Contract
令和5年度
AIS(船舶自動識別装置)情報提供業務
調達仕様書
水産庁資源管理部漁業取締課
目次
1 x x
(1)目的 1
(2)業務の概要 1
(3)契約期間 1
(4)作業スケジュール 1
(5)作業実施体制 1
2 サービス要件 2
3 成果物
(1)成果物の内容 4
(2)納品方法 4
(3)納入期限等 5
4 作業体制 5
5 制約条件
(1)法令等の遵守 5
(2)標準ガイドラインの遵守 5
(3)知的財産の扱い 6
(4)情報セキュリティ要件 6
(5)契約不適合責任 6
(6)その他の制限事項 7
6 入札制限 7
7 再委託に関する事項 9
8 情報提供等の利用許諾に対する対価 10
9 検収 10
10 連絡先 10
11 特記事項 10
12 その他 11
(表1) 12
(表2) 13
別紙 14
1 調達案件の概要
(1)目的
AIS(Automatic Identification System。船舶自動識別装置)は、SOLAS条約(海上人命安全条約)において、船舶の総トン数等、一定の条件を満たす船舶に設置が義務づけられており、国内においても船舶設備規程等によりその設置が義務づけられている。
本業務は、人工衛星および沿岸局等が収集したAIS情報について、漁業取締りに活用するため本仕様書に基づき提供するものである。
(2)業務の概要
業務の概要は、次のとおりである。
※想定図
(3)契約期間
本業務の期間は、令和5年4月1日から令和6年3月31日とする。
(4)作業スケジュール
作業スケジュールは次の図のとおり想定している。
調達件名 | 工 程 | 令和4年 | 令和5年 | ||||||||||
4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 1 | 2 | 3 | ||
AIS情報 提供業務 | AIS情報の提供 | ||||||||||||
(5)作業実施体制
プロジェクトの推進体制及び本件受注者に求める作業実施体制は次の図のとおりである。なお、受注者内のチーム編成については想定であり、受注者決定後に協議の
上、見直しを行う。また、受注者の情報セキュリティ対策の管理体制については、作業実施体制とは別に作成する。
本事業作業実施体制図
PJMO ・プロジェクト推進責任者 ・制度所管部門管理者 ・関連部署 | |
本業務受注業者 受注者における遂行責任者システムサポート窓口 | |
2 サービス要件
現在想定しているサービス要件は、以下のとおりであり、要求水準が努力目標型としての実施を計画している。
(1) AIS情報の提供
ア 人工衛星及び沿岸局が収集するAIS情報を、WEB経由にてWEBサイトの地図上に視覚情報として表示・提供する。
イ アで表示した視覚情報のうち指定した情報については、年間100枚を限度として写真用紙で提供する。
ウ 当該WEBサイトは英語・日本語表示に対応していること。
エ 当該WEBサイトを利用するためのアカウント(ID、パスワード)を支 給すること。
オ 当該WEBサイトには以下の機能を有すること。
① AIS情報について、「船名」、「コールサイン」、「MMSI番号」、
「IMO番号」等の項目で検索可能とし、検索された船舶シンボルが強調されること。また、検索ボックスは画面上に常時表示とすること。なお、検索結果の候補が複数ある場合は、画面上に一覧表示されること。
② AIS情報については、衛星受信および沿岸受信による2種類の情報とし、沿岸受信については、その運用範囲が日本沿岸を網羅していること。
③ データのカバレッジ(網羅率)が常時全球の90%以上であること。
④ データのレイテンシー(船舶発信の時刻から配信までの遅れの時間)は、5分以下の性能を持つこと。
⑤ 地図表示部の船舶シンボルにカーソルを重ねている間、「船名」、「MMS
I情報」、「最終受信日時」がポップアップ表示され、カーソルを船舶シンボルから離すと元の状態に戻ること。
⑥ 地図表示部の船舶シンボル及び登録した船舶リストを任意に選択し、船舶シンボルに船名のポップアップ表示ができること。また、複数隻同時に表示することができ、個別及び一斉に解除できること。
⑦ 地図表示部の船舶シンボルを任意に選択し、次の詳細情報をポップアップ表示できること。
「最終受信日時」、「データソース」、「船名」、「MMSI番号」、
「IMO番号」、「コールサイン」、「全長」、「全幅」、「目的地」、
「到着予定時間」、「緯度」、「経度」、「速度」、「ステータス」、
「針路」、「船首方位」、「回答角速度」、「船種(船型)」、「喫水」、
「信号種別」
⑧ AIS情報について、CLASS-A、CLASS-B、チャンネル3及び
4の識別表示ができること。
⑨ 船舶シンボルの船首方位の表示は、AIS情報のMessage27のCourseにて Heading及びCogを切替表示できること。
⑩ 緯度経度の表示は、度分単位(例:35°24’.567N、139°49’.765E)及び度数単位(例:35.40945°N、139.82942°E)とし、切り替え可能とするこ と。また、カーソル位置の緯度経度について、表示・非表示が選択できること。
➃ 時刻表示で用いる標準時は、JST(日本標準時)、GMT(グリニッジ標準時)/UTC(協定世界時)とし、切替表示できること。また、全ての時刻が表示される画面では、表示している標準時の種別がわかるようにすること。さらに、地図表示画面に現在時刻を常時表示すること。
