Microsoft Word - 別冊1-0-表紙.doc

Similar documents
Microsoft Word - ○指針改正版(101111).doc


必要となる教育を行うとともに 実施結果について指定する書面により甲に提出しなければならない 第 10 条乙は 甲がこの特記事項の遵守に必要となる教育を実施するときは これを受けなければならない ( 知り得た情報の保持の義務 ) 第 11 条乙は 本契約の履行に当たり知り得た受託情報を第三者に漏らして

特定個人情報の取扱いに関するモデル契約書 平成27年10月

14個人情報の取扱いに関する規程

個人情報保護規定

Microsoft Word - 06_個人情報取扱細則_ doc

<93C18B4C8E64976C8F9195CA8E862E786C73>

マイナンバー対策セミナー(実践編) 「マイナンバー対策マニュアル」を利用した具体的な対策方法について

スマートデバイス利用規程 1 趣旨 対象者 対象システム 遵守事項 スマートデバイスのセキュリティ対策 スマートデバイスの使用 スマートデバイスに導入するソフトウェア スマー

特定個人情報の取扱いの対応について

<4D F736F F D204E4F2E CC2906C8FEE95F195DB8CEC82C982A882AF82E98AC48DB882C98AD682B782E98B4B92F68DC C5>

はじめてのマイナンバーガイドライン(事業者編)

3 乙は 業務従事者が本誓約に基づき課される守秘義務に違反した場合は 乙が本誓約に違反した ものとして その責任を負うものとする ( 乙による具体的措置の実施 ) 第 4 条乙は 業務従事者に対して入手した秘密情報を本件に必要な限度で開示 提供するものとする 2 乙は 甲の求めに応じて 業務従事者の

とする 4 秘密情報へのアクセス 秘密情報の入手 利用 開示 提供 持出という行為には 秘密情報を記録した媒体へのアクセス及び秘密情報を記録した媒体の入手 利用 提供 開示 持出という行為も含むものとする 5 秘密情報の複製には 同一形式での複写 複製 ( 以下 単に複製という ) 以外にも 電磁的

特定個人情報の取扱いの対応について

業務委託契約書

平成 30 年度新潟県自殺対策強化月間テレビ自殺予防 CM 放送業務委託契約書 ( 案 ) 新潟県 ( 以下 甲 という ) と ( 以下 乙 という ) とは 平成 30 年度新潟県自殺対 策強化月間テレビ自殺予防 CM 放送業務について 次の条項により委託契約を締結する ( 目的 ) 第 1 条

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

(3) 利用 保管方法 要介護認定情報等の申出にて発生する厚生労働省 大学内での倫理審査の文書 研究方法のマニュアル等は 研究室で適切に管理する 厚生労働省より提供を受けた要介護認定情報等の保存媒体の保管場所は 研究室の戸棚に保管し 施錠する 要介護認定情報等の利用場所は 研究室のみとする サーバ室

財団法人日本体育協会個人情報保護規程

特定個人情報等取扱規程

Microsoft Word - 2-1 契約書

個人情報の取り扱いに関する規程

に含まれるノウハウ コンセプト アイディアその他の知的財産権は すべて乙に帰属するに同意する 2 乙は 本契約第 5 条の秘密保持契約および第 6 条の競業避止義務に違反しない限度で 本件成果物 自他およびこれに含まれるノウハウ コンセプトまたはアイディア等を 甲以外の第三者に対する本件業務と同一ま

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して 当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令 各省庁のガイドライン及び当法人の関連規程を遵守すると共に これらに違反した場合には厳正に対処すること ( 個人情報保護 )

(Microsoft Word - \201iAL\201jAG-Link\227\230\227p\213K\222\350.doc)

業務委託基本契約書

< F2D8EE888F882AB C8CC2906C>

宇佐美まゆみ監修(2011)『BTSJ入力支援・自動集計システム』、及び

マイナンバー制度 実務対応 チェックリスト

情報セキュリティ基本方針書(案)

Webエムアイカード会員規約

QMR 会社支給・貸与PC利用管理規程180501

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

3 部門管理者は 個人データの取扱いを外部に委託する場合には その委託先における個人データの取扱状況等の監督を行わなければならない 4 個人データの取扱いにかかる事項であってこの細則に定めのない事項については 取扱者の申請に基づき 部門管理者がこれを承認して行う 5 部門管理者は 個人データの組織的

