OS
仕 様 書
1 件名
JPGC運用管理基盤等の保守支援の委託(2023年度上期)
2 委託期間
2023年4月1日(土)から2023年9月30日(土)まで。
3 委託の概要
日本郵政インフォメーションテクノロジー株式会社(以下「当社」という) クラウドサービス本部 クラウド運用部のJPグループプライベートクラウド保守担当(以下「主管担当」という)の指示に基づき、主管担当とともに、以下の表1「委託作業分類」のとおりシステムを定常運行させるためのネットワーク・サーバ基盤(以下「クラウド基盤」という)の保守作業支援を行うことについて、準委任契約によりを委託する。
また、作業の対象システムはJPグループクラウドシステム(以下「JPGC」という。)に係るクラウド基盤(PaaS基盤(運用管理基盤を含む))を対象とする。
表1 委託作業分類
委託作業名称 | 主な作業分類 |
JPGC運用管理基盤 | ・クラウド基盤保守支援作業 |
等の保守支援 | ・クラウド基盤関連設定変更等の技術支援 |
(準委任) | ・クラウド基盤関連サービスレベル維持・向上の為の作業支援 |
・クラウド基盤関連機器故障対応等の支援 | |
・クラウド基盤関連の現地調査等の支援 等 |
(1) システム概要
保守の対象となるJPグループクラウドはJP西センター(以下「西センター」という)に本番環境を配置し、JP東センター(以下「東センター」という)に待機・検証環境を配置する。
なお、各センターへネットワーク接続された運用センターより運用・保守が行われており、ハードウェア・ソフトウェアのバージョンアップ、更改、追加等の対応も運用・保守として対応している。
(2) 保守支援のスコープ等
保守支援のスコープ(委託範囲)は図1のとおり。 JPGCのネットワーク構成イメージは図2のとおり。 JPGCの保守作業体制相関図は図3のとおり。
OS
OS
人事AP
財務AP
AP
人事・財務システム クラウド利用テナント
(クラウド人財共通)
仮想化基盤
ハードウェア基盤
OS
ITサービス管理
運用管理基盤
OS
AP
今回の委託範囲
図1 JPGC運用管理基盤等の保守支援のスコープ
東センター
西センター
※
※
※
※インターネット・PNET・専用線を介して外部のシステム・クラウドと接続
図2 JPGCネットワーク構成のイメージ
(日本郵政)システムオーナー
JPグループ各社
クラウド利用者
(当社)
本件受託者
運用担当
保守担当(主管担当)
責任者
リーダー※
担当者※
※ITサービスマネジメントレベル4~2相当のメンバで構成
保守パートナー
図3 JPGC保守作業体制の関係者相関図
(3) JPグループクラウド基盤の主な構成製品
表2 主な構成製品
分類 | 製品名 | ||
ハードウェア製品 | PRIMERGY | Fortinet | A10 |
Purestorage | CISCO | PaloAlto | |
FrashArray | Arista | 等 | |
ソフトウェア製品 | VMware (vCSA,NSX,vRA, vROPs,vRNI,SRM) | Alfresco | WindowsServer |
Splunk | RHEL | ||
SEP | 等 | ||
MIRACLE ZBX | IBM Control Desk | - | |
Ansible | JP1(IM,AJS,Base) | - |
4 委託業務内容
(1) 基盤保守支援作業
主管担当よりあらかじめ作業管理者を通じて依頼する、以下の表3「委託詳細内容」に記載の内容について作業を実施する。
作業実施にあたっては、主管担当より貸与するドキュメントおよび製品マニュアルを用いて、保守パートナーと連携を図り、障害の切り分け、障害原因究明、対応策の検討、計画策定、実行管理、各種改善提案を自ら遂行すること。
また、次の付帯業務についても実施すること。
ア クラウド基盤保守支援のため、第三者への業務委託及びサービス利用申込みが必要な場合は、主管担当と調整等し、必要な手続等を実施する。
イ クラウド基盤保守支援等に関する主管担当からの各種依頼について、主管担当と協議し、適切に対応する。
ウ 保守支援の対象となるJPグループクラウドは現在稼働中のシステムであり、作業実施にあたっては、想定されるリスクへの対応、作業影響範囲の極小化等システムへの影響を最小限に抑えるため計画を策定し、主管担当の承認を受け計画どおり作業を行うこと。
表3 委託詳細内容
主な作業分類 | 概要 |
クラウド基盤保守支援作業 | クラウド基盤を対象とした調査、検討の支援を行うこと。 |
保守作業計画の検討、立案の支援を行うこと。 | |
保守担当から運用担当への作業移管に関するドキュメント作成を行うこと。 | |
クラウド基盤関連設定変更等の技術支援 | ネットワーク関連機器の設定変更に対する作業支援を行うこと。 ・払い出し作業(パラメータシート作成、自動プロビジョニング)の支援 ・作業計画書・作業手順書の作成・実行支援 |
サーバ関連機器の設定変更に対する作業支援を行うこと。 ・払出作業支援(パラメータシート作成、自動プロビジョニング) ・作業計画書・作業手順書の作成・実行支援 | |
