端末・サーバ向けホワイトリスト機能を中心とした防御策の有用性の検証

端末・サーバ向けホワイトリストを中心とした
複数の防御対策ツールにおける有効性の検証
企画公募 募集要領
平成 27 年 12 月 4 日
技術研究組合制御システムセキュリティセンター
1.
件名
端末・サーバ向けホワイトリストを中心とした複数の防御対策ツールにおける
有効性の検証
2.
背景・目的
重要インフラの制御システムにおいて、サイバー攻撃によるシステム停止などによる影
響は甚大であり、国家の安全保障および危機管理上重要な課題となっている。実際の重要
インフラの制御システムでは、新旧さまざまなコンポーネントが混在される環境があり、
導入が容易な有効なセキュリティ対策が求められている。
制御システムに対するサイバー攻撃による対応・対処と速やかな復旧のためには、迅速
な侵入または攻撃開始を検知し、それを阻止することで、被害の拡大を最小限にすること
が可能となる。
このため制御システムのセキュリティ機能を強化するために、IDS(IntrusionDetection
System)、デコイ(おとり)サーバなどの検知システムや IPS(IntrusionProtectionSystem)、
ホワイトリスト型対策ツール(ホワイトリスト技術活用)等による検知&防御システム等
が製品化されている。
しかし、実際の制御システム動作環境で有効性が検証されていない課題がある。
このため組込制御機器向け高セキュア化手法を実現するための対策ツール(製品化済み)
が制御システム固有の環境で有効であるかの検証をする。また、一部の機能の高セキュア
化だけでなく、多重・多層防御を実現するための仕組みの組み合わせによる有効性が検証
されていない課題もある。
以上を踏まえ、重要インフラの制御システムのセキュリティを確保するため、研究開発
は、以下を目的として実施する。
(1)端末・サーバ向けホワイトリストを中心とした複数の防御対策ツールにおける有効
性の検証
3.
業務の詳細について
7.2 に記載する説明会時に開示する仕様書を参照すること。
4.
応札者の条件
応札者は以下の要件を満たす企業・団体等とする。
DCS を用いた制御システム構築、および同制御システムと統合される安全計装システ
•
ム構築実績または知識があること。
•
プロセスオートメーション分野に対してのシステム構築実績または知識があること。
•
不正アクセス、コンピュータウイルス感染など、サイバー攻撃やセキュリティに関
する知識があること。
•
本社および研究開発拠点が日本国内にあること。
•
本事業を的確に遂行する組織、人員等を有していること。特に制御システムの開発
業務に携わった経験があるものを本件の担当として割り当てること。
本事業を円滑に遂行するために必要な経営基盤を有し、かつ、資金等について十分
•
な管理能力を有していること。
•
CSSC の目的・業務内容について十分な知識を有すること。
•
制御機器に対する最新の脅威・攻撃手法を熟知していること、あるいは専門家から
支援を得られる体制があること。
7.2.に記載する説明会に出席する者であること。
•
5.
予算規模
3,000 千円(税抜)以内
6.
納品
6.1.
納品場所
宮城県多賀城市桜木 3-4-1(みやぎ復興パークF-21 棟6 階)東北多賀城本部
6.2.
納品期限
平成 28 年 2 月 29 日(月)
6.3.
納品物
以下の実施内容、および結果をまとめた報告書一式
1)
端末・サーバ向けホワイトリストを中心とした複数の防御対策ツールにおける有
効性の検証の成果物
(注)
•
納品方法および形態に関しては、CSSC と協議の上決定すること。
•
報告書について CSSC の委員会において報告会を行うこと。
•
本件の業務内で入手したデータ、文献、資料等がある場合には、当該データ等も併
せて提出すること。
6.4.
検収
納入物件の内容に関しては、説明会開催時に開示する資料に示された項目・条件を満た
しているかについて確認を行う。
7.
応募手続き
7.1.
募集期間
(1)募集開始日
平成 27 年 12 月 4 日(金)
(2)締切日
平成 27 年 12 月 17 日(木)18 時必着
7.2.
