今後、米麦システムにおいて運用されているサーバ OS、ソフトウェア等が順次サポートを終了していくことから、バージョンアップ等を行う必要がある。 本業務は、米麦システムにおいて運用されているサーバ OS、ソフトウェア等をバージョンアップすることにより、米麦システムを安定的に運用することを目的とする。
政府所有米麦情報管理システムのソフトウェア等バージョンアップ業務
調達仕様書(案)
農林水産省貿易業務課
目次
1 調達案件の概要 4
2 調達案件及び関連調達案件の調達単位、調達の方式等 5
3 情報システムに求める要件 5
4 作業の実施内容 6
5 作業の実施体制・方法 13
6 作業の実施に当たっての遵守事項 15
7 成果物の取扱いに関する事項 19
8 入札参加資格に関する事項 21
9 再委託に関する事項 23
10その他特記事項 23
11附属文書 25
政府所有米麦情報管理システムのソフトウェア等バージョンアップ業務
農産局農産政策部貿易業務課(以下「担当部署」という。)では、「主要食糧の需給及び価格の安定に関する法律」(平成6年法律第 113 号)に基づく政府所有米麦の売買等に関する各業務を支援するため、政府所有米麦の売買等に関する情報を管理し、各種データ間の連携を図り、関係者のニーズに応じた情報を機動的に提供する政府所有米麦情報管理システム(以下「米麦システム」という。)を構築、平成 26 年4月より稼働しており、現行シス
テムについては平成 31 年4月から運用を行っている。
今後、米麦システムにおいて運用されているサーバ OS、ソフトウェア等がxxサポートを終了していくことから、バージョンアップ等を行う必要がある。
本業務は、米麦システムにおいて運用されているサーバ OS、ソフトウェア等をバージョンアップすることにより、米麦システムを安定的に運用することを目的とする。
政府所有米麦の売買等に関する各業務、米麦システムの概要及び外国産米麦の輸入・販売業務については、別紙1を参照すること。
令和5年4月1日から令和7年3月 31 日まで
作業スケジュールは次のとおり想定している。
図 1 作業スケジュール
本業務では、米麦システムにおいて目的を達成するために必要なバージョンアップ作業等を行うものとする。
調達案件及びこれと関連する調達案件の調達単位、調達の方式、実施時期等は次の図のとおり。
図 2 調達案件及びこれと関連する調達案件の調達単位、調達の方式、実施時期等
相互牽制の観点から、政府所有米麦情報管理システムに係るプロジェクト管理等支援業務の受注事業者(再委託先等を含む。)及びこの事業者の「財務諸表等の用語、様式及び作成方法に関する規則」(昭和 38 年 11 月 27 日大蔵省令第 59 号)第 8 条に規定する親会社及び子会社、同一の親会社を持つ会社並びに委託先事業者等の緊密な利害関係を有する事業者は、入札には参加できない。
受注者は、以下の作業を行うこと。
(1)受注者は、米麦システムが利用している全てのOS、ソフトウェア、アプリケーション等(以下「ソフトウェア等」という。)のバージョンアップにあたって、米麦システムの各種ドキュメン
ト、文献等を確認し、最適なバージョンを担当部署に提案し、承認を得ること。
(2)バージョンアップの手法は、現在動作しているサーバ等を直接バージョンアップする手法とし、新たなバージョンでのサーバ構築等は行わないこととする。なお、新たなソフトウェア等の動作要件を現行動作しているサーバが満たせない場合は、別途、担当部署と協議すること。
(3)バージョンアップを行うに際して、現行システムの構成をミラーリングしたバージョンアップ検証環境(インターネットには原則接続しない)を別途運用環境提供事業者が用意することから、動作検証等に利用すること。なお、当該バージョンアップ検証環境は、シングル構成
(DBサーバを除く)を基本とする。
(4)上記(3)の環境を使用し、バージョンアップ、切戻し時のリカバリに係る一連の作業等について検証し、その結果を取りまとめ、検証結果報告書を担当部署に提出し、承認を得ること。
(5)上記(4)で承認が得られた内容を踏まえ、現行システムのバージョンアップに必要な手順書、新バージョンに対応したソフトウェア等、新バージョンに対応したアプリケーション等の資源を準備すること。
