仕様書 1 件名 東京都立産業技術高等専門学校情報セキュリティ演習

仕様書
1
件名
東京都立産業技術高等専門学校情報セキュリティ演習教育システムの設計委託
2
履行期間
契約締結日から平成 29 年 3 月 31 日まで
3
履行場所
東京都立産業技術高等専門学校品川キャンパス
東京都品川区東大井一丁目 10 番 40 号
4
完成目的物
企画提案された機能を満たす情報セキュリティ演習教育システム一式に対する設
計
5
背景
日々高度化するサイバー攻撃から東京の安心・安全を担保する人材を育成するた
め、平成 28 年 4 月より、本校電子情報工学コース(3~5 年生)において、「情報
セキュリティ技術者育成プログラム」が開始された。
情報セキュリティ技術者育成プログラムの履修者には、情報インフラ技術、ネッ
トワーク技術に加えて、より実践的に攻撃・防御手法を学習することが求められる。
すなわち、情報セキュリティ技術者育成プログラムは、実際に情報システムを構
築・運用し、サイバー攻撃によって引き起こされるインシデントを実際に体験しな
がらその対処法を身に付けるような実習を主体としたカリキュラム設計およびそ
の設計に基づいた演習環境が必須となる。
現在、
「サイバーレンジ」が情報セキュリティ技術者育成の演習システムとして、
軍関係(特に海外)で用いられているが、既存のサイバーレンジは短期集中型の演
習システムであり、情報セキュリティ技術者育成プログラムのような 3 年というプ
ログラム履修期間を想定した演習環境を備えたサイバーレンジは存在しない。
このため、情報セキュリティ技術者育成プログラムに適した演習用教育システム
を設計・開発・構築する必要がある。
1
6
目的
6.1
目的
情報インフラ技術、ネットワーク技術、サイバー攻撃に対する防御技術を
情報セキュリティ技術者育成プログラム履修生が継続的かつ実践的に学習す
るための情報セキュリティ演習教育システムを開発・構築・運用・保守する
ための設計を行うことを目的とする。
6.2
留意事項
(ア) 情報セキュリティ演習教育システムの構築・結合テストと第 1 次テス
ト稼動は、
それぞれ平成 28 年 11 月初旬と平成 28 年 12 月 1 日とする。
また、平成 28 年 12 月からプログラム履修者に対する演習授業を行う。
さらに、第 1 次テスト稼働の結果およびカリキュラムの進捗を踏まえ
設計修正を実施し、第 2 次テスト稼働を平成 29 年 1 月 31 日とする。
さらに、第 2 次テスト稼働の結果を踏まえ設計修正を実施し、実稼働
は平成 29 年 3 月 31 日までとする。
(イ) 情報セキュリティ演習教育システムの「End of Life」を明記すること。
ただし、情報セキュリティ演習教育システムの End of Life は、5 年以
上とすること。機能ごとに End of Life が異なる場合、機能ごとの End
of Life の一覧を提出すること。
(ウ) 情報セキュリティ演習教育システムの設計にあたっては、年次進行及
び新たなサイバー技術の進展に伴うランニングコスト(平成 29 年度以
降に発生する演習シナリオの改修等の保守費等)を最小限にできるよ
う企画提案すること。ただし、平成 29 年度から End of Life までの年
度ごとのランニングコストを提出すること。
(エ) 審査にあたって各要求項目に対する企画提案の設計内容一覧、想定す
るハードウェアスペック一覧等審査の資料となるものはすべて提出す
ること。
(オ) 審査資料の提出期限は、平成 28 年 7 月 27 日とする。
(カ) 審査会当日、一切の資料(口頭説明で利用するパネル、画像を印刷し
た紙等)の配付は認めない。
6.3
情報セキュリティ演習教育システムの概要
本教育システムは、情報セキュリティ技術者育成プログラムで実施する「情
2
報セキュリティ実習Ⅰ(本科 3 年)」
「情報セキュリティ実習Ⅱ(本科 4 年)
」
「情報セキュリティ実習Ⅲ(本科 5 年)
」で使用する。すなわち、各学年の教
育・学習到達目標に一致した情報セキュリティ演習教育システムでなければ
ならない。本プログラムで考える情報セキュリティ演習教育システムとは、
情報セキュリティ教育コンテンツと情報セキュリティ演習装置からなる。
6.3.1 情報セキュリティ教育コンテンツ

