Contract
別紙3
業 務 委 託 契 約 書(案)
この契約書(案)は、仮の内容を示すものであり、受託候補者決定後、発注者と調整の上、決
定します。
1 委 託 業 務 名 人事評価者研修Ⅱ 実施委託
2 履 行 期 限 契約の日から令和3年2月28日まで
3 業 務 委 託 料 金 円
(うち消費税額及び地方消費税額 金 円)
(注)「消費税額及び地方消費税額」は、消費税法第28条第1項及び第29条並びに地方税法第72条の82及び第72条の83の規定により、業務委託料に110分の10を乗じて得た額である。
4 契 約 保 証 金 xx県財務規則第 99 条の規定による
上記の委託業務について、発注者と受注者は、各々の対等な立場における合意に基づいて、本契約書の各条項及び別紙仕様書による委託契約を締結し、xxに従って誠実にこれを履行するものとする。
本契約の証として本書2通を作成し、発注者及び受注者が記名押印の上、各自1通を保有する。
令和 年 月 日
発注者 住 所 xx市中央区市場町1番1号氏 名 xx県
千葉県知事
受注者 住 所
氏 名
17
契 約 条 項
(x x)
第1条 発注者及び受注者は、この契約書(頭書を含む。以下同じ。)に基づき、別紙仕様書(別冊の仕様書、説明書及びこれらに係る質問回答書をいう。以下「仕様書」という。)に基づき、頭書の委託業務(この契約書及び仕様書を内容とする業務をいう。以下「本件業務」という。)を履行するものとする。
2 受注者は、本件業務を別紙仕様書に基づき、頭書の業務委託料(以下、「業務委託料」という。)をもって、頭書記載の履行期限(以下「履行期限」という。)までに完了しなければならない。
3 発注者は、その意図する業務を提供させるため、本件業務に関する指示を受注者又は受注者のxx作業者(第7条に定めるxx作業者をいう。以下同じ。)に対して行うことができる。この場合において、受注者又は受注者のxx作業者は、当該指示に従い本件業務を行わなければならない。
4 受注者は、この契約書若しくは仕様書に特別の定めがある場合又は前項の指示若しくは発注者と受注者との協議がある場合を除き、本件業務を遂行するために必要な一切の手段をその責任において定めるものとする。
(権利義務譲渡の禁止)
第2条 発注者及び受注者は、事前に相手方から書面による承諾を得ることなく、本契約により発生する権利及び義務の全部又は一部を第三者に譲渡し、又は引き受けさせてはならないものとする。
2 受注者は、成果品(未完成の成果物及び本件業務を行う上で得られた記録等を含む。以下同じ。)を第三者に譲渡し、貸与し、又は質権その他の担保の目的に供してはならない。ただし、あらかじめ、発注者の承諾を得た場合は、この限りでない。
(準拠法等)
第3条 本契約は日本国の法令に準拠するものとする。
2 この契約の履行に関して発注者と受注者との間で用いる言語は、日本語とする。
3 この契約書に定める金銭の支払いに用いる通貨は、日本円とする。
(合意管轄)
第4条 この契約に係る訴訟の提起又は調停の申し立てについては、発注者の所在地を管轄する裁判所を専属的管轄裁判所とする。
(協議など)
第5条 発注者及び受注者は、本契約の各条項の解釈に疑義のある場合及び本契約に定めなき事項については、互いに誠意をもって協議し、その解決を図るものとする。
(指示等及び協議の書面主義)
第6条 この契約書に定める指示、請求、通知、報告、申出、承諾、質問、回答及び解除(以下
「指示等」という。)は、書面により行わなければならない。
2 前項の規定にかかわらず、緊急やむを得ない事情がある場合には、発注者及び受注者は、前項に規定する指示等を口頭で行うことができる。この場合において、発注者及び受注者は、既に行った指示等を書面に記載し、7日以内にこれを相手方に交付するものとする。
18
3 発注者及び受注者は、この契約書の他の条項の規定により協議を行うときは、当該協議の内容を書面に記録するものとする。
(xx作業者)
第7条 受注者は、責任者の下に本件業務の遂行に係る連絡確認、及び必要な調整を行うxx作業者を選任し、その氏名その他必要な事項を発注者に通知するものとする。xx作業者を変更したときも、同様とする。
2 xx作業者は、この契約の履行に関し、業務の管理及び統轄を行うほか、業務委託料の変更、履行期間の変更、業務委託料の請求及び受領、並びにこの契約の解除に係る権限を除き、この契約に基づく受注者の一切の権限を行使することができる。
3 受注者は、前項の規定にかかわらず、自己の有する権限のうちこれをxx作業者に委任せず自ら行使しようとするものがあるときは、あらかじめ、当該権限の内容を発注者に通知しなければならない。
4 受注者は、本契約に定めた事項のほか、本件業務遂行に関する発注者からの要請、指示等の受理及び発注者への依頼、その他日常的な発注者との連絡、確認等は原則としてxx作業者が発注者の選任した本件業務の担当者を通じて行うものとする。
(業務実施計画書の提出)
第8条 受注者は、この契約締結後14日以内に仕様書に基づいて業務実施計画書を作成し、発注者に提出しなければならない。
2 発注者は、必要があると認めるときは、前項の業務実施計画書を受理した日から7日以内に、受注者に対してその修正を請求することができる。
3 この契約書の他の条項の規定により履行期限又は仕様書が変更された場合において、発注者は、必要があると認めるときは、受注者に対して業務実施計画書の再提出を請求することができる。この場合において、第1項中「この契約締結後」とあるのは「当該請求があった日から」と読み替えて、前二項の規定を準用する。
4 業務実施計画書は、発注者及び受注者を拘束するものではない。
(秘密の保持等)
第9条 発注者及び受注者は、本契約の履行に伴い知り得た相手方の秘密情報を善良な管理者の注意をもって管理し、相手方の事前の書面による同意がある場合を除き、第三者に開示、公表及び配付をしないものとする。
2 発注者及び受注者は、本契約の履行に伴い相手方から開示された秘密情報について、当該秘密情報が開示された目的にのみに使用する。
