仕様書 1 件名 Exchange Online 接続環境構築作業及び保守作業の委託 2 概要日本郵政インフォメーションテクノロジー株式会社 ( 以下 当社 という ) で Exchange Online を導入するにあたり 個 が所有する Office365 アカウントの利 を制限するため 当社の

1 / 3 仕様書

１ 件名

Exchange Online 接続環境構築作業及び保守作業の委託

２ 概要

日本郵政インフォメーションテクノロジー株式会社（以下、「当社」という。）で Exchange Online を導入するに あたり、個⼈が所有する Office365 アカウントの利⽤を制限するため、当社のテナント以外にアクセスできないようテ ナント制限環境の構築を委託するとともに、構築後の運⽤サポート、購入機器（ロードバランサ）の保守作業を委 託する。

また、Exchange Online へアクセスする際、パスワードの入⼒が不要となるシングルサインオン環境の構築を⾏う もの。

３ 委託範囲

（１）購入

下記ロードバランサのいずれか 1 台

ア A10 ネットワークス社製 Thunder 1040S CFW（型番︓TH1040-020-NSSL-2PS-CFW）

イ F5 ネットワークス社製 BIG-IP i2600 Local Traffic Manager（型番︓F5-BIG-LTM-I2600）

及び オプション BIG-IP SSL Orchestrator License for i2X00（型番︓F5-ADD-BIG-SSLO-1）

（２）役務

ア Exchange Online 接続環境構築 （ｱ）プロジェクト管理

（ｲ）設計

（ｳ）テナント制限環境構築 （ｴ）シングルサインオン環境構築 （ｵ）Exchange Online との連携確認

イ Exchange Online 接続環境運⽤に係るサポート ウ ロードバランサの保守作業

（３）対象外作業

ア Azure AD 及び Exchange Online の設計及び構築作業は含まない。

イ Proxy サーバの構築及び設定変更作業は含まない。

４ 委託期間

（１）Exchange Online 接続環境の構築作業 契約締結後 から 2020 年 6 ⽉ 19 日（⾦）

（２）Exchange Online 接続環境の運⽤に係るサポート作業

Exchange Online 接続環境構築完了 から 2020 年 7 ⽉ 31 日（⾦）まで

（３）ロードバランサの保守作業期間

Exchange Online 接続環境構築完了 から 2024 年 5 ⽉ 31 日（⾦）まで

2 / 3 ５ 委託内容

別紙 1「委託作業」のとおり。

６ 作業場所 当社 オフィス

東京都新宿区新宿六丁⽬ 27 番 30 号 新宿イーストサイドスクエア 7 階

７ 納入

（１）納入成果物及び納入期限

《表 1 納入物一覧》

No. 名称 概要 納入数量 納入期限

《物品》

ア ロードバランサ 下記機種のいずれか。

・ A10 Thunder 1040S CFW

・ F5 BIG-IP i2600 Local Traffic Manager（オプション含む）

1 台 2020 年 6 ⽉ 19 日

《ドキュメント》

イ 作業計画書 作業範囲、作業体制及び納入スケジュー

ル等を記載した作業計画書

紙 1 部 契約後速やかに

ウ データ保護・管理計画書 別添「データ保護・管理要領」のとおり 紙 1 部

エ 基本設計書 別紙「委託作業」のとおり 紙 1 部 2020 年 6 ⽉ 19 日 オ パラメータ設定書 別紙「委託作業」のとおり 紙 1 部

カ テスト仕様書件結果報告書 別紙「委託作業」のとおり 紙 1 部 キ 構築作業完了報告書 別紙「委託作業」のとおり 紙 1 部

ク 操作手順書 下記操作手順書

・AADC アクティブ/スタンバイ切替手順

紙 1 部

ケ サポート作業完了報告書 別紙 1「委託作業」のとおり 紙 1 部 2020 年 7 ⽉ 31 日 コ 電⼦データ 上記イ、エ〜ケの電⼦データを格納した光

学メディア

光学メディア 1 部 サ 障害対応報告書 別紙 1「委託作業」のとおり 紙 1 部

又は 電⼦データ

障害発⽣の都度

（２）ドキュメント類納品方法

ア 納入にあたっては、納品書（納品物品名、数量、納入日及び納入者名が記載されていること）を提出す ること。

イ ドキュメント類は Microsoft 社製「Microsoft Word」「Microsoft Excel」、または「Microsoft Power Point」を使⽤して作成し、必要に応じて PDF 形式で納入すること。

