F20A 第 21065 号
準委任
2021 年度
F20A 第 21065 号
契約件名 改正個人情報保護法対応に係るアドバイザリーの委託
契約金額金*****円
(うち消費税及び地方消費税額 円)内訳は本契約書別添のとおり
株式会社ゆうちょ銀行(以下「甲」という。)及び○○○○株式会社(以下「乙」という。)は、外部委託管理の検証・見直しに係るアドバイザリーの委託に関し、以下のとおり契約(以下「本契約」という。)を締結する。
(契約の目的)
第1条 甲は、本契約書(本契約書別添、別紙を含む。)のほか、本契約の一部を構成する本契約書附属の仕様書及び仕様書に添付された図面等(以下「仕様書等」という。)に定める条件で、次条に定める業務を乙に委託し、乙はこれを受託する。
(委託業務の内容)
第2条 甲が乙に委託する業務(以下「本件業務」という。)は、次のとおりとする。なお、本件業務の詳細については、仕様書等によるものとする。
(1) 関連規程類の見直し
(2) 全体方針の検討
(3) 個別施策に関する各種照会・相談対応
(4) 上記(1)~(3)を踏まえた報告書の作成
(対価)
第3条 契約金額をもって、甲が乙に支払う本件業務の対価とする。
2 乙が本件業務の履行に要する一切の費用は、前項に定める対価に含まれるものとする。
(契約期間)
第4条 本契約の有効期間は、契約締結日から 2022 年 4 月 28 日までとする。
(善管注意義務)
第5条 乙は、本契約に定める作業スケジュール等の条件に従って、善良な管理者の注意をもって本件業務を遂行しなければならない。
(権利義務譲渡の禁止)
第6条 甲及び乙は、互いに相手方の事前の書面による同意なくして、本契約上の地位を第三者に承継させ、又は本契約から生じる権利義務の全部若しくは一部を第三者に譲渡し、引き受けさせ若しくは担保に供してはならない。
(届出事項の変更)
第7条 乙は、名称、住所その他届出事項に変更があったときは、直ちに甲に報告しなければならない。この場合、乙は甲の要求若しくは必要に応じて届出事項に関する確認資料を提示しなければならない。
2 前項の規定による乙の届出が遅滞したために生じた乙の損害について、xは責任を負わないものとする。
3 甲の乙に対する本契約に関する通知が、届出の住所に延着し又は到達しなかったときでも通常到着すべき時に到達したものとみなす。
(再委託の禁止)
第8条 乙は、本件業務の履行にあたり、当該業務の全部又は一部を第三者に再委託してはならない。
(仕様書等の疑義)
第9条 乙は、仕様書等の内容が明確でないこと、又は仕様書等に矛盾・誤謬その他の不適切な表示があることを発見したときは、速やかに甲に説明を求めるものとする。
2 乙は、前項の説明に従ったことを理由として、本契約に定める義務の履行を免れることはできないものとする。ただし、乙が当該説明の不適当なことを知って、速やかに甲に異議を申し立てたにもかかわらず、xが当該説明に従うことを求めたときは、この限りでない。
(本件業務の終了・確認)
第 10 条 乙は、甲に対し、本件業務が終了した後、遅滞なく書面をもって本件業務の実績を報告しなければならない。
(対価の請求及び支払)
第 11 条 乙は、前条の規定により実績報告の内容の確認を受けるとともに、xの指示する手続により請求内容の確認を受けた上で、支払請求書により本件業務の対価の支払を請求することができる。
(相殺)
第 12 条 乙が甲に対して損害賠償等の支払債務を負担するときは、甲は、当該支払債務と、甲が乙に対して負担する対価の支払債務とを対当額で相殺することができる。
(支払遅延利息)
第 13 条 甲は、支払期限までに対価を乙に支払わない場合は、未支払金額につき、支払期限の翌日から支払をする日までの日数に応じ、年 3.0%の割合で計算した金額を、遅延利息として乙に支払う。
2 前項の規定により計算した遅延利息の金額が 100 円未満である場合は、甲は遅延利息を支払うことを要しない。
(監督社員)
第 14 条 甲は、本契約の適正な履行を確保するため、必要がある場合は、監督社員を定め、その社員を乙の作業場所等に赴かせて甲が提供した資料等の保護・管理を含めた本件業務が適正に行われているか、乙が再委託先(再委託が数次にわたるときには、その全てを含む。)に対して必要かつ適切な監督を行っているか等について、甲の定めるところにより確認をさせ、乙の責任者を通じて、本件業務の遂行に関する要請・依頼をさせることができる。
2 甲は、監督社員を定めたときは、その社員の氏名並びに権限及び事務の範囲を乙に通知する。
3 乙は、監督社員の職務の遂行につき、相当の範囲内で協力するものとする。
4 監督社員は、職務の遂行にあたり、乙が行う業務を不当に妨げないものとする。
5 第1項に定める確認を受けるのに必要な費用は、全て乙の負担とする。
(履行不能等の通知)
第15x xは、理由の如何を問わず、本契約の条件に従った履行の見込みがなくなった場合、又は履行ができなくなった場合は、直ちに甲にこの旨を書面により通知しなければならない。
(契約の変更)
第 16 条 甲は、乙が本契約に基づく義務の履行を全て完了するまでの間において、必要がある場合は、契約期間、仕様書等の内容その他乙の義務に関し、本契約に定めるところを変更するため、乙と協議することができる。
2 前項の規定により協議が行われる場合は、乙は、見積書等甲が必要とする書類を作成し、速やかに甲に提出しなければならない。
3 乙は、本契約により甲のなすべき行為が遅延した場合において、必要があるときは、契約期間を変更するため、甲と協議することができる。
(事情の変更)
第 17 条 甲及び乙は、本契約の締結後、天災地変、法令の制定又は改廃、その他の著しい事情の変更により、本契約の定めによることが不当となったと認められる場合は、本契約を変更するため、協議することができる。
