入札情報は以下の通りです。
| 件名 | 鹿児島市情報セキュリティ監査業務委託契約に係る制限付き一般競争入札(公告) |
|---|---|
| 種別 | 役務 |
| 入札区分 | 制限付き一般競争入札 |
| 公示日または更新日 | 2021 年 6 月 18 日 |
| 組織 | 鹿児島県鹿児島市 |
| 取得日 | 2021 年 6 月 18 日 19:05:48 |
告 示 第 772 号令和3年6月17日鹿児島市長 下 鶴 隆 央鹿児島市情報セキュリティ監査業務委託契約に係る制限付き一般競争入札について(公告)鹿児島市情報セキュリティ監査業務委託契約に係る制限付き一般競争入札を下記のとおり行うことについて、本入札に参加する者に必要な資格を地方自治法施行令(昭和22年政令第16号)第167条の5第1項及び第167条の5の2の規定に基づき次のとおり定めたので、同令第167条の5第2項及び第167条の6第1項並びに鹿児島市契約規則(昭和60年規則第25号)第3条の規定により公告します。
記1 入札に付する業務の概要等(1) 業務の概要鹿児島市情報セキュリティポリシーに基づく情報セキュリティ監査の実施並びに情報セキュリティ監査の実施に関する各種支援及び評価(2) 契約期間契約締結の日から令和4年3月31日まで2 入札に参加する者に必要な資格下記の要件を全て満たす業者とする。
(1) 地方自治法施行令第167条の4の規定に該当しない者であること。
(2) この公告の日(以下「公告日」という。)以後において、本市から契約に係る指名停止を受けている期間がない者であること。
(3) 公告日以後に会社更生法(平成14年法律第154号)の規定による更生手続開始の申立てが行われた者又は民事再生法(平成11年法律第225号)の規定による再生手続開始の申立てが行われた者でないこと。
(4) 公告日において、納期の到来している市区町村税、消費税及び地方消費税を完納していること。
(5) 公告日において、独立行政法人 情報処理推進機構(IPA)が公開している、「情報セキュリティサービス基準適合サービスリスト」の「情報セキュリティ監査サービス」分野に掲載されている者であること。
(6) 平成30年度以降に、国、地方公共団体又は独立行政法人において、情報セキュリティ監査(助言型監査)の経験実績があること。
(7) 平成30年度以降に、情報セキュリティ事故の発生がないこと。
(8) 監査責任者、監査担当者及び監査補助者で構成される監査チームを編成することができること。
(9) 監査チームには、次に掲げるいずれかの資格を有する者が1人以上含まれていること。
ア システム監査技術者イ 公認情報システム監査人(CISA)ウ 公認システム監査人エ ISMS(情報セキュリティマネジメントシステム)主任審査員オ ISMS(情報セキュリティマネジメントシステム)審査員カ 公認情報セキュリティ主任監査人キ 公認情報セキュリティ監査人ク サイバーセキュリティ管理者(CSM)ケ 公認情報システムセキュリティ専門家(CISSP)コ 公認システムセキュリティ熟練者(SSCP)サ 公認情報セキュリティマネージャー(CISM)シ 情報処理安全確保支援士ス Global Information Assurance Certification(GIAC)(10) 監査チームには、国、地方公共団体又は独立行政法人において次に掲げるいずれかの実績(実務経験)を有する者が1人以上含まれていること。
ア 情報セキュリティ監査イ 情報セキュリティに関するコンサルティングウ 情報セキュリティポリシーの作成に関するコンサルティング(支援を含む。)(11) 暴力団員による不当な行為の防止等に関する法律(平成3年法律第77号)第2条第2号に規定する暴力団又は同条第6号に規定する暴力団員の統制下にある団体に該当しない者であること。
(12) 公告日以後において、鹿児島市が行う契約からの暴力団排除対策要綱(平成26年3月27日制定)に基づく入札参加除外措置を受けている期間がない者であること。
(13) 入札に参加しようとする者の間に資本関係又は人的関係がないこと。
3 入札参加希望の申請方法等(1) 本入札に参加を希望する者は、次に掲げる書類(以下「申請書等」という。)を所定の期日までに持参又は郵送(受付期間内必着)のうえ市長に提出し、入札参加資格の審査を受けなければならない。なお、所定の期日までに申請書等を提出した者で、入札参加資格があると認められたものでなければ、本入札に参加することができない。
