整理番号 6 契約番号 5農振財契第42号 件名 令和5年度サイバーセキュリティ対策支援業務委託 入札方法 電子入札システム「ビジネスチャンス・ナビ」上で実施 履行場所 公益財団法人東京都農林水産振興財団 概要 仕様書記載のとおり 履行期間 契約確定の日の翌日から令和6年3月31日まで 契約方式 希望制指名競争入札 希望申出要件 仕様書記載のとおり 格付 問わない 仕様説明会 実施しない 開札予定日時 令和5年5月22日(月) 午前10時00分(入札期間は、指名通知時に連絡) 希望申出期間...
公益財団法人xxx農林水産振興財団 入札情報
【公表】
整理番号 | 6 |
契約番号 | 5農振xx第42号 |
件名 | 令和5年度サイバーセキュリティ対策支援業務委託 |
入札方法 | 電子入札システム「ビジネスチャンス・ナビ」上で実施 |
履行場所 | 公益財団法人xxx農林水産振興財団 |
概要 | 仕様書記載のとおり |
履行期間 | 契約確定の日の翌日から令和6年3月31日まで |
契約方式 | 希望制指名競争入札 |
希望申出要件 | 仕様書記載のとおり |
格付 | 問わない |
仕様説明会 | 実施しない |
開札予定日時 | 令和5年5月22日(月) 午前10時00分(入札期間は、指名通知時に連絡) |
希望申出期間 | 令和5年4月26日(水)午前10時から令和5年5月9日(火)午後4時まで |
希望申出方法 | 電子入札システム「ビジネスチャンス・ナビ」を通じて受け付けます。 |
希望申出時の提出書類 | 以下の(1)から(3)までの書類を「ビジネスチャンス・ナビ」上に添付してください。 |
(1)希望票【様式あり】(必要事項を記入・押印) | |
(2)会社概要・実績一覧表【様式あり】(必要事項を記入) | |
(3)資格要件に対応する以下の書類 ①一般社団法人日本情報経済社会推進協会(JIPDEC)及びその指定機関が付与する ISMS認証 (ISO/IEC 27001)を取得していることが分かるものの写し ➁過去5ヵ年において、官公庁又は外郭団体等から情報セキュリティに関するコンサルティングや運用支援、情報セキュリティ監査等に関する受託実績を有することを証明するものの写し(契約書・請書の写しなど) | |
備考 | (1)指名停止等業者については、xxxに準じて取り扱うものとします。 (2)指名業者の選定については、当財団指名業者選定基準によるものとします。 (3)希望票の提出があっても、必ずしも指名されるとは限りません。 (4)指名通知は、指名した方のみに対して開札予定日の5日前までに行う予定です。 (5)申込書類に不備がある場合、失格になることがあります。 (6)関係する会社に該当する場合(親会社と子会社の関係にある場合、親会社を同じくする子会社同士の関係にある場合、役員のxxxがある場合)には、同一入札案件に参加することができません。 (7)入札結果(落札業者名、落札金額等)については後日公表します。予めご了承ください。 |
入札に関する問い合わせ先 | 公益財団法人xxx農林水産振興財団 管理課 契約担当住所 xxxxxxxxxx0-0-0 電話 000-000-0000 |
仕様内容に関する問い合わせ先 | 公益財団法人xxx農林水産振興財団 管理課 企画係住所 xxxxxxxxxx0-0-0 電話 000-000-0000 |
仕 様 書
1 件名
令和5年度サイバーセキュリティ対策支援業務委託
2 目的
令和 2 年度よりサイバーセキュリティ対策を組織的に進めてきて、令和 2 年度に体制
整備、セキュリティポリシーの改訂、職員への教👉を実施し、令和3年度から 4 年度は各部署の情報資産台帳の作成、サイバーセキュリティ内部監査の実施、標的型メール訓練、自己点検、各種研修を実施して、サイバーセキュリティ対策の取り組み定着を図った。
令和5年度は、更なるサイバーセキュリティ対策の実効性を確認および向上させるため、引き続き対象部署の内部監査を実施し、安全管理措置等の遵守状況について点検・評価を行うとともに、問題点の把握、改善方法等について、第三者による独立かつ専門的な立場から、助言、指導を受け、運用体制の確立と実効性の強化を図る。
また、サイバーセキュリティの重要性について、職員の共通認識を養い、ポリシーを遵守した業務遂行を啓発するため、各種研修及び標的型メール訓練等を実施して、財団におけるサイバーセキュリティ対策を推進する。さらに、インシデント発生時等の対応を迅速・的確に行うための財団CSIRT(インシデント)対応手順を作成する。
3 履行期間
契約確定の日の翌日から令和6年3月31日まで
4 履行場所