クラウド基盤関連サービスレベル維持・向上の為の作業 支援 | ネットワーク関連機器の増設、変更の際、設置・設定作業の支援を行うこと。 |
サーバ関連機器の増設、変更の際、設置・設定作業の支援を行うこと。 | |
クラウド基盤関連機器故障対応等の支援 | クラウド基盤の故障個所の切り分け、解決策または回避策の検討、原因の追究、再発防止の措置の検討、故障に対する設定修正の検討の支援等を 行うこと。 |
クラウド基盤関連の現地調 査等の支援 | データセンター等における現地調査等の支援を行うこと。 ・入館申請、機器の起動停止、正常性確認の支援 |
(2) 作業場所
主たる作業場所は運用センターとする。ただし、運用センター被災時運用、データセンターの現地調査等により、西センター及び東センターで作業を実施する場合がある。作業場所の住所は以下のとおりとし、詳細な住所地番は契約締結後に通知する。
ア 運用センター
住所:xxx新宿区
イ JP西センター(運用センター被災時運用拠点)住所:京都府xx郡
ウ JP東センター(運用センター被災時運用拠点)住所:茨城県つくば市
エ 委託者の指定場所
※在宅勤務を適用する場合は、「11在宅勤務」に従うこと。
(3) 作業時間
作業時間は、原則として平日8:00~21:00のうち、実働8時間を目安とする。なお、保守作業の内容により、夜間帯や休日の作業となる場合がある。
5 情報共有等
委託を実施するにあたりJPグループクラウドの以下資料の参照を可能とする。
ア 基本設計書イ 詳細設計書
ウ パラメータ設定シートエ 保守計画書
オ 運用基本設計書および詳細設計書カ 運用フロー
キ 運用手順書
ク その他(作業に必要な資料)
6 作業体制 (1) 要員計画
受託者は、次に記載する条件を満たす主要担当者を配置した作業体制図及び要員計画を、作業開始にあたり主管担当へ提示し、承認を得ること。また、作業体制や要員計画に変更が生じた場合は、その都度、速やかに変更後の作業体制図及び要員計画を主管担当へ提示し、承認を得ること。
主管担当は主要担当者に対し、図3「JPグループクラウド 保守作業体制の関係者相関図」に従って、表3
「委託詳細内容」に係る詳細を指示する。また、表4記載の能力レベルに適合していること。
表4 能力レベルの条件
能力レベル | 要員数 |
VMware製品等の仮想化製品を用い、仮想テナント300VM以上の規模のシス テム構築、または保守(3年以上)の経験を有する者 | 1名以上 |
(2) 作業管理者の設置
受託者は作業管理者を設定すること。主管担当は作業管理者に対して委託指示内容にかかわる詳細を指示する。
(3) 偽装請負の防止
偽装請負防止のため、主管担当が本件受託者の要員に直接業務指示を行わないこととするが、主管担当から受託者要員に対する直接業務指示に該当すると考えられる指示がある場合、受託者は主管担当へ報告をおこなうこと。
7 報告等
(1) 主管担当の指示に従い、受託者側にて各月の業務履行の状況をとりまとめ作業実績報告書を作成し、各月の第2営業日以内に月次報告をすること。
(2) 各月の作業計画及びスケジュールについては、主管担当と合意したものに基づき実施すること。ただし、作業計画又はスケジュールについては、合意のもと変更することは可能とする。
(3) 定期報告以外のタイミングで主管担当から報告を求められた場合は、その指示に従うこと。打合せを実施の都度、議事録を作成して主管担当に提出すること。
8 報告方法
(1) 電磁記録媒体又は主管担当が別に指示(メールを含む)する方法(以下「電磁記録媒体等」という。)により報告すること。
(2) 電子記録媒体等は、受託者において準備すること。
(3) 報告書はマイクロソフトと社製の「Word」、「Excel」若しくは「PowerPoint」またはこれらと互換性のあるアプリケーションを用いて日本語で作成すること。
(4) 上記(3)のファイル以外に、主担当の指示によりPDFファイルに加工したものを併せて報告すること。
9 作業環境に関する注意
作業に必要な機材は受託者側で準備すること。また、委託者環境への機器等の持ち込みや委託者環境内での作業に関しては、別添「データ保護・管理要領」を遵守すること。
10 データ・情報保護
(1) 受託者は、データの取り扱いについて別添「データ保護・管理要領」を遵守すること。なお、本契約の一部を第三者に再委託する場合についても同様とする。
(2) 「データ保護・管理要領」において作成する「データ管理簿」について、記録媒体の授受が発生した場合には、使用目的、使用日時及び使用者名を記載し、「データ保護・管理要領」で規定するデータ取扱責任者の承認を受けること。
(3) 各種ドキュメントや電子データの記録媒体は施錠されたキャビネット等に保管すること。また、それらの媒体には、中身が特定できるようなラベルを貼付し、定期または不定期に在庫を確認すること。
11 在宅勤務
(1) 在宅勤務を実施する場合、主管担当の指示又は事前に主管担当の許可を得た場合にのみ対応可とする。 (2) 在宅勤務における業務については、原則当社が必要に応じて貸与するパソコン、携帯電話等の情報通信