2 甲は、市場価格の動向、技術革新等からみて対価について変更の必要があると認める場合は、
乙と協議することができる。
3 前条第2項の規定は、前2項の規定により、対価の変更に関して協議を行う場合に準用する。
(中途解約)
第 18 条 甲は、本契約の有効期間中であっても、1か月前までに乙に書面で通知することにより、本契約の全部又は一部を解約することができる。この場合、甲は、乙に対して、損害を賠償する義務を負わない。
2 乙は、1か月前までに甲に書面で通知することにより、本契約の全部又は一部を解約することができる。この場合、甲が乙に請求したときは、乙は、甲又は第三者が本件業務を行うことができるに至るまで、必要な処分をしなければならない。
(契約の解除)
第 19 条 甲は、乙が次の各号のいずれかに該当するときは、何らの催告なしに直ちに、本契約の全部又は一部を解除することができる。
(1)監督官庁より営業停止、営業免許又は営業登録の取消等の処分を受けたとき。
(2)解散その他営業活動を休止したとき、又は本件業務の履行に影響を及ぼす営業上の重要な変更があったとき。
(3)支払の停止があったとき、又は破産手続開始、民事再生手続開始、会社更生手続開始若しくは特別清算開始その他これらに類似する倒産手続開始の申立てがあったとき。
(4)その財産について仮差押、仮処分、差押、強制執行若しくは担保権の実行としての競売等の申立て、又は公租公課の滞納処分を受けたとき。
(5)手形交換所の取引停止処分を受けたとき。
(6)前3号のほか、資産、信用状態が悪化し、又はそのおそれがあると認められる相当の事由があるとき。
(7)本契約の重大な違反、故意若しくは重過失による本契約の違反又は背信行為があったとき。
(8)その他前各号に準ずるような本契約を継続し難い重大な事由が発生したとき。
2 甲は、乙が本契約の各条項に違反し、相当の期間をおいて催告したにもかかわらず是正しないときは、本契約の全部又は一部を解除することができる。
(反社会的勢力の排除)
第 20 条 乙は、現在、暴力団、暴力団員、暴力団員でなくなった時から5年を経過しない者、暴力団準構成員、暴力団関係企業、総会屋等、社会運動等標ぼうゴロ又は特殊知能暴力集団等、その他これらに準ずる者(以下これらを「暴力団員等」という。)に該当しないこと、及び次の各号のいずれにも該当しないことを表明し、かつ将来にわたっても該当しないことを確約する。
(1)暴力団員等が経営を支配していると認められる関係を有すること
(2)暴力団員等が経営に実質的に関与していると認められる関係を有すること
(3)自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもってするなど、不当に暴力団員等を利用していると認められる関係を有すること
(4)暴力団員等に対して資金等を提供し、又は便宜を供与するなどの関与をしていると認められる関係を有すること
(5)役員又は経営に実質的に関与している者が暴力団員等と社会的に非難されるべき関係を有すること
2 乙は、自ら又は第三者を利用して次の各号の一にでも該当する行為を行わないことを確約する。
(1)暴力的な要求行為
(2)法的な責任を超えた不当な要求行為
(3)取引に関して、脅迫的な言動をし、又は暴力を用いる行為
(4)風説を流布し、偽計を用い又は威力を用いて甲の信用を毀損し、又は甲の業務を妨害する行為
(5)その他前各号に準ずる行為
3 乙が、暴力団員等若しくは第1項各号のいずれかに該当し、若しくは自ら若しくは第三者を利用して前項各号のいずれかに該当する行為をし、又は第1項の規定に基づく表明及び確約に関して虚偽の申告をしたことが判明した場合には、甲は、何らの催告なしに直ちに、本契約の全部又は一部を解除することができる。
4 前項の規定により本契約が解除された場合には、乙は、解除により生じる損害について、甲に対し一切の請求を行わないものとする。また、当該解除により甲に損害が生じた場合には、乙は、当該損害を賠償しなければならない。
(期限の利益の喪失)
第 21 条 乙は、自らが第 19 条第1項各号のいずれかに該当した場合、第 19 条第2項に基づき甲から本契約を解除された場合又は前条第3項に規定する場合は、甲に対する本契約上の一切の債務につき期限の利益を失い、直ちにこれを弁済しなければならない。
(損害賠償)
第 22 条 乙の債務不履行により甲に損害が生じた場合には、乙は、次の各号の定めるところに従い、当該損害を賠償しなければならない。ただし、その金額が 100 円未満であるときは、この限りでない。
(1)履行の遅滞が生じた場合(その後履行不能となった場合を除く。)は、乙は、当該履行遅滞部分に係る対価の金額につき、遅延日数に応じ、年 14.6%の割合で計算した金額を甲に対し支払う。
(2)前号以外の場合は、乙は、債務不履行部分に係る対価の金額に 20%を乗じて得た金額を甲に対し支払う。
(3)前2号の規定は、甲に生じた損害額が、前2号により算出された金額を超過する場合において、甲が、乙に対し、その超過分の損害につき、賠償を請求することを妨げない。
2 前項の規定は、甲が、乙に対し、同項の規定によらずに損害賠償を請求することを妨げない。
(入札談合等の不正行為に対する違約金)
第 23 条 乙は、本契約に関し、次の各号のいずれかに該当するときは、違約金として契約金額
(本契約締結後、契約金額の変更があった場合には、変更後の契約金額とする。)に 20%を乗じて得た金額を、甲の指定する期間内に甲に対して支払わなければならない。ただし、その金額が 100 円未満であるときは、この限りでない。
(1)乙が私的独占の禁止及びxx取引の確保に関する法律(昭和 22 年法律第 54 号、以下「独占禁止法」という。)第3条又は第6条の規定に違反し、又は乙を構成事業者とする事業者団体が同法第8条の規定に違反したことにより、xx取引委員会が、乙又は乙を構成事業者とする事業者団体に対し同法に基づく排除措置命令又は課徴金納付命令を行い、当該命令が確定したとき。
