Contract
別紙1
電子情報処理業務に係る標準特記仕様書
公益財団法人東京観光財団(以下「甲」という。)から電子情報処理(「電子情報処理」とは、情報処理システム及び情報通信技術を用いて、電子情報に関する処理をすることをいう。)を含む業務委託を受けた受託者(以下「乙」という。)は、契約書及び仕様書等に定めの無い事項について、この特記仕様書に定める事項に従って契約を履行しなければならない。
1 サイバーセキュリティポリシーを踏まえた業務の履行
乙は、公益財団法人東京観光財団 サイバーセキュリティ基本方針及び公益財団法人東京観光財団 サイバーセキュリティ対策基準の趣旨を踏まえ、以下の事項を遵守しなければならない。
2 業務の推進体制
(1) 乙は、契約締結後直ちに委託業務を履行できる体制を整えるとともに、当該業務に関する責任者、作業体制、連絡体制及び作業場所についての記載並びに本特記仕様書を遵守し業務を推進する旨の誓約を書面にし、速やかに甲に提出すること。(様式1)
(2) (1)の事項に変更が生じた場合、乙は速やかに変更内容を甲に提出すること。
3 業務従事者への遵守事項の周知
(1) 乙は、本契約の履行に関する遵守事項について、委託業務の従事者全員に対し十分に説明し周知徹底を図ること。
(2) 乙は、(1)の実施状況を、甲に書面で提出すること。(様式1)
4 秘密の保持
乙は、この契約の履行に関して知り得た秘密を漏らしてはならない。この契約終了後も同様とする。
5 目的外使用の禁止
乙は、この契約の履行に必要な委託業務の内容を他の用途に使用してはならない。また、この契約の履行により知り得た内容を第三者に提供してはならない。
6 複写及び複製の禁止
乙は、この契約に基づく業務を処理するため、甲が貸与する原票、資料、その他貸与品等及びこれらに含まれる情報(以下「甲からの貸与品等」という。)を、甲の承諾なくして複写及び複製をしてはならない。
7 作業場所以外への持出禁止
乙は、甲が指示又は承認する場合を除き、甲からの貸与品等(複写及び複製したものを含む。)について、2(1)における作業場所以外へ持ち出してはならない。
8 情報の保管及び管理
乙は、委託業務に係る情報の保管及び管理に万全を期するため、委託業務の実施に当たって以下の事項を遵守しなければならない。
(1) 全般事項
ア 契約履行過程
(ア) 以下の事項について安全管理上必要な措置を講じること。 a 委託業務を処理する施設等の入退室管理
b 甲からの貸与品等の使用及び保管管理
c 仕様書等で指定する物件(以下「契約目的物」という。)、契約目的物の仕掛品及び契約履行過程で発生した成果物(出力帳票及び電磁的記録物等)の作成、使用及び保管管理
d その他、仕様書等で指定したもの
(イ) 甲から(ア)の内容を確認するため、委託業務の安全管理体制に係る資料の提出を求められた場合は直ちに提出すること。
イ 契約履行完了時
(ア) 甲からの貸与品等を、契約履行完了後速やかに甲に返還すること。
(イ) 契約目的物の作成のために、委託業務に係る情報を記録した一切の媒体(紙及び電磁的記録媒体等一切の有形物)(以下「記録媒体」という。)については、契約履行完了後に記録媒体上に含まれる当該委託業務に係る情報をすべて消去すること。
(ウ) (イ)の消去結果について、記録媒体ごとに、消去した情報項目、数量、消去方法及び消去日等を甲の求めに応じ、書面で報告すること。
(エ) 本特記仕様書の事項を遵守した旨、書面で報告すること。また再委託を行った場合は再委託先における状況も同様に報告すること。(様式2)
ウ 契約解除時
イの規定の「契約履行完了」を「契約解除」に読み替え、規定のすべてに従うこと。エ 事故発生時
契約目的物の納入前に契約目的物の仕掛品、契約履行過程で発生した成果物及び甲からの貸与品等の紛失、滅失及びき損等の事故が生じたときには、その事故の発生場所及び発生状況等を詳細に記載した書面をもって、遅滞なく甲に報告し、甲の指示に従うこと。