機器等により実施可能なものに限るものとする。また、当該貸出しに関する費用につては当社が負担する。当社が貸し出した備品を故意・過失により毀損等行った場合は、受託者において損害賠償するものとする。 (3) 受託者が受託者設備を利用してリモート接続による在宅勤務を実施する場合は、上記(1)に基づき主管担当の許可を得ること。この場合、受託者設備が別途「データ保護・管理要項」を満たすことを主管担当に報告
し、事前に主管担当の許可を得ること。
(4) 在宅勤務に伴い発生する通信費、水道高熱費等の費用は、受託者負担とする。
12 その他
(1) 本契約の実施に当たり、本仕様書の内容及び解釈等について疑義が生じた場合は、事前に主管担当
(TEL:00-0000-0000)と協議の上、決定・解決すること。この場合、受託者は当該協議に関する議事録を作成し、主管担当の確認を受けること。
(2) 本委託作業を実施するにあたっては計画書を策定し、当社情報システム開発・運用標準・プロジェクト管理標準・安全対策基準等、各種基準に準拠すること。
(3) 4項(2)アまでの交通費は、受託者が費用負担すること。
(4) 確定契約であるが、委託期間の作業実績が想定業務量の±10%を超える場合、協議の上、必要に応じて契約変更手続きを行うことができることとする。
(5) 本件委託作業を実施するにあたり使用するパソコン等については、起動時からウイルスチェックソフトを有効にしたものを使用すること。
(6) データセンター等、当社が提供する施設での作業時は入館証等を着用する等、主管担当の指示に従うこと。また、作業要領について主管担当と事前に合意すること。
(7) 本契約の履行に従事する貴社労働者(再委託を除く)に対し、公益通報者保護法に係る当社 通報窓口について当社指定の周知文を受領したことを確認の上、当該周知文を用いて周知に努めること。
(8) 契約手続きについては、当社 業務サービス部 調達担当(TEL:00-0000-0000)あてに照会すること。 (9) 請求書は、検収後速やかに提出すること。
請求に当たっては、契約金額、請求金額、請求金額の累計額及び契約金額の残額を明記すること。
また、主管担当の指示により、4項(2)ア以外の作業場所で作業を行う場合の交通費等については、xx委任契約の支払いとは別とし、主管担当が承認した請求書に基づく実費払いとするが、4項(2)アの最寄り駅を起点とすること。宿泊が必要な場合には、事前に主管担当の承認を得ること。
(10) 2項の委託期間について、主管担当が委託期間の延長を希望する場合、2028年7月31日(月)までの期間延長に係る協議に応じること。
以上
データ保護・管理要領
(2022 年 4 月 1 日改訂)
日本郵政インフォメーションテクノロジー株式会社
第1 目的
本件委託業務において取り扱う各種データについて、適正なデータ保護・管理方策、情報システムのセキュリティ方策及びデータの漏えい、亡失、改ざん、消去等(以下、「データ漏えい等」という。)発生時に実施すべき事項・手順等について明確にすることを目的とする。
第2 適用範囲
本件委託業務で取り扱う、主管担当が交付又は使用を許可したすべてのデータ(電子データ、印刷された情報を含む)を対象とする。
第3 本件委託業務を受託する者が遵守すべき事項
受託者は、本契約の履行に関して、以下の項目をすべて遵守すること。
1 委託作業開始前の遵守事項
受託者は、下記(1)から(6)の各項に定める事前計画内容を遵守し、別紙
1「データ管理計画書」として取りまとめた上で主管担当に提出し、主管担当の承認を受けること。
(1) データ取扱者等の指定
受託者は、上記「第2 適用範囲」に定めるデータを取り扱う者(以下
「データ取扱者」という。)及び、データ取扱者を統括する者であり、情報システム部門に精通した課長相当職以上の者(以下「データ取扱責任者」という。)を指定し、その所属、役職及び氏名等を記入した別紙2「データ取扱者等名簿」を作成すること。
なお、データ取扱者及びデータ取扱責任者(以下「データ取扱者等」という。)は、守秘義務等データの取扱いに関する社内教育、又はこれに準ずる講習等を受講した者とし、その受講実績も併せて記入すること。
「データ取扱者等名簿」に変更が生じる場合は、変更の都度、主管担当に提出すること。
(2) データ取扱者等への教育・周知
受託者は、本件委託業務で取り扱う各データについて、その取扱いや漏えい防止等に係る別紙3「教育・周知計画書」を作成し、本データ保護・管理要領の内容に関して、データ取扱者等に対する教育及び周知を行うこと。
教育及び周知においては、本契約に関連して知り得た情報について、本契約の目的以外に使用又は第三者に開示若しくは漏えい等しないことを盛り込むこと。
(3) データの取扱いに関する計画策定
受託者は、本件委託業務におけるデータの取扱いに関し、データの複製、破棄及び保管場所の変更等が生じる場合の取扱いについて、別紙4
「データ取扱計画書」を作成すること。
「データ取扱計画書」は、変更等が生じる都度作成し、主管担当へ提出すること。
(4) 作業場所等のセキュリティ確保