⑫ 直近3年間の航跡が表示できること。また、複数隻同時に表示することが可能であり、個別及び一斉に解除できること。
⑬ 船舶シンボル及び航跡の表示色について、12色以上の選択肢を有する所定のパレットから変更できること。また航跡の表示線種について、実線、破線、点線を選択可能とし、太さを任意で変更できること。
⑭ 選択した船舶の過去情報(直近3年間)について、CSVファイルにエクスポートが可能であること。
⑮ 任意の船舶を300隻まで登録でき、登録船舶のグループ分けについて3階層以上のフォルダに分けることを可能とすること。また、登録船舶は常時表示とすること。なお、登録船舶の最新AIS情報をCSVファイルに一括してエクスポートが可能であること。
⑯ 船種別、国籍別に表示・非表示がフィルタにより選択できること。また、船種別、国籍別フィルタの順序は、昇順降順、検索頻度順等任意に変更できるこ
と。
➃ エリアを選択し、エリア内の船種別、国籍別船舶の一覧をCSVファイルにエクスポート可能であること。また、エリア選択する図形は、円形、矩形、ポリゴンにて指定可能であること。
⑱ 情報表示画面は昼夜切換が可能であること。
⑲ 各縮尺において、任意の間隔(例:10°,5°,1°,30’,10’)での緯度
・経度線の表示・非表示が選択できること。
⑳ 任意の2点間の方位・距離の計測ができること。
㉑ 我が国排他的経済水域境界線、農林漁区、取締ライン及びチェックポイント等のユーザーラインを任意に描画・設定ができ、テキストデータでの読込を可能とすること。また、それぞれ表示・非表示が選択できること。
カ アカウント毎のアクセス数が確認できること。
キ システムサポート窓口があり、電話・メールによる問い合わせに対応可能なサービスであること。窓口受付は、午前9時30分~午後6時00分(土日、祝祭日を除く)に対応できること。回答についても、翌営業日中に一時回答ができること。
ク 障害発生時は、登録した連絡先に通知が行われるなどの連絡サービスがあること。また、障害発生原因等を告知するなどの仕組みがあること。
3 成果物
(1)成果物の内容
本業務により納入する成果物は、「作業報告書(業務の実施に伴い作成した各種記録、報告書等を含む。)」とする。なお、納入成果物の詳細及び編集方法、提出先等については、監督職員と別途協議の上決定すること。
(2)納品方法
ア 成果物は、全て日本語で作成すること。
イ 用字・用語・記述符号の表記については、「公用文作成の考え方」(令和4年1月 7日 文化審議会建議)を参考にすること。
ウ 情報処理に関する用語の表記については、日本工業規格(JIS)の規定を参考にすること。
エ 成果物は紙媒体及び電磁的記録媒体により作成し、農林水産省から特別に示す場合を除き、原則紙媒体は正1部、電磁的記録媒体は1部を納品すること(ただし、利用者マニュアルは紙媒体不要。)。
オ 紙媒体による納品について、用紙のサイズは、原則として日本工業規格A列4番とするが、必要に応じて日本工業規格A列3番を使用すること。
カ 電磁的記録媒体による納品については、PDF形式の電子ファイルを発注者が指
定するメールアドレスに送付して納品すること。
ク 成果物の作成に当たって、特別なツールを使用する場合は、担当職員の承認を得ること。
ケ 成果物が外部に不正に使用されたり、納品過程において改ざんされたりすることのないよう、安全な納品方法を提案し、成果物の情報セキュリティの確保に留意すること。
コ 電磁的記録媒体により納品する場合は、不正プログラム対策ソフトウェアによる確認を行うなどして、成果物に不正プログラムが混入することのないよう、適切に対処すること。
(3)納入期限等
納入期限・納入場所は以下のとおりとする。ただし、電子的記録媒体による納品についてはこの限りでない。
ア 納入期限
令和6年3月31日イ 納入場所
xxxxxx区霞が関1-2-1
水産庁資源管理部漁業取締課(本館8階ドア番号本804)
4 作業体制
本業務を実施する場所は、受注者の拠点を基本とする。
なお、必要に応じて担当職員が現地確認を実施することができるものとする。
5 制約条件
(1)法令等の遵守
受注者は、提供情報等が適法かつ適切な方法によって取得されたものであること、また、提供情報等の中に第三者が有していたデータがある場合には、当該第三者から第三者提供データを本契約に基づき利用許諾をする権限を付与されていることを表明し、保証すること。
(2)標準ガイドラインの遵守
本業務の遂行に当たっては、標準ガイドラインに基づき、作業を行うこと。具体的な内容及び手順等については、「デジタル・ガバメント推進標準ガイドライン解説書
(内閣官房情報通信技術(IT)総合戦略室)」(以下「解説書」という。)を参考とすること。なお、「標準ガイドライン」及び「解説書」が改定された場合は、最新のものを参照し、その内容に従うこと。
(3)知的財産の扱い
ア 本業務における成果物の原著作権及び二次的著作物の著作権(著作xx第21条から第28条に定める全ての権利を含む。)は、受注者が本調達の実施の従前から権利を保有していた等の明確な理由によりあらかじめ提案書にて権利譲渡不可能と示されたもの以外は、全て農林水産省に帰属するものとする。
