Contract
法人包括ソフトウェアライセンス(Microsoft365 E3 ほか)
2. 納品場所
国立研究開発法人国際農林水産業研究センター(以下「国際農研」とする。)
3. サービス開始日令和5 年4月1日※
※マイクロソフト社との契約手続きは令和 5 年 3 月 31 日までに完了していること。
4. 契約期間
サービス開始日から令和 8 年 3 月 31 日までの 3 年間
5. 目的と調達の概要
Microsoft365 E3 クラウド環境を利用し、業務の標準化、リスク軽減、さらには適切なユーザ管理、アクセス権管理等のxx管理の下での所内情報共有の活性化、デバイスの管理、メールシステム等を一定のセキュリティを確保したうえで基幹システムとして運用するため、マイクロソフト Microsoft365 E3 等のライセンスを調達する。
6. 調達ライセンスの詳細
受注者は、次のマイクロソフト社のライセンスを調達すること。
6.1 調達プログラム
Microsoft Enterprise Subscription ♙greement(ES♙)
6.2 調達ライセンス
① Microsoft365 E3
② Microsoft Defender for Office 365 P2
脅威保護(♙TP:♙dvanced Threat Protection)
脅威検知(EDR:Endpoint Detection and Response)
6.3 年度別調達ライセンス数 380
また、利用ユーザ数増加に伴うライセンスの追加購入が可能なこと。追加に関わる価格は契約時におけるライセンス単価の月額相当額とし、受注者は国際
農研より連絡のあった追加ライセンス(期間・数)の随時調達を実施すること。
6.4 ライセンス使用料の支払いについて
① 年度毎に受注者は1年分のライセンス使用料を請求すること。国際農研は、受注者からの請求書及びMicrosoft管理センターへのライセンス登録確認をもって、ライセンス使用料の支払いを行う。
② ライセンス追加に伴うライセンス使用料の支払いは、受注者からの請求書及びMicrosoft管理センターへのライセンス登録確認をもって、ライセンス使用料の支払いを行う。
7. 納入成果物
本調達の納入成果物の納入期限は、令和 5 年 3 月 31 日とする。
納入成果物は、原則として電子媒体とする。納入方法は電子メール等による送付もしくは格納したCD-R 等の納入とし、いずれもファイル形式は、PDF とすること。これ以外の形式を利用する場合は、国際農研と相談すること。なお、専門用語には必ず説明を付すこと。
納入媒体及びデータについては、ウイルス等を混入させないように、納入前に受注業者側で責任を持ってチェックを行うこと。
表1 納入成果物
No. | 成果物 |
1 | 受注者が本調達のために取り交わしたマイクロソフト社及びLicensing Solution Partner (LSP)との契約がある場合には、その契約書の写し※ ※契約書のうち国際農研が順守すべき条項が記載された部分とする。 |
2 | 本調達におけるライセンス契約内容、使用許諾条件が記載されたもの |
8. 契約条件等
8.1 秘密保持
① 受注者は、履行期間中はもとより履行期間終了後にあっても、本業務を履行するうえで知り得た国際農研に係る情報を第三者に開示又は漏えいしないこととし、そのために必要な措置を講ずること。
② 国際農研が提供する資料は原則貸し出しとし、国際農研の指定する日までに返却すること。当該資料は複製してはならず、原則として第三者に提供し、又は閲覧させてはならない。
③ 上記①の情報及び②の資料を第三者に開示することが必要となる場合
は、事前に国際農研と協議のうえ、国際農研の承諾を得ること。
8.2 情報セキュリティの確保
本調達について、セキュリティを確保するために受注者は以下の作業を実施することとし、発生する費用は本調達に含まれるものとする。また、実施した作業内容については履歴(作業日、作業をおこなった機器、作業内容、作業者を含む)を残すこと。
① 本業務の実施において情報セキュリティを確保するための体制を整備すること。
② 本業務に従事する者は、系統立った機密情報の管理やセキュリティに関する知識を備えるとともに、本業務の実施のために整備したセキュリティ対策を、本システムに従事する全ての者に周知徹底すること。