3 受注者は、成果品を他人に閲覧、複写、又は複製させてはならない。ただし、発注者の承諾を得たときは、この限りではない。
4 前三項の規定は、本契約の終了又は解除された後においても同様とする。
5 受注者は、機密情報が記録されたハードディスク等情報記憶装置について故障等により交換する場合、又は契約満了に伴い装置を回収する場合は、データを読み取れないように物理的に破壊し、又は完全に消去し、これの処理状況について報告しなければならない。
(データの取り扱い)
第10条 受注者は、この契約の履行のために扱うデータ、資料等について、発注者の指示又は承諾がなければ、開示、複写、複製、改変、消去、廃棄等を行ってはならない。また、本契約以外の目的のために使用又は流用してはならない。
19
2 受注者は、本件業務の遂行に伴うデータの取扱いについては、別記「データ保護及び管理に関する特記仕様書」を遵守するものとする。
(個人情報の保護)
第11条 受注者は、本件業務の遂行に伴う個人情報の取扱いについては、前条に定める事項に加えて、別記「個人情報取扱特記事項」を遵守するものとする。
(再委託等)
第12条 受注者は、本件業務の全部を一括して、又は仕様書において指定した部分を第三者に委任し、又は請け負わせてはならない。
2 受注者は、事前に発注者の承諾を書面で得た場合、本件業務の一部を第三者に委任し、又は請け負わせることができるものとする。
3 受注者は再委託先との間で、再委託に係る本件業務を遂行させることについて、本契約に基づいて受注者が負担するのと同様の義務を、再委託先に負わせる契約を締結するものとする。
4 受注者は、再委託先の履行について発注者に帰責事由がある場合を除き、自ら本件業務を遂行した場合と同様の責任を負うものとする。
5 第2項及び第3項の定めにかかわらず、受注者は、受注者の責任において、発注者の保有するデータを扱わないなど軽微な部分を第三者に委任し、又は請け負わせることができる。この場合、発注者が要請した場合、再委託先の名称及び住所等を発注者に報告するものとし、発注者において当該第三者に再委託することが不適切となる合理的な理由が存する場合、発注者は受注者に、書面により、その理由を通知することにより、当該第三者に対する再委託の中止を請求することができる。
(成果品の帰属)
第13条 受注者は、この契約により作成される成果品の著作権(著作xx(昭和 45 年法律第 48 号)第 21 条から第 28 条までに規定する権利をいう。)を著作xx第 27 条及び第 28 条の規定による権利も含めて発注者に無償で譲渡するものとする。当該成果品を受注者が利用する場合は、発注者の承諾を得るものとする。
2 受注者は成果品に関する著作者人格権を行使するときは、発注者の承諾を得るものとする。
3 前二項の規定にかかわらず、成果品に受注者が既に著作権を保有しているもの(以下「受注者著作物」という。)が組み込まれている場合、当該受注者著作物の著作権は、なお、受注者に帰属するものとする。
(特許xxの使用)
第14条 受注者は、特許権、実用新案権、意匠権、商標権その他日本国の法令に基づき保護される第三者の権利(以下「特許xx」という。)の対象となっている履行方法を使用するときは、その使用に関する一切の責任を負わなければならない。ただし、発注者がその履行方法を指定した場合において、仕様書に特許xxの対象である旨の明示がなく、かつ、受注者がその存在を知らなかったときは、発注者は、受注者がその使用に関して要した費用を負担しなければならない。
(仕様書等の変更)
第15条 発注者は、必要があると認めるときは、仕様書又は本件業務に関する指示(以下「仕様書等」という。)の変更内容を受注者に通知して、仕様書等を変更することができる。この場合において、発注者は、必要があると認められるときは履行期限若しくは業務委託料を変更し、
20
又は受注者に損害を及ぼしたときは必要な費用を負担しなければならない。
(業務に係る受注者の提案)
第16条 受注者は、仕様書等について、技術的又は経済的に優れた代替方法その他改良事項を発見し、又は発案したときは、発注者に対して、当該発見又は発案に基づき仕様書等の変更を提案することができる。
2 発注者は、前項に規定する受注者の提案を受けた場合において、必要があると認めるときは、仕様書等の変更を受注者に通知するものとする。
3 発注者は、前項の規定により仕様書等が変更された場合において、必要があると認められるときは、履行期限又は業務委託料を変更しなければならない。
(損害のために必要を生じた経費の負担)
第17条 本件業務の履行につき発注者に生じた損害(次条第1項又は第2項に規定する損害を除く。)については、受注者がその費用を負担する。ただし、その損害のうち発注者の責めに帰すべき事由により生じたものについては、発注者が負担する。
(第三者に及ぼした損害のために必要を生じた経費の負担)
第18条 本件業務の履行につき第三者に及ぼした損害について、当該第三者に対して損害の賠償を行わなければならないときは、受注者がその賠償額を負担する。
2 前項の規定にかかわらず、同項の規定する賠償額のうち、発注者の指示、貸与品等の性状その他発注者の責めに帰すべき事由により生じたものについては、発注者がその賠償額を負担する。
(情報漏えい等による損害の賠償)
第19条 受注者は、本件業務の遂行につき情報漏えい等の事故が発生した場合、発注者の責めに帰すべき事由がある場合を除き、事故により生じた損害(第三者に及ぼした損害も含む)を賠償する。
(責任の分担)
第20条 受注者は、前三条の発注者の責めに帰すべき事由がある場合において、受注者が、発注者の指示又は貸与品等が不適当であること等、発注者の責めに帰すべき事由があることを知りながらこれを通知しなかったときは、発注者の責を受注者が分担するものとする。
(紛争の解決のための協力)
第21条 第17条から第19条の損害の発生、又はその他本件業務の履行につき、第三者との間に紛争を生じた場合においては、発注者及び受注者は協力してその処理解決に当たるものとする。
(履行遅滞の場合における遅延損害金)
