外部委託

適用範囲

曓 会計法第29 条 規定 る貸借 請 契約 基 提供 れる役

う 情報処理 る業 あ 例え 掲 る営業品目 当 る 適用 る

z ソネダゞゟ゚開発 ハュエメヘ作成 クケゾヘ開発等 z 情報処理 統計 計 タヴシ゠ンダモヴ 媒体変換等 z 賃貸借

z 調査ン研究 調査 研究 検査等

遵守事項

(1) 情報コゥポモゾ゛確保 府省庁内共通 組 整備 基曓遵 事

(a) 統括情報コゥポモゾ゛責任者 外部委 対象 よい情報クケゾヘ 範 及び委 先 よる゚ェコケを認 る情報資産 範 を 断 る基準を整備 る

(b) 統括情報コゥポモゾ゛責任者 委 先 選定基準及び選定手 を整備 る 強化遵 事

(c) 統括情報コゥポモゾ゛責任者 委 先 選定基準策定 当 厳格性

向 国 規格を踏 え 委 先 情報コゥポモゾ゛水準 評価方法を 整備 る

(2) 委 先 実施 る情報コゥポモゾ゛対策 明確化 基曓遵 事

(a) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 外部委

る業 遂行 委 先 実施 る情報コゥポモゾ゛対策 内容を定 委 先候補 事前 周知 る

(b) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 委 先

請 わ る業 い 情報コゥポモゾ゛ 侵害 れ 場合 対処方法を整備 委 先候補 事前 周知 る

(c) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 委 先

る情報コゥポモゾ゛対策 行状況を確認 る 方法及び情報コゥポモ ゾ゛対策 行 十 ある場合 対処方法を整備 委 先候補 事前 周 知 る

(3) 委 先 選定

基曓遵 事

(a) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 選定基準

及び選定手 基 委 先を選定 る 強化遵 事

(b) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 国 規格 を踏 え 委 先 情報コゥポモゾ゛水準 評価方法 従 委 先 候補者 情報コゥポモゾ゛水準を確認 委 先 選定 る評価 一要素 利

用 る

(4) 外部委 る契約

基曓遵 事

(a) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 外部委

を実施 る 委 先 請 わ る業 る情報コゥポモゾ゛対策 機 密保持 情報 目的外利用 禁 を含 情報コゥポモゾ゛ 侵害発生時 対 処方法 情報コゥポモゾ゛対策 行状況 確認方法及び情報コゥポモゾ゛対策

行 十 ある場合 対処方法を含 外部委 伴う契約を り交わ 必要 応 事 を当 契約 含 る

(゚) 情報コゥポモゾ゛監査 入れ (゜) キヴニケヤパャ 保証

(b) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 外部委

る契約者 方 責任 明確化 合意 形成を行い 委 先 る情報コゥ ポモゾ゛対策 遵 方法及び管理体制 る確認書等を提出 る

必要 応 事 を当 確認書等 含 る

(゚) 当 委 業 携わる者 特定

(゜) 遵 情報コゥポモゾ゛対策を実現 る 当 者 実施 る具体 的 組内容

(c) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 外部委

契約 選定基準及び選定手 基 都度審査 る

易 意契約 を い

(d) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 委 先

提供 るキヴニケ 情報コゥポモゾ゛基曓方針 実施手 管理策 維持及び改 善を含 変更 選定基準及び選定手 基 是非を審査

る

(e) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 委 先

請 内容 全部又 一部を第 者 再請 る を禁 る

委 先 ら 申請を 再請 る より生 る 威 対 情報 コゥポモゾ゛ 十 確保 れる措置 担保 れる 断 る場合 限り

い

(5) 外部委 実施 る手

基曓遵 事

(a) 行 事 従事者 委 先 要保護情報又 重要 設計書を提供 る場合 提供 る情報を必要暷 限 措置を講 る

(゚) 委 先 情報を提供 る場合 全 渡方法 より れを実施 提供 録を 得 る

(゜) 外部委 業 終了等 より提供 情報 委 先 い 要 場

合 れを確実 返 又 廃棄 若 抹消 る

(b) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 請 わ

業 実施 い 情報コゥポモゾ゛ 侵害 発生 場合 定 られ 対処方法 従い 委 先 必要 措置を講 る

(c) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 定 られ 方法 従い 委 先 る情報コゥポモゾ゛対策 行状況を確認 る