ア 制限付き一般競争入札参加資格審査申請書(様式あり)イ 業務実績調書(様式あり)ウ 情報セキュリティ監査人適合証明書(様式あり)エ 商業登記簿謄本(写し可。3か月以内に発行されたもの)オ 印鑑証明書(写し可。3か月以内に発行されたもの)カ 納期の到来している市区町村税並びに消費税及び地方消費税の直近の納税証明書等((ア)及び(イ)ともに写し可。3か月以内に発行されたもの)(ア) 市区町村民税(入札参加資格審査用)本市発行の滞納がないことの証明書又は本市で滞納がないことの証明書が発行されない場合は、主たる営業所所在地の市区町村役場発行の市(区・町・村)税の納税証明書(イ) 消費税及び地方消費税税務署発行の納税証明書その3(その3の3でも可。消費税及び地方消費税の未納がないことを確認できるもの)(2) 申請書等の作成に係る費用は、申請者の負担とする。
(3) 提出された申請書等は、返却しない。
4 申請書等の交付及び受付期間等(1) 交付及び受付期間公告日から令和3年7月1日(木)まで(土曜日及び日曜日を除く。)(2) 交付及び受付時間午前8時30分から午後5時15分まで(正午から午後1時までの時間を除く。)(3) 交付及び受付場所鹿児島市山下町11番1号鹿児島市総務局総務部情報システム課(東別館10階)ホームページ http://www.city.kagoshima.lg.jp/(4) 提出部数各1部(5) その他交付する用紙は、全て本市ホームページにおいて入手することができる。
5 入札参加資格の審査及び通知等(1) 入札参加資格は提出された書類により審査し、その結果は令和3年7月5日(月)までに通知する。
(2) 入札参加資格がないと認められた者は、通知を受けた日から7日以内に市長に対して、入札参加資格がないと認めた理由についての説明を求めることができる。なお、説明を求める場合には、土曜日及び日曜日を除く4(2)の受付時間内に受付場所に書面を持参して行わなければならない。
(3) (2)の説明を求められたときは、説明を求められた日から7日以内に書面により回答する。
6 仕様書の閲覧等及び質疑応答(1) 本業務の仕様書(以下「仕様書」という。)は、公告日から令和3年7月19日(月)までの間、本市ホームページにおいて閲覧に供する。
(2) 仕様書に関して質問がある場合には、質問書様式に質問事項を記載し、電子メールの送信により行わなければならない。
ア 受付期間及び受付時間公告日から令和3年7月1日(木)午後5時15分までイ 受付電子メールアドレスjousys@city.kagoshima.lg.jpウ 質問書様式交付場所本市ホームページにおいて入手することができる。
(3) (2)の質問とそれに対する回答は、質問を受け付けた日から3日(土曜日及び日曜日を除く。)以内に本市のホームページ上に掲載し、その期間は掲載の日から令和3年7月19日(月)までとする。
7 入札説明会実施しない。
8 入札の日時及び場所(1) 日時令和3年7月20日(火)午前10時(2) 場所鹿児島市役所東別館10階情報システム課会議室9 入札方法(1) 郵送及びファックスによる入札は、認めない。
(2) 落札決定に当たっては、入札書に記載された金額に当該金額の100分の10に相当する額を加算した金額(当該金額に1円未満の端数があるときは、その端数金額を切り捨てた金額)をもって落札価格とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約希望金額の110分の100に相当する金額を入札書に記載すること。
(3) 入札執行回数は、3回までとする。
10 入札保証金(1) 入札保証金は、鹿児島市契約規則第5条第3号の規定により免除とする。
(2) 契約保証金は、鹿児島市契約規則第26条第9号の規定により免除とする。
11 最低制限価格設定する。
12 低入札調査基準価格設定しない。
13 業務費内訳書の提示(1) 入札に際し、入札書に記載される入札金額と一致する本委託業務の業務費内訳書の提示を求める。
(2) 業務費内訳書の様式は、公告日から本市ホームページにおいて入手することとし、項目ごとの金額等を明らかにすること。