イ 農林水産省は、農林水産省に帰属する成果物について、第三者に権利が帰属する場合を除き、自由に複製し、改変等し、及びそれらの利用を第三者に許諾することができるとともに、任意に開示できるものとする。また、受注者は、成果物について、自由に複製し、改変等し、及びこれらの利用を第三者に許諾すること(以下
「複製等」という。)ができるものとする。ただし、成果物に第三者の権利が帰属するときや、複製等により農林水産省がその業務を遂行する上で支障が生じるおそれがある旨を契約締結時までに通知したときは、この限りでないものとし、この場合には、複製等ができる範囲やその方法等について協議するものとする。
ウ 本件プログラムに関する権利(著作xx第21条から第28条に定める全ての権利を含む。)は受注者に帰属する。
エ 成果物の所有権は、農林水産省から受注者に対価が完済されたとき受注者から農林水産省に移転するものとする。
オ 納品される成果物に第三者が権利を有する著作物(以下「既存著作物等」とい う。)が含まれる場合には、受注者は、当該既存著作物等の使用に必要な費用の負担及び使用許諾契約等に関わる一切の手続を行うこと。この場合、本業務の受注者は、当該既存著作物の内容について事前に農林水産省の承認を得ることとし、農林水産省は、既存著作物等について当該許諾条件の範囲で使用するものとする。
カ 受注者は農林水産省に対し、一切の著作者人格権を行使しないものとし、また、第三者をして行使させないものとする。
キ 受注者は使用する画像、デザイン、表現等に関して他者の著作権を侵害する行為に十分配慮し、これを行わないこと。
(4)情報セキュリティ要件
別紙「情報セキュリティの確保に関する共通基本仕様」に基づき作業を行うこと。
(5)契約不適合責任
ア 農林水産省は検収完了後、成果物についてシステム仕様書との不一致(バグも含む。以下「契約不適合」という。)が発見された場合、受注者に対して当該契約不適合の修正等の履行の追完(以下「追完」という。)を請求することができ、受注者は、当該追完を行うものとすること。ただし、農林水産省が追完の方法についても請求した場合であって、農林水産省に不相当な負担を課するものでないとき は、受注者は農林水産省が請求した方法と異なる方法による追完を行うことができ
ること。
イ 前記アにかかわらず、当該契約不適合によっても個別契約の目的を達することができる場合であって、追完に過分の費用を要する場合、受注者は前記アに規定された追完に係る義務を負わないものとすること。
ウ 農林水産省は、当該契約不適合(受注者の責めに帰すべき事由により生じたものに限る。)により損害を被った場合、受注者に対して損害賠償を請求することができること。
エ 当該契約不適合について、追完の請求にもかかわらず相当期間内に追完がなされない場合又は追完の見込みがない場合で、当該契約不適合により個別契約の目的を達することができないときは、農林水産省は本契約及び個別契約の全部又は一部を解除することができること。
オ 受注者が本項に定める責任その他の契約不適合責任を負うのは、検収完了後3ヶ月以内に農林水産省から当該契約不適合を通知された場合に限るものとすること。ただし、検収完了時において受注者が当該契約不適合を知り若しくは重過失により知らなかったとき、又は当該契約不適合が受注者の故意若しくは重過失に起因するときにはこの限りでない。
カ 前記アからオまでの規定は、契約不適合が農林水産省の提供した資料等又は農林水産省の与えた指示によって生じたときは適用しないこと。ただし、受注者がその資料等又は指示が不適当であることを知りながら告げなかったときはこの限りでない。
(6)その他の制限事項
ア 本業務の実施に当たり必要となる設備、備品及び消耗品等については、受注者の責任において用意すること。
イ 受注者は、日本国内にWEB/APサーバおよびデータベース等の設備を設置し、本業務に係るAIS情報を提供すること。
ウ 本業務に係るAIS情報の提供に障害が発生した場合、発注者の受信設備に問題がない限り、すべて受注者の責任において対処しなければならない。
なお、これに伴う経費については、発注者の受信設備に問題がない限り、すべて受注者の負担とする。
6 入札制限
次の各号のすべてに該当する者が参加できる。
(1)予算決算及び会計令(昭和22年勅令第165号)第70条の規定に該当しない者であること。
なお、未xx者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中の特別の理由がある場合に該当する。
(2)予算決算及び会計令第71条の規定に該当しない者であること。
(3)令和01・02・03年または04・05・06年度農林水産省競争参加資格(全省庁統一資格)の「役務の提供等」において「A」、「B」又は「C」のいずれかの等級に格付けされている者であること。
(4)本業務を直接担当する農林水産省ITテクニカルアドバイザー(旧農林水産省CI O補佐官に相当)、農林水産省全体管理組織(PMO)支援スタッフ及び農林水産省最高情報セキュリティアドバイザーが、その現に属する事業者及びこの事業者の「財務諸表等の用語、様式及び作成方法に関する規則」(昭和38年大蔵省令第59号)第8条に規定する以下に該当する親会社及び子会社、同一の親会社を持つ会社並びに委託先事業者等の緊密な利害関係を有する受託者でないこと。
