打ち合わせ、要件定義、仕様決定、システム設計、ウェブシステム開発、スマートフォンアプリケーション開発、単体・結合テスト、ウェブサーバ調達、サーバへのシステム積 載、動作確認、ウェブシステムの公開、スマートフォンアプリケーションの配布、システム運用保守、システム開発に係る書類( 議事録、要件定義書、システム設計書、DB 定義書、テスト結果書等)の作成等、情報システム開発及び広報ツールに係る一切の業務を行うものとする。
仕 様 書
1 . 業務名
「高齢者向け介護予防体操アプリ及びウェブサイト( 仮称)」開発委託業務
2 . 業務目的
通いの場でも自宅でも体操できる体操動画をアプリやウェブサイトで配信するため、アプリ及びウェブサイトの開発を行う。
3 . 業務内容
打ち合わせ、要件定義、仕様決定、システム設計、ウェブシステム開発、スマートフォンアプリケーション開発、単体・結合テスト、ウェブサーバ調達、サーバへのシステム積載、動作確認、ウェブシステムの公開、スマートフォンアプリケーションの配布、システム運用保守、システム開発に係る書類( 議事録、要件定義書、システム設計書、DB 定義書、テスト結果書等)の作成等、情報システム開発及び広報ツールに係る一切の業務を行うものとする。
4 . 構築するシステムの概要等について
( 1 ) 名称 「高齢者向け介護予防体操アプリ及びウェブサイト( 仮称)」
( 2 ) 業務期間
・システム構築: 契約締結日から令和3 年 11 月 30 日まで
・運用保守業務: 令和3 年 12 月1 日から令和4 年3 月 31 日まで
( 3 ) 拡張性
・将来、コンテンツの追加を行うことを想定し、拡張性を持たせたシステムにすること。
・長期的なメンテナンスを意識し、アップデートやメンテナンスが容易にできる構成とすること。
( 4 ) 操作性
・アプリ及びウェブサイトについては、高齢者が利用することを踏まえ、簡単に操作できるような画面構成とし、初回利用時には、利用者がアプリ及びウェブサイトの機能を正確に理解できるように操作ガイド画面を表示すること。また、複雑な操作が必要な場合は、ヘルプ機能等で操作説明するなど補完機能を搭載すること。
・上記のシステムは、いずれもサーバ側処理の処理時間は3 秒以内とするように努めること。
( 5 ) 留意事項
・県や市町村の介護予防事業の紹介や体操動画等の情報は、更新用のウェブシステムを別途構築し、管理者( 県職員) が、そのシステムを使って内容の更新や公開タイミングを操作できるようにすること。
( 6 ) その他
・アプリについては、iOS の場合は AppStore、Android の場合は Google ストアから入手可能とするために必要な手続き( アカウント及びライセンス取得等) を行うこと( OS によるバージョンアップに伴うアプリの更新が年間1 ~ 2 回程度あることを想定)。
5 . 構築するシステムの内容について
① 「高齢者向け介護予防体操アプリ及びウェブサイト( 仮称)」のシステム構築について
【利用対象者】 主に県内高齢者
【システム内容】
( 1 ) ID 及びパスワードの新規登録機能
・初回利用時、利用者は利用規約に同意の上、登録を行うこと。
・初回利用時、利用者は氏名、居住市町村名、生年月日、性別、ニックネーム、通いの場のグループ名、希望する ID メールアドレス・パスワード、わかやま健康ポイントアプリのニックネーム等の登録情報を入力すること。
・新規登録して初回ログイン時以降は、ログイン状態を保持し、利用者が容易にログイン状態にできるようにすること。
・利用者がパスワードを失念したときのため、メールアドレスを利用してパスワードの再発行をできるようにすること。
( 2 ) ホーム画面
・管理者( 県職員) からの、県や市町村の介護予防事業の紹介や体操動画等の情報についてのお知らせを表示できる機能を有すること。
・利用者の登録情報変更、プッシュ通知の通知設定、利用規約、操作に関するヘルプ、各種リンクの閲覧、管理者( 県職員) へのお問い合わせ等をできるようにすること。
( 3 ) 体操動画配信機能
・県が提示する下記のコンテンツを解説付き動画として制作すること。
・制作した動画や市町村が提供する動画を配信する機能を設けること。