(3) 業務費内訳書は、参考図書として提示を求めるものであり、入札及び契約上の権利義務を生じるものではない。
14 開札の日時及び場所開札は、8の日時及び場所において行う。
15 入札の無効等(1) 次のいずれかに該当する入札は、無効とする。
ア 入札に参加する資格のない者及び申請書等に虚偽の記載をした者のした入札イ 委任状を持参しない代理人のした入札ウ 記名のない入札書又は記載事項を判読しがたい入札書による入札エ 2以上の入札書(他の入札参加者の代理人として提出する入札書を含む。)による入札オ 入札金額を訂正した入札書による入札カ 記載した文字を容易に消字することのできる筆記用具を用いて記入した入札書による入札キ 再度入札における前回の入札の最低金額以上の金額による入札ク 明らかに連合によると認められる入札ケ その他入札に関する条件に違反した入札(2) 代理人による入札をしようとするときは、入札前に委任状を提出すること。
(3) 初度の入札において、入札に参加しなかった者、入札に関する無効事項に該当する者及び失格した者は、再度の入札に参加できないものとする。
(4) 同価入札をした者は、くじによる落札決定においてくじを辞退することはできない。
(5) 提出した入札書は、書換え、引換え又は撤回をすることはできない。
16 落札者の決定方法予定価格の範囲内で最低の価格で入札した者を落札者とする。
17 契約締結の申出期限等落札者は、落札決定の通知を受けた日から5日以内に契約に必要な書類を提出しなければならない。
18 問い合わせ先〒892-8677鹿児島市山下町11番1号鹿児島市総務局総務部情報システム課(東別館10階)電話 099-216-1118(直通)ホームページ http://www.city.kagoshima.lg.jp/電子メール jousys@city.kagoshima.lg.jp
5鹿児島市情報セキュリティ監査業務委託仕様書1 委託業務名鹿児島市情報セキュリティ監査業務2 目的本業務は、鹿児島市情報セキュリティポリシー及び令和3年度鹿児島市情報セキュリティ監査計画に基づき、監査対象部署が所管する情報資産のうち、情報システムに関連するすべての情報資産の管理及びシステムの保守・運用等に係る管理状況を、第三者による独立かつ専門的な立場から、基準等に準拠して適切に実施されているか否かを点検・評価し、問題点の確認、改善方法等について検討、助言、指導を行い、本市の情報セキュリティ対策の向上を図ることを目的とする。
3 履行場所鹿児島市4 契約期間契約締結日から令和4年3月31日まで5 監査対象(外部監査)(1) 個別システムの所管部署(6課6システム)(2) マイナンバーを利用するすべてのシステム(約30システム)(3) 電磁的記録媒体の保有部署(4課)6 業務内容以下のとおり、情報セキュリティ監査の実施、各種支援及び評価を行うものとする。
(1) 監査の実施情報セキュリティ監査は、鹿児島市情報セキュリティ実施手順(共通手順)第7編「情報セキュリティ監査編」の規定に基づき実施するものとする。
(2) リスクアセスメント実施に関する支援及び評価鹿児島市情報セキュリティ実施手順(共通手順)第8編「リスクアセスメント実施編」に基づき、外部監査対象部署における情報資産の洗い出し及びリスクアセスメント実施に関する支援(研修)及び評価作業を行う。なお、リスクアセスメントの実施にあたっては、情報資産の洗い出しから評価までの全工程において、本市(発注者)と十分に協議を行うこと。
(3) 外部監査① 鹿児島市情報セキュリティポリシーに基づき、情報システムに関連するすべての情報資産及び業務の管理状況のうち、特に重要な情報資産の取扱い等について現地にて確認を行い、監査結果に基づく問題点の抽出と改善案の策定を行う。なお、問題点として指摘した事項については、その根拠を明示することとし、改善案については、それを実施することによる効果を示すこと。
② マイナンバーを利用するシステムの所管部署を対象とした外部監査については、調査票(チェックリスト)を配布し、各部署の回答内容を外部監査人が確認する方法により実施する。なお、外部監査人は、必要に応じて調査票等の作成支援及び助言を行うこと。