説明会の開催
(1)開催日時
平成 27 年 12 月 10 日(木) 11 時 30 分- 12 時 00 分
(2)開催場所
宮城県多賀城市桜木 3-4-1(みやぎ復興パークF-21 棟6 階)東北多賀城本部
(3)説明会の参加申込
説明会への参加を希望する者は、12 月 9 日(水)15 時までに、電子メールにて、
[email protected]に次に示す内容を連絡すること。
・メールの件名(題名):「端末・サーバ向けホワイトリストを中心とした複数の防御対
策ツールにおける有効性の検証の開発申し込み」とすること。
・本文:「所属組織名」「出席者の氏名(ふりがな)」「所属(部署名)」「電話番号」「FA
X番号」「E-mail アドレス」を明記すること。
(4)秘密保持誓約
別紙1に示す秘密保持誓約書に、社印または代表者印を捺印の上、説明会に持参するこ
と。
(5)その他
会場の都合により、説明会への出席は、応募単位毎に 3 名までとすること。
7.3.
応募書類
(1)提出書類
・申請書(別紙2)<申請書1部>
・企画提案書(別紙3)<6部>
※企画提案書には、評価基準の各項目に該当する箇所を明示すること。
・会社概要票及び直近の過去5年分の財務諸表<1部>
(2)応募書類の提出先
応募書類は郵送・宅配便・または持ち込みにより、以下に提出のこと。
〒985-0842宮城県多賀城市桜木 3-4-1みやぎ復興パークF-21 棟6 階
技術研究組合制御システムセキュリティセンター公募担当宛
8.
審査・採択について
8.1.
審査方法
採択にあたっては、CSSC 内で構成される委員会で審査を行い決定する。
なお、応募期間締め切り後に、必要に応じて提案に関するヒアリングを実施する。
8.2.
審査基準
以下の審査基準に基づいて総合的な評価を行う。
評価項目
評価基準
配点
提案内容
仕様書の内容について全て提案されているか。
10
提案内容は妥当なものであるか。
10
提案内容は実現性があるか。
10
仕様書に示した内容以外の独自の提案がされているか。
10
添付文書は妥当なものであるか。
10
体制
サイバー攻撃の攻撃手法に対し知識・知見を有するか。
10
及び実績
制御システムセキュリティに関する知識を有するか。
10
提案内容を行う上で適切な財政基盤、経理処理能力を有し
10
50
40
ているか。
提案内容に関する知識・知見を有するか。
10
経費
提案内容について妥当な経費が示されているか。
10
合計
10
100
8.3.
審査基準
採択された申請者については、当該申請者に対しその旨を通知する。
9.
契約書案
別紙4参照
10.
作業場所
原則として実証環境の構築については、CSS-Base6(制御システムセキュリティテストベ
ッド施設)にて実施すること。その他の作業については、受託者の事業所内にて実施する
こと。
11.
その他留意事項
・作業は CSSC の指示に基づき行うものとし、必要に応じて適宜ミーティング等により作
業内容の調整を行うものとする。
・請負者は、各作業項目について、作業が一定程度終了したものから随時 CSSC に報告す
ること。
・CSSC と秘密保持契約を交わし、CSSC から知り得た情報を関係者外に漏らさないこと。
別紙1
技術研究組合制御システムセキュリティセンター 理事長 新 誠一殿
「端末・サーバ向けホワイトリストを中心とした
複数の防御対策ツールにおける有効性の検証」
説明会出席に係わる秘密保持誓約書
上記説明会に出席するに際し、説明会で得た情報を、第三者に漏らさないことを誓い
ます。
平成
年
月
日
組織名
住所
代表者
印
別紙2
受付番号
※記載不要
技術研究組合制御システムセキュリティセンター 宛
「端末・サーバ向けホワイトリストを中心とした
複数の防御対策ツールにおける有効性の検証」
申請書
企業・団体名
印または署名
申
請
者
所在地
氏名(ふりがな)
所属(部署名)
役職
住所
代表者役職・氏名
連
絡
担
当
窓
口
電話番号
(代表・直通)
E-Mail
別紙3
受付番号
※記載不要
「端末・サーバ向けホワイトリストを中心とした
複数の防御対策ツールにおける有効性の検証」
