2026-2029年度JICA海外協力隊合格後手続き及び課題別派遣前プログラム各種調整支援業務（25a00394）（3.8MB）

2026-2029年度JICA海外協力隊合格後手続き及び課題別派遣前プログラム各種調整支援業務（25a00394）（3.8MB） 2508版独立行政法人国際協力機構 本部 契約担当役 理事 １．２． 入札説明書第１入札手続１．のとおり ３． 入札説明書第１入札手続６．のとおり ４． 入札説明書第５契約書(案)のとおり。 ５． 入札説明書のとおり。 ６．７． 入札説明書のとおり。 以 上 入札公告当機構契約事務取扱細則(平成１５年細則(調)第８号)第１１条の規定に基づき、以下の一般競争入札(総合価格落札方式)を公告します。 業 務 名 称 ： 2026-2029年度JICA海外協力隊合格後手続き及び課題別派遣前プログラム各種調整支援業務競 争 に 付 す る 事 項 ：2025年12月12日競 争 参 加 資 格 ：契 約 条 項 ：開 札 日 時 及 び 場 所 ：電子入札による入札執行： そ の 他 ：本業務の入札は電子入札システムで実施します。 詳細については入札説明書をご覧ください。 【入札説明書の改訂(2024年10月 )】 独立行政法人国際協力機構 国際協力調達部 入札説明書【電子入札システム対象案件 ／総合評価落札方式】業務名称：2026-2029年度JICA海外協力隊合格後手続き及び課題別派遣前プログラム各種調整支援業務第１の５．(２)において、「３)人的関係 b)役職員等」について、一般財団法人及び一般社団法人の理事が対象となることが不明瞭であったことから、①iv.に追記しました。 第１の５．(５)において、d)(共同企業体構成員の提出書類)に変更(資本関係又は人的関係に関する申告書を追加)を行いました。 また2024年4月以降、競争参加資格の確認結果は資格無しの場合のみ通知することに変更していますのでご留意ください。 第５ 契約書(案) 2025/12/12調達管理番号：２５ａ００３９４第１ 入札手続 第２ 業務仕様書(案) 第３ 技術提案書の作成要領 第４ 経費に係る留意点 第１ 入札手続 (１)(２) 一般競争入札(総合評価落札方式)(３) 「第２ 業務仕様書(案)」のとおり (４) から(１)選定手続き窓口国際協力調達部契約推進第三課 電子メール宛先： e_sanka@jica.go.jp ※当機構からのメールを受信できるよう、当機構のドメイン(jica.go.jp)またはメール アドレスを受信できるように設定してください。 ※メール送信後、送信アドレスに受信完了メールが届きます。 ※当機構のメールシステムのセキュリティ設定上、zip形式のファイルが添付されたメール は受信不可となりますので、他の形式でお送りください。 これにより難い場合は、上記 の連絡先までお問い合わせください。 (２)日程本案件の日程は以下の通りです 。 授受方法正午まで メール正午まで メール16時以降＿正午まで メール正午まで 電子入札システムまで メール14:00 電子入札システム(３)問い合わせ先電話：０３－５２２６－６６０９ 入札説明書 提出期限、該当期間 メール件名2029/7/31３.資料交付の申請 2026/1/27(火)2026/5/1業 務 名 称 ：【配布依頼】(調達管理番号)_(法人名)選 定 方 式 ：業 務 内 容 ：業務履行期間(予定)：該当箇所１． 競争に付する事項 ２．手続き全般に係る事項 2026-2029年度JICA海外協力隊合格後手続き及び課題別派遣前プログラム各種調整支援業務５.質問に対する機＿2026/2/9(月) １２.技術提案書の評価結果の通知2026/1/27(火) １０.入札書提出【提出】(調達管理番号)_認申請書 (法人名)_競争参加資格確認提出2025/12/25(木)＿９.技術提案書構からの回答７.競争参加資格確申請書・技術提案書＿ ＿１４.入札執行(入札会)の日時2026/2/10(火)まで2026/1/9(金)2026/1/27(火)する質問提出５.入札説明書に対 【質問】(調達管理番号)_(法人名)_入札説明書公告日から2/135(１)資料の交付方法入札説明書の一部資料をGIGAPODを通じて希望者に交付します。 以下のとおり、電子メールにて配布依頼をお願いします。 １) ２.(２)日程参照２) 【配布依頼】(調達管理番号)_(法人名)３) ２.(１)記載の電子メール宛先４) 「機密保持誓約書」１９.様式参照※代表者印等の押印を原則とします。 ※押印が困難な場合は、「本件責任者及び担当者」の氏名、役職、所属先及び連絡先(電話番号及び電子メールアドレス)を必ず明記し、提出時の電子メールに責任者本人又は責任者にccを入れて送付してください。 ５) 業務仕様書 別送資料1～8該当なし入札説明書(業務仕様書(案)の内容等)に対する質問がある場合は、質問書に記入のうえ、電子データ(EXCEL形式)での提出をお願いいたします。 公正性・公平性等確保の観点から、電話等口頭でのご質問は原則としてお断りしていますのでご了承ください。 (１)質問方法１) ２.(２)日程参照２) 【質問】(調達管理番号)_(法人名)_入札説明書３) ２.(１)記載の電子メール宛先４) 「質問書」１９.様式参照 (２)質問への回答提出期限までに提出いただいた質問及び回答については、機密保持誓約書を提出した全ての者に対して、電子メールにて配布します。 (３)留意事項回答書によって、仕様・数量等が変更されることがありますので、本件競争参加希望者は質問提出の有無にかかわらず回答を必ずご確認ください。 入札金額は回答による変更を反映したものとして取り扱います。 (１)消極的資格制限 以下のいずれかに該当する者は、当機構の契約事務取扱細則(平成１５年細則(調)第８号)第４条に基づき、競争参加資格を認めません。 また、共同企業体の構成員や入札の代理人となること、契約の再委託先または下請負人(業務従事者を提供することを含む。以下同じ。)となることも認めません。 ５．入札説明書に対する質問及び回答 必 要 書 類 ：４．業務内容説明会 ６．競争参加資格 質問提出期限 ：メ ー ル 件 名 ：提 出 先 ：交 付 資 料 ：３．入札説明書資料の交付・閲覧 提 出 先 ：提 出 書 類 ：メ ー ル 件 名 ：交 付 期 間 ：3/135１) 破産手続き開始の決定を受けて復権を得ない者 具体的には、会社更生法(平成１４年法律第１５４号)または民事再生法(平成１１年法律第２２５号)の適用の申立てを行い、更生計画または再生計画が発効していない法人をいいます。 ２) 独立行政法人国際協力機構反社会的勢力への対応に関する規程(平成２４年規程(総)第２５号)第２条第１項の各号に掲げる者 具体的には、反社会的勢力、暴力団、暴力団員、暴力団員等、暴力団準構成員、暴力団関係企業、総会屋等、社会運動等標ぼうゴロ、特殊知能暴力集団等を指します。 ３) 独立行政法人国際協力機構が行う契約における不正行為等に対する措置規程(平成２０年規(調)第４２号)に基づく契約競争参加資格停止措置を受けている者。 具体的には、以下のとおり取扱います。 ａ)競争参加資格確認申請書の提出期限日において上記規程に基づく資格停止期間中の場合、本入札には参加できません。 ｂ)資格停止期間前に本入札への競争参加資格確認審査に合格した場合でも、入札執行時点において資格停止期間となる場合は、本入札には参加できません。 ｃ)資格停止期間前に落札している場合は、当該落札者との契約手続きを進めます。 (２)積極的資格制限 当機構の契約事務取扱細則第５条に基づき、以下の資格要件を定めます。 １) 全省庁統一資格 令和０７・０８・０９年度全省庁統一資格で 、 「役務の提供等」の資格を有すること。 (等級は問わない) ２) 資本関係又は人的関係 競争に参加しようとする者の間に以下の基準のいずれかに該当する関係がないこと(基準に該当する者のすべてが、共同企業体の代表者以外の構成員である場合を除く)。 ａ)資本関係 ：以下のいずれかに該当する二者の場合。 ①子会社等(会社法(平成１７年法律第８６号)第２条第３号の２に規定する子会社をいう。 ②において同じ。 )と親会社等(同条第４号の２に規定する親会社等をいう。②において同じ。)の関係にある場合 ②親会社等を同じくする子会社等同士の関係にある場合 ｂ)人的関係 ：以下のいずれかに該当する二者の場合。 ただし①については、会社等(会社法施行規則(平成１８年法務省令第１２号)第２条第３項第２号に規定する会社等をいう。 以下同じ。 )の一方が民事再生法(平成１１年法律第２２５号)第２条第４号に規定する再生手続きが存続中の会社等又は更生会社(会社更生法(平成１４年法律第１５４号)第２条第７項に規定する更生会社をいう。 )である場合を除く。 ①一方の会社等の役員(会社法施行規則第２条第３項第３号に規定する役員のうち、次に掲げる者をいう。以下同じ。)が、他方の会社等の役員を現に兼ねている場合 ⅰ 株式会社の取締役。 ただし、次に掲げる者を除く。 ・会社法第２条第１１号の２に規定する監査等委員会設置会社における監査等委員である取締役 ・会社法第２条第１２号に規定する指名委員会等設置会社における取締役 ・会社法第２条第１５号に規定する社外取締役 4/135・会社法第３４８条第１項に規定する定款に別段の定めがある場合により業務を遂行しないこととされている取締役 ⅱ 会社法第４０２条に規定する指名委員会等設置会社の執行役 ⅲ 会社法第５７５条第１項に規定する持分会社(合名会社、合資会社又は合同会社をいう。 )の社員(同法第５９０条第１項に規定する定款に別段の定めがある場合により業務を遂行しないこととされている社員を除く。) ⅳ 一般財団法人、一般社団法人及び組合の理事 ⅴ その他業務を遂行する者であって、ⅰからⅳまでに掲げる者に準ずる者 ②一方の会社等の役員が、他方の会社等の民事再生法第６４条第２項又は会社更生法第６７条第１項の規定により選任された管財人(以下単に「管財人」という。)を現に兼ねている場合 ③一方の会社等の管財人が、他方の会社等の管財人を現に兼ねている場合ｃ)その他入札の適正さが阻害されると認められる場合 ：組合(共同企業体を含む。)とその構成員が同一の入札に参加している場合その他上記a)又はb)と同視しうる資本関係又は人的関係があると認められる場合。 ※留意事項：競争に参加しようとする者の間で競争参加意思等の確認・相談を行うことは原則として認めていませんが、上記の資本関係又は人的関係に基づく競争参加制限を回避する目的として当事者間で連絡を取ることは、これに抵触するものではありません。 ３) 日本国登記法人 日本国で施行されている法令に基づき登記されている法人であること。 (３)共同企業体共同企業体の結成を認めます。 ただし、共同企業体の代表者及び構成員全員が、上記(１)及び(２)の競争参加資格要件を満たす必要があります。 共同企業体を結成する場合は、共同企業体結成届(16.様式集参照)を作成し、各社毎の競争参加資格確認申請書と共に提出してください。 結成届には、原則として、構成員の全ての社の代表者印または社印を押印してください。 (４)再委託 再委託は原則禁止となります。 ただし、業務仕様書に特別の定めがあるとき または発注者の承諾を得たときは、本件業務全体に大きな影響を及ぼさない補助的な業務に限り再委託は可 能です。 (５)利益相反の排除 特定の排除者はありません 。 (６)旅行業登録者(証明できる書類を提出すること)競争に参加しようとする者は、旅行業登録者であること。 共同企業体を結成する場合は、国内旅行手配を担う者が旅行業登録者であること。 旅行業登録者で無い場合は、業務仕様書に記載のある国内旅行手配については、旅行業登録者に再委託を行うこと。 5/135(１)提出方法１) ２.(２)日程参照２) 【提出】(調達管理番号)_(法人名)_競争参加資格認申請書・技術提案書３) ２.(１)記載の電子メール宛先４) ７.(２)の書類を提出してください。 ５) 技術提案書も同時に提出してください。 (２)提出書類① 競争参加資格確認申請書② 全省庁統一資格審査結果通知書(写) ③ 資本関係又は人的関係に関する申告書(該当なしの場合も提出は必須です。)④ 共同企業体を結成するとき・共同企業体結成届 ・共同企業体を構成する社(構成員)の資格確認書類(上記①、②、③)※共同企業体代表者がまとめて提出してください。 ⑤ 旅行業登録者証明書(証明できる書類を提出) 証明書(写)(３)留意事項上記提出書類が未提出または不備があっても、弊機構から提出書類の依頼や書類不備の連絡はおこないませんので、提出書類は十分確認してください。 確認の結果、資格有と判断される場合は結果を通知しません。 資格無しと判断される場合のみ結果をご連絡します。 １) ２.(２)日程参照２) 【提出】(調達管理番号)_(法人名)_競争参加資格認申請書・技術提案書３) ２.(１)記載の電子メール宛先４) 第３ 技術提案書の作成要領に従ってください。 ５) 競争参加資格提出書類と同時に提出してください。 ※ 可能な限り 1 つの PDF ファイルにまとめてください。 ※ プレゼンテーションがある場合はその資料を含む。 技術提案書をプレゼンテーション資料として使用することも可です。 提 出 書 類 ：提 出 期 限 ：メ ー ル 件 名 ：留 意 点 ：提 出 期 限 ：メ ー ル 件 名 ：提 出 先 ：提 出 書 類 ：８．競争参加資格確認の通知 ９．技術提案書の提出 １９．様式参照１９．様式参照提 出 先 ：７．競争参加資格提出書類 留 意 点 ： 提出書類 様式 １９．様式参照(１)提出方法6/135(２)技術提案書の無効 次の各号のいずれかに該当する技術提案書は無効とします。 １) 提出期限後に提出されたとき。 ２) 提出された技術提案書に記名・押印がないとき。 ただし、押印が困難な場合は、１９.(３)書類の押印省略を参照の上ご提出ください。 ３) 同一提案者から内容が異なる提案が２通以上提出されたとき。 ４) 虚偽の内容が記載されているとき(虚偽の記載をした技術提案書の提出者に対して契約競争参書類の加資格停止等の措置を行うことがあります) ５) 前号に掲げるほか、本入札説明書に違反しているとき。 (３)その他 １) 一旦提出された技術提案書は、差し替え、変更または取り消しはできません。 ２) 開札日の前日までの間において、当機構から技術提案書に関し説明を求められた場合には、定められた期日までにそれに応じていただきます。 ３) 技術提案書等の作成、提出に係る費用については報酬を支払いません。 電子入札システムの「入札書」に所定の項目を入力の上、同システム上で提出してください。 (１)提出方法 １) ２.(２)日程参照２) 電子入札システム(２)電子入札システム１) JICA電子入札システムでの入札を行うためには、以下の準備及び期間が必要となります。 初めての方は入札書の提出日より前までにご準備ください。 https://www.jica.go.jp/about/announce/notice/ebidding.html①認証局発行のICカード及びカードリーダーの準備 認証局によりますが、ICカードの発効には2～4週間かかります。 詳細は上記ポータルサイトに掲載の操作マニュアル「操作マニュアル(設定～利用者登録)」をご参照ください。 https://www.jica.go.jp/Resource/announce/notice/ku57pq00002mbjis-att/registration_manual.pdf②団体情報の登録及び「業者番号」の入手 電子入札システムでの利用者登録に「業者番号」が必要です。 業者番号発行にはJICAの団体情報登録が必要であり、登録がない場合はあらかじめ団体登録手続きが必要となります。 登録には、7～10営業日かかります。 https://www.jica.go.jp/about/announce/notice/organization/index.html③電子入札システム操作手順は「操作マニュアル６ページ」を参照ください。 https://www.jica.go.jp/about/announce/notice/__icsFiles/afieldfile/2025/05/15/manual2025_0514.pdf２) 電子入札システム上、本案件は「工事、コンサル」に分類されております。 お間違えのないようご注意ください。 ３) 総合点が同点の場合には、抽選となりますので、その際に必要となる「くじ入力番号」(３桁の半角数字)を必ず入力してください。 ４) 入札金額は円単位で記入し、消費税及び地方消費税を抜いた税抜き価格としてください。 １０．入札書の提出 入 札 書 締 切 ：提 出 先 ：7/135(３)その他 １) 一旦提出された札書は、差し替え、変更または取り消しはできません。 ２) 入札保証金は免除します。 該当なし技術提案書は当機構において技術評価をします。 技術提案書を評価した者に対し、評価結果の合否をメールで通知します。 通知期限までに結果が通知されない場合は、お問い合わせ下さい。 「８．競争参加資格確認の通知」で競争参加資格無しの連絡があった技術提案書の評価は行いません。 競争参加資格の確認を申請した者が競争参加を辞退するときは、遅くとも入札会1営業日前の正午までに辞退する旨を下記メールアドレスまで送付願います。 (１)提出方法１) 【辞退】(調達管理番号)_(法人名)_ 案件名 ２) ２.(１)記載の電子メール宛先(２)留意事項１) 上記の手続きにより競争参加を辞退した者は、これを理由として以降の入札において不利益な取扱いを受けるものではありません。 ２) 一度提出された辞退届は、取り消しを認めません。 (１) 入札方法等 １) 入札方法当機構契約事務取扱細則第１４条第２項「前項に定める競争入札の執行における 開札は、立会いによるものに代えて、インターネット上に設置する電子入札システムにより行うことができるものとする」に基づき、電子入札システムで入札を実施します。 ２) 入札会の手順 ①開札 ２.(２)日程参照入札執行者は、開札時刻に電子入札システムにより開札し、入札結果を同システム上で入札者に開示します。 再入札となる場合には再入札通知書を発行します。 ②再入札及び不落随意契約交渉 ａ)開札後、再入札が発生した際には入札者は電子入札システムにより再入札通知書に記載の入札書受付／締切日時、開札日時に従い、記載されている入札最低金額未満の金額で再入札書を提出します。 日 時 ：１３．辞退の届出 １２．技術提案書の評価結果の通知 １１．技術提案書内容に関するプレゼンテーションの実施 １４． 入札執行 提 出 先 ：メ ー ル 件 名 ：8/135ｂ)開札の結果、すべての入札金額が予定価格を超える場合には、ただちに２回目の再入札を行います。 ｃ)２回まで行っても落札者がないときは入札を打ち切り、不落随意契約の交渉に応じて頂く場合があります。 (２)再入札電子入札システムにて再入札の日時を指定し通知します。 １回目の入札から再入札までの間隔は通常20分程度になりますので、再入札に備えてすぐに電子入札システム利用できるよう予めご準備ください。 なお、再入札の場合は、発注者から再入札実施日時を通知しますので、締切時間までに再入札書を電子入札システム上で提出願います。 (３)入札途中での辞退 「不調」の結果に伴い、再入札を辞退する場合は、「辞退」ボタンを選択して必要事項を記入の上、電子入札システム上で提出して下さい。 (４)入札者の失格 入札書受付締切日時までに入札書を提出しなかった場合(再入札時の場合も含む)には入札者を失格とします(入札者側のPCのトラブルによる場合も含む)。 (５)入札書の無効 次の各号のいずれかに該当する入札は無効とします。 １) 競争参加資格無しの者、技術提案書の評価結果が不合格であった者２) 明らかに連合によると認められる入札 ３) 条件が付されている入札 ４) その他入札に関する条件に違反した入札 (１)評価項目 評価対象とする項目は、「第３ 技術提案書の作成要領」の別紙評価表の評価項目及び入札価格です。 (２)評価配点 技術評価と価格評価に区分し、配点をそれぞれ (３)評価方法 １) 技術評価 「第３ 技術提案書の作成要領」の別紙評価表の項目ごとに、各項目に記載された配点を上限として、以下の基準により評価(小数点以下第三位を四捨五入します)し、合計点を技術評価点とします。 評価は２００点満点とし、１５． 落札者の決定 技術点１００点、価格点１００点 とします。 9/135評価点 当該項目については優れており、適切な業務の履行が十分期待できるレベ ８０％以上ルにある。 当該項目については、一般的な水準に達しており、業務の履行が十分でき８０％未満るレベルにある。 ６０％以上 当該項目だけで判断した場合、業務の適切な履行が困難であると判断され６０％未満るが、他項目の提案内容・評価によっては、全体業務は可能と判断されるレベルにある。 ４０％以上当該項目の評価は著しく低いものであり、他項目の提案内容・評価が優れ ４０％未満たものであったとしても、本項目の評価のみをもって、業務の適切な履行が疑われるレベにある。 ２) 価格評価 価格評価点については以下の評価方式により算出します。 算出に当たっては、小数点以下第三位を四捨五入します。 価格評価点＝(予定価格－入札価格)／予定価格×(１００点) ３) 総合評価 技術評価点と価格評価点を合計した値を総合評価点とします。 ４) 不合格技術評価点が６０％、つまりを下回る場合を不合格とします。 不合格となった場合、１２．技術提案書の評価結果の通知に記載の手続きに基づき、不合格であることが通知され、入札会には参加できません。 (４)落札者の決定 機構が設定した予定価格を超えない入札金額を応札した者のうち、総合評価点が最も高い者を電子入札システム上で落札者とします。 落札者は、入札金額の内訳書(社印不要)をメールで提出ください。 なお、内訳に出精値引きを含めることは認めません。 (５) 抽選予定価格の範囲内で総合点(技術点と価格点の合計)が同点となった者が２者以上あるときは、抽選により落札者を決定します。 その場合、入札書提出時にご入力いただいた任意の「くじ入力番号」をもとに、電子入札システムで自動的に抽選し落札者を決定します。 (６)落札者と宣言された者の失格 入札会において上述の落札者の決定方法に基づき落札者と宣言された者について、入札会の後に、以下の条件に当てはまると判断された場合は、当該落札者を失格とし、改めて落札者を確定します。 １) その者が提出した技術提案書に不備が発見され、９．(２)技術提案書の無効 に基づき「無効」と判断された場合 ２) その者が提出した入札書に不備が発見され、１４．(５)入札書の無効 に基づき「無効」と判断された場合 ３) 入札金額が著しく低い等、当該応札者と契約を締結することが公正な取引の秩序を乱すこととなるおそれがあって著しく不適当であると認められる場合 当該項目の評価 １００点満点中 ６０点(「基準点」という。)10/135(１) 落札者は電子署名による契約を締結することを基本とし、「第５ 契約書(案)」に基づき、速やかに契約書を作成し、電子署名により締結します。 なお、書面による契約を希望する場合は落札後発注者へご照会ください。 (２) 契約条件、条文は、「第５ 契約書(案)」を参照してください。 文言等質問がある場合は、５. (１)質問方法に従い照会ください。 (３) 契約保証金は免除します。 (４) 契約書附属書Ⅱ「契約金額内訳書」については、入札金額の内訳書等の文書に基づき、両者協議・確認して設定します。 本競争の結果及び競争に基づき締結される契約については、機構ウェブサイト上に契約関連情報(契約の相手方、契約金額等)を公表しています。 また、一定の関係を有する法人との契約や関連公益法人等については、以下の通り追加情報を公表します。 詳細はウェブサイト「公共調達の適正化に係る契約情報の公表について」を参照願います。 (URL: https://www.jica.go.jp/announce/manual/guideline/consultant/corporate.html) 競争への参加及び契約の締結をもって、本件公表に同意されたものとみなさせていただきます。 (１) 一定の関係を有する法人との契約に関する追加情報の公表 １) 公表の対象となる契約相手方取引先 次のいずれにも該当する契約相手方を対象とします。 ①当該契約の締結日において、当機構の役員経験者が再就職していること、又は当機構の課長相当職以上経験者が役員等として再就職していること ②当機構との間の取引高が、総売上又は事業収入の3分の1以上を占めていること ２) 公表する情報 ①対象となる再就職者の氏名、職名及び当機構における最終職名 ②直近3か年の財務諸表における当機構との間の取引高 ③総売上高又は事業収入に占める当機構との間の取引高の割合 ④一者応札又は応募である場合はその旨 ３) 情報の提供方法 契約締結日から１ヶ月以内に、所定の様式にて必要な情報を提供頂きます。 (２)関連公益法人等にかかる情報の公表 契約の相手方が「独立行政法人会計基準」第14章第6節に規定する関連公益法人等に該当する場合には、同基準第14章第7節の規定される情報が、機構の財務諸表の付属明細書に掲載され一般に公表されます。 １６．契約書の作成及び締結 １７．競争・契約情報の公表 11/135(１) 機構が配布・貸与した資料・提供した情報(口頭によるものを含む)は、本件業務の技術提案書 及び入札書を作成するためのみに使用することとし、複写または他の目的のために転用等使用しないでください。 (２) 技術提案書等は、本件業務の落札者を決定する目的以外に使用しません。 (３) 落札者の技術提案書等については返却いたしません。 また、落札者以外の技術提案書電子データについては、機構が責任をもって削除します。 なお、機構は、落札者以外の技術提案書等にて提案された計画、手法について、同提案書作成者に無断で使用いたしません。 (４) 技術提案書等に含まれる個人情報等については、「独立行政法人等の保有する個人情報の保護に関する法律(平成１５年法律第５９号)」に従い、適切に管理し取り扱います。 (５) 競争参加資格がないと認められた者、技術提案書の評価の結果不合格の通知を受けた者は通保知した日の翌日から起算して７営業日以内、入札会で落札に至らなかった者は入札執行日の翌日から起算して７営業日以内に、その理由や技術評価の内容について説明を求めることができますので、ご要望があれば２.(１)選定手続き窓口までご連絡ください。 (６) 当機構では、参考見積取得等の調達手続きにかかる各種支援業務を、株式会社うるるへ委託しています。 同者から企業の皆様へ、直接、本案件にかかる応募勧奨のご連絡を差し上げる場合がございますので、予めご承知おき願います。 本業務委託について、詳細は以下をご確認ください。 https://www.jica.go.jp/about/announce/information/chotatsu/2025/__icsFiles/afieldfile/2025/09/18/20250918.pdf(７) 契約締結後には、令和5年度版「政府機関の情報セキュリティ対策のための統一基準群」及びこれに準拠する機構内関連規程に基づき機構が定める「個人情報取扱い安全管理措置並びに情報セキュリティ対策」(別添1)を遵守するとともに、「個人情報保護及び情報セキュリティに関する情報」(別添2)にて、個人情報保護及び情報セキュリティにかかる管理体制等の報告を行うこと。 (※別添1及び別添2については契約書案を参照してください。)(１)入札手続に関する様式１) 機密保持誓約書２) 質問書３) 競争参加資格確認申請書４) 資本的関係又は人的関係に関する申告書５) 共同企業体結成届(共同企業体の結成を希望する場合)６) 委任状１８．その他 １９．様式 12/135(２)技術提案書作成に関する様式１) 技術提案書表紙２) 技術提案書参考様式(別の様式でも提出可) 以上の様式のデータは、国際協力機構ホームページ「調達情報」→「調達ガイドライン、様 式」→「様式 一般競争入札：総合評価落札方式(国内向け物品・役務等)」よりダウンロードで きます。 (URL:https://www.jica.go.jp/about/announce/manual/form/domestic/op_tend_price.html) (３)書類の押印省略 様式または本説明書において押印を必要としている提出書類は、代表者印等の押印を原則とします。 ただし、機密保持誓約書、競争参加資格確認申請書及び技術提案書について押印が困難な場合は、「本件責任者及び担当者」の氏名、役職、所属先及び連絡先(電話番号及び電子メールアドレス)を必ず明記し、提出時の電子メールは責任者本人又は責任者にccを入れて送付してください。 13/1351第２ 業務仕様書(案)本業務仕様書(案)に記述されている「脚注」については、競争参加者が技術提案書を作成する際の参考情報として注意書きしたものであり、契約に当たって、契約書附属書Ⅰとして添付される業務仕様書からは削除されます。 この業務仕様書は、独立行政法人国際協力機構(以下「発注者」)が実施する「2026-2029年度JICA海外協力隊合格後手続き及び課題別派遣前プログラム各種調整支援業務」に関する業務の内容を示すものです。 本件受注者は、この業務仕様書に基づき本件業務を実施します。 第1. 業務の背景･概要１． 用語の定義本書において用いる用語は、それぞれ次のとおり定義する。  JICA：本業務の発注者である独立行政法人国際協力機構の略称 JICAボランティア事業：JICA規程上の正式な事業名称 JICA海外協力隊：JICAボランティア事業における派遣者の総称(JV、SV、NJV、NSV) JV：青年海外協力隊及びJICA海外協力隊 SV：シニア海外協力隊 NJV:日系社会青年海外協力隊及び日系社会海外協力隊 NSV:日系社会シニア海外協力隊 UNV:国連機関に派遣するボランティア(JICA海外協力隊経験者) 連携派遣：JICAと連携した海外ボランティア派遣に関心のある団体(自治体、民間企業、大学、業界団体、NGO 等)が、JICAとの合意に基づき、その団体から推薦された人材を、JICA海外協力隊として開発途上国へ派遣する制度 事務所推薦型派遣：帰国後隊員(長期派遣者)を、在外拠点の推薦により原則 90 日以下で当該国へ再派遣させる制度 長期派遣者：派遣期間1年以上のJICA海外協力隊員 短期派遣者：派遣期間1年未満のJICA海外協力隊員 合格者：二次選考合格者のうち派遣前訓練合意書を締結する前の者 派遣前隊員：合格者のうち、正式に JICA 海外協力隊員となる前の段階における者。 通常は派遣前訓練合意書を締結した段階で合格者から訓練生となる。 派遣前訓練において所定の成果を修めて訓練修了となり、正式なJICA海外協力隊員として派遣される 訓練生：二次選考合格者のうち、正式に JICA 海外協力隊員となる前の段階の者。 通常は派遣前訓練合意書を締結した段階で合格者から訓練生となる。 派遣前訓練修了後、正式なJICA海外協力隊員として派遣される 訓練受講者：訓練生以外でオブザーバーとして派遣前訓練を受講する者(学生インターン等)14/1352 技術専門委員：隊員の選考に関わる技術支援を目的として JICA が外部アドバイザーに委嘱する制度 要望調査票：JICA 海外協力隊の配属先、要請理由・背景、予定されている活動内容、活動使用言語、資格条件等が記載されている書類 応募者調書：応募者の(経歴などの)基本情報、希望職種や要請、協力隊への志望動機、希望職種に関する技術調書等が記載されている書類 選考時健康審査：応募者が応募時に提出する健康診断書をもとに行う 派遣前健康判定：合格者が訓練開始前に提出する健康診断書をもとに、JICA 顧問医が確認し派遣可否を判断する 隊次編成表：現行の訓練中の訓練生から応募者の内２次合格者までをまとめたリスト 課題別派遣前/派遣中プログラム：訓練生に対する課題別のプログラム。 「課題別派遣前訓練」「課題別オンデマンド型研修」「課題別支援LinkedInグループ」で構成される。  アドバイス：派遣前に更に知見や経験が必要と思われる合格者に対し JICA が行う技術的な助言 派遣前訓練：JICA海外協力隊員として必要な姿勢や態度、語学や異文化理解、JICAボランティア事業概要など海外協力活動における必要最低限の知識や能力・適性を養うことを目的とした訓練。 訓練期間は、長期派遣73日程度、短期派遣18日間。  グローカルプログラム：派遣前である JICA 海外協力隊合格者のうち、帰国後も日本国内の地域が抱える課題解決に取り組む意思を有する希望者を対象に、自治体等が実施する地域活性化、多文化共生等の取組みにOJTとしての参加機会を提供するもの 現職参加促進費：派遣期間中の協力隊員の雇用継続に必要な経費等の一部見合いとしてJICAより隊員の所属先へ定額支給される費用 現職教員派遣委託費：現職教員特別参加制度により、現職教員を隊員として推薦し、JICA海外協力隊事業に参加させ、帰国後の教育分野における社会還元活動を実施促進することを都道府県及び政令指定都市の教育委員会に委託する費用 文部科学省表敬訪問：現職教員特別参加制度の参加教員の帰国後に表敬するもの。 年度末に開催されることが多い。  選考時システム：応募時から合格までの管理システムで、応募者調書の情報等が格納されており選考事務委託契約の委託先にて使用している。 本業務では健康診断書類の受領状況の入力や、再検査依頼状況の確認などが可能 ボランティアシステム：ボランティア事業の、募集選考、訓練研修の情報管理他、派遣手続きを担うシステム(別送資料1参照) LMS： Learning Management Systemの略 JICA Learning-Network:合格から派遣後の帰国まで使用するLMSで、本業務では、訓練合格 JICA協力隊参加同意書合格者派遣合意書派遣前隊員訓練生協力隊員訓練修了 派遣前訓練合意書 派遣応募者15/1353生の語学のEラーニング教材や訓練教材の提供、派遣前訓練中の訓練や派遣に関するご案内などに使用。 (別送資料2参照) Eラーニング：派遣前訓練入所前にJICA Learning-Networkを通じて行う語学学習等 国内拠点：国内にあるJICA事務所(全15か所)。 JICA北海道(札幌)、JICA北海道(帯広)、JICA東北、JICA筑波、JICA東京、JICA横浜、JICA北陸、JICA中部、JICA関西、JICA中国、JICA四国、JICA九州、JICA沖縄、駒ケ根訓練所、二本松訓練所 在外拠点：海外にあるJICA事務所及び支所２． JICAボランティア事業の概要(１)理念と目的JICAボランティア事業は、独立行政法人国際協力機構法第13条第1項第4 号の「開発途上地域の住民を対象として、当該開発途上地域の経済及び社会の開発又は経済の復興に協力することを目的とする国民等の協力活動を促進し、及び助長する」に基づき展開している事業である。 JICA 海外協力隊活動の基本姿勢は「現地の人々と共に」という言葉に集約される。 高い志と世界に貢献する気概を持ち、現地の人々と共にある中で信頼を育み、活動を通じて日本と世界を理解することがJICA海外協力隊の基本理念である1。 JICAボランティア事業の主たる目的は、以下の3点である。 ① 開発途上国の経済･社会の発展、復興への寄与② 異文化社会における相互理解の深化と共生③ JICA海外協力隊経験の社会還元JICAボランティア事業の詳細は下記のJICAボランティアウェブサイトを参照のこと。 http://www.jica.go.jp/volunteer/outline/(２)JICA海外協力隊の人材像① 日本政府から派遣される JICA 海外協力隊としての自覚(公人意識)と途上国の社会に貢献する強い意思を有する。 ② 配属先において自分がすべきことを自ら見つけ出し、相手国側関係者と友好的な関係のもとにカウンターパート(派遣国において JICA 海外協力隊を受け入れる機関や人物)、地域住民や JICA 海外協力隊の間で力を合わせて課題に取り組み、派遣先や地域への貢献に繋がる活動を実施できる。 ③ その結果や過程を振り返り、教訓を導き出し、帰国後自分の生活、あるいは所属する会社、地域などで活かすことができる。 ３． JICA海外協力隊の事業実施の概要1 これを念頭に、2018年度に定められたのが「青年海外協力隊員の心得(新五箇条)」である。 ①共に暮らして心を通わせ、②異文化において日本の姿を知り、③実践の中で世界を理解する、④そして未来に続く高い志をもって、⑤あまねく人々と平和の道を歩む16/1354別送資料3参照。 第2. 本契約の履行期間(予定)2026年5月1日～2029年7月31日(3年3か月)なお、本業務は現在契約中の「2023-2025年度JICA海外協力隊合格後各種調整支援業務」(契約期間2023年4月3日～2026年5月31日。以下「現行契約」という。)から引継ぎ、間断なく業務を継続することを想定している。 【参考】https://www.jica.go.jp/Resource/chotatsu/buppin/hk13rm0000006hbn-att/koji_22a00807.pdf物品の調達・役務の提供等 公告・公示(2022年度) ｜ JICAについて - JICA第3. 委託業務の概要本業務は、合格者、訓練生及び隊員への各種案内及び問合せ対応、派遣・帰国時の各種手続き及び支払い支援、並びに派遣前の課題別訓練や自治体の表敬訪問等の実施支援等を担う。 合格者等の照会先・書類提出先を一元化し、定型かつ反復的な事務、調整を外部委託することにより対外的なサービス向上、効率的な事業実施に資することが期待される。 受注者は、JICA及び現行契約受注者から提供されるマニュアル等に基づいて、以下、１.後方支援・調整・準備業務、及び 2.支払い業務を主体的に遂行する。 本項では各業務の概要、年間の想定件数、契約期間中に想定される総業務量を記載する。 なお、各業務の業務量は応募者数や合格者数等によって変動するため概数であることに留意すること。 次項「第４．委託業務の具体的内容」において、各業務の詳細を記載する。 ※JICAボランティア事業の概要及び年間スケジュールについては別送資料3及び別送資料4を参照のこと。 1. 後方支援・調整・準備業務(１)新規要望調査票精査等にかかる謝金支払い(募集期毎).. 総業務量33.3人日① 内容経理処理準備(技術専門委員への謝金)② 想定件数技術専門委員：80件/年(２)技術専門委員の委嘱手続き・情報管理(年度毎).. 総業務量42.0人日①内容・技術専門委員の新規委嘱・技術専門委員の年度ごとの委嘱更新手続き・データベース上での技術専門委員情報の管理17/1355② 想定件数・技術専門委員：154名(2025年10月現在)技術専門委員の新規委嘱 約15件／年技術専門委員の年度ごとの委嘱更新手続き 約200件／年技術専門委員情報のデータベース管理 12回／年(毎月)(３)募集・選考にかかる精算書類の受領確認、技術専門委員への謝金等支払い準備、及び隊次編成作業(募集期毎／長期派遣・短期派遣).. 総業務量1836.1人日① 内容 健康診断料補助・再検査料にかかる精算書類の不備確認、選考時システムへの入力、関係者とのスケジュール調整 経理処理準備(技術専門委員への謝金、応募者への健康診断料補助・再検査料) 合格者の隊次編成表作成② 想定件数区分募集形態年間実施回数時期応募人数応募者合格人数合格者長期派遣公募一般案件・シニア案件 2回(春・秋) 800～1100(各募集期)350～450(各募集期)現職教員特別参加制度 1回(春) 約60(募集期) 約40(募集期)非公募連携案件 2回(春・秋) 約50(各募集期)約50(各募集期)連携案件(個別対応2) 2回(通年) 2(年間) 2(年間)短期派遣公募一般案件・シニア案件 2回(春・秋) 50～200(各募集期)10～50(各募集期)非公募連携案件 2回(春・秋) 30～120(各募集期)20～100(各募集期)連携派遣(個別対応) 6回(通年) 6(年間) 6(年間)事務所推薦型 2,3回(通年) 約5(年間) 約5(年間)(４)合格後の書類受領・情報整理／加工・関係部署への転送・派遣手続き(隊次毎／長期派遣・短期派遣).. 総業務量1325.9人日① 内容 合格者情報からの各種スケジュール調整・共有、リスト作成・更新・共有、及びボランティアシステム入力 合格者への案内(アドバイスや提出物)文案の作成・関係者への確認、案内メール送付、提出物の取り付け及びとりまとめ(別添１参照)、関係者への転送 派遣手続き(LMS利用手続き、派遣前健康診断書類PDF化、健康管理カード作成、証明書発行等) 経理処理準備(派遣前健康診断料、予防接種に係る費用(接種料・証明書料・旅費)② 想定件数18/1356長期派遣(1次隊・2次隊・3次隊)短期派遣(第1回・第2回)合格者数(参加同意済)200～300人／隊次内、語学訓練免除者は10～20人／隊次20～100人／回予防接種黄熱病 40～100件／隊次 10～20件／回その他 100～150件／隊次 30～50件／回アドバイス 150-200件／募集期 －(５)グローカルプログラム運営補助(隊次毎／長期派遣).. 総業務量92.1人日当業務は2027年5月1日から2029年7月31日まで(2年3カ月)とする。 ※グローカルプログラムの実施運営は別契約「2025-2026 年度 JICA 海外協力隊グローカルプログラム支援業務」にて実施しているが、同一人物が課題別派遣前訓練とグローカルプログラムの両方に参加する際、重複して保険加3年入しないよう付保手続きは本業務で対応する。 ①内容 賠償責任保険の選定及び付保手続き グローカルプログラム合意書取り付け グローカルプログラム参加証明書発行 実習生リスト作成、JICA青年海外協力隊事務局社会還元促進課及び国際協力共済会への提出③ 想定件数賠償責任保険の選定及び付保手続き 約100件／年グローカルプログラム合意書取り付け 約100件／年グローカルプログラム参加証明書発行 約20件／年実習生リスト作成、JICA 青年海外協力隊事務局社会還元促進課及び国際協力共済会への提出1回／年(６) 派遣前訓練運営補助(隊次毎／長期派遣).. 総業務量133.2人日① 内容 隊次毎の派遣前訓練受講者リスト作成、応募者調書整理、関係者への共有 経理処理準備(訓練所入退所に係る旅費・宿泊費)※派遣前訓練講座一覧(長期・語学訓練免除・短期)については別送資料5を参照② 想定人数上記「 (４)合格後の書類受領・情報整理／加工・関係部署への転送・派遣手続き」②「合格者数」参照(７)課題別派遣前/派遣中プログラム運営補助(隊次毎／長期派遣).. .. 総業務量701.0人日(ただし出来高払い分を含まない)① 内容 課題別派遣前訓練の講師との内容・日程調整、日程表作成、JICA-VAN への動画コンテンツの格納、受講者リスト作成、JICA-VANへの受講者紐づけ19/1357 課題別派遣前訓練の外部機関への発注・契約、訓練会場確保、オンライン講義準備、賠償責任保険加入手続き、宿泊先の手配等 「課題別派遣前訓練の手引き」や「課題別派遣前訓練報告書」等の作成支援 訓練生への案内、受講対象者及び出欠席管理、進捗管理、アンケート実施 対面型訓練時の感染症対策、大規模災害時の訓練生の安否確認 経理処理準備(課題別派遣前訓練受講者への旅費・宿泊費及び本邦支出対応手当(手当は対象者のみ)、課題別派遣前訓練講師への謝金･旅費、課題別派遣前訓練を実施した外部機関への支払い及び訓練実施の宿泊施設への宿泊費) 訓練生及び派遣中隊員対象の課題別支援、Linked In グループの案内、情報発信、座談会開催や技術顧問等による課題支援のサポート※課題派遣前プログラムの内容については別送資料6及び別送資料7を参照② 想定件数課題別派遣前訓練 年間 隊次毎訓練 約42件★ 約14件内、直営・対面型 (現在0件)★ (現在0)★委託・対面型 約6件★ 約2件★直営・遠隔型 約36件★ 約12件★委託・遠隔型 (現在0件)★ (現在0件)★内、指名型訓練 約30件 約10件任意参加型訓練 約12件 約4件手配する直営講師数 約40名 約14名委託する外部機関数 約10件★ 約2～3件★手配する宿泊施設数 約10件★ 約2～3件★訓練生 700～800名 200～300件内、直営・対面型参加者(旅費支払い対象者)約80名 約15～25名遠隔型参加者 700～800名 200～300件課題別オンデマンド型研修受講者 700～800名 200～300件プログラム(動画コンテンツ)約25プログラム(約70コンテンツ)約25プログラム(約70コンテンツ)内、新規に更新する動画 約23コンテンツ 約8コンテンツ課題別支援LinkedInグループ 約16グループ情報配信頻度 約100回座談会開催グループ 約16グループ★は実施数に応じて支払いする出来高払部分。 実施件数は年度毎にJICA青年海外協力隊事務局海外業務第１課・海外業務第2課へ確認。 (出来高払の詳細は「第8.経費支払方法」を参照のこと)(８)地方自治体表敬訪問支援(派遣前表敬及び帰国後表敬／隊次毎／長期派遣者(語学訓練免除者含む)・一部短期派遣者).. 外部機関を再委託先として訓練研修を実施する場合や、指導する技術専門委員や講師が所属する機関の施設等を借りるなど、特定の施設で訓練を実施する必要がある場合は、指定の外部機関の研修施設で研修が実施できるよう調整すること) 対面型訓練で、交通や宿泊が必要な場合の交通や宿泊先の手配(基本的には JICA 国内機関の利用を優先すること。それが難しい場合は外部の宿泊施設とする。) なお、旅行手配は旅行業資格を持つ者が行う事。 受注者が同資格を持たない場合は、かかる業務を再委託することとし提案書に記載すること。  対面型訓練の保険加入者リスト作成、海外業務第一・二課及び国際協力共済会への提出 遠隔型訓練受講者向けのオンライン会議システムの選定、利用に係る手続き 課題別派遣前訓練受講者へ「課題別派遣前訓練概要表」、「指示通知書」及び案内文案を作成し、海外業務第一・二課に確認、受講者へ送付 対面型訓練受講者からの「課題別派遣前訓練調書」の取り付け 飛行機および宿泊利用対象者への注意事項の連絡 対面型訓練の場合の感染症対策(備品準備等) 遠隔型訓練の場合、講師や受講者の承諾を得た上で講義を録画、必要に応じて欠席者へ共有 受講者向けの「課題別派遣前訓練報告書」様式・任意参加者向けのアンケート様式・ 「課題別派遣前訓練の手引き」の作成支援 任意の参加者を募る訓練での参加者のとりまとめ(年間12コース) 受講必須者の欠席時の欠席届とりまとめ、訓練実施当日の出欠席確認、海外業務第一・二課への報告 訓練の進捗管理(訓練の全行程に参加、対面型訓練の場合は訓練会場にて同席、遠隔型訓練の場合はオンライン会議に参加)。 なお、外部機関に再委託して訓練を実施する場合は、訓練の進捗管理を当該機関が行う(そのような再委託内容とすること)。  訓練実施中の緊急事態やトラブル発生への一次対応、海外業務第一・二課への速やかな報告、協議、対応 訓練実施後1週間を目途に必須受講者より「課題別派遣前訓練報告書」を取り付け、任意受講者の場合は、終了時アンケート回答を取り付け、研修講座ごとに取り27/13515まとめて講師、委託する外部機関、海外業務第一・二課へ提出 訓練を外部機関に委託して実施する場合は、当該機関から訓練実施報告書を取り付け、内容を確認、海外業務第一・二課へ共有 課題別派遣前訓練受講者への旅費・宿泊費の支払い関連書類のとりつけ、対象者・金額等のリスト作成 課題別派遣前訓練講師への謝金･旅費の支払い関連書類のとりつけ、対象者・金額等のリスト作成 課題別派遣前訓練を再委託する外部機関への委託費及び訓練にかかる宿泊施設への宿泊費の支払い関連書類のとりつけ、精算のための資料作成 その他付随する経費(郵送料等)の支払い準備 課題別派遣前訓練受講証明の発行(想定件数：約5件／年) 課題別派遣前訓練参加のための移動中や訓練中における、大規模災害(地震、津波、暴風、豪雨、洪水等の異常な自然現象、感染症、火災、サイバーテロ、放射能汚染等の事故又は犯罪等)の発生時の受講者の安否確認(電話、メール等)【課題別オンデマンド動画】 既存の課題別オンデマンド動画の更新および新規作成、編集(全動画70本中年間23本程度を本契約履行期間中の 3 年間ですべて作り直すこと(新規作成)を想定。 企画、登壇者の選定は JICA が担い、受注者は録画、および簡易な編集(切り張り)を担う)。 動画の更新及び新規作成については実施した件数に基づき出来高払いを行う。  JICA-VANへ課題別オンデマンド動画を格納、受講者の受講設定 長期派遣対象者へ「課題別オンデマンド動画」の視聴指示発送、視聴状況確認、期日までに視聴完了するようフォロー 短期派遣対象者へ「課題別オンデマンド動画」の視聴推奨案内発送 JICA-VANでの留意事項の発信、受講者からの質問やコメントへの対応 受講者のアンケートを取り付け、結果をとりまとめ、分析し報告する。 【課題別支援Linked In】※本業務は派遣中隊員も含む 長期派遣対象者へ「課題別支援LinkedInグループ」の参加案内発送 全てのグループについて、情報配信(全てのグループにつき四半期に1回を目途))【座談会】※本業務は派遣中隊員も含む Linked In 全グループにおけるオンライン座談会の企画(訓練生と派遣中隊員を含む)、アレンジ、運営(Linked In やメーリングリスト等の活用による技術顧問、技術専門委員等の講師との連絡調整、隊員及び参加者への案内、当日の運営支援を含む)(８)地方自治体表敬訪問(隊次毎／原則長期派遣、語学訓練免除者を含む。一部短期派遣者) ※詳細は別送資料8を参照 ボランティアシステムから氏名・住所・連絡先等出力し、表敬訪問実施対象者詳細リスト及び表敬訪問先リストの作成 訓練所から送付される派遣前隊員及び帰国後隊員からの「表敬訪問先変更願」のと28/13516りまとめ、審査、審査結果の訓練所への返送及び表敬訪問先リストの更新(該当者への審査結果の共有は訓練所が行う) 国内拠点への表敬訪問先リストに基づく表敬訪問日時調整の依頼連絡 訓練所への国内拠点表敬訪問調整結果(日時等)の共有 「表敬訪問欠席願」とりまとめと、審査、結果共有(隊員及び JICA)、表敬訪問先リストの作成・更新。 なお、訓練中は訓練所経由で欠席願を受領し、審査結果は訓練所を通じて訓練生へ結果共有する。 訓練終了後は担当国内機関経由で欠席願を受領し、審査結果は同国内機関経由で隊員へ結果共有する。  国内拠点から共有される参加者からの表敬訪問旅費関連書類のとりまとめ、確認審査、支払い対象者及び金額等のリスト作成、JICAへの報告 国内拠点、派遣前隊員及び帰国後隊員からの表敬関連の問い合わせ、対応履歴を活用した回答及びFAQ集の作成・更新(９)現職参加促進費支払い準備(四半期毎／長期派遣者・短期派遣者)※ 受注者が支払いに必要な書類を整え、支払いはJICAが行う。  参加形態申告書内容確認、不備対応、ボランティアシステムへ入力 参加形態申告書提出者所属先への今後の手続きご案内、現職参加促進費の手引き及び覚書様式の送付 現職参加者所属先への派遣協力依頼文書作成、送付、回答とりつけ、JICA 青年海外協力隊事務局参加促進課へ提出 現職参加者所属先からの押印済覚書及び証憑書類のとりつけ 現職参加者所属先への「現職参加促進費支給決定通知」作成、覚書の押印、決定通知と覚書の発送現職参加促進費経理用マスターリスト(口座情報等のリスト)の作成及び更新、ボランティアシステムへの現職参加促進費対象者情報の登録、更新 派遣期間選択制度(1 年 6 ヶ月～8 ヶ月派遣、現職教員特別参加制度含む)の利用者リストの作成、JICA 参加促進課及び在外拠点への共有、ボランティアシステム上の派遣期間修正 現職参加促進費の支払い関連書類(納入告知書等)のとりつけと支払いリスト作成、参加促進課への提出 所属先へ支払通知書送付(依頼のあった所属先のみ) 所属先リストの作成・更新 その他、現職参加促進費対象者及びその口座情報等関連情報のボランティアシステムへの登録、修正(１０)現職教員派遣委託費支払い準備(年1回／現職教員特別参加制度対象者)※受注者が支払いに必要な書類を整え、支払いはJICAが行う。  教育委員会への現職教員派遣委託費案内送付、利用する教育委員会からの調書(年間支出予定額)とりつけ、業務委託契約書作成、発送 教育委員会からの業務委託契約書とりつけ、調整(文言変更等) 業務委託契約書の印刷、押印、発送29/13517 現職教員派遣委託費の支払い関連書類のとりつけと、支払いリスト作成、参加促進課への提出(１１)合格後の辞退･合格取消･派遣時期変更(通年／長期派遣者・短期派遣者・UNV(JOCV枠)候補生) 合格者からの辞退･合格取消･派遣時期変更・住所変更等に係る一次窓口対応、関係部署への共有 ボランティアシステム及びJICA learning-Networkの情報更新(１２)派遣中隊員の任国・任地変更に伴う技術審査等の謝金支払い準備(通年／長期派遣者・短期派遣者) 経理処理準備(派遣中隊員の任国・任地変更に伴う技術審査及び技術的助言など要望調査期間以外に発生するものに対する謝金支払準備、支払いリストは海外業務第一・二課から共有される)(１３)隊員の帰国手続き補助(毎月)当業務は2026年8月1日から2029年7月31日まで(3年)とする。 ＜帰国前：帰国約3か月前＞ ボランティアシステムから帰国予定者リスト作成、海外業務第一・二課へ提出 帰国手続きにかかる案内文作成、在外拠点(または、帰国隊員)への通知(手続きの留意事項、帰国時プログラムや研修、健康診断等の案内を発信)※帰国時プログラムや研修等については社会還元促進課に毎月書類の更新如何を確認する 帰路届の提出状況の確認及び期限までの取り付け、未提出がある場合は在外拠点を通じて提出を依頼 帰路届の帰国時情報に変更がある場合はボランティアシステムを修正＜帰国時＞ 帰国手続きに必要な書類等(別添資料 1)を帰国隊員の帰省先住所へ発送※帰国時プログラムや研修等については社会還元促進課に毎月書類の更新如何を確認する 帰国隊員から提出物の回収を行い、海外業務第一・二課へ提出(国際線航空券半券、身分証、各国IDカードはJICA在外拠点へ送付)。  公用旅券を取りまとめ、JICA 国際協力調達部(渡航班)へ提出、一般旅券の継続保管者情報の確認及び海外業務第一・二課への連携(１４)文部科学省表敬訪問補助(年1回：3月／表敬参加者) 文部科学省の担当者と表敬訪問の日程調整及び当日の連絡調整 帰国予定の現職参加教員が5名以上いる場合は、在外事務所から代表となる帰国隊員を推薦してもらう。 代表者が決まらない場合は、JICA と協議の上、候補者を選定し、30/13518受注者が在外事務所を通して対応可否について確認する。  代表者が確定次第表敬訪問を行う帰国隊員のリストを関係者(海外業務第一・二課及び文部科学省等)に共有 代表者に当日の報告資料の作成を依頼し、取りまとめを行う。  当日の表敬訪問補助(公用車の予約等の交通手配を含む) 表敬終了後、帰国隊員から事前に提出された帰国経路確認書(仮)の内容を確認して、精算に必要な証憑の取り付けと旅費の支払い手続き準備(１５)外務大臣感謝状対応業務(四半期毎／長期派遣者) 帰国予定者の情報を基に感謝状授与対象者リストを作成、青年海外協力隊事務局社会還元促進課、海外業務第一・二課及び外務省の感謝状作成担当者へ共有、筆耕を依頼 外務大臣感謝状の受取り、齟齬確認、保管、式典不参加隊員への発送 外務大臣感謝状授与式の会場手配(原則 JICA 市ヶ谷ビル内。但し、外務省が手配する場合もある)、当日の設営、機材手配等 外務大臣感謝状授与式リハーサルへの協力(帰国隊員の流れの確認等) 外務大臣感謝状授与式当日の帰国隊員誘導、帰国隊員の感謝状の一時預かり、式典終了後の返却 帰国隊員提出の帰国経路確認書(仮)の確認、証憑のとりつけ、旅費支払い手続き準備(１６)問い合わせ対応(通年) 委託業務に関する外部からの電話又はメールによる問合せ対応(技術専門委員、合格者、派遣前隊員、UNV(JOCV枠)候補生、派遣中隊員、帰国隊員、派遣者所属先、業務委託先、教育委員会、外務省等) 問合せ内容が、マニュアル記載内容や JICA 協力隊ウェブサイト等により公開されている内容で回答できる場合は公開内容を踏まえて回答、それ以外の内容の場合はJICA 内担当部署に回答内容を確認したうえで、問合せ者へ回答(回答に当たってはJICA ボランティア事業にポジティブな印象を持ってもらえるよう表現に留意すること) 問い合わせ内容の記録･分析 業務マニュアルの改訂案の作成･提出(１７)定例会議等運営(月1回) 関係部署との定例会開催の日程調整、議題取りまとめ、司会進行 定例会では業務の進捗状況報告、今後の予定の確認、課題及び対応案を確認 会議終了後3 営業日以内に簡潔な議事録を作成し、担当部署の確認を得る その他担当部署から要請があった場合、発注者または受注者が必要と判断した場合の会議開催・出席、必要な資料作成及び議事録の作成31/13519(１８)各種業務への改善提案等(通年) 各種業務に関するJICAへの提案(四半期報告等の機会を活用し、適時に行う)２． 支払い業務受注者は、JICAの規程(JICAの内国旅費規程3や健康診断支払基準4)や作業マニュアルを踏まえ、上記１にて支払準備等を行い、別添資料 2 の中で受注者が支払う旨記載されたものについて支払いを行う。 なお、支払い対象リストを受注者が作成する場合は、作成後に必ず JICA の担当者の確認を受ける。 支払い可否の判断に悩む場合は適宜 JICA に相談すること。 第5. 執務場所等１． 執務、時間場所等(１) JICAの執務時間中(土日休日を除く9：30～17：45)は、外部及びJICA内部からの電話を含む問い合わせ対応等の業務を行える体制とすること。 (２) 執務場所は受注者にて確保するが、常駐者2名まではJICA内の執務スペースにて執務可能(無償)。 (３) JICA内での執務に関し、JICAと受注者のコミュニケーションを図る上で必要な通信、情報環境、複合機、光熱水料費、通信料(発注者が本業務に必要と認めるものに限る)はJICAが受注者に対して無償で便宜供与する。 (４) 委託業務に必要なPC、OA機器や事務用品(受注者が用意)は管理費に含める。 (５) JICA 情報通信網に接続が必要なボランティアシステムは受注者の持込 PC に必要な設定を行うことで対応が可能となる。 なお、ボランティアシステムなどJICA情報通信網に接続しなければならない業務が重なる等常駐者 2 名では対応が困難な場合は、当該作業期間中に限りJICA執務スペースでの対応人員を増やすなど臨時的な対応について協議し検討する。 (６) 状況の変化に伴いJICA内執務スペースの使用ができなくなる場合には両者で協議し対応について検討する(基幹システムが外部からアクセス可能となるなど)。 ２． 原状回復受注者は、委託業務を終了又は中止した場合、以後の委託業務が円滑にかつ支障なく遂行できるよう、遅滞なく、使用施設の原状回復を行うものとする。 業務中に機器の破損が生じた時は必ずJICAに届け出るとともに、JICAの指示に基づき受注者の責任において原状回復を行うものとする。 ただし、通常損耗として捉えられる経年劣化による変化はこれに含めない。 ３． 受注者による委託業務用機器等の搬入使用･管理3 内国旅費規程：http://association.joureikun.jp/jica/act/frame/frame110000025.htm4 健康診断支払基準：https://www.jica.go.jp/volunteer/qualifier/long/3-7.html32/13520受注者は委託業務に利用する事務機器(机、椅子、電話を除く)を青年海外協力隊事務局の執務場所に搬入、使用することができる。 ただし、搬入使用設備の設置の際に工事等の措置が必要な場合は、JICAと事前に協議の上、実施すること。 第6. 業務量目途及び業務従事者の構成本業務には、以下の実施体制を想定している。 ただし、異なる体制を提案することも可能とする。 受注者は業務内容を考慮の上、最適な業務従事者の配置・従事日数を検討の上、技術提案書にて提案することとする。 本業務は書類の受付/格納、隊員情報の加工/転記/共有(メール/Teams)、リスト作成を多用する業務である(例：選考時システムやボランティアシステム等の抽出データを加工した精算対象者リストや健康判定リストを作成、特定の訓練生への定型文メール送付等)。 RPA及びエクセルマクロ等の導入により、業務合理化が可能と認識しており、積極的な提案を歓迎する。 １．想定業務量(人日)契約期間(3年3か月分)の合計： 5953.9人日(297.7人月)【内訳】 後方支援・調整・準備業務 5624.26人日(281.2人月)精算・支払い 309.69人日(15.5人月)引継ぎ(最終年度) 20.0人日(1.0人月)ただし、上記以外の以下の項目については、実施件数や回数は予め特定できないため、業務量は実施件数に応じて変動する。 第3(７)の「課題別派遣前/派遣中プログラム運営補助(隊次毎／長期派遣)」①直営型研修(対面型) 13.30人日/コース×0コース②委託型研修(対面型) 11.30 人日/コース×6コース③直営型研修(遠隔型) 10.64 人日/コース×36コース④委託型研修(遠隔型) 9.00 人日/コース×0コース⑤課題別オンデマンド動画の新規作成22.50 時間/件×23本第3(１４)の「文部科学省表敬訪問補助(年1回／表敬参加者)」総括業務 11.25 時間/件×1回事務支援 26.25 時間/件×1回(ただし、2029年度は契約期間の開催は0回とする。)第3(１５)の外務大臣感謝状対応業務総括業務 45.00 時間/件×4回事務支援 45.00 時間/件×4回(ただし、2029年度は契約期間の開催は1回とする。)２．業務従事者(１) 業務総括者33/13521 官公庁，独立行政法人等でのロジスティック支援や窓口業務、及び研修等の実施運営監理におけるマネジメント業務に携わった経験・実績がある者 業務全体の監督・総括の役割を担い事務局との窓口となる。 業務計画の作成、確実・効率的な業務の実施及び成果品の品質管理を行う。  類似の業務経験年数が 5 年以上ある者、総括業務経験があることが望ましい。 (２) 業務主任(合格者対応・支払手続き、課題別派遣前プログラム等) 官公庁，独立行政法人等でのロジスティック支援や窓口業務、及び研修等の実施運営監理におけるマネジメント業務に携わった経験・実績がある者 業務総括者補佐。 業務総括者の指示の下、担当業務の監督、総括の補佐を行う。  類似の業務経験年数が3年以上ある者。 (３)業務従事者A(合格者対応・支払手続き担当) 外部からの照会への電話等窓口対応、経理業務を含む事務手続き等のロジスティックに関連する業務に携わった経験・実績がある者 類似の業務経験年数が2年以上ある者。 (４)業務従事者B(課題別派遣前プログラム) 10 人以上を対象とする研修等・人材育成に関連する業務(企画、運営、実施監理等)に携わった経験・実績がある者。  類似の業務経験年数が2年以上ある者。 第7. 成果物・業務提出物等受注者は、委託業務の実施状況をまとめた「四半期報告」を四半期末から 1 月以内にJICAにデータで提出するとともに、報告会を開催すること。 報告書はWord及びPDF形式で提出すること。 現時点で想定している報告書の様式は別添資料3の通り。 第3四半期の報告には、翌年度に向けた改善の提言を含めること。 第 4 四半期については、当該年度全体の実績について「年間報告」として業務完了後速やかに提出すること(第4四半期の報告は年間報告に含めて報告すること)。 また、委託事業者の支払いのうち各年 JICAが指定した期日を超える分は翌年度の精算とし、第 4 四半期の委託業務(当該期日分迄)の業務完了届、業務完了報告書、経費精算報告書の JICA への提出期限はJICAが指定する日までとする。 最終年度の第1四半期報告は、2029年4月から2029年7月分(4か月分)を、2029年8月31日までに業務完了届、業務完了報告書、経費精算報告書を提出すること。 JICAは、課題別派遣前訓練等のアンケート結果、JICA 海外協力隊員の能力向上の状況、クレームやトラブルの対応状況により委託業務が適切なものであるかの確認を行い、不適切と判断する場合には、実施方法、実施計画の変更を求める。 34/13522第8. 経費支払方法受注者は、実施に要した経費について、JICA に報告しなければならない。 JICA は、各四半期の業務が完了した段階で受注者からの報告に基づき、以下の項目を支払う。 １．業務の対価(１)直接人件費(合格者対応業務、支払手続き支援業務、派遣前課題別プログラム業務の一部(コース実施に関わらず発生する管理的業務部分))業務従事者ごとに定められた日額単価及び実績により支払う。 なお、前年度の第3四半期を目途に翌年度の業務量を概算して全体の想定業務量を見直すことがある。 (２)管理費当該業務委託を行う為に必要な経費であり、業務に要した経費としての抽出、特定が困難な経費について、直接人件費の合計に対して一定割合(％)を「管理費」として計上することを認める。 受注者が本業務の実施に必要なPC及びOA機器、事務用物品にかかる経費、研修諸経費(研修委託先への振り込みかかる振込手数料、通信料、業務従事者の交通費)は管理費に含める。 ２．業務の対価(出来高払分)以下(１)～(３)につき、実施した件数に基づき以下の通り支払う。 (１)課題別派遣前プログラム① 課題別派遣前訓練委託・対面型、直営・遠隔型、委託・遠隔型、直営・対面型で異なる単価が設定されており、それぞれの単価に該当四半期の実施本数を掛け合わせた額を人件費として支払う。 なお、各年度最終隊次に対する課題別派遣前訓練業務の精算については、契約金額内訳書に定める課題別派遣前訓練人件費(出来高払分)及び直接経費のうち、課題別派遣前訓練実施管理支援業務分を、翌年度の精算とする。 ただし、年度内に終了した同訓練は、当該年度の精算とする。 ② 課題別オンデマンド動画の更新及び新規作成、編集等課題別プログラムのうち、「既存の課題別オンデマンド動画の更新および新規作成、編集(年間23本程度で本業務履行期間中の3年間ですべて作り直すことを想定。企画はJICAが担う)」については1本毎の単価に該当四半期の作成本数を掛け合わせた額を人件費として支払う。 (２)文部科学省表敬訪問 1回毎の単価に実施回数を掛け合わせた額を人件費として支払う。  各年度最終隊次に対する文部科学省表敬訪問業務の精算については、契約金額内訳書に定める文部科学省表敬訪問人件費(出来高払分)及び直接経費のうち、文35/13523部科学省表敬訪問実施管理支援業務分を、翌年度の精算とする。 (３)外務大臣感謝状授与式 一回毎の単価に実施回数を掛け合わせた額を人件費として支払う。  なお、各年度最終隊次に対する外務大臣感謝状授与式業務の精算については、契約金額内訳書に定める外務大臣感謝状授与式人件費(出来高払分)及び直接経費のうち、外務大臣感謝状授与式実施管理支援業務分を、翌年度の精算とする。 ３．直接経費別添資料2のとおり精算・支払いを行う。 直接経費に関し、精算・支払いは二種類に分かれ、「受注者が契約金額の中から支払う経費(契約金額に含まれる)」(下記(１)～(３))と「受注者が精算に必要な書類を整え、支払いはJICAが行う経費(契金額に含まれる)」があり、別添資料2の「支払い担当欄」に記載があるので留意ありたい。 下記(１)～(３)の経費は、JICAの規程等に則り、JICAは受注者からの請求に基づき実費を支払う。 支払回数は原則として年４回とし、JICAは委託業務が適正に実行されていることを確認し、結果を受注者へ通知する。 受注者は精算確定通知を受けてから、当該期間の契約金額に係る請求書をJICAに提出し、JICAは適法なる請求書を受理してから起算して30日以内に口座振込により受注者に支払うものとする。 なお、年度末を跨いで実施となる精算項目がある可能性があるため、各年3月5日までのこの項目の支出については当該年度の年度末の精算対象とし、同3月6日以降の支出については翌年度に精算する。 (１)支払業務に基づく経費⚫ 二次選考健診補助・再検査料支払い⚫ 派遣前健診料・再検査料の支払い⚫ 技術専門委員への選考謝金･旅費の支払い⚫ 技術顧問、技術専門委員への新規要望調査票精査についての謝金支払い⚫ 入退所旅費の支払い⚫ 予防接種料及び交通費等の支払い⚫ 派遣前･後の表敬旅費の支払い⚫ 一般旅券作成費用の支払い⚫ 保険料の支払い(グローカルプログラム、課題別派遣前、派遣前訓練)⚫ 自治体表敬等旅費(２)課題別派遣前プログラム業務⚫ 研修手当⚫ 国内旅費⚫ 謝金(講師、技術専門委員)⚫ 研修委託費(研修再委託先)(３)その他、必要な直接経費(銀行振込手数料及びその他の手数料を含む)上述(１)～(３)以外の現職参加促進費、現職教員派遣委託費、帰国旅費は「受注者36/13524が精算に必要な書類を整え、支払いはJICAが行う業務」とし、直接経費には含まない。 第9. JICAの監督体制本契約については、その適正な履行を確保するため、契約書第 5 条に規定される監督職員に加えて、青年海外協力隊事務局海外業務第二課長、参加促進課長、社会還元促進課長を分任監督職員と定め、それぞれの業務部分に係る内容を監督する。 詳細は別添資料4を参照のこと。 第10. その他留意事項1. 従事要員の交替受注者の従事要員の交替があった際には、発注者に速やかに連絡し、業務内容の引継ぎを十分に行った上で、打合簿にて確認する。 2. 引継ぎに関する留意事項(１)JICAは、当該引継ぎが円滑に実施されるよう、受注者が本業務を開始するまでの間に確実に必要かつ十分な業務の引継ぎを行うものとする。 オンライン、対面等の方法は問わない。 引継期間中は状況を発注者で確認し、現行契約事業者の履行期限満了までに引継が行われることを確認する。 (２)本業務の開始にあたり、現行受注者との引継ぎ期間は2026年5月1日～2026年5月31日とするが、人件費は計上しない。 (３)本業務の終了にあたり、現行受注者との引継ぎ期間は2029年7月1日～2029年7月31日とする。 稼働人数は受注者の裁量によるが、人件費にかかる工数及び単価の計上上限は総括責任者1名1か月分とする。 (単価はその他業務と同額で積算のこと)。 ただし、後継契約の受注者が本契約と同じ場合には、2026年5月1日から2026年5月31日分の当該人件費相当分は支払わないこととする。 (４)2026年8月開始業務である以下3業務は、業務開始時にマニュアルや業務フロー等を共有し、現行契約事業者から全範囲を引継ぐこととする。 (１３)隊員の帰国手続き補助(１４)文部科学省表敬訪問補助(１５)外務大臣表彰状および授与式補助※詳細は入札説明書6頁を参照。 (５)本業務の終了に伴い受注者が変更となる場合には、受注者は少なくとも本契約期間満了1ヵ月前までに、業務内容を明らかにした書類等により、次期事業者に対し、引継ぎを行うものとする。 同引継ぎは、業務を円滑に実施するための知識(各業務のフロー、運用規則等の理解)の移転が終了するまで行うものとする。 本ガイドラインは、独立行政法人国際協力機構(以下「機構」と略します。)の役職員ではないため、上記法律及び規程の対象外となるものの、役職員と共に国の事業である機構の業務に携わる方々(以下「機構関係者」といいます。)においても、規程の趣旨を理解していただき、機構関係者に遵守頂きたい事項等を定め、事業に対する国民の信頼を確保する目的で策定したものです。 第２ 機構関係者として行動する際に遵守頂きたいこと機構関係者は、その職務に係る倫理等の保持を図るために、機構関係者として行動する際には、次に掲げる事項を遵守するようお願いします。 (１)機構関係者は、機構の公共的使命を自覚し、職務上知り得た情報について一部の者に対してのみ有利な取扱いをする等国民に対し不当な差別的取扱いをせず、常に公正な職務の遂行に当ること。 (２)機構関係者は、常に公私の別を明らかにし、その機構関係者としての職務や地位を私的利益のために用いないこと。 (３)機構関係者は、その立場において機構の事業又は機構の事業以外の我が国政府開発援助事業に関与する者からの贈与をそれと知って受け取ること等の国民の疑惑や不信を招くような行為をしないこと。 ただし、宣伝用物品又は記念品であって広く一般に配布するためのものの贈与をうけること等は差し支えない。 (４)機構関係者は、職務時間外においても、自らの行動が機構業務の信用に影響を与えることを常に認識して行動すること。 (５)機構関係者は、第三者からの依頼に応じて、機構関係者としての立場で講演、討論、講習若しくは研修における指導若しくは知識の教授、著述、監修、編さん、ラジオ放送若しくはテレビジョン放送の放送番組への出演又はインターネットを通じた投稿等をしようとする場合は、その行為に対する報酬の有無にかかわらず、あらかじめ担当者を通じ倫理管理者(下記第４参照)の了解を得ること。 (６)機構関係者は、機構関係者としての職務中又は第三者から機構関係者としてみなされる状況下において、別紙に示すハラスメントや性的搾取・虐別紙2 別添548/1352待になり得る言動を行わないこと。 (７)機構関係者は、金融商品取引法(昭和23 年法律第25 号)に規定されるインサイダー取引(内部者取引)に該当する株式等の売買等を行わないこと。 第３ 特に臨時会計役を委嘱されている方に遵守頂きたいこと臨時会計役として公金の支出を管理される方は、その職務に係る倫理等の保持を図るために、上記第２に加え、臨時会計役に委嘱されている間、次に掲げる事項を遵守するようお願いします。 また、次に掲げる事項に禁止している行為が臨時会計役に委嘱される前にあった場合においては、臨時会計役の委嘱を受ける前にその旨を機構に申し出てください。 (１) 当該臨時会計役としての職務に関係する資材、機材の調達契約の相手先及び役務提供契約相手先又はその可能性がある企業・団体(以下「利害関係者」という。)とのゴルフ及び旅行は各自自己負担であってもこれを行わないこと(出張等の業務時における、各自自己負担による旅行・移動は除く。)。 (２) 利害関係者との会食・懇親会は、その費用を先方負担としないこと。 ただし、茶菓、多くの関係者の参加する立食パーティ、簡素な飲食物等の役職員においても許容される範囲であれば差し支えない。 (３) 利害関係者から金銭、物品の贈与を受けないこと。 (４) 利害関係者から又は利害関係者の負担により、無償で役務の提供を受けないこと。 (５) 資材、機材の調達にかかる計画の情報、役務提供を受ける事業の実施計画の情報を特定の利害関係者のみに開示することはしないこと。 第４ 倫理監督者の設置等倫理保持の徹底のため、機構では倫理監督者及びその補助のための倫理管理者を設置しています。 倫理監督者は、総務部担当理事がこの任に当たっています。 倫理管理者は、機構本部においては室長、部長、事務局長及び研究所副所長、国内機関及び在外事務所においては所長がそれぞれこの任に当たっています。 皆さんでこのガイドラインに関係するかどうかの判断ができない場合等は、倫理管理者に御相談下さい。 第５ このガイドラインに違反した場合の措置機構関係者がガイドラインに違反した場合は、機構関係者と機構との間で取り交わされている契約書、合意書等に基づき措置が検討されます。 また、これら49/1353の違反行為により被害を受けた場合や、違反行為を目撃した場合は、倫理管理者に御連絡ください。 以 上別紙１： ハラスメントの分類とハラスメントになり得る言動別紙２： 性的搾取・虐待の定義と例50/1354別紙１ハラスメントの分類とハラスメントになり得る言動ハラスメントとは、言葉や態度によって相手に苦痛を与える行為を意味します。 本ガイドラインにおいては、主なハラスメントに関し、それぞれの定義とハラスメントになり得る言動を例示しました。 これらは主に就業環境において起こることを想定していますが、機構関係者としての行為であれば、被害者の立場や所属にかかわらず発生しうるものと考えます。 また、国によっては、ここに示したもの以外にも慣習などの観点から慎むべき言動があると考えられるので、在外に赴任されている方、外国人と接する機会のある方については、その点も十分留意願います。 なお、言動に対する受け止め方には個人間で差があり、本人の意図とは関係なく、ある行為を受けた者、又は周囲で見聞きした者が不快に感じた場合には、その行為はハラスメントになり得ることを十分に理解する必要があります。 また、ハラスメントに関する相談・通報や事実関係の確認への協力等に対する報復も禁止の対象とします。 １－１ セクシャルハラスメントとは相手方の意に反する性的な言動で、それに対する対応によって、仕事をするうえで一定の不利益を与える、又は就業環境等を悪化させることをいいます。 １－２ セクシャルハラスメントになり得る言動(１)職場内外で起きやすいもの１)性的な内容の発言関係(ア)性的な関心、欲求に基づくもの・ スリーサイズを聞くなど身体的特徴を話題にすること。 ・ 卑猥な冗談を交わすこと。 ・ 体調が悪そうな女性に「今日は生理日か」、「もう更年期か」などと言うこと。 ・ 自らの性的体験談を吹聴すること。 ・ 性的な経験や性生活について質問したり、交際・婚姻関係の現状について執拗に質問すること。 ・ 性的な噂を立てたり、性的なからかいの対象とすること。 (イ)固定的な性別役割意識等に基づくもの・ 「男のくせに根性がない」、「女性は仕事と家庭を両立させなければ51/1355いけない」などと、ジェンダーの固定観念に基づいた発言をすること。 ・ 「男の子、女の子」、「僕、坊や、お嬢さん」、「おじさん、おばさん」などと人格を認めないような呼び方をすること。 ・ 「ホモ」「オカマ」「レズ」などの蔑称を使うこと。 ２)性的な行動関係(ア)性的な関心、欲求に基づくもの・ パソコンや携帯電話等の画面に身体的露出が多い映像を表示すること。 ・ 雑誌等の卑猥な写真・記事等をわざと見せたり、読んだりすること。 ・ 身体を執拗に眺め回すこと。 ・ 食事やデート、旅行等にしつこく誘うこと。 ・ 性的な内容の電話をかけたり、性的な内容の手紙・Ｅメール・SNSメッセージを送ること。 ・ 身体に不必要に接触すること。 ・ 浴室や洗面所、更衣室等をのぞき見したり、隠し撮りしたりすること。 (イ)固定的な性別役割意識等に基づくもの・ 男性には重要な仕事を頼む、女性であるというだけでお茶くみ、私用等を頼むなど、ジェンダーの固定観念に基づいて仕事を割り振ったり、指示を与えたりすること。 (２)主に職場外において起こるもの１)性的な関心、欲求に基づくもの・ 性的な関係を強要すること。 ２)性別により差別しようとする意識等に基づくもの・ カラオケでのデュエットを強要すること。 ・ 酒席で、男性／女性上司の側に座席を指定したり、お酌やチークダンスを強要すること。 ２－１ パワーハラスメントとは職務上の①立場や状況に基づく優越的な関係を背景とした言動であって、②業務上必要かつ相当な範囲を超えたものにより、③精神的・身体的苦痛を与える又は就業環境を害するものであり、①から③までの要素をすべて満たすものをいいます。 「優越的な関係」とは、職場内の上下関係に加え、元請・下請の関係、専門知識・経験に依拠するもの等も含まれます。 「必要かつ相当な範囲を超えた」とは、52/1356その社会の通念に照らし、当該言動が業務遂行手段として不適切なもの、当該言動の頻度・様態・手段が許容範囲を超えるものを指します。 「精神的・身体的苦痛を与える又は就業環境を害する」とは、その苦痛や害された環境により、相手の能力発揮、健康、社会生活等に支障をきたすほどの重大な悪影響が生じることを指します。 ２－２ パワーハラスメントになり得る言動(１)身体的な攻撃・ 物を投げつける・蹴る・殴る等の暴力をふるうこと。 (２)精神的な攻撃・ 活動目標を達成できなかったこと等を理由に、「おまえはダメだ！」「やめちまえ！」などと人間として否定するような言葉で繰り返し侮辱すること。 ・ (特に他の人の前における)過度の能力否定。 ・ (特に他の人の前における)過度の責任・失敗追及。 ・ 「人間的におかしい」「デブに発言権は無い」等、容姿や服装・生き方(人生観)・性格や人格を否定するような言動をとること。 (３)人間関係からの切り離し・ 一人だけミーティングの日時を伝えないなど、他の職員から切り離すよう仕向けること。 (４) 過大な要求・ 達成不可能な仕事を与えること(一定期間の作業量・労働量として、適切又は適法な範囲を超える業務の依頼を正当な理由なく行うことを含む。)。 ・ 勤務に関係がないにも関わらず、苦痛が伴う又は過酷な環境における作業を強制すること。 (５) 過小な要求・ 実際の能力に見合わない単純な仕事しか与えないこと。 (６) 個の侵害・ 正当な理由なく机の中や個人の携帯電話等を見るなど、プライバシーを侵害すること。 ・ 就業後の飲食や休日のゴルフ等の付き合いを強要すること。 ３－１ その他のハラスメント上述のセクシャルハラスメントやパワーハラスメントに該当しなくても、職務を遂行する中で、言葉・態度・行動によって、相手や周囲に精神的な苦痛を与53/1357えること、人間関係を害すること、就業意欲を低下させること、就業環境を悪化させることはハラスメントとなり得るものですので、行わないでください。 ３－２ その他のハラスメントになり得る言動(１)無視、皮肉、悪口などの言動を特定の人物に対して繰り返し行うこと。 (２)相手の弱点をつき、愚か者よばわりし、それをまわりの人に繰り返し言うことで、相手の人格や価値観を否定すること。 (３)些細なミスを攻撃し、現状をどう修復していくかということよりも、取り返しのつかないミスをしたということのみを繰り返し強調すること。 (４)妊娠し、母体と胎児の健康を守りたいと考えるプロジェクトスタッフに対して、身体的負荷のかかる業務を命じること。 (５)妻が出産間近や出産直後のプロジェクトスタッフに対して、取得する権利のある休暇を認めないこと。 54/1358別紙２性的搾取・虐待の定義と例機構は性的搾取・虐待及びセクシャルハラスメントに対するゼロトレランスを掲げており、違反行為は認められません。 なお、状況によって、性的搾取や性的虐待は、セクシャルハラスメントと重複する場合もあり得ます。 １－１ 性的搾取とは優位な立場にある者が、弱い立場にある者に対し、性的な行為1やその斡旋を目的として、自らの地位や権限を濫用することをいいます(取引としての性交渉を含みます。)。 １－２ 性的搾取の例(１) 金品、援助物資、雇用機会その他の利益との引換えとして、性的行為を求めること。 ・ 緊急援助の現場で、支援物資の供与の代償として、受領者に対し性的な関係を求めること。 ・ プロジェクトでの雇用の対価として、性的な関係を求めること。 ・ プロジェクト関係者の家族を金銭的に援助することの対価として、性的な関係を求めること。 ・ 機構関係者自ら買春を行うこと(多くの国では、売春は貧困その他の脆弱的状況と関連し、また人身取引の被害者等、従事が強制されている場合が多い。このため、関係者は、機構がミッションとして掲げる人間の安全保障の観点から、商業的売買春を含め一切関与しないこととする。)。 (２) 第三者に対し性的サービスを紹介・斡旋すること。 また、そのことにより金銭的、社会的、政治的利益を得ること。 ・ 出張者等との関係を円滑なものにするとの名目や、業務上のコネクションを得る目的で、売春等の性的サービスを提供する店を紹介すること。 1 本ガイドラインにおける「性的な行為」とは、性的な欲求や関心を満たす全ての行為を指し、性交や身体接触に限らず、それらを見る・録画する等の行為も含まれる。 55/1359２－１ 性的虐待とは力の行使による、又は強制的・不平等な環境における、身体への性的な侵害又はその脅威を与えることをいいます(性的暴力、性的犯罪、児童に対する性的犯罪を含みます。)。 ２－２ 性的虐待の例(１) 相手からの明確な合意なく、性的接触をすること。 (２) 職場において口論となった同僚に対し、レイプ等の性的暴力行為を行うと脅迫すること。 (３) 18 歳未満の者と性的な行為をすること(国連機関準拠2。相手との合意の有無は問わない。また、相手の年齢を誤認した場合も性的虐待とみなす。)。 以 上2「子供(18歳未満の者)との性的行為は、現地における成人年齢又は合意年齢の如何にかかわらず禁止する。 子供の年齢の誤認は、免責理由としない。 」(国際連合事務局 BulletinST/SGB/2003/13, Section 3, 3.2 (b))56/135○サイバーセキュリティ対策実施細則(平成29年4月3日細則(情)第11号)改正 令和2年1月31日細則(情)第1号 令和3年3月31日細則(総)第9号令和4年3月31日細則(情)第1号 令和5年3月31日細則(情)第6号令和6年3月13日細則(情)第5号 令和6年7月31日規程(総)第17号令和6年8月9日細則(情)第16号 令和7年2月27日細則(情)第1号目次第1編 総則第1章 目的・定義・適用範囲(第1条－第6条)第2章 情報の格付の区分・取扱制限(第7条・第8条)第2編 情報セキュリティ対策の基本的枠組み第1章 導入・計画第1節 組織・体制の整備(第9条－第16条)第2節 資産管理(第17条)第3節 情報セキュリティ関係規程の整備(第18条－第21条)第2章 運用第1節 情報セキュリティ関係規程の運用(第22条・第23条)第2節 例外措置(第24条・第25条)第3節 教育(第26条・第27条)第4節 情報セキュリティインシデントへの対処(第28条－第31条)第3章 点検第1節 情報セキュリティ対策の自己点検(第32条－第34条)第2節 情報セキュリティ監査(第35条－第37条)第4章 見直し第1節 情報セキュリティ対策の見直し(第38条－第40条)第5章 独立行政法人におけるセキュリティ対策(第41条)第3編 情報の取扱い第1章 情報の取扱い第1節 情報の取扱い(第42条－第49条)第2章 情報を取り扱う区域の管理第1節 情報を取り扱う区域の管理(第50条－第52条)第4編 外部委託第1章 業務委託第1節 業務委託(第53条－第56条)第2節 情報システムに関する業務委託(第57条－第60条)第2章 クラウドサービス第1節 クラウドサービスの選定(要機密情報を取り扱う場合)(第61条－第64条)第2節 クラウドサービスの利用(要機密情報を取り扱う場合)(第65条－第69条)第3節 クラウドサービスの選定・利用(要機密情報を取り扱わない場合)(第70条・第71条)第3章 機器等の調達第1節 機器等の調達(第72条)第5編 情報システムのライフサイクル第1章 情報システムの分類第1節 情報システムの分類基準等の整備(第73条－第76条)別紙2 別添657/135第2章 情報システムのライフサイクルの各段階における対策第1節 情報システムの企画・要件定義(第77条－第79条)第2節 情報システムの調達・構築(第80条・第81条)第3節 情報システムの運用・保守(第82条)第4節 情報システムの更改・廃棄(第83条)第5節 情報システムについての対策の見直し(第84条)第3章 情報システムの運用継続計画第1節 情報システムの運用継続計画の整備・整合的運用の確保(第85条)第4章 政府共通利用型システム第1節 政府共通利用型システム利用時の対策(第86条－第88条)第6編 情報システムの構成要素第1章 端末第1節 端末(第89条－第91条)第2節 要管理対策区域外での端末利用時の対策(第92条・第93条)第3節 機構支給以外の端末の導入及び利用時の対策(第94条－第97条)第2章 サーバ装置第1節 サーバ装置(第98条－第100条)第2節 電子メール(第101条)第3節 ウェブ(第102条)第4節 ドメインネームシステム(DNS)(第103条・第104条)第5節 データベース(第105条)第3章 複合機・特定用途機器第1節 複合機・特定用途機器(第106条・第107条)第4章 通信回線第1節 通信回線(第108条－第110条)第2節 通信回線装置(第111条－第113条)第3節 無線LAN(第114条)第4節 IPv6 通信回線(第115条・第116条)第5章 ソフトウェア第1節 情報システムの基盤を管理又は制御するソフトウェア(第117条・第118条)第6章 アプリケーション・コンテンツ第1節 アプリケーション・コンテンツの作成・運用時の対策(第119条－第122条)第2節 アプリケーション・コンテンツ提供時の対策(第123条－第125条)第7編 情報システムのセキュリティ要件第1章 情報システムのセキュリティ機能第1節 主体認証機能(第126条・第127条)第2節 アクセス制御機能(第128条)第3節 権限の管理(第129条)第4節 ログの取得・管理(第130条)第5節 暗号・電子署名(第131条・第132条)第6節 監視機能(第133条)第2章 情報セキュリティの脅威への対策第1節 ソフトウェアに対する脆弱性対策(第134条)第2節 不正プログラム対策(第135条)58/135第3節 サービス不能攻撃対策(第136条)第4節 標的型攻撃対策(第137条)第3章 ゼロトラストアーキテクチャ第1節 動的なアクセス制御の実装時の対策(第138条－第140条)第2節 動的なアクセス制御の運用時の対策(第141条・第142条)第8編 情報システムの利用第1章 情報システムの利用第1節 情報システムの利用(第143条－第152条)第2節 ソーシャルメディアによる情報発信(第153条)第3節 テレワーク(第154条－第156条)附則第1編 総則第1章 目的・定義・適用範囲(目的)第1条 本細則は、独立行政法人国際協力機構サイバーセキュリティ対策に関する規程(平成29年規程(情)第14号。 以下「規程」という。 )第23条の規定に基づき、独立行政法人国際協力機構(以下「機構」という。)における情報及び情報システムの情報セキュリティを確保するための情報セキュリティに係る対策基準を定めることを目的とする。 2 本細則の適用対象とする情報は、以下の各号の情報とする。 (1) 役職員等及び情報取扱事務従事者が職務上使用することを目的として機構が調達し、又は開発した情報システム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報及び当該情報システムに入力された書面に記載された情報を含む。)(2) その他の情報システム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報及び当該情報システムに入力された書面に記載された情報を含む。)であって、役職員等及び情報取扱事務従事者が職務上取り扱う情報(3) 前各号に掲げるもののほか、機構が調達し、又は開発した情報システムの設計又は運用管理に関する情報3 前項の適用範囲外の情報についての管理は、独立行政法人国際協力機構法人文書管理規程(平成16年規程(総)第31号。 以下「法人文書管理規程」という。 )の定めるところによる。 4 本細則の適用対象とする情報システムは、第2項に定める情報を取り扱う全ての情報システムとする。 (用語定義)第3条 本細則における用語の定義は、次のとおりとする。 (1) 「部等」とは、独立行政法人国際協力機構組織規程(平成16年規程(総)第4号。 以下「組織規程」という。 )第4条に定める本部の部、室、事務局及び研究所、組織規程第50条に定める国内機関、組織規程第57条に定める在外事務所、組織規程第2条第2項に定める支所及び出張所をいう。 (2) 「課等」とは、組織規程第6条第1項及び第6項に定める本部の課、部内室及びチーム並びに組織規程第53条第1項に定める国内機関の課をいう。 59/135(3) 「機密性」とは、情報に関して、アクセスを認められた者のみが、これにアクセスできる特性をいう。 (4) 「完全性」とは、情報が破壊、改ざん又は消去されていない特性をいう。 (5) 「可用性」とは、情報へのアクセスを認められたものが、必要時に中断することなく、情報にアクセスすることができる特性をいう。 (6) 「アプリケーション・コンテンツ」とは、機構が開発し提供するアプリケーションプログラム、ウェブコンテンツ等の総称をいう。 (7) 「運用規程」とは、規程第2条第3号に規定する運用規程をいう。 (8) 「外部委託」とは、業務委託及びクラウドサービス利用の双方を指す。 なお、業務委託に際し、委託先が当該業務遂行を目的としてクラウドサービスを調達・利用する場合、再委託に相当することとなる。 (9) 「機器等」とは、情報システムの構成要素(サーバ装置、端末、通信回線装置、複合機、特定用途機器等、ソフトウェア等)、外部電磁的記録媒体等の総称をいう。 (10) 「機構ドメイン名」とは、jica.go.jpで終わるドメイン名のことをいう。 (11) 「機構内通信回線」とは、機構が管理するサーバ装置又は端末の間の通信の用に供する通信回線であって、機構の管理下にないサーバ装置又は端末が論理的に接続されていないものをいう。 機構内通信回線には、専用線やVPN等物理的な回線を機構が管理していないものも含まれる。 (12) 「機構外通信回線」とは、通信回線のうち、機構内通信回線以外のものをいう。 (13) 「記録媒体」とは、情報が記録され、又は記載される有体物をいう。 記録媒体には、文字、図形等人の知覚によって認識することができる情報が記載された紙その他の有体物(以下「書面」という。)と、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、情報システムによる情報処理の用に供されるもの(以下「電磁的記録」という。)に係る記録媒体(以下「電磁的記録媒体」という。)がある。 また、電磁的記録媒体には、サーバ装置、端末、通信回線装置等に内蔵される内蔵電磁的記録媒体と、USBメモリ、外付けハードディスクドライブ、DVD-R等の外部電磁的記録媒体がある。 (14) 「業務委託」とは、機構の業務の一部又は全部について、委任、準委任、請負といった契約形態を問わず、契約をもって外部の者に実施させることをいう。 ただし、当該業務において機構の情報を取り扱わせる場合に限る。 (15) 「国の行政機関」とは、法律の規定に基づき内閣に置かれる機関若しくは内閣の所轄の下に置かれる機関、宮内庁、内閣府設置法(平成11年法律第89号)第49条第1項若しくは第2項に規定する機関、国家行政組織法(昭和23年法律第120号)第3条第2項に規定する機関又はこれらに置かれる機関をいう。 (16) 「クラウドサービス」とは、事業者によって定義されたインタフェースを用いた、拡張性、柔軟性を持つ共用可能な物理的又は仮想的なリソースにネットワーク経由でアクセスするモデルを通じて提供され、利用者によって自由にリソースの設定・管理が可能なサービス(SaaS(Software as a Service)、PaaS(Platform as a Service)及びIaaS(Infrastructure as a Service)を含む。 )であって、情報セキュリティに関する十分な条件設定の余地があるものをいう。 なお、本細則におけるクラウドサービスは、機構外の一般の者が一般向けに情報システムの一部又は全部の機能を提供するクラウドサービスであ60/135って、当該サービスにおいて機構の情報が取り扱われる場合に限るものとする。 (17) 「クラウドサービス管理者」とは、クラウドサービスの利用における利用申請の許可権限者から利用承認時に指名された当該クラウドサービスに係る管理を行う機構の役職員等をいう。 (18) 「クラウドサービス提供者」とは、クラウドサービスを提供する事業者(クラウドサービスプロバイダ)をいう。 (19) 「クラウドサービス利用者」とは、クラウドサービスを利用する機構の役職員等及び情報取扱事務従事者又は業務委託した委託先においてクラウドサービスを利用する場合の委託先の従業員をいう。 (20) 「サーバ装置」とは、情報システムの構成要素である機器のうち、通信回線等を経由して接続してきた端末等に対して、自らが保持しているサービスを提供するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボード及びマウス等の周辺機器を含む。)であって、原則として、機構が調達し、又は開発するもの(政府共通利用型システムが提供するものを含む。)をいう。 (21) 「物理的なサーバ装置」とは、物理的なハードウェアを有するサーバ装置をいう。 (22) 「サイバーセキュリティ戦略本部監査」とは、サイバーセキュリティ基本法第26条第1項第2号に基づきサイバーセキュリティ戦略本部が実施する監査をいう。 (22)の2 「CYMAT」(サイマット)とは、サイバー攻撃等により機関等の情報システム障害が発生した場合又はその発生のおそれがある場合であって、政府として一体となった対応が必要となる情報セキュリティに係る事象に対して機動的な支援を行うため、内閣官房内閣サイバーセキュリティセンターに設置される体制をいう。 Cyber Incident Mobile Assistant Team(情報セキュリティ緊急支援チーム)の略である。 (23) 「CSIRT」(シーサート)とは、機構において発生した情報セキュリティインシデントに対処するため、機構に設置された体制をいう。 Computer Security Incident Response Teamの略である。 (24) 「実施手順」とは、規程第2条第4号に規定する実施手順をいう。 (25) 「情報」とは、本細則第2条第2項に定めるものをいう。 (26) 「情報システム」とは、ハードウェア及びソフトウェアから成るシステムであって、情報処理又は通信の用に供するものをいう。 以降、本細則においては、特に断りのない限り、機構が調達し、又は開発するもの(管理を外部委託しているシステムや政府共通利用型システムを含む。)をいう。 (27) 「情報セキュリティインシデント」とは、日本産業規格情報技術‐セキュリティ技術‐情報セキュリティマネジメントシステム‐用語(JIS Q 27000:2019)における情報セキュリティインシデントをいう。 参考：JIS Q 27000:2019(抄) ・情報セキュリティインシデント(3.31)望まない単独若しくは一連の情報セキュリティ事象、又は予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。 ・情報セキュリティ事象(3.30)情報セキュリティ方針への違反若しくは管理策の不具合の可能性、又はセキュ61/135リティに関係し得る未知の状況を示す、システム、サービス又はネットワークの状態に関連する事象。 (28) 「情報セキュリティ関係規程」とは、規程第2条第5号に規定する情報セキュリティ関係規程をいう。 (29) 「情報セキュリティ対策推進体制」とは、規程第2条第6号に規定する情報セキュリティ対策推進体制をいう。 (30) 「政府共通利用型システム」とは、他の機関等含め共通的に利用することを目的として、一つの機関等が管理・運用する情報システムであって、他の機関等が整備する情報システムに対し、同情報システムと連携して、情報システムのセキュリティ機能を提供する情報システム及び他の機関等に機器等を提供し、他の機関等の職員等が利用する情報システムをいう。 (31) 「政府共通利用型システム管理機関」とは、政府共通利用型システムを構築・運用する機関等をいう。 (32) 「政府共通利用型システム利用機関」とは、政府共通利用型システムが提供するセキュリティ機能を利用して情報システムを構築・運用する機関等及び政府共通利用型システムが提供する機器等を利用する機関等をいう。 (33) 「対策推進計画」とは、規程第8条第1項に規定する対策推進計画をいう。 (34) 「端末」とは、情報システムの構成要素である機器のうち、役職員等及び情報取扱事務従事者が情報処理を行うために直接操作するもの(搭載されるソフトウェア並びに直接接続され一体として扱われるキーボード及びマウス等の周辺機器を含む。)であって、原則として、機構が調達し、又は開発するもの(その形態を問わず業務上の必要に応じて移動させて使用することを目的としたもの(以下「モバイル端末」という。)及び政府共通利用型システムが提供するものを含む。 )をいう。 (35) 「機構支給以外の端末」とは、情報システムの構成要素である機器のうち、役職員等および情報取扱事務従事者が情報処理を行うために直接操作するもの(搭載されるソフトウェア並びに直接接続され一体として扱われるキーボードおよびマウス等の周辺機器を含む。)であって、機構が調達し、又は開発するもの以外をいう。 (36) 「物理的な端末」とは、物理的なハードウェアを有する端末をいう。 (37) 「通信回線」とは、複数の情報システム又は機器等(機構が調達等を行うもの以外のものを含む。)の間で所定の方式に従って情報を送受信するための仕組みをいい、特に断りのない限り、機構の情報システムにおいて利用される通信回線を総称したものをいう。 通信回線には、機構が直接管理していないものも含まれ、その種類(有線又は無線、物理回線又は仮想回線等)は問わない。 (38) 「通信回線装置」とは、通信回線間又は通信回線と情報システムの接続のために設置され、回線上を送受信される情報の制御等を行うための装置(ハブ、スイッチ、ルータ、ファイアウォール等を含む。)をいう。 (39) 「物理的な通信回線装置」とは、物理的なハードウェアを有する通信回線装置をいう。 (40) 「特定用途機器」とは、テレビ会議システム、IP電話システム、ネットワークカメラシステム、入退管理システム、施設管理システム、環境モニタリングシステム等の特定の用途に使用される情報システム特有の構成要素であって、通信回線に接続する機能又は内蔵電磁的記録媒体を備えているものをいう。 62/135(41) 「テレワーク」とは、情報通信技術(ICT= Information and Communication Technology)を活用した、場所や時間を有効に活用できる柔軟な働き方のことをいう。 (42) 「不正プログラム」とは、コンピュータウイルス、ワーム(他のプログラムに寄生せず単体で自己増殖するプログラム)、スパイウェア(プログラムの使用者の意図に反して様々な情報を収集するプログラム)等の、情報システムを利用する者が意図しない結果を当該情報システムにもたらすプログラムの総称をいう。 (43) 「明示等」とは、情報を取り扱う全ての者が当該情報の格付について共通の認識となるようにする措置をいう。 明示等には、情報ごとに格付を記載することによる明示のほか、当該情報の格付に係る認識が共通となるその他の措置も含まれる。 (44) 「要管理対策区域」とは、機構の事業所、又は機構外の組織から借用している施設等、機構の管理下にある区域であって、取り扱う情報を保護するために、施設及び執務環境に係る対策が必要な区域をいう。 (改正)第4条 情報セキュリティ水準を適切に維持していくために、情報技術の進歩に応じて、本細則を定期的に点検し、必要に応じ規定内容の追加・修正等の改正を行う。 (法令等の遵守)第5条 情報及び情報システムの取扱いに関して、関連法令等、規程第2条第1項第2号に定める機構情報セキュリティポリシー(以下「機構ポリシー」という。)及び情報セキュリティを巡る状況に応じて策定される政府決定等を遵守する。 (機構の対策基準)第6条 本細則で目的別に定める機構が行うべき対策については、「政府機関等のサイバーセキュリティ対策のための統一基準群」(令和5年7月4日決定。以下「統一基準群」という。)に含まれる統一基準及び「政府機関等の対策基準策定のためのガイドライン」(以下「ガイドライン」という。)に例示される対策又はこれと同等以上の対策を講ずることとする。 第12条第2項に定める統括情報セキュリティ責任者は、各対策において実施すべき基本的な対策事項(以下「基本対策事項」という。)を含む運用規程及び実施手順を別に定める。 第2章 情報の格付の区分・取扱制限(情報の格付の区分)第7条 情報について、機密性、完全性及び可用性の３つの観点を区別し、本細則で用いる格付の区分を用いる。 2 格付の定義を変更又は追加する場合には、その定義に従って区分された情報が、本細則で定めるセキュリティ水準と同等以上の水準で取り扱われるようにするものとする。 3 他機関等へ情報を提供するときは、機構の対策基準における格付区分と本統一基準における格付区分の対応について適切に伝達するため、本条に定める格付及び取扱制限を明示する。 4 機密性についての格付の定義は以下のとおりとする。 (1) 機密性3情報とは、機構における業務で取り扱う情報のうち、法人文書管理規程第2条第10号に定める極秘区分に該当する情報かつ他の機関等から提供された「行政文書の管理に関するガイドライン(平成23年4月1日内閣総理大臣決63/135定。以下「文書管理ガイドライン」という。 )」に定める秘密文書としての取り扱いを要する情報とする。 (2) 機密性2情報とは、機構における業務で取り扱う情報のうち、独立行政法人等の保有する情報の公開に関する法律(平成13年法律第140号。以下「情報公開法」という。)第5条各号における不開示情報に該当すると判断される蓋然性の高い情報であって、「機密性3情報」以外の情報とする。 (3) 機密性1情報とは、機構における業務で取り扱う情報のうち、情報公開法第5条各号における不開示情報に該当すると判断される蓋然性の高い情報を含まない情報とする。 (4) 機密性2情報及び機密性3情報を「要機密情報」という。 5 完全性についての格付の定義は、以下のとおりとする。 (1) 完全性2情報とは、業務で取り扱う情報(書面を除く。)のうち、改ざん、誤びゅう又は破損により、国民の権利が侵害され又は業務の適切な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報とする。 (2) 完全性1情報とは、完全性2情報以外の情報(書面を除く。)とする。 (3) 完全性2情報を「要保全情報」という。 6 可用性についての格付の定義は、以下のとおりとする。 (1) 可用性2情報とは、業務で取り扱う情報(書面を除く。)のうち、その滅失、紛失又は当該情報が利用不可能であることにより、国民の権利が侵害され又は業務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報とする。 (2) 可用性1情報とは、可用性2情報以外の情報(書面を除く。)とする。 (3) 可用性2情報を「要安定情報」という。 7 要機密情報、要保全情報又は要安定情報に一つでも該当する情報は、「要保護情報」という。 (情報の取扱制限)第8条 「取扱制限」とは、情報の取扱いに関する制限であって、複製禁止、持出禁止、配布禁止、暗号化必須、読後廃棄その他の情報の適正な取扱いを役職員等及び情報取扱事務従事者に確実に行わせるための手段をいう。 2 役職員等及び情報取扱事務従事者は、格付に応じた情報の取扱いを適切に行う必要があるが、その際に、格付に応じた具体的な取扱い方を示す方法として取扱制限を用いる。 3 取扱制限に関する基本的な定義は、取り扱う情報に応じて、機密性、完全性及び可用性の3つの観点から、第12条第2項に定める統括情報セキュリティ責任者が別に定める。 第2編 情報セキュリティ対策の基本的枠組み第1章 導入・計画第1節 組織・体制の整備(最高情報セキュリティ責任者の統括業務)第9条 最高情報セキュリティ責任者は、次に掲げる業務を統括する。 (1) 情報セキュリティ対策推進のための組織・体制の整備(2) 機構ポリシーの決定、見直し(3) 対策推進計画の決定、見直し(4) 情報セキュリティインシデントに対処するために必要な指示その他の措置(5) 情報セキュリティ監査の結果を踏まえた改善計画の策定等の必要な措置の指示64/135(6) 前各号に掲げるもののほか、情報セキュリティに関する重要事項2 最高情報セキュリティ責任者は、必要に応じて、最高情報セキュリティ副責任者1人を選任する。 最高情報セキュリティ副責任者は、最高情報セキュリティ責任者を助けて機構における情報セキュリティに関する事務を整理し、最高情報セキュリティ責任者の命を受けて 機構の情報セキュリティに関する事務を統括する。 (情報セキュリティ委員会)第10条 最高情報セキュリティ責任者は、対策基準等の審議を行う機能を持つ組織として、情報セキュリティ対策推進体制及びその他業務を実施する部等の代表者を構成員とする情報セキュリティ委員会を置く。 2 情報セキュリティ委員会の委員長、副委員長及び委員は、最高情報セキュリティ責任者が情報セキュリティを推進する役職員等又は各部の代表者から指名する。 3 委員の構成は、次のとおりとし、必要に応じ、他の役職員等又は第三者の専門家を出席させることができる。 (1) 委員長 情報システム部(情報セキュリティ及び個人情報保護)担当理事(2) 副委員長 情報システム部長(3) 委員 総務部長、人事部長、財務部長、企画部長、国内事業部長、国際協力調達部長、青年海外協力隊事務局長4 情報セキュリティ委員会は、次に掲げる事項を審議する。 (1) 機構ポリシー(2) 対策推進計画(3) 前各号に掲げるもののほか、情報セキュリティに関し必要な事項5 情報セキュリティ委員会は、事務局を情報システム部計画課に置き、計画課長を事務局長とする。 (情報セキュリティ監査責任者の設置)第11条 機構は、情報セキュリティ監査に関する業務を統括する情報セキュリティ監査責任者を置き、監査室長をもって充てる。 (統括情報セキュリティ責任者・情報セキュリティ責任者等の設置)第12条 最高情報セキュリティ責任者は、部等における情報セキュリティ対策に関する業務を統括する者として、情報セキュリティ責任者１人を置き、部等の長をもって充てる。 ただし、研究所においては副所長をもって充てる。 2 情報セキュリティ責任者を統括し、最高情報セキュリティ責任者及び最高情報セキュリティ副責任者を補佐する者を統括情報セキュリティ責任者とし、情報システム部長をもって充てる。 3 情報セキュリティ責任者は、第51条第1項で定める区域ごとに、当該区域における情報セキュリティ対策の業務を統括する区域情報セキュリティ責任者１人を置く。 4 情報セキュリティ責任者は、課等ごとに情報セキュリティ対策に関する業務を統括する課等情報セキュリティ責任者１人を置く。 5 情報セキュリティ責任者は、所管する情報システムに対する情報セキュリティ対策に関する業務の責任者として、情報システムセキュリティ責任者を兼ねる。 (最高情報セキュリティアドバイザーの設置)第13条 最高情報セキュリティ責任者は、情報セキュリティについて専門的な知識及び経験を有する者を最高情報セキュリティアドバイザーとして置く。 65/1352 最高情報セキュリティアドバイザーの業務内容は、統括情報セキュリティ責任者が最高情報セキュリティ責任者と協議のうえ定める。 (情報セキュリティ対策推進体制の整備)第14条 最高情報セキュリティ責任者は、情報セキュリティ対策推進体制を整備し、以下の各号を含む役割を規定する。 (1) 情報セキュリティ関係規程及び対策推進計画の策定に係る事務(2) 情報セキュリティ関係規程の運用に係る事務(3) 例外措置に係る事務(4) 情報セキュリティ対策の教育の実施に係る事務(5) 情報セキュリティ対策の自己点検に係る事務(6) 情報セキュリティ関係規程及び対策推進計画の見直しに係る事務2 機構は、情報セキュリティ対策推進体制の責任者を置き、情報システム部長をもって充てる。 (情報セキュリティインシデントに備えた体制の整備)第15条 最高情報セキュリティ責任者は、CSIRTを整備し、その役割を定める。 2 CSIRTは専門的な知識又は適性を有すると認められる者で構成する。 そのうち、機構における情報セキュリティインシデントに対処するための責任者としてCSIRT責任者を置き、情報システム部長をもって充てる。 また、CSIRT責任者は、CSIRT内の業務統括及び外部との連携等を行う役職員等を定める。 3 最高情報セキュリティ責任者は、情報セキュリティインシデントが発生した際、直ちに自らへの報告が行われる体制を整備する。 (兼務を禁止する役割)第16条 役職員等及び情報取扱事務従事者は、情報セキュリティ対策の運用において、以下の役割を兼務しない。 (1) 承認又は許可(以下本条において「承認等」という。)の申請者及び当該承認等を行う許可権限者(2) 監査を受ける者及びその監査を実施する者2 役職員等及び情報取扱事務従事者は、承認等を申請する場合において、自らが許可権限者であるときその他許可権限者が承認等の可否の判断をすることが不適切と認められるときは、当該許可権限者の上司又は適切な者に承認等を申請し、承認等を得る。 第2節 資産管理(情報システム台帳の整備)第17条 統括情報セキュリティ責任者は、原則として、全ての情報システムに対して、当該情報システムのセキュリティ要件に係る事項について、情報システム台帳に整備する。 第3節 情報セキュリティ関係規程の整備(リスク評価の実施)第18条 最高情報セキュリティ責任者は、機構の目的等を踏まえ、自己点検の結果、情報セキュリティ監査の結果、サイバーセキュリティ戦略本部監査の結果等を勘案した上で、保有する情報及び利用する情報システムに係る脅威の発生の可能性及び発生時の損失等を分析し、リスクを評価する。 (本細則の策定)第19条 最高情報セキュリティ責任者は、情報セキュリティ委員会における審議を経て、統一基準に準拠し、これと同等以上の情報セキュリティ対策が可能となるように本細則を定める。 また、本細則は、機構の業務、取り扱う情報及び保有す66/135る情報システムに関するリスク評価の結果、並びに本細則及び対策推進計画の見直し結果を踏まえた上で定める。 (運用規程及び実施手順の策定)第20条 統括情報セキュリティ責任者は、機構における情報セキュリティ対策に関する運用規程(本細則で最高情報セキュリティ責任者が整備すると定める場合を除く。)及び実施手順(本細則で整備すべき者を別に定める場合を除く。)を整備し、運用規程及び実施手順に関する業務を統括し、並びに整備状況について最高情報セキュリティ責任者に報告する。 2 統括情報セキュリティ責任者は、役職員等の雇用の開始、雇用の終了若しくは人事異動の際又は情報取扱事務従事者の業務の開始、若しくは終了の際に、情報セキュリティに関して必要となる事務について運用規程を整備する。 (対策推進計画の策定)第21条 最高情報セキュリティ責任者は、情報セキュリティ委員会における審議を経て、対策推進計画を定める。 対策推進計画には、機構の業務、取り扱う情報及び保有する情報システムに関するリスク評価の結果を踏まえた全体方針並びに次に掲げる取組の方針・重点及びその実施時期を全て含める。 (1) 情報セキュリティに関する教育(2) 情報セキュリティ対策の自己点検(3) 情報セキュリティ監査及び 過年度の監査結果(サイバーセキュリティ戦略本部監査の結果を含む。)を踏まえた取組(4) 情報システムに関する技術的な対策を推進するための取組(5) 前各号に掲げるもののほか、情報セキュリティ対策に関する重要な取組2 前項第3号の情報セキュリティ監査については、最高情報セキュリティ責任者は予め情報セキュリティ監査責任者の意見を徴する。 第2章 運用第1節 情報セキュリティ関係規程の運用(情報セキュリティ対策の運用)第22条 情報セキュリティ対策推進体制は、最高情報セキュリティ責任者が規定した当該体制の役割に応じて必要な事務を遂行する。 2 情報セキュリティ責任者又は課等情報セキュリティ責任者は、役職員等及び情報取扱事務従事者から情報セキュリティ関係規程に係る課題及び問題点の報告を受けた場合は、統括情報セキュリティ責任者に報告する。 3 統括情報セキュリティ責任者は、情報セキュリティ関係規程に係る課題及び問題点を含む運用状況を適時に把握し、必要に応じて最高情報セキュリティ責任者にその内容を報告する。 (違反への対処)第23条 役職員等及び情報取扱事務従事者は、情報セキュリティ関係規程への重大な違反を知った場合は、情報セキュリティ責任者にその旨を報告する。 2 情報セキュリティ責任者は、情報セキュリティ関係規程への重大な違反の報告を受けた場合及び自らが重大な違反を知った場合には、違反者及び必要な者に情報セキュリティの維持に必要な措置を講じさせるとともに、統括情報セキュリティ責任者を通じて、最高情報セキュリティ責任者に報告する。 第2節 例外措置(例外措置手続の整備)第24条 最高情報セキュリティ責任者は、例外措置の適用の申請を審査し、許可する者(以下本節において「許可権限者」という。)及び審査手続を定める。 67/1352 統括情報セキュリティ責任者は、例外措置の適用審査記録の台帳を整備し、許可権限者に対して、定期的に申請状況の報告を求める。 (例外措置の運用)第25条 役職員等及び情報取扱事務従事者は、定められた審査手続に従い、許可権限者に規定の例外措置の適用を申請する。 ただし、業務の遂行に緊急を要し、当該規定の趣旨を十分尊重した取扱いを行うことができる場合であって、情報セキュリティ関係規程の規定とは異なる代替の方法を直ちに採用すること又は規定されている方法を実施しないことが不可避のときは、事後速やかに届け出る。 2 許可権限者は、役職員等及び情報取扱事務従事者による例外措置の適用の申請を、定められた審査手続に従って審査し、許可の可否を決定する。 3 許可権限者は、例外措置の申請状況を台帳に記録し、統括情報セキュリティ責任者に報告する。 4 統括情報セキュリティ責任者は、例外措置の申請状況を踏まえた情報セキュリティ関係規程の追加又は見直しの検討を行い、最高情報セキュリティ責任者に報告する。 第3節 教育(教育体制等の整備・教育実施計画の策定)第26条 統括情報セキュリティ責任者は、情報セキュリティ対策に係る教育について、対策推進計画に基づき教育実施計画を策定し、その実施体制を整備する。 2 統括情報セキュリティ責任者は、情報セキュリティの状況の変化に応じ役職員等及び情報取扱事務従事者に対して新たに教育すべき事項が明らかになった場合は、教育実施計画を見直す。 (教育の実施)第27条 課等情報セキュリティ責任者は、役職員等及び情報取扱事務従事者に対して、情報セキュリティ関係規程に係る教育を適切に受講させる。 2 役職員等及び情報取扱事務従事者は、教育実施計画に従って、適切な時期に教育を受講する。 3 情報セキュリティ責任者は、情報セキュリティ対策推進体制及びCSIRTに属する役職員等に教育を適切に受講させる。 4 課等情報セキュリティ責任者は、教育の実施状況を記録し、情報セキュリティ責任者及び統括情報セキュリティ責任者に報告する。 5 統括情報セキュリティ責任者は、教育の実施状況を分析、評価し、最高情報セキュリティ責任者に情報セキュリティ対策に関する教育の実施状況について報告する。 第4節 情報セキュリティインシデントへの対処(情報セキュリティインシデントに備えた事前準備)第28条 統括情報セキュリティ責任者は、情報セキュリティインシデントの可能性を認知した際の報告窓口を含む機構関係者への報告が必要な具体例を含む報告手順を整備し、役職員等及び情報取扱事務従事者に周知する。 2 統括情報セキュリティ責任者は、情報セキュリティインシデントの可能性を認知した際の機構外との情報共有を含む対処手順を整備する。 3 統括情報セキュリティ責任者は、情報セキュリティインシデントに備え、業務の遂行のため特に重要と認めた情報システムについて、緊急連絡先、連絡手段、連絡内容を含む緊急連絡網を整備する。 4 統括情報セキュリティ責任者は、情報セキュリティインシデントへの対処の訓練の必要性を検討し、業務の遂行のため特に重要と認めた情報システムについ68/135て、その訓練の内容及び体制を整備する。 5 統括情報セキュリティ責任者は、情報セキュリティインシデントについて機構外の者から報告を受けるための窓口を整備し、その窓口への連絡手段を機構外の者に明示する。 6 統括情報セキュリティ責任者は、対処手順が適切に機能することを訓練等により確認する。 (情報セキュリティインシデントへの対処)第29条 役職員等及び情報取扱事務従事者は、情報セキュリティインシデントの可能性を認知した場合には、機構の報告窓口(情報システム部)に報告し、指示に従う。 2 CSIRTは、報告された情報セキュリティインシデントの可能性について状況を確認し、情報セキュリティインシデントであるかの評価を行う。 3 CSIRT責任者は、情報セキュリティインシデントであると評価した場合、最高情報セキュリティ責任者に速やかに報告する。 4 CSIRT責任者は、情報セキュリティインシデントに関係する情報セキュリティ責任者に対し、被害の拡大防止等を図るための応急措置の実施及び復旧に係る指示又は勧告を行う。 また、CSIRT責任者は、同様の情報セキュリティインシデントが別の情報システムにおいても発生している可能性を検討し、必要に応じて当該情報システムを所管する情報システムセキュリティ責任者へ確認を指示する。 5 情報システムセキュリティ責任者は、所管する情報システムについて情報セキュリティインシデントを認知した場合には、情報システム部長が別途定める対処手順及びCSIRTの指示又は勧告に従って、適切に対処する。 6 政府共通利用型システムを利用している情報システムセキュリティ責任者は、認知した情報セキュリティインシデントが政府共通利用型システムに関するものである場合には、当該政府共通利用型システムの情報セキュリティ対策に係る運用管理規程等に従い、適切に対処する。 7 CSIRTは、認知した情報セキュリティインシデントがサイバー攻撃又はそのおそれのあるものである場合には警察への通報・連絡等を行う。 8 CSIRTは、情報セキュリティインシデントに関する対処状況を把握し、対処全般に関する指示、勧告又は助言を行う。 9 CSIRTは、情報セキュリティインシデントに関する対処の内容を記録する。 10 CSIRTは、CYMATの支援を受ける場合には、支援を受けるに当たって必要な情報提供を行う。 (情報セキュリティインシデントに係る情報共有)第30条 CSIRTは、機構の情報システムにおいて、情報セキュリティインシデントを認知した場合には、当該事象について、速やかに、外務省に連絡する2 CSIRTは、情報セキュリティインシデントに関して、機構を含む関係機関と情報共有を行う。 3 CSIRTは、情報セキュリティインシデントにより、個人情報・特定個人情報の漏えい等が発生した場合、必要に応じて個人情報保護委員会へ報告を行う。 (情報セキュリティインシデントの再発防止・教訓の共有)第31条 情報セキュリティ責任者は、CSIRTから応急措置の実施及び復旧に係る指示又は勧告を受けた場合は、当該指示又は勧告を踏まえ、情報セキュリティインシデントの原因を調査するとともに再発防止策を検討し、それを報告書として最高情報セキュリティ責任者及び統括情報セキュリティ責任者に報告する。 69/1352 最高情報セキュリティ責任者は、前項の定めに従い情報セキュリティ責任者から情報セキュリティインシデントについての報告を受けた場合には、その内容を確認し、再発防止策を実施するために必要な措置を指示する。 3 CSIRT責任者は、情報セキュリティインシデント対処の結果から得られた教訓を関係する情報セキュリティ責任者等に共有する。 第3章 点検第1節 情報セキュリティ対策の自己点検(自己点検計画の策定・手順の準備)第32条 統括情報セキュリティ責任者は、対策推進計画に基づき年度自己点検計画を策定する。 2 情報セキュリティ責任者は、年度自己点検計画に基づき、役職員等及び情報取扱事務従事者ごとの自己点検票及び自己点検の実施手順を整備する。 3 統括情報セキュリティ責任者は、情報セキュリティの状況の変化に応じ、役職員等及び情報取扱事務従事者に対して新たに点検すべき事項が明らかになった場合は、年度自己点検計画を見直す。 (自己点検の実施)第33条 情報セキュリティ責任者は、年度自己点検計画に基づき、役職員等及び情報取扱事務従事者に自己点検の実施を指示する。 2 役職員等及び情報取扱事務従事者は、情報セキュリティ責任者から指示された自己点検票及び自己点検の手順を用いて自己点検を実施する。 (自己点検結果の評価・改善)第34条 情報セキュリティ責任者は、自らが担当する部等に特有の課題の有無を確認するなどの観点から役職員等及び情報取扱事務従事者による自己点検結果を分析し、評価する。 また、その評価結果を統括情報セキュリティ責任者に報告する。 2 統括情報セキュリティ責任者は、機構に共通の課題の有無を確認するなどの観点から自己点検結果を分析、評価する。 また、評価結果を最高情報セキュリティ責任者に報告する。 3 最高情報セキュリティ責任者は、自己点検結果を全体として評価し、自己点検の結果により明らかになった問題点について、統括情報セキュリティ責任者及び情報セキュリティ責任者に改善を指示し、改善結果の報告を受ける。 第2節 情報セキュリティ監査(情報セキュリティ監査計画の策定)第35条 情報セキュリティ監査責任者は、対策推進計画を参酌して監査計画を策定し、理事長の承認を得るものとする。 2 前項の規定にかかわらず、理事長の命により、又は理事長の承認を得て、情報セキュリティ監査責任者は臨時に監査を実施することができる。 (監査の実施)第36条 監査は、独立行政法人国際協力機構内部監査規程第7条に基づき実施し、結果を理事長に報告する。 また、情報セキュリティ監査責任者は、最高情報セキュリティ責任者に監査結果を共有する。 (監査結果に応じた対処)第37条 最高情報セキュリティ責任者は、監査報告の内容を踏まえ、指摘事項に対する改善計画の策定等を統括情報セキュリティ責任者及び情報セキュリティ責任者に指示する。 また、措置が完了していない改善計画は、定期的に進捗状況の報告を指示する。 70/1352 統括情報セキュリティ責任者は、最高情報セキュリティ責任者からの改善の指示のうち、機構内で横断的に改善が必要な事項について、必要な措置を行った上で改善計画を策定し、措置結果及び改善計画を最高情報セキュリティ責任者に報告する。 また、措置が完了していない改善計画は、定期的に進捗状況を最高情報セキュリティ責任者に報告する。 3 情報セキュリティ責任者は最高情報セキュリティ責任者からの改善の指示のうち、自らが担当する部等に特有の改善が必要な事項について、必要な措置を行った上で改善計画を策定し、措置結果及び改善計画を最高情報セキュリティ責任者に報告する。 また、措置が完了していない改善計画は、定期的に進捗状況を最高情報セキュリティ責任者に報告する。 第4章 見直し第1節 情報セキュリティ対策の見直し(情報セキュリティ対策の見直し)第38条 最高情報セキュリティ責任者は、リスク評価に変化が生じた場合には、情報セキュリティ委員会による審議を経て、本細則や対策推進計画の必要な見直しを行う。 (情報セキュリティ関係規程等の見直し)第39条 最高情報セキュリティ責任者は、情報セキュリティの運用及び自己点検、情報セキュリティ監査並びにサイバーセキュリティ戦略本部監査等の結果等を総合的に評価するとともに、情報セキュリティに係る重大な変化等を踏まえ、情報セキュリティ委員会の審議を経て、機構ポリシーについて必要な見直しを行う。 2 統括情報セキュリティ責任者は、情報セキュリティの運用及び自己点検、情報セキュリティ監査並びにサイバーセキュリティ戦略本部監査等の結果等を踏まえて情報セキュリティ対策に関する運用規程及び実施手順を見直し、又は運用規程及び実施手順を整備した者に対して規定の見直しを指示し、見直した結果について最高情報セキュリティ責任者に報告する。 3 統括情報セキュリティ責任者は、情報セキュリティの運用及び自己点検、情報セキュリティ監査並びにサイバーセキュリティ戦略本部監査等の結果等を踏まえて機構内で横断的に改善が必要となる情報セキュリティ対策の運用に係る見直しについて、機構内の職制及び職務に応じた措置を実施し、又は情報セキュリティ責任者又は情報システムセキュリティ責任者に対してその実施を指示し、措置の結果について最高情報セキュリティ責任者に報告する。 (対策推進計画の見直し)第40条 最高情報セキュリティ責任者は、情報セキュリティ対策の運用及び自己点検、情報セキュリティ監査並びにサイバーセキュリティ戦略本部監査等を総合的に評価するとともに、情報セキュリティに係る重大な変化等を踏まえ、情報セキュリティ委員会の審議を経て、対策推進計画について定期的な見直しを行う。 第5章 独立行政法人におけるセキュリティ対策(機構を所管する行政機関からの助言)第41条 最高情報セキュリティ責任者は、情報セキュリティ対策を適切に推進するため、所管省庁と密接な連携を要する事項や専門的知見を要する事項について、外務省へ助言を求める。 第3編 情報の取扱い第1章 情報の取扱い第1節 情報の取扱い(情報の取扱いに係る規定の整備)71/135第42条 統括情報セキュリティ責任者は、以下を全て含む情報の取扱いに関する運用規程を整備し、役職員等及び情報取扱事務従事者へ周知する。 (1) 情報の格付及び取扱制限についての定義(2) 情報の格付及び取扱制限の明示等についての手続(3) 情報の格付及び取扱制限の継承、見直しに関する手続(情報の目的外での利用等の禁止)第43条 役職員等及び情報取扱事務従事者は、自らが担当している業務の遂行のために必要な範囲に限って、情報を利用等する。 (情報の格付及び取扱制限の決定・明示等)第44条 役職員等及び情報取扱事務従事者は、情報の作成時及び機構外の者が作成した情報を入手したことに伴う管理の開始時に、格付及び取扱制限の定義に基づき格付及び取扱制限を決定し、明示等する。 2 役職員等及び情報取扱事務従事者は、情報を作成又は複製する際に、参照した情報又は入手した情報に既に格付及び取扱制限の決定がなされている場合には、元となる情報の機密性に係る格付及び取扱制限を継承する。 3 役職員等及び情報取扱事務従事者は、修正、追加、削除その他の理由により、情報の格付及び取扱制限を見直す必要があると考える場合には、情報の格付及び取扱制限の決定者(決定を引き継いだ者を含む。)又は決定者の上司(以下「決定者等」という。)に確認し、その結果に基づき見直す(情報の利用・保存)第45条 役職員等及び情報取扱事務従事者は、利用する情報に明示等された格付及び取扱制限に従い、当該情報を適切に取り扱う。 2 役職員等及び情報取扱事務従事者は、機密性3情報について要管理対策区域外で情報処理を行う場合は、情報セキュリティ責任者の許可を得る。 3 役職員等及び情報取扱事務従事者は、要保護情報について要管理対策区域外で情報処理を行う場合は、必要な安全管理措置を講ずる。 4 役職員等及び情報取扱事務従事者は、保存する情報にアクセス制限を設定するなど、情報の格付及び取扱制限に従って情報を適切に管理する。 役職員等及び情報取扱事務従事者は、機密性3情報を機器等に保存する際、以下の各号の措置を講ずる。 ただし、機構において、機密性3情報について国の行政機関と同等の取扱いを行っている場合は、国の行政機関と同等の措置を講ずることをもって代えることができる。 (1) 機器等に保存する場合は、インターネットや、インターネットに接点を有する情報システムに接続しない端末、サーバ装置等の機器等を使用する。 (2) 当該情報に対し、暗号化による保護を行う。 (3) 当該情報を保存した機器等について、盗難及び不正な持ち出し等の物理的な脅威から保護するための対策を講ずる。 5 役職員等及び情報取扱事務従事者は、USBメモリ等の外部電磁的記録媒体を用いて情報を取り扱う際、定められた利用手順に従う。 (情報の提供・公表)第46条 役職員等及び情報取扱事務従事者は、情報を公表する場合には、当該情報が機密性1情報に格付されるものであることを確認する。 2 役職員等及び情報取扱事務従事者は、閲覧制限の範囲外の者に情報を提供する必要が生じた場合は、当該格付及び取扱制限の決定者等に相談し、その決定に従う。 また、提供先において、当該情報に付された格付及び取扱制限に応じて適切72/135に取り扱われるよう、取扱い上の留意事項を確実に伝達するなどの措置を講ずる。 3 役職員等及び情報取扱事務従事者は、機密性３情報を閲覧制限の範囲外の者に提供する場合には、情報セキュリティ責任者の許可を得る。 4 役職員等及び情報取扱事務従事者は、電磁的記録を提供又は公表する場合には、当該電磁的記録からの不用意な情報漏えいを防止するための措置を講ずる。 (情報の運搬・送信)第47条 役職員等及び情報取扱事務従事者は、要保護情報が記録又は記載された記録媒体を要管理対策区域外に持ち出す場合には、安全確保に留意して運搬方法を決定し、情報の格付及び取扱制限に応じて、安全確保のための適切な措置を講ずる。 役職員等及び情報取扱事務従事者が、機密性３情報を要管理対策区域外に持ち出す場合には、暗号化措置を施した上で、課等情報セキュリティ責任者が指定する方法により運搬する。 ただし、他の機関等の要管理対策区域であって、統括情報セキュリティ責任者があらかじめ定めた区域のみに持ち出す場合は、当該区域を要管理対策区域とみなすことができる。 2 役職員等及び情報取扱事務従事者は、要保護情報である電磁的記録を電子メール等で送信する場合には、安全確保に留意して送信の手段を決定し、情報の格付及び取扱制限に応じて、安全確保のための適切な措置を講ずる。 役職員等及び情報取扱事務従事者が、機密性３情報を機構外通信回線(インターネットを除く。)を使用して送信する場合には、暗号化措置を施した上で、課等情報セキュリティ責任者が指定する方法により送信する。 ただし、機構が、機密性3情報について国の行政機関と同等の取扱いを行っている場合は、国の行政機関と同等の措置を講ずることをもって代えることができる。 (情報の消去)第48条 役職員等及び情報取扱事務従事者は、電磁的記録媒体に保存された情報が業務上不要となった場合は、速やかに情報を消去する。 2 役職員等及び情報取扱事務従事者は、電磁的記録媒体を廃棄する場合には、当該記録媒体内に情報が残留した状態とならないよう、全ての情報を復元できないように抹消する。 3 役職員等及び情報取扱事務従事者は、要機密情報である書面を廃棄する場合には、復元が困難な状態にする。 (情報のバックアップ)第49条 役職員等及び情報取扱事務従事者は、情報の格付に応じて、適切な方法で情報のバックアップを実施する。 2 役職員等及び情報取扱事務従事者は、取得した情報のバックアップについて、格付及び取扱制限に従って保存場所、保存方法、保存期間等を定め、適切に管理する。 3 役職員等及び情報取扱事務従事者は、保存期間を過ぎた情報のバックアップについては、前条の規定に従い、適切な方法で消去、抹消又は廃棄する。 第2章 情報を取り扱う区域の管理第1節 情報を取り扱う区域の管理(要管理対策区域における対策の基準の決定)第50条 統括情報セキュリティ責任者は、要管理対策区域の範囲を定める。 2 統括情報セキュリティ責任者は、要管理対策区域の特性に応じて、以下の観点を全て含む対策の基準を運用規程として定める。 73/135(1) 許可されていない者が容易に立ち入ることができないようにするための、施錠可能な扉、間仕切り等の施設の整備、設備の設置等の物理的な対策(2) 許可されていない者の立入りを制限するため及び立入りを許可された者による立入り時の不正な行為を防止するための入退管理対策(区域ごとの対策の決定)第51条 情報セキュリティ責任者は、統括情報セキュリティ責任者が定めた対策の基準を踏まえ、施設及び環境に係る対策を行う単位ごとの区域を定める。 2 区域情報セキュリティ責任者は、管理する区域について、統括情報セキュリティ責任者が定めた対策の基準と、周辺環境や当該区域で行う業務の内容、取り扱う情報等を勘案し、当該区域において実施する対策を決定する。 (要管理対策区域における対策の実施)第52条 区域情報セキュリティ責任者は、管理する区域に対して定めた対策を実施する。 役職員等及び情報取扱事務従事者が実施すべき対策については、役職員等及び情報取扱事務従事者が認識できる措置を講ずる。 2 区域情報セキュリティ責任者は、災害から要安定情報を取り扱う情報システムを保護するために物理的な対策を講ずる。 3 役職員等及び情報取扱事務従事者は、利用する区域について区域情報セキュリティ責任者が定めた対策に従って利用する。 4 役職員等及び情報取扱事務従事者が機構外の者を立ち入らせる際には、当該機構外の者にも当該区域で定められた対策に従って利用させる。 第4編 外部委託第1章 業務委託第1節 業務委託(業務委託に係る運用規程の整備)第53条 統括情報セキュリティ責任者は、業務委託に係る次の内容を全て含む運用規程を整備する。 (1) 委託先への提供を認める情報及び委託する業務の範囲を判断する基準(以下本節において「委託判断基準」という。)(2) 委託先の選定基準(業務委託実施前の対策)第54条 情報セキュリティ責任者は、業務委託の実施までに、以下を全て含む事項を実施する。 (1) 委託する業務内容の特定(2) 委託先の選定条件を含む仕様の策定(3) 仕様に基づく委託先の選定(4) 契約の締結(5) 委託先に要機密情報を提供する場合は、秘密保持契約(NDA)の締結2 情報セキュリティ責任者は、以下を全て含む情報セキュリティ対策を実施することを委託先の選定条件とし、その旨を仕様に含める。 (1) 委託先に提供する情報の委託先における目的外利用の禁止(2) 委託先における情報の適正な取扱いのための情報セキュリティ対策の実施内容及び管理体制(3) 情報セキュリティインシデントへの対処方法(4) 情報セキュリティ対策その他の契約の履行状況の確認方法(5) 情報セキュリティ対策の履行が不十分な場合の対処方法74/1353 情報セキュリティ責任者は、委託する業務において取り扱う情報の格付等を勘案し、必要に応じて以下の内容を仕様に含める。 (1) 情報セキュリティ監査の受入れ(2) サービスレベルの保証4 情報セキュリティ責任者は、委託先との情報の受渡し方法や委託業務終了時の情報の廃棄方法等を含む情報の取扱手順について委託先と合意し、定められた手順により情報を取り扱う。 5 情報セキュリティ責任者は、委託先がその役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、本条第2項及び第3項の措置の実施を委託先に担保させるとともに、再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を機構に提供し、機構の承認を受けるよう、仕様に含める。 また、委託判断基準及び委託先の選定基準に従って再委託の承認の可否を判断する。 6 情報セキュリティ責任者は、業務委託の実施までに、委託の前提条件として、以下を全て含む事項の実施を委託先に求める。 (1) 仕様に準拠した提案(2) 契約の締結(3) 委託先において要機密情報を取り扱う場合は、秘密保持契約(NDA)の締結7 情報セキュリティ責任者は、以下を全て含む委託先における情報セキュリティ対策の遵守方法、情報セキュリティ管理体制等に関する確認書等を提出させること。 また、変更があった場合は、速やかに再提出させること(1) 当該委託業務に携わる者の特定(2) 当該委託業務に携わる者が実施する具体的な情報セキュリティ対策の内容(業務委託実施期間中の対策)第55条 情報セキュリティ責任者は、業務委託の実施期間において以下を全て含む対策を実施する。 (1) 委託判断基準に従った要保護情報の提供(2) 契約に基づき委託先に実施させる情報セキュリティ対策の履行状況の定期的な確認(3) 委託した業務において、情報セキュリティインシデントの発生若しくは情報の目的外利用等を認知した場合又はその旨の報告を役職員等又は情報取扱事務従事者より受けた場合における、委託事業の一時中断などの必要な措置を含む、契約に基づく対処の要求2 情報セキュリティ責任者は、業務委託の実施期間において以下を全て含む対策の実施を委託先に求める。 (1) 情報の適正な取扱いのための情報セキュリティ対策(2) 契約に基づき委託先が実施する情報セキュリティ対策の履行状況の定期的な報告(3) 委託した業務において、情報セキュリティインシデントの発生又は情報の目的外利用等を認知した場合における、委託事業の一時中断などの必要な措置を含む対処(業務委託終了時の対策)第56条 情報セキュリティ責任者は、業務委託の終了に際して以下を全て含む対策を実施する。 (1) 業務委託の実施期間を通じてセキュリティ対策が適切に実施されたことの確認を含む検収75/135(2) 委託先に提供した情報を含め、委託先において取り扱われた情報が確実に返却、廃棄又は抹消されたことの確認2 情報セキュリティ責任者は、契約に基づき、業務委託の終了に際して以下を全て含む対策の実施を委託先に求める。 (1) 業務委託の実施期間を通じてセキュリティ対策が適切に実施されたことの報告を含む検収の受検(2) 提供を受けた情報を含め、委託業務において取り扱った情報の返却、廃棄又は抹消第2節 情報システムに関する業務委託(情報システムに関する業務委託における共通的対策)第57条 情報システムセキュリティ責任者は、情報システムに関する業務委託の実施までに、委託先の選定条件に情報システムに機構の意図せざる変更が加えられないための対策に係る選定条件を加え、仕様を策定する。 2 情報システムセキュリティ責任者は、委託先の選定に際し、以下を全て含む情報セキュリティ対策を実施することを情報システムに関する業務委託先の選定条件に加え、その旨を仕様に含める。 (1) 委託先企業若しくはその従業員、再委託先企業若しくはその従業員又はその他の者によって、情報システムに機構の意図せざる変更が加えられないための管理体制(2) 委託先の資本関係、役員等の情報、委託事業の実施場所並びに委託事業従事者の所属、専門性(情報セキュリティに係る資格(情報処理安全確保支援士等)及び研修実績等)、実績及び国籍に関する情報提供(情報システムの構築を業務委託する場合の対策)第58条 情報システムセキュリティ責任者は、情報システムの構築を業務委託する場合は、契約に基づき、以下を全て含む対策の実施を委託先に求める。 (1) 情報システムのセキュリティ要件の適切な実装(2) 情報セキュリティの観点に基づく試験の実施(3) 情報システムの開発環境及び開発工程における情報セキュリティ対策(情報システムの運用・保守を業務委託する場合の対策)第59条 情報システムセキュリティ責任者は、情報システムの運用・保守を業務委託する場合は、情報システムに実装されたセキュリティ機能が適切に運用されるための要件について、契約に基づき、委託先に実施を求める。 2 情報システムセキュリティ責任者は、情報システムの運用・保守を業務委託する場合は、委託先が実施する情報システムに対する情報セキュリティ対策を適切に把握するため、当該対策による情報システムの変更内容について、契約に基づき、委託先に速やかな報告を求める。 (機構向けに情報システムの一部の機能を提供するサービスを利用する場合の対策)第60条 情報システムセキュリティ責任者は、機構外の一般の者が機構向けに要機密情報を取り扱う情報システムの一部の機能を提供するサービス(クラウドサービスを除く。)(以下「業務委託サービス」という。)を利用するため、情報システムに関する業務委託を実施する場合は、委託先の選定条件に業務委託サービスに特有の選定条件を加える。 2 情報システムセキュリティ責任者は、業務委託サービスの中断や終了時に円滑に業務を移行するための対策として、以下を例とするセキュリティ対策を実施することを委託先の選定条件に加え、仕様にも含める。 76/135(1) 取り扱う情報の可用性区分の格付に応じた、業務委託サービス中断時の復旧要件(2) 取り扱う情報の可用性区分の格付に応じた、業務委託サービス終了又は変更の際の事前告知の方法・期限及びデータ移行方法3 情報システムセキュリティ責任者は、業務委託サービスの利用を通じて機構が取り扱う情報に対して国内法以外の法令及び規制が適用されるリスクを評価して委託先を選定し、必要に応じて機構の情報が取り扱われる場所及び契約に定める準拠法・裁判管轄を委託先の選定条件に含め、仕様にも含める。 4 情報システムセキュリティ責任者は、取り扱う情報の格付及び取扱制限に応じてセキュリティ要件を定め、業務委託サービスを選定する。 また、業務委託サービスのセキュリティ要件としてセキュリティに係る国際規格等と同等以上の水準を求める。 5 情報システムセキュリティ責任者は、情報セキュリティ監査による報告書の内容、各種の認定・認証制度の適用状況等から、業務委託先の信頼性が十分であることを総合的・客観的に評価し判断する。 6 情報システムセキュリティ責任者は業務委託サービスを利用する場合には統括情報セキュリティ責任者へ当該サービスの利用申請を行う。 7 統括情報セキュリティ責任者は、業務委託サービスの利用申請を受けた場合は、当該利用申請を審査し、利用の可否を決定する。 8 統括情報セキュリティ責任者は、業務委託サービスの利用申請を承認した場合は、承認済み業務委託サービスとして記録し、業務委託サービス管理者を指名する。 第2章 クラウドサービス第1節 クラウドサービスの選定(要機密情報を取り扱う場合)(クラウドサービスの選定に係る運用規程の整備)第61条 統括情報セキュリティ責任者は、以下を全て含むクラウドサービス(要機密情報を取り扱う場合)の選定に関する運用規程を整備する。 (1) クラウドサービスを利用可能な業務及び情報システムの範囲並びに情報の取扱いを許可する場所を判断する基準(以下本章において「クラウドサービス利用判断基準」という。)(2) クラウドサービス提供者の選定基準(3) クラウドサービスの利用申請の許可権限者と利用手続(4) クラウドサービス管理者の指名とクラウドサービス利用状況の管理(クラウドサービスの選定)第62条 情報システムセキュリティ責任者は、取り扱う情報の格付及び取扱制限を踏まえ、クラウドサービス利用判断基準に従って業務に係る影響度等を検討した上でクラウドサービスの利用を検討する。 