(6)上記(5)で準備した手順書、資源等を基に、現行システムのバージョンアップ作業を行うこと。なお、バージョンアップ作業は、OSが、RedHat のサーバとWindowsのサーバの2回に分けて行うことを想定している。また、OSが、RedHat のサーバのOSサポート期限が令和
6年6月 30 日に終了することから、RedHat のサーバについては、それまでにバージョンアップ作業を終了させること。
(7)バージョンアップ作業終了後、現行システムの各種ドキュメントについて、バージョンアップ後の環境等を反映する修正を行うこと。
受注者は、担当部署の提示するプロジェクト計画書及びプロジェクト管理要領と整合をとりつつ、担当部署の指示に基づき、プロジェクト管理支援事業者と調整の上、契約締結後 10 日(行政機関の休日(行政機関の休日に関する法律(昭和 63 年法律第 91 号)第1条第
1項各号に掲げる日をいう。)を除く。以下同じ。)以内に、設計・開発実施計画書及び設計・開発実施要領の案を作成し、担当部署の承認を受けること。
なお、設計・開発実施計画書及び設計・開発実施要領の記載内容は標準ガイドライン「第
7章 設計・開発」で定義されているものとする。
ア 米麦システムの設計書等の各種ドキュメント及び文献等を調査し、現在使用されている全てのソフトウェア等について、利用可能な最新のバージョンを選定し、ソフトウェア等選定結果報告書に取りまとめ、担当部署に報告し、承認を得ること。なお、選定に際しては、以下の点に留意すること。
・ 選定時点で、少なくとも令和8年度末まで、サポートが継続するものとすること。サポート継続が不明なソフトウェア等については、過去のサポート実績等を提示すること。
・ 最新のバージョンであっても、利用実績の無いバージョンの場合、採用しない場合がある。
・ 可能な限りアプリケーションに影響が少ないバージョンとすること。
・ ソフトウェア等の提供終了等により、別のソフトウェア等を提案する場合には、米麦システムへの影響を含めて提案すること。
・ 運用環境提供事業者(事業者は未定)が提供する運用環境において、利用できないソフトウェア等の場合、採用しないことから、予め、ソフトウェア等のバージョンについて、運用環境提供事業者と協議すること。
イ 受注者は、上記アで承認されたソフトウェア等を自ら入手すること。なお、有償ライセンスについては、少なくとも令和8年度末まで、サポートが継続するよう必要な対応を行うこと。
ウ 受注者は、運用環境提供事業者と協議し、バージョンアップ検証環境に接続する環境(回線、PC 等)を自ら準備すること。
ア 受注者は、承認を受けたソフトウェア等選定結果報告書を基に、運用環境提供事業者が準備するバージョンアップ検証環境を使用し、バージョンアップに係る以下の検証を行うこと。
なお、令和5年度中に現行システムの改修を行う予定となっている。受注者は、令和
5年度の改修が終了した現行システムのアプリケーション等をバージョンアップ検証環境に反映し、検証を行うこと。
・ 現行システムの手順書等を活用し、バックアップ・リカバリの手順を確認し、正常に処理が行えるよう確認すること。確認結果を踏まえ、バージョンアップ検証環境用のバックアップ・リカバリ手順書を作成すること。
・ バージョンアップ検証環境に上記(2)で承認を得たソフトウェア等を導入し、アプリケーション(バッチ処理を含む。以下同じ。)が全て正常に動作するか確認すること。なお、アプリケーションについては、別途アプリケーション改修業者が改修を行っていることから、改修の内容、進捗状況等を踏まえ、連携しながら確認すること。
・ アプリケーションが正常に動作しない場合は、原因を確認の上、アプリケーションを修正する等の必要な対応を行うこと。
イ 現行システムの検証にあたって、受注者は、令和5年度の業務アプリケーション改修事業者に対して改修内容を随時確認する等、令和5年度の業務アプリケーション改修業者と密接に連携して対応すること。なお、改修内容をバージョンアップ検証環境
に適用する作業は令和5年度の業務アプリケーション改修事業者の役割とする。
