

２．上記に記載のない項⽬を追加することは妨げないが、事前に機構と相談すること。

（この報告書の提出時期：定期的（複数年の契約においては年１回以上、契約が１年以下のものは契約期間における半期を⽬途とする。但し、契約期間が短いなど、軽微な案件については、最終的な確認や報告書への記載などをもって、定期的な確認を省略することができる。）

	約に関する情報を速やかに甲に返却し、⼜は廃棄し、若しくは消去する。また、⼄の作業環境内に、本契約遂⾏中に得た本契約に関する情報を含むデータが残らないように、データの削除及び廃棄を実施する。その際、返却⼜は廃棄若しくは消去した結果について、甲の確認を必ず受ける。
第１７条第６項	契約期間中及び契約終了後においても、本契約に関して知り得た甲の業務上の内容について、他に漏らし⼜は他の⽬的に利⽤しない。但し、正当な理由にて甲の業務内容を外部に提供する必要が⽣じた場合は、提供先で当該情報が適切に取り扱われないおそれがあることに留意し、提供の可否を⼗分に検討した上で、甲の承認を得るとともに、取扱上の注意点を⽰して提供する。
第１７条第７項	本契約の遂⾏において、情報セキュリティが侵害され⼜はそのおそれがある場合の対処⽅法について甲に提⽰する。また、情報セキュリティが侵害され⼜はそのおそれがあることを認知した場合には、速やかに甲に報告を⾏い、原因究明及びその対処等について甲と協議の上、その指⽰に従う。
第１７条第８項	本契約全体における情報セキュリティの確保のため、内閣サイバーセキュリティセンターが公開する最新の「政府機関等のサイバーセキュリティ対策のための統⼀基準」（令和 5 年度版）（以下「規程等」と総称する。）に基づく、情報セキュリティ対策を講じる。
第１７条第９項	甲⼜は内閣官房内閣サイバーセキュリティセンターが必要に応じて実施する情報セキュリティ監査、マネジメント監査⼜はペネトレーションテストを受け⼊れるとともに、指摘事項への対応を⾏う。
第１７条第１０項	本契約に従事する者を限定する。また、⼄の資本関係・役員の情報、本契約の実施場所、本契約の全ての従事者の所属、専⾨性（情報セキュリティに係る資格・研修実績等）、実績及び国籍等に関する情報を甲に提⽰する。なお、本契約の実施期間中に従事者を変更等する場合には、事前にこれらの情報を甲に再提⽰する。
第１７条第１１項	本契約の⼀部を再委託する場合には、再委託することにより⽣ずる脅威に対して本条から第１９条までの規定に基づく情報セキュリティ対策が⼗分に確保される措置を講じる。
第１８条第１項	外部公開ウェブサイト（以下「ウェブサイト」という。）を構築⼜は運⽤するプラットフォームとして、⼄が管理責任を有するサーバ等がある場合には、当該ウェブサイト⼜は当該サーバ等で利⽤するＯＳ、ミドルウェア等のソフトウェアの脆弱性情報を収集し、セキュリティ修正プログラムが提供されている場合には業務影響に配慮しつつ、速やかに適⽤を実施する。また、ウェブサイトを構築した際には、サービス開始前に、運⽤中においては年１回以上、第三者によるポートスキャン、脆弱性検査を含むプラットフォーム診断を実施し、脆弱性を検出した場合には必要な対策を実施する。

	なお、外部公開ウェブサイトを構築⼜は運⽤するプラットフォームとして業者が管理するサーバを利⽤する場合には、その旨と情報セキュリティ対策の実施について甲に説明し、甲の了承を得る。
第１８条第２項	本契約の実施に当たって、ウェブサイトを構築⼜は運⽤する場合には、インターネットを介して通信する情報の盗聴及び改ざんの防⽌並びに正当なウェブサーバであることを利⽤者が確認できるようにするため、TLS(SSL)暗号化の実施等によりウェブサイトの暗号化の対策等を講じる。なお、必要となるサーバ証明書には、利⽤者が事前のルート証明書のインストールを必要とすることなく、その正当性を検証できる認証局（証明書発⾏機関）により発⾏された電⼦証明書を⽤いる。
第１８条第３項	ウェブサイトの構築⼜は改修を⾏う場合には、独⽴⾏政法⼈情報処理推進機構が公開する最新の「安全なウェブサイトの作り⽅」（以下「作り⽅」という。）に従う。またウェブサイトの構築⼜は改修時においてはサービス開始前に、運⽤中においてはウェブアプリケーションへ修正を加えた場合や新たな脅威が確認された場合に、「作り⽅」に記載されている脆弱性の検査等（ウェブアプリケーション診断）を実施し、脆弱性を検出した場合には必要な対策を実施する。併せて、「作り⽅」のチェックリストに従い対応状況を確認し、その結果を記⼊したチェックリストを甲に提出する。なお、チェックリストの結果に基づき、甲から指⽰があった場合には、その指⽰に従う。
第１８条第４項	ウェブサイト⼜は電⼦メール送受信機能を含むシステム等の機構外向けシステムを構築⼜は運⽤する場合には、政府機関のドメインであることが保証されるドメイン名「．ｇｏ．ｊｐ」を使⽤する。
第１９条第１項	情報システム（ウェブサイトを含む。以下同じ。）の設計、構築、運⽤、保守、廃棄等（電⼦計算機、電⼦計算機が組み込まれた機器、通信回線装置、電磁的記録媒体等のハードウェア⼜はソフトウェア（以下「機器等」という。）の調達を含む場合には、その製造⼯程を含む。）を⾏う場合には、以下を実施する（ただし、本契約期間内に履⾏する内容のうち、情報セキュリティの確保が必要となる業務が、複数回発⽣⼜は⼀定期間にわたり継続する場合に限る。）。（１）各⼯程において、甲の意図しない変更や機密情報の窃取等が⾏われないことを保証する管理が、⼀貫した品質保証体制の下でなされていること。また、具体的な管理⼿順や品質保証体制を書類等にて甲に提出すること。（２）情報システムや機器等に意図しない変更が⾏われる等の不正が⾒つかったときに、追跡調査や⽴⼊検査等、甲と連携して原因を調査し、排除するための⼿順及び体制を整備していること。それら内容について書類等にて甲に提出すること。（３）不正プログラム対策ソフトウェア等の導⼊に当たり、既知及び未知の不正

Document Metadata

Table of Contents

Document Metadata