〈県が提示する動画〉
No. | コンテンツ | 時間 | 出演者 |
1 | わかやまシニアエクササイズ | 約 60 分 | 1 人以上 |
2 | いきいき百歳体操 | 約 60 分 | 1 人以上 |
3 | ラジオ体操 | 約 15 分 | 1 人以上 |
4 | 体力測定 | 約 60 分 | 1 人以上 |
※ 1 つの動画についてカテゴリー別に動画を制作すること。
( 例) わかやまシニアエクササイズ
準備運動 15 分、ストレッチ運動 15 分、ステップ運動 15 分、筋力トレーニング 15 分 合計 60 分
※ 出演者や楽曲、撮影会場は県と協議の上、決定すること。
※ 動画の校正は3 回以上行うこと。
( 4 ) ポイント付与機能
・利用者が動画視聴後、及び利用者が通いの場で実施した体操等について、体操名、年月日、曜日、体操時間、通いの場のグループ名等を手動で入力後、自動的にポイントが付与される機能を設けること。
( 5 ) カレンダー・メモ機能
・カレンダーや表等を用いてポイント数や実施日、実施体操や体力測定の数値等を分かりやすく表示すること。
( 6 ) ランキング機能
・利用者のポイント数ランキングを日、週、月、年のカテゴリー別に利用者単位で表示すること。その際、表やグラフ等を用いて分かりやすく表示すること。その他、市町村別や体操別のランキングを表示すること。
【統計情報】
( 1 ) 統計情報
・利用者の属性、通いの場のグループ別や体操別の利用回数等の情報について、随時情報を抽出する機能を有すること。
② その他
業務目的を達成するために、必要なメニューを提案すること。
③ アプリ及びウェブサイトの更新用システムについて
管理者( 県職員) がアプリ及びウェブサイトの掲載内容を同時に更新できるシステムを構築し、専門的な知識がない県職員でも取扱いができるものとすること。
なお、管理者( 県職員) が更新する場合は、更新作業は県の行政事務用パソコンにて行うため、更新システムは特別なソフトウェアをインストールすることなく、ブラウザのみで動作するシステムとすること。
6 . 広報ツールの作成及び事業の周知について
アプリやウェブサイトの利用を促す広報ツールを以下のとおり作成すること。また、県内高齢者にアプリやウェブサイトが広く利用されるよう利用方法を含め周知すること。
( 1 ) 仕様
・チラシ ( A4 サイズ、コート 90g、両面カラー印刷) 20,000 部
・ポスター( B2 サイズ、コート 135kg、片面カラー印刷) 200 部
( 2 ) 作成にあたっての留意事項
・広報ツールは、アプリやウェブサイトのデザインと一体性を持たせたものとすること。
・デザイン及びレイアウト、配色等は、県と協議の上、制作することとし、校正は3 回以上行うこと。
・作成した広報ツールのデータは、完成後、データで納品すること。
7 . 動作環境
・管理者( 県職員) が利用する更新用のウェブシステムは、別途ツール・ソフトウェア等をインストールすることなく、Internet Explorer( 11 以降)、Edge、Google Chrome、Firefox 及び Safari 等のブラウザの最新版と、OS( バージョン)は、Windows
( 10) や MacOSX( 最新バージョン) に対応していること。
また、これらに対してすべての環境での動作確認を実施すること。
・運用期間内に対応する OS の最新バージョンがリリースされた場合、稼働確認を行い必要に応じて改修を行うこと。
・表示するページは全面 SSL 化すること。
・対応言語は日本語とすること。
・リリース後の改修においては、業務やサービスに不具合が起こらないよう事前にテストを実施し、県の承認を得て反映すること。また、システムの変更内容を記録し、成果品等は常に最新の状態に保つこと。
8 . サーバ・ドメインの設置
( 1 ) 概要
当該事業で構築するシステムを格納するサーバは、県庁の外部に置くものとすること。また、適正なリソース量を算出した上で、セキュリティを考慮し、必要に応じて信頼度の高いサーバを用意すること。
( 2 ) システム要件
・システムの稼働に必要なハードウェア・ソフトウェア・ミドルウェア等については全て受託者にて用意するものとする。
