本文
新潟県情報セキュリティ関連業務委託基準
要綱の趣旨
本基準は、県が事業者にネットワーク、情報システム及び情報資産に関する業務の委託をする場合における情報セキュリティ対策のために講ずべき措置に関して定めたものです。
要綱の本文
(平成15年3月20日情第524号総合政策部長通知)
1 趣旨
この基準は、新潟県情報セキュリティポリシー(平成14年4月1日制定)に基づき、県が事業者にネットワーク、情報システム及び情報資産に関する業務の委託をする場合において情報セキュリティ対策のために講ずべき措置に関し、必要な事項を定めるものとする。
2 基準の対象となる委託契約
この基準の対象となる委託契約は、県が事業者にネットワーク、情報システム及び情報資産に関する業務の全部又は一部を依頼する契約のすべてをいう。
3 委託に当たっての留意事項
県が事業者にネットワーク、情報システム及び情報資産に関する業務の委託をするときは、次の事項に留意するものとする。なお、情報セキュリティポリシーで定めるもののほか、各ネットワーク及び情報システム個別に情報セキュリティ対策のために講ずべき措置に関し、必要な事項についても留意すること。
- 委託先の選定に当たっては、新潟県情報セキュリティポリシー制定の趣旨を理解し、別記「情報セキュリティ関連業務特記事項」(以下「別記特記事項」)という。)を遵守できるものを慎重に選定すること。
- 別記特記事項には、情報セキュリティ実施手順及び緊急時対応計画等に基づき、委託事業者が行うべきこと又は行ってはならないこと等を具体的に追加記載すること。
なお、別記特記事項への追加記載がわかりづらい場合は、契約書に添付する委託業務仕様書等に記載すること。 - 入札に当たっては入札前に、随意契約に当たっては見積書を徴するときに、契約内容に別記特記事項があることを相手方に周知すること。
4 委託に当たっての措置
- ネットワーク、情報システム及び情報資産に関する業務の委託に係る契約に当たっては、契約書に受託者が別記特記事項を守るべき旨を記載するものとする。ただし、契約書中に別記特記事項に掲げる内容を記載することを妨げない。
- 契約書によらないで契約するときは、別記特記事項を契約事項として交付するものとする。
契約書記載例
情報セキュリティ対策
第○条 乙は、この契約によるネットワーク、情報システム及び情報資産に関する業務を実施するに当たっては、別記「情報セキュリティ関連業務特記事項」を守らなければならない。
注 「乙」は、受託事業者を指す。
(別記)情報セキュリティ関連業務特記事項
基本的事項
第1 乙は、情報セキュリティ対策の重要性を認識し、この契約による業務を実施するに当たっては、受託事業者が守るべき内容を十分理解するとともにこれらを遵守しなければならない。
情報資産の取扱い
第2 乙は、情報資産(複製されたものを含む。以下同じ。)を他へ持ち出す場合には、甲の許可を受けなければならない。
第3 乙は、重要な情報を記録した媒体を廃棄する場合、情報を復元できないよう消去を行った上、甲の許可を受けなければならない。
機器等の取扱い
第4 乙は、使用する機器、記録媒体等を第三者に使用されること又は情報を閲覧されることのないようにしなければならない。
従事者への啓発
第5 乙は、この契約による業務に従事している者に対し、情報セキュリティ対策について啓発しなければならない。
異常時の報告
第6 乙は、情報資産に対する侵害又は侵害の恐れのある場合には、直ちに甲に報告しなければならない。
第7 乙は、ネットワーク又は情報システムの誤作動等の異常を発見した場合には、直ちに甲に報告しなければならない。
再委託の禁止
第8 乙は、この契約による業務を行うための情報資産の処理は、自ら行うものとし、甲が承諾した場合を除き、第三者にその処理を委託してはならない。
ソフトウェアの無許可導入・更新・削除の禁止
第9 情報システムで使用する端末等におけるソフトウェアの導入、更新又は削除は、甲の許可がなければ行ってはならない。
機器構成の無許可変更の禁止
第10 情報システムを構成する機器の増設又は交換は、甲の指示がある場合を除いて行ってはならない。
ネットワークへの無許可接続の禁止
第11 乙は、ネットワークへの機器の接続又はネットワークに接続している端末等の他ネットワークへの接続は、甲の指示がある場合を除いて行ってはならない。
コンピュータウイルス対策
第12 乙は、次の事項を遵守しなければならない。
- 外部からファイルを取り入れる場合及び外部へファイルを提出する場合は、ウイルスチェックを行うこと。
- 甲が提供するウイルス情報を常に確認すること。
法令遵守
第13 乙は、業務の遂行において使用する情報資産について、次の法令等を遵守し、これに従わなければならない。
- 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
- 著作権法(昭和45年法律第48号)
- 個人情報の保護に関する法律(平成15年法律第57号)
実地調査
第14 甲は、必要があると認めるときは、乙がこの契約による業務の執行に当たり実施している情報セキュリティ対策の実施状況について随時実地に調査することができる。
注1 「甲」は新潟県を、「乙」は受託事業者を指す。
2 情報セキュリティ実施手順及び緊急時対応計画等に基づき、必要な事項を追加し、又は不要な事項を省略し、若しくは削除すること。
情報セキュリティポリシーとは
情報セキュリティポリシーは、情報資産への様々な脅威に対する抑止、予防、検知及び回復について、組織的かつ計画的に取り組むために定めた、組織としての統一方針です。この中で、情報セキュリティに関する基本的な考え方と対策基準を定めています。