イ 「need to knowの原則」(「情報は知る必要がある者にのみ伝え、知る必要のない者には伝えない」という原則)の確実な履行
別紙様式第39
秘密の保全に関する特約条項
(乙の一般義務)
第1条 乙(契約業者)は、主たる契約条項に基づく秘密の保全に関しては、この特約条項に定めるところにより秘密保全の万全を期さなければならない。
2 乙は、乙の従業員、下請負を行う場合においてはその相手方(以下「下請負者」という。)その他甲により秘密の表示のある秘密に属する文書又は図画(以下「特定資料」という。)又は秘密の指定のある秘密に属する物件(以下「特定物件」という。)を取扱う場所への立ち入りが許可された者の故意又は過失により秘密が漏えいしたときであっても、その責任を免れることはできない。
(送達)
第2条 甲は、特定資料又は特定物件を乙に交付するときは、当該特定資料又は当該特定物件に秘密の表示を付すとともに、当該特定資料又は当該特定物件を乙に交付する旨を記載した書面又は電磁的記録を添えて、送達するものとする。
2 前項の場合において、当該特定資料又は当該特定物件が次の各号に掲げる情報に該当するときは、甲は、秘密の表示に加え、当該各号に定める表示を付すものとする。ただし、既にNATO CONFIDENTIAL又はNATO RESTR
ICTEDの表示が付されているものについては、改めて当該表示を付すことを要しない。
⑴ 米国秘密軍事情報(秘密軍事情報の保護のための秘密保持の措置に関する日本国政府とアメリカ合衆国政府との間の協定第1条(a)に規定する秘密軍事情報であって、アメリカ合衆国政府から受領したものをいう。第6条第2項第1号において同じ。) 米国政府
⑵ 北大西洋条約機構秘密情報(北大西洋条約機構から受領した情報又は資料であって、情報及び資料の保護に関する日本国政府と北大西洋条約機構との間の協定第1条(ⅱ)に規定する秘密の指定を受けているものをいう。第6条第2項第2号において同じ。) NATO CONFIDENTIAL又はNATO RE STRICTED
⑶ 仏国秘密情報(情報の保護に関する日本国政府とフランス共和国政府との間の協定第1条(a)に規定する秘密情報であって、フランス共和国政府から受領したものをいう。第6条第2項第3号において同じ。) 仏国政府
⑷ 豪州秘密情報(情報の保護に関する日本国政府とオーストラリア政府との間の協定第1条aに規定する秘密情報であって、オーストラリア政府から受領したものをいう。第6条第2項第4号において同じ。) 豪州政府
⑸ 英国秘密情報(情報の保護に関する日本国政府とグレートブリテン及び北アイルランド連合王国政府との間の協定第1条aに規定する秘密情報であって、グレートブリテン及び北アイルランド連合王国政府から受領したものをいう。第6条第2項第5号において同じ。) 英国政府
⑹ インド秘密軍事情報(秘密軍事情報の保護のための秘密保持の措置に関する日本国政府とインド共和国政府との間の協定第1条aに規定する秘密軍事情報であって、インド共和国政府から受領したものをいう。第6条第2項第6号において同じ。) インド政府
⑺ 伊国秘密情報(情報の保護に関する日本国政府とイタリア共和国政府との間の協定第1条aに規定する秘密情報であって、イタリア共和国政府から受領したも
のをいう。第6条第2項第7号において同じ。) 伊国政府
⑻ 韓国秘密軍事情報(秘密軍事情報の保護に関する日本国政府と大韓民国政府との間の協定第2条(a)に規定する秘密軍事情報であって、大韓民国政府から受領したものをいう。第6条第2項第8号において同じ。) 韓国政府
⑼ 独国秘密情報(情報の保護に関する日本国政府とドイツ連邦共和国政府との間の協定第1条(a)に規定する秘密情報であって、ドイツ連邦共和国政府から受領したものをいう。第6条第2項第9号において同じ。) 独国政府
⑽ xx秘密情報(防衛装備品及び技術の移転に関する日本国政府とスウェーデン王国政府との間の協定第四条に基づく防衛装備品及び技術に係る情報保護に関する日本国防衛省とスウェーデン王国を代表する国防装備庁との間の取決め第1項に規定する秘密情報であって、スウェーデン王国政府から受領したものをいう。第6条第2項第10号において同じ。) xx政府
(特定資料の保全措置)
第3条 乙は、主たる契約の説明書、仕様書、計算書、図表等のうち、特定資料を秘密の取扱いの業務に従事する者(以下「関係社員」という。)以外の者に供覧してはならない。