ア 受託者は、当社が指定する作業場所以外において本件委託業務を行う場合(受託者設備による在宅勤務を含む)は、データ及び本システ
ムに係るセキュリティ確保のため講じ得る措置について、別紙5「作業場所等に係るセキュリティ措置計画書」を作成すること。
(ア)作業施設のセキュリティを確保すること。
データ保管室、電子計算機xxに対する施錠設備、IDカードやパスワードを用いた入退室管理機能等があること。
(イ)作業設備のセキュリティを確保すること。
システムログインパスワード、データ操作に対する専用のID、アクセス権限の設定、媒体の施錠保管、各種鍵類の管理等が行われていること。
x 個人情報の取扱いを受託する場合、別紙6「個人データの取扱いに関する確認書」を作成し、主管担当に提出すること。
ウ 受託者設備を利用したリモート接続による作業を実施する場合は、当社の情報セキュリティポリシーに従い、IP アドレスによる制限 や VPN、専用線などのセキュアな環境からのアクセスとし、権限 を与えられた必要な担当者以外の OS ログインが禁止されている こと。
エ 上記受託者設備を利用したリモート接続により、受託者が本件受託業務を在宅勤務で実施する場合のセキュリティ対策については、別紙5の4項の条件を遵守するとともに、受託作業に関する情報が漏洩しないように対策すること。
(5) データ漏えい等発生時の対応手順作成
受託者は、本件委託業務で取り扱うデータの漏えい等が発生した場合を想定し、別紙7「データ漏えい等発生時対応手順書」を作成すること。
手順書には、次の内容を記載すること。ア 受託者内の情報漏えい時の連絡体制
(24 時間 365 日、データ取扱者等の間で相互連絡が可能な体制とすること。)
イ 主管担当への連絡方法
(6) 情報機器等の持ち込み
受託者は、本件委託業務で使用するパソコン及び携帯電話等を当社が指定する作業場所に持ち込む場合は使用条件を明記した別紙11「情報機器等持込み機器使用計画書」を作成すること。
2 委託作業中における遵守事項
(1) データ管理簿の作成
受託者は、主管担当から貸与を受けた各種ドキュメント、電子データ類又は、委託業務を実施するに当たり作成されたドキュメント、電子データについて、授受方法、保管場所、保管方法、使用場所、使用目的等取扱方法を明確にするため別紙8「データ管理簿」を作成すること。
「データ管理簿」は、記録媒体の授受が発生の都度、記載すること。
(2) 作業場所の監査
受託者は、当社が指定する作業場所以外において本件委託業務を行っている場合に、主管担当がその施設及び設備に関し、上記1-(4)で
受託者が作成した「作業場所等に係るセキュリティ措置計画書」に則ったセキュリティ確保が図られているか監査する旨申し出た時は、定期・不定期にかかわらず、これを受け入れること。
(3) データの取扱い
受託者は、本件委託業務において取り扱うデータに関し、データ取扱責任者に以下の作業を行わせること。
ア データ取扱責任者は、データ取扱者の作業に立ち会う等適切な管理を行うこと。
イ データ取扱責任者は、データ取扱者を作業に従事させる前に、データ取扱者ごとに使用するユーザーID及びパスワード等、主管担当が事前に指定する事項について報告を行い、主管担当の承認を受けること。
なお、報告する時期等は主管担当の指示に従うこと。また、報告した内容に変更が生じる場合も、事前に主管担当の承認を受けること。
ウ データ取扱責任者は、作業に従事する予定のデータ取扱者について、事前に氏名、作業時間、作業内容及び取扱データを記入した別紙8「作業予定表」を提出し、主管担当の承認を受けること。
エ データ取扱責任者は、作業に従事したデータ取扱者が作業を終了し作業場所を離れる際は、データの持ち出しの有無を厳重に検査すること。
オ データ取扱責任者は、作業終了後、作業に従事したデータ取扱者の氏名、作業時間、作業内容、取扱データ及びデータの持ち出しの有無等を記入した別紙9「作業結果報告書」を主管担当へ提出すること。その際、当初予定していた作業時間を越えている場合は、その理由も併せて記入すること。
なお、作業結果表の提出時期については、主管担当の指示によること。カ 記録媒体には中身が特定できるようなラベルを添付し、定期又は不
定期に在庫を確認すること。
キ 作業場所にFAXがある場合、送信記録を確認すること。
ク 各種管理簿はフルネームで記入されているか、また、改ざんに対する措置を講じている場合、遵守されているか確認すること。
ケ 本件委託業務に関するすべてのメールについて、送受信履歴を確認すること。
コ 電子データの消失に備えた措置(データのバックアップ等)は講じている場合、遵守されているか確認すること。
サ データ類のバージョン管理をすること。
3 委託作業完了時の遵守事項
(1) データ返却等処理
受託者は、本件委託業務完了時に上記2(1)で作成した「データ管理簿」に記載されているすべてのデータについて、返却、消去、廃棄等の措置を行うこと。
なお、その処理の方法、日時、場所、立会者、作業責任者等の事項を網羅した、別紙8「データ返却等計画書」を事前に主管担当あて提出し、
承認を得た上で、処理を実施すること。
(2) 作業後の報告