2 情報システムセキュリティ責任者は、取り扱う情報の格付及び取扱制限並びにクラウドサービス提供者との情報セキュリティに関する役割及び責任の範囲を踏まえて、以下を全て含むセキュリティ要件を定める。 (1) クラウドサービスに求める情報セキュリティ対策(2) クラウドサービスで取り扱う情報が保存される国・地域及び廃棄の方法(3) クラウドサービスに求めるサービスレベル3 情報システムセキュリティ責任者は、クラウドサービスの選定基準に従い、前項で定めたセキュリティ要件を踏まえて、原則としてISMAP等クラウドサービスリストからクラウドサービスを選定する。 77/135(クラウドサービスの利用に係る調達)第63条 情報システムセキュリティ責任者は、クラウドサービスを調達する場合は、クラウドサービス提供者の選定基準及び選定条件並びにクラウドサービスの選定時に定めたセキュリティ要件を調達仕様に含める。 2 情報システムセキュリティ責任者は、クラウドサービスを調達する場合は、クラウドサービス提供者及びクラウドサービスが調達仕様を満たすことを契約までに確認し、利用承認を得る。 また、調達仕様の内容を契約に含める。 (クラウドサービスの利用承認)第64条 情報システムセキュリティ責任者は、クラウドサービスを利用する場合には、利用申請の許可権限者へクラウドサービスの利用申請を行う。 2 利用申請の許可権限者は、前項におけるクラウドサービスの利用申請を審査し、許可の可否を決定する。 3 利用申請の許可権限者は、クラウドサービスの利用申請を許可した場合は、承認済みクラウドサービスとして記録し、クラウドサービス管理者を指名する。 第2節 クラウドサービスの利用(要機密情報を取り扱う場合)(クラウドサービスの利用に係る運用規程の整備)第65条 統括情報セキュリティ責任者は、クラウドサービスの特性や責任分界点に係る考え方等を踏まえ、クラウドサービスを利用して情報システムを導入・構築する際のセキュリティ対策の基本方針を運用規程として整備する。 2 統括情報セキュリティ責任者は、クラウドサービスの特性や責任分界点に係る考え方を踏まえ、クラウドサービスを利用して情報システムを運用・保守する際のセキュリティ対策の基本方針を運用規程として整備する。 3 統括情報セキュリティ責任者は、クラウドサービスの特性や責任分界点に係る考え方を踏まえ、以下を全て含むクラウドサービスの利用を終了する際のセキュリティ対策の基本方針を運用規程として整備する。 (1) クラウドサービスの利用終了時における対策(2) クラウドサービスで取り扱った情報の廃棄(3) クラウドサービスの利用のために作成したアカウントの廃棄(クラウドサービスの利用に係るセキュリティ要件の策定)第66条 クラウドサービス管理者は、クラウドサービスを利用する目的、対象とする業務等の業務要件及びクラウドサービスで取り扱われる情報の格付等に基づき、前条各項で整備した基本方針としての運用規程に従い、クラウドサービスの利用に係る内容を確認する。 2 クラウドサービス管理者は、クラウドサービスを利用する目的、対象とする業務等の業務要件及びクラウドサービスで取り扱われる情報の格付等に基づき、前条各項で整備した基本方針としての運用規程に従い、クラウドサービスの利用に係るセキュリティ要件を策定する。 (クラウドサービスを利用した情報システムの導入・構築時の対策)第67条 クラウドサービス管理者は、第65条第1項で定めた運用規程を踏まえて、前条第2項において定めるセキュリティ要件に従いクラウドサービス利用における必要な措置を講ずる。 また、導入・構築時に実施状況を確認・記録する。 2 クラウドサービス管理者は、情報システムにおいてクラウドサービスを利用する際には、情報システム台帳及び関連文書に記録又は記載する。 なお、情報システム台帳に記録又は記載した場合は、統括情報セキュリティ責任者へ報告する。 3 クラウドサービス管理者は、クラウドサービスの情報セキュリティ対策を実施するために必要となる文書として、クラウドサービスの運用開始前までに以下の78/135全ての実施手順を整備する。 (1) クラウドサービスで利用するサービスごとの情報セキュリティ水準の維持に関する手順(2) クラウドサービスを利用した情報システムの運用・監視中における情報セキュリティインシデントを認知した際の対処手順(3) 利用するクラウドサービスが停止又は利用できなくなった際の復旧手順(クラウドサービスを利用した情報システムの運用・保守時の対策)第68条 クラウドサービス管理者は、第65条第2項で定めた運用規程を踏まえて、クラウドサービスに係る運用・保守を適切に実施すること。 また、運用・保守時に実施状況を定期的に確認・記録する。 2 クラウドサービス管理者は、クラウドサービスの運用・保守時に情報セキュリティ対策を実施するために必要となる項目等で修正又は変更等が発生した場合、情報システム台帳及び関連文書を更新又は修正する。 なお、情報システム台帳を更新又は修正した場合は、統括情報セキュリティ責任者へ報告する。 3 クラウドサービス管理者は、クラウドサービスの情報セキュリティ対策について新たな脅威の出現、運用、監視等の状況により見直しを適時検討し、必要な措置を講ずる。 (クラウドサービスを利用した情報システムの更改・廃棄時の対策)第69条 クラウドサービス管理者は、第65条第3項で定めた運用規程を踏まえて、更改・廃棄時の必要な措置を講ずる。 また、クラウドサービスの利用終了時に実施状況を確認・記録する。 第3節 クラウドサービスの選定・利用(要機密情報を取り扱わない場合)(要機密情報を取り扱わない場合のクラウドサービスの利用に係る運用規程の整備)第70条 統括情報セキュリティ責任者は、以下を全て含む要機密情報を取り扱わない場合のクラウドサービスの利用に関する運用規程を整備する。 (1) クラウドサービスを利用可能な業務の範囲(2) クラウドサービスの利用申請の許可権限者と利用手続(3) クラウドサービス管理者の指名とクラウドサービスの利用状況の管理(4) クラウドサービスの利用の運用規程(要機密情報を取り扱わない場合のクラウドサービスの利用における対策の実施)第71条 情報セキュリティ責任者は、要機密情報を取り扱わないことを前提としたクラウドサービスを利用する場合、利用するサービスの定型約款、その他の提供条件等から、利用に当たってのリスクが許容できることを確認した上で利用申請の許可権限者へ要機密情報を取り扱わない場合のクラウドサービスの利用を申請する。 2 利用申請の許可権限者は、情報セキュリティ責任者が利用を申請するクラウドサービスの定型約款その他の提供条件等から、利用に当たってのリスクが許容できるかどうかについての確認の結果を踏まえて、クラウドサービスの利用申請を審査し、利用の可否を決定する。 3 利用申請の許可権限者は、要機密情報を取り扱わないクラウドサービスの利用申請を承認した場合は、クラウドサービス管理者を指名し、承認したクラウドサービスを記録する。 4 クラウドサービス管理者は、要機密情報を取り扱わないクラウドサービスを安全に利用するための適切な措置を講ずる。 79/135第3章 機器等の調達第1節 機器等の調達(機器等の調達に係る運用規程の整備)第72条 統括情報セキュリティ責任者は、機器等の選定基準を運用規程として整備する。 必要に応じて、選定基準の一つとして、機器等の開発等のライフサイクルで不正な変更が加えられない管理がなされ、その管理を機構が確認できることを加える。 2 統括情報セキュリティ責任者は、情報セキュリティ対策の視点を加味して、機器等の納入時の確認・検査手続を整備する。 第5編 情報システムのライフサイクル第1章 情報システムの分類第1節 情報システムの分類基準等の整備(情報システムにおける分類のための運用規程の整備)第73条 統括情報セキュリティ責任者は、情報システムの情報セキュリティインシデント発生時の業務影響度等を踏まえ、高度な情報セキュリティ対策が要求される情報システムを判別するための基準である情報システムの分類基準を運用規程として整備する。 (情報システムの分類基準に基づいた情報セキュリティ対策に係る運用規程の整備)第74条 統括情報セキュリティ責任者は、情報システムに求める分類基準に応じた情報システムのセキュリティ要件及び情報システムの構成要素ごとの情報セキュリティ対策の具体的な対策事項を運用規程として整備する。 (情報システムの分類基準に基づいた分類の実施)第75条 統括情報セキュリティ責任者は、情報システムの分類基準に基づいた情報システムの分類を情報システムセキュリティ責任者に実施させ、その結果を報告させる。 2 前項の報告を受けた統括情報セキュリティ責任者は、情報セキュリティインシデント発生時の業務影響度や脅威動向等を踏まえて、上位又は下位の情報システムの分類の適用が望ましい場合には情報システムセキュリティ責任者に修正の指示を行う。 (情報システムの分類基準と情報セキュリティ対策の具体的な対策事項の運用規程の見直し)第76条 統括情報セキュリティ責任者は、情報システムの分類基準と分類基準に応じた情報セキュリティ対策の具体的な対策事項の運用規程について定期的な確認による見直しをする。 2 統括情報セキュリティ責任者は、全ての情報システムが分類基準に基づいて適切に分類が行われていることを定期的に確認する。 第2章 情報システムのライフサイクルの各段階における対策第1節 情報システムの企画・要件定義(実施体制の確保)第77条 情報システムセキュリティ責任者は、情報システムのライフサイクル全般にわたって情報セキュリティの維持が可能な体制の確保を、最高情報セキュリティ責任者に求める。 2 最高情報セキュリティ責任者は、前項で求められる体制の確保に際し、情報システムを統括する責任者(独立行政法人国際協力機構情報システム管理規程(平成20年9月30日規程(情)第25号)第3条の2第1項に定める情報システム部担当理80/135事)の協力を得ることが必要な場合は、当該情報システムを統括する責任者に当該体制の全部又は一部の整備を求める。 (情報システムの分類基準に基づいた分類の実施)第78条 情報システムセキュリティ責任者は、情報システムを新規に構築し、又は更改する際には、情報システムの分類基準に基づいて情報システムの分類を行い、統括情報セキュリティ責任者に報告する。 (情報システムのセキュリティ要件の策定)第79条 情報システムセキュリティ責任者は、情報システムを構築する目的、対象とする業務等の業務要件及び当該情報システムで取り扱われる情報の格付等を勘案し情報システムの分類に基づき、情報システムに求める分類基準に応じた具体的な対策事項を踏まえて、以下の全ての事項を含む情報システムのセキュリティ要件を策定する。 (1) 情報システムに組み込む主体認証、アクセス制御、権限管理、ログ管理、暗号化機能等のセキュリティ機能要件(2) 情報システム運用時の監視等の運用管理機能要件(監視するデータが暗号化されている場合は、必要に応じて復号すること)(3) 情報システムに関連する脆弱性及び不正プログラムについての対策要件(4) 情報システムの可用性に関する対策要件(5) 情報システムのネットワーク構成に関する要件2 情報システムセキュリティ責任者は、インターネット回線と接続する情報システムを構築する場合は、接続するインターネット回線を定めた上で、標的型攻撃を始めとするインターネットから様々なサイバー攻撃による情報の漏えい、改ざん等のリスクを低減するための多重防御のためのセキュリティ要件を策定する。 3 情報システムセキュリティ責任者は、機器等を調達する場合には、経済産業省が公表する「IT製品の調達におけるセキュリティ要件リスト」を参照し、利用環境における脅威を分析した上で、当該機器等に存在する情報セキュリティ上の脅威に対抗するためのセキュリティ要件を策定する。 4 情報システムセキュリティ責任者は、構築する情報システムが取り扱う情報や情報システムを利用して行う業務の内容等を踏まえ高度な情報セキュリティ対策を要求する情報システムについては、情報システムの分類に応じて策定したセキュリティ要件について、最高情報セキュリティアドバイザー等へ助言を求め、業務の特性や情報システムの特性を踏まえて、上位の情報セキュリティ対策をセキュリティ要件として盛り込む必要が無いかを確認する。 第2節 情報システムの調達・構築(情報システムの構築時の対策)第80条 情報システムセキュリティ責任者は、情報システムの構築において、情報セキュリティの観点から必要な措置を講ずる。 2 情報システムセキュリティ責任者は、構築した情報システムを運用保守段階へ移行するに当たり、移行手順及び移行環境に関して、情報セキュリティの観点から必要な措置を講ずる。 3 情報システムセキュリティ責任者は、情報システムを新規に構築し、又は更改する際には、情報システム台帳のセキュリティ要件に係る内容を記録又は記載し、当該内容について統括情報セキュリティ責任者に報告する。 4 情報システムセキュリティ責任者は、所管する情報システムの情報セキュリティ対策を実施するために必要となる文書として、以下を全て含む情報システム関連文書を整備する。 81/135(1) 情報システムを構成するサーバ装置及び端末関連情報(2) 情報システムを構成する通信回線及び通信回線装置関連情報5 情報システムセキュリティ責任者は、所管する情報システムの情報セキュリティ対策を実施するために必要となる文書として、以下を全て含む実施手順を整備する。 (1) 情報システム構成要素ごとの情報セキュリティ水準の維持に関する手順(2) 情報セキュリティインシデントを認知した際の対処手順(3) 情報システムが停止した際の復旧手順(納品検査時の対策)第81条 情報システムセキュリティ責任者は、機器等の納入時又は情報システムの受入れ時の確認・検査において、仕様書等に定められた検査手続に従い、情報セキュリティ対策に係る要件が満たされていることを確認する。 2 情報システムセキュリティ責任者は、情報システムが構築段階から運用保守段階へ移行する際に、当該情報システムの開発事業者から運用保守事業者へ引継がれる項目に、情報セキュリティ対策に必要な内容が含まれていることを確認する。 第3節 情報システムの運用・保守(情報システムの運用・保守時の対策)第82条 情報システムセキュリティ責任者は、情報システムの運用・保守において、情報システムに実装された監視を含むセキュリティ機能を適切に運用する。 2 情報システムセキュリティ責任者は、不正な行為及び意図しない情報システムへのアクセス等の事象が発生した際に追跡できるように、運用・保守に係る作業についての記録を管理し、運用・保守によって機器の構成や設定情報等に変更があった場合は、情報セキュリティ対策が適切であるか確認し、必要に応じて見直す。 3 情報システムセキュリティ責任者は、情報システムの運用・保守において、情報システム台帳及び関連文書の内容に変更が生じた場合、情報システム台帳及び関連文書を更新又は修正する。 なお、情報システム台帳を更新又は修正した場合は、統括情報セキュリティ責任者へ報告する。 4 情報システムセキュリティ責任者は、情報システムの情報セキュリティ対策について新たな脅威の出現、運用、監視等の状況により見直しを適時検討し、必要な措置を講ずる。 5 情報システムセキュリティ責任者は、要安定情報を取り扱う情報システムについて、危機的事象発生時に適切な対処が行えるよう運用をする。 第4節 情報システムの更改・廃棄(情報システムの更改・廃棄時の対策)第83条 情報システムセキュリティ責任者は、情報システムの更改又は廃棄を行う場合は、当該情報システムに保存されている情報について、当該情報の格付及び取扱制限を考慮した上で、以下を全て含む措置を適切に講ずる。 (1) 情報システム更改時の情報の移行作業における情報セキュリティ対策(2) 情報システム廃棄時の不要な情報の抹消(電磁的記録媒体に記録された全ての情報を利用不能かつ復元が困難な状態にすること)第5節 情報システムについての対策の見直し(情報システムについての対策の見直し)第84条 情報システムセキュリティ責任者は、対策推進計画に基づき情報システムの情報セキュリティ対策を適切に見直す。 82/1352 情報システムセキュリティ責任者は、機構内で横断的に改善が必要となる情報セキュリティ対策の見直しを適時検討し、必要な改善指示に基づき、情報セキュリティ対策を適切に見直す。 また、措置の結果については、統括情報セキュリティ責任者へ報告する。 第3章 情報システムの運用継続計画第1節 情報システムの運用継続計画の整備・整合的運用の確保(情報システムの運用継続計画の整備・整合的運用の確保)第85条 統括情報セキュリティ責任者は、機構において非常時優先業務を支える情報システムの運用継続計画を整備する場合は、危機的事象発生時における情報セキュリティに係る対策事項、運用規程及び実施手順の整備を検討する。 2 統括情報セキュリティ責任者は、情報システムの運用継続計画に沿って、危機的事象発生時における情報セキュリティに係る対策事項、運用規程及び実施手順が運用可能であるかを定期的に確認する。 3 統括情報セキュリティ責任者は、情報システムの運用継続計画に沿って、危機的事象発生時における情報セキュリティに係る対策事項、運用規程及び実施手順を定期的に見直す。 第4章 政府共通利用型システム第1節 政府共通利用型システム利用時の対策(政府共通利用型システム利用時の体制の整備)第86条 情報システムセキュリティ責任者は、政府共通利用型システムが提供するセキュリティ機能を利用して情報システムを構築する場合は、政府共通利用型システム管理機関が定める運用管理規程に応じた体制の確保を、最高情報セキュリティ責任者に求める。 2 統括情報セキュリティ責任者は、政府共通利用型システムが提供する機器等の提供を受けこれを役職員等が利用する場合は、当該利用に係る情報セキュリティ対策に関する事務を統括する管理者として、政府共通利用型システムごとに政府共通利用型システム利用管理者を指名する。 3 政府共通利用型システム利用管理者は、当該政府共通利用型システムの利用に際し、当該政府共通利用型システム管理機関が定める運用管理規程に応じた体制の確保を、最高情報セキュリティ責任者に求める。 (政府共通利用型システム利用時の情報セキュリティ対策)第87条 情報システムセキュリティ責任者は、政府共通利用型システムが提供するセキュリティ機能を利用する情報システムを構築する場合は、政府共通利用型システム管理機関が定める運用管理規程に基づき、政府共通利用型システムの情報セキュリティ水準を低下させることのないように、適切にセキュリティ要件を策定し、運用する。 2 情報システムセキュリティ責任者は、政府共通利用型システム管理機関が定める運用管理規程に基づき、政府共通利用型システムに関する情報セキュリティインシデントに適切に対処する。 (政府共通利用型システム利用時の機器等の管理)第88条 政府共通利用型システム利用管理者は、政府共通利用型システムが提供する機器等の提供を受けてこれを役職員等が利用する場合は、当該政府共通利用型システムの利用に関する情報セキュリティ対策に係る運用規程及び実施手順を整備する。 2 政府共通利用型システム利用管理者は、提供を受けた政府共通利用型システムの機器等を把握するために必要な文書を整備する。 83/1353 政府共通利用型システム利用管理者は、政府共通利用型システム管理機関が情報システム台帳や情報システム関連文書を整備するために必要な情報について、政府共通利用型システム管理機関に提供するとともに、当該情報に変更が生じた場合は速やかに通知する。 4 政府共通利用型システム利用管理者は、政府共通利用型システム管理機関が定める運用管理規程に基づき、政府共通利用型システムに関する情報セキュリティインシデントに適切に対処する。 第6編 情報システムの構成要素第1章 端末第1節 端末(端末の導入時の対策)第89条 情報システムセキュリティ責任者は、要保護情報を取り扱う物理的な端末について、端末の盗難、不正な持ち出し、第三者による不正操作、表示用デバイスの盗み見等の物理的な脅威から保護するための対策を講ずる。 2 情報システムセキュリティ責任者は、多様なソフトウェアを利用することにより脆弱性が存在する可能性が増大することを防止するため、端末で利用を認めるソフトウェアを定め、それ以外のソフトウェアは利用させない。 3 情報システムセキュリティ責任者は、端末に接続を認める機器等を定め、接続を認めた機器等以外は接続させない。 4 情報システムセキュリティ責任者は、情報システムのセキュリティ要件として策定した内容に従い、端末に対して適切なセキュリティ対策を実施する。 5 情報システムセキュリティ責任者は、端末において利用するソフトウェアに関連する公開された脆弱性について対策を実施する。 (端末の運用時の対策)第90条 情報システムセキュリティ責任者は、利用を認めるソフトウェアについて、定期的に見直しを行う。 2 情報システムセキュリティ責任者は、所管する範囲の端末で利用されている全てのソフトウェアの状態を定期的に調査し、不適切な状態にある端末を検出等した場合には、改善を図る。 (端末の運用終了時の対策)第91条 情報システムセキュリティ責任者は、端末の運用を終了する際に、端末の電磁的記録媒体の全ての情報を抹消する。 第2節 要管理対策区域外での端末利用時の対策(機構が支給する端末(要管理対策区域外で使用する場合に限る。)の導入及び利用に係る運用規程の整備)第92条 統括情報セキュリティ責任者は、機構が支給する物理的な端末(要管理対策区域外で使用する場合に限る。)を役職員等及び情報取扱事務従事者が用いて要保護情報を取り扱う場合について、これらの端末や利用した通信回線から情報が漏えいするなどのリスクを踏まえた利用手順及び許可手続を実施手順として定める。 2 統括情報セキュリティ責任者は、要機密情報を取り扱う機構が支給する物理的な端末(要管理対策区域外で使用する場合に限る。)について、盗難、紛失、不正プログラムの感染等により情報窃取されることを防止するための技術的な措置に関する運用規程を整備する。 3 統括情報セキュリティ責任者は、要管理対策区域外において機構外通信回線に接続した機構が支給する物理的な端末を機構内通信回線に接続することについて84/135の可否を判断した上で、可と判断する場合は、当該端末から機構内通信回線を経由して情報システムが不正プログラムに感染するリスクを踏まえた技術的な措置に関する運用規程を定める。 (機関等が支給する端末(要管理対策区域外で使用する場合に限る。)の導入及び利用時の対策)第93条 情報システムセキュリティ責任者は、機構が支給する物理的な端末(要管理対策区域外で使用する場合に限る。)を役職員等及び情報取扱事務従事者が用いて要機密情報を取り扱う場合は、当該端末について前条第2項の技術的な措置を講ずる。 2 情報システムセキュリティ責任者は、要管理対策区域外において機構外通信回線に接続した機構が支給する物理的な端末を機構内通信回線に接続させる際、当該端末について前条第3項の技術的な措置を講ずる。 第3節 機構支給以外の端末の導入及び利用時の対策(機構支給以外の端末の利用可否の判断)第94条 最高情報セキュリティ責任者は、機構支給以外の端末の利用について、取り扱うこととなる情報の格付け及び取扱制限、機構が講じる安全管理措置、当該端末の管理は機構ではなくその所有者が行うこと等を踏まえ、求められる情報セキュリティの水準の達成の見込みを勘案し、機構における機構支給以外の端末の利用の可否を判断する。 (機構支給以外の端末の利用に関する運用規程等の整備)第95条 統括情報セキュリティ責任者は、役職員等及び情報取扱事務従事者が機構支給以外の端末を用いて機構の業務に係る情報処理を行う場合の許可等の手続を実施手順として定める。 2 統括情報セキュリティ責任者は、役職員等及び情報取扱事務従事者が機構支給以外の端末を用いて要保護情報を取り扱う場合について、盗難、紛失、不正プログラムの感染等により情報窃取されるなどのリスクを踏まえた利用手順及び許可手続を実施手順として定める。 3 統括情報セキュリティ責任者は、要機密情報を取り扱う機構支給以外の端末について、盗難、紛失、不正プログラムの感染等により情報窃取されることを防止するための技術的な措置を含めた安全管理措置に関する運用規程を整備する。 4 統括情報セキュリティ責任者は、要管理対策区域外において機構外通信回線に接続した機構支給以外の端末を機構内通信回線に接続することについての可否を判断した上で、可と判断する場合は、当該端末から機構内通信回線を経由して情報システムが不正プログラムに感染するリスクを踏まえた安全管理措置に関する運用規程及び許可手続に関する実施手順を定める。 (機構支給以外の端末の利用に関する責任者の策定)第96条 情報セキュリティ責任者は、機構支給以外の端末を用いた機構の業務に係る情報処理に関する安全管理措置の実施状況を管理する責任者(以下「端末管理責任者」という。)を定める。 (機構支給以外の端末の利用時の対策)第97条 役職員等及び情報取扱事務従事者は、機構支給以外の端末を用いて機構の業務に係る情報処理を行う場合には、端末管理責任者の許可を得る。 2 役職員等及び情報取扱事務従事者は、機構支給以外の端末を用いて要保護情報を取り扱う場合は、第95条第2項で定める利用手順に従う。 3 端末管理責任者は、要機密情報を取り扱う機構支給以外の端末について、第95条第3項に定める安全管理措置を講じ、又は役職員等及び情報取扱事務従事者に85/135講じさせる。 4 役職員等及び情報取扱事務従事者は、情報処理の目的を完了した場合は、要保護情報を機構支給以外の端末から消去する。 第2章 サーバ装置第1節 サーバ装置(サーバ装置の導入時の対策)第98条 情報システムセキュリティ責任者は、要保護情報を取り扱うサーバ装置について、物理的なサーバ装置の盗難、不正な持ち出し、不正な操作、表示用デバイスの盗み見等の物理的な脅威から保護するための対策を講ずる。 2 情報システムセキュリティ責任者は、障害や過度のアクセス等によりサービスが提供できない事態となることを防ぐため、要安定情報を取り扱う情報システムについて、サービス提供に必要なサーバ装置を冗長構成にするなどにより可用性を確保する。 3 情報システムセキュリティ責任者は、多様なソフトウェアを利用することにより脆弱性が存在する可能性が増大することを防止するため、サーバ装置で利用を認めるソフトウェアを定め、それ以外のソフトウェアは利用させない。 4 情報システムセキュリティ責任者は、サーバ装置に接続を認めた機器等を定め、接続を認めた機器等以外は接続させない。 5 情報システムセキュリティ責任者は、情報システムのセキュリティ要件として策定した内容に従い、サーバ装置に対して適切なセキュリティ対策を実施する。 6 情報システムセキュリティ責任者は、サーバ装置において利用するソフトウェアに関連する公開された脆弱性について対策を実施する。 7 情報システムセキュリティ責任者は、要安定情報を取り扱うサーバ装置については、適切な方法でサーバ装置のバックアップを取得する。 (サーバ装置の運用時の対策)第99条 情報システムセキュリティ責任者は、利用を認めるソフトウェアについて定期的な確認による見直しを行う。 2 情報システムセキュリティ責任者は、所管する範囲のサーバ装置の構成やソフトウェアの状態を定期的に確認し、不適切な状態にあるサーバ装置を検出等した場合には改善を図る。 3 情報システムセキュリティ責任者は、サーバ装置上での情報セキュリティインシデントの発生を監視するため、当該サーバ装置を監視するための措置を講ずる。 4 情報システムセキュリティ責任者は、要安定情報を取り扱うサーバ装置について、危機的事象発生時に適切な対処が行えるよう運用をする。 (サーバ装置の運用終了時の対策)第100条 情報システムセキュリティ責任者は、サーバ装置の運用を終了する際に、サーバ装置の電磁的記録媒体の全ての情報を抹消する。 第2節 電子メール(電子メールの導入時の対策)第101条 情報システムセキュリティ責任者は、電子メールサーバが電子メールの不正な中継を行わないように設定する。 2 情報システムセキュリティ責任者は、電子メールクライアントから電子メールサーバへの電子メールの受信時及び送信時に主体認証を行う機能を備える。 3 情報システムセキュリティ責任者は、電子メールのなりすましの防止策を講ずる。 86/1354 情報システムセキュリティ責任者は、インターネットを介して通信する電子メールの盗聴及び改ざんの防止のため、電子メールのサーバ間通信の暗号化の対策を講ずる。 第3節 ウェブ(ウェブサーバの導入・運用時の対策)第102条 情報システムセキュリティ責任者は、脆弱性が存在する可能性が増大することを防止するため、ウェブサーバが備える機能のうち、必要な機能のみを利用する。 2 情報システムセキュリティ責任者は、ウェブサーバからの不用意な情報漏えいを防止するための措置を講ずる。 3 情報システムセキュリティ責任者は、ウェブコンテンツの編集作業を行う主体を限定する。 4 情報システムセキュリティ責任者は、インターネットを介して転送される情報の盗聴及び改ざんの防止のため、全ての情報に対する暗号化の機能及び電子証明書による認証の対策を講ずる。 第4節 ドメインネームシステム(DNS)(DNSの導入時の対策)第103条 情報システムセキュリティ責任者は、要安定情報を取り扱う情報システムの名前解決を提供するコンテンツサーバにおいて、名前解決を停止させないための措置を講ずる。 2 情報システムセキュリティ責任者は、キャッシュサーバにおいて、名前解決の要求への適切な応答をするための措置を講ずる。 3 情報システムセキュリティ責任者は、コンテンツサーバにおいて、機構のみで使用する名前の解決を提供する場合、当該コンテンツサーバで管理する情報が外部に漏えいしないための措置を講ずる。 (DNSの運用時の対策)第104条 情報システムセキュリティ責任者は、コンテンツサーバを複数台設置する場合は、管理するドメインに関する情報についてサーバ間で整合性を維持する。 2 情報システムセキュリティ責任者は、コンテンツサーバにおいて管理するドメインに関する情報が正確であることを定期的に確認する。 3 情報システムセキュリティ責任者は、キャッシュサーバにおいて、名前解決の要求への適切な応答を維持するための措置を講ずる。 第5節 データベース(データベースの導入・運用時の対策)第105条 情報システムセキュリティ責任者は、データベースに対する内部不正を防止するため、管理者アカウントの適正な権限管理を行う。 2 情報システムセキュリティ責任者は、データベースに格納されているデータにアクセスした利用者を特定できるように、措置を講ずる。 3 情報システムセキュリティ責任者は、データベースに格納されているデータに対するアクセス権を有する利用者によるデータの不正な操作を検知できるよう、対策を講ずる。 4 情報システムセキュリティ責任者は、データベース及びデータベースにアクセスする機器等の脆弱性を悪用した、データの不正な操作を防止するための対策を講ずる。 87/1355 情報システムセキュリティ責任者は、データの窃取、電磁的記録媒体の盗難等による情報の漏えいを防止する必要がある場合は、適切に暗号化をする。 第3章 複合機・特定用途機器第1節 複合機・特定用途機器(複合機)第106条 情報システムセキュリティ責任者は、複合機を調達する際には、当該複合機が備える機能、設置環境並びに取り扱う情報の格付及び取扱制限に応じ、適切なセキュリティ要件を策定する。 2 情報システムセキュリティ責任者は、複合機が備える機能について適切な設定等を行うことにより運用中の複合機に対する情報セキュリティインシデントへの対策を講ずる。 3 情報システムセキュリティ責任者は、複合機の運用を終了する際に、複合機の電磁的記録媒体の全ての情報を抹消する。 (IoT機器を含む特定用途機器)第107条 情報システムセキュリティ責任者は、特定用途機器について、取り扱う情報、利用方法、通信回線への接続形態等により脅威が存在する場合には、当該機器の特性に応じた対策を講ずる。 第4章 通信回線第1節 通信回線(通信回線の導入時の対策)第108条 情報システムセキュリティ責任者は、通信回線構築時に、当該通信回線に接続する情報システムにて取り扱う情報の格付及び取扱制限に応じた適切な回線種別を選択し、情報セキュリティインシデントによる影響を回避するために、通信回線に対して必要な対策を講ずる。 2 情報システムセキュリティ責任者は、通信回線において、サーバ装置及び端末のアクセス制御及び経路制御を行う機能を設ける。 3 情報システムセキュリティ責任者は、要機密情報を取り扱う情報システムを通信回線に接続する際に、通信内容の秘匿性の確保が必要と考える場合は、通信内容の秘匿性を確保するための措置を講ずる。 4 情報システムセキュリティ責任者は、役職員等及び情報取扱事務従事者が通信回線へ情報システムを接続する際に、当該情報システムが接続を許可されたものであることを確認するための措置を講ずる。 機構内通信回線へ機構支給以外の端末を接続する際も同様とする。 5 情報システムセキュリティ責任者は、要安定情報を取り扱う情報システムが接続される通信回線について、当該通信回線の継続的な運用を可能とするための措置を講ずる。 (機構外通信回線の接続時の対策)第109条 情報システムセキュリティ責任者は、機構内通信回線にインターネット回線、公衆通信回線等の機構外通信回線を接続する場合には、機構内通信回線及び当該機構内通信回線に接続されている情報システムの情報セキュリティを確保するための措置を講ずる。 2 情報システムセキュリティ責任者は、機構内通信回線と機構外通信回線との間及び機構内通信回線内の不正な通信の有無を監視するための措置を講ずる。 3 情報システムセキュリティ責任者は、保守又は診断のために、機構外通信回線から機構内通信回線に接続された機器等に対して行われるリモートメンテナンスに係る情報セキュリティを確保する。 88/1354 情報システムセキュリティ責任者は、電気通信事業者の通信回線サービスを利用する場合には、当該通信回線サービスの情報セキュリティ水準及びサービスレベルを確保するための措置について、情報システムの構築を委託する事業者と契約時に取り決めておく。 (通信回線の運用時の対策)第110条 情報システムセキュリティ責任者は、経路制御及びアクセス制御を適切に運用し、通信回線や通信要件の変更の際及び定期的に、経路制御及びアクセス制御の設定の確認及び見直しを行う。 2 情報システムセキュリティ責任者は、機構内通信回線と機構外通信回線との間及び機構内通信回線内の不正な通信の有無を監視するための監視対象や監視方法等について、定期的な確認による見直しをする。 3 情報システムセキュリティ責任者は、保守又は診断のために、機構外通信回線から機構内通信回線に接続された機器等に対して行われるリモートメンテナンスに係る情報セキュリティ対策について、定期的な確認による見直しをする。 4 情報システムセキュリティ責任者は、情報システムの情報セキュリティの確保が困難な事由が発生した場合には、当該情報システムが他の情報システムと共有している通信回線について、共有先の他の情報システムを保護するため、当該通信回線とは別に独立した閉鎖的な通信回線に構成を変更する。 第2節 通信回線装置(通信回線装置の導入時の対策)第111条 情報システムセキュリティ責任者は、物理的な通信回線装置を設置する場合、第三者による破壊や不正な操作等が行われないようにする。 2 情報システムセキュリティ責任者は、通信回線装置が動作するために必要なソフトウェアに関する事項を含む実施手順を定める。 3 情報システムセキュリティ責任者は、情報システムのセキュリティ要件として策定した情報システムのネットワーク構成に関する要件内容に従い、通信回線装置に対して適切なセキュリティ対策を実施する。 4 情報システムセキュリティ責任者は、通信回線装置において利用するソフトウェアに関連する公開された脆弱性について対策を実施する。 (通信回線装置の運用時の対策)第112条 情報システムセキュリティ責任者は、通信回線装置の運用・保守に関わる作業等により通信回線装置の設定変更等を実施する場合は、情報セキュリティインシデント発生時の調査対応のための作業記録を取得し保管する。 