Ver.2.01
マイナトラスト電⼦委任状
[委任者記録ファイル⽅式]運⽤規程
Ver.2.01
2021 年 8 ⽉ 23 ⽇
株式会社サイバーリンクス
改版履歴 | ||
版数 | ⽇付 | 内容 |
V1.00 | 2020/7/1 | 初版発⾏ |
V2.00 | 2021/7/27 | サービス名称変更、内容修正 |
V2,01 | 2021/8/23 | 本サービス窓⼝電話番号変更 |
⽬次
1. はじめに 5
1.1. 概要 5
1.1.1. 運⽤規程 5
1.1.2. 本規程、利⽤約款 5
1.2. 正式名称 6
1.3. 連絡先 6
2. ⼀般規定 6
2.1. 義務 6
2.1.1. 電⼦委任状サービス提供者の義務 6
2.1.2. 利⽤者の義務 7
2.2. 責任 7
2.2.1. 保証 7
2.2.2. ⼀定の損害に対する免責 7
2.2.3. 免責 8
2.2.4. 損害賠償およびその制限 8
2.3. 解釈および執⾏ 8
2.3.1. 準拠法および管轄等 8
2.3.2. ⼀部無効、存続、包括的合意、通知 8
2.3.3. 紛争解決⼿続き 9
2.4. 料⾦ 9
2.5. 公表とリポジトリー 9
2.5.1. リポジトリーに公表する情報 9
2.5.2. アクセスコントロール 9
2.5.3. リポジトリー情報 9
2.6. 準拠性監査 9
2.6.1. 監査の頻度 9
2.6.2. 監査⼈の⾝分と資格 9
2.6.3. 監査⼈と被監査対象との関係 10
2.6.4. 監査対象 10
2.6.5. 監査指摘事項への対応 10
2.6.6. 監査結果の報告 10
2.6.7. 内部監査記録および内部監査報告書の保存 10
2.7. 機密保持 10
2.7.1. 機密情報の保護 10
2.7.2. 法執⾏機関への開⽰ 11
2.7.3. ⺠事⼿続き上の開⽰ 11
2.7.4. その他の事由に基づく情報開⽰ 11
2.8. 個⼈情報保護 11
2.9. 財務基盤 12
3. サービス利⽤基本情報の登録と変更 12
3.1. 基本情報の登録 12
3.1.1. 基本情報 12
3.1.2 代表者と委任者の確認 12
3.1.3. 組織の確認 13
3.2. 基本情報の変更 13
4. 電⼦委任状の管理 13
4.1. 電⼦委任状の作成・登録 13
4.1.1. 電⼦委任状の作成 13
4.1.2. 受任者の資格の確認 14
4.1.3. 受任者の資格の種別 14
4.1.4. 電⼦委任状への記載項⽬ 14
4.1.5. 電⼦委任状の登録・保管 15
4.2. 電⼦委任状の更新 15
4.3. 電⼦委任状の内容照会 16
5. 電⼦委任状の有効性確認 16
5.1. 電⼦委任状の有効性確認への応答 16
5.2. 受領者等の登録 16
5.3. 電⼦委任状の有効性確認の問い合わせ 16
6. オペレーション要件 17
6.1. 通信⼿段 17
6.2. セキュリティ監査 17
6.2.1. 記録されるイベントの種類 17
6.2.2. 監査ログの処理頻度 17
6.2.3. 監査ログの保存期間 17
6.2.4. 監査ログの保護 17
6.2.5. 監査ログのバックアップ 17
6.2.6. 監査ログの収集システム 18
6.2.7. イベントを引き起こした⼈への通知 18
6.2.8. セキュリティ対策の⾒直し 18
6.2.9. 紙、外部記憶媒体として保存する物 18
6.2.10. アーカイブのバックアップ⼿順 18
6.2.11. アーカイブ情報の保護 18
6.3. 信頼性喪失や災害からの復旧 19
6.3.1. 復旧 19
6.3.2. セキュリティ障害・事故の対応 19
6.3.3. 電⼦委任状取扱業務の終了 19
7. 物理的、⼿続き上、⼈事上のセキュリティ管理 19
7.1. 物理的アクセス 19
7.1.1. DC セキュリティ 19
7.1.2. 電源・空調管理 20
7.1.3. ⽕災防⽌ 20
7.1.4. 地震対策 20
7.1.5. 媒体保管 20
7.1.6. 廃棄 20
7.1.7. 設備施設 20
7.2. ⼿続き上の管理 20
7.2.1. 信頼される役割 21
7.2.2. 経歴、資格、経験および必要条件 21
7.2.3. 管理サーバーおよび関連サーバーへのアクセス 21
7.2.4. 業務⼿続きとその変更管理 22
7.3. ⼈事上のセキュリティ管理 22
7.4. 業務委託 22
8. 技術的セキュリティ管理 22
8.1. コンピューターセキュリティ管理 22
8.2. セキュリティ技術のライフサイクル管理 22
8.3. 拠点間の通信セキュリティ 22
9. 仕様の管理 23
9.1. 仕様変更に関して 23
9.2. 本規程の承認⼿続き 23
10. 運⽤ 23
10.1. 定常業務 23
10.1.1. システム運⽤ 23
10.2. ⾮定型業務 23
10.2.1. 顧客管理 23
10.2.2. システム運⽤ 24
10.2.3. 物理的管理 24
11. 特記事項 24
11.1. 反社会的勢⼒の排除 24
12. ⽤語 24
12.1. ⽤語:説明 24
1. はじめに
1.1. 概要
1.1.1. 運⽤規程