ウ 受注者は、アプリケーションの修正等を行うに際して、予め、テスト計画書を作成し、担当部署に承認を得ること。
エ 受注者は、検証の結果、利用者の機能やシステム管理に係るインターフェース、操作手順等に変更が生じた場合には、その都度、担当部署に報告し、当該ソフトウェア等によるバージョンアップの対応について確認すること。
オ 受注者は、バージョンアップ検証環境で検証した結果(アプリケーションの修正等を行った際のテスト結果を含む)を取りまとめ、検証結果報告書として担当部署に報告し、承認を得ること。
カ 受注者は、上記オにより、承認を得た内容を基に、現行システムのバージョンアップに必要な作業手順書を作成すること。併せて、バージョンアップに必要な資源(ソフトウェア等、アプリケーション)を準備すること。
キ 受注者は、上記カにより準備した作業手順書等を使用して、バージョンアップ検証環境により、リハーサルを行い、その結果を担当部署に報告し承認を得ること。
ク 受注者は、利用者の機能やシステム管理に係るインターフェース、操作手順等に変更が生じた場合は、操作マニュアル、運用マニュアル等を修正し、担当部署の承認を得ること。
ア 受注者は、担当部署と協議し、現行システムのバージョンアップ作業に係る日程調整を行うこと。なお、現行システムのバージョンアップ作業には、相当の期間が見込まれることから、連休等で長期間米麦システムを停止できる期間とすること。場合によっては、夜間、深夜の作業も想定されることから、対応すること。
イ 受注者は、バージョンアップ作業に先立って、作業実施計画書を作成し、担当部署に承認を得ること。作業実施計画書には、バージョンアップ作業後の動作確認方法について具体的に記載すること。
ウ 受注者は、バージョンアップ作業を行う前に必ず現行システムのフルバックアップを取ること。
エ 受注者は、上記(3)のオで準備した手順書等を使用して、バージョンアップ作業を行うこと。作業中は、画面キャプチャー、ログ等により、作業のエビデンスを確保すること。
オ 受注者は、バージョンアップ作業中に何らかの事態が発生した際には、速やかに担当部署に報告し、切戻しを含めその指示に従うこと。
カ 本業務では、現行システムを直接バージョンアップする方式を取ることから、データ移行は想定していないが、何らかの理由によりデータ移行が発生した場合には、速やかにデータ移行を行い、データの信頼性を確保すること。
キ 受注者は、バージョンアップ作業後、現行システムの機能が正常に動作することを確
認すること。動作確認に際しては、画面キャプチャー、ログ等により、作業のエビデンスを確保すること。
ク 受注者は、全ての作業終了後、作業結果報告書を作成するとともに、担当部署に報告し承認を得ること。
ア 受注者は、バージョンアップ作業により変更された内容を、米麦システムの設計書等のドキュメントに反映すること。なお、バージョンアップ検証環境は、本業務終了後、削除されることから、ドキュメントへの反映対象とはしない。
イ 受注者は、ドキュメントへの反映内容を担当部署に報告し、承認を得ること。
ア 受注者は、作業経緯、残存課題等を文書化し、関係事業者(運用環境提供事業者、運用支援事業者、OSSサポート事業者、業務アプリケーション保守事業者、業務アプリケーション改修事業者、プロジェクト管理支援事業者)に対して確実な引継ぎを行うこと。
イ 受注者は、関係事業者からの問い合わせ等に誠意をもって対応すること。
ア 受注者は、バージョンアップ作業後、契約期間終了までの間、担当部署又は関係事業者からバージョンアップ作業に起因する米麦システムの障害等に係る連絡を受けた場合は、速やかに必要な対応を行うこと。
イ 受注者は、対応後、障害内容、原因、対処等を記載した報告書を作成し、担当部署に報告すること。
ア 受注者は、定例会を月2回程度開催するとともに、業務の進捗状況を設計・開発実施要領に基づき報告すること。
イ 担当部署から要請があった場合、又は、受注者が必要と判断した場合、必要資料を作成の上、定例会とは別に会議を開催すること。
ウ 受注者は、会議終了後、3 日以内(行政機関の休日(行政機関の休日に関する法律
