仕 様 書 1 件名 FISC 安全対策基準に対するJPグループクラウドの運用状況等評価の委託 2 目的 金融業者を含む日本郵政グループ各社にサービス提供している「クラウドシステム」の運用 状況及びサイバー攻撃対策状況を FISC 安全対策基準と照らして第三者の視点から客観的に評 価し、抽出された課題改善の方向性を明らかにする。 3 委託内容 (1) 評価計画書の策定 クラウドシステムの「運用状況」及び「サイバー攻撃対策状況」それぞれの評価について、 評価基準(チェックリスト)を含む評価計画書を策定する。 ア 日本郵政株式会社(以下「当社」という。 )で事前に実施されている情報セキュリティに 係る評価の結果(例.東新宿拠点への運用拠点移転時のセルフチェック結果及びグループ共 通基盤システムのセキュリティ第三者評価結果等)を利用し、評価対象組織(当社システ ム開発管理部(以下「主管担当」という。)及び日本郵政インフォメーションテクノロジー 株式会社(以下「JPiT」という。 ) )の業務負荷を考慮した効率のよい評価計画を策定する。 イ 評価基準は、 「FISC 金融機関等コンピュータシステムの安全対策基準・解説書」のクラ ウドシステムの運用及びサイバー攻撃対策に係る管理項目を主とし、必要に応じて、その 他情報セキュリティに関する公的基準を参照し、受託者の知見を踏まえて作成する。 ウ 評価基準を含む評価計画は、評価実施前に主管担当へ提出し、承認を得た上で、評価実 施にする。 (2) 評価実施(運用状況の評価) クラウドシステムの運用拠点(DC1 データセンター(関東)、DC2 京都データセンター(関 西) 、運用拠点(関東)とし、詳細な住所地番は契約締結後に通知する。 )におけるシステム 運用業務について、FISC 安全対策基準の視点から客観的に評価し、セキュリティに係る課題 を抽出し、主管担当及び JPiT と協議の上、改善の方向性を検討する。 ア 評価実施方法は、関連文書の閲覧及び運用担当者へのインタビューとする。 イ 評価の進捗状況及び評価結果を適宜報告するため、主管担当との定例会(週 1 回程度) を行う。 ウ 評価の結果発見した課題については、評価対象組織へ適宜展開し、改善の方向性につい て協議する。 (3) 評価実施(サイバー攻撃対策状況の評価) クラウドシステムを構成する機器について、第三者の視点からサイバー攻撃対策状況を評 価し、セキュリティに係る課題を抽出し、主管担当及び JPiT と協議の上、改善の方向性を検 討する。 ア 外部ファイル連携サービスの Web アプリケーションの主要画面に対して、SQL インジェ クションの脆弱性等についてのセキュリティ評価を実施する。 イ 外部ファイル連携サービスの Web サーバに対して、インターネット経由で擬似的な攻撃 を行い、既知の脆弱性が存在しないか、セキュリティ評価を実施する。 ウ 外部ファイル連携サービスの Web サーバ、運用拠点の運用端末及び Active Directory に ログインし、手動によりセキュリティに関する設定値やサービス稼働状況等を評価する。 エ 主管担当が提示するシステム設計書、運用設計書及び運用手順書等からリスクを分析し、 効果的な評価方法を主管担当と協議の上、決定する。 オ 評価実施の進捗状況及び評価結果を適宜報告するため、主管担当との定例会(週 1 回程 度)を行う。 カ 評価の結果発見した課題については、評価対象組織へ適宜展開し、改善の方向性につい て協議する。 (4) 評価報告 クラウドシステムの「運用状況」及び「サイバー攻撃対策状況」それぞれの評価について、 発見された課題及びそれらに対する改善の方向性をまとめた報告書を策定する。 ア 評価結果の総論、発見された課題及びそれらに対する改善の方向性を「評価結果報告書 (概要) 」としてまとめる。 