「マイナトラスト電⼦委任状[委任者記録ファイル⽅式]運⽤規程」(以下、「本規程」という)は、株式会社サイバーリンクス(以下、「当社」という)が、「電⼦委任状の普及の促進に関する法律(平成 29 年法律第 64 号)」(以下、「電⼦委任状法」という)に規定される電⼦委任状取扱事業者の認定の基準に適合した電⼦委任状取扱サービスを提供するにあたり「マイナトラスト電⼦委任状[委任者記録ファイル⽅式]」(以下、「本サービス」という)の運⽤維持に関する諸⼿続きを規定したものである。
本サービスの利⽤者は、本規程 および「マイナトラスト電⼦委任状[委任者記録ファイル⽅式]利⽤約款」(以下、「利⽤約款」という)の内容を利⽤者⾃⾝の利⽤⽬的に照らして評価し承諾する必要がある。
本規程 は、技術⾯、サービス⾯の発展や改良に伴い、それらを反映するために必要に応じ改訂されるものとする。
1.1.2. 本規程、利⽤約款
当社は、本サービスの提供にあたり、⾃らのポリシーおよび保証ならびに利⽤者の義務等を、本規程、利⽤約款によって包括的に定める。なお、それぞれの⽂書間で内容が抵触する場合は、本規程、利⽤約款の順に優先して適⽤されるものとする。
利⽤約款は、利⽤者がいつでも閲覧できるように本サービスのリポジトリーに公開する。
xxxxx://xxxxxxxxx.xx/xxxxxxx/x-xxx/xxxxxxxxxx/xxxxx.xxxx
・利⽤約款
利⽤約款は、サービス内容や利⽤者の義務など、利⽤者と当社間の契約内容を記述した⽂書である。
1.2. 正式名称
本規程の正式名称は「マイナトラスト電⼦委任状[委任者記録ファイル⽅式]運⽤規程」という。本サービスの運営⺟体である当社には、ISO 割り当てに従ったオブジェクト識別⼦ (以下、「OID」という)が割り当てられている。
株式会社サイバーリンクス(Cyber Links Co.,Ltd.) | 0.2.440.200320 |
マイナトラスト電⼦委任状[委任者記録ファイル⽅式] | 0.2.440.200320.3.1 |
マイナトラスト電⼦委任状[委任者記録ファイル⽅式] サービスポリシー | 0.2.440.200320.3.1.1.1 |
1.3. 連絡x
x規程 の維持・管理は、株式会社サイバーリンクス第3のトラスト事業室が⾏う。本規程、利⽤約款に関する問い合わせ窓⼝は次のとおりである。
サービス事業者名称:株式会社サイバーリンクス住所:xxxxxxxxxxxx 000 xxx 0
本サービス窓⼝:株式会社サイバーリンクス 第3のトラスト事業室 TEL:000-000-0000
受付時間:営業⽇のみ 9:00〜12:00 13:00〜17:00
営業⽇:⼟曜、⽇曜、祝⽇および年末年始休暇を除く、平⽇
2. ⼀般規定
2.1. 義務
2.1.1. 電⼦委任状サービス提供者の義務
当社は本サービスの提供にあたり、本サービスを管理する責任を果たし、本規程に従う義務を負う。
・マイナトラスト電⼦委任状[委任者記録ファイル⽅式]
利⽤者から保管要求のあった電⼦委任状を保管し、利⽤者との電⼦契約の他⽅の当事者となる者またはその使⽤⼈その他関係者より問い合わせのあった電⼦委任状について有効かどうかを電磁的⼿段にて応答する。
・セキュリティ管理
本サービスを提供するために、サーバー、その他の機器およびシステムやデータを適切に管理する。
・連絡
サービスの提供に影響する障害や、システムの危殆化、または危殆化する恐れが⽣じた場合は、利⽤者、関係省庁に対して速やかに連絡を⾏う。
2.1.2. 利⽤者の義務
利⽤者は本サービスの利⽤にあたり、利⽤約款に記載の事項を了承したうえで次の義務を負う。
・利⽤者情報の通知、変更の通知
本サービスの申し込み、および変更の届け出においては、真正かつ正確な情報を当社に提出すること。また、内容に変更が⽣じたときは、ただちにその変更内容を当社が指定する⽅法で当社に通知すること。
・委任者の電⼦署名
本サービスで保管を依頼する電⼦委任状について、委任者が⾏う電⼦署名は、電⼦署名等に係る地⽅公共団体情報システム機構の認証業務に関する法律(平成 14 年法律
第 153 号)第3条第6項の規定に基づき地⽅公共団体情報システム機構が発⾏した署名⽤電⼦証明書にて実施すること。
・委任情報の通知、変更の通知
本サービスで保管を依頼する電⼦委任状については、真正かつ正確な情報にて作成したものとすること。また、保管依頼後、内容に変更が⽣じたときは、遅滞なく変更内容を反映した電⼦委任状を提出すること。
・リポジトリーまたは通知の確認
利⽤者はリポジトリーまたは、当社からの通知の情報を定期的に収集すること。
・サービス内容の承諾
利⽤者は、本サービスの申し込みをする時点で、利⽤約款の内容を理解し、承諾すること。
・情報の削除
本サービスの契約終了時は、本サービスより提供を受けたアプリケーションを、速やか、かつ確実に消去し、以後、本サービスの利⽤を⾏わないこと。
2.2. 責任
2.2.1. 保証
当社は、本規程に規定した内容を遵守して本サービスを提供し、電⼦委任状取扱業務の信頼性の確保を保証する。
2.2.2. ⼀定の損害に対する免責
当社は、本規程「2.2.1 保証」に規定する保証に関連して発⽣するいかなる間接損害、特別損害、付随的損害または派⽣的損害に対する責任を負わず、また、いかなる逸失利益、データの紛失またはその他の間接的もしくは派⽣的損害に対する責任を負わない。ただし、当社に故意または重⼤な過失がある場合はこの限りではない。
2.2.3. 免責
本規程「2.2.1 保証」の内容に関し、次の場合、当社は責任を負わないものとする。ただし、当社に故意または重⼤な過失がある場合はこの限りではない。