企画提案書
1.業務の背景と目的
2.提案する業務の内容
3.体制および事業実績
・責任者の関連実績、および応札者の条件に示した要件に関する実績等
4.成果物
5.その他
・その他特記事項
6.価格(千円)
※可能な範囲で構成要素等の価格を明示すること。
小計
消費税及び地方消費税 総額 千円(※総額は予算の範囲内とすること)
企画提案書は、20 頁以内とすること。
別紙4
2015 制契第 号
「端末・サーバ向けホワイトリストを中心とした
複数の防御対策ツールにおける有効性の検証」
に関する請負契約書
技術研究組合制御システムセキュリティセンター(以下「甲」という。)と××××(以
下「乙」という。)とは、「端末・サーバ向けホワイトリストを中心とした複数の防御対策
ツールにおける有効性の検証」について以下のとおり本契約(末尾付記の「特記事項」及び
別紙添付の「個人情報の取扱いに関する特則」を含む。)を締結する。
(契約の目的)
第 1 条 甲は、別紙の仕様書に基づく「端末・サーバ向けホワイトリスト機能の有用性の検
証」(以下「請負業務」という。)の実施につき、乙に発注し、乙はこれを請負う。 (再請負の制限)
第 2 条 乙は、請負業務の全部を第三者に請負わせてはならない。
2 乙は、請負業務の一部を第三者(以下「再請負先」という。)に請負わせようとするとき
は、事前に再請負先、再請負作業内容及び請負わせる理由等を書面により甲に届け出る。
なお、再請負先からの見積書を添付するものとする。
3 前項に基づき乙が請負業務の一部を再請負先に請負わせた場合においても、甲は、再請
負先の行為を全て乙の行為とみなし、乙に対し、本契約上の責任を問うことができる。
(責任者の選任)
第 3 条 乙は、請負業務を実施するにあたって、責任者(乙の正規従業員に限る)を選任し
て甲に届け出る。
2 責任者は、請負業務の進捗状況を常に把握するとともに、甲との連絡窓口として、各進
捗状況について甲の随時の照会に応じるとともに定期的または必要に応じてこれを甲に報
告するものとする。
3 乙は、第 1 項により選任された責任者に変更がある場合は、直ちに甲に届け出る。
(納入物件及び納入期限)
第 4 条 乙は、別紙の仕様書に定める報告書等(以下「納入物件」という。)を 2016 年 3 月
15 日(以下「納入期限」という。)までに甲に納入する。
(契約金額)
第 5 条 甲が本契約の対価として乙に支払うべき契約金額は、金 XXXXXXXX 円(うち消費税
及び地方消費税 XXXXXXX 円)とする。
(権利義務の譲渡)
第 6 条 甲および乙は、この契約によって生じる権利又は義務を第三者に譲渡し、又は承継
させてはならない。
2 前項の規定は、本契約終了後も有効に存続する。
(実地調査)
第 7 条 甲は、必要があると認めるときは、乙の同意を得て乙並びに請負業務の再請負先に
対し、自ら又はその指名する第三者をして、請負業務の実施状況等について、報告又は資
料を求め、若しくは事業所(再請負先の事業所を含む)に臨んで実地に調査を行うことが
できる。
2 前項において、甲は乙に意見を述べ、補足資料の提出を求めることができる。
(検査)
第 8 条 甲は、第 4 条の規定により納入物件の納入を受けた日から 15 日以内に、当該納入
物件について別紙の仕様書に基づき検査を行い、同仕様書に定める基準に適合しない事実
を発見したときは、当該事実の概要を書面によって直ちに乙に通知する。
2 前項所定の期間内に同項所定の通知が無いときは、当該期間満了日をもって当該納入物
件は同項所定の検査に合格したものとみなす。
3 請負業務は、当該納入物件が本条による検査に合格した日をもって完了したものとみな
す。この場合、甲は、完了を確認するために請負業務の完了通知書を乙に交付する。
4 第 1 項及び第 2 項の規定は、第 1 項所定の通知書に記載された指摘事実に対し、乙が適
切な修正等を行い甲に再納入する場合に準用する。
(瑕疵の補修)
第 9 条 甲は、前条第 3 項の規定による請負業務の完了日から 1 箇年以内に納入物件に瑕疵
その他の不具合(以下「瑕疵等」という。)があることを発見したときは、乙に対して相当
