1. 品名及び数量 B0プロッター 1式
賃貸借契約書(案)
賃貸借契約書(二者間契約方式)
独立行政法人エネルギー・金属鉱物資源機構(以下「甲」という。)と●●●(以下「乙」という。)は、下記の物件(以下「物件」という。)の賃貸借・設定作業に関し、以下のとおり契約(以下「本契約」という。)を締結する。
記
1. 品名及び数量 B0プロッター 1式
売り主:●●●●●●●●●●物件明細は仕様書のとおり
2.引 渡 期 限 令和 6年10月31日
3.賃貸借期間 自 令和 6年11月 1日
至 令和11年10月31日
4.賃 貸 借 料 総額 金 円
(うち、消費税及び地方消費税額 金 | 円) | |
5.一月の支払額 | 月額 金 円 (うち、消費税及び地方消費税額 金 | 円) |
※上記の消費税及び地方消費税は、借受日(リース開始日)時点における消費税法(昭和63年法律第1
08号)第28条第1項及び第29条並びに地方税法(昭和25年法律第226号)第72条の82及び第72条の83の規定に基づき算出した額とする。
6.契約保証金 全額免除
7.納品場所 機構の指定する場所(機器仕様書に記載)
(契約の趣旨)
第1条 乙は、本契約に定める条件、別紙及び仕様書に従い、物件を甲の使用に供するものとする。
(賃貸借料)
第2条 物件の賃貸借料は、頭書の金額とする。ただし、賃貸借期間に1か月未満の端数を生じたときは、日割計算によって算出するものとする。
(賃貸借期間)
第3条 賃貸借期間は、頭書の期間とする。
(物件の引渡し)
第4条 物件は、頭書記載の売り主から直接、甲の指定する場所に、正常に使用できる状態に調整をした上で搬入されるものとし、搬入及び初期設定等の作業が完了次第、甲の検査を受けるものとする。甲の検収完了をもって引渡完了とする。
2 乙は、物件に乙の所有物である旨の表示をすることができるものとする。
(賃貸借料の請求及び支払い)
第5条 乙は、当該月の賃貸借料を当該月の10日までに請求書により甲に請求し、甲は、当該月の末日までにこれを支払うものとする。
2 甲は、自己の責に帰すべき事由により、前項に規定する期日までに支払わなかったときは、遅延日数に応じ、請求金額に遅延日数を乗じ365で除した額に、政府契約の支払遅延防止等に関する法律(昭和24年法律第256号)第8条第1項の規定に基づき、財務大臣が銀行の一般貸付利率を勘案して決定する率を乗じて得た額の遅延利息を加算して、乙に支払うものとする。
(動産総合保険)
第6条 乙は、賃貸借契約の期間中、自己の費用で物件に動産総合保険をxxするものとする。
(物件の設置場所)
第7条 物件の設置場所は原則、頭書記載の箇所とする。
(物件の管理責任及び保守)
第8条 甲は、善良なる管理者の注意をもって物件を管理し、本来の用法にしたがって使用するものとする。
2 前項の前提において、賃貸借期間中に発生した故障、動作不良に対して、乙は売り主とともに物件の保守の責任を負うものとし、甲の請求により修理、調整等を実施し、物件を正常な状態に回復させなければならない。
3 甲は、物件の保守契約を必要に応じ別途、締結するものとする。
(物件の滅失・毀損)
第9条 賃貸借期間中、盗難、火災、風水害、地震その他異常に巨大な天災地変等甲及び乙のいずれの責任にもよらない事由により物件が滅失、毀損した場合の危険負担は甲が負うものとし、甲は乙の算定した契約終了弁済金を乙に支払うものとする。
2 前項の契約終了弁済金は、頭書記載の賃貸借料総額から、既に乙に支払済みの賃貸借料を控除した残存賃貸借料相当額とする。
3 第1項の支払いが甲から乙になされたとき、この契約は終了する。
(契約不適合責任)
第10条 物件の規格、仕様、品質、性能に関して本契約の内容に適合しないときは、甲は売り主に対し直接請求を行い、売り主との間で解決するものとする。又、甲が乙に対し書面で請求し、乙が譲渡可能であると認めてこれを承諾するときは、乙の売り主に対する請求権を甲に譲渡する手続を取るなどにより、乙は、甲の売り主への直接請求に協力するものとする。
2 甲は、前項に基づいて、売り主に対して権利を行使する場合においても、賃貸借料の支払いその他本契約に基づく債務の弁済を免れることはできないものとする。
(損害賠償)
第11条 甲は、自己の責に帰すべき事由によって、物件に損害を与えたときは、乙と協議の上、甲の責任においてこれを回復、又は頭書記載の賃貸借料総額から、第9条第2項の契約終了弁済金の定めを準用して算出された額を上限とした損害賠償金を支払わなければならない。ただし、第6条の動産総合保険が適用され、乙に対し保険金が支払われた場合、甲は当該保険金の額を限度として損害賠償金の支払いを免れるものとする。
(物件の追加、変更)
第12条 甲が物件について追加等(改造、仕様の変更も含む)の原状変更を行うときは、あらかじめ乙の承諾を得た上で行うものとする。
2 前項により賃貸借料その他の契約書記載の事項が変わるときは、必要に応じ契約の変更等を行うものとする。
(物件の移転)
第13条 甲が物件を頭書記載の設置場所から移転する必要が生じたときは、あらかじめ乙に通知するものとする。この場合、移転に要する費用は甲の負担とする。
2 甲の諸事情により物件が頭書記載の設置場所から更に複数に分かれる場合、必要に応じ然るべき変更契約を乙と結ぶものとする。
(解約の申し出)
第14条 本契約は、原則として契約xxの解約はできないものとする。ただし、甲乙相互にやむをえざる事情が発生したと認められたとき、又は、第20条によるときは、甲乙協議の上解約することができる。
2 前項ただし書きによる解約申し出は、解約予定3か月前とする。
3 本契約を契約期間中に解約するときは、甲は乙所定の解約金(規定損失金)を乙に支払う。
4 前項の規定損失金は、第9条第2項の契約終了弁済金の定めを準用して算出された額とする。
(物件の返還)
第15条 本契約の終了後、甲は物件を受け渡し時の原状に復し、ハードディスク等に記憶された情報を甲の責任と負担で消去した後、乙に引き渡すものとする。ただし、通常の使用により生じた物件の損害等は、これを除くものとする。
2 乙は本契約終了後、すみやかに物件を引き取るものとし、当該引取費用は甲の負担とする。