なお、上記ソフトウェアのバージョンについては、当社管理本部総務部（以下、「主管担当」という）が別途 指定する。

また、主管担当が他の形式を定めた場合はこの限りではない。

（３）納入場所

東京都新宿区新宿六丁⽬ 27 番 30 号 新宿イーストサイドスクエア 7 階

3 / 3 詳細については、主管担当の指示に従うこと。

（４）ロードバランサの保守作業に係る年度更新

ロードバランサの保守は、2020 年 6 ⽉ 1 日から 1 年単位で年度更新を⾏うこととする。

2021 年 6 ⽉ 1 日以降の保守作業を開始するにあたっては、毎年保守開始日の 10 営業日前までに主管 担当宛に保守期間を明記した通知書及び請求書を送付すること。

８ データ保護及び情報セキュリティの遵守

受託者は、本件委託業務で使⽤するデータ及び情報の取扱いについては、別添「データ保護・管理要領」を遵守 すること。

９ 公益通報者保護法に係る通報窓口

本契約の履⾏に従事する貴社労働者（再委託を除く。）に対し、公益通報者保護法に係る当社通報窓口に ついて、当社指定の周知⽂を受領したことを確認の上、当該周知⽂を⽤いて周知に努めること。

１０ その他

（１）本契約の実施に当たり、本仕様書の内容、解釈等について疑義が⽣じた場合は、事前に主管担当と協議の 上、決定・解決すること。この場合、受託者は当該協議に関する議事録を作成し、主管担当の承認を受けること。

（２）受託作業や打合せ会議等に必要となる交通費は、受託者が費⽤負担すること。

（３）本件実施に当たり、他のシステムに影響や障害を与えないこと。なお、本件作業中、受託者の責任に起因して、

既存システムに影響を与えた場合は、速やかに復旧作業に当たること。また、受託者の責任に起因して、既存シ ステムに影響やトラブルを与えた場合については、契約条項上の「損害賠償」に該当するものとする。

（４）本仕様書の内容、解釈等に関する疑義については、主管担当（TEL:03-4511-8001）に照会すること。

（５）契約手続に関する疑義については、当社 業務サービス部 調達担当（TEL:03-4511-8011）に照会す ること。

（６）検収後、速やかに請求書を主管担当宛てに提出すること。

別紙 1

1 / 4 委託作業

１ Exchange Online 接続環境構築

（１）作業計画書

受託者は、作業開始にあたり計画的に作業を実施するため、作業範囲、スケジュール、進捗管理、課題管理 及び作業体制を記載した作業計画書を作成し主管担当に提出すること。なお、担当者が変更となる場合、速や かに体制を更新し、主管担当へ報告すること。

（２）基本設計書の作成

受託者は、主管担当と協議のうえ以下の項⽬を含む要件をとりまとめ、要件を実装する方法を記載した基本 設計書を作成すること。作成した基本設計書は、主管担当へ提出し、承認を得ること。

なお、シングルサインオン機能は、主管担当が⽤意した Windows Server 2016 に対し、Azure AD Connect サーバ（以下、「AADC サーバ」という。）を導入し、実装すること。

また、委託作業実施にあたり、既存機器への設定変更が必要な場合は、主管担当へ設定内容を提示するこ と。既存機器への設定変更作業は、主管担当が実施するものとする。

ア ロードバランサ

(ア) 社内パソコンからのインターネットへの通信を受信し、接続先が Exchange Online を含む Office365 の ものであれば、テナント制限に必要なヘッダー情報を追記し、Office365 へ通信を振り向けること。

また、Office365 以外のものであれば、ヘッダー情報を追加せずそのまま既存の Proxy サーバへ通信を振 り向けること。

(イ) Office365 へ振り向けた通信については、個⼈テナントへアクセスできないよう、当社のテナントのみにアクセ スする設定を埋め込むこと。

(ウ) ロードバランサが故障した際は、主管担当が設定変更等をしなくてもパソコンの再起動程度の作業で、全て の通信がロードバランサを経由せず、直接 Proxy サーバへ接続し、Office365 を含む社外の URL へ接続で きるようにすること。

(エ) ロードバランサは Office365 の URL 情報を⾃動で更新できるようにすること。当該機能を実装するにあた り、Proxy サーバ等の他の既存機器に対し作業が必要な場合は、主管担当と協議し対象機器を選定の上、

主管担当が当該機器に対し作業を実施するための手順書を⽤意すること。既存機器への作業は主管担当 が実施するものとする。

イ AADC サーバ

(ア) 社内に設置した Active Directory サーバの ID/パスワードで Office 365 へ接続できるようにすること。

なお、認証方式はパススルー認証を想定しているが、要件確認の結果、パスワードハッシュ同期が適してい る場合、受託者はパスワードハッシュ同期を主管担当へ提案し、主管担当の判断を仰ぐこと。

