個人市民税課税資料データ入力及び課税資料処理業務委託 入札説明書 その2
宮城県仙台市の入札公告「個人市民税課税資料データ入力及び課税資料処理業務委託 入札説明書 その2」の詳細情報です。 カテゴリーは役務の提供等です。 所在地は宮城県仙台市です。 公告日は2026/07/01です。
新着
- 発注機関
- 宮城県仙台市
- 所在地
- 宮城県 仙台市
- カテゴリー
- 役務の提供等
- 公告日
- 2026/07/01
- 納入期限
- -
- 入札締切日
- -
- 開札日
- -
元の公告ページを見る ↗
リンク先が表示されない場合は、発注機関のサイトで直接ご確認ください
公告全文を表示
個人市民税課税資料データ入力及び課税資料処理業務委託 入札説明書 その2(PDF:4,706KB)
個人市民税課税資料データ入力及び課税資料処理業務委託 仕様書仕様書-1 -個人市民税課税資料データ入力及び課税資料処理業務委託仕様書1 委託業務名個人市民税課税資料データ入力及び課税資料処理業務委託2 業務の概要(1) データ入力業務受注者は、仙台市(以下「発注者」という。)が指示する「個人市民税課税資料データパンチ要領(以下「パンチ要領」という。)」に基づき、イメージデータ形式等で提供する個人市民税課税資料データ等(以下「課税資料データ」という。)をテキストデータ化し、発注者に納品する業務(以下「データ入力業務」という。)を行う。(2) 課税資料処理入力業務受注者は、発注者が指示する「個人市民税課税資料処理業務要領」(以下「課税資料処理要領」という。)と「作業日程」に基づき、個人市民税課税資料の処理業務を行う。(3) 入力機器管理業務受注者は、上記(1)及び(2)に付随する業務として、業務上使用する電子計算機やネットワーク機器等(以下「入力機器」という。)の導入、保守及び撤去(以下「入力機器管理業務」という。)を行う。3 各種要領の取扱い(1) パンチ要領「2 業務の概要 (1)データ入力業務」に定めるパンチ要領について、税制改正等の影響により課税資料様式等の見直しが行われた等、契約締結時から変更の必要があると認められる場合、発注者と受注者が協議の上、必要な見直しを行うものとする。発注者は、令和9年1月中旬までに、受注者に正式なパンチ要領を提供するものとする。なお、法改正や資料の種類によって確定版の提供の時期が前後することがあるため、資料ごとに確定したものから順次提供するものとする。(2) 課税資料処理要領「2 業務の概要 (2)課税資料処理入力業務」に定める課税資料処理要領について、税制改正等の影響により課税資料様式等の見直しが行われた等、契約締結時から変更の必要があると認められる場合、発注者と受注者が協議の上、必要な見直しを行うものとする。発注者は、令和8年12月下旬までに、受注者に正式な課税資料処理要領を提供するものとする。個人市民税課税資料データ入力及び課税資料処理業務委託 仕様書仕様書-2 -なお、法改正や資料の種類によって確定版の提供の時期が前後することがあるため、資料ごとに確定したものから順次提供するものとする。4 業務履行の場所(1) 所在地仙台市青葉区二日町1番1号(2) 作業場所データ入力業務 ·························· 仙台市役所北庁舎3階西側作業室(面積95㎡)課税資料処理業務 ······················· 仙台市役所北庁舎内作業室(面積74㎡前後)※※北庁舎内で同程度の面積であれば変更可とする。ア 作業室内の備品等の利用受注者は、作業室内の電源コンセント及びOAタップについて、既設のものを使用することができる。受注者は、作業室内にある会議用テーブル、ホワイトボードを使用することができる。イ セキュリティ作業室入口に入室管理装置(静脈認証)を常備する。入室の際は、必ず認証を受けなければならない。(3) 休憩場所12時00分から13時00分の間、仙台市役所北庁舎4階会議室を休憩室として提供する。(椅子16脚程度)(4) 作業場所・休憩場所の変更について作業場所・休憩場所を変更する必要がある場合は、発注者と受注者とが協議のうえ、これを定める。5 履行期間等及び作業期間(1) 履行期間契約締結日~令和9年4月16日(金)各業務の履行期間は、以下のとおりとする。ア データ入力業務令和9年1月18日(月)~令和9年4月15日(木)イ 課税資料処理業務令和8年1月6日(水)~令和9年4月15日(木)ウ 入力機器管理業務契約締結日~令和9年4月16日(金)(2) 入力機器の導入受注者は、データ入力業務始期の前日及び課税資料処理業務の始期の前日までに、それ個人市民税課税資料データ入力及び課税資料処理業務委託 仕様書仕様書-3 -ぞれ作業室に入力機器を導入し、作業を開始できる体制を整えなければならない。(3) 入力機器の撤去・作業室の原状回復受注者は、データ入力業務の終期の翌週の第1営業日の前日及び課税資料処理業務の終期の属する週の金曜日までに、入力機器を撤去し、作業室を原状回復しなければならない。(4) 作業日及び作業時間ア スケジュールの策定についてデータ入力業務及び課税資料処理業務の作業スケジュールは、各業務の作業日程の範囲内で、受注者が策定することができる。イ 原則原則として、作業日は平日とし、時間は9時~19時とする。ウ 時間外・休日作業についてデータ入力件数が予定件数より大幅に増えた場合や課税資料処理件数が予定数に到達しない場合など、やむを得ない事情により通常の作業スケジュールでは成果品の製造が困難であると見込まれる場合、事前に発注者と受注者が協議のうえ、受注者の負担で時間外または休日に作業を行わなければならない。このとき、可能な限り時間外作業とし、休日作業を行わないスケジュールとするよう努めなければならない。なお、休日に作業を行う場合及び平日時間外に入庁する作業員がいる場合、当該休日作業の4営業日前までに作業員名簿を提出しなければならない。6 業務従事者の配置(1) 原則受注者は、業務従事者として、管理者1名以上、副管理者2名以上及び作業員(オペレーター)を配置しなければならない。なお、管理者及び副管理者は、作業員を兼務することを認める。(2) 管理者、副管理者の常駐データ入力業務及び課税資料処理業務において、管理者又は副管理者は、作業中、各業務の作業室に各1名以上常駐しなければならない。(3) 管理者の業務管理者は、作業全体の進捗状況及び個々の業務従事者の作業状況について、適切な事務処理が行われるよう指揮監督するものとし、業務従事者に対して必要な指示を行わなければならない。また、本仕様書に定める事務処理手順が遵守されていない場合等には、随時是正を図らなければならない。(4) 作業員の人員配置受注者は、作業員について、作業日程に基づき、必要な人員を配置しなければならない。なお、受注者は、作業の遅延が予想される場合、あらかじめ作業員の増員を行い、遅延がないよう対処しなければならない。個人市民税課税資料データ入力及び課税資料処理業務委託 仕様書仕様書-4 -(5) 作業員の選定ア データ入力業務受注者は、作業員の選定にあたり、データ入力業務に関する実務経験を有し、その能力が高いと認められる者を選定するものとする。
イ 課税資料処理業務受注者は、作業員の選定にあたり、正確で迅速な処理能力を有する者を選定し、課税資料処理業務に類する業務の実務経験を有し、その能力が高いと認められる者を優先的に選定するものとする。(6) 作業員の勤務体系作業員については、シフト勤務を認める。7 着手届、業務履行計画表及び業務担当者届について(1) 着手受注者は、契約締結後10営業日以内に、発注者に着手届及び業務担当者届を提出しなければならない。(2) 業務履行計画の事前協議履行計画については、着手後可能な限り早期に発注者と受注者で内容の協議を行い、発注者の了承を得なければならない。(3) 業務履行計画表の提出について受注者は、データ入力業務の始期の5営業日前までに、作業の手順、作業日程及び人員体制等必要な事項について記載した業務履行計画表を提出しなければならない。(4) 業務履行計画表の修正受注者は、業務履行計画表の内容について見直しの必要がある場合には、提出後において、発注者と協議のうえ、随時修正を行うものとする。8 履行状況の報告と確認(1) 業務日報の作成・提出について受注者は、作業終了後、別に定める業務日報を作成し、翌営業日までに発注者に進捗状況等を報告しなければならない。また、業務日報と併せて、日次の作業室入退室管理簿及び出勤簿を提出しなければならない。作業室入退室管理簿及び出勤簿は任意の様式とし、受注者は発注者の承認を受けた様式を使用しなければならない。発注者は、これらの報告内容により、履行状況を把握するものとする。(2) 進捗管理の打ち合わせについて発注者と受注者は、毎週1回進捗管理の打ち合わせを行い、必要に応じて臨時の打ち合わ個人市民税課税資料データ入力及び課税資料処理業務委託 仕様書仕様書-5 -せを行うものとする。この打ち合わせについて、受注者は、議事録を作成し、打ち合わせ日から5営業日以内に発注者へ提出しなければならない。(3) 業務完了届及び月報の提出について受注者は、委託業務の指定部分について完了次第、ただちに指定部分に対応する業務完了届、及び業務日報を月ごとに取りまとめた作業月報を発注者に提出しなければならない。9 業務マニュアルの作成と承認(1) 業務マニュアルの事前作成と使用について受注者は、「3 各種要領」で示された要領をもとに、データ入力業務及び課税資料処理業務について、業務を適正、確実かつ効率的に行えるよう各マニュアルを事前に作成し、これを使用することで、業務の効率化及びミスの防止に努めなければならない。(2) 業務マニュアルの承認と使用について受注者は、業務マニュアルを使用するにあたり、業務開始の1カ月前までに発注者の承認を受けなければならない。「3 各種要領」で定める各要領に修正があり、業務マニュアルの修正が必要な場合は、速やかに修正し発注者の承認を受けなければならない。(3) 業務マニュアルの修正について受注者は、発注者の承認後に業務マニュアルを修正する場合、速やかに修正しなければならない。(4) 業務マニュアルの是正指示について発注者が業務マニュアルの内容について是正を求める場合、受注者は速やかに業務マニュアルの修正をしなければならない。10 業務従事者の研修(1) 事前研修において留意すべき事項受注者は、業務を円滑に行うため、前項で定める業務マニュアルを使用し、各業務の履行期間の始期までに、業務従事者に対し、以下の事項に留意した事前研修を行わなければならない。① 関係法令等、業務に必要な知識を習得させること。② 業務の重要性を理解させること。③ 守秘義務を理解させること。④ 端末機を迅速に操作する技能を習得させること。⑤ 事務処理手順を理解させること。(2) 事前研修の講師について受注者が行う事前研修の講師は、各業務についての知識を有する者に行わせなければな個人市民税課税資料データ入力及び課税資料処理業務委託 仕様書仕様書-6 -らない。(3) 事前研修の実施の計画及び報告について受注者は、事前研修を行うにあたり、事前に実施計画書を提出するものとし、実施後に実施報告書を提出するものとする。(4) 履行開始後における技術研鑽受注者は、履行開始後においても、定期的に(1)の事項に留意した研修を行い、常に業務従事者の技術向上に努めなければならない。11 個人情報の保護受注者は、この業務の履行にあたって取扱う課税資料及びデータが、特定個人情報を含む高度な個人情報であることを認識し、国際規格であるISMS(ISO/IEC27001)を取得しなければならない。また、下記に示す事項のほか、秘密の保持に関する全ての関係法令、契約書の条項、「個人情報等取扱特記事項」、「個人情報等の取扱いに関する特記仕様書」、「特定個人情報等の取扱いに関する特記事項」及び「行政情報の取扱いに関する特記仕様書」を遵守のうえ、万全のセキュリティ対策を実施すること。セキュリティ確保に係る負担については、受注者が負うものとする。なお、セキュリティの確保については、「仙台市行政情報セキュリティポリシー」を参考にするものとする。また、管理者が発注者のセキュリティ研修を受講していない場合は、業務履行前に必ず受講しなければならない(「仙台市行政情報セキュリティポリシー」は下記アドレスを参照のこと)。https://www.city.sendai.jp/security/shise/security/security/mokuji/index.html12 指定部分及び支払条件業務委託料は、下記の指定部分ごとに支払う。それぞれの指定部分に対応する業務完了日については、別紙1「データ入力業務 作業日程」に示す、該当月の最後の納品日に準ずる。(1) 指定部分①(1・2月納品分)業務委託料の50%以内(1円未満端数切捨て)(2) 指定部分②(3月納品分)業務委託料の40%以内(1円未満端数切捨て)(3) 指定部分③(4月納品分)業務委託料のうち指定部分①、②を除いた残余の額13 提出書類等提出書類及びその提出期限については、次表のとおりとする。なお、書類は全て日本語で記載し、原則としてA4版で作成するものとする。個人市民税課税資料データ入力及び課税資料処理業務委託 仕様書仕様書-7 -提出にあっては、原則として電子データ(Microsoft Office Word形式、Excel形式またはPDF形式)による提出とし、媒体による提出のほか、暗号化したうえで電子メールにより提出することも認める。なお、次表に示す書類のほか、発注者が別に示した場合はこの限りではない。また、下記に示す書類については、押印は不要とする。
(1) 契約締結後~業務履行開始前項番 提出書類名称 提出期限1 着手届契約締結後10営業日以内2 業務担当者届 着手届に同じ3個人情報の取扱いに係る作業場所及び作業内容に関する届着手届に同じ4 個人情報の取扱いに係る管理監督者に関する届 着手届に同じ5 個人情報の取扱いに係る作業従事者に関する届当該作業従事者のデータ入力業務従事開始前6 入力機器導入計画書 着手届に同じ7 業務履行計画表データ入力業務の始期の5営業日前8 誓約書の写し当該作業員の業務従事開始前9 個人情報保護等に関する計画書 着手届に同じ10 事前研修実施計画書 研修実施前営業日11 事前研修実施報告書 研修実施後5営業日以内12入力機器導入作業報告書及び計器類を含む入力機器一覧導入作業後5営業日以内(2) 業務履行期間中項番 提出書類名称 提出期限1 貸与品等の借用書 引渡日から5営業日以内2 日報 当該作業日の翌営業日3 作業室入退室管理簿兼出勤簿 日報に同じ4 納品書 納品時5 業務打ち合わせ議事録打ち合わせ日から5営業日以内6 業務完了届指定部分に対応する業務完了日(最終の指定部分は履行期間の終期)7 月報指定部分に対応する業務完了日(最終の指定部分は履行期間の終期)個人市民税課税資料データ入力及び課税資料処理業務委託 仕様書仕様書-8 -項番 提出書類名称 提出期限8特定個人情報等の取扱いの状況に関する定期報告書翌月8営業日以内(最終の指定部分は履行期間の終期)(3) データ入力業務の終期~契約期間の終期項番 提出書類名称 提出期限1 データ消去証明書データ入力業務の終期から5営業日以内2 統計データ(平均タッチ数) 履行期間の終期14 業務履行における過失に係る事項(1) 業務履行上の過失に係る報告受注者の業務履行において成果品の不良等の過失が発生した場合、受注者は発注者に速やかに報告をしなければならない。この場合において、発注が求める場合、受注者は、過失の原因や対応策などを詳細にまとめた顛末書を過失の発生した日から起算して2日以内に提出しなければならない。顛末書の様式については任意の様式とし、記載内容を容易に理解できる様式であるものとする。(2) 業務上の過失に係る費用受注者の業務履行において過失が発生した場合において、発注者の業務に著しい損害を与えると認められる過失への対応に必要な費用については、受注者の負担とする。15 本仕様書に定めのない事項、疑義(1) 本仕様書に定めのない事項の取扱い本仕様書に定めのない事項については、発注者と受注者が協議の上定めるものとする。(2) 本仕様書の定めに疑義がある場合の取扱い本仕様書の定めに疑義が生じた場合は、発注者と受注者が協議の上対応するものとする。個人市民税課税資料データ入力業務委託 仕様書データ入力業務に係る総括的事項データ入力業務に係る総括的事項-1 -データ入力業務に係る総括的事項1 作業日程(1) 作業日程について作業日程は課税資料の持込件数及び納品日時は、「別紙1」(データ入力業務作業日程)のとおりとする。(2) 作業日程の変更について作業日程に定める納品日時、持込件数等については、やむを得ない事情がある場合、発注者と受注者とが協議のうえ、変更することができる。2 課税資料の種類及びデータ形式データ入力を行う課税資料の種類及び引渡しデータ形式は、以下のとおりとする。また、データ引渡し時に発注者が定める管理表を受注者へ提供する。(1) 給与支払報告書JPEG形式で提供する。ア 給与支払報告書(総括表)仙台市様式イ 給与支払報告書(総括表)共通様式ウ 給与支払報告書(明細)(2) 公的年金等支払報告書JPEG形式で提供する。ア 公的年金等支払報告書(総括表)共通様式イ 公的年金等支払報告書(明細)(3) 市民税・県民税申告書JPEG形式で提供する。ア 市民税・県民税申告書(簡易申告書)イ 市民税・県民税申告書(一般申告書)(4) KSK第2表マルチページTIFF形式(ページ数:2~不定 圧縮形式:CCITT4 色深度:モノクロ2ビット)で提供する。入力対象のイメージデータは2ページ目(固定)のみとする。(5) 寄附申告特例通知書JPEG形式で提供する。3 業務履行の方法(1) 課税資料データの引渡し発注者は、上記2に示す課税資料データについて、発注者の保有する可搬記憶媒体を用いて、「別紙1」(データ入力業務作業日程)に示す持込日の11時頃までに受注者へ引渡すものとする。個人市民税課税資料データ入力業務委託 仕様書データ入力業務に係る総括的事項データ入力業務に係る総括的事項-2 -受注者は、上記(1)のデータを複写した後、電子媒体を発注者に返却しなければならない。使用する可搬記憶媒体の種類は発注者と受注者が協議のうえ決めるものとする。(2) 成果品の製造受注者は、上記(1)のデータを基にデータ入力業務を行い、パンチ要領に定める形式の固定長テキストファイルを製造しなければならない。(3) 成果品の納品受注者は、発注者の保有する可搬記憶媒体に成果品及び納品確認書を記録し、「別紙1」(データ入力業務作業日程)に示す納品日時までに納品しなければならない。納品が同一の時期である複数の成果品を集約して記録して差し支えない。成果品が電子データである場合、暗号化を施したうえで納品する必要があることに留意すること。(4) 成果品に付随する提出物受注者は、成果品の製造と併せて、「別紙5」(提出リスト)に示すリストを作成しなければならない。(5) テストデータの納品について受注者は、成果品の受入試験のため、成果品とは別に初回の成果品の納品に先行してテストデータを納品しなければならない。テストデータが発注者の受入試験に不合格の場合、再度試験を行うものとし、受入試験に合格するまでテストデータを作成し納品しなければならない。成果品は受入試験に合格した場合にのみ納品を認める。テストデータ作成に必要なデータは発注者が提供する。いずれも、発注者が不要と認めるときは、この限りではない。4 データの受け渡し方法発注者と受注者との間のデータの受け渡しについては、発注者が定める方法により行うものとする。なお、発注者が認める場合はこの限りではない。5 入力機器及び必要な什器類等の調達受注者は、入力機器について、「別紙2」(入力機器仕様書)に掲げる性能、容量及び機能を満たすものを調達しなければならない。また、作業に必要なロッカー等の什器類(鍵付き書庫、傘立て、シュレッダーも含む)及び事務用品や消耗品等については、受注者の負担とする。6 データ入力の精度(1) 一時入力と検査入力について課税資料のデータ入力は、一次入力と検査入力の2回実施しなければならない。
検査入力については、一次入力を行った者とは別の者が行わなければならない。個人市民税課税資料データ入力業務委託 仕様書データ入力業務に係る総括的事項データ入力業務に係る総括的事項-3 -(2) 疑義がある際の取扱い入力時、課税資料イメージファイルが不鮮明なため入力に疑義を生じた部分については、入力を行わず、管理者が内容を確認するものとする。管理者は、判読可能なものについてはデータ入力を行い、判読不可能なものは「疑義照会票」及び対象のイメージを電子データにて発注者に照会する。発注者は提供された電子データをもとに疑義事項を回答し、受注者はその回答内容に従って入力しなければならない。7 その他(1) 媒体の提供について発注者は、受注者に対し、成果品、疑義照会票及び各種リストその他のデータを記録し納品するための可搬記憶媒体を貸与する。受注者は、貸与された可搬記憶媒体を履行期間の終期までに発注者に返却しなければならない。受注者は、これらの媒体について、未使用のものも含め適切に管理しなければならない。また、貸与した可搬記憶媒体が不足する場合や使用できなくなった場合には、速やかに発注者に報告しなければならない。(2) 搬送用ケースについて発注者は、受注者が成果品、疑義照会票及び各種リストその他のデータを記録し納品するための可搬記憶媒体を履行場所の建物内で運搬する場合に、受注者に専用の運搬用ケースを貸与する。受注者は、貸与された運搬用ケースを履行期間の終期までに発注者に返却しなければならない。受注者は、これらの媒体について、未使用のものも含め適切に管理しなければならない。また、貸与した運搬用ケースが不足する場合や使用できなくなった場合には、速やかに発注者に報告しなければならない。別紙1 データ入力業務 作業日程午前11時頃持込 午前11時頃納品1.給与支払報告書回数 持込締日※ 予定件数 納品日1 令和9年1月22日(金) 45,000 令和9年2月 2日(火)2 令和9年1月29日(金) 50,000 令和9年2月 9日(火)3 令和9年2月 5日(金) 50,000 令和9年2月16日(火)4 令和9年2月12日(金) 50,000 令和9年2月22日(月)5 令和9年2月19日(金) 14,000 令和9年3月 2日(火)6 令和9年2月26日(金) 8,000 令和9年3月 9日(火)7 令和9年3月 5日(金) 8,000 令和9年3月16日(火)8 令和9年3月12日(金) 7,000 令和9年3月23日(火)9 令和9年3月19日(金) 6,000 令和9年3月30日(火)10 令和9年3月26日(金) 7,000 令和9年4月 6日(火)11 令和9年4月 2日(金) 5,000 令和9年4月13日(火)12 令和9年4月13日(火) 3,000 令和9年4月14日(水)合計 253,0002.年金支払報告書回数 持込締日※ 予定件数 納品日1 令和9年3月 5日(金) 1,000 令和9年3月16日(火)2 令和9年4月13日(火) 1,500 令和9年4月14日(水)合計 2,5003.寄附申告特例通知書回数 持込締日 予定件数 納品日1 令和9年3月15日(月) 100 令和9年3月16日(火)2 令和9年4月12日(月) 100 令和9年4月13日(火)合計 200(備考)※持込完了日は予定件数全体の持込を完了する締日 状況により日次の持込を想定(備考)※持込完了日は予定件数全体の持込を完了する締日 日次の持込を想定(別紙1)- 1 -別紙1 データ入力業務 作業日程午前11時頃持込 午前11時頃納品4.市申回数 持込締日 予定件数 納品日1 令和9年2月 1日(月) 3,500 令和9年2月 2日(火)2 令和9年2月 8日(月) 4,000 令和9年2月 9日(火)3 令和9年2月15日(月) 3,000 令和9年2月16日(火)4 令和9年2月19日(金) 3,000 令和9年2月22日(月)5 令和9年3月 1日(月) 3,000 令和9年3月 2日(火)6 令和9年3月 8日(月) 3,500 令和9年3月 9日(火)7 令和9年3月15日(月) 4,000 令和9年3月16日(火)8 令和9年3月19日(金) 2,500 令和9年3月23日(火)9 令和9年3月29日(月) 1,500 令和9年3月30日(火)10 令和9年4月 5日(月) 1,000 令和9年4月 6日(火)11 令和9年4月12日(月) 1,000 令和9年4月13日(火)合計 30,0005.KSK第2表回数 持込締日 予定件数 納品日1 令和9年2月12日(金) 1,500 令和9年2月16日(火)2 令和9年2月19日(金) 3,000 令和9年2月24日(水)3 令和9年2月26日(金) 4,000 令和9年3月 2日(火)4 令和9年3月 5日(金) 5,000 令和9年3月 9日(火)5 令和9年3月12日(金) 7,500 令和9年3月16日(火)6 令和9年3月18日(木) 8,500 令和9年3月23日(火)7 令和9年3月26日(金) 7,500 令和9年3月30日(火)8 令和9年3月31日(水) 4,500 令和9年4月 1日(木)9 令和9年4月 2日(金) 7,500 令和9年4月 5日(月)10 令和9年4月 7日(水) 9,000 令和9年4月 9日(金)11 令和9年4月 9日(金) 5,000 令和9年4月12日(月)63,000(備考)※国からのデータ配信スケジュールにより変更の可能性あり※持込日は予定件数全体の持込を完了する締日。
(備考)受注者が収受した課税資料件数が直近の持込予定件数に達しない場合、原則として処理を次回以降に持ち越さず、イメージ化作業及び発注者への引き渡しを速やかに行うこと。
(別紙6)- 1 -- 1 -行政情報の取扱いに関する特記仕様書1 行政情報(1)行政情報の範囲この契約において,「行政情報」とは,仙台市行政情報セキュリティーポリシー第1章(2)⑧に定めるものをいい,仙台市(以下「発注者」という。)が貸与したもののほか,受注者が収集し,又は作成したもの(成果物,成果物の途中にあるもの等)も含むものとする。(2)行政情報の取扱いこの契約において,行政情報の取扱いとは,行政情報に関する収集,記入,編集,加工,修正,更新,検索,入力,蓄積,変換,合算,分析,複写,複製,保管,保存,搬送,伝達,出力,消去,廃棄などの一切の行為をいう。2 行政情報の適正な取扱い(1)秘密の保持受注者は,この契約の履行に関して知り得た秘密を他人に漏らしてはならない。(2)再委託の禁止受注者は,業務の処理を他に委託し又は請け負わせてはならない。ただし,発注者の書面による承諾を得た場合は,この限りでない。(3)委託目的以外の使用及び第三者への提供の禁止① 受注者は,この契約による事務に関して知り得た行政情報をみだりに他人に知らせ,又は不当な目的に使用してはならない。この契約が終了し,又は解除された後においても同様とする。② 受注者は,その使用する者に対し,在職中及び退職後においてもこの契約による事務に関して知り得た行政情報をみだりに他人に知らせ,又は不当な目的に使用してはならないことなど,行政情報の取り扱いに関して必要な事項を周知しなければならない。(4)複写及び複製の禁止又は制限受注者は,発注者の指示又は承諾があるときを除き,この契約による事務を処理するために発注者から貸与された行政情報が記録された資料等を複写し,又は複製してはならない。(5)事故発生時における報告義務受注者は,行政情報を記録している媒体に滅失,盗難,改ざんその他の事故が発生したときは,直ちに,当該事故の経緯及び被害状況を調査し,必要な措置を講じ,速やかに発注者に報告し,発注者の指示に従うものとする。契約が終了し,又は解除された後においても同様とする。(6)行政情報の消去等受注者は,この契約が終了し,又は解除された際には,この契約の履行に供した行政情報を記録した記録媒体については,①または②の方法により適切に措置するものとし,③の方法で報告する。① 米国国立標準技術研究所が規定する方式,又はそれと同等以上の品質を定義した方式に準拠したデータ消去ソフトを用い,当該行政情報が記録された記録媒体のデータ消去を行うこと。(a) データ消去の回数は,準拠する消去方式が求める回数以上とする。(b) データ消去の実施後は,行政情報を記録していた媒体(シリアル番号または製造番号,型式などが判別できるもの)ならびに適切にデータ消去が完了したことを示す画面表示を,証拠資料として写真撮影すること。② データ消去ソフトによる行政情報の消去が行い難い場合は,米国国立標準技術研究所が規定する方式,又はそれと同等以上の品質を定義した方式に準拠した方法により,物理破壊また- 2 -は暗号化技術を利用した消去を行うものとする。(a) 物理破壊には磁気によるデータ消去を含むものとする。(b) 磁気によるデータ消去は,米国国家安全保障局が規定する最新の方式により行うこと。(c) 特殊機材等,代替性に乏しく高額製品であり,物理破壊を実施する機会費用が大である場合は,当該製品の製造会社等が推奨する方法により実施すること。但し,当該製造会社等が推奨する方法の妥当性・合理性について確認できる書証等の提供を受けるものとする。(d) データ消去の実施後は,行政情報を記録していた媒体(シリアル番号または製造番号,型式などが判別できるもの)を,証拠資料として写真撮影すること。③ 以下の起算日から5営業日以内に「データ消去報告書」を本市に提出すること。庁舎外に持ち出して①または②を実施 左記以外の場合起 算 日 庁舎外への持ち出し日 ①または②の実施日(a) 報告書には,記録媒体名(型式)や台数,消去実施日,方法(方式)などを明記し,証拠写真を添付すること。(b) データ消去の対象となる記録媒体が多数におよび,5営業日を超える場合は,別途「データ消去計画書」を作成し,適切に工程管理を行うこと。(c) 記録媒体の処理数が大量にあることに伴い,上記(b)の計画期間が長期(1 か月以上)に及ぶ場合は、データ消去が完了したものより順次「データ消去報告書」を提出するものとする。3 立会い及び実地調査(1)作業への立会い① 受注者は,この契約の履行に係る行政情報の取扱いの作業について,発注者が立会いを求める場合は,これを拒否してはならない。ただし,受注者自身の情報保護措置に支障をきたす等の正当な理由がある場合は,その理由を明示して,発注者の立会いを拒否することができる。② 発注者は,①のただし書きにより,作業への立会いを拒否された場合は,受注者に対して作業状況の報告を求めることができる。(2)行政情報の取扱いに関する調査① 発注者は,この契約の履行に係る行政情報の取扱いの状況について,受注者の作業場所その他の施設について,定期又は不定期に調査を行うことができる。この契約が終了し,又は解除された場合においては,この契約の履行に係る行政情報の取扱いに関する事項に限り,受注者に対して調査を行うことができる。② 受注者は,①の調査を拒否してはならない。ただし,受注者自身の情報保護措置に支障をきたす等の正当な理由がある場合は,その理由を明示するとともに,この契約の履行に係る行政情報の取扱いが適正であることを証明したときに限り,発注者の調査を拒否できる。4 契約解除及び損害賠償(1)契約解除発注者は,受注者が本特記仕様書に定める義務を履行しない場合は,本特記仕様書に関連する委託業務の全部又は一部を解除することができる。(2)損害賠償受注者は,(1)の規定により契約が解除されたことにより発注者に損害を及ぼしたときは,その損害を賠償しなければならない。
(別紙) 行政情報の適正な取扱いの確保に関する調査票番号 区分 調査項目調査項目(変更版) 調査結果(変更版)1 人員,体制 1 作業場所における責任者・従事者の明示周知方法:2 責任者の人数,立会い体制 複数業務監督 □有 □無有⇒管理監督方法:3 従事者からの誓約書 従事者から誓約書を提出 □有 □無無⇒セキュリティの周知方法:4 作業場所への出欠状況の明示 常に確認できる状況か:5 交代する従事者間の引継ぎ 従事者の交代 □有 □無有⇒引継ぎ方法:2 作業場所 1 作業場所の特定(見取り図の作成)2 作業場所の防火,防犯設備 防火設備 □有 □無防犯設備 □有 □無有⇒その方法:3 作業場所の施錠・開錠者の特定,施錠・開錠権限の確認施錠・開錠の方法:施錠者・開錠者:施錠者・開錠者を管理する者:4 作業場所の鍵の保管・授受 錠の保管状況 □保管庫 □棚 □守衛室 □その他使用状況簿 □有 □無5 作業場所への入室権限の設定 入出制限 □有 □無有⇒その方法:6 作業場所への入室方法 入室方法:7 作業場所への入退室の管理 記録簿 □有 □無無⇒把握の方法:8 作業場所への入退室時のチェック チェック □有 □無有⇒具体的な方法:無⇒代替策:9 作業場所での機器類の盗難防止 具体的方法:10 同一の作業場所で並行処理する業務,作業との峻別同一作業場所での並行処理 □有 □無有⇒紛失等を防ぐ処理方法:3 作業用機器類 1 作業用機器の特定 機器の特定 □有 □無有⇒機器の台数: 台 機器名:作業用機器への不正なアクセスの防止3 作業用機器の持出し防止(媒体も含む)持ち出し防止策 □有 □無有⇒その方法:4 作業用機器の持込みの確認 具体的な確認方法:5 作業用機器での同時並行処理の制限作業機器の同時並行処理 □有 □無有⇒処理する内容:支障 □有 □無6 作業用機器の利用権限の確認 利用権限 □有 □無有⇒その方法:無⇒権限確認の方法:2 作業機器のネットワーク接続 □有 □無不正アクセス防止 □有 □無有⇒その防止方法:混線・混信回避の方法 □有 □無有⇒その方法:調査票 (新規)(別紙) 行政情報の適正な取扱いの確保に関する調査票番号 区分 調査項目調査項目(変更版) 調査結果(変更版)7 作業用機器の利用状況の把握 ログ・記録簿 □有 □無有⇒□作業者ID □利用時間 □その他( )調査票 (新規)(別紙) 行政情報の適正な取扱いの確保に関する調査票番号 区分 調査項目調査項目(変更版) 調査結果(変更版)4 行政情報の保管1 行政情報,バックアップ等の保管場所の確保保管庫 □有 □無無⇒保管方法:バックアップ □有 □無バックアップ方法:バックアップの保管方法:2 行政情報,バックアップ等の保管場所の施錠・開錠者の特定,保管場所の施錠・開錠権限の確認保管場所の施錠 □有 □無施錠・開錠の方法:施錠・開錠者:施錠・開錠者を管理する者:3 行政情報,バックアップ等の保管場所の鍵の保管・授受錠の保管状況 □保管庫 □棚 □守衛室 □その他使用状況簿 □有 □無無⇒鍵の管理方法:4 貸与物品,成果物の分類 成果物の保管方法:貸与物品の保管方法:5 電子データ 1 行政情報へのアクセス権限の確認 アクセス権限 □有 □無有⇒その方法:無⇒権限確認の方法:2 複数機器でのデータの集約 集約 □有 □無有⇒具体的方法(更新日で集約など):3 データの管理方法 管理 □有 □無有⇒具体的方法(verNoや日付で管理など):4 行政情報に係る電子データの伝送,送信の防止データ伝送 □有 □無有⇒その方法:データのチェック方法 □送信者 □受信者 □送信件数□送信内容5 行政情報に係る電子データの複写の制限複写の必要性 □有 □無有⇒何に複写したか: 何を複写したか: 誰に複写したか:6 行政情報に係る入力・作成データの破壊等の防止ウィルスチェック □有 □無無⇒対応方法:バックアップの作成 □有 □無無⇒対応方法:7 事故・障害時の被害防止 防止策 □有 □無有⇒具体策:6 紙データ 1 紙データ(電子データ以外のデータ)の管理管理 □有 □無有⇒具体的方法(verNoや日付で管理など):2 行政情報に係る紙データの複写・複製の制限データ複写・複製の必要性 □有 □無複写の記録等 □有 □無7 データ管理全般1 業務上必要のなくなった電子データ,紙データの適切な処理返却方法:廃棄方法:消去方法:2 入力済・処理済データの確認 入力済データのチェック方法:3 作業用機器の入替え等に伴うデータ漏えいの防止使用した機器を修理・入替え・廃棄する時の処置:4 ソフトウェアの入替え,破棄等に伴うデータ破壊等の防止使用しているソフトウェアの修正・入替・破棄時のデータの処理方法:調査票 (新規)(別紙) 行政情報の適正な取扱いの確保に関する調査票番号 区分 調査項目調査項目(変更版) 調査結果(変更版)8 授受,搬送 1 市と受託者との間での行政情報の確実な授受□担当者 □日時 □場所 □内容 □数量 □その他2 行政情報の確実な搬送 □担当者 □日時 □経路 □荷物の梱包状況 □使用車両□交通手段 □その他3 行政情報の安全な搬送 搬送方法 □専用ケース □その他4 受託者内での行政情報の授受・搬送の確実性・安全性の確保授受搬送 □有 □無有⇒具体的方法:搬送記録 □有 □無9 報告 1 作業状況の報告体制 具体的方法:2 事故等発生時の報告体制 具体的方法:10 1 周知項目 □ 行政情報の不正な目的での使用禁止□ 行政情報の改ざん・漏えい・滅失・き損等の禁止□ 行政情報の不適正な手段での収集の禁止□ 行政情報の無断複写・複製の禁止□ 行政情報の目的外使用,第三者への提供禁止□ 行政情報の伝送・送信の禁止□ 作業場所への不要な物品等の持込み禁止□ 作業場所からの物品等の持出し禁止□ 権限の無い第三者による行政情報の取扱いの防止□ 事故等発生時の報告等の手順2 周知方法 具体的な内容:3 セキュリティ研修の実施 研修実施 □有 □無 無⇒代替方法:継続性 □有 □無具体的な内容:4 行政情報についての認識 □ 認識している□ 認識していない調査年月日調査者職氏名回答者職氏名禁止事項等の周知調査票 (新規)個人情報等取扱特記事項(基本的事項)第1 受注者は,個人情報及び死者情報(死者に関する情報であって,当該情報に含まれる氏名,生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ,それにより,特定の個人を識別することができることとなるものを含む。)をいう。)(以下「個人情報等」と総称する。)の保護の重要性を認識し,この契約による業務を処理するための個人情報等の取扱いに当たっては,個人の権利利益を侵害することのないよう,個人情報等を適正に取り扱わなければならない。
(秘密の保持)第2 受注者は,この契約による業務に関して知り得た個人情報等をみだりに他人に知らせ,又は不当な目的に使用してはならない。この契約が終了し,又は解除された後においても同様とする。(使用者への周知)第3 受注者は,その使用する者に対し,在職中及び退職後においてもこの契約による業務に関して知り得た個人情報等をみだりに他人に知らせ,又は不当な目的に使用してはならないことなど,個人情報等の保護に関して必要な事項を周知しなければならない。また,個人情報等の取扱いに係る業務を派遣労働者によって行わせる場合には,労働者派遣契約書に秘密保持義務等個人情報等の取扱いに関する事項を明記するものとする。(適正な管理)第4 受注者は,この契約による業務に係る個人情報等の漏洩,滅失,改ざん及びき損の防止その他の個人情報等の適切な管理のために必要な措置を講じなければならない。(収集の制限)第5 受注者は,この契約による業務を処理するために個人情報等を収集するときは,当該業務を処理するために必要な範囲内で,適正かつ公正な手段により収集しなければならない。(使用等の禁止)第6 受注者は,発注者の指示又は承諾があるときを除き,この契約による業務に関して知り得た個人情報等を当該業務を処理するため以外に使用し,又は第三者に引き渡してはならない。(複写等の禁止)第7 受注者は,発注者の指示又は承諾があるときを除き,この契約による業務を処理するために発注者から貸与された個人情報等が記録された資料等を複写し,又は複製してはならない。(資料等の返還等)第8 受注者は,この契約による業務を処理するために発注者から貸与され,又は受注者が収集し,若しくは作成した個人情報等が記録された資料等を,この契約の終了後直ちに発注者に返還し,又は引き渡すものとする。ただし,発注者が,廃棄又は消去など別の方法を指示したときは,当該方法に従うものとする。(事故発生時における報告)第9 受注者は,この契約に違反する事態が生じ,又は生ずるおそれがあることを知ったときは,速やかに発注者に報告し,発注者の指示に従うものとする。委託契約が終了し,又は解除された後においても同様とする。(個人情報等の管理の状況等に係る報告及び実地検査)第10 受注者は,発注者が個人情報等の管理の状況等について報告の求め又は実地検査を実施するときは,これに応じなければならない。(再委託の禁止)第11 受注者は,この契約による業務を処理するための個人情報等を自ら取り扱うものとし,発注者の承諾があるときを除き,第三者(委託先の子会社(会社法(平成17年法律第86号)第2条第1項第3号に規定する子会社をいう。)を含む。)に取り扱わせてはならない。(再委託に係る措置)第12 発注者の承諾を得てこの契約による業務を再委託する場合は,受注者は,再委託先における個人情報等の取扱いに関し受注者と同等の安全管理措置を講じさせなければならない。
※プライバシーマークを取得していたとしても、現地調査免除の条件とはなりませんのでご注意ください。
☆認証の有効期限が委託期間内か確認してください。委託期間中に有効期限が切れる場合は、認証を更新する予定があるか確認してください。
☆認証を受けている住所が、委託業務の作業場所と同一か確認します。
☆ISMS、ISMAP、ISMAP-LIUのいずれかの認証を取得している場合は、立ち入り調査が免除されます。
□ ISMAP、ISMAP-LIU又はISMS(ISO/IEC27017・27018)を取得している。
□ 上記の認証は取得していない2 □ 理解している □ 理解していない ☆「理解している」のチェックが必須、「理解していない」にチェックをした場合は、理由を確認してください。
【作業場所】※作業場所の見取り図をご提出ください。
☆「作業場所」欄に所在地を具体的に記載し、作業場所が庁舎外にある場合は見取り図も添付して下さい。
※データセンターのように、セキュリティの都合で住所を公開できない場所の場合は「セキュリティの都合上非公開」と回答してもらうよう受託者に伝えてください。
3 作業場所及び作業内容の変更作業場所又は作業内容について変更しようとする場合は、変更の理由を付して発注者に書面で申し入れ、変更後の作業場所又は作業内容について、発注者による事前の調査及び承認を受けなければならないことを理解しているか。
□ 理解している □ 理解していない ☆「理解している」のチェックが必須、「理解していない」にチェックをした場合は、理由を確認してください。
4 □ 理解している □ 理解していない ☆「理解している」のチェックが必須、「理解していない」にチェックをした場合は、理由を確認してください。
【個人情報等保護責任者(氏名・役職)】 ☆記載必須、氏名と役職が書かれていることを確認してください。
【作業責任者(氏名・役職)】 ☆記載必須、氏名と役職が書かれていることを確認してください。
【その他の管理者(氏名・役職)】 (選任目的: )☆記載は任意です。
5 □ ISMS(ISO/IEC 27001・27017・27018)、ISMAP、ISMAP-LIUのいずれかを取得している。(受講免除)☆何れかのチェックが必須。認証を取得していない場合は、受講日または受講予定日を記入していることを確認してください。
□ 上記の認証も取得していない。
その場合は、仙台市のセキュリティ研修受講日を記入【受講日(受講済みの場合)】※前回研修を受講した日の属する年度の翌年度の4月1日から,3年経過している場合は、仙台市個人情報セキュリティ研修の再受講が必要です。
【受講予定日(未受講の場合)】☆仙台市の業務を受託する場合は、左記のセキュリティ認証を取得していない場合は、個人情報保護責任者が個人情報セキュリティ研修を受講することは必須となります。未受講の場合は、なるべく委託開始前に(難しい場合は、直近の開催日)で受講するようにしてください。
☆前回研修を受講した日の属する年度の翌年度の4月1日から,3年経過している場合は、仙台市個人情報セキュリティ研修を再度受講するよう、事業者に依頼をしてください。
令和5年度の仙台市の業務を受託する場合は,令和2年度以降に研修を受講している必要があります。
仙台市個人情報セキュリティ研修のURL:http://www.city.sendai.jp/security/shise/security/security/security/kenshu.html 6 作業従事者の特定 □ 理解している □ 理解していない ☆「理解している」のチェックが必須、「理解していない」にチェックをした場合は、理由を確認してください。
7 管理監督者・作業従事者の変更□ 理解している □ 理解していない ☆「理解している」のチェックが必須、「理解していない」にチェックをした場合は、理由を確認してください。
8 □ 受渡しの記録及び確認を行う ☆現地調査では、実際に記録を行う書面を提出してもらい、日時、場所、内容、数量、担当者の署名、押印等の欄が設定されているか確認してください。個人情報の紛失や漏洩防止の観点と、事故が起きた際の重要な記録となりますので、必ず確認してください。
□ 受渡しは一切無いため該当無し ☆フロー図や業務内容シートなど他の資料との整合性は取れていますか?(フロー図では受け渡しのフローがあるにも関わらず、「該当なし」のチェックを選択する例が多々あります。)9 □ 搬送の記録及び確認を行う ☆現地調査では、実際に記録を行う書面を提出してもらい、日時、経路、担当者、荷物の梱包状況、使用車両、交通手段、担当者の署名、押印等の欄が設定されているか確認してください。個人情報の紛失や漏洩防止の観点と、事故が起きた際の重要な記録となりますので、必ず確認してください。
□ 発注者のみが搬送するため該当無し□ 発注者・受注者とも搬送は無いため該当無し ☆フロー図や業務内容シートなど他の資料との整合性は取れていますか?(フロー図では搬送作業のフローがあるにも関わらず、「該当なし」のチェックを選択する例が多々あります。)10 □ 専用ケースを利用して搬送する ☆搬送には、ジュラルミンケースのようなものでなくでも、業務専用のカバンを用意する、という対応でもOKです。
☆専用ケースで搬送する場合は、実際に使用するケース又は専用で使用するケースがあるかどうか確認してください。(必ずしもジュラルミンケースである必要はないのですが、他の業務の資料と混在することがないよう、専用でケースを設けているかを確認する必要があります。)□ 複数名で搬送する ☆複数名で搬送する場合は、どのような体制で搬送する予定なのかを確認してください。事故が起きた際の重要な記録となります。
(例:個人情報保護責任者と担当者の2名で搬送する)□ 目的地へ直行して搬送する ☆寄り道をすることは、セキュリティ上リスクとなりますので、必ず直行直帰をするよう注意喚起してください。
□ その他の方法で搬送する (搬送方法: )□ 発注者のみが搬送するため該当無し□ 発注者・受注者とも搬送は無いため該当無し11 宅配業者による搬送の制限個人情報等の搬送は、原則として発注者または受注者が行わなければならず、業務上の必要があり宅配業者を利用して個人情報等の搬送を行う場合には、貸し切りの直行便を用いる等の十分な保護対策を行わなければならないことを理解しているか。
□ 理解している □ 理解していない ☆「理解している」のチェックが必須、「理解していない」にチェックをした場合は、理由を確認してください。
12 □ 十分な保護対策を行い宅配業者を利用する (対策内容: )☆宅配業者を利用する場合、セキュリティ便又は貸し切りの直行便の使用が必要です。☆宅配業者を利用する場合、セキュリティ便又は貸し切りの直行便を使用するかどうか確認してください。
□ 宅配業者は利用しないため該当無し ☆フロー図や業務内容シートなど他の資料との整合性は取れていますか?(フロー図では個人情報の搬送に宅配業者を利用しているにも関わらず、「該当なし」のチェックを選択する例が多々あります。)13 ①社内ルール等に定めている遵守事項 ☆①の設問は全てチェックが必須です。チェックが無い項目がある場合は、理由を確認してください。
事業者が定めている社内ルールを確認してください。
□ 個人情報等の不適正な取扱いの禁止 □ 業務上知り得た個人情報等の守秘義務(退職後も同様) □ 個人情報等の不当な目的での使用の禁止 □ 個人情報等の漏洩・滅失・改ざん・き損の禁止 □ 個人情報等の不適正・不公正な手段による収集の禁止 □ 個人情報等の目的外使用の禁止 □ 個人情報等の第三者への提供の禁止 □ 個人情報等の無断複写・複製の禁止 □ 権限の無い第三者による個人情報等の取扱いの防止②周知方法 ☆いずれかの選択が必要です。
□ 周知文書の配布により周知している ☆配布されている周知文書を確認してください。
□ 周知文書の掲示により周知している ☆掲示されている周知文書を確認してください。
回答記入日受託(予定)業務名回答記入者調査項目調査内容(※印の記載は回答に際しての留意事項であるため、併せて参照すること。)回答記入欄(選択肢について、該当するものが複数ある場合には全て選択し、選択した項目のチェックボックスを黒塗りにすること。)管理監督者及び作業従事者について変更等を行う場合は、変更等の理由を付して発注者に書面で申し入れ、承認を受ける必要があることを理解しているか。
仙台市業務担当課 職員向け 確認ポイント(外部委託審査会または外部委託協議で、よくある指摘事項をポイントとして記載しました)仙台市業務担当課 職員向け 現地調査ポイント(外部委託審査において、どのような観点で現地調査を実施すればよいのか、調査をする上での参考にしてください)セキュリティ認証の取得状況情報セキュリティに関する認証を取得しているか。
※【回答時の留意事項】・認証を取得している事業範囲に今回受託する業務が含まれていない場合には、「認証は取得していない」を選択すること。
作業場所の確認 個人情報等を取り扱う作業を行う場所(以下「作業場所」という。)については、当該作業の開始前に、発注者の立ち入り調査を受ける必要があること、また、必要に応じて見取り図や設備一覧等の書面による確認を受ける必要があることを理解しているか。
(立ち入り調査については、仙台市の庁舎内にある作業場所及び受注者がISMSの認証を取得している事業の範囲内で提供する作業場所を除く。)※【回答時の留意事項】・「作業場所」欄に所在地を具体的に記載し、作業場所が庁舎外にある場合は見取り図も添付すること。
管理監督者等の選任個人情報等の取扱いに係る作業について、管理監督者(個人情報等保護責任者及び作業責任者。以下同じ。)を選任する必要があることを理解し、選任しているか。
※【回答時の留意事項】・管理監督者として選任している者の氏名及び役職を具体的に回答すること。必要があってその他の管理者を選任している場合は選任目的も記載すること。
個人情報等保護責任者のセキュリティ研修受講状況個人情報等保護責任者は、仙台市の「情報システム処理に伴う個人情報に係る外部委託に関するガイドライン」に基づく個人情報等の保護及び情報セキュリティに関する研修を受講済みである、または、現時点では未受講であるが、個人情報等を取り扱う作業に着手する前に受講する予定であるか。
※【回答時の留意事項】・受講済みの場合は修了証記載の受講日、未受講の場合は受講予定日を具体的に回答すること。
個人情報等の取扱いに係る作業従事者(管理監督者の指示を受けて個人情報を取り扱う者。以下同じ。)については、名簿を作成する等によりあらかじめ特定する必要があることを理解しているか。
個人情報等の確実な受渡しの記録及び確認個人情報等の受渡し(発注者との間で行う納品や貸与品の返却に伴うものや受注者内で行うものを含む。以下同じ。)を行う場合、確実に受渡しを行うため、日時、場所、担当者、内容、数量等の必要な事項を書面(授受簿等)に記録し、担当者の署名・押印等により確認を行うか。
個人情報等の確実な搬送の記録及び確認個人情報等を搬送(受注者内で行うものを含む。以下同じ。)する場合、確実に搬送を行うため、日時、経路、担当者、荷物の梱包状況、使用車両、交通手段等の必要な事項を書面(搬送記録簿等)に記録し、担当者の署名・押印等により確認を行うか。
個人情報等の確実かつ安全な搬送のための体制個人情報等を搬送する場合、専用ケース等の利用、複数名での搬送、目的地への直行等、確実かつ安全に搬送するための体制を定めているか。
※【回答時の留意事項】・個人情報等を確実かつ安全に搬送するために定めている体制について該当する回答を選択し、「その他の方法で搬送する」の場合は具体的な方法も記載すること。
宅配業者による搬送業務上の必要があり、個人情報等の搬送に宅配業者を利用する場合には、貸し切りの直行便を用いる等の十分な保護対策を行うこととするか。
※【回答時の留意事項】・宅配業者を利用する場合は、実施する対策内容も具体的に記載すること。
遵守事項の周知 個人情報等の保護や適正な取扱いにおいて遵守すべき事項を社内ルール等に定め、周知徹底しているか。
※【回答時の留意事項】・①においては定めている遵守事項に該当する項目を遵守事項を選択すること。
・②においては遵守事項の周知方法について該当する回答を選択し、「その他の方法で周知している」を選択する場合は具体的な方法も記載すること。
1/4[様式第1号] 個人情報の適正な取扱いの確保に関する調査票調査項目調査内容(※印の記載は回答に際しての留意事項であるため、併せて参照すること。)回答記入欄(選択肢について、該当するものが複数ある場合には全て選択し、選択した項目のチェックボックスを黒塗りにすること。)仙台市業務担当課 職員向け 確認ポイント(外部委託審査会または外部委託協議で、よくある指摘事項をポイントとして記載しました)仙台市業務担当課 職員向け 現地調査ポイント(外部委託審査において、どのような観点で現地調査を実施すればよいのか、調査をする上での参考にしてください) □ その他の方法で周知している (周知方法: )14 ①研修等の実施の頻度 ( )☆年1回未満の場合は、人事異動を考慮し、年1回以上の研修を行うよう受託者に対応させてください。
②研修等の実施方法 ☆②について、何れかのチェックがあることを確認してください。
□ 集合研修 □ 教材(Web・ビデオ等)による学習 □ その他の方法で実施している (実施方法: )15 管理監督者等の作業への立会い・監督等の体制管理監督者及びその他の管理者の作業への立会い、監督等の体制(立会いの人数、時間等)について定める必要があることを理解しているか。
□ 理解している □ 理解していない ☆「理解している」のチェックが必須、「理解していない」にチェックをした場合は、理由を確認してください。
16 □ 名札を着用する ☆作業場所で実際に名札を着用しているか確認してください。
□ IDカード等を携行する ☆作業場所で実際にIDカード等を携行しているか確認してください。
□ 名簿を作成し掲示する ☆実際に使用している名簿を確認してください。
□ その他の方法で明示する (明示方法: )☆その他の方法において、管理監督者及び作業従事者が明示されているかを確認してください。
17 □ 作業分担表を掲示して周知し確認する ☆作業場所に作業分担表が掲示されているか確認してください。
□ 作業分担表を配布して周知し確認する ☆作業者に作業分担表を配布しているかどうかを聞き取りしてください。
□ その他の方法で周知し確認する (周知・確認の方法: )☆その他の周知方法において、作業者の業務分担や時間が明確に定められており、定めに沿って業務が行われているか管理監督者が確認できるようになっているかを調査してください。
18 ①シフト制で入れ替わる場合の引き継ぎ方法 □ シフト制を採用している (引き継ぎ方法: )☆シフト制を採用している場合は、引継ぎ方法について記載が必要です。
□ シフト制を採用していない②異動等で交代する場合の引き継ぎ方法 (引き継ぎ方法: )☆こちらの記載も必須ですので、空白のままの場合は再依頼してください。作業従事者が異動等により交代する場合の引き継ぎ方法を具体的に記載してください(受託期間中の異動予定は無い場合であっても、事故等の不測の事態が発生することも想定されるため、必ず記載してください)。
19 ①入室権限の確認方法 □ 守衛等が確認する ☆入室時に守衛等が確認を行う運用になっているか現地を確認してください。また、どのように確認を行うかも確認してください。
□ IDカード等により確認する ☆入室時にIDカード等で確認する運用になっているか現地を確認してください。
□ その他の方法で確認する (確認方法: )☆業務に関係のない人が作業場所に入ることのないようどのように確認を行っているか調査してください。
□ 発注者の庁舎内で作業するため発注者の定めに従う②入退室日時等の管理方法 □ 入室記録簿等への記録により把握する ☆実際に使用している入室記録簿を確認してください。
□ IDカード等による電子的記録により把握する ☆IDカード等で確認する運用になっているか現地を確認してください。
□ その他の方法で管理する (管理方法: )☆事故等が起きた時の重要な記録となりますので、入退室日時等の記録をどのように確認しているのかを調査してください。
□ 発注者の庁舎内で作業するため発注者の定めに従う20 □ 施錠管理について定める【施錠・開錠の方法】 ☆記載必須です。
【施錠者(氏名等)】 ☆氏名等が書かれていることを確認してください。
【施錠者の管理者(氏名・役職)】 ☆記載必須、氏名と役職が書かれていることを確認してください。
【開錠者(氏名等)】 ☆氏名等が書かれていることを確認してください。
【開錠者の管理者(氏名・役職)】 ☆記載必須、氏名と役職が書かれていることを確認してください。
【鍵の保管場所】 ☆記載必須です。☆鍵の保管場所が、誰でも簡単に鍵を入手できるような場所ではなく、個人情報保護責任者や作業責任者の管理下にあるか確認してください【鍵の使用状況の記録方法】 ☆記載必須です。☆書面による記録を行っている場合は、実際に書面を確認し、使用状況が記載されているか確認してください。
□ 発注者の庁舎内で作業するため発注者の定めに従う21 □ 同一作業場所で他業務の並行処理を行うため、個人情報 紛失・混在等の防止対策を実施する【並行処理する業務】 ☆並行処理する業務がある場合は、対策内容の記載が必要です。
【対策内容】 ☆並行処理する業務がある場合は、対策内容の記載が必要です。☆「机を分ける」や「時間を分ける」など、具体的にどのような物理的対策方法(確実に他業務との混在防止になっているか)を取っているのか確認してください。
□ 同一作業場所で他業務の並行処理は行わないため 該当無し□ 発注者の庁舎内で作業するため発注者の定めに従う22 □ 個人情報等を取り扱う機器を限定または特定する【機器の種類及び台数】 ☆PCだけではなく、サーバやプリンターも対象となります。
☆フロー図や作業場所見取り図など他の資料との整合性を確認してください。
(調査票でサーバ1台と記載があるにも関わらず、作業場所見取り図やフロー図にサーバの記載がない。などの事例が多々あります。)☆PCだけでなく、サーバやプリンターも対象となります。現地調査では、実際に個人情報を取り扱う機器を目視確認し、入口付近に個人情報を取り扱う機器が設置されていないか、ショルダーハック対策がなされているか(端末の画面にのぞき見防止フィルムを設置している)、個人情報を取り扱う作業場所と他業務作業場所を衝立等を用いてエリア分けしているか、などを確認してください。また、複合機を共用利用することによる印刷文書の誤持ち去りのリスクがありますので、印刷物放置禁止のルールを設け、個人情報保護責任者が目視確認する、などの対策を行っているかを確認してください。□ 発注者の機器のみを使用するため発注者の定めに従う23 □ 同一機器で他業務の並行処理を行うため、個人情報等 紛失・混在等の防止対策を実施する【並行処理する業務】 ☆「防止対策を実施する」をチェックした場合は、記載が必要です。
【対策内容】 ☆並行処理する業務がある場合は、対策内容の記載が必要です。
□ 同一作業機器で他業務の並行処理は行わないため 該当無し□ 発注者の機器のみを使用するため発注者の定めに従う24 □ 個人情報等を取り扱う機器・媒体の持出し防止対策を 実施する【対策内容】 ☆実施する持出し防止対策の内容については、「持ち出しをしない」などルールのことを記載するのではなく、ルールを破る人がいる前提で、どのような物理的対策を行っているか記載してください。(例:ワイヤーロックをする、保護責任者が退出確認を行うなど)☆持ち出し防止策について、物理的対策を聞き取りし、実際に行われているかどうか確認してください。(例:PCにワイヤーロックを設置する→該当のPCにワイヤーロックが設置されているか目視確認)□ 発注者の機器・媒体のみを使用するため、発注者の 定めに従う25 作業用機器等の持出し管理□ 個人情報等を取り扱う機器・媒体を持ち出す際は、 事前に承認を受けるとともに記録を行う☆記録を行う場合は、実際に使用する書面に、持ち出す物品名や持ち出しの目的当について記載しているかどうかを確認してください。個人情報の紛失や漏洩防止の観点と、事故が起きた際の重要な記録となりますので、必ず確認してください。
□ 発注者の機器・媒体のみを使用するため、発注者の 定めに従う26 □ 個人情報等を取り扱う機器・媒体の持込み防止対策を 実施する遵守事項の周知 個人情報等の保護や適正な取扱いにおいて遵守すべき事項を社内ルール等に定め、周知徹底しているか。
※【回答時の留意事項】・①においては定めている遵守事項に該当する項目を遵守事項を選択すること。
・②においては遵守事項の周知方法について該当する回答を選択し、「その他の方法で周知している」を選択する場合は具体的な方法も記載すること。
個人情報等の保護に関する研修等の実施個人情報等の保護に関する研修等を継続的に実施しているか。
※【回答時の留意事項】・①においては研修等の実施頻度について具体的に回答すること。
・②においては研修等の実施方法について該当する回答を選択し、「その他の方法で実施している」を選択する場合は具体的な方法も記載すること。
同一の作業場所での並行処理の制限業務上の必要があり、受託業務と同一の作業場所で他の業務の並行処理を行う場合、個人情報等の紛失や混在等の防止対策を実施するか。
※【回答時の留意事項】・「並行処理する業務」欄には、受託業務の作業期間中に、同一の作業場所内で並行処理する業務を記載すること。
・「対策内容」欄には、個人情報等の紛失・混在等を防止するために実施する対策の内容を具体的に記載すること(例:業務単位で作業机を分ける、同じ時間帯には作業せず一方の業務が終わったら書類等を保管場所に収納し、作業責任者の確認を受けた上でもう一方の業務を開始する、等)。
作業場所における管理監督者及び作業従事者の明示作業場所において、管理監督者及び作業従事者を明示し識別できるようにするか。
※【回答時の留意事項】・明示する方法について該当する回答を選択し、「その他の方法で明示している」を選択する場合は具体的な方法も記載すること。
作業分担の周知・確認作業従事者ごとの作業分担や従事時間をあらかじめ明確にするため、作業分担表(それに準じるものを含む。)を作成して作業場所において周知するとともに、当該作業分担表に沿って作業が行われていることについて、管理監督者が確認を行うか。
※【回答時の留意事項】・作業分担等を周知し確認する方法について該当する回答を選択し、「その他の方法で周知し確認する」を選択する場合は具体的な方法も記載すること。
作業従事者の入替わり等の手順業務の途中で作業従事者が入替わり・交代する場合の作業従事者間の引継ぎ方法を定めているか。
※【回答時の留意事項】・①においては、シフト制を採用している場合は具体的な引き継ぎ方法も記載すること。
・②においては、作業従事者が異動等により交代する場合の引き継ぎ方法を具体的に記載すること(受託期間中の異動予定は無い場合であっても、事故等の不測の事態が発生することも想定されるため、必ず記載すること)。
作業場所への入室権限の確認及び入退室の管理作業場所への入室制限を設け、入室しようとする者に正当な入室権限があることの確認を行うとともに、作業場所への入退室について、入退室日時等を適切に把握し管理するか。
※【回答時の留意事項】・①においては、入室権限の確認方法について該当する回答を選択し、「その他の方法で確認する」を選択する場合は具体的な方法も記載すること。
・②においては、作業場所への入退室日時等の管理方法について該当する回答を選択し、「その他の方法で管理する」を選択する場合は具体的な方法も記載すること。
作業場所の施錠管理作業場所の施錠管理について定めるか。
※【回答時の留意事項】・「施錠管理について定める」を選択する場合、【施錠・開錠の方法】~【鍵の使用状況の記録方法】までの各項目について、定める内容を記載すること。
・施錠・開錠の方法については鍵・ICカードキー等、具体的に記載すること。
・施錠者・開錠者については、特定の者の氏名、あるいは施錠・開錠する権限を複数の者に与えている場合はその旨を記載すること(例:作業従事者のうち最初に出勤した者が開錠する、オートロックのため最終退室者が施錠する、等)。
・施錠者・開錠者の管理者については氏名及び役職を記載すること。
・鍵の使用状況の記録方法については、使用状況簿等の書面による記録やICカードキーによる電子的記録など、具体的に記載すること。
個人情報等を取り扱う機器の限定・特定受託業務において個人情報等を取り扱う機器を限定または特定するか。
※【回答時の留意事項】・「機器の種類及び台数」欄には、個人情報等を含む電子データの入力や集計等を行うパソコンや、保存するサーバ類、紙媒体へ出力するプリンター等の機器の種類と、種類別の台数を記載すること。
同一の機器による並行処理の制限業務上の必要があり、受託業務において個人情報等を取り扱う機器と同一の機器で他の業務の並行処理を行う場合、個人情報等の紛失や混在等の防止対策を実施するか。
※【回答時の留意事項】・「並行処理する業務」欄には、受託業務の作業期間中に、受託業務において個人情報等を取り扱う機器と同一の機器を使用して並行処理する業務を記載すること。
・「対策内容」欄には、個人情報等の紛失・混在等を防止するために実施する対策の内容を具体的に記載すること(例:データの保存先は業務単位でフォルダ分けしフォルダには管理監督者と作業従事者のみアクセスできるよう権限設定を行う、等)。
個人情報等を取り扱う機器等の持出し防止個人情報等の紛失・漏えい等を防止するため、個人情報等を取り扱う機器・媒体について、作業場所からの持出し防止対策を実施するか。
※【回答時の留意事項】・持出し防止対策を実施する場合には、「対策内容」欄に、実施する対策の内容を具体的に記載すること(例:個人情報等保護責任者が作業場所からの退出者の確認を行う、全ての機器にワイヤーロックを設置する、等)。
業務上の必要があり、作業に使用する機器や媒体を作業場所から持ち出す場合には、持出しについて管理監督者の事前承認を受けるとともに、持出しを行う日時や持ち出す物品名、持出しの目的等について、持出し記録簿等の書面により記録を行うか。
業務上必要のない機器等の持込み防止個人情報等の紛失・漏えい等を防止するため、業務上必要のない機器・媒体について、作業場所への持込み防止対策を実施するか。
※【回答時の留意事項】・持込み防止対策を実施する場合には、「対策内容」欄に、実施する対策の内容を具体的に記載すること(例:個人情報等保護責任者が作業場所への入室者の確認を行う、監視カメラを設置する、等)。
2/4[様式第1号] 個人情報の適正な取扱いの確保に関する調査票調査項目調査内容(※印の記載は回答に際しての留意事項であるため、併せて参照すること。)回答記入欄(選択肢について、該当するものが複数ある場合には全て選択し、選択した項目のチェックボックスを黒塗りにすること。)仙台市業務担当課 職員向け 確認ポイント(外部委託審査会または外部委託協議で、よくある指摘事項をポイントとして記載しました)仙台市業務担当課 職員向け 現地調査ポイント(外部委託審査において、どのような観点で現地調査を実施すればよいのか、調査をする上での参考にしてください)【対策内容】 ☆業務上必要のない機器等の持ち込み防止対策について、「持ち込みをしない」などルールのことを記載するのではなく、ルールを破る人がいる前提で、どのような物理的対策を行っているか記載してください。(例:監視カメラを設置する、保護責任者が退出確認を行う など)☆持ち込み防止対策について、物理的対策を聞き取りし、実際に行われているかどうかを確認してください。(例:監視カメラを設置する→作業場所に関しカメラが設置されているか目視確認)□ 発注者の機器・媒体のみを使用するため、発注者の 定めに従う27 □ 個人情報等を取り扱う機器・媒体を持ち込む際は、 事前に承認を受けるとともに記録を行う☆現地調査では、実際に記録を行う書面を提出してもらい、日時、持ち込み物品、数量、持ち込みの目的等の欄が設定されているか確認してください。個人情報の紛失や漏洩防止の観点と、事故が起きた際の重要な記録となりますので、必ず確認してください。
□ 発注者の機器・媒体のみを使用するため、発注者の 定めに従う28 □ 鍵付きの保管庫で保管し管理する【鍵の管理者(氏名・役職)】【鍵の使用状況の記録方法】 ☆書面による記録やICカードキーによる電子的記録など、具体的な記録方法を聞き取りし、書面の場合は実際に使用している書面を確認してください。
□ その他の方法で保管し管理する (保管・管理の方法: )☆誰でも容易に保管庫を開閉し個人情報を入手できる状況になっていないか、個人情報保護責任者や作業責任者の管理下に鍵等が管理されているかを確認してください。
□ 発注者の庁舎内で作業するため発注者の定めに従う29 ☆「理解している」のチェックが必須、「理解していない」にチェックをした場合は、理由を確認してください。
30 ①防犯対策の内容 ☆①の設問はいずれかのチェックが必要です。
□ 守衛による巡視を行う ☆実際に守衛が管理を行っているのか確認してください。
□ 防犯カメラ等の機械による監視を行う ☆防犯カメラ等が作業場所に設置されているか確認してください。
□ 警備会社のサービスを利用する ☆警備会社のサービスを利用している場合は、どのようなサービスを利用しているか聞き取りし、現地の設備等を確認してください。
□ その他の防犯対策を実施する (対策内容: ) □ 発注者の庁舎内で作業するため発注者の定めに従う②防火対策の内容 ☆②の設問はいずれかのチェックが必要です。
□ 建屋に消火設備がある ☆消化設備が設置されているか現地を確認してください。
□ 消火器を設置する ☆消火器が設置されているか現地を確認してください。
□ 火災報知器を設置する ☆火災報知器が設置されているか現地を確認してください。
□ 防火責任者を指定する ☆防火責任者が指定されているか確認してください。
□ その他の防火対策を実施する (対策内容: ) □ 発注者の庁舎内で作業するため発注者の定めに従う31 □ 端末や外付けハードディスク等にワイヤーを設置する ☆いずれかのチェックが必要です。☆実際にワイヤーが設置されている機器を確認してください。
□ 外部記録媒体や可搬型の端末をキャビネット等に 施錠保管する☆施錠保管するキャビネット等や運用方法(例:担当者が退社時にPCをキャビネットに格納し、個人情報保護責任者が業務終了時にキャビネットを施錠する、など)について確認してください。
□ その他の対策を実施する (対策内容: )□ 発注者の庁舎内で作業するため発注者の定めに従う32 □ ID・パスワードによる認証を行う□ 生体認証を行う ☆この設問にチェックが入っている場合は、生体認証の機器が設置されているか確認してください。
□ ICカード等のセキュリティデバイスによる認証を行う ☆この設問にチェックが入っている場合は、セキュリティデバイスが設置されているか確認してください。
□ 上記以外の方法による利用者認証を行う (認証方法: )□ 利用者を管理監督者及び作業従事者に限定する ☆この設問はチェックが必須です。チェックが無い場合は、チェックをするよう事業者に改善依頼をしてください。(発注者の機器のみを使用する場合を除く)□ 不要なIDが登録されていないことを定期的に確認する ☆この設問はチェックが必須です。チェックが無い場合は、チェックをするよう事業者に改善依頼をしてください。(発注者の機器のみを使用する場合を除く)□ その他の対策を実施する (対策内容: )□ 発注者の機器のみを使用するため発注者の定めに従う33 □ 機器の操作ログを取得する□ 作業記録簿、作業日報等の書面に記録する ☆書面の場合は、実際に使用している書面を提出してもらい、利用者や時間等の項目が記載されているか確認してください。個人情報の紛失や漏洩防止の観点と、事故が起きた際の重要な記録となりますので、必ず確認してください。
□ その他の方法で記録する (記録方法: )□ 発注者の機器のみを使用するため発注者の定めに従う34 ①インターネットへの接続状況 □ インターネットに接続する ☆インターネットに接続する場合は、③のファイアウォール設置は必須です。
□ インターネットに接続しない □ 発注者の機器のみを使用するため発注者の定めに従う②個人情報等を取り扱う機器が接続するインターネット以外 のネットワーク(社内LAN等)の形態 □ 物理的専用線のみによるネットワーク □ 上記以外のネットワーク (ネットワーク形態: ) □ インターネット以外のネットワークには接続しない □ 発注者の機器のみを使用するため発注者の定めに従う③実施する不正アクセス防止対策 □ ファイアウォールを設置する ☆Windows10以降のシリーズを使用している場合、WindowsDefenderを有効にしていればファイアウォールは標準装備されていることになります。
□ 無線LANの使用を禁止する ☆無線LANを使用しない場合は、無線LANの使用禁止はチェック必須です。
□ その他の対策を実施する (対策内容: ) □ 発注者の機器のみを使用するため発注者の定めに従う35 □ 専用線を使用して伝送する□ データを暗号化して伝送する□ その他の対策を実施して伝送する (対策内容: )☆フロー図や業務内容シートなど他の資料との整合性は取れているか確認してください。
(フロー図ではメールを送るフローがあるにも関わらず、「受注者の機器による伝送は行わない」にチェックを選択する例が多々あります。)□ 受注者の機器による伝送は行わない36 □ OS等の修正プログラムが公表された場合は、速やかに 重要度や必要性を確認し、適切に対応する☆この設問はチェックが必須です。チェックが無い場合は、チェックをするよう事業者に改善依頼をしてください。(発注者の機器のみを使用する場合を除く)□ ウイルススキャンを定期的に実施する ☆この設問はチェックが必須です。チェックが無い場合は、チェックをするよう事業者に改善依頼をしてください。(発注者の機器のみを使用する場合を除く)□ 外部記録媒体使用時にウィルスチェックを実施する ☆この設問はチェックが必須です。チェックが無い場合は、チェックをするよう事業者に改善依頼をしてください。(発注者の機器のみを使用する場合を除く)□ 作業上不要なソフトウェアの導入を禁止する ☆この設問はチェックが必須です。チェックが無い場合は、チェックをするよう事業者に改善依頼をしてください。(発注者の機器のみを使用する場合を除く)□ 補助電源を設置する ☆この設問にチェックが付いている場合は、実際に設置されている補助電源を確認してください。
個人情報等の保管・管理個人情報等は、鍵付きの保管庫で保管し、鍵の管理方法も定めるなど、適切に保管し管理するか。
※【回答時の留意事項】・鍵付きの保管庫で保管する場合は、鍵の管理者について、氏名及び役職を記載するとともに、鍵の使用状況の記録方法について、具体的に記載すること。(例:使用状況簿等の書面による記録、ICカードキーによる電子的記録、等)。
・鍵付きの保管庫以外で保管する場合は、「その他の方法で保管し管理する」を選択し、具体的な保管・管理の方法も記載すること。
個人情報等の不正な複製・複写の防止業務上の必要がある場合を除き、個人情報等を含む電子データの複製や個人情報等を記録した紙媒体の複写を行ってはならないことを理解しているか。
業務上必要のない機器等の持込み防止個人情報等の紛失・漏えい等を防止するため、業務上必要のない機器・媒体について、作業場所への持込み防止対策を実施するか。
※【回答時の留意事項】・持込み防止対策を実施する場合には、「対策内容」欄に、実施する対策の内容を具体的に記載すること(例:個人情報等保護責任者が作業場所への入室者の確認を行う、監視カメラを設置する、等)。
作業用機器等の持込み管理業務上の必要があり、作業に使用する機器・媒体を外部から作業場所に持ち込む場合には、持込みについて管理監督者の事前承認を受けるとともに、持込みを行う日時や持ち込む物品名、持込みの目的等について、持込み記録簿等の書面により記録を行うか。
□ 理解している □ 理解していない作業場所の防犯対策・防火対策作業場所において、防犯対策及び防火対策を適切に実施するか。
※【回答時の留意事項】・①においては、実施する防犯対策内容について該当する回答を選択し、「その他の防犯対策を実施する」を選択する場合は具体的な対策内容も記載すること。
・②においては、実施する防火対策内容について該当する回答を選択し、「その他の防火対策を実施する」を選択する場合は、具体的な対策内容も記載すること。
作業用機器の利用権限の管理個人情報等を取り扱う機器の不正利用を防ぐため、利用権限を適切に管理するための対策を実施するか。
※【回答時の留意事項】・実施する対策内容について該当する回答を選択すること。
・利用者認証について「上記以外の方法による認証を行う」を選択する場合は、具体的な認証方法を記載すること。
・「その他の対策を講じる」を選択する場合は、具体的な対策内容も記載すること。
作業用機器等の盗難防止個人情報等を取り扱う機器・媒体について、盗難防止対策を実施するか。
※【回答時の留意事項】・実施する対策内容について該当する回答を選択し、「その他の対策を実施する」を選択する場合は、具体的な対策内容も記載すること。
作業用機器の利用状況の把握個人情報等を取り扱う機器の利用状況を把握するため、利用者や利用時間等の記録を行うか。
※【回答時の留意事項】・実施する記録方法について該当する回答を選択し、「その他の方法で記録する」を選択する場合は、具体的な記録方法も記載すること。
不正アクセスの防止業務上の必要があり、個人情報等を取り扱う機器をネットワークに接続する場合には、不正アクセスを防止するための対策を実施するか。
※【回答時の留意事項】・①においては、個人情報等を取り扱う機器の、インターネットへの接続の有無を回答すること。なお、ここでの「インターネットに接続する」とは、インターネット上のWebサイトの閲覧等が可能な状況を指し、インターネットVPN環境の利用は「インターネットに接続する」には含めないこと。
・①においては、仙台市からの受託業務では、インターネットを使用する作業はないが、仙台市からの受託業務の作業期間中に同一の機器で他の業務も行う場合に、他の業務でインターネットを使用する場合には、「インターネットに接続する」を選択すること。
・②においては、個人情報等を取り扱う機器が接続する、社内LAN等のネットワークの形態を選択し、「上記以外のネットワーク(物理的専用線以外を含むネットワーク)」を選択する場合には、具体の形態も記載すること(例:支店内は物理的専用線で接続するが支店間はインターネットVPNで接続、フリーアドレス制のため無線LANで接続、等)。
・③においては、不正アクセスを防止するために実施する対策内容について該当する回答を選択し、「その他の対策を実施する」を選択する場合は、具体的な対策内容も記載すること(例:インターネット上のWebサイト閲覧には仮想環境を利用、アクセス可能なWebサイトを制限、IPSを導入、等)。
個人情報等の伝送の制限業務上の必要があり、受注者の機器により伝送を行う場合、個人情報等の漏えい等の防止対策を実施するか。
※【回答時の留意事項】・該当する回答を選択し、「その他の対策を実施して伝送する」を選択する場合は、具体的な対策内容も記載すること。
個人情報等の改ざん等の防止個人情報等を取り扱う機器について、個人情報等の改ざん・破壊・漏えい等を防止するための対策を実施するか。
※【回答時の留意事項】・個人情報等の改ざん・破壊・漏えい等を防止するために実施する対策について該当する回答を選択し、「その他の対策を実施する」を選択する場合は、具体的な対策内容も記載すること。
3/4[様式第1号] 個人情報の適正な取扱いの確保に関する調査票調査項目調査内容(※印の記載は回答に際しての留意事項であるため、併せて参照すること。)回答記入欄(選択肢について、該当するものが複数ある場合には全て選択し、選択した項目のチェックボックスを黒塗りにすること。)仙台市業務担当課 職員向け 確認ポイント(外部委託審査会または外部委託協議で、よくある指摘事項をポイントとして記載しました)仙台市業務担当課 職員向け 現地調査ポイント(外部委託審査において、どのような観点で現地調査を実施すればよいのか、調査をする上での参考にしてください)□ その他の対策を実施する (対策内容: )□ 発注者の機器のみを使用するため発注者の定めに従う37 □ バックアップを取得する ☆何れかのチェックがあるかの確認をお願いします。
□ バックアップは取得しない (取得しない理由: )□ 発注者の機器のみを使用するため発注者の定めに従う38 □ 理解している □ 理解していない ☆「理解している」のチェックが必須、「理解していない」にチェックをした場合は、理由を確認してください。
【緊急連絡体制】 ☆記載必須です。
39 □ 理解している □ 理解していない ☆「理解している」のチェックが必須、「理解していない」にチェックをした場合は、理由を確認してください。
【報告体制】 ☆記載必須です。
40 作業用機器の入れ替え等に伴う個人情報等の消去個人情報等を記録している機器の廃棄や入れ替え等を行う場合には、仙台市行政情報セキュリティポリシーに基づき、消去ソフトによりデータを消去または作業用機器に内蔵された電磁的記録媒体を取り出して物理的に破壊し、個人情報等を確実に消去した上で廃棄し、新しいものと入れ替える必要があることを理解しているか。
併せて、消去及び廃棄の結果については、記録を行うとともに発注者に報告を行う必要があることを理解しているか。
□ 理解している □ 理解していない ☆「理解している」のチェックが必須、「理解していない」にチェックをした場合は、理由を確認してください。
41 ソフトウェアの入替え、破棄等に伴う個人情報等の保全個人情報等を記録している機器に導入しているソフトウェアの修正や入替え、破棄を実施する場合には、仙台市行政情報セキュリティポリシーに基づき、記録している個人情報等を保全するため、事前にバックアップの取得を行う必要があることを理解しているか。
□ 理解している □ 理解していない42 □ 受注者から発注者に直接引き渡して返却する□ 上記以外の方法で処理する (処理方法: )☆フロー図や業務内容シートなど他の資料との整合性は取れていますか?(フロー図では個人情報を記録した貸与品があるにも関わらず、「貸与品は無い」のチェックを選択する例が多々あります。)□ 個人情報等を記録した貸与品は無い43 □ 受注者から発注者に直接引き渡して納品する□ 上記以外の方法で処理する (処理方法: )☆フロー図や業務内容シートなど他の資料との整合性は取れていますか?(フロー図では個人情報を記録した成果物があるにも関わらず、「成果品は無い」のチェックを選択する例が多々あります。)□ 個人情報等を記録した成果品は無い44 電磁的記録媒体に記録した個人情報等の消去等個人情報等を記録した電磁的記録媒体(機器に内蔵されたもの及び外部記録媒体。以下この項目において「媒体」という。)について、当該個人情報等が業務上必要なくなったときは、仙台市行政情報セキュリティポリシーに基づき、データ消去が可能な媒体の場合は消去ソフトによる当該個人情報等の消去を行うこととし、データ消去が不可能な媒体の場合は物理的に破壊した上で廃棄する必要があることを理解しているか。
併せて、消去及び廃棄の結果については、記録を行うとともに発注者に報告を行う必要があることを理解しているか。
□ 理解している □ 理解していない ☆「理解している」のチェックが必須、「理解していない」にチェックをした場合は、理由を確認してください。
45 個人情報等を記録した紙媒体の廃棄個人情報等を記録した紙媒体について、当該個人情報等が業務上必要なくなったときは、仙台市行政情報セキュリティポリシーに基づき、シュレッダーによる裁断処理、焼却処理または溶解処理を行い、廃棄する必要があることを理解しているか。
併せて、廃棄の結果については、記録を行うとともに発注者に報告を行う必要があることを理解しているか。
□ 理解している □ 理解していない ☆「理解している」のチェックが必須、「理解していない」にチェックをした場合は、理由を確認してください。
個人情報等の改ざん等の防止個人情報等を取り扱う機器について、個人情報等の改ざん・破壊・漏えい等を防止するための対策を実施するか。
※【回答時の留意事項】・個人情報等の改ざん・破壊・漏えい等を防止するために実施する対策について該当する回答を選択し、「その他の対策を実施する」を選択する場合は、具体的な対策内容も記載すること。
個人情報等のバックアップの取得事故や障害の発生による個人情報等の破壊・誤消去等に備え、個人情報等のバックアップを取得するか。
※【回答時の留意事項】・バックアップを取得しない場合には、取得しない理由を具体的に記載すること。
個人情報等を記録した成果物の取り扱い個人情報等を記録した成果物は、受注者から発注者に直接引き渡して納品するか。
※【回答時の留意事項】・受注者から発注者に直接引き渡して納品する以外の方法で処理する場合は、処理方法を具体的に記載すること(例:●●の梱包及び発送を行う業務のため、発注者の指定する宛先に発送する、等)。
緊急連絡体制の整備事故や障害が発生した緊急時に、迅速かつ適切に対応するため、直ちに受注者内で状況を把握し発注者に連絡する体制を定める必要があることを理解しているか。
※【回答時の留意事項】・「緊急連絡体制」欄には、緊急時に発注者等へ連絡するための体制を具体的に回答すること(例:発注者・受注者・その他の関係者を含む緊急連絡網を定め、緊急時には緊急連絡網に従って速やかに連絡を行う、等)。
作業状況の報告体制の整備個人情報等を取り扱う作業の状況について、定期的に、または発注者の求めに応じて発注者に報告ができるよう、報告担当者や報告方法等の報告体制を定める必要があることを理解しているか。
※【回答時の留意事項】・「報告体制」欄には、発注者への報告を行う体制を具体的に回答すること(例:発注者と受注者合同の進捗会議を毎月1回開催して報告する、作業責任者が週単位で作業報告書を作成しメールで提出する、等)。
個人情報等を記録した貸与品の取り扱い発注者からの個人情報等を記録した貸与品について、業務上必要がなくなった場合は、受注者から発注者に直接引き渡して返却するか。
※【回答時の留意事項】・受注者から発注者に直接引き渡して返却する以外の方法で処理する場合は、処理方法を具体的に記載すること(例:発注者の承認を得た上で、電子データは消去ソフトで消去し、紙媒体はシュレッダーで裁断して廃棄する、等)。
4/4個人情報等の取扱いに係る作業場所及び作業内容に関する届令和 年 月 日発注者 仙台市 長 様受注者「(契約名称)」に係る個人情報等の取扱いの作業場所及び作業内容について,下記のとおり届けます。記(1)所在地: (所在住所)名 称: (ビル等建物の名称,所在階,区画・部屋等の名称)作業内容: (この作業場所で行う作業の詳細)(2)所在地:名 称:作業内容:(3)所在地:名 称:作業内容:<以下,作業場所があるごとに追加し,又は別紙等により補足>【記載要領】① 作業場所ごとに,所定の事項を記載すること。② 作業場所は,壁面,仕切り等により他の区画,部屋等から物理的に独立している区画,部屋等の最小の単位をもって1と数えるものであること。③ 必要に応じて見取り図,設備一覧等を添付すること。個人情報等の取扱いに係る管理監督者に関する届令和 年 月 日発注者 仙台市 長 様受注者「(契約名称)」に係る個人情報等の取扱いの管理監督者について,下記のとおり届けます。記(1)個人情報等保護管理責任者役職・氏名:経歴・資格:選任の目的:(2)作業責任者役職・氏名:経歴・資格:選任の目的:(3)○○管理者役職・氏名:経歴・資格:選任の目的:<以下,個人情報等を管理し,作業を管理監督する立場にある者を追加する>【記載要領】① 個人情報等を管理し,作業を管理監督する立場にある者について記載すること。② 選任の目的を明確にし,各管理監督者の設置の趣旨,権限・責任の範囲等を記載すること。個人情報等の取扱いに係る作業従事者に関する届令和 年 月 日発注者 仙台市 長 様受注者「(契約名称)」に係る個人情報等の取扱いの作業従事者について,下記のとおり届けます。記氏名 従事する作業の内容 所属,身分(正社員,契約社員等)<以下,作業の従事者ごとに追加し,又は別紙等により補足>【記載要領】① 個人情報等の取扱いに係る作業の従事者のすべてについて記載すること。② 従事する作業の内容は,詳細に記載すること。③ 所属・身分については,受注者とその使用する者との雇用契約等の関係(正規採用,臨時採用,派遣受入れ等)が分かる内容を記載すること。特定個人情報等の取扱いに関する特記事項第1条(特定個人情報等の保護に関する法令等の遵守)受託者は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)、個人情報保護委員会が定める特定個人情報の適正な取扱いに関するガイドライン(以下「ガイドライン」という。)に基づき、本特定個人情報等の取扱いに関する特記事項(以下「特記事項」という。)を遵守しなければならない。また、これらのほか、個人情報の保護に関する法律(平成15年法律第57号)及び仙台市議会の個人情報の保護に関する条例(令和5年仙台市条例第29号)並びに仙台市死者情報保護事務取扱要綱(令和5年3月24日総務局長決裁)の趣旨に則り、特記事項を遵守しなければならない。第2条(責任体制の整備)受託者は、特定個人情報及び個人番号(以下「特定個人情報等」という。)の安全管理について、内部における責任体制を構築し、その体制を維持しなければならない。第3条(作業責任者等の届出)1 受託者は、特定個人情報等の取扱いに係る作業責任者及び作業従事者を定め、書面により発注者に報告しなければならない。2 受託者は、特定個人情報等の取扱いに係る作業責任者及び作業従事者を変更する場合の手続を定めなければならない。3 受託者は、作業責任者を変更する場合は、事前に書面により発注者に申請し、その承認を得なければならない。4 受託者は、作業従事者を変更する場合は、事前に書面により発注者に報告しなければならない。5 作業責任者は、特記事項に定める事項を適切に実施するよう作業従事者を監督しなければならない。6 作業従事者は、作業責任者の指示に従い、特記事項に定める事項を遵守しなければならない。第4条(取扱区域の特定)1 受託者は、特定個人情報等を取り扱う場所(以下「取扱区域」という。)を定め、業務の着手前に書面により発注者に報告しなければならない。2 受託者は、取扱区域を変更する場合は、事前に書面により発注者に申請し、その承認を得なければならない。3 受託者は、発注者が指定した場所へ持ち出す場合を除き、特定個人情報等を定められた場所から持ち出してはならない。第5条(教育の実施)1 受託者は、特定個人情報等の保護、情報セキュリティに対する意識の向上、特記事項における作業従事者が遵守すべき事項その他本委託業務の適切な履行に必要な教育及び研修を、作業従事者全員に対して実施しなければならない。2 受託者は、前項の教育及び研修を実施するに当たり、実施計画を策定し、実施体制を確立しなければならない。第6条(守秘義務)1 受託者は、本委託業務の履行により直接又は間接に知り得た特定個人情報等を第三者に漏らしてはならない。契約期間満了後又は契約解除後も同様とする。2 受託者は、本委託業務に関わる作業責任者及び作業従事者に対して、秘密保持に関する誓約書を提出させなければならない。第7条(再委託)1 受託者は、本委託業務を第三者へ委託(以下「再委託」という。)してはならない。2 受託者は、本委託業務の一部をやむを得ず再委託する必要がある場合は、再委託先の名称、再委託する理由、再委託して処理する内容、再委託先において取り扱う情報、再委託先における安全性及び信頼性を確保する対策並びに再委託先に対する管理及び監督の方法を明確にした上で、業務の着手前に、書面により再委託する旨を発注者に申請し、その承認を得なければならない。3 前項の場合、受託者は、再委託先に本契約に基づく一切の義務を遵守させるとともに、発注者に対して、再委託先の全ての行為及びその結果について責任を負うものとする。4 受託者は、再委託先との契約において、再委託先に対する管理及び監督の手続及び方法について具体的に規定しなければならない。5 受託者は、再委託先に対して本委託業務を委託した場合は、その履行状況を管理・監督するとともに、発注者の求めに応じて、管理・監督の状況を発注者に対して適宜報告しなければならない。第8条(派遣労働者等の利用時の措置)1 受託者は、本委託業務を派遣労働者、契約社員その他の正社員以外の労働者に行わせる場合は、正社員以外の労働者に本契約に基づく一切の義務を遵守させなければならない。2 受託者は、発注者に対して、正社員以外の労働者の全ての行為及びその結果について責任を負うものとする。
第9条(特定個人情報等の管理)受託者は、本委託業務において利用する特定個人情報等を保持している間は、ガイドラインに定める各種の安全管理措置を遵守するとともに、次の各号の定めるところにより、特定個人情報等の管理を行わなければならない。一 個人番号を取り扱う事務、特定個人情報等の範囲及び同事務に従事する作業従事者を明確化し、取扱規程等を策定すること。二 組織体制の整備、取扱規程等に基づく運用、取扱状況を確認する手段の整備、情報漏えい等事案に対応する体制の整備、取扱状況の把握及び安全管理措置の見直しを行うこと。三 事務取扱担当者の監督・教育を行うこと。四 特定個人情報等を取り扱う区域の管理、機器及び電子媒体等の盗難等の防止、電子媒体等の取扱いにおける漏えい等の防止、個人番号の削除・機器及び電子媒体等の廃棄を行うこと。五 アクセス制御、アクセス者の識別と認証、外部からの不正アクセス等の防止、情報漏えい等の防止を行うこと。第10条(提供された特定個人情報等の目的外利用及び第三者への提供の禁止)受託者は、本委託業務において利用する特定個人情報等について、本委託業務以外の目的で利用してはならない。また、第三者へ提供してはならない。第11条(受渡し)受託者は、発注者受託者間の特定個人情報等の受渡しに関しては、発注者が指定した手段、日時及び場所で行った上で、発注者に特定個人情報等の預り証を提出しなければならない。第12条(特定個人情報等の返還又は廃棄)1 受託者は、本委託業務の終了時に、本委託業務において利用する特定個人情報等について、発注者の指定した方法により、返還又は廃棄を実施しなければならない。2 受託者は、本委託業務において利用する特定個人情報等を消去又は廃棄する場合は、事前に消去又は廃棄すべき特定個人情報等の項目、媒体名、数量、消去又は廃棄の方法及び処理予定日を書面により発注者に申請し、その承諾を得なければならない。3 受託者は、特定個人情報等の消去又は廃棄に際し発注者から立会いを求められた場合は、これに応じなければならない。4 受託者は、本委託業務において利用する特定個人情報等を廃棄する場合は、当該情報が記録された電磁的記録媒体の物理的な破壊その他当該特定個人情報等を判読不可能とするのに必要な措置を講じなければならない。5 受託者は、特定個人情報等の消去又は廃棄を行った後、消去又は廃棄を行った日時、担当者名及び消去又は廃棄の内容を記録し、書面により発注者に対して報告しなければならない。第13条(定期報告及び緊急時報告)1 受託者は、発注者から、特定個人情報等の取扱いの状況について報告を求められた場合は、直ちに報告しなければならない。2 受託者は、特定個人情報等の取扱いの状況に関する定期報告及び緊急時報告の手順を定めなければならない。第14条(監査及び検査)1 発注者は、本委託業務に係る特定個人情報等の取扱いについて、本契約の規定に基づき必要な措置が講じられているかどうか検証及び確認するため、受託者及び再委託先に対して、監査又は検査を行うことができる。2 発注者は、前項の目的を達するため、受託者に対して必要な情報を求め、又は本委託業務の処理に関して必要な指示をすることができる。第15条(事故時の対応)1 受託者は、本委託業務に関し特定個人情報等の漏えい等の事故(番号法違反又はそのおそれのある事案を含む。)が発生した場合は、その事故の発生に係る帰責の有無に関わらず、直ちに発注者に対して、当該事故に関わる特定個人情報等の内容、件数、事故の発生場所、発生状況等を書面により報告し、発注者の指示に従わなければならない。2 受託者は、特定個人情報等の漏えい等の事故が発生した場合に備え、発注者その他の関係者との連絡、証拠保全、被害拡大の防止、復旧、再発防止の措置を迅速かつ適切に実施するために、緊急時対応計画を定めなければならない。3 発注者は、本委託業務に関し特定個人情報等の漏えい等の事故が発生した場合は、必要に応じて当該事故に関する情報を公表することができる。第16条(契約解除)1 発注者は、受託者が本特記事項に定める義務を履行しない場合は、本特記事項に関連する委託業務の全部又は一部を解除することができる。2 受託者は、前項の規定による契約の解除により損害を受けた場合においても、発注者に対して、その損害の賠償を請求することはできないものとする。第17条(損害賠償)受託者の故意又は過失を問わず、受託者が本特記事項の内容に違反し、又は怠ったことにより、発注者に対する損害を発生させた場合は、受託者は、発注者に対して、その損害を賠償しなければならない。
[様式第1-3号] 特定個人情報等の適正な取扱いの確保に関する調査票□ ①責任者の設置及び責任の明確化□ ②事務取扱担当者及びその役割の明確化□ ③事務取扱担当者が取り扱う特定個人情報等の範囲の明確化□④取扱規程等に違反している事実又は兆候を把握した場合の責任者への報告連絡体制 の整備□ ⑤情報漏えい等事案の発生又は兆候を把握した場合の報告連絡体制の整備□⑥特定個人情報等を複数の部署で取り扱う場合の各部署の任務分担及び責任の明確化□ ①特定個人情報ファイルの利用・出力状況の記録□ ②書類・媒体等の持ち運びの記録□ ③特定個人情報ファイルの削除・廃棄記録□ ④削除・廃棄を委託した場合、これを証明する記録等□⑤特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録保存□ 記録を一定の期間保存しているか分析□ 記録について、定期及び必要に応じ随時に分析等しているか改ざん等の防止□ 記録の改ざん、窃取又は不正な削除の防止のために必要な措置を講じているか□ ①特定個人情報ファイルの名称□ ②特定個人情報ファイルが利用に供される事務をつかさどる組織の名称□ ③特定個人情報ファイルの利用目的□④特定個人情報ファイルに記録される項目及び本人として特定個人情報ファイルに記録される 個人の範囲□ ⑤特定個人情報ファイルに記録される特定個人情報等の収集方法□ ⑥取扱状況を確認するための記録等に、特定個人情報等を記載していないか□ ①情報漏えい等の事案が発覚した際の報告・連絡等□ ②事実関係の調査及び原因の究明□ ③影響範囲の特定□ ④影響を受ける可能性のある本人への連絡□ ⑤個人情報保護委員会への報告□ ⑥関係機関への報告□ ⑦再発防止策の検討及び決定□ ⑧事実関係及び再発防止策等の公表5 人的安全管理措置-事務取扱担当者の監督□ 責任者が事務取扱担当者に対して必要かつ適切な監督をしているか□ 特定個人情報等の保護に関する教育研修に係る規程を整備しているか□ 新規採用時や異動に伴う臨時の教育研修について、規程を整備しているか□ 事務取扱担当者に対して、教育研修を実施しているか□情報システムの管理に関する事務に従事する職員に対して、教育研修を実施しているか□ 教育研修への参加の機会を付与する等の措置を講じているか□未受講者に対して再度の教育研修を実施するなどのフォローを行っているか。
特に、書類送付の担当者が事務取扱者でない場合は特定個人情報が閲覧できないような 工夫をしているか備考欄(左記回答でチェックしていない場合など理由を記載すること)【部署・役職・氏名記載欄】教育研修組織体制について、右記の点を整備しているか6番号法に定められた研修※誰が、どの研修を受講したかを記録等により確認すること※必要に応じて、管理区域等に立ち入る際の手続に沿って実際に現場にて確認すること3 組織的安全管理措置-取扱状況を確認する手段の整備情報漏えい等事案に対応する体制等の整備組織的安全管理措置 -情報漏えい等事案に対応する体制等の整備情報漏えい等の事案等に対応するための体制及び手順等ついて、以下の点を整備しているか4組織的安全管理措置-取扱規程等に基づく運用右記の項目を記録しているか特定個人情報ファイルの取扱状況を確認するための手段について、右記の点を記録しているか物理的安全管理措置-機器及び電子媒体等の盗難等の防止物理的安全管理措置-特定個人情報等を取り扱う区域の管理人的安全管理措置-事務取扱担当者等の教育回答記入日回答記入者大分類 設問回答記入欄(選択肢について、該当するものが複数ある場合には全て選択し、選択した項目のチェックボックスにチェックを入れること。)受託(予定)業務名小分類チェック【会社等名記載欄】1 2 7 8記録組織的安全管理措置-組織体制の整備9 物理的安全管理措置-電子媒体等の取扱いにおける漏えい等の防止1/2備考欄(左記回答でチェックしていない場合など理由を記載すること)大分類 設問回答記入欄(選択肢について、該当するものが複数ある場合には全て選択し、選択した項目のチェックボックスにチェックを入れること。)小分類チェック□ 削除又は廃棄の規程を整備しているか□削除又は廃棄の運用はどのようになっているか 特に、復元不可能な手段を採用しているか、削除又は廃棄の記録を保存しているか□委託している場合は、委託先が確実に削除又は廃棄したことについて、証明書等を取得して確認しているか11 技術的安全管理措置-アクセス制御※人事異動等があった場合は、特にアクセス権の削除について確認すること□情報システムを使用する場合、使用可能な端末、事務取扱担当者、特定個人情報ファイルの範囲を限定しているか 特に、アクセス権の付与を最小化しているか特に、アクセス権を有する者に付与する権限を最小化しているか□情報システムにアクセスするための識別・認証の規程(ユーザID、パスワード、生体情報等)を整備しているか□ 識別・認証に係る運用はどのようになっているか□外部等からの不正アクセス又は不正ソフトウェアから保護する仕組み等を導入しているか特に、ファイアウォール等の不正アクセス対策はできているか特に、セキュリティ対策ソフトウェア等によりウイルス等への対策はできているか□情報提供ネットワークシステム等の接続規程等が示す安全管理措置を遵守しているか□個人番号利用事務において使用する情報システムについて、インターネットから独立する等の高いセキュリティ対策を踏まえたシステム構築や運用体制整備を行っているか□特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講じているか□ 外部送信する場合の規程を整備しているか□ 特定個人情報等を外部送信した実績はあるか□特定個人情報ファイルを機器又は電子媒体等に保存する場合の規程を整備しているか□特定個人情報ファイルを機器又は電子媒体等に保存する場合、暗号化、パスワード等を設定しているか1210※情報システムの不正アクセス又は不正ソフトウェアから保護する仕組み等を確認すること技術的安全管理措置-不正アクセス等による被害の 防止等13技術的安全管理措置-情報漏えい等の防止14技術的安全管理措置-アクセス者の識別と認証物理的安全管理措置-個人番号の削除、機器及び電子媒体等の廃棄2/2