仕様書別紙6
外部委託情報安全対策遵守事項
受託者は、本遵守事項及び別途、中野区から指示された情報セキュリティ対策を遵守しなければなら ない。 (1)情報セキュリティを確保するための体制の整備 ア 受託者は、情報セキュリティ基本方針を中野区に明示する。 イ 受託者は、中野区に対して本契約の履行に関しての責任者、監督者及び作業従事者の名簿を届け 出る。また中野区は、作業従事者に身分証明書の提示を求めることができる。 ウ 受託者は、情報セキュリティインシデント発生時の体制、対応について明示する。 エ 受託者は、作業従事者に対し、情報セキュリティ対策及び個人情報の保護の徹底について教育す る。また受託者は中野区の求めに応じて教育カリキュラム、教育実施状況等を提出すること。 オ 受託者は、第三者が提供するサービスを利用している場合、サービスレベルの達成状況及びセキ ュリティ上の要求事項が適切に実行されていることを監査などで確認し、中野区に報告する。 カ 中野区は、受託者にて本契約内容における情報セキュリティ対策が遵守されていることを確認す るため、必要に応じて情報システム監査又は検査を行う。この場合、受託者は、中野区の情報シ ステム監査又は検査が円滑に遂行できるよう協力する。 (2)取り扱う情報の守秘義務等 受託者は、本契約に基づき業務上知り得た情報について、第三者に開示・提供・漏えいしてはなら ない。なお、本契約終了後も同様とする。 (3)情報資産の管理方法 受託者は、情報資産の管理方法を明確にし、中野区から提供された情報資産の管理方法について中 野区の了承を得る。 (4)情報漏えい等防止対策 受託者は、個人情報等の機密性の高い情報資産の漏えい、紛失、改ざん、破損、不正利用及び不正 コピー等の防止対策を実施する。 (5)情報資産の持出 受託者は、中野区から提供された個人情報等の機密性の高い情報資産の搬出入が必要な時には、事 前に中野区の承認を得る。また、情報資産の暗号化等の技術を活用し、盗難、不正コピー等の防止を 厳重に実施する。 (6)情報資産の修理・廃棄 受託者は、中野区から提供された情報資産が含まれる記録媒体を有する機器を修理・廃棄する必要 が生じた場合は、事前に内容を消去できる場合を除き修理又は廃棄事業者と機密保持義務を設けると ともに、廃棄時はデータの磁気破壊装置による消去または消去専用ソフトによる消去を行う。 (7)作業者ごとの取り決め 受託者は、中野区と協議の上、作業従事者ごとの作業場所、業務、アクセス制限を定める。 (8)ID、パスワード等 中野区は、中野区が管理する情報システムを受託者が使用する場合は、利用者ID、パスワードを 原則管理する。また、中野区は、開発、保守を行った者の利用者ID、パスワード等は、業務完了後に不要となった時点で速やかに抹消する。 (9)提供した情報資産の返還・廃棄 受託者は、中野区から提供された情報資産について本契約終了後、速やかに中野区に返却するか、 消去又は廃棄してその旨を書面で報告する。また、提供データの内容及び交換履歴に関して記録して おく。 (10)記録媒体の制限 受託者は、中野区から提供された情報資産の不正な持ち出しや不適切な情報の混入を防止するため、 使用する記録媒体を制限する。 (11)入退域管理 受託者は、運用、機器の搬出入でサーバ室等の管理区域へ入退域する場合は、入退域管理簿の記入 等、中野区の定めた手続に従う。定期的に入退域しなければならない受託者は作業従事者ごとに担当 する作業内容を明記した名簿を提出する。 (12)カメラ監視等 個人情報等の機密性の高い情報資産を保管する区域は、カメラ監視装置等による不審者の監視が可 能であることとする。 (13)第三者が提供するサービスの管理 受託者は、第三者が提供するサービスを利用する場合は、サービスの提供者や内容等を開示する。 (14)不正プログラム対策 ア 受託者は、不正プログラム対策ソフトウェアの最新バージョン及び定義ファイルを維持管理し、 不正プログラムを検出する。不正プログラムが検知された場合は中野区に報告するとともに、検 知された不正プログラムは自動的に隔離し駆除する。またネットワークから遮断し、改ざんが確 認された場合は、中野区と相談の上、正しい内容に復元する。 イ インターネットに接続している情報システムでは、不正な攻撃を防止するための検知機能を有す ることとする。 (15)脆弱性対策 ア 受託者は、本契約の履行に際し、開発、運用、保守の際の情報セキュリティ上問題となりうるソ フトウェアを使用してはならない。 イ 受託者は、情報システムの脆弱性を突いて行われる攻撃等のリスクについて情報収集を行い、業 務の重要度に応じた対応する情報セキュリティ対策を提示し、実施する。 ウ 受託者は、システム障害を未然に防止するための措置、障害発生を早期発見するための措置及び 障害発生時の拡大防止や迅速復旧のための措置について、業務の重要度に応じた対策を明示する。 エ ウェブアプリケーションではセキュリティを考慮した実装を行い、特にインターネットに接続す る情報システムでは、(別添)脆弱性一覧に示す脆弱性に対応する。 オ 業務で利用するソフトウェアは、パッチやバージョンアップなどの開発元のサポートが終了した ソフトウェアを利用しないこと。 (16)ネットワークセキュリテイ ア 個人情報等の機密性の高い情報資産をインターネットに接続しているサーバ等の公開領域に保 管してはならない。また、データベースサーバ等は、ファイルウォール等でインターネットと分 離されたセグメントに設置する。 イ 受託者は、情報システムの利用中に一定の使用中断時間が経過したときには、そのセッションを
