1 仕様書 第1 委託件名 多摩・島しょ魅力発信事業業務委託 第2 委託期間 平成30年4月1日から平成31年3月31日まで 第3 履行場所 公益財団法人東京観光財団(以下「TCVB」という。)が指定する場所 第4 事業目的 多摩地域及び島しょ地域は、豊かな自然があり、多くの観光資源が存在しているものの、 旅行目的地としての認知度の向上が課題となっている。東京2020オリンピック・パラリ ンピック競技大会の開催に向けて、増加が見込まれる外国人旅行者及び国内旅行者を多摩・ 島しょ地域へ確実に送客するため、様々な情報発信ツールを多角的に活用した国内外への集 中的な観光プロモーションを行う。 第5 定義 本仕様書で使用する「多摩地域」とは、青梅市、福生市、羽村市、あきる野市、瑞穂 町、日の出町、檜原村及び奥多摩町をいい、「島しょ地域」とは、大島、利島、新島、式 根島、神津島、三宅島、御蔵島、八丈島、青ヶ島及び小笠原諸島(父島及び母島)をい う。 また、「海外」とは、台湾、香港、シンガポール等その他英語圏の国をいう。 第6 委託内容 1 全体運営 受託者は本事業の履行に当たり、以下の(1)から(3)までに留意すること。 (1)事業目的を踏まえ、以下のアからケまでを行うこと。 ア 事業全体の企画 イ 「TAMASHIMA.tokyo」の WEB サイトの制作・編集・運用 ウ 「TAMASHIMA.tokyo」の SNS の運用 エ WEB・SNS 広告の実施 オ 映像等に関すること カ ツーリズム EXPO ジャパンへの出展・運営等 キ 現地送客イベントの実施 ク 観光 PR パンフレット及びポスターの保管・配送 ケ 効果測定の実施 (2)受託者は本事業の履行に当たり、事業目的を踏まえ、国内・海外それぞれのターゲ
2 ットを選定し、全体戦略を企画立案すること。 (3)TCVB と協議の上、詳細なスケジュールや実施内容等を記載した事業計画書を作成 し、TCVB の承認を得ること。 (4)事業の実施に当たっては、実施体制の整備、実施業務の詳細等について、TCVB に 協議・報告・提案を行いながら進めること。 また、常時速やかに連絡・調整が可能な事務局機能を確保し、当該事業全体の統括 を行うこと。 (5)都が発信するプレスリリースについて、資料作成や掲載する画像・写真等の提供を、 その都度行うこと。 (6)国内向けに島しょ地域を PR する場合には、必ず「しまぽ通貨」の PR をあわせて行 うこと。 2 事業全体の企画
国内向けの PR では、平成29年度に開発したキャンペーンコピー「TOKYO new LUXURY」 を継続して使用すること。 海外向けの PR では、ターゲットに合わせたキャンペーンテーマを設計し、キャンペー ンコピー等必要なクリエイティブを開発すること。 その際、ブランド普及促進ロゴ「TAMASHIMA」を積極的に活用すること。 3 「TAMASHIMA.tokyo」の WEB サイトの制作・編集・運用 (1)本事業の WEB サイト「TAMASHIMA.tokyo」(http://tamashima.tokyo/)に掲載する コンテンツの制作・編集及び維持管理を行うこと。 (2)基本的なデザイン及び構成は、平成29年度を引き継ぐものとするが、より機能的 かつ魅力的なサイトとするための工夫・提案を行うこと。 (3)WEB サイトの充実に必要なコンテンツ内容等を提案し、TCVB と協議の上、掲載内 容を決定すること。必要に応じて現地取材を行うこと。 なお、下記事項については、必ず掲載すること。記事数については、TCVB と協議 の上、決定すること。 ア 8記事程度の特集記事の制作(食、各地域の温泉の特徴、お祭り 等) イ 平成30 年度に実施するイベントやキャンペーン、制作した映像等を紹介する ページを設けること。 ウ 日本語版においては、新着情報のバックナンバーページを設けること。 (4)各自治体や観光協会等の保有する情報を有効活用し、ポータルサイトとしての機能 を拡充すること。 (5)多言語ページの英語版・繁体字版については、日本語ページと同様の情報量になる よう、充実を図ること。簡体字版・韓国語版については、TCVB と協議の上、掲載内 容を決定すること。 (6)TCVB や都が実施する別事業を紹介するページを、日本語版・英語版で作成するこ と。想定する連携事業は下記のとおりとし、各事業の紹介文や実施報告等を掲載する こと。日本語原稿等はTCVB や都が提供するが、英語への翻訳については委託料に 含む。