受託者は、上記(1) に基づき返却等の処理終了後、その結果を記載した別紙10「作業完了報告書」を主管担当あて提出すること。
4 上記以外の遵守事項
(1) データ漏えい等発生時の対応
受託者は、本件委託業務に関し、データ漏えい等が発生した場合は、以下により、直ちに対応を図ること。
ア 発生状況報告
委託業務中に、データの漏えい等が発生した場合は、その事由が発生した日時、場所、事由、その時のデータ取扱者を明らかにし、直ちに主管担当に報告すること。また、「データ漏えい等発生報告書」を主管担当あて報告すること。
対応措置受託者は、主管担当の指示に基づき、対応措置を実施すること。
イ 報告書の提出
受託者は、主管担当が指定する期日までに、発生した事態の具体的内容、原因、実施した対処措置等を内容とする「データ漏えい等対応報告書」を作成の上、提出すること。
ウ 再発防止策の策定・提出
受託者は、データ漏えい等が発生した場合、その処理後に再発を防止するための措置内容を策定し主管担当の承認を得た後、直ちにデータ漏えい等再発防止策を実施すること。
エ 情報の取扱い
受託者は、主管担当が交付又は使用を許可した情報に限らず、本件委託事務を履行するに当たり知り得た情報について、本契約の目的以外に使用又は第三者に開示若しくは漏えい等してはならない。
情報セキュリティ要求仕様
1 目的
本仕様書は、受託者に対して、情報セキュリティ上の一般的要求事項を明確にすることを目的とする。
2 組織的セキュリティ
(1) 受託者においては、情報セキュリティ管理体制が構築されていること。
(2) 受託者においては、情報セキュリティ責任者が定められていること。
(3) 委託業務に関する情報セキュリティ責任者が定められていること。
(4) 受託者において、組織的セキュリティ、人的セキュリティ、物理的セキュリティ、技術的セキュリティに関する社内規程が存在していること。
(5) 委託業務に関する日本郵政グループ会社各社の最重要情報、重要情報、顧客の個人情報、日本郵政グループ会社各社役職員等の個人情報(以下、
「重要情報等」という)を特定すること。
(6) 特定した重要情報等に対するリスクを洗い出すこと。
(7) 洗い出したリスクに対し、既存管理策が十分であるか検討し、必要に応じて追加管理策を措置すること。
(8) 情報セキュリティに関する活動状況を委託作業期間中、適宜に報告すること。
(9) 主管担当が必要と認めた場合には、部外委託先に立ち入り、情報セキュリティに関する活動状況を確認できるものとする。
(10) 委託業務に係る重要情報等は、台帳を作成して管理すること。
(11) 委託業務の再委託は原則禁止とするが、書面による許可を受けた場合はこの限りでない。
(12) 情報セキュリティ事故による損害が発生した場合には、責任の程度に応じて損害を賠償するものとする。
3 人的セキュリティ
(1) 委託業務に係る重要情報等は、許可なく関係者以外に漏えいしてはならない。
(2) 委託業務に係る従業者等は、定期的な情報セキュリティ教育を受けていること。
(3) 委託業務に係る従業者等は、受託者と守秘義務に関する契約を結んでいること。
(4) 委託業務に係る情報セキュリティ事故発生時には、被害拡大防止策を講じるとともに、直ちに主管担当に連絡すること。
4 物理的セキュリティ
(1) 委託業務に係る重要情報資産を含む作業場所及び機器設置場所等は、外部から物理的に遮断されていること。
(2) 委託業務に係る重要情報等が記録されている媒体等は、施錠保管するこ
と。
(3) 委託業務に係る重要情報等を送付する場合には、書留、簡易書留、セキュリティサービス等送付記録が確認できる方法で送付すること。
5 技術的セキュリティ
(1) 委託業務に係る重要情報等が含まれる電子ファイル等は、アクセス制限をかけること。
(2) 委託業務に係る重要情報等が含まれる電子ファイル等へのアクセスログを取得、保存し、定期的に点検すること。
(3) 委託業務に係る重要情報等を通信回線等で送信する場合には、暗号化すること。
(4) 委託業務に使用するコンピュータには、ウイルス対策ソフトを導入し、常時実行するとともに、常に最新のウイルス定義ファイルを維持すること。
(5) 委託業務に係る重要情報等は、従業者等の自宅パソコン等には保存しないこと。
(6) 委託業務に係る重要情報等が記録されている電子媒体等を部外委託先の外に持ち出す場合には、当該情報を暗号化すること。
(7) 納入するコンピュータプログラムについては、不正なコードが含まれていないことを、プログラム作成者以外の者が確認すること。
6 個別要件等
上記の項2~5の一般的セキュリティ要件について、主管担当あて報告し承認を受けること。
以上
情報セキュリティ実施事項
1 作業場所等におけるセキュリティ確保
(1) 作業場所
本件委託業務に基づく定期点検及び故障修理は、原則として、機器設置場所以外で実施しないこと。ただし、故障修理等に長時間を要する場合等、やむを得ず機器設置場所以外で機器の故障修理を実施する必要がある場合は、受託者側が用意する媒体にバックアップ用の複製を取得し、当該機器の記憶装置から情報を読み取れないようデータを消去する等の措置を実施し、機器設置場所のデータ取扱責任者の承認を受けた後、当該機器を持ち出すこと。