公益財団法人xxx農林水産振興財団
5 受託者の資格要件
受託者は、以下の要件を満たしているものとする。
(1)経済産業省が策定する情報セキュリティサービス基準(情報セキュリティ監査サービス領域)に適合し、同基準適合サービスリストに掲載されていること。
(2)一般社団法人日本情報経済社会推進協会(JIPDEC)及びその指定機関が付与する
ISMS 認証(ISO/IEC 27001)を取得していること。
(3)過去5ヵ年において、官公庁又は外郭団体等から情報セキュリティに関するコンサルティングや運用支援、情報セキュリティ監査等に関する受託実績を有すること。
(4)本委託業務の実施にあたり、次のいずれかの資格を有する者を一人以上含めること。
ア システム監査技術者
イ 情報処理安全確保支援士(登録情報セキュリティスペシャリスト)ウ 公認システム監査人
エ 公認情報セキュリティxx監査人又は公認情報セキュリティ監査人オ ISMS xx審査員又は ISMS 審査員
カ 公認情報システム監査人(CISA)
キ 公認情報セキュリティマネージャー(CISM)
6 委託内容
財団のサイバーセキュリティ対策の実施状況を確認するため、各所属への内部監査を実施して、職場における安全管理措置等の遵守状況の点検・評価を行うとともに、職員の意識向上を図るため全職員を対象とした研修を実施し、財団のサイバーセキュリティ対策に関する指導助言及び運用支援を行う。
<令和5年度計画(予定)>
(1)内部監査の実施
ア 監査計画書の作成
サイバーセキュリティに関する内部監査の実施について、監査計画書を作成し提出すること。なお、内部監査の実施対象は 5 部署とする。
<内部監査対象部署>生産環境科
園芸技術科
その他3部署(島しょ部は対象外)イ 内部監査説明会の実施
内部監査実施に先立ち、内部監査を円滑に進めるため、事前に各所属の対象職員に対し、内部監査内容及び準備事項について説明会を実施すること。
実施方法は講義形式とし、研修会場、プロジェクター、講師用 PC 等の研修用機器は、財団で用意する。配布資料は受託者が原稿データを作成して、資料印刷は財団で必要部数をコピーする。
・内部監査事前説明会(各所属の IT リーダー及び監査対応職員)場所:立川庁舎 時間:2時間程度
ウ 監査の実施支援
サイバーセキュリティに関する規程に基づき、内部監査チェックリストを作成 し、被監査部門に訪問して内部監査を実施する。また、情報資産の取り扱いについても監査対象とする。なお、実施方法は助言型監査とする。
エ 監査報告書
内部監査の実施後、監査結果報告書を作成し、報告書の内容を解説すること。また、内部監査で指摘された項目がある場合は、フォローアップの対応について助言及びその実施についてもフォローすること。
(2)情報資産台帳の整備とリスク評価・対策整備の実施
ア 情報資産台帳の作成とリスク評価の手順について、内部監査事前説明会において、説明を行うこと。
イ 内部監査対象部署の情報資産の洗い出し及びリスクアセスメントの実施支援を行い、リスク評価及び対応方針の見直しを実施すること。
(3)サイバーセキュリティ研修の実施
財団の新任・転入職員、ITリーダー、システム管理者、情報システム及びウェブサイトの運用管理従事職員等を対象に、サイバーセキュリティポリシーに関する規程類の運用方法について、教👉・研修を行う。実施方法は講義形式とし、研修会場、プロジェクター、講師用 PC 等の研修用機器は、財団で用意する。配布資料は受託者が
原稿データを作成して、資料印刷は財団で必要部数をコピーする。
・サイバーセキュリティ研修
場所:立川庁舎 時間2時間程度×1回
※研修についてはWEB参加や録画閲覧も可能とする
(4)自己点検の実施(職員アンケート)
各所属で全職員対象に自己点検を実施して、財団のポリシーに沿ったサイバーセキュリティの運用となっているか、システムの利用及び管理状況を確認する。財団の情報セキュリティ対策全般の実効性を確保して、セキュリティ事故の未然防止を図る。ア 自己点検の内容について、従来の自己点検結果や内部監査結果を参考にしてサイ
バーセキュリティ自己点検項目案を提案し、フォローすること。
イ サイバーセキュリティ自己点検の結果を集計、分析、評価し、今後の運用方法に対する改善点を提案すること。
(5)e-ラーニング研修の実施
サイバーセキュリティの重要性について、職員の共通認識を養い、ポリシーを遵守 した業務遂行と正しいサイバーセキュリティ手法を学ぶため、全職員対象に e-ラーニング研修を実施する。
ア e-ラーニング研修によるサイバーセキュリティ教👉及び確認テスト