③ 電磁的記録媒体(USBメモリ等)を保有している部署を対象に、管理状況等について外部監査を行う。監査内容は、現地にて電磁的記録媒体の管理簿・利用記録簿等を元に、実際の保管・使用状況及び保存データなどについて確認を行うものとする。なお、この監査業務については、個別システム所管部署監査の実施日時と同日に行うものとし、監査対象部署については発注者にて、電磁的記録媒体の保有数の多い部署の中から4課を選定する。
(4) 内部監査6内部監査の実施にあたって、チェックリスト等の策定支援及び助言を行うとともに、内部監査チームに対する研修等の支援を行う。
(5) 情報セキュリティマネジメント支援監査対象部署の措置回答及び措置回答作成に対するフォローを行う。
(6) その他の支援令和4年度の単年度計画における情報セキュリティ監査(外部監査)の実施に向けた監査テーマ等について助言を行う。
7 適用基準情報セキュリティ監査の適用基準は、以下の規定によるものとする。なお、適用基準については、既に公開されているものを除き、別途受注者に提供する。(以下の規定のうち、公開されていないものについては、秘密情報であることから、契約締結前に必要な場合は、別途秘密情報の取扱いについて契約等を取り交わした後、提供するものとする)① 鹿児島市情報セキュリティポリシー② 鹿児島市情報セキュリティ実施手順(共通手順)③ 鹿児島市電子計算機管理運営規程④ 令和3年度鹿児島市情報セキュリティ監査計画⑤ 各システム個別手順〔参考〕・鹿児島市個人情報保護条例・地方公共団体における情報セキュリティポリシーに関するガイドライン(総務省)・地方公共団体における情報セキュリティ監査に関するガイドライン(総務省)8 外部監査人の要件(1) 監査責任者及び監査担当者(必要に応じて監査補助者を含む)で構成される監査チームを編成すること。
(2) 監査チームには、次に掲げるいずれかの資格を有する者が1人以上含まれていること。
① システム監査技術者② 公認情報システム監査人(CISA)③ 公認システム監査人④ ISMS主任監査員⑤ ISMS審査員⑥ 公認情報セキュリティ主任監査人⑦ 公認情報セキュリティ監査人⑧ サイバーセキュリティ管理者(CSM)⑨ 公認情報システムセキュリティ専門家(CISSP)⑩ 公認システムセキュリティ熟練者(SSCP)⑪ 公認情報セキュリティマネージャー(CISM)⑫ 情報処理安全確保支援士⑬ GIAC(Global Information Assurance Certification)(3) 監査チームには、監査の効率と品質の保持のため、国、地方公共団体又は独立行政法人において、次のいずれかの実績(実務経験)を有する者が1人以上含まれていること。
① 情報セキュリティ監査② 情報セキュリティに関するコンサルティング③ 情報セキュリティポリシーの作成に関するコンサルティング(支援を含む)(4) 監査チームの構成員が、監査対象となる情報資産の管理及び当該情報資産に関する情報システムの企画、開発、運用、保守等に関わっていないこと。
79 監査スケジュールスケジュール案を以下に示すが、詳細については、契約締結後に発注者と受注者で協議を行い決定する。
種別 7月 8月 9月 10月 11月 12月 1月 2月 3月外部監査 委託契約 監査通知リスクアセスメント説明会・表作成リスクアセスメント表提出監査 指摘 措置回答 報告書作成 報告内部監査 監査通知 チェックリスト作成 監査人研修 監査 指摘 措置回答 報告書作成 報告10 監査実施計画書の提出監査業務の実施にあたっては、契約締結後速やかに発注者と協議を行い、委託業務の詳細内容及び各作業の実施時期等を決定し、鹿児島市情報セキュリティ実施手順(共通手順)第7編「情報セキュリティ監査編」の規定による監査実施計画書を提出すること。なお、監査実施計画書の作成にあたっては、令和3年度鹿児島市情報セキュリティ監査計画を参照すること。
11 監査報告書の様式等(1) A4版縦(必要に応じてA3版三つ折も可。A3版三つ折の場合、両面印刷は不可とする。)とし、様式は任意とする。
(2) 監査報告書は、監査対象についての脆弱点を網羅した非公開の「監査報告書(詳細版)」と公開を前提とした「監査報告書(要約版)」の2種類を作成し、詳細版の記載項目は、鹿児島市情報セキュリティ実施手順(共通手順)の規定のとおりとし、要約版は任意とする。
(3) 監査報告書の宛名は「鹿児島市長」とする。