第22条 受注者の責に帰する理由により履行期限までに本件業務を完了することができない場合において、履行期限後に完了する見込みがあると認められたときは、発注者は遅延損害金を徴収して履行期限を延長することができる。
2 前項の遅延損害金は、この契約の締結の日におけるxx県財務規則(昭和39年千葉県規則第 13号の2)第120条第1項に規定する違約金の額とする。
21
(検査及び引渡し)
第23条 受注者は、本件業務を完了したときは、遅滞なく業務完了報告書を発注者に提出しなければならない。
2 発注者又は発注者が検査を行う者として定めた職員(以下「検査職員」という。)は、前項の規定による報告を受けたときは、報告を受けた日から 10 日以内に業務の実績及び完了の確認のための検査を行わなければならない。
3 受注者は、本件業務が前項の検査に不合格となり補正を命ぜられたときは、遅滞なく補正を行い、発注者に補正完了の届けを提出して再検査を受けなければならない。
(業務委託料の支払い)
第24条 受注者は、前条第2項の検査に合格したときは、発注者に対して業務委託料の支払いを請求することができる。
2 発注者は、前項の規定による請求があったときは、請求を受けた日から30日以内に支払わなければならない。
3 発注者がその責めに帰すべき事由により前条第2項の期間内に検査を完了しないときは、その期限を経過した日から検査を完了した日までの期間の日数は、前項の期間(以下この項において「約定期間」という。)の日数から差し引くものとする。この場合において、その遅延日数が約定期間の日数を超えるときは、約定期間は、遅延日数が約定期間の日数を超えた日において満了したものとみなす。
4 発注者の責めに帰する理由により、第2項の規定による業務委託料の支払いが遅れた場合には、遅延の日数に応じ、受注者は、未受領金額にこの契約の締結の日における政府契約の支払遅延防止等に関する法律(昭和 24 年法律第 256 号)第8条第1項の規定により財務大臣が決定する率で計算した額の遅延損害金の支払いを発注者に請求することができる。
5 履行期間に、1か月未満の端数が生じたときは、前項に規定する業務委託料は1か月を30日として日割り計算により算定した額とする。
(契約終了後の処理)
第25条 受注者は、本契約が終了した場合は本契約の履行にあたって発注者から提供を受けた資料など(資料などの全部又は一部の複製物を含む。以下同じ。)を速やかに発注者に返還し、又は発注者の指示により、受注者の責任で処分するものとする。
(催告による解除)
第26条 受注者が本契約の期間内に履行をしないとき、発注者は、相当の期間を定めて履行の催告をし、その期間内に履行がないときは、発注者は、この契約を書面をもって解除することができる。ただし、その期間を経過したときにおける債務の不履行がその契約及び取引上の社会通念に照らして軽微であるときはこの限りでない。
(催告によらない解除)
第27条 次の各号のいずれかに該当するときは、発注者は、受注者に対する催告をすることなく、書面をもってこの契約を解除することができる。
(1)債務の全部の履行が不能であるとき。
(2)受注者が債務の全部の履行を拒絶する意思を明確に表示したとき。
(3)債務の一部の履行が不能である場合又は乙がその債務の一部の履行を拒絶する意思を明確に表示した場合において、残存する部分のみで本契約の目的を達成できないとき。
(4)債務の全部の履行をする見込みがないことが明らかであるとき。
22
(5)債務の一部しか履行する見込みがないことが明らかであり、かつ、一部の債務の履行では本契約の目的を達することができないとき。
(6)検査に対し、方法を問わず受注者が発注者の職務遂行を妨げたとき。
(7)受注者の行為に詐欺その他不正の行為があるとき。
(8)受注者が発注者に重大な損害を与えたとき。
(9)受注者から本契約の解除の申し入れがあったとき。
(10)その他受注者が本契約に違反したとき。
2 債務不履行が発注者の責めに帰すべき事由によるものであるときは、甲は、前条及び前項の規定による契約の解除をすることができない。
3 発注者は、前条又は第 1 項の規定により受注者との契約を解除したときは、既に提供された業務について検査した上、その実績に相応する委託料から既に支払われた委託料を差し引いた委託料を受注者に支払うものとする。
4 次条に定める違約金と前項に定める委託料は相殺することができるものとする。
(違約金)
第28条 前二条の規定により、この契約が解除されたときは、受注者の責めに帰すべき事由がないと認められる場合を除き、受注者は、契約金額の 100 分の 10 に相当する金額を違約金とし
て発注者の指定する期間に支払わなければならない。ただし、違約金の金額に 100 円未満の端
数があるとき又は違約金の金額が 100 円未満であるときは、これを切り捨てるものとする。
2 発注者は、実際に生じた損害額が前項の規定による違約金の金額を超える場合には、その超える金額について、別途、受注者に損害賠償の請求をすることができる。
3 受注者は、この契約により、発注者に支払うべき債務が生じた場合において、その債務額を発注者の指定する期限内に支払わないときは、指定された期限日の翌日から納付の日までの日数に応じ、債務額に対してこの契約の締結の日におけるxx県財務規則(昭和 39 年xx県規則
第 13 号の 2)第 120 条第 1 項に規定する違約金の率に規定する率で計算した額を遅滞金として併せて発注者に納付しなければならない。
(発注者の都合による解除)
第29条 発注者は、履行期限が到来するまでの間は、第26条及び第27条の規定によるほか、必要があるときは、この契約を解除することができる。
2 発注者は、前項の規定によりこの契約を解除したことにより受注者に損害を及ぼしたときは、その損害を賠償しなければならない。
(受注者による契約の解除)
第30条 受注者は、次の各号のいずれかに該当するときは、この契約を解除することができる。
(1)第15条の規定により仕様書を変更したため業務委託料が3分の2以上減少したとき。