(情報セキュリティ関連事項の確保体制および遵守状況の報告)
第16条 乙は、本契約を実施するにあたり情報セキュリティの確保が必要となる作業の実施が予定される又は発生した場合は、契約締結後又は当該作業発生時に速やかに、別紙2の「情報セキュリティに関する事項」の遵守の方法及び甲が提出を求める情報、書類等(以下「情報セキュリティを確保するための体制等」という。)について、甲の担当職員に提示し了承を得た上で確認書類として提出しなければならない。ただし、
別途契約締結前に、情報セキュリティを確保するための体制等について甲に提示し了承を得た上で提出したときは、この限りでない。また、乙は、本契約期間内に履行する内容のうち、情報セキュリティの確保が必要となる業務が、複数回発生又は一定期間にわたり継続する場合は、定期的に情報セキュリティを確保するための体制等及び対策に係る実施状況(「情報セキュリティに関する事項の遵守の方法の実施状況報告書」(様式第1) )を紙媒体又は電子媒体により報告すること。加えて、これらに変更が生じる場合は、事前に担当職員へ案を提出し、同意を得ること。なお、報告の内容について、担当職員と受注者が協議し不十分であると認めた場合、受注者は、速やかに担当職員と協議し対策を講ずること。
2 乙は、本業務全体における情報セキュリティの確保のため、「独立行政法人エネルギー・金属鉱物資源機構情報セキュリティ管理規程(2007年(総企)規程第26号)」、「独立行政法人エネルギー・金属鉱物資源機構情報セキュリティ対策基準(2021年(総務)要領第76号)」及び「政府機関等のサイバーセキュリティ対策のための統一基準群(令和5年度版)」(以下「規程等」と総称する。)を遵守すること。また、契約締結時に規程等が改正されている場合は、改正後の規程等を遵守すること。
(個人情報の取扱い)
第17条 乙は、甲から預託された個人情報(個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)第2条第1項及び第2項に規定する個人情報をいう。)及び行政機関等匿名加工情報等(個人情報保護法第121条に規定する行政機関等匿名加工情報等をいう。)(以下「個人情報等」という。)については、善良なる管理者の注意をもって取り扱わなければならない。
2 乙は、個人情報等を取り扱わせる業務を第三者(乙の子会社(会社法(平成17年法律第86号)第2条第1項第3号に規定する子会社をいう。)である場合も含む。以下この条において同じ。)に委任し、又は請負わせる場合には、事前に甲の承認を得るとともに、本条に定める、甲が乙に求めた個人情報等の適切な管理のために必要な措置と同様の措置を当該第三者も講ずるように求め、かつ当該第三者が約定を遵守するよう書面で義務づけなければならない。承認を得た第三者の変更及び第三者が再委任又は再下請け等を行う場合についても同様とする(以下、承認を得た再受任者及び再下請人等を単に「第三者」という。)。
3 乙は、前項の承認を受けようとする場合には、書面をもって甲に提出しなければならない。甲は、承認をする場合には、条件を付すことができる。
4 乙は、次の各号に掲げる行為をしてはならない。ただし、事前に甲の承認を得た場合は、この限りでない。
(1)甲から預託された個人情報等を第三者(前項記載の書面の合意をした第三者を除く。)に提供し、又はその内容を知らせること。
(2)甲から預託された個人情報等について、甲が示した利用目的(特に明示がない場合は本契約の目的)の範囲を超えて使用し、複製し、又は改変すること。
(3)本契約に関して自ら収集し、又は作成した個人情報について、甲が示した利用目的(特に明示がない場合は本契約の目的)の範囲を超えて使用すること。
5 乙は、本契約において個人情報等を取り扱う場合には、責任者及び業務従事者の管理体制及び実施体制、個人情報等の管理の状況についての検査に関する事項等の必要な事項について定めた書面を甲に提出するとともに、個人情報の漏えい、滅失、及び毀損の防止その他の個人情報等の適切な管理(第三者による管理を含む。)のために必要な措置を講じなければならない。また、乙は、契約内容の遵守状況及び下請負先
(再委託先を含む。)における個人情報等の取扱い状況について、甲に定期的に報告しなければならない。
6 甲は、必要があると認めるときは、所属の職員に、乙(第三者を含む。)の事務所、事業場等において、個人情報等の管理が適切に行われているか等について調査をさせ、乙に対し必要な指示をさせることができる。乙は、甲からその調査及び指示を受けた場合には、甲に協力するとともにその指示に従わなければな
らない。
7 乙は、本契約の完了又は契約解除等により、甲が預託した個人情報等が含まれる紙媒体及び電子媒体(これらの複製を含む。)が不要になった場合には、速やかに甲に返却又は破砕、溶解及び焼却等の方法により個人情報等を復元及び判読不可能な状態に消去又は廃棄し、書面をもって甲に報告しなければならない。ただし、甲が別段の指示をしたときは、乙はその指示に従うものとする。
8 乙は、甲から預託された個人情報等の漏えい、滅失、毀損、不正使用、その他本条に違反する事実を認識した場合には、直ちに自己の費用及び責任において被害の拡大防止等のため必要な措置を講ずるとともに、甲に当該事実が発生した旨、並びに被害状況、復旧等の措置及び本人(個人情報等により識別されることとなる特定の個人) への対応等について直ちに報告しなければならない。また、甲から更なる報告又は何らかの措置・対応の指示を受けた場合には、乙は当該指示に従うものとする。
9 乙は、甲から預託された個人情報等以外に、本契約に関して自ら収集又は作成した個人情報等については、個人情報保護法に基づいて取り扱うこととし、甲が別段の指示をしたときは当該指示に従うものとする。
(1)乙は、乙、又は第三者の責めに帰すべき事由により、本契約に関連する個人情報等(甲から預託された個人情報等を含む。)の漏えい、滅失、毀損、不正使用、その他本条に係る違反等があった場合は、これにより生じた一切の損害について、賠償の責めを負う。なお、本項その他損害賠償義務を定める本契約の規定は、本契約のその他の違反行為(第三者による違反行為を含む。)に関する乙の損害賠償義務を排除又は制限するものではない。