研修内容については、令和 5 年度のサイバーセキュリティ対策支援業務の結果
(本仕様の内容)を踏まえた内容とするが、個人情報保護やSNSマナー等サイバーセキュリティ一般に関する内容を含めてもよい。最終的には財団と協議のうえ選定する。
・スライド、動画等の事例による教👉と確認テスト(10~20 問程度、30 分以内)
※設問についてはアレンジ可能とすること
・メール送信による受講案内の発出
・受講完了点数の設定
・受講完了するまでの督促メール配信(もしくはリアルタイムでの受講状況確認)
・結果集計イ 受講者
全職員(300 名程度)
(6)標的型メール訓練の実施
財団のサイバーセキュリティレベルを把握するため、標的型メール訓練を実施して現状確認を行い、👉威への対応の意識付け及びサイバーセキュリティ対策の向上を図る。
ア 標的型メール訓練については、異なる内容で2回配信する。
イ 2種類の配信の合間にメールの取扱についての e-ラーニング講習を実施する。Eラーニングには標的型メールの事例を多く入れる。受託者は、送信メール文の作成
(URLまたは添付ファイル付与、もしくは両方)、メール送信、結果集計及びセキュリティ診断報告を行うこと。
(研修方法)
・標的型メール訓練 1 回目(9月予定)
・e-ラーニングによるサイバーセキュリティ教👉及び確認テスト(10 月予定)
・標的型メール訓練 2 回目(11 月予定)ウ 対象者
全職員(300 名程度)
エ 訓練の結果が危険水域と判断された場合、開封者へのアンケート実施等、対策に向けた対応を検討実施する。
オ 開封者への種明かし方法については財団と協議する。
(7)財団CSIRT(インシデント)対応手順の作成
財団CSIRTが財団内のセキュリティインシデント発生時や外部より重大なセキュリティ対策要件が指摘された場合に、迅速かつ的確な対応が取れるように、CSI RT(インシデント)対応手順を作成する。対応手順には、様々な事象、インシデントの大小等を考慮し、財団内部だけでなく、外部との連携も明確にした手順を織り込むこと。
(8)実施手順書等の規程類の見直し整備
財団サイバーセキュリティポリシーを基に、各所属において実施する具体的な手順をまとめた実施手順書の見直しを行う。受託者は、必要に応じて、各所属の見直し方針・手順及び取りまとめを支援する。
7 履行体制
(1)実施計画書の策定
受託者は、本業務を確実に履行できる体制を確立し、契約締結後、速やかに次の内容を記載した「実施計画書」を作成し、提出すること。
① 詳細スケジュール
② 工程表
③ 履行体制図
④ 本委託における作業の進め方
(2)定期的な報告
受託者は財団と定期的に打合せを実施して進捗状況等を報告すること。打合せ後は速やかに議事録を作成し、提出すること。
8 監督
(1)財団が任命する監督職員により、本業務が契約書、実施計画書及び本仕様書等の内容に適合するか否かについて、監督を行う。
(2)監督職員は、作業の進捗状況及び提出書類の内容に関して、受託者に対し説明を求め、また、補足資料の提出を要求することができる。本仕様書の各項及び細目について、疑義が生じた場合又は不明の場合は、監督職員と打合せの上、その指示に従うこと。
9 納入成果物
No | 成果物名称 | 提出期限 | 部数 |
1 | 実施計画書(工程表、体制表) | 契約締結後、7日以内 | 1 |
2 | 打合せ議事録 | 打合せ後、7日以内 | 1 |
3 | サイバーセキュリティ研修実施報告書 | 研修後、14 日以内 | 1 |
4 | 内部監査計画書 | 監査前、14 日以内 | 1 |
5 | 内部監査報告書 | 監査後、14 日以内 | 1 |
6 | 自己点検結果分析報告書 | 自己点検後、1 月以内 | 1 |
7 | e-ラーニング研修実施報告書 | 研修後、14 日以内 | 1 |
8 | 標的型メール訓練セキュリティ診断書 | 訓練後、14 日以内 | 1 |
9 | 情報資産管理台帳の整備とリスク評価・対策 整備支援 | 監査後、14 日以内 | 1 |
10 | 財団CSIRT(インシデント)対応手順 | 履行期限まで | 1 |
11 | 実施手順書等の規程類の見直し提案 | 履行期限まで | 1 |
12 | 実施報告書(全体まとめ) | 履行期限まで | 1 |
13 | 消去完了確認書 | 履行期限まで | 1 |
次の納入物を印刷物及び電子媒体(メール、CD-ROM 又は DVD-ROM)で提出すること。
(1)実施計画書(工程表、体制表)
契約締結後、7日以内に提出し、財団の承認を得ること。
(2)打合せ議事録
本仕様に関し、財団と打合せを行った場合は、内容を記録した議事録を打合せ後
