5.4 通信回線
6.1.2 外部委託
適用範囲
曓 会計法第29 条 規定 る貸借 請 契約 基 提供 れる役
う 情報処理 る業 あ 例え 掲 る営業品目 当 る 適用 る
z ソネダゞゟ゚開発 ハュエメヘ作成 クケゾヘ開発等 z 情報処理 統計 計 タヴシ゠ンダモヴ 媒体変換等 z 賃貸借
z 調査ン研究 調査 研究 検査等
遵守事項
(1) 情報コゥポモゾ゛確保 府省庁内共通 組 整備 基曓遵 事
(a) 統括情報コゥポモゾ゛責任者 外部委 対象 よい情報クケゾヘ 範 及び委 先 よる゚ェコケを認 る情報資産 範 を 断 る基準を整備 る
(b) 統括情報コゥポモゾ゛責任者 委 先 選定基準及び選定手 を整備 る 強化遵 事
(c) 統括情報コゥポモゾ゛責任者 委 先 選定基準策定 当 厳格性
向 国 規格を踏 え 委 先 情報コゥポモゾ゛水準 評価方法を 整備 る
(2) 委 先 実施 る情報コゥポモゾ゛対策 明確化 基曓遵 事
(a) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 外部委
る業 遂行 委 先 実施 る情報コゥポモゾ゛対策 内容を定 委 先候補 事前 周知 る
(b) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 委 先
請 わ る業 い 情報コゥポモゾ゛ 侵害 れ 場合 対処方法を整備 委 先候補 事前 周知 る
(c) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 委 先
る情報コゥポモゾ゛対策 行状況を確認 る 方法及び情報コゥポモ ゾ゛対策 行 十 ある場合 対処方法を整備 委 先候補 事前 周 知 る
(3) 委 先 選定
基曓遵 事
(a) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 選定基準
及び選定手 基 委 先を選定 る 強化遵 事
(b) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 国 規格 を踏 え 委 先 情報コゥポモゾ゛水準 評価方法 従 委 先 候補者 情報コゥポモゾ゛水準を確認 委 先 選定 る評価 一要素 利
用 る
(4) 外部委 る契約
基曓遵 事
(a) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 外部委
を実施 る 委 先 請 わ る業 る情報コゥポモゾ゛対策 機 密保持 情報 目的外利用 禁 を含 情報コゥポモゾ゛ 侵害発生時 対 処方法 情報コゥポモゾ゛対策 行状況 確認方法及び情報コゥポモゾ゛対策
行 十 ある場合 対処方法を含 外部委 伴う契約を り交わ 必要 応 事 を当 契約 含 る
(゚) 情報コゥポモゾ゛監査 入れ (゜) キヴニケヤパャ 保証
(b) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 外部委
る契約者 方 責任 明確化 合意 形成を行い 委 先 る情報コゥ ポモゾ゛対策 遵 方法及び管理体制 る確認書等を提出 る
必要 応 事 を当 確認書等 含 る
(゚) 当 委 業 携わる者 特定
(゜) 遵 情報コゥポモゾ゛対策を実現 る 当 者 実施 る具体 的 組内容
(c) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 外部委
契約 選定基準及び選定手 基 都度審査 る
易 意契約 を い
(d) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 委 先
提供 るキヴニケ 情報コゥポモゾ゛基曓方針 実施手 管理策 維持及び改 善を含 変更 選定基準及び選定手 基 是非を審査
る
(e) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 委 先
請 内容 全部又 一部を第 者 再請 る を禁 る
委 先 ら 申請を 再請 る より生 る 威 対 情報 コゥポモゾ゛ 十 確保 れる措置 担保 れる 断 る場合 限り
い
(5) 外部委 実施 る手
基曓遵 事
(a) 行 事 従事者 委 先 要保護情報又 重要 設計書を提供 る場合 提供 る情報を必要暷 限 措置を講 る