イ 評価基準毎(チェックリスト)の評価結果を「評価結果報告書(詳細)」としてまとめる。 ウ 「サイバー攻撃対策状況」の評価について、サイバー攻撃の対策状況を予防・発見の両 面から効果的な対応策が検討できるように取りまとめること。 エ 「運用状況」及び「サイバー攻撃対策状況」の評価結果を「評価結果取りまとめ報告会」 にて報告し、当該内容を主管担当及び JPiT と合意の上、報告書として提出すること。 4 委託期間 契約締結日から 2016 年 3 月 31 日(木) 想定している詳細なスケジュールは、次のとおり。 ただし、各作業の開始日・終了日は、評価計画内容に応じて変更可。 作業項目 期間 評価計画書の策定 契約締結日∼2016 年 2 月 5 日(金) - 評価実施 2016 年 2 月 8 日(月)∼2016 年 3 月 4 日(金) - 評価結果取りまとめ 2016 年 3 月 7 日(月)∼2016 年 3 月 25 日(金) - (報告会) 2016 年 3 月 28 日(月)∼2016 年 3 月 31 日(木) 5 備考 左記期間中に実施 作業場所 (1) 評価対象組織へのヒアリング等の実施場所については、主管担当が調整の上、都度通知す る。 (2) 定例会は運用拠点(関東)にて実施すること。 (3) その他作業場所については、受託者にて用意すること。 6 納入成果物等 (1) 納入成果物 ア 評価計画書 イ 評価結果報告書(概要) ウ 評価結果報告書(詳細) なお、いずれの成果物も「運用状況の評価」及び「サイバー攻撃対策状況の評価」の別を明 らかにすること。 また、 「運用状況」の評価結果については、いずれの運用拠点に対する評価結果なのかを明ら かにすること。 (2) 納入方法 ア ドキュメント 2式 (正・副) イ ドキュメントを格納した CD-R 又は DVD-R 2式(正・副) ※ マイクロソフト社の「Microsoft Word2010」、 「Microsoft Excel2010」及び「Microsoft PowerPoint2010」を使用、若しくはこれらと互換性のあるアプリケーションを用いて作 成すること。 なお、納品の際は、品名、媒体別数量、納入年月日及び納入者名等が明記された納品書 を添付すること。 (3) 納入期限 2016 年 3 月 31 日(木) (4) 納入場所 〒100‐8798 東京都千代田区霞が関一丁目3番2号 主管担当 7 提出物 (1) 提出物 定例会資料 (2) 提出方法 ア ドキュメント 2式 (正・副) イ ドキュメントを格納した CD-R 又は DVD-R 2式(正・副) ※ マイクロソフト社の「Microsoft Word2010」、 「Microsoft Excel2010」及び「Microsoft PowerPoint2010」を使用、若しくはこれらと互換性のあるアプリケーションを用いて作 成すること。 (3) 提出期限 2016 年 3 月 31 日(木) (4) 提出場所 〒100-8798 東京都千代田区霞が関一丁目3番2号 主管担当 8 作業における留意事項 (1) 再委託の禁止 受託者は、受託業務を他者に再委託することを禁止する。 (2) 総括責任者の設置及び要員の確保 受託者は本件における受託者側の総括責任者を設置すること。また、本仕様書に定める作 業を理解し、適切な作業を遂行するため本仕様書に記載する要件を満たす能力を有する要員 を必要数確保すること。また、要員については、スケジュールに応じた要員計画とその根 拠を示すこと。 (3) 要員の変更 ア 主管担当の求めによる要員変更 主管担当が、受託者の体制が本仕様書に記載する要件を満たさないと判断した場合、主 管担当は受託者側の総括責任者と協議の上、作業の適切な遂行のための体制強化を求める ことができる。この場合、受託者側の総括責任者は、速やかに対応すること。 