(2)本条の規定は、本契約又は請負業務に関連して乙、又は第三者が甲から預託され、又は自ら取得した個人情報等について、本契約を完了し、又は解除その他の理由により本契約が終了した後であっても、なおその効力を有する。
(立ち入り権及び秘密保持)
第18条 物件の納入管理のため乙は、甲の承諾を得て乙の社員又は乙の指定する者を物件の設置場所に立ち入らせることができる。この場合、その者は必ず身分証明書を携行しなければならない。
2 前項の立ち入りに際して得られた甲の業務上の秘密事項は、これを第三者に漏洩してはならない。
3 乙は、本契約若しくはこれに付随して知り得た情報は秘密として取り扱い、本契約の契約期間並びに契約期間終了後も、第三者に開示、漏洩してはならない。
(権利義務の譲渡等の禁止)
第19x xは、この契約によって生ずる権利又は義務を、書面による甲の承諾を得た場合を除き、第三者に譲渡し、又は承継させてはならない。ただし、信用保証協会及び中小企業信用保険法施行令(昭和25年政令第3
50号)第1条の3に規定する金融機関に対して売掛債権を譲渡する場合にあたっては、この限りではない。
(契約の違反)
第20x xxx乙は、相手方がこの契約の義務を履行しないときは、相手方に勧告を行い、なお履行の誠意が認められないときは、文書により契約を解除することができる。
(契約の公表)
第21条 乙は、本契約の名称、契約金額並びに乙の氏名及び住所等が公表されることに同意する。
(協議)
第22条 本契約に定めのない事項又は疑義の生じた事項については、甲乙協議の上決定する。
(紛争の処理)
第23条 前条の協議によっても、なお紛争を円満に解決できない場合には、東京地方裁判所を第xxの専属的管轄裁判所として紛争を処理するものとする。
特記事項
【特記事項1】
(談合等の不正行為による契約の解除)
第1条 甲は、次の各号のいずれかに該当したときは、契約を解除することができる。
(1)本契約に関し、乙が私的独占の禁止及びxx取引の確保に関する法律(昭和22年法律第54号。以下
「独占禁止法」という。)第3条又は第8条第1号の規定に違反する行為を行ったことにより、次のイからハまでのいずれかに該当することとなったとき
イ 独占禁止法第61条第1項に規定する排除措置命令が確定したとき ロ 独占禁止法第62条第1項に規定する課徴金納付命令が確定したとき
ハ 独占禁止法第7条の4第7項又は第7条の7第3項の課徴金納付命令を命じない旨の通知があったとき
(2)本契約に関し、乙の独占禁止法第89条第1項又は第95条第1項第1号に規定する刑が確定したとき
(3)本契約に関し、乙(法人の場合にあっては、その役員又は使用人を含む。)の刑法(明治40年法律第4
5号)第96条の6又は第198条に規定する刑が確定したとき
(談合等の不正行為に係る通知文書の写しの提出)
第2条 乙は、前条第1号イからハまでのいずれかに該当することとなったときは、速やかに、次の各号の文書のいずれかの写しを甲に提出しなければならない。
(1)独占禁止法第61条第1項の排除措置命令書
(2)独占禁止法第62条第1項の課徴金納付命令書
(3)独占禁止法第7条の4第7項又は第7条の7第3項の課徴金納付命令を命じない旨の通知文書
(談合等の不正行為による損害の賠償)
第3条 乙が、本契約に関し、第1条の各号のいずれかに該当したときは、甲が本契約を解除するか否かにかかわらず、かつ、甲が損害の発生及び損害額を立証することを要することなく、乙は、契約金額(本契約締結後、契約金額の変更があった場合には、変更後の契約金額)の100分の10に相当する金額(その金額に100円未満の端数があるときは、その端数を切り捨てた金額)を違約金として甲の指定する期間内に支払わなければならない。
2 前項の規定は、本契約による履行が完了した後も適用するものとする。
3 第1項に規定する場合において、乙が事業者団体であり、既に解散しているときは、甲は、乙の代表者であった者又は構成員であった者に違約金の支払を請求することができる。この場合において、乙の代表者であった者及び構成員であった者は、連帯して支払わなければならない。
4 第1項の規定は、甲に生じた実際の損害額が同項に規定する違約金の金額を超える場合において、甲がその超える分について乙に対し損害賠償金を請求することを妨げるものではない。
5 乙が、第1項の違約金及び前項の損害賠償金を甲が指定する期間内に支払わないときは、乙は、当該期間を経過した日から支払をする日までの日数に応じ、年3パーセントの割合で計算した金額の遅延利息を甲に支払わなければならない。
【特記事項2】
(暴力団関与の属性要件に基づく契約解除)
第4条 甲は、乙が次の各号の一に該当すると認められるときは、何らの催告を要せず、本契約を解除することができる。
(1)法人等(個人、法人又は団体をいう。)が、暴力団(暴力団員による不当な行為の防止等に関する法律(平成3年法律第77号)第2条第2号に規定する暴力団をいう。以下同じ。)であるとき又は法人等の役員等
(個人である場合はその者、法人である場合は役員又は支店若しくは営業所(常時契約を締結する事務所をいう。)の代表者、団体である場合は代表者、理事等、その他経営に実質的に関与している者をいう。以下同じ。)が、暴力団員(同法第2条第6号に規定する暴力団員をいう。以下同じ。)であるとき
(2)役員等が、自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもって、暴力団又は暴力団員を利用するなどしているとき
(3)役員等が、暴力団又は暴力団員に対して、資金等を供給し、又は便宜を供与するなど直接的あるいは積極的に暴力団の維持、運営に協力し、若しくは関与しているとき
(4)役員等が、暴力団又は暴力団員であることを知りながらこれと社会的に非難されるべき関係を有しているとき
(下請負契約等に関する契約解除)
