Contract
平成29年度厚生労働省年金局における情報セキュリティ監査等一式
平成29年8月
厚生労働省年金局事業企画課監査室事業企画課システム室
目次
1. 作業の概要 1
1.1 調達件名 1
1.2 調達の背景 1
1.3 目的及び期待する効果 1
1.4 用語の定義 3
1.5 契約期間 4
1.6 調達担当課室・連絡先 5
2. 調達案件、調達方式及び実施時期に関する事項 5
2.1 調達案件、調達方式及び実施時期 5
2.2 調達案件間の入札制限 5
3. 作業の実施内容に関する事項 5
3.1 スケジュール 6
3.2 作業の内容 6
3.2.1 作業概要 6
3.2.2 対象とする組織 6
3.3 具体的な作業の内容 7
3.3.1 情報セキュリティ監査に係る実施計画書の策定 7
3.3.2 情報セキュリティ監査等の監査内容への助言 7
3.3.3 情報セキュリティ監査の実施支援 8
3.3.4 情報セキュリティ監査に係る監査調書の作成 9
3.3.5 情報セキュリティ対策連絡会議WGへの出席 9
3.3.6 情報セキュリティ対策等の検証と網羅性確認 9
3.3.7 監査報告書の作成 9
3.3.8 有効性の確認監査の実施支援 10
3.3.9 有効性の確認監査の結果に係るリスク判定への助言 10
3.3.10 監査実施手順等の作成 10
3.4 納入成果物の範囲、納入期限等 11
3.4.1 納入成果物 11
3.4.2 納入方法 12
3.4.3 納入場所 12
4. 作業の実施体制及び方法に関する事項 13
4.1 作業実施体制 13
4.2 作業要員に求める資格等の要件 14
4.3 作業場所等 14
5. 作業の実施に当たっての遵守事項 15
5.1 機密保持、資料の取扱い 15
5.2 遵守する法令等 15
5.3 情報セキュリティ管理 16
6. 納入成果物の取扱いに関する事項 17
6.1 知的財産権の帰属 17
6.2 損害賠償 17
6.3 瑕疵担保責任 17
6.4 検収 18
7. 受注者の条件 18
7.1 入札参加要件 18
7.1.1 非該当要件 18
7.1.2 公的な資格や認証等の取得 18
7.2 入札制限 18
8. 再委託に関する事項 19
8.1 再委託の制限及び再委託を認める場合の条件 19
8.2 承認手続 20
9. その他特記事項 20
9.1 前提条件及び制約条件 20
9.2 環境への配慮 20
9.3 受注者組織内における教育制度の完備 20
9.4 業務実績 21
9.5 その他 21
10. 附属文書 21
10.1 事業者が閲覧できる資料一覧表 21
10.2 閲覧要領 21
10.3 その他事業者の提案に資する資料 22
・別紙
別紙1 資料の閲覧に係る実施要領別紙2 監査手続書
別紙3 システム監査報告書(個票)別紙4 業務終了報告書(様式)
別紙5 業務終了確認書(様式)
注 記
本調達仕様書、別紙に記載された会社名、製品名等は、各社の商標又は登録商標の可能性がある。
1. 作業の概要
1.1 調達件名
平成 29 年度厚生労働省年金局における情報セキュリティ監査等一式
1.2 調達の背景
厚生労働省年金局(以下「年金局」という。)では、平成 27 年5月に発生した日本年金機構(以下「機構」という。)への不正アクセスによる情報流出事案を踏まえ、「情報セキュリティ強化等に向けた組織・業務改革 -日本年金機構への不正アクセスによる情報流出事案を踏まえて-」(平成 27 年9月 18 日厚生労働省)及びサイバーセキュリティ戦略本部長の勧告に対する報告書(平成 28
年4月 28 日付)に基づき、機構の情報セキュリティ対策の強化を図るための取組(業務改善計画)の指導・監督を行っているところ。
機構の取組については、平成 28 年5月から個人情報保護委員会(以下「PPC」という。)及び内閣サイバーセキュリティセンター(以下「NISC」という。)が立入検査等により確認を行っており、同年 11 月には、その時点における一定の安全性が認められたところである。
機構においては、今後も各種の取組(地方公共団体などとのマイナンバーを用いた情報連携のx xやインターネット専用端末の設置等)を実施するに当たり、日々刻々と変化する情報セキュリテ ィ環境に対応しながら、各種の取組の実現可能性に配慮しつつ引き続き対策を強化する必要があり、年金局としても、PPC 及びNISC との連携のもと、その検証を行っていく必要がある。
こうしたことを踏まえ、平成 29 年度においては、機構の業務改善計画が着実かつ適切に進捗し、特にマイナンバーの活用に向け、情報漏えいに対するリスクが抜本的に減ぜられるよう、年金局として機構の本部並びに拠点に対する指導・監督の一環として、実効性のある監査を行うこととしたものである。
1.3 目的及び期待する効果
(1) 情報セキュリティ監査(特定個人情報等保護管理監査を含む。)
機構における情報セキュリティ対策(特定個人情報等保護管理を含む。)の実施体制及び実施状況について、実地調査やヒアリングによる問題点の抽出とそれに対する改善策の提案を行い、次年度以降の情報セキュリティ対策全般の改善・実効性の向上を図ることを目的とする。
(2) 機構が実施したシステム監査等の有効性の確認監査
機構が実施した情報セキュリティ監査等の有効性を確認し、リスク管理の取組等の評価を行うことにより、機構のITガバナンスの構築を含むIT体制の確立に寄与することを目的とする。
◎「情報セキュリティ強化等に向けた組織・業務改革 -日本年金機構への不正アクセスによる情報流出事案を踏まえて-」(平成 27 年 9 月 18 日厚生労働省)-抜粋-
第2 今回の事案を踏まえた再発防止策
1.厚生労働省における情報セキュリティ対策の強化
(3) 業務運営対策(ルールの見直し、徹底)
② 保有する情報を適切にリスク評価した上での情報管理の徹底
サイバーセキュリティ戦略において、被害を低減する取組として「個人情報や機微な情報を始め、外部に流出することや改ざんされることによって国民・社会等に多大な悪影響を及ぼす機密性・完全性の高い情報への不正なアクセスをより困難なものにするため、業務の内容や取り扱う情報の性質・量に応じた情報システムの分離や運用ルールを含む情報管理の更なる強化に取り組む。」とされています。
厚生労働省では、多種多様な個人情報や機微な情報を扱って業務を遂行していることから、インターネットのもたらす脅威を再認識し、個人情報等重要情報を取り扱う情報システムや業務の現状を把握し、それぞれの実態やリスクを組織的に共有するためリスク評価を実施します。
今後、リスク評価の結果に基づき、業務内容に応じた対策を講じることとしますが、緊急的な対応として、個人情報等の重要情報を取り扱う省内の情報システムについては、インターネットから物理的又は論理的に分離し、インターネットに接続された端末で利用しないこととする措置を講じたところです。
業務内容に応じた対策を講じるに当たっては、インシデント発生時に国民や社会へ与える被害や影響について定量的、定性的に分析を行い、その結果に基づき、事態の被害や影響を最小化するための対策を検討します。
また、対策の実施に当たっては、リスク評価の結果に基づいた機器の設定等はもとより、規程の見直しや職員への啓発等を行い、組織全体として情報を管理する能力を向上させます。