教育カリキュラム


教育教材


演習カリキュラムに基づいた学習教材および学習補助資料等
学習管理機能


教育・学習到達目標に基づいた演習カリキュラム
ラーニングポートフォリオおよび演習進捗管理機能
演習シナリオ

実際の情報セキュリティ攻防法を学ぶための攻撃・防御の手順
を演習化したもの
6.3.2 情報セキュリティ演習装置



ネットワーク構成

仮想インターネット、仮想イントラネット

管理ネットワーク

攻撃—防御対抗戦用ネットワーク

企画・提案により増強するネットワーク
演習可視化装置

学習内容を可視化する装置

企画・提案により増強するもの
演習クライアント装置


7
学生 20 名および教員 2 名が演習できる装置
その他

企画・提案により増強するもの

学生数やネットワーク構成などの変更に柔軟に対応できるもの
情報セキュリティ演習教育システムの要件
7.1
情報セキュリティ演習教育システムのコンセプト
3
提案する情報セキュリティ演習教育システムのコンセプトを明記し、その
コンセプトに沿った情報セキュリティ教育コンテンツおよび情報セキュリテ
ィ演習装置を設計すること。
7.2
情報セキュリティ教育コンテンツ
7.2.1 教育カリキュラム
(ア) 教育・学習到達目標に一致した演習カリキュラムを設計・開発・構
築すること。ただし、提案のコンセプトと一致させること。
(イ) より実践的な教育カリキュラムにするため、教員と恊働し教育・学
習到達目標の不具合を定期的に修正すること。具体的に、教育カリ
キュラムの不具合を洗い出す枠組みを設計し、実施プランを提案す
ること。
(ウ) 学習者のフィードバックを反映し、設計の不具合を定期的に修正す
ること。具体的に、学習者の視点から見たときの不具合を洗い出す
枠組みを設計し、実施プランを提案すること。
(エ) 教員の情報セキュリティ技術能力の向上を図ること。具体的に、教
員の情報セキュリティ技術能力を向上するための枠組みを提案し、
その実施プランを提案すること。
(オ) その他必要であると考えられる項目については、教育的視点から具
体的に提案すること。ただし、提案内容は明文化すること。
7.2.2 教育教材
(ア) 演習カリキュラムの設計に基づいた、教材の設計・開発を教員と恊
働で実施すること。具体的に、教材の設計・開発の枠組みを設計し、
実施プランを提案すること。
(イ) 学生の意見等のフィードバックを反映し、教材の不具合を定期的に
修正すること。具体的に、学習者の視点から見たときの不具合を洗
い出す枠組みを設計し、実施プランを提案すること。
(ウ) その他必要であると考えられる項目については、教育的視点から具
体的に提案すること。ただし、提案内容は明文化すること。
7.2.3 学習管理
(ア) ラーニングポートフォリオ機能を有すること。学生のニーズにあっ
たラーニングポートフォリオ機能を設計し、実施プランを提案する
こと。
(イ) 学習者の学習過程をロギングできること。
4
(ウ) 教員が学習者の演習進捗状況を把握できる機能を有すること。
(エ) 教員が学習者の成績を管理できること。
(オ) 様々な振り返り学習ができることが望ましい。振り返り学習機能に
対する枠組みを設計し、実施プランを提案することが望ましい。
(カ) 学習者の進捗状況に合わせて、演習を選択可能であることが望まし
い。
(キ) 学習者の攻撃手続きを記録し、再現する機能を有することが望まし
い。
(ク) その他学習管理に必要であると考えられる機能については、教育的
視点から具体的に提案すること。ただし、提案内容は明文化するこ
と。
7.2.4 演習シナリオ
国内外の代表的な実ネットワーク構成を学習できるとともに、学習し
たネットワークに対する最新の攻撃および攻撃に対する防御手法を学
ぶことができる演習シナリオを過不足なく設計し、開発構築を行うこと。
想定する演習シナリオの要件を以下に示す。
(ア) 個人演習用のシナリオを設計・開発すること。
(イ) チーム演習用のシナリオを設計・開発すること。
(ウ) 上記(ア)と(イ)の演習シナリオに基づく演習時間は 150 時間以上と