3 ・自然公園を活用した観光振興事業 ・多摩・島しょ地域旅行商品造成・販売支援事業 ・多摩・島しょ地域内観光交通支援事業 ・島しょ地域を活用した縁結び観光プロジェクト ・島しょ地域誘客促進事業 ・新たなツーリズム開発支援事業 等 (7)SEO 対策などアクセス件数の向上に関する対策を行うこと。 (8)WEB サイトの制作・編集・運用を効果的に実施するため、専用の事務局、必要に応 じて編集チームを設置すること。 (9)WEB サイトのPV 数やサイトへの導入経路等を、毎月報告すること。その際、改善 が必要な場合には、改善策を提案し、TCVB と協議の上実施すること。 (10)WEB サイトは、受託者が用意するサーバーにて運営すること。 (11)WEB サイトの更新に当たっては、別紙1「東京都公式ホームページ作成に関する統 一基準」に準拠すること。 ア アクセシビリティの検証の実施 公開するホームページについて、「JISX8341-3:2016」試験実施ガイドラインに基づ き、ウェブアクセシビリティの達成等級(A・AA)に準拠しているかを検証し、結 果を提出すること。検証対象ページは、以下のとおりとする。検証の結果、問題点が 見つかった場合には、委託者に内容を報告後、委託者からの指示により必要に応じて 修正を行うこと。 なお、検証結果は、所定の様式で提出すること。 <検証対象ページ> 「ホームページを代表するページ」(以下の6ページ)及び「ランダムに選択し たページ」(34ページ)の計40ページを対象とする。 ・トップページ ・サブページ(トップページと個別ページの間の階層にあるページ) ・サイトポリシー ・多言語(多言語のページがない場合は、任意のページを選択) ・問合せ ・提供している情報が掲載されている末端のページ (12)WEB サイト内で、「東京都公式ホームページ作成に関する統一基準」に準拠してい ないものは、準拠させること。 (13)翌年度以降、受託者が変更になった場合には、遅滞なく WEB サイトが運営できるよ う、引継書を作成し、新たな受託者に確実に引継ぎを行うこと。 (14)その他、TCVB の依頼に応じ、バナー制作等、必要な対応を行うこと。 4 「TAMASHIMA.tokyo」の SNS の運用 (1)本事業専用のSNS(Facebook 及び Instagram)を活用し、週1回程度情報発信を 行うこと。
4 (2)投稿する内容については、過去に本事業で派遣した国内ブロガーの記事等を活用す ることとするが、あらかじめTCVB と協議の上、決定すること。 (3)本事業の WEB サイト「TAMASHIMA.tokyo」(http://tamashima.tokyo/)と連携させ た情報の拡散を実施すること。 (4)より多くのファン数を獲得するため、誘引広告を行うこと。 (5)SNS での情報発信・運用を効果的に実施するため、専用の事務局を設置すること。 (6)リスクマネージメントを見据えた基本方針を作成すること。 (7)本事業のイベント等の内容を、可能な範囲でリアルタイムに発信すること。 (8)SNS のフォロワー数や発信記事への反応等を毎月報告すること。その際、改善が 必要な場合には、改善策を提案し、TCVB と協議の上実施すること。 (9)翌年度以降、受託者が変更になった場合には、遅滞なく SNS が運営できるよう、引 継書を作成し、新たな受託者に確実に引継ぎを行うこと。 5 WEB・SNS 広告の実施 (1)インターネットから旅行情報を検索する多くの国内及び海外の旅行者へ向け、多 摩地域・島しょ地域の魅力を伝える記事を、発信力・影響力のあるキュレーション サイト等へ掲載すること。 (2)下記6で制作する動画を、YouTube等、360°動画の投稿が可能で、発信力・ 影響力のある動画サイトにて広告を配信し、視聴につなげるようPR等を行い、動画 視聴へ誘導すること。 (3)本事業のWEBサイト及びSNSの閲覧者を増やすため、誘引広告を実施するこ と。 (4)オンライン広告実施に当たっては、効果的な媒体及び対象のセグメント、広告時 期等を提案し、TCVBと協議の上実施すること。広告は、キャンペーン期間等を設 定し、通年に渡り実施すること。 (5)広告素材として、本事業で制作した映像を活用する場合には、広告媒体に合わせ て映像を編集・加工すること。なお、映像の編集・加工費用は、委託料に含む。 (6)広告実施期間は、毎月効果測定を行い、分析結果を報告すること。分析結果に応 じて、ターゲティング等を変更するなど、より効果的な広告を実施すること。 など、効果測定の項目や改善策等は、あらかじめTCVBと協議の上、決定するこ と。 6 映像等に関すること (1)映像素材の撮影 ア 映像を制作するための、素材を撮影し収集すること。 イ 映像の撮影に当たっては、4K映像で撮影し、360°全方位カメラや超高精細撮 影機材、遠隔操縦機(ドローン)等、最新鋭の専用機材や映像技術を十分に活用し、 撮影場所、時間、クリエイター等を工夫すること。 ウ 撮影場所については、映像の撮影に適しているか、最適な時期に撮影許可が下り るか等を事前に調査の上で提案し、TCVB と協議の上決定すること。 ただし、海中については、必ず撮影すること。 撮影及び動画配信の事前許可取得にかかる費用は、委託料に含む。