特定個人情報の取扱いに関する管理規程 ( 趣旨 ) 第 1 条この規程は 特定個人情報の漏えい 滅失及び毀損の防止その他の適切な管理のための措置を講ずるに当たり遵守すべき行為及び判断等の基準その他必要な事項を定めるものとする ( 定義 ) 第 2 条 この規定における用語の意義は 江戸川区個人情報保

社会福祉法人春栄会個人情報保護規程 ( 目的 ) 第 1 条社会福祉法人春栄会 ( 以下 本会 という ) は 基本理念のもと 個人情報の適正な取り扱いに関して 個人情報の保護に関する法律 及びその他の関連法令等を遵守し 個人情報保護に努める ( 利用目的の特定 ) 第 2 条本会が個人情報を取り扱

特定個人情報取扱要領 ( 目的 ) 第 1 条この要領は この組合の 個人情報保護方針 および 特定個人情報取扱規程 ( 以下 規程 という ) に基づき この組合における特定個人情報の具体的な取扱いを定めたもので 特定個人情報の保護と適正な利用を図ることを目的とする ( 用語の定義 ) 第 2 条

( 内部規程 ) 第 5 条当社は 番号法 個人情報保護法 これらの法律に関する政省令及びこれらの法令に関して所管官庁が策定するガイドライン等を遵守し 特定個人情報等を適正に取り扱うため この規程を定める 2 当社は 特定個人情報等の取扱いにかかる事務フロー及び各種安全管理措置等を明確にするため 特

社会福祉法人○○会 個人情報保護規程

Microsoft Word - Webyuupuri_kiyaku.rtf

個人情報保護規程

Ⅰ バイタルリンク 利用申込書 ( 様式 1-1)( 様式 ) の手続 バイタルリンク を利用する者 ( 以下 システム利用者 という ) は 小松島市医師会長宛に あらかじ め次の手順による手続きが必要になります 新規登録手続の手順 1 <システム利用者 ( 医療 介護事業者 )>

第 4 条 ( 取得に関する規律 ) 本会が個人情報を取得するときには その利用目的を具体的に特定して明示し 適法かつ適正な方法で行うものとする ただし 人の生命 身体又は財産の保護のために緊急に必要がある場合には 利用目的を具体的に特定して明示することなく 個人情報を取得できるものとする 2 本会

平成 26 年 3 月 6 日千葉医療センター 地域医療連携ネットワーク運用管理規定 (Ver.8) 千葉医療センター地域医療連携ネットワーク運用管理規定 第 1 章総則 ( 目的 ) 第 1 条この運用管理規定は 千葉医療センター地域医療連携ネットワーク ( 以下 千葉医療ネットワーク ) に参加

(I12) 土木学会特定個人情報取扱規程 平成 28 年 1 月 22 日制定 ( 目的 ) 第 1 条本規程は 公益社団法人土木学会 ( 以下 学会 という ) における 行政手続きにおける特定の個人を識別するための番号の利用等に関する法律 ( 以下 番号法 という ) 個人情報の保護に関する法律

目 次 第 1 はじめに 2 1 ガイドライン策定の目的 2 2 ガイドラインの対象となる防犯カメラ 2 3 防犯カメラで撮影された個人の画像の性格 2 第 2 防犯カメラの設置及び運用に当たって配慮すべき事項 3 1 設置目的の設定と目的外利用の禁止 3 2 設置場所 撮影範囲 照明設備 3 3

事業者が行うべき措置については 匿名加工情報の作成に携わる者 ( 以下 作成従事者 という ) を限定するなどの社内規定の策定 作成従事者等の監督体制の整備 個人情報から削除した事項及び加工方法に関する情報へのアクセス制御 不正アクセス対策等を行うことが考えられるが 規定ぶりについて今後具体的に検討

制定 : 平成 24 年 5 月 30 日平成 23 年度第 4 回理事会決議施行 : 平成 24 年 6 月 1 日 個人情報管理規程 ( 定款第 65 条第 2 項 ) 制定平成 24 年 5 月 30 日 ( 目的 ) 第 1 条この規程は 定款第 66 条第 2 項の規定に基づき 公益社団法