の期限を定めて、その瑕疵等を無償で補修させることができる。
2 前項の規定は、本契約終了後も有効に存続する。
(対価の支払の時期)
第 10 条 甲は、第 8 条第 3 項の規定による請負業務の完了後、乙から適法な支払請求書を
受理した日の属する月の翌月末日までに契約金額を支払う。
(違約金)
第 11 条 天災その他乙の責に帰すことができない事由による場合を除き、乙が納入期限ま
でに納入物件の納入が終らないときは、甲は違約金として、延滞日数 1 日につき支払遅延
金額に対し年率 6%の割合で計算した額を徴収することができる。
(契約の変更)
第 12 条 甲又は乙は、各々、自己の責に帰すべき事由の有無を問わず、請負業務の実施に
伴い状況が変化したり、技術上の支障が生じるなどして、別紙仕様書の目標を達成できず
請負業務の全部又は一部の中止又は変更を希望する場合、本契約の変更の協議を契約の相
手方に申し出ることができる。この場合、契約の相手方は、誠意をもって対応する。但し、
次条による解除権の行使を妨げない。
(契約の解除等)
第 13 条 甲は、次の各号の一に該当する事由がある場合には、本契約又は本契約に基づく
個別契約の全部または一部を解除することができる。
一 乙が本契約に違反しそのため本契約の目的達成に重大な支障が生じていると認めら
れるときに相当期間を定めて履行の催告をしても当該不履行が解消されない場合
二 乙の責に帰すべき事由により、本契約を履行する見込みがないと認めるに足る客観的
状況が生来した場合
三 乙が、甲に対し、請負業務並びに本契約が定める届出及び報告に関して、不正又は虚
偽の申立てをした場合
2
本契約の解除が納入の後になされた場合、契約対価の支払い、権利帰属その他の
法律関係は、解除によって初めに遡って効力を失う。ただし、かかる場合、当該解除時点
までの乙の既履行部分の対価に相当する金額を甲乙間の協議により決定し、甲は乙に対し
当該金額を支払うものとする。
3 第 1 項第三号に該当する事由がある場合、甲は、契約を解除せずに、乙に対して契約対
価額の変更、支払済契約対価の全部若しくは一部の返還、及び/又は損害の賠償を求める
ことができる。
4 乙の本契約違反の程度が著しく、または乙に重大な背信的言動があった場合、甲は、第
1 項にかかわらず、催告せずに直ちに本契約または本契約に基づく個別契約の全部又は一部
を無償解除することができる。
(秘密保持及び個人情報)
第 14 条 甲及び乙は、相互に本契約の履行過程において知り得た相手方の秘密を他に漏洩
せず、また本契約の目的の範囲を超えて利用しない。但し、甲が、法令等、官公署の要求、
その他公益的見地に基づいて、必要最小限の範囲で開示する場合を除く。
2
秘密情報の開示を受けた当事者は、本業務完了または解除の後ただちに、秘密
情報(複製を含む)もしくは委託または提供を受けた個人情報に関する全ての資料を
開示した当事者の指示により返却、消去または廃棄するものとする。
3個人情報に関する取扱いについては、別紙 1 のとおりとする。
4 前各項の規定は、本契約終了後も有効に存続する。
(工業所有権の帰属等)
第 15 条 乙が、請負業務を遂行する過程で発明(考案及び意匠の創作を含む。)をしたとき
は、その工業所有権は、その権利の発生の時から甲に帰属し、或いは甲に譲渡されたもの
とみなす。
(著作権等)
第 16 条 納入物件の創作により発生した著作権(著作権法第 27 条及び第 28 条に定める権
利を含む。)は、納入物件が第 8 条所定の検査に合格することを条件として、納入の時に、
乙から甲に譲渡されたものとみなす。納入物件の中に乙が従来より有している著作物また
は第三者の著作物が含まれている場合は、これらの著作物の著作権は乙または当該第三者
に留保されるものとする。ただし、乙は、甲によるこれらの本契約目的に基づく著作物利
用に支障がないよう、法令に従い必要な措置を取るものとする。
2 乙は、納入物件に対する著作権法第 28 条の権利、その他“原作品の著作者/権利者”
の地位に基づく権利主張は行わないものとする。
(知的財産権の紛争解決)