5 (2)制作 ア (1)で撮影・収集した映像素材を基に、多摩・島しょ地域の魅力を伝え、誘客 につなげる 360°VR 映像を、多摩・島しょ地域を分けて各1本ずつ合計2本制作す ること。映像の長さは、120 秒から 180 秒程度とする。 イ 映像制作に当たっては、(1)で撮影した映像素材を基に 360°VR 映像を制作す るための最新鋭の専用機材や技術を十分に活用し、クリエイター、出演者、音響、 特殊効果等を工夫すること。 ウ 映像タイトル等は、英語で対応すること。字幕やナレーション等は用いないもの とするが、利用した方が事業目的に照らし、より効果的と思われる場合には、TCVB と協議の上、対応言語等を決定すること。 エ 制作した映像のデータを、汎用性のある形式で DVD 等で5枚納品すること。 (3)映像の加工 イベントやPR等での活用を踏まえ、(2)で制作した映像を下記のような長さに 加工し、納品すること。加工に必要な経費は、委託料に含む。 (例)30 秒、15 秒 など (4)放映 ア (2)や(3)で制作した映像を、ホームページや SNS 等で放映するとともに、 YouTube 等、360°映像の投稿が可能で、発信力・影響力のある動画サイトで配信 すること。 イ (1)で撮影した素材を活用した効果的な視聴方法があれば提案すること。TCVB と協議の上、提案された視聴方法を実施する場合に、映像を編集・加工する必要が ある場合には、その費用も委託料に含む。 (5)VR 映像の視聴に関連する機器等の整備 ア 制作した 360°VR 映像を、一般事業者が提供している VR アプリに掲載すること。 イ TAMASHIMA ロゴを活用した紙製の VR スコープを制作すること。紙製の VR スコー プはイベント等で配布可能な数量を制作すること。 ウ 360°VR 映像を視聴するための、スマートフォンや VR スコープ等を5台程度整 備し、放映場所の調整を行うこと。 (6)映像データの納品 映像制作のために撮影したデータ(以下、「素材映像」という。)を DVD 等で5枚納 品すること。納品された素材映像は、今後 TCVB が他の事業等で、多摩・島しょ地域 のPRを行う際、一部を切り出して WEB サイトやパンフレット等で使用できるように 権利関係を整理して納品すること。 (7)効果測定 YouTube 等の動画配信サイトの視聴回数や視聴者の属性等の分析結果を毎月報告す ること。 (8)観光PR 映像の放映 ア 平成29年度、平成28年度に本事業で制作した PR 映像を、9月頃都内主要駅 や空港等の国内外の旅行者の旅行導線を考慮した場所で放映すること。放映日時 や場所は、協議の上、決定すること。 なお、映像を加工する必要がある場合には、その経費も委託料に含む。
6 イ TCVB からの依頼に基づき、本事業で制作した映像やポスターのデータを、必要 な形式に加工し、納品すること。その経費も委託料に含む。 7 ツーリズムEXPO ジャパンへの出展・運営等 (1)出展ブースの企画設営及び撤去 ア 多摩地域・島しょ地域の各自治体や観光協会等と密に連携し、魅力を伝える参加 者体験型のブースとすること。 イ 出展スペース数は18スペースとする。ただし、そのうち6スペースは、都が別 に実施する東京都内62区市町村の特産品を展示・販売するスペース(以下「特産 品ブース」という。)、2スペースは、TCVB が実施する「インバウンド向け旅行商 品造成促進事業」の商談スペースとすること。全体のブース構成は、TCVB 及び特 産品ブースの受託者とも協議の上で決定すること。 なお、10スペースの出展料は委託料に含まない。 ウ 都が別に出展するブースとも連携し、一体感をもたせるよう工夫をすること。 エ 各地域からの提供物等を保管するバックヤードをブース内に設けること。この バックヤードは、特産品ブースと共用すること。 オ 試食品の提供等を行う際の手洗い場をバックヤード内に設けること。この手洗 い場は特産品ブースと共用すること。 カ ツーリズムEXPOジャパン2018出展要領等に従い、イベント当日までの 準備(各種申請手続等)並びにブースの設営及び撤去を受託者が行うこと。 (2)出展ブースの運営 ア 開催期間中の出展ブースの管理・運営の一切を受託者の責任で行うこと。 イ 来場者に地域の観光PRが十分に行えるように、会場スタッフへの事前教育を行 うこと。 ウ 多摩地域・島しょ地域内で活動する観光関連団体等と連携して、運営するこ と。 (3)その他 本事業の WEB サイト「TAMASHIMA.tokyo」(http://tamashima.tokyo/)に、出展情報 や出展報告等を掲載すること。 8 現地送客イベントの実施 国内及び海外から多摩・島しょ地域への送客を目的としたイベントを企画し、多摩地 域・島しょ地域それぞれにおいて、1回以上実施すること。(例 インフルエンサー等 を活用したイベント など) イベントの実施に当たっては、SNSと絡めた提案を行うこと。 9 観光 PR パンフレット及びポスターの保管・配送 (1) 保管場所の確保 PR パンフレット及びポスターの在庫を管理する場所を確保すること。保管に必 要な経費は委託料に含む。 (2)発送