なお、この場合には、必ず事前に主管担当へ連絡し、情報保護に係る措置事項等を記載した書面を提出し、主管担当の承認を得た上で作業を実施すること。
(2) 物品の搬入、搬出等
ア 定期点検又は故障修理等のために必要な機器等の物品搬入・搬出を行う場合は、主管担当の指示に従い、内容物の確認を受けること。
イ 定期点検又は故障修理の結果、記憶媒体等の情報が蓄積された部品が不要となる場合は、直ちに初期化又は物理的破壊等により、情報が復元不可能な状態とすること。
なお、直ちに処理を実施できない場合は、処理実施までの保管方法等について、主管担当の了承を得るとともに機器設置場所のデータ取扱責任者の指示に従うこととし、処理実施後は、その旨を主管担当に報告すること。
おって、作業完了時には、本件に係るデータ漏えい等のおそれがない
ことを証明する書面を主管担当に提出すること。
(3) コンピュータウイルス対策
定期点検故障修理等の作業上必要な記録媒体等を機器設置場所に持ち込み使用する際は、最新のパターンファイルを適用したウイルス対策ソフトウェアを使用して検査を実施した後に持ち込み、使用すること。また、当該媒体には、次の事項を記載したラベルを貼付すること。
ア 検査に使用したウイルス対策ソフトウェアの名称及び検索エンジン等のバージョン
イ ウイルスパターンファイルのバージョンウ 検査日時
エ 検査担当者名オ 検査責任者名
2 データ保護
(1) 機器の記憶装置等から取得したバックアップ用の複製は、機器への復元措置の終了後、主管担当の指示により、データ取扱責任者へ提出するか、情報を復元不可能な状態にした上で廃棄処分すること。
(2) 定期点検及び故障修理のために機器設置場所に持ち込んだ媒体や文書等
は、作業終了後速やかに機器設置場所の担当者に提出し、内容の確認等を受けること。
3 その他
上記のほか、主管担当から情報セキュリティに関して特に必要な指示を行う場合は、その指示に従うこと。
サイバーセキュリティ要求仕様
1 (目的)
本件委託業務において、機密情報等の取り扱いが含まれる場合については、サイバーセキュリティに関する取り組み、不審メールの検知・遮断、外部 ネットワークからの不正アクセス防止等の対策について委託業者が遵守 すべき事項を明確にすることを目的とする。
2 (適用範囲)
本件委託業務を実施する環境(メール環境、インターネット環境を含む)を対象とする。
3 (本件委託業務を受託する者が遵守すべき事項)
受託者は、本契約の履行に関して、委託作業開始前及び委託作業中に、以下の項目をすべて遵守し、主管担当の指示に基づき報告し、主管担当の承認を受けること。
(1) 共通事項ア 体制
サイバーセキュリティについての各部署ごとの役割(主管担当への報告体制を含む)・責任が明確化されていること。
イ 経営陣の関与
サイバーセキュリティについて経営陣が積極的に関与した上で、サイバー攻撃への対策措置に取り組んでいること。
ウ 監査
サイバーセキュリティに関する内部監査または外部監査を実施していること。
なお、契約締結時に未実施の場合は、履行開始前までに実施すること。エ リスクの認識
サイバーセキュリティの観点からリスクが認識されていること。オ 情報の収集
サイバーセキュリティに関する脅威や脆弱性等の情報を収集し、速やかに対応する体制があること。
カ 教育・周知
従業者に対し、サイバーセキュリティについての教育・周知を行っていること。
なお、契約締結時に未実施の場合は、履行開始前までに実施すること。
(2) 社外からのメールが受信できる端末を使用する場合
主管担当が委託する機密情報等を保有するシステムにアクセス可能なメール利用端末も含めること。
ア 不審なメールの検知・遮断
通信を監視し、不審なメール等を検知・遮断する機能が整備されていること。
イ 被害発生時の対処
標的型攻撃メールによる被害発生時の対処フローが整備されていること。
ウ 電子メールの運用方針
電子メールの運用にあたっては、信頼性、安全性を確保するため、その運用方針が明確にされていること。
エ 電子メール送受信、ホームページ閲覧等の不正使用防止
業務目的以外の電子メールの送受信、ホームページの閲覧等に対処するため、不正使用防止対策が講じられていること。
(3) インターネットに接続するシステムを使用する場合ア 不審な通信の検知・遮断
通信を監視し、不審な通信の検知・遮断する機器等が整備されていること。
イ セキュリティ診断
新たなシステムによるサービス開始前にセキュリティ診断が実施されていること。
既存システムについては定期的にセキュリティ診断が実施されていること。
なお、契約締結時に未実施の場合は、履行開始前までに実施すること。ウ 被害発生時の対処
不正アクセス等による被害発生時の対処フローが整備されていることエ リソース共有時の攻撃影響
クラウドサービス契約のように、他社とリソースを共有する場合、他社のシステムへのサイバー攻撃が、当該システムに与えるリスクを認識していること。
オ 外部ネットワークからの不正アクセス防止