2 乙は、関係社員であっても、作業に必要な限度を超えて特定資料を供覧してはならない。
(特定物件の保全措置)
第4条 乙は、特定物件について、その保管中取扱いの慎重を期して、関係社員以外の者に供覧してはならない。
2 乙は、関係社員であっても、作業に必要な限度を超えて特定物件を供覧してはならない。
(特定資料及び特定物件の複製等)
第5条 乙は、主たる契約に定められている場合を除き、特定資料を複製若しくは製作し、又は特定物件の設計資料、見取図、試験成績xxの複製、製作若しくは写真撮影をする場合は、あらかじめ、甲の許可を得なければならない。
2 乙は、主たる契約又は前項の甲の許可により特定資料の複製若しくは製作又は特定物件の設計資料、見取図、試験成績xxの複製、製作若しくは写真撮影をする場合は、あらかじめ、実施の細部について甲と協議し、甲又は甲の代理者の立会のもと行わなければならない。
3 第1項に規定する特定資料及び特定物件の複製等において完成に至らなかったものは、甲の指示に従い、秘密として探知することが困難となるよう、焼却、粉砕、細断、溶解、破壊等の方法により、確実に廃棄しなければならない。
(秘密の表示等)
第6条 乙は、特定資料又は特定物件を複製又は製作したときは、これらに秘密、登録番号等の表示を付さなければならない。
2 前項の場合において、当該特定資料又は当該特定物件が次の各号に掲げる情報に該当するときは、乙は、秘密、登録番号等の表示に加え、当該各号に定める表示を付さなければならない。ただし、既にNATO CONFIDENTIAL又はN ATO RESTRICTEDの表示が付されているものについては、改めて当該表示を付すことを要しない。
⑴ 米国秘密軍事情報 米国政府
⑵ 北大西洋条約機構秘密情報 NATO CONFIDENTIAL又はNAT O RESTRICTED
⑶ 仏国秘密情報 仏国政府
⑷ 豪州秘密情報 豪州政府
⑸ 英国秘密情報 英国政府
⑹ インド秘密軍事情報 インド政府
⑺ 伊国秘密情報 伊国政府
⑻ 韓国秘密軍事情報 韓国政府
⑼ 独国秘密情報 独国政府
⑽ xx秘密情報 xx政府
(実施報告)
第7条 乙は、特定資料若しくは特定物件を接受、複製、送達、製作若しくは甲からの指示により廃棄したとき、又は第5条に規定する特定物件の設計資料、見取図、試験成績xxを複製、製作若しくは写真撮影をしたときは、速やかに、甲に対し、その旨を書面又は電磁的記録により報告しなければならない。
(立入禁止措置)
第8条 乙は、特定資料又は特定物件が取り扱われている場所について、立入りを禁止しなければならない。
2 前項の規定により立入りを禁止した場合、当該場所を管理する者は、当該場所に立ち入ってはならない旨の掲示その他立入禁止に必要な措置を講じなければならない。
3 乙は、関係社員以外の者を、みだりに第1項に規定する場所に立ち入らせ、又はその付近に必要以上に近づかせてはならない。
4 乙は、関係社員に対しても、作業に必要な限度を超えて、第1項に規定する場所に立ち入らせてはならない。
(秘密保全規則)
第9条 乙は、社(工場)内における秘密の保全を確実に行うため、この特約条項締結の日から1箇月以内(着工の時期が1箇月以内に到来するときは、着工の日まで
)に秘密の保全に関する規則を作成のうえ、甲の確認を受けるものとする。ただし
、その規則が既に作成され、甲の確認済みのものであるときは、特別の指示がない限り、届出をすれば足りる。
2 乙は、前項により甲の確認を受けた秘密の保全に関する規則を変更するときは、あらかじめ、甲に届出なければならない。
(特定資料等の返却等)
第10条 乙は、甲が交付した特定資料及び特定物件並びに第5条の規定により複製
、製作又は写真撮影をしたすべての資料を契約終了後、直ちに、甲に返却し、又は提出しなければならない。
2 乙は、契約履行中であっても、前項の資料に秘密指定の条件として示されている秘密の指定期間が満了した場合は、直ちに、当該資料を甲に返却し、又は提出しなければならない。
(検査)
第11条 乙は、秘密の取扱いのため必要な簿冊を整備し、毎月1回以上秘密の保全
状況について点検を行い、甲又は甲の代理者の検査を受けなければならない。
2 甲又は甲の代理者は、必要があると認めたときは、前項の検査を行うほか、秘密の保全の状況を検査し、又は必要な指示を乙に与えることができる。
(保管状況報告)