(2) アクセスを許可する情報に係る事項
乙はアクセスを許可する情報の種類と範囲、アクセス方法について、業務着手前に甲から承認を得ること。
(3) システム要件に係る事項
乙は本委託業務に係るシステム及びネットワークの保守に必要な不正プログラム対策、不正アクセス対策等を行うものとし、使用するソフトウェア(OS、ミドルウェア、データベース、ウィルス対策ソフト等)は、委託期間において、常に最新のセキュリティパッチを適用すること。
(4) 個人情報及び機密情報の取扱いに係る事項
甲からの貸与品等及び契約目的物に記載された個人情報並びに本委託業務に係る個人情報は、すべて甲の保有個人情報である(以下「個人情報」という。)。また、甲が機密を要する旨を指定して提示した情報及び甲からの貸与品等に含まれる情報は、すべて甲の機密情報である(以下
「機密情報」という。)。ただし、甲からの貸与品等に含まれる情報のうち、既に公知の情報、甲から乙に提示した後に乙の責によらないで公知となった情報、及び甲乙による事前の合意がある情報は、機密情報に含まれないものとする。
個人情報及び機密情報の取扱いについて、乙は、以下の事項を遵守しなければならない。
ア 個人情報及び機密情報に係る記録媒体を、施錠できる保管庫又は施錠及び入退室管理の可能な保管室に格納する等適正に管理すること。
イ アの個人情報及び機密情報の管理に当たっては、管理責任者を定めるとともに、台帳等を設け個人情報及び機密情報の管理状況を記録すること。
ウ 甲から要求があった場合又は契約履行完了時には、イの管理記録を甲に提出し報告すること。
エ 個人情報及び機密情報の運搬には盗難、紛失、漏洩等の事故を防ぐ十分な対策を講じること。オ (1)イ(イ)において、個人情報及び機密情報に係る部分については、あらかじめ消去すべき情報項目、数量、消去方法及び消去予定日等を甲に申し出、書面により甲の承諾を得るとともに、
その結果を書面で甲に報告すること。なお、甲の求めがあれば、甲の立会いのもとで消去を行うこと。(様式3)
カ (1)エの事故が、個人情報及び機密情報の漏えい、滅失、き損等に該当する場合は、漏えい、滅失、き損した個人情報及び機密情報の項目、内容、数量、事故の発生場所及び発生状況等を詳細に記載した書面をもって、遅滞なく甲に報告し、甲の指示に従うこと。
キ カの事故が発生した場合、乙は二次被害の防止、類似事案の発生回避等の観点から、甲に可能な限り情報を提供すること。
ク (1)エの事故が発生した場合、甲は必要に応じて乙の名称を含む当該事故に係る必要な事項の公表を行うことができる。
ケ 委託業務の従事者に対し、個人情報及び機密情報の取扱いについて必要な教育及び研修を実施すること。なお、教育及び研修の実施状況を書面で提出すること。(様式1)
コ その他、個人情報の保護に関する法律に従って、本委託業務に係る個人情報を適切に扱うこと。
9 甲の施設内での作業
(1) 乙は、委託業務の実施に当たり、甲の施設内で作業を行う必要がある場合には、甲に作業場所、什器、備品及び通信施設等の使用を要請することができる。
(2) 甲は、(1)の要請に対して、使用条件を付した上で、無償により貸与又は提供することができる。
(3) 乙は、甲の施設内で作業を行う場合は、次の事項を遵守するものとする。ア 就業規則は、乙の定めるものを適用すること。
イ 乙の発行する身分証明書を携帯し、甲の指示があった場合はこれを提示すること。ウ 乙の社名入りネームプレートを着用すること。
エ その他、(2)の使用に関し甲が指示すること。
10 再委託の取扱い
(1) 乙は、この契約の履行に当たり、再委託を行う場合には、あらかじめ再委託を行う旨を書面により甲に申し出、甲の承諾を得ること。(様式1)
(2) (1)の書面には、以下の事項を記載するものとする。ア 再委託の理由
x 再委託先の選定理由
ウ 再委託先に対する業務の管理方法 エ 再委託先の名称、代表者及び所在地オ 再委託する業務の内容