すること。ただし、演習時間の上限は 300 時間程度とすること。
(エ) 上記(ア)と(イ)の演習シナリオは、以下の要件を満たす設計を行う
こと。ただし、要件に対する要素一覧を作成し提出すること。
①
プラットフォームに関する演習シナリオを含めること。
②
Web アプリケーションに関する演習シナリオを含めること。
③
脆弱性、攻撃手法、その他の演習シナリオを含めること。
④
演習に必要十分な本物と疑似のマルウェア検体を用意し、それ
らを用いた演習シナリオを含めること。
(オ) 各単元における演習項目とそれに対する演習設定時間を明記する
こと。
(カ) 演習においては、攻撃―防御―攻撃を 1 つの学習ステップとするこ
と。
(キ) 演習シナリオに適した演習場を教育的視点から設計・開発すること。
(ク) ハードニングのシナリオを設計し、実施プランを提案すること。
5
(ケ) その他必要であると考えられる機能については、教育的視点から具
体的に提案すること。ただし、提案内容は明文化すること。
7.3
情報セキュリティ演習装置
7.3.1 仮想イントラネット、仮想インターネット
(ア) 仮想インターネットは、最大 25 の仮想イントラネットを接続でき
る能力を有すること。仮想インターネットには、ルート DNS を構
築すること。
(イ) 履修学生人数(最大 20 人)が一斉に演習を実施可能な能力を有す
ること。
(ウ) 演習時、教員 2 名が同時に演習可能な能力を有すること。
(エ) 上記演習は、独立した演習環境で実施可能であること。
(オ) 仮想インターネットは、国内外の代表的な(現実的な)イントラネ
ットのネットワーク構成で構築すること。特に、OS として Linux
および Windows を効率的かつ効果的に配置すること。
(カ) 仮想インターネット、仮想イントラネットの起動を教員が一括で行
えること。
(キ) 仮想イントラネットの稼働状況を教員がモニタリングできること。
(ク) 多様なシナリオに対応する演習場を動的に構築できること。
(ケ) ハードニングのための演習場を提案すること。
(コ) 仮想インターネット、仮想イントラネットの構成は、教育的視点か
ら具体的に提案すること。ただし、提案内容は明文化すること。
7.3.2 演習管理ネットワーク
(ア) 演習管理機能を有すること。
(イ) 演習シナリオ追加・削除、修正機能を有すること。
(ウ) その他必要となる機能は、教育的視点から具体的に提案すること。
ただし、提案内容は明文化すること。
7.3.3 攻撃—防御対抗戦環境
(ア) 国内外の企業が有する代表的な機器構成およびネットワーク構成
から成ること。
(イ) 踏み台となるネットワークを有すること。
(ウ) 任意のフラグを管理ネットワークから付与する機能を有すること。
(エ) 攻防の様子をモニタリングする機能を有すること。
(オ) その他必要となる機能は、教育的視点から具体的に提案すること。
6
ただし、提案内容は明文化すること。
7.3.4 演習可視化装置
(ア) 攻撃・防御の状態を可視化する装置または機能を有すること。
(イ) 仮想インターネット、仮想イントラネットのトラフィックを可視化
する装置または仕組みを有すること。
(ウ) トラフィックを記録し、記録されたトラフィックを描画する機能ま
たは仕組みを有することが望ましい。
(エ) 可視化装置における可視化は、任意の視点から描画ができることが
望ましい。
(オ) その他必要であると考えられる機能については、教育的視点から具
体的に提案すること。ただし、提案内容は明文化すること。
7.3.5 クライアント装置
(ア) 25 台以上のクライアント装置としてラップトップ PC を準備する
こと。
(イ) 演習に十分な CPU、メモリ、記憶装置を有すること。
(ウ) 17 インチ以上の液晶画面を有すること。ただし、17 インチでない
場合は 15 インチ以上の液晶画面を有するラップトップ PC を 2 台
用意し、17 インチの代替えとしてもよい。
(エ) FULL HD 以上の解像度を有すること。
(オ) 1000BaseT 対応の有線 LAN ポートを有すること。