第5条 乙は、本契約に関する下請負人等(下請負人(下請が数次にわたるときは、すべての下請負人を含む。)及び再受任者(再委任以降のすべての受任者を含む。)並びに自己、下請負人又は再受任者が当該契約に関連して第三者と何らかの個別契約を締結する場合の当該第三者をいう。以下同じ。)が解除対象者(前条に規定する要件に該当する者をいう。以下同じ。)であることが判明したときは、直ちに当該下請負人等との契約を解除し、又は下請負人等に対し解除対象者との契約を解除させるようにしなければならない。
2 甲は、乙が下請負人等が解除対象者であることを知りながら契約し、若しくは下請負人等の契約を承認したとき、又は正当な理由がないのに前項の規定に反して当該下請負人等との契約を解除せず、若しくは下請負人等に対し契約を解除させるための措置を講じないときは、本契約を解除することができる。
(損害賠償)
第6条 甲は、第4条又は前条第2項の規定により本契約を解除した場合は、これにより乙に生じた損害について、何ら賠償ないし補償することは要しない。
2 乙は、甲が第4条又は前条第2項の規定により本契約を解除した場合において、甲に損害が生じたときは、その損害を賠償するものとする。
3 乙が、本契約に関し、第4条又は前条第2項の規定に該当したときは、甲が本契約を解除するか否かにかかわらず、かつ、甲が損害の発生及び損害額を立証することを要することなく、乙は、契約金額(本契約締結後、契約金額の変更があった場合には、変更後の契約金額)の100分の10に相当する金額(その金額に100円未満の端数があるときは、その端数を切り捨てた金額)を違約金として甲の指定する期間内に支払わなければならない。
4 前項の規定は、本契約による履行が完了した後も適用するものとする。
5 第2項に規定する場合において、乙が事業者団体であり、既に解散しているときは、甲は、乙の代表者であった者又は構成員であった者に違約金の支払を請求することができる。この場合において、乙の代表者であった者及び構成員であった者は、連帯して支払わなければならない。
6 第3項の規定は、甲に生じた実際の損害額が同項に規定する違約金の金額を超える場合において、甲がその超える分について乙に対し損害賠償金を請求することを妨げるものではない。
7 乙が、第3項の違約金及び前項の損害賠償金を甲が指定する期間内に支払わないときは、乙は、当該期間を経過した日から支払をする日までの日数に応じ、年3パーセントの割合で計算した金額の遅延利息を甲に支払わなければならない。
(不当介入に関する通報・報告)
第7条 乙は、本契約に関して、自ら又は下請負人等が、暴力団、暴力団員、暴力団関係者等の反社会的勢力から不当要求又は業務妨害等の不当介入(以下「不当介入」という。)を受けた場合は、これを拒否し、又は下請負人等をして、これを拒否させるとともに、速やかに不当介入の事実を甲に報告するとともに警察への通報及び捜査上必要な協力を行うものとする。
以上の契約の証として、本書2通を作成し、甲乙が記名押印の上各自1通を保有するものとする。令和●年●●月●●日
甲 xx県xx市美浜区xxx丁目2番2号
独立行政法人エネルギー・金属鉱物資源機構契約担当役
エネルギー事業本部副本部長 山本 晃司
乙
(賃貸借契約書・様式第1)
独立行政法人エネルギー・金属鉱物資源機構総務部情報セキュリティ責任者 殿
記 号 番 号
令和 年 月 日
住 所
名 称
代 表 者 氏 名
情報セキュリティに関する事項の遵守の方法の実施状況報告書
契約書第16条第1項の規定に基づき、下記のとおり報告します。
記
1.契約件名等
契約締結日 | 年 月 日 |
契約件名 |
2.報告事項
項目 | 確認事項 | 実施状況 |
情報セキュリティに関する事項 2) | 本業務全体における情報セキュリティの確保のため、「独立行政法人エネルギー・金属鉱物資源機構情報セキュリティ管理規程(2007年(総企)規程第26号)」、「独立行政法人エネルギー・金属鉱物資源機構情報セキュリティ対策基準 (2021年(総務)要領第76号)」及び「政府機関等のサイバーセキュリティ対策のための統一基準群(令和5年度版)」 (以下「規程等」と総称する。)に基づく、情報セキュリティ 対策を講じる。 | |
情報セキュリティに関する事項 3) | 経済産業省又は内閣官房内閣サイバーセキュリティセンターが必要に応じて実施する情報セキュリティ監査、マネジメント監査又はペネトレーションテストを受け入れるとと もに、指摘事項への対応を行う。 | |
情報セキュリティに関する事項 4) | 本業務に従事する者を限定する。また、受注者の資本関係・役員の情報、本業務の実施場所、本業務の全ての従事者の所属、専門性(情報セキュリティに係る資格・研修実績等)、実績及び国籍に関する情報を担当職員に提示する。なお、本業務の実施期間中に従事者を変更等する場合には、事前 にこれらの情報を担当職員に再提示する。 | |
情報セキュリティに関する事項 5) | 本業務の一部を再委託する場合には、再委託することにより生ずる脅威に対して情報セキュリティに関する事項1)から17)までの規定に基づく情報セキュリティ対策が十 分に確保される措置を講じる。 | |
情報セキュリティに関する事項 6) | 本業務遂行中に得た本業務に関する情報(紙媒体及び電子媒体であってこれらの複製を含む。)の取扱いには十分注意 を払い、独立行政法人エネルギー・金属鉱物資源機構(以下 |
「機構」という。)に複製が可能な電子計算機等の機器を持ち込んで作業を行う必要がある場合には、事前に機構の担当職員(以下「担当職員」という。)の許可を得る。 なお、この場合であっても、担当職員の許可なく複製しない。また、作業終了後には、持ち込んだ機器から情報が消去 されていることを担当職員が確認できる方法で証明する。 | ||
情報セキュリティに関する事項 7) | 本業務遂行中に得た本業務に関する情報(紙媒体及び電子媒体)について、担当職員の許可なく機構外で複製しない。また、作業終了後には、複製した情報が電子計算機等から消去されていることを担当職員が確認できる方法で証明す る。 | |
情報セキュリティに関する事項 8) | 本業務を終了又は契約解除する場合には、受注者において本業務遂行中に得た本業務に関する情報(紙媒体及び電子媒体であってこれらの複製を含む。)を速やかに担当職員に返却し、又は廃棄し、若しくは消去する。その際、担当職員 の確認を必ず受ける。 | |