農林水産省CIO補佐官及び支援スタッフ等(常時勤務を要しない官職を占める職員、「一般職の任期付職員の採用及び給与の特例に関する法律」(平成12年11月
27日法律第125号)に規定する任期付職員及び「国と民間企業との間の人事交流に関する法律」(平成11年12月22日法律第224号)に基づき交流採用された職員を除く。)が現に属する又は過去2年間に属していた会社。
(5)複数の事業者が共同提案(入札)する場合、その中から全体の意思決定、運営管理等に責任を持つ共同提案の代表者を定めるとともに、当該代表者が本調達に対する入札を行うこと。
(6)共同提案(入札)を構成する事業者間においては、その結成、運営等について協定を締結し、業務の遂行に当たっては、代表者を中心に、各事業者が協力して行うこ と。事業者間の調整事項、トラブル等の発生に際しては、その当事者となる当該事業者間で解決すること。また、解散後の契約不適合責任に関しても協定の内容に含めること。
(7)共同提案(入札)を構成する全ての事業者は、本入札への単独提案又は他の共同提案への参加を行っていないこと。
(8)共同提案(入札)を構成する全ての事業者は、全ての応札条件を満たすこと。
(9)応札者は、品質マネジメントシステムに係る以下のいずれかの条件を満たすこと。ア 品質マネジメントシステムの規格である「JIS Q 9001」又は「ISO9001」(登録活動範囲が情報処理に関するものであること。)の認定を、業務を遂行する組織が有
していること。
イ 上記と同等の品質管理手順及び体制が明確化された品質マネジメントシステムを有している事業者であること(管理体制、品質マネジメントシステム運営規程、品質管理手順規定等を提示すること。)。
(10)応札者は、情報セキュリティに係る以下のいずれかの条件を満たすこと。
ア 情報セキュリティ実施基準である「JIS Q 27001」、「ISO/IEC27001」又は
「ISMS」の認証を有していること。
イ 財団法人日本情報処理開発協会のプライバシーマーク制度の認定を受けているか、又は同等の個人情報保護のマネジメントシステムを確立していること。
ウ 人工衛星利用のAIS情報を販売する権利を有しており、AIS情報の提供サービスを実施した実績を1年以上有すること。
7 再委託に関する事項
(1)再委託の制限及び再委託を認める場合の条件
ア 本業務の受注者は、業務を一括して又は主たる部分を再委託しなければならない。
イ 受注者における業務責任者を再委託先事業者の社員や契約社員とすることはできない。
ウ 受注者は、再委託先の行為について一切の責任を負うものとする。
エ 再委託先における情報セキュリティの確保については、受注者の責任とする。オ 再委託を行う場合、再委託先が「6 入札制限」を満たすこと。
(2)承認手続
ア 本業務の実施の一部を合理的な理由及び必要性により再委託する場合には、再委託の相手方の商号又は名称及び住所並びに再委託を行う業務の範囲、再委託の必要性及び契約金額等について記載した別添の再委託承認申請書を発注者に提出し、あらかじめ承認を受けること。
イ 前項による再委託の相手方の変更等を行う必要が生じた場合も、前項と同様に再委託に関する書面を発注者に提出し、承認を受けること。
ウ 再委託の相手方が更に委託を行うなど複数の段階で再委託が行われる場合(以下
「再々委託」という。)には、当該再々委託の相手方の商号又は名称及び住所並びに再々委託を行う業務の範囲を書面で報告すること。
(3)再委託先の契約違反等
再委託先において、本調達仕様書の遵守事項に定める事項に関する義務違反又は義務を怠った場合には、受注者が一切の責任を負うとともに、発注者は、当該再委
託先への再委託の中止を請求することができる。
8 提供情報等の利用許諾に対する対価
契約期間中の提供情報等の利用許諾に対する対価は、月の初日から末日までを1月分として計算した金額とし、発注者が利用可能な期間が月の一部であった場合(発注者の責によるものを除く。)、対価は利用した期間の日割り計算によるものとする。
9 検収
提供予定の成果物に対する検収基準や、検収結果が基準に満たない場合の修正方法は以下のとおりとする。
(1)本業務の受注者は、成果物等について、納品期日までに農林水産省に内容の説明を実施して検収を受けること。
(2)検収の結果、成果物等に不備又は誤り等が見つかった場合には、直ちに必要なx x、改修、交換等を行い、変更点について農林水産省に説明を行った上で、指定された日時までに再度納品すること。
10 連絡先
本書に関する窓口及び連絡先は以下のとおり。
〒100-8907
xxxxxx区霞が関1-2-1
水産庁資源管理部漁業取締課(本館8階ドア番号本804)
電 話:03-3502-8111(代表)(内線:6671) FAX:03-3502-0167
担当者:xx、xx
11 特記事項
(1)提出書類
受注者は、発注者が指定した様式により、請負契約締結後に監督職員を経て関係書類を発注者に遅滞なく提出しなければならない。
(2)貸与資料
ア 農林水産省における情報セキュリティの確保に関する規則の通知についてイ その他監督職員が認めたもの
(3)打合せ等
業務を適正かつ円滑に実施するために業務責任者は監督職員と常に密接な連絡を取