カ 再委託する業務に含まれる情報の種類(個人情報及び機密情報については特に明記すること。)
キ 再委託先のセキュリティ管理体制(個人情報、機密情報、記録媒体の保管及び管理体制については特に明記すること。)
ク 再委託先が本特記仕様書の1及び3から9までに定める事項を遵守する旨の誓約ケ その他、甲が指定する事項
(3) この特記仕様書の1及び3から9までに定める事項については、乙と同様に、再委託先においても遵守するものとし、乙は、再委託先がこれを遵守することに関して一切の責任を負う。
11 実地調査及び指示等
(1) 甲は、必要があると認める場合には、乙の作業場所の実地調査を含む乙の作業状況の調査及び乙に対する委託業務の実施に係る指示を行うことができる。
(2) 乙は、(1)の規定に基づき、甲から作業状況の調査の実施要求又は委託業務の実施に係る指示があった場合には、それらの要求又は指示に従わなければならない。
(3) 甲は、(1)に定める事項を再委託先に対しても実施できるものとする。
(4) 乙は、甲又はxxxが実施するセキュリティ診断(リスク評価、脆弱性診断、改ざん検知等)に協力すること。ただし、診断の結果の対応については、別途甲と乙で協議し決定する。
12 情報の保管及び管理等に対する義務違反
(1) 乙又は再委託先において、この特記仕様書の3から9までに定める情報の保管及び管理等に関する義務違反又は義務を怠った場合には、甲は、この契約を解除することができる。
(2) (1)に規定する乙又は再委託先の義務違反又は義務を怠ったことによって甲が損害を被った場合には、甲は乙に損害賠償を請求することができる。甲が請求する損害賠償額は、甲が実際に被った損害額とする。
13 契約不適合責任
(1) 契約目的物に、その契約の内容に適合しないものがあるときは、甲は、乙に対して相当の期間を定めてその修補による履行の追完又はこれに代えて若しくは併せて損害の賠償を請求することができる。
(2) (1)の規定によるその契約の内容に適合しないものの修補による履行の追完又はこれに代えて若しくは併せて行う損害賠償の請求に伴う通知は、甲がその不適合を知った日から1年以内に、これを行わなければならない。
14 著作xxの取扱い
この契約により作成される納入物の著作xxの取扱いは、以下に定めるところによる。
(1) 乙は、納入物のうち本委託業務の実施に伴い新たに作成したものについて、著作xx(昭和45年法律第48号)第2章第3節第2款に規定する権利(以下「著作者人格権」という。)を有する場合においてもこれを行使しないものとする。ただし、あらかじめ甲の承諾を得た場合はこの限りでない。
(2) (1)の規定は、乙の従業員、この特記仕様書の10の規定により再委託された場合の再委託先又はそれらの従業員に著作者人格権が帰属する場合にも適用する。
(3) (1)及び(2)の規定については、甲が必要と判断する限りにおいて、本契約終了後も継続する。
(4) 乙は、納入物に係る著作xx第2章第3節第3款に規定する権利(以下「著作権」という。)を、甲に無償で譲渡するものとする。ただし、納入物に使用又は包括されている著作物で乙が本契約締結以前から有していたか、又は乙が本委託業務以外の目的で作成した汎用性のある著作物に関する著作権は、乙に留保され、その使用権、改変権を甲に許諾するものとし、甲は、これを本委託業務の納入物の運用その他の利用のために必要な範囲で使用、改変できるものとする。また、納入物に使用又は包括されている著作物で第三者が著作権を有する著作物の著作権は、当該第三者に留保され、かかる著作物に使用許諾条件が定められている場合は、甲はその条件の適用につき協議に応ずるものとする。
(5) (4)は、著作xx第27条及び第28条に規定する権利の譲渡も含む。
(6) 本委託業務の実施に伴い、特許xxの産業財産権を伴う発明等が行われた場合、取扱いは別途協議の上定める。