なお、リスク評価については、業務実態や社会の動向等を踏まえ、専門的な見地から実施します。
3.厚生労働省所管法人等に対する監督と情報セキュリティ対策の強化
(3) リスク評価を踏まえた情報管理の徹底と監査(助言)の実施
全ての厚生労働省所管法人等を対象として、厚生労働省が今後作成するリスク評価ガイドライン等に基づき、リスク評価を実施します。 また、個人情報等の重要情報が、サイバー攻撃等によりインターネットを通じて流出することを防止するため、緊急的な対応として、インターネットに接続されたネットワークから物理的又は論理的に分離するなど必要なシステム上の措置を講じたところです。その上で、上記のリスク評価結果に基づき、業務の内容や情報の性質、量に応じた情報セキュリティ対策の更なる改善に取り組みます。 さらに、厚生労働省所管法人等において個人情報等の管理が適切になされているか、設定されたルールが適切に遵守、運用されているか等について、自己点検を実施させるとともに、併せて、当該法人等に対し、厚生労働省に新たに設置する情 報セキュリティ対策室(仮称)が、情報セキュリティの PDCA の観点から監査(助言)を行い、その実施状況を確認し、個人情報等の重要情報の管理を徹底させます。
1.4 用語の定義
本調達仕様書で使用する用語の定義を以下の表に示す。
表 1-1 用語の定義
No. | 用語 | 説明 |
1 | 開庁日 | 「行政機関の休日に関する法律」(昭和 63 年 12 月 13 日法律第 91 号) 第一条にて定められた行政機関の休日以外の日。 |
2 | 関係規程等 | 厚生労働省の関係規程等に準じて日本年金機構が定める規程等。 |
3 | 機構本部 | 日本年金機構本部のこと。 公的年金業務の運営を担う組織として、管理部門・企画部門を中心にガバナンス機能の強化を図り、内部統制のとれた組織体制の構築を行う。 |
4 | 厚生労働省ポリシー | 厚生労働省情報セキュリティポリシーのこと。 厚生労働省において、情報セキュリティの確保のために採るべき対策及びその水準を更に高めるための対策の方針と基準を定めたもの。 |
5 | 自己点検結果 | 日本年金機構の職員が実施する自己点検の結果(回答票)。 |
6 | 事務センター | 都道府県事務センターのこと。 全国 29 拠点に設置され、年金事務所で受け付けた届書等の審査・入力・決定業務や各種通知書等の発出を行う。 |
7 | 社会保険オンラインシステム等 | 「記録管理システム」、「基礎年金番号管理システム」及び「年金給付システム」の主要3システム及びそれらの周辺システムにより構成され、全国の事務センター、年金事務所等に設置した業務端末をネットワークで結び運用している、既存の基幹系システムを指す。 なお、上記主要3システム及びそれらの周辺システムの概要は以下のとおりである。 ア.記録管理システム:公的年金制度の被保険者の資格や保険料の納付状況等の記録を管理するシステム イ.基礎年金番号管理システム:基礎年金番号の払出し、重複払出しのチェック等を行うシステム ウ.年金給付システム:公的年金制度の受給権者の年金の裁定、払出し等の業務処理を行うシステム エ.年金業務システム:記録管理システム及び基礎年金番号管理システムに替わるものとして、新たに構築しているシステム オ.ア~ウの周辺サーバシステム(電子申請システム、債権管理システム等) カ.その他サーバ系システム(機構LANシステム、間接業務システム 等) |
8 | 情報システム | ハードウェア及びソフトウェアから成るシステムであって、情報処理又は通信の用に供するものをいい、特に断りのない限り、府省庁が調達又 は開発するもの(管理を外部委託しているシステムを含む。)をいう。 |
9 | 情報セキュリティ対策連絡会議WG | 情報セキュリティ対策連絡会議ワーキンググループのこと。 機構における情報セキュリティ対策を恒常的に推進するため、厚生労働省及び機構が連携して、情報セキュリティポリシー等の遵守状況やセキュリティ面の課題とそれを踏まえた具体的な改善計画を議論するとともに、改善計画の進捗状況の報告を受けて必要な提言を行う。資料は機 構の情報管理対策室が作成し、原則、毎月第二・第四木曜日に開催。 |
10 | 政府統一基準群 | 政府機関等の情報セキュリティ対策のための統一基準群のこと。 国の行政機関及び独立行政法人等の情報セキュリティ水準を向上させるための統一的な枠組みであり、国の行政機関及び独立行政法人等の情報セキュリティのベースラインや、より高い水準の情報セキュリティを 確保するための対策事項を規定したもの。 |
11 | 担当職員 | 本業務に関する当省担当職員のこと。 |
12 | 当省 | 厚生労働省のこと。 |
13 | 機構ポリシー | 日本年金機構情報セキュリティポリシーのこと。 日本年金機構において、情報セキュリティの確保のために採るべき対策及びその水準を更に高めるための対策の方針と基準を定めたもの。 |
14 | 年金事務所 | 全国 312 拠点に設置され、事業所の調査・職権適用、強制徴収、年金相 談等の対人業務を行う。 |
15 | FISC | The Center for Financial Industry Information Systems(金融情報システムセンター)の略。金融情報システムに関連する諸問題(技術、利活用、管理態勢、脅威と防衛策等)の国内外における現状、課題、将 来への発展性とそのための方策等についての調査研究を行う組織。 |
16 | NISC | National center of Incident readiness and Strategy for Cybersecurity(内閣サイバーセキュリティセンター)の略。行政各部の情報システムに対する不正な活動の監視・分析、サイバー攻撃に関する情報の収集・分析、各政府機関への助言・情報提供、統一基準の策定 等を行う組織。 |
17 | PMO | Program Management Office(府省内全体管理組織)の略。府省内のI T施策に関する全体管理の機能を担う組織。 |
18 | PPC | Personal Information Protection Commission(個人情報保護委員会)の略。個人情報(マイナンバー(個人番号)を含む。)の有用性に配慮しつつ、その適正な取扱いを確保するために設置された独立性の高い機 関。 |
1.5 契約期間
契約開始日から平成 30 年3月 22 日(木)までの期間とする。
1.6 調達担当課室・連絡x
x調達仕様書に関する問合せ先は以下のとおり。
x000-0000 xxxxxxxxxx 0-0-00 日本年金機構本部4階厚生労働省年金局事業企画課監査室
電話:00-0000-0000
x000-0000 xxxxxxxxxx 0-0-0 中央合同庁舎第5号館8階厚生労働省年金局事業企画課システム室
電話:00-0000-0000
2. 調達案件、調達方式及び実施時期に関する事項
2.1 調達案件、調達方式及び実施時期
本調達案件、調達の方式及び実施時期は以下の表のとおりである。
表 2-1 調達案件、調達方式及び実施時期
項番 | 調達案件名 | 調達の方式 | 実施時期 |
1 | 平成 29 年度厚生労働省年金局による情報セキュリティ監査等一式 | 一般競争入札(総合評価落札方式) | 未定(落札者決定は平成 29 年 11 月上旬を想定) |