7日以内に財団へ提出し、承認を得ること。
なお、第 1 回の打合せは契約締結後 7 日以内に行うこととする。
(3)サイバーセキュリティ研修実施報告書
研修内容及び実施結果について報告書にまとめ、実施後 14 日以内に提出すること。
また、研修全体は動画記録して財団内での閲覧を可能とする(財団対応)
(4)内部監査計画書
監査計画書を監査実施前、14 日以内に提出すること。
(5)内部監査報告書
承認された監査計画書に沿って監査を実施し、結果を報告書にまとめ、監査後 14日以内に提出すること。
(6)自己点検結果集計分析報告書
自己点検が終了後、その結果の集計及び分析を行い、報告書を自己点検後 1 か月以内に提出すること。
(7)e-ラーニング研修実施報告書
研修内容及び実施結果について報告書にまとめ、実施後 14 日以内に提出すること。
(8)標的型メール訓練セキュリティ診断書
1回目及び2回目それぞれの研修内容及び実施結果について報告書にまとめ、2回目実施後にはセキュリティ診断書として全体をまとめ、実施後 14 日以内に提出すること。
(9)情報資産管理台帳の整備とリスク評価・対策整備支援
情報資産台帳の作成とリスク評価の手順についての説明資料を作成し、内部監査説明会の前に提出すること。
また、内部監査時に対象部署の情報資産の洗い出しやリスク検討を行い、内部監査報告書に記載すること。
(10) 財団CSIRT(インシデント)対応手順
財団CSIRTの対応手順をまとめ履行期限までに提出すること。
(11) 実施手順書等の規程類の見直し提案
規定類の見直し提案については、適時指摘提案することとし、取り纏めた提案書としても提出すること。
(12)実施報告書(全体まとめ)
内部監査や自己点検、研修、訓練及び各種見直しのほか、今後の取組に対する提案等、全体を総括して報告すること。
(13)消去完了確認書
業務遂行上、委託業務に係る情報を記録した一切の媒体(紙及び電磁的記録媒体等)については、契約履行完了後に記録媒体上に含まれる当該委託業務に係る情報を全て消去すること。また、消去結果について、消去完了確認書を提出すること。
10 成果物の帰属
成果物及びこれに付随する資料は、全て財団に帰属するものとし、書面による財団の承認を受けずに他に公表、譲渡、貸与又は使用してはならない。
ただし、成果物及びこれに付随する資料に関し、受託者が従来から保有する著作権は受託者に留保されるものとし、財団は、本業務の目的の範囲内で利用できるものとする。
11 環境により良い自動車利用
本契約の履行に当たって自動車を使用、又は利用する場合は次の事項を遵守すること。
(1)都民の健康と安全を確保する環境に関する条例(平成 12 年xxx条例第 215 号)
第 37 条のディーゼル車規制に適合する自動車であること。
(2)自動車から排出される窒素酸化物及び粒子状物質の特定地域における総量の削減等に関する特別措置法(平成 4 年法律第 70 号)の対策地域内で登録可能な自動車であること。
なお、当該自動車の自動車検査証(車検証)、粒子状物質減少装置装着証明書等の提示又は写しの提出を求められた場合には、速やかに提示し、又は提出すること。
12 支払方法
業務完了後、適法な支払い請求書を受理した日から 30 日以内に支払う。
13 その他
(1)本業務の実施にあたっては、財団担当者と十分に打ち合わせを行い、指示があった場合には、それに従い実施すること。本業務委託で生じたトラブルについては、原則、受託者が責任をもって対応すること。ただし、対応にあたっては、財団と十分協議を行い、トラブルの解決に努めること。
(2)受託者は、契約の履行に関して知り得た機密情報を第三者に漏らし、又は他の用途に利用してはならない。契約期間の終了後においても、同様とする。本業務の遂行上知り得た全ての情報について報道等での指摘も含め、漏洩等の事故や恐れが判明した場合については、業務の履行中・履行後を問わず、事実関係等について直ちに
財団へ報告すること。なお、報告がない場合でも、情報の漏洩等の懸念や事故等がある場合には、財団が行う聴取や調査に応じること。
(3)本仕様書に定めのない事項については、別紙1「電子情報処理委託に係る標準特記仕様書」を遵守すること。
(4)個人情報を取扱については、別紙2「個人情報に関する特記事項」のほか関係法令等を遵守すること。
(5)受託者は、業務内容の一部を再委託する場合には、事前に財団に協議の上、承認を得ること。
(6)本業務の履行に係る一切の費用は、すべて契約金額に含むものとし、本仕様書に明記のないものであっても、原則として受託者が全額負担すること。