情報セキュリティに関する事項 9) | 契約期間中及び契約終了後においても、本業務に関して知り得た機構の業務上の内容について、他に漏らし、又は他の目的に利用してはならない。 なお、機構の業務上の内容を外部に提供する必要が生じた場合は、提供先で当該情報が適切に取り扱われないおそれがあることに留意し、提供の可否を十分に検討した上で、担当職員の承認を得るとともに、取扱上の注意点を示して 提供する。 | |
情報セキュリティに関する事項 10) | 本業務に使用するソフトウェア、電子計算機等に係る脆弱性対策、不正プログラム対策、サービス不能攻撃対策、標的型攻撃対策、アクセス制御対策、情報漏えい対策を講じるとともに、契約期間中にこれらの対策に関する情報セキュ リティ教育を本業務にかかわる従事者に対し実施する。 | |
情報セキュリティに関する事項 11) | 本業務の遂行において、情報セキュリティが侵害され又はそのおそれがある場合の対処方法について担当職員に提示する。また、情報セキュリティが侵害され又はそのおそれがあることを認知した場合には、速やかに担当職員に報告を行い、原因究明及びその対処等について担当職員と協議 の上、その指示に従う。 | |
情報セキュリティに関する事項 12) | 本業務を実施するに当たり、民間事業者等が不特定多数の利用者に対して提供する、定型約款や利用規約等への同意のみで利用可能となるクラウドサービスを利用する場合には、これらのサービスで要機密情報を取り扱ってはならず、 「情報セキュリティに関する事項2)」に定める不正アクセ ス対策を実施するなど規程等を遵守する。 | |
情報セキュリティに関する事項 13) | 本業務を実施するに当たり、利用において要機密情報を取り扱うものとしてクラウドサービスを調達する際は、「政府情報システムのためのセキュリティ評価制度(ISMAP)」の ISMAPクラウドサービスリスト又はISMAP-LIUクラウドサー ビスリストから調達することを原則とすること。 | |
情報セキュリティに関する事項 14) | 情報セキュリティに関する事項12)及び13)におけるクラウドサービスの利用の際は、提供条件等から、利用に当たってのリスクの評価を行い、リスクが許容できることを確認して担当職員の利用承認を得るとともに、取扱上の 注意点を示して提供し、その利用状況を管理すること。 | |
情報セキュリティに関する事項 15) | 情報システム(ウェブサイトを含む。以下同じ。)の設計、構築、運用、保守、廃棄等(電子計算機、電子計算機が組み込まれた機器、通信回線装置、電磁的記録媒体等のハードウェア又はソフトウェア(以下「機器等」という。)の調達を含む場合には、その製造工程を含む。)を行う場合には、以下を実施する。 (1)各工程において、機構の意図しない変更や機密情報 の窃取等が行われないことを保証する管理が、一貫 |
した品質保証体制の下でなされていること。また、具体的な管理手順や品質保証体制を証明する書類等を提出すること。 (2)情報システムや機器等に意図しない変更が行われる等の不正が見つかったときに、追跡調査や立入検査等、機構と連携して原因を調査し、排除するための手順及び体制を整備していること。これらが妥当であることを証明するため書類を提出すること。 (3)不正プログラム対策ソフトウェア等の導入に当たり、既知及び未知の不正プログラムの検知及びその実行の防止の機能を有するソフトウェアを導入すること。また、以下を含む対策を行うこと。 ①不正プログラム対策ソフトウェア等が常に最新の状態となるように構成すること。 ②不正プログラム対策ソフトウェア等に定義ファイルを用いる場合、その定義ファイルが常に最新の状態となるように構成すること。 ③不正プログラム対策ソフトウェア等の設定変更権限については、システム管理者が一括管理し、システム利用者に当該権限を付与しないこと。 ④不正プログラム対策ソフトウェア等を定期的に全てのファイルを対象としたスキャンを実施するように構成すること。 ⑤EDRソフトウェア等を利用し、端末やサーバ装置 (エンドポイント)の活動を監視し、感染したおそれのある装置を早期にネットワークから切り離す機能の導入を検討すること。 (4)情報セキュリティ対策による情報システムの変更内容について、担当職員に速やかに報告すること。また、情報システムが構築段階から運用保守段階へ移行する際等、他の事業者へ引き継がれる項目に、情報セキュリティ対策に必要な内容を含めること。 (5)サポート期限が切れた又は本業務の期間中にサポート期限が切れる予定がある等、サポートが受けられないソフトウェアの利用を行わないこと、及びその利用を前提としないこと。また、ソフトウェアの名称・バージョン・導入箇所等を管理台帳で管理することに加え、サポート期限に関するものを含むソフトウェアの脆弱性情報を収集し、担当職員に情報提供するとともに、情報を入手した場合には脆弱性対策計画を作成し、担当職員の確認を得た上で対策を講ずること。 (6)受注者自身(再委託先を含む。)が管理責任を有するサーバ等を利用する場合には、OS、ミドルウェア等のソフトウェアの脆弱性情報を収集し、セキュリティ修正プログラムが提供されている場合には業務影響に配慮しつつ、速やかに適用を実施すること。 (7)ウェブサイト又は電子メール送受信機能を含むシステム等の機構外向けシステムを構築又は運用する場合には、政府機関のドメインであることが保証されるドメイン名「.go.jp」を使用すること。 (8)外部に公開するウェブサイトを構築又は運用する場合には、以下の対策を実施すること。 ・サービス開始前および、運用中においては年1回以上、ポートスキャン、脆弱性検査を含むプラットフォーム診断を実施し、脆弱性を検出した場合には必要な対策を実施すること。 ・インターネットを介して通信する情報の盗聴及び改 |