7 パンフレットやポスターを、TCVB が指定する場所に配送すること。配送に必要な 経費は委託料に含む。 10 効果測定の実施 本事業の今年度の効果検証を実施すること。また、過去2か年の効果測定結果とあわせ て、3か年の総括を行い、今後の対応策や方向性を示す報告書を提出すること。 効果測定の内容は、TCVB と協議の上決定すること。 第7 実施報告結果 「多摩・島しょ魅力発信事業委託」実施結果について、報告書(製本した成果物5部 及び電子データ1部)をTCVBに提出すること。 第8 制作物に関する権利の帰属 1 本件委託においては、著作権の取扱いに十分注意すること。 2 本件委託の履行に伴い発生する成果物に対する著作権(著作権法(昭和45年法律第 48号)第27条及び第28条の権利を含む。)は、全てTCVBに帰属する。 3 本件委託により得られる著作物の著作者人格権について、受託者は将来にわたり行 使しないこと。また、受託者は本件委託における制作物の制作に関与した者について 著作権を主張させず、著作者人格権についても行使させないことを約するものとす る。 ただし、TCVBが本件制作物を再編集などの改変を加えて利用する場合、TCVBは事前 に受託者に通告し、承認を得るものとする。 4 本件に使用する映像、イラスト、写真、その他資料等について、第三者が権利を有す るものを使用する場合には、使用の際、あらかじめ TCVB に通知するとともに、第三者 との間で発生した著作権その他知的財産権に関する手続きや使用権料等の負担と責任 は、すべて受託者が負うこと。 5 上記1、2、3及び4の規定は、第9により第三者に委託した場合においても適用 する。受託者は、第三者との間で必要な調整を行い、第三者との間で発生した著作権 その他知的財産権に関する手続きや使用権料等の負担と責任を負うこと。 6 その他、著作権等で疑義が生じた場合は、別途協議の上、決定するものとする。 第9 第三者代行の禁止 本委託業務は、原則として第三者に再委託させてはならない。ただし、事前に文書に よりTCVBと協議し、承認を得た事項については、第三者に委託して行うことができる。 第10 個人情報の保護 1 受託者は、本契約の履行にあたり、TCVBの保有する個人情報の取扱いについては、 別紙2「個人情報に関する特記事項」を遵守すること。 2 受託者は、本契約の履行に関連する受託者独自の個人情報の取扱いについては、前 記「個人情報に関する特記事項」の規定に準じて、個人情報の漏えい、滅失及びき損 の防止その他の個人情報の適正な管理のために必要な措置を講じなければならない。
8 第11 環境により良い自動車利用 本契約の履行に当たって自動車を利用し、又は利用する場合は、次の事項を遵守するこ と。 1 都民の健康と安全を確保する環境に関する条例(平成12 年東京都条例第 215 号)第 37 条のディーゼル車規制に適合する自動車であること。 2 自動車から排出される窒素酸化物及び粒子状物質の特定地域における総量の削減等 に関する特別措置法(平成4年法律第70 号)の対策地域内で登録可能な自動車である こと。 なお、当該自動車の自動車検査証(車検証)、粒子状物質減少装置装着証明書等の提 示又は写の提出を求められた場合には、速やかに提示し、又は提出すること。 第12 サイバーセキュリティ対策基準 別紙3「電子情報処理委託に係る標準特記仕様書」を遵守すること。また、以下「サイ バーセキュリティ対策基準」を遵守すること。 1 サーバ等の管理 (1) 機器の取付け サーバ等の機器の取付けを行う場合、火災、水害、埃、振動、温度、湿度等の 影響に対し、情報資産等の分類に基づく対策を施した場所に設置し、容易に取り 外せないよう適切に固定する等、必要な措置を講じなければならない。 (2) 機器の電源 情報システム等の可用性に応じて、停電等によるサーバ等機器への電源供給の停 止に備えた対策を講じなければならない。 ア 当該機器が保持するデータ等を毀損しないよう、適切に停止するまでの間に十 分な電力を供給する容量の予備電源を確保又は備え付けること。 イ 情報システム等の可用性にかかわらず、落雷等による過電流に対して、サーバ 等の機器を保護するための措置を講じること。 2 情報システム・ネットワーク (1) サーバ等 ア サーバ等の二重化 情報システム等の障害、誤動作、サービス不能攻撃等による運用停止時間を最 小限とするよう、当該情報システム等の可用性に応じて、サーバの二重化対策 等を講じなければならない。 イ バックアップの実施 情報処理システム、ファイルサーバ等に記録された情報について、サーバの二 重化対策にかかわらず、情報資産の分類に応じて定期的にバックアップを実施 しなければならない。 (2) ネットワーク