(2)発注者がこの契約に違反し、その違反によってこの契約の履行が不可能となったとき。
2 受注者は、前項の規定によりこの契約を解除した場合において、本件業務の出来形部分が可分のものである場合はその出来形の検査及び収受を求めることができる。
3 受注者は、第1項の規定によりこの契約を解除したことにより発生した損害があるときは、その損害の賠償を発注者に請求することができる。
(プログラム・プロダクトの技術援助)
第31条 発注者は、プログラム・プロダクトが正常に作動せず、その原因が当該プログラム・プロダクトに起因すると判断したときは、受注者にその旨を通知するものとする。
23
2 受注者は、前項の通知を受けたときは、直ちに問題の原因を究明し、解決手段について迅速かつ適切に対処するとともに、必要な技術援助を行うものとする。また、問題の発生を未然に防止するために必要な技術援助を行うものとする。
(談合等及び暴力団等排除に係る契約解除と損害賠償に関する特約条項)
第32条 受注者に談合その他不正行為があったときは、別記「談合等及び暴力団等排除に係る契約解除と損害賠償に関する特約条項」によるものとする。
24
1
別記
データ保護及び管理に関する特記仕様書
1
2
データ保護及び管理に関する特記仕様書 第1目的
第1 目的
本契約において取り扱う各種データについて、適正なデータ保護・管理方策及び情報システムのセキュリティ方策ついて明確にすることを目的とする。
第2 適用範囲
本契約を履行するに当たり、出版、報道等により公にされている情報を除き、xx県(以下「発注者」という。)が交付若しくは使用を許可し、又は契約の相手方(以下
「受注者」という。)が作成若しくは出力したものであって用紙に出力されたものを含む全ての情報(以下「電子データ等」という。)を対象とする。
第3 対象とする脅威
本書において対象とする脅威は、次に掲げる情報セキュリティが侵害された又はそのおそれがある場合とする。
(2)サービス不能攻撃によるシステムの停止(受注者におけるものを含む。)
(3)情報システムへの不正アクセス(受注者におけるものを含む。)
(4)書面又は外部記録媒体の盗難又は紛失(受注者におけるものを含む。)
(5)機密情報の漏えい・改ざん(受注者におけるものを含む。)
(6)異常処理等、予期せぬ長時間のシステム停止(受注者におけるものを含む。)
(7)発注者が受注者に提供した又は受注者にアクセスを認めた発注者の電子データ等の目的外利用又は漏えい
(8)アクセスを許可していない発注者の電子データ等への受注者によるアクセス
2
3
データ保護及び管理に関する特記仕様書 第4本契約を履行する者が遵守すべき事項
第4 本契約を履行する者が遵守すべき事項
受注者は、本契約の履行に関して、以下の項目を遵守すること。
4.1 業務開始前の遵守事項
受注者は、以下の(1)から(6)までの各項目に定める事項及び契約内容を一部再委託する場合は(7)に定める事項を取りまとめた「データ管理計画書」を作成し、業務開始前までに発注者の承認を得ること。
なお、行政手続きにおける特定の個人を識別するための番号の利用等に関する法律
(平成 25 年法律第 27 号)による個人番号及び特定個人情報(以下「特定個人情報等」という。)を取扱う業務の場合は、他の電子データ等と明確に区分して管理することとし、特定個人情報の適正な取扱いに関するガイドラインに基づく安全管理措置について、「データ管理計画書」の各事項へ、追加で記載すること。
受注者は、電子データ等を取り扱う者(以下「データ取扱者」という。)及び、データ取扱者を統括する者(以下「データ取扱責任者」という。)を指定し、その所属、役職及び氏名等を記入した「データ取扱者等名簿」を作成すること。
また、特定個人情報等を扱う業務の場合は、特定個人情報等を明確に管理するため、特定個人情報等を取り扱う者(以下「特定個人情報ファイル取扱者」という。)及び特定個人情報ファイル取扱者を統括する者(以下「特定個人情報ファイル取扱責任者」という。)についても併せて指定し、「データ取扱者等名簿」に記載すること。
なお、データ取扱者、データ取扱責任者、特定個人情報ファイル取扱者及び特定個人情報ファイル取扱責任者(以下「データ取扱者等」という。)は、守秘義務等のデータの取扱いに関する社内教育、又はこれに準ずる講習等を受講した者とし、その受講実績も併せて「データ取扱者等名簿」に記入すること。
受注者は、データ取扱者等を対象とした、本契約での電子データ等の取扱いや漏えい防止等の教育及び周知に関する「データ取扱者等への教育・周知計画」を作成すること。
3
4
データ保護及び管理に関する特記仕様書 第4本契約を履行する者が遵守すべき事項
(3)電子データ等の取扱いにおける情報セキュリティ確保の措置計画
受注者は、本契約に係る電子データ等の取扱いに関し、電子データ等の保存、運搬、複製及び破棄並びに電子データ等の保管場所を変更する場合において実施する措置を記載した「データ取扱計画」を作成すること。「データ取扱計画」には、以下に示す措置を含めること。
(ア)本契約の作業に係る電子データ等を取り扱うサーバ、パソコン、モバイル端末について、アクセス制御及び脅威に関する最新の情報を踏まえた不正プログラム対策及び脆弱性対策を行うこと。
(ウ)電子データ等名称、データ取扱者名、授受方法、使用目的、使用場所、保管場所、保管方法、返却方法、授受日時、返却日時、特定個人情報等の有無等を記録する「データ管理簿」を整備すること。
(オ)データ取扱責任者又は特定個人情報ファイル取扱責任者が、データ取扱者又は特定個人情報ファイル取扱者の作業に立ち会うなど適切な管理を行うこと。
(カ)データ取扱責任者又は特定個人情報ファイル取扱責任者が、データ取扱者又は特定個人情報ファイル取扱者が作業を終了し作業場所を離れる際は、データの持ち出しの有無を厳重に検査すること。
(キ)機密性2以上の電子データ等を電子メールにて送信する場合には、暗号化を行うこと。
受注者は、発注者が指定する場所以外に情報システム機器を設置(外部設置)し、本契約に係る電子データ等を取扱う場合は、情報セキュリティ確保のために、部外者