・当社に起因しない不法⾏為、不正使⽤ならびに過失等により発⽣する⼀切の損害
・利⽤者が⾃⼰の義務の履⾏を怠ったために⽣じた損害
・利⽤者のシステムに起因して発⽣した⼀切の損害
・利⽤者のソフトウェアの⽋陥、不具合またはその他の動作⾃体によって⽣じた損害
・利⽤者が契約に基づく契約料⾦を⽀払っていない間に⽣じた損害
・当社の責に帰することのできない事由で正常な通信が⾏われない状態で⽣じた⼀切の損害
・現時点の予想を超えた、ハードウェア的またはソフトウェア的な暗号アルゴリズム解読技術の向上に起因する損害
・天変地異、地震、噴⽕、⽕災、津波、⽔災、落雷、戦争、動乱、テロリズムその他の不可抗⼒に起因する、本サービスの業務停⽌に起因する⼀切の損害
2.2.4. 損害賠償およびその制限
本サービスに関する当社の責任は、2.1.1.に記述する範囲に限られるものとし、適⽤される法令により許容される最⼤限の範囲において、賠償責任その他の保証および責任を負わないものとする。また、法令により強制される場合であっても、賠償総額は、利⽤者が契約している本サービスの年額サービス料⾦相当額を超えないものとし、当社の責に帰すことのできない事由から⽣じた損害、逸失利益、予⾒の有無を問わず特別の事情から⽣じた損害、間接損害、派⽣的損害、付随的損害、データ・プログラムの喪失については、当社は賠償責任を免れるものとする。
2.3. 解釈および執⾏
2.3.1. 準拠法および管轄等
利⽤者の所在地にかかわらず、本規程、利⽤約款の解釈、有効性および本サービスにかかわる紛争については、⽇本国の法律が適⽤される。仲裁および裁判地は和歌⼭地⽅裁判所を第⼀審の専属的合意管轄裁判所とする。
2.3.2. ⼀部無効、存続、包括的合意、通知
(1) ⼀部無効
本規程、利⽤約款の⼀部の条項が無効であったとしても、当該⽂書に記述された他の条項は有効であるものとする。
(2) 存続
利⽤者と当社との間で本サービスの利⽤契約を終了する場合であってもその性質上、存続されるべき条項は終了の事由を問わず利⽤者と当社に適⽤されるものとする。
(3) 包括的合意
当社は、本サービスの提供にあたり、⾃らのポリシーおよび保証ならびに利⽤者の 義務等を本規程、利⽤約款によって包括的に定め、これ以外の⼝頭や書⾯を問わず、いかなる合意も効⼒を有しないものとする。
(4) 通知
本サービスは、利⽤者に対する必要な通知をホームページ上、電⼦メールまたは書
⾯によって⾏う。
2.3.3. 紛争解決⼿続き
本サービスの利⽤に関し、当社に対して訴訟、仲裁を含む解決⼿段に訴えようとする場合、当社に対して事前にその旨を通知するものとする。
2.4. 料⾦
別途、本サービスの料⾦表に規定する。
2.5. 公表とリポジトリー
2.5.1. リポジトリーに公表する情報
次の内容をリポジトリーに格納し、利⽤者等がオンラインによって閲覧できるようにする。
・利⽤約款
・告知情報
2.5.2. アクセスコントロール
リポジトリーは利⽤者に対して 1 ⽇ 24 時間、1 週間 7 ⽇参照可能とする。 ただし、保守等を⾏うためにリポジトリーを停⽌する場合を除く。
2.5.3. リポジトリー情報
本サービスのリポジトリーは以下の通りとする。 xxxxx://xxxxxxxxx.xx/xxxxxxx/x-xxx/xxxxxxxxxx/xxxxx.xxxx
2.6. 準拠性監査
2.6.1. 監査の頻度
当社は、本サービスが本規程に準拠して運営されているかに関して、年に 1 回以上の定期監査を⾏う。また、監査⼈が必要と認めた場合は、不定期に監査を実施する。
2.6.2. 監査⼈の⾝分と資格
準拠性監査は、⼗分な監査経験を有する監査⼈が⾏うものとする。
2.6.3. 監査⼈と被監査対象との関係
監査⼈は、監査に関する事項を除き、被監査部⾨の業務から独⽴した外部監査⼈または、社内監査部⾨等とする。監査の実施にあたり、被監査部⾨は監査に協⼒するものとする。
2.6.4. 監査対象
定期監査では本サービスが、「電⼦委任状の普及を促進するための基本的な指針(平成 29 年総務省・経済産業省告⽰第 3 号)」に準拠して運営されているかを中⼼に監査する。実施要領については、ISO/IEC27001 に基づく情報セキュリティマネジメントシステムの構築・運⽤よる社内監査とする。
主な監査内容は、次のとおりである。
・本規程「7.2.1. 信頼される役割」で定義する担当者の業務運⽤
・電⼦委任状保管等業務の機能
・ハードウェアプラットフォームおよびセキュリティ管理
・物理的環境
2.6.5. 監査指摘事項への対応
指摘事項に関しては、セキュリティ技術の最新の動向を踏まえ、問題が解決されるまでの対応策も含め、その措置を本サービスのサービス管理者に指⽰する。講じられた対策の結果はサービス責任者に報告され、評価されるとともに、次の監査において確認される。
2.6.6. 監査結果の報告
監査報告書は、監査⼈からサービス責任者に提出される。監査報告書の開⽰は、サービス責任者の判断によるものとする。
2.6.7. 内部監査記録および内部監査報告書の保存
定期および不定期監査の実施に係る内部監査記録および内部監査報告書は、内部監査記録の保管期間は 10 年とする。
2.7. 機密保持
2.7.1. 機密情報の保護