また、Active Directory サーバは１フォレスト 1 ドメイン構成で、当社のみが使⽤するものとする。

(イ) AADC サーバはアクティブ/スタンバイの 2 台構成とする。

パススルー認証の場合、両方のサーバに認証エージェントをインストールし、片方の AADC サーバが停止して も Office365 へシングルサインオンが実施できるようにすること。

(ウ) OS の標準的な機能を使⽤したセキュリティ対策を実施すること。

なお、AADC サーバは社内 LAN 環境上に設置されており、外部からの通信は既存の UTM で制限されて いるものとする。

（３）パラメータ設定書の作成

別紙 1

2 / 4

上記（２）で作成した基本設計書を基に、各機器の設定値をまとめたパラメータ設定書を作成すること。

（４）機器の設置

受託者は、ロードバランサを当社オフィスに設置されたサーバラック（河村電器産業株式会社製 DET 47- 1122WB）へラッキングすること。ラッキング後、主管担当が当社所有の LAN ケーブルを使⽤し L3 スイッチ等の 他機器と接続を⾏う。

また、受託者は、主管担当が各機器との LAN 接続実施後、ロードバランサに接続された LAN ケーブル及び電 源ケーブルを整線すること。

なお、電源コンセントは主管担当が⽤意するものとする。

（５）各機器への設定

上記（３）で作成したパラメータ設定書を基に、ロードバランサ及び AADC サーバの設定を⾏うこと。AADC サーバは主管担当が⽤意した仮想サーバ（OS インストール直後のもの）に対し作業を⾏うこと。

また、併せて、AADC サーバに対し、主管担当が⽤意したウイルス対策ソフトをインストールすること。

なお、既存機器に設定変更が必要な場合は、主管担当が実施するものとする。

（６）確認テストの実施

上記（５）で設定した仮想サーバに対し、設計通り動作することを確認するテスト仕様書を作成し。主管担 当の承認を得ること。

また、承認を得たテスト仕様書を使⽤し、テスト実施後、テスト結果をテスト仕様書兼結果報告書にまとめ報 告すること。

なお、AADC サーバにおいては、全てのアカウントの同期は⾏わず、主管担当が指定する特定の OU に対し同 期を⾏い、シングルサインオンできることを確認するものとする。