2.2 調達案件間の入札制限
監査の独立性及び客観性の確保の観点から、本業務は、本調達仕様書の「7.2 入札制限」に挙げる業務とは相互に入札制限の対象とする。
3. 作業の実施内容に関する事項
(1) 情報セキュリティ監査
受注者は、以下「3.2.2 対象とする組織」に挙げる組織を対象として年金局が行う情報セキュリティ監査に係る監査実施計画の策定から、当初計画に基づく監査の支援、監査対象拠点ごとの監査調書の作成、監査にかかる全体報告書の作成までの一連の役務等を行う。併せて、表 3-4 の納品成果物を納付期限までに作成し、納入を行う。
(2) 機構が実施したシステム監査等の有効性の確認監査
受注者は、年金局が上記情報セキュリティ監査と並行して行う機構が実施したシステム監査等の有効性の確認監査(以下「有効性の確認監査」という。)について、往査時の支援、担当職員が作成した「システム監査報告書(個票)」(別紙3)のリスク判定の助言を行う。併せて、表 3-4 の納品成果物を納付期限までに作成し、納入を行う。
3.1 スケジュール
監査の実施に当たり、想定されるスケジュール概要は以下の図のとおりである。
作業 | 11月 | 12月 | 1月 | 2月 | 3月 | |||||||||||||||
監査実施計画作成 | ||||||||||||||||||||
各種調整・準備 | ||||||||||||||||||||
情報セキュリティ監査の実施 | ||||||||||||||||||||
情報セキュリティ対策連絡会議WGへの参加 | ||||||||||||||||||||
有効性の確認監査の実施支援 |
図 3-1 スケジュール概要
3.2 作業の内容
3.2.1 作業概要
受注者は、担当職員の指示に基づき、以下のアからコに示す業務を行うこと。
なお、受注者は、担当職員の指示の有無にかかわらず、本業務の実施に当たり、品質向上が図られると考える場合は、積極的に提案・助言等を行うこと。
ア.情報セキュリティ監査に係る実施計画書の策定イ.情報セキュリティ監査等の監査内容への助言 ウ.情報セキュリティ監査の実施支援
エ.情報セキュリティ監査に係る監査調書の作成オ.情報セキュリティ対策連絡会議WGへの出席カ.情報セキュリティ対策等の検証と網羅性確認キ.監査報告書の作成
ク.有効性の確認監査の実施支援
ケ.有効性の確認監査の結果に係るリスク判定への助言コ.監査実施手順等の作成
3.2.2 対象とする組織
情報セキュリティ監査において、対象とする組織等は以下のとおりである。
表 3-2 対象とする組織等
項番 | 組織 | 情報セキュリティ監査の対象拠点数 |
1 | 機構本部 | 1拠点(有効性の確認監査については、機構監査部が対象) |
2 | 事務センター | 全国 29 拠点のうち、4拠点を対象とする。 なお、監査対象となる拠点は、東京広域事務センター、名古屋広域事務センター、大阪広域事務センター等とする。 |
3 | 年金事務所 | 全国 312 拠点のうち、8拠点を対象とする。 なお、監査対象となる拠点は、中部地方、近畿地方等から各1拠点、その他の5拠点は関東地方(xxx、神奈川県を想定) を当省より指定。 |
注:広域事務センターの近隣に所在する年金事務所の監査日については、監査の効率的な実施の観点から、当該広域事務センターの監査日と連続するよう計画するものとする。
3.3 具体的な作業の内容
3.3.1 情報セキュリティ監査に係る実施計画書の策定
本業務の実施に当たり、担当職員の指示に基づき、以下「3.3.3 情報セキュリティ監査の実施支援」に掲げたアからエの監査ごとに、それぞれ以下に掲げる事項を含めた実施計画書(案)を作成し、担当職員と協議の上、契約後3週間以内に完成させること。なお、実施計画書(案)には、本調達仕様書「4.1 作業実施体制」に示す「業務体制図」、「5.1 機密保持、資料の取扱い」のアに示す「機密保持管理方法」及び「5.3 情報セキュリティ管理」に示す「情報セキュリティ管理計画書」を含めること。
ア.監査の目的
イ.監査対象及び範囲ウ.監査方法
エ.実施スケジュールオ.実施体制
カ.進捗管理及び報告方法
キ.その他、情報セキュリティ監査の実施に必要な事項
3.3.2 情報セキュリティ監査等の監査内容への助言
ア.担当職員との打合せ
受注者は、情報セキュリティ監査及び有効性の確認監査を行うための担当職員との事前打ち合わせに出席すること。なお、打合せについては、以下の表 3-3 のとおりであり、1回の打合せは、概ね3時間を予定している。
イ.情報セキュリティ監査等の品質・課題状況報告書の作成
受注者は、上記アの打合せを踏まえ、情報セキュリティ監査等の資料や担当職員が作成する監査手続書等について確認した上で、情報セキュリティ監査等の品質向上に資する事項及び課題等(上記「ア.担当職員との打合せ」において、担当職員からの質問に対する回答を整理した資料作成を含む。)を、「3.4.1 納入成果物」に掲げる品質・課題状況報告書としてまとめ、納入すること。
表 3-3 事前打合せ回数表
項番 | 情報セキュリティ監査等対象案件 | 打合せ回数 |
1 | 情報セキュリティ監査 | 2回(注1) |
2 | 有効性の確認監査 | 4回(注2) |
注1:13 拠点分として、2回の打合せを予定。
注2:平成 29 年度の有効性の確認監査は、2回を予定しており、1回の監査につき、打合せは2回。
3.3.3 情報セキュリティ監査の実施支援
ア.機構ポリシー及び情報セキュリティ関係規程等の準拠性監査
機構が策定する機構ポリシー及び関係規程等について、政府統一基準群、厚生労働省ポリシーを基準として整合性、網羅性及び妥当性が十分に確保されているかを機構本部におけるヒアリング及び実地調査(往査実施日数:1日間)にて専門的な観点から検証し、問題点の抽出と改善策の提案を行うとともに往査時の議事録を作成すること。
また、別途担当職員の指定する規程(1文書程度)について、機構ポリシーを基準として整合性、網羅性及び妥当性が十分に確保されているかを検証し、問題点の抽出と改善策の提案を併せて行うこと。なお、対象文書については、契約締結後、受注者が担当職員に守秘義務の誓約書(様式)を提出した際に開示する。抽出した問題点及び改善策については、情報セキュリティ対策WGに報告する。
イ.情報セキュリティ対策の実施状況監査
機構が指示文書等で示した情報セキュリティ対策の機構本部、事務センター及び年金事務所における遵守状況について、担当職員がヒアリング及び実地調査を行うため、受注者はヒアリング及び実地調査に同行の上、専門的な観点から情報セキュリティ対策の遵守状況の検証、問題点の抽出、改善策の提案及び担当職員への助言を行うこと。抽出した問題点及び改善策については、情報セキュリティ対策連絡会議WGに報告する。
なお、ヒアリング及び実地調査は、担当職員が作成するチェックリストを用いて行うが、チェックリストの内容について、追加すべき項目がある場合は、担当職員へ提案すること。
また、ヒアリング及び実地調査(往査実施日数:17 日間)は、以下のウ及びエと併せて1日に1拠点(事務センターにおいては2日間で1拠点)を実施する予定であり、それぞれ議事録を作成すること。対象拠点は「3.2.2 対象とする組織」にあるとおり、当省より指定する。
ウ.自己点検に関する監査