4
5
データ保護及び管理に関する特記仕様書 第4本契約を履行する者が遵守すべき事項
の侵入等の意図的な情報漏えい等を防止する措置を記載した「外部設置における情報セキュリティ措置計画」を作成すること。「外部設置における情報セキュリティ措置計画」には以下に示す措置を含めること。
(ア)情報システムにアクセス(一般向けに提供されているウェブページへのアクセスを除く。)する作業は、受注者の管理下にあり、部外者の立入りが制限された場所において行うこと。
(ウ)入退室記録、作業記録等を蓄積し、不正の検知、原因特定に有効な管理機能を備えること。
受注者は、発注者が指定するネットワーク以外のネットワークへ接続(以下「外部接続」という。)し、本契約に係る電子データ等を取扱う場合は、情報セキュリティ確保のために、外部のネットワークからの侵入や改ざんを防御する措置を記載した「外部接続におけるセキュリティ措置計画」を作成すること。「外部接続におけるセキュリティ措置計画」には、以下に示す措置を含めること。
(ア)外部接続箇所にファイアウォールを設置し、不要な通信の遮断を行うこと。
(イ)外部接続箇所に侵入検知システムを設置し、ネットワークへの不正侵入の遮断を行うこと。
(ウ)外部接続箇所で不正な通信を検出した場合、発注者へ通報を行うこと。
(6)情報セキュリティが侵害された又はそのおそれがある場合における対処手順
受注者は、本契約に係る業務の遂行において情報セキュリティが侵害された又はそのおそれがある場合に備え、事前に連絡体制を整備し、発生した場合の対処手順を記載した「情報セキュリティ侵害時対処手順」を作成すること。「情報セキュリティ侵害時対処手順」には、以下に示す対処を含めること。
(ア)作業中に、情報セキュリティが侵害された又はそのおそれがあると判断した場合には、直ちに、発注者に、口頭にてその旨第一報を入れること。発注者への第一報は、
5
6
データ保護及び管理に関する特記仕様書 第4本契約を履行する者が遵守すべき事項
情報セキュリティインシデントの発生を認知してから1時間以内に行うこと。
(エ)発注者が指定する期日までに、発生した事態の具体的内容、原因、実施した対応措置を内容とする報告書を作成の上、発注者に提出すること。
(オ)再発を防止するための措置内容を策定し、発注者の承認を得た後、速やかにその措置を実施すること。
受注者は、本契約内容について一部再委託(更にxx行われる再委託を含む。)する場合、受注者が業務を実施する場合に求められる水準と同一水準の情報セキュリティ対策を再委託先において確保させる必要があり、再委託先における情報セキュリティの十分な確保を受注者が担保するとともに、再委託先の情報セキュリティ対策の実施状況を確認するため、「再委託における情報セキュリティ措置計画」を作成すること。なお、特定個人情報等を取扱う業務を再委託したときは、発注者が行う再委託先の管理状況等の確認について、受注者は必要な協力を行うこと。
4.2 業務実施中における遵守事項
「データ管理計画書」に記載した、データ取扱者等への教育・周知、電子データ等の取扱い及び作業場所等の情報セキュリティ確保のための措置を実施すること。
受注者は、データ取扱者等が電子データ等を取り扱う場合、「データ管理簿」に記録し、データ取扱責任者に確認させること。また、特定個人情報等を扱う業務の場合、特定個人情報ファイル取扱責任者に併せて確認させること。
6
7
データ保護及び管理に関する特記仕様書 第4本契約を履行する者が遵守すべき事項
(ア)受注者は、本契約に基づく請負作業中に、次の事項について作業開始前に提出した
「データ管理計画書」の内容と異なる措置を実施する場合は、事前に「データ管理計画書」の変更について発注者に提出し、承認を得ること。また、承認された変更の内容を記録し保存すること。
・電子データ等の取扱いに関する計画又は作業場所等の情報セキュリティ確保のための措置を変更する場合
(ア)受注者は、発注者へ業務実施中の「データ管理計画書」の遵守状況について定期的に報告すること。
(イ)受注者は、発注者が「データ管理計画書」に係る管理状況について監査を要請した時は、定期・不定期にかかわらず、これを受け入れること。
(ウ)受注者は、「データ管理計画書」の評価、見直しを行うとともに、必要な改善策等について、発注者へ提案すること。
受注者の本契約に係る作業における情報セキュリティ対策の履行が不十分であると発注者が判断した場合、受注者は発注者と協議の上、必要な是正措置を講ずること。また、是正措置の内容を「データ管理計画書」に反映させること。
4.3 業務完了時の遵守事項
7
8
データ保護及び管理に関する特記仕様書 第4本契約を履行する者が遵守すべき事項
受注者は、本契約に基づく業務が完了したときは、「データ管理簿」に記録されている全てのデータについて、返却、消去、廃棄等の措置を行うものとし、処理の方法、日時、場所、立会者、作業責任者等の事項を記した、「データ返却等計画書」を事前に発注者へ提出し、承認を得た上で処理を実施すること。
また、特定個人情報等を扱う業務の場合は、特定個人情報等であることを「データ返却等計画書」に明示すること。
受注者は、「データ返却等計画書」に基づく処理が終了したときは、その結果を記載した「データ管理簿」を発注者へ提出すること。
受注者は、本契約の業務遂行中に情報セキュリティが侵害された又はそのおそれがある事象が発生した場合、4.1(6)に基づいて取得し保存している記録類を発注者に引き渡すこと。
4.4 記憶装置の修理及び廃棄等におけるデータ消去
受注者は、契約により発注者が利用する情報システム機器の修理及び廃棄、リース返却(以下、「廃棄等」という。)の場合、記憶装置から、全ての電子データ等を消去の上、復元不可能な状態にする措置(以下、「抹消措置」という。)を実施すること。
受注者は、「データ管理計画書」へ作業予定日時、作業予定場所、実施予定者氏名、データ完全消去区分、使用機材名・数量、データ消去対象記憶装置リスト、立会者などを記載した「抹消措置作業計画」を追加するとともに、必要に応じてその他の措置内容を変更したうえ、抹消措置実施日(賃貸借契約の場合は賃貸借期間満了日)の3