イ 受託者の都合による要員変更 主要メンバーについては、原則変更せずに対応すること。ただし、真にやむを得ない場 合には、事前に主要メンバー変更の対処法について主管担当に承認を得た上で変更するこ と。 (4) 偽装請負の防止 偽装請負の防止のため、主管担当が本件受託者に直接業務指示を行わないこととするが、 主管担当からの直接業務指示に該当すると考えられる指示がある場合、受託者は主管担当 への報告を行うこと。 (5) 苦情相談への対応体制 委託業務に関し日本郵政グループ各社からの苦情・要望・意見が主管担当に申し立てられ た場合の苦情相談体制を整備すること。申立てに対しては、主管担当と協議の上、回答を作 成すること。 9 携帯電話等の持込み 日本郵政グループ各社の事務室、機器室等の日本郵政グループが管理する建屋内に携帯電話、 パソコン及び記録媒体等を持ち込む必要がある場合は、事前に主管担当に申し出て許可を受け ること。 なお、許可に必要な申請書等については別添「データ保護・管理要領」を参照すること。 10 秘密保持等 (1) 本件受託者は、データの取り扱いについて別添「データ保護・管理要領」を遵守すること。 (2) 本件受託者は、本契約に関して当社が開示した情報(公知の情報等を除く。) 及び契約履行 過程で生じた納入成果物等に関する情報を、本契約の目的以外に使用又は第三者に開示若し くは漏えいしてはならないこととし、また、その守秘性を保全・維持するために必要な一切 の部分については、第三者に開示、実施又は使用させてはならない。 (3) 本件は、上記(2)の確保のために必要な措置を講ずること。 なお、上記(2)に係る情報等を第三者に開示する必要がある場合は、主管担当と協議し承認 を得ること。 11 その他 (1) 本契約の実施に当たり、本仕様書の内容及び解釈等について疑義が生じた場合は、事前に 主管担当(TEL:03-3504-4291)と協議の上、決定・解決すること。 この場合、受託者は当該協議に関する議事録を作成し、主管担当の承認を受けること。 (2) 受託業務及び打合せ等に必要となる交通費及び消耗品等その他の費用には、受託者が費用 負担すること。 (3) 受託者が行う作業はインターネット経由の評価を含め、すべて日本国内で実施すること。 (4) 受託者は、大手金融機関及び中央省庁のクラウドシステムに対するサイバー攻撃対策状況 評価の実績から得た知見を活用して有効かつ効果的な提言を行うこと。 (5) 当社が提供する施設での作業時は胸章・腕章等を着用する等、主管担当の指示に従うこと。 また、作業要領について主管担当と事前に合意すること。 (6) 本契約の履行に従事する貴社労働者に対し、公益通報者保護法に係る当社通報窓口につい て当社指定の周知文を受領したことを確認の上、当該周知文を用いて周知に努めること。 (7) 受託者は、受託した業務の提供に当たって第三者の製品を使用する場合には、当該製品の ベンダーから得た権利(保障及び補償請求権を含む)をそれらが譲渡可能である範囲で、当 社にそのまま譲渡すること。 なお、第三者製品を使用した場合の障害発生時の対応は、受託者が行うこととする。また、 その他定めるべき条件がある場合には、主管担当と受託者にて協議し定めることとする。 (8) 受託者は、受託者若しくは第三者の既存著作物を使用する場合は、事前に当社にその旨報 告し、著作権は受託者若しくは第三者に留保されるものとする。受託者は当社に使用権を許 諾するものとし、その際定めるべき条件がある場合には、主管担当と受託者にて協議し定め ることとする。 (9) 受託者は、検収後速やかに請求書を発行し、主管担当へ提出すること。 (10)契約手続きについては、当社総務・人事部門 総務部 調達室(TEL:03-3504-4147)あて に照会すること。 