個人情報保護規程

第 1 はじめに 1 ガイドライン策定の目的安全で安心なまちづくりを進める上で 近年 防犯カメラの設置は広く有用であると認められており 市内においても防犯カメラの設置が進んでいます しかし その一方で 知らないうちに自分の姿が撮影され 目的外に利用されること等に不安を感じる市民の方もいます そこで

特定個人情報取扱細則 ( 目的 ) 第 1 条この細則は 当組合の個人情報保護方針及び特定個人情報取扱規程 ( 以下 規程 という ) 等に基づき 当組合における特定個人情報の具体的な取扱いを定めたもので 特定個人情報の保護と適正な利用を図ることを目的とする ( 用語の定義 ) 第 2 条この細則で

保健福祉局地域福祉課

p81-96_マンション管理ガイド_1703.indd

しなければならない 2. 乙は プライバシーマーク付与の更新を受けようとするときは プライバシーマーク付与契約 ( 以下 付与契約 という ) 満了の8ヶ月前の日から付与契約満了の4 ヶ月前の日までに 申請書等を甲に提出しなければならない ただし 付与契約満了の4ヶ月前の日までにプライバシーマーク付

6 服務等 ( 1) 請負者は 風紀衛生及び規律維持等に関して 一切の責任を負うものとする ( 2) 請負者は 本契約に当たり知り得た内容 個人情報等について 別添の特記事項 を遵守し みだりに他人に知らせ 又は不当な目的に利用してはならない ( 3) 業務終了後 業務内容等について 別紙 2 広聴

一般社団法人北海道町内会連合会定款変更(案)

東レ福祉会規程・規則要領集

<4D F736F F D CC2906C B835E82CC8EE688B582A282C98AD682B782E98B4B92F68CC2906C2E646F63>

保健福祉局地域福祉課

劇場演出空間技術協会 個人情報保護規程

個人情報保護規程 株式会社守破離 代表取締役佐藤治郎 目次 第 1 章総則 ( 第 1 条 - 第 3 条 ) 第 2 章個人情報の利用目的の特定等 ( 第 4 条 - 第 6 条 ) 第 3 章個人情報の取得の制限等 ( 第 7 条 - 第 8 条 ) 第 4 章個人データの安全管理 ( 第 9

公 印 規 程

<8B4B92F681458CC2906C8FEE95F195DB8CEC2E786C7378>

公益財団法人岩手県南技術研究センター特定個人情報取扱規程 平成 28 年 4 月 1 日制定 規程第 14 号 第 1 章目的等 ( 目的 ) 第 1 条この規程は 公益財団法人岩手県南技術研究センター ( 以下 センター という ) が 行政手続における特定の個人を識別するための番号の利用等に関す

プライバシーマーク審査センター審査業務規則

プライバシーポリシー ( 個人情報保護に関する基本方針 ) 株式会社ビットポイントジャパン ( 以下 当社 といいます ) は 個人情報の保護とその適正な管理が重要であることを認識し 個人情報の保護に関する法律 ( 以下 個人情報保護法 といいます ) 関連法令 ガイドラインその他の規範を遵守すると

( 審査の申請 ) 第 5 条甲は プライバシーマーク付与適格性審査の実施基準 に基づき 付与適格性審査を申請した者 ( 以下 乙 という ) の審査を行う 乙は 甲が定めるところにより 付与適格性審査にかかわる申請書及び申請書類 ( 以下 申請書等 という ) を甲に提出しなければならない 2 乙

個人情報の保護に関する規程(案)

中小企業向け はじめてのマイナンバーガイドライン

程の見直しを行わなければならない 1 委託先の選定基準 2 委託契約に盛り込むべき安全管理に関する内容 (2) 個人データの安全管理措置に係る実施体制の整備 1) 実施体制の整備に関する組織的安全管理措置 金融分野における個人情報取扱事業者は ガイドライン第 10 条第 6 項に基づき 個人データの

個人情報管理規程

個人情報保護規程例 本文

特定個人情報取扱規程 平成 29 年 4 月 1 日制定 第 1 章目的等第 1 条 ( 目的 ) この規程は 一般社団法人粒子線治療推進研究会 ( 以下 この法人 という ) が 行政手続きにおける特定の個人を識別するための番号の利用などに関する法律 ( 以下 番号法 という ) 及び 個人情報の