ア
通信回線の情報セキュリティ対策 ネットワークに使用する通信回線及び通信回線装置について、次の対策を講じ なければならない。9 ① ネットワークに使用する回線について、伝送途上に情報が破壊、盗聴、改 ざん、消去等が生じないよう、情報セキュリティ対策を実施すること。 ② 通信回線及び通信回線装置は、施設管理部門と連携し、適切に管理するこ と。 ③ 通信回線及び通信回線装置に関連する文書は、適切に保管すること。 イ ネットワークの接続制御、経路制御等 ネットワーク上の不正アクセスを防止するため、次の対策を講じなければな らない。 ① フィルタリング及びルーティング等により、ネットワークに適切なアクセ ス制御を施すこと。 ② フィルタリング及びルーティングについて、設定の不整合が発生しないよ うに、ファイアウォール、ルータ等の通信ソフトウェア等を設定するこ と。 ウ 職員等以外の者が利用できる情報システム等の分離等 職員等以外の者が利用できる情報システム等については、必要に応じて他の ネットワーク及び情報システム等と物理的に分離するなどの措置を講じなけ ればならない。 エ 外部ネットワークとの接続制限 所管するネットワークを外部ネットワークと接続する場合は、次の対策を講 じなければならない。 ① 外部へのネットワーク接続及び接続ポイントを必要最低限に限定するこ と。 ② 所管するネットワークを外部ネットワークと接続しようとする場合には、 情報セキュリティ責任者の許可を得なければならない。 ③ 接続しようとする外部ネットワークに係るネットワーク構成、機器構成、 セキュリティ技術等を詳細に調査し、所管するネットワーク、情報システ ム等の情報資産に影響が生じないことを確認すること。 ④ 接続した外部ネットワークの瑕疵によりデータの漏えい、破壊、改ざん又 はシステムダウン等による業務への影響が生じた場合に対処するため、当 該外部ネットワークの管理責任者による損害賠償責任を契約上担保するこ と。 ⑤ インターネットを介してウェブサーバ等を公開する場合は、所管するネッ トワークへの侵入を防御するために、ファイアウォール等を設置したうえ で接続すること。 ⑥ 接続した外部ネットワークのセキュリティに問題が認められるなど、情報 資産に脅威が生じることが想定される場合には、速やかに当該外部ネット ワークを物理的に遮断すること。
10 ⑦ 外部との接続に際しての仕様、制限条件、及び障害発生時の連絡体制等、 必要な事項を当該外部ネットワーク管理者との間で定めておくこと。 オ 職員等による外部からのアクセス等の制限 職員等による外部から社内ネットワークへの接続について、次の対策を講じな ければならない。 ① 内部のネットワーク又は情報処理システムに対する外部からのアクセス を、アクセスが必要な合理的理由を有する必要最小限の者に限定するこ と。 ② 外部からのアクセスを認める場合、システム上、利用者の本人確認を行う 機能を確保すること。 カ 無線LANの扱い及びネットワークの盗聴対策 無線LANを利用及び設置する場合は、次の対策を講じなければならない。 ① 無線LANを利用する場合は、無線LAN上を流れる情報の盗聴を防 ぐため、解読が困難な暗号化技術を用いること。 ② 無線LANを設置する場合は、無線LANアクセスポイントへの不正アク セスを防ぐため、認証技術を用いること。 ③ 無線LANアクセスポイントを設置する場合は、必要に応じて電波の外部 漏えい及び干渉を防止すること。 ④ 無線LANを新設又は拡張する場合は、情報セキュリティ統括責任者に報 告すること。 (3) 不正アクセス対策 ア ネットワークへの不正アクセス対策 ネットワークへの不正アクセスを防止又は検知するため、次の対策を講じなけれ ばならない。 ① 使用されていないTCP/UDPポートを閉鎖すること。 ② 不要なサービスについて、機能を削除又は停止すること。 ③ ネットワークで使用される機器について、極力、機器固有情報によっ て当該機器とネットワークとの接続の可否が自動的に識別されるよう システムを設定すること。 イ 重要なデータの改ざん防止対策 重要なデータの改ざんを防止又は検知するため、次の対策を講じなければならな い。 ① 不正アクセスによるウェブページにおける重要情報の改ざん防止及び検知の ため、データ書換えの検出・通報設定を行うか、または、定期的に改ざん有 無を検査すること。 ② 情報処理システムの重要な設定を行ったファイル等について、定期的に当該 ファイルの改ざんの有無を検査すること。 ウ サービス不能攻撃への対策