・使用するデータセンターについては、安全性確保の観点から、ISMS の認証を受けていることを要する。
・データセンターの設置場所は、日本国内( 沖縄本島、佐渡島、淡路島以外の島嶼を除く地域) であること。
・日本データセンター協会が制定しているデータセンターファシリティスタンダード( JDCCFS)における「ティアレベル3 」相当以上の設備条件を最低限満たしていること。
・データセンターのセキュリティ対策については、「別添1「安全確保の措置」に係る遵守事項」に定める各項目を満たすとともに、総務省の「クラウドサービス提供における情報セキュリティ対策ガイドライン」( 第2 版)に留意すること。
・サーバは、冗長構成とすること。
・サーバは、ユーザーが増加した際にプログラム変更することなく適切な対応が取れる状態であること。
・障害時に自動又は手動により最終バックアップ地点まで復旧できる仕組みであること。
・サーバ構成については、県と協議の上、決定すること。
・アプリの更新用システム用のドメインは新規に取得すること
・サーバは、SSL/TLS を実装し、SSL サーバ証明書を発行すること
9 . 情報セキュリティ対策について
「別添1 「安全確保の措置」に係る遵守事項」に記載の内容を遵守の上、システム構築・運用を行うこと。
また、アプリケーションソフト及びウェブサイトの通信を暗号化すること。
( 1 ) 管理体制
・受託者は、契約後速やかに作業計画書を作成し、県の承認を得るものとする。
・受託者は、業務の進捗状況に関して、随時、県へ報告し、その内容について承認又は指示を受けるものとする。
( 2 ) 開発体制
・システムの開発に必要なハードウェア・ソフトウェア・ミドルウェア等については全て受託者にて用意するものとする。
・受託者は、本業務の一部を第三者に再委託するときは、あらかじめ県の承認を得ること。また、受託者は、本項の規定により、県の承認を得て本業務の一部を再委託した場合においても、その業務の当事者としての責めを免れない。
( 3 ) テスト
・県が指定する期日までに実施するテスト内容及びテスト結果が記された成績表を作成し、提出するものとする。
( 4 ) 職員研修
・受託者は、県職員を対象に管理者マニュアル及び利用者マニュアルに基づき、操作研修を実施するものとする。
( 5 ) その他
・受託者は、一般社団法人日本情報経済社会推進協会のプライバシーマーク又は
「情報セキュリティマネジメントシステム( ISMS)」の認証を取得していること。
( コンソーシアムにあっては、構成員のいずれかがこの要件を満たしていること)
1 0 . 運用保守
( 1 ) 運用要件
・サーバのバックアップを週に1 回以上取得し、3 世代以上保管すること。バックアップ取得時間は、県と協議の上、決定すること。
・システムの構成、性能、リソース、インシデント等の管理を行うこと。
・アプリケーションソフトの脆弱性等を契機とした情報漏洩が発生しないよう十分なセキュリティ対策を施すこと。
・個人情報をサーバ及び端末に保持する場合は、暗号化して保存すること。
・運用・保守端末にはウイルス対策ソフトを導入し、常に最新のパターンファイルを適用すること。
( 2 ) 保守要件
・外部からの不正アクセスやデータ改ざん等の悪意ある攻撃を受けないよう、対策を講じること。また、OS の脆弱性を解消するために、最新のセキュリティパッチを適用すること。
・本システムに故障等が発生し、業務運用に支障が生じた場合、またはそのおそれがあると判断される場合に、速やかに故障を回復し、正常な業務運用が可能となる状態に復旧するなどの保守作業を実施すること。また、故障等を事前に予防するために定期点検についても実施すること。
・SQL インジェクションやクロスサイトスクリプティング等の脆弱性を悪用して行われる攻撃に対し、十分な対策を講じて、情報漏洩が発生しないよう留意すること。
また、脆弱性が発見された場合は、直ちに対応すること。
・アプリケーションソフトに脆弱性がないか定期的に調査し、その結果を県へ報告すること。
・サイバーテロ、ウィルス感染及び情報漏えい等のセキュリティインシデント発生時には、県に報告の上、速やかに対応を行うこと。
1 1 . 成果品
納入する成果品は、次のとおりとする。