0日前までに発注者に提出し、承認を得ること。
また、賃貸借契約の場合は賃貸借期間満了日から30日以内に抹消措置実施日を設定すること。
8
9
データ保護及び管理に関する特記仕様書 第4本契約を履行する者が遵守すべき事項
受注者は、原則として抹消措置を発注者の指定する作業場所で実施すること。
ただし、抹消措置を発注者の指定する作業場所以外で実施する合理的な理由がある場合、受注者は、作業場所への運搬時、必要に応じ鍵付きのケース等に格納し、データ消去専用ソフトウェアによる上書き消去、暗号化又はパスワードの設定等を行うとともに、作業場所への搬入時及び保管方法の発注者職員の立ち会いによる確認の措置について、事前に発注者に提出し、承認を得ること。
受注者は、情報システム機器の記憶装置を初期化等によりデータをすべて消去又は暗号化したうえで、情報システム機器から記憶装置を取り出し、発注者職員が作業完了まで立ち会いのもと、本体に2箇所以上の穴を開ける、記憶装置を変形させる等、電子データ等を読み取ることができないよう物理的な破壊(強力な磁気で記憶装置上の情報を完全消去する場合も含む。)を行う。
ただし、デジタル複合機など、機器に保存された電子データ等の漏えい(リース終了返却、又は廃棄処理時)の対策について、国際標準に基づくセキュリティ要件と同等以上のセキュリティ要件とその要件に適合した第三者認証(「IT製品の調達におけるセキュリティ要件リスト」適合製品など)を取得している機能を有する場合は、職員が作業完了まで立ち会いのもと、当該機能によるデータ消去をもって抹消措置とすることができる。
受注者は、抹消措置実施日から30日以内に、作業日時、実施者氏名、データ完全消去区分、使用機材名・数量、データ消去対象記憶装置リスト、立会者及び全ての記憶装置について抹消措置前後の写真を添付した「抹消措置完了報告書」を発注者へ提出し、承認を得ること。
9
10
データ保護及び管理に関する特記仕様書 第5情報システムの情報セキュリティ要件
第5 情報システムの情報セキュリティ要件
受注者は、本契約により情報システムを導入する場合は、対象となる以下の項目を遵守すること。
5.1 侵害対策
不正の防止及び発生時の影響範囲を限定するため、外部との通信を行うサーバ装置及び通信回線装置のネットワークと、内部のサーバ装置、端末等のネットワークを通信回線上で分離するとともに、業務目的、所属部局等の情報の管理体制に応じて内部のネットワークを通信回線上で分離すること。
通信回線を介した不正を防止するため、不正アクセス及び許可されていない通信プロトコルを通信回線上にて遮断する機能を備えること。
情報システムのなりすましを防止するために、サーバの正当性を確認できる機能を備えるとともに、許可されていない端末、サーバ装置、通信回線装置等の接続を防止する機能を備えること。
サービスの継続性を確保するため、情報システムの負荷がしきい値を超えた場合に、通信遮断や処理量の抑制等によってサービス停止の脅威を軽減する機能を備えること。
不正プログラム(ウイルス、ワーム、ボット等)による脅威に備えるため、想定さ れる不正プログラムの感染経路の全てにおいて感染を防止する機能を備えるとともに、新たに発見される不正プログラムに対応するために機能の更新が可能であること。
システム全体として不正プログラムの感染防止機能を確実に動作させるため、当該
10
11
データ保護及び管理に関する特記仕様書 第5情報システムの情報セキュリティ要件
機能の動作状況及び更新状況をxx管理する機能を備えること。
情報システムを構成するソフトウェア及びハードウェアの脆弱性を悪用した不正を防止するため、開発時及び構築時に脆弱性の有無を確認の上、運用上対処が必要な脆弱性は修正の上で納入すること。
運用開始後、新たに発見される脆弱性を悪用した不正を防止するため、情報システムを構成するソフトウェア及びハードウェアの更新を効率的に実施する機能を備えるとともに、情報システム全体の更新漏れを防止する機能を備えること。
5.2 不正監視・追跡
情報システムに対する不正行為の検知、発生原因の特定に用いるために、情報システムの利用記録、例外的事象の発生に関するログを蓄積し、発注者が指定する期間保管するとともに、不正の検知、原因特定に有効な管理機能(ログの検索機能、ログの蓄積不能時の対処機能等)を備えること。
ログの不正な改ざんや削除を防止するため、ログに対するアクセス制御機能及び消去や改ざんの事実を検出する機能を備えるとともに、ログのアーカイブデータの保護
(消失及び破壊や改ざんの脅威の軽減)のための措置を含む設計とすること。
情報セキュリティインシデント発生時の原因追及や不正行為の追跡において、ログの分析等を容易にするため、システム内の機器を正確な時刻に同期する機能を備えること。
11
12
データ保護及び管理に関する特記仕様書 第5情報システムの情報セキュリティ要件
不正行為に迅速に対処するため、情報システムで送受信される通信内容の監視及びサーバ装置のセキュリティ状態の監視等によって、不正アクセスや不正侵入を検知及び通知する機能を備えること。
サービスの継続性を確保するため、大量のアクセスや機器の異常による、サーバ装置、通信回線装置又は通信回線の過負荷状態を検知する機能を備えること。
5.3 アクセス・利用制限
情報システムによるサービスを許可された者のみに提供するため、情報システムにアクセスする主体の認証を行う機能として、ID/パスワードの方式を採用し、主体認証情報の推測や盗難等のリスクの軽減を行う機能として、パスワードの複雑性及び指定回数以上の認証失敗時のアクセス拒否などの条件を満たすこと。
主体のアクセス権を適切に管理するため、主体が用いるアカウント(識別コード、主体認証情報、権限等)を管理(登録、更新、停止、削除等)するための機能を備えること。
情報システムの利用範囲を利用者の職務に応じて制限するため、情報システムのアクセス権を職務に応じて制御する機能を備えるとともに、アクセス権の割り当てを適切に設計すること。