特定個人情報取扱規程 第 1 章総則 ( 目的 ) 第 1 条本規程は 岩手県建設業厚生年金基金 ( 以下 当厚生年金基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義 ) 第 2 条本

Microsoft Word - sp224_2d.doc

特定個人情報等取扱規程 ( 目的 ) 第 1 条本規程は 行政手続における特定の個人を識別するための番号の利用等に関する法律 ( 以下 番号法 という ) 及び 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) に基づき 会社の取り扱う特定個人情報等の適正な取扱いを確保することを目的

4 保護管理者は 次の各号に掲げる組織体制を整備する (1) 職員 ( 臨時職員を含む 以下同じ ) がこの訓令に違反している事実又は兆候を把握した場合の保護管理者及び監査責任者への報告連絡体制 (2) 保有個人情報等の漏えい 滅失又は毀損等 ( 以下 情報漏えい等 という ) の事案の発生又は兆候

< F2D95CA8E86362D B5A8F708E9197BF8DEC90AC8BC696B1>

報主体の権利利益及びプライバシーの侵害の防止に関し 必要な措置を講じるよう勤める 2 本センターの職員等は 業務上知り得た個人情報を漏えいし または不当な目的に使用してはならない 第 2 章 管理体制及び責任 ( 管理体制 ) 第 6 条本センターは 個人情報の適切な管理を効果的に実施するため 役割

日商PC検定用マイナンバー_参考資料

ネットワーク保守サービス 契約約款 2016 年 4 月 関西国際空港情報通信ネットワーク株式会社

より甲宛に送信処理できる ID (10)(5) の登録情報のうち特定の委託者の登録情報について 処理できる ID 4. 甲は 本サービスの実施にあたって ユーザー ID に本サービスの利用権限を付与するものとし 乙は 甲が別途定める利用権限の範囲内で本サービスの利用をすることができます 5. 甲は

特定個人情報取扱規程

どこでも連絡帳 で利用するスマホ タブレットのセキュリティ対策盗難 紛失対策 1) メディカルケアステーションのパスワードは保存しない 2) パスワードで 画面をロックする (8 桁以上の英数字 & 記号の組み合わせで ) アンドロイドと iphone での設定の方法は 以下を参照してください 被害

 

Ⅰ. マイナンバー制度概要 マイナンバー法の厳しい罰則規定 ( 民間企業 個人に係わるもの ) 行為懲役罰金 1 正当な理由がなく マイナンバーファイルを 提供 4 年以下 200 万円以下 2 不正な利益を得る目的で マイナンバーを 提供 盗用 3 年以下 150 万円以下 3 不正アクセス等によ

個人情報管理規程

プライバシーマーク付与適格性審査に関する約款

3 受託者は 前項の規定による検査の結果不合格となったときは 委託者の指定する日までに補正して提出し 再度検査を受けなければならない 4 前 2 項の規定による検査に直接要する費用は受託者の負担とする ( 委託料の支払 ) 第 8 条委託者は 前条の規定により引渡しを受けた後 受託者から適法な支払請

医事業務請負契約書

個人データの安全管理に係る基本方針

<93648EA593498B4C985E82C98AD682B782E E838A F E315F C668DDA95AA292E786C7378>

情報信託機能の認定に係る指針 ver1.0 に基づく データ倫理審査会 ( 仮 ) ( 以下 データ倫理審査会 という ) に相当するものを記載 に説明を行い 助言を受けること (4) 注 : 受任者が委任者に対し第三者提供に係る条件等を個別に指定できる機能を提供する場合には その旨を記載 第 条

NRA-PKI利用契約書

Microsoft Word - 51.doc

社長必見≪ここがポイント≫マイナンバーガイドライン(事業者編)

1 策定の目的 この手引書は 茅ヶ崎市地域防犯カメラ ( 以下 地域防犯カメラ という ) の設置及び運用について配慮すべき事項を定めることにより 地域防犯カメラの有用性とプライバシー保護等との調和を図り 地域防犯カメラを適切かつ効果的に活用し 茅ヶ崎市の安心して安全に暮らせるまちづくりを推進するこ

とを条件とし かつ本事業譲渡の対価全額の支払と引き換えに 譲渡人の費用負担の下に 譲渡資産を譲受人に引き渡すものとする 2. 前項に基づく譲渡資産の引渡により 当該引渡の時点で 譲渡資産に係る譲渡人の全ての権利 権限 及び地位が譲受人に譲渡され 移転するものとする 第 5 条 ( 譲渡人の善管注意義