(2)xx取引委員会が独占禁止法第7条の4第7項又は第7条の7第3項の規定に基づき、課徴金の納付を命じない旨の通知を行ったとき。
(3)乙(法人の場合にあっては、その役員又は使用人を含む。)の刑法(明治 40 年法律第 45 号)
第 96 条の6又は独占禁止法第 89 条第1項若しくは第 95 条第1項第1号に規定する刑が確定したとき。
2 乙が前項の違約金を甲の指定する期間内に支払わないときは、乙は、当該違約金につき、当該期間を経過した日から支払をする日までの日数に応じ、年 3.0%の割合で計算した額の遅延利息を甲に支払わなければならない。
3 前項の規定は、甲に生じた損害の額が同項に規定する違約金の額を超過する場合において、甲が乙に対し、その超過分の損害につき、賠償を請求することを妨げない。
4 本条の規定は、本契約終了後も有効に存続する。
(知的財産権の侵害発生時の対応等)
第 24 条 乙は、本件業務の履行に際して、第三者の知的財産権を侵害してはならない。
2 乙は、本件業務の履行に際して、第三者との間で知的財産権の侵害等の紛議又はそのおそれが生じたときは、直ちに甲に連絡しなければならない。
3 乙は、前項の紛議又はそのおそれを自己の責任と費用負担において解決するものとし、xxx甲の顧客その他の第三者がこれにより損害を被った場合には、乙はその全てを賠償しなければならない。
(著作権の帰属)
第 25 x xは、本契約に基づく義務の履行に際して著作権が生じた場合には、著作xx(昭和 45 年法律第 48 号)第 27 条及び第 28 条に定める権利を含む全ての著作権を甲に譲渡し、甲が独占的に使用する。ただし、本契約締結前から乙又は第三者が保有する著作権は、xxは当該第三者に帰属する。
2 乙は甲に対し、一切の著作者人格権を行使しないこととし、また第三者をして行使させないものとする。
(産業財産権の帰属)
第 26 条 本契約に基づく義務の履行に際して生じた産業財産権(特許権、実用新案権、意匠権
をいう。以下同じ。)を受ける権利の帰属等については、次によるものとする。
(1)産業財産権を受ける権利の帰属
(ア) 産業財産権を受ける権利の対象となる発明、考案又は意匠(以下「発明等」という。)が、甲の技術指導によったものであるときは、その産業財産権を受ける権利は甲に帰属する。
(イ) 前記(ア)以外の発明等に係る産業財産権を受ける権利は、甲及び乙の共有に帰属する。
(2)出願
甲及び乙の共有に帰属する発明等について、産業財産権の出願を行う場合、甲及び乙は別途協議の上、共同出願を行う。
(3)産業財産権の実施等
(ア) 甲及び乙の共有に帰属した産業財産権の実施
乙は、甲及び乙の共有に帰属した産業財産権を実施する場合、甲と別途協議する。ただし、甲はその事業の用に供するため、自ら実施し又は第三者をして実施させることができる。
(イ) 第三者に対する共有持分の譲渡
甲及び乙は、第三者に対し共有持分を譲渡する場合、事前に相手方と協議しなければならない。
2 本契約に基づく義務の履行に際して発明等が生じた場合は、乙はその都度速やかに別紙「発明等発生状況報告書(発生あり)」によりその旨を甲へ報告しなければならない。なお、発明等が生じなかった場合は、乙は履行完了後速やかに別紙 1「発明等発生状況報告書(発生なし)」によりその旨を甲へ報告しなければならない。
(情報の取扱い)
第 27 条 甲は、乙に対し、本件業務の履行に必要な情報(文書、電子メール、電磁的記録等、当該情報を記載又は記録した媒体を含む。次項において同じ。)を開示又は提供する。
2 乙は、次条、第 27 条のほか、別紙 2「情報保護・管理要領」を遵守し、甲から開示又は提供を受けた情報を善良な管理者の注意をもって管理しなければならない。
(秘密の保持)
第 28 条 乙は、本契約若しくは本件業務に関して甲から開示を受け、又は本契約若しくは本件業務の履行過程で知り得た甲の営業上、技術上等の一切の情報(次に掲げる情報及び次条第1項に定める個人情報を除く。以下「秘密情報」という。)を善良な管理者の注意をもって厳重に管理し、秘密として保持しなければならない。
(1)開示を受け又は知り得た際、既に保有していた情報
(2)開示を受け又は知り得た後、正当な権限を有する第三者から秘密保持義務を負うことなく入手した情報
(3)開示を受け又は知り得た後、甲から開示を受け又は知り得た情報に関係なく、独自に取得し、又は創出した情報
(4)開示を受け又は知り得た際、既に公知であった情報
(5)開示を受け又は知り得た後、自己の責めに帰すことができない事由により公知となった情報
2 乙は、秘密情報を本件業務遂行の目的以外には利用してはならない。
3 乙は、甲の承認を得ずに秘密情報を複製してはならない。
4 乙は、次に掲げる場合を除き、第三者に秘密情報を開示又は漏えいしてはならない。
(1)甲の事前の書面による承諾を得て開示する場合。
(2)本契約の目的のために知る必要のある乙(第8条に基づき乙が再委託する場合の乙の再委託先を含む。)の役員及び従業員並びに弁護士、公認会計士、税理士その他法令上の守秘義務を負う専門家に開示する場合。
(3)法令諸規則、裁判所の判決・決定・命令又は行政機関若しくは自主規制機関の命令・指示・要請等(以下「法令等」という。)に基づき開示する場合。ただし、法令等の認める範囲内において、事前に(事前に通知できない場合にあっては、開示後速やかに)甲にその旨通知するものとする。
5 乙は、前項各号(第3号を除く。)の規定に基づき第三者に秘密情報を開示した場合には、乙が本契約に基づき甲に対して負う義務と同等の義務を当該第三者に負わせるとともに、当該第三者が当該義務に違反した場合には、乙は、これにより生じた甲の損害について一切の賠償責任を負わなければならない。