別 添 データ保護・管理要領 1 (目的) 本件委託業務において取り扱う各種データについて、適正なデータ保護・管理方策、情報システム のセキュリティ方策及びデータの漏えい、亡失、改ざん、消去等(以下「データ漏えい等」という。) 発生時に実施すべき事項・手順等について明確にすることを目的とする。 2 (適用範囲) 本件委託業務で取り扱う、主管担当が交付又は使用を許可したすべてデータ(電子データ、印刷さ れた情報を含む)を対象とする。 3 (本件委託業務を受託する者が遵守すべき事項) 受託者は、本契約の履行に関して、以下の項目をすべて遵守すること。 (1) 委託作業開始前の遵守事項 受託者は、下記アからカの各項に定める事前計画内容を遵守し、「データ管理計画書」として取り まとめた上で主管担当に提出し、主管担当の承認を受けること。 ア データ取扱者等の指定 受託者は、上記「第2 適用範囲」に定めるデータを取り扱う者(以下「データ取扱者」という。) 及び、データ取扱者を統括する者であり、情報システム部門に精通した課長相当職以上の者(以下 「データ取扱責任者」という。)を指定し、その所属、役職及び氏名等を記入した「データ取扱者 等名簿」を作成すること。 なお、データ取扱者及びデータ取扱責任者(以下「データ取扱者等」という。)は、守秘義務等デ ータの取扱いに関する社内教育、又はこれに準ずる講習等を受講した者とし、その受講実績も併せ て記入すること。 「データ取扱者等名簿」に変更が生じる場合は、変更の都度、主管担当に提出すること。 イ データ取扱者等への教育・周知 受託者は、本件委託業務で取り扱う各データについて、その取扱いや漏えい防止等に係る「教 育・周知計画書」を作成し、本データ保護・管理要領の内容に関して、データ取扱者等に対する教 育及び周知を行うこと。 教育及び周知においては、本契約に関連して知り得た情報について、本契約の目的以外に使用又 は第三者に開示若しくは漏えい等しないことを盛り込むこと。 ウ データの取扱いに関する計画策定 受託者は、本件委託業務におけるデータの取扱いに関し、データの複製、破棄及び保管場所の 変更等が生じる場合の取扱いについて、「データ取扱計画書」を作成すること。 「データ取扱計画書」は、変更等が生じる都度作成し、主管担当へ提出すること。 エ 作業場所等のセキュリティ確保 受託者は、日本郵政グループ以外の作業場所において本件委託業務を行う場合は、データ及び 本システムに係るセキュリティ確保のため講じ得る措置について、「作業場所等に係るセキュリテ ィ措置計画書」を作成すること。 (ア) 作業場所のセキュリティ確保 例:データ保管室、電子計算機室等に対する施錠設備、IDカードやパスワードを用いた入退 室管理機能等 1 (イ) 作業場所におけるセキュリティ確保 例:システムログインパスワード、データ操作に対する専用のID、アクセス権限の設定、 媒体の施錠保管、各種鍵類の管理等 オ データ漏えい等発生時の対応手順作成 受託者は、本件委託業務で取り扱うデータの漏えい等が発生した場合を想定し、その「対応手順 書」を作成すること。 手順書には、次の内容を記載すること。 ・受託者内の情報漏えい時の連絡体制 (24時間365日、データ取扱者等の間で相互連絡が可能な体制とすること。) ・主管担当への連絡方法 カ 情報機器等の持込み 受託者は、本件委託業務で使用するパソコン及び携帯電話等を日本郵政グループ内に持ち込む場 合は使用条件を明記した「情報機器等持込み機器使用計画書」を作成すること。 (2) 委託作業中における遵守事項 ア データ管理簿の作成 受託者は、主管担当から貸与を受けた各種ドキュメント、電子データ類又は、委託業務を実施す るに当たり作成されたドキュメント、電子データについて、授受方法、保管場所、保管方法、使用 場所、使用目的等取扱方法を明確にするため「データ管理簿」を作成すること。 「データ管理簿」は、記録媒体の授受が発生の都度、記載すること。 