③ 本業務の実施に当たっては「政府機関等のサイバーセキュリティ対策のための統一基準群(令和3年度版)」及び国際農研情報セキュリティ関係規程を遵守すること。
④ 本業務の実施のために国際農研から提供を受けた情報及び本業務の運用により知り得た国際農研に係る情報については、適切な管理を行い、その秘密を保持するとともに、国際農研の許可なく本システム以外の目的のために使用してはならない。
9.1 第三者への請負、著作xx
① 受注者は、本業務の全部を一括して又は主たる部分を請負等により第三者に実施させてはならない。ただし、次の場合においてはこの限りではない。
② 受注者が、書面により請負等を受ける業者の名称・住所・請負等の業務の範囲・請負等の必要性・請負等の金額等を事前に国際農研に申請し、その承諾を受けた場合。なお請負等の内容を変更しようとする場合も同様とする。
③ 受注者が、コピー・ワープロ・印刷・製本・トレース・資料整理・計算処理・翻訳・参考書籍等の購入・消耗品購入・会場借上等の軽微な業務を請負等しようとする場合。
④ 上記に基づき、第三者に業務を請負等する場合は、「8.1.秘密保持」に従いその者に対し、秘密の保持を同様に請負契約等において課すこと。
⑤ 請負等を受けた第三者は、国際農研が保有するポリシー等を遵守しなければならない。また、国際農研の保有するポリシー等については、「8.1.秘密保持」に基づき、その内容を秘密にする措置をとらなければならな
い。
⑥ 受注者が上記①に基づき第三者に請負等する場合において、請負等を受けた第三者が更にその業務の一部を請負等する等複数の段階で請負等が行われるときは、予め当該複数段階の請負等を受ける業者の名称・住 所・請負等の業務の範囲を記載した書面(履行体制に関する書面)を国際農研に提出しなければならない。当該書面の内容を変更しようとする場合も同様とする。
⑦ 受注者が上記①に基づき第三者に業務を請負等する場合において、これに伴う第三者の行為については、その責任を受注者が負うものとする。なお、再々請負等の場合も同様とする。
⑧ 本業務の実施にあたっては、必要に応じて納入場所の環境について事前に確認を行うこととし、国際農研の業務に極力支障が生じないよう計画し実施すること。
⑨ 本業務の実施に必要となる工業所有権及び著作xxについては、全て受注者の責任において当該工業所有権及び著作xxの使用に必要な費用を負担し、使用承諾等に係る一切の手続きを行うこと。
⑩ 本仕様書に基づく作業に関し、第三者との間に著作権に係る権利侵害の紛争等が生じた場合は、当該紛争の原因が専ら国際農研の責めに帰す場合を除き、受注者の責任と負担において一切の処理をすること。
⑪ 受注者は、本仕様書に疑義が生じた場合、本仕様書により難い事由が生じた場合及び本仕様書に記載のない事項については、直ちに国際農研と協議のうえ、解決に向け両者とも最善の努力を行うものとし、独自の解釈によって行うことがないように十分注意すること。
⑫ 本仕様書に記載なき事項でも、本調達に必要と認められる事項は、国際農研と協議のうえ、実施すること。
⑬ 受注者は、国際農研との協議の結果を協議の都度作成し、文書あるいは電子メール等にて 2 営業日以内に提出し、国際農研の承認を得ること。
調達における情報セキュリティ基準
調達における情報セキュリティ基準(以下「本基準」という。)は、国際農林水産業研究センター(以下「国際農研」という。)が行う調達を受注した者(以下「受注者」という。)において当該調達に係る要保護情報の管理を徹底するため、国際農研として求める情報の取扱い手順を定めるものであり、受注者は、契約締結後速やかに、本基準に則り情報セキュリティ実施手順を作成し、適切に管理するものとする。
(1)「要保護情報」とは、紙媒体・電子媒体の形式を問わず、国際農研が所掌する事務・事業に係る情報であって公になっていない情報のうち、当該調達の履行のために国 際農研から提供された情報であって、「機密性」「完全性」「可用性」の対応が必要な 情報であり、受注者においても情報管理の徹底を図ることが必要となる情報をいう。
(2)「機密性」とは、限られた人だけが情報に接触できるように制限をかける必要性をいう。
(3)「完全性」とは、不正な改ざんなどから保護する必要性をいう。
