東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス13階独立行政法人情報処理推進機構 会議室A
「情報処理安全確保支援士公開システム構築」に係る一般競争入札
(総合評価落札方式)
入札説明書
2017年8月25日
目 次
Ⅰ.入札説明書
独立行政法人情報処理推進機構の請負契約に係る入札公告(2017年8月25日付け公示)に基づく入札については、関係法令並びに独立行政法人情報処理推進機構会計規程及び同入札心得に定めるもののほか下記に定めるところによる。
記
1.競争入札に付する事項
(1) | 作業の名称 | 情報処理安全確保支援士公開システム構築 |
(2) | 作業内容等 | 別紙仕様書のとおり。 |
(3) | 履 行 期 限 | 別紙仕様書のとおり。 |
(4) | 作 業 場 所 | 別紙仕様書のとおり。 |
(5) | 入 札 方 法 | 落札者の決定は総合評価落札方式をもって行うので、 |
① 入札に参加を希望する者(以下「入札者」という。)は「6.(4)提出書類一覧」に記載の提出書類を提出すること。
② 上記①の提出書類のうち提案書については、入札資料作成要領に従って作成、提出すること。
③ 上記①の提出書類のうち、入札書については仕様書及び契約書案に定めるところにより、入札金額を見積るものとする。入札金額は、「情報処理安全確保支援士公開システム構築」に関する総価とし、総価には本件業務に係る一切の費用を含むものとする。
④ 落札決定に当たっては、入札書に記載された金額に当該金額の8パーセントに相当する額を加算した金額(当該金額に1円未満の端数が生じたときは、その端数金額を切捨てるものとする。)をもって落札価格とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の108分の100に相当する金額を入札書に記載すること。
⑤ 入札者は、提出した入札書の引き換え、変更又は取り消しをすることはできないものとする。
2.競争参加資格
(1) 予算決算及び会計令(以下「予決令」という。)第70条の規定に該当しない者であること。なお、未xx者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者
は、同条中、特別の理由がある場合に該当する。
(2) 予決令第71条の規定に該当しない者であること。
(3) 法人税、消費税及び地方消費税について、納付期限を過ぎた未納税額がないこと。
(4) 平成28・29・30年度競争参加資格(全省庁統一資格)を有する者であること。資格を有しない場合は、登記簿謄本、営業経歴書及び財務諸表類を提出し、参加を認められた者であること。
(5) 各省各庁及び政府関係法人等から取引停止又は指名停止処分等を受けていない者(理事長が特に認める場合を含む。)であること。
(6) 経営の状況又は信用度が極度に悪化していないと認められる者であり、適正な契約の履行が確保される者であること。
(7) ISMS適合性評価制度に基づく認証取得事業者、若しくはプライバシーマーク使用許諾事業者であること。
3.入札者の義務
(1) 入札者は、当入札説明書及び独立行政法人情報処理推進機構入札心得を了知のうえ、入札に参加しなければならない。
(2) 入札者は、当機構が交付する仕様書に基づいて提案書を作成し、これを入札書に添付して入札書等の提出期限内に提出しなければならない。また、開札日の前日までの間において当機構から当該書類に関して説明を求められた場合は、これに応じなければならない。
4.入札説明会の日時及び場所
(1) 入札説明会の日時
2017年8月31日(木) 14時00分
(2) 入札説明会の場所
xxxxxxxxx0-00-0 xxxxxxxxxxxxxxxxx00x独立行政法人情報処理推進機構 会議室A
※ 入札説明会への参加を希望する場合は、14.(4)の担当部署まで電子メールにより申し込むこと。
5.入札に関する質問の受付等
(1) 質問の方法
質問書(様式1)に所定事項を記入の上、電子メールにより提出すること。
(2) 受付期間
2017年9月1日(金)から2017年9月8日(金) 18時00分まで。
なお、質問に対する回答に時間がかかる場合があるため、余裕をみて提出すること。
(3) 担当部署
14.(4)のとおり
6.入札書等の提出方法及び提出期限等
(1) 受付期間
2017年9月13日(水)から2017年9月15日(金)。
持参の場合の受付時間は、月曜日から金曜日(祝祭日は除く)の10時00分から17時00分
(12時30分~13時30分の間は除く)とする。
ただし、2017年9月15日(金)は16時00分までとする。
(2) 提出期限
2017年9月15日(金) 16時00分必着。
上記期限を過ぎた入札書等はいかなる理由があっても受け取らない。
(3) 提出先
14.(4)のとおり。
(4) 提出書類一覧
No. | 提出書類 | 部数 | |
① | 委任状(代理人に委任する場合) | 様式 2 | 1 通 |
② | 入札書(封緘) | 様式 3 | 1 通 |
③ | 提案書(別紙を含む) | - | 6 部及び 電子ファイル |
④ | 添付資料(2種類) 「Ⅳ.入札資料作成要領及び評価手順」を参照のこと | 6 部 | |
⑤ | 補足資料(任意) | 6 部 | |
⑥ | 評価項目一覧 | - | 6 部 |
⑦ | 最新の納税証明書(その 3 の 3・「法人税」及び「消 費税及地方消費税」について未納税額のない証明用)の原本又は写し | - | 1 通 |
⑧ | ISMS 適合性評価制度に基づく認証取得事業者若しくはプライバシーマーク使用許諾事業者であることを証する書類の写し(いずれかの写しを添付す ること) | - | 1 通 |
⑨ | 平成 28・29・30 年度競争参加資格(全省庁統一資格)における資格審査結果通知書の写し 【上記の資格を有しない場合】 登記簿謄本(商業登記法第 6 条第 5 号から第 9号までに掲げる株式会社登記簿等の謄本)、営業経歴書(会社の沿革、組織図、従業員数等の概要、営業品目、営業実績及び営業所の所在状況を含んだ書類)及び財務諸表類(直前 2 年間の事業年度分に係る貸借対照表、損益計算書及び株主資 本等変動計算書)の原本又は写し | - | 1 通 |
⑩ | 提案書受理票 | 様式 4 | 1 通 |
(5) 提出方法
① 入札書等提出書類を持参により提出する場合
入札書を封筒に入れ封緘し、封皮に氏名(法人の場合は商号又は名称)、宛先(14.(4)の担当者名)を記載するとともに「情報処理安全確保支援士公開システム構築 一般競争入札に係る入札書在中」と朱書きし、その他提出書類一式と併せ封筒に入れ封緘し、その封皮に氏名
(法人の場合はその商号又は名称)、宛先(14.(4)の担当者名)を記載し、かつ、「情報処理安全確保支援士公開システム構築 一般競争入札に係る提出書類一式在中」と朱書きすること。
② 入札書等提出書類を郵便等(書留)により提出する場合
二重封筒とし、表封筒に「情報処理安全確保支援士公開システム構築 一般競争入札に係る提出書類一式在中」と朱書きし、中封筒の封皮には直接提出する場合と同様とすること。
(6) 提出後
① 入札書等提出書類を受理した場合は、提案書受理票を入札者に交付する。なお、受理した提案書等は評価結果に関わらず返却しない。
② ヒアリングを次の日程で実施する。
日時:2017年9月22日(金)10時30分~17時30分の間(1者あたり45分程度を予定)場所:xxxxxxxxx0-00-0 xxxxxxxxxxxxxxxxx00x
独立行政法人情報処理推進機構 委員会室3
なお、ヒアリング時はプロジェクト管理者が対応すること。また、担当技術者をヒアリングに同席させること。
7.開札の日時及び場所
(1) 開札の日時
2017年10月2日(月) 14時00分
(2) 開札の場所
xxxxxxxxx0-00-0 xxxxxxxxxxxxxxxxx00x独立行政法人情報処理推進機構 会議室B
8.入札の無効
入札公告に示した競争参加資格のない者による入札及び入札に関する条件に違反した入札は無効とする。
9.落札者の決定方法
独立行政法人情報処理推進機構会計規程第29条の規定に基づいて作成された予定価格の制限の範囲内で、当機構が入札説明書で指定する要求事項のうち、必須とした項目の最低限の要求をすべて満たしている提案をした入札者の中から、当機構が定める総合評価の方法をもって落札者を定めるものとする。ただし、落札者となるべき者の入札価格によっては、その者により当該契約の内容に適合した履行がなされないおそれがあると認められるとき、又はその者と契約することがxxな取引の秩序を乱すこととなるおそれがあって著しく不適当であると認められるときは、予定価格の範囲内の価格をもって入札をした他の者のうち、評価の最も高い者を落札者とす
ることがある。
10.入札保証金及び契約保証金 全額免除
11.契約書作成の要否 要(Ⅱ.契約書(案)を参照)
12.支払の条件
契約代金は、業務の完了後、当機構が適法な支払請求書を受理した日の属する月の翌月末日までに契約金額を支払うものとする。
13.契約者の氏名並びにその所属先の名称及び所在地
x000-0000 xxxxxxxxx0-00-0 xxxxxxxxxxxxxxxxx00x独立行政法人情報処理推進機構 理事長 xx xx
14.その他
(1) 入札者は、提出した証明書等について説明を求められた場合は、自己の責任において速やかに書面をもって説明しなければならない。
(2) 入札結果等、契約に係る情報については、当機構のウェブサイトにて公表(注)するものとする。
(3) 落札者は、契約締結時までに入札内訳書の電子データを提出するものとする。
(4) 入札説明会への参加申込み、仕様書に関する照会先、入札に関する質問の受付、入札書類の提出先
x000-0000
xxxxxxxxx0-00-0 xxxxxxxxxxxxxxxxx00x
独立行政法人情報処理推進機構 IT人材育成本部 HRDイニシアティブセンター担当:xx、髙山
TEL:00-0000-0000
なお、直接提出する場合は、文京グリーンコートセンターオフィス13階の当機構総合受付を訪問すること。
(5) 入札行為に関する照会先
独立行政法人情報処理推進機構 財務部 管理グループ 担当:xx、本間 TEL:00-0000-0000
(注) 独立行政法人の事務・事業の見直しの基本方針(平成 22 年 12 月 7 日閣議決定)に基づく契約に係る情報の公表について
独立行政法人が行う契約については、「独立行政法人の事務・事業の見直しの基本方針」(平成22年
12月7日閣議決定)において、独立行政法人と一定の関係を有する法人と契約をする場合には、当該法人への再就職の状況、当該法人との間の取引等の状況について情報を公開するなどの取組を進めるとされているところです。
これに基づき、以下のとおり、当機構との関係に係る情報を当機構のウェブサイトで公表することとしますので、所要の情報の当方への提供及び情報の公表に同意の上で、応札若しくは応募又は契約の締結を行っていただくよう御理解と御協力をお願いいたします。
なお、案件への応札若しくは応募又は契約の締結をもって同意されたものとみなさせていただきますので、ご了知願います。
(1)公表の対象となる契約先
次のいずれにも該当する契約先
① 当機構において役員を経験した者(役員経験者)が再就職していること又は課長相当職以上の職を経験した者(課長相当職以上経験者)が役員、顧問等として再就職していること
② 当機構との間の取引高が、総売上高又は事業収入の3分の1以上を占めていること
※ 予定価格が一定の金額を超えない契約や光熱水費の支出に係る契約等は対象外
(2)公表する情報
上記に該当する契約先について、契約ごとに、物品役務等の名称及び数量、契約締結日、契約先の名称、契約金額等と併せ、次に掲げる情報を公表します。
① 当機構の役員経験者及び課長相当職以上経験者(当機構OB)の人数、職名及び当機構における最終職名
② 当機構との間の取引高
③ 総売上高又は事業収入に占める当機構との間の取引高の割合が、次の区分のいずれかに該当する旨
3分の1以上2分の1未満、2分の1以上3分の2未満又は3分の2以上
④ 一者応札又は一者応募である場合はその旨
(3)当方に提供していただく情報
① 契約締結日時点で在職している当機構OBに係る情報(人数、現在の職名及び当機構における最終職名等)
② 直近の事業年度における総売上高又は事業収入及び当機構との間の取引高
(4)公表日
契約締結日の翌日から起算して原則として72日以内(4 月に締結した契約については原則として 93日以内)
(5)実施時期
平成23年7月1日以降の一般競争入札・企画競争・公募公告に係る契約及び平成23年7月1日以降に契約を締結した随意契約について適用します。
なお、応札若しくは応募又は契約の締結を行ったにもかかわらず情報提供等の協力をしていただけない相手方については、その名称等を公表させていただくことがあり得ますので、ご了知願います。
(様 式 1)
年 月 日
独立行政法人情報処理推進機構
IT 人材育成本部 HRD イニシアティブセンター担当者殿
質 問 書
「情報処理安全確保支援士公開システム構築」に関する質問書を提出します。
法人名 | |
所属部署名 | |
担当者名 | |
電話番号 | |
質問書枚数 |
枚中 枚目 |
<質問箇所について>
資料名 | 例) ○○書 |
ページ | 例) P○ |
項目名 | 例) ○○概要 |
質問内容 | |
備考
1.質問は、本様式1 枚につき1 問とし、簡潔にまとめて記載すること。
2.質問及び回答は、IPA のホームページに公表する。(電話等による個別回答はしない。)また、質問者自身の既得情報(特殊な技術、ノウハウ等)、個人情報に関する内容については、公表しない。
(様 式 2)
年 月 日
独立行政法人情報処理推進機構 理事長 殿
所 在 地 商号又は名称
代表者氏名 印
(又は代理人)
委 任 状
私は、下記の者を代理人と定め、「情報処理安全確保支援士公開システム構築」の入札に関する一切の権限を委任します。
代 x x(又は復代理人)
所 在 地 所属・役職名氏 名
使 用 印 鑑
(様 式 3)
年 月 日
独立行政法人情報処理推進機構 理事長 殿
所 在 地 商号又は名称
代表者氏名 印
(又は代理人、復代理人氏名)
印
入 札 書
入札金額 ¥
件 名 「情報処理安全確保支援士公開システム構築」
契約条項の内容及び貴機構入札心得を承知のうえ、入札いたします。
(様 式 4)
提案書受理票(控)
提案書受理番号
件 名:「情報処理安全確保支援士公開システム構築」に関する提案書
【入札者記載欄】
提出年月日:
年
月
日
法 人 名:
所 在 地: 〒
担 当 者: 所属・役職名
氏名 TEL
FAX
【IPA担当者使用欄】
No. | 提出書類 | 部数 | 有無 | No. | 提出書類 | 部数 | 有無 |
① | 委任状(委任する場合) | 1 通 | ② | 入札書(封緘) | 1 通 | ||
③ | 提案書(別紙を含む) | 6 部 | ③ | 提案書(電子ファイル) | 1 部 | ||
④ | 添付資料(2 種類) | 6 部 | ⑤ | 補足資料(任意) | 6 部 | ||