（７）切り替え⽤ pac ファイルの提供

上記（５）で設定した機器を本番環境に組み込むにあたり必要となる Proxy サーバ接続⽤の pac ファイル を提供すること。

（８）構築作業完了報告書の提出

上記（１）〜（７）の作業が完了後、構築作業完了報告書を作成し、主管担当へ提示すること。

２ Exchange Online 接続環境運⽤に係るサポート

受託者は、当社社員が本案件で構築した環境の動作テスト及び Office365 へ接続する際の技術サポートを⾏

うこと。サポート内容は以下のとおりとする。

（１）サポート期間

Exchange Online 接続環境構築完了 から 2020 年 7 ⽉ 31 日（⾦）まで

（２）サポート内容

主管担当が下記作業を実施する際の技術的な問合せに対し、電話又はメールで対応すること。

ア 構築したロードバランサの設定、基本的な動作及び利⽤方法について

イ JPiT 社内に構築されている Active Directory サーバと Azure Active Directory サーバのアカウントの同 期について

ウ Office 365 URL ⾃動更新機能について

（３）受付及び対応時間 平日 9:00 から 17:00

（４）作業管理表

別紙 1

3 / 4

サポート作業を実施した場合、実施内容と作業に必要とした時間を作業管理表に記載し、主管担当と共有 すること。

また、サポート期間終了時に、作業管理表をサポート作業完了報告書に添付の上、提出すること。

（５）その他

ア サポート作業は、サポート期間内で 40 時間までとする。

なお、40 時間を超える場合及び有料サポートを使⽤する必要がある場合は、事前に主管担当へ報告し、判 断を仰ぐこと。

イ 主管担当側で実施する下記作業の実施日において、予期せぬトラブルに対応できるよう当社オフィスで⽴ち 合いを⾏うこと。

なお、⽴ち合い作業は、上記アの 40 時間に含まないものとする。

(ア) 全社員のアカウント同期実施日（平日 半日程度）

(イ) 社内メールの Exchange Online 切り替え作業日（休日 1 日程度）

(ウ) 全社員でのロードバランサ利⽤開始日（平日 半日程度）

３ ロードバランサの保守

受託者は、ロードバランサで障害等発⽣時の対応として以下の保守作業を実施すること。

（１）保守期間

Exchange Online 接続環境構築完了 から 2024 年 5 ⽉ 31 日（⾦）まで

（２）保守内容

ア ロードバランサの機能等の一般的な問合せ対応。

イ ロードバランサ故障時の障害対応。

ウ Office 365 URL ⾃動更新機能に関する以下の問合せ対応。

(ア) Office 365 URL ⾃動更新機能の実装に外部サービスを利⽤した場合、利⽤した外部サービスの仕様及 び利⽤方法に関する問合せ対応。

(イ) Office 365 URL ⾃動更新機能をスクリプトで実装した場合、Office 365 URL 提供サイトの URL 変更 時における対応方法に関する問合せ対応。

（３）受付及び対応時間 平日 9:00 から 17:00

（４）障害対応

ア ロードバランサで障害が発⽣した際は、切り分けに必要な情報収取の手順を主管担当へ指示すること。情報 収集作業は主管担当が実施するものとする。

イ 受託者は、主管担当が収集した情報を基に、製品製造元への問合せ等を⾏い、原因を特定すること。

ウ 原因特定後、ロードバランサに対し対象作業が必要な場合は、受託者が実施すること。

なお、障害対応にあたり、有償作業が発⽣する場合は、事前に主管担当へ判断を仰ぐこと。

（５）報告書の提出

障害対応後、受託者は障害内容及び対応方法等を記載した報告書を作成し、主管担当へ提出すること。

（６）その他

ア Office 365 URL 情報の⾃動更新機能の実装に外部サービスを使⽤する場合、上記「（１）保守期間」

と同じ期間、当該サービスを提供すること。

イ Office 365 URL 情報の⾃動更新機能の実装について、ロードバランサ又は Proxy サーバ等の他の機器に

別紙 1

4 / 4

実装したスクリプトで実施した場合、URL 更新情報の提供方法変更等のスクリプトの再作成となる⼤きな修正 に関する情報提供については、委託内容に含まないものとする。

別紙2

【全体スケジュール】

2024年

3月 4月 5月 6月 7月 8月 9月 5月

テナント制限

（ロードバランサ）

ID同期（AADC）

受託者作業 当社作業 Exchange Online

接続環境

Exchange Online 環境

2020年

… 項目

運用

運用 運用 6/19

ロードバランサの保守 環境切替

環境切替 移行・導入

構築及び機器設置

構築作業

Exchange Online接続環境 運用に係るサポート 5/7

契約締結日

環境構築/ﾃｽﾄ

3/13 3/24

受入ﾃｽﾄ

環境準備

データ保護・管理要領

（2018 年 8 月 1 日改訂）

日本郵政インフォメーションテクノロジー株式会社

- 1 - 第1 目的

本件委託業務において取り扱う各種データについて、適正なデータ保護・

管理方策、情報システムのセキュリティ方策及びデータの漏えい、亡失、改 ざん、消去等（以下、「データ漏えい等」という。）発生時に実施すべき事項・

手順等について明確にすることを目的とする。

第2 適用範囲

本件委託業務で取り扱う、主管担当が交付又は使用を許可したすべてのデ ータ（電子データ、印刷された情報を含む）を対象とする。

第3 本件委託業務を受託する者が遵守すべき事項

受託者は、本契約の履行に関して、以下の項目をすべて遵守すること。

1 委託作業開始前の遵守事項

受託者は、下記(1)から(6)の各項に定める事前計画内容を遵守し、「デー タ管理計画書」として取りまとめた上で主管担当に提出し、主管担当の承 認を受けること。

(1) データ取扱者等の指定

受託者は、上記「第２ 適用範囲」に定めるデータを取り扱う者（以下

「データ取扱者」という。）及び、データ取扱者を統括する者であり、情 報システム部門に精通した課長相当職以上の者（以下「データ取扱責任 者」という。）を指定し、その所属、役職及び氏名等を記入した「データ 取扱者等名簿」を作成すること。

なお、データ取扱者及びデータ取扱責任者（以下「データ取扱者等」

という。）は、守秘義務等データの取扱いに関する社内教育、又はこれに 準ずる講習等を受講した者とし、その受講実績も併せて記入すること。

「データ取扱者等名簿」に変更が生じる場合は、変更の都度、主管担 当に提出すること。

(2) データ取扱者等への教育・周知

受託者は、本件委託業務で取り扱う各データについて、その取扱いや 漏えい防止等に係る「教育・周知計画書」を作成し、本データ保護・管 理要領の内容に関して、データ取扱者等に対する教育及び周知を行うこ と。