ざんの防止並びに正当なウェブサーバであることを利用者が確認できるようにするため、TLS(SSL)暗号化の実施等によりウェブサイトの暗号化の対策等を講じること。 ・必要となるサーバ証明書には、利用者が事前のルート証明書のインストールを必要とすることなく、その正当性を検証できる認証局(証明書発行機関)により発行された電子証明書を用いること。 (9)電子メール送受信機能を含む場合には、SPF(Sender Policy Framework)等のなりすましの防止策を講ずるとともにSMTPによるサーバ間通信のTLS(SSL)化や S/MIME等の電子メールにおける暗号化及び電子署名 等により保護すること。 | ||
情報セキュリティに関する事項 16) | アプリケーション・コンテンツ(アプリケーションプログラム、ウェブコンテンツ等の総称をいう。以下同じ。)の開発・作成を行う場合には、利用者の情報セキュリティ水準の低下を招かぬよう、以下の内容も含めて行う。 (1)提供するアプリケーション・コンテンツが不正プログラムを含まないこと。また、そのために以下を含む対策を行うこと。 ①アプリケーション・コンテンツを提供する前に、不正プログラム対策ソフトウェアを用いてスキャンを行い、不正プログラムが含まれていないことを確認すること。 ②アプリケーションプログラムを提供する場合には、当該アプリケーションの仕様に反するプログラムコードが含まれていないことを確認すること。 ③提供するアプリケーション・コンテンツにおいて、機構外のウェブサイト等のサーバへ自動的にアクセスが発生する機能が仕様に反して組み込まれていないことを、HTMLソースを表示させるなどして確認すること。 (2)提供するアプリケーション・コンテンツが脆弱性を含まないこと。 (3)実行プログラムの形式以外にコンテンツを提供する手段がない場合を除き、実行プログラム形式でコンテンツを提供しないこと。 (4)電子証明書を用いた署名等、提供するアプリケーション・コンテンツの改ざん等がなく真正なものであることを確認できる手段がある場合には、それをアプリケーション・コンテンツの提供先に与えること。なお、電子証明書を用いた署名を用いるときに、政府認証基盤(GPKI)の利用が可能である場合は、政府認証基盤により発行された電子証明書を用いて署名を施すこと。 (5)提供するアプリケーション・コンテンツの利用時に、脆弱性が存在するバージョンのOS、ソフトウェア等の利用を強制するなどの情報セキュリティ水準を低下させる設定変更をOS、ソフトウェア等の利用者に要求することがないよう、アプリケーション・コンテンツの提供方式を定めて開発すること。 (6)機構外へのアクセスを自動的に発生させる機能やサービス利用者その他の者に関する情報が本人の意思に反して第三者に提供されるなどの機能がアプリケーション・コンテンツに組み込まれることがないよう開発すること。ただし、必要があって当該機能をアプリケーション・コンテンツに組み込む場合は、機構 外へのアクセスが情報セキュリティ上安全なもので |
あることを確認した上で、他のウェブサイト等のサーバへ自動的にアクセスが発生すること、サービス利用者その他の者に関する情報が第三者に提供されること及びこれらを無効にする方法等が、サービス利用者において容易に確認ができるよう、担当職員が示すプライバシーポリシー等を当該アプリケーシ ョン・コンテンツに掲載すること。 | ||
情報セキュリティに関する事項 17) | 外部公開ウェブサイト上のウェブアプリケーションの構築又は改修を行う場合には、独立行政法人情報処理推進機構が公開する最新の「安全なウェブサイトの作り方」(以下「作り方」という。)に従う。また、ウェブアプリケーションの構築又は改修時においてはサービス開始前に、運用中においてはウェブアプリケーションへ修正を加えた場合や新たな脅威が確認された場合に、「作り方」に記載されている脆弱性の検査等(ウェブアプリケーション診断)を実施し、脆弱性を検出した場合には必要な対策を実施する。併せて、 「作り方」のチェックリストに従い対応状況を確認し、その結果を記入したチェックリストを担当職員に提出する。なお、チェックリストの結果に基づき、担当職員から指示 があった場合には、その指示に従う。 |
記載要領
1.「実施状況」は、情報セキュリティに関する事項2)から17)までに規定した事項について、情報セキュリティに関する事項1)に基づき提出した確認書類で示された遵守の方法の実施状況をチェックするものであり、「未実施」又は「該当なし」と記載した項目については、別葉にて理由も報告すること。
2.上記に記載のない項目を追加することは妨げないが、事前に機構と相談すること。
(この報告書の提出時期:定期的(契約期間における半期を目処(複数年の契約においては年1回以上))。)
(別紙1)
<物件明細>
品 名 | 数 量 |
B0プロッター | 1式 |
<以下、余白>
(別紙2)
情報セキュリティに関する事項
以下の事項について遵守すること。
【情報セキュリティ関連事項の確保体制および遵守状況の報告】
1) 受注者(委託契約の場合には、受託者。以下同じ。)のうち、本業務を実施するにあたり情報セキュリティの確保が必要となる作業の実施が予定される又は発生した場合は、契約締結後又は当該作業発生時に速やかに、以下2)
~17)に記載する事項の遵守の方法及び、提出を求める情報、書類等(以下「情報セキュリティを確保するための体制等」という。)について、独立行政法人エネルギー・金属鉱物資源機構(以下「機構」という。)の担当職員
(以下「担当職員」という。)に提示し了承を得た上で確認書類として提出すること。ただし、別途契約締結前
に、情報セキュリティを確保するための体制等について担当職員に提示し了承を得た上で提出したときは、この限りでない。また、定期的に、情報セキュリティを確保するための体制等及び対策に係る実施状況(「情報セキュリティに関する事項の遵守の方法の実施状況報告書」(様式〇〇 ))を紙媒体又は電子媒体により報告すること。加えて、これらに変更が生じる場合は、事前に担当職員へ案を提出し、同意を得ること。
なお、報告の内容について、担当職員と受注者が協議し不十分であると認めた場合、受注者は、速やかに担当職員と協議し対策を講ずること。
【情報セキュリティ関連規程等の遵守】