・システム設計書 紙及び電子媒体による各2 部
・システム導入の手順 紙及び電子媒体による各2 部
・構築したシステムのソースコード 紙及び電子媒体による各2 部
・作業項目単位で実績工数を記載した業務報告書 紙及び電子媒体による各2 部
・その他作業上作成した資料等
1 2 . その他
( 1 ) 業務の履行にあたっては、業務内容を十分に理解し、県と連絡を密に取りながら誠実に履行すること。
( 2 ) 成果品の引き渡し完了の日から1 年間は、成果品に係る契約不適合に対する保守等について無償で対応を行うこと。
( 3 ) この仕様書に記載されていない事項及び疑義が生じた場合は、県と協議の上、決定すること。
( 4 ) 受託中に知りえた個人情報は適正に管理し、決して漏洩、不正使用を行わないこととし、当該契約が履行された後においても同様とする。
( 5 ) 特許権、実用新案権、意匠権、商標権、その他日本国の法令に基づき保護される第三者の権利の対象となっているものを使用するときは、受託者がその使用
に関する一切の責任を負うこと。
( 6 ) 受託者は、当該委託業務の成果物に係る著作権を各成果物引き渡し時に、県に譲渡するものとする。ただし、譲渡する以外に有効な手法がある場合は、適宜提案すること。なお、使用に関して条件や制限があるものについては、その都度両者で別途協議するものとする。
( 7 ) 県が上記( 6 ) で譲渡を受ける権利には、著作権法( 昭和 45 年法律第 48 号)第 27 条及び第 28 条に定める権利も含むものとする。
( 8 )県が著作権を行使する場合において、受託者は、著作権法第 19 条第1 項又は第 20 条第1 項に規定する権利を行使してはならない。
( 9 ) 本事業の目的に照らし合わせて新たに盛り込むべきと考えられる独自の手法等があれば、適宜提案すること。
( 10) 故障等による交換を含め不要な記憶装置を廃棄する場合、別添2 「記憶装置のデータ消去及び破壊細則」に沿って処理を行うこと。
1 3 . 特記事項
システム構築内容等については、内容のより一層の充実を図るため、県と協議の上、予算の範囲内において構築するページや機能を増やすなどの変更を行う場合がある。
1 4 . 納入先及び担当者
〒6 4 0 - 8 5 8 5
和歌山県和歌山市小松原通1 - 1
和歌山県福祉保健部福祉保健政策局長寿社会課 担当 橋本、松崎 T E L : 0 7 3 - 4 4 1 - 2 5 2 1
F A X : 0 7 3 - 4 4 1 - 2 5 2 3
E-mail: e0403001@pref.wakayama.lg.jp
別添1
「安全確保の措置」に係る遵守事項
(基本的事項)
第1 乙は、この契約による事務の実施に当たっては、甲の情報を閲覧する者の個人情報を侵害することのないよう、甲から委託を受けて情報を公開するために利用する機器等の管理を適正に行わなければならない。
2 乙は、この契約による事務の実施に当たり、ホスティングサービス、レンタルサーバー、ハウジングサービス又はこれらに類するサービスを利用する場合は、第 1 項に沿って本遵守事項に定める各事項を満たすよう、この契約による事務を処理するに当たり、事前にサービス提供者との間で取り決め又は確認をすること。
(ウイルス対策の実践)
第2 乙は、この契約による事務の実施に当たっては、利用するサーバ等の機器について、ウイルス検知用データは常に最新のものに更新すること。
2 Webサーバの管理用又は更新用等にパソコン等の機器を利用する場合は、乙はこれら機器に対しても第 1 項で規定する措置を講じること。
(ソフトウェアの更新)
第3 乙は、本遵守事項の第2の対象となる機器で利用するソフトウェアに対しては、定期的に修正プログラムを適用し、できる限りソフトウェアを最新の状態にしておくこと。
(ファイアウォールの導入)
第4 乙は、この契約による事務の実施に当たっては、ファイアウォールを設定し通過させるパケットや遮断するパケットに対するルールを設定しておくこと。
2 乙は、侵入防止システム(IPS)を導入すること。ただし、甲の承諾があるときは、この限りでない。
(セキュリティ診断)