Transcription:

別冊 1 委託関係における情報セキュリティ対策 ガイドライン 平成 21 年 3 月

業務委託において 機密情報を提供する際に 提供元から提供先に対して 機密情報の指定またはその保持に必要とされる情報セキュリティ対策の具体的な実施内容が示されない場合がある そのような状況では 機密情報の漏えいを防止する適切な対策の実施は期待できない 業務委託における機密情報の提供は 委託元から委託先に提供される場合の他 委託先から委託元に提供される場合 相互に提供する場合があるが ここでは 機密情報を委託元から委託先に提供することを主として検討した 概ね 逆向きの提供でも考え方は同じであるが 委託元から委託先に提供する前提で表現を整理した そこで 取引基本契約書 個別契約書 覚書 NDA 打合せや口頭による確認 また売買契約書 代理店契約書等 あるいは発注書 仕様書等を通じておこなわれる機密情報の取扱いに係る事項を 委託元が行うべき事項も含めて 業務委託契約に係る機密保持条項 ( 例 ) としてまとめた さらに 委託元から提供を受けた機密保持に関し 委託先企業が実施する情報セキ ュリティ対策事項について いくつかの企業から実務で使用している事例の収集を行い より具体的に対策事項の例示を行った 委託元は 本資料を参考として 委託先と協議のうえ 機密情報の指定およびその 保持に必要とされる情報セキュリティ対策の具体的な実施内容を明示することが望ま しい 別紙 1 業務委託契約に係る機密保持条項 ( 例 ) 別紙 2 委託先における情報セキュリティ対策事項

機密保持条項 ( 例示案 ) の件 本書は 業務委託をおこなうにあたり取引基本契約書 個別契約書 覚書 NDA 打合せや口頭による確認 また売買契約書 代理店契約書等 あるいは発注書 仕様書等を通じておこなわれる機密情報の取扱いに係る事項を 業務委託契約に係る機密保持条項 ( 例 ) としてまとめたものである 実務的には 業務委託の内容 取扱われる情報の性質等によって 条項および条項の内容を取捨選択し また運用上の工夫などにより 過不足の無い実効性ある機密情報管理をおこなわなければならない また 業務委託先が海外の場合は 法律 商習慣 社会的習慣等が異なるので ( 日本の取引習慣は通用しないことが多いので ) 誤解が生じないよう明確に記述する必要がある 尚 SaaS や ASP などのサービスを利用する場合であっても 業務委託契約書や SLA( サービスレベルアグリメント ) で 機密保持に係る事項を保証させる必要がある 本書で言うところの機密情報とは 文書 図面 写真 図書 電磁的記録媒体 製品 部品 材料あるいは特定の設備等の 機密を化体している物理的対象物上 ( 内 ) の情報 を言い 通信途中の情報 頭の中にある記憶 身につけた技能等 物理的所在を明らかにすることが困難な情報を含まない 従って これらを機密保持の対象とする必要がある場合は これらを扱うにふさわしい別途の法律等の根拠に基づいた取決め ( 契約 ) をおこなう必要がある