第 17 条 乙は、納入物件に関し、甲及び国内外の第三者が所有する著作権、特許権、回路
配置利用権、ノウハウを含む工業所有権等(公告、公開中のものを含む。)(以下「知的
財産権」という。)を侵害しないことを保証するとともに、侵害の恐れがある場合、又は甲
からその恐れがある旨の通知を受けた場合には、当該知的財産権に関し、甲の要求する事
項及びその他の必要な事項について調査を行い、これを甲に報告しなければならない。
2 乙は、前項の知的財産権に関して乙の責に帰すべき事由により権利侵害の紛争が生じた
場合(私的交渉、仲裁を含み、法的訴訟に限らない。)、その費用と責任負担において、そ
の紛争を処理解決するものとし、甲に対し一切の負担及び損害を被らせないものとする。
3 第 9 条の規定は、知的財産権に関する紛争には適用しない。また、前各号の規定は、本
契約終了後も有効に存続する。
(成果の発表又は公開)
第 18 条 甲は、請負業務に係る成果を公表又は公開(出版を含む。以下同様)することが
できる。
2 乙は、成果普及のために甲が成果報告書等を作成する場合には、甲に協力する。
3 乙は、請負業務に係る成果を公表又は公開しようとするときは、その方法、権利関係等
について事前に甲と協議してその了解を得る。なお、甲の要請がある場合は、甲と共同し
て行う。
4 乙は、請負業務の内容を発表又は公表しようとする場合には、著作権表示その他法が定
める権利表示と共に「技術研究組合制御システムセキュリティセンターが実施する事業の
成果」である旨を表示しなければならない。
5 本条の規定の規定は、本契約終了後も有効に存続する。
(損害賠償)
第 19 条 乙は、乙の責に帰すべき事由によって甲に損害を与えたときは、その賠償の責を
負う。ただし、乙の負う賠償責任は、故意又は重大な過失がある場合を除き、第 5 条所定
の契約金額を超えないものとする。
(協議)
第 20 条 本契約に定める事項又は本契約に定めのない事項について生じた疑義については、
甲乙協議し、誠意をもって解決する。
(その他)
第 21 条 本契約に関する紛争については、東京地方裁判所を唯一の合意管轄裁判所とする。
特記事項
(談合等の不正行為による契約の解除)
第 1 条 甲は、次の各項のいずれかに該当したときは、催告を要せず直ちに本契約を解除
することができる。
1 本契約に関し、乙が私的独占の禁止及び公正取引の確保に関する法律(昭和 22 年法律 54
号。以下「独占禁止法」という。)第 3 条又は第 8 条第 1 項第 1 号の規定に違反する行為
を行ったことにより、次の各号のいずれかに該当することとなったとき
(1)独占禁止法第 49 条第 1 項に規定する排除措置命令が確定したとき
(2)独占禁止法第 50 条第 1 項に規定する課徴金納付命令が確定したとき
(3)独占禁止法第 66 条第 4 項の審決が確定したとき
(4)独占禁止法第 7 条の 2 第 13 項又は第 16 項の課徴金納付命令を命じない旨の通知があ
ったとき
2 本契約に関し、乙の独占禁止法第 89 条第 1 項又は第 95 条第 1 項第 1 号に規定する刑が
確定したとき
3 本契約に関し、乙(法人の場合にあっては、その役員又は使用人を含む。)の刑法(明治
40 年法律第 45 号)第 96 条の 3 又は第 198 条に規定する刑が確定したとき
(談合等の不正行為に係る通知文書の写しの提出)
第 2 条 乙は、前条第 1 項各号のいずれかに該当することとなったときは、速やかに、次の
各号の文書のいずれかの写しを甲に提出しなければならない。
(1)独占禁止法第 49 条第 1 項の排除措置命令書
(2)独占禁止法第 50 条第 1 項の課徴金納付命令書
(3)独占禁止法第 66 条第 4 項の審決についての審決書
(4)独占禁止法第 7 条の 2 第 13 項又は第 16 項の課徴金納付命令を命じない旨の通知文書
(談合等の不正行為による損害の賠償)
第 3 条 乙が、本契約に関し、第 1 条の各項のいずれかに該当したときは、甲が本契約を解
除するか否かにかかわらず、且つ、甲が損害の発生及び損害額を立証することを要するこ