(昭和 63 年法律第 91 号)第1条第1項各号に掲げる日をいう。)を除く。)に議事録を作成し、担当部署の承認を受けること。
ア 受注者は、「デジタル・ガバメント推進標準ガイドライン」(2019 年 2 月 25 日各府省情報化統括責任者(CIO)連絡会議決定。以下「標準ガイドライン」という。)「別紙2 情報システムの経費区分」に基づき区分等した契約金額の内訳を記載した情報資産管理標準シートを契約締結後速やかに提出すること。
イ 受注者は、担当部署から求められた場合は、スケジュールや工数等の計画値及び
実績値について記載した情報資産管理標準シートを提出すること。
ウ 受注者は、次に掲げる事項について記載した情報資産管理標準シートを、設計・開発実施要領において定める時期に、提出すること。
(ア) 開発規模の管理
情報システムの開発規模(工数、ファンクションポイント等)の計画値及び実績値
(イ) ハードウェアの管理
情報システムを構成するハードウェアの製品名、型番、ハードウェア分類、契約形態、保守期限等
(ウ) ソフトウェアの管理
情報システムを構成するソフトウェア製品の名称(エディションを含む。)、バージョン、ソフトウェア分類、契約形態、ライセンス形態、サポート期限等
(エ) 回線の管理
情報システムを構成する回線の回線種別、回線サービス名、事業者名、使用期間、ネットワーク帯域等
(オ) 外部サービスの管理
情報システムを構成するクラウドコンピューティングサービス等の外部サービスの外部サービス利用形態、使用期間等
(カ) 施設の管理
情報システムを構成するハードウェア等が設置され、又は情報システムの運用業務等に用いる区域を有する施設の施設形態、所在地、耐久性、ラック数、各区域に関する情報等
(キ) 公開ドメインの管理
情報システムが利用する公開ドメインの名称、DNS名、有効期限等
(ク) 取扱情報の管理
情報システムが取り扱う情報について、データ・マスタ名、個人情報の有無、格付等
(ケ) 情報セキュリティ要件の管理
情報システムの情報セキュリティ要件
(コ) 指標の管理
情報システムの運用及び保守の間、把握すべきKPI名、KPIの分類、計画値等の案
農林水産省は、令和5 年度に農林水産省統合ネットワークをガバメントソリューションサービス(GSS)に移行する予定である。当該 GSS についてはデジタル庁において検討されており、詳細についてxx検討が進められているところ、担当部署の求めに応じ、移行に必要な情報提供、質疑応答等の協力を行うこと。
ア 成果物名
本業務の成果物を以下に示す。なお、契約期間終了時までに全ての成果物を取りまとめ、紙媒体1部、電子媒体1部を納品すること。
表 1 成果物一覧
No. | 成果物名 | 記載箇所 | 納品期日 |
1 | 設計・開発実施計画書 | 4(1) | 契約締結後 10日以内 |
2 | 設計・開発実施要領 | 4(1) | 契約締結後 10日以内 |
3 | 設計・開発実施要領に基づく管理資料 | 4(8) ア、イ | 定例会等の 開催時 |
4 | 議事録 | 4(8) ウ | 会議終了後 3日以内 |
5 | ソフトウェア等選定結果報告書 | 4(2) | ソフトウェ ア等選定時 |
6 | テスト計画書 | 4(3) ウ | テスト開始 前 |
7 | 検証結果報告書 | 4(3) オ | 検証終了時 |
8 | 作業手順書 | 4(3) カ | 検証終了時 |
9 | 操作マニュアル、運用マニュアル ※変更がある場合のみ | 4(3) ク | 検証終了時 |
10 | 作業実施計画書 | 4(4)イ | バージョン アップ作業前 |
11 | 作業結果報告書(エビデンスを含む) | 4(4)ク | バージョンアップ作業 終了後 |
12 | 修正した米麦システムの設計書等のドキ ュメント一式 | 4(5) | ドキュメン ト修正後 |
13 | 引継資料 | 4(6) | 引継時 |
14 | 情報資産管理標準シート | 4(9) | 契約締結後 速やかに |
15 | ソフトウェア等一式(有償ライセンス含む) | 4(2) | バージョン アップ作業終了後 |
16 | ソースコード一式 | 4(3)ア | バージョン アップ作業終了後 |