12 成果物の提出方法等№ 成果物 提出方法 提出期限 提出先① 監査報告書(詳細版)紙媒体:2部電子媒体(CD-R等):1部令和4年3月31日(木) 情報システム課② 監査報告書(要約版)③ リスク評価結果報告書④ その他の作業報告書13 成果物の帰属等(1) 受注者から納入された成果物及びこれに付随する資料は、すべて発注者に帰属するものとし、書面による発注者の承認を受けないで、他に公表、譲渡、貸与又は使用してはならない。
(2) 受注者は、成果物及びこれに付随する資料に関し、著作権法に定めるすべての著作権を発注者に無償で譲渡するものとする。ただし、発注者は受注者に対し、当該成果物等の使用(閲覧・参照することをいう。)を無償で行わせることができるものとする。
(3) 前項の規定にかかわらず、受注者が従前から保有する成果品に係る知的財産権は、受注者に留保されるものとする。ただし、当該知的財産権が、成果品に組み込まれている場合は、発注者は、成果物を活用するために必要な範囲においては、無償・非独占の形で、これを使用できるものとする。
14 資料等の提供・管理等(1) 受注者は、監査業務の実施にあたり、発注者の管理する施設、備品、資料等を利用する必要がある場合は、事前に発注者と協議し、承認を得なければならない。なお、必要な資料及びデータについては、発注者が妥当と判断する範囲内で提供するものとする。
(2) 前項の場合において、受注者は、施設等の利用について十分な注意を払うとともに、利用目的終了後は、速やかに返却、又は発注者の指示に従った処置を行うものとする。
(3) 受注者は、発注者から提供された資料は適切に保管することとし、特に個人情報に関するもの及8び情報システムのセキュリティに関するものについては、厳格に保管すること。また、発注者から提供された、又は知り得た発注者の秘密情報については、他の用途に転用してはならない。
(4) 発注者の管理物を当該施設外へ持ち出すことは、原則として認めない。ただし、相当の理由がある場合において、発注者の許可を受けたときは、この限りでない。(5) 受注者が、発注者の管理する施設において作業を行う場合は、発注者の指示に従うこと。また、当該施設内での作業において、コピー機や電源等を利用する必要がある場合は、事前に発注者に申し出て承諾を得ておくこと。
(6) 受注者は、本契約の終了後又は解除された場合は、発注者から提供された資料、監査業務の実施にあたり取得した書類のほか、本契約に係る秘密情報のすべてを発注者に返還することとし、当該秘密情報の複製及び電子データなどを含む一切の秘密情報を保持してはならない。
15 議事録の作成受注者は、本業務の履行にあたり、発注者と行う会議や打ち合わせ等に関する議事録を作成し、その都度発注者に提出して、内容ついて承認を得ること。
16 第三者委託(1) 受注者は、本業務の全部又は一部を第三者に委任し、又は請け負わせてはならない。ただし、本業務の一部について、あらかじめ書面により発注者と協議し、承認を得た場合はこの限りでない。
(2) 前項ただし書により発注者が承認した場合には、承認を得た第三者も前項の義務を負うものとし、受注者は、当該第三者に前項の義務を遵守させるために必要な措置をとらなければならない。その後に承認を得た第三者についても同様とする。
(3) 第1項ただし書により発注者が承認した場合でも、受注者は、発注者に対し、承認を得た第三者の行為について全責任を負うものとする。
17 その他留意事項(1) 技術的検証の必要性が生じた場合、対象となる情報システム等の運用に対し、支障及び損害を与えることがないよう実施すること。
(2) 受注者は、本業務の履行にあたり、知り得た秘密情報及び成果品の内容を正当な理由なく他に開示し、又は自らの利益のために利用してはならない。これは、本契約の終了後又は解除後においても同様とする。
(3) セキュリティ対策の状況を確認するため、受注者は契約後ただちに、「情報セキュリティ対策チェックシート」を提出すること。なお、項目を満たさない場合も契約を阻害するものではないが、原則として代替案等によりセキュリティを維持すること。
(4) 受注者は、作業スケジュールに十分配慮し、発注者と密接に連絡を取り、業務の進捗状況を随時報告すること。
(5) 本仕様書に定めのない事項については、発注者と受注者で協議を行い決定すること。