⑥ | 評価項目一覧 | 6 部 | ⑦ | 最新の納税証明書 | 1 通 | ||
⑧ | ISMS 認証書又はプライバシーマーク認証書の 写し | 1 通 | ⑨ | 資格審査結果通知書の写し※ | 1 通 | ||
⑩ | 提案書受理票 | (本紙) | - | - | - | - |
※又は登記簿謄本等の原本または写し。
切り取り
提案書受理番号
提案書受理票
年 月 日
件 名 「情報処理安全確保支援士公開システム構築」
法人名(入札者が記載):
担当者名(入札者が記載): x
xxから提出された標記提案書を受理しました。
独立行政法人情報処理推進機構 IT 人材育成本部 HRD イニシアティブセンター担当者名: ㊞
独立行政法人情報処理推進機構入札心得
(趣 旨)
第 1 条 独立行政法人情報処理推進機構(以下「機構」という。)の契約に係る一般競争又は指名競争
(以下「競争」という。)を行う場合において、入札者が熟知し、かつ遵守しなければならない事項は、関係法令、機構会計規程、入札説明書及び独立行政法人情報処理推進機構電子入札システム(以下「電子入札システム」という。)を利用する場合における電子申請マニュアル(以下「マニュアル」という。)に定めるもののほか、この心得に定めるものとする。
(仕様書等)
第 2 条 入札者は、仕様書、図面、契約書案及び添付書類を熟読のうえ入札しなければならない。
2 入札者は、前項の書類について疑義があるときは、関係職員に説明を求めることができる。
3 入札者は、入札後、第 1 項の書類についての不明を理由として異議を申し立てることができない。
(入札保証金及び契約保証金)
第 3 条 入札保証金及び契約保証金は、全額免除する。
(入札の方法)
第 4 条 入札者は、次の各号に定める方法により、入札を行わなければならない。
(1) 直接入札又は郵便等入札 入札者は、別紙様式による入札書を直接又は郵便等で提出しなければならない。
(2) 電子入札 入札者は、電子入札システムを利用して入札金額を含む入札データを送信しなければならない。
(入札書等の記載)
第 5 条 落札決定に当たっては、入札書又は入札データ(以下「入札書等」という。)に記載された金額に当該金額の 8 パーセントに相当する額を加算した金額をもって落札価格とするので、入札者は
消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の 108 分の 100に相当する金額を入札書に記載すること。
(直接入札)
第 6 条 直接入札を行う場合は、入札書を封筒に入れ、封緘のうえ入札者の氏名を表記し、予め指定された時刻までに契約担当職員等に提出しなければならない。この場合において、入札書とは別に提案書及び証書等の書類を添付する必要のある入札にあっては、入札書と併せてこれら書類を提出しなければならない。
2 入札者は、代理人をして入札させるときは、その委任状を持参させなければならない。
(郵便等入札)
第 7 条 郵便等入札を行う場合には、二重封筒とし、入札書を中封筒に入れ、封緘のうえ入札者の氏名、宛先、及び入札件名を表記し、予め指定された時刻までに到着するように契約担当職員等あて書留で提出しなければならない。この場合において、入札書とは別に提案書及び証書等の書類を添付する必要のある入札にあたっては、入札書と併せてこれら書類を提出しなければならない。
2 入札者は、代理人をして入札させるときは、その委任状を同封しなければならない。
(電子入札)
第 8 条 電子入札を行う場合は、電子入札システムのマニュアルに定めるデジタル証明書の取得を行い、公告、公示又は通知書に示した時刻までに電子入札を行わなければならない。この場合において、入札者に求められる競争参加資格を満たすことを証明する必要のある入札にあたっては、電子入札とは別に競争参加資格を満たすことを証明する証書等を提出しなければならない。
(代理人の制限)
第 9 条 入札者又はその代理人は、当該入札に対する他の代理をすることができない。
2 入札者は、予算決算及び会計令(昭和 22 年勅令第 165 号、以下「予決令」という。)第 71 条第 1項各号の一に該当すると認められる者で、その事実があった後 2 年を経過しない者を入札代理人とすることができない。
(条件付きの入札)
第 10 条 予決令第 72 条第 1 項に規定する一般競争に係る資格審査の申請を行ったものは、競争に参加する者に必要な資格を有すると認められること又は指名競争の場合にあっては指名されることを条件に入札書を提出することができる。この場合において、当該資格審査申請書の審査が開札日までに終了しないとき又は資格を有すると認められなかったとき若しくは指名されなかったときは、当該入札書は落札の対象としない。
(入札の取り止め等)
第 11 条 入札参加者が連合又は不穏の行動をなす場合において、入札をxxに執行することができないと認められるときは、当該入札者を入札に参加させず又は入札の執行を延期し、若しくは取り止めることがある。
(入札の無効)
第 12 条 次の各号の一に該当する入札は、無効とする。
(1) 競争に参加する資格を有しない者による入札
(2) 指名競争入札において、指名通知を受けていない者による入札
(3) 委任状を持参しない代理人による入札
(4) 記名押印(外国人又は外国法人にあっては、本人又は代表者の署名をもって代えることができる。)を欠く入札
(5) 金額を訂正した入札
(6) 誤字、脱字等により意思表示が不明瞭である入札
(7) 明らかに連合によると認められる入札
(8) 同一事項の入札について他人の代理人を兼ね又は 2 者以上の代理をした者の入札
(9) 入札者に求められる義務を満たすことを証明する必要のある入札にあっては、証明書が契約担当職員等の審査の結果採用されなかった入札
(10) 入札書受領期限までに到着しない入札
(11) 暴力団排除に関する誓約事項(別記)について、虚偽が認められた入札
(12) その他入札に関する条件に違反した入札
(開 札)
第 13 条 開札には、入札者又は代理人を立ち会わせて行うものとする。ただし、入札者又は代理人が立会わない場合は、入札執行事務に関係のない職員を立会わせて行うものとする。
(調査基準価格、低入札価格調査制度)
第 14 条 工事その他の請負契約(予定価格が 1 千万円を超えるものに限る。)について予決令第 85 条に規定する相手方となるべき者の申込みに係る価格によっては、その者により当該契約の内容に適合した履行がされないこととなるおそれがあると認められる場合の基準は次の各号に定める契約の種類ごとに当該各号に定める額(以下「調査基準価格」という。)に満たない場合とする。
(1) 工事の請負契約 その者の申込みに係る価格が契約ごとに 3 分の 2 から 10 分の 8.5 の範囲で契約担当職員等の定める割合を予定価格に乗じて得た額
(2) 前号以外の請負契約 その者の申込みに係る価格が 10 分の 6 を予定価格に乗じて得た額
2 調査基準価格に満たない価格をもって入札(以下「低入札」という。)した者は、事後の資料提出及び契約担当職員等が指定した日時及び場所で実施するヒアリング等(以下「低入札価格調査」という。)に協力しなければならない。
3 低入札価格調査は、入札理由、入札価格の積算内訳、手持工事等の状況、履行体制、国及び地方公共団体等における契約の履行状況等について実施する。
(落札者の決定)
第 15 条 一般競争入札最低価格落札方式(以下「最低価格落札方式」という。)にあっては、有効な入札を行った者のうち、予定価格の範囲内で最低の価格をもって入札した者を落札者とする。また、一般競争入札総合評価落札方式(以下「総合評価落札方式」という。)にあっては、契約担当職員等が採用できると判断した提案書を入札書に添付して提出した入札者であって、その入札金額が当機構会計規程第 29 条の規定に基づいて作成された予定価格の制限の範囲内で、かつ提出した提案書と入札金額を当該入札説明書に添付の評価手順書に記載された方法で評価、計算し得た評価値が最も高かった者を落札者とする。
2 低入札となった場合は、一旦落札決定を保留し、低入札価格調査を実施の上、落札者を決定する。
3 前項の規定による調査の結果その者により当該契約の内容に適合した履行がされないおそれがあると認められるとき、又はその者と契約を締結することがxxな取引の秩序を乱すこととなるおそれがあって著しく不適当であると認められるときは、予定価格の制限の範囲内の価格をもって入札をした他の者のうち、評価の最も高い者を落札者とすることがある。
(再度入札)
第 16 条 直接入札又は郵便等入札にあっては、開札の結果予定価格の制限に達した価格の入札がないときは、直ちに再度の入札を行う。なお、開札の際に、入札者又はその代理人が立ち会わなかった場合は、再度入札を辞退したものとみなす。
2 前項において、入札者は、代理人をして再度入札させるときは、その委任状を持参させなければならない。
3 電子入札にあっては、開札の結果予定価格の制限に達した価格の入札がないときは、契約担当職員等の指定する時刻に再度入札を行う。
4 前項において、入札者又は代理人は、開札時に電子入札システムを立ち上げたパソコンで開札の状況を確認し、速やかに再度入札ができるようにしなければならない。
(同価又は同総合評価点の入札者が二者以上ある場合の落札者の決定)
第 17 条 最低価格落札方式にあっては、落札となるべき最低価格の入札をした者が二者以上あるときは、電子入札システムのくじ引き機能(乱数によるランダム選択)をもって落札者を決定する。また、総合評価落札方式にあっては、同総合評価点の入札をした者が二者以上あるときは、直ちに当該入札をした者又は第 13 条ただし書きにおいて立ち会いをした者にくじを引かせて落札者を決定する。
2 前項の場合において、当該入札をした者のうちくじを引かない者があるときは、これに代わって入札事務に関係のない職員にくじを引かせるものとする。
(契約書の提出)
第 18 条 落札者は、契約担当職員等から交付された契約書に記名押印(外国人又は外国法人が落札者である場合には、本人又は代表者が署名することをもって代えることができる。)し、落札決定の日から 5 日以内(期終了の日が行政機関の休日に関する法律(昭和 63 年法律第 91 号)第 1 条に規定する日に当たるときはこれを算入しない。)に契約担当職員等に提出しなければならない。ただし、契約担当職員等が必要と認めた場合は、この期間を延長することができる。
2 落札者が前項に規定する期間内に契約書を提出しないときは、落札はその効力を失う。
(入札書等に使用する言語及び通貨)
第 19 条 入札書及びそれに添付する仕様書等に使用する言語は、日本語とし、通貨は日本国通貨に限る。
(落札決定の取消し)
第 20 条 落札決定後であっても、この入札に関して連合その他の事由により正当な入札でないことが判明したときは、落札決定を取消すことができる。
以上
(別記)
暴 力 団 排 除 に 関 す る 誓 約 事 項
当社(個人である場合は私、団体である場合は当団体)は、下記の「契約の相手方として不適当な者」のいずれにも該当しません。
この誓約が虚偽であり、又はこの誓約に反したことにより、当方が不利益を被ることとなっても、異議は一切申し立てません。
記
1. 契約の相手方として不適当な者
(1) 法人等(個人、法人又は団体をいう。)が、暴力団(暴力団員による不当な行為の防止等に関する法律(平成 3 年法律第 77 号)第 2 条第 2 号に規定する暴力団をいう。以下同じ。)であるとき又は法人等の役員等(個人である場合はその者、法人である場合は役員又は支店若しくは営業所
(常時契約を締結する事務所をいう。)の代表者、団体である場合は代表者、理事等、その他経営に実質的に関与している者をいう。以下同じ。)が、暴力団員(同法第 2 条第 6 号に規定する暴力団員をいう。以下同じ。)であるとき
(2) 役員等が、自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもって、暴力団又は暴力団員を利用するなどしているとき
(3) 役員等が、暴力団又は暴力団員に対して、資金等を供給し、又は便宜を供与するなど直接的あるいは積極的に暴力団の維持、運営に協力し、若しくは関与しているとき
(4) 役員等が、暴力団又は暴力団員であることを知りながらこれと社会的に非難されるべき関係を有しているとき
上記事項について、入札書の提出若しくは電子入札をもって誓約します。
(参 考)
予算決算及び会計令【抜粋】
(一般競争に参加させることができない者)
第 70 条 契約担当官等は、売買、貸借、請負その他の契約につき会計法第二十九条の三第一項の競争
(以下「一般競争」という。)に付するときは、特別の理由がある場合を除くほか、次の各号のいずれかに該当する者を参加させることができない。
一 当該契約を締結する能力を有しない者
二 破産手続開始の決定を受けて復権を得ない者
三 暴力団員による不当な行為の防止等に関する法律(平成三年法律第七十七号)第三十二条第一項各号に掲げる者
(一般競争に参加させないことができる者)
第 71 条 契約担当官等は、一般競争に参加しようとする者が次の各号のいずれかに該当すると認められるときは、その者について三年以内の期間を定めて一般競争に参加させないことができる。その者を代理人、支配人その他の使用人として使用する者についても、また同様とする。
一 契約の履行に当たり故意に工事、製造その他の役務を粗雑に行い、又は物件の品質若しくは数量に関して不正の行為をしたとき。
二 xxな競争の執行を妨げたとき又はxxな価格を害し若しくは不正の利益を得るために連合したとき。
三 落札者が契約を結ぶこと又は契約者が契約を履行することを妨げたとき。四 監督又は検査の実施に当たり職員の職務の執行を妨げたとき。
五 正当な理由がなくて契約を履行しなかつたとき。
六 契約により、契約の後に代価の額を確定する場合において、当該代価の請求を故意に虚偽の事実に基づき過大な額で行つたとき。
七 この項(この号を除く。)の規定により一般競争に参加できないこととされている者を契約の締結又は契約の履行に当たり、代理人、支配人その他の使用人として使用したとき。
2 契約担当官等は、前項の規定に該当する者を入札代理人として使用する者を一般競争に参加させないことができる。
Ⅱ.契約書(案)
契 約 書
20○○情財第 xx 号
独立行政法人情報処理推進機構(以下「甲」という。)と○○○○○○(以下「乙」という。)とは、次の条項により「情報処理安全確保支援士公開システム構築」に関する請負契約を締結する。
(契約の目的)
第 1 x xは、別紙の仕様書及び提案書に基づく業務(以下「請負業務」という。)を本契約に従って誠実に実施し、甲は乙にその対価を支払うものとする。
(再請負の制限)
第 2 条 乙は、請負業務の全部を第三者に請負わせてはならない。
2 乙は、請負業務の一部を第三者(以下「再請負先」という。)に請負わせようとするときは、事前に再請負先、再請負の対価、再請負作業内容その他甲所定の事項を、書面により甲に届け出なければならない。
3 前項に基づき、乙が請負業務の一部を再請負先に請負わせた場合においても、xは、再請負先の行為を全て乙の行為とみなし、乙に対し本契約上の責任を問うことができる。
(責任者の選任)