(7) 納入物に関し、第三者から著作権、特許権、その他知的財産権の侵害の申立てを受けた場合、甲の帰責事由による場合を除き、乙の責任と費用を持って処理するものとする。
15 運搬責任
この契約に係る甲からの貸与品等及び契約目的物の運搬は、別に定めるものを除くほか乙の責任で行うものとし、その経費は乙の負担とする。
標準特記仕様書別記様式1
公益財団法人東京観光財団
○○部 ○○課長 殿
(情報セキュリティ管理者)
令和 年 月 日
(会社名)株式会社 ○○○○○○
(責任者氏名)○○事業課長 ○○○○
「○○○○○○○委託」の履行体制及び遵守事項の誓約について
令和○年○月○日付で締結した「○○○○○○○委託」契約について、履行体制及び業務の従事者への本契約に関する遵守事項等の周知の実施状況を下記のとおり報告いたします。
また、本契約の履行について公益財団法人東京観光財団の「電子情報処理業務に係る標準特記仕様書」に定める事項を十分認識し遵守することを誓約します。
記
Ⅰ 履行体制(特記仕様書2)
1 業務責任者(職氏名を記載)
2 作業体制(従事者の職氏名を記載)
3 連絡体制(営業・SE等の連絡先を記載)
4 作業場所
5 再委託の有無(いづれかを○で囲むこと) 有・無
※以下ア~ケは「有」の場合に記入 (特記仕様書10)ア 再委託の理由
イ 再委託先の選定理由
ウ 再委託先に対する業務の管理方法
エ 再委託先の名称、代表者及び所在地
オ 再委託の期間
カ 再委託する業務の内容
キ 再委託する業務に含まれる情報の種類
ク 再委託先のセキュリティ管理体制
ケ 再委託先が本特記仕様書に定める事項を遵守する誓約(別紙添付)
Ⅱ 業務の従事者への遵守事項の周知等(特記仕様書3)
1 説明を行った日 令和○○年○月○日
2 説明を行った者 業務責任者役職・氏名
3 説明した対象者 (例)委託業務従事者全員
4 説明した内容(説明した事項の項目に☑)
□ 標準特記仕様書の趣旨(特記仕様書前文)
□ 秘密の保持(特記仕様書4)
□ 目的外使用の禁止(特記仕様書5)
□ 複写及び複製の禁止(特記仕様書6)
□ 作業場所以外の場所への持出禁止(特記仕様書7)
□ 情報の保管及び管理(特記仕様書8)
□ 甲の施設内での作業(特記仕様書9)
□ その他、本契約に関する仕様書等に定める遵守事項
※委託業務に係る個人情報及び機密情報を取り扱う場合に実施・記載
5 個人情報及び機密情報の取扱についての研修(特記仕様書8(4)ケ)実施日 令和○年○月○x
x x 個人情報及び機密情報の取扱に関する研修対 象 (例)作業従事者全員
6 個人情報及び管理状況の記録(特記仕様書8(4)ウ)管理者名(社名・氏名)
管理台帳名
※再委託先が保有する場合も記載。委託完了時に提出。
別紙
公益財団法人東京観光財団
○○部 ○○課長 殿
令和元年○月○日付で締結した「○○業務委託契約」の履行について、公益財団法人東京観光財団の「電子情報処理業務に係る標準特記仕様書」に定める事項を十分に認識し、遵守することを誓約します。
令和 年 月 日
住 所 再委託先の住所名 称 再委託先の社名
代表者 再委託先の責任者名
標準特記仕様書別記様式2
令和 年 月 日
公益財団法人東京観光財団
○○部○○○課長 殿
(情報セキュリティ管理者)
(会社名)
(責任者氏名)
「○○○○○○委託」の履行完了に伴う標準特記仕様書遵守状況の報告について
令和○○年○○月○○日付で締結した「○○○○○○○委託」契約の履行完了に伴う標準特記仕様書(以下「仕様書」という。)の遵守状況を、下記のとおり報告します。
記
【事項を適切に実施した項目に☑ *は有無のいずれかを「○」で囲む】
□ 契約締結後直ちに委託業務を履行できる体制を整えるとともに書面で提出した
(仕様書2(1))
* 履行体制の変更の有無 ( 有 ・ 無 )
□ 履行体制に変更があった場合、その旨書面で提出した(仕様書2(2))
(変更がなかった場合はチェックは不要)
