Comments
Description
Transcript
外部委託における情報セキュリティ遵守事項
外部委託における情報セキュリティ遵守事項 用語の定義 重要情報 個人が特定できる情報又は機密性、完全性、可用性が損なわれることによって行政全体の事務執 行に重大な影響を与える、最も厳格な管理を要すると日野市が判断した情報をいう 特定個人情報 番号法第2条第8項に規定する特定個人情報 守秘義務(契約書記載事項) 受託期間中に知り得た重要情報は、受託期間終了後も本業務の従事者以外に情報を提供してはなら ない。 目的外利用、受託者以外への提供禁止 受託期間中に知り得た重要情報については受託業務以外に利用してはならない。 提供情報の返還義務(契約書記載事項) 特に市が指定しない限り市から提供された情報は返還しなければならない。 体制の構築 受託者は、受託業務の実施前に「情報セキュリティ対策責任者」また「情報セキュリティ対策責任 者が不在の際にその責務を代行できる者」を定め市に報告すること。全ての業務従事者は、常に受 託事業者である旨を証する表示を受託業務中に行うこと。 再委託の制限 受託者が受託業務を再委託する場合、受託業務の実施前に必ず市の許可を得なければならない。再 委託を行った際は受託者が再委託先に対して全ての監督責任を負う。 従事者への教育の義務 情報セキュリティ対策責任者は、受託業務にかかわる全ての従事者に対して、本事項に示す日野市 の情報セキュリティ対策を十分に周知させ、実行できるよう措置をとること。 報告義務 受託者は、受託業務の実施にあたり受託業務の実施前に業務従事者名簿を作成し、市に提出するこ と。 情報セキュリティ対策責任者は、情報セキュリティを損ねるような事象、またはその恐れがある場 合は、日野市に報告しなければならない。 遵守不履行の際の対応(損害賠償) (1)告発等 条例等により、罰則等の対応が定められている場合は、必要に応じて、告発等の措置をとるもの とする。 (2)契約の解除等(契約書事項) 必要に応じて、契約の解除、損害賠償請求等をとるものとする。 監査検査への協力 受託者は、市の情報資産に関しての立ち入り調査に応じなければならない。 情報資産の管理 受託者が、市から情報資産の提供を受けた場合は、市の指定する情報資産の分類に応じて以下の扱 いをすること。重要情報と一般情報が混在する場合等は、重要情報の管理策によること。 (1)情報システム及びその他の電磁的記録(パソコンデータ)の管理 保管 分類 遵守事項 a 重 要 情 報 サーバ(ホスト)での保管 ・アクセス制御の施されたドライブ、フォルダに保管すること b クライアント(端末)での保管 原則として禁止する。 但し、共有フォルダ又はサーバ(ホスト)の利用ができない場合においてはアクセス制 御の施されたドライブ、フォルダに保管すること c 可搬記録媒体(FD・MOなど)での保管 原則として禁止する。 但し、以下の方法により管理する場合はこの限りではない。 ・保管場所が常時施錠されており、アクセスを認められていない者が容易にアクセスで きない状態で保管していること 特 定 個 人 情 報 一 般 情 報 a b 市が承認した場所に保管すること 保存場所へのアクセスは、市に提出した業務従事者名簿に掲載された者の うち、市が承認した必要最小限の者のみとすること c 保存する場合は暗号化もしくはパスワード付与を行うこと a サーバ(ホスト)及びクライアント(端末)での保管 ・アクセス制御の施されたドライブ、フォルダに保管すること b 可搬記録媒体(FD・MOなど)での保管 ・紛失、破損を防止するための処置を講じること 取扱 分類 遵守事項 a b c 重 要 情 報 d e f 利用 市に提出した業務従事者名簿に掲載された者のみに限定する。 持ち出し 原則として禁止する。 (業務上不可欠な場合で、市の承認を得た場合を除く) コピー・再加工 業務上必要な場合のみに限定する。 外部接続による送受信 原則として禁止する。 (業務上不可欠な場合で、市の承認を得た場合を除く) 電子メールによる送受信 原則として禁止する。ただし、市の承認がある場合に限り、利用できる。 可搬記録媒体(USBメモリなど)の使用 USBメモリの使用は一切禁止 その他の媒体については、業務上不可欠な場合で、事前に使用方法を市に提出し承認を 得た場合のみ使用を許可する。ただしその際には使用記録を保管し、定期的に市に報告 すること。 一般情報と識別するための措置をとること。 特 定 個 人 情 報 a 入手 情報提供ネットワークに接続されている情報システムからの入手に限る b 利用 i.市が指定した業務以外に利用してはならない。 ii. 市が承認した区域内のみで利用すること。 iii. 