第 3 x xは、請負業務を実施するにあたって、責任者(乙のxx従業員に限る。)を選任して甲に届け出る。
2 責任者は、請負業務の進捗状況を常に把握するとともに、各進捗状況について甲の随時の照会に応じるとともに定期的または必要に応じてこれを甲に報告するものとする。
3 乙は、第 1 項により選任された責任者に変更がある場合は、直ちに甲に届け出る。
(納入物件及び納入期限)
第 4 条 乙は、別紙の仕様書に定めるシステム構築に関する納入物件等(以下「納入物件」という。)を 2018 年 3 月 30 日 (以下「納入期限」という。)までに甲に納入するものとする。
2 別紙の仕様書に定める稼働後サービス提供(以下「稼働後サービス」という。)の期間は、2018 年 4 月 2 日から 2021 年 3 月 31 日までとする。
(契約金額)
第 5 条 甲が本契約の対価として乙に支払うべき契約金額は、金○○,○○○,○○○円(うち消費税及び地方消費税○,○○○,○○○円)とする。
なお、納入物件に係る金額は、金○○,○○○,○○○円(うち消費税及び地方消費税○,○○
○,○○○円)とし、稼働後サービスに係る金額は、6 か月当たり○○,○○○,○○○円(うち消費税及び地方消費税○,○○○,○○○円)、3 年間合計額○○,○○○,○○○円(うち消費税及び地方消費税○,○○○,○○○円)とする。
(権利義務の譲渡)
第 6 x xは、本契約によって生じる権利又は義務を第三者に譲渡し、又は承継させてはならない。
(実地調査)
第 7 条 甲は、必要があると認めるときは、乙に対し、自ら又はその指名する第三者をして、請負業務の実施状況等について、報告又は資料を求め、若しくは事業所に臨んで実地に調査を行うことができる。
2 前項において、甲は乙に意見を述べ、補足資料の提出を求めることができる。
(検査)
第 8 条 甲は、第 4 条第 1 項の規定により納入物件の納入を受けた日から 30 日以内に、当該納入物件について別紙仕様書に基づき検査を行い、同仕様書に定める基準に適合しない事実を発見したときは、当該事実の概要を書面によって直ちに乙に通知する。
2 前項所定の期間内に同項所定の通知が無いときは、当該期間満了日をもって当該納入物件は同項所定の検査に合格したものとみなす。
3 請負業務のうち、システム構築に関する業務は、当該納入物件が本条による検査に合格した日をもって完了とする。この場合、xは、完了を確認するために請負業務の完了通知書を乙に交付する。
4 第 1 項及び第 2 項の規定は、第 1 項所定の通知書に記載された指摘事実に対し、乙が適切な修正等を行い甲に再納入する場合に準用する。
5 乙は、第 4 条第 2 項の規定による 6 か月ごとの稼働後サービス提供期間の終了後、当該期間の業務の終了から 5 営業日以内に甲に報告し、甲の検査を受けなければならない。
6 甲は、乙から前項の報告を受けた日から 10 日以内に検査を行わなければならない。
7 請負業務のうち稼働後サービスに係る業務については、前項による検査に合格したときをもって業務を完了したものとみなす。
8 乙は、第 5 項及び第 6 項の規定による検査の結果、不合格のものについては、甲の指示に従い、乙の負担において遅滞無く手直しをし、再度検査を受け、業務を完了させなければならない。
(瑕疵の補修)
第 9 条 甲は、前条第 3 項の規定によるシステム構築に関する業務の完了日から 1 箇年以内に納入物件に瑕疵その他の不具合(以下「瑕疵等」という。)があることを発見したときは、乙に対して相当の期限を定めて、その瑕疵等を無償で補修させることができる。なお、稼働後サービスについても同様とする。
(対価の支払及び遅延利息)
第 10 条 甲は、第 8 条第 3 項又は第 7 項の規定による各々の業務の完了後、乙から適法な支払請求書を受理した日の属する月の翌月末日までに、完了した業務に相当する契約金額を支払う。
2 甲が前項の期日までに対価を支払わない場合は、その遅延期間における当該未払金額に対して、財務大臣が決定する率 (政府契約の支払遅延に対する遅延利息の率(昭和 24 年 12 月 12 日大蔵省告示第 991 号)) によって、遅延利息を支払うものとする。
(遅延損害金)
第 11 条 天災地変その他乙の責に帰すことができない事由による場合を除き、乙が納入期限までに納入物件の納入が終らないときは、甲は遅延損害金として、延滞日数 1 日につき契約金額の 1,000 分
の 1 に相当する額を徴収することができる。
2 前項の規定は、納入遅延となった後に本契約が解除された場合であっても、解除の日までの日数に対して適用するものとする。
(契約の変更)
第 12 条 甲及び乙は、本契約の締結後、次の各号に掲げる事由が生じた場合は、甲乙合意のうえ本契約を変更することができる。ただし、次条による解除権の行使は妨げないものとする。
一 仕様書その他契約条件の変更。
二 天災地変、著しい経済情勢の変動、不可抗力その他やむを得ない事由に基づく諸条件の変更。三 税法その他法令の制定又は改廃。
四 価格に影響のある技術変更提案の実施。
(契約の解除等)
第 13 条 甲は、次の各号の一に該当するときは、乙に対する通知をもって、本契約の全部又は一部を解除することができる。
x xが本契約条項に違反したとき。
二 乙が天災地変その他不可抗力の原因によらないで、納入期限までに本契約の全部又は一部を履行しないか、又は納入期限までに完了する見込みがないとき。
x xが甲の指示に従わないとき、その職務執行を妨げたとき、又は談合その他不正な行為があったとき。
四 乙が破産宣告を受け、その他これに類する手続が開始したこと、資産及び信用の状態が著しく低下したと認められること等により、契約の目的を達することができないと認められるとき。
五 天災地変その他乙の責に帰すことができない事由により、納入物件を納入する見込みがないと甲が認めたとき。
x xが、xが正当な理由と認める理由により、本契約の解除を申し出たとき。
2 乙は、xがその責に帰すべき事由により、本契約上の義務に違反した場合は、相当の期間を定め て、その履行を催告し、その期間内に履行がないときは、本契約の全部又は一部を解除することができる。
3 乙の本契約違反の程度が著しく、または乙に重大な背信的言動があった場合、甲は第 1 項にかかわらず、催告せずに直ちに本契約の全部又は一部を無償解除することができる。
4 甲は、第 1 項第 1 号乃至第 4 号又は前項の規定により本契約を解除する場合は、違約金として契約金額の 100 分の 10 に相当する金額(その金額に 100 円未満の端数があるときはその端数を切り捨てる。)を乙に請求することができる。
5 前項の規定は、甲に生じた実際の損害額が同項所定の違約金の額を超える場合において、甲がその超える部分について乙に対し次条に規定する損害賠償を請求することを妨げない。
(損害賠償)
第 14 x xは、乙の責に帰すべき事由によって甲又は第三者に損害を与えたときは、その被った通常かつ直接の損害を賠償するものとする。ただし、乙の負う賠償額は、乙に故意又は重大な過失がある場合を除き、第 5 条所定の契約金額を超えないものとする。
2 第 11 条所定の遅延損害金の有無は、前項に基づく賠償額に影響を与えないものとする。
(違約金及び損害賠償金の遅延利息)
第 15 条 乙が、第 13 条第 4 項の違約金及び前条の損害賠償金を甲が指定する期間内に支払わないと
きは、乙は、当該期間を経過した日から支払をする日までの日数に応じ、年 5 パーセントの割合で計算した金額の遅延利息を支払わなければならない。
(秘密保持及び個人情報)
第 16 条 甲及び乙は、相互に本契約の履行過程において知り得た相手方の秘密を他に漏洩せず、また本契約の目的の範囲を超えて利用しない。ただし、甲が、法令等、官公署の要求、その他公益的見地に基づいて、必要最小限の範囲で開示する場合を除く。
2 個人情報に関する取扱いについては、別添「個人情報の取扱いに関する特則」のとおりとする。
3 前各項の規定は、本契約終了後も有効に存続する。
(納入物件の知的財産権)
第 17 条 納入物件に関する著作権(著作xx第 27 条及び第 28 条に定める権利を含む。)、本契約の履行過程で生じた発明(考案及び意匠の創作を含む。)及びノウハウを含む産業財産権(特許その他産業財産権を受ける権利を含む。)(以下「知的財産権」という。)は、乙又は国内外の第三者が従前から保有していた知的財産権を除き、第 8 条第 3 項の規定による請負業務完了の日をもって、乙から甲に自動的に移転するものとする。
2 納入物件に、乙又は第三者が従前から保有する知的財産権が含まれている場合は、前項に規定する移転の時に、乙は甲に対して非独占的な実施権、使用権、第三者に対する利用許諾権(再利用許諾権を含む。)、その他一切の利用を許諾したものとみなす。なお、その対価は契約金額に含まれるものとする。
3 乙は、甲及び甲の許諾を受けた第三者に対し、納入物件に関する著作者人格権、及び納入物件に対する著作xx第 28 条の権利、その他“原作品の著作者/権利者”の地位に基づく権利主張は行わないものとする。
(知的財産権の紛争解決)
第 18 条 乙は、納入物件に関し、甲及び国内外の第三者が保有する知的財産権(公告、公開中のものを含む。)を侵害しないことを保証するとともに、侵害の恐れがある場合、又は甲からその恐れがある旨の通知を受けた場合には、当該知的財産権に関し、甲の要求する事項及びその他の必要な事項について調査を行い、これを甲に報告しなければならない。
2 乙は、前項の知的財産権に関して権利侵害の紛争が生じた場合(私的交渉、仲裁を含み、法的訴訟に限らない。)、その費用と責任負担において、その紛争を処理解決するものとし、甲に対し一切の負担及び損害を被らせないものとする。
3 第 9 条の規定は、知的財産権に関する紛争には適用しない。また、前各号の規定は、本契約終了後も有効に存続する。
(成果の公表等)
第 19 条 甲は、請負業務完了の日以後、本契約に係る成果を公表、公開及び出版(以下「公表等」という。)することができる。
2 甲は、前項の規定に関わらず、乙の書面による承認を得て、請負業務完了前に成果の公表等をすることができる。
3 乙は、成果普及のために甲が成果報告書等を作成する場合には、甲に協力する。
4 乙は、甲の書面による承認を得た場合は、本契約に係る成果を公表等することができる。この場合、乙はその方法、権利関係等について事前に甲と協議してその了解を得なければならない。なお、甲の要請がある場合は、甲と共同して行う。
5 乙は、前項に従って公表等しようとする場合には、著作権表示その他法が定める権利表示と共に
「独立行政法人情報処理推進機構が実施する事業の成果」である旨を表示しなければならない。
6 本条の規定は、本契約終了後も有効に存続する。
(協議)
第 20 条 本契約に定める事項又は本契約に定めのない事項について生じた疑義については、甲乙協議し、誠意をもって解決する。
(その他)
第 21 条 本契約に関する紛争については、東京地方裁判所を唯一の合意管轄裁判所とする。
特記事項
(談合等の不正行為による契約の解除)
第 1 条 甲は、次の各号のいずれかに該当したときは、契約を解除することができる。
一 本契約に関し、乙が私的独占の禁止及びxx取引の確保に関する法律(昭和 22 年法律第 54 号。
以下「独占禁止法」という。)第 3 条又は第 8 条第 1 号の規定に違反する行為を行ったことにより、次のイからハまでのいずれかに該当することとなったとき
イ 独占禁止法第 49 条に規定する排除措置命令が確定したとき
ロ 独占禁止法第 62 条第 1 項に規定する課徴金納付命令が確定したとき
ハ 独占禁止法第 7 条の 2 第 18 項又は第 21 項の課徴金納付命令を命じない旨の通知があったとき
二 本契約に関し、乙の独占禁止法第 89 条第 1 項又は第 95 条第 1 項第 1 号に規定する刑が確定したとき
三 本契約に関し、乙(法人の場合にあっては、その役員又は使用人を含む。)の刑法(明治 40 年法律第 45 号)第 96 条の 6 又は第 198 条に規定する刑が確定したとき
(談合等の不正行為に係る通知文書の写しの提出)
第 2 条 乙は、前条第 1 号イからハまでのいずれかに該当することとなったときは、速やかに、次の各号の文書のいずれかの写しを甲に提出しなければならない。
一 独占禁止法第 61 条第 1 項の排除措置命令書
二 独占禁止法第 62 条第 1 項の課徴金納付命令書
三 独占禁止法第 7 条の 2 第 18 項又は第 21 項の課徴金納付命令を命じない旨の通知文書
(談合等の不正行為による損害の賠償)
第 3 条 乙が、本契約に関し、第 1 条の各号のいずれかに該当したときは、甲が本契約を解除するか否かにかかわらず、かつ、甲が損害の発生及び損害額を立証することを要することなく、乙は、契
約金額(本契約締結後、契約金額の変更があった場合には、変更後の契約金額)の 100 分の 10 に相
当する金額(その金額に 100 円未満の端数があるときは、その端数を切り捨てた金額)を違約金(損害賠償額の予定)として甲の指定する期間内に支払わなければならない。
2 前項の規定は、本契約による履行が完了した後も適用するものとする。
3 第 1 項に規定する場合において、乙が事業者団体であり、既に解散しているときは、甲は、乙の代表者であった者又は構成員であった者に違約金の支払を請求することができる。この場合において、乙の代表者であった者及び構成員であった者は、連帯して支払わなければならない。
4 第 1 項の規定は、甲に生じた実際の損害額が同項に規定する損害賠償金の金額を超える場合において、甲がその超える分について乙に対し損害賠償金を請求することを妨げるものではない。
5 乙が、第 1 項の違約金及び前項の損害賠償金を甲が指定する期間内に支払わないときは、乙は、当該期間を経過した日から支払をする日までの日数に応じ、年 5 パーセントの割合で計算した金額の遅延利息を甲に支払わなければならない。
(暴力団関与の属性要件に基づく契約解除)
第 4 条 甲は、乙が次の各号の一に該当すると認められるときは、何らの催告を要せず、本契約を解除することができる。
一 法人等(個人、法人又は団体をいう。)が、暴力団(暴力団員による不当な行為の防止等に関する法律(平成 3 年法律第 77 号)第 2 条第 2 号に規定する暴力団をいう。以下同じ。)であるとき又は法人等の役員等(個人である場合はその者、法人である場合は役員又は支店若しくは営業所(常時契約を締結する事務所をいう。)の代表者、団体である場合は代表者、理事等、その他経営に実質的に関与している者をいう。以下同じ。)が、暴力団員(同法第 2 条第 6 号に規定する暴力団員をいう。以下同じ。)であるとき
二 役員等が、自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもって、暴力団又は暴力団員を利用するなどしているとき
三 役員等が、暴力団又は暴力団員に対して、資金等を供給し、又は便宜を供与するなど直接的あるいは積極的に暴力団の維持、運営に協力し、若しくは関与しているとき
四 役員等が、暴力団又は暴力団員であることを知りながらこれと社会的に非難されるべき関係を有しているとき
(再請負契約等に関する契約解除)