6 乙は、自己の役員及び従業員(以下「従業員等」という。)が退職する場合、当該従業員等に対し、退職後の秘密保持義務に関する誓約書の提出を求めるなど、従業員等が在任又は在職中に知り得た全ての秘密情報の退職後の秘密保持又は返還若しくは破棄等を義務付けるために合理的に必要と認められる措置を講じなければならない。
7 乙は、本契約終了時に、甲の求めに応じ、秘密情報の一切を甲に返還し、又は甲の指示する方法によりこれらを破棄若しくは消去し、その旨の証明書を甲に交付しなければならない。
8 乙は、自己又は第8条に基づき乙が再委託する場合の再委託先が本条各項と同等の秘密保持義務に違反して甲に損害を与えたときは、これにより生じた甲の損害について一切の賠償責任を負わなければならない。
9 本条の規定は、本契約終了後も有効に存続する。
(個人情報の保護)
第 29 条 乙は、本件業務の履行に際して甲より取扱いを委託された個人情報(個人情報の保護に関する法律(平成 15 年法律第 57 号)第2条第1項に定める個人情報をいう。以下同じ。)の盗用、改ざん又は第三者への開示若しくは漏えい等をしてはならない。
2 乙は、本件業務の履行にあたり、個人情報の漏えい、滅失又は毀損等の防止等のために合理的と認められる範囲内で、組織的、人的、物理的及び技術的な安全管理のために必要かつ適切な措置を講じなければならない。
3 乙は、甲の書面による事前の承諾を得ることなく、本件業務の履行以外の目的で、個人情報を加工、利用、複写又は複製してはならない。
4 乙は、従業員等に対し、個人情報に関する秘密保持義務を負わせるとともに、その目的外利用を禁止しなければならない。
5 乙は、従業員等が退職する場合、当該従業員等に対し、退職後の秘密保持義務に関する誓約書の提出を求めるなど、従業員等が在任又は在職中に知り得た全ての個人情報の退職後の秘密保持又は返還若しくは破棄等を義務付けるために合理的に必要と認められる措置を講じなければならない。
6 乙は、甲より委託を受けた個人情報の取扱いを第8条に基づき再委託する場合には、乙の責 任において、再委託先に対して本契約に基づき乙が負担する義務と同等の義務を課すとともに、必要かつ適切な監督を行わなければならない。
7 乙は、自己又は前項の再委託先が個人情報の漏えい、滅失又は毀損等により甲に損害を与えたときは、これにより生じた甲の損害について一切の賠償責任を負わなければならない。
8 乙は、本契約終了時に、甲の求めに応じ、個人情報の一切を甲に返還し、又は甲の指示する方法によりこれらを破棄若しくは消去し、その旨の証明書を甲に交付しなければならない。
9 本条の規定は、本契約終了後も有効に存続する。
(報告・監査)
第 30 条 乙は、甲に対し、定期的に、乙による契約内容の遵守状況、本件業務の履行状況並びに秘密情報及び個人情報の管理状況(再委託先以降に関する事項を含む。)その他甲が指定した事項について書面により報告するとともに、甲から要請があった場合には速やかに甲が指定した事項について報告、説明等を行わなければならない。
2 乙による契約内容の遵守、本件業務の履行又は秘密情報若しくは個人情報の管理その他甲が指定した事項に関連し、事故、苦情、事務過誤等(以下「事故等」という。)が生じ、又はそのおそれが生じた場合(再委託先以降において事故等が生じ、又はそのおそれが生じた場合を含む。)、当該事故等の発生原因の如何にかかわらず、乙は直ちに事故等が発生した日時、場所、原因及び対応状況その他別紙 2「情報保護・管理要領」で定めた事項を甲に報告し、速やかに対応措置を講じるとともに、その対応につき甲の指示するところに従わなければならない。
3 乙は、甲が指定する期日までに、発生した事故等の具体的内容、原因、実施した対応措置等を内容とする報告書を作成の上、甲に提出しなければならない。
4 乙は、対応措置後に発生原因等を検証して再発を防止するための措置内容を策定し、甲の承認を得た後、速やかに事故等再発防止策を実施しなければならない。
5 甲は、第 2 項及び第 3 項の報告内容を確認するため、乙の事前の承諾を得て、乙の事業所に立ち入り、本件業務の履行状況又は秘密情報若しくは個人情報の管理状況その他甲が指定した事項につき監査することができる。
なお、かかる監査の具体的な日程、方法、範囲等の詳細については、事前に甲乙協議の上決定する。
6 甲は、乙からの報告等又は監査の結果等を受け、必要があると判断するときは、乙に対し、本件業務の履行方法、秘密情報又は個人情報の管理方法等の見直し、修正、是正等を求めることができる。この場合、乙は当該見直し等を行った上で、その当否につき甲の確認を得なければならない。
(主務官庁等の検査対応等への協力)
第 31 条 乙は、甲から委託を受けた外部の専門機関又は主務官庁等による検査等の要求に応じなければならない。また、主務官庁等による検査等において、本件業務に関する報告等を求められた場合、乙は甲の求めに応じこれに協力しなければならない。
(公益通報者保護法に係る窓口)
第 32 条 乙は、本契約の履行に従事する乙の労働者(再委託先の労働者を除く。)に対し、公益通報者保護法(平成 16 年法律第 122 号)に係る甲の通報窓口について甲指定の周知文を受領したことを確認の上、当該周知文を用いて周知に努めなければならない。
(紛争の解決)
第 33 条 甲及び乙は、本契約に関して紛争又は疑義が生じた場合は、その都度協議して円満に解決する。
(合意管轄)
第 34 条 本契約に関し裁判上の紛争が生じたときは東京地方裁判所を第xxの専属的合意管轄裁判所とする。
本契約締結の証として、本書2通を作成し、甲乙各自記名押印の上、各1通を保有する。
2022年 | 月 | 日 |
甲 委託者 | 住所名称 | xxxxxx区大手町二丁目3番1号株式会社ゆうちょ銀行 常務執行役 xx xx |