(7)暴力団排除に関する特約事項は、別に定めるところによる。
(8)本仕様書の解釈に疑義が生じた場合、または定めのない事項については、その都度、当財団と受託者の協議の上、決定するものとする。
(9)本契約においては、新型コロナウイルス感染症の感染拡大防止に努めること。
(10)契約後に新型コロナウイルス感染症の感染拡大に伴い、仕様書の内容に変更が生じる可能性が発生した場合、受託者からの申し出を踏まえ、受発注者間において、契約金額の変更、履行期限(納入期限)の延長のための協議を行う。
この場合、受注者の責めに帰すことができないものとして、契約書に基づき契約内容の変更を行うものとし、契約金額の変更については受発注者間での協議を踏まえ適切に対応する。
14 請求部課
公益財団法人xxx農林水産振興財団 管理課 企画係
x000-0000 xxxxxxxxxx 0-0-0
(TEL)000-000-0000
(E-mail)xxxxxx-xxxxxx@xxxxxx.xxx
別紙1
電子情報処理委託に係る標準特記仕様書
委託者から電子情報処理の委託を受けた受託者は、契約書及び仕様書等に定めのない事項について、この特記仕様書に定める事項に従って契約を履行しなければならない。
1 サイバーセキュリティポリシーを踏まえた業務の履行
受託者は、公益財団法人xxx農林水産振興財団(以下「財団」という。)サイバーセキュリティ基本方針及び財団サイバーセキュリティ対策基準の趣旨を踏まえ、以下の事項を遵守しなければならない。
2 業務の推進体制
(1) 受託者は、契約締結後直ちに委託業務を履行できる体制を整えるとともに、当該業務に関する責任者、作業体制、連絡体制及び作業場所についての記載並びにこの特記仕様書を遵守し業務を推進する旨の誓約を書面にし、委託者に提出すること。
(2) (1)の事項に変更が生じた場合、受託者は速やかに変更内容を委託者に提出すること。
3 業務従事者への遵守事項の周知
(1) 受託者は、この契約の履行に関する遵守事項について、委託業務の従事者全員に対し十分に説明し周知徹底を図ること。
(2) 受託者は、(1)の実施状況を書面にし、委託者に提出すること。
4 秘密の保持
受託者は、この契約の履行に関して知り得た秘密を漏らしてはならない。この契約終了後も同様とする。
5 目的外使用の禁止
受託者は、この契約の履行に必要な委託業務の内容を他の用途に使用してはならない。また、この契約の履行により知り得た内容を第三者に提供してはならない。
6 複写及び複製の禁止
受託者は、この契約に基づく業務を処理するため、委託者が貸与する原票、資料、その他貸与品等及びこれらに含まれる情報(以下「委託者からの貸与品等」という。)を、委託者の承諾なくして複写及び複製をしてはならない。
7 作業場所以外への持出禁止
受託者は、委託者が指示又は承認する場合を除き、委託者からの貸与品等(複写及び複製したものを含む。)について、2(1)における作業場所以外へ持ち出してはならない。
8 情報の保管及び管理
受託者は、委託業務に係る情報の保管及び管理に万全を期するため、委託業務の実施に当たって以下の事項を遵守しなければならない。
(1) 全般事項
ア 契約履行過程
<令和2年10月改正>
(ア) 以下の事項について安全管理上必要な措置を講じること。 a 委託業務を処理する施設等の入退室管理
b 委託者からの貸与品等の使用及び保管管理
c 仕様書等で指定する物件(以下「契約目的物」という。)、契約目的物の仕掛品及び契約履行過程で発生した成果物(出力帳票及び電磁的記録物等)の作成、使用及び保管管理
d その他、仕様書等で指定したもの
(イ) 委託者から(ア)の内容を確認するため、委託業務の安全管理体制に係る資料の提出を求められた場合は直ちに提出すること。
イ 契約履行完了時
(ア) 委託者からの貸与品等を、契約履行完了後速やかに委託者に返還すること。
(イ) 契約目的物の作成のために、委託業務に係る情報を記録した一切の媒体(紙及び電磁的記録媒体等一切の有形物)(以下「記録媒体」という。)については、契約履行完了後に記録媒体上に含まれる当該委託業務に係る情報を全て消去すること。
(ウ) (イ)の消去結果について、記録媒体ごとに、消去した情報項目、数量、消去方法及び消去日等を明示した書面で委託者に報告すること。
(エ) この特記仕様書の事項を遵守した旨を書面で報告すること。また、再委託を行った場合は再委託先における状況も同様に報告すること。
ウ 契約解除時
イの規定の「契約履行完了」を「契約解除」に読み替え、規定の全てに従うこと。エ 事故発生時