業務委託契約に係る機密保持条項 ( 例 ) 甲 : 委託元 乙 : 委託先 第 条 ( 機密保持 ) 1. 乙は 本契約の履行にあたり 甲が機密である旨指定して開示する情報および本契約の履行により生じる情報注 ( 以下 機密情報 という ) を機密として取扱い 甲の事前の書面による承諾なく第三者に開示してはならない ただし 次の各号のいずれかに該当する情報については この限りではない 1 開示を受けたときに既に公知であったもの 2 開示を受けたときに既に乙が所有していたもの 3 開示を受けた後に乙の責によらない事由により公知となったもの 4 開示を受けた後に第三者から守秘義務を負うことなく適法に取得したもの 5 開示の前後を問わず乙が独自に開発したことを証明し得るもの注 : 本契約の履行により生じる情報 の取扱いについては 別の条項で規定すること 尚 本契約の履行に伴って乙から甲へ開示等がなされる乙が保有する機密情報がある場合の当該情報の取扱については 別の条項で規定することが望ましい 2. 甲が乙に機密である旨指定して開示する情報は 表 1( 本案では 特に例示しない ) の通りである なお 表 1は甲乙協力し常に最新の状態を保つべく適切に更新するものとする 3. 乙は 甲より開示された機密情報の管理につき 乙が保有する他の情報 物品等と明確に区別して管理するとともに 以下の事項を遵守する (1) 機密情報の管理責任者及び保管場所を定め 善良なる管理責任者の注意をもって保管管理する (2) 機密情報を取り扱う従業員を必要最小限にとどめ 上記保管場所以外へ持ち出さない (3) 機密情報の管理責任者名 機密情報を取り扱う従業員名及び機密情報の保管場所を 年 月 日までに甲に報告する また 報告内容に変更が生じた場合には 変更が生じた月に提出する以下の (8) の具体的管理状況の報告において 当該変更内容を甲に報告する (4) (3) にて報告した機密情報を取り扱う従業員に対して本契約の内容を周知徹底させ 機密情報の漏洩 紛失 破壊 改ざん等を未然に防止するための措置を取る (5) 甲の書面による承諾を得た場合を除き 機密情報を複写 複製せず また 機密情報を開示 漏洩しない 但し 政府機関又は裁判所の命令により要求された場合 その範囲で開示することが出来る なお その場合には 甲にその旨をすみやかに通知すること (6) 機密情報は本契約の目的の範囲でのみ使用する (7) 事故発生時には直ちに甲に対して通知し 事故再発防止策の協議には甲の参加を認める (8) 委託期間満了時または本契約の解除時 機密情報 ((5) に基づく複写 複製

を含む ) を甲に返却 または自己で廃棄の上廃棄の証拠を甲に報告する (9) (8) にかかわらず 甲から返却また廃棄を求められたときは 機密情報 ((5) に基づく複写 複製を含む ) を甲に返却 または自己で廃棄の上廃棄の証拠を甲に報告する (10) 乙は 甲に対して 機密情報の以下の具体的管理状況を毎月月末に報告する 乙は 甲が乙の事務所における機密情報の管理状況を確認するために乙の事務所への立入検査を希望する場合には 当該検査に協力する また 甲は乙に対して是正措置を求めることができ 乙はこれを実施するものとする 1 委託契約範囲外の加工 利用の禁止の遵守 2 委託契約範囲外の複写 複製の禁止の遵守 3 安全管理措置状況 第 条 ( 再委託 ) 1. 乙は 本業務 ( の全部 または一部 ) を第三者へ再委託する場合 甲の事前の書面による同意を得ずに 再委託してはならない 2. 前項の規定に基づき本業務を再委託する場合 乙は自己が負う義務と同等の義務を再委託先に対して書面にて課すとともに 甲に対して再委託先に当該義務を課した旨を書面により報告し かつ乙は当該機密情報開示に伴う全責任を負うものとする また 乙は次項第 3 号の再委託先からの報告を 第 条 ( 機密保持 ) 第 3 項の具体的管理状況の報告時にあわせて甲に報告する 3. 前項に加え 乙は再委託先から次の各号の同意を得なければならない また 乙は 当該同意を得た旨を甲に書面で報告する 1 事故発生時には直ちに甲に対しても通知すること 2 事故再発防止策を協議する際には甲の参加も認めること 3 再委託先における機密情報の具体的管理状況の報告は 甲の閲覧も可とすること コメント 以下に示すような 機密保持条項に関連する他の条項 については 業務委託期間終了又は本契約の解除後も 合理的な期間に渡り存続させることがのぞましい 第 条 ( 権利義務の譲渡 ) 第 条 ( 成果の帰属 ) 第 条 ( 損害賠償 ) 第 条 ( 法令等の遵守義務 ) 第 条 ( 協議事項 ) 第 条 ( 紛争の解決 ) また 第 条 ( 守秘義務 ) の規定は 業務委託期間終了又は本契約の解除後 年間有効とする の如く有効期間を示すことがのぞましい