第5 乙は、外部の者によるセキュリティ診断を受けること。ただし、甲の承諾があるときは、この限りでない。
(ログのチェック)
第6 乙は、この契約による委託期間中、定期的にログ(Web サーバー、OS、ルータ、DB等)をチェックすること。
(コンテンツ内容の確認等)
第7 乙は、著作権を侵害するような写真やイラスト、ファイル等は使用しないこと。
2 乙は、この契約による事務を処理するに当たっては、コンテンツの取込持出時の検疫方法と取扱手順を事前に定めておくこと。
(パスワードの管理)
第8 乙は、この契約による事務を処理するに当たっては、本遵守事項の第2の対象となる機器等には安全なパスワードを設定することとし、定期的に変更すること。また、不要なアカウントを登録しないこと。
(コンテンツ等の管理)
第9 乙は、Web サーバやデータベースサーバ等、コンテンツや情報等を格納するディレクトリやファイルに対しては適正なアクセス権限を設定すること。
2 乙は、この契約による事務を処理するに当たり、下記の対策を講じること。
① SQL インジェクション、クロスサイト・スクリプティング等の脆弱性への対策を講じること。
② 不要なページやウェブサイトを公開しないこと。
③ 不要なエラーメッセージを返さないこと。
④ 不要なサービスやアプリケーションを起動させないこと。
(セキュリティポリシー)
第10 乙は、この契約による事務を処理するに当たり、セキュリティポリシーを策定すること。ただし、既にセキュリティポリシーを定めている場合はこの限りではない。
2 乙は、この契約による事務を処理するに当たり、不正侵入やウイルス感染が発生した場合の対応方法を策定しておくこと。ただし、既にこれらの対応方法を定めている場合はこの限りでない。
(調査)
第11 甲は、乙がこの契約による事務を処理するに当たり、本遵守事項に定める各事項の状況について、随時調査することができるものとする。
(契約解除及び損害賠償)※契約書中に契約解除及び損害賠償に関する定めがない場合第12 甲は、乙が本遵守事項の内容に反していると認めたときは、契約の解除又は損害賠償の請求をすることができるものとする。
注
1 甲は委託者である和歌山県を、乙は受託者を指す。
2 委託事務の実態に即して、適宜必要な事項を追加し、又は不要な事項を省略することができる。
別添2
記憶装置のデータ消去及び破壊細則
(趣旨)
第1条 記憶装置のデータ消去及び破壊細則(以下「本細則」という。)は、「コンピュータ利用に係る安全保護対策要領(昭和63年3月18日制定)」第7条第6項に基づき、知事部局が管理するシステム及び端末(以下「情報システム」という。)のデータ消去及び破壊について必要な事項を定めるものとする。
(用語の定義)
第2条 本細則において用いる用語の定義は、次の各号に掲げるところによる。
(1)全庁システムとは、情報システムのうち知事部局の全ての一般職常勤職員が利用するシステムのことをいう。
(2)記憶装置とは、情報システムが停止した後もデータの保存を継続する装置のことをいう。
(3)ハードディスク(以下「HDD」という。)とは、記憶装置のうち、磁気によりデータを記憶する装置をいう。
(4)その他の記憶装置とは、HDD以外の記憶装置のことをいう。
(5)処理とは、情報システムの記憶装置にかかるデータ消去又は破壊を行う行為をいう。
(処理対象)
第3条 全庁システム及びマイナンバー利用事務系システムは、本細則に従い処理を行わなければならない。
なお、全庁システム及びマイナンバー利用事務系システムを除く情報システムのうち、所管する所属の長が処理することが必要と判断する情報システムは、本細則に則り処理するものとする。
ただし、次の各号の何れかに該当する場合は処理に代えることが出来るものとする。
(1)政府機関等(サイバーセキュリティ基本法に定める国の行政機関、独立行政法人及び指定法人をいう。以下同じ。)が定めた制度に基づいて、要求する基準に基づいたセキュリティ対策を実施していることが確認されたクラウド(事業者等によって定義されたインタフェースを用いた、拡張性、柔軟性を持つ共用可能な物理的又は仮想的なリソースにネットワーク経由でアクセスする仕組みをいう。)の記憶装置
(2)処理が実施されたことを政府機関等又は第三者機関によって認証等されることが明らかと県が認めた場合