(カ) その他必要であると考えられる機能については、教育的視点から具
体的に提案すること。ただし、提案内容は明文化すること。
7.3.6 保守・運用期間
情報セキュリティ演習教育システムの保守・運用期間は、5 年以上として
設計すること。
7.3.7 その他
学習者の学習環境を充実するための企画・提案を行うこと。ただし、提案内
容は明文化すること。
7.4
運用
情報セキュリティ演習教育システムの運用方法を教育的視点から設計すること。
7.5
保守
情報セキュリティ演習教育システムの保守方法を教育的視点から設計すること。
8
体制
7
8.1
必要な要件
(ア) ISMS/ISO27001(情報セキュリティ管理)を取得していること。
(イ) ISO9001(品質管理)を取得していること。
(ウ) その他必要と考えられる取得済みの国際規格のうち代表的なもの(6 件以
内)を明記すること。
8.2
教育支援体制
日本国内の情報セキュリティ教育の現状を踏まえ、本校と共に恊働し情報
セキュリティ教育の設計を行い、その設計に基づきカリキュラム・教材を作
成する組織を構築すること。また、組織の役割を示した組織体制図と組織表
を提出すること。ただし、連絡窓口は一本化すること。以降、組織に対する
要件を示す。
(ア) 組織内で第 3 者の用に供する情報セキュリティ演習システムを設計・開
発・構築・運用したことがあること。
(イ) 組織内に第 3 者の用に供する情報セキュリティ教育カリキュラムを有す
ること。
(ウ) 第 3 者の用に供する情報セキュリティ教育カリキュラムを自組織内の教
育にも活用していること。
(エ) 第 3 者の用に供する情報セキュリティ教育を実施する組織を有すること。
(オ) 最新の演習シナリオを提供するにあたり、SOC(Security Operation
Centre)または CSIRT(Computer Security Incident Response Team)
を国内外に有すること。
(カ) 日本国内において、以下①~④の情報セキュリティ技術者育成に貢献す
るための活動を継続的に実施していることを明記すること。①~④に該
当しない活動については、代表的な活動を 5 件以内で明記すること。た
だし、公的な機関が主催する情報セキュリティに関する大会またはコン
テストへの協賛に限る。
①
セキュリティキャンプ実施協議会への協賛
②
Security Contest への協賛
③
サイバーセキュリティシンポジウムへの協賛
④
情報危機管理コンテストへの協賛
(キ) 日本国内で、情報セキュリティの脆弱診断や侵入調査、証拠保全などを
業務として実績を有すること。
(ク) 日本国内の高等教育機関の情報センター等に情報システム、ネットワー
8
クシステム等を納入した実績を有すること。高等専門学校への情報シス
テムの納入実績があることが望ましい。
(ケ) 日本コンピュータセキュリティインシデント対応チーム協議会に加盟し、
日本国内の情報セキュリティ動向の把握に努めていることが望ましい。
8.3
プロジェクト体制
本システムのプロジェクトチームの役割分担を明記すること。プロジェク
ト体制として以下の要件を満たすこと。
(ア) 国内外の情報セキュリティ関連の情報を十分に入手することができるこ
と。
(イ) 内閣官房情報セキュリティセンター、関連省庁、JPCERT/CC、(独)情報
処理推進機構、日本コンピュータセキュリティインシデント対応チーム
協議会などと連携を図れること。
(ウ) すでに第 3 者の用に供する情報セキュリティ演習システムを構築した経
験を有すること。
(エ) すでに第 3 者の用に供する情報セキュリティ演習システムを用いた教育
システムを有し、教育を実施していること。
これらの要件に加え、以下の要件を満たすことが望ましい。
(ア) 国内外で開催される公的な機関が主催する情報セキュリティに関する大
会またはコンテストのシナリオを設計した実績があること。
(イ) 国内外で開催される公的な機関が主催する情報セキュリティに関する大
会またはコンテストのシナリオを実装した実績があること。