( 別紙 委託先における情報セキュリティ対策事項 ) 本紙は 委託元が委託先に確認する情報セキュリティ対策事項で 情報セキュリティ対策は別途定める~による というような契約時において示される別紙の例である 注 ) 機密保持条項 ( 例示案 ) との整合性は取っていない 委託元から委託先に開示する機密情報 ( 以下 機密情報 という ) の管理に関し 委託先が実施する情報セキュリティ対策の事例を示す なお 具体的に多くの事例を示すため事例相互の整合性は保証されていないので 適宜選択すること 委託契約では 機密情報の取扱に関して 必要かつ適切な安全管理措置について 委託者 受託者双方が同意した内容を事前に具体的にする必要がある 具体的な実施策がなく 委託元が委託先に対して 事故が発生した場合の損害賠償のことについてだけしか契約に盛り込まないということは望ましくない これらの事例を参考に 機密情報の種類 業務委託関係などの諸条件を考慮して 委託元は 委託先と協議のうえ 委託先が実施する適切な情報セキュリティ対策を指示すべきである 1. 情報セキュリティに対する組織的な取組み 1.1 機密情報の利用 保管 持ち出し 消去 破棄における取り扱い手順を定める 機密情報は 他の情報と区別して保管すること 機密情報の管理者を定めること 機密情報にアクセスできる人の範囲を定めること 最新の従事者 ( 管理責任者を含む ) を 従事者台帳 で管理すること 機密情報を受領した場合には 機密情報管理台帳 に記録すること 機密情報の利用記録を残しておくこと 機密情報を複製または電子メールで送信する場合には 事前に委託元の承認を 得ること 機密情報を複製または電子メールで送信した場合には 機密情報管理台帳 に 所在地およびその管理者を記録すること 機密情報および機密情報を取り扱う 機器の保安区分外への持ち出しは禁止すること 機密情報を持ち出す場合 事前に委託元の承認を得ること 機密情報を持ち出す場合 事前に機密情報の管理者の承認を得ること 機密情報を持ち出す場合 ファイルの暗号化を行うこと 機密情報を格納する記憶媒体は セキュリティロック機能を有すること 持ち出しの利用を終えた機密情報は 正しく消去されているか確認すること

機密情報を扱う業務の担当を外れた従業者 ( 管理責任者を含む ) が保有してい た機密情報の廃棄 消去を確認すること 機密情報および機密情報が化体された物 ( 試作品等 ) の廃棄手順を定めること 委託業務の終了時 機密情報が安全に廃棄 消去されたことを示す記録を整備 すること また 委託元に報告すること 機密情報を格納していたサーバを廃棄 売却またはリース返却する時は デー タ消去ツールなどでデータの完全消去を行うこと バックアップのルールを定め 定期的に実施すること 機密情報を扱う情報シ ステムの全てのバックアップ媒体は 機密区分に応じた管理を行うこと 機密情報を含む裏紙は利用しないこと 機密情報が記された FAX プリントアウトその他の書類が長時間放置されたま まにならないようなルールの運用をすること 情報セキュリティが適正に維持 運用されていることを確認するため 定期的 に確認すること 定期的に機密情報取り扱い業務の内部点検を実施すること 1.2 機密情報に係る業務の再委託に関する事項を定める 業務の再委託を行う場合は 実施理由 必要性 内容 再委託先についての書面 を事前に委託元に提出し承認を得ること 再委託先と機密保持に関する契約を締結すること 委託元から委託先に求める情 報セキュリティ要求事項と同等の内容を含めること 項目例 : * 守秘義務 * 機密保持の対象となる情報の範囲 * 守秘義務期限 * 使用目的の制限 * アクセス者は必要最小限に限定 * 機密情報の管理方法 * 機密情報の複製の制限 * 委託契約終了後の機密情報の返却または廃棄の規定 * 委託元からの機密保持に関する確認措置の規定 * 契約違反時の措置