り、業務の方針及び条件等について協議するものとし、その都度、受注者は打合せ記録簿を作成し、相互に確認しなければならない。
(4)留意事項
ア 受注者は、本契約の終了後に他の事業者が本情報の提供及びシステムの設計・開発を受注した場合には、次期事業者に対し、作業経緯、残存課題等についての引継ぎを行うこと。
12 その他
ア この仕様書と契約書の内容に齟齬が生じた場合には、この仕様書の内容が優先する。
イ この仕様書に定めのない事項又はこの業務の施行に当たり疑義が生じた場合は、監督職員と協議しなければならない。
ウ 本業務受注後、この仕様書の内容の一部について変更を行おうとする場合は、その変更の内容、理由等を明記した書面をもって相手方に申し入れを行うこと。双方の協議において、その変更内容が軽微(契約金額に影響を及ぼさない)かつ許容できると判断された場合は、変更の内容、理由等を明記した書面を双方が確認することによって変更を確定する。
エ 本業務は、令和5年度の予算成立を条件とする。令和5年4月1日以前に令和5年度予算が成立していない場合には、契約の中止等を行う可能性がある。
(表1)
関連拠点一覧
拠 点 | 拠 点 数 |
水産庁 | 4拠点 |
漁業調整事務所 | 6拠点 |
沖縄総合事務局 | 1拠点 |
漁業取締船 | 46隻 |
(表2)
業務内容一覧
作業項目 | 主な作業内容 |
AIS情報の提供 | ・人工衛星及び沿岸局が収集するAIS情報を、WEB経由にてWEBサイトの地図上に視覚情報として表示・提供する。 |
別紙
情報セキュリティの確保に関する共通基本仕様
Ⅰ 情報セキュリティポリシーの遵守
1 受託者は、担当部署から農林水産省における情報セキュリティの確保に関する規則(平成 27 年農林水産省訓令第4号。以下「規則」という。)等の説明を受けるとともに、本業務に係る情報セキュリティ要件を遵守すること。
なお、規則は、政府機関等の情報セキュリティ対策のための統一基準群(以下「統一基準群」という。)に準拠することとされていることから、受託者は、統一基準群の改定を踏まえて規則が改正された場合には、本業務に関する影響分析を行うこと。
2 受託者は、規則と同等の情報セキュリティ管理体制を整備していること。
3 受託者は、本業務の従事者に対して、規則と同等の情報セキュリティ対策の教育を実施していること。
Ⅱ 受託者及び業務実施体制に関する情報の提供
1 受託者は、受託者の資本関係・役員等の情報、本業務の実施場所、本業務の従事者(契約社員、派遣社員等の雇用形態は問わず、本業務に従事する全ての要員)の所属・専門性(保有資格、研修受講実績等)・実績(業務実績、経験年数等)及び国籍に関する情報を記載した資料を提出すること。
なお、本業務に従事する全ての要員に関する情報を記載することが困難な場合は、本業務に従事する主要な要員に関する情報を記載するとともに、本業務に従事する部門等における従事者に関する情報
(○○国籍の者が△名(又は□%)等)を記載すること。また、この場合であっても、担当部署からの要求に応じて、可能な限り要員に関する情報を提供すること。
2 受託者は、本業務を実施する部署、体制等の情報セキュリティ水準を証明する以下のいずれかの証明書等の写しを提出すること。(提出時点で有効期限が切れていないこと。)
(1)ISO/IEC27001 等の国際規格とそれに基づく認証の証明書等
(2)プライバシーマーク又はそれと同等の認証の証明書等
(3)独立行政法人情報処理推進機構(IPA)が公開する「情報セキュリティ対策ベンチマーク」を利用した自己評価を行い、その評価結果において、全項目に係る平均値が4に達し、かつ各評価項目の成熟度が
2以上であることが確認できる確認書
(4)MS 認証信頼性向上イニシアティブに参画し、不祥事への対応や透明性確保に係る取組を実施している実績
Ⅲ 業務の実施における情報セキュリティの確保
1 受託者は、本業務の実施に当たって、以下の措置を講じること。また、以下の措置を講じることを証明する資料を提出すること。
(1)本業務上知り得た情報(公知の情報を除く。)については、契約期間中はもとより契約終了後においても第三者に開示及び本業務以外の目的で利用しないこと。
(2)本業務に従事した要員が異動、退職等をした後においても有効な守秘義務契約を締結すること。
(3)本業務の各工程において、農林水産省の意図しない変更や機密情報の窃取等が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること(例えば、品質保証体制の責任者や各担当者がアクセス可能な範囲等を示した管理体制図、第三者機関による品質保証体制を証明する書類等を提出すること。)。
(4)本業務において、農林水産省の意図しない変更が行われるなどの不正が見つかったときに、追跡調査や立入調査等、農林水産省と連携して原因を調査し、排除するための手順及び体制(例えば、システムの操作ログや作業履歴等を記録し、担当部署から要求された場合には提出するなど)を整備していること。
(5)本業務において、個人情報又は農林水産省における要機密情報を取り扱う場合は、当該情報(複製を含む。以下同じ。)を国内において取り扱うものとし、当該情報の国外への送信・保存や当該情報への国外からのアクセスを行わないこと。
(6)本業務における情報セキュリティ対策の履行状況を定期的に報告すること。