第12条 乙は、毎年6月末日及び12月末日現在の特定資料及び特定物件の保管の状況を甲に報告しなければならない。
(特定資料又は特定物件を取扱う場所の新設等)
第13条 乙は、特定資料又は特定物件を取り扱う場所を新設し、又は変更するときは、あらかじめ、甲の確認を受けなければならない。
(事故発生時の措置)
第14条 乙は、秘密の漏えい、紛失、破壊等の事故が発生し、又はそれらの疑い若しくはおそれがあったときは、適切な措置を講じるとともに、速やかに、その詳細を甲に報告しなければならない。
2 甲は、別に定める秘密保全の確保に関する違約金条項の規定に基づき違約金を請求することができる。
(保全教育)
第15条 乙は、関係社員に対し、年間計画を立て、保全教育を実施しなければならない。
2 乙は、保全教育を実施する場合は、その内容及び実施方法について、この特約条項締結の日から1箇月以内(着工の時期が1箇月以内に到来するときは、着工の日まで)に甲の確認を受けなければならない。ただし、その内容等が既に甲の確認済みのものであるときは、特別の指示がない限り、届出をすれば足りる。
3 乙は、前項の規定により甲の確認を受けた事項に変更がある場合には、あらかじめ、甲の確認を受けなければならない。
4 乙は、毎年、甲が指示する時期に、保全教育の実施状況を、甲に報告しなければならない。
(下請負)
第16条 乙は、特定資料の複製若しくは製作又は特定物件の製作、取付け、修理、実験、調査研究、複製等を第三者に下請負させてはならない。ただし、やむを得ず下請負を行う場合は、あらかじめ、甲に対し、下請負の相手方、契約内容、秘密保全の手段等を記した書面又は電磁的記録を添え、甲の許可を得なければならない。
2 前項の規定により下請負を行う場合において、下請負者は、防衛装備庁の契約担当官等と秘密の保全に関する規定を含む契約を結んでいる者でなければならない。
3 第1項の規定により下請負を行う場合において、物件の輸送、施設の警備その他秘密の内容を知り得ないと認められる役務を提供する者については、前項に規定する防衛装備庁の契約担当官等との契約を要しない。
4 第1項及び第2項の規定は、乙が部外の機関に品質システムの審査を委託する場合に準用する。
5 乙は、第1項に規定する場合を除き、特定資料又は特定物件を第三者に提供してはならない。
(契約の解除)
第17条 下請負者の責に帰すべき事由により、xが当該下請負者との契約を解除する場合は、甲は乙にその旨を通報するものとする。この場合において、甲は乙に対して損害賠償の責を負わないものとする。
2 乙が下請負者との契約を解除する場合は、事前に甲にその旨を通報しなければならない。
3 乙の責に帰すべき事由により、甲が乙との契約を解除する場合は、甲は乙の下請負者との契約を解除することができる。この場合において、xは当該下請負者に対して損害賠償の責を負わないものとする。
(秘密の取扱いの業務の終了に伴う措置)
第18条 事故の発生その他の事由(第10条の規定によるものを除く。)により、甲が乙による特定資料の複製若しくは製作又は特定物件の製作、取付け、修理、実験、調査研究、複製等の一部又は全部をやめさせることが適切であると認めたときは、乙は、速やかに、甲の指示に従い、特定資料又は特定物件の返却、廃棄その他の必要な措置を講じなければならない。
装備品等の調達に係る秘密保全対策ガイドライン
平成26年12月防 衛 省
目 次
1 | 目的及び考え方 ・・・・・・・・・・・・・・・・・・・・・ | 1 |
2 | 用語の定義 ・・・・・・・・・・・・・・・・・・・・・・・ | 1 |
3 | 適用範囲等 ・・・・・・・・・・・・・・・・・・・・・・・ | 2 |
4 | 秘密保全規則等の取扱い・・・・・・・・・・・・・・・・・・ | 3 |
5 | 第三者への開示の禁止・・・・・・・・・・・・・・・・・・・ | 3 |
6 | 組織のセキュリティ・・・・・・・・・・・・・・・・・・・・ | 3 |
7 | 特定資料又は特定物件の分類及び管理・・・・・・・・・・・・ | 4 |
8 | 人的セキュリティ・・・・・・・・・・・・・・・・・・・・・ | 4 |
9 | 秘密漏えい等の事故発生時の対応・・・・・・・・・・・・・・ | 5 |
10 | 物理的及び環境的セキュリティ・・・・・・・・・・・・・・ | 6 |
11 | 通信及び運用管理・・・・・・・・・・・・・・・・・・・・ | 7 |