x 受託者 | 住所名称 | ○○株式会社 |
代表取締役 ○ ○ ○ ○ |
別紙 1
発明等発生状況報告書(発生なし)
株式会社ゆうちょ銀行 コンプライアンス部門
コンプライアンス統括部
情報管理室 あて
○○○○年○○月○○日
住所:
氏名: 印※
契 約 番 号 :
契 約 件 名 :改正個人情報保護法対応に係るアドバイザリーの委託作業完了日:2022年4月28日
本契約に基づく義務の履行に際して、発明等が生じなかった旨、報告します。
以上
※押印を省略する場合
貴社の契約責任者を宛先に入れ、メールにより PDF を提出してください。
別紙 1
発明等発生状況報告書(発生あり)
株式会社ゆうちょ銀行コンプライアンス部門
コンプライアンス統括部
情報管理室 あて
○○○○年○○月○○日
住所:
氏名: 印※
契 約 番 号 :
契 約 件 名 :改正個人情報保護法対応に係るアドバイザリーの委託作業完了日:2022年4月28日
本契約に基づく義務の履行に際して、下記のとおり発明等が生じた旨、報告します。
記
件名 ① 状況 共有 |
件名 ② 状況 共有 |
件名 ③ 状況 共有 |
件名 ④ 状況 共有 |
件名 ⑤ 状況 共有 |
以上
※押印を省略する場合
貴社の契約責任者を宛先に入れ、メールにより PDF を提出してください。
別紙2
情報保護・管理要領
第1 目的
乙が本件業務において取り扱う各種情報(その意義は「第2 適用範囲」で定めるとおり。)について、適正な情報保護・管理方策、情報システムのセキュリティ方策、及び情報の漏えい、盗難、盗用、亡失、改ざん等(以下、「情報漏えい等」という。)の防止及び発生時に実施すべき事項・手順等について明確にすることを目的とする。
第2 適用範囲
甲が乙に対して開示又は提供する、本件業務の履行に必要な全ての情報(文書、電子メール、電磁的記録等、当該情報を記載・記録した媒体、クラウドサービスを含む。)を対象とする。
第3 乙が遵守すべき事項
乙は、本契約の履行にあたり、以下の項を全て遵守すること。
なお、特定個人情報を取り扱う委託契約について、下請又は再委託(下請契約又は再委託契約が数次にわたるときには、その全てを含む。)することを甲が許諾した場合、下請先又は再委託先以降にも、以下の項を全て遵守させること。
1 情報管理計画書の提出・承認
乙は、2から4までの各項に定める内容について、本件業務の履行開始までに「情報管理計画書」(表1)として取りまとめた上で甲の主管担当(以下、「主管担当」という)に提出し、承認を受けること。
(表1)「情報管理計画書」として提出するもの。
情報取扱者等名簿 |
教育・周知計画書 |
情報取扱計画書 |
作業場所等に係るセキュリティ措置計画書 |
情報漏えい等発生時の対応手順書 |
2 作業開始前の遵守事項
(1) 情報取扱者等の指定(情報取扱者等名簿)
乙は、上記「第2 適用範囲」に定める情報を取り扱う者(「情報取扱者」といい、その中でも個人情報(特定個人情報を除く。)を取り扱う者を「個人情報取扱者」、特定個
人情報を取り扱う者を「特定個人情報取扱者」という。以下同じ。)及び、情報取扱者を統括する情報システム部門に精通した課長相当職以上の者(「情報取扱責任者」といい、その中でも個人情報(特定個人情報を除く。)の管理に関する責任を負う者を「個人情報取扱責任者」、特定個人情報の管理に関する責任を負う者を「特定個人情報取扱責任者」という。以下同じ。)を指定し、その所属、役職及び氏名等を記入した「情報取扱者等名簿」を作成すること。下請先又は再委託先も対象とすること。なお、情報取扱者及び情報取扱責任者(以下「情報取扱者等」という。)は、守秘義務等情報の取り扱いに関する社内教育、又はこれに準ずる講習等を受講した者とし、「情報取扱者等名簿」にその受講実績も併せて記入すること。
(2) 個人情報取扱者等の指定(情報取扱者等名簿)
個人情報(特定個人情報を除く。)を取り扱う委託契約については、個人情報取扱者を必要最小限に限定し、取扱者と利用目的を「情報取扱者等名簿」に記入すること。
なお、開発担当者と運用担当者の分離、管理者と担当者の分離を行い、取扱者を必要最小限に限定するとともに、相互牽制が働く体制にすること。
(3) 特定個人情報取扱者等の指定(情報取扱者等名簿)
特定個人情報を取り扱う委託契約については、特定個人情報取扱者を必要最小限に限定し、取扱者と利用目的を「情報取扱者等名簿」に記入すること。
なお、特定個人情報取扱責任者は、情報取扱責任者の中から選定すること。
(4) 情報取扱者等への教育・周知(教育・周知計画書)
乙は、本件業務で取り扱う各情報について、その取り扱いや漏えい防止等に係る「教育・周知計画書」を作成し、表2の内容に関して、情報取扱者等に対する教育及び周知を行うこと。教育及び周知は、本件業務の履行開始前、新たに情報取扱者等を指定したときのほか、定期的(年1回以上)に行うこと。
(表2)
ア | 本情報保護・管理要領の内容 |
イ | 個人情報に関する法規 |
ウ | 特定個人情報に関する法規(特定個人情報を取り扱う場合) |
エ | アクセス制限の管理ルール(ID・PW) |
オ | 入退館(室)管理ルール、機器管理ルール |
カ | ドキュメント、記録媒体の管理ルール |
キ | その他、本件業務の内容に関連する規程等 |
また、乙が乙の社員を甲の社内(本社、貯金事務センター、貯金事務計算センターそ の他甲が指定する場所をいう。以下同じ。)で事務に従事させる場合は、当行内の情報 セキュリティ関係ルールの教育及び周知を行い、ルールを遵守させること。関係ルール の周知・教育の実施状況について本件業務の履行開始前までに主管担当に提出すること。
(5) 情報の取り扱いに関する計画策定(情報取扱計画書)
乙は、本件業務における情報の授受、保管、使用、廃棄等に関するルールを定めて、