11 外部からアクセスできる情報システム等について、第三者からサービス不能攻撃 を受け、利用者がサービスを利用できなくなることを防止するため、次の対策を 講じなければならない。 ① サービス不能攻撃を検知できる対策を導入すること。 エ 標的型攻撃への対策 標的型攻撃は複数の攻撃段階を経て攻撃者の目的が遂行されることに鑑み、次の 対策を講じなければならない。 ① 「不正プログラム対策」(以下参照)を確実に実施し、既知の不正プログラ ムが感染することを未然に防ぐこと。 「不正プログラム対策」 (1) ゲートウェイにおける不正プログラム対策 インターネットからの不正プログラムの感染、侵入及び外部への拡散を防ぐため、事務所 内ネットワークとインターネットの境界において次の対策を講じなければならない。 ① ゲートウェイにおいて、外部ネットワークから受信したファイルに対し、コンピュータ ウイルス等の不正プログラムのチェックを行うこと。 ② ゲートウェイにおいて、外部ネットワークに送信するファイルに対し、コンピュータウ イルス等不正プログラムのチェックを行うこと。 (2) サーバ及びパソコン等端末における不正プログラム対策 サーバ及びパソコン等端末における不正プログラム対策として、次の対策を講じなければ ならない。 ① 所管するサーバ及びパソコン等端末に、コンピュータウイルス等の不正プログラム対策 ソフトウェアを常駐させること。 ② コンピュータウイルス等の不正プログラム対策ソフトウェアの常駐により、本来目 的とする機能が阻害される場合又は常駐できない場合、これとは別に独立した不正プロ グラム検査用パソコン等を設けること。この場合、前者パソコン等は外部ネットワーク との直接の接続をしてはならない。また、直接、外部データ等の入力、複写等による取 り込みをしてはならない。 ③ 不正プログラム対策ソフトウェア及びパターンファイルは、常に最新の状態に保つ こと。 ④ インターネットに接続していない情報処理システムにおいて、記録媒体を使う場 合、コンピュータウイルス等の感染を防止するために、組織が管理している記録媒体以 外の媒体を用いないこと。また、不正プログラムの感染、侵入が生じる可能性が著しく 低い場合を除き、不正プログラム対策ソフトウェアを導入し、定期的に当該ソフトウェ ア及びパターンファイルの更新を実施すること。 ⑤ 業務で利用するソフトウェアについて、修正プログラムの提供、バージョンアップ 等の開発元のサポートが終了したソフトウェアを利用しないこと。
12 ② 外部と接続している情報システム等について、パソコン等端末又はサーバ等 に感染した不正プログラムが、攻撃者の用意したサーバと通信することを防 ぐ、又は検出するための措置を講じること。 ③ 外部と接続している情報システム等について、パソコン等端末又はサーバ等 が攻撃者によりリモートから操作されうる状態となった場合において、攻撃 者による内部ネットワークの探査、情報収集等の行動を防ぐ、又は検出する ための措置を講じること。 ④ 外部と接続している情報システム等について、攻撃者により情報がネットワ ーク経由で外部に送出されることを防ぐ、又は検出するための措置を講じる こと。 オ アクセス記録の取得等 不正アクセスの発生を事後的に検証できるよう、情報システム等のアクセス記録 について、次の対策を講じなければならない。 ① アクセス記録として取得する項目、保存期間、取扱方法等について定めるこ と。 ② 各種アクセス記録及び情報セキュリティの確保に必要な情報を取得し、一定 の期間保存するなど適切にログを管理すること。 ③ アクセス記録等が窃取、改ざん、誤消去等されないように必要な措置を講じ ること。 ④ サーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じるこ と。 (4) システム運用 ア システム管理記録及び作業の確認 システム障害等のリスクを低減するため、情報システム等に対して定型作業、 あるいは変更等の非定型作業を行う場合は、次の対策を講じなければならな い。 ① 所管する情報処理システムの運用において実施した作業について、作業 記録を作成すること。 ② 所管する情報処理システムにおいて、システム変更等の作業を行った場 合は、作業内容について記録を作成し、窃取、改ざん等をされないよう に適切に管理すること。 ③ 情報セキュリティ管理者又は情報システム担当者及び契約により操作を 認められた外部委託事業者がシステム変更等の作業を行う場合は、2名 以上で作業し、互いにその作業を確認すること。 イ 障害記録 職員等からのシステム障害の報告、システム障害に対する処理結果又は問題等