(ウ) 国内外で開催される公的な機関が主催する情報セキュリティに関する大
会またはコンテストの演習装置を設計した実績があること。
(エ) 国内外で開催される公的な機関が主催する情報セキュリティに関する大
会またはコンテストの運営をした実績があること。
さらに、プロジェクトマネージャーは、以下の要件を満たすこと。
(ア) 第 3 者の用に供する情報セキュリティ演習システムの要求分析を行った
ことがあること。
(イ) 第 3 者の用に供する情報セキュリティ演習システムの概念設計を行った
ことがあること。
(ウ) 第 3 者の用に供する情報セキュリティ演習システムの詳細設計を行った
9
ことがあること。
(エ) 第 3 者の用に供する情報セキュリティ演習のための演習シナリオの要求
分析を行ったことがあること。
(オ) 第 3 者の用に供する情報セキュリティ演習のための演習シナリオの概念
設計を行ったことがあること。
(カ) 第 3 者の用に供する情報セキュリティ演習のための演習シナリオの詳細
設計を行ったことがあること。
(キ) 第 3 者の用に供する情報セキュリティ演習装置の要求分析を行ったこと
があること。
(ク) 第 3 者の用に供する情報セキュリティ演習装置の概念設計を行ったこと
があること。
(ケ) 第 3 者の用に供する情報セキュリティ演習装置の詳細設計を行ったこと
があること。
(コ) 第 3 者の用に供する情報セキュリティ演習のための演習シナリオと情報
セキュリティ演習装置の結合テストを実施したことがあること。
(サ) 第 3 者の用に供する情報セキュリティ演習システムを用いた教育カリキ
ュラムを設計したことがあること。
9
費用
本件情報セキュリティ演習教育システムの設計に基づく情報セキュリティ教育コ
ンテンツの開発に係る費用、情報セキュリティ演習装置の購入に係る費用(ソフトウ
ェアを含む。
)
、情報セキュリティ演習教育システム構築に係る費用、運用に係る費用、
保守に係る費用、その他必要な経費について具体的に提案すること。
10 納品物
10.1 平成 28 年 9 月 10 日までに納品するもの
企画提案書および企画に対する作業内容一覧(審査時に提出したもの)、情報
セキュリティ演習教育システム要求分析書・概念設計書・詳細設計書、演習
シナリオ要求分析書・概念設計書・詳細設計書、情報セキュリティ演習装置
要求分析書・概念設計書・詳細設計書、ソフトウェア一覧およびソフトウェ
アの機能票、教育カリキュラム要求分析書・概念設計書・詳細設計書、教育
教材要求分析書・概念設計書・詳細設計書、学習管理機能要求分析書・概念
設計書・詳細設計書、画面遷移図、画面別機能票、カリキュラムとの整合表、
工程表、開発指示書、運用設計書、保守設計書
10.2 平成 29 年 3 月 31 日までに納品するもの
10
平成 28 年 9 月 30 日に修正が加わった場合、企画提案書および企画に対する
作業内容一覧(審査時に提出したもの)と修正が加わった下記のもの一式
情報セキュリティ演習教育システム要求分析書・概念設計書・詳細設計書、
演習シナリオ要求分析書・概念設計書・詳細設計書、情報セキュリティ演
習装置要求分析書・概念設計書・詳細設計書、ソフトウェア一覧およびソ
フトウェアの機能票、教育カリキュラム要求分析書・概念設計書・詳細設
計書、教育教材要求分析書・概念設計書・詳細設計書、学習管理機能要求
分析書・概念設計書・詳細設計書、画面遷移図、画面別機能票、カリキュ
ラムとの整合表、工程表、開発指示書、運用マニュアル、保守マニュアル
及び演習装置操作マニュアル、演習シナリオ操作マニアル、FAQ
11 貸与品
委託業務を行うために必要となる本校が保有する資料等については、必要の都度受
託者に貸与する。
受託者は貸与品について、善良な管理者の注意義務をもって適切に保管及び管理を
しなければならない。
12 著作権等の帰属
著作権等の帰属については、別紙「電子情報処理委託に係る標準特記仕様書」によ
るものとする。
13 機密情報の保護
受託者は本契約に関連し、若しくは付随して知りえた機密情報を第三者に漏らして
はならない。本項は本契約終了後も維持されるものとする。