当社が保持する本サービスに係る利⽤者情報は、本規程、利⽤約款の⼀部として明⽰的に公表されたものを除き、機密保持対象として扱われる。当社は、法の定めによる場合または個⼈の書⾯による事前の承諾を得た場合を除いて、これらの情報を社外に開⽰しない。係る法的⼿続き、司法⼿続き、⾏政⼿続きまたは法律で要求されるその他の⼿続きに関連してアドバイスする法律顧問および財務顧問に対し、当社は機密保持対象として扱われる情報を開⽰することができる。また、会社の合併、買収または再編成に関連してアドバイスする弁護⼠、会計⼠、⾦融機関およびその他の専⾨家に対しても、
当社は機密保持対象として扱われる情報を開⽰することができる。監査ログに含まれる情報および監査報告書は、機密保持対象情報である。当社は、本規程「2.6.6 監査結果の報告」に記載されている場合および法の定めによる場合を除いて、これらの情報を社外へ開⽰しない。
2.7.2. 法執⾏機関への開⽰
本サービスで取扱う情報に関して、法的根拠に基づいて情報を開⽰するように請求があった場合、当社は法の定めに従って法執⾏機関へ情報を開⽰する。
2.7.3. ⺠事⼿続き上の開⽰
当社は、調停、訴訟、その他の法的、裁判上または⾏政⼿続きの過程において、裁判所、弁護⼠その他の法律上権限を有する者から任意の開⽰要求があった場合、機密保持対象である情報を開⽰することができる。
2.7.4. その他の事由に基づく情報開⽰
前述した以外のその他の事由に基づく情報開⽰は⾏わない。
2.8. 個⼈情報保護
当社は、個⼈情報の重要性を認識し、次のように取扱う。
(1) 個⼈情報を取扱う部⾨ごとに管理責任者を置き、個⼈情報の適切な管理を⾏う。
(2) 個⼈情報を収集する場合、収集⽬的を知らせたうえで、必要な範囲の情報のみを適法かつxxな⼿段で収集する。
(3) 本サービスにおいて利⽤者から提出を受けた個⼈情報は、本サービスを提供するために必要な情報であり、利⽤⽬的は以下のとおりである。
・利⽤者との契約上の責任を果たすため
・利⽤者へよりよいサービスを提供するため
・利⽤者へ有⽤な情報を提供するため
・その他の正当な⽬的のため
(4) 利⽤者の同意がある場合および法令に基づく場合を除き、個⼈情報を業務委託先以外の第三者に開⽰することはしない。業務委託先に開⽰する場合は、当該業務委託先に対し本書と同等の条件を義務付けるものとする。
(5) 個⼈情報の管理責任者は、適切な安全対策を講じて、個⼈情報を不正アクセス、滅失、毀損、改ざん、漏えい等から保護する責任を持ち、これに努める。
(6) 利⽤者⾃⾝の個⼈情報について開⽰を求められた場合、第三者への個⼈情報の漏えいを防⽌するため、利⽤者⾃⾝であることが当社において確認できた場合に限り、当社において保管している利⽤者の個⼈情報を本⼈に開⽰する。利⽤者は当社に開
⽰を求める場合、書⾯による申請を⾏うものとする。
(7) 利⽤者の個⼈情報に誤りや変更がある場合には、利⽤者からの申し出に基づき、合
理的な範囲で速やかに、不正確な情報または古い情報を修正または削除する。
(8) 当社は、社員に対して個⼈情報保護の教👉啓蒙活動を実施する。
(9) 利⽤者の個⼈情報に関して適⽤される法令、規範を遵守するとともに、適切な個⼈情報保護を維持するために、個⼈情報保護のポリシーを適宜⾒直し、改善を⾏う。
(10) 利⽤者から提出を受けた個⼈情報、電⼦委任状情報が、不要となった場合、速やか、かつ確実に消去を⾏う。
2.9. 財務基盤
当社は、本サービスの提供にあたり、⼗分な財務的基盤を維持するものとする。
3. サービス利⽤基本情報の登録と変更
3.1. 基本情報の登録
本サービス利⽤を申し込む事業者(以下、「申込事業者」という)は、法⼈または団体である場合は事業者または法⼈代表が、個⼈事業者である場合は事業を⾏う⾃然⼈が、利
⽤約款の内容に同意の上で、当社が指定する⽅法(当社が提供する web ページやアプリケーションへの⼊⼒等による⽅法)で基本情報を提出する。
3.1.1. 基本情報
申込事業者が提出する基本情報には下記事項を含むものとする。
・組織名称(法⼈名、個⼈事業者においては屋号)
・所在地(商業登記における本社住所、個⼈事業者においては事業所住所)
・代表者の肩書
・代表者名
・代表者住所(個⼈事業者においては現住所)
・代表者電話番号
・⽣年⽉⽇(個⼈事業者のみ)
・その他当社指定の項⽬
3.1.2 代表者と委任者の確認
当社は、申込事業者が法⼈または団体である場合、その代表者が委任者と同⼀かどうかの確認を「電⼦署名等に係る地⽅公共団体情報システム機構の認証業務に関する法律
(平成 14 年法律第 153 号)」第3条第6項の規定に基づき地⽅公共団体情報システム機構が発⾏した委任者の署名⽤電⼦証明書に含まれる⽒名および住所と、次項で得られる当該代表者の⽒名および住所を⽐較することにより⾏うものとする。
3.1.3. 組織の確認
当社は、申込事業者が、法⼈または団体である場合は、申込事業者から提出された登記事項証明書(商業登記簿謄本)、または、「電気通信回線による登記情報の提供に関する法律(平成 11 年法律第 226 号)」第 4 条第1項に規定される登記情報提供業務を利⽤して取得した登記情報にて当該申込事業者の組織情報を確認する。
3.2. 基本情報の変更
利⽤者は、本サービス利⽤開始後、利⽤者の基本情報に変更があった場合は、変更内容を遅滞なく当社が指定する⽅法(当社が提供する web ページやアプリケーションへの⼊