契約目的物の納入前に契約目的物の仕掛品、契約履行過程で発生した成果物及び委託者からの貸与品等の紛失、滅失及び毀損等の事故が生じたときには、その事故の発生場所及び発生状況等を詳細に記載した書面をもって、遅滞なく委託者に報告し、委託者の指示に従うこと。
(2) アクセスを許可する情報に係る事項
受託者は、アクセスを許可する情報の種類と範囲、アクセス方法について、業務着手前に委託者から承認を得ること。
(3) 個人情報及び機密情報の取扱いに係る事項
委託者からの貸与品等及び契約目的物に記載された個人情報は、全て委託者の保有個人情報である(以下「個人情報」という。)。また、委託者が機密を要する旨を指定して提示した情報及び委託者からの貸与品等に含まれる情報は、全て委託者の機密情報である(以下「機密情報」という。)。ただし、委託者からの貸与品等に含まれる情報のうち、既に公知の情報、委託者から受託者に提示した後に受託者の責めによらないで公知となった情報、及び委託者と受託者による事前の合意がある情報は、機密情報に含まれないものとする。
個人情報及び機密情報の取扱いについて、受託者は、以下の事項を遵守しなければならない。ア 個人情報及び機密情報に係る記録媒体を、施錠できる保管庫又は施錠及び入退室管理の可能
な保管室に格納する等適正に管理すること。
イ アの個人情報及び機密情報の管理に当たっては、管理責任者を定めるとともに、台帳等を設け個人情報及び機密情報の管理状況を記録すること。
ウ 委託者から要求があった場合又は契約履行完了時には、イの管理記録を委託者に提出し報告すること。
エ 個人情報及び機密情報の運搬には盗難、紛失、漏えい等の事故を防ぐ十分な対策を講じること。
オ (1)イ(イ)において、個人情報及び機密情報に係る部分については、あらかじめ消去すべき情報項目、数量、消去方法及び消去予定日等を書面により委託者に申し出て、委託者の承諾を得るとともに、委託者の立会いのもとで消去を行うこと。
カ (1)エの事故が、個人情報及び機密情報の漏えい、滅失、毀損等に該当する場合は、漏えい、
<令和2年10月改正>
滅失、毀損した個人情報及び機密情報の項目、内容、数量、事故の発生場所及び発生状況等を詳細に記載した書面をもって、遅滞なく委託者に報告し、委託者の指示に従うこと。
キ カの事故が発生した場合、受託者は二次被害の防止、類似事案の発生回避等の観点から、委託者に可能な限り情報を提供すること。
ク (1)エの事故が発生した場合、委託者は必要に応じて受託者の名称を含む当該事故に係る必要な事項の公表を行うことができる。
ケ 委託業務の従事者に対し、個人情報及び機密情報の取扱いについて必要な教育及び研修を実施すること。なお、教育及び研修の計画及び実施状況を書面にて委託者に提出すること。
コ その他、東京都個人情報の保護に関する条例(平成2年東京都条例第113号)に従って、本委託業務に係る個人情報を適切に扱うこと。
9 委託者の施設内での作業
(1) 受託者は、委託業務の実施に当たり、委託者の施設内で作業を行う必要がある場合には、委託者に作業場所、什器、備品及び通信施設等の使用を要請することができる。
(2) 委託者は、(1)の要請に対して、使用条件を付した上で、無償により貸与又は提供することができる。
(3) 受託者は、委託者の施設内で作業を行う場合は、次の事項を遵守するものとする。ア 就業規則は、受託者の定めるものを適用すること。
イ 受託者の発行する身分証明書を携帯し、委託者の指示があった場合はこれを提示すること。ウ 受託者の社名入りネームプレートを着用すること。
エ その他、(2)の使用に関し委託者が指示すること。
10 再委託の取扱い
(1) 受託者は、この契約の履行に当たり、再委託を行う場合には、あらかじめ再委託を行う旨を書面により委託者に申し出て、委託者の承諾を得なければならない。
(2) (1)の書面には、以下の事項を記載するものとする。ア 再委託の理由
イ 再委託先の選定理由
ウ 再委託先に対する業務の管理方法 エ 再委託先の名称、代表者及び所在地オ 再委託する業務の内容
カ 再委託する業務に含まれる情報の種類(個人情報及び機密情報については特に明記すること。)
キ 再委託先のセキュリティ管理体制(個人情報、機密情報、記録媒体の保管及び管理体制については特に明記すること。)
ク 再委託先がこの特記仕様書の1及び3から9までに定める事項を遵守する旨の誓約ケ その他、委託者が指定する事項
(3) この特記仕様書の1及び3から9までに定める事項については、受託者と同様に、再委託先においても遵守するものとし、受託者は、再委託先がこれを遵守することに関して一切の責任を負う。
11 実地調査及び指示等