14 契約代金の支払い方法
検査完了後、適正な請求書を受領後 60 日以内に一括して支払う。
15 その他
(1)本契約の履行に当たって自動車を使用し、又は利用する場合は、都民の健康と安
全を確保する環境に関する条例(平成12年東京都条例第215号)の規定に基
づき、次の事項を遵守すること。
①ディーゼル車規制に適合する自動車であること。
②自動車から排出される窒素酸化物及び粒子状物質の特定地域における総量の削
減等に関する特別措置法(平成4年法律第70号)の対策地域内で登録可能な
自動車であること。
なお、適合の確認のために、当該自動車の自動車検査証(車検証)、粒子状物質
減少装置装着証明書等の提示又は写しの提出を求められた場合には、速やかに提
11
示又は提出すること。
(2)本仕様書の記載事項について疑義が生じた場合には、本校担当者と協議し、その
指示に従うこと。
12
別紙
電子情報処理委託に係る標準特記仕様書
委託者から電子情報処理の委託を受けた受託者は、契約書及び仕様書等に定めのない事項について、
この特記仕様書に定める事項に従って契約を履行しなければならない。
1
情報セキュリティポリシーを踏まえた業務の履行
受託者は、公立大学法人首都大学東京情報セキュリティ基本方針の趣旨を踏まえ、以下の事項を
遵守しなければならない。
2
業務の推進体制
(1)
受託者は、契約締結後直ちに委託業務を履行できる体制を整えるとともに、当該業務に関す
る責任者、作業体制、連絡体制及び作業場所についての記載並びにこの特記仕様書を遵守し業
務を推進する旨の誓約を書面にし、委託者に提出すること。
(2) (1)の事項に変更が生じた場合、受託者は速やかに変更内容を委託者に提出すること。
3
業務従事者への遵守事項の周知
(1)
受託者は、この契約の履行に関する遵守事項について、委託業務の従事者全員に対し十分に
説明し周知徹底を図ること。
(2) 受託者は、(1)の実施状況を委託者に報告すること。
4
秘密の保持
受託者は、この契約の履行に関して知り得た秘密を漏らしてはならない。この契約終了後も同様
とする。
5
目的外使用の禁止
受託者は、この契約の履行に必要な委託業務の内容を他の用途に使用してはならない。また、こ
の契約の履行により知り得た内容を第三者に提供してはならない。
6
複写及び複製の禁止
受託者は、この契約に基づく業務を処理するため、委託者が貸与する原票、資料、その他貸与品
等及びこれらに含まれる情報(以下「委託者からの貸与品等」という。)を、委託者の承諾なくし
て複写及び複製をしてはならない。
7
作業場所以外への持出禁止
受託者は、委託者が指示又は承認する場合を除き、委託者からの貸与品等(複写及び複製したも
のを含む。)について、2(1)における作業場所以外へ持ち出してはならない。
8
情報の保管及び管理
受託者は、委託業務に係る情報の保管及び管理に万全を期するため、委託業務の実施に当たって
以下の事項を遵守しなければならない。
(1) 全般事項
ア
契約履行過程
(ア) 以下の事項について安全管理上必要な措置を講じること。
別紙
a
委託業務を処理する施設等の入退室管理
b
委託者からの貸与品等の使用及び保管管理
c
仕様書等で指定する物件(以下「契約目的物」という。)、契約目的物の仕掛品及び契
約履行過程で発生した成果物(出力帳票及び電磁的記録物等)の作成、使用及び保管管理
d
その他、仕様書等で指定したもの
(イ) 委託者から(ア)の内容を確認するため、委託業務の安全管理体制に係る資料の提出を求め
られた場合は直ちに提出すること。
イ
契約履行完了時
(ア) 委託者からの貸与品等を、契約履行完了後速やかに委託者に返還すること。
(イ) 契約目的物の作成のために、委託業務に係る情報を記録した一切の媒体(紙及び電磁的記
録媒体等一切の有形物)(以下「記録媒体」という。)については、契約履行完了後に記録
媒体上に含まれる当該委託業務に係る全ての情報を復元できないよう消去すること。
(ウ) (イ)の消去結果について、記録媒体ごとに、消去した情報項目、数量、消去方法及び消去
日等を明示した書面で委託者に報告すること。