⼒等による⽅法)で通知するものとする。利⽤者が、法⼈または団体であり登記情報に変更があった場合、当社は、利⽤者から提出された登記事項証明書(商業登記簿謄本)、または、「電気通信回線による登記情報の提供に関する法律(平成 11 年法律第 226 号)」
第 4 条第1項に規定される登記情報提供業務を利⽤して取得した登記情報にて当該利⽤者の組織情報を確認する。
4. 電⼦委任状の管理
4.1. 電⼦委任状の作成・登録
4.1.1. 電⼦委任状の作成
利⽤者は、以下の通り電⼦委任状を作成するものとする。
(1) 当社が提供する電⼦委任状の為のアプリケーション(電⼦委任状の普及を促進するための基本的な指針(平成 29 年総務省・経済産業省告⽰第 3 号)第 3 の 1 の四項記載のファイル形式に当社が指定する事項を追加した電⼦委任状を作成し、本サービス指定の⽅法で本サービスにより提供される機能で電⼦委任状を登録・保管できる⼀連のプログラムを意味し、以下、「管理アプリケーション」という)を使⽤して、真正かつ正確な情報で作成すること。
(2) 電⼦委任状が権限のある委任者の真正な意思に基づくものであり、委任者以外によって改ざんされていないことを担保するために、委任者は、「電⼦署名等に係る地⽅公共団体情報システム機構の認証業務に関する法律(平成 14 年法律第 153号)」第3条第6項の規定に基づき地⽅公共団体情報システム機構が発⾏した署名
⽤電⼦証明書を⽤いて当該電⼦委任状に電⼦署名を⾏うこと。
(3) 委任者より代理権の授与受けた受任者は、「電⼦署名等に係る地⽅公共団体情報システム機構の認証業務に関する法律(平成 14 年法律第 153 号)」第3条第6項の規定に基づき地⽅公共団体情報システム機構が発⾏した署名⽤電⼦証明書を、管理アプリケーションを⽤いて提出すること。
4.1.2. 受任者の資格の確認
当社は、委任者から代理権を授与される受任者が、法律上の資格を有する者である場合、前項の受任者による電⼦証明書の提出に加えて法律上の資格と委任者との委任関係を 以下の⽅法で確認する。
・電⼦委任状への法律上の資格についての種別と番号の記載
・受任者が所属する資格団体が開設するホームページでの資格確認、または資格団体への電話等による問い合わせ
4.1.3. 受任者の資格の種別
委任者から代理権を授与される受任者が、法律上の資格を有する者である場合、本サービスで対応する法律上の資格は以下とする。
([]内は、資格についての問い合わせを⾏う資格団体名)
・弁護⼠[⽇xxx⼠連合会]
・司法書⼠[⽇xxxx⼠連合会]
・⾏政書⼠[⽇本⾏政書⼠連合会]
・⼟地家屋調査⼠[⽇本⼟地家屋調査⼠連合会]
・弁理⼠[⽇本弁理⼠会]
・税理⼠[⽇本税理⼠会連合会]
・社会保険労務⼠[全国社会保険労務⼠会連合会]
・公認会計⼠[⽇本公認会計⼠協会]
4.1.4. 電⼦委任状への記載項⽬
利⽤者が使⽤する管理アプリケーションを⽤いて電⼦委任状を作成する際に記載する項⽬は「表 4-1 電⼦委任状への記載項⽬」の通りとする。
表 4-1 電⼦委任状への記載項⽬(※1)
項⽬ | 記載項⽬ | |
委任者に係る事項 | 法⼈代表者または個⼈事業主の種別 | |
法⼈の場合 | 国税庁が指定する法⼈番号 | |
商業登記における法⼈名称 | ||
商業登記における本店所在地 | ||
代表者の肩書き | ||
代表者名 | ||
個⼈の場合 | 屋号 | |
⽒名(⾃然⼈) | ||
住所(事業所所在地) | ||
⽣年⽉⽇ | ||
受任者に係る事項 | 受任者の識別名(⽒名等) | |
受任者の役職・肩書(⼠業の場合は、法律上の資格種別) | ||
受任者の所在地 | ||
受任者の識別ID(社員番号や証明書等、⼠業の場合は資格認定番号等) | ||
代理権、代理権の制限、委任期間その他委任内容にかかる事項 | 電⼦委任状ID(※2) | |
代理権の内容 | ||
代理権の制限 | ||
委任期間 | ||
その他、運⽤において必要な事項 | 事業者の電⼦委任状取扱サービスの名称(※2) | |
ポリシーを記載している場所(URL)(※2) | ||
有効性確認の問合せ先(API のURL) (※2) | ||
(※1)表⽰の項⽬の他、当社が指定する項⽬が管理アプリケーションで要求される場合がある。
(※2)管理アプリケーションで電⼦委任状を作成した際に⾃動的に電⼦委任状データに記載する。
4.1.5. 電⼦委任状の登録・保管
利⽤者が管理アプリケーションを使⽤して作成した電⼦委任状は、当該アプリケーションを通じて、当社に登録を申請するものとする。登録受付の通知および保管の可否については、管理アプリケーションを通じて返答する。
また、保管の際は当社において、当該電⼦委任状と「4.1.1. 電⼦委任状の作成」で規定する受任者の電⼦証明書に含まれる⽒名・住所・⽣年⽉⽇を当該電⼦委任状と紐づけて保管するものとする。
4.2. 電⼦委任状の更新
利⽤者は、電⼦委任状の内容に変更があった場合、遅滞なく管理アプリケーションにて変更内容を反映した電⼦委任状を作成し、登録するものとする。作成・登録⽅法についてはxx⽤規程「4.1. 電⼦委任状の作成・登録」と同じとする。
また、電⼦委任状の更新として、作成・登録した場合であっても、更新前の電⼦委任状に附番されている「電⼦委任状 ID」は、廃番となり管理アプリケーションにて新たに割り当てられる「電⼦委任状 ID」が登録されるものとする。