となく、乙は、契約金額(本契約締結後、契約金額の変更があった場合には、変更後の契
約金額)の 100 分の 10 に相当する金額(その金額に 100 円未満の端数があるときは、そ
の端数を切り捨てた金額)を違約金(損害賠償額の予定)として甲の指定する期間内に支
払わなければならない。
2 第 1 項に規定する場合において、乙が事業者団体であり、既に解散しているときは、甲
は、乙の代表者であった者又は構成員であった者に違約金の支払を請求することができる。
この場合において、乙の代表者であった者及び構成員であった者は、連帯して支払わなけ
ればならない。
3 第 1 項の規定は、甲に生じた実際の損害額が同項に規定する損害賠償金の金額を超える
場合において、甲がその超える分について乙に対し損害賠償金を請求することを妨げるも
のではない。
4 乙が、第 1 項の違約金及び前項の損害賠償金を甲が指定する期間内に支払わないときは、
乙は、当該期間を経過した日から支払をする日までの日数に応じ、年 5 パーセントの割合
で計算した金額の遅延利息を甲に支払わなければならない。
5 本条の規定は、本契約が終了した後も有効に存続するものとする。
(暴力団関与の場合の契約の解除等)
第 4 条 甲は、乙(法人の場合にあっては、その役員又は使用人を含む。)について、暴力
団員による不当な行為の防止等に関する法律(平成 3 年法律第 77 号)第 2 条に規定する
暴力団又は暴力団員と関係があることが判明したときは、本契約を解除することができる。
2 乙が、本契約に関し、前項の規定に該当したときは、甲が本契約を解除するか否かにか
かわらず、且つ、甲が損害の発生及び損害額を立証することを要することなく、乙は、契
約金額(本契約締結後、契約金額の変更があった場合には、変更後の契約金額)の 100 分
の 10 に相当する金額(その金額に 100 円未満の端数があるときは、その端数を切り捨て
た金額)を違約金(損害賠償額の予定)として甲の指定する期間内に支払わなければなら
ない。
3 第 1 項に規定する場合において、乙が事業者団体であり、既に解散しているときは、甲
は、乙の代表者であった者又は構成員であった者に違約金の支払を請求することができる。
この場合において、乙の代表者であった者及び構成員であった者は、連帯して支払わなけ
ればならない。
4 第 2 項の規定は、甲に生じた実際の損害額が同項に規定する損害賠償金の金額を超える
場合において、甲がその超える分について乙に対し損害賠償金を請求することを妨げるも
のではない。
5 乙が、第 2 項の違約金及び前項の損害賠償金を甲が指定する期間内に支払わないときは、
乙は、当該期間を経過した日から支払をする日までの日数に応じ、年 5 パーセントの割合
で計算した金額の遅延利息を甲に支払わなければならない。
6 本条の規定は、本契約が終了した後も有効に存続するものとする。
本契約の締結を証するため、本契約書 2 通を作成し、双方記名押印の上、甲、乙それぞ
れ 1 通を保有する。
2015 年 X 月 X 日
甲東京都江東区青海二丁目 3 番 26 号
技術研究組合制御システムセキュリティセンター
理事長 新 誠一
乙 (別紙)
個人情報の取扱いに関する特則
(定 義)
第 1 条 本特則において、「個人情報」とは、請負業務に関する情報のうち、個人に関する情報で
あって、当該情報に含まれる記述、個人別に付された番号、記号その他の符号又は画像もしく
は音声により当該個人を識別することのできるもの(当該情報のみでは識別できないが、他の
情報と容易に照合することができ、それにより当該個人を識別できるものを含む。)をいい、秘
密であるか否かを問わない。以下各条において、「当該個人」を「情報主体」という。
(責任者の選任)
第 2 条 乙は、個人情報を取扱う場合において、個人情報の責任者を選任して甲に届け出る。
2 乙は、第 1 項により選任された責任者に変更がある場合は、直ちに甲に届け出る。
(個人情報の収集)
第 3 条 乙は、請負業務遂行のため自ら個人情報を収集するときは、「個人情報の保護に関する
法律」その他の法令に従い、適切且つ公正な手段により収集するものとする。
(開示・提供の禁止)