2 情報システムセキュリティ責任者は、要安定情報を取り扱う情報システムを構成する通信回線装置については、運用状態を復元するために必要な設定情報等のバックアップを取得し保管する。 3 情報システムセキュリティ責任者は、通信回線装置が動作するために必要なソフトウェアの状態等を調査し、認識した脆弱性等について対策を講ずる。 (通信回線の運用終了時の対策)第113条 情報システムセキュリティ責任者は、通信回線装置の運用を終了する場合には、当該通信回線を構成する通信回線装置が運用終了後に再利用された時又は廃棄された後に、運用中に保存していた情報が漏えいすることを防止するため、当該通信回線装置の電磁的記録媒体に記録されている全ての情報を抹消するなど適切な措置を講ずる。 第3節 無線LAN(無線LAN環境導入時の対策)89/135第114条 情報システムセキュリティ責任者は、無線LAN技術を利用して機構内通信回線を構築する場合は、通信回線の構築時共通の対策に加えて、通信内容の秘匿性を確保するために通信路の暗号化を行った上で、その他の情報セキュリティ確保のために必要な措置を講ずる。 第4節 IPv6 通信回線(IPv6通信を行う情報システムに係る対策)第115条 情報システムセキュリティ責任者は、IPv6技術を利用する通信を行う情報システムを構築する場合は、製品として調達する機器等について、IPv6 ReadyLogo Programに基づくPhase-2準拠製品を、可能な場合には選択する。 2 情報システムセキュリティ責任者は、IPv6通信の特性等を踏まえ、IPv6通信を想定して構築する情報システムにおいて、IPv6通信による情報セキュリティ上の脅威又は脆弱性に対する検討を行い、必要な措置を講ずる。 (意図しないIPv6通信の抑止・監視)第116条 情報システムセキュリティ責任者は、サーバ装置、端末及び通信回線装置を、IPv6通信を想定していない通信回線に接続する場合には、自動トンネリング機能で想定外のIPv6通信パケットが到達する脅威等、当該通信回線から受ける不正なIPv6通信による情報セキュリティ上の脅威を防止するため、IPv6通信を抑止するなどの措置を講ずる。 第5章 ソフトウェア第1節 情報システムの基盤を管理又は制御するソフトウェア(情報システムの基盤を管理又は制御するソフトウェア導入時の対策)第117条 情報システムセキュリティ責任者は、情報セキュリティの観点から情報システムの基盤を管理又は制御するソフトウェアを導入する端末、サーバ装置、通信回線装置等及びソフトウェア自体を保護するための措置を講ずる。 2 情報システムセキュリティ責任者は、利用するソフトウェアの特性を踏まえ、以下の全ての実施手順を整備する。 (1) 情報システムの基盤を管理又は制御するソフトウェアの情報セキュリティ水準の維持に関する手順(2) 情報システムの基盤を管理又は制御するソフトウェアで発生した情報セキュリティインシデントを認知した際の対処手順(情報システムの基盤を管理又は制御するソフトウェア運用時の対策)第118条 情報システムセキュリティ責任者は、情報システムの基盤を管理又は制御するソフトウェアを運用・保守する場合は、以下の全てのセキュリティ対策を実施する。 (1) 情報システムの基盤を管理又は制御するソフトウェアのセキュリティを維持するための対策(2) 脅威や情報セキュリティインシデントを迅速に検知し、対応するための対策第6章 アプリケーション・コンテンツ第1節 アプリケーション・コンテンツの作成・運用時の対策(アプリケーション・コンテンツの作成に係る運用規程の整備)第119条 統括情報セキュリティ責任者は、アプリケーション・コンテンツの提供時に機構外の情報セキュリティ水準の低下を招く行為を防止するための運用規程を整備する。 (アプリケーション・コンテンツのセキュリティ要件の策定)90/135第120条 情報システムセキュリティ責任者は、機構外の情報システム利用者の情報セキュリティ水準の低下を招かぬよう、アプリケーション・コンテンツについてのセキュリティ要件を定め、仕様に含める。 2 情報システムセキュリティ責任者は、アプリケーション・コンテンツの開発・作成を業務委託する場合において、前項に掲げる内容を調達仕様に含める。 (アプリケーション・コンテンツの開発時の対策)第121条 情報システムセキュリティ責任者は、ウェブアプリケーションの開発において、セキュリティ要件として定めた仕様に加えて、既知の種類のウェブアプリケーションの脆弱性を排除するための対策を講ずる。 (アプリケーション・コンテンツの運用時の対策)第122条 情報システムセキュリティ責任者は、利用者の情報セキュリティ水準の低下を招かぬよう、アプリケーション及びウェブコンテンツの提供方式等を見直す。 2 情報システムセキュリティ責任者は、運用中のアプリケーション・コンテンツにおいて、定期的に脆弱性対策の状況を確認し、脆弱性が発覚した際は必要な措置を講ずる。 3 情報システムセキュリティ責任者は、ウェブアプリケーションやウェブコンテンツにおいて、アプリケーションやコンテンツの改ざんを検知するための措置を講ずる。 第2節 アプリケーション・コンテンツ提供時の対策(機構ドメインの使用)第123条 情報システムセキュリティ責任者は、機構外向けに提供するウェブサイト等が実際の機構提供のものであることを利用者が確認できるように、機構ドメイン名を使用できない場合を除き機構ドメイン名を情報システムにおいて使用する。 2 情報セキュリティ責任者は、機構外向けに提供するウェブサイト等の作成を業務委託する場合においては、機構ドメイン名を使用するよう調達仕様に含める。 (不正なウェブサイトへの誘導防止)第124条 情報システムセキュリティ責任者は、利用者が検索サイト等を経由して機構のウェブサイトになりすました不正なウェブサイトへ誘導されないよう対策を講ずる。 (アプリケーション・コンテンツの告知)第125条 役職員等及び情報取扱事務従事者は、アプリケーション・コンテンツを告知する場合は、告知する対象となるアプリケーション・コンテンツに利用者が確実に誘導されるよう、必要な対策を講ずる。 2 役職員等及び情報取扱事務従事者は、機構外の者が提供するアプリケーション・コンテンツを告知する場合は、告知するURL等の有効性を保つ。 第7編 情報システムのセキュリティ要件第1章 情報システムのセキュリティ機能第1節 主体認証機能(主体認証機能の導入)第126条 情報システムセキュリティ責任者は、情報システムや情報へのアクセス主体を特定し、それが正当な主体であることを検証する必要がある場合、主体の識別及び主体認証を行う機能を設ける。 2 情報システムセキュリティ責任者は、申請及び届出等のオンライン手続を提供する情報システムを構築する場合は、オンライン手続におけるリスクを評価した91/135上で、主体認証に係る要件を策定する。 3 情報システムセキュリティ責任者は、主体認証を行う情報システムにおいて、主体認証情報の漏えい等による不正行為を防止するための措置及び不正な主体認証の試行に対抗するための措置を講ずる。 (識別コード及び主体認証情報の管理)第127条 情報システムセキュリティ責任者は、情報システムにアクセスする全ての主体に対して、識別コード及び主体認証を適切に付与し、管理するための措置を講ずる。 2 情報システムセキュリティ責任者は、主体が情報システムを利用する必要がなくなった場合は、当該主体の識別コード及び主体認証情報の不正な利用を防止するための措置を速やかに講ずる。 第2節 アクセス制御機能(アクセス制御機能の導入)第128条 情報システムセキュリティ責任者は、情報システムの特性、情報システムが取り扱う情報の格付及び取扱制限等に従い、権限を有する者のみがアクセス制御の設定等を行うことができる機能を設ける。 2 情報システムセキュリティ責任者は、情報システム及び情報へのアクセスを許可する主体が確実に制限されるように、アクセス制御機能を適切に運用する。 第3節 権限の管理(権限の管理)第129条 情報システムセキュリティ責任者は、主体から対象に対するアクセスの権限を必要最小限の範囲で適切に設定するよう、措置を講ずる。 2 情報システムセキュリティ責任者は、管理者権限の特権を持つ主体の識別コード及び主体認証情報が、悪意ある第三者等によって窃取された際の被害を最小化するための措置及び、内部からの不正操作や誤操作を防止するための措置を講ずる。 3 情報システムセキュリティ責任者は、主体から対象に対する不要なアクセス権限が付与されていないか定期的に確認する。 第4節 ログの取得・管理(ログの取得・管理)第130条 情報システムセキュリティ責任者は、情報システムにおいて、情報システムが正しく利用されていることの検証並びに不正侵入及び不正操作等がなされていないことの検証を行うために必要なログを取得する。 2 情報システムセキュリティ責任者は、情報システムにおいて、その特性に応じてログを取得する目的を設定した上で、ログを取得する対象の機器等、ログとして取得する情報項目、ログの保存期間、要保護情報の観点でのログ情報の取扱方法及びログが取得できなくなった場合の対処方法等について定め、適切にログを管理する。 3 情報システムセキュリティ責任者は、情報システムにおいて、取得したログを定期的に点検又は分析する機能を設け、悪意ある第三者等からの不正侵入、不正操作等の有無について点検又は分析を実施する。 第5節 暗号・電子署名(暗号化機能・電子署名機能の導入)第131条 情報システムセキュリティ責任者は、情報システムで取り扱う情報の漏えいや改ざん等を防ぐため、以下全ての措置を講ずる。 92/135(1) 要機密情報を取り扱う情報システムについては、暗号化を行う機能の必要性の有無を検討し、必要があると認めたときは、当該機能を設ける。 (2) 要保全情報を取り扱う情報システムについては、電子署名の付与及び検証を行う機能を設ける必要性の有無を検討し、必要があると認めたときは、当該機能を設ける。 2 情報システムセキュリティ責任者は、暗号技術検討会及び関連委員会(CRYPTREC)により安全性及び実装性能が確認された「電子政府推奨暗号リスト」に基づき、情報システムで使用する暗号、電子署名のアルゴリズム、鍵長及びそれらを利用した安全なプロトコルを定める。 また、その運用方法について定める。 3 情報システムセキュリティ責任者は、機構における暗号化及び電子署名のアルゴリズム、鍵長及び運用方法に、電子署名を行うに当たり、電子署名の目的に合致し、かつ適用可能な公的な公開鍵基盤が存在する場合は、それを使用するなど、目的に応じた適切な公開鍵基盤を使用するように定める。 (暗号化・電子署名に係る管理)第132条 情報システムセキュリティ責任者は、暗号及び電子署名を適切な状況で利用するため、以下の全ての措置を講ずる。 (1) 電子署名の付与を行う情報システムにおいて、電子署名の正当性を検証するための情報又は手段を、署名検証者へ安全な方法で提供する。 (2) 暗号化を行う情報システム又は電子署名の付与若しくは検証を行う情報システムにおいて、暗号化又は電子署名のために選択されたアルゴリズム又は鍵長の危殆化及びプロトコルの脆弱性に関する情報を定期的に入手し、必要に応じて、役職員等及び情報取扱事務従事者と共有を図る。 第6節 監視機能(監視機能の導入・運用)第133条 情報システムセキュリティ責任者は、情報システム運用時の監視に係る運用管理機能要件を策定し、監視機能を実装する。 2 情報システムセキュリティ責任者は、情報システムの運用において、情報システムに実装された監視機能を適切に運用する。 3 情報システムセキュリティ責任者は、新たな脅威の出現、運用の状況等を踏まえ、情報システムにおける監視の対象や手法を定期的に見直す。 第2章 情報セキュリティの脅威への対策第1節 ソフトウェアに対する脆弱性対策(ソフトウェアに関する脆弱性対策の実施)第134条 情報システムセキュリティ責任者は、サーバ装置、端末及び通信回線装置の設置又は運用開始時に、当該機器上で利用するソフトウェアに関連する公開された脆弱性についての対策を実施する。 2 情報システムセキュリティ責任者は、公開された脆弱性の情報がない段階において、サーバ装置、端末及び通信回線装置上でとり得る対策がある場合は、当該対策を実施する。 3 情報システムセキュリティ責任者は、サーバ装置、端末及び通信回線装置上で利用するソフトウェアにおける脆弱性対策の状況を定期的及び適時に確認する。 4 情報システムセキュリティ責任者は、脆弱性対策の状況の定期的な確認により、脆弱性対策が講じられていない状態が確認された場合並びにサーバ装置、端末及び通信回線装置上で利用するソフトウェアに関連する脆弱性情報を入手した場合には、セキュリティパッチの適用又はソフトウェアのバージョンアップ等に93/135よる情報システムへの影響を考慮した上で、ソフトウェアに関する脆弱性対策計画を策定し、措置を講ずる。 第2節 不正プログラム対策(不正プログラム対策の実施)第135条 情報システムセキュリティ責任者は、サーバ装置及び端末に不正プログラム対策ソフトウェア等を導入する。 2 情報システムセキュリティ責任者は、想定される不正プログラムの感染経路の全てにおいて、不正プログラム対策ソフトウェア等により対策を講ずる。 3 情報システムセキュリティ責任者は、不正プログラム対策の状況を適宜把握し、必要な対処を行う。 第3節 サービス不能攻撃対策(サービス不能攻撃対策の実施)第136条 情報システムセキュリティ責任者は、要安定情報を取り扱う情報システム(インターネットからアクセスを受ける情報システムに限る。以下本条において同じ。)については、サービス提供に必要なサーバ装置、端末及び通信回線装置が装備している機能又は民間事業者等が提供する手段を用いてサービス不能攻撃への対策を行う。 2 情報システムセキュリティ責任者は、要安定情報を取り扱う情報システムについては、サービス不能攻撃を受けた場合の影響を最小とする手段を備えた情報システムを構築する。 3 情報システムセキュリティ責任者は、要安定情報を取り扱う情報システムについては、サービス不能攻撃を受けるサーバ装置、端末、通信回線装置又は通信回線から監視対象を特定し、監視を行う。 第4節 標的型攻撃対策(標的型攻撃対策の実施)第137条 情報システムセキュリティ責任者は、情報システムにおいて、標的型攻撃による組織内部への侵入を低減する対策(入口対策)を講ずる。 2 情報システムセキュリティ責任者は、情報システムにおいて、内部に侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる、及び外部との不正通信を検知して対処する対策(内部対策及び出口対策)を講ずる。 第3章 ゼロトラストアーキテクチャ第1節 動的なアクセス制御の実装時の対策(動的なアクセス制御における責任者の設置)第138条 統括情報セキュリティ責任者は、複数の情報システム間で動的なアクセス制御を実装する場合は、複数の情報システム間で横断的な対策の企画・推進・運用に関する事務の責任者として、情報システムセキュリティ責任者を選任する。 (動的なアクセス制御の導入方針の検討)第139条 情報システムセキュリティ責任者は、動的なアクセス制御を導入する場合、動的アクセス制御の対象とする情報システムのリソースを識別し、動的なアクセス制御の導入方針を定める。 (動的なアクセス制御の実装時の対策)第140条 情報システムセキュリティ責任者は、動的なアクセス制御の実装に当たり、リソースの信用情報の変化に応じて動的にアクセス制御を行うためのアクセス制御ポリシー(以下「アクセス制御ポリシー」という。)を作成する。 94/1352 情報システムセキュリティ責任者は、アクセス制御ポリシーに基づき、動的なアクセス制御を行う。 第2節 動的なアクセス制御の運用時の対策(動的なアクセス制御の実装方針の見直し)第141条 情報システムセキュリティ責任者は、動的なアクセス制御の運用に際し、情報セキュリティに係る重大な変化等を踏まえ、アクセス制御ポリシーの見直しをする。 (リソースの信用情報に基づく動的なアクセス制御の運用時の対策)第142条 情報システムセキュリティ責任者は、動的なアクセス制御の運用に際し、リソースの信用情報の収集により検出されたリスクへ対処を行う。 第8編 情報システムの利用第1章 情報システムの利用第1節 情報システムの利用(情報システムの利用に係る規定の整備)第143条 統括情報セキュリティ責任者は、機構の情報システムの利用のうち、情報セキュリティに関する実施手順を整備する。 2 統括情報セキュリティ責任者は、USBメモリ等の外部電磁的記録媒体を用いた情報の取扱いに関する実施手順を定める。 3 統括情報セキュリティ責任者は、機密性3情報、要保全情報又は要安定情報が記録されたUSBメモリ等の外部電磁的記録媒体を要管理対策区域外に持ち出す際の許可手続を定める。 (情報システム利用者の規定の遵守を支援するための対策)第144条 情報システムセキュリティ責任者は、役職員等及び情報取扱事務従事者による規定の遵守を支援する機能について情報セキュリティリスクと業務効率化の観点から支援する範囲を検討し、当該機能を持つ情報システムを構築する。 (情報システムの利用時の基本的対策)第145条 役職員等及び情報取扱事務従事者は、業務の遂行以外の目的で情報システムを利用しない。 2 役職員等及び情報取扱事務従事者は、情報システムセキュリティ責任者が接続許可を与えた通信回線以外に機構の情報システムを接続しない。 3 役職員等及び情報取扱事務従事者は、機構内通信回線に、情報システムセキュリティ責任者の接続許可を受けていない情報システムを接続しない。 4 役職員等及び情報取扱事務従事者は、業務の遂行において、利用が認められていないソフトウェアを利用しない。 また、当該ソフトウェアを業務上の必要により利用する場合は、情報システムセキュリティ責任者の承認を得る。 5 役職員等及び情報取扱事務従事者は、接続が許可されていない機器等を情報システムに接続しない。 6 役職員等及び情報取扱事務従事者は、情報システムの設置場所から離れる場合等、第三者による不正操作のおそれがある場合は、情報システムを不正操作から保護するための措置を講ずる。 7 役職員等及び情報取扱事務従事者は、機密性3情報、要保全情報又は要安定情報が記録された USB メモリ等の外部電磁的記録媒体を要管理対策区域外に持ち出す場合には、課等情報セキュリティ責任者の許可を得る。 8 役職員等及び情報取扱事務従事者は、業務の遂行において、利用承認を得ていないクラウドサービスを利用しない。 (端末(支給外端末を含む)の利用時の対策)95/135第146条 役職員等及び情報取扱事務従事者は、機構が支給する端末(要管理対策区域外で使用する場合に限る。)及び機構支給以外の端末を用いて要保護情報を取り扱う場合は、定められた利用手順に従う。 2 役職員等及び情報取扱事務従事者は、次の各号に掲げる端末を用いて当該各号に定める情報を取り扱う場合は、課等情報セキュリティ責任者の許可を得る。 (1) 機構が支給する端末(要管理対策区域外で使用する場合に限る。) 機密性3情報、要保全情報又は要安定情報(2) 機構支給以外の端末 要保護情報3 役職員等及び情報取扱事務従事者は、要管理対策区域外において機構外通信回線に接続した端末(支給外端末を含む。)を要管理対策区域で機構内通信回線に接続する場合には、定められた措置を講ずる。 (電子メール・ウェブの利用時の対策)第147条 役職員等及び統括情報セキュリティ責任者が別に定める一部の情報取扱事務従事者は、要機密情報を含む電子メールを送受信する場合には、機構が運営し、又は外部委託した電子メールサーバにより提供される電子メールサービスを利用する。 2 役職員等及び統括情報セキュリティ責任者が別に定める一部の情報取扱事務従事者は、機構外の者と電子メールにより情報を送受信する場合は、機構ドメイン名を使用できない場合を除き、当該電子メールのドメイン名に機構ドメイン名を使用する。 3 役職員等及び統括情報セキュリティ責任者が別に定める一部の情報取扱事務従事者は、不審な電子メールを受信した場合には、あらかじめ定められた手順に従い、対処する。 4 役職員等及び情報取扱事務従事者は、ウェブクライアントの設定を見直す必要がある場合は、情報セキュリティに影響を及ぼすおそれのある設定変更を行わない。 5 役職員等及び情報取扱事務従事者は、ウェブクライアントが動作するサーバ装置又は端末にソフトウェアをダウンロードする場合には、電子署名により当該ソフトウェアの配布元を確認する。 6 役職員等及び情報取扱事務従事者は、閲覧しているウェブサイトに表示されるフォームに要機密情報を入力して送信する場合には、以下の全ての事項を確認する。 (1) 送信内容が暗号化されること。 (2) 当該ウェブサイトが送信先として想定している組織のものであること。 (識別コード・主体認証情報の取扱い)第148条 役職員等及び情報取扱事務従事者は、主体認証の際に自己に付与された識別コード以外の識別コードを用いて情報システムを利用しない。 2 役職員等及び情報取扱事務従事者は、自己に付与された識別コードを適切に管理する。 3 役職員等及び情報取扱事務従事者は、管理者権限を持つ識別コードを付与された場合には、管理者としての業務遂行時に限定して、当該識別コードを利用する。 4 役職員等及び情報取扱事務従事者は、自己の主体認証情報の管理を徹底する。 (暗号・電子署名の利用時の対策)第149条 役職員等及び統括情報セキュリティ責任者が別に定める一部の情報取扱事務従事者は、情報を暗号化する場合及び情報に電子署名を付与する場合には、96/135定められたアルゴリズム、鍵長及び方法に従う。 2 役職員等及び統括情報セキュリティ責任者が別に定める一部の情報取扱事務従事者は、暗号化された情報の復号又は電子署名の付与に用いる鍵について、定められた鍵の管理手順等に従い、これを適切に管理する。 3 役職員等及び統括情報セキュリティ責任者が別に定める一部の情報取扱事務従事者は、暗号化された情報の復号に用いる鍵について、鍵のバックアップ手順に従い、そのバックアップを行う。 (不正プログラム感染防止)第150条 役職員等及び情報取扱事務従事者は、不正プログラム感染防止に関する措置に努める。 2 役職員等及び情報取扱事務従事者は、情報システム(機構支給以外の端末を含む。)が不正プログラムに感染したおそれがあることを認識した場合は、感染した情報システム(機構支給以外の端末を含む。)の通信回線への接続を速やかに切断するなど、必要な措置を講ずる。 (Web会議サービスの利用時の対策)第151条 役職員等及び情報取扱事務従事者は、定められた利用手順に従い、Web会議の参加者や取り扱う情報に応じた情報セキュリティ対策を実施する。 2 役職員等及び情報取扱事務従事者は、Web会議を主催する場合、会議に無関係の者が参加できないよう対策を講ずる。 (クラウドサービスを利用した機構外の者との情報の共有時の対策)第152条 役職員等及び情報取扱事務従事者は、機構外の者と情報の共有を行うことを目的とし、クラウドサービス上に要保護情報を保存する場合は、情報の共有を行う必要のある者のみがクラウドサービス上に保存した要保護情報にアクセスすることが可能となるための措置を講ずる。 2 役職員等及び情報取扱事務従事者は、機構外の者と情報の共有を行うことを目的とし、クラウドサービス上に要保護情報を保存する場合は、情報の共有が不要になった時点で、クラウドサービス上に保存した要保護情報を速やかに削除する。 第2節 ソーシャルメディアによる情報発信(ソーシャルメディアによる情報発信時の対策)第153条 統括情報セキュリティ責任者は、機構が管理するアカウントでソーシャルメディアを利用することを前提として、以下を全て含む情報セキュリティ対策に関する運用規程などを定める。 また、当該サービスの利用において要機密情報が取り扱われないよう規定する。 (1) 機構のアカウントによる情報発信が実際の機構のものであると明らかとするために、アカウントの運用組織を明示するなどの方法でなりすましへの対策を講ずる。 (2) パスワード等の主体認証情報を適切に管理するなどの方法で不正アクセスへの対策を講ずる。 2 役職員等及び情報取扱事務従事者は、要安定情報の国民への提供にソーシャルメディアを用いる場合は、機構の自己管理ウェブサイトに当該情報を掲載して参照可能とする。 第3節 テレワーク(運用規程の整備)第154条 統括情報セキュリティ責任者は、テレワークの実施時の情報セキュリティ対策に係る運用規程を整備する。 なお、原則としてテレワークは機構が支給す97/135る端末で行うよう定める。 (実施環境における対策)第155条 情報システムセキュリティ責任者は、テレワークの実施により機構外通信回線を経由して機構の情報システムへリモートアクセスする形態となる情報システムを構築する場合は、通信経路及びリモートアクセス特有の攻撃に対する情報セキュリティを確保する。 2 情報システムセキュリティ責任者は、リモートアクセスに対し多要素主体認証を行う。 3 情報システムセキュリティ責任者は、リモートアクセスする端末を許可された端末に限定する措置を講ずる。 4 情報システムセキュリティ責任者は、リモートアクセスする端末を最新の脆弱性対策や不正プログラム対策が施されている端末に限定する。 (実施時における対策)第156条 情報システムセキュリティ責任者は、テレワーク実施前及び実施後に役職員等及び情報取扱事務従事者が確認するべき項目を定め、役職員等及び情報取扱事務従事者に当該項目を確認させる。 2 役職員等及び情報取扱事務従事者は、画面ののぞき見や盗聴を防止できるようテレワークの実施場所を選定する。 また、自宅以外でテレワークを実施する場合には、離席時の端末(支給外端末を含む。)の盗難に注意する。 3 役職員等及び情報取扱事務従事者は、原則として情報セキュリティ対策の状況が定かではない又は不十分な機構外通信回線を利用してテレワークを行わない。 附 則1 この細則は、平成29年4月3日から施行し、平成29年4月1日から適用する。 2 この細則により、細則の実施に係る細目の決定を理事長から授権又は委任される者(以下「授権者」という。)が異なることとなる場合であって、この細則の施行の際、現に制定済の準内部規程等の細目(以下「準内部規程等」という。)があるときは、当該準内部規程等に相当する準内部規程等が新たな授権者により別途制定されるまでの間、現に制定済の準内部規程等を当該新たな授権者により制定されたものとみなす。 附 則(令和2年1月31日細則(情)第1号)この細則は、令和2年1月31日から施行する。 附 則(令和3年3月31日細則(総)第9号)この細則は、令和3年4月1日から施行する。 附 則(令和4年3月31日細則(情)第1号)この細則は、令和4年4月1日から施行する。 附 則(令和5年3月31日細則(情)第6号)この細則は、令和5年4月1日から施行する。 附 則(令和6年3月13日細則(情)第5号)この細則は、令和6年4月1日から施行する。 附 則(令和6年7月31日規程(総)第17号)この細則は、令和6年8月1日から施行する。 98/135附 則(令和6年8月9日細則(情)第16号)この細則は、令和6年8月9日から施行する。 附 則(令和7年2月27日細則(情)第1号)この細則は、令和7年2月27日から施行する。 99/135個人情報取扱い安全管理措置並びに情報セキュリティ対策１ 個人情報及び特定個人情報の取り扱いに際し講ずべき安全管理措置本業務を実施するにあたって、次に示す安全管理措置を実施する1。 なお、個人情報及び特定個人情報は以下総称し「個人情報」と記載する。 大項目 No. 小項目1．個人情報の取扱いに係る規律の整備1 個人情報の取得、利用、保存等を行う場合の基本的な取扱方法を整備する。 2. 物理的安全管理措置2 個人情報を取り扱う区域を管理し、入退室管理を行う。 3 個人情報を取り扱うサーバー等の機器を管理している場合は、侵入対策、災害等に備えた予備電源の確保・防水対策等を行う。 4 記録機能を有する機器・媒体の接続制限を行うとともに、端末を限定する。 5 個人情報を取り扱う機器及び電子媒体等の盗難等を防止するための措置を講じる。 また、持ち出しは責任者の許可制とする。 6 (電子媒体等を持ち運ぶ場合)持ち運ぶ際に個人情報が漏えいしないための措置を講じる。 (例)・個人データが記録された電子媒体又は個人データが記載された書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。 7 本業務の完了後、速やかに個人情報の利用を中止し、個人情報を含む媒体等を発注者に返却、又は、個人情報を復元できないよう消去若しくは適切に媒体等を破壊した上で廃棄する。 3.技術的安全管理措置*情報機器(PCやスマートフォン等)、及び情8 個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止する。 9 個人情報を取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別したうえで認証する1 個人情報保護委員会より公開されている「個人情報の保護に関する法律についてのガイドライン(通則編)」10(別添)講ずべき安全管理措置の内容における「中小規模事業者における手法の例示」参照のこと。 (https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a10)別添資料7100/1352報システムを使用して個人情報を取り扱う場合(インターネット等を通じて外部と送受信等をする場合を含む)に講じる措置(ユーザーID、パスワード、磁気・ICカード等)。 また、管理者権限は最小限の人数に絞る。 10 外部からの不正アクセス等を防止するための措置(セキュリティ対策)を講じる。 (例)・個人情報を取り扱う機器等のオペレーティングシステムを最新の状態に保持する。 ・個人情報を取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする。 11 個人情報を取り扱うサーバー等の機器を管理している場合は、アクセスログ等を定期的に確認、またはアクセス状況を監視し、一定量以上の情報が情報システムからダウンロードされた場合に警告表示されるなどの機能の設定、定期確認などを行う。 アクセスログについては、その記録の改ざん・不正な消去の防止等を講じる。 12 (該当ある場合)業務上、情報システムで個人情報を取り扱う場合は、入力情報の照合(入力原票や既存の情報等との照合)を行う。 13 (該当ある場合)業務上、個人情報を取り扱う情報システムの設計・開発・運用保守を伴う場合は、当該情報システムの設計書、構成図等の文書が外部に知られないような対策をする。 14 取り扱う個人情報のバックアップを作成し、外部からの不正アクセス等を防止するための措置(セキュリティ対策)を講じる。 15 情報システムの使用に伴う漏えい等を防止するための措置を講じる。 (例)・メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する。 101/1353２ 情報セキュリティ対策本業務を実施するにあたって、次に示す情報セキュリティ対策を実施する2。 大項目 No. 小項目Part1.技術的対策1 業務で使用する機器のOSやソフトウェアは常に最新の状態とする。 2 業務で使用する機器にはウイルス対策ソフトを導入し、ウイルス定義ファイル(セキュリティソフトがマルウェアを検出するための定義情報が入ったファイル)が自動更新されるよう設定する。 3 業務で使用する機器、サービス及びシステムにログインする際のパスワードは、強固なパスワードを設定する。 (例)・10桁以上で「できるだけ長く」、大文字、小文字、数字、記号含めて「複雑に」し、複数のサービス間で使いまわさない。 ・可能な場合は多段階認証や多要素認証を利用する。 4 情報へのアクセス(データ保管などのウェブサービス及びサービス上での共有設定等)を業務上必要な者のみがアクセスできるよう設定する。 5 脅威や攻撃の手口を知り、対策に活かす。 Part2.業務従事者としての対策6 不審な電子メールの添付ファイルやURLを安易に開かない。 7 電子メールの送信先を確認し、送信ミスを防ぐ。 8 秘密情報3を送信する際には、メール本文ではなく添付ファイルに記述しパスワードで保護する。 パスワードは予め決めておくか、携帯電話のSMS(ショートメッセージサービス)等の別手段で通知する。 2 独立行政法人情報処理推進機構(IPA)より公開されている「中小企業の情報セキュリティ対策ガイドライン」参照のこと。 (https://www.ipa.go.jp/security/guide/sme/about.html)3 秘密情報とは、受注者は、本業務を実施する上で、発注者その他本業務の関係者から、文書、口頭、電磁的記録媒体その他開示の方法及び媒体を問わず、また、本契約締結の前後を問わず、開示された一切の情報。 ただし、次の各号に定める情報については、この限りでない。 (１)開示を受けた時に既に公知であったもの(２)開示を受けた時に既に受注者が所有していたもの(３)開示を受けた後に受注者の責に帰さない事由により公知となったもの(４)開示を受けた後に第三者から秘密保持義務を負うことなく適法に取得したもの(５)開示の前後を問わず、受注者が独自に開発したことを証明しうるもの(６)法令並びに政府機関及び裁判所等の公の機関の命令により開示が義務付けられたもの(７)第三者への開示につき、発注者又は秘密情報の権限ある保持者から開示について事前の承認があったもの102/13549 業務で無線LANを利用する場合は、安全に利用するために無線LANのセキュリティ設定をする。 (例)・強固な暗号化方式(WPA2、WPA3)を選択する。 ・Wi-Fiルーター設定のための管理用パスワードを強固で推測されにくいものにする。 10 業務でのインターネット利用する際の注意、制限をルール化し遵守する。 11 秘密情報のバックアップを定期的に行う。 12 秘密情報は机の上等に放置せず、不要時は鍵付き書庫に保管する。 13 秘密情報の持ち出し時は、PC、スマートフォンなどはパスワードロックをかける等、盗難や紛失の対策を実施する。 14 離席時・退社時に他人がPCを使えない状態にする(スクリーンロックやシャットダウンをする等)。 15 執務室への関係者以外の立ち入りを禁止する。 16 機器・備品の盗難防止対策を行う。 17 作業場所の施錠忘れ対策を行う(最終退出者は、施錠し退出の記録を残す等)。 18 秘密情報の記録された媒体を破棄する際には、復元できないように消去し、書面で発注者に報告する。 Part3.組織的対策19 業務従事者に守秘義務を徹底する。 20 業務従事者にセキュリティに関する教育や注意喚起を行う。 21 個人所有の情報機器の業務利用は行わない。 やむを得ず利用する場合は、セキュリティ対策を徹底する。 22 再委託先等との契約において秘密保持や情報セキュリティ対応方針に関する文書を取り交わし、対策状況を確認する。 23 クラウドサービス等の外部サービスを利用する場合には、安全性・信頼性を把握し選定する。 24 セキュリティインシデントの発生に備えて緊急時の体制整備や対応手順を作成する。 25 情報セキュリティ対策に関するルールを明文化し、組織内に周知する。 以上103/1351個人情報保護及び情報セキュリティに関する情報１ 個人情報取扱い安全管理措置並びに情報セキュリティ対策に関する管理体制・作業場所(１)管理体制1：⚫ 本業務における個人情報取扱い安全管理措置並びに情報セキュリティ対策に関する管理体制は、次に示すものとする。 氏名 連絡先(Tel)情報セキュリティ責任者個人情報保護管理者品質保証管理者＊ 情報セキュリティ責任者：情報セキュリティ対策などの決定権限を有するとともに、全責任を負う。 ＊ 個人情報保護管理者：個人情報の取扱いについて関連法令を遵守する責任を負う。 ＊ 品質保証管理者：提供する製品・サービスの品質において全責任を負う(情報システムに関する内容を含む契約のみ記入が必要)。 ⚫ 個人情報の漏えいを含む情報セキュリティインシデントが発生した場合の窓口は、次に示すものとする。 事案が発生又はそのおそれがある場合は速やかに発注者に報告し、発注者の指示に従う。 氏名 連絡先(Tel)(２)業務作業場所：(記載例：国際協力機構が指定する場所、受注者の執務室等)２ 個人情報の取り扱いに際し講ずべき安全管理措置並びに情報セキュリティ対策に関する履行状況の確認(定期的報告)個人情報取扱い安全管理措置並びに情報セキュリティ対策の履行状況について確認を行う2。 1 管理体制は体制図等を別紙で提出することでも可とする。 また、要員に交代がある時には、再度管理体制について提出する。 2 再委託先がある場合は、受注者が再委託先に対して、再委託先の個人情報の取り扱いに際し講ずべき安全管理措置の履行状況及び情報セキュリティ対策の履行状況について確認を行い、発注者に報告する。 別添資料8104/1352(１) 履行状況の確認方法： ☐会議体による報告 ☐書面による報告☐その他(２) 履行状況の確認頻度： ☐ ヶ月に1回 ☐1年に1回☐その他以上105/135第３ 技術提案書の作成要領技術提案書の作成にあたっては、「第２ 業務仕様書(案)」に明記されている内容等を技術提案書に十分に反映させることが必要となりますので、内容をよくご確認ください。 １.技術提案書の構成と様式技術提案書の構成は以下のとおりです。 技術提案書に係る様式のうち、参考様式については機構ウェブサイトからダウンロードできます。 ただし、あくまで参考様式としますので、応札者独自の様式を用いて頂いても結構です。 技術提案書のページ数については、評価表「技術提案書作成にあたっての留意事項」のとおりです。 (https://www.jica.go.jp/announce/manual/form/domestic/op_tend_evaluation.html)(１)社としての経験・能力等１) 類似業務の経験a )類似業務の経験(一覧リスト)・・・・・・・・・(参考：様式１(その１))b )類似業務の経験(個別)・・・・・・・・・・・(参考：様式１(その２))２)資格・認証等・・・・・・・・・・・・・・・・・・・・・・(任意様式)(２)業務の実施方針等・・・・・・・・・・・・・・・・・・・・・・(任意様式)１)業務実施の基本方針(留意点)・方法２)業務実施体制(要員計画・バックアップ体制等)３)業務実施スケジュール(３)業務従事者の経験・能力等１)業務従事者の推薦理由・・・・・・・・・・・・・・・・・・・(任意様式)２)業務従事者の経験・能力等・・・・・・・・・(参考：様式２(その１、２))３)特記すべき類似業務の経験・・・・・・・・・・・(参考：様式２(その３))２.技術提案書作成にあたっての留意事項(１)技術提案書は別紙の「評価表」を参照し、評価項目、評価基準に対応する形で作成いただきますようお願いします。 (評価項目、評価基準に対応する記述がない場合は、評価不可として該当項目の評価点は０点となりますのでご留意ください。)(２)WLB等推進企業(女性活躍推進法、次世代育成支援対策推進法、青少年の雇用の促進等に関する法律に基づく認定企業や、一般事業主行動計画策定企業)への評価については、別紙「評価表」のとおり、評価項目の内、「１．社としての経験・能力等 (２)資格・認証等」で評価しますが、評価表の「評価基準(視点)」及び「技術提案書作成にあたっての留意事項」に記載の条件を１つでも満たしている場合には、技術評価点満点１００点の場合は一律１点、満点２００点の場合は一律２点を配点します。 106/135３．その他技術提案書は可能な限り 1 つの PDF ファイルにまとめて、提出ください。 別紙：評価表(評価項目一覧表)107/135評価項目 評価基準(視点) 配点技術提案書作成にあたっての留意事項25業務を受注した際に適切かつ円滑な業務が実施できることを証明するために参考となる、応札者の社としての類似業務の経験、所有している資格等について、記載願います。 5資格・認証を有する場合はその証明書の写しを提出願います。 50 業務の実施方針等に関する記述は5ページ以内としてください。 ・JICA協力隊事業の意義を十分に理解しているか。 3業務仕様書案に対する、本業務実施における基本方針及び業務実施方法を記述してください。 ・運用開始までの導入までの実施計画及び業務終了時の引継計画が具体的に提示されているか。 3・仕様書の業務要件をすべて満たしているか。 4・業務の目的及び内容等に基づき業務実施のクリティカルポイントを押さえ、これに対応する業務方針が具体的に示されているか。 10・本業務の実施に関連して質の向上およびコストの削減、IT技術の利用等、評価すべき提案事項があるか。 10※特に、業務プロセスの自動化、データ分析等による業務改善の提案や報告書の工夫等、JICAにとってより事業が質の向上に寄与し、効率的かつ充足したサービス内容であると判断される提案か・その他本業務の実施に関連して評価すべき提案事項があるか。 5・提示された業務の基本方針及び方法に見合った実施(管理)体制や要員計画が具体的かつ現実的に提案されているか5・要員計画が適切か(外部の人材に過度に依存していないか。主要な業務の外注が想定されていないか)。 5(３)業務実施スケジュール・既存のスケジュールにとらわれず、具体的かつ現実的なスケジュール案が提示されているか。 5業務実施にあたっての作業工程をフローチャート・作業工程計画書等で作成願います。 25業務総括者及び評価対象となる業務従事者の経験・能力等(類似業務の経験、実務経験及び学位、資格等)について記述願います。 148 ２)業務総括者としての経験 ・最近5年の総括経験にプライオリティを置き評価する。 3・発注業務と関連性の強い学歴(専門性)、資格、業務経験などがあるか。 3・国際協力経験や知識があるか。 ・その他、業務に関連する項目があれば評価する。 118・発注業務と関連性の強い学歴(専門性)、資格、業務経験などがあるか。 3・国際協力経験や知識があるか。 ・その他、業務に関連する項目があれば評価する。 合計 100評 価 表(評価項目一覧表)業務仕様書案に記載の業務全体を、どのような実施(管理)体制(直接業務に携わる業務従事者のみならず、組織として若しくは組織の外部のバックアップ体制を含む)、要員計画(業務に必要な業務従事者数、その構成、資格要件等)等で実施するか記述してください。 当該業務に類似すると考えられる業務経験の中から(現職含む)、業務総括者の業務内容として最も適切と考えられるものを5件まで選択し、類似する内容が具体的に分かるよう最近のものから時系列順に記述してください。 当該業務に関連する資格等を有する場合はその写しを提出してください。 当該業務に類似すると考えられる業務経験の中から(現職含む)、業務従事者の業務内容として最も適切と考えられるものを5件まで選択し、類似する内容が具体的に分かるよう最近のものから時系列順に記述してください。 (１)業務総括者(２)評価対象となる業務従事者(主任1名)・類似業務については実施件数のみならず、業務の分野(内容)と形態、発注業務との関連性に鑑み総合的に評価する。 特に評価する類似案件としては、官公庁の業務経験や外部との調整・運営・管理に関する業務とする。 ・過去5年までの類似案件を対象とし、より最近のものに対し高い評価を与える。 【以下の資格・認証を有している場合評価する。 】・マネジメントに関する資格(ISO9001 等)・情報セキュリティに関する資格・認証(ISO27001/ISMS、プライバシーマーク等)・女性活躍推進法に基づく「えるぼし認定、プラチナえるぼし認定」のいずれかの認証、もしくは「※行動計画策定・周知」・次世代育成支援対策推進法に基づく「くるみん認定、トライくるみん、プラチナくるみん認定」のいずれかの認証、もしくは「※行動計画策定・周知」・若者雇用促進法に基づく「ユースエール認定」・その他、本業務に関すると思われる資格・認証３．業務総括者及び評価対象となる業務従事者の経験・能力２．業務の実施方針等(１)業務実施の基本方針(留意点)・方法１．社としての経験・能力等 ３)その他学位、資格等 １)類似業務の経験・類似業務については実施件数のみならず、業務の分野(内容)と形態、発注業務との関連性に鑑み総合的に評価する。 特に評価する類似案件としては、官公庁の業務経験や外部との調整・運営・管理と多面評価に関する業務とする。 ・過去10年までの類似案件を対象とし、より最近のものに対し高い評価を与える。 (１) 類似業務の経験(２)資格・認証等・類似業務については実施件数のみならず、業務の分野(内容)と形態、発注業務との関連性に鑑み総合的に評価する。 特に評価する類似案件としては、官公庁の業務経験や外部との調整・運営・管理に関する各種支援業務とする。 ・過去10年までの類似案件を対象とし、より最近のものに対し高い評価を与える。 ２)その他学位、資格等 １)類似業務の経験(２)業務実施体制(要員計画・バックアップ体制)当該業務に関連する資格等を有する場合はその写しを提出してください。 108/135第４ 経費に係る留意点１．経費の積算に係る留意点経費の積算に当たっては、業務仕様書(案)に規定されている業務の内容を十分理解したうえで、必要な経費を積算してください。 積算を行う上での留意点は以下のとおりです。 (１)経費の費目構成当該業務の実施における経費の費目構成です。 １)業務の対価(報酬)①直接人件費業務従事者ごとに日額単価を設定し、想定する人日を乗じ算出ください。 ②管理費当該業務委託を行う為に必要な経費であり、業務に要した経費としての抽出、特定が困難な経費について、直接人件費の合計に対して一定割合(％)を「管理費」としてとして計上することを認めます。 なお、管理費には①委託業務に必要なPC、OA機器や事務用品費用、②研修諸経費(研修委託先への振り込みにかかる振込手数料、通信料、業務従事者の交通費)を含めて計上ください。 ２)業務の対価(出来高払分)別紙2_業務仕様書(案)の第8経費支払方法の2. 経費支払方法のとおり。 ３)直接経費当該業務の実施にあたって支出が想定される直接経費は支払業務に基づく経費、課題別派遣前プログラム業務の経費及びその他業務遂行に必要な経費です。 「別紙2_業務仕様書_第 8、経費支払方法、３．直接経費」に記載の経費については、合計340,000,000円(税抜)(定額)を計上してください。 当該経費は、入札時点でその適切な見積もりが困難であることから、定額で入札金額に計上することにより、価格競争の対象としません。 ただし、本経費については、業務完了時に証拠書類に基づき精算を行います。 また、契約期間中に増額が必要となる場合には発注者、受注者双方で協議し、当該部分について増額の契約変更を行うことを可とします。 (２)消費税課税課税事業者、免税事業者を問わず、入札書には契約希望金額の 110 分の 100 に相当する金額を記載願います。 価格の競争は、この消費税を除いた金額で行います。 なお、入札金額の全体に100分の10に相当する額を加算した額が最終的な契約金額となります。 109/135２．請求金額の確定の方法経費の確定及び支払いについては、以下を想定しています。 業務の対価は、契約金額内訳書に定められた単価及び実績によります。 受注者は業務完了にあたって経費精算報告書を作成し、実績を確認できる書類(人日の実績)を添付し、提出してください。 発注者は精算報告書を検査し、検査結果及び精算金額を通知します。 受注者は同通知に基づき、請求書を発行してください。 直接経費については、契約金額の範囲内において、領収書等の証拠書類に基づいて、実費精算します。 受注者は業務完了にあたって経費精算報告書を作成してください。 発注者は精算報告書ならびに証拠書類を検査し、検査結果及び精算金額を通知します。 受注者は同通知に基づき、請求書を発行してください。 ３．その他留意事項(１)精算手続きに必要な「証拠書類」とは、「その取引の正当性を立証するに足りる書類」を示し、領収書又はそれに代わるものです。 証拠書類には 、①日付、②宛名(支払者)、③領収書発行者(支払先)、④受領印又は受領者サイン、⑤支出内容が明記されていなければなりません。 (２)謝金の支払いを実施していただく際、支払相手方が個人の場合には、原則として源泉徴収の手続きを実施していただく必要があります。 業務内容によっては、旅費・交通費についても源泉徴収の対象となります。 謝金の支払いについての詳細は、以下URLをご確認下さい。 https://www.nta.go.jp/taxes/tetsuzuki/mynumberinfo/pdf/mynumber_hoshu.pdf110/1352026-2029年度JICA海外協力隊合格後手続き及び課題別派遣前プログラム各種調整支援業務１．総括表合計(円)(1)業務の対価① 0①直接人件費1.後方支援・調整・準備業務 02.支払い業務 03.引継ぎ(最終年度) 0②管理費 00000 0①課題別派遣前プログラム 000000000000000(3)直接経費(実費精算分)定額計上 340,000,000小計 340,000,00034,000,000374,000,000２．内訳表(1)業務の対価①合計(円)人日 小計 人日 小計 人日 小計 人日 小計業務総括者 00000業務主任 00000業務従事者A-1 00000業務従事者A-2 00000計 0.0 0 0.0 0 0.0 0 0.0 0 0業務総括者 00000業務主任 00000業務従事者A-1 00000業務従事者A-2 00000計 0.0 0 0.0 0 0.0 0 0.0 0 0業務総括者 0.0 0 0.0 0 0.0 0 0 0業務主任 0.0 0 0.0 0 0.0 0 0.0 0 0業務従事者A-1 0.0 0 0.0 0 0.0 0 0.0 0 0業務従事者A-2 0.0 0 0.0 0 0.0 0 0.0 0 0計 0.0 0 0.0 0 0.0 0 0.0 0 00.0 0 0.0 0 0.0 0 0.0 0 0(※1)課題別派遣前プログラム運営補助を含む( 研修実施本数に関わらず発生する管理的業務部分(アドバイス、四半期報告作成等))(※2) 現行受注者も必ず入れること。 但し、現行受注者が受注した場合は、入札金額からこの金額を除いた金額を契約金額とする。 合計(円)直接人件費 管理費小計 直接人件費 管理費小計 直接人件費 管理費小計 直接人件費 管理費小計 管理費小計0.0 0 0.0 0 0.0 0 0.0 0 0計00000(2)業務の対価②(出来高払分)①課題別派遣前プログラム人日 小計 人日 小計 人日 小計 人日 小計業務総括者 00000業務主任 00000業務従事者B-1 00000業務従事者B-2 000001コース当たり 計 0.0 0 0.0 0 0.0 0 0.0 0 0コース(年間想定件数) 計 0.0 0 0.0 0 0.0 0 0.0 0 0業務総括者 00000業務主任 00000業務従事者B-1 00000業務従事者B-2 000001コース当たり 計 0.0 0 0.0 0 0.0 0 0.0 0 06コース(年間想定件数) 計 0.0 0 0.0 0 0.0 0 0.0 0 0業務総括者 00000業務主任 00000業務従事者B-1 00000業務従事者B-2 000001コース当たり 計 0.0 0 0.0 0 0.0 0 0.0 0 036コース(年間想定件数) 計 0.0 0 0.0 0 0.0 0 0.0 0 0業務総括者 00000業務主任 00000業務従事者B-1 00000業務従事者B-2 000001コース当たり 計 0.0 0 0.0 0 0.0 0 0.0 0 0コース(年間想定件数) 計 0.0 0 0.0 0 0.0 0 0.0 0 0業務総括者 00000業務主任 00000業務従事者B-1 00000業務従事者B-2 000001コース当たり 計 0.0 0 0.0 0 0.0 0 0.0 0 023プログラム(年間想定件数) 計 0.0 0 0.0 0 0.0 0 23.0 0 00.0 0 0.0 0 0.0 0 23.0 0 0②文部科学省表敬訪問補助業務人日 小計 人日 小計 人日 小計 人日 小計業務総括者 0000.000業務主任 0000.000業務従事者A-1 0000.000業務従事者A-2 0000.0001回当たり ※想定人日・ 0.0 0 0.0 0 0.0 0 0.0 0 00.0 0 0.0 0 0.0 0 0.0 0 0③外務大臣感謝状対応業務人日 小計 人日 小計 人日 小計 人日 小計業務総括者 00000業務主任 00000業務従事者A-1 00000業務従事者A-2 000001回当たり 0.0 0 0.0 0 0.0 0 0.0 0 00.0 0 0.0 0 0.0 0 0.0 0 0(3)直接経費(実費精算分)定額計上合計(円)340,000,000340,000,000③外務大臣感謝状対応業務年間合計(想定実施回数：4回。ただし、2026年度は3回、2029年度は2回)費目 2026年度 2027年度 2028年度 2029年度②文部科学省表敬訪問補助業務年間合計 95,000,000 105,000,000 105,000,000 35,000,000直接経費 95,000,000 105,000,000 105,000,000 35,000,000年間合計(想定実施回数：1回)単価2026年度 2027年度 2028年度 2029年度合計(円)合計(円)①直営・対面型研修1コースあたり(※3)②委託・対面型研修1コースあたり(※3)③直営・遠隔型研修1コースあたり(※3)④委託・遠隔型研修(遠隔型)1コースあたり(※3)2029年度年間合計(想定件数実施の場合)単価2026年度 2027年度 2028年度⑤課題別オンデマンド動画の新規作成(※3)2029年度単価2026年度 2027年度 2028年度合計(円)合計2029年度(4カ月)1.後方支援・調整・準備業務(※1)2.支払い業務3.引継ぎ(最終年度)(※2)①直接人件費 単価2026年度(11カ月) 2027年度 2028年度PC,OA機器、事務用品に係る経費、研修諸経費0.00%2029年度(4カ月)②管理費 管理費割合(％)2026年度(11カ月) 2027年度 2028年度総計 104,500,000 115,500,000 115,500,000 38,500,00095,000,000 105,000,000 105,000,000 35,000,000消費税(10％) 9,500,000 10,500,000 10,500,000 3,500,000積算シート費目 2026年度(11カ月) 2027年度 2028年度 2029年度(4カ月)(2)業務の対価②(出来高払分) 000035,000,0000000②文部科学省表敬訪問補助業務③外務大臣感謝状対応業務95,000,000 105,000,000 105,000,000111/135A-01業務委託契約書１．業務名称 2026-2029年度JICA海外協力隊合格後手続き及び課題別派遣前プログラム各種調整支援業務２．契約金額 金００,０００,０００円(内 消費税及び地方消費税の合計額 ０，０００，０００円)３．履行期間 ２０２６年５月１日から２０２９年７月３１日まで頭書業務の実施について、独立行政法人国際協力機構(以下「発注者」という。)と受注者名〔組織名〕を記載(以下「受注者」という。)とは、おのおの対等な立場における合意に基づいて、次の条項によって契約(以下「本契約」という。)を締結し、信義に従って誠実にこれを履行するものとする。 (総則)第１条 受注者は、本契約に定めるところに従い、附属書Ⅰ「業務仕様書」(以下「業務仕様書」という。)に規定する業務(以下「本業務」という。)を、業務仕様書の定めに従って善良な管理者の注意義務をもって誠実に実施し、発注者は受注者に対し頭書の「契約金額」の範囲内でその対価を支払うものとする。 ２ 受注者は、本契約及び業務仕様書に特別の定めがある場合を除き、本業務を実施するために必要な方法、手段、手順については、受注者の責任において定めるものとする。 ３ 頭書の「契約金額」には本業務の実施に必要な諸経費並びに消費税及び地方消費税(消費税法(昭和63年法律第108号)及び地方税法(昭和25年法律第226号)の規定に基づくもの。 以下「消費税等」という。 )を含むものとする。 ４ 税法の改正により消費税等の税率が変更された場合は、変更後の税率の適用日以降における消費税等の額は変更後の税率により計算された額とする。 ただし、法令に定める経過措置に該当する場合又は消費税率変更前に課税資産の譲渡等が行われる場合は、消費税等の額は変更前の税率により計算された額とする。 ５ 本契約の履行及び本業務の実施(安全対策を含む。)に関し、受注者から発注者に提出する書類は、発注者の指定するものを除き、第5条に規定する監督職員を経由して提出するものとする。 ６ 前項の書類は、第5条に規定する監督職員に提出された日に発注者に提出されたものとみなす。 ７ 発注者は、本業務の委託に関し、受注者から契約保証金を徴求しない。 ８ 受注者が共同企業体である場合は、その構成員は、発注者に対して、連帯して本契約を履行し、本業務を実施する義務を負うものとする。 また、本契約に基づく賠償金、違約金及び延滞金が発生する場合は、全構成員による連帯債務とする。 第５ 契約書(案)112/135A-01９ 本契約を構成する文書中に規定される「文書」、「書面」及び「書類」については、予め発注者が指定した場合には紙媒体によるものとし、指定がない場合には電磁的方法によるものとする。 (業務計画書)第２条 (削除)(権利義務の譲渡等の禁止)第３条 受注者は、本契約の地位又は本契約により生ずる権利又は義務を第三者に譲渡し、継承させ、又は担保に供してはならない。 ただし、あらかじめ書面による発注者の承諾を得たときは、この限りでない。 (再委託又は下請負の禁止)第４条 受注者は、本業務の実施を第三者に委託し、又は請け負わせてはならない。 ただし、業務仕様書に特別の定めがあるとき又は受注者が再委託若しくは下請負の内容、受託者若しくは下請負人の名称その他必要な事項を記載した書面を発注者に提出し、発注者からあらかじめ書面による承諾を得たときは、この限りでない。 ２ 受注者が、前項ただし書の規定により本業務の一部の実施を第三者に委託し、又は請け負わせる場合は、次の各号の条件が課されるものとする。 (１)受注者は発注者に対し、本契約により生ずる一切の義務を免れるものではなく、また、受託者又は下請負人の役職員を受注者の役職員とみなし、当該役職員が本契約により生ずる受注者の義務に違反した場合は、受注者が責任を負うものとする。 (２)発注者は、受注者に対して、書面によりその理由を通知することにより、当該第三者に対する再委託又は下請負の中止を請求することができる。 (３)第18 条第 1項第 8 号イからチまでのいずれかに該当する者を受託者又は下請負人としてはならない。 (監督職員)第５条 発注者は、本契約の適正な履行を確保するため、独立行政法人国際協力機構青年海外協力隊事務局選考・訓練課長の職にある者を監督職員と定める。 ２ 前項に定める監督職員は、本契約の履行及び本業務の実施に関して、次に掲げる業務を行う権限を有する。 (１)第1条第5項に定める書類の受理(２)本契約に基づく、受注者又は次条に定める受注者の業務責任者に対する指示、承諾及び協議(３)本契約に基づく、業務工程の監理及び立会３ 前項における、指示、承諾、協議及び立会とは、次の定義による。 (１)指示 監督職員が受注者又は受注者の業務責任者に対し、監督職員の所掌権限に係る方針、基準、計画等を示し、実施させることをいう。 (２)承諾 受注者又は受注者の業務責任者が監督職員に報告し、監督職員が所掌権限に基づき了解することをいう。 (３)協議 監督職員と受注者又は受注者の業務責任者が対等の立場で合議し、結113/135A-01論を得ることをいう。 (４)立会 監督職員又はその委任を受けた者が作業現場に出向き、業務仕様書に基づき業務が行われているかを確認することをいう。 ４ 第2項第2号の規定に基づく監督職員の指示、承諾及び協議は、原則としてこれを書面に記録するものとする。 ５ 発注者は、監督職員に対し本契約に基づく発注者の権限の一部であって、第 2項で定める権限以外のものを委任したときは、当該委任した権限の内容を書面により受注者に通知しなければならない。 ６ 発注者は、監督職員を通じて、受注者に対し、いつでも本業務の実施状況の報告を求めることができる。 (業務責任者)第６条 受注者は、本業務の実施に先立ち、業務責任者を定め、発注者に届出をしなければならない。 発注者の同意を得て、業務責任者を交代させたときも同様とする。 ２ 受注者は、前項の規定により定めた業務責任者に、本業務の実施についての総括管理を行わせるとともに、発注者との連絡に当たらせなければならない。 ３ 業務責任者は、本契約に基づく受注者の行為に関し、受注者を代表する権限(ただし、契約金額の変更、作業項目の追加等本業務の内容の重大な変更、履行期間の変更、損害額の決定、本契約に係る支払請求及び金銭受領の権限並びに本契約の解除に係るものを除く。)を有するものとする。 (本業務の内容の変更)第７条 発注者は、必要があると認めるときは、受注者に対して書面による通知により本業務の内容の変更を求めることができる。 ２ 発注者は、必要があると認めるときは、受注者に対して書面による通知により本業務の全部又は一部を一時中止させることができる。 ３ 第1項により本業務の内容を変更する場合において、履行期間若しくは契約金額を変更する必要があると認められるとき、又は受注者が直接かつ現実に損害を受けたときは、発注者及び受注者は、変更後の履行期間及び契約金額並びに賠償額について協議し、当該協議の結果を書面により定める。 ４ 第2項の場合において、受注者に増加費用が生じたとき、又は受注者が直接かつ現実に損害を受けたときは、発注者はその費用を負担し、又はその損害を賠償しなければならない。 この場合において、発注者及び受注者は、負担額及び賠償額を協議し、当該協議の結果を書面により定める。 (一般的損害)第８条 本業務の実施において生じた損害(本契約で別に定める場合を除く。)については、受注者が負担する。 ただし、発注者の責に帰すべき事由により生じた損害については、発注者が負担する。 (第三者に及ぼした損害)第９条 本業務の実施に関し、第三者に及ぼした損害について、当該第三者に対して賠償を行わなければならない場合は、受注者がその賠償額を負担する。 114/135A-01２ 前項の規定にかかわらず、同項に規定する損害の発生が発注者の責に帰すべき事由による場合は、発注者がその賠償額を負担する。 ただし、受注者が、発注者の責に帰すべき事由があることを知りながらこれを発注者に通知しなかったときは、この限りでない。 ３ 前二項の場合において、その他本業務の実施に関し、第三者との間に紛争が生じたときは、発注者、受注者協力してその処理解決に当たるものとする。 (検査)第 10 条 受注者は、本業務を完了したときは、遅滞なく、発注者に対して業務完了届を提出しなければならない。 この場合において、発注者が認める場合は、受注者は、第14条に規定する経費確定(精算)報告書に代えて、附属書Ⅱ「契約金額内訳書」(以下「契約金額内訳書」という。)に規定する単価等に基づき確定した経費の内訳及び合計を業務完了届に記載することができる。 ２ 業務仕様書において可分な業務として規定されるものがある場合において、当該可分な業務が完了したときは、受注者は、当該部分業務に係る業務完了届を提出することができる。 発注者が受注者に対し、部分業務に係る業務完了届の提出を求めたときは、受注者は、遅滞なく業務完了届を提出しなければならない。 ３ 発注者は、前二項の業務完了届を受理したときは、その翌日から起算して10営業日以内に当該業務について検査を行い、その結果を受注者に通知しなければならない。 (債務不履行)第 11 条 受注者の責に帰すべき事由により、受注者による本契約の履行が本契約の本旨に従った履行と認められない場合、又は、履行が不能になった場合は、発注者は受注者に対して、完全な履行を請求し、又は履行に代え若しくは履行とともに損害の賠償を請求することができる。 この場合において、本契約の目的が達せられないときは、発注者は、本契約の全部又は一部を解除することができる。 (成果品等の取扱い)第12条 受注者は、業務仕様書に成果品(以下「成果品」という。)が規定されている場合は、成果品を、業務仕様書に成果品が規定されていない場合は、業務実施報告書(以下「業務実施報告書」という。)を、第10条第1項及び第2項に規定する業務完了届に添付して提出することとし、同条第3項に規定する検査を受けるものとする。 ２ 前項の場合において、第 10 条第 3 項に定める検査の結果、成果品及び業務実施報告書について補正を命ぜられたときは、受注者は遅滞なく当該補正を行い、発注者に補正完了の届を提出して再検査を受けなければならない。 この場合において、再検査の期日については、同条第3項の規定を準用する。 ３ 受注者は、業務仕様書に業務提出物(以下「業務提出物」という。)が規定されている場合は、業務提出物を業務仕様書の規定(内容、形態、部数、期限等)に基づき提出し、監督職員の確認を得なければならない。 ４ 受注者が提出した成果品、業務実施報告書及び業務提出物(以下総称して「成果品等」という。)の所有権は、それぞれ第10条第3項に定める検査合格又は前項に定める監督職員の確認の時に、受注者から発注者に移転する。 115/135A-01５ 受注者が提出した成果品等の著作権(著作権法第27条、第28条所定の権利を含む。)は、業務仕様書にて別途定めるもの及び受注者又は第三者が従来から著作権を有する著作物を除き、それぞれ第 10 条第 3 項に定める検査合格又は前項に定める監督職員の確認の時に受注者から発注者に譲渡されたものとする。 成果品等のうち、受注者が従来から著作権を有する著作物については、受注者は、これら著作物を発注者が利用するために必要な許諾を発注者に与えるものとし、第三者が従来から著作権を有する著作物については、受注者は、責任をもって第三者から発注者への利用許諾を得るものとする。 また、受注者は発注者に対して成果品等について著作者人格権を行使しないものとし、第三者をして行使させないものとする。 ６ 前項の規定は、第11条、第18条第1項、第19条第1項又は第20条第1項の規定により本契約が解除された場合について、これを準用する。 (成果品等の契約不適合)第 13 条 発注者は、成果品等に業務仕様書との不一致その他契約の内容に適合しないもの(以下「契約不適合」という。)を発見したときは、発注者がその契約不適合を知った日から1年以内にその旨を通知した場合に限り、受注者に対して相当の期間を定めてその契約不適合の修補を請求し、契約金額の減額を請求し又はこれらに代え若しくはこれらと併せて損害の賠償を請求することができる。 ２ 発注者は、成果品等に契約不適合があるときは、発注者がその契約不適合を知った日から1年以内に受注者にその旨を通知した場合に限り、本契約の全部又は一部を解除することができる。 ３ 前二項において受注者が負うべき責任は、前条第1項及び第2項の検査の合格又は同条第3項の監督職員の確認をもって免れるものではない。 (経費の確定)第 14 条 受注者は、履行期間末日の翌日から起算して 30 日以内に、発注者に対し、経費確定(精算)報告書(以下「経費報告書」という。)を提出しなければならない。 ただし、発注者の事業年度末においては、発注者が別途受注者に通知する日時までに提出するものとする。 ２ 受注者は、第 10 条第 2 項に定める可分な業務にかかる業務完了届を提出する場合は、当該業務完了届の提出日の翌日から起算して 30 日以内に、発注者に対し、当該業務に係る経費報告書を提出しなければならない。 ただし、発注者の事業年度末においては、発注者が別途受注者に通知する日時までに提出するものとする。 ３ 受注者は、契約金額内訳書のうち精算を必要とする費目についての精算を行うに当たっては、経費報告書の提出と同時に必要な証拠書類一式を発注者に提出しなければならない。 ４ 発注者は、第1項及び第2項の経費報告書及び前項の必要な証拠書類一式を検査のうえ、契約金額の範囲内で発注者が支払うべき額(以下「確定金額」という。)として確定し、経費報告書を受理した日の翌日から起算して 30 日以内に、これを受注者に通知しなければならない。 ５ 前項の金額の確定は、次の各号の定めるところにより行うものとする。 (１)本業務の対価(報酬)116/135A-01契約金額の範囲内において、定められた単価及び実績による。 (２)直接経費契約金額の範囲内において、領収書等の証拠書類に基づく実費精算による。 ６ 受注者は、発注者から前項の直接経費に係る証拠書類の提出の省略を認められた場合は、これらを整備し、履行期間の満了した事業年度の翌年度の4月1日から起算して 10 年の間、自らこれを保管し、発注者からの要求があったときは、遅滞なく原本を提示しなければならない。 (支払)第15条 受注者は、第10条第3項による検査に合格し、前条第4項の規定による確定金額の決定通知を受けたときは、発注者に確定金額の支払を請求することができる。 ただし、第 15 条の●に定める●●払を受けている場合は、確定金額から●●払の額を減じた額を請求するものとする。 また、確定金額が●●払の額を下回るときは、当該●●払の額から確定金額を減じた額を、発注者の指示に基づき、発注者の定める期間内に返納するものとする。 ２ 発注者は、前項の規定による請求を受けたときは、請求を受けた日の翌日から起算して30日以内に支払を行わなければならない。 ３ 前項の規定にかかわらず、発注者は、受注者の支払請求を受理した後、その内容の全部又は一部に誤りがあると認めたときは、その理由を明示して当該請求書を受注者に返付することができる。 この場合は、当該請求書を返付した日から是正された請求書を発注者が受理した日までの期間の日数は、前項に定める期間の日数に算入しないものとする。 ＜オプション条項：概算払を行う場合(前金払／部分払との併用不可)＞(概算払)第15条の2 本契約締結後、受注者は、契約金額の10分の４以内の額について、発注者に対し概算払を請求することができる。 ２ 発注者は、前項の規定による概算払の請求があったときは、内容を確認のうえ、請求書を受領した日から起算して30日以内に当該請求金額を支払うものとする。 ３ 前項の規定にかかわらず、発注者は、受注者の支払請求を受理した後、その内容の全部または一部に誤りがあると認めたときは、その理由を明示して当該請求書を受注者に返付することができる。 その場合は、当該請求書を返付した日から是正された請求書を発注者が受領した日までの期間の日数は、前項に定める期間の日数に算入しないものとする。 ４ 受注者は、発注者から支払を受けた概算払金を本業務以外の用途に使用してはならない。 ＜オプション条項：前金払を行う場合(概算払／部分払との併用不可)＞(前金払)第 15 条の 2 受注者は、発注者に対して、契約金額の 10 分の4 相当額を限度とする前金払を請求することができる。 ただし、履行期間が12か月を超える場合に117/135A-01は、履行開始日より12か月以内の期間に履行する業務の対価の10分の4を限度とし、それ以降12か月ごとに同様の扱いとする。 ２ 受注者は、前項により前金払を請求しようとするときは、前金払の額について、履行期間を保証期間として、次の各号のいずれかに該当する保証の措置を講じ、保証書その他当該措置を講じたことを証する資料を発注者に寄託しなければならない。 (１)公共工事の前払金保証事業に関する法律(昭和27年法律第184号)第2条第4項に規定する保証事業会社の保証(２)銀行又は発注者の指定する金融機関等の保証３ 発注者は、前二項の規定による前金払の請求があったときは、審査のうえ、請求書を受領した日から起算して30日以内に前払金を支払うものとする。 ４ 本業務の内容の変更その他の理由により履行期間を延長した場合は、受注者は、直ちに、第2項に基づく保証の措置に係る保証契約を変更し、変更後の保証書を発注者に寄託しなければならない。 なお、受注者は、本業務の進捗が契約金額に占める前金払の割合を超えると判断される場合は、発注者に対し、寄託した保証書の返却に係る協議を申し入れることができる。 ５ 受注者は、第2項及び前項の規定による保証書の寄託に代えて、電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって、当該保証契約の相手方が定め、発注者が認めた措置を講ずることができる。 