(゚) 委 先 情報を提供 る場合 全 渡方法 より れを実施 提供 録を 得 る
(゜) 外部委 業 終了等 より提供 情報 委 先 い 要 場
合 れを確実 返 又 廃棄 若 抹消 る
(b) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 請 わ
業 実施 い 情報コゥポモゾ゛ 侵害 発生 場合 定 られ 対処方法 従い 委 先 必要 措置を講 る
(c) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 定 られ 方法 従い 委 先 る情報コゥポモゾ゛対策 行状況を確認 る
(6) 外部委 終了時 手
基曓遵 事
(a) 情報クケゾヘコゥポモゾ゛責任者又 課室情報コゥポモゾ゛責任者 外部委
終了時 委 先 請 わ 業 い 行われ 情報コゥポモゾ゛対策 を確認 結果を納品検査 る確認 断 加える
6.1.3 ソ 開発
遵守事項
(1) ソネダゞゟ゚開発体制 確立時 基曓遵 事
(a) 情報クケゾヘコゥポモゾ゛責任者 ソネダゞゟ゚開発 い コゥポモゾ゛
わる対策事 曓 (2) ら(5) 遵 事 を満 能 開発体制 確保を 情報クケゾヘを統括 る責任者 求 る
(b) 情報クケゾヘコゥポモゾ゛責任者 ソネダゞゟ゚開発を外部委 る場合
委 先 実施 対策事 曓 (2) ら(5) 遵 事 中 ら必要 事 を 選択 当 対策事 実質的 担保 れるよう 委 先 実施 い 保証
る
(2) ソネダゞゟ゚開発 開始時 基曓遵 事
(a) 情報クケゾヘコゥポモゾ゛責任者 ソネダゞゟ゚ 開発工程 る情報コゥ ポモゾ゛ 連 る開発手 及び環境 い 定 る
(b) 情報クケゾヘコゥポモゾ゛責任者 ソネダゞゟ゚ 作成及び試験を行う情報ク
ケゾヘ い 情報コゥポモゾ゛ 観 ら運用中 情報クケゾヘ る必要性 暼無を検討 必要 認 る
(3) ソネダゞゟ゚ 設計時 基曓遵 事
(a) 情報クケゾヘコゥポモゾ゛責任者 開発 るソネダゞゟ゚ 運用 れる
連 る情報資産 対 想定 れるコゥポモゾ゛ 威 析結果 及び当 ソネ ダゞゟ゚ い り扱う情報 格付 応 コゥポモゾ゛機能 必要性 暼無を検討 必要 認 コゥポモゾ゛機能を適 設計 設計書
明確 述 る
(b) 情報クケゾヘコゥポモゾ゛責任者 開発 るソネダゞゟ゚ 運用 れる 利
用 れるコゥポモゾ゛機能 い 管理機能 必要性 暼無を検討 必要 認 管理機能を適 設計 設計書 明確 述 る
(c) 情報クケゾヘコゥポモゾ゛責任者 ソネダゞゟ゚ 設計 い 情報コ
ゥポモゾ゛ る妥当性を確認 る 設計ヤニポヴ 範 及び方法を定 れ 基 い 設計ヤニポヴを実施 る
(d) 情報クケゾヘコゥポモゾ゛責任者 開発 るソネダゞゟ゚ い 処理 るタ
ヴシ及び入出力 れるタヴシ 情報コゥポモゾ゛ る妥当性を確認 る機能 必要性 暼無を検討 必要 認 方法を適 設計 設計 書 明確 述 る
(e) 情報クケゾヘコゥポモゾ゛責任者 開発 るソネダゞゟ゚ 重要 コゥポモゾ
゛要件 ある場合 れを実現 るコゥポモゾ゛機能 設計 い 第 者 機 よるコゥポモゾ゛設計 様書 ST Security Target ST評価ンST確認 を る 当 ソネダゞゟ゚を要素 含 情報クケゾヘ い コゥポモゾ゛設計 様書 ST評価ンST確認を る場合 又 ソネダゞゟ゚
を更改 若 開発中 様変更 発生 場合 あ 見直 後 コゥ ポモゾ゛設計 様書 い 重要 コゥポモゾ゛要件 変更 軽微 ある 認
限り い
(4) ソネダゞゟ゚ 作成時 基曓遵 事
(a) 情報クケゾヘコゥポモゾ゛責任者 ソネダゞゟ゚開発者 作成 ソヴケカヴ チ い 必要 ゚ェコケ ら保護 る トセェ゚セハを 得 る
(b) 情報クケゾヘコゥポモゾ゛責任者 情報コゥポモゾ゛ 観 らカヴタ゛ンエ
る規定を整備 る 強化遵 事
(c) 情報クケゾヘコゥポモゾ゛責任者 作成 れ ソヴケカヴチ い 情
報コゥポモゾ゛ る妥当性を確認 る ソヴケカヴチヤニポヴ 範 及 び方法を定 れ 基 い ソヴケカヴチヤニポヴを実施 る
(5) ソネダゞゟ゚ 試験時 基曓遵 事
(a) 情報クケゾヘコゥポモゾ゛責任者 コゥポモゾ゛ 観 ら実施 る試験 必
要性 暼無を検討 必要 認 実施 る試験 目及び試験方法を定 れ 基 い 試験を実施 る
(b) 情報クケゾヘコゥポモゾ゛責任者 情報コゥポモゾ゛ 観 ら実施 試験 実施 録を保 る