第 4 条 乙は、個人情報の開示・提供の防止に必要な措置を講じるとともに、甲の事前の書面によ
る承諾なしに、第三者(情報主体を含む)に開示又は提供してはならない。但し、法令又は強制
力ある官署の命令に従う場合を除く。
2 乙は、請負業務に従事する従業員以外の者に、個人情報を取り扱わせてはならない。
3 乙は、請負業務に従事する従業員のうち個人情報を取り扱う従業員に対し、その在職中及び
その退職後においても個人情報を他人に開示・提供しない旨の誓約書を提出させるとともに、
随時の研修・注意喚起等を実施してこれを厳正に遵守させるものとする。
(目的外使用の禁止)
第 5 条 乙は、個人情報を請負業務遂行以外のいかなる目的にも使用してはならない。
(複写等の制限)
第 6 条 乙は、甲の事前の書面による承諾を得ることなしに、個人情報を複写又は複製してはなら
ない。但し、請負業務遂行上必要最小限の範囲で行う複写又は複製については、この限りでは
ない。
(個人情報の管理)
第 7 条 乙は、個人情報を取り扱うにあたり、本特則第 4 条所定の防止措置に加えて、個人情報に
対する不正アクセスまたは個人情報の紛失、破壊、改ざん、漏えい等のリスクに対し、合理的
な安全対策を講じなければならない。
2 乙は、前項に従って講じた措置を、遅滞なく甲に書面で報告するものとする。これを変更した場
合も同様とする。
3 甲は、乙に事前に同意を得て乙の事業所に立入り、乙における個人情報の管理状況を調査す
ることができる。
4 前三項に関して甲が別途に管理方法を指示するときは、乙は、これに従わなければならな
い。
5 乙は、請負業務に関して保管する個人情報(甲から預託を受け、或いは乙自ら収集したものを
含む)について甲から開示・提供を求められ、訂正・追加・削除を求められ、或いは請負業務へ
の利用の停止を求められた場合、直ちに且つ無償で、これに従わなければならない。
(返還等)
第 8 条 乙は、甲から要請があったとき、又は請負業務が終了(本契約解除の場合を含む)したと
きは、個人情報が含まれるすべての物件(これを複写、複製したものを含む。)を直ちに甲に返
還し、又は引き渡すとともに、乙のコンピュータ等に登録された個人情報のデータを消去して復
元不可能な状態とし、その旨を甲に報告しなければならない。但し、甲から別途に指示があると
きは、これに従うものとする。
2 乙は、甲の指示により個人情報が含まれる物件を廃棄するときは、個人情報が判別できない
よう必要な処置を施した上で廃棄しなければならない。
(再請負)
第 9 条 乙が甲の承諾を得て請負業務を第三者に再請負する場合は、十分な個人情報の保護水
準を満たす再請負先を選定するとともに、当該再請負先との間で個人情報保護の観点から見
て本特則と同等以上の内容の契約を締結しなければならない。この場合、乙は、甲から要求を
受けたときは、当該契約書面の写しを甲に提出しなければならない。
2 前項の場合といえども、再請負先の行為を乙の行為とみなし、乙は、本特則に基づき乙が負担
する義務を免れない。
(事 故)
第 10 条 乙において個人情報に対する不正アクセスまたは個人情報の紛失、破壊、改ざん、漏え
い等の事故が発生したときは、当該事故の発生原因の如何にかかわらず、乙は、ただちにそ
の旨を甲に報告し、甲の指示に従って、当該事故の拡大防止や収拾・解決のために直ちに応
急措置を講じるものとする。なお、当該措置を講じた後ただちに当該事故及び応急措置の報告
並びに事故再発防止策を書面により甲に提示しなければならない。
2 前項の事故が乙の本特則の違反に起因する場合において、甲が情報主体又は甲の顧客等か
ら損害賠償請求その他の請求を受けたときは、甲は、乙に対し、その解決のために要した費用
(弁護士費用を含むがこれに限定されない)を求償することができる。なお、当該求償権の行使
は、甲の乙に対する損害賠償請求権の行使を妨げるものではない。
3 第 1 項の事故が乙の本特則の違反に起因する場合は、本契約第 13 条によって本契約が解除
される場合を除き、乙は、前二項のほか、当該事故の善後策として必要な措置について、甲の
別途の指示に従うものとする。
以上