13 を、障害記録として記録し、適切に保存しなければならない。また、情報セキ ュリティ統括責任者から説明等の求めがあった場合、これに応じなければなら ない。 3 情報システム等及びソフトウェアの開発、導入、保守等 (1)情報システム等及びソフトウェアの調達 調達しようとする情報システム等及びソフトウェアが本対策基準を満たすことを 確実なものとするため、次の対策を講じなければならない。 ア 情報システム等及びソフトウェアの開発、導入、保守等の調達に当たっては、調 達仕様書に、必要とする技術的なセキュリティ機能を明記すること。 イ 機器及びソフトウェアの調達に当たっては、当該製品のセキュリティ機能を調査 し、情報セキュリティ上問題のないことを確認すること。 ウ 機器及びソフトウェアの調達に当たっては、機器等におけるリース又は償却期間 において、十分な最新パッチの提供等、情報セキュリティ対策の速やかな支援を 得られるよう、契約書等に明記すること。 エ クラウドサービスを利用する場合は、情報の機密性に応じたセキュリティレベル が確保されているサービスを選択すること。 (2) 情報システム等の開発 ア システム開発における責任者及び作業者の特定 システム開発における責任所在及び実施体制を把握するため、システム開発の責 任者及び作業者を、職員の中から又は委託する場合は委託事業者の中から特定し なければならない。 イ システム開発に用いるハードウェア及びソフトウェアの管理 システム開発で用いられる開発用のハードウェア及びソフトウェアがもたらす情 報セキュリティインシデントを防ぐため、次の対策を講じなければならない。 ① システム開発の責任者及び作業者が使用するハードウェア及びソフトウェアを 特定すること。 ② 使用を認めたもの以外のソフトウェアは、情報処理システムから削除するこ と。 (3) 情報システム等の導入 ア 開発環境と運用環境の分離及び移行手順の明確化 運用環境で使用しているプログラム及びファイルの誤消去、故意による改変等を 防ぐため、次の対策を講じなければならない。 ① システム開発・保守及びテスト環境とシステム運用環境を分離すること。 ② システム開発・保守及びテスト環境からシステム運用環境への移行について、シ ステム開発・保守計画の策定時に手順を明確にすること。 ③ 移行の際、情報システム等に記録されている情報資産の保存を確実に行い、移行 に伴う情報システム等の停止等の影響が最小限になるよう配慮すること。
14 ④ 移行前に、導入されるソフトウェアに不正プログラム等の脅威がないことを確認 すること。 ⑤ 導入するサービス又は情報システム等の可用性が確保されていることを負荷テス ト等により確認した上で導入すること。 イ テスト 運用環境への移行テストがもたらしうる情報セキュリティインシデントを防止す るため、次の対策を講じなければならない。 ① 新たに情報システム等を導入する場合、既に稼働している情報システム等に接続 する前に十分な試験を行うこと。 ② 運用テストを行う場合、あらかじめ擬似環境による操作確認を行うこと。 ③ 個人情報及び機密性の高いデータを、テストデータに使用しないこと。 (4)システム開発・保守に関連する資料等の保管 システム開発・保守に関連する資料等は、保守及び機器更新に必要となるだけでな く、外部に漏えいした場合は攻撃に利用されるおそれがあるため、次の対策を講じ なければならない。 ア システム開発・保守に関連する資料及び文書を適切な方法で保管すること。 イ テスト結果を一定期間保管すること。 ウ 情報処理システムに係るソースコードを適切な方法で保管すること。 (5) 情報システム等における入出力データの完全性、正確性の確保 情報システム等による処理の完全性、正確性を確保するとともに、不正な入力を受 け付けることによる不要な情報漏えい等を防ぐため、次の対策を講じなければなら ない。 ア 情報システム等に入力されるデータについて、範囲、妥当性のチェック機能及び不 正な文字列等の入力を除去する機能を組み込むよう、設計すること。 イ 故意又は過失により情報が改ざんされる又は漏えいするおそれがある場合に、こ れを検出するチェック機能を組み込むよう、設計すること。 ウ 情報システム等から出力されるデータについて、情報の処理が正しく反映され、 出力されるよう、設計すること。 (6) 情報システム等の変更管理 情報システム等の変更による障害等を防ぐため、情報システム等の変更について、 次の対策を講じなければならない。 ア 情報システム等を変更する場合は、その変更目的を明らかにし、変更によるセキ ュリティ上のリスクについて検証すること。 イ プログラム仕様書等の変更履歴を作成すること。 (7) 開発・保守用のソフトウェアの更新等 開発・保守用のソフトウェア等の更新又は修正プログラムの適用をする場合は、ソフ トウェアのバージョンの違いによる障害等を防ぐため、影響の有無を事前に確認しな ければならない。