(7)農林水産省が情報セキュリティ監査の実施を必要と判断した場合は、農林水産省又は農林水産省が選定した事業者による立入調査等の情報セキュリティ監査(サイバーセキュリティ基本法(平成 26 年法律
第 104 号)第 25 条第1項第2号に基づく監査等を含む。以下同じ。)を受け入れること。また、担当部署からの要求があった場合は、受託者が自ら実施した内部監査及び外部監査の結果を報告すること。
(8)本業務において、要安定情報を取り扱うなど、担当部署が可用性を確保する必要があると認めた場合は、サービスレベルの保証を行うこと。
(9)本業務において、第三者に情報が漏えいするなどの情報セキュリティインシデントが発生した場合は、担当部署に対し、速やかに電話、口頭等で報告するとともに、報告書を提出すること。また、農林水産省の指示に従い、事態の収拾、被害の拡大防止、復旧、再発防止等に全力を挙げること。なお、これらに要する費用の全ては受託者が負担すること。
(10)情報セキュリティ対策の履行が不十分な場合、農林水産省と協議の上、必要な改善策を立案し、速やかに実施するなど、適切に対処すること。
2 受託者は、私物(本業務の従事者個人の所有物等、受託者管理外のものをいう。)の機器等を本業務に用いないこと。
3 受託者は、成果物等を電磁的記録媒体により納品する場合には、不正プログラム対策ソフトウェアによる確認を行うなどして、成果物に不正プログラムが混入することのないよう、適切に対処するとともに、確認結果(確認日時、不正プログラム対策ソフトウェアの製品名、定義ファイルのバージョン等)を成果物等に記載又は添付すること。
4 受託者は、本業務において取り扱われた情報を、担当部署の指示に従い、本業務上不要となったとき若 しくは本業務の終了までに返却又は復元できないよう抹消し、その結果を担当部署に書面で報告すること。
Ⅳ 情報システムの各工程における情報セキュリティの確保
1 受託者は、本業務において情報システムの運用管理機能又は設計・開発に係る企画・要件定義を行う場合には、以下の措置を実施すること。
(1)情報システム運用時のセキュリティ監視等の運用管理機能を明確化し、本業務の成果物へ適切に反映するために、以下を含む措置を実施すること。
ア 情報システム運用時に情報セキュリティ確保のために必要となる管理機能を本業務の成果物に明記すること。
イ 情報セキュリティインシデントの発生を監視する必要がある場合、監視のために必要な機能について、以下を例とする機能を本業務の成果物に明記すること。
(ア)農林水産省外と通信回線で接続している箇所における外部からの不正アクセスを監視する機能
(イ)不正プログラム感染や踏み台に利用されること等による農林水産省外への不正な通信を監視する機能
(ウ)農林水産省内通信回線への端末の接続を監視する機能
(エ)端末への外部電磁的記録媒体の挿入を監視する機能
(オ)サーバ装置等の機器の動作を監視する機能
(2)開発する情報システムに関連する脆(ぜい)弱性への対策が実施されるよう、以下を含む対策を本業務の成果物に明記すること。
ア 既知の脆(ぜい)弱性が存在するソフトウェアや機能モジュールを情報システムの構成要素としないこと。
イ 開発時に情報システムに脆(ぜい)弱性が混入されることを防ぐためのセキュリティ実装方針を定めること。
ウ セキュリティ侵害につながる脆(ぜい)弱性が情報システムに存在することが発覚した場合に修正が施されること。
エ ソフトウェアのサポート期間又はサポート打ち切り計画に関する情報を提供すること。
2 受託者は、本業務において情報システムの設計・開発を行う場合には、以下の事項を含む措置を適切に実施すること。
(1)情報システムのセキュリティ要件の適切な実装ア 主体認証機能
イ アクセス制御機能ウ 権限管理機能
エ 識別コード・主体認証情報の付与管理オ ログの取得・管理
カ 暗号化機能・電子署名機能 キ 暗号化・電子署名に係る管理
ク ソフトウェアに関する脆(ぜい)弱性等対策ケ 不正プログラム対策
コ サービス不能攻撃対策サ 標的型攻撃対策
シ アプリケーション・コンテンツのセキュリティ要件の策定ス 政府ドメイン名(xx.xx)の使用
セ 不正なウェブサイトへの誘導防止
ソ 農林水産省外のアプリケーション・コンテンツの告知
(2)情報セキュリティの観点に基づく試験の実施
ア ソフトウェアの開発及び試験を行う場合は、運用中の情報システムと分離して実施すること。イ 試験項目及び試験方法を定め、これに基づいて試験を実施すること。
ウ 試験の実施記録を作成し保存すること。
(3)情報システムの開発環境及び開発工程における情報セキュリティ対策
ア ソースコードが不正に変更されることを防止するため、ソースコードの変更管理、アクセス制御及びバックアップの取得について適切に管理すること。
イ 調達仕様書等に規定されたセキュリティ実装方針に従うこと。
ウ セキュリティ機能の適切な実装、セキュリティ実装方針に従った実装が行われていることを確認するために、情報システムの設計及びソースコードを精査する範囲及び方法を定め実施すること。
エ オフショア開発を実施する場合、試験データとして実データを使用しないこと。
3 受託者は、情報セキュリティの観点から調達仕様書で求める要件以外に必要となる措置がある場合には、担当部署に報告し、協議の上、対策を講ずること。