12 | アクセス制御・・・・・・・・・・・・・・・・・・・・・・ | 8 |
13 | 検証・改善・・・・・・・・・・・・・・・・・・・・・・・ | 9 |
14 | 検査及び調査の受入れ・・・・・・・・・・・・・・・・・・ | 9 |
1 目的及び考え方
装備品等の調達に係る秘密保全対策ガイドライン(以下「本ガイドライン」という。)は、乙による秘密(秘密保全に関する訓令(平成19年防衛省訓令第3
6号)第2条第1項及び防衛装備庁における秘密保全に関する訓令(平成27年防衛装備庁訓令第26号)第2条第1項に規定する秘密、特定秘密の保護に関する法律(平成25年法律第108号)第3条第1項に規定する特定秘密又は日米相互防衛援助協定等に伴う秘密保護法(昭和29年法律第166号)第1条第3項に規定する特別防衛秘密をいう。以下同じ。)の保全又は保護(以下「秘密保全」という。)を万全ならしめるために、秘密保全特約(秘密の保全に関する特約条項(秘密保全に関する訓令別記第4号様式の特約条項をいう。以下同じ。)若しくは防衛装備庁における秘密の保全に関する特約条項(防衛装備庁における秘密保全に関する訓令別記第8号様式の特約条項をいう。以下同じ。)、特定秘密の保護に関する特約条項(特定秘密の保護に関する訓令第36条第1項に規定する審査基準及び第37条第2項に規定する特約条項について(防経装第190
74号。26.12.24)別紙の付紙第2の特約条項をいう。以下同じ。)若しくは防衛装備庁における特定秘密の保護に関する特約条項(防衛装備庁における特定秘密の保護に関する訓令第36条第1項に規定する審査基準及び第37条第2項に規定する特約条項について(装装制第54号。27.10.1)別紙の付紙第2の特約条項をいう。以下同じ。)又は特別防衛秘密の保護に関する特約条項(特別防衛秘密の保護に関する訓令(平成19年防衛省訓令第38号)別記第5号様式の特約条項をいう。以下同じ。)若しくは防衛装備庁における特別防衛秘密の保護に関する特約条項(防衛装備庁における特別防衛秘密の保護に関する訓令(平成27年防衛装備庁訓令第25号)別記第6号様式の特約条項をいう。以下同じ。)をいう。以下同じ。)を補足する共通の事項を規定するものである。
乙は、秘密保全規則等(秘密保全特約及び本ガイドラインに基づき作成し甲の確認を受けた秘密の保全に関する規則及び秘密保全実施要領をいう。以下同じ。)に従い、秘密を適正に取り扱わなければならない。
2 用語の定義
本ガイドラインにおいて用語の意義は次のとおりとする。
⑴ 情報システムとは、ハードウェア、ソフトウェア、ネットワーク又は記憶媒体で構成されるものであって、これら全体で業務処理を行うものをいう。
⑵ パソコンとは、情報システムを構成する端末装置である電子計算機、ネットワークに接続せずに独立して業務処理を行うことのできる電子計算機、計測器又は試験用器材として使用されるものであって各種のデータを保存することのできる電子計算機その他のデータ保存機能を有する電子計算機をいう。
⑶ 記憶媒体とは、フロッピーディスク、光磁気ディスク、USBメモリ、外付けハードディスクその他のパソコンに挿入又は接続して情報を保存し、当該情
報を持ち出すことのできる媒体をいう。
⑷ 携帯型記録機器とは、映像走査機(ハンディスキャナー)、写真機、録音機、ビデオカメラその他の映像記録等の機能を有する機器をいう。
⑸ 携帯型情報通信機器とは、携帯電話、携帯情報端末(PDA)その他の通話
・通信の機能を有する機器をいう。
⑹ 特定資料又は特定物件とは、次のいずれかに該当するものをいう。
ア 秘密の保全に関する特約条項第1条第2項又は防衛装備庁における秘密の保全に関する特約条項第1条第2項に規定する特定資料又は特定物件
イ 特定秘密の保護に関する特約条項第1条第2項又は防衛装備庁における特定秘密の保護に関する特約条項第1条第2項に規定する特定資料又は特定物件
ウ 特別防衛秘密の保護に関する特約条項第1条第2項又は防衛装備庁における特別防衛秘密の保護に関する特約条項第1条第2項に規定する特定資料又は特定物件
⑺ 第三者とは、法人又は自然人としての防衛省と直接契約関係にある者以外の全ての者をいい、親会社、地域統括会社、ブランド・ライセンサー、フランチャイザー、コンサルタントその他の防衛省と直接契約関係にある者に対して指導、監督、業務支援、助言、監査等を行うものを含む。