「情報取扱計画書」を作成し、甲の承認を得ること。
以下の事項はリスク管理に直結する重要な事項のため可能な限り明記すること。
① データの入力・保管・処理・バックアップ・出力の一連のフロー
② 暗号方式、暗号化されている領域とされていない領域
③ システムログの取得範囲・取得頻度・保存期間
④ データコピー(バックアップを含む)の取得内容と保管場所・保管期間
⑤ 暗号鍵の管理方法(ただし、顧客の重要情報(※1)の復号鍵の管理は甲が行うため、これを除く。)
⑥ 暗号化しない場合の代替策
⑦ サービスの利用終了又は契約解除後のデータ移行、消去(バックアップ、災害対策環境等を含む)等の対応
⑧ 不正アクセス防止策・監視体制(システム等の監視状況やシステムログの提出)なお、情報の複製、破棄及び保管場所の変更等が生じる可能性がある場合はその取り
扱いについても記載すること。
個人情報を取り扱う委託契約については、個人情報の暗号化やマスキングのルール、情報を利用する際の利用ルール、電子記録媒体に出力する際の取り扱いルール等の管理ルールを定めて、「情報取扱計画書」に記載又は別紙として添付すること(※2)。
特定個人情報を取り扱う委託契約については、上記個人情報を取り扱う委託契約に定めるルールに加え、以下の事項を「情報取扱計画書」に記載又は別紙として添付すること(※2)。
ア 取り扱う特定個人情報の範囲(甲が指定した範囲に限る)
イ 特定個人情報が記録された電子記録媒体又は書類等を持ち運ぶ方法
性質や量等に応じて以下の項目のいずれか又は複数の措置を講じること。
(xとの授受以外の乙の事業所内の管理区域(特定個人情報ファイル(個人番号をその内容に含む個人情報データベース等をいう。以下同じ。)を取り扱う情報システムを管理する区域をいう。以下同じ。)又は取扱区域(特定個人情報を取り扱う事務を実施する区域をいう。以下同じ。)からの持出しは禁止。)
・持ち運びデータの暗号化及びパスワードによる保護
・施錠できる搬送容器の使用
・追跡可能な移送手段の利用(書留郵便等)
・書類等の封緘、目隠しシールの貼付
なお、「持ち運び」とは、特定個人情報を管理区域又は取扱区域の外へ移動させること又は当該区域の外から当該区域へ移動させる事をいい、事業所内での管理区域又は取扱区域の内外をまたぐ移動等も持ち運びに該当する。
おって、事業所内での移動等については、事前に甲の許可があった場合に限り可とする。
ウ 特定個人情報の利用実績又はシステムログの記録方法 (ア) 特定個人情報ファイルの利用・出力状況の記録 (イ) 書類・媒体等の持ち運びの記録
(ウ) 特定個人情報ファイルの削除・廃棄記録
(エ) 特定個人情報ファイルを情報システムで取り扱う場合、特定個人情報取扱者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録
※1 顧客の重要情報は、顧客情報の中でも特に厳格な取扱いが求められるもので、以下の「顧客の重要項目」を含む情報。
① 個人番号
② 暗証番号
③ 認証情報
④ クレジットカード情報(クレジットカード番号、セキュリティコード、暗証番号、有効期限)
⑤ 生体認証情報
⑥ 機微情報(要配慮個人情報、本籍地等センシティブ情報)
⑦ その他顧客に損失が発生する可能性のある情報
※2 乙及び下請先又は再委託先以降で管理するシステム(通常業務では使用しないシステム領域を含む)及びネットワーク領域等も対象範囲とすること。
(6) 作業場所等のセキュリティ確保(作業場所等に係るセキュリティ措置計画書)
乙は、甲の社内以外の作業場所において本件業務を行う場合は、作業場所等のセキュリティ確保のため講じる次の措置について、「作業場所等に係るセキュリティ措置計画書」を作成し、甲の承認を得ること。
なお、テレワークにより乙の社内以外の作業場所で本件業務を行う場合、個人情報(特定個人情報を含む)等の取扱い及び甲のシステムへのアクセスは禁止とする。取り扱う情報の種類及び作業内容等について、「作業場所等に係るセキュリティ措置計画書」へ記載し、甲の承認を得ること(やむを得ず個人情報(特定個人情報を除く)等の取扱い及び甲のシステムへのアクセスが必要となる場合を含む)。
ア 作業場所等のセキュリティ確保のために講じる措置(技術面)
例:データエントリールーム、データ保管室、電子計算機xxに対する施錠設備、I Dカードやパスワードを用いた入退室管理機能 等
例(テレワークにより本件業務を行う場合)
:テレワーク用端末のセキュリティ対策(電子記録媒体による情報持出制限、紛失時の遠隔消去等)、社用システムへのアクセス制限(アクセス元制限、私的環境との分離、顧客情報等の閲覧規制等) 等
イ その他セキュリティ確保のために講じる措置(運用面)
例:システムログインパスワード、データに対する専用のID、アクセス権限の設定、電子記録媒体の管理等
例(テレワークにより本件業務を行う場合)
:第三者からの覗き見・漏れ聞こえ防止対策、私物情報機器の使用禁止、紛失・盗難等発生時の連絡体制、本件業務と関係のない連絡及びサイトの閲覧等禁止、及びそれら運用面の対策に関する社員教育 等
なお、個人情報を取り扱う委託契約については、個人情報が閲覧可能なIDを都度払出しにするなど、上記ア、イについて、より厳格な管理を「作業場所等に係るセキュリティ措置計画書」に具体的に記入すること。
また、個人情報の所在地域(適用される法令が特定できる範囲)を明確にすること。おって、特定個人情報を取り扱う委託契約については、以下の事項を「作業場所等に
係るセキュリティ措置計画書」に明記すること。ウ 特定個人情報を取り扱う区域の管理方法
管理区域及び取扱区域を明確にし、管理区域については入退室管理に加え、持ち込む機器及び電子記録媒体の制限を、取扱区域については壁又は間仕切り等の設置や特定個人情報取扱者以外の者の往来が少ない場所や、後ろから覗き見される可能性が低い場所への配置等をする等の措置を講じる。