4 受託者は、本業務において情報システムの運用・保守を行う場合には、情報システムに実装されたセキュリティ機能が適切に運用されるよう、以下の事項を適切に実施すること。
(1)情報システムの運用環境に課せられるべき条件の整備
(2)情報システムのセキュリティ監視を行う場合の監視手順や連絡方法
(3)情報システムの保守における情報セキュリティ対策
(4)運用中の情報システムに脆(ぜい)弱性が存在することが判明した場合の情報セキュリティ対策
(5)利用するソフトウェアのサポート期限等の定期的な情報収集及び報告
(6)「デジタル・ガバメント推進標準ガイドライン」(2019 年 2 月 25 日各府省情報化統括責任者(CIO)連絡会議決定)の別紙3に基づく情報資産管理を行うために必要な事項を記載した情報資産管理標準シートの提出
(7)情報システムの利用者に使用を求めるソフトウェアのバージョンのサポート終了時における、サポート継続中のバージョンでの動作検証及び当該バージョンで正常に動作させるための情報システムの改修等
5 受託者は、本業務において情報システムの運用・保守を行う場合には、運用保守段階へ移行する前に、移行手順及び移行環境に関して、以下を含む情報セキュリティ対策を行うこと。
(1)情報セキュリティに関わる運用保守体制の整備
(2)運用保守要員へのセキュリティ機能の利用方法等に関わる教育の実施
(3)情報セキュリティインシデント(可能性がある事象を含む。以下同じ。)を認知した際の対処方法の確立
6 受託者は、本業務において情報システムのセキュリティ監視を行う場合には、以下の内容を含む監視手順を定め、適切に監視運用すること。
(1)監視するイベントの種類
(2)監視体制
(3)監視状況の報告手順
(4)情報セキュリティインシデントの可能性がある事象を認知した場合の報告手順
(5)監視運用における情報の取扱い(機密性の確保)
7 受託者は、本業務において運用中の情報システムに脆(ぜい)弱性が存在することを発見した場合には、速やかに担当部署に報告し、本業務における運用・保守要件に従って脆(ぜい)弱性の対策を行うこと。
8 受託者は、本業務において本業務の調達範囲外の情報システムを基盤とした情報システムを運用する場合は、運用管理する府省庁等との責任分界に応じた運用管理体制の下、基盤となる情報システムの運用管理規程等に従い、基盤全体の情報セキュリティ水準を低下させることのないよう、適切に情報システムを運用すること。
9 受託者は、本業務において情報システムの運用・保守を行う場合には、不正な行為及び意図しない情報システムへのアクセス等の事象が発生した際に追跡できるように、運用・保守に係る作業についての記録を管理すること。
10 受託者は、本業務において情報システムの更改又は廃棄を行う場合には、当該情報システムに保存されている情報について、以下の措置を適切に講ずること。
(1)情報システム更改時の情報の移行作業における情報セキュリティ対策
(2)情報システム廃棄時の不要な情報の抹消
Ⅴ クラウドサービスに関する情報セキュリティの確保
受託者は、本業務において、クラウドサービスを活用する場合には、以下の措置を講じること。また、当該クラウドサービスの活用が本業務の再委託に該当する場合は、当該クラウドサービスに対して、Ⅷの措置を講じること。
1 ISO/IEC27001 又はそれに基づく認証を取得しているクラウドサービスを採用すること。また、当該認証の証明書等の写しを提出すること。(提出時点で有効期限が切れていないこと。)
2 クラウドサービスの情報セキュリティ水準を証明する以下のいずれかの証明書等の写しを提出すること。
(提出時点で有効期限が切れていないこと。)
(1)ISO/IEC 27017 又は ISMS(情報セキュリティマネジメントシステム)クラウドセキュリティ認証制度に基づく認証
(2)セキュリティに係る内部統制の保証報告書(SOC 報告書(Service Organization Control Report))
(3)情報セキュリティ監査により対策の有効性が適切であることを証明する報告書(クラウド情報セキュリティ監査制度に基づく CS マークが付された CS 言明書等)
3 クラウドサービスにおいて個人情報又は農林水産省における要機密情報が取り扱われる場合には、当該クラウドサービスのデータセンター(バックアップセンターを含む。)は国内に限ること。
4 クラウドサービスの廃止、サービス内容の変更等に伴い契約を終了する場合は、他のクラウドサービス等に円滑に移行できるよう、十分な期間をもって事前(サービス廃止等の1年以上前が望ましい。)に担当部署へ通知すること。
5 クラウドサービスの契約を終了する場合、クラウドサービス上に保存された農林水産省のデータについて、汎用性のあるデータ形式に変換して提供するとともに、クラウドサービス上において復元できないよう抹消し、その結果を担当部署に書面で報告すること。
6 クラウドサービスに係るアクセスログ等の証跡を保存し、担当部署からの要求があった場合は提供すること。なお、証跡は1年間以上保存することが望ましい。
7 インターネット回線とクラウド基盤との接続点の通信を監視すること。
8 クラウドサービスに係る業務の一部がクラウドサービス事業者以外の事業者に外部委託されている場合は、当該クラウドサービス事業者以外の事業者にⅧの措置を講ずること。