ウ
契約解除時
イの規定の「契約履行完了」を「契約解除」に読み替え、規定の全てに従うこと。
エ
事故発生時
契約目的物の納入前に契約目的物の仕掛品、契約履行過程で発生した成果物及び委託者から
の貸与品等の紛失、滅失及び毀損等の事故が生じたときには、その事故の発生場所及び発生状
況等を詳細に記載した書面をもって、遅滞なく委託者に報告し、委託者の指示に従うこと。
(2) 個人情報及び機密情報の取扱いに係る事項
委託者からの貸与品等及び契約目的物に記載された個人情報は、全て委託者の保有個人情報で
ある(以下「個人情報」という。)。また、委託者が機密を要する旨を指定して提示した情報及
び委託者からの貸与品等に含まれる情報は、全て委託者の機密情報である(以下「機密情報」と
いう。)。ただし、委託者からの貸与品等に含まれる情報のうち、既に公知の情報、委託者から
受託者に提示した後に受託者の責めによらないで公知となった情報、及び委託者と受託者による
事前の合意がある情報は、機密情報に含まれないものとする。
個人情報及び機密情報の取扱いについて、受託者は、以下の事項を遵守しなければならない。
ア
個人情報及び機密情報に係る記録媒体を、施錠できる保管庫又は施錠及び入退室管理の可能
な保管室に格納する等適正に管理すること。
イ
アの個人情報及び機密情報の管理に当たっては、管理責任者を定めるとともに、台帳等を設
け個人情報及び機密情報の管理状況を記録すること。
ウ
委託者から要求があった場合又は契約履行完了時には、イの管理記録を委託者に提出し報告
すること。
エ
個人情報及び機密情報の運搬には盗難、紛失、漏えい等の事故を防ぐ十分な対策を講じるこ
と。
オ
(1)イ(イ)において、個人情報及び機密情報に係る部分については、あらかじめ消去すべき情
報項目、数量、消去方法及び消去予定日等を書面により委託者に申し出て、委託者の承諾を得
るとともに、委託者の立会いのもとで消去を行うこと。
カ
(1)エの事故が、個人情報及び機密情報の漏えい、滅失、毀損等に該当する場合は、漏えい、
滅失、毀損した個人情報及び機密情報の項目、内容、数量、事故の発生場所及び発生状況等を
詳細に記載した書面をもって、遅滞なく委託者に報告し、委託者の指示に従うこと。
キ
カの事故が発生した場合、受託者は二次被害の防止、類似事案の発生回避等の観点から、委
託者に可能な限り情報を提供すること。
ク
(1)エの事故が発生した場合、委託者は必要に応じて受託者の名称を含む当該事故に係る必
要な事項の公表を行うことができる。
別紙
ケ
委託業務の従事者に対し、個人情報及び機密情報の取扱いについて必要な教育及び研修を実
施すること。なお、教育及び研修の計画及び実施状況を書面にて委託者に提出すること。
コ
その他、東京都個人情報の保護に関する条例(平成2年東京都条例第113号)に従って、本委
託業務に係る個人情報を適切に扱うこと。
9
委託者の施設内での作業
(1) 受託者は、委託業務の実施に当たり、委託者の施設内で作業を行う必要がある場合には、委託
者に作業場所、什器、備品及び通信施設等の使用を要請することができる。
(2) 委託者は、(1)の要請に対して、使用条件を付した上で、無償により貸与又は提供することが
できる。
(3) 受託者は、委託者の施設内で作業を行う場合は、次の事項を遵守するものとする。
10
ア
就業規則は、受託者の定めるものを適用すること。
イ
受託者の発行する身分証明書を携帯し、委託者の指示があった場合はこれを提示すること。
ウ
受託者の社名入りネームプレートを着用すること。
エ
その他、(2)の使用に関し委託者が指示すること。
再委託の取扱い
(1) 受託者は、この契約の履行に当たり、再委託を行う場合には、あらかじめ再委託を行う旨を書
面により委託者に申し出て、委託者の承諾を得なければならない。
(2) (1)の書面には、以下の事項を記載するものとする。
ア
再委託の理由
イ
再委託先の選定理由
ウ
再委託先に対する業務の管理方法
エ
再委託先の名称、代表者及び所在地
オ 再委託する業務の内容
カ
再委託する業務に含まれる情報の種類(個人情報及び機密情報については特に明記するこ