第 5 x xは、本契約に関する再請負先等(再請負先(下請が数次にわたるときは、すべての再請負先を含む。)並びに自己、再請負先が当該契約に関連して第三者と何らかの個別契約を締結する場合の当該第三者をいう。以下同じ。)が解除対象者(前条に規定する要件に該当する者をいう。以下同じ。)であることが判明したときは、直ちに当該再請負先等との契約を解除し、又は再請負先等に対し解除対象者との契約を解除させるようにしなければならない。
2 甲は、乙が再請負先等が解除対象者であることを知りながら契約し、若しくは再請負先等の契約を承認したとき、又は正当な理由がないのに前項の規定に反して当該再請負先等との契約を解除せず、若しくは再請負先等に対し契約を解除させるための措置を講じないときは、本契約を解除することができる。
(損害賠償)
第 6 条 甲は、第 4 条又は前条第 2 項の規定により本契約を解除した場合は、これにより乙に生じた損害について、何ら賠償ないし補償することは要しない。
2 乙は、甲が第 4 条又は前条第 2 項の規定により本契約を解除した場合において、甲に損害が生じたときは、その損害を賠償するものとする。
3 乙が、本契約に関し、前項の規定に該当したときは、甲が本契約を解除するか否かにかかわらず、かつ、甲が損害の発生及び損害額を立証することを要することなく、乙は、契約金額(本契約締結後、契約金額の変更があった場合には、変更後の契約金額)の 100 分の 10 に相当する金額(その金額に 100 円未満の端数があるときは、その端数を切り捨てた金額)を違約金(損害賠償額の予定)として甲の指定する期間内に支払わなければならない。
4 前項の規定は、本契約による履行が完了した後も適用するものとする。
5 第 2 項に規定する場合において、乙が事業者団体であり、既に解散しているときは、甲は、乙の代表者であった者又は構成員であった者に違約金の支払を請求することができる。この場合において、
乙の代表者であった者及び構成員であった者は、連帯して支払わなければならない。
6 第 3 項の規定は、甲に生じた実際の損害額が同項に規定する損害賠償金の金額を超える場合において、甲がその超える分について乙に対し損害賠償金を請求することを妨げるものではない。
7 乙が、第 3 項の違約金及び前項の損害賠償金を甲が指定する期間内に支払わないときは、乙は、当該期間を経過した日から支払をする日までの日数に応じ、年 5 パーセントの割合で計算した金額の遅延利息を甲に支払わなければならない。
(不当介入に関する通報・報告)
第 7 x xは、本契約に関して、自ら又は再請負先等が、暴力団、暴力団員、暴力団関係者等の反社会的勢力から不当要求又は業務妨害等の不当介入(以下「不当介入」という。)を受けた場合は、これを拒否し、又は再請負先等をして、これを拒否させるとともに、速やかに不当介入の事実を甲に報告するとともに警察への通報及び捜査上必要な協力を行うものとする。
本契約の締結を証するため、本契約書 2 通を作成し、双方記名押印の上、甲、乙それぞれ 1 通を保有する。
20○○年○月○日
甲 xxx文京区本駒込二丁目 28 番 8 号独立行政法人情報処理推進機構
理事長 xx xx
乙 ○○県○○市○○町○丁目○番○○号株式会社○○○○○○○
代表取締役 ○○ ○○
(別添)
個人情報の取扱いに関する特則
(定 義)
第 1 条 本特則において、「個人情報」とは、業務に関する情報のうち、個人に関する情報であって、当該情報に含まれる記述、個人別に付された番号、記号その他の符号又は画像もしくは音声により当該個人を識別することのできるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できるものを含む。)をいい、秘密であるか否かを問わない。以下各条において、「当該個人」を「情報主体」という。
(責任者の選任)
第 2 x xは、個人情報を取扱う場合において、個人情報の責任者を選任して甲に届け出る。
2 乙は、第 1 項により選任された責任者に変更がある場合は、直ちに甲に届け出る。
(個人情報の収集)
第 3 x xは、業務遂行のため自ら個人情報を収集するときは、「個人情報の保護に関する法律」その他の法令に従い、適切且つxxな手段により収集するものとする。
(開示・提供の禁止)
第 4 条 乙は、個人情報の開示・提供の防止に必要な措置を講じるとともに、甲の事前の書面による承諾なしに、第三者(情報主体を含む)に開示又は提供してはならない。ただし、法令又は強制力ある官署の命令に従う場合を除く。
2 乙は、業務に従事する従業員以外の者に、個人情報を取り扱わせてはならない。
3 乙は、業務に従事する従業員のうち個人情報を取り扱う従業員に対し、その在職中及びその退職後においても個人情報を他人に開示・提供しない旨の誓約書を提出させるとともに、随時の研修・注意喚起等を実施してこれを厳正に遵守させるものとする。
(目的外使用の禁止)
第 5 条 乙は、個人情報を業務遂行以外のいかなる目的にも使用してはならない。
(複写等の制限)
第 6 条 乙は、甲の事前の書面による承諾を得ることなしに、個人情報を複写又は複製してはならない。ただし、業務遂行上必要最小限の範囲で行う複写又は複製については、この限りではない。
(個人情報の管理)
第 7 条 乙は、個人情報を取り扱うにあたり、本特則第 4 条所定の防止措置に加えて、個人情報に対する不正アクセスまたは個人情報の紛失、破壊、改ざん、漏えい等のリスクに対し、合理的な安全対策を講じなければならない。
2 乙は、前項に従って講じた措置を、遅滞なく甲に書面で報告するものとする。これを変更した場合も同様とする。
3 甲は、乙に事前に通知の上乙の事業所に立入り、乙における個人情報の管理状況を調査することができる。
4 前三項に関して甲が別途に管理方法を指示するときは、乙は、これに従わなければならない。
5 乙は、業務に関して保管する個人情報(甲から預託を受け、或いは乙自ら収集したものを含む)について甲から開示・提供を求められ、訂正・追加・削除を求められ、或いは業務への利用の停止を求められた場合、直ちに且つ無償で、これに従わなければならない。
(返還等)
第 8 条 乙は、甲から要請があったとき、又は業務が終了(本契約解除の場合を含む)したときは、個人情報が含まれるすべての物件(これを複写、複製したものを含む。)を直ちに甲に返還し、又は引き渡すとともに、乙のコンピュータ等に登録された個人情報のデータを消去して復元不可能な状態とし、その旨を甲に報告しなければならない。ただし、甲から別途に指示があるときは、これに従うものとする。
2 乙は、甲の指示により個人情報が含まれる物件を廃棄するときは、個人情報が判別できないよう必要な処置を施した上で廃棄しなければならない。
(記録)
第 9 条 乙は、個人情報の受領、管理、使用、訂正、追加、削除、開示、提供、複製、返還、消去及び廃棄についての記録を作成し、甲から要求があった場合は、当該記録を提出し、必要な報告を行うものとする。
2 乙は、前項の記録を業務の終了後 5 年間保存しなければならない。
(再請負)
第 10 x xが甲の承諾を得て業務を第三者に再請負する場合は、十分な個人情報の保護水準を満たす再請負先を選定するとともに、当該再請負先との間で個人情報保護の観点から見て本特則と同等以上の内容の契約を締結しなければならない。この場合、乙は、甲から要求を受けたときは、当該契約書面の写しを甲に提出しなければならない。
2 前項の場合といえども、再請負先の行為を乙の行為とみなし、乙は、本特則に基づき乙が負担する義務を免れない。
(事 故)
第 11 条 乙において個人情報に対する不正アクセスまたは個人情報の紛失、破壊、改ざん、漏えい等の事故が発生したときは、当該事故の発生原因の如何にかかわらず、乙は、ただちにその旨を甲に報告し、甲の指示に従って、当該事故の拡大防止や収拾・解決のために直ちに応急措置を講じるものとする。なお、当該措置を講じた後ただちに当該事故及び応急措置の報告並びに事故再発防止策を書面により甲に提示しなければならない。
2 前項の事故が乙の本特則の違反に起因する場合において、甲が情報主体又は甲の顧客等から損害賠償請求その他の請求を受けたときは、甲は、乙に対し、その解決のために要した費用(弁護士費用を含むがこれに限定されない)を求償することができる。なお、当該求償権の行使は、甲の乙に対する損害賠償請求権の行使を妨げるものではない。
3 第 1 項の事故が乙の本特則の違反に起因する場合は、本契約が解除される場合を除き、乙は、前二項のほか、当該事故の善後策として必要な措置について、甲の別途の指示に従うものとする。
以上
Ⅲ.仕様書
「情報処理安全確保支援士公開システム構築」
(仕 様 書)
目次
1. はじめに
「情報処理安全確保支援士公開システム構築」仕様書(以下「本書」という。)は、独立行政法人情報処理推進機構(以下「IPA」という。)が情報処理安全確保支援士(通称「登録セキスぺ」。以下「登録セキスぺ」という。)の公開業務を行うためのシステム調達要件を示すものである。
1.1 背景及び目的
平成 28 年 4 月、サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案の成立に伴い、新たに登録セキスぺに関する制度が創設され、IPA にその試験事務、登録事務及び講習事務が委託されたところである。
情報処理安全確保支援士制度では、登録セキスぺの登録簿を整備するとともに、登録セキスぺの活用を促進し、政府機関や企業等の情報セキュリティ対策の強化を図るため、ホームページにおける登録事項の公開を行う。(平成 28 年 4 月経済産業省中間とりまとめ1)
上記を実現する手段として、登録セキスぺの公開情報(以下「登録者公開情報」という。)をインターネットを介して企業等の一般利用者が検索、閲覧できる情報システム(以下「公開システム」という。)を構築する。また、登録セキスぺ向けのマイページ機能を設け、登録セキスぺが企業等に自身を宣伝する場を提供する。
公開システムを通じて登録セキスぺが広く認知され、又活用されることにより、社会における登録セキスぺの価値向上に繋げることが狙いである。
1.2 情報処理安全確保支援士制度の全体像
情報処理安全確保支援士制度においては、大きく分けて次の 3 つの段階がある。
1) 登録セキスぺになる資格を有する者になる段階
2) 登録を受けて登録セキスぺになる段階
3) 登録セキスぺとして活動、資格を維持する段階
図 1 情報処理安全確保支援士制度の全体像
本書が対象とする業務は、図 1 情報処理案現確保支援士制度の全体像における「登録情報の公開」である。
1.3 用語の定義
表 1 用語一覧にて、本書で使用される主な用語を解説する。
表 1 用語一覧
No. | 用語 | 定義 |
1. | 登録セキスぺ | 「情報処理安全確保支援士」の通称。 |
2. | 有資格者 | 登録セキスぺとして登録できる資格を有している者。 |
3. | 登録証 | 登録を受けたときに、IPA 理事長名義にて発行される「情報処 理安全確保支援士登録証」のこと。 |
4. | 登録簿 | 「情報処理安全確保支援士登録簿」の略称。登録セキスぺの人定を確実にするために経済産業省に備える、登録を受けた者の登録事項が記された帳簿のこと。必要最低限の事項のみが記載 される。 |
5. | 登録セキスぺ DB | IPA に備える、登録セキスぺの情報を扱うデータベースのこと。 登録を受けた者の登録事項全てを保持している。 |
6. | 登録者公開情報 | 公開が必須となる登録事項(登録番号、登録年月日、資格試験合格年月、講習受講日)に加え、登録セキスぺが任意で公開を 求めた情報。公開システム上で公表する。 |
7. | 作業ルーム | 登録セキスぺに係る登録事務等を実施する特別区画。 |
8. | 登録セキスぺシステム | 登録セキスぺに関する情報を管理する情報システム。作業ルー ムで運用される。 |
9. | 公開システム | 登録者公開情報を一般公開するための情報システム。本書にお ける調達対象。 |
2. 業務概要
2.1 全体概要
図 2 全体概要図に、システムの全体概要、及び 2.3 業務フローに記載した業務との関連を示す。
2.2 利用者区分
図 2 全体概要図
公開システムの利用者を、表 2 利用者区分に示す。
表 2 利用者区分
No. | 利用者 | 役割 |
1 | 一般利用者(企業等) | 登録者公開情報を閲覧する者(政府機関や企業等)。 |
2 | 登録セキスぺ | 登録セキスぺとして登録されている者。 |
3 | 管理者(IPA 職員) | 登録者公開情報の公開に関する業務、及びシステムの管理を行う IPA の担当者。 ※管理者(IPA 職員)が複数人存在する場合でも、全員同一権限 を持つ。 |
2.3 業務フロー
(1) 登録者公開情報登録
管理者が、定期的に登録者公開情報(CSV ファイル等)を公開システムにアップロードする。
図 3-1 業務フロー(登録者公開情報登録)
(2) 利用者 ID 管理
管理者が、公開システムへのログイン ID のステータス管理(ID 削除や停止等)を行う。また、新規登録の場合は、ID と初期パスワードをファイル(CSV ファイル等)アップロードにより一括して登録する。
図 3-2 業務フロー(利用者 ID 管理)
(3) マイページ機能提供
登録セキスぺが、個人の属性情報を自身で更新する。(変更が可能な項目のみ)また、顔写真のアップロードも任意で可能とする。
なお、管理者は、不適切な表現等を発見した場合に、該当項目を非表示にする権限を持つ。
図 3-3 業務フロー(マイページ機能提供)
(4) マイページ機能提供(パスワード変更)
登録セキスぺが、自身の公開システムへのログインパスワードを変更する。
図 3-4 業務フロー(マイページ機能提供(パスワード変更))
(5) 一般情報提供
一般利用者が、公開システムにアクセスし、登録セキスぺの公開情報を検索する。また、検索結果を一覧としてデータ出力(Excel ファイル等)する。
図 3-5 業務フロー(一般情報提供)
3. 機能要件
3.1 機能一覧
公開システムで実現する機能は、表 3 機能一覧の通り。
表 3 機能一覧
一般利用者向け機能 | ||||
機能 No. | 機能名称 | 利用者 | 画面有無 | 概要 |
1-1 | 登録者公開情報参照機能 | 一般利用者 (企業等) | ○ | 登録者公開情報を閲覧するための機能。 画面表示を絞り込むための条件検索を可能とする。 |
1-2 | ファイルエクスポート機能 | 一般利用者 (企業等) | ○ | 画面表示された一覧データを Excel 等の ファイルに出力する機能。 |
登録セキスぺ向け機能 | ||||
機能 No. | 機能名称 | 利用者 | 画面有無 | 概要 |
2-1 | ログイン/ログアウト機能 | 登録セキスぺ | ○ | 登録セキスぺが自身のマイページにログイン、及びログアウトする機能。 なお、初回ログイン時には利用規約を表示し、合意を求める仕組みとする。 ※登録セキスぺには、登録証と同時にログ イン ID と初期パスワードを郵送済みであることを条件とする。 |
2-2 | 登録者公開情報編集機能 | 登録セキスぺ | ○ | 登録者公開情報に対して、任意入力項目を編集する機能。 ※編集可能なデータ項目は、要件定義で決定する。 顔写真データのアップロードが行えるこ と。 |