2) 受注者は、本業務全体における情報セキュリティの確保のため、「独立行政法人エネルギー・金属鉱物資源機構情報セキュリティ管理規程(2007年(総企)規程第26号)」、「独立行政法人エネルギー・金属鉱物資源機構情報セキュリティ対策基準(2021年(総務)要領第76号)」及び「政府機関等のサイバーセキュリティ対策のための統一基準群(令和5年度版)」 (以下「規程等」と総称する。)を遵守すること。また、契約締結時に規程等が改正されている場合は、改正後の規程等を遵守すること。
3) 受注者は、機構又は内閣官房内閣サイバーセキュリティセンターが必要に応じて実施する情報セキュリティ監査、マネジメント監査又はペネトレーションテストを受け入れるとともに、指摘事項への対応を行うこと。
【情報セキュリティを確保するための体制】
4) 受注者は、本業務に従事する者を限定すること。また、受注者の資本関係・役員の情報、本業務の実施場所、本業務の全ての従事者の所属、専門性(情報セキュリティに係る資格・研修実績等)、実績及び国籍に関する情報を担当職員に提示すること。なお、本業務の実施期間中に従事者を変更等する場合には、事前にこれらの情報を担当職員に再提示すること。
5) 受注者は、本業務を再委託(業務の一部を第三者に委託することをいい、外注及び請負を含む。以下同じ。)する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、1)から17)までの措置の実施を契約等により再委託先に担保させること。また、1)の確認書類には再委託先に係るものも含むこと。
【情報の取扱い】
6) 受注者は、本業務遂行中に得た本業務に関する情報(紙媒体及び電子媒体であってこれらの複製を含む。)の取扱いには十分注意を払い、機構内に複製が可能な電子計算機等の機器を持ち込んで作業を行う必要がある場合に は、事前に担当職員の許可を得ること。なお、この場合であっても、担当職員の許可なく複製してはならない。また、作業終了後には、持ち込んだ機器から情報が消去されていることを担当職員が確認できる方法で証明するこ と。
7) 受注者は、本業務遂行中に得た本業務に関する情報(紙媒体及び電子媒体)について、担当職員の許可なく機構外で複製してはならない。また、作業終了後には、複製した情報が電子計算機等から消去されていることを担当職員が確認できる方法で証明すること。
8) 受注者は、本業務を終了又は契約解除する場合には、受注者において本業務遂行中に得た本業務に関する情報
(紙媒体及び電子媒体であってこれらの複製を含む。)を速やかに担当職員に返却し、又は廃棄し、若しくは消去すること。その際、担当職員の確認を必ず受けること。
9) 受注者は、契約期間中及び契約終了後においても、本業務に関して知り得た機構の業務上の内容について、他に漏らし、又は他の目的に利用してはならない。
なお、機構の業務上の内容を外部に提供する必要が生じた場合は、提供先で当該情報が適切に取り扱われないおそれがあることに留意し、提供の可否を十分に検討した上で、担当職員の承認を得るとともに、取扱上の注意点を示して提供すること。
【情報セキュリティに係る対策、教育、侵害時の対処】
10) 受注者は、本業務に使用するソフトウェア、電子計算機等に係る脆弱性対策、不正プログラム対策、サービス不能攻撃対策、標的型攻撃対策、アクセス制御対策、情報漏えい対策を講じるとともに、契約期間中にこれらの対策に関する情報セキュリティ教育を本業務に関わる従事者に対し実施すること。
11) 受注者は、本業務の遂行において、情報セキュリティが侵害され、又はそのおそれがある場合の対処方法について担当職員に提示すること。また、情報セキュリティが侵害され、又はそのおそれがあることを認知した場合には、速やかに担当職員に報告を行い、原因究明及びその対処等について担当職員と協議の上、その指示に従うこ と。
【クラウドサービス】
12) 受注者は、本業務を実施するに当たり、民間事業者等が不特定多数の利用者に対して提供する、定型約款や利用規約等への同意のみで利用可能となるクラウドサービスを利用する場合には、これらのサービスで要機密情報を取り扱ってはならず、2)に掲げる規程等で定める不正アクセス対策を実施するなど規程等を遵守すること。
13) 受注者は、本業務を実施するに当たり、利用において要機密情報を取り扱うものとしてクラウドサービスを調達する際は、「政府情報システムのためのセキュリティ評価制度(ISMAP)」のISMAPクラウドサービスリスト又は ISMAP-LIUクラウドサービスリストから調達することを原則とすること。
14) 受注者は、前2項におけるクラウドサービスの利用の際は、提供条件等から、利用に当たってのリスクの評価を行い、リスクが許容できることを確認して担当職員の利用承認を得るとともに、取扱上の注意点を示して提供し、その利用状況を管理すること。
【セキュアな情報システム(外部公開ウェブサイトを含む)の構築・運用】
15) 受注者は、情報システム(ウェブサイトを含む。以下同じ。)の設計、構築、運用、保守、廃棄等(電子計算機、電子計算機が組み込まれた機器、通信回線装置、電磁的記録媒体等のハードウェア又はソフトウェア(以下
「機器等」という。)の調達を含む場合には、その製造工程を含む。)を行う場合には、以下を実施すること。
①各工程において、機構の意図しない変更や機密情報の窃取等が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること。また、具体的な管理手順や品質保証体制を証明する書類等を提出すること。
②情報システムや機器等に意図しない変更が行われる等の不正が見つかったときに、追跡調査や立入検査等、機構と連携して原因を調査し、排除するための手順及び体制を整備していること。これらが妥当であることを証明するため書類を提出すること。
③不正プログラム対策ソフトウェア等の導入に当たり、既知及び未知の不正プログラムの検知及びその実行の防止の機能を有するソフトウェアを導入すること。 また、以下を含む対策を行うこと。
(a)不正プログラム対策ソフトウェア等が常に最新の状態となるように構成すること。
(b)不正プログラム対策ソフトウェア等に定義ファイルを用いる場合、その定義ファイルが常に最新の状態となるように構成すること。
(c)不正プログラム対策ソフトウェア等の設定変更権限については、システム管理者が一括管理し、システム利用者に当該権限を付与しないこと。