イ 作業場所の監査 受託者は、日本郵政グループ以外の作業場所において本件委託業務を行っている場合に、主管担 当がその施設及び設備に関し、上記(1)−エで受託者が作成した「作業場所等に係るセキュリテ ィ措置計画書」に則ったセキュリティ確保が図られているか監査する旨申し出た時は、定期・不定 期にかかわらず、これを受け入れること。 ウ データの取扱い 受託者は、本件委託業務において取り扱うデータに関し、データ取扱責任者に以下の作業を行わ せること。 (ア) データ取扱責任者は、データ取扱者の作業に立ち会う等適切な管理を行うこと。 (イ) データ取扱責任者は、データ取扱者を作業に従事させる前に、データ取扱者ごとに使用するユ ーザーID及びパスワード等、主管担当が事前に指定する事項について報告を行い、主管担当の 承認を受けること。 なお、報告する時期等は主管担当の指示に従うこと。また、報告した内容に変更が生じる場合 も、事前に主管担当の承認を受けること。 (ウ) データ取扱責任者は、作業に従事する予定のデータ取扱者について、事前に氏名、作業時間、 作業内容及び取扱データを記入した「作業予定表」を提出し、主管担当の承認を受けること。 (エ) データ取扱責任者は、作業に従事したデータ取扱者が作業を終了し作業場所を離れる際は、デ ータの持ち出しの有無を厳重に検査すること。 (オ) データ取扱責任者は、作業終了後、作業に従事したデータ取扱者の氏名、作業時間、作業内容、 取扱データ及びデータの持ち出しの有無等を記入した「作業結果報告書」を主管担当へ提出する こと。その際、当初予定していた作業時間を越えている場合は、その理由も併せて記入すること。 なお、作業結果表の提出時期については、主管担当の指示によること。 (カ) 記録媒体には中身が特定できるようなラベルを添付し、定期又は不定期に在庫を確認すること。 (キ) 作業場所にFAXがある場合、送信記録を確認すること。 (ク) 各種管理簿はフルネームで記入されているか。また、改ざんに対する措置を講じている場合、 2 遵守されているか確認すること。 (ケ) 本件委託業務に関するすべてのメールについて、送受信履歴を確認すること。 (コ) 電子データの消失に備えた措置(データのバックアップ等)は講じている場合、遵守されてい るか確認すること。 (サ) データ類のバージョン管理をすること。 (3) 委託作業完了時の遵守事項 ア データ返却等処理 受託者は、委託業務完了時に上記(2)アで作成した「データ管理簿」に記載されている、すべ てのデータについて、返却、消去、廃棄等の措置を行うこと。 なお、その処理の方法、日時、場所、立会者、作業責任者等の事項を網羅した「データ返却等計 画書」を事前に主管担当あて提出し、承認を得た上で、処理を実施すること。 イ 作業後の報告 受託者は、上記アに基づき返却等の処理終了後、その結果を記載した「作業完了報告書」を主管 担当あて提出すること。 (4) 上記以外の遵守事項 データ漏えい等発生時の対応 受託者は、本件委託業務に関し、データ漏えい等が発生した場合は、以下により、直ちに対応を図 ること。 ア 発生状況報告 委託業務中に、データの漏えい等が発生した場合は、その事由が発生した日時、場所、事由、 その時のデータ取扱者を明らかにし、直ちに主管担当に報告すること。また、 「データ漏えい等発 生報告書」を主管担当あて報告すること。 対応措置受託者は、主管担当の指示に基づき、対応措置を実施すること。 イ 報告書の提出 受託者は、主管担当が指定する期日までに、発生した事態の具体的内容、原因、実施した対処 措置等を内容とする「データ漏えい等対応報告書」を作成の上、提出すること。 ウ 再発防止策の策定・提出 受託者は、データ漏えい等が発生した場合、その処理後に再発を防止するための措置内容を策 定し、主管担当の承認を得た後、直ちにデータ漏えい等再発防止策を実施すること。 