2-3 | パスワード変更機能 | 登録セキス ぺ | ○ | 登録xxxxが自身のパスワードを変更 する機能。 |
管理者向け機能 | ||||
機能 No. | 機能名称 | 利用者 | 画面有無 | 概要 |
3-1 | ログイン/ログアウト機能 | 管理者 (IPA 職 員) | ○ | 管理者 ID を持つ管理者が、専用画面にログイン、及びログアウトする機能。 |
3-2 | ID 管理機能 | 管理者 (IPA 職員) | ○ | 利用者 ID、及び管理者 ID を削除、又は使用停止にする機能。 CSV ファイル等のアップロードによる利用者 ID 及び初期パスワードの一括登録を可能とする。 ※使用停止:アカウントを削除せず、マイ ページへのログインを不可とする。 |
3-3 | ファイルアップロード機能 | 管理者 (IPA 職員) | ○ | 登録者公開情報(CSV ファイル等)をアップロードする機能。 アップロードする度に全データを上書きし、変更履歴は持たせない。 なお、アップロードファイルには、登録セキスぺがマイページから編集可能な項目 は含まない。 |
3-4 | お知らせ表示機能 | 管理者 (IPA 職員) | ○ | 管理者が、データを更新した旨等を一般利 用者に周知するためのインフォメーション表示機能。 |
3-5 | 項目非表示機能 | 管理者 (IPA 職 員) | ○ | 登録セキスぺによる編集(機能 No.2-2 の処理)内容に不適切な表現が含まれる等し た場合に、該当項目を非表示にする機能。 |
3-6 | パスワード管理機能 | 管理者 (IPA 職員) | ○ | 登録セキスぺのログインパスワードを変更、又は初期化する機能。 なお、バッチ処理でパスワードの初期化を 行えること。 |
3.2 画面一覧
(1) 画面イメージ
登録者公開情報閲覧画面と明細表示画面のイメージを、図 4 画面イメージに示す。
図 4 画面イメージ
(2) 画面一覧
表 4 画面一覧に、実現する画面の一覧を記載する。
No.1~9 全てが独立している必要はなく、集約又は分割されても良い。
また、要件を実現する上で必要となる画面がこれ以外に存在する場合は、追加することとする。
表 4 画面一覧
No. | 画面名 | 概要 |
1. | 登録者公開情報閲覧画面 | 条件を検索し、登録者公開情報を一覧表示する画面。 |
2. | 明細表示画面 | 登録者公開情報閲覧画面から遷移し、登録セキスぺの明細情報 を表示する画面。 |
3. | ログイン画面 | 登録セキスぺ、又は管理者がログインを行う画面。 |
4. | 登録者公開情報編集画面 | ログインした登録セキスぺが、個人データを編集する画面。 |
5. | パスワード変更画面 | ログインした登録セキスぺが、自身のログインパスワードを変 更する画面。 |
6. | 利用者 ID 管理画面 | 利用者 ID の管理(削除、使用停止等)を行うための、管理者用 の画面。 |
7. | ファイルアップロード画面 | CSV ファイル等(登録者公開情報、利用者 ID・初期パスワード リスト)をアップロードするための管理者用画面。 |
8. | 強制非表示実行画面 | 管理者が登録セキスぺの公開情報を非表示にするための画面。 登録セキスぺの編集内容に不適切な表現等があった場合に、管理者が該当する項目を強制的に非表示にする。 |
9. | パスワード管理画面 | 管理者が登録セキスぺのパスワードを変更、又は初期化するた めの画面。 |
3.3 帳票一覧
公開システムで出力する帳票は、表 5 帳票一覧に記載の通り。
表 5 帳票一覧
No. | 帳票名 | 概要 | 出力形式 |
1. | 登録者公開情報一覧 | 検索して出力された登録者公開情報の一覧。 | Excel 等のファイル 形式 |
3.4 外部インタフェース一覧
公開システムで連携する外部インタフェースは、表 6 外部インタフェース一覧に記載の通り。
(他システムとの自動連携処理は行わない。)
表 6 外部インタフェース一覧
No. | インタフェース名 | 概要 | 連携方式 | 送受信区分 |
1. | 登録者公開情報 | 管理者がアップロードする登録者公開情報 (CSV ファイル等)。 | 手動 | 受信 |
2. | 登録セキスぺログイン情報 | 管理者がアップロードする、登録セキスぺの公開システムへのログイン ID、及び初期 パスワードのリスト(CSV ファイル等)。 | 手動 | 受信 |
3.5 情報一覧
公開システムで取り扱う情報は、表 7 情報一覧に記載の通り。(全て登録セキスぺが登録を許可した情報であり、機密性情報は取り扱わない。)
表 7 情報一覧
No. | 情報名 | 概要 |
1. | 登録者公開情報 | 一般公開の対象となる登録セキスぺの個人情報。 ①登録番号 ●(*1) ②登録年月日 ●(*1) ③氏名 ④フリガナ ⑤生年月 ⑥試験合格年月 ●(*1) ⑦試験合格証番号 ⑧講習修了年月日 ●(*1) ⑨自宅住所(都道府県) ⑩勤務先名称 ➃勤務先住所(都道府県) ⑫連絡先電話番号 ⑬連絡先メールアドレス ⑭得意分野 ⑮保有スキル ⑯自由記述 ▲(*2) ➃顔写真 ▲(*2) (*1) ●は公開必須項目。 (*2) ▲はマイページからの編集を許可する項目。詳細は要件定義にて決定する。 |
3.6 アプリケーションログ一覧
公開システムで取得するアプリケーションログは、表 8 アプリケーションログ一覧に記載の通り。アプリケーションログは、利用状況の分析や、アクセス監視等の目的で取得することを想定している。そのために必要となる情報を収集すること。
表 8 アプリケーションログ一覧
No. | ログ種別 | 概要(タイミング等) | 保存期間 |
1. | ログインとログアウト | タイミング:ログイン、ログアウト | 6 か月 |
2. | 操作ログ(登録セキスぺ/管理者) | タイミング:オペレーション実施時 | |
3. | ファイルダウンロード | タイミング:ファイルダウンロード時 | |
4. | ファイルアップロード | タイミング:ファイルアップロード時 |
3.7 データ移行
本システムは新規構築システムであるため、データ移行は行わない。
4. システム稼働環境の要件
4.1 ハードウェア構成
(1) 本番環境
本システムは、請負者が提供するクラウド環境にて実現する。
なお、国内で運用される(国内法が適用される)クラウドサービスの利用を前提とする。
(2) 開発環境
本番環境と同じく、クラウド環境を利用する。請負者にて開発、検証環境を用意し、IPA からのアクセスを可能とすること。
※開発環境について
・構築、テストに係る作業場所及び必要な機器等は、請負者が用意すること。
・構築、テストに使用する機器等について、十分なセキュリティ対策が施されていること。
・開発環境は納入物件には含まない。
(3) クライアント環境
PC およびスマートフォン上で動作する複数の一般的なブラウザ( Microsoft Internet Explorer、Google Chrome 等)において動作し、ブラウザ以外のクライアント用ソフトウェアの導入は不要であること。
4.2 ソフトウェア構成
(1) DBMS、アプリケーションプラットフォーム等の選定条件
業務量が同程度の民間企業又は行政機関等に導入され、十分な稼動実績を有すソフトウェアを選定すること。
5. 非機能要件
5.1 性能・拡張性要件
(1) 前提条件
性能目標を設定するにあたり前提となる事項は、表 9 前提条件に記載の通り。
表 9 前提条件
No. | 情報名 | 要件 |
1 | ユーザ数(登録セキスぺ) | 5,000 人程度(平成 29 年 4 月 1 日時点状況) 50,000 人程度(3 年後最大予測) |
2 | 一般利用者アクセス数 | 1,000 人/日程度(現 HP アクセス数相当) |
3 | 同時アクセス数(登録セキスぺ) | 100 件程度 ※参考値であり同時処理を前提とするものではない。 |
(2) 性能目標値
性能目標値は、表 10 性能要件に示す通りとする。
表 10 性能要件
No. | 情報名 | 要件 |
1 | 画面応答待ち時間 | 原則 3 秒以内 ※一般的なブロードバンドネットワークを利用した場合に、ストレスを感じない程度とする。 |
2 | ファイルダウンロード/ アップロード時間 | 原則 5 秒以内 ※上記と同様。 |
(3) 拡張性
利用者の増加に備え、柔軟にリソースを拡張できるよう配慮されていること。
5.2 可用性・信頼性要件
(1) 計画的なメンテナンスを除いて、原則 24 時間 365 日の稼動を前提とする。
平日休日に関わらず、サービス停止は最大で 3~4 時間程度にとどめる。月間稼働率は、 99.6%以上とする。
(2) IPA が想定するユーザ数、データ量を超えた場合でも動作すること。
5.3 セキュリティ要件
セキュリティについて十分に考慮し対策を講じたシステムであること。
システムのセキュアな環境の監視、維持、及び利用者が安心してシステムを利用できる環境を実現すること。
5.3.1 セキュリティ対策方針
(1) IPA のセキュリティポリシーを遵守すること。情報に対する不正アクセス、情報漏えい及び改ざんを防止するため、機密性、完全性及び可用性の観点で対策を行うこと。
(2) 「政府機関の情報セキュリティ対策のための統一基準(平成 28 年度版)」を参考にすること。
xxxxx://xxx.xxxx.xx.xx/xxxxxx/xxxxxxx/xxxxx00.xxxx
(3) セキュリティ要件を定義するにあたり内閣サイバーセキュリティセンター(NISC)が公開している「情報システムに係る政府調達におけるセキュリティ要件策定 マニュアル(SBD マニュアル)」を参考にすること。 xxxxx://xxx.xxxx.xx.xx/xxxxxx/xxxxxxx/xxx_xxxxxxx.xxxx
(4) 開発作業及びシステムに影響を及ぼす可能性がある作業、物品及びシステムに対し、事前に予測できる範囲内で適切なセキュリティ対策を行うこと。
(5) 本システムを構成するソフトウェア等では十分なセキュリティ対策を講じることが困難な場合は、多層防御によりシステム全体のセキュリティを担保すること。
(6) 現在の技術で実現可能な対策を具体的な方法で行うこと。
(7) ウェブアプリケーションの実装においては、IPA が公表している「安全なウェブサイトの作り方」の最新版に従うこと。
xxxx://xxx.xxx.xx.xx/xxxxxxxx/xxxx/xxxxxxxxxxx.xxxx
(8) TLS(SSL)通信を行うシステムの構築、運用、保守においては、「SSL/TLS 暗号設定ガイドライン」に従うこと。
xxxxx://xxx.xxx.xx.xx/xxxxxxxx/xxxx/xxx_xxxxx_xxxxxx.xxxx
(9) 暗号化機能、電子署名機能を使用するシステムの構築、運用、保守に際しては、「電子政府推奨暗号リスト」に基づくアルゴリズム及びプロトコルを採用すること。 xxxxx://xxx.xxxxxxxx.xx.xx/xxxx.xxxx
(10)IPA が公表している「Web Application Firewall 読本」の最新版を参考にすること。 xxxx://xxx.xxx.xx.xx/xxxxxxxx/xxxx/xxx.xxxx
(11)IPA が公表している「『高度標的型攻撃』対策に向けたシステム設計ガイド」の最新版を参考にすること。
xxxx://xxx.xxx.xx.xx/xxxxxxxx/xxxx/xxxxxxxxx.xxxx
(12)パスワードを発行する際は、下記 URL を参考にし安全な発行方法を構築すること。 xxxx://xxx.xxx.xx.xx/xxxxxxxx/xxxxxxxxx/xxxxxx/xxxxxxxxxxxx0/xxxxxxxx/000.xxxx
(13)ウェブサイトのドメインには、政府機関のドメインであることが保証されるドメイン名
「.xx.xx」を使用すること。
5.3.2 セキュリティ要件
開発及び運用、保守にあたり、守るべき具体的な情報セキュリティ対策の例を以下に示す。サーバー攻撃等による様々なリスクに対抗できる情報セキュリティ対策を施すこと。なお請負者が準備する開発環境においても同等の対策を講じること。
(1) アクセス制御および証跡
① ネットワーク機器を導入した場合は、個別機器または外部認証装置等を用いたアクセス制御機能を実装し、システム管理者等職責に応じた権限付与および制御ができること。
② ソフトウェアのアカウントに、アクセス制御機能を実装し、ユーザごとに権限付与および制御ができること。
③ 各機器および OS に対するアクセス証跡(特に、スーパーユーザ)を取得すること。
④ 取得した証跡を最低でも 5 年間保管し、必要に応じて参照可能であること。
⑤ 各機器の時刻を基準となる機器と同期させ、アクセス証跡日時を統一すること。
⑥ 管理者用 ID 等の特権ユーザがアクセス可能な IP アドレスを限定する等、特権ユーザの悪用に対する対策を行うこと。
⑦ 請負者の作業用 ID に関しても⑥と同様に悪用に対する対策を行うとともに、所有する ID のリストとログイン履歴を定期的に IPA に報告すること。
⑧ 請負者が運用、保守のために利用する作業用 PC は限定し、通常業務に使用する PC とは区別すること。(IPA の作業用 PC も同様に限定する。)
(2) 脆弱性対策
① 調達するソフトウェア等について、メーカから脆弱性に関する情報が公開されたとき、その脆弱性がもたらすリスクを分析の上、IPA に報告すること。
② 脆弱性がもたらすリスクを分析した結果、対策が必要と判断されるときは、対策方法や暫定的な回避策および対策方法等または暫定回避策がシステムに与える影響や対策の実施計画および対策テストの必要性、対策テストの方法および実施予定について、IPA と協議の上、脆弱性対策プランを策定し、迅速に対応可能な体制を構築すること。
③ 利用しないプロセスやサービスは全て停止すること。
(3) ウイルス対策
① ウイルス対策ソフトウェアの導入を必須とし、ウイルスの検知および除去を行うこと。
② 定期的にウイルスパターンファイル等の更新を自動的に行うこと。
③ 定期的にウイルスチェックを行うこと。
④ 各導入製品の発売元または提供元より、個別システムに影響を及ぼすウイルスまたはワーム等の情報が公開されたときは、迅速にその概要を報告すること。
(4) 修正プログラムの適用
① 各ソフトウェアについて、原則として開発時にサポート対象となる最新バージョンとし、各種不具合修正用プログラムやパッチを適用すること。
② 発売元または提供元より入手した修正プログラム等のリリース情報に基づき、適用すべき修正プログラム等を選別し、IPA と協議の上、これを適用すること。
(5) ファイアウォール
① 原則として、外部からのアクセスは HTTPS のみ通過させ、外部へのアクセスは必要最小限のプロトコルを通過させるようにすること。
② 適切なポリシー設定を行い、すべての通過パケットをチェックすること。
③ 通信記録をログとして採取し、アクセス状況を解析可能とすること。
(6) データ改竄対策
① ネットワークスキャンを実施し、不要ポートの閉塞確認を行うこと。