(6) 受注者は、本業務の履行にあたっては、鹿児島市情報セキュリティポリシー及び関係法令を遵守すること。
☆印:回答必須項目1 1ISMS(情報セキュリティマネジメントシステム)の認証を取得していますか○ はい ○ いいえプライバシーマークの認証を取得していますか○ はい ○ いいえ2 1 ☆ 秘密情報取扱いに係る作業責任者を定めていますか(定めることができますか)○ はい ○ いいえ(はいを選択した場合)秘密情報取扱いに係る作業責任者の特定について、どのようなことが行われていますか。以下のうち当てはまる項目すべてにチェックしてください□ 秘密情報取扱いに係る作業責任者の責任を明確にした文書等を作成している□ 秘密情報取扱いに係る作業責任者を責任部門の長にしている□ 秘密情報取扱いに係る作業責任者を秘密情報の保護に関する知識を有していると考えられる担当者にしている□ その他 (具体的に: )3 1 ☆ 情報セキュリティに対する意識向上を図るための教育を、秘密情報取扱いに係る作業従事者に対して実施していますか○ はい ○ いいえ(はいを選択した場合)どのような研修を実施していますか。以下のうち当てはまる項目すべてにチェックしてください□ 情報セキュリティ教育は社内研修やOJT(※)の一環として実施している (※OJT:仕事中、仕事遂行を通して訓練をすること)□ 情報セキュリティ教育は外部の研修サービスを利用している□ その他 (具体的に: )4 1 ☆ 秘密情報の移送に関して、紛失や盗難を防止するための措置を実施していますか○ はい ○ いいえ(はいを選択した場合)どのような措置を実施していますか。以下のうち当てはまる項目すべてにチェックしてください□ 秘密情報記録と他の運送物との混同が防止されている□ 運搬用車両から離れる際、すべてのドアを施錠している□ 秘密情報を運搬するときは、施錠できる運搬用ケースを使用している□ 運送業者と秘密保持に関する誓約が取り交わされている□ その他 (具体的に: )情報セキュリティ対策チェックシート記入欄 項番1☆印:回答必須項目記入欄 項番2 ☆ 秘密情報を取り扱うサーバやPC、もしくはフォルダにアクセスするために、IDごとの本人認証を行っていますか○ はい ○ いいえ(はいを選択した場合)どのように本人認証が行われていますか。以下のうち当てはまる項目すべてにチェックしてください□ 指紋、虹彩等の生体認証を使用して認証を行っている□ ICカード等のセキュリティデバイスを使用して認証を行っている□ ID/パスワードにて認証を行っている□ その他 (具体的に: )3 ☆ ネットワークの利用において秘密情報を利用する領域と、その他の領域を分離するための措置を実施していますか○ はい ○ いいえ(はいを選択した場合)どのような措置が実施されていますか。以下のうち当てはまる項目すべてにチェックしてください□ 秘密情報を取り扱うPC等はスタンドアローンで使用□ 通信経路の限定及びアプリケーションプロトコルレベルでの限定□ その他 (具体的に: )4 ☆ 秘密情報を利用するサーバ等のネットワークはインターネットと接続していますか○ はい ○ いいえ(はいを選択した場合)インターネットからのサイバー攻撃に対する情報セキュリティ対策を具体的に記載してください5 ☆ 秘密情報を利用するサーバ等は国内に設置されていますか○ はい ○ いいえ6 ☆ 秘密情報を取り扱うPC等にはウィルス対策ソフトをインストールしており、常に最新の定義ファイルに更新していますか○ はい ○ いいえ7 ☆ 秘密情報を電子メール にて送受信する場合の、誤送信防止の措置を実施していますか○ はい ○ いいえ(はいを選択した場合)どのような措置を実施していますか。以下のうち当てはまる項目すべてにチェックしてください□ 送信先ごとのメッセージルール指定機能等を持った電子メール誤送信防止ツール等を導入することにより。