不正アクセスによるコンピュータシステムへの侵入を防ぐため、外部からアクセス可能な通信経路、通信関連機器等は最小限とし、不必要な機器を接続していないこと。
参 考
別紙2 「データ取扱者等名簿」別紙3 「教育・周知計画書」 別紙4 「データ取扱い計画書」
別紙5 「作業場所等に係るセキュリティ措置計画書」別紙6 「個人データの取扱いに関する確認書」
別紙8 「データ管理簿」、「データ返却等計画書」、「作業予定表」別紙9 「作業結果報告書」
別紙11「情報機器等持込み機器使用計画書」
別紙1
委託業務名
○○○○○○○○○○○○○○○○の委託
納入期限
○○○○年○○月○○日
受託者
○○株式会社
代表取締役 ○○ ○○
データ取扱者等名簿
委託事務名
○○○○○○○○○○○○○○○○の委託
本件委託業務を実施するに当たり、各種データを取扱う者を下記のとおり報告いたします。
担 | 当 | 氏 | 名 | 所 | 属 | 役 | 職 | 備 | 考 |
データ取扱責任者 | ○○ | ○○ | ××事業部 | 課長 | △△訓練修了 | ||||
データ取扱者 | □□ | □□ | ××グループ | SE | ××資格保持 | ||||
教育・周知計画書
委託事務名
○○○○○○○○○○○○○○○○の委託
本件委託業務を実施するに当たり、各種データを取扱う者に対し、データ保護に関する教育及び周知を下記のとおり実施いたします。
記
1 実施時期
○○○○年○○月○○日~○○○○年○○月○○日
2 実施内容
仕様書添付の「データ保護・管理要領」の内容周知
3 対象者
データ取扱者名簿記載者
4 その他
一人当たり2時間程度
データ取扱い計画書
データについて、下記のとおり異動事由が発生いたしましたので、承認願います。
記
1 データ名称
○○○○データ
2 異動事由
保管場所の変更
本社コンピュータセンターから、工場への変更
3 異動の目的
運用試験実施に伴う、試験場への保管場所移動
4 異動時期
○○○○年○○月○○日
作業場所等に係るセキュリティ措置計画書
本件、「○○○○○○○○○○○○○○○○の委託」事務を受託するに当たり、作業場所のセキュリティ措置を下記のとおり実施いたします。
記
1 作業場所
(1)受託者名 | 住 所 | 国 名 |
受託者○○○(株) | xxx○○区○○ ○○ビル○階 | 日本 |
(2)作業場所 | 住 所 | 国 名 |
① 受託者○○○(株) | xxx○○区○○ ○○ビル○階 | 日本 |
②受託者サテライトオ フィス | xxx○○区○○ ○○ビル○階 | 日本 |
③受託者在宅勤務 | 別途受託者が承認した場所 | 日本 |
④再委託 (株)○○○ | xxx○○区○○ ○○ビル○階 | 日本 |
(3)データを保存するサーバが設置されている 場所 | 住 所 | 国 名 |
①データセンター1 | ○○県○○市○○ | 日本 |
②データセンター2 | ○○県○○市○○ | 日本 |
2 セキュリティ措置
(1)作業施設
・ 入退室について、IDカードによる本人認証の設備を設置済み。
・ データ保管庫についても、同様の設備を設置済み。
(2)作業設備
作業端末は本件委託事務専用とし、データ取扱者個別にログイン ID及びパスワードを交付します。
3 リモートワーク(在宅勤務を含む)
実施の有無を主管担当に報告すると共に、「有」の場合、主管担当にセキュリティ措置を次項4により報告する。
□:無
□:有
4 受託者設備によるリモート接続のセキュリティ遵守(在宅勤務を含む)
項番 | x x | 遵守状況 |
(1) | 受託者設備によるリモート接続時(在宅勤務を含む)のデータ及び情報の取扱いに関し、データ保護管理要領を遵守する こと。 | 遵守する |
(2) | 受託者の作業者がリモート接続により使用する PC は、受託者において承認された PC を使用するとともに、受託者で承認済 であることがわかる資料を主管担当に提出すること。 | 別紙のとおり |
(3) | リモート接続による作業場所は、受託者作業場所、受託者作業者の在宅勤務(社員の自宅、その他自宅に準じる場所(会社が認めた場所))に限るものとし、不特定多数が出入りする 場所では禁止すること。 | 遵守する |
(4) | リモート接続用認証として、MAC アドレス、接続用パスワード、 ワンタイムパスワード、認証証明書等での接続制限を実施すること。 | 遵守す る。(実施済) |
(5) | リモート接続する端末は、ファイル共用機能をシステム的に禁止するなど、エージェント側(受託者作業者の在宅勤務利用 PC)にデータが保存できないように設定されているととも に、設定内容がわかる資料を主管担当に提出すること。 | 別紙のとおり |
(6) | エージェント側(受託者作業者の在宅勤務利用 PC)の画面のハードコピーは取得しないこと。電子透かし等、撮影された 際の漏洩防止措置が実施されていること。 | 遵守する |
(7) | エージェント側(受託者作業者の在宅勤務利用 PC)は、次の状態を保つこと。 ・セキュリティパッチ(修正プログラム)が常に最新な状態であること。 ・セキュリティソフトのエンジンや定義ファイルが常に最新 な状態でウイルススキャンが実施されていること。 | 遵守する |