この場合においては、受注者は、当該保証書を寄託したものとみなす。 ６ 受注者は、発注者から支払を受けた前金払金を本業務以外の用途に使用してはならない。 (履行遅滞の場合における損害の賠償)第 16 条 受注者の責に帰すべき事由により、履行期間内に本業務を完成することができない場合において、履行期間経過後相当の期間内に完成する見込みのあるときは、発注者は受注者に履行遅滞により発生した損害の賠償を請求するとともに、成果品等の引渡しを請求することができる。 ２ 前項の損害賠償の額は、契約金額から既に引渡しを受けた成果品等に係る部分に相当する金額を控除した額につき、遅延日数に応じ、履行期間が経過した時点における政府契約の支払遅延防止等に関する法律(昭和 24 年法律第 256 号)に規定する利率(以下「本利率」という。)で算出した額とする。 ３ 発注者の責に帰すべき事由により、発注者が本契約に基づき支払義務を負う金員の支払が遅れた場合は、受注者は、未受領の金員につき、遅延日数に応じ、本利率で算出した額の遅延利息の支払いを発注者に請求することができる。 (天災その他の不可抗力の扱い)第17条 天災地変、戦争、国際紛争、内乱、暴動、テロ行為、ストライキ、業務対象国政府による決定等、社会通念に照らして発注者及び受注者いずれの責に帰すべからざるやむを得ない事由(以下「不可抗力」という。)により、発注者及び受注者いずれかによる履行が遅延又は妨げられる場合は、当事者は、その事実発生後遅滞なくその状況を書面により本契約の相手方に通知しなければならない。 また、発注者及び受注者は、通知後速やかに書面にて不可抗力の発生の事実を確認し、その後の必要な措置について協議し定める。 118/135A-01２ 不可抗力により生じた履行の遅延又は不履行は、本契約上の義務の不履行又は契約違反とはみなさない。 (発注者の解除権)第 18 条 発注者は、受注者が次に掲げる各号のいずれかに該当するときは、催告を要せずして、本契約を解除することができる。 (１)受注者の責に帰すべき事由により、本契約の目的を達成する見込みがないと認められるとき。 (２)受注者が本契約に違反し、その違反により本契約の目的を達成することができないと認められるとき。 (３)受注者が第 20 条第 1 項に規定する事由によらないで本契約の解除を申し出たとき。 (４)第22条第1項各号のいずれかに該当する行為があったとき。 (５)受注者に不正な行為があったとき、又は発注者の名誉ないし信用を傷つける行為をしたとき。 (６)受注者に仮差押又は仮処分、差押、競売、破産、民事再生、会社更生又は特別清算等の手続開始の申立て、支払停止、取引停止又は租税滞納処分等の事実があったとき。 (７)受注者が「独立行政法人国際協力機構関係者の倫理等ガイドライン」に違反したとき。 (８)受注者が、次に掲げる各号のいずれかに該当するとき、又は次に掲げる各号のいずれかに該当する旨の新聞報道、テレビ報道その他報道(ただし、日刊新聞紙等、報道内容の正確性について一定の社会的評価が認められている報道に限る。)があったとき。 イ 役員等が、暴力団、暴力団員、暴力団関係企業、総会屋、社会運動等標榜ゴロ、特殊知能暴力集団等(各用語の定義は、独立行政法人国際協力機構反社会的勢力への対応に関する規程(平成24年規程(総)第25号)に規定するところにより、これらに準ずる者又はその構成員を含む。 以下「反社会的勢力」という。 )であると認められるとき。 ロ 役員等が暴力団員でなくなった日から５年を経過しない者であると認められるとき。 ハ 反社会的勢力が経営に実質的に関与していると認められるとき。 ニ 法人である受注者又はその役員等が自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもって、反社会的勢力を利用するなどしているとき。 ホ 法人である受注者又はその役員等が、反社会的勢力に対して、資金等を供給し、又は便宜を供与するなど直接的若しくは積極的に反社会的勢力の維持、運営に協力し、若しくは関与しているとき。 へ 法人である受注者又はその役員が、反社会的勢力であることを知りながらこれを不当に利用するなどしているとき。 ト 法人である受注者又はその役員等が、反社会的勢力と社会的に非難されるべき関係を有しているとき。 チ 受注者が、東京都暴力団排除条例又はこれに相当する他の地方公共団体の条例に定める禁止行為を行ったとき。 119/135A-01リ 受注者が、再委託、下請負又は物品購入等にかかる契約に当たり、その相手方がイからチまでのいずれかに該当することを知りながら、当該者と契約を締結したと認められるとき。 ヌ 受注者が、イからチまでのいずれかに該当する者を再委託、下請負又は物品購入等にかかる契約の相手方としていた場合(前号に該当する場合を除く。)に、発注者が受注者に対して当該契約の解除を求めたにもかかわらず、受注者がこれに従わなかったとき。 ２ 前項の規定により本契約が解除された場合(前項第 4 号の場合を除く。)は、受注者は発注者に対し契約金額(本契約締結後、契約金額の変更があった場合には、変更後の契約金額とする。)の10分の1に相当する金額を違約金として、発注者の指定する期間内に発注者に納付しなければならない。 この場合において、発注者の被った実損害額が当該違約金の額を超えるときは、発注者は、受注者に対して、別途、当該超過部分の賠償を請求することができる。 (発注者のその他の解除権)第 19 条 発注者は、前条第 1 項に規定する場合のほか、その理由を問わず、少なくとも 30 日前に書面により受注者に予告通知のうえ、本契約を解除することができる。 ２ 第1項の規定により本契約を解除した場合において、受注者が受注者の責に帰することができない事由により損害を受けたときは、発注者はその損害を賠償するものとする。 賠償額は、受注者が既に支出し他に転用できない費用及び契約業務を完成したとすれば収受しえたであろう利益の額を合算した金額とする。 この場合における収受しえたであろう利益は、契約金額の内訳に「管理費」の額が定められているときは同金額を上限とする。 (受注者の解除権)第 20 条 受注者は、発注者が本契約に違反し、その違反により本業務を完了することが不可能となったときは、本契約を解除することができる。 ２ 前項の規定により本契約を解除した場合は、前条第2項の規定を準用する。 (解除に伴う措置)第 21 条 本契約が解除された場合においては、受注者は、解除時点における本業務の実施済部分の内容を発注者に報告するとともに、成果品等(仕掛中のものを含む。)があり発注者がその引渡しを求めたときは発注者による検査を受け、合格したものを発注者に引き渡さなければならない。 ２ 発注者は、前項の報告内容を勘案し、解除時点における受注者の本業務の実施済部分につき履行割合を算定し、契約金額に前記履行割合を乗じた額(ただし、既払金を控除する。)を受注者に支払うものとする。 (重大な不正行為に係る違約金)第 22 条 受注者が次に掲げる各号のいずれかに該当するときは、その都度、発注者の解除権行使の有無にかかわらず、受注者は契約金額(本契約締結後、契約金額の変更があった場合には、変更後の契約金額とする)の 10 分の 2 に相当する金額を違約金として発注者の指定する期間内に納付しなければならない。 120/135A-01(１)次のいずれかの目的により、受注者の役職員又はその指図を受けた者が刑法(明治40年法律第45号)第198条(贈賄)又は不正競争防止法(平成5年法律第47号)第18条(外国公務員等に対する不正の利益の供与等の禁止)に違反する行為を行い刑が確定したとき。 また、受注者が同条に相当する外国の法令に違反する行為を行い、同国の司法機関による確定判決又は行政機関による最終処分がなされたときも同様とする。 イ 本業務の実施にかかる便宜を得る目的ロ 本業務の実施の結果を受けて形成された事業の実施を内容とする契約の受注又は事業の許認可の取得等にかかる便宜を得る目的(本契約の履行期間中に違反行為が行われ、又は本契約の対価として支払を受けた金銭を原資として違反行為が行われた場合に限る。)(２)受注者又は受注者の意を受けた関係者が、本業務に関し、私的独占の禁止及び公正取引の確保に関する法律(昭和 22 年法律第 54 号)(以下、「独占禁止法」)第3 条、第6 条又は第 8 条に違反する行為を行い、公正取引委員会から独占禁止法第7条又は同法第8条の2(同法第8条第1号若しくは第2号に該当する行為の場合に限る。)の規定による排除措置命令を受け、又は第 7 条の2第1項(同法第8条の3において読み替えて準用する場合を含む。)の規定による課徴金の納付命令を受け、当該納付命令が確定したとき。 (３)公正取引委員会が、受注者又は受注者の意を受けた関係者に対し、本業務の実施に関して独占禁止法第7条の4第7項の規定による課徴金の納付を命じない旨の通知を行ったとき。 (４)受注者又はその意を受けた関係者(受注者又は当該関係者が法人の場合は、その役員又は使用人)が、本業務の実施に関し、刑法第96条の6(公契約関係競売等妨害)、独占禁止法第89条第1項又は同法第90条1号及び2号に違反する行為を行い刑が確定したとき。 (５)第1号、第2号及び前号に掲げるいずれかの違反行為があったことを受注者(受注者が共同企業体である場合は、当該共同企業体の構成員のいずれか)が認めたとき。 ただし、発注者は、受注者が、当該違反行為について自主的な申告を行い、かつ発注者に協力して損害の発生又は拡大を阻止し、再発防止のため適切な措置を講じたときは、違約金を免除又は減額することができる。 なお、受注者が共同企業体である場合は、その構成員の一が自主的な申告を行い、かつ発注者に協力して損害の発生又は拡大を阻止し、再発防止のため適切な措置を講じたときは、発注者は、当該構成員に対し、違約金を免除又は減額することができる。 (６)第 14 条に定める経費確定(精算)報告において受注者が故意又は重過失により虚偽の資料等を提出し、発注者に対して過大な請求を行ったことが認められたとき。 ２ 受注者が前項各号に複数該当するときは、発注者は、諸般の事情を考慮して、同項の規定により算定される違約金の総額を減額することができる。 ただし、減額後の金額は契約金額の10分の2を下ることはない。 ３ 前二項の場合において、発注者の被った実損害額が当該違約金の額を超えるときは、発注者は、受注者に対して、別途、当該超過部分の賠償を請求することができるものとする。 ４ 前三項に規定する違約金及び賠償金は、第 18 条第 2 項に規定する違約金及び121/135A-01賠償金とは独立して適用されるものとする。 ５ 受注者が共同企業体である場合であって、当該共同企業体の構成員のいずれかが次の各号のいずれかに該当するときは、第1条第8項の規定にかかわらず、発注者は、当該構成員に対して本条第1項から第3項までに規定する違約金及び賠償金を請求しないことができる。 ただし、本項第2号に掲げる者のうち当該違反行為を知りながら発注者への通報を怠った者については、この限りでない。 (１)第 1 項第 1 号又は第 4 号に該当する場合であって、その判決内容等において、違反行為への関与が認められない者(２)第1項第5号に該当する場合であって、違反行為があったと認めた構成員が、当該違反行為に関与していないと認めた者６ 前項の適用を受けた構成員(以下「免責構成員」という。)がいる場合は、当該共同企業体の免責構成員以外の構成員が当該違約金及び賠償金の全額を連帯して支払う義務を負うものとする。 ７ 前各項の規定は、本業務の実施が完了した後も引き続き効力を有する。 (賠償金等)第 23 条 受注者が本契約に基づく賠償金又は違約金を発注者の指定する期間内に支払わないときは、発注者は、その支払わない額及びこれに対する発注者の指定する期間を経過した日から支払の日まで本利率で算出した利息の合計額と、発注者が本契約に従って支払うべき金額とを相殺し、なお不足があるときは受注者に支払を請求することができる。 ２ 前項の請求をする場合は、発注者は、受注者に対して、前項に基づき発注者が指定した期間を経過した日から遅延日数に応じ、本利率で算出した額の延滞金の支払を請求する。 (調査・措置)第24条 受注者が、第18条第1項各号又は第22条第1項各号に該当する疑いがある場合は、発注者は、受注者に対して調査を指示し、その結果を文書で発注者に報告させることができ、受注者は正当な理由なくこれを拒否してはならないものとする。 ２ 発注者は、前項の報告を受けたときは、その内容を詳細に確認し、事実の有無を判断するものとする。 この場合において、発注者が審査のために必要であると認めるときは、受注者からの説明を求め、必要に応じ受注者の事業所に赴き検査を行うことができるものとする。 ３ 発注者は、第18条第1項各号又は第22条第1項各号に該当する不正等の事実を確認した場合は、必要な措置を講じることができるものとする。 ４ 発注者は、前項の措置を講じた場合は、受注者名及び不正の内容等を公表することができるものとする。 (秘密の保持)第 25 条 受注者(第 4 条に基づき受注者が選任する再委託先又は下請負人を含む。 本条において以下同じ。 )は、本業務を実施する上で、発注者その他本業務の関係者から、文書、口頭、電磁的記録媒体その他開示の方法及び媒体を問わず、また、本契約締結の前後を問わず、開示された一切の情報(以下「秘密情報」という。)122/135A-01を秘密として保持し、これを第三者に開示又は漏洩してはならない。 ただし、次の各号に定める情報については、この限りでない。 (１)開示を受けた時に既に公知であったもの(２)開示を受けた時に既に受注者が所有していたもの(３)開示を受けた後に受注者の責に帰さない事由により公知となったもの(４)開示を受けた後に第三者から秘密保持義務を負うことなく適法に取得したもの(５)開示の前後を問わず、受注者が独自に開発したことを証明しうるもの(６)法令並びに政府機関及び裁判所等の公の機関の命令により開示が義務付けられたもの(７)第三者への開示につき、発注者又は秘密情報の権限ある保持者から開示について事前の承認があったもの２ 受注者は、秘密情報について、本業務の実施に必要な範囲を超えて使用、提供又は複製してはならない。 また、いかなる場合も改ざんしてはならない。 ３ 受注者は、本業務に従事する者(下請負人がある場合には下請負人を含む。以下「業務従事者等」という。)が、その在職中、退職後を問わず、秘密情報を保持することを確保するため、秘密取扱規程の作成、秘密保持誓約書の徴収その他必要な措置を講じなければならない。 ４ 受注者は、秘密情報の漏えい、滅失又はき損その他の秘密情報の管理に係る違反行為等が発生したときは、直ちに被害の拡大防止及び復旧等のために必要な措置を講ずるとともに、速やかに発注者に報告し、発注者の指示に従わなければならない。 ５ 発注者は、必要があると認めるときは、受注者の同意を得た上で、受注者の事務所等において秘密情報が適切に管理されているかを調査し、管理状況が不適切である場合は、改善を指示することができる。 ６ 受注者は、本業務の実施の完了後、速やかに秘密情報の使用を中止し、秘密情報を含む書類、図面、写真、フィルム、テープ、ディスク等の媒体(受注者が作成した複製物を含む。)を発注者に返却し、又は、当該媒体に含まれる秘密情報を復元できないよう消去若しくは当該媒体を破壊した上で、破棄し、その旨を発注者に通知しなければならない。 ただし、発注者から指示があるときはそれに従うものとする。 ７ 前各項の規定は、本業務が完了した後も引き続き効力を有する。 (個人情報保護)第26条 受注者は、本契約において、発注者の保有個人情報(「個人情報の保護に関する法律」(平成 15 年法律第57号。以下「個人情報保護法」という。)第 60条第1項で定義される保有個人情報を指し、以下「保有個人情報」という。 )を取り扱う場合は、次の各号に定める義務を負うものとする。 (１)当該取扱いに係る個人情報に関する秘密を保持し、利用目的以外に利用しないこと。 (２)本契約締結後速やかに、次の各号に掲げる事項を記載した書面を発注者に提出し、本業務の開始に先立って発注者の確認を得ること。 イ 当該取扱いに係る個人情報の複製等の制限に関する事項ロ 当該取扱いに係る個人情報の漏えい等の事案の発生時における対応に関123/135A-01する事項ハ 契約終了時における当該取扱いに係る個人情報の消去及び媒体の返却に関する事項ニ 本業務における責任者及び業務従事者等の管理体制及び実施体制に関する事項ホ 前号及び次号の遵守状況についての定期的報告に関する事項へ イからホまでに定めるもののほか、当該取扱いに係る個人情報の漏えい、滅失又は毀損の防止その他個人情報の適正な管理のために発注者が必要と判断した措置に関する事項(３)前号の書面に記載された事項を遵守すること。 ２ 発注者は、必要があると認めるときは、受注者における個人情報の管理体制、実施体制及び個人情報の管理の状況について、検査により確認する。 この検査は、原則として、実地検査の方法で行う。 ３ 業務内容の一部を再委託する場合においては、受注者は、再委託先に対し、第1 項各号の義務を履行させる。 この場合において、発注者は、再委託する業務に係る保有個人情報の秘匿性等に応じて、受注者を通じて、又は発注者自らが前項の検査を実施する。 ４ 前項の規定は、再委託先が委託先の子会社である場合又は再委託先が再々委託を行う場合も同様とする。 ５ 受注者は、保有個人情報の漏えい等による被害発生のリスクを低減する観点から、利用目的、業務の内容、保有個人情報の秘匿性等を考慮し、必要に応じ、特定の個人を識別することができる記載の全部又は一部を削除し、又は別の記号等に置き換える等の措置を講ずる。 ６ 第1項第1号及び第2項ないし第4項の規定は、本業務が完了した後も引き続き効力を有する。 (特定個人情報保護)第 26 条の２ 前条第 1 項ないし第 4 項の規定は、受注者が本契約において特定個人情報等(「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年法律第27号。以下「番号法」という。)第2条第5項で定める個人番号及び同条第8項で定める特定個人情報を指す。 以下同じ。 )に係る関係事務を実施する場合について準用する。 この場合において、同項中「個人情報」とあるのは「特定個人情報」と読み替えるものとする。 ２ 前項の場合において、受注者は、前項に定めるもののほか、業務従事者等が前項に違反したときは、業務従事者等及び受注者に適用のある番号法が定める罰則が適用され得ることを、業務従事者等に周知するものとする。 ３ 第1 項が準用する第 26 条第 1 項第1 号及び第 2 項ないし第 4項の規定は、本業務が完了した後も引き続き効力を有する。 (情報セキュリティ)第 27 条 受注者は、本契約において発注者が提供する情報(以下「情報」という。)を取り扱う場合は、次の各号に定める義務を負うものとする。 (１) 当該情報提供の目的以外に情報を利用しない等、提供された情報を適正に取り扱うこと。 124/135A-01(２) 本契約締結後速やかに、次に掲げる事項を記載した書面を発注者に提出し、本件業務の開始に先立って発注者の確認を得ること。 当該書面に記載した事項に変更があった場合には、速やかに発注者に書面で報告し、発注者の確認を得ること。 イ 情報の適正な取扱いを目的とした情報セキュリティ対策の実施内容ロ 情報セキュリティ対策を実施・管理するための管理体制ハ 本業務に係る業務従事者及び作業場所ニ 情報セキュリティインシデントが発生した場合の具体的な対処方法ホ 情報セキュリティ対策に係る履行状況の発注者への報告方法及び頻度ヘ 情報セキュリティ対策の履行が不十分である場合の対処方法ト イからへまでに定めるもののほか、情報の適切な取扱いのために必要と発注者が判断した事項(３) 情報の受領方法や委託業務終了時の情報の廃棄方法等を含む情報の取扱手順について発注者と合意すること。 (４) 第2号の書面及び前号の取扱手順に基づき情報を取り扱うこと。 ２ 発注者は、受注者が取り扱う情報の格付等を勘案のうえ、必要があると認めるときは、受注者の事務所等における情報セキュリティ監査を実施する。 この場合において、受注者による情報の取扱いが前項第 4 号に違反する場合には、発注者は、受注者に対し、改善を指示することができる。 ３ 業務内容の一部を再委託する場合は、受注者は、再委託先に対し、第1項各号に定める義務を履行させ、かつ第 2 項に定める情報セキュリティ監査の措置を実施する。 この場合において、受注者は、発注者に対し、第4条に定められている事項に加え、再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を提供し、発注者の確認を得る。 (安全対策)第 28 条 受注者は、業務従事者等の生命・身体等の安全優先を旨として、自らの責任と負担において、必要な安全対策を講じて、業務従事者等の安全確保に努めるものとする。 (業務災害補償等)第 29 条 受注者は、自己の責任と判断において本業務を実施し、業務従事者等の業務上の負傷、疾病、障害又は死亡にかかる損失については、受注者の責任と負担において十分に付保するものとし、発注者はこれら一切の責任を免れるものとする。 (安全対策措置等)第30条 業務仕様書において海外での業務が規定されている場合、受注者は、第28条及び前条の規定を踏まえ、少なくとも以下の安全対策を講じるものとする。 (１)業務従事者等について、以下の基準を満たす海外旅行保険を付保する。 ただし、業務従事者等の派遣事務(航空券及び日当・宿泊料の支給)を発注者が実施する場合であって、発注者が海外旅行保険を付保するときは、この限りではない。 ・死亡・後遺障害 3,000万円(以上)125/135A-01・治療・救援費用 5,000万円(以上)(２)業務従事者等が3ヵ月以上現地に滞在する場合は、併せて在留届を当該国・地域の在外公館に提出させる。 (３)渡航前及び渡航中において、業務従事者に対し「海外渡航管理システム」への渡航及び滞在先情報に関する入力及び更新を徹底する。 (４)現地への渡航に先立ち、発注者が発注者のウェブサイト(「JICA 安全対策研修について」)上で提供する安全対策研修の受講を業務従事者等に徹底する。 (５)現地への渡航に先立ち発注者が提供する JICA 安全対策措置(渡航措置及び行動規範)を業務従事者に周知し、同措置の遵守を徹底する。 また、発注者より、同措置の改定の連絡があった場合は、速やかに業務従事者に周知し、改定後の同措置の遵守を徹底する。 (６)業務従事者等の労働安全が維持され、労働災害等(労働安全衛生法第2条第1号(昭和47年法律第57号)にいう労働災害及びそれと同等の労働災害をいう。 )を避けることを確保すべく、あらゆる注意を以て本業務を実施する。 再委託を行う場合は、再委託先において同等の措置が図られるよう、必要な措置を講ずる。 ２ 前項の第2号の規定は、日本国籍を持たない業務従事者には適用しない。 ３ 第 28 条及び前条の規定にかかわらず、海外での業務について、受注者の要請があった場合又は緊急かつ特別の必要性があると認められる場合、発注者は、受注者と共同で又は受注者に代わって、業務従事者等に対し安全対策措置のための指示を行うことができるものとする。 (業務引継に関する留意事項)第 31 条 本契約の履行期間の満了、全部若しくは一部の解除、又はその他理由の如何を問わず、本契約が終了した場合には、受注者は発注者の求めに従い、本業務を発注者が継続して実施できるように必要な措置を講じるか、又は第三者に移行する作業を支援しなければならない。 (契約の公表)第 32 条 受注者は、本契約の名称、契約金額並びに受注者の名称及び住所等が一般に公表されることに同意するものとする。 ２ 受注者が法人であって、かつ次の各号のいずれにも該当する場合は、前項に定める情報に加え、次項に定める情報が一般に公表されることに同意するものとする。 (１)発注者において役員を経験した者が受注者に再就職していること、又は発注者において課長相当職以上の職を経験した者が受注者の役員等として再就職していること(２)発注者との取引高が、総売上高又は事業収入の3分の1以上を占めていること３ 受注者が前項の条件に該当する場合に公表される情報は、以下のとおりとする。 (１)前項第1号に規定する再就職者に係る情報(氏名、現在の役職、発注者における最終職名)(２)受注者の直近3ヵ年の財務諸表における発注者との間の取引高(３)受注者の総売上高又は事業収入に占める発注者との間の取引高の割合126/135A-01４ 受注者が「独立行政法人会計基準」第 14 章に規定する関連公益法人等に該当する場合は、受注者は、同基準第 14 章の規定される情報が、発注者の財務諸表の附属明細書に掲載され一般に公表されることに同意するものとする。 (準拠法)第33条 本契約は、日本国の法律に準拠し、同法に従って解釈されるものとする。 (契約外の事項)第 34 条 本契約に定めのない事項又は本契約の条項について疑義が生じた場合は、必要に応じて発注者及び受注者が協議して、当該協議の結果を書面により定める。 (合意管轄)第 35 条 本契約に関し、裁判上の紛争が生じた場合は、当該紛争の内容や形式如何を問わず(調停事件を含む。)、東京地方裁判所又は東京簡易裁判所を第一審の専属的管轄裁判所とする。 本契約の証として、本書２通を作成し、発注者、受注者記名押印のうえ、各自１通を保持する。 なお、本契約は、以下の日付より効力を生じるものとする。 【電子契約の場合】本契約の証として、本書を電磁的に作成し、発注者、受注者それぞれ合意を証する電磁的措置を執ったうえ、双方保管するものとする。 なお、本契約は、以下の日付より効力を生じるものとする。 ２０●●年●●月●●日発注者東京都千代田区二番町５番地２５独立行政法人国際協力機構契約担当役理 事 ○○ ○○受注者127/135A-01［附属書Ⅰ］業 務 仕 様 書１．業務の背景２．業務実施上の留意点・条件３．業務の内容４．成果品・業務実施報告書・業務提出物128/135A-01［附属書Ⅱ］契 約 金 額 内 訳 書129/1351個人情報取扱い安全管理措置並びに情報セキュリティ対策１ 個人情報及び特定個人情報の取り扱いに際し講ずべき安全管理措置本業務を実施するにあたって、次に示す安全管理措置を実施する1。 なお、個人情報及び特定個人情報は以下総称し「個人情報」と記載する。 大項目 No. 小項目1．個人情報の取扱いに係る規律の整備1 個人情報の取得、利用、保存等を行う場合の基本的な取扱方法を整備する。 2. 物理的安全管理措置2 個人情報を取り扱う区域を管理し、入退室管理を行う。 3 個人情報を取り扱うサーバー等の機器を管理している場合は、侵入対策、災害等に備えた予備電源の確保・防水対策等を行う。 4 記録機能を有する機器・媒体の接続制限を行うとともに、端末を限定する。 5 個人情報を取り扱う機器及び電子媒体等の盗難等を防止するための措置を講じる。 また、持ち出しは責任者の許可制とする。 6 (電子媒体等を持ち運ぶ場合)持ち運ぶ際に個人情報が漏えいしないための措置を講じる。 (例)・個人データが記録された電子媒体又は個人データが記載された書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。 7 本業務の完了後、速やかに個人情報の利用を中止し、個人情報を含む媒体等を発注者に返却、又は、個人情報を復元できないよう消去若しくは適切に媒体等を破壊した上で廃棄する。 3.技術的安全管理措置*情報機器(PCやスマートフォン等)、及び情報システムを使8 個人データを取り扱うことのできる機器及び当該機器を取り扱う業務従事者(受託者が個人の場合はその本人(以下同様))を明確化し、個人データへの不要なアクセスを防止する。 9 個人情報を取り扱う情報システムを使用する業務従事者が正当なアクセス権を有する者であることを、識別したうえで認証する(ユーザーID、パスワード、磁気・ICカード等)。 また、管1 個人情報保護委員会より公開されている「個人情報の保護に関する法律についてのガイドライン(通則編)」10(別添)講ずべき安全管理措置の内容における「中小規模事業者における手法の例示」参照のこと。 (https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a10)別添１130/1352用して個人情報を取り扱う場合(インターネット等を通じて外部と送受信等をする場合を含む)に講じる措置理者権限は最小限の人数に絞る。 10 外部からの不正アクセス等を防止するための措置(セキュリティ対策)を講じる。 (例)・個人情報を取り扱う機器等のオペレーティングシステムを最新の状態に保持する。 ・個人情報を取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする。 11 個人情報を取り扱うサーバー等の機器を管理している場合は、アクセスログ等を定期的に確認、またはアクセス状況を監視し、一定量以上の情報が情報システムからダウンロードされた場合に警告表示されるなどの機能の設定、定期確認などを行う。 アクセスログについては、その記録の改ざん・不正な消去の防止等を講じる。 12 (該当ある場合)業務上、情報システムで個人情報を取り扱う場合は、入力情報の照合(入力原票や既存の情報等との照合)を行う。 13 (該当ある場合)業務上、個人情報を取り扱う情報システムの設計・開発・運用保守を伴う場合は、当該情報システムの設計書、構成図等の文書が外部に知られないような対策をする。 14 取り扱う個人情報のバックアップを作成し、外部からの不正アクセス等を防止するための措置(セキュリティ対策)を講じる。 15 情報システムの使用に伴う漏えい等を防止するための措置を講じる。 (例)・メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する。 131/1353２ 情報セキュリティ対策本業務を実施するにあたって、次に示す情報セキュリティ対策を実施する2。 大項目 No. 小項目Part1.技術的対策1 業務で使用する機器のOSやソフトウェアは常に最新の状態とする。 2 業務で使用する機器にはウイルス対策ソフトを導入し、ウイルス定義ファイル(セキュリティソフトがマルウェアを検出するための定義情報が入ったファイル)が自動更新されるよう設定する。 3 業務で使用する機器、サービス及びシステムにログインする際のパスワードは、強固なパスワードを設定する。 (例)・10桁以上で「できるだけ長く」、大文字、小文字、数字、記号含めて「複雑に」し、複数のサービス間で使いまわさない。 ・可能な場合は多段階認証や多要素認証を利用する。 4 情報へのアクセス(データ保管などのウェブサービス及びサービス上での共有設定等)を業務上必要な者のみがアクセスできるよう設定する。 5 脅威や攻撃の手口を知り、対策に活かす。 Part2.業務従事者としての対策6 不審な電子メールの添付ファイルやURLを安易に開かない。 7 電子メールの送信先を確認し、送信ミスを防ぐ。 8 秘密情報3を送信する際には、メール本文ではなく添付ファイルに記述しパスワードで保護する。 パスワードは予め決めておくか、携帯電話のSMS(ショートメッセージサービス)等の別手段で通知する。 9 業務で無線LANを利用する場合は、安全に利用するために無線LANのセキュリティ設定をする。 2 独立行政法人情報処理推進機構(IPA)より公開されている「中小企業の情報セキュリティ対策ガイドライン」参照のこと。 (https://www.ipa.go.jp/security/guide/sme/about.html)3 秘密情報とは、受託者が、本業務を実施する上で、発注者その他本業務の関係者から、文書、口頭、電磁的記録媒体その他開示の方法及び媒体を問わず、また、本契約締結の前後を問わず、開示された一切の情報。 ただし、次の各号に定める情報については、この限りでない。 (１)開示を受けた時に既に公知であったもの(２)開示を受けた時に既に受託者が所有していたもの(３)開示を受けた後に受託者の責に帰さない事由により公知となったもの(４)開示を受けた後に第三者から秘密保持義務を負うことなく適法に取得したもの(５)開示の前後を問わず、受託者が独自に開発したことを証明しうるもの(６)法令並びに政府機関及び裁判所等の公の機関の命令により開示が義務付けられたもの(７)第三者への開示につき、発注者又は秘密情報の権限ある保持者から開示について事前の承認があったもの132/1354(例)・強固な暗号化方式(WPA2、WPA3)を選択する。 ・Wi-Fiルーター設定のための管理用パスワードを強固で推測されにくいものにする。 10 業務でのインターネット利用する際の注意、制限をルール化し遵守する。 11 秘密情報のバックアップを定期的に行う。 12 秘密情報は机の上等に放置せず、不要時は鍵付き書庫に保管する。 13 秘密情報の持ち出し時は、PC、スマートフォンなどはパスワードロックをかける等、盗難や紛失の対策を実施する。 14 離席時・退社時に他人がPCを使えない状態にする(スクリーンロックやシャットダウンをする等)。 15 執務室への関係者以外の立ち入りを禁止する。 16 機器・備品の盗難防止対策を行う。 17 作業場所の施錠忘れ対策を行う(最終退出者は、施錠し退出の記録を残す等)。 18 秘密情報の記録された媒体を破棄する際には、復元できないように消去し、書面で発注者に報告する。 Part3.組織的対策19 業務従事者(受託者が個人の場合はその本人(以下同様))に守秘義務を徹底する。 20 業務従事者にセキュリティに関する教育や注意喚起を行う。 21 個人所有の情報機器の業務利用は行わない。 やむを得ず利用する場合は、セキュリティ対策を徹底する。 22 再委託先等との契約において秘密保持や情報セキュリティ対応方針に関する文書を取り交わし、対策状況を確認する。 23 クラウドサービス等の外部サービスを利用する場合には、安全性・信頼性を把握し選定する。 24 生成AIを利用する場合には、安全性・信頼性を把握し選定する。 25 セキュリティインシデントの発生に備えて緊急時の体制整備や対応手順を作成する。 26 情報セキュリティ対策に関するルールを明文化し、組織内に周知する4。 以上4 受託者が個人の場合は、自らの情報セキュリティに関する行動指針を明確にし、日常的に意識・実践する。 133/1351個人情報保護及び情報セキュリティに関する情報１ 個人情報取扱い安全管理措置並びに情報セキュリティ対策に関する管理体制・作業場所(１)管理体制1：⚫ 本業務における個人情報取扱い安全管理措置並びに情報セキュリティ対策に関する管理体制は、次に示すものとする。 氏名2 連絡先(Tel)情報セキュリティ責任者個人情報保護管理者品質保証管理者＊ 情報セキュリティ責任者：情報セキュリティ対策などの決定権限を有するとともに、全責任を負う。 ＊ 個人情報保護管理者：個人情報の取扱いについて関連法令を遵守する責任を負う。 ＊ 品質保証管理者：提供する製品・サービスの品質において全責任を負う(情報システムに関する内容を含む契約のみ記入が必要)。 ⚫ 個人情報の漏えいを含む情報セキュリティインシデントが発生した場合の窓口は、次に示すものとする。 事案が発生又はそのおそれがある場合は速やかに発注者に報告し、発注者の指示に従う。 氏名 連絡先(Tel)(２)業務作業場所3：２ 個人情報取扱い安全管理措置並びに情報セキュリティ対策に関する履行状況の確認(定期的報告)個人情報取扱い安全管理措置並びに情報セキュリティ対策の履行状況について確認を行う4。 1 管理体制は体制図等を別紙で提出することでも可とする。 また、要員に交代がある時には、再度管理体制について提出する。 2 受託者が個人の場合は、すべてその本人の名前を記載することでよい。 3 記載例：国際協力機構の麹町本部、受託者の執務室等 ※可能な限り具体的に記載4 再委託先がある場合は、受託者が再委託先に対して、再委託先の個人情報の取り扱いに際し講ずべき安全管理措置の履行状況及び情報セキュリティ対策の履行状況について確認を行い、発注者に報告する。 別添２134/1352(１) 履行状況の確認方法： ☐会議体による報告(議事録を残すものに限る)☐書面による報告☐その他(２) 履行状況の確認頻度： ☐ ヶ月に1回 ☐1年に1回☐その他以上135/135