(4)「可用性」とは、利用者が必要な時に安全にアクセスできる環境確保の必要性をいう。
(5)「情報セキュリティインシデント」とは、要保護情報の漏えい、紛失、破壊等のトラブルをいう。
(6)「取扱者」とは、当該調達の履行に関連し、要保護情報の取扱いを許可された者をいう。取扱者は、取扱者名簿への登録を必須とし、国際農研との共有を図ること。
(7)「取扱施設」とは、要保護情報の取扱い及び保管を行う施設をいう。
(8)「情報セキュリティ実施手順」とは、当該調達の契約締結後、本基準に基づき、受注者が情報の取扱い手順について定めるものである。詳細については、本基準3.情報セキュリティ実施手順の作成を参照のこと。
3. 情報セキュリティ実施手順の作成
受注者は、4.及び5.に示す各項目についての対応を検討し、「情報セキュリティ実施手順」として作成し、国際農研の確認を受けなければならない。国際農研の確認後、変更が必要な場合には、あらかじめ変更箇所が国際農研の定める本基準に適合していることを確認のうえ、国際農研の再確認を受けなければならない。
4. 受注者における情報の取扱い対策
(1)情報を取り扱う者の特定(取扱者の範囲)
・要保護情報の取扱者(再委託を行う場合の取扱者も含む)の範囲は、履行に係る必要最小限の範囲とするとともに、適切と認める者を充てること。
・取扱者以外の利用は禁止する。
・情報の取扱いに際し、国際農研が不適切と指摘した場合には、できるだけ速やかに取扱者を交代させること。
(2)取扱者名簿の提出
受注者は、(1)で特定した取扱者の名簿を作成し、国際農研に提出すること。名簿には、以下の情報を盛り込むこと。また、情報の管理責任者を定め、国際農研に提出すること。取扱者に変更が必要と判断した場合には、遅延なく国際農研に名簿の更新を申し出、確認を得ること。
・氏名
・所属する部署
・役職
・国籍等
・資格等を証明する書類(調達仕様書に定めがある場合のみ)
(3)取扱い施設等の対策
受注者は、要保護情報を取り扱う施設を明確にすること。取扱施設に対する条件は以下のとおりとする。
・日本国内(バックアップ等を含め)に設置されていること。
・物理的なセキュリティ対策として、適切なアクセス制限の適用が可能なこと。
・(1)で特定した者以外(第三者)への情報漏洩対策並びに取扱施設での盗み見対策等を適切に講ずることが可能なこと。
(4)要保護情報の適切な保管対策の徹底
・受注者は、要保護情報を保管する場合、施錠および暗号化等の対策を適切に講じなければならない。
・要保護情報の電子データを端末・外部電子媒体等で管理する場合には、不要な持出し等が行われないための対策を行うこと。
・受注者は、要保護情報を取扱施設以外で取り扱う場合における対策を定め、適切に持出し等の記録を行うこと。
・情報セキュリティインシデントの疑い又は事故につながるおそれのある場合は、適切な措置を講じるなど、常にリスクの未然防止に努めること。
(5)情報セキュリティ実施手順の周知
受注者は、(1)で特定した要保護情報を取り扱う可能性のある全ての者に作成し た情報セキュリティ実施手順を周知徹底のうえ、適切な管理体制を構築すること。また、再委託等により要保護情報を取り扱う作業に従事する全ての者(国際農研 と直接契約関係にある者を除く。)に対してもxxxxのうえ、受注者と同等の 管理を行うこと。
(6)取扱者の遵守義務
・取扱者は、国際農研から提供を受けた要保護情報に対し、提示された格付けおよび取扱い制限を厳守し、利用すること。
・取扱者の要保護情報の複製および貸出しを禁止する。複製及び貸出しが必要な場合には国際農研の事前許可を得ること。
・守秘義務及び目的外利用の禁止
受注者は、取扱者に対し、履行開始前に守秘義務及び目的外利用の禁止を定めた契約は合意を行わなければならない。合意事項には、取扱者の在職中及び離職後において、知り得た国際農研の要保護情報を第三者に漏洩禁止の旨を含むこと。
・要保護情報の返却・破棄及び抹消
受注者は、接受、作成、製作した要保護情報を国際農研に返却、または復元できないように細断等確実な方法により破棄又は抹消すること。
(7)要保護情報の管理台帳の整備ならびに取扱いの記録、保存
① 台帳の管理