17 | 実行プログラム一式 | 4(3)ア | バージョンアップ作業 終了後 |
イ 成果物の納品方法
・ 成果物は、全て日本語で作成すること。
・ 用字・用語・記述符号の表記については、「公用文作成の要領(昭和 27 年4月4日内閣閣甲第 16 号内閣官房長官依命通知)」を参考にすること。
・ 情報処理に関する用語の表記については、日本産業規格(JIS)の規定を参考にすること。
・ 成果物は紙媒体及び電磁的記録媒体により作成し、担当部署から特別に示す場合を除き、原則紙媒体を1部、電磁的記録媒体を1部納品すること。
・ 紙媒体による納品について、用紙のサイズは、原則として日本産業規格A 列4番とするが、必要に応じて日本産業規格 A 列3番を使用すること。
・ 電磁的記録媒体による納品について、Microsoft Office 又は PDF のファイル形式で作成し、CD-R 等の電磁的記録媒体に格納して納品すること。
・ 納品後、担当部署において改変が可能となるよう、図表等の元データも併せて納品すること。
・ 成果物の作成に当たって、特別なツールを使用する場合は、担当職員の承認を得ること。
・ 成果物が外部に不正に使用されたり、納品過程において改ざんされたりすることのないよう、安全な納品方法を提案し、成果物の情報セキュリティの確保に留意すること。
・ 電磁的記録媒体により納品する場合は、不正プログラム対策ソフトウェアによる確認を行うなどして、成果物に不正プログラムが混入することのないよう、適切に対処すること。なお、対策ソフトウェアに関する情報(対策ソフトウェア名称、定義パターンバージョン、確認年月日)を記載したラベルを貼り付けること。
ウ 成果物の納品場所
原則として、成果物は次の場所において引渡しを行うこと。ただし、担当部署が納品場所を別途指示する場合はこの限りではない。
〒100-8950
xxxxxx区霞が関 1-2-1
農林水産省農産政策部貿易業務課システム企画班
本業務の推進体制及び本業務受注者に求める作業実施体制は次の図及び表のとおりである。なお、受注者内の人員構成については想定であり、受注者決定後に協議の上、見直しを行う。また、受注者の情報セキュリティ対策の管理体制については、作業実施体制とは別に作成すること。
図 3 本業務の推進体制及び本業務受注者に求める作業実施体制
表 2 本業務における組織等の役割
組織等 | 本業務における役割 |
担当部署(PJMO) | 米麦システムの管理組織として、本業務の進捗等を管理する。 |
本業務受注者 | 本業務を実施する。 |
プロジェクト管理支援 事業者 | 担当部署を通じて、本業務に係るプロジェクト管理支援を行う。 |
運用支援事業者 | 担当部署を通じて、米麦システムの運用支援を行う。 |
組織等 | 本業務における役割 |
業務アプリケーション 保守事業者 | 担当部署を通じて、米麦システムの業務アプリケーション保守を行う。 |
OSSサポート事業者 | 担当部署を通じて、米麦システムにおけるOSSの技術情報問合せ・バージョンアップ、脆弱性対応等を行う。 |
運用環境提供事業者 | 担当部署を通じて、米麦システムの運用環境を提供する。 |
業務アプリケーション 改修事業者 | 担当部署を通じて、米麦システムの業務アプリケーション改修を行う。 |
農林水産省内全体x x組織(PMO) | 担当部署からの相談対応を行う。 |
表 3 本業務受注者に求める作業実施体制の役割
組織等 | 本業務における役割 |
プロジェクト責任者 | 本業務全体を統括し、必要な意思決定を行う。また、各関連する組織・部門とのコミュニケーション窓口を担う。 原則として全ての定例会等に出席する。 |
プロジェクト管理者 | 本業務に関する作業状況の管理、調整を担うとともに、メンバー間の調整を図る。 担当部署との協議における窓口を担当する。 |
作業員 | 本業務に関する各種作業を担う。 |
ア 受注者における遂行責任者は、情報処理システムの保守管理実務経験を複数年有するとともに、独立行政法人情報処理推進機構の IT スキル標準V3のアプリケーションスペシャリスト(業務システム)の責任性において達成度指標レベル4以上に相当すること。