(d)不正プログラム対策ソフトウェア等を定期的に全てのファイルを対象としたスキャンを実施するように構成すること。
(e)EDRソフトウェア等を利用し、端末やサーバ装置(エンドポイント)の活動を監視し、感染したおそれのある装置を早期にネットワークから切り離す機能の導入を検討すること。
④情報セキュリティ対策による情報システムの変更内容について、担当職員に速やかに報告すること。また、情報システムが構築段階から運用保守段階へ移行する際等、他の事業者へ引き継がれる項目に、情報セキュリティ対策に必要な内容を含めること。
⑤サポート期限が切れた、又は本業務の期間中にサポート期限が切れる予定がある等、サポートが受けられないソフトウェアの利用を行わないこと、及びその利用を前提としないこと。また、ソフトウェアの名称・バージョン・導入箇所等を管理台帳で管理することに加え、サポート期限に関するものを含むソフトウェアの脆弱性情報を収集し、担当職員に情報提供するとともに、情報を入手した場合には脆弱性対策計画を作成し、担当職員の確認を得た上で対策を講ずること。
⑥受注者自身(再委託先を含む。)が管理責任を有するサーバ等を利用する場合には、OS、ミドルウェア等のソフトウェアの脆弱性情報を収集し、セキュリティ修正プログラムが提供されている場合には業務影響に配慮しつつ、速やかに適用を実施すること。
⑦ウェブサイト又は電子メール送受信機能を含むシステム等の機構外向けシステムを構築又は運用する場合には、政府機関のドメインであることが保証されるドメイン名「.go.jp」を使用すること。
⑧外部に公開するウェブサイトを構築又は運用する場合には、以下の対策を実施すること。
・サービス開始前および、運用中においては年1回以上、ポートスキャン、脆弱性検査を含むプラットフォーム診断を実施し、脆弱性を検出した場合には必要な対策を実施すること。
・インターネットを介して通信する情報の盗聴及び改ざんの防止並びに正当なウェブサーバであることを利用者が確認できるようにするため、TLS(SSL)暗号化の実施等によりウェブサイトの暗号化の対策等を講じること。
なお、必要となるサーバ証明書には、利用者が事前のルート証明書のインストールを必要とすることなく、その正当性を検証できる認証局(証明書発行機関)により発行された電子証明書を用いること。
⑨電子メール送受信機能を含む場合には、SPF(Sender Policy Framework)等のなりすましの防止策を講ずるとともにSMTPによるサーバ間通信のTLS(SSL)化やS/MIME等の電子メールにおける暗号化及び電子署名等により保護すること。
【アプリケーション・コンテンツの情報セキュリティ対策】
16) 受注者は、アプリケーション・コンテンツ(アプリケーションプログラム、ウェブコンテンツ等の総称をいう。以下同じ。)の開発・作成を行う場合には、利用者の情報セキュリティ水準の低下を招かぬよう、以下の内容も含めて行うこと。
①提供するアプリケーション・コンテンツが不正プログラムを含まないこと。また、そのために以下を含む対策を行うこと。
(a)アプリケーション・コンテンツを提供する前に、不正プログラム対策ソフトウェアを用いてスキャンを行い、不正プログラムが含まれていないことを確認すること。
(b)アプリケーションプログラムを提供する場合には、当該アプリケーションの仕様に反するプログラムコードが含まれていないことを確認すること。
(c)提供するアプリケーション・コンテンツにおいて、機構外のウェブサイト等のサーバへ自動的にアクセスが発生する機能が仕様に反して組み込まれていないことを、HTMLソースを表示させるなどして確認すること。
②提供するアプリケーション・コンテンツが脆弱性を含まないこと。
③実行プログラムの形式以外にコンテンツを提供する手段がない場合を除き、実行プログラム形式でコンテンツを提供しないこと。
④電子証明書を用いた署名等、提供するアプリケーション・コンテンツの改ざん等がなく真正なものであることを確認できる手段がある場合には、それをアプリケーション・コンテンツの提供先に与えること。なお、電子証明書を用いた署名を用いるときに、政府認証基盤(GPKI)の利用が可能である場合は、政府認証基盤により発行された電子証明書を用いて署名を施すこと。
⑤提供するアプリケーション・コンテンツの利用時に、脆弱性が存在するバージョンのOS、ソフトウェア等の利
用を強制するなどの情報セキュリティ水準を低下させる設定変更をOS、ソフトウェア等の利用者に要求することがないよう、アプリケーション・コンテンツの提供方式を定めて開発すること。
⑥機構外へのアクセスを自動的に発生させる機能やサービス利用者その他の者に関する情報が本人の意思に反して第三者に提供されるなどの機能がアプリケーション・コンテンツに組み込まれることがないよう開発すること。ただし、必要があって当該機能をアプリケーション・コンテンツに組み込む場合は、機構外へのアクセスが情報セキュリティ上安全なものであることを確認した上で、他のウェブサイト等のサーバへ自動的にアクセスが発生すること、サービス利用者その他の者に関する情報が第三者に提供されること及びこれらを無効にする方法等が、サービス利用者において容易に確認ができるよう、担当職員が示すプライバシーポリシー等を当該アプリケーション・コンテンツに掲載すること。
17) 受注者は、外部に公開するウェブサイト上のウェブアプリケーションの構築又は改修を行う場合には、独立行政法人情報処理推進機構が公開する最新の「安全なウェブサイトの作り方」(以下「作り方」という。)に基づくこと。また、ウェブアプリケーションの構築又は更改時においてはサービス開始前に、運用中においてはウェブアプリケーションへ修正を加えた場合や新たな脅威が確認された場合に、「作り方」に記載されている脆弱性の検査等
(ウェブアプリケーション診断)を実施し、脆弱性を検出した場合には必要な対策を実施すること。併せて、「作り方」のチェックリストに従い対応状況を確認し、その結果を記入したチェックリストを担当職員に提出すること。なお、チェックリストの結果に基づき、担当職員から指示があった場合は、それに従うこと。