教育及び周知においては、本契約に関連して知り得た情報について、

本契約の目的以外に使用又は第三者に開示若しくは漏えい等しないこと を盛り込むこと。

(3) データの取扱いに関する計画策定

受託者は、本件委託業務におけるデータの取扱いに関し、データの複 製、破棄及び保管場所の変更等が生じる場合の取扱いについて、「データ 取扱計画書」を作成すること。

「データ取扱計画書」は、変更等が生じる都度作成し、主管担当へ提 出すること。

(4) 作業場所等のセキュリティ確保

受託者は、当社が指定する作業場所以外において本件委託業務を行う 場合は、データ及び本システムに係るセキュリティ確保のため講じ得る

- 2 -

措置について、「作業場所等に係るセキュリティ措置計画書」を作成する こと。

① 作業場所のセキュリティ確保

例：データ保管室、電子計算機室等に対する施錠設備、ＩＤカード やパスワードを用いた入退室管理機能等

② 作業場所におけるセキュリティ確保

例：システムログインパスワード、データ操作に対する専用のＩＤ、

アクセス権限の設定、媒体の施錠保管、各種鍵類の管理等 (5) データ漏えい等発生時の対応手順作成

受託者は、本件委託業務で取り扱うデータの漏えい等が発生した場合 を想定し、その「対応手順書」を作成すること。

手順書には、次の内容を記載すること。

・ 受託者内の情報漏えい時の連絡体制

（24 時間 365 日、データ取扱者等の間で相互連絡が可能な体制 とすること。）

・ 主管担当への連絡方法 (6) 情報機器等の持ち込み

受託者は、本件委託業務で使用するパソコン及び携帯電話等を当社が 指定する作業場所に持ち込む場合は使用条件を明記した「情報機器等持 込み機器使用計画書」を作成すること。

2 委託作業中における遵守事項 (1) データ管理簿の作成

受託者は、主管担当から貸与を受けた各種ドキュメント、電子データ 類又は、委託業務を実施するに当たり作成されたドキュメント、電子デ ータについて、授受方法、保管場所、保管方法、使用場所、使用目的等 取扱方法を明確にするため「データ管理簿」を作成すること。

「データ管理簿」は、記録媒体の授受が発生の都度、記載すること。

(2) 作業場所の監査

受託者は、当社が指定する作業場所以外において本件委託業務を行っ ている場合に、主管担当がその施設及び設備に関し、上記１－（４）で 受託者が作成した「作業場所等に係るセキュリティ措置計画書」に則っ たセキュリティ確保が図られているか監査する旨申し出た時は、定期・

不定期にかかわらず、これを受け入れること。

(3) データの取扱い

受託者は、本件委託業務において取り扱うデータに関し、データ取扱 責任者に以下の作業を行わせること。

ア データ取扱責任者は、データ取扱者の作業に立ち会う等適切な管理 を行うこと。

イ データ取扱責任者は、データ取扱者を作業に従事させる前に、デー タ取扱者ごとに使用するユーザーＩＤ及びパスワード等、主管担当が 事前に指定する事項について報告を行い、主管担当の承認を受けるこ と。

- 3 -

なお、報告する時期等は主管担当の指示に従うこと。また、報告し た内容に変更が生じる場合も、事前に主管担当の承認を受けること。

ウ データ取扱責任者は、作業に従事する予定のデータ取扱者について、

事前に氏名、作業時間、作業内容及び取扱データを記入した「作業予 定表」を提出し、主管担当の承認を受けること。

エ データ取扱責任者は、作業に従事したデータ取扱者が作業を終了し 作業場所を離れる際は、データの持ち出しの有無を厳重に検査するこ と。

オ データ取扱責任者は、作業終了後、作業に従事したデータ取扱者の 氏名、作業時間、作業内容、取扱データ及びデータの持ち出しの有無 等を記入した「作業結果報告書」を主管担当へ提出すること。その際、

当初予定していた作業時間を越えている場合は、その理由も併せて記 入すること。

なお、作業結果表の提出時期については、主管担当の指示によること。

カ 記録媒体には中身が特定できるようなラベルを添付し、定期又は不 定期に在庫を確認すること。

キ 作業場所にＦＡＸがある場合、送信記録を確認すること。

ク 各種管理簿はフルネームで記入されているか、また、改ざんに対す る措置を講じている場合、遵守されているか確認すること。

ケ 本件委託業務に関するすべてのメールについて、送受信履歴を確認 すること。

コ 電子データの消失に備えた措置（データのバックアップ等）は講じ ている場合、遵守されているか確認すること。

サ データ類のバージョン管理をすること。

3 委託作業完了時の遵守事項 (1) データ返却等処理

受託者は、本件委託業務完了時に上記２(1)で作成した「データ管理簿」

に記載されているすべてのデータについて、返却、消去、廃棄等の措置 を行うこと。

なお、その処理の方法、日時、場所、立会者、作業責任者等の事項を網 羅した、「データ返却等計画書」を事前に主管担当あて提出し、承認を得 た上で、処理を実施すること。