機構本部、事務センター及び年金事務所の職員等を対象に実施した自己点検結果を基に、情報セキュリティ管理体制及び情報システムに対する情報セキュリティ対策の実施状況など機構ポリシー及び関連規程等の遵守状況を、機構本部、事務センター及び年金事務所においてヒアリング及び実地調査にて専門的な観点から検証し、問題点の抽出と改善策の提案を行う。抽出した問題点及び改善策については、情報セキュリティ対策連絡会議WGに報告する。
また、機構本部、事務センター及び年金事務所に対し、自己点検結果の適正性を確認するため、ヒアリング及び実地調査(往査)を実施すること。
エ.例外措置の申請及び許可状況の監査
機構本部における例外措置の適用審査の記録等から、例外措置の申請及び許可状況を把握し、機構本部、事務センター及び年金事務所において例外措置の審査手続に従った管理がなされているかをヒアリング及び実地調査にて専門的な観点から検証し、問題点の抽出と改善策の提案を行う。抽出した問題点及び改善策については、情報セキュリティ対策連絡会議W Gに報告する。
3.3.4 情報セキュリティ監査に係る監査調書の作成
監査実施の結果並びに監査手続きの中で入手した監査証拠及び関連資料を綴り込み、それらを根拠づけながら、監査の結論に至った経緯がわかるよう監査調書を作成すること。
なお、監査調書は、監査報告書の一部(別添資料)として、監査報告書の納入期限にあわせて報告すること。
3.3.5 情報セキュリティ対策連絡会議WGへの出席
機構が立案する情報セキュリティ対策の内容等が議論されるため、受注者は、原則、毎月第二木曜日と第四木曜日に開催される情報セキュリティ対策連絡会議WG(平成29年11月第四木曜日から平成30年3月第二木曜日週までの計7回(祝日及び年末年始を除く)を想定)に毎回出席し、当該WGで使用された資料や議論の内容等を基に、情報セキュリティ監査の実施・改善に必要な情報収集を行い、専門的な観点から情報セキュリティ対策の改善提言を担当職員へ行うこと。
また、情報セキュリティ監査及び有効性の確認監査において抽出した問題点及び改善策について報告を行うこと。
3.3.6 情報セキュリティ対策等の検証と網羅性確認
機構が実施する情報セキュリティ対策、情報セキュリティ監査、リスク評価等について、機密性、完全性及び可用性の観点から、情報セキュリティポリシーや関係規程等との整合性、網羅性及び妥当性が十分に確保されているかを検証し、問題点の抽出と改善策の提案を行うこと。また、監査報告書作成前に、本項目で抽出した問題点が改善又は改善に向けた取組を実施しているかを確認し、確認結果を監査報告書に記載すること。抽出した問題点及び改善策については、情報セキュリティ対策連絡会議WGに報告する。
・機密性(情報漏えいの防止、アクセス権の設定、暗号化の利用等)
・完全性(改ざん防止、マルウェア検出等)
・可用性(電源対策、サーバやネットワークの冗長化、情報のバックアップ、BCP等)
3.3.7 監査報告書の作成
監査報告書は、監査結果、問題点、指摘事項及びそれらの根拠を記載し、当該業務を実施して
いく過程で作成した文書、資料、提案内容等の構成により作成すること。
3.3.8 有効性の確認監査の実施支援
受注者は、担当職員が機構の実施した情報セキュリティ監査等の実施結果の有効性を確認するために行う機構本部への往査に同行し、担当職員が行うインタビューや監査資料の実査について専門的な観点から支援を行うこと。対象とする機構が実施した情報セキュリティ監査等は以下のア及びイとする。
ア.平成 28 年度に機構が実施した情報セキュリティ監査(往査実施日数:3日間)
イ.平成 28 年度に機構が実施したシステム監査(往査実施日数:3日間)
なお、有効性の確認監査については、経済産業省が策定した「システム監査基準」、「システム管理基準」及び財団法人金融情報システムセンター(FISC)が策定した「金融機関等システム監査指針」を基に作成した「監査手続書」(別紙2)を使用して実施する。
3.3.9 有効性の確認監査の結果に係るリスク判定への助言
受注者は、担当職員が有効性の確認監査の結果に基づき作成した「システム監査報告書(個票)」
(別紙3)の内容を検証するために行う打合せに出席して、担当職員が行ったリスク判定について専門的な観点から助言を行うこと。
また、「システム監査報告書(個票)」に対する評価やリスク判定への助言をまとめたリスク分析・評価報告書を作成し、納入すること。
なお、打合せについては、有効性の確認監査毎に1回概ね3時間を予定している。
3.3.10 監査実施手順等の作成
ア.監査実施手順の作成
上記「3.3.3 情報セキュリティ監査の実施支援」、「3.3.6 情報セキュリティ対策等の検証と網羅性確認」、「3.3.8 有効性の確認監査の実施支援」における監査結果、問題点、課題、指摘事項や受注者のこれまでの実績等に基づき、次年度以降に機構の情報セキュリティ監査を実施する際の具体的な手順を記述した監査手順の雛形(以下「監査実施手順」という。)を作成すること。
なお、監査実施手順は、情報セキュリティ監査の手順、実施する際の注意点、監査で利用する資料等で構成し、情報セキュリティ監査が効率的に実施できるような内容とすること。
イ.引継書の作成
次年度の情報セキュリティ監査の実施に活用するため、本年度に実施した本業務の課題等をまとめた引継書を作成すること。引継書には、次年度以降の情報セキュリティ監査を合理的に実施できるよう課題等に係る改善提案及びそれを実施した際の効果を記載すること。
3.4 納入成果物の範囲、納入期限等
3.4.1 納入成果物
受注者は、以下の表に示す納入成果物を作成し、担当職員の了承を得たうえで、納入期限内に紙媒体で納入すること。
表 3-4 納入成果物
納入成果物 | 部数 | 納入期限 |
全体 | ||
監査実施計画 | 2部 | 契約後4週間以内 |
全体報告書(概要版) | 2部 | 平成 30 年3月 15 日(木) |
全体報告書 | 2部 | 平成 30 年3月 15 日(木) |
業務終了報告書 | 2部 | 平成 30 年3月 15 日(木) |
情報セキュリティ監査 | ||
実施計画書 | 2部 | 契約後3週間以内 |
品質・課題状況報告書 | 2部 | 監査対象案件に係る事前打合せ実施終了後、往 査の前日までの間、当省が指定する日 |
議事録 | 2部 | 往査終了後2開庁日以内 |
監査報告書(概要版) | 2部 | 往査終了後2週間以内 |
監査報告書 | 2部 | 往査終了後2週間以内 |
情報セキュリティ対策連絡会議WGへの出席 | ||
WGで使用する資料 | 必要数 | 当該会議の2開庁日前 |
情報セキュリティ対策網羅性監査 | ||
監査報告書(概要版) | 2部 | 平成 30 年3月 15 日(木) |
監査報告書 | 2部 | 平成 30 年3月 15 日(木) |
有効性の確認監査 | ||
品質・課題状況報告書 | 2部 | 監査対象案件に係る事前打合せ実施終了後、往 査の前日までの間、当省が指定する日 |
リスク分析・評価報告書 | 2部 | 往査終了後2週間以内 |
その他報告資料等 | ||
監査実施マニュアル | 2部 | 平成 30 年3月 15 日(木) |
引継書 | 2部 | 平成 30 年3月 15 日(木) |
(注)
・全体報告書(概要版)、全体報告書
本業務における全体版の報告書を作成すること。