エ 受託者は、主管担当が交付又は使用を許可した情報に限らず、本件委託事務を履行するに当た り知り得た情報について、本契約の目的以外に使用又は第三者に開示若しくは漏えい等してはな らない。 オ 上記のほか、別記1「情報セキュリティ要求仕様」、別記2「情報セキュリティ実施事項」につ いても、遵守すること。 3 別記1 情報セキュリティ要求仕様 1 (目的) 本仕様書は、受託者に対して、情報セキュリティ上の一般的要求事項を明確にすることを目的とす る。 2 (組織的セキュリティ) (1) 受託者においては、情報セキュリティ管理体制が構築されていること。 (2) 受託者においては、情報セキュリティ責任者が定められていること。 (3) 委託業務に関する情報セキュリティ責任者が定められていること。 (4) 受託者において、組織的セキュリティ、人的セキュリティ、物理的セキュリティ、技術的セキュリ ティに関する社内規程が存在していること。 (5) 委託業務に関する日本郵政グループ会社各社の最重要情報、重要情報、顧客の個人情報、日本郵 政グループ会社各社役職員等の個人情報(以下「重要情報等」という)を特定すること。 (6) 特定した重要情報等に対するリスクを洗い出すこと。 (7) 洗い出したリスクに対し、既存管理策が十分であるか検討し、必要に応じて追加管理策を措置する こと。 (8) 情報セキュリティに関する活動状況を委託作業期間中、適宜に報告すること。 (9) 主管担当が必要と認めた場合には、部外委託先に立入り、情報セキュリティに関する活動状況を確 認できるものとする。 (10) 委託業務に係る重要情報等は、台帳を作成して管理すること。 (11) 委託業務の再委託は原則禁止とするが、書面による許可を受けた場合はこの限りでない。 (12) 情報セキュリティ事故による損害が発生した場合には、責任の程度に応じて損害を賠償するもの とする。 3 (人的セキュリティ) (1) 委託業務に係る重要情報等は、許可なく関係者以外に漏えいしてはならない。 (2) 委託業務に係る従業者等は、定期的な情報セキュリティ教育を受けていること。 (3) 委託業務に係る従業者等は、受託者と守秘義務に関する契約を結んでいること。 (4) 委託業務に係る情報セキュリティ事故発生時には、被害拡大防止策を講じるとともに、直ちに主 管担当に連絡すること。 4 (物理的セキュリティ) (1) 委託業務に係る重要情報資産を含む作業場所及び機器設置場所等は、外部から物理的に遮断され ていること。 (2) 委託業務に係る重要情報等が記録されている媒体等は、施錠保管すること。 5 (技術的セキュリティ) (1) 委託業務に係る重要情報等が含まれる電子ファイル等は、アクセス制限をかけること。 (2) 委託業務に係る重要情報等が含まれる電子ファイル等へのアクセスログを取得、保存し、定期的に 点検すること。 (3) 委託業務に係る重要情報等を通信回線等で送信する場合には、暗号化すること。 4 (4) 委託業務に使用するコンピュータには、ウイルス対策ソフトを導入し、常時実行するとともに、常 に最新のウイルス定義ファイルを維持すること。 (5) 委託業務に係る重要情報等は、従業者等の自宅パソコン等には保存しないこと。 (6) 委託業務に係る重要情報等が記録されている電子媒体等を部外委託先の外に持ち出す場合には、当 該情報を暗号化すること。 (7) 納入するコンピュータプログラムについては、不正なコードが含まれていないことを、プログラム 作成者以外の者が確認すること。 6 (個別要件等) 上記第2項∼第5項の一般的セキュリティ要件について、主管担当あて報告し承認を受けること。 以上 5 別記2 情報セキュリティ実施事項 1 (作業場所等におけるセキュリティ確保) (1) 作業場所 本件委託業務に基づく定期点検及び故障修理は、原則として、機器設置場所以外で実施しないこと。 