⑻ 外部委託とは、情報システムに関する保守等の業務の一部又は全部を第三者に請け負わせることをいう。
⑼ 秘密保全施設とは、特定資料又は特定物件が取り扱われ、又は保管されている施設をいう。
3 適用範囲等
⑴ 本ガイドラインは、秘密に係る情報の取扱いを対象とする。
⑵ 本ガイドラインの適用の対象となる者は、乙において秘密に係る情報に接する全ての者(秘密に係る情報に接する役員(持分会社にあっては社員を含む。以下同じ。)、管理職員等を含む。この場合において、当該者が、自らが秘密に係る情報に接しているとの認識の有無を問わない。以下「関係社員」という。)とする。
⑶ 秘密に係る情報の取扱いにおいて、パソコン、携帯型記録機器(以下「パソコン等」という。)を使用する必要のない乙に対しては、パソコン等に係る規定(第6⑹、第8⑹オ、第10⑶から⑻まで、第11及び第12)は適用しないものとする。この場合、乙は、パソコン等を取り扱わない旨を秘密保全規則等に規定し、甲の確認を受けるものとする。
⑷ 本ガイドラインに規定されている事項以外の措置が必要となった場合には、乙は、その都度、甲と協議の上必要事項を決定するとともに、当該必要事項を秘密保全規則等に加えるものとし、秘密保全規則等に新たに規定したときは、
改めて甲の確認を受けるものとする。
4 秘密保全規則等の取扱い
⑴ 乙は、本ガイドラインの内容に沿った秘密保全のための要領である秘密保全実施要領を作成し、甲の確認を受けるものとする。
⑵ 秘密保全規則等は、甲による確認前に、受注案件を処理する部門責任者又はその上司(以下「部門責任者等」という。)の承認を受けていること。
⑶ 乙は、秘密保全規則等を関係社員に確実に周知すること。
5 第三者への開示の禁止
乙は、第三者との契約において乙の保有し、又は知り得た情報を伝達、交換、共有その他提供する約定があるときは、秘密の情報をその対象から除く措置を講じなければならない。
6 組織のセキュリティ
⑴ 乙は、秘密保全を確実に実施するための実効性の高い組織を設置するものとする。
⑵ 乙は、関係社員以外の役員、管理職員等を含む従業員その他の全ての構成員について、関係社員以外の者は秘密に接してはならず、かつ、職務上の下級者等に対してその提供を要求してはならないことを定めなければならない。
⑶ 乙は、秘密の種類を混同することなく、秘密の種類ごとに秘密を管理するとともに、秘密の種類ごとに秘密の管理全般に係る総括的な責任者(特定秘密においては特定秘密の保護に関する業務を管理する者。以下「総括者」という。)を置くこと。ただし、異なる秘密の種類の総括者を同一の者が兼ねることは、妨げない。
⑷ 総括者は、秘密保全に係る関係部署及び従業員の秘密保全に対する責任分担及び役割(秘密保全に係る手続の実施を含む。)を明確に定めること。
⑸ 総括者又はその指定する者は、秘密保全規則等の内容及び履行状況を定期的に確認し、不十分な点があると認めるときは、直ちに是正のための必要な措置を講ずること。
⑹ 秘密保全施設内で使用する情報システムに関する外部委託は、原則として禁止する。ただし、保守等のため、やむを得ず外部委託をしなければならない場合には、総括者は、少なくとも次のアからエまでに掲げる措置を講ずること。ア 外部委託を受ける者との間において、秘密保全のために必要な契約を締結すること等により、秘密保全上の注意点及び要求事項を明示的に義務付ける
こと。
イ 外部委託を受ける者は、甲が、当該情報システムが設置されている秘密保全施設への立入りを事前に許可した者に限ること。
ウ 外部委託を受ける者による保守等に当たっては、当該情報システムから秘密に係る情報を消去した後に行わせることとするほか、秘密保全施設内にお いて管理されている他の秘密に接触することのないよう措置を講ずること。 エ 総括者又はその指定する者は、外部委託を受けた者が保守等の作業を行っている間、立ち会い、及び必要な監視を行うこと。この場合において、総括 者の指定する者が立ち会い、又は必要な監視を行ったときは、総括者の指定 する者は、総括者に対し速やかに外部委託を受けた者の秘密保全上の注意点
及び要求事項の遵守状況等について報告すること。
7 特定資料又は特定物件の分類及び管理
⑴ 総括者は、特定資料又は特定物件の作成、交付、供覧、保管、廃棄等の管理