・業務終了報告書
受注者が全ての業務を終了したことを証明する報告書(別紙4)。
・議事録
情報セキュリティ監査を実施した際の議事録。
・WGで使用する提出資料
WGで受注者が報告するための資料。
3.4.2 納入方法
ア.納入成果物は、指定のドキュメントを表紙、目次及びページを付与した分かり易い構成とし、すべて日本語で作成すること。ただし、日本国においても、英字で記載されることが一般的な文言については、そのまま記載しても構わないものとする。なお、紙媒体については、インデックスを添付すること。
イ.用字・用語・記述符号の表記については、「公用文改善の趣旨徹底について」(昭和 27 年 4
月 4 日内閣閣甲第 16 号内閣官房長官依命通知)を参考にすること。
ウ.情報処理に関する用語の表記については、日本工業規格(JIS)の規定を参考にすること。エ.納入成果物は表 3-4 納入成果物で示す紙媒体での納入の他に、電磁的記録媒体(CD-R 又は
DVD-R)により作成し、当省から特に示す場合を除き、正副各1部を納品すること。
オ.電磁的記録媒体での納入に際しては原則1媒体での納入とするが、やむをえず複数の電磁的記録媒体に分けて納入する場合は事前に当省と協議の上、決定すること。
カ.紙のサイズは、日本工業規格A列4番を原則とする。図表については、必要に応じてA列
3番縦書き及び横書きを使用することができるが、当省から別途、形式を指定した場合はこの限りではない。綴り方はバインダー方式とすること。
キ.電磁的記録媒体による納品について MicrosoftWord2010、同 Excel2010、同 PowerPoint2010で読み込み可能な形式、またはPDF 形式で作成し、納品すること。ただし、当省から他の形式による提出を求める場合は、協議の上、これに応じること。なお、受注者側で他の形式を用いて提出したいファイルがある場合は、協議に応じるものとする。納品後、当省において改変が可能となるよう、図表等の元データも併せて納品すること。また、電磁的記録媒体納入時には、納入成果物一覧を添付すること。
ク.納入成果物の作成に当たって、特別なツールを使用した場合は、ツールも併せて納入すること。なお、特別なツールを使用する場合は、当省の承認を得ること。
ケ.納入成果物が外部に不正に使用されたり、納品過程において改ざんされたりすることのないよう、安全な納品方法を提案し、納入成果物の情報セキュリティの確保に留意すること。
コ.電磁的記録媒体により納品する場合は、不正プログラム対策ソフトウェアによる確認を行うなどして、納入成果物に不正プログラムが混入することのないよう、適切に対処すること。
サ.受注者は、納入成果物について、当省と十分協議を行い、当省の指示に従いながら作成すること。
3.4.3 納入場所
原則として、納入成果物は以下の場所において引渡しを行うこと。ただし、当省が納入場所を別途指示する場合はこの限りではない。
〒100-0000 xxxxxxxxxx 0-0-00 x本年金機構本部4階厚生労働省年金局事業企画課監査室
4. 作業の実施体制及び方法に関する事項
4.1 作業実施体制
受注者は、本調達仕様書に示す業務を履行できる体制を設けるとともに、受注者側の業務体制図について、書面を「3.3.1 情報セキュリティ監査に係る実施計画書の策定」に示す実施計画書に含め、提出し、当省の承認を得ること。
厚生労働省年金局
事業企画課監査室・システム室
(担当職員)
日本年金機構
・本部
・事務センター
・年金事務所
依頼・承認等
支援等
報告等
受注者
●情報セキュリティ監査等チーム責任者:1名(情報セキュリティ対策連絡会議WGへの出席)
・情報セキュリティ監査実施支援者:2名
・有効性の確認監査実施支援者:1名
・情報セキュリティ対策連絡会議WGへの出席対応者:1名(責任者のサポート)
・情報セキュリティ対策等の検証と網羅性確認:2名
なお、本契約の遂行に当たり、以下の図の作業体制を想定している。
調整等
監査(書面・往査)等
図 4.1 作業実施体制の概要図
また、作業体制の構築、作業の実施に当たり、以下の要件を満たすこと。
ア.情報セキュリティ監査等実施者の氏名、役割、履歴等について、当省に事前に提出し了承を得ること。
イ.情報セキュリティ監査等について責任者を置くこと。また、責任者は、情報セキュリティ対策連絡会議WGへ出席し、その議論を踏まえ、専門的な観点から担当職員へ助言を行う者を置くこと。
なお、「3.2.1 作業概要」のウ、オ、カ及びクに記載した作業を実施するに当たり、実施者が作業を兼務することは差し支えないが、いずれの作業も図 4.1 に記載する実施者の人数で対応できるようにすること。
ウ.監査の進捗状況について、常に把握し、担当職員からの進捗の質問に対しては、すぐに対応できるようにすること。
エ.受注者は、報告書等の作成に関する詳細について、担当職員との密接な協議に基づき行うこととし、質疑あるいは協議の結果は、その都度、文書あるいは電子メールにて提出すること。
オ.後方支援体制について、本業務の作業チームを組織として支援する体制を整備すること。
カ.受注者は、受注者側の体制の変更が必要となる場合は、その旨を担当職員に報告するとともに、事前に書面による承認を得ること。
4.2 作業要員に求める資格等の要件
(1) 公的資格等
ア.以下のいずれかの資格を有する者を当該業務実施の責任者として配置できること。 また、事前に資格を有することがわかる証明書の写し等を書面により提出すること。
(ア)情報処理技術者資格のシステム監査技術者(旧情報システム監査技術者も含む)
(AU:Systems Auditor)
(イ)情報システムコントロール協会(ISACA)が認定する公認情報システム監査人
(CISA:Certified Information Systems Auditor)
(ウ)特定非営利活動法人日本システム監査人協会(SAAJ)が認定する公認システム監査人
(CSA:Certified Systems Auditor)
(エ)特定非営利活動法人日本セキュリティ監査協会(XXXX)が認定する公認情報セキュリティxx監査人
(CAIS-Lead Auditor:Certified Auditor for Information Security Auditor) (オ)同公認情報セキュリティ監査人
(CAIS-Auditor:Certified Auditor for Information Security Auditor)
イ.本業務の作業チーム(責任者及びその他の要員)には、監査等の効率と品質の保持のため、以下のいずれかの実績(実務経験)を有する専門家を1名以上含めること。その実績を書面により提出すること。
(ア)情報セキュリティの監査
(イ)情報セキュリティに関するコンサルティング
(ウ)情報セキュリティポリシーの作成(支援を含む)
(エ)情報セキュリティ監査に係る業務を責任者として実施した経験を有すること。
(オ)「9.4 業務実績」に該当する業務に責任者として1つ以上参画したものであること。 なお、実績の記載項目は、本件に関連する保有資格、実施機関名称(セキュリティ上の観
点から具体的な名称を記入できない場合は、A県等の表示でも可)、契約内容、実施期間とし、全ての項目内容を記載した一覧表を提出すること。
(2) コミュニケーション