遵守状況欄は記載例
別紙6
個人データの取扱いに関する確認書
本情報は、個人情報保護法に基づいて、業務委託作業の中で個人情報の取扱いを行う場合の各種措置を受託者に確認するものです。
主管担当及び受託者が行う事項は、個人情報保護法に準拠します。
【主管担当記入】
№ | 確認事項 | 回答欄 |
1 | 個人データ(個人情報、仮名加工情報)の取扱いの有無 | □無 □有 主な個人データの名称: |
№1 で「有」と回答した場合、以下回答ください。
【受託者記入】
№ | 確認事項 | 回答欄 |
№2~4 はデータ保護・管理要領 別紙5「作業場所等に係るセキュリティ措置計画書」 の該当する番号を記載ください。 | ||
2 | 受託者 | (1) |
3 | 作業場所 | (2)①、②、③ |
4 | 個人データを保存するサーバが設置 されている場所 | (3)① |
5 | 上記 2~4 が日本国外の場合、個人情報保護制度について回答すること | □日本と同等の個人情報保護制度に関する法律があること □はい 法律名: □いいえ |
6 | 上記 5 で「いいえ」と回答した場合、回答ください。 | □受託者において個人情報保護に対する対策 (規定等)が講じられていること □はい 規定等の名称: |
7 | プライバシーマークの認証取得状況 | □プライバシーマークの認証取得済登録番号: □いいえ |
【参考】
我が国と同等の水準にあると認められる個人情報保護制度を有している国(※平成 31 年個人情報保護委員会告示第1号に定める国)
アイスランド、アイルランド、イタリア、英国、エストニア、オーストリア、オランダ、キプロス、ギリシャ、クロアチア、スウェーデン、スペイン、スロバキア、スロベニア、チェコ、デンマーク、ドイツ、ノルウェー、ハンガリー、フィンランド、フランス、ブルガリア、ベルギー、ポーランド、ポルトガル、マルタ、ラトビア、リトアニア、リヒテンシュタイン、ルーマニア及びルクセンブルク
データ漏えい等発生時対応手順書
データ漏えい等発生時の手順については、下記のとおりといたします。
記
1 受託者内の情報漏えい時の連絡体制
フロー図のようなものを作成
2 データ取扱者
作業を中断し、発生時の状況を記録し、データ取扱責任者へ直ちに報告する。
3 データ取扱責任者
(1) データ取扱者からの報告を受け、事実関係を確認し主管担当へ直ちに報告し、主管担当からの指示を待つ。
(2) データ管理簿上のすべてのデータについて、現在の状況を確認する。
(3) 作業場所への入退室状況を確認し、主管担当からの指示があるまで入退室を制限する。
データ管理簿
項 番 | データ名 | 記録 媒体 | 交付者 | 交付日 | 受領者 | 授受 方法 | 保管 場所 | 保管方 法 | 使用場 所 | 使用目 的 |
1 | ||||||||||
2 | ||||||||||
3 |
データ返却等計画書下記データの返却等の取扱いについて、承認願います
記
データ名 | 方法 | 日時 | 場所 | 立会者 | 作業責任者 |
作業 ID | 対象データ | 作業者氏名 | 作業時間 | 作業内容 | 実作業時間 | 作業場所 | 備考 |
作業予定表下記作業を行いますので、承認願います。
作業結果報告書
下記のとおり作業が完了したので、報告いたします。
記
1 作業ID
○○○○
2 作業内容
(1)作業結果
正常
(2)作業従事者
○○○
(3)作業時間
○○○○年○○月○○日
○○時○○分~○○時○○分
(4)作業内容
○○テスト
(5)取扱いデータ
○○データ
(6)データ持ち出しの有無無し
(7)確認者
○○○○(データ取扱責任者)
作業完了報告書
先に承認された「データ返却等計画書」の作業が終了いたしましたので、報告いたします。
1 作業結果
良
2 作業責任者及び立会者 作業責任者 ○○ ○○作業立会者 ○○ ○○
別紙11
情報機器等持込み機器使用計画書
(持込み使用許可申請書兼承認書)
情報セキュリティ責任者
○○ ○○ 様
申請者
会社名
年 月 日
氏 名 印
以下のとおり、情報機器等を日本郵政インフォメーションテクノロジー株式会社(○○部)へ持ち込んで利用したいので申請いたします。
【申請者記入欄】
持ち込み機器名・機種 (メーカー・型番) | ||||||||
持込み理由 ※具体的理由を記入 | ||||||||
持込み期間 | 年 | 月 | 日 | ~ | 年 | 月 | 日(1年以内) | |
カメラ機能の有無 | 有 | ・ | 無 | |||||
備 | 考 | 毎週1回開催する○○の定例会議以外では使用いたしません。 |
※ 持込み期間は1年以内とする。
【情報セキュリティ管理者記入欄】
申請書確認日 | 年 月 日 |
確 認 者 | 印 |
【情報セキュリティ責任者記入欄】
審 | 査 | 日 | 年 月 日 | ||
持込みの可否 | 持ち込み使用を 許 可 す る | ・ | 許可しない | ||
使用条件/不許可理由 | |||||
審 | 査 | 者 | 情報セキュリティ責任者 | 印 |