イ 本業務の実施に係る受注者の実施体制に参加するメンバー(以下「体制メンバー」という。)は、独立行政法人情報処理推進機構の IT スキル標準V3のアプリケーションスペシャリスト(業務システム)の複雑性において、達成度指標レベル3以上に相当すること。
なお、当該指標は以下の URL で参照できる。
URL: xxxx://xxx.xxx.xx.xx/xxxxx/000000000.xxx
ウ 作業員には以下に関する技術・知識を有している者が含まれていること。
∙ ソフトウェア等のバージョン間の互換性、差異及び対処等に関する知識
∙ マルウェア対策に係る知識
∙ セキュリティ監査等情報セキュリティに関する知識
∙ ソースコード又はデータから問題箇所を特定し、適切な修正とテストを実施できる
技術
本業務の作業場所及び作業に当たり必要となる設備、備品及び消耗品等については、受注者の責任において用意すること。また、必要に応じて担当部署が現地確認を実施することができるものとする。
受注者は、担当部署が承認した設計・開発計画書の作業体制、スケジュール、開発形態、開発手法、開発環境、開発ツール等に従い、記載された成果物を作成すること。その際、設計・開発実施要領に従い、コミュニケーション管理、体制管理、作業管理、品質管理、リスク管理、課題管理、システム構成管理、変更管理、情報セキュリティ対策を行うこと。
ア 担当部署から農林水産省における情報セキュリティの確保に関する規則(平成 27 年
3月 31 日農林水産省訓令第4号。以下「規則」という。)、「農林水産省における個人情報の適正な取扱いのための措置に関する訓令」等の説明を受けるとともに、本業務に係る情報セキュリティ要件を遵守すること。なお、「農林水産省における情報セキュリティの確保に関する規則」は、政府機関等の情報セキュリティ対策のための統一基準群(以下「統一基準群」という。)に準拠することとされていることから、受託者は、統一基準群の改定を踏まえて規則が改正された場合には、本業務に関する影響分析を行うこと。
イ 本業務に係る情報セキュリティ要件は次の通りである。
(ア) 委託した業務以外の目的で利用しないこと。
(イ) 業務上知り得た情報について第三者への開示や漏えいをしないこと。
(ウ) 持出しを禁止すること。
(エ) 受注事業者の責に起因する情報セキュリティインシデントが発生するなどの万一の事故があった場合に直ちに報告する義務や、損害に対する賠償等の責任を負うこと。
(オ) 業務の履行中に受け取った情報の管理、業務終了後の返却又は抹消等を行い復元不可能な状態にすること。
(カ) 適切な措置が講じられていることを確認するため、遵守状況の報告を求めることや、必要に応じて発注者による実地調査が実施できること。
ウ 上記以外に、別紙2「情報セキュリティの確保に関する共通基本仕様」に基づき、作業を行うこと。
ア 個人情報の取扱いに係る事項について担当部署と協議の上決定し、書面にて提出
すること。なお、以下の事項を記載すること。
(ア) 個人情報取扱責任者が情報管理責任者と異なる場合には、個人情報取扱責任者等の管理体制
(イ) 個人情報の管理状況の検査に関する事項(検査時期、検査項目、検査結果において問題があった場合の対応等)
イ 本業務の作業を派遣労働者に行わせる場合は、労働者派遣契約書に秘密保持義務など個人情報の適正な取扱いに関する事項を明記し、作業実施前に教育を実施し、認識を徹底させること。なお、受注者はその旨を証明する書類を提出し、担当部署の了承を得たうえで実施すること。
ウ 個人情報を複製する際には、事前に担当職員の許可を得ること。なお、複製の実施は必要最小限とし、複製が不要となり次第、その内容が絶対に復元できないように破棄・消去を実施すること。なお、受注者は廃棄作業が適切に行われた事を確認し、その保証をすること。
エ 受注者は、本業務を履行する上で個人情報(生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。以下同じ。)の漏えい等安全確保の上で問題となる事案を把握した場合には、直ちに被害の拡大を防止等のため必要な措置を講ずるとともに、担当職員に事案が発生した旨、被害状況、復旧等の措置及び本人への対応等について直ちに報告すること。