受注者は、履行期間中の要保護情報の管理に対し、接受、作成、製作、返却、破棄、抹消等の各プロセスにおいて、接受(作成)日、情報名、作成者、保管場所、取扱者、保存期限、抹消日等を明記した台帳を整備し、記録・管理を行い、履行期間満了時に国際農研に提出すること。
② 作成、製作した情報の取扱い
受注者は、作成、製作された全ての情報は、要保護情報として取り扱う。要保護情報としての取扱いを不要とする場合は、理由を添えて国際農研に確認を行うこと。
③ 要保護情報の保有
受注者は、返却、破棄、抹消の指示を受けた当該情報を引き続き保有する必要がある場合には、その理由を添えて、国際農研に協議を求めることができる。
(8)情報の取扱い状況の調査
・受注者は、情報の取扱い状況について、定期的及び情報セキュリティの実施に係る重大な変化が発生した場合には、調査を実施し、その結果を国際農研に報告し
なければならない。また、必要に応じて是正措置を取らなければならない。
・受注者は、管理責任者の責任の範囲において、情報セキュリティ実施手順の遵守状況を確認しなければならない。
(9)情報セキュリティ実施手順の見直し
受注者は、情報セキュリティ実施手順を適切、有効及び妥当なものとするため、定期的な見直しを実施するとともに、情報セキュリティに係る重大な変化及び情報セキュリティインシデントが発生した場合は、その都度、見直しを実施し、必要に応じて情報セキュリティ実施手順を変更し、国際農研の確認を得なければならない。
5. 情報セキュリティインシデント等に伴う受注者の責務
(1)情報セキュリティインシデント等の報告
受注者は、情報セキュリティインシデントが発生(可能性の認知を含む)した時は、初動対応を実施後、速やかに発生した情報セキュリティインシデントの概要を国際農研に報告しなければならない。
概要報告後、情報セキュリティインシデントの詳細な内容(発生事案、被害状況、国際農研要保護情報への影響の有無、適用した対策、再発防止策 等)をとりまとめの上、国際農研に提出すること。
情報セキュリティインシデントの発生に伴い、当該契約の履行が困難な場合には、国際農研担当者との打ち合わせの上、決定することとする。
報告が必要な情報セキュリティインシデントの例は以下のとおり。次に掲げる場合において、受注者は、適切な措置を講じるとともに、直ちに把握しうる限りの全ての内容を報告しなければならない。また、その後速やかに詳細を国際農研に報告しなければならない。
・要保護情報が保存されたサーバ等の不正プログラムへの感染又は不正アクセスが認められた場合
・要保護情報が保存されているサーバ等と同一のイントラネットに接続されているサーバ等に不正プログラムへの感染又は不正アクセスが認められ、要保護情報が保存されたサーバ等に不正プログラムへの感染又は不正アクセスのおそれがある場合
・要保護情報の漏えい、紛失、破壊等のトラブルが発生した場合
(2)情報セキュリティインシデント等の対処等
① 対処体制及び手順
受注者は、情報セキュリティインシデント、その疑いのある場合及び情報セキュリティリスクに適切に対処するための体制、責任者及び手順を定め、国際農研に
提出しなければならない。
② 証拠の収集・保存と解決
受注者は、情報セキュリティインシデントが発生した場合、その疑いのある場合には、発生したインシデントの種類に応じた要因特定が可能となる証拠等の収集・保存に努めなければならない。また、速やかに対処策・改善策を検討し、適用すること。
③ 情報セキュリティインシデント発生に伴う報告
受注者は、発生した情報セキュリティインシデントの経緯及び対応結果(リスク未対応の有無を含む)を国際農研に報告し、概要について国際農研との共有を図ること。また、必要に応じて、情報セキュリティ実施手順の見直しも検討すること。
6. その他
(1)国際農研による調査の受入れと協力
受注者は、国際農研による情報セキュリティ対策に関する調査の要求があった場合には、これを受入れなければならない。また、国際農研が調査を実施する場合、国際農研の求めに応じ必要な協力(職員又は国際農研の指名する者の取扱施設への立入り、書類の閲覧等への協力)をしなければならない。
(2)業務遂行上疑義が発生した場合は、速やかに国際農研に申し出ること。発生した疑義は協議の上、対応を決定するものとする。
(3)本基準に定めのない事項については、国際農研情報セキュリティポリシーを参照し、適切に実施すること。