職員と、日本語により円滑かつ適切なコミュニケーションが図れること。
4.3 作業場所等
(1)作業場所
ア.作業場所は、あらかじめ担当職員との事前調整を行うこと。また、作業場所は必要に応じて当省が現地確認を実施することができるものとする。
イ.本業務の作業に当たり必要となる設備、備品及び消耗品等については、受注者の責任にお
いて用意すること。
(2) 作業日時
個別の機関ごとのヒアリング及び実地調査を行う日程等についてはあらかじめ担当職員との事前調整を行うこと。
5. 作業の実施に当たっての遵守事項
5.1 機密保持、資料の取扱い
ア.受注者は本調達仕様書に基づき契約が成立した場合の業務実施中はもとより、契約終了後も当省が提供した業務上の情報で省外秘を要するものについては、第三者(第三者とは、一般的に言う第三者はもとより、受注者組織内で作業を行う場合の、本業務に係わる体制以外の受注者側(受注企業)社員等も含む。以下同様。)に開示若しくは漏えいしてはならないものとし、そのための機密保持管理方法を作成し、「3.3.1 情報セキュリティ監査に係る実施計画書の策定」に示す実施計画書に含め、厳格に管理・運営すること。
イ.受注者は、本受注業務を実施するに当たり、当省から入手した資料等については、管理台帳等により、適切に管理し、かつ、以下の事項に従うこと。
(ア)当該資料の複製及び第三者への提供はしないこと。ただし、当省が提供した情報を第三者に開示することが必要である場合は、事前に協議の上、承認を得ること。
(イ)当省が提供する資料は、原則として貸出しによるものとし、契約期間内に返却すること。 (ウ)受注業務完了後、上記(ア)に記載される情報を削除又は返却し、受注者において該当
情報を保持しないことを誓約する旨の書類を当省へ提出すること。
ウ.機密保持及び資料の取扱いについて、適切な措置が講じられていることを確認するため、当省が遵守状況の報告や実地調査を求めた場合には応じること。
5.2 遵守する法令等
ア.受注者は、政府統一基準群の最新版、機構ポリシー等の最新版を遵守すること。なお、機構ポリシー等は非公表であるが、政府統一基準群に準拠しているので、必要に応じ参照すること。機構ポリシー等の開示については、契約締結後、受注者が担当職員に守秘義務の誓約書を提出した際に開示する。
イ.当省へ提示する電子ファイルは事前にウイルスチェック等を行い、悪意のあるソフトウェア等が混入していないことを確認すること。
ウ.受注者は、受注業務の実施において、「民法」(明治 29 年 4 月 27 日法律第 89 号)、「刑法」
(明治 40 年 4 月 24 日法律第 45 号)、「著作xx」(昭和 45 年 5 月 6 日法律第 48 号)、「不正
アクセス行為の禁止等に関する法律」(平成 11 年 8 月 13 日法律第 128 号)、「行政機関の保
有する個人情報の保護に関する法律」(平成 15 年 5 月 30 日法律第 58 号)等の関連する法令等を遵守すること。
5.3 情報セキュリティ管理
受注者は、以下を含む情報セキュリティ対策を実施すること。また、その実施内容及び管理体制についてまとめた情報セキュリティ管理計画書を作成し、「3.3.1 情報セキュリティ監査に係る実施計画書の策定」に示す実施計画書に含め、提出すること。
ア.当省から提出する情報の目的外利用を禁止すること。
イ.当省から要保護情報を受領する場合は、情報セキュリティに配慮した受領方法にて行うこと。なお、当省から受領した要保護情報が不要になった場合は、これを確実に返却、又は抹消し、書面にて報告すること。
ウ.受注者は受注組織全体のセキュリティを確保するとともに、当該業務の実施において情報セキュリティを確保するための体制を整備すること。
エ.本業務の実施に当たり、受注者又はその従業員、本調達の役務の内容の一部を再委託する先、若しくはその他の者による意図せざる変更が加えられないための管理体制が整備されていること。
オ.本調達の役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるように情報セキュリティ管理計画書に記載された措置の実施を担保すること。
カ.受注者の資本関係・役員等の情報、本業務の実施場所、本業務従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供を行うこと。
キ.受注者は、受注者内における情報セキュリティ対策に関する事務を統括する情報セキュリティ管理者を設置し、情報セキュリティ対策の遵守状況を監査させ、その結果を報告すること。
ク.本調達に係る業務の遂行において情報セキュリティが侵害され又はそのおそれがある場合には、速やかに当省に報告すること。これに該当する場合には、以下の事象を含む。
(ア)受注者に提供し、又は受注者によるアクセスを認める当省の情報の外部への漏えい及び目的外利用
(イ)受注者による当省のその他の情報へのアクセス
ケ.本調達に係る業務の遂行における情報セキュリティ対策の履行状況を定期的に確認し、当省から情報セキュリティ対策の実績報告を求めた場合には速やかに提出すること。
コ.本調達に係る業務の遂行において、受注者における情報セキュリティ対策の履行が不十分であると認められる場合には、受注者は、当省の求めに応じ、当省と協議を行い、合意した対応を実施すること。
サ.本調達に係る業務の遂行における情報セキュリティ対策の履行状況を確認するために、当省が情報セキュリティ監査の実施を必要と判断した場合、当省がその実施内容(監査内容、対象範囲、実施者等)を定めて行うので、当省が情報セキュリティ監査を求めた場合は、速やかに受入れること。
6. 納入成果物の取扱いに関する事項
6.1 知的財産権の帰属
ア.本業務遂行上発生した書面(電磁的記録媒体を含む。)その他類似の派生物(提案等の構想等も含む。)については、その一切の著作権及び所有権は当省に帰属する。
イ.受注者の著作又は一般に公開されている著作を引用する場合には、出典を明示するとともに、受注者の責任において著作者等の了解を得るものとし、当省宛に提出する際は、その旨、併せて報告するものとする。(当省は、必要に応じ、随時書面による報告提出を求めることができる。)
なお、受注者は、当省に対し、一切の著作者人格権を行使しないこととし、また、第三者をして行使させないこと。
また、受注者が本契約の納入成果物に係る著作権を自ら使用し又は第三者に使用させる場合は、当省と事前に協議すること。
ウ.受注者は、納入成果物が第三者の著作権をその他いかなる権利も侵害するものではなく、合法的なものであることを保証すること。納入成果物に第三者が権利を有する著作物が含まれている場合は、当省が特に使用を指示した場合を除き、受注者は当該著作物の使用に必要な費用負担や使用許諾契約などに係る一切の手続を行うこと。この場合、受注者は、事前に当該既存著作物の内容について当省の承認を得ることとし、当省は、既存著作物等について当該許諾条件の範囲で使用するものとする。
エ.調達に係り第三者との間に著作権に係る権利侵害の紛争が生じた場合には、当該紛争の原因が専ら当省の責めに帰す場合を除き、受注者の責任、負担において一切を処理すること。この場合、当省は係る紛争の事実を知ったときは、受注者に通知し、必要な範囲で訴訟上
の防衛を受注者に委ねるなどの協力措置を講ずる。
6.2 損害賠償