オ 受託者は、農林水産省からの指示に基づき、個人情報の取扱いに関して原則として年1回以上の実地検査を受け入れること。なお、やむを得ない理由により実地検査の受入れが困難である場合は、書面検査を受け入れること。また、個人情報の取扱いに係る業務を再委託する場合は、受託者(必要に応じ農林水産省)は、原則として年1回以上の再委託先への実地検査を行うこととし、やむを得ない理由により実地検査の実施が困難である場合は、書面検査を行うこと。
カ 個人情報の取扱いにおいて適正な取扱いが行われなかった場合は、本業務の契約解除の措置を受けるものとする。
受注者は、著作xx(昭和 45 年 5 月 6 日法律第 48 号)、不正アクセス行為の禁止等に
関する法律(平成 11 年 8 月 13 日法律第 128 号)等の関係法規を遵守すること。
本業務の遂行に当たっては、標準ガイドラインに基づき、作業を行うこと。具体的な作業内容及び手順等については、「デジタル・ガバメント推進標準ガイドライン解説書(内閣官房情報通信技術(IT)総合戦略室)」 (以下「解説書」)を参考とすること。なお、「標準ガイドライン」及び「解説書」が改定された場合は、最新のものを参照し、その内容に従うこと。
本業務の遂行に当たっては、担当部署が定めるプロジェクト計画書及びプロジェクト管理要領との整合を確保して行うこと。
イ プロジェクト標準
アプリケーションの改修に当たっては、「政府所有米麦情報管理システム コーディング規約」に準拠して作業を行うこと。
ウ アプリケーション・コンテンツの作成規程
(ア) 提供するアプリケーション・コンテンツに不正プログラムを含めないこと。
(イ) 提供するアプリケーションにぜい弱性を含めないこと。
(ウ) 実行プログラムの形式以外にコンテンツを提供する手段がない限り、実行プログラムの形式でコンテンツを提供しないこと。
(エ) 電子証明書を利用するなど、提供するアプリケーション・コンテンツの改ざん等がなく真正なものであることを確認できる手段がある場合には、それをアプリケーション・コンテンツの提供先に与えること。
(オ) 提供するアプリケーション・コンテンツの利用時に、ぜい弱性が存在するバージョンのOSやソフトウェア等の利用を強制するなどの情報セキュリティ水準を低下させる設定変更を、OSやソフトウェア等の利用者に要求することがないよう、アプリケーション・コンテンツの提供方式を定めて開発すること。
(カ) サービス利用に当たって必須ではない、サービス利用者その他の者に関する情報が本人の意思に反して第三者に提供されるなどの機能がアプリケーション・コンテンツに組み込まれることがないよう開発すること。
(キ) 「.xx.xx」で終わるドメインを使用してアプリケーション・コンテンツを提供すること。
(ク) 詳細については、担当部署から「アプリケーション・コンテンツの作成及び提供に関する規程」の説明を受けるとともに、それに基づきアプリケーション・コンテンツの作成及び提供を行うこと。
ア 本調達において整備又は管理を行う情報システムに伴うリスクとその対応状況を客観的に評価するために、農林水産省が情報システム監査の実施を必要と判断した場合は、農林水産省が定めた実施内容(監査内容、対象範囲、実施者等)に基づく情報システム監査を受注者は受け入れること。 (農林水産省が別途選定した事業者による監査を含む)。
イ 情報システム監査で問題点の指摘又は改善案の提示を受けた場合には、対応案を担当部署と協議し、指示された期間までに是正を図ること。
情報システムに係る政府調達におけるセキュリティ要件策定マニュアルに基づき、以下の
内容について対応すること。
ア 不正アクセス等の防止及び発生時の影響範囲を限定するため、外部との通信を行うサーバ装置及び通信回線装置のネットワークと、内部のサーバ装置、端末等のネットワークを、ファイアウォールにより DMZ を構築するなどして分離すること。
イ 不正アクセス等の通信回線を介した不正を防止するため、ファイアウォール等による通信制御、サーバ装置の不要な通信プロトコルを停止するなどして、外部とサーバ装置との通信及びサーバ装置間の通信を