4.3. 電⼦委任状の内容照会
利⽤者は、「4.1. 電⼦委任状の作成・登録」および「4.2. 電⼦委任状の更新」で保管された電⼦委任状の内容について、管理アプリケーションを通じて確認できるものとする。また、利⽤者は、登録済の電⼦委任状について定期的に真正かつ正確な情報であることを確認するものとする。
5. 電⼦委任状の有効性確認
5.1. 電⼦委任状の有効性確認への応答
当社は、利⽤者との電⼦契約の他⽅の当事者となる者またはその使⽤⼈その他関係者で電⼦委任状の委任情報を受け取る者(以下、「受領者等」という)より問い合わせのあった電⼦委任状について、有効かどうかを電磁的⼿段にて応答する。
5.2. 受領者等の登録
受領者等は、電⼦委任状の有効性確認の問い合わせに際して、当社が必要と判断する場合は、当社が指定する⽅法にて利⽤登録を⾏うものとする。その際に記載する項⽬は以下の通りとする。
・組織名称(法⼈名、個⼈事業者においては屋号)
・所在地(商業登記における本店住所、個⼈事業者においては事業所住所)
・代表者の肩書
・代表者名
・代表者住所(個⼈事業者においては現住所)
・⽣年⽉⽇(個⼈事業者のみ)
・申告者⽒名
・その他当社指定の項⽬
5.3. 電⼦委任状の有効性確認の問い合わせ
受領者等は、「5.2. 受領者等の登録」に規定の利⽤登録完了後、電⼦契約の他⽅の当事者となる者またはその使⽤⼈その他関係者から受け取った「電⼦委任状 ID」をもって、当社が指定する電磁的⽅法にて電⼦委任状の有効性確認の問い合わせをすることができるものとする。
6. オペレーション要件
6.1. 通信⼿段
利⽤者と当社との間の通信⼿段は、電⼦メール、郵便による書⾯の送付(提出する書類が信書にあたる場合、利⽤者は当社に対して、信書として送付)、⼿交または電話とする。
6.2. セキュリティ監査
6.2.1. 記録されるイベントの種類
サーバー上で起こったイベントは、それが⼿動、⾃動であるかにかかわらず、⽇付、時刻、イベントを発⽣させた主体、イベント内容等が監査ログファイルに記録される。システムにおける運⽤の正当性を証明するために必要な監査ログとして、以下の操作等について履歴を記録する。
・システムの起動・停⽌
・システムへのアクセス
・データベースの操作
・権限設定の変更履歴
・認証ログの検証
・監査ログの検証
また、以下のような⼊退室やアクセスに関する履歴を記録する。
・電⼦委任状保管等設備が設置されているサーバーラックへのアクセス記録
・データセンターサーバー室(以下、「サーバー室」という)
・データセンター(以下、「DC」という)の⼊退室に関する記録
6.2.2. 監査ログの処理頻度
当社は、監査ログを定期的に精査する。
6.2.3. 監査ログの保存期間
監査ログは、最低 6 週間は管理サーバー内に保持される。その後、外部記憶媒体に、最低でも 10 年間は保存される。サーバーラック、サーバー室、DC への⼊退室に関する記録や不正アクセスに関する記録は、3 年間保存されるものとする。
6.2.4. 監査ログの保護
当社は、認可された⼈員のみが監査ログファイルにアクセスすることができるようにするために権限者を定め、許可されていない者が閲覧することから保護する。
6.2.5. 監査ログのバックアップ
監査ログは、外部記憶媒体にバックアップがとられ、それらの媒体は安全な施設に保管される。
6.2.6. 監査ログの収集システム
監査ログの収集システムは、管理端末に内在している。
6.2.7. イベントを引き起こした⼈への通知
本サービスでは、監査ログに記録されたイベントを引き起こした⼈、システム、またはアプリケーションに対して、⼀切の通知を⾏わない。
6.2.8. セキュリティ対策の⾒直し
本サービスにおいて⽤いるハードウェアおよびソフトウェアは、適切なサイクルで最新のセキュリティテクノロジを導⼊すべく、必要に応じて随時設備の更新を⾏い、本規程 および関連する⽂書の⾒直しを⾏う。
6.2.9. 紙、外部記憶媒体として保存する物
本サービスでは以下に掲げる運⽤関連記録のアーカイブを維持、管理する。 ( )内は保管期間
・利⽤者からの申込書等(契約期間のあるものに限っては満了⽇から最低 10 年間それ
以外のものは受領してから最低 10 年)
・本規程、利⽤約款、また、その変更に関する記録(有効期間の満了⽇から最低 10 年間)
・業務の⼿順に関して記載した書類、また、その変更に関する記録(有効期間の満了⽇から最低 10 年間)
・業務に従事する者の責任および権限ならびに指揮命令系統に関して記載した書類、また、その変更に関する記録(有効期間の満了⽇から最低 10 年間)
・監査の実施結果に関する記録(完了⽇から最低 10 年間)
・⼊退室管理装置に関する記録(最低 6 か⽉間)
・不正アクセス防⽌措置に関する記録(最低 3 年間)
・電⼦委任状保管等設備の動作に関する記録(最低 3 年間)
・電⼦委任状保管等設備への⽴ち⼊りおよび操作の許諾に関する記録(最低 3 年間)
・電⼦委任状保管等設備の維持管理に関する記録(最低 3 年間)
・本サービスにおける事故に関する記録(最低 3 年間)
・施設設備の保守管理に関する記録(最低 3 年間)
6.2.10. アーカイブのバックアップ⼿順