② データのアクセス権設定を適切に行うこと。
③ アプリケーション(プログラム、コンテンツ)の書き込み権限を削除すること。
(7) Web コンテンツ等の脆弱性予防対策
① 潜在的な脆弱性に対し、Web アプリケーションファイアウォール等を用いて予防対策を行うこと。
(8) なりすまし対策
① マイページのトップ画面に最終ログイン日時を表示する等、ユーザのなりすましによる被害を軽減する対策を施すこと。
(9) システムの監視
① IDS 等を利用し、不正なアクセスに対する監視を行うこと。
② データセンタへ入館が可能な要員を必要最低限とする、監視カメラで出入りを記録する等、物理的な防御を行うこと。
(10) 通信の暗号化
① Web ブラウザとサーバ間の通信の暗号化を行うこと。
(11) アプリケーション・コンテンツの開発
① 提供するアプリケーション・コンテンツが不正プログラムを含まないこと。
② 提供するアプリケーションが脆弱性を含まないこと。
③ 実行プログラムの形式以外にコンテンツを提供する手段がない限り、実行プログラムの形式でコンテンツを提供しないこと。
④ 電子証明書を利用する等、提供するアプリケーション・コンテンツの改竄等がなく真正なものであることを確認できる手段がある場合には、それをアプリケーション・コンテンツの提供先に与えること。
⑤ 提供するアプリケーション・コンテンツの利用時に、脆弱性が存在するバージョンの OS やソフトウェア等の利用を強制する等の情報セキュリティ水準を低下させる設定変更を、 OS やソフトウェアの利用者に要求することがないよう、アプリケーション・コンテンツ の提供方式を定めて開発すること。
(12) その他情報セキュリティに関する事項
① 請負者は、その従業員、再委託先、若しくはその他の者による意図せざる変更が加えられないための管理を徹底し、プロジェクト計画書に管理体制を記載すること。
② 請負者は、本事業に従事する者を限定すること。また、請負者の資本関係・役員の情報、本事業の実施場所、本事業の全ての従事者の所属、専門性(情報セキュリティに係る資格・研修実績等)、実績及び国籍に関する情報を IPA 担当職員に提示すること。なお、本事業の実施期間中に従事者を変更等する場合は、事前にこれらの情報を IPA 担当職員に再提示すること。
③ 請負者は、本事業に係るセキュリティインシデントが発生した場合、速やかに IPA に報告を行い、対処方法を協議のうえ実施すること。
④ 請負者は、IPA との秘密情報の受渡に関して、安全管理措置が講じられた方法を採用すること。なお、受渡、廃棄/抹消、及び確認方法等の秘密情報取扱に関する具体的な手順については、IPA と協議のうえ決定する。
⑤ 請負者は、IPA が実施する情報セキュリティ監査又はシステム監査を受け入れるとともに、指摘事項への対応を行うこと。
⑥ 請負者は、情報セキュリティ対策が不十分であることが判明した場合、又はそうした状態になることが予見された場合は、必要となる改善策を提案し IPA と協議のうえ実施すること。
⑦ 請負者は、本事業を再委託する場合は、再委託することにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、情報セキュリティ対策の実施を契約等により再委託先に担保させること。なお、再請負先における情報セキュリティの確保については、請負者の責任とする。
⑧ 請負者は、クラウドサービスの利用における情報セキュリティ対策に関して、本書に記載された要件以外で必要と考えられる措置がある場合はそれを実施すること。
5.4 運用・保守要件
運用及び保守要件を以下に記載する。
(1) 障害対応と環境メンテナンス
システムの維持に必要なメンテナンス(ハードウェアの定期点検、ソフトウェアのアップデート、無影響確認、セキュリティ対策機器の設定見直し等)、及び障害への対応を行うこと。
(2) バックアップ運用
毎日 1 回以上の定期バックアップを取得し、3 世代以上保持すること。データセンタの被災を想定し、バックアップデータは遠地保管することが望ましい。
(3) セキュリティ対策状況の定期報告
最新のセキュリティ対策が適切に施されているか、また、外部からの不正アクセスを検知したか等のセキュリティ対策に関する監視状況を定期的に報告すること。
(4) 問合せ窓口の設置
利用者向けの問合せ窓口(メール、問合せフォーム等)を設置し、基本的なシステムの操作や障害等の問合せに対応すること。対応時間は、土日、祝日、年末年始を除く営業日の 9:30
から 18:00 を想定する。
なお、業務に関する問合せについては、IPA にて対応する。必要に応じてエスカレーションし、指示を仰ぐこと。
(5) 操作マニュアルのメンテナンス
システムアップデート等により操作マニュアルの記載内容に変更が生じる場合は、改版を行うこと。
5.5 教育・研修要件
教育及び研修の実施は、調達の対象外とする。
ただし、登録セキスぺ及び管理者向けの操作マニュアルの作成、メンテナンスを行うこと。
5.6 アクセシビリティ要件
画面の表示言語は、日本語とする。
6. 要件定義要件
IPA の業務を実現させるために技術的な側面を十分に検討し、実現可能な方策を検討すること。また、IPA 担当職員とのヒアリングスケジュールを作成し、IPA に承認を得た上、円滑に作業を遂行すること。
要件定義作業の完了をマイルストーンとして設定し、成果物について IPA の承認を得てから、基本設計に進むこと。
検討に際し、以下を実行すること。
・不整合が発生する可能性がある場合、IPA に報告し協議の上で解決させること。
・技術的な実現性を担保すること。
・業務の効率化、業務への効果を考慮すること。
7. 設計要件
本書に記載されている要件を満たす機能開発に向けた機能設計・画面デザイン、データモデル作成業務等に関する要件について記載する。
設計作業では、技術面、業務面について実現性や実効性、リスク耐性等を充分に検討すること。なお、設計作業の完了をマイルストーンとして設定し、設計書について IPA の承認を得てから、開発を進めること。
検討に際し、以下について配慮し IPA の承認を得ること。
・不整合が発生する可能性がある場合、IPA と協議の上で不整合を解消させること。
・技術的な実現性が担保できること。
・データのコンフリクト等、業務運用において起こり得る異常処理を考慮した設計であること。
・業務における効率性、効果について配慮されていること。
7.1 機能設計
(1) 利用者区分によるアクセス(システムの操作、情報登録、参照、削除等)の制御を考慮した設計を行うこと。
(2) 将来的な機能拡張に備えて機能改修が容易に行えるように配慮されていること。
(3) アクセス制御に関する要件と仕様についての詳細は、機能設計の方針を考慮した上で、要件定義もしくは 基本設計の段階にて、改めて IPA と協議の上で定める。
7.2 画面インタフェース設計・デザイン
(1) 登録セキスぺの活用、価値醸成を促進するデザインを備える画面設計を行うこと。
(2) Web アクセシビリティに関しては、総務省が提示する「みんなの公共サイト運用ガイドライン」を参考とすること。 xxxx://xxx.xxxxx.xx.xx/xxxx_xxxxxx/xxxx_xxxxxx/x_xxxx/xxxxxxxxx.xxxx
8. テスト要件
8.1 テスト範囲
(1) 機能要件および非機能要件を担保するためのテストを行うこと。また、IPA の承認を受け円滑にテストを実施すること。
(2) 下記のテストが実施されることを想定している。
・詳細設計に基づく単体テスト(カスタマイズ等により個別にコーディングした範囲)
・基本設計に基づく結合テスト
・要件定義に基づくシステムテスト
・要件定義に基づく受入れテスト
(3) IPA が受入れテストに併せて実施するペネトレーションテストにおいて、発見された問題を解消すること。
ペネトレーションテストで実施される想定内容を以下に記載する。
・クロスサイトスクリプティング
・SQL インジェクション
・セッション管理
・認証機能の安全性
・ファイル拡張子診断
・OS コマンドインジェクション診断
・ディレクトリトラバーサル診断
・権限昇格診断
・パラメータ書き換え診断
・その他 Web アプリケーション固有の問題の診断
8.2 テスト計画の策定
テスト方針、品質指標、開始および終了条件、テスト実施体制、テスト方法(利用するツール等を含む)、テストデータ、テスト環境、テスト運営方法等について記述したテスト計画書を作成し、IPA の承認を得ること。
8.3 テスト方法
(1) システムテスト
① システムテストは、本番稼動環境において行うものとする。
② システムテストは、設定したクラウドサービスの正常稼働及びカスタマイズ開発したアプリケーションが本書に基づいた機能要件および非機能要件を担保するためのテストを実施する。
③ システムテストに伴って発生する設定変更等の作業を行うこと。また、テスト終了時にシステムテスト報告書を作成すること。
④ システムテスト工程で発見された不具合等については、システムテスト工程完了時までに対応を完了すること。
(2) 受入れテスト
① 受入れテストは本番稼動環境において行うものとする。
② 受入れテストの結果、納入物件の全部又は一部に不合格が生じたときは、直ちに必要な修復を行うこと。
③ 受入テストは、IPA が別途作成するテスト仕様書に基づいて行うが、このテストの支援を行うこと。
④ テスト実施結果を取りまとめる作業に協力すること。
⑤ テスト時に使用した一時ファイル等の不要な資産は、テスト終了後に請負者が削除すること。また、設定等を見直し、サービス提供が可能な環境とすること。
8.4 テストデータ
(1) テストで使用するデータが存在するときは、テスト計画書に使用するデータの種類等を記載し、使用したテストデータをテスト結果とともに納入すること。
(2) テスト終了時には、テスト時に使用した不要なデータ、ユーザ ID 等が存在しない状態であること。
(3) テスト終了時には、テスト時に使用した不要なプロセスおよびサービス等は、運用開始までに完全に停止すること。
9. 移行に関する要件
新規構築システムであり、現行システムからのシステム移行作業は発生しない。
10. 保証要件
(1) 納品時から 2021 年 3 月末日までの期間において納入物件が設計書の通り動作することを保証すること。2021 年 4 月以降の保証については IPA と協議の上決定すること。
(2) システムで使用する OS、ミドルウェア、ソフトウェアについて、メーカー等によるサポートが 2021 年 3 月末日までを含む期間保証されること。
(3) 納入物件に関する技術情報の提供を平日 9:30 から 18:15 の範囲で行うこと。日本語によるコミュニケーションを提供すること。
(4) 納入物件に関わる技術的な問題(導入時に使用していない機能や、バージョンアッププログラムを含む)で、操作マニュアル等により判別がつかない事象が発生した場合に、IPA 担当者が速やかに対応し事象を解決することができる技術情報を提供すること。
(5) 納入物件に関するセキュリティパッチおよびアップデートの適応について、速やかに IPAに情報提供し、システムが正常動作することを保証すること。
(6) JVN (Japan Vulnerability Notes)、JVN iPedia の活用等により、IPA に対し本システム
のセキュリティリスクに関する情報提供を適宜かつ速やかに行うこと。
(7) 設計書に基づいた保証基準を保証期間開始前に作成し IPA に承認を得ること。
(8) システム障害発生時及び IPA の要求に対し迅速な対応を行うこと。障害復旧目安は、IPA 営業時間内については 3~4 時間程度での対応とし、IPA 営業時間外の場合は次営業日の開始時から 3~4 時間程度で対応できること。ただし、大規模災害発生時はこの限りではない。また、業務継続上問題がない程度の障害である場合においても、IPA と協議の上、承認された対応策を適用すること。
(9) 障害対応の結果、成果物の内容に変更が生じた場合は、都度再納入すること。 (10)下記項目については保証の範囲外とする。
・利用者側の故意により問題が発生した場合。
・納入後に請負者以外が行った機能追加等の改修及び改造部分に関する問題である場合。ただし、問題の切り分けについては請負者の範囲とする。
・本番稼動後一年を越えて発生し、訂正するために相当の工数が必要な場合。
・納入物件に含まれる、請負者又は第三者が従前から保有する知的財産権が含まれている物件のバージョンアップ等により保証対象範囲の変更が必要となった場合。
・保証の対象外であることを、保証期間開始前に IPA と合意した項目の場合。
表 11 保証期間における役割分担
分類 | 項目 | 内容 | IPA | 請負業者 |
管理 | インシデント管理 | 異常または中断、劣化させる事象の発生から訂正までの管理 過去実績の調査・解決策の情報収 集、対応策の決定 | △ | ◎ |
問題管理 | インシデントが問題(障害、トラブ ル)であった場合の具体的な訂正 | △ | ◎ | |
変更管理 | システムの変更 | △ | ◎ | |
リリース管理 | 本番環境へのリリース | △ | ◎ | |
構成管理 | システムへの変更に関する履歴等の 管理 | △ | ◎ | |
製品保証 | ハードウェア製品 | 故障部品の交換等 | - | ◎ |
ソフトウェア製品 | 更新セキュリティ対応 | - | ◎ | |
システム保証 | 監視 | 運用状況の監視、データ収集 | - | ◎ |
点検 | 機器・部品などを定期的に点検 | - | ◎ | |
バージョンアップ | セキュリティパッチ等のテスト及び システムへの組み込み | - | ◎ | |
設定変更 | ハード・ソフトの設定値変更 | - | ◎ | |
バージョン管理 | 補修、仕様変更などの管理 | - | ◎ | |
教育 | 利用者教育 (外部) | 登録セキスぺに向けた操作マニュア ルのメンテナンス及び提供 | ○ | ◎ |
利用者教育 (内部) | 管理者向け教育実施 ※請負者は管理者に向けた操作マニ ュアルのメンテナンスを担当 | ◎ | ○ | |
業務運用と 利用者支援 | ユーザ管理 | 利用者 ID の追加、削除、更新等 | ◎ | - |
マスターメンテ | 登録者公開情報、及び利用者 ID 等の 業務データ管理 | ◎ | - | |
統計報告 | 統計分析作業等 ※請負者はデータの提供を担当 | ◎ | ○ | |
問い合わせ対応 | 利用者からの質問に対応 ※請負者では回答できない業務に関する問合せについては、IPA にエス カレーションし指示を仰ぐ | ○ | ◎ | |
ログ分析 | アプリケーションログの点検、分析等 ※請負者はデータの提供を担当 | ◎ | ○ | |
問題の解決 | 障害対応 | システム障害の復旧作業等 | △ | ◎ |
障害原因調査 | システム障害の原因追求と問題点の切り分け | △ | ◎ | |
不具合補修 | 問題点の解消(プログラム改造、部 品交換、バージョンアップ) | △ | ◎ |
△:承認又は確認 ◎:主担当 ○:一部担当 -:該当しない
11. プロジェクト管理要件
11.1 プロジェクト管理業務