(1) 委託者は、必要があると認める場合には、受託者の作業場所の実地調査を含む受託者の作業状況の調査及び受託者に対する委託業務の実施に係る指示を行うことができる。
(2) 受託者は、(1)の規定に基づき、委託者から作業状況の調査の実施要求又は委託業務の実施に係る指示があった場合には、それらの要求又は指示に従わなければならない。
<令和2年10月改正>
(3) 委託者は、(1)に定める事項を再委託先に対しても実施できるものとする。
12 情報の保管及び管理等に対する義務違反
(1) 受託者又は再委託先において、この特記仕様書の3から9までに定める情報の保管及び管理等に関する義務違反又は義務を怠った場合には、委託者は、この契約を解除することができる。
(2) (1)に規定する受託者又は再委託先の義務違反又は義務を怠ったことによって委託者が損害を被った場合には、委託者は受託者に損害賠償を請求することができる。委託者が請求する損害賠償額は、委託者が実際に被った損害額とする。
13 契約不適合責任
(1) 契約目的物に、その契約の内容に適合しないものがあるときは、委託者は、受託者に対して相当の期間を定めてその修補による履行の追完又はこれに代えて若しくは併せて損害の賠償を請求することができる。
(2) (1)の規定によるその契約の内容に適合しないものの修補による履行の追完又はこれに代えて若しくは併せて行う損害賠償の請求に伴う通知は、委託者がその不適合を知った日から1年以内に、これを行わなければならない。
14 著作権等の取扱い
この契約により作成される納入物の著作権等の取扱いは、以下に定めるところによる。
(1) 受託者は、納入物のうち本委託業務の実施に伴い新たに作成したものについて、著作権法(昭和45年法律第48号)第2章第3節第2款に規定する権利(以下「著作者人格権」という。)を有する場合においてもこれを行使しないものとする。ただし、あらかじめ委託者の承諾を得た場合はこの限りでない。
(2) (1)の規定は、受託者の従業員、この特記仕様書の10の規定により再委託された場合の再委託先又はそれらの従業員に著作者人格権が帰属する場合にも適用する。
(3) (1)及び(2)の規定については、委託者が必要と判断する限りにおいて、この契約終了後も継続する。
(4) 受託者は、納入物に係る著作権法第2章第3節第3款に規定する権利(以下「著作権」という。)を、委託者に無償で譲渡するものとする。ただし、納入物に使用又は包括されている著作物で受託者がこの契約締結以前から有していたか、又は受託者が本委託業務以外の目的で作成した汎用性のある著作物に関する著作権は、受託者に留保され、その使用権、改変権を委託者に許諾するものとし、委託者は、これを本委託業務の納入物の運用その他の利用のために必要な範囲で使用、改変できるものとする。また、納入物に使用又は包括されている著作物で第三者が著作権を有する著作物の著作権は、当該第三者に留保され、かかる著作物に使用許諾条件が定められている場合は、委託者はその条件の適用につき協議に応ずるものとする。
(5) (4)は、著作権法第27条及び第28条に規定する権利の譲渡も含む。
(6) 本委託業務の実施に伴い、特許権等の産業財産権を伴う発明等が行われた場合、取扱いは別途協議の上定める。
(7) 納入物に関し、第三者から著作権、特許権、その他知的財産権の侵害の申立てを受けた場合、委託者の帰責事由による場合を除き、受託者の責任と費用をもって処理するものとする。
15 運搬責任
この契約に係る委託者からの貸与品等及び契約目的物の運搬は、別に定めるものを除くほか受託者の責任で行うものとし、その経費は受託者の負担とする。
<令和2年10月改正>
別紙2
個人情報に関する特記事項
(定義)
第1 本業務において、東京都農林水産振興財団(以下「委託者」という。)の保有する個人情報(以下、単に「個人情報」という。)とは、委託者が貸与する原票、資料、貸与品等に記載された個人情報及びこれらの情報から、受託者が作成した個人情報並びに受託者が委託者に代わって行う業務の過程で収集した個人情報のすべてをいい、受託者独自のものと明確に区分しなければならない。
(個人情報の保護に係る受託者の責務)
第2 受託者は、本業務の履行に当たって、個人情報を取り扱う場合は、「個人情報の保護に関する法律」(平成 15 年法律第 57 号)及び「東京しごと財団個人情報の保護に関する規程」(平成 4 年 12 月
18 日規程第 9 号)を遵守して取り扱う責務を負い、以下の事項を遵守し、個人情報の漏えい、滅失、き損の防止その他個人情報保護に必要な措置を講じなければならない。