ただし、故障修理等に長時間を要する場合等、やむを得ず機器設置場所以外で機器の故障修理を実 施する必要がある場合は、受託者側が用意する媒体にバックアップ用の複製を取得し、当該機器の記 憶装置から情報を読み取れないようデータを消去する等の措置を実施し、機器設置場所のデータ取扱 責任者の承認を受けた後、当該機器を持ち出すこと。 なお、この場合には、必ず事前に主管担当へ連絡し、情報保護に係る措置事項等を記載した書面を 提出し、主管担当の承認を得た上で作業を実施すること。 (2) 物品の搬入、搬出等 ア 定期点検又は故障修理等のために必要な機器等の物品搬入・搬出を行う場合は、主管担当の指示 に従い、内容物の確認を受けること。 イ 定期点検又は故障修理の結果、記憶媒体等の情報が蓄積された部品が不要となる場合は、直ちに 初期化又は物理的破壊等により、情報が復元不可能な状態とすること。 なお、直ちに処理を実施できない場合は、処理実施までの保管方法等について、主管担当の了承 を得るとともに機器設置場所のデータ取扱責任者の指示に従うこととし、処理実施後は、その旨を 主管担当に報告すること。 おって、作業完了時には、本件に係るデータ漏えい等のおそれがないことを証明する書面を主管 担当に提出すること。 (3) コンピュータウイルス対策 定期点検故障修理等の作業上必要な記録媒体等を機器設置場所に持込み使用する際は、最新のパタ ーンファイルを適用したウイルス対策ソフトウェアを使用して検査を実施した後に持込み、使用する こと。また、当該媒体には、次の事項を記載したラベルを貼付すること。 2 ア 検査に使用したウイルス対策ソフトウェアの名称及び検索エンジン等のバージョン イ ウィルスパターンファイルのバージョン ウ 検査日時 エ 検査担当者名 オ 検査責任者名 (データ保護) (1) 機器の記憶装置等から取得したバックアップ用の複製は、機器への復元措置の終了後、主管担当の 指示により、 データ取扱責任者へ提出するか、情報を復元不可能な状態にした上で廃棄処分すること。 (2) 定期点検及び故障修理のために機器設置場所に持ち込んだ媒体や文書等は、作業終了後速やかに機 器設置場所の担当者に提出し、内容の確認等を受けること。 3 (その他) 上記のほか、主管担当から情報セキュリティに関して特に必要な指示を行う場合は、その指示に従 うこと。 6 参 考 外注管理に関する様式例 別紙1 「データ管理計画書」 別紙2 「データ取扱者等名簿」 別紙3 「教育・周知計画書」 別紙4 「データ取扱い計画書」 別紙5 「作業場所等に係るセキュリティ措置計画書」 別紙6 「データ漏えい等発生時対応手順書」 別紙7 「データ管理簿」 、 「データ返却等計画書」、「作業予定表」 別紙8 「作業結果報告書」 別紙9 「作業完了報告書」 別紙10 「情報機器等持込み機器使用計画書」 7 別紙1 データ管理計画書 委託業務名 ○○○○○○○○○○○○○○○○の委託 納入期限 ○○○○年○○月○○日 受託者 ○○株式会社 代表取締役 ○○ ○○ 8 別紙2 データ取扱者等名簿 委託事務名 ○○○○○○○○○○○○○○○○の委託 本件委託業務を実施するに当たり、各種データを取り扱う者を下記のとおり報告いたします。 担 当 氏 名 所 属 役 職 備 考 データ取扱責任者 ○○ ○○ ××事業部 課長 △△訓練修了 データ取扱者 □□ □□ ××グループ SE ××資格保持 9 別紙3 教育・周知計画書 委託事務名 ○○○○○○○○○○○○○○○○の委託 本件委託業務を実施するに当たり、各種データを取り扱う者に対し、データ保護に関する教育及び周知 を下記のとおり実施いたします。 