サーバーデータベースは、⾃動的にサーバー上にバックアップがとられる。
6.2.11. アーカイブ情報の保護
アーカイブは、滅失、毀損、改ざん、漏えい防⽌のための措置が施されている環境で保護されている。また温度、湿度、磁気等環境における要素を考慮した上で保護され
ている。
6.3. 信頼性喪失や災害からの復旧
6.3.1. 復旧
あらかじめ検討・準備されている対策、復旧⼿順を⾏う。正常な復旧を確認した後、利
⽤者に対して復旧を通知する。通知⽅法は、電⼦メールもしくは郵便およびリポジトリー上の告知等による。
6.3.2. セキュリティ障害・事故の対応
セキュリティ障害が発⽣した際には、業務の全従事者に周知を⾏う。また、情報漏えいの恐れがあるセキュリティ事故が発⽣した際には、主務省庁への報告を速やかに⾏うものとする。
6.3.3. 電⼦委任状取扱業務の終了
当社が本サービスによる業務を終了する場合には、最低 90 ⽇以上前に利⽤者を含むその他の関係者に通知し、主務省庁に届出る。利⽤者への終了に関する通知は電⼦メールまたは書⾯にて⾏う。また、終了に関する情報を当社ホームページ上で公表する。
7. 物理的、⼿続き上、⼈事上のセキュリティ管理
7.1. 物理的アクセス
DC 施設内の各室へのアクセスはあらかじめ許可された⼈員のみが可能となる。施設内の各部屋および設備についてアクセス可能な⼈員が定義され、その⼈員以外がアクセスする場合は、所定の⼿続きを取り、定められた⼈員が⽴ち会うものとする。また⼊室する際は所定の⼊退室記録に記録する。⼊退室の管理については、施設⼊退室管理フローに従うものとする。
7.1.1. DC セキュリティ
⼊館できるのは当社クラウド基盤課員のみとする。電⼦委任状保管等設備の操作を⾏う際は、サービス責任者への事前承認後、クラウド基盤課へアクセス申請を⾏う。アクセス申請の受領後、xxxx基盤課員⽴会いの元、電⼦委任状保管等設備に⼊室する。その際、⼊退室管理台帳へ⼊退室記録を記載する。
DC 施設は常に施錠されており、解除を⾏うには以下の操作が必要となる。
・敷地
IC カード認証(クラウド基盤課員)
・DC ⼊館(オートロック)
IC カード認証(クラウド基盤課員) + 暗証番号
・サーバー室⼊室(オートロック)指静脈認証 + 暗証番号
・サーバー室退室(オートロック) IC カード認証(クラウド基盤課員)
・電⼦委任状保管等設備
ラック鍵にて施錠し、サービス責任者が管理を⾏う。ラック鍵の貸出時は、ラック鍵管理台帳にて管理を⾏う。
・電⼦委任状保管等設備管理端末(オートロック) IC カード認証 + 静脈認証 + ID・暗証番号
7.1.2. 電源・空調管理
DC 施設の⼀次電源は電⼒会社より複数系統の供給を受ける。施設⾃体に無停電電源装置を配備し、停電時はフロア全体に電源が供給される。また、空調設備を設置することにより機器類の動作環境および要員の作業環境を適切に維持する。
7.1.3. ⽕災防⽌
設備を設置する建物は耐⽕構造、室は防⽕区画とし、消⽕設備を備える。
7.1.4. 地震対策
設備を設置する建物は耐震構造とし、機器・什器の転倒および落下を防⽌する対策を講じる。
7.1.5. 媒体保管
アーカイブデータ、バックアップデータを含む媒体は、適切な⼊退出管理が⾏われている室内に設置された施錠可能な保管庫に保管するとともに、所定の⼿続に基づき適切に搬⼊出管理を⾏う。
7.1.6. 廃棄
機密扱いとする情報を含む書類・記憶媒体の廃棄については、所定の⼿続に基づいて適切に廃棄処理を⾏う。
7.1.7. 設備施設
電⼦委任状保管等設備の設置場所は DC サーバー室内とし、複数の拠点間におけるデータ通信は⾏わない。
7.2. ⼿続き上の管理
本サービスの運⽤業務に携わる部署は次のとおりとする。
・第3のトラスト事業x
xサービスの運⽤、管理を⾏う。サービス責任者、サービス管理者、サービス運⽤者、
受付担当者が所属する。
・クラウド基盤課
DC 設備の管理、監視、電⼦委任状保管等設備の保守を⾏う。サービス管理者、保守員が所属する。
・情報システム課
本サービスの内部監査を⾏う。監査⼈が所属する。
7.2.1. 信頼される役割
本サービスの運⽤業務に携わるすべての者は、本規程 で規定された信頼される役割を担っている。信頼される役割を担う者は、次のとおりである。
・サービス責任者 1 名
当社が提供する電⼦委任状サービスの統括責任者であり、サービス管理者、サービス運⽤者の任命と解任を⾏う。サーバーラック鍵の管理、電⼦委任状保管等設備関連サーバーのアクセス管理を⾏う。
・サービス管理者 1名
本⼈確認サービスの運⽤管理者である。⼊退室管理、監査xxによるセキュリティ監視等を⾏う。サービス管理者は、DC サーバー室へのアクセスおよび電⼦委任状保管等設備関連サーバーへの操作権限を持たない。
・サービス運⽤者 1 名
当社が提供する電⼦委任状サービスの運⽤を担当し、システムのメンテナンスおよびトラブル時の復旧を⾏う。単独での DC サーバー室への⼊室権限を持たない。電
⼦委任状保管等設備関連サーバーへのアクセス権限を持つ。
・監査⼈ 1 名
監査ログの抽出、検査、管理を⾏う。
・保守員 1 名
電⼦委任状保管等設備関連を構成するハードの保守を⾏います。DC サーバー室への⼊室権限を持ち、システムの監視を⾏う。電⼦委任状保管等設備関連サーバーへのアクセス権限を持たない。
7.2.2. 経歴、資格、経験および必要条件