(第三者への委託の禁止)
第3 受託者は、この契約書に基づく本業務の全部又は主要な部分を一括して第三者に委託してはならない。ただし、本業務全体に大きな影響を及ぼさない補助的業務についてあらかじめ委託者の書面による承諾を得た場合にはこの限りではない。
2 前項ただし書に基づき委託者に承認を得る場合は、再委託の内容、そこに含まれる情報、再委託先、個人情報管理を含めた再委託先に対する管理方法等を文書で提出しなければならない。
(秘密の保持)
第4 受託者は、第3第1項ただし書により委託者が承認した場合を除き、本業務の内容を第三者に漏らしてはならない。この契約終了後も同様とする。
2 第3第1項ただし書により委託者が承認した再委託先についても、同様の秘密保持に関する責務を課し受託者が全責任を負って管理するものとする。
(目的外使用の禁止)
第5 受託者は、この契約の履行に必要な業務の内容を他の用途に使用してはならない。また、第3第
1項ただし書により委託者が承認した部分を除き、業務の履行により知り得た内容を第三者に提供してはならない。
(複写複製の禁止)
第6 受託者は、この契約に基づく業務を処理するため、委託者から引き渡された原票、資料、貸与品等がある場合は、委託者の承諾なくして複写又は複製をしてはならない。
(個人情報の管理)
第7 受託者は、委託者から提供された原票、資料、貸与品等のうち、個人情報に係るもの及び受託者が本業務履行のために作成したそれらの記録媒体については、施錠できる保管庫又は施錠、入退管理の可能な保管室に格納するなど適正に管理しなければならない。
2 受託者は、前項の個人情報の管理に当たっては、管理責任者を定めるとともに、台帳等を設け個人情報の管理状況を記録しなければならない。
3 受託者は、委託者から要求があった場合には、前項の管理記録を委託者に提出しなければならない。
(安全対策と管理体制資料の提出)
第8 受託者は、本業務の適正かつ円滑な履行を図るとともに個人情報保護に万全を期するため、業務の実施に当たって使用する受託者の管理下の施設において、以下の事項について安全管理上必要な措置を講じなければならない。
(1) 本業務を処理する施設等の入退室管理
(2) 委託者から提供された、原票、資料、貸与品等の使用保管管理
(3) 本業務履行課程で発生した業務記録、成果物等(出力帳票及び磁気テープ、フロッピィ等の磁気媒体を含む。)の作成、使用、保管管理
(4) その他仕様等で指定したもの
2 委託者は、前項の内容を確認するため、受託者に対して、個人情報の管理を含めた受託者の安全管理体制全般に係る資料の提出を求めることができる。
(委託者の検査監督権)
第9 委託者は、必要があると認める場合には、受託者の作業現場の実地調査を含めた受託者の個人情報の管理状況に対する検査監督及び作業の実施に係る指示を行うことができる。
2 受託者は、委託者から前項に基づく検査実施要求、作業の実施に係る指示があった場合には、それらの要求、指示に従わなければならない。
(資料等の返還)
第 10 受託者は、本業務を処理するため委託者から引き渡された原票、資料及び貸与品等並びに受託者が収集した個人情報に係る資料等を、業務完了後速やかに委託者に返還しなければならない。
2 前項の返還時に、個人情報に係るものについては、第7第2項に定める個人情報の管理記録を併せて提出し報告しなければならない。
(記録媒体上の情報の消去)
第 11 受託者は、受託者の保有する記録媒体(磁気ディスク、紙等の媒体)上に保有する、本業務の処理に係る一切の情報について、本業務終了後、すべて消去しなければならない。
2 第3第1項ただし書により委託者が承認した再委託先がある場合は、再委託先の情報の消去について受託者が全責任を負うとともに、その状況を前項の報告に含め委託者に報告しなければならない。
(事故発生の通知)
第 12 受託者は、本業務の完了前に事故が生じたときには、速やかにその状況を、書面をもって委託者に通知しなければならない。
2 前項の事故が、個人情報の漏えい、滅失、き損等の場合には、漏えい、滅失、き損した個人情報の項目、内容、数量、事故の発生場所及び発生状況等を詳細に記載した書面をもって、速やかに委託者に報告し、委託者の指示に従わなければならない。
(委託者の解除権)
第 13 委託者は、受託者の個人情報の保護に問題があると認める場合はこの契約を解除することができる。
(疑義についての協議)
第 14 この取扱事項の各項目若しくは契約で規定する個人情報の管理方法等について疑義等が生じたとき又はこの取扱事項若しくは契約書に定めのない事項については、両者協議の上定める。