9 クラウドサービスにおける脆(ぜい)弱性対策の実施内容を担当部署が確認できること。
10 クラウドサービスの可用性を保証するための十分な冗長性、障害時の円滑な切替等の対策が講じられていること。また、クラウドサービスに障害が発生した場合の復旧時点目標(RPO)等の指標を提示すること。
なお、農林水産省の要安定情報を取り扱う場合は、データセンターを地理的に離れた複数の地域に設置するなどの災害対策が講じられていること。
11 クラウドサービス上で取り扱う情報について、機密性及び完全性を確保するためのアクセス制御、暗号化及び暗号鍵の保護並びに管理を確実に行うこと。
12 クラウドサービスの利用者が、自らの意思によりクラウドサービス上で取り扱う情報を確実に抹消できること。
13 本業務において、農林水産省に開示することとしているクラウドサービスに係る情報について、業務開始時に開示項目や範囲を明記した資料を提出すること。
14 農林水産省に対して、クラウドサービスに係る機密性の高い情報を開示する場合は、農林水産省において、当該情報を審査又は本業務以外の目的で利用しないよう適切に取り扱うため、必要に応じて当該情報に取扱制限を明記するなどの措置を講じること。
Ⅵ 機器等に関する情報セキュリティの確保
受託者は、本業務において、農林水産省にサーバ装置、端末、通信回線装置、複合機、特定用途機器、外部電磁的記録媒体、ソフトウェア等(以下「機器等」という。)を納品、賃貸借等をする場合には、以下の措置を講じること。
1 納入する機器等の製造工程において、農林水産省が意図しない変更が加えられないよう適切な措置がとられており、当該措置を継続的に実施していること。また、当該措置の実施状況を証明する資料を提出すること。
2 機器等に対して不正な変更があった場合に識別できる構成管理体制を確立していること。また、不正な変更が発見された場合に、農林水産省と受託者が連携して原因を調査・排除できる体制を整備していること。
3 機器等の設置時や保守時に、情報セキュリティの確保に必要なサポートを行うこと。
4 利用マニュアル・ガイダンスが適切に整備された機器等を採用すること。
5 脆(ぜい)弱性検査等のテストが実施されている機器等を採用し、そのテストの結果が確認できること。
6 ISO/IEC 15408 に基づく認証を取得している機器等を採用することが望ましい。なお、当該認証を取得している場合は、証明書等の写しを提出すること。(提出時点で有効期限が切れていないこと。)
7 情報システムを構成するソフトウェアについては、運用中にサポートが終了しないよう、サポート期間が
十分に確保されたものを選定し、可能な限り最新版を採用するとともに、ソフトウェアの種類、バージョン及びサポート期限について報告すること。なお、サポート期限が事前に公表されていない場合は、情報システムのライフサイクルを踏まえ、販売からの経過年数や後継ソフトウェアの有無等を考慮して選定すること。
8 機器等の納品時に、以下の事項を書面で報告すること。
(1)調達仕様書に指定されているセキュリティ要件の実装状況(セキュリティ要件に係る試験の実施手順及び結果)
(2)機器等に不正プログラムが混入していないこと(最新の定義ファイル等を適用した不正プログラム対策ソフトウェア等によるスキャン結果、内部監査等により不正な変更が加えられていないことを確認した結果等)
Ⅶ 管轄裁判所及び準拠法
1 本業務に係る全ての契約(クラウドサービスを含む。以下同じ。)に関して訴訟の必要が生じた場合の専属的な合意管轄裁判所は、国内の裁判所とすること。
2 本業務に係る全ての契約の成立、効力、履行及び解釈に関する準拠法は、日本法とすること。
Ⅷ 業務の再委託における情報セキュリティの確保
1 受託者は、本業務の一部を再委託(再委託先の事業者が受託した事業の一部を別の事業者に委託する再々委託等、多段階の委託を含む。以下同じ。)する場合には、受託者が上記Ⅱの1、Ⅱの2及びⅢの1において提出することとしている資料等と同等の再委託先に関する資料等並びに再委託対象とする業務の範囲及び再委託の必要性を記載した申請書を提出し、農林水産省の許可を得ること。
2 受託者は、本業務に係る再委託先の行為について全責任を負うものとする。また、再委託先に対して、受託者と同等の義務を負わせるものとし、再委託先との契約においてその旨を定めること。なお、情報セキュリティ監査については、受託者による再委託先への監査のほか、農林水産省又は農林水産省が選定した事業者による再委託先への立入調査等の監査を受け入れるものとすること。
3 受託者は、担当部署からの要求があった場合は、再委託先における情報セキュリティ対策の履行状況を報告すること。
Ⅸ 資料等の提出
上記Ⅱの1、Ⅱの2、Ⅲの1、Ⅴの1、Ⅴの2、Ⅵの1及びⅥの6において提出することとしている資料等については、最低価格落札方式にあっては入札公告及び入札説明書に定める証明書等の提出場所及び提出期限に従って提出し、総合評価落札方式にあっては提案書等の総合評価のための書類に添付して提出すること。
Ⅹ 変更手続
受託者は、上記Ⅱ、Ⅲ、Ⅴ、Ⅵ及びⅧに関して、農林水産省に提示した内容を変更しようとする場合には、変更する事項、理由等を記載した申請書を提出し、農林水産省の許可を得ること。