(2) 作業後の報告

受託者は、上記(1) に基づき返却等の処理終了後、その結果を記載し た「作業完了報告書」を主管担当あて提出すること。

4 上記以外の遵守事項

(1) データ漏えい等発生時の対応

受託者は、本件委託業務に関し、データ漏えい等が発生した場合は、

以下により、直ちに対応を図ること。

ア 発生状況報告

委託業務中に、データの漏えい等が発生した場合は、その事由が発 生した日時、場所、事由、その時のデータ取扱者を明らかにし、直ち

- 4 -

に主管担当に報告すること。また、「データ漏えい等発生報告書」を主 管担当あて報告すること。

対応措置受託者は、主管担当の指示に基づき、対応措置を実施する こと。

イ 報告書の提出

受託者は、主管担当が指定する期日までに、発生した事態の具体的 内容、原因、実施した対処措置等を内容とする「データ漏えい等対応 報告書」を作成の上、提出すること。

ウ 再発防止策の策定・提出

受託者は、データ漏えい等が発生した場合、その処理後に再発を防 止するための措置内容を策定し主管担当の承認を得た後、直ちにデー タ漏えい等再発防止策を実施すること。

エ 情報の取扱い

受託者は、主管担当が交付又は使用を許可した情報に限らず、本件 委託事務を履行するに当たり知り得た情報について、本契約の目的以 外に使用又は第三者に開示若しくは漏えい等してはならない。