(以下「作成等」という。)を確実に実施するため、秘密の種類ごと(必要な場合は、これに加え機密、極秘及び秘の区分ごと)に必要な関係簿冊(保管記録、閲覧・貸出記録、検査記録、立入記録等を記載する簿冊をいう。以下この号において同じ。)を整備し、定期的に点検すること。この場合、総括者は、記録内容の改ざんを防止するための適切な管理を行うとともに、関係簿冊を秘密保全の責任がある期間(秘密等の保全又は保護に関する違約金条項の取扱いについて(防経装第3270号。19.3.29)別添の第2条に規定する乙が秘密等を保全する責任がある期間をいう。)経過後3年を経過するまでの間保管するものとし、その後、甲の確認を受け、廃棄すること。
⑵ 総括者は、特定資料又は特定物件の作成等を確実に実施するため、関係社員が従事する作成等の作業ごとに、当該関係社員の権限及び義務を定め、並びに他の関係社員による確認、監視等の手順を定めるとともに、関係社員全員に対する教育、監督、検査等を適切かつ確実に行うこと。
⑶ 乙は、契約の履行の一環として収集、整理、作成等した一切の情報について、特定資料又は特定物件に該当しないものは、保護すべき情報(装備品等及び役務の調達における情報セキュリティの確保について(防経装第9246号。2
1.7.31)第2項第1号に規定する保護すべき情報をいう。)として取り扱うものとする。
8 人的セキュリティ
⑴ 部門責任者等は、関係社員の指定の範囲を必要最小限とするとともに、ふさわしい者を充て、秘密保全規則等を遵守させなければならない。
⑵ 乙は、前号における関係社員を指定するに当たっては、甲との契約に違反する行為を求められた場合に、これを拒む権利を実効性をもって法的に保障されない者を当該ふさわしい者と認めてはならない。
⑶ 乙は、第1号における関係社員を指定するに当たっては、関係社員名簿(関係社員の氏名、生年月日、所属する部署、役職、国籍等が記載されたものをい
う。)を作成し、秘密に係る情報を取り扱わせる前に甲に届け出て同意を得なければならない。これを変更しようとするときも、同様とする。
⑷ 特定秘密を取り扱う関係社員の指定にあっては、前号の規定にかかわらず、特定秘密の保護に関する特約条項又は防衛装備庁における特定秘密の保護に関する特約条項に基づき実施するものとする。
⑸ 部門責任者等は、次のア及びイに掲げる措置を確実に講ずること。
ア 秘密保全規則等に違反した者に対する正式な懲戒手続を備え、かつ懲戒を確実に履行すること。
イ 関係社員の秘密保全に関する責任を明確にし、在職中及び離職後における秘密保全に係る誓約を文書で行わせること。また、当該文書には、当該関係社員が秘密を漏えいした場合の当該関係社員の民事上の責任に係る規定を含めること。
⑹ 総括者は、秘密保全の重要性及び保全に関する社内規則(秘密保全規則等を含む。ウにおいて同じ。)の内容について、関係社員その他の従業員全てに対し、次のアからオまでに掲げる内容を含む教育を定期的に行い、その結果を甲に届け出ること。
ア 秘密保全の重要性、意義(秘密保全意識の涵養を含む。)
イ 「need to knowの原則」(「情報は知る必要がある者にのみ伝え、知る必要のない者には伝えない」という原則)の確実な履行
ウ 保全に関する社内規則の確実な履行
エ 隙のない勤務と私生活における慎重な行動
オ 悪意のあるソフトウェアへの感染(特に記憶媒体を介した感染)を防止するための対策及び感染した場合の対処手順
9 秘密漏えい等の事故発生時の対応
⑴ 事故発生時の報告
ア 乙は、秘密の漏えい、紛失、破壊等の事故(それらの疑い又はおそれがあるときを含む。以下同じ。)が発生したときは、適切な措置を講じるとともに、直ちに把握し得る限りの全ての内容を甲に報告し、その後速やかにその詳細を甲に報告しなければならない。
イ 乙は、アに規定する報告のほか、秘密の漏えい、紛失、破壊等の事故が発生した可能性又は将来発生する懸念について、乙の内部又は外部から指摘があったときは、直ちに当該可能性又は懸念の真偽を含む把握し得る限りの全ての背景及び事実関係の詳細を甲に報告しなければならない。
⑵ 報告要領の作成
総括者は、前号に規定する報告を迅速かつ的確に行うための報告要領を定めるとともに、当該報告をするに当たっての責任者、連絡担当者等を明らかにした連絡系統図を作成し、異動等があった場合は、速やかにこれを更新するもの
とする。
⑶ 事故発生時の対処等ア 対処体制及び手順
総括者は、秘密の漏えい、紛失、破壊等の事故発生時の対処体制、当該対処体制における責任者及び対処手順を定めるものとする。