* 無断での再委託の禁止 * 私用 PC の業務使用禁止 機密情報に係る再委託先との業務について手順を文書化すること 再委託先における情報セキュリティ対策が適切に維持 運営されていることを定 期的に確認すること 機密情報を再委託先に開示する場合には 機密情報であることを明示すること 再委託先への機密情報の受け渡しに関する記録を行うこと 再委託先への機密情報の受け渡しに際し 暗号化を行うこと 再委託先に開示した機密情報の廃棄 消去に関する記録を再委託先から取得する こと 1.3 機密情報を扱う従事者に対して遵守事項の周知と 情報セキュリティに関わる知識習 得の機会を与える 機密保持に関する遵守事項を従事者に周知させること 機密保持を実践するために必要な教育を定期的に行い 受講記録を作成すること 機密情報を公衆の場 ( 居酒屋や電車の中など ) で公言しないこと 2 物理的セキュリティ 2.1 機密情報を保管および扱う場所の入退管理と施錠管理を行う 機密情報を保管および扱う区域を定めていること 機密情報を保管している部屋 ( 事務室 ) 又はフロアーへの侵入を防止するための 対策を行っていること 機密情報を保管している部屋 ( 事務室 ) 又はフロアーに入ることができる人を制 限し 入退の記録を取得していること 機密情報が格納された記憶媒体 紙資料 ノート PC 等は施錠管理すること 機密情報を取り扱う情報システムを格納するサーバルームへの入退館の記録や サーバへの作業記録を保存し 事故が発生した際 後からトレースできるように すること 鍵または ID カードなどの保管や所有について定期的に確認すること 入退出記録 ( カメラ画像を含む ) を定期的に確認すること

2.2 機密情報を保管および扱う場所への個人所有物の持込み 利用を禁止する 個人所有の PC 記憶媒体等 ( ) の持込みを禁止すること個人所有の PC 記憶媒体等 ( ) の業務利用を禁止すること 個人所有の PC の社内ネットワーク接続を禁止すること 記憶媒体等 ( ) の利用は会社貸与品のみとし 個人所有の記憶媒体等 ( ) の利 用を禁止すること 記憶媒体 (SD カード USB メモリ等 ) カメラ付き携帯電話 携帯情報端末 (PDA) 音楽プレーヤーなど 3 機密情報が格納される情報システムの運用管理 3.1 ウイルス対策ソフトをはじめとしたアプリケーションの運用を適切に行う ウイルス対策ソフトを導入し パターンファイルの更新を定期的に行っていること ウイルス対策ソフトが持っている機能 ( ファイアーウォール機能 スパムメール対 策機能 有害サイト対策機能 ) を活用すること サーバやクライアント PC について 定期的なウイルス検査を行っていること ノート PC には BIOS パスワード HDD パスワードの設定および暗号化ソフト の導入をすること Winny 等 組織で許可されていないソフトウェアのインストールを禁止している こと 禁止ソフトがインストールされていないか定期的に確認すること 機密情報をコピーして持ち出さないよう 記憶媒体が接続できない設定とすること 情報システムの時刻は定期的に同期をとること 業務に不要な web サイトへのアクセスを制限すること 3.2 情報システムに対して 最新のパッチを適用するなどの脆弱性対策を行う 脆弱性の解消 ( 修正プログラムの適用 Windows update 等 ) を行っていること 不要なサービスの停止など セキュリティを考慮した設定を実施するなどの対策が 施されているかを確認すること Web ブラウザや電子メールソフトのセキュリティ設定を行うこと 4 機密情報へのアクセス制御の状況 4.1 機密情報へのアクセスを制限するために 利用者 ID の管理 ( パスワードの管理など )

を行う 機密情報が扱える利用者毎に ID とパスワードを割当て その ID とパスワードによ る識別と認証を確実に行うこと 利用者 ID の登録や削除に関する規程を整備すること パスワードは有効期限を設け 定期的に変更すること また 空白のパスワードや 単純な文字列のパスワードを設定しないよう利用者に求めること 離席する際は パスワードで保護されたスクリーンセーバーでパソコンを保護する こと PC やサーバ ネットワーク機器を社内ネットワークに接続する場合は 機密情報 管理者の承認を得ること 従業者への機密情報アクセス権の付与状況を定期的に見直し 必要のないアクセス 権を削除すること 遠隔診断ポートの利用は 保守サポートなどの必要な場合のみに限定すること 遠隔診断ポートを利用した接続は 認証機能やコールバック機能等を備えるなど 適切なセキュリティ対策を施すこと 5 情報セキュリティ上の事故対応 5.1 機密情報漏えいが判明した時に 状況を把握し委託元にすみやかに報告する 機密情報漏えい発生時の体制および連絡網を整備し すべての従事者に周知するこ と 機密情報漏えいが発生した場合 漏えいの発生が疑われる場合 または漏えいに至 る可能性のある問題が発見された場合には すみやかに機密情報管理者に報告する こと 機密情報について上記の問題が発生した場合 すみやかに委託元に報告すること 機密情報漏えいが発生した場合には 委託元と再発防止策を協議し 従事者に周知 すること

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック