国税庁が購入した暗号資産の犯則調査(暗号資産の脱税調査)に係る情報収集のために調達した「暗号資産関連情報提供ライセンス」について、査察課長から会計課長に宛てた依頼文書をご紹介いたします。
以下、「???」は情報公開で入手した資料の黒塗り部分です。
暗号資産関連情報提供ライセンスの購入について(依頼)
標題のことについて、下記のとおり手配いただきた<依頼します。
記
1 契約理由
各国税局(所)査察部(課)が実施している国税通則法に基づく犯則調査に係る情報収集のため、暗号資産(???)に関する、暗号資産関連情報提供ライセンスを購入するものである。
2 契約内容
(1) 調達内容
別添「仕様書」のとおり。
(2) 契約方法
会計法第29条の3第1項により一般競争入札とする。
(3) 納入期限
別添「仕様書」に記載の日までとする。
別添
仕様書
暗号資産関連情報提供ライセンスの購入
国税庁調査査察部査察課
1 調達案件の概要に関する事項
1.1 調達件名
「暗号資産関連情報提供ライセンスの購入」
1.2 調達の目的
各国税局(所)査察部(課)が実施している国税通則法に基づく犯則調査に係る情報収集のため、暗号資産( ??)に関する、暗号資産関連情報提供ライセンスを購入するものである。
2 調達の概要
2.1 調達品目
・暗号資産関連情報提供年間ライセンス(複数種) 1式
・当該ライセンスの使用にあたり必要なトレーニング(研修) 2日間
2.2 納入期限
ライセンスの通知及びライセンス証書については令和4年7月29日(金)までとする。
トレーニング(研修)の実施に当たっては、令和4年7月11日(月)から8月31日(水)まで
の間の連続する2日間(土日祝日を除-<)で実施すること。
※具体的なトレーニング(研修)実施日及び実施場所等については、受託後別途指示する。
2.3 納入方法
ライセンスは、別途指定するメールアドレスにメールにて通知すること。また、ライセンス証書1部を当庁担当者に納入すること。
2.4 納入条件
受託者は、納入に際して以下の条件を満たすこと。
(1)受託者は納入に当たり本仕様書に明示された機能、性能及びその他条件を満たすこと。また、納入する物品は、新品であること。
また、納入品の開発工程、製造工程等において、下記アないしオの情報セキュリティに係るサプライチェーン・リスクを低減する対策が行われていること。
ア開発工程において信頼できる品質保証体制が確立されていること。
イ脆弱性検査等のテストの実施が確認できること。
ウ製造工程における不正行為の有無について、定期的な監査が行われていること。
工製造者が不正な変更を加えないよう、サプライチェーン全体が適切に管理されていること。
オ不正な変更が発見された場合に、当庁と受託者が連携して不正を調査・排除できる体制を整備していること。
(2)作業体制等については以下のとおりとすること。
ア情報セキュリティ規程の作成
本調達に係る作業について、受託者決定後速やかに本業務を遂行するに当たって、情報セキュリティ規程を作成し、当庁担当者に提出し承認を得ること。
本調達における情報セキュリティ規程は、以下に掲げる項目について規定すること。
(ア) 目的
(イ)セキュリティ管理体制
(ウ)管理対象
(エ)情報セキュリティ対策
イ作業場所
作業場所について、下記の記載事項に従い対応すること。
(ア)会議場所
当庁担当者が出席すべき本件に関する打合せ、レビュー及び進捗報告会議等については、当庁担当者が指定する会議室等で実施すること。
(イ)通常作業実施場所
本調達に係る作業は、特に当庁担当者から指示のない限り、受託者の事業所又はそれに付随する場所にて実施すること。
ウ作業要員は、他国の諜報活動又は情報収集活動に協力義務を負わされていないこと。
工作業要員は、我が国において犯罪捜査の対象となった場合に、他国による引き渡しの拒否又は保護に依らず、速やかに捜査に協力すること。
オ受託者は、作業要員が他国の諜報活動又は情報収集活動に協力するなど、我が国の国益を損なう活動に従事することがないよう管理し、当該事象が明らかになった場合には、当庁に速やかに報告するとともに、当該事象への対応策を講じ、当庁の承認を得ること。なお、当庁は事態対処官庁に速やかに通報するとともに、受託者は事態対処官庁の捜査に協力すること。(3)納入した機器等に問題が生じた場合は、受託者の責任において解決すること。
(4) 本調達の納入に係る受託者の作業及び関係書類等の作成に要する費用は、一切本調達の範囲に含むこと。
(5) 納入に当たっては、別紙「暗号資産関連情報提供ライセンスの購入に係る機能等証明書兼提案書」記載の要件を十分に満足させるとともに、その品質が十分であることを証明できること。
なお、納品成果物の補足情報等が必要な場合は、当庁と受託者にて協議の上、必要な資料については納入することとする。
(6) 納入期限までに納入を保証すること。
なお、検査に時間を要することから検査の期間を考慮した納入時期に納入すること。
(7) 調達物品について、その開発等のライフサイクルで不正な変更が加えられていないこと並びに既知の脆弱性が存在するソフトウェア及び機能モジュールが構成要素とされていないことを確認した上で納入すること。
3 情報セキュリティ規程に関する受託者の責任
受託者は、以下の(1)ないし(9)のとおり本調達の作業範囲に関する情報セキュリティ対策について責任を負うこととする。
(1) 受託者は、国税庁における情報セキュリティ対策の基本方針、情報セキュリティに関する各規程、受託者内部のセキュリティポリシー等に基づき、上記2.4記載のとおり、情報セキュリティを確保することができる体制を整備するとともに、情報漏えい等のインシデントヘの対策が十分に講じられた作業環境において本調達の作業を実施すること。
なお、受託者は、資本関係・役員等の情報、本調達の実施場所、本調達を実施する作業要員の所属・専門性(情報セキュリティに係る資格、研修実績等)・実績及び国籍に関する情報を提供すること。
おって、インシデントにつながる脆弱性が調達する物品に存在することが発覚した場合には、修正が施されること。
(2) 受託者は、一貫した品質保証体制の下で、受託者若しくはその従事者、再委託先又はその他の者による、当庁の意図しない変更が加えられないための管理体制を整備した上で、本業務を実施すること。
受託者は、当庁の意図しない変更が行われるなどの不正が見付かったとき(不正が行われていると疑わしいときも含む。)に、追跡調査や立入検査等、当庁及び受託者が連携して原因を調査・排除することができる体制を整備しておくこと。
また、受託者は、当該品質保証体制、情報セキュリティが侵害され、又はそのおそれがある場合の連絡体制及び責任体制並びにそれらの体制を確認できる書類等を整備しておくこと。
(3) 受託者は、本調達の各作業の全ての関係者に対し、本調達を含む当庁に関連する情報を私物パソコン等のデバイス又は私物のUSBメモリ、CD-R、DVD-R等の外部電磁的記録媒
体に保存させること及び本調達に係る作業を私物パソコン等のデバイスにより実施することを禁止させること。
(4) 受託者は、本調達における情報セキュリティ対策の履行状況について当庁担当者が確認を求めた場合には、当庁が策定する評価基準に従い、速やかに書面によって報告すること。
また、情報セキュリティ対策の履行状況について当庁が改善を求めた場合には、当庁担当者と協議の上、必要な改善策を立案して速やかに実施すること。
(5) 受託者は、本調達における情報セキュリティ対策において、インシデントが発生した場合には、当庁担当者に速やかに報告し、当庁担当者と協議の上、必要な対処・改善策を立案して速やかに対処すること。
(6) 受託者は、本調達の作業中及び本仕様書5.8の契約不適合責任の期間中において、情報セキュリティが侵害され、又はそのおそれがある場合には、直ちに当庁へ報告の上、受託者の責任及び負担において、次の各事項を速やかに実施すること。
アインシデントの内容及び影響範囲を調査の上、当該インシデントヘの対応策や手順等を立案し、当庁の承認を得た上で実施すること。
イ発生した事態の具体的内容、原因、実施した対応策等について報告書を作成し、当庁へ提出して承認を得ること。
ウ再発防止対策を立案し、当庁の承認を得た上で実施すること。
エ上記のほか、発生したインシデントについて、当庁の指示に基づく措置を実施すること。
(7) 情報セキュリティが侵害され、又はそのおそれがある場合などにおいて、本調達に係る業務の遂行における情報セキュリティ対策の履行状況を確認するため、当庁が情報セキュリティ監査の実施を必要と判断した場合は、その実施内容(監査内容、対象範囲、実施方法等)、評価基準、履行状況の確認方法等を定めた上で情報セキュリティ監査を行う(当庁が選定した事業者による監査を含む。)ため、これを受け入れること。
また、受託者が自ら外部監査を実施した場合は、当庁へ報告すること。
なお、同外部監査の内容については、上記当庁が情報セキュリティ監査を実施する場合の監査内容を上回る措置を講ずることを妨げるものではない。
(8) 受託者は、既知の脆弱性が存在するソフトウェア及び機能モジュールを調達する物品の構成要素としないこと。
(9) 受託者は、電子メールを用いて本調達に係る情報を送信するときは、保護すべき情報を電子メール本文に記載せず、ファイル添付の形式で送信するものとし、盗聴・改ざん等に備えて当該情報にパスワードを設定し、又は当該情報を暗号化し、その復号に用いる鍵のバックアップを行うなどして機密性の確保に努めること。
なお、パスワードは、当庁が指定したパスワードを用いること。
4 再委託に関する事項
(1) 受託者は、本業務の全部を一括して第三者に委任し、又は請け負わせてはならない。
(2) 受託者は、原則として本業務の一部を一括して第三者に委託し、又は請け負わせてはならない。
ただし、あらかじめ書面により当庁に協議し、承認を得た場合はこの限りではない。
(3) 業務の一部について再委託の承認を求める場合は、次のイ及び口を記載した業務委託承認申請書を文書により提出するとともに、\ハ及び二を記載した文書も併せて提出すること。
イ再委託先名称(商号)、代表者氏名、担当者及び連絡先等
口再委託を行う業務内容及び委託金額
ハ受託者と同等のセキュリティ水準を再委託先も具備すべきことを受託者との間に定めている内容
二再委託先の情報セキュリティに関する対策方針及び管理方法
なお、上記業務委託承認申請書に基づき、当庁が承認した場合を除き、一切の再委託を禁止する。
(4) 再委託先の追加・変更等を行う必要が生じた場合は、上記(3)に準じてあらかじめ文書により提出、当庁の承認を受けること。
また、再委託先から更なる委託など複数の段階で再委託を行う場合には、全ての再委託先の商号又は名称及び住所並びに再委託を行う業務の範囲を記載した書面により、当庁へ報告すること。
(5) 本業務は、自社若しくは当庁より承認を得た関連会社において完結できること。ただし、当庁が承認した場合でも、受託者は当庁に対し、承認を得た第三者の行為について全責任を負うものとする。
5 その他特記事項
5.1 動作環境
OS: Windows IO以上
ブラウザー: MicrosoftEdge、Firefox、Goog1e C hrome
5.2 対応通貨
別添「対応通貨一覧」のとおり
5.3 機能要件及び提供情報の要件等
(1)機能要件
???
5.4 導入実績
5.5 情報の提供
本件を利用して得られた情報は、各国税局及び沖縄国税事務所のほかに、国税庁が業務上必要と認める機関等へ提供できるものとする。
5.6 運用支援
納入後は、官庁執務時間(平日8:30~17:00) において、日本語で対応できる担当者による利用方法等に関する問い合わせ窓口を有すること。また当庁からの分析依頼等に対して必要なリソースを確保すること。
5.7 関係書類の貸与
当庁は、受託者が本調達を履行する上で、必要な関連書類(各種実施要領類を含む。)を随時貸与する。
貸与された書類(貸与後に複製・複写、謄写したものを含む。)は、当庁から請求があった場合及び本調達終了時に当庁に返還しなければならない。
なお、受託者は貸与された書類を本契約の目的外に使用してはならない。
5.8 契約不適合の責任
(1) 受託者は、契約期間内に、当庁に納品した納品物の種類、品質又は数量に関して契約の内容に適合しないもの(以下「契約不適合」という。)について、当庁から通知を受けたときは、担保の責めを負わなければならない。
(2) 受託者は、契約期間経過後といえども、納品物の契約不適合が受託者の故意又は重大な過失に基づく場合には、前項の定めにかかわらず、担保の責めを負う。
(3) 当庁は、前各項の期間において、契約不適合のある納品物について、受託者に相当の期限を定めて修補、代品との交換又は不足分の引渡しによる履行の追完(以下「修補等」という。)を請求又は修補等に代え、若しくは修補等とともに当該契約不適合により通常生ずべき損害に対する賠償の請求をすることができる。
(4) 契約期間中に係る障害対応に当たって関連業者等との協議が必要な場合には、速やかに協議を実施して、関連業者等と協力して対応に当たること。
5.9 対応言語
本調達は、原則として日本語により対応すること。
5.10 機密保持
(1) 受託者は、本調達により知り得た情報について、守秘義務を負うものとする。
なお、契約終了後も同様とする。
(2) 当庁が承認した第三者についても、同様の守秘義務を遵守させる契約を締結し、受託者の責任において管理・監督を行うこと。
5.11 その他
(1) 受託者が作業等で当庁内の作業場所を使用する場合、当庁に申請し、承諾を受けること。
(2) この仕様書に定めのない事項については、別途国税庁の担当官の指示に従うこと。
6 妥当性証明
本仕様書の内容が妥当であることを確認した調達担当課室長は、次のとおり。
国税庁調査査察部査察課長西川健士
別添
対応通貨一覧
???