(1) プロジェクト計画書(方針、作業アプローチ、条件、WBS、計画スケジュール、体制等)を契約後 2 週間以内に作成し、作業開始前に IPA 責任者の承認を得ること。
(2) プロジェクト計画書には、本プロジェクトの効果目標や要求事項、要求との関係、各種テストによる効果目標や要求事項の達成、要求の実現可能性等について記載すること。
(3) プロジェクト開始時に、品質管理基準と受入れ基準案を IPA に提示すること。
11.2 スケジュールの策定
本開発範囲における詳細スケジュールを策定すること。前提条件は以下の通り。
(1) 工程の開始・終了が明確であること。想定している工程は以下の通り。以下に示す工程以外に必要と考える工程がある場合は追加記載すること。
・要件定義、基本設計、詳細設計、製造、単体テスト、結合テスト、システムテスト、受入れテスト、稼働準備
(2) IPA 側作業のボリュームを把握し要員計画を作成できるよう、IPA 側作業についても記載すること。
(3) マイルストーンについては以下を想定している。詳細は、IPA と協議の上決定する。
・キックオフ、仕様凍結宣言、工程終了/次工程開始宣言(工程毎)、本番稼動承認
11.3 プロジェクト体制
(1) 体制には、本プロジェクトに寄与する全てのプロジェクトメンバーの氏名、所属、役職及び主担当作業、所有資格、保有スキル、関与度合いを記載すること。
(2) WBS により、作業工程ごとの作業内容、作業担当者、工数、成果物、レビュー方法、リスク、開始・終了条件及び進捗計測基準を明確にすること。
(3) プロジェクトメンバーや担当作業に変更が生じる場合、その旨をリスク分析結果とともに IPA に報告すること。
(4) 定期的に進捗状況報告書を作成の上、作業状況を報告すること。
11.4 品質及びリスク管理
(1) 品質の検証や改善のため、品質計画書を作成すること。
(2) 品質計画の立案、検証及び品質改善策の検討と実施を管理する体制を確保すること。
(3) 品質確保に関する各種取り組みが計画通り実施されていることを確認し、定期的に IPA へ報告すること。
(4) 要件定義、基本設計、詳細設計、各種テスト等の各工程完了時には、品質評価結果を IPA に報告し、承認を得ること。
(5) 受入れテスト終了時に、プロジェクトの品質管理結果を記載した品質管理報告書を提出すること。
(6) プロジェクトの遂行に影響を与えるリスクを識別し、その発生要因や発生確率、影響度および管理方法等について定期的に具体的な分析を行うこと。
(7) 分析結果を記載した報告書等により定期的に IPA へ報告すること。
11.5 課題管理
プロジェクトで発生した課題については、その内容、発生日、担当者、検討状況、検討結果およ
び解決日等の必要情報をxx的に管理すること。
(1) 定期的に課題対応状況を監視し、解決を促す仕組みを構築し、プロジェクト計画書に記載すること。
(2) 課題発生時には、速やかに IPA に報告し対応策を検討すること。
11.6 コミュニケーション管理
(1) 請負者の責任者と IPA により編成されるプロジェクトの意思決定・承認機関を編成し、プロジェクト上発生し得るリスクや発生した課題、是正要求、変更管理は、全て当該機関に報告され、協議、意思決定するものとする。
(2) プロジェクトで実施すべき会議について、内容、出席者、開催頻度、提示情報及び必要フォーム等を提案すること。また、定義した会議体はプロジェクト計画書に記載し、これを利用して開催すること。
(3) 各会議において議事録を作成し、IPA に提出し承認を得ること。
(4) 定期報告事項については、報告の頻度と時期を定めること。少なくとも、週次又は月次の進捗報告会を実施すること。
(5) IPA に提出する報告フォームは、現状、計画との差異、今後の予測及び対応策等が盛り込まれており、状況把握及び各種判断を容易に行えるものであること。
(6) プロジェクト関連情報の作成、収集、配布、共有および蓄積等の一連のプロセスに関してルールを作成し、プロジェクト計画書に記載すること。
(7) プロジェクト早期に、成果物の予測ボリュームやレビュー担当者、レビュー予定期日を定義したレビュー計画を策定すること。
12. 開発範囲
12.1 調達物件
本書で記述する要求および要件を満たすソフトウェア一式を、クラウドサービスを前提として納入すること。
12.2 作業範囲
(1) 本書で記述する要求及び要件を満たすソフトウェアの開発に係る、要件定義、基本設計、詳細設計、製造等の工程における作業、単体テストや結合テスト、システムテスト等の各種テスト、受入れテスト(ペネトレーションテストを含む)の支援、環境構築、初期データセットアップ等の作業を行うこととする。
(2) 登録セキスぺ及び管理者向けの操作マニュアルを作成すること。
(3) 本書で記述するシステム開発に関するプロジェクト管理、課題管理、リスク管理等のプロジェクト推進に関する作業を行うこと。
(4) 納入物件、及びプロジェクト管理に関するドキュメント(課題管理表、議事録等)作成を行うこと。
(5) サービス開始後 3 年間の運用・保守作業を行うこと。
12.3 環境
本番環境、開発・テスト環境、開発用 PC、及び作業場所については請負者にて用意すること。なお、受入れテストは、IPA の執務室 PC を利用して実施する。
12.4 成果物
成果物の一覧を、表 12 成果物に示す。各種ドキュメントは、各工程の進捗に併せて提出すること。
なお、下記に示す以外のドキュメント(プロジェクト進行に伴う報告書、議事録、課題管理票、管理台帳、連絡票等)についても、適宜 IPA に提出すること。
表 12 成果物
No. | 工程 | 成果物 | 提出時期/備考 | 数量 |
1 | 要件定義 | プロジェクト計画書 | 契約後 2 週間以内 | 1 式 |
2 | 要件定義書 | 要件定義終了時 | 1 式 | |
3 | 基本設計 | 基本設計書 | 基本設計終了時 | 1 式 |
4 | 詳細設計 | 詳細設計書 | 詳細設計終了時 (カスタマイズ開発部分のみ) | 1 式 |
5 | 品質計画書 | 製造開始前 | 1 式 | |
6 | テスト計画書 | テスト開始前 | 1 式 | |
7 | 製造 | ソースコード 実行プログラム | カスタマイズ開発部分のみ | 1 式 |
8 | 単体テスト | 単体テスト仕様書兼 結果報告書 | 単体テスト仕様書は単体テスト開始前 (カスタマイズ開発部分のみ) | 1 式 |
9 | 結合テスト | 結合テスト仕様書兼 結果報告書 | 結合テスト仕様書は結合テスト開始前 | 1 式 |
10 | システムテスト | システムテスト仕様 書兼結果報告書 | システムテスト仕様書はシステムテスト 開始前 | 1 式 |
11 | 受入れテスト/稼働準備 | 操作マニュアル | 受入れテスト開始前 (登録セキスぺ用と管理者用) | 1 式 |
12 | 品質管理報告書 | 受入れテスト終了時 | 1 式 | |
13 | 運用・保守 | 作業結果報告書 | 運用・保守検収時 (6 か月ごと) | 1 式 |
12.5 スケジュール
想定しているシステム構築のスケジュールを、図 5 スケジュールに示す。
図 5 スケジュール
請負者は以下のマイルストーンを考慮した移行作業のマスタスケジュールを策定し、プロジェクトを推進すること。
□受入れテスト開始 :2018 年 2 月 13 日
□サービス提供開始 :2018 年 4 月 2 日
12.6 納入要件
12.6.1 納入物件及び納入期限
システム納入に係る期限は、以下の通りとする。
下記に示す納入期限までに、表 12 成果物に記載した成果物(表 12 の No.1~12)一式を記録媒体(CD-R、DVD-R 等)に格納して 1 部を納入すること。
No.1~6 及び No.8~12 は、検収用に紙媒体 2 部を IPA に納入すること。
なお、記録媒体や形式等の詳細については、IPA 担当職員の指示に従うこと。
□納入期限 システム構築完了時 :2018 年 3 月 30 日
12.6.2 納入場所
独立行政法人情報処理推進機構
(xxx文京区本駒込 2-28-8 文京グリーンコートセンターオフィス)
12.7 検収要件
検収では、本書の条件、項目を満たすか否かにつき検査を行う。また、品質については目的を満たすに十分か否かを判断し確認を行う。
(1) システム及びドキュメントについては、原則として公開を前提とした整備が行われていること。
(2) システム及び成果に関連するソフトウェア、製品等については、それらを特定する名称やバージョンについてドキュメント中に正確に示されていること。
(3) 品質管理報告書には、責任者の氏名、品質を保証するに足る品質管理方法、品質向上状況、数値化した検査結果が含められていること。
<留意事項>
・納入物件については、納入する前にレビューを受けること。
・納入物件については、各納入物件に対し、あらかじめ協議して定めた内容を全て満たしていること及びレビュー後の改訂事項等が反映されていること。
・検査の結果、納入物件の全部又は一部が不合格となった場合には、請負者は必要な補修を行った後、IPA の承認を得て指定した日時までに補修した納入物件を再納入すること。
・納入物件以外にも、必要に応じて成果物等の提出を求める場合があるので、作成資料等は細心の注意をもって管理し、常に最新の状態を保っておくこと。
12.7.1 システム構築完了時
システム納入に係る納入物件の納入を受けた日から 30 日以内に、本書に基づき検査を実施する。
12.7.2 稼働後サービス提供x
xシステムのサービス提供後、6 か月ごとに IPA によるサービス内容の検査を実施する。
(1) 検査の実施
請負者は、6 か月ごとのサービス提供期間終了後、当該期間の業務の終了から 5 営業日以内に作業結果報告書(表 12 の No.13)を提出の上、IPA の検査を受けること。
□サービス提供期間終了時点 :2018 年 9 月 30 日
2019 年 3 月 31 日
2019 年 9 月 30 日
2020 年 3 月 31 日
2020 年 9 月 30 日
2021 年 3 月 31 日
(2) 検査期間
IPA は、作業結果報告書の受領後、10 日以内に本書に基づき検査を行う。
(3) 合格基準
本業務一式につき検査を行い、本書に定める基準に適合していれば、業務を完了したものとみなす。
13. その他
13.1 資格等
(1) 品質管理について、JISQ9001:2008(ISO9001:2008)、又は JISQ9001:2015(ISO9001:2015)の認証を取得していることが望ましい。(本業務を行う部署が認証の適用範囲に含まれていること。)
(2) セキュリティ対策について、本業務を行う部署が ISMS 適合性評価制度に基づく認証
(JISQ27001:2006(ISO/IEC27001:2005)又は JISQ27001:2014(ISO/IEC27001:2013))
を取得していること。若しくは、「JISQ15001 個人情報保護マネジメントシステム-要求事項」に適合するプライバシーマーク使用許諾事業者であること。
(3) 本件のプロジェクト管理者として、以下の何れかの区分に合格し、3 年以上の実務経験を有している者を、専任で配置すること。
① 情報処理の促進に関する法律に基づき実施される、情報処理技術者試験のプロジェクトマネージャ
② 情報処理の促進に関する法律に基づき実施される、情報処理技術者試験の IT ストラテジスト、システムアーキテクト
③ 上記①又は②と同等以上の資格、若しくは同等以上と認められる実績。
(4) 本件のセキュリティ管理者として、以下の何れかの区分に合格している者を配置すること。
① 情報処理安全確保支援士(登録セキスぺとして登録されている者が望ましい)
② 情報処理の促進に関する法律に基づき実施される、情報処理技術者試験の情報セキュリティスペシャリスト、システム監査技術者
③ 上記①又は②と同等以上の資格、若しくは同等以上と認められる実績。
(5) プロジェクトメンバーの 3 分の 2 以上が、情報処理の促進に関する法律に基づき実施される、情報処理技術者試験の基本情報技術者(または同等以上)の資格を有していることが望ましい。
(6) データベースシステムを使用したウェブアプリケーション開発について、十分な知識や経験を有する要員が体制に含まれていること。
(7) ユーザインターフェースの設計について、十分な知識や経験を有する要員が体制に含まれていること。
13.2 機密保持
本書に基づき行う請負者の作業等に関し、IPA が提供する秘密情報および資料は、公開されているものを除き、第三者に開示や漏えいまたは他の目的に使用しないこと。また、機密保持のために必要な対策を講じること。
以上
Ⅳ.入札資料作成要領及び評価手順
「情報処理安全確保支援士公開システム構築」
入札資料作成要領及び評価手順
目 次
第1章 入札者が提出すべき資料等
1.1 入札者が提出すべき資料
1.2 留意事項
第2章 提案書の作成要領及び説明
2.1 提案書の構成及び記載事項
2.2 プロジェクト計画書案の作成方法
2.3 提案書様式
2.4 留意事項
第3章 添付資料の作成要領
3.1 個人情報保護体制についての記入方法
3.2 情報セキュリティ対策ベンチマーク確認書の記入方法
第4章 評価項目一覧の構成と記載要領
第5章 評価手順
5.1 落札方式
5.2 総合評価点の計算
5.3 技術審査
5.3.1 技術審査
5.3.2 評価基準
5.4 合否評価
5.5 技術点の算出
第1章 入札者が提出すべき資料等
1.1 入札者が提出すべき資料
入札者は、独立行政法人 情報処理推進機構(以下「機構」という。)が提示する資料を受け、下表に示す資料を作成し、機構へ提示する。
[入札者が機構に提示する資料]
資料名称 | 資料内容 |
①委任状 ②入札書 | 詳しくは入札説明書を参照のこと。 |
③提案書 | 仕様書に記述された要求仕様をどのように実現するかを説明したもの。Ⅴ.評価項目一覧の大項目、中項目、小項目を参考に目次を構成すること。 別紙:「プロジェクト計画書案」にて作業の体制及び管理方法などについて記載すること。 |
④添付資料 | 以下の資料を添付すること。 ・「個人情報保護体制について」 ・「情報セキュリティ対策ベンチマーク確認書」 |
⑤補足資料(任意提出) | 入札者が作成した提案の詳細を説明するための資料。補足資料に記載されている内容は、直接評価されて点数が付与されることはない。 例:担当者略歴、会社としての実績、実施条件等 ※ワーク・ライフ・バランス等の推進に関する項目を提案書に含める場合は、認定通知書等の写しを添付すること。 |
⑥評価項目一覧 | Ⅴ.評価項目一覧にて提示している、本件に係る提案をどのような観点・基準で評価するかを取りまとめた表。 |
⑦納税証明書 ⑧登記簿謄本等 ⑨提案書受理票 | 詳しくは入札説明書を参照のこと。 |
1.2 留意事項
① 提案書について、目次構成は「Ⅴ.評価項目一覧」の構成と同一とすること。
② 評価項目一覧の提出にあたっては、「提案書ページ番号」欄に該当する提案書のページ番号が記入されていること、及び「遵守確認」欄に記入漏れがないこと。
第2章 提案書の作成要領及び説明
2.1 提案書の構成及び記載事項