電子メールの誤送信を防止している □ 添付ファイル等の暗号化に用いるパスワードについては、暗号化されたファイルと同じ経路の電子メール等で送信しない□ 秘密情報を含む電子メール送信は、秘密情報保護責任者等が承認しなければ送信できない□ その他 (具体的に: )2☆印:回答必須項目記入欄 項番5 1 ☆ 本委託業務において利用する秘密情報が不必要となった場合、廃棄又は消去することができますか○ はい ○ いいえ(はいを選択した場合)秘密情報の廃棄または消去の際には、電磁的記録媒体等に記録されているデータが判読できないよう必要な措置を実施することができますか○ はい ○ いいえ秘密情報の廃棄又は消去の具体的な方法や手段を記述してください秘密情報の廃棄又は消去の記録を残すことができますか○ はい ○ いいえ(はいを選択した場合)秘密情報の廃棄又は消去の記録から何が判断できますか。以下のうち当てはまる項目すべてにチェックしてください□ 廃棄又は消去を実施した年月日が判断できる□ 廃棄又は消去を実施した担当者が判断できる□ 廃棄又は消去の方法や手段が判断できる□ その他 (具体的に: )6 1 ☆ 発注者から委託された秘密情報を取り扱う業務の再委託が原則禁止であることを理解していますか○ はい ○ いいえ2 ☆ やむを得ず発注者から委託された秘密情報を取り扱う業務の再委託を行う場合、次の事項を明確にしなければならないことを理解していますか・再委託して処理する内容・再委託する理由・再委託先事業者の名称・再委託先事業者において取り扱う情報・再委託先事業者における安全性及び信頼性を確保する対策並びに再委託先事業者に対する管理及び監督の方法○ はい ○ いいえ3 ☆ やむを得ず発注者から委託された秘密情報を取り扱う業務の再委託を行う場合、発注者の承認を得なければならないことを理解していますか○ はい ○ いいえ(はいを選択した場合)再委託先の全ての行為及びその結果について責任を負うことを理解していますか○ はい ○ いいえ3☆印:回答必須項目記入欄 項番4 ☆ 発注者から委託された業務に、約款による外部サービスを利用しますか(利用する場合、有料、無料にかかわらず再委託にあたるため、書面により発注者の承認を得る必要があります)○ はい ○ いいえ(はいを選択した場合)以下のうち利用するサービスすべてにチェックしてください□ 電子メール、ファイルストレージ、グループウェアなど□ ソーシャルメディアサービス□ クラウドサービス□ その他 (具体的に: )外部サービスを利用する場合に、どのような対策を実施しますか。
以下のうち当てはまる項目すべてにチェックしてください□ 運用手順の策定□ 責任者の選定□ 外部サービスで取り扱われる情報に対して、国内法以外の法令が適用されるリスクを評価した利用サービスの選定※ 利用サービスのサーバが日本国内に設置されているかなど□ 総合的・客観的な評価による外部サービス及び当該サービス提供事業者の信頼性の確認※ セキュリティ監査報告書、各種認定・承認制度の適用状況等の確認□ その他 (具体的に: 7 1 ☆ 秘密情報を取り扱う場所(以下、「作業場所」という。)を限定することができますか○ はい ○ いいえ(はいを選択した場合)どのように限定することができますか。以下のうち当てはまる項目一つにチェックしてください○ 1.作業場所は事業所内に限定し、さらに事業所内の特定の空間に限定する○ 2.作業場所は事業所内に限定する○ 3.作業場所は限定するが、事業所外の不特定箇所での利用を前提とする○ その他 (具体的に: )(いいえを選択した場合)作業場所を限定できない理由を記述してください4☆印:回答必須項目記入欄 項番8 1 ☆ 秘密情報が保存された機器について、秘密情報の紛失や漏洩を防止するための措置を実施していますか○ はい ○ いいえ(はいを選択した場合)どのような措置が実施されていますか。以下のうち当てはまる項目すべてにチェックしてください□ 秘密情報が保存されたノートPC等に盗難防止用チェーンが設置されている□ 離席時にも端末等での正当な権限者以外の者による窃視防止の対策が実施されている□ 秘密情報が保存されているサーバやPCへのリモート接続が制限されている□ 秘密情報が保存されているサーバやPCについて、システム的に電磁的記録媒体の使用を禁止している、もしくは許可されたものだけが使用できる□ その他 (具体的に: )2 ☆ 緊急時の報告について手順や方法を定めていますか○ はい ○ いいえ(はいを選択した場合)報告手順からはどのようなことが明確になっていますか。以下のうち当てはまる項目すべてにチェックしてください□ 報告体制(報告元・報告先)が明確になっている□ 緊急時の対応が明確になっている□ その他 (具体的に: )5