イ 証拠の収集
乙は、秘密の漏えい、紛失、破壊等の事故が発生した場合には、これらに関する証拠を収集し、速やかに甲へ提出しなければならない。
ウ 秘密保全規則等への反映
乙は、秘密の漏えい、紛失、破壊等の事故の対処において実施した事項について、秘密保全規則等の見直しに反映し、秘密保全規則等に新たに規定するときは、甲の確認を受けるものとする。
10 物理的及び環境的セキュリティ
⑴ 総括者は、秘密保全施設への関係社員以外の者の立入りを制限するとともに、秘密保全施設は、不正な立入りができない構造にすること。
⑵ 総括者は、秘密保全施設への関係社員以外の者の立入りを制限するため、次のア及びイに掲げる入退室管理を確実に行うこと。
ア 秘密保全施設内における秘密保全を強化するために、総括者は、次の(ア)及び(イ)に掲げる内容を含む秘密保全の措置を講じること。
(ア) 関係社員その他甲により立入りを許可された者(第5項⑸イに基づき甲が秘密保全施設への立入りを許可した外部委託を受ける者を含む。)以外の者を立ち入らせない。
(イ) 総括者は、秘密保全施設の鍵の保管及び接受、秘密保全施設の警備その他秘密保全施設における秘密保全を強化するため必要な細部の手続を定める。
イ 総括者は、関係社員その他甲により立入りを許可された者が秘密保全施設に立ち入るときは、その者に所属、氏名、立入り目的その他の所要事項を記録簿に記載させるとともに、バッジ等を着用させ、立入りを管理すること。
⑶ 総括者は、パソコン等の設置に当たっては、設置場所における危険性を十分配慮して設置し、及び保護すること。
⑷ 総括者は、秘密に係る業務のために使用するパソコン等を秘密保全施設内に常設し、原則としてその持出しを禁止すること。ただし、保守等のため、やむを得ず持ち出さなければならない場合には、総括者は、パソコン等に記録されている秘密の漏えいを防止するための措置を講じること。この場合、総括者は、総括者又はその指定する者を含む複数の者が措置状況等を確認し、かつ、総括者又はその指定する者が持出しに関する記録簿に所要事項を記録した場合に限り、持ち出しを許可すること。
⑸ 総括者は、秘密に係る業務のために使用するパソコン等として、無線LANの機能が内蔵されているものの使用を禁止すること。
⑹ 総括者は、秘密保全施設内に常設するパソコン及び記憶媒体のうち固定可能なものにあってはセキュリティワイヤなどにより固定の上、これを施錠することとし、又は固定することが困難なものにあってはロッカー等に保管の上、これを施錠すること。この場合、セキュリティワイヤ又はロッカー等の鍵は、総括者又はその指定する者が、その許可なく使用されることのないよう適切に管理すること。
⑺ 総括者は、⑶の規定により設置したパソコン等以外のパソコン等及び携帯型情報通信機器の秘密保全施設への持込みを原則として禁止すること。ただし、新設等のため、やむを得ずパソコン等の持込みが必要となった場合には、総括者は、持込むパソコン等について、インストールされているソフトウェア等を確認するなど秘密の漏えいを防止するための措置を講じること。この場合、総括者は、総括者又はその指定する者が持込みに関する記録簿に所要事項を記録し、かつ、持ち込むパソコン等が私有品ではないことを確認した場合に限り、持込みを許可すること。
⑻ 秘密に係る業務に使用したパソコン等を処分又は修理するときは、次のア及びイに掲げる措置を実施すること。
ア パソコン等は物理的に破壊し、又はいかなる方法においても記録又は保存された内容を再現することができない状態にし、秘密の漏えいを防止すること。
イ処分又は修理に当たっては、総括者又はその指定する者が必ず監督し、その実施状況を記録すること。この場合、総括者の指定する者が当該監督を行ったときは、総括者に速やかに当該実施状況を報告すること。
11 通信及び運用管理
⑴ 総括者は、秘密保全施設内で使用するパソコン等に関する操作手順を文書化し、関係社員が常時参照できるようにすること。
⑵ 総括者は、悪意のあるソフトウェアから秘密を保護するため、関係社員に、それぞれのパソコン等に対応する適切な最新のウィルス対策ソフトウェア等を用いて当該ソフトウェアを検出させ、及び検出時にその事実を適切に認知させるための対策を講じるとともに、当該ソフトウェアが認知された場合は、削除する等の措置を講ずること。特に、記憶媒体については、少なくとも週1回以上当該措置を講ずること。ただし、1週間以上使用されていない記憶媒体については、使用する直前に当該措置を講ずるものとする。