次表に、「Ⅴ.評価項目一覧」から[提案書の目次]の大項目を抜粋したもの及び求められる提案要求事項の概要を示す。提案書は、当該「提案書の目次」に従い、提案要求内容を十分に咀嚼した上で実現可能な内容を記述すること。なお、目次及び要求事項の詳細は、「Ⅴ.評価項目一覧」を参照すること。
[提案書目次]
提案書目次項番 | 大項目 | 提案要求事項の概要説明 |
1 | 全体方針 | 開発範囲、業務実現等について。 |
2 | 機能及び非機能等に関する要件の実現方策 | 機能要件、非機能要件、システム稼働環境等について。 |
3 | 開発プロセス及び保証に関する要件の実現方策 | 要件定義要件、設計要件、テスト要件、保証要件等について。 |
4 | プロジェクト管理に関する要件の実現方策 | スケジュール管理及び体制、プロジェクト管理業務及びスケ ジュール策定、品質及びリスク管理、課題及びコミュニケーション管理等について。 |
5 | ワーク・ライフ・バランス等の推進に関する指標 | ワーク・ライフ・バランス等の推進に関する認定、又は行動計画の策定状況について。 ※本項目を提案書に含める場合は、認定通知書等の写しを添 付すること。 |
別紙 | プロジェクト計画書案 | 本件を確実に実施するための体制、要員、工程計画、工程管理計画、品質保証計画、セキュリティ計画等について「プロジェクト計画書案」としてまとめたもの。 詳細は、2.2プロジェクト計画書案の作成方法を参照のこと。 注)この提案書別紙は、採点の対象となる。 |
2.2 プロジェクト計画書案の作成方法
PMBOK等に基づいたプロジェクト計画書案を作成の上、提案書の別紙として提出すること。プロジェクト計画書案は、xxxの独立したドキュメントとして成立するように構成し、章立てを提案書本文から引き継がずに最初から開始すること。
プロジェクト計画書案には、以下の内容が含まれていることを要求する。提案書本文で記述した事項と重複することを妨げない。
また、IPA側の体制等、提案時点で知り得ない情報を要するものについては、想定できる範囲内で記述すること。
① 実施体制
・作業要員等について、実働可能な人数と役割を含めて図表を用いた記述。
・特に再請負により業務の全部または一部を第三者と共同で行う場合には、それぞれの役割分担と関係。
・開発の一部を外注する場合、その作業内容。
・主要なリーダ/担当者について、担当作業、スキル、略歴。
・社内外のセキュリティに関する教育の受講歴。
・コミュニケーション計画及びプロジェクトの意思決定手順。
② 工程計画(資源・工数・要員などの計画を含む)
・WBS(ワーク・ブレークダウン・ストラクチャー。少なくともレベル2、必要に応じて
レベル3まで細分化され、かつ、作業項目毎に工数、コスト等により定量化されていること)。
・主要なマイルストーン。
③ 工程管理計画
・具体的な、WBSディクショナリーの骨子及び進捗評価基準(あるいはその考え方)
・ドキュメント一覧(納品物だけでなく、プロジェクト遂行にあたって用いるドキュメントを全て)。
④ 品質保証計画
・具体的な、ドキュメント作成基準の考え方、ドキュメントレビュー計画、品質評価指標の考え方など。
なお、一部のドキュメントについて、仕様書において作成基準を指定している場合があるので注意すること。
⑤ セキュリティ計画
・実施体制、設計における情報セキュリティ対策の方針前提条件、制約条件及びリスク分析など。
2.3 提案書様式
① 提案書及び評価項目一覧はA4判にて印刷し、特別に大きな図面等が必要な場合には、原則としてA3判にて提案書の中に折り込む。
② 提案書については、電子媒体に保存された電子ファイルの提出を求める。その際のファイル形式は、原則として、Microsoft Office形式、Open Office形式またはPDF形式のいずれかとする(これに拠りがたい場合は、機構まで申し出ること)。記録媒体は、CDまたはDVDとする。
2.4 留意事項
① 提案書作成に当たって、「1.2 留意事項 ①」に注意する。
② 機構から連絡が取れるよう、提案書には連絡先(電話番号、FAX番号、及びメールアドレス)を明記する。
③ 提案書を評価する者が特段の専門的な知識や商品に関する一切の知識を有しなくても評価が可能な提案書を作成する。なお、必要に応じて、用語解説などを添付する。
④ 提案に当たって、特定の製品を採用する場合は、当該製品を採用する理由を提案書中に記載するとともに、記載内容を証明及び補足するもの(製品紹介、パンフレット、比較xx)を補足資料として提出する。
⑤ 入札者は、提案内容について具体的に提案書本文に記載すること。より具体的・客観的な詳細説明を行うための資料を、提案書本文との対応付けをした上で補足資料として提出することは可能であるが、その際、提案要求事項を満たしているかどうかが提案書本文により判断されることに留意すること。例えば、提案書本文に「補足資料○○参照」とだけ記載しているものは、提案書に具体的提案内容が記載されていないという評価となる。
⑥ 上記の提案書構成、様式及び留意事項に従った提案書ではないと機構が判断した場合は、提案書の評価を行わないことがある。また、補足資料の提出や補足説明等を求める場合が ある。
⑦ 提案書、その他の書類は、本入札における総合評価落札方式(加算方式)の技術点評価にだけ使用する。ただし、落札者の提案書(別紙を除く)は契約書に添付する。
⑧ 提案書別紙「プロジェクト計画書案」については、調整の後に合意形成するものとする。
第3章 添付資料の作成要領
3.1 個人情報保護体制についての記入方法
【様式-A】を用いて作成してください。
「ご回答者連絡先」を記入し、設問に回答(はい、いいえのいずれかに「○」を付してください。)の上、必要事項の追加記入をお願い致します(※余白を縦横に伸縮してご記入ください)。
なお、本様式は、個人情報の取扱いに関して御社が講じている保護措置について確認することを目的としております。従いまして、設問は応募資格を定めているものではなく、回答の内容により直ちに失格となるということはありません。但し、プロジェクト計画の妥当性評価に用いる場合があります。
3.2 情報セキュリティ対策ベンチマーク確認書の記入方法
本件の担当部署を含む組織体を対象として、情報セキュリティ対策ベンチマーク(http:
//xxx.xxx.xx.xx/xxxxxxxx/xxxxxxxxx/xxxxx.xxxx)を実施いただき、その結果をご報告いただきます。【様式-B】に従い作成してください。
なお、本様式は、御社における情報セキュリティに対する取組について確認することを目的としております。従いまして、設問は応募資格を定めているものではなく、回答の内容により直ちに失格となるということはありません。但し、プロジェクト計画の妥当性評価に用いる場合があります。
第4章 評価項目一覧の構成と記載要領
評価項目一覧の構成及び概要説明を以下に記す。「提案書ページ番号」及び「遵守確認欄」については、【入札者が記載する欄】として記載要領を示している。
[評価項目一覧の構成と概要]
項目欄名 | 概要説明 | |
提案書の目次 | 評価項目一覧の提案書の目次。提案書の構成は、評価項目一覧の構成と同一であること。 | |
評価項目 | 評価の観点。 | |
評価区分 | 遵守確認事項 | 本件を実施する上で遵守すべき事項。これら事項に係る内容の提案は求めず、当該項目についてこれを遵守する旨を記述する。 |
提案要求事項 (必須) | 必ず提案するべき事項。これら事項については、入札者が提出した提案書について、各提案要求項目の審査基準に従い評価し、それに応じた得点配分の定義に従い採点する。 基礎点に満たない提案は、不合格とする。 | |
提案要求事項 (任意) | 必ずしも提案する必要はない事項。これら事項については、入札者が提案書に記載している場合にのみ、各提案要求項目の審査基準に従い評価し、それに応じた得点配分の定義に従い採点する。また、当該項目への提案内容により不合格となることはない。 | |
提案書ページ番号 | 【入札者が記載する欄】 作成した提案書における該当ページ番号を記載する。該当する提案書の頁が存在しない場合には空欄とする。評価者は、本欄に記載されたページを各提案要求事項に係る提案記述の開始ページとして採点を行う。 プロジェクト計画書案については、別紙における該当ページ番号を記載すること。 | |
遵守確認欄 | 【入札者が記載する欄】 評価区分が「遵守確認事項」の場合に、入札者は、遵守確認事項を実現・遵守可能である場合は○を、実現・遵守不可能な場合 (実現・遵守の範囲等について限定、確認及び調整等が必要な場合等を含む)には×を記載する。 | |
配点構成及び審査基準 | 評価区分が「提案要求事項(必須)」または「提案要求事項(任意)」の評価項目に対して、どのような基準で採点するかを示している。 | |
第5章 評価手順
5.1 落札方式
次の要件を共に満たしている者のうち、「5.2① 総合評価点の計算」によって得られた数値の最も高い者を落札者とする。
① 入札価格が予定価格の制限の範囲内であること。
②「Ⅴ.評価項目一覧」の遵守確認事項及び評価区分の必須項目を全て満たしていること。
5.2 総合評価点の計算
①総合評価点の計算
総合評価点 = 技術点 + 価格点
技術点= 基礎点 + 加点
価格点= 価格点の配分 × ( 1 - 入札価格 ÷ 予定価格)
※価格点は小数点第2位以下を切り捨てとする。
②得点配分
技術点227点価格点227点
5.3 技術審査
5.3.1 技術審査
「Ⅴ.評価項目一覧」で示す評価項目、評価基準、配点構成に基づき技術審査を行う。なお、審査にはヒアリングより得られた評価を加味するものとする。
5.3.2 評価基準
各評価項目には、下表の評価指標に則った評価基準が具体的に設定されている。
この評価基準に基づき、審査員は合議制により各評価項目の評価ランクを決定する。
評価項目によっては、一部の評価ランクを適用しないことが予め決められている場合がある。例えば、任意の提案要求事項については、提案がないことにより不合格としないため、ラン クDは適用しない。
評価 ランク | 評価指標 |
S | 通常の想定を超える卓越した提案内容であるなど。 |
A | 通常想定される提案として、優位性のある内容である。 |
B | 通常想定される提案としては妥当な提案であると認められる。 |
C | 最低限の記述があると認められる。 |
D | 内容が要件に対して不十分である、明らかに提案要求事項を満たさな い、他の提案内容との間に看過できない矛盾がある、遵守確認事項との矛盾がある、あるいは記載がない。(不合格) |
ただし、「ワーク・ライフ・バランス等の推進に関する指標」については、下表の評価基準に基づき加点を付与する。複数の認定等が該当する場合は、最も配点が高い区分により加点を付与する。
認定等の区分 | 項目別得点 | |
女性活躍推進法に基づく認定(えるぼし認定企業) | 1段階目(※1) | 2 |
2段階目(※1) | 5 | |
3段階目 | 7 | |
行動計画(※2) | 1.5 | |
次世代法に基づく認定(xxxん認定企業・プラチナxxxん認定企業) | xxxん | 2 |
プラチナxxxん | 5 | |
若者雇用促進法に基づく認定(ユースエール認定企業) | 5 | |
※1 労働時間等の働き方に係る基準を満たすこと。
※2 女性活躍推進法に基づく一般事業主行動計画の策定義務がない事業主(常時雇用する労働者の数が300人以下のもの)に限る(計画期間が満了していない行動計画を策定している場合のみ)。
5.4 合否評価
評価ランクDが設定されている評価項目について、評価ランクがDとなった場合には、不合格となる。従って、一つでも要件を満たしていないと評価した場合は、その提案は不合格となる。
5.5 技術点の算出
ランクD(不合格)の評価が無い提案について、全ての評価項目における得点を合計し、これを技術点とする。
【様式-A】
個人情報保護体制について
本様式は、個人情報の取扱いに関して御社が講じている保護措置について確認することを目的としております。お手数ですが、最初に「ご回答者連絡先」を記入し、以下の設問に回答(はい、いいえのいずれかを〇で囲みください。)の上、必要事項の追加記入をお願い致します。
余白を縦横に伸縮してご記入ください。
ご回答者連絡先
組 織 名 | |
部 署 名 | |
氏 名 | |
連 絡 先 電 話 番 号 | |
メ ー ル ア ド レ ス |
Q1.個人情報保護に係るプライバシーポリシー・規程・マニュアルはございますか。
【 は い ・ いいえ 】
「は い」を○で囲んだ方は、以下の事項を記入してください。
以下に名称、作成年月日、作成の参考にした業界ガイドライン(名称・作成機関名)を記入してください。
【個人情報保護に関するプライバシーポリシー・規程・マニュアル】
Q2.個人情報保護に係る組織内体制はありますか。
【 は い ・ いいえ 】
「は い」を○で囲んだ方は、以下の事項を記入してください。
以下に担当部門、役職名、役割、担当業務範囲を記入してください。
【個人情報保護に係る組織内体制】
Q3.個人情報を取扱う従事者(派遣職員、アルバイトを含む)への教育・研修を実施しておりますか。
【 は い ・ いいえ 】
「は い」を○で囲んだ方は、以下の事項を記入してください。
以下に実施部門、開催時期・年間回数、対象者、使用テキストを記入してください。
【個人情報保護に係る従事者への教育・研修体制】
Q4.個人情報保護に係る監査規程はありますか。 【 は い ・ いいえ 】
「は い」を○で囲んだ方は、以下の事項を記入してください。
以下に監査規程(名称、制定年月日)を記入してください。また、すでに監査の実績がある場合は、直近の監査実施日を記入してください。
【個人情報保護に係る監査規程・直近の監査実施日】
Q5.情報処理システムの安全対策はありますか。 【 は い ・ いいえ 】
「は い」を○で囲んだ方は、以下の事項を記入してください。
【情報処理システムの安全対策】
【今回の個人情報を取扱う業務でご検討されている保護措置案】
「いいえ」と回答した設問に対して、このたびのIPAからの個人情報を取扱う業務を実施する上でご検討されている保護措置の案があれば以下にご記入ください。形式は自由です。余白を縦横に伸縮してご記入ください。
Q6.認定団体からプライバシーマークを付与されておりますか。 【 は い ・ いいえ 】
「は い」を○で囲んだ方は、以下の事項を記入(上書き)してください。
認定番号:○○○○○○○
有効期間:○○○○年○○月○○日 ~ ○○○○年○○月○○日
【様式-B】
平成 年 月 日
[法人名] [責任者役職・氏名]
情報セキュリティ対策ベンチマーク確認書
情報セキュリティ対策ベンチマークを実施し、下記の評価結果に相違ないことを確認します。
記
1.確認日時
平成 年 月 日 【実際に確認を行った日時】
2. 確認対象
【情報セキュリティ対策ベンチマークの確認を行った範囲について記載
(例、本件業務を請け負われる部署を含む組織体等の名称)】
3. 情報セキュリティ対策ベンチマーク実施責任者
【情報セキュリティ対策ベンチマークによる確認を実施した者。】
4. 確認結果
全項目に係る平均値:
なお、ベンチマーク実施出力結果を別紙として添付します。
Ⅴ.評価項目一覧
別紙「Ⅴ.評価項目一覧」参照。