市に提出した業務従事者名簿に掲載された者のうち、市が承認した利用 者だけが利用すること。 iv. 利用者の指定は最小限とすること。 利用の際は利用者氏名・利用日時を記録し契約期間中保存すること。 c 持ち出し 原則として禁止する。(市の承認がある場合を除く) インターネットに接続できる環境に持ち出してはならない d コピー・再加工 原則として禁止する。(市の承認がある場合を除く) 廃棄 分類 重 要 情 報 遵守事項 市から提供された情報システム及びその他の電磁的記録(パソコンデータ)は、契 約終了と同時に市に返却すること。 ただし市から削除・廃棄の指示があった場合は以下のとおりとする。 a 契約終了と同時に削除・破棄すること b ・物理的に破壊すること 又は ・データ復元不能化処理を行うこと c 記録の保存 廃棄・削除を行った場合は実施者名・実施日時を記録し市に報告すること 一 般 情 報 (2)紙媒体等の管理策 保管 分類 遵守事項 保管場所が情報セキュリティ対策責任者により指定され、盗難、改ざん、紛失、破損等 を防止するための適切な処置を講じられていること。 重 要 情 報 一 般 情 報 特 定 個 人 情 報 盗難、改ざん、紛失、破損等を防止するための適切な処置が講じられ、市が承 認した場所に保管すること。 保管場所は、特に制限しない。ただし、紛失、破損を防止するための適切な処置を講じ ること。 取扱 分類 遵守事項 a 利用者の限定 市に提出した業務従事者名簿に掲載された者だけがアクセスできるよう管理する こと。 b 持出、コピー・再加工、外部への送受信、郵送等による送付、電子メールによる 送受信 原則禁止とする。ただし、業務上不可欠な場合で、市の承認を得た場合を除く。そ の際には記録を保管し、市に報告すること。 a 重 要 情 報 特 定 個 人 情 報 入手 あらかじめ指定された手段で本人確認・番号確認を行うこと b 利用 i. 市が指定した業務以外に利用してはならない。 ii. 市が承認した区域内のみで利用すること。 iii.市が承認した利用者だけが利用すること。 iv. 利用者の指定は最小限とすること。 利用後は市があらかじめ指定した場所に収納すること。 利用の際は利用者氏名・利用日時を記録し契約期間中保存すること。 c 持ち出し 原則として禁止する。(市の承認がある場合を除く) d コピー・再加工 原則として禁止する。(市の承認がある場合を除く) 廃棄 分類 特 定 個 人 情 報 重 要 情 報 一 般 情 報 遵守事項 市から提供された紙媒体等は、契約終了と同時に市に返却すること。 ただし市から削除・廃棄の指示があった場合は以下のとおりとする。 a 溶融、焼却、断裁等の情報の復元不能化処理を行うこと。 b 記録の保存 廃棄・削除を行った場合は実施者名・実施日時を記録し、その結果を日野市に報告する こと。 特に制限しない。 (3)音声等 取扱 分類 特 定 個 人 情 報 管理方法 a 重 要 情 報 会話 盗み聞き等のおそれのある場所においては、重要情報を話さないこと。 b コードレス電話(アナログ)等 重要情報の漏洩がないように、会話内容に注意すること。アナログ式コードレス電話 を用いての重要情報に関する通話は禁止する。 情報システムの開発時の遵守事項 原則として開発時には本番運用時のデータと全く異なるテスト専用のデータを作 成し、利用すること。 開発用のデータの管理は、本番運用時のデータと同等に扱うこと。 開発デ―タ 開発用のデータは、日野市が許可した範囲・用途以外での使用は厳禁。 開発用のデータを外部に提供する場合は、データ保管場所、データ管理取扱方法及 び責任を明確した上で事前に日野市の許可を得ること。また情報漏えい対策につい て万全を期すこと。 開発終了時は、不必要なデータを確実に復元不能な状態に消去すること。 検査及びテ 仕様書に記載されたセキュリティ要求事項については適合検査を必ず行い、検査結 ストの実施 果は、必ず市に報告すること。 以下の項目を作業開始前に市に報告し、承認を得ること。 ・保存されるサーバ、クライアントの設置場所の指定、アクセス制御の内容 ・媒体の利用の有無、保存、搬送方法 開発環境の ・利用されるネットワーク環境 報告 ・従事者名簿の提出 ・従事者に対する教育状況および効果測定結果 ・障害時の対応手順 ・コンピュータウィルス対策の適用状況 情報管理に関する協力 「日野市個人情報保護条例」に定める手続き、および日野市からの定期的な情報管理に関する状況 調査については遅滞なく回答すること。 記録の保管 受託者は、契約締結後主管課と当該受託契約に関する記録類の保存期間について協議を行い、合意 された期間その記録を保管すること。また、保存期間中に市の求めがあった場合は遅滞なく開示す ること。