⑶ 総括者は、業務に必要なソフトウェアの使用状況を確認するとともに、必要のないソフトウェアのインストールをさせないこと。
⑷ 情報システムのネットワークは、秘密保全施設内において有線により配線接
続した場合に限り構築できるものとし、秘密保全施設外への接続は、いかなる場合も禁止すること。
⑸ 総括者は、秘密の保全に関する特約条項第5条第1項若しくは防衛装備庁における秘密の保全に関する特約条項第5条第1項、特定秘密の保護に関する特約条項第9条第3項若しくは防衛装備庁における特定秘密の保護に関する特約条項第9条第3項又は特別防衛秘密の保護に関する特約条項第5条第1項若しくは防衛装備庁における特別防衛秘密の保護に関する特約条項第5条第1項に規定する特定資料、特定図面等及び特定物件の複製等について、電子情報としてこれを行う場合には、記憶媒体以外への保存を禁止すること。
⑹ 総括者は、次のアからエまでに掲げる内容を含む記憶媒体の取扱いに関する管理手順を作成し、関係社員に周知すること。
ア 記憶媒体を使用するときは、総括者又はその指定する者がその都度許可を与えること。
イ 記憶媒体の貸出・返却に関する記録を残すこと。 ウ 記憶媒体に情報を記録するときは、秘匿すること。エ 記憶媒体の内容の複製及び破棄手順に関すること。
12 アクセス制御
⑴ 総括者は、秘密保全施設内において情報システムを使用する場合には、関係社員が取り扱うことができる秘密の種類、関係社員の役職等に応じた情報システムの利用可能機能等を規定することにより、アクセス制御を行うこと。
⑵ 総括者は、関係社員による情報システムの利用可能機能へのアクセスを許可し、適切なアクセス権を付与するため、利用者としての登録及び登録の削除を行うこと。また、アクセスに対する有効な管理を維持するため、人事異動等の際においてはアクセス権の見直しを実施するとともに、そのほか定期的な見直しを実施すること。
⑶ 総括者は、情報システムの操作性を改善するためのソフトウェアの使用を制限するとともに、情報システムの使用状況の記録等に必要なソフトウェア又はデータの誤用又は悪用を防止するため、総括者が⑵の規定により許可する関係社員以外の者がアクセスすることのないようアクセス権を厳格に管理すること。
⑷ 総括者は、情報システムの使用状況の記録の編集など、操作に関する権利の割当てを制限し、関係社員のアクセス権を厳格に管理すること。
⑸ 総括者は、責任の所在を明確にするために、情報システムを使用するすべての者に、各個人ごとの利用者ID(以下単に「利用者ID」という。)を保有させるとともに、パスワード設定をさせること。パスワード設定においては、次のアからエまでに掲げる内容を含む必要な措置を講じること。
ア 利用者にパスワードの変更手順を理解させる。
イ 利用者にパスワードの変更を実施させる。
ウ パスワードは、推測されにくいものとし、定期的に変更する。
エ 利用者が画面上の表示を確認しつつ設定することのできる機能を有する。
⑹ 総括者は、情報システムの不正使用や不適切な運用のチェックなど、問題が発生したときの調査及びアクセス制御の監視を補うために、以下の事項に留意し、情報システムの使用状況を記録し、保存すること。
ア 情報システムの使用状況の記録は、 定期的に、 及び必要に応じて点検すること。
イ 少なくとも、利用者ID、ログオン及びログオフの日時、アクセス者の端末ID、アクセスされたファイル並びに使用されたプログラム、情報システム及びデータへのアクセスの成否を記録すること。
13 検証・改善
総括者は、秘密保全に万全を期すため、秘密保全に係る社内の文書類、組織、秘密の管理状況、教育内容等の秘密保全を確保するための各種措置等について不断の検証を行い、状況に応じて必要な改善を行うこと。
14 検査及び調査の受入れ
⑴ 乙は、秘密の取扱いのため必要な簿冊を整備し、毎月1回以上秘密の保全状況について点検を行い、甲又は甲の代理者の検査を受けなければならない。
⑵ 甲又は甲の代理者は、必要があると認めたときは、前号の検査を行うほか、秘密の保全の状況を検査し、又は必要な指示を乙に与えることができる。
⑶ 乙は、契約履行後においても、秘密保全上必要があると甲が認めた場合は、甲又は甲の代理者の求めに応じ、甲又は甲の代理者が実施する検査及び調査を受け入れ、必要な協力をしなければならない。