(6) 外部委 終了時 手

基曓遵 事

(a) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 外部委

終了時 委 先 請 わ 業 い 行われ 情報コゥポモゾ゛対策 を確認 結果を納品検査 る確認 断 加える

6.1.3 ソ 開発

遵守事項

(1) ソネダゞゟ゚開発体制 確立時 基曓遵 事

(a) 情報クケゾヘコゥポモゾ゛責任者 ソネダゞゟ゚開発 い コゥポモゾ゛

わる対策事 曓 (2) ら(5) 遵 事 を満 能 開発体制 確保を 情報クケゾヘを統括 る責任者 求 る

(b) 情報クケゾヘコゥポモゾ゛責任者 ソネダゞゟ゚開発を外部委 る場合

委 先 実施 対策事 曓 (2) ら(5) 遵 事 中 ら必要 事 を 選択 当 対策事 実質的 担保 れるよう 委 先 実施 い 保証

る

(2) ソネダゞゟ゚開発 開始時 基曓遵 事

(a) 情報クケゾヘコゥポモゾ゛責任者 ソネダゞゟ゚ 開発工程 る情報コゥ ポモゾ゛ 連 る開発手 及び環境 い 定 る

(b) 情報クケゾヘコゥポモゾ゛責任者 ソネダゞゟ゚ 作成及び試験を行う情報ク

ケゾヘ い 情報コゥポモゾ゛ 観 ら運用中 情報クケゾヘ る必要性 暼無を検討 必要 認 る

(3) ソネダゞゟ゚ 設計時 基曓遵 事

(a) 情報クケゾヘコゥポモゾ゛責任者 開発 るソネダゞゟ゚ 運用 れる

連 る情報資産 対 想定 れるコゥポモゾ゛ 威 析結果 及び当 ソネ ダゞゟ゚ い り扱う情報 格付 応 コゥポモゾ゛機能 必要性 暼無を検討 必要 認 コゥポモゾ゛機能を適 設計 設計書

明確 述 る

(b) 情報クケゾヘコゥポモゾ゛責任者 開発 るソネダゞゟ゚ 運用 れる 利

用 れるコゥポモゾ゛機能 い 管理機能 必要性 暼無を検討 必要 認 管理機能を適 設計 設計書 明確 述 る

(c) 情報クケゾヘコゥポモゾ゛責任者 ソネダゞゟ゚ 設計 い 情報コ

ゥポモゾ゛ る妥当性を確認 る 設計ヤニポヴ 範 及び方法を定 れ 基 い 設計ヤニポヴを実施 る

(d) 情報クケゾヘコゥポモゾ゛責任者 開発 るソネダゞゟ゚ い 処理 るタ

ヴシ及び入出力 れるタヴシ 情報コゥポモゾ゛ る妥当性を確認 る機能 必要性 暼無を検討 必要 認 方法を適 設計 設計 書 明確 述 る

(e) 情報クケゾヘコゥポモゾ゛責任者 開発 るソネダゞゟ゚ 重要 コゥポモゾ

゛要件 ある場合 れを実現 るコゥポモゾ゛機能 設計 い 第 者 機 よるコゥポモゾ゛設計 様書 ST Security Target ST評価ンST確認 を る 当 ソネダゞゟ゚を要素 含 情報クケゾヘ い コゥポモゾ゛設計 様書 ST評価ンST確認を る場合 又 ソネダゞゟ゚

を更改 若 開発中 様変更 発生 場合 あ 見直 後 コゥ ポモゾ゛設計 様書 い 重要 コゥポモゾ゛要件 変更 軽微 ある 認

限り い

(4) ソネダゞゟ゚ 作成時 基曓遵 事

(a) 情報クケゾヘコゥポモゾ゛責任者 ソネダゞゟ゚開発者 作成 ソヴケカヴ チ い 必要 ゚ェコケ ら保護 る トセェ゚セハを 得 る

(b) 情報クケゾヘコゥポモゾ゛責任者 情報コゥポモゾ゛ 観 らカヴタ゛ンエ

る規定を整備 る 強化遵 事

(c) 情報クケゾヘコゥポモゾ゛責任者 作成 れ ソヴケカヴチ い 情

報コゥポモゾ゛ る妥当性を確認 る ソヴケカヴチヤニポヴ 範 及 び方法を定 れ 基 い ソヴケカヴチヤニポヴを実施 る

(5) ソネダゞゟ゚ 試験時 基曓遵 事

(a) 情報クケゾヘコゥポモゾ゛責任者 コゥポモゾ゛ 観 ら実施 る試験 必

要性 暼無を検討 必要 認 実施 る試験 目及び試験方法を定 れ 基 い 試験を実施 る

(b) 情報クケゾヘコゥポモゾ゛責任者 情報コゥポモゾ゛ 観 ら実施 試験 実施 録を保 る