本サービスの実施にあたる要員について、履歴書および⼈事票等の⼈事部⾨で保有する情報により、⼊社前・⼊社後の賞罰の記録、資格の取得等の経歴や実務経験、従事させる業務毎に必要な専⾨的な知識・経験の有無等、当該業務に従事するのに適格であるかどうかの確認を⾏ったうえで、任命・配置を⾏うものとする。
7.2.3. 管理サーバーおよび関連サーバーへのアクセス
管理サーバーおよび関連サーバーへのアクセスは、本規程「7.1. 物理的アクセス」に記述された物理的制限のもとに⾏う。
7.2.4. 業務⼿続きとその変更管理
本規程 のもとに業務⼿続きを定め⽂書化し、それに従って業務を実施する。サービス管理者は、本規程 等の変更に伴い業務⼿続きの⾒直しを⾏い、必要に応じて関連する
⽂書類を改訂する。
7.3. ⼈事上のセキュリティ管理
信頼される役割を担う者は、本サービスに関して、操作や管理の責務を負う。本サービスにおいては、これら担当者の信頼性、適合性、および合理的な職務執⾏能⼒を保証する⼈事管理がなされ、そのセキュリティを確⽴するものとする。
7.4. 業務委託
電⼦委任状保管等業務において、その業務範囲に問わず外部の事業者への業務委託は⾏わない。
8. 技術的セキュリティ管理
8.1. コンピューターセキュリティ管理
サーバーのハードウェアは、物理的に本規程「7.1. 物理的アクセス」に記述されている対策によって保護される。電⼦委任状保管等設備へのアクセス時には、ID カード、静脈認証、ID・パスワードによって認証が⾏われ、アクセス履歴に記録される。これらに使
⽤されるパスワードは、⼊室権限および操作権限をもたないサービス責任者が安全に管理し、サービス責任者が作業指⽰を⾏う際に、⼊室権限をもつサービス運⽤者に貸し出すものとする。また、各サーバーの操作ログをファイルへ出⼒し保存し、最低 3 年間保存する。操作ログが保存されている期間は、記録が表⽰可能であることとする。
8.2. セキュリティ技術のライフサイクル管理
本サービスにおいて⽤いるハードウェアおよびソフトウェアは、適切なサイクルで最新のセキュリティ技術を導⼊すべく、随時、本規程 の⾒直しおよびセキュリティチェックを⾏う。
8.3. 拠点間の通信セキュリティ
・利⽤者
SSL 通信⽤いて暗号化するとともに、通信相⼿を確認する措置として利⽤者 ID、利⽤者パスワードを使⽤する。
9. 仕様の管理
9.1. 仕様変更に関して
本規程の内容変更に際しては、電⼦委任状法に準拠の上、変更の検討を⾏う。
9.2. 本規程の承認⼿続き
本規程の内容とその変更は、サービス責任者の承認を受けるものとする。
10. 運⽤
10.1. 定常業務
10.1.1. システム運⽤
・性能監視(性能測定)
機器から負荷情報を取得し監視サーバーにてロギングを⾏う。定期的にログを確認する。
・サーバーのパスワード変更
本サービス関連サーバーの管理者アカウントについて、定期的にパスワードを変更する。
・業務監査の事前調査
定期的に実施する社内内部監査に協⼒するため必要な事項を実施する。
・⽉次データバックアップ作業
⽉次データのログをバックアップし、CD などのメディアに保管する。
・運⽤⽉次定例会(対システム管理)
提出された運⽤関連レポートを元に、社内で定例会を開く。運⽤状況の確認と、問題点の発⾒・解決、翌⽉以降の予定の確認を⽬的とする。
10.2. ⾮定型業務
10.2.1. 顧客管理
・問合せ対応
顧客からのメールまたは電話での問合せに対し対応を⾏う。
・新規契約⼿続き
サービス提供に関して新規契約を⾏う。
・契約更新⼿続き
サービス提供に関して契約更新を⾏う。
・新規契約時のシステム反映
新規契約時に顧客が利⽤開始できるようシステム反映を⾏う。
・利⽤者情報の維持・管理
利⽤者に関する内部情報を常に最新に保つよう更新する。
・本サービス業務終了時の業務終了⼿続きサービス⾃体の終了⼿続きを⾏う。
10.2.2. システム運⽤
・障害対応
障害が発⽣した場合の対応を⾏う。
・システム構成変更
システムの増設や変更の必要がある場合、検討・計画して実施する。
10.2.3. 物理的管理
・⼊退室管理
DC 施設内の各室へのアクセスはあらかじめ許可された⼈員のみが可能となる。⼊室の際は、サービス責任者への承認後、クラウド基盤課所属の保守員⽴会いの元により許可されるものとする。また、⼊退室時に⼊退室管理台帳へ記載を⾏う。
11. 特記事項
11.1. 反社会的勢⼒の排除
当社は、暴⼒団、暴⼒団関係企業、総会屋、社会運動標ぼうゴロまたはこれらに準ずる者(以下、「反社会的勢⼒」という)ではない。また、反社会的勢⼒が、直接・間接を問わず、⾃らの経営に関与していない。
電⼦委任状サービス業務を統括する者は、以下に該当する。
・暴⼒団員による不当な⾏為の防⽌等に関する法律もしくはこれに相当する外国の法令の規定に違反していないこと。
・刑法もしくは暴⼒⾏為等処罰に関する法律の罪を犯していないこと。
・罰⾦の刑に処せられ、その刑の執⾏を終わり、またはその刑の執⾏を受けることがなくなった⽇から5年を経過しない者ではないこと。
12. ⽤語
12.1. ⽤語:説明
・リポジトリー:利⽤約款等を格納し公表するデータベースである。
・オブジェクト識別⼦ (OID):Object Identification 世界で⼀意となる値を登録機関 (ISO、ITU)に登録した識別⼦。