- 5 -

情報セキュリティ要求仕様 1 目的

本仕様書は、受託者に対して、情報セキュリティ上の一般的要求事項を明 確にすることを目的とする。

2 組織的セキュリティ

(1) 受託者においては、情報セキュリティ管理体制が構築されていること。

(2) 受託者においては、情報セキュリティ責任者が定められていること。

(3) 委託業務に関する情報セキュリティ責任者が定められていること。

(4) 受託者において、組織的セキュリティ、人的セキュリティ、物理的セキ ュリティ、技術的セキュリティに関する社内規程が存在していること。

(5) 委託業務に関する日本郵政グループ会社各社の最重要情報、重要情報、

顧客の個人情報、日本郵政グループ会社各社役職員等の個人情報（以下、

「重要情報等」という）を特定すること。

(6) 特定した重要情報等に対するリスクを洗い出すこと。

(7) 洗い出したリスクに対し、既存管理策が十分であるか検討し、必要に応 じて追加管理策を措置すること。

(8) 情報セキュリティに関する活動状況を委託作業期間中、適宜に報告する こと。

(9) 主管担当が必要と認めた場合には、部外委託先に立ち入り、情報セキュ リティに関する活動状況を確認できるものとする。

(10) 委託業務に係る重要情報等は、台帳を作成して管理すること。

(11) 委託業務の再委託は原則禁止とするが、書面による許可を受けた場合は この限りでない。

(12) 情報セキュリティ事故による損害が発生した場合には、責任の程度に応 じて損害を賠償するものとする。

3 人的セキュリティ

(1) 委託業務に係る重要情報等は、許可なく関係者以外に漏えいしてはなら ない。

(2) 委託業務に係る従業者等は、定期的な情報セキュリティ教育を受けてい ること。

(3) 委託業務に係る従業者等は、受託者と守秘義務に関する契約を結んでい ること。

(4) 委託業務に係る情報セキュリティ事故発生時には、被害拡大防止策を講 じるとともに､直ちに主管担当に連絡すること。

4 物理的セキュリティ

(1) 委託業務に係る重要情報資産を含む作業場所及び機器設置場所等は、外 部から物理的に遮断されていること。

(2) 委託業務に係る重要情報等が記録されている媒体等は、施錠保管するこ

- 6 - と。

(3) 委託業務に係る重要情報等を送付する場合には、書留、簡易書留、セキ ュリティサービス等送付記録が確認できる方法で送付すること。

5 技術的セキュリティ

(1) 委託業務に係る重要情報等が含まれる電子ファイル等は、アクセス制限 をかけること。

(2) 委託業務に係る重要情報等が含まれる電子ファイル等へのアクセスログ を取得、保存し、定期的に点検すること。

(3) 委託業務に係る重要情報等を通信回線等で送信する場合には、暗号化す ること。

(4) 委託業務に使用するコンピュータには、ウイルス対策ソフトを導入し、

常時実行するとともに、常に最新のウイルス定義ファイルを維持すること。

(5) 委託業務に係る重要情報等は、従業者等の自宅パソコン等には保存しな いこと。

(6) 委託業務に係る重要情報等が記録されている電子媒体等を部外委託先の 外に持ち出す場合には、当該情報を暗号化すること。

(7) 納入するコンピュータプログラムについては、不正なコードが含まれて いないことを、プログラム作成者以外の者が確認すること。

6 個別要件等

上記の項２～５の一般的セキュリティ要件について、主管担当あて報告し 承認を受けること。

以上

- 7 -

情報セキュリティ実施事項 １ 作業場所等におけるセキュリティ確保

(1) 作業場所

本件委託業務に基づく定期点検及び故障修理は、原則として、機器設置 場所以外で実施しないこと。ただし、故障修理等に長時間を要する場合等、

やむを得ず機器設置場所以外で機器の故障修理を実施する必要がある場合 は、受託者側が用意する媒体にバックアップ用の複製を取得し、当該機器 の記憶装置から情報を読み取れないようデータを消去する等の措置を実施 し、機器設置場所のデータ取扱責任者の承認を受けた後、当該機器を持ち 出すこと。

なお、この場合には、必ず事前に主管担当へ連絡し、情報保護に係る措 置事項等を記載した書面を提出し、主管担当の承認を得た上で作業を実施 すること。

(2) 物品の搬入、搬出等

ア 定期点検又は故障修理等のために必要な機器等の物品搬入・搬出を行 う場合は、主管担当の指示に従い、内容物の確認を受けること。

イ 定期点検又は故障修理の結果、記憶媒体等の情報が蓄積された部品が 不要となる場合は、直ちに初期化又は物理的破壊等により、情報が復元 不可能な状態とすること。

なお、直ちに処理を実施できない場合は、処理実施までの保管方法等 について、主管担当の了承を得るとともに機器設置場所のデータ取扱責 任者の指示に従うこととし、処理実施後は、その旨を主管担当に報告す ること。

おって、作業完了時には、本件に係るデータ漏えい等のおそれがない ことを証明する書面を主管担当に提出すること。

(3) コンピュータウイルス対策

定期点検故障修理等の作業上必要な記録媒体等を機器設置場所に持ち込 み使用する際は、最新のパターンファイルを適用したウイルス対策ソフト ウェアを使用して検査を実施した後に持ち込み、使用すること。また、当 該媒体には、次の事項を記載したラベルを貼付すること。