記 1 実施時期 ○○○○年○○月○○日∼○○○○年○○月○○日 2 実施内容 仕様書添付の「データ保護・管理要領」の内容周知 3 対象者 データ取扱者名簿記載者 4 その他 一人当たり2時間程度 10 別紙4 データ取扱い計画書 データについて、下記のとおり異動事由が発生いたしましたので、承認願います。 記 1 データ名称 ○○○○データ 2 異動事由 保管場所の変更 本社コンピュータセンターから、工場への変更 3 異動の目的 運用試験実施に伴う、試験場への保管場所移動 4 異動時期 ○○○○年○○月○○日 11 別紙5 作業場所等に係るセキュリティ措置計画書 本件、 「○○○○○○○○○○○○○○○○の委託」事務を受託するに当たり、作業場所のセキュリティ 措置を下記のとおり実施いたします。 記 1 作業場所 東京都○○区○○ ○○株式会社 2 ○○ビル○階 コンピュータセンター セキュリティ措置 (1)作業施設 ・ 入退室について、IDカードによる本人認証の設備を設置済み。 ・ データ保管庫についても、同様の設備を設置済み。 (2)作業設備 作業端末は本件委託事務専用とし、データ取扱者個別にログインID及びパスワードを 交付します。 12 別紙6 データ漏えい等発生時対応手順書 データ漏えい等発生時の手順については、下記のとおりといたします。 記 1 受託者内の情報漏えい時の連絡体制 フロー図のようなものを作成 2 データ取扱者 作業を中断し、発生時の状況を記録し、データ取扱責任者へ直ちに報告する。 3 データ取扱責任者 (1) データ取扱者からの報告を受け、事実関係を確認し主管担当へ直ちに報告し、主管担当から の指示を待つ。 (2) データ管理簿上のすべてのデータについて、現在の状況を確認する。 (3) 作業場所への入退室状況を確認し、主管担当からの指示があるまで入退室を制限する。 13 別紙7 データ管理簿 項番 記録 データ名 媒体 交付者 交付日 受領者 授受方 保管場 保管 使用 使用 法 所 方法 場所 目的 1 2 3 データ返却等計画書 下記データの返却等の取扱いについて、承認願います 記 データ名 方法 日時 場所 立会者 作業責任者 作業予定表 下記作業を行いますので、承認願います。 作業 ID 対象データ 作業者氏名 作業時間 作業内容 14 実作業時間 作業場所 備考 別紙8 作業結果報告書 下記のとおり作業が完了したので、報告いたします。 記 1 作業ID ○○○○ 2 作業内容 (1) 作業結果 正常 (2) 作業従事者 ○○○ (3) 作業時間 ○○○○年○○月○○日 ○ ○時○○分∼○○時○○分 (4)作業内容 ○○テスト (5)取扱いデータ ○○データ (6)データ持ち出しの有無 無し (7)確認者 ○○○○(データ取扱責任者) 15 別紙9 作業完了報告書 先に承認された「データ返却等計画書」の作業が終了いたしましたので、 報告いたします。 1 作業結果 良 2 作業責任者及び立会者 作業責任者 ○○ ○○ 作業立会者 ○○ ○○ 16 別紙10 情報機器等持込み機器使用計画書 (持込み使用許可申請書兼承認書) 年 月 情報セキュリティ責任者 ○○ ○○ 様 申請者 会社名 氏名 印 以下のとおり、情報機器等を日本郵政株式会社(○○部)へ持ち込んで利用したいので申請いたします。 【申請者記入欄】 持込み機器名・機種 (メーカー・型番) 持込み理由 ※具体的理由を記入 持込み期間 年 月 カメラ機能の有無 備 ※ 考 日 ∼ 有 年 ・ 月 日(1年以内) 無 毎週1回開催する○○の定例会議以外では使用いたしません。 持込み期間は1年以内とする。 【情報セキュリティ管理者記入欄】 申請書確認日 確 認 年 月 日 者 印 【情報セキュリティ責任者記入欄】 審 査 日 持込みの可否 年 持込み使用を 月 日 許 可 す る ・ 許可しない 使用条件/不許可理由 審 査 者 情報セキュリティ責任者 17 印 日
© Copyright 2024 ExpyDoc