エ 特定個人情報を取り扱う機器、電子記録媒体及び書類等の盗難等の防止措置
(ア) 特定個人情報取扱責任者及び特定個人情報取扱者のみが使用、常時施錠できるキャビネット・書庫等に保管する。
(イ) 特定個人情報ファイルを取り扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定する。
オ 特定個人情報のアクセス制御措置
(ア) 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。 (イ) 特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する。 (ウ) ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情
報システムを使用できる者を特定個人情報取扱者に限定する。カ 特定個人情報へのアクセス者の識別・認証措置
特定個人情報を取り扱う情報システムは、ユーザーID、パスワード、磁気・ICカード等の識別方法により、特定個人情報取扱者が正当なアクセス権を有する者であることを、識別した結果に基づき認証するものとする。
キ 特定個人情報への外部からの不正アクセス等の防止措置
以下の各方法により、情報システムを外部等からの不正アクセス又は不正ソフトウェアから保護するものとする。
(ア) 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する方法。
(イ) 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する方法。
(ウ) 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する方法。
(エ) 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする方法。
(オ) ログ等の分析を定期的に行い、不正アクセス等を検知する方法。ク 特定個人情報の漏えい等の防止措置
特定個人情報をインターネット等により外部に送信する場合、通信経路における情報漏えい等及び情報システムに保存されている特定個人情報の情報漏えい等を防止するものとする。
(ア) 通信経路における情報漏えい等の防止策通信経路の暗号化
(イ) 情報システムに保存されている特定個人情報の情報漏えい等の防止策データの暗号化及びパスワードによる保護
(7) セキュリティ管理状況の事前実査
乙及び下請先又は再委託先以降が甲の社内以外の作業場所において本件業務を行う場合において、主管担当がその施設及び設備に関し、上記(5)、(6)で乙が作成した「情報取扱計画書」及び「作業場所等に係るセキュリティ措置計画書」に則ったセキュリティ確保が図られているかを契約履行前に実査する旨申し出たときは、速やかにこれを受け入れ、またこれを受け入れさせること。また、実査で指摘を受けたときは、速やかに是正措置を主管担当に報告し、承認を受けること。
なお、実査にあたっては、主管担当のほか甲の内部監査部署、金融監督当局及び主管
担当が指定した外部監査人も立ち入りを可能とする。
(8) 情報漏えい等発生時の対応手順作成
乙は、情報漏えい等が発生した場合を想定し、その情報漏えい等発生時の対応手順書を作成し、甲の承認を得ること。
3 作業中における遵守事項
(1) 情報管理計画書の遵守
乙は、甲の承認を受けた「情報管理計画書」を遵守すること。
(2) 情報管理簿等の作成
乙は、甲から開示又は提供された情報のうち、別途主管担当が指定する情報(指定がない場合はすべての情報)について、データの種類・名称、責任者、授受方法、保管場所、保管方法、使用場所、使用目的、個人情報の廃棄等の取扱方法を明確にするため「情報管理簿」を作成し、作業中の取扱状況を記録すること。
特定個人情報ファイルを取り扱う委託契約については、上記に加えさらに、特定個人情報ファイルの取扱部署、アクセス権を有する者、データの削除・廃棄状況等を明確にするために「特定個人情報ファイル管理台帳」を作成し、作業中の取扱状況を記録すること。
(3) 作業場所の監査
乙及び下請先又は再委託先以降は、甲の社内以外の作業場所において本件業務を行っている場合に、主管担当がその施設及び設備に関し、上記2(5)、(6)で乙が作成した「情報取扱計画書」及び「作業場所等に係るセキュリティ措置計画書」に則ったセキュリティ確保が図られているか監査する旨申し出たときは、定期・不定期にかかわらず、速やかに監査に応じること。また、監査で指摘を受けたときは、速やかに是正措置を主管担当に報告し、承認を受けること。
なお、監査にあたっては、主管担当のほか甲の内部監査部署、金融監督当局及び主管担当が指定した外部監査人も立ち入りを可能とする。
テレワークにより乙及び下請先又は再委託先以降の社内以外の作業場所で本件業務を行う場合は、乙の責任において監査を行い、主管担当が監査結果を求めた場合は速やかに報告すること。
(4) 情報の取り扱い
乙は、本件業務において取り扱う情報に関し、情報取扱責任者に以下の作業を行わせること。
ア 情報取扱者の作業に立ち会う等適切な管理を行うこと。
イ 情報取扱者を作業に従事させる前に、情報取扱者ごとに使用するユーザーID等、主
管担当が事前に指定する事項について報告を行い、主管担当の承認を受けること。なお、報告する時期等は主管担当の指示に従うこと。
また、報告した内容に変更が生じる場合も、事前に主管担当の承認を受けること。ウ 作業に従事する予定の情報取扱者について、事前に氏名、勤務時間、作業内容及び取
扱情報を記入した作業予定表を提出し、主管担当の承認を受けること。