特権を有する管理者による不正を防止するため、管理者権限を制御する機能を備えること。
5.4 機密性・完全性の確保
12
13
データ保護及び管理に関する特記仕様書 第5情報システムの情報セキュリティ要件
通信回線に対する盗聴行為や利用者の不注意による情報の漏えいを防止するため、通信内容を暗号化する機能を備えること。
情報システムに蓄積された情報の窃取や漏えいを防止するため、情報へのアクセスを制限できる機能を備えること。また、保護すべき情報を利用者が直接アクセス可能な機器に保存できないようにすることに加えて、保存された情報を暗号化する機能を備えること。
情報の改ざんや意図しない消去等のリスクを軽減するため、情報の改ざんを検知する機能又は改ざんされていないことを証明する機能を備えること。
5.5 情報窃取・侵入対策
情報の漏えいを防止するため、記憶装置のパスワードロック、暗号化等によって、物理的な手段による情報窃取行為を防止・検知するための機能を備えること。
物理的な手段によるセキュリティ侵害に対抗するため、情報システムの構成装置
(重要情報を扱う装置)については、外部からの侵入対策が講じられた場所に設置すること。
5.6 障害対策(事業継続対応)
情報セキュリティインシデントの発生要因を減らすとともに、情報セキュリティインシデントの発生時には迅速に対処するため、構築時の情報システムの構成(ハードウェア、ソフトウェア及びサービス構成に関する詳細情報)が記載された文書を提出するとともに文書どおりの構成とし、加えて情報システムに関する運用開始後の最新
13
14
データ保護及び管理に関する特記仕様書 第5情報システムの情報セキュリティ要件
の構成情報及び稼働状況の管理を行う方法又は機能を備えること。
サービスの継続性を確保するため、情報システムの各業務の異常停止時間が復旧目標時間として 1 日を超えることのない運用を可能とし、障害時には迅速な復旧を行う方法又は機能を備えること。
5.7 サプライチェーン・リスク対策
(1)受注者(再委託先含む)において不正プログラム等が組み込まれることへの対策
情報システムの構築において、発注者が意図しない変更や機密情報の窃取等が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること。当該品質保証体制を証明する書類(例えば、品質保証体制の責任者や各担当者がアクセス可能な範囲等を示した管理体制図)を提出すること。
(2)調達する機器等に不正プログラム等が組み込まれることへの対策
機器等の製造工程において、発注者が意図しない変更が加えられないよう適切な措置がとられており、当該措置を継続的に実施していること。また、当該措置の実施状況を証明する資料を提出すること。
5.8 利用者保護
情報システムの利用者の情報セキュリティ水準を低下させないように配慮した上でアプリケーションプログラムやウェブコンテンツ等を提供すること。
情報システムにアクセスする利用者のアクセス履歴、入力情報等を当該利用者が意図しない形で第三者に送信されないようにすること。
14
別 記
第1 基本的事項
個人情報取扱特記事項
乙は、個人情報の保護の重要性を認識し、この契約による事務の実施に当たっては、個人の権利利益を侵害することのないよう、個人情報の取扱いを適正に行う。
第2 事務従事者への周知及び監督
(事務従事者への監督)
1 乙は、この契約による事務を行うために取り扱う個人情報の適切な管理が図られるよう、事務従事者に対して必要かつ適切な監督を行う。
(事務従事者への周知)
2 乙は、事務従事者に対して、次の事項等の個人情報の保護に必要な事項を周知させるものとする。
(1) 事務従事者又は事務従事者であった者は、その事務に関して知り得た個人情報をみだりに他人に知らせてはならないこと
(2) 事務従事者又は事務従事者であった者は、その事務に関して知り得た個人情報を不当な目的に使用してはならないこと
第3 個人情報の取扱い
(収集の制限)
1 乙は、この契約による事務を行うために個人情報を収集するときは、当該事務の目的を達成するために必要な範囲内で、適法かつxxな手段によりこれを行う。
(秘密の保持)
2 乙は、この契約による事務に関して知り得た個人情報をみだりに他人に知らせてはならない。この契約が終了し、又は解除された後においても、同様とする。
(漏えい、滅失及びき損の防止等)
3 乙は、この契約による事務に関して知り得た個人情報について、個人情報の漏えい、滅失及びき損の防止その他の個人情報の適切な管理のために必要な措置を講じる。
(持ち出しの制限)
4 乙は、甲が承諾した場合を除き、この契約による事務を甲が指定した場所で行い、個人情報が記録された機器、記録媒体、書類等(以下「機器等」という。)を当該場所以外に持ち出してはならない。
(目的外利用及び提供の制限)
5 乙は、甲の指示がある場合を除き、個人情報をこの契約の目的以外の目的のために利用し、又は甲の承諾なしに第三者に対して提供してはならない。
1
(複写又は複製の制限)
6 乙は、この契約による事務を処理するために甲から引き渡された個人情報が記録された機器等を甲の承諾なしに複写又は複製してはならない。
第4 再委託の制限
乙は、甲が承諾した場合を除き、この契約による事務については自ら行い、第三者にその取扱いを委託してはならない。
第5 事故発生時における報告
乙は、この契約に違反する事態が生じ、又は生じるおそれのあることを知ったときは、速やかに甲に報告し、甲の指示に従うものとする。
第6 情報システムを使用した処理
乙は、情報システムを使用してこの契約による事務を行う場合には、この特記事項のほか、最高情報セキュリティ責任者(総務部情報システム課が所管するxx県情報セキュリティ 対策基準(平成14年3月15日制定)5(1)アに規定する職にある者をいう。)の定め る「データ保護及び管理に関する特記仕様書」等を遵守する。
第7 機器等の返還等
乙は、この契約による事務を処理するために、甲から提供を受け、又は乙自らが収集し、若しくは作成した個人情報が記録された機器等は、この契約完了後直ちに甲に返還し、又は引き渡すものとする。ただし、甲が別に作業の方法を指示したときは、当該方法によるものとする。