受注者は、受注者の責めに帰すべき事由により、当省、所管法人等及び第三者に損害を与えたときは、受注者はその損害を賠償しなければならない。
6.3 瑕疵担保責任
受注者は、本調達について検収を行った日を起算日として1年間、成果物に対する瑕疵担保責任を負うものとする。その期間内において瑕疵があることが判明した場合には、その瑕疵が当省の指示によって生じた場合を除き(ただし、受注者がその指示が不適当であることを知りながら、又は過失により知らずに告げなかったときはこの限りではない。)、受注者の責任及び負担において速やかに修正等を行い、指定された日時までに当省の承認を得たうえで再度納品するものとする。なお、修正方法等については事前に当省の承認を得てから着手するとともに、修正結果等についても当省の承認を受けること。
6.4 検収
ア.受注者は、本業務の履行に際し、責任者を定め、担当職員からの質問、検査、資料の提示等の指示に応じなければならない。
イ.本調達仕様書に定める「3.3.1 納入成果物」に則って、納入成果物を提出すること。その際、当省の指示により、別途、品質保証が確認できる資料を作成し、納入成果物とあわせて提出すること。当省が指定する場所において納入成果物の確認をもって検収合格とする。ただし、検査後、瑕疵等が認められた場合には、受注者の責任及び負担において対処するものとする。
ウ.検査の結果、納入成果物の全部又は一部に不合格品を生じた場合には、担当職員からの改善指示に従い、受注者は直ちに引き取り、必要な修正を行った後、納入期限までに修正が反映されたすべての納入成果物を納入すること。その際、当省の指示により、別途、品質保証が確認できる資料を作成し、提出すること。
エ.本調達仕様書に定める「3.3.1 納入成果物」以外にも、必要に応じて納入成果物の提出を求める場合があるので、作成資料は常に管理し、最新状態に保っておくこと。
オ.受注者は、業務終了後に当省から別紙5「業務終了確認書」の交付を受けること。
7. 受注者の条件
7.1 入札参加要件
受注者は、以下の条件を満たす必要がある。なお、本業務の作業を行うに当たっては、業務開始までに、受注者の責任及び負担において、事前準備を行うこと。
7.1.1 非該当要件
受注者は、以下に記載するいずれかの規定に該当してはならない。
ア.予算決算及び会計令(昭和 22 年 4 月 30 日勅令第 165 号)第 70 条の規定(未xx者、被保佐人又は被補助人であっても、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。)
イ.予算決算及び会計令第 71 条の規定
ウ.当省から業務等に関する指名停止期間中
7.1.2 公的な資格や認証等の取得
本調達を担当する組織(会社全体または所属部門)において、「ISO/IEC27001 認証(国際標準規格)」または、「JIS Q 27001 認証(日本工業標準規格)」のうち、いずれかを取得していること。
7.2 入札制限
情報システムの調達のxx性を確保するため、応札希望者は、以下アからクに挙げる事業者、この事業者の「財務諸表等の用語、様式及び作成方法に関する規則」(昭和 38 年 11 月 27 日大蔵
省令第 59 号)第 8 条に規定する親会社及び子会社、この事業者と同一の親会社を持つ会社並びにこの事業者の委託先事業者等の緊密な利害関係を有する事業者(以下、「関連会社」という。)でないこと。
また、本受注者(応札希望者を含む)及びその関連会社は、以下アからクの業務に係る各受注者からの再委託を受注できないものとする。
なお、以下ウ及びエの業務においては、当該業務の「再委託に係る承認申請書」の写し等により、各事業者及びその関連会社が実施する作業範囲の客観的な証明が可能であり、本業務について競争上何ら有利にならないと認められるときは、この限りではない。
ア.平成 28 年度又は平成 29 年度の厚生労働省全体管理組織(PMO)の支援業務の受注事業者
イ.平成 29 年度の厚生労働省における社会保険オンラインシステム等の構築に係るプロジェクト推進支援業務の受注事業者
ウ.平成 28 年度又は平成 29 年度の機構におけるシステム監査支援業務の受注事業者
エ.平成 28 年度又は平成 29 年度の機構におけるシステム支援等業務の受注事業者
オ.平成 28 年度又は平成 29 年度の社会保険オンラインシステム等の開発、管理、運用及び保守業務の受注事業者
カ.平成 28 年度又は平成 29 年度の機構における情報セキュリティ対策支援等業務の受注事業者
キ.平成 28 年度又は平成 29 年度の機構における最高情報セキュリティアドバイザー業務の受注事業者
ク.平成 28 年度又は平成 29 年度の機構における情報セキュリティリスクの評価・分析業務一式の受注事業者
8. 再委託に関する事項
8.1 再委託の制限及び再委託を認める場合の条件
受注者は、受注業務の全部又は受注業務における総合的な企画及び判断並びに業務遂行管理部分を第三者に再委託することはできない。
受注者は、知的財産権、情報セキュリティ(機密保持及び遵守事項)、xxxxx等に関して本調達仕様書が定める受注者の責務を再委託先事業者も負うよう、必要な処置を実施し、当省に報告し、承認を受けること。
受注業務の一部を再委託する場合は、あらかじめ再委託の相手方の商号又は名称及び住所並びに再委託を行う業務の範囲、再委託の必要性及び契約金額(契約金額に占める再委託契約金額の割合は、原則2分の1未満とする。)について記載した「再委託に係る承認申請書」を当省に提出し、承認を受けること。また、再委託の相手方から更に第三者に委託を行うことは禁止とする。受注者は、機密保持、知的財産xxに関して本調達仕様書が定める受注者の責務を再委託先業者も負うよう、必要な処置を実施し、当省に報告し、承認を受けること。
なお、第三者に再委託する場合は、その最終的な責任を受注者が負うこと。
8.2 承認手続
受注者は、受注業務の一部を再委託する場合は、あらかじめ再委託の相手方の商号又は名称及び住所並びに再委託を行う業務の範囲、再委託の必要性及び契約金額について記載した「再委託に係る承認申請書」を当省に提出し、承認を受けること。なお、再委託の相手方は、上記「7.2.1入札制限」の対象となる事業者でないこと。
当初申請内容に変更が生じた場合は、「再委託に係る変更承認申請書」を当省に提出すること。再委託の相手方からさらに第三者に委託が行われる場合は、当該第三者の商号又は名称及び住
所並びに委託を行う業務の範囲等を記載した「履行体制図」を提出すること。
9. その他特記事項
9.1 前提条件及び制約条件
ア.本調達仕様書は、受注者に業務遂行を求める最低限の基準を示したものである。したがって、受注業務の目標を達成するため、本調達仕様書に記載していない事項であっても、本調達に必要と認められる事項は、当省と協議のうえ、これを行うこと。
イ.本業務受注後に本調達仕様書の内容の一部について変更を行おうとする場合、その変更の内容、理由等を明記した書面をもって当省に申し入れを行うこと。双方の協議において、その変更内容が軽微(委託料、納期に影響を及ぼさない)かつ許容できると判断された場合は、変更の内容、理由等を明記した書面に双方が記名捺印することによって変更を確定する。
ウ.本調達仕様書に記載したxxxxxxは、現時点での想定である。スケジュール変更があった場合の対応については、当省と協議のうえ、決定すること。