遮断する機能を提供する。 ウ 受託者は、情報システムの認証方法(ID、パスワード、ICカード、認証鍵等)を中野区に提 供する。 エ 受託者は、特定の場所又は装置からの接続を認証する手段として、自動の識別装置を必要に応じ て導入する。 オ インターネットを利用する情報システムでは、業務の重要度に応じて、https、VPN等に より暗号化を行い、通信路での盗聴及び改ざんから保護する。また不要な通信はファイヤウォー ル等により遮断する。 (17)監視 ア ログオンやログアウトなどの利用者の活動状況や外部からの非定常的なアクセス等のセキュリ ティ事象を記録し、中野区の求めに応じて提供する。 イ 全ての情報システム内の時刻は、正確な時刻源と同期させる。 (18)報告 受託者は、情報セキュリティ基本方針に則ったセキュリティ実施状況の定期的報告を行う。 (19)情報システム停止等 情報システムを停止する場合や運用制限がある場合は、中野区の了承を得ること。 (20)操作手順書 操作手順書は文書化し、最新の状態を維持する。また、その手順書は、必要とする全ての利用者に 対して利用可能とする。 (21)変更管理 受託者が調達・管理する情報処理設備及び情報システムの変更において、中野区に影響を及ぼすも のは、事前に中野区と協議を行う。また、情報システムの変更が行われた際には変更履歴を中野区に 明示する。なお、約款による利用については、この限りでない。 (22)データベース管理 委託先が調達・管理する情報システムにおいては、中野区に割り当てられる容量・能力の限界値を 開示すること。また、区から要請があった場合は、資源の利用率などを明示すること。なお、約款に よる利用については、この限りでない。 (23)バックアップ 業務継続に支障が発生する恐れのあるデータは、定期的にバックアップをとる。その際に個人情報 等の機密性の高い情報資産の保護を行う。また、中野区がバックアップ手順を策定する場合は情報を 提供する。 (24)アクセス制御 受託者は、情報システムのアクセス制御を適切に行う。また、中野区がアクセス制御等の状況を確 認できることとする。 (25)開発及び運用 ア 開発及び運用において、運用環境とテスト環境を分離する。運用内容を変更する際には、テスト 実施及び検証結果を事前に中野区へ報告し、確認を得る。なお、外部でテストをする際は、実施 及び検証のテストデータに、個人情報及び一般に公表することを前提としていない情報資産の実 在データが含まれていないこととする。個人情報及び一般に公表することを前提としていない情 報資産の実在データが含まれている場合は、中野区役所内にテスト環境をつくる。
イ 受託者は、情報システムの変更を行う際には、変更履歴を中野区に明示する。 ウ 受託者は、情報システムの利用環境に変更が生じる場合は、あらかじめ中野区に通知し、了承を 得る。 (26)情報機器の持ち込み 受託者は、業務履行のための開発、保守、運用に関して業務用パソコンを持ち込む必要がある場合 は、文書をもって中野区の承認を受けなければならない。また、持ち込み機器を中野区の機器もしく はネットワークと接続する必要がある場合については、中野区の情報安全対策に準じた対策を図り、 その対策内容を提出して承認を得なければならない。 (27)情報セキュリティインシデントが発生した際の対処 受託者は、個人情報の漏えい、紛失、盗難、誤送信等の事故が発生し、又はそれらの疑いがあると きは、適切な措置をとるとともに、至急、中野区に報告する。 (28)契約解除 受託者が本契約に定める義務を履行しない場合は、本契約に関連する委託業務の全部又は一部を解 除することができる。この場合、委託先は契約の解除による損害を受けた場合においても、区に対し て、その損害の賠償を請求することはできないものとする。 (29)損害賠償 受託者が、この本遵守事項及び別途、中野区から指示された情報セキュリティ対策に違反して中野 区及び第三者に損害を与えた場合、受託者は中野区に対してその損害を賠償しなければならない。な お、本契約終了後に損害が発生した場合も同様とする。
(別添) 脆弱性一覧 本システムに混入しないよう対処を求める脆弱性は次のとおり。なお、各脆弱性の定義は「脆弱性名 称の定義に関する参照先」にて確認すること。 「脆弱性名称の定義に関する参照先」 (1)IPA『安全なウェブサイトの作り方 2015年3月改訂』 (2)CWE - Common Weakness Enumeration
(3)IPA『ウェブ健康診断仕様』 No 脆弱性名称 1 SQL インジェクション 2 OS コマンド・インジェクション 3 ディレクトリ・トラバーサル脆弱性 4 「ログイン機能」の不備 推測可能なセッションID URL 埋め込みのセッション ID の外部への漏えい クッキーのセキュア属性不備 セッションID の固定化 5 クロスサイト・スクリプティング(XSS) 6 利用者の意図に反した実 行の防止機能の不備 クロスサイト・リクエスト・フォージェリ(CSRF) クリックジャッキング 7 メールヘッダ・インジェクション脆弱性 8 「アクセス制御」と「認 可処理」の不備 アクセス制御 認可処理 9 HTTP ヘッダ・インジェクション 10 eval インジェクション 11 競合状態の脆弱性 12 意図しないファイル公開 13 アップロードファイルによるサーバ側スクリプト実行 14 秘密情報表示時のキャッシュ不停止 15 オープンリダイレクタ脆弱性(意図しないリダイレクト) 16 クローラへの耐性