第8 甲の調査、指示等
(調査、指示等)
1 甲は、乙がこの契約により行う個人情報の取扱状況を随時調査し、又は監査することができる。この場合において、甲は、乙に対して、必要な指示を行い、又は必要な事項の報告若しくは資料の提出等を求めることができる。
(公表)
2 甲は、乙がこの契約により行う事務について、情報漏えい等の個人情報を保護する上で問題となる事案が発生した場合には、個人情報の取扱いの態様、損害の発生状況等を勘案し、乙の名称等の必要な事項を公表することができる。
2
第9 契約の解除及び損害の賠償
甲は、次の各号のいずれかに該当するときは、この契約を解除し、及び乙に対して損害の賠償を請求することができる。
(1) 乙又は乙の委託先(xx委託が行われた場合におけるそれぞれの受託者を含む。)の責めに帰すべき事由による情報漏えい等があったとき
(2) 乙がこの特記事項に違反し、この契約による事務の目的を達成することができないと認められるとき
注
「甲」は発注者を、「乙」は受注者を指す。
3
談合等及び暴力団等排除に係る契約解除と損害賠償に関する特約条項
(総則)
第1条 この特約は、この特約が添付される契約(以下「契約」という。)と一体をなす。
(談合その他の不正行為に係る解除)
第2条 xx県(以下「甲」という。)は、契約の相手方(以下「乙」という。)がこの契約に関して、次の各号のいずれかに該当したときは、契約を解除することができる。
(1)xx取引委員会が、乙に違反行為があったとして私的独占の禁止及びxx取引の確保に関する法律(昭和22年法律第54号。以下「独占禁止法」という。)第7条第1項の規定により措置を命じ、当該命令が確定したとき、又は第7条の2第1項の規定による課徴金の納付を命じ、当該命令が確定したとき。
(2)x(乙が法人の場合にあっては、その役員又はその使用人)が刑法(明治40年法律第
45号)第96条の6又は同法第198条の規定による刑が確定したとき。
2 乙が協同組合及び共同企業体(以下「協同組合等」という。)である場合における前項の規定については、その代表者又は構成員が同項各号のいずれかに該当した場合に適用する。
3 乙は、前2項の規定により契約が解除された場合は、違約金として、契約金額の10分の1に相当する額を甲が指定する期限までに支払わなければならない。
4 契約を解除した場合において、契約保証金が納付されているときは、甲は、当該保証金を違約金に充当することができる。
5 本条第1項の規定により契約が解除された場合に伴う措置については、契約の規定による。
(談合その他不正行為に係る賠償金の支払い)
第3条 乙は、前条第1項各号のいずれかに該当するときは、甲が契約を解除するか否かにかかわらず、賠償金として、契約金額の10分の2に相当する額を甲が指定する期限までに支払わなければならない。乙が契約を履行した後も同様とする。ただし、前条第1項第1号において、命令の対象となる行為が、独占禁止法第2条第9項第3号及び同項第6号に基づく不xxな取引方法(昭和57年6月18日xx取引委員会告示第15号)第6項に規定する不当廉売である場合、その他甲が認める場合はこの限りでない。
2 前項の規定にかかわらず、甲は、甲の生じた事実の損害額が同項に規定する賠償金の額を超える場合においては、乙に対しその超過分につき賠償を請求することができる。
3 前2項の場合において、乙が協同組合等であるときは、代表者又は構成員は、賠償金を連帯して甲に支払わなければならない。乙がすでに協同組合等を解散しているときは、代表者であった者又は構成員であった者についても、同様とする。
(暴力団等排除に係る解除)
第4条 甲は、乙が次の各号のいずれかに該当するときは、この契約を解除することができる。
(1)乙の役員等(乙が個人である場合にはその者を、乙が法人である場合にはその代表者、非常勤を含む役員、その支店若しくは営業所を代表する者又は経営に実質的に関与しているものをいう。以下同じ。)が、暴力団員(暴力団員による不当な行為の防止等に関する法律(平成3年法律第77号。以下「暴対法」という。)第2条第6号に規定するものをいう。以下同じ。)であると認められるとき。
(2)乙の役員等が自己、自社若しくは第三者の不正の利益を図り、又は第三者に損害を加える目的をもって、暴力団(暴対法第2条第2号に規定するものをいう。以下同じ。)又は暴力団員を利用するなどしていると認められるとき。
(3)乙の役員等が暴力団又は暴力団員に対して資金等を供給し、又は便宜を供与するなど積極的に暴力団の維持、運営に協力し、又は関与していると認められるとき。
(4)乙の役員等が、暴力団又は暴力団員と社会的に非難されるべき関係を有していると認められるとき。
(5)乙の役員等が、暴力団、暴力団員又は(1)から(4)に該当する法人等(有資格業者でないものを含む。)であることを知りながら、これを利用するなどしていると認められるとき。
(6)乙が、契約の履行に当たり、前各号のいずれかに該当する者に契約の履行を委託し、又は請け負わせたと認められるとき。
2 乙が協同組合等である場合における前項の規定については、その代表者又は構成員が同項各号のいずれかに該当した場合に適用する。
3 乙は、前2項の規定により契約が解除された場合は、違約金として、契約金額の10分の1に相当する額を甲が指定する期限までに支払わなければならない。
4 契約を解除した場合において、契約保証金が納付されているときは、甲は、当該保証金を違約金に充当することができる。
5 本条第1項の規定により契約が解除された場合に伴う措置については、契約の規定による。
(暴力団等からの不当介入の排除)
第5条 乙は、契約の履行に当たり、暴力団又は暴力団員から不当又は違法な要求並びに適正な履行を妨げる行為(以下「不当介入」という。)を受けたときは、その旨を直ちに甲に報告するとともに、所轄の警察署に届け出なければならない。
2 乙は、前項の場合において、甲及び所轄の警察署と協力して不当介入の排除対策を講じなければならない。