エ.本調達の作業を行う際には、当省に報告する全ての内容について、信憑性が確認できることに努めること。
9.2 環境への配慮
納入成果物について、環境保護の観点から可能な限り、「国等による環境物品等の調達の推進等に関する法律」(グリーン購入法、平成 12 年 5 月 31 日法律第 100 号)に基づいた製品を導入すること。
9.3 受注者組織内における教育制度の完備
以下の内容を含む教育を実施する受注者組織内における社内教育制度を有し、要員に対し教育を実施していること。
ア.プライバシーや個人情報保護に関する教育イ.守秘義務に関する教育
ウ.情報セキュリティに関する教育
9.4 業務実績
本調達を担当する組織(会社全体または所属部門)において、以下の業務実績を有すること。ア.多数の情報システムを保有する組織に対する情報セキュリティ監査業務を履行した実績を有すること。また、その実績を書面により提出することとし、記載項目は、セキュリティ監 査実施機関名称(セキュリティ上の観点から具体的な名称を記入できない場合は、A県等の 表示でも可)、契約内容、監査実施期間とし、全ての項目内容を記載した一覧表を提出する
こと。
イ.中央省庁又は独立行政法人に対する情報セキュリティ監査業務を履行した実績を有することが望ましい。
9.5 その他
ア.厚生労働省全体管理組織 (PMO)が担当職員に対して指導、助言等を行った場合には、受注者もその方針に従うこと。
イ.受注者は、電子行政推進に関する基本方針等の各種方針(今後決定されるものを含む。)に従うこと。
ウ.本業務の実施において、いかなる場合においても、国民へ提供している情報等に支障を来さないこと。
エ.本業務を実施する際、システムの運用及び担当職員の通常業務に支障や悪影響を及ぼさないこと。支障や悪影響を及ぼすことが予想される場合は、事前に担当職員に危険度等を説明の上、了承を得ること。なお、事前に当省に危険度等を説明しない事項において発生した障害等については、受注者の責任において復旧等を実施すること。
10. 附属文書
10.1 事業者が閲覧できる資料一覧表
応札希望者に対して、以下の資料を閲覧に供する。ア.厚生労働省ポリシー等
イ.システム監査マニュアル
ウ.事務センター・年金事務所一覧エ.その他必要と考えられる資料等
10.2 閲覧要領
応札希望者が資料の閲覧を希望する場合は、別紙1「資料の閲覧に係る実施要領」を参照すること。
守秘義務に関する誓約書を提出の上、当省が定める期間、場所、方法において閲覧を許可する。
10.3 その他事業者の提案に資する資料
本業務は、以下に示す政府指針・ガイドライン等及び本省の指針等を参考として実施すること。なお、その際は、当該資料の更新版の有無を確認し、常に最新版を参照すること。
ア.不正アクセスによる情報流出事案に関する調査報告結果について
(平成 27 年8月 20 日 日本年金機構) xxxx://xxx.xxxxxx.xx.xx/xxxxxxxx/xxxxxx/0000/00000000.xxxxx/xxxxx0000.xxx
イ.日本年金機構の個人情報流出事案に関する原因究明調査結果
(平成 27 年8月 20 日 サイバーセキュリティ戦略本部) xxxx://xxx.xxxx.xx.xx/xxxxxx/xxxxx/xxx/xxxxxxxx_xxxxxx.xxx
ウ.日本年金機構の個人情報流出事案に関する原因究明調査結果
(平成 27 年8月 20 日 サイバーセキュリティ戦略本部) xxxx://xxx.xxxx.xx.xx/xxxxxx/xxxxx/xxx/xxxxxxxx_xxxxxx.xxx
エ.検証報告書
(平成 27 年8月 21 日日本年金機構における不正アクセスによる情報流出事案検証委員会) xxxx://xxx.xxxx.xx.xx/xxxxxx/xx/xxxxxxxxxxxxx_000000-00.xxx
オ.情報セキュリティ強化等に向けた組織・業務改革 ―日本年金機構への不正アクセスによる情報流出事案を踏まえて―
(平成 27 年9月 18 日 厚生労働省) xxxx://xxx.xxxx.xx.xx/xxxxxx/xx/xxxxxxxxxxxxx_000000-00.xxx
カ.業務改善計画の提出
(平成 27 年 12 月9日 日本年金機構) xxxx://xxx.xxxxxx.xx.xx/xxxxxxxx/xxxxxx/0000/00000000.xxxxx/0000.xxx
キ.サイバーセキュリティ戦略本部長の勧告に対する報告書について(報告書)
(平成 28 年4月 28 日 サイバーセキュリティ戦略本部長) xxxx://xxx.xxxx.xx.xx/xxxxxx/xx/xxxxxxxxxxxxx_000000-00.xxx
ク.年金個人情報に関する情報セキュリティ対策の実施状況及び年金個人情報の流出が日本年金機構の業務に及ぼした影響等について
(平成 28 年 12 月 16 日 会計検査院) xxxx://xxx.xxxxxxx.xx.xx/xx/xxxxx/xxxxxx/00/x000000.xxxx
ケ.政府情報システムの整備及び管理に関する標準ガイドライン
(平成 26 年 12 月3日 各府省情報化統括責任者(CIO)連絡会議決定) xxxx://xxx.xxxxx.xx.xx/xxxx_xxxxxx/xxxxxxx/xxxxx/xxxxxxxxxx-xxxxx.xxxx
コ.政府機関の情報セキュリティ対策のための統一基準群(平成 28 年度版)
(平成 28 年8月 31 日 サイバーセキュリティ戦略本部決定) xxxx://xxx.xxxx.xx.xx/xxxxxx/xxxxxxx/xxxxx00.xxxx
サ.高度サイバー攻撃対処のためのリスク評価等のガイドライン
(平成 28 年 10 月7日 サイバーセキュリティ対策推進会議) xxxx://xxx.xxxx.xx.xx/xxxxxx/xxxxxxx/xxxx.xxxx
シ.情報セキュリティ監査実施手順の策定手引書
(平成 29 年 4 月 26 日 内閣官房 内閣サイバーセキュリティセンター)
xxxx://xxx.xxxx.xx.xx/xxxxxx/xxxxxxx/xxx/XxxxxxxxXxxxxXxxxxx.xxxス.システム管理基準
(平成 16 年 10 月8日策定 経済産業省) xxxx://xxx.xxxx.xx.xx/xxxxxx/xxxxxxxxxxx/xxxxxxxxxxxxx/xxxxxx_xxxxx.xxx
セ.システム監査基準
(平成 16 年 10 月8日改訂 経済産業省) xxxx://xxx.xxxx.xx.xx/xxxxxx/xxxxxxxxxxx/xxxxxxxxxxxxx/xxxxxx_xxxxx.xxx
ソ.行政文書の管理に関するガイドライン
(平成 27 年3月 13 日改正 内閣総理大臣決定) xxxx://xxx0.xxx.xx.xx/xxxxxx/xxxxxx/xxxxxx/xxxxx-xx.xxx
タ.公用文改善の趣旨徹底について
(昭和 27 年4月4日 内閣閣甲第 16 号内閣官房長官依命通知) xxxx://xxx.xxxxx.xx.xx/xxxxxx_xxxxxxx/xxxxxx/xxxx/xxxx/xxxxx/xxxxx/xxxxxxx/xxx
/yoryo_ver02.pdf