15 (8) 機器の定期保守及び修理 情報システム等の安定稼働に必要な保守及び修理において、次の対策を講じなけれ ばならない。 ア サーバ等の機器については、定期保守を実施しなければならない。 イ 記録媒体を内蔵する機器を外部の事業者に修理させる場合、内容を他の媒体にバ ックアップした上で、当該記録媒体内のデータを消去した状態で行わせなければ ならない。内容を消去できない場合、点検・修理を委託する事業者との間で、守 秘義務契約を締結する他、秘密保持体制の確認などを行わなければならない。 4 外部委託先の管理
(1)
外部委託等 ア 外部委託先の選定基準 ① 外部委託先の選定に当たり、委託内容に応じた情報セキュリティ対策が確保さ れることを確認しなければならない。 ② 情報セキュリティマネジメントシステムの規格及びプライバシーマーク等の認 証取得状況等を参考にして、事業者を選定しなければならない。 イ 契約項目 外部委託する場合には、委託事業者との間で次の情報セキュリティに関する要件 を明記した契約を締結しなければならない。 ① サイバーセキュリティポリシー及び実施手順等の遵守 ② 委託先の責任者、委託内容、作業者及び作業場所の特定 ③ 提供されるサービスレベルの保証 ④ 外部委託事業者にアクセスを許可する情報の種類と範囲、アクセス方法 ⑤ 従業員に対する教育の実施 ⑥ 提供された情報の目的外利用及び受託者以外の者への提供の禁止 ⑦ 業務上知り得た情報の守秘義務 ⑧ 再委託に関する制限事項の遵守 ⑨ 委託業務終了時の情報資産の返還、廃棄等 ⑩ 委託業務の定期報告及び緊急時報告義務 ⑪ 発注者又は情報セキュリティ責任者による監査・点検・検査があり得ること及 びその場合の協力義務 ⑫ 事故発生時の報告及び対応の義務 ⑬ 遵守事項についての同意書等の提出 ⑭ 情報セキュリティに関する要件が遵守されず、事故が発生した場合の規定(損 害賠償等) ⑮ 情報セキュリティ事故発生時の事故内容、事業者名等の公表があり得ること ウ サイバーセキュリティポリシーの遵守 外部委託する場合、外部委託事業者から再委託を受けている事業者も含めて、サイバ16 ーセキュリティポリシーのうち外部委託事業者が守るべき内容について説明し、同意 書等を求めなければならない。 エ 確認・措置等 外部委託事業者において必要な情報セキュリティ対策が確保されていることを定期的 に確認し、(イ)の契約内容に基づき措置しなければならない。また、その重要度に 応じて情報セキュリティ責任者及び情報セキュリティ統括責任者に報告しなければな らない。 オ 情報セキュリティ事故発生時の事業者名の公表 事業者の責任により、情報セキュリティ事故が発生した場合、発注者は情報セキュリ ティ統括責任者と協議の上、内容及び状況を考慮した上で、事業者名等の公表ができ る。 カ その他の契約における扱い 機器の賃借契約など、委託契約以外の契約について、情報セキュリティ確保の観点か ら必要と認められる場合は、上記(ア)から(オ)までを必要に応じて、適用するも のとする。 第13 その他 1 本契約は、平成30年度東京都予算が東京都議会において委託契約前に可決・成立 し、平成30年度東京観光財団収支予算が平成30年3月31日までに東京観光財団理事 会で承認された場合において、平成30年4月1日に確定するものとする。 2 受託者は、業務の詳細について、TCVBの担当者及び関係者と十分な打ち合わせを行 い、業務の目的を達成すること。 3 台風等の荒天により実施計画通りに遂行できない場合は、その都度TCVBと別途協議 の上、処理すること。 4 受託業務の実施に必要な保険関係等はすべて契約金額のうちに受託者の責任で加入 すること。 5 事故等が発生した場合は、速やかにこれを処理し、直ちにTCVBに連絡すること。 6 本仕様書に疑義がある場合は、TCVBと事前に協議すること。 7 この契約にかかる費用は、特に仕様書に記載のあるものを除き、全て契約金額に含 むものとする。 担当者連絡先:(公益財団法人)東京観光財団 地域振興部事業課 電話 03-5579-2682 FAX 03-5579-8785