と。)
キ 再委託先のセキュリティ管理体制(個人情報、機密情報、記録媒体の保管及び管理体制につ
いては特に明記すること。)
ク 再委託先がこの特記仕様書の1及び3から9までに定める事項を遵守する旨の誓約
ケ
その他、委託者が指定する事項
(3) この特記仕様書の1及び3から9までに定める事項については、受託者と同様に、再委託先に
おいても遵守するものとし、受託者は、再委託先がこれを遵守することに関して一切の責任を負
う。
11
実地調査及び指示等
(1) 委託者は、必要があると認める場合には、受託者の作業場所の実地調査を含む受託者の作業状
況の調査及び受託者に対する委託業務の実施に係る指示を行うことができる。
(2) 受託者は、(1)の規定に基づき、委託者から作業状況の調査の実施要求又は委託業務の実施に
係る指示があった場合には、それらの要求又は指示に従わなければならない。
(3) 委託者は、(1)に定める事項を再委託先に対しても実施できるものとする。
12
情報の保管及び管理等に対する義務違反
(1) 受託者又は再委託先において、この特記仕様書の3から9までに定める情報の保管及び管理等
に関する義務違反又は義務を怠った場合には、委託者は、この契約を解除することができる。
(2) (1)に規定する受託者又は再委託先の義務違反又は義務を怠ったことによって委託者が損害を
別紙
被った場合には、委託者は受託者に損害賠償を請求することができる。委託者が請求する損害賠
償額は、委託者が実際に被った損害額とする。
13
かし担保責任
(1) 契約目的物にかしがあるときは、委託者は、受託者に対して相当の期間を定めてそのかしの修
補を請求し、又は修補に代えて、若しくは修補とともに損害の賠償を請求することができる。
(2) (1)の規定によるかしの修補又は損害賠償の請求は、契約履行完了後、契約目的物の引渡しを
受けた日から1年以内に、これを行わなければならない。
14
著作権等の取扱い
この契約により作成される納入物の著作権等の取扱いは、以下に定めるところによる。
(1) 受託者は、納入物のうち本委託業務の実施に伴い新たに作成したものについて、著作権法(昭
和45年法律第48号)第2章第3節第2款に規定する権利(以下「著作者人格権」という。)を有す
る場合においてもこれを行使しないものとする。ただし、あらかじめ委託者の承諾を得た場合は
この限りでない。
(2) (1)の規定は、受託者の従業員、この特記仕様書の10の規定により再委託された場合の再委託
先又はそれらの従業員に著作者人格権が帰属する場合にも適用する。
(3) (1)及び(2)の規定については、委託者が必要と判断する限りにおいて、この契約終了後も継続
する。
(4) 受託者は、納入物に係る著作権法第2章第3節第3款に規定する権利(以下「著作権」という。)
を、委託者に無償で譲渡するものとする。ただし、納入物に使用又は包括されている著作物で受
託者がこの契約締結以前から有していたか、又は受託者が本委託業務以外の目的で作成した汎用
性のある著作物に関する著作権は、受託者に留保され、その使用権、改変権を委託者に許諾する
ものとし、委託者は、これを本委託業務の納入物の運用その他の利用のために必要な範囲で使用、
改変できるものとする。また、納入物に使用又は包括されている著作物で第三者が著作権を有す
る著作物の著作権は、当該第三者に留保され、かかる著作物に使用許諾条件が定められている場
合は、委託者はその条件の適用につき協議に応ずるものとする。
(5) (4)は、著作権法第27条及び第28条に規定する権利の譲渡も含む。
(6) 本委託業務の実施に伴い、特許権等の産業財産権を伴う発明等が行われた場合、取扱いは別途
協議の上定める。
(7) 納入物に関し、第三者から著作権、特許権、その他知的財産権の侵害の申立てを受けた場合、
委託者の帰責事由による場合を除き、受託者の責任と費用を持って処理するものとする。
15
運搬責任
この契約に係る委託者からの貸与品等及び契約目的物の運搬は、別に定めるものを除くほか受託
者の責任で行うものとし、その経費は受託者の負担とする。