ア 検査に使用したウイルス対策ソフトウェアの名称及び検索エンジン等 のバージョン

イ ウイルスパターンファイルのバージョン ウ 検査日時

エ 検査担当者名 オ 検査責任者名

- 8 - ２ データ保護

(1) 機器の記憶装置等から取得したバックアップ用の複製は、機器への復元 措置の終了後、主管担当の指示により、データ取扱責任者へ提出するか、

情報を復元不可能な状態にした上で廃棄処分すること。

(2) 定期点検及び故障修理のために機器設置場所に持ち込んだ媒体や文書等 は、作業終了後速やかに機器設置場所の担当者に提出し、内容の確認等を 受けること。

３ その他

上記のほか、主管担当から情報セキュリティに関して特に必要な指示を行 う場合は、その指示に従うこと。

- 9 - 参 考

外注管理に関する様式例 別紙１ 「データ管理計画書」

別紙２ 「データ取扱者等名簿」

別紙３ 「教育・周知計画書」

別紙４ 「データ取扱い計画書」

別紙５ 「作業場所等に係るセキュリティ措置計画書」

別紙６ 「データ漏えい等発生時対応手順書」

別紙７ 「データ管理簿」、「データ返却等計画書」、「作業予定表」

別紙８ 「作業結果報告書」

別紙９ 「作業完了報告書」

別紙１０「情報機器等持込み機器使用計画書」

- 10 -

別紙１ データ管理計画書

委託業務名

○○○○○○○○○○○○○○○○の委託 納入期限

○○○○年○○月○○日 受託者

○○株式会社

代表取締役 ○○ ○○

- 11 -

別紙２ データ取扱者等名簿

委託事務名

○○○○○○○○○○○○○○○○の委託

本件委託業務を実施するに当たり、各種データを取扱う者を下記のとおり報 告いたします。

担 当 氏 名 所 属 役 職 備 考 データ取扱責任者 ○○ ○○ ××事業部 課長 △△訓練修了 データ取扱者 □□ □□ ××グループ ＳＥ ××資格保持

- 12 -

別紙３ 教育・周知計画書

委託事務名

○○○○○○○○○○○○○○○○の委託

本件委託業務を実施するに当たり、各種データを取扱う者に対し、データ保 護に関する教育及び周知を下記のとおり実施いたします。

記 １ 実施時期

○○○○年○○月○○日～○○○○年○○月○○日 ２ 実施内容

仕様書添付の「データ保護・管理要領」の内容周知 ３ 対象者

データ取扱者名簿記載者 ４ その他

一人当たり２時間程度

- 13 -

別紙４ データ取扱い計画書

データについて、下記のとおり異動事由が発生いたしましたので、承認願い ます。

記 １ データ名称

○○○○データ ２ 異動事由

保管場所の変更

本社コンピュータセンターから、工場への変更 ３ 異動の目的

運用試験実施に伴う、試験場への保管場所移動 ４ 異動時期

○○○○年○○月○○日

- 14 -

別紙５ 作業場所等に係るセキュリティ措置計画書

本件、「○○○○○○○○○○○○○○○○の委託」事務を受託するに当たり、

作業場所のセキュリティ措置を下記のとおり実施いたします。

記 １ 作業場所

東京都○○区○○ ○○ビル○階 ○○株式会社 コンピュータセンター ２ セキュリティ措置

（１）作業施設

・ 入退室について、ＩＤカードによる本人認証の設備を設置済み。

・ データ保管庫についても、同様の設備を設置済み。

（２）作業設備

作業端末は本件委託事務専用とし、データ取扱者個別にログイン ＩＤ及びパスワードを交付します。

- 15 -

別紙６ データ漏えい等発生時対応手順書

データ漏えい等発生時の手順については、下記のとおりといたします。

記 １ 受託者内の情報漏えい時の連絡体制

２ データ取扱者

作業を中断し、発生時の状況を記録し、データ取扱責任者へ直ちに報告す る。

３ データ取扱責任者

（１） データ取扱者からの報告を受け、事実関係を確認し主管担当へ 直ちに報告し、主管担当からの指示を待つ。

（２） データ管理簿上のすべてのデータについて、現在の状況を確認 する。

（３） 作業場所への入退室状況を確認し、主管担当からの指示がある まで入退室を制限する。

フロー図のようなものを作成

16

別紙７ データ管理簿

項

番 データ名 記録

媒体 交付者 交付日 受領者 授受 方法

保管 場所

保管方 法

使用場 所

使用目 的 １

２ ３

データ返却等計画書 下記データの返却等の取扱いについて、承認願います

記

データ名 方法 日時 場所 立会者 作業責任者

作業予定表 下記作業を行いますので、承認願います。

作業 ID 対象データ 作業者氏名 作業時間 作業内容 実作業時間 作業場所 備考

17

別紙８ 作業結果報告書

下記のとおり作業が完了したので、報告いたします。

記 １ 作業ＩＤ

○○○○

２ 作業内容

（１）作業結果 正常

（２）作業従事者 ○○○

（３）作業時間

○○○○年○○月○○日

○○時○○分～○○時○○分 （４）作業内容

○○テスト （５）取扱いデータ ○○データ

（６）データ持ち出しの有無 無し

（７）確認者

○○○○（データ取扱責任者）

18

別紙９ 作業完了報告書

先に承認された「データ返却等計画書」の作業が終了いたしましたので、

報告いたします。

１ 作業結果 良

２ 作業責任者及び立会者 作業責任者 ○○ ○○

作業立会者 ○○ ○○

19

別紙１０ 情報機器等持込み機器使用計画書

（持込み使用許可申請書兼承認書）

年 月 日 情報セキュリティ責任者

○○ ○○ 様

申請者 会社名

氏 名 印 以下のとおり、情報機器等を日本郵政インフォメーションテクノロジー株式会社（○○部）

へ持ち込んで利用したいので申請いたします。

【申請者記入欄】

持ち込み機器名・機種

（ﾒｰｶｰ･型番）

持込み理由

※具体的理由を記入

持込み期間 年 月 日 ～ 年 月 日（１年以内）

カメラ機能の有無 有 ・ 無

備 考 毎週１回開催する○○の定例会議以外では使用いたしません。

※ 持込み期間は１年以内とする。

【情報セキュリティ管理者記入欄】

申請書確認日 年 月 日

確 認 者 印

【情報セキュリティ責任者記入欄】

審 査 日 年 月 日

持込みの可否 持ち込み使用を 許 可 す る ・ 許可しない 使用条件／不許可理由

審 査 者 情報セキュリティ責任者 印