エ 作業に従事した情報取扱者が作業を終了し、作業場所を離れる際は、情報の持ち出しの有無を厳重に検査すること。
オ 作業終了後、作業に従事した情報取扱者の氏名、勤務時間、作業内容、取扱情報及び情報の持ち出しの有無等を記入した作業結果表を主管担当へ提出すること。その際、当初予定していた勤務時間を超えている場合は、その理由も併せて記入すること。
なお、作業結果表の提出時期については、主管担当の指示によること。カ データのトレーサビリティの確保及び定期的な確認
個人データを取り扱う委託契約については、個人データの漏えい対策としてシステム等の監視状況やシステムログなどを管理し、甲の求めに応じて速やかに提出できる体制にすること。
また、個人データに対する不正アクセスがないか定期的にログを確認し、主管担当に報告すること。
キ データの消失防止対策
クラウドサービスやホスティング等受託者側でデータを管理する役務を提供する場合は、乙の責任においてバックアップデータを確保するとともに、あらかじめバックアップデータを含めたデータの消失防止対策書を提出し、甲の了承を得ること。
ク 個人情報の廃棄
個人情報を取り扱う委託契約について、個人情報を保持する場合は必要性を定期的に見直し、不必要となった情報を速やかに廃棄すること。廃棄の際は、「情報取扱計画書」に定めたルールに従い、下記4の処理を実施すること。
なお、乙及び下請先又は再委託先以降で保持する記憶装置等の故障等により、個人情報を記録している可能性がある記憶装置及び部品等を廃棄する場合も、下記4の手続に従うこと。
ケ 特定個人情報の削除・廃棄
特定個人情報を取り扱う委託契約については、あらかじめ定められた期間のみ特定個人情報を保持することができることとし、当該期間経過後速やかにデータの削除、廃棄を実施すること。
データの削除・廃棄の際は、「情報取扱計画書」に定めたルールに従い、下記4の処理
を実施すること。
4 委託作業完了時の遵守事項
(1) 情報返却等処理
乙は、本契約終了時に、甲の求めに応じ、上記3(2)で作成した「情報管理簿」に記載されている全ての情報(バックアップを含む)について、返却、消去、廃棄等の措置を行うこと。
なお、その処理について方法、日時、場所、立会い者、作業責任者等の事項を網羅した、「情報返却等計画書」を事前に主管担当あて提出し、承認を得た上で、処理を実施すること。
(2) 記録媒体上のデータ処分方法
乙は、記録媒体上のデータを処分する際は、施設外に搬出する前に復元不可能となる手段で物理的破壊(記録部位の破壊)又は消去を行うこと。ただし、媒体の廃棄を行う場合については、物理的破壊を行うこと。
ただし、施設内での破壊又は消去が困難な場合は、復元を不可能または著しく困難な状態にする等の情報漏えい等の対策を「情報返却等計画書」に記載し、事前に主管担当の承認を得た上で持ち出すことを可とする。(特定個人情報を除く。)
※ 破壊 … 物理的に復元不可能な状態に破壊
※ 消去 … 専用ツールによる完全消去、または、専用装置による消磁
(3) 作業後の報告
乙は、上記(1)(2) に基づく返却等の処理終了後、その結果を記載した「情報管理簿」
(特定個人情報ファイルの返却等の処理であった場合、「特定個人情報ファイル管理台帳」)を主管担当あて提出し、承認を受けること。
また、「情報管理簿」(特定個人情報ファイルの返却等の処理であった場合、「特定個人情報ファイル管理台帳」)に記載された情報について、主管担当の承認を得た場合を除き、情報を複製していない旨の証明書(様式適宜)を主管担当あて提出するものとし、主管担当の承認を得て情報を複製した場合には、作業終了後、直ちに一切の情報を消去し、情報の消去に関する報告書(様式適宜)を提出すること。この他、「情報管理簿」(特定個人情報ファイルの返却等の処理であった場合、「特定個人情報ファイル管理台帳」)に記載の情報について廃棄処分を行った場合には廃棄証明書およびその証跡(外見上破壊したことが分かる場合は対象機器等が判別できる廃棄処理後の写真、消去時のデータ消去ツールから出力された対象機器等が判別できる消去レポート・実行ログ 等)を提出しなければならない。
なお、「情報管理簿」(特定個人情報ファイルの返却等の処理であった場合、「特定個人
情報ファイル管理台帳」)及び廃棄証明書については、当該処理の実施方法、実施日時、実施者、確認者(又は立会者)等、当該作業が確実に実施されたことが確認できる事項を記載すること。
5 情報漏えい等発生時の対応
乙は、本件業務に関し、情報漏えい等が発生した場合は、以下により、直ちに対応を図ること。
なお、特定個人情報については、情報漏えい等の発生に加え、情報漏えい等の兆候及び契約内容に違反している事実又は兆候を把握した場合も、同様に以下により対応を図ることとする。
(1) 発生状況報告
本件業務中に、情報漏えい等が発生した場合は、情報漏えい等が発生した日時、場所、原因、発生時の情報取扱者を明らかにし、直ちに主管担当に連絡するとともに、事故の概要等について書面により主管担当あて報告すること。
(2) 対応措置
乙は、主管担当の指示に基づき、直ちに漏えい等した情報の捜索・回収等二次被害防止のための措置を実施すること。
(3) 報告書の提出
乙は、主管担当が指定する期日までに、発生した事態の具体的内容、原因、実施した対処措置等を内容とする報告書を作成の上、提出すること。
(4) 再発防止策の策定・提出
乙は、情報漏えい等が発生した場合、その対応措置後に発生原因等を検証して再発を防止するための措置内容を策定し、主管担当の承認を得た後、速やかに情報漏えい等再発防止策を実施すること。
6 個人情報を保持する委託先の経営不安発生時の対応
個人情報を取り扱う委託契約について、乙及び個人情報を保持する下請先又は再委託先等の経営不安が発生した場合、甲もしくは甲が指定する専門業者が、必要に応じ施設に立ち入り、個人データや関連著作物・成果物の保全を行うこと。