(処理場所)
第4条 処理場所は、県組織の敷地内とする。
なお、情報システムの記憶装置の設置場所が県組織の敷地外にある場合は、当該設置場所にて処理を行うこと。
(処理者)
第5条 県職員、県から処理の委託を受けた者(以下「受託者」という。)又は受託者から処理を請け負った者(以下「請負者」という。)とする。
なお、第8条第1項のただし書きに該当する場合を除き、処理は立ち会いも含め2名以上で実施すること。
(HDDの処理手順)
第6条 処理者は、障害等による交換を含め機器を撤去する前に、処理場所において、H DD上の情報を本細則で規定する方法で全て消去(以下「完全消去」という。)すること。
なお、完全消去が出来ない場合は、物理的又は磁気的な方法により破壊すること。 ただし、マイナンバー利用事務系システムの記憶装置については、すべて物理的な方
法により破壊すること。
(その他の記憶装置の処理手順)
第7条 その他の記憶装置は、障害等による交換を含め機器を撤去する前に、処理場所において、その他の記憶装置上の情報を本細則で規定する方法で完全消去すること。
なお、完全消去が出来ない場合は、物理的な方法により破壊すること。
ただし、マイナンバー利用事務系システムのその他の記憶装置については、すべて物理的な方法により破壊すること。
(立ち会い)
第8条 受託者又は請負者が処理を行う場合は、原則として、県職員が立ち会うこととする。
ただし、予期し得えず開庁時間以外で処理を行わなければならない場合(以下「緊急処理」という。)、受託者又は請負者が次項で定める手続き(以下「代行手続き」という。)を実施することにより、県職員の立ち会いを要しないこととする。
2 代行手続きは、次のとおりとする。
(1)緊急処理の内容を記した報告書(別記第1号様式。以下「緊急処理報告書」という。)及び処理をしたと判る資料(写真、データ消去証明書等)を県に提出すること。
(2)緊急処理報告書は、処理した日の翌開庁日までに提出すること。
(完全消去)
第9条 データ消去は、論理又は物理フォーマットではなく、データ消去ツールを用い、米国国立標準技術研究所規格(NIST SP800-88)の消去の方式により行うこと。
なお、本方式と同等以上のレベルでデータ消去をおこなえる場合は本方式以外を用いても構わないものとする。
(磁気破壊装置)
第10条 処理者は磁気的な破壊を行う場合は、特段の事由がない限り、県が用意する磁気データ消去装置(以下「県磁気破壊装置」という。)にて破壊を行うこと。県磁気破壊装置で破壊を行わない場合、同等以上のレベルで破壊する装置を用いること。
(処理同等措置)
第11条 受託者又は請負者は、処理と同等の措置(以下「処理同等措置」という。)を行うことが出来ると考える場合は、次の各号に掲げる事項を全て満たすことが出来ると分かる内容を記した申請書(別記第2号様式。以下「処理同等措置利用申請書」という。)を予め県に対し提出することができるものとする。
この場合、処理同等措置利用申請書の内容を県が認めた場合に限り、受託者又は請負者は処理同等措置を行うことが出来るものとする。
ただし、処理同等措置は処理場所において行わなければならない。
(1)処理場所にて、記憶装置に対し暗号化や専用ツール等によるセキュリティロックをかける等の技術的安全対策(以下「技術的安全対策措置」という。)が可能であること。
(2)技術的安全対策措置を実施した場合、データ復元ソフト等を利用しても記憶装置に記憶された情報を読み出すことは一切不可能であること。
(3)技術的安全対策措置を実施した後は解除することが不可能であること。
(仕様書)
第12条 受託者並びに請負者に本細則で規定する事項を遵守させるため、契約において別に定める「記憶装置のデータ消去及び破壊仕様書」(別記第3号様式。以下「本仕様書」という。)を取り交わすものとする。
なお、本仕様書の適用日より前に契約を取り交わしている情報システムについては、受託者並びに請負者に本仕様書を遵守するよう県から要請することとし、受託者並びに請負者が要請に応じない場合は本細則に則り県職員で処理するものとする。
附 則
1 この細則は令和2年4月1日から適用する。附 則
1 この細則は令和2年8月5日から適用する。