□ 契約の履行に関して知り得た秘密を漏らしていない(仕様書4)
□ 委託業務の内容を他の用途に使用していない
また知り得た内容を第三者に提供していない(仕様書5)
□ 財団の承諾なくして複写及び複製をしていない(仕様書6)
□ 届け出ている作業場所以外に貸与品等を持ち出していない(仕様書7)
□ 委託業務を処理する施設等の入退室管理を実施した(仕様書8(1)ア(ア)a)
□ 財団からの貸与品・成果物等の使用及び保管管理を適切に実施した(仕様書8 (1)ア(ア)b)
□ 財団からの貸与品等を返還した(仕様書8 (1)イ(ア))
(該当する作業がなかった場合はチェックは不要)
□ 委託業務に係る情報をすべて消去し結果を報告した(仕様書8 (1)イ(イ))
(契約更新等による理由で情報等の継続保持に財団の了解を得ている場合はチェック不要)
* 貸与品・成果物等の紛失等の事故の有無 (以下どちらかにチェック)
□ 貸与品・成果物等の紛失等の事故はなかった
□ 貸与品・成果物等の紛失等の事故発生時、書面をもって遅滞なく財団に報告した
(仕様書8(1)エ)
* 受託業務における個人情報又は機密情報の有無 ( 有 ・ 無 )※ありの場合は以下に回答
□ 個人情報及び機密情報に係る記録媒体は保管庫又は保管室に格納する等適正に管理を行った(仕様書8(4)ア)
□ 個人情報及び機密情報の管理について管理責任者を定め、台帳等にて管理状況を記録した
(仕様書8 (4)イ)
□ 契約履行完了時に個人情報及び機密情報の管理記録を書面で報告した(仕様書8 (4)ウ)
□ 個人情報及び機密情報に係る部分について、書面により財団に申し出て承諾を得て消去し結果を報告した(仕様書8 (4)オ)
(契約更新等による理由で情報の継続保持に財団の了解を得ている場合はチェック不要)
* 個人情報及び機密情報の漏えい滅失等に該当する事故の有無(以下どちらかにチェック)
□ 個人情報及び機密情報の漏えい滅失等に該当する事故はなかった
□ 個人情報及び機密情報の漏えい滅失等に該当する事故が発生した際、発生状況等を書面をもって遅滞なく財団に報告した(仕様書8 (4)カ)
□ 財団の施設内での作業時、従事者は身分証明書を携帯し社名入りネームプレートを着用していた(仕様書9(3))(該当する作業がなかった場合はチェックは不要)
* 再委託の有無 ( 有 ・ 無 ) ※以下は、再委託がある場合に記載
□ 再委託を行う旨をあらかじめ書面により申し出て承諾を得た(仕様書10(1))
□ 再委託先における仕様書の遵守状況を書面で報告した(仕様書8(1)イ(エ))
様式3-1
令和 年 月 日
公益財団法人東京観光財団
○○部○○○課長 殿
(情報セキュリティ管理者)
(会社名)
(責任者氏名)
「○○○○○○委託」業務に係る情報の消去に係る承諾申請について
令和○○年○○月○○日付で締結した「○○○○○○○委託」契約の履行完了に伴い、個人情報及び機密情報に係る情報の消去について、下記のとおり申請いたします。
記
情報項目 | 数量 | 消去方法 | 消去予定日 |
以上
様式3-2
令和 年 月 日
(会社名)
(責任者氏名)殿
公益財団法人東京観光財団
○○部○○○課長
(情報セキュリティ管理者)
「○○○○○○委託」業務に係る情報の消去に係る申請の承諾について
令和○○年○○月○○日付で申請のあった「○○○○○○○委託」契約の業務に係る情報の消去について、下記のとおり承諾します。
記
情報項目 | 数量 | 消去方法 | 消去予定日 |
以上
様式3-3
令和 年 月 日
公益財団法人東京観光財団
○○部○○○課長 殿
(情報セキュリティ管理者)
(会社名)
(責任者氏名)
「○○○○○○委託」業務に係る情報の消去状況の報告について
令和○○年○○月○○日付で締結した「○○○○○○○委託」契約の履行完了に伴い、業務に係る情報の消去状況を、下記のとおり報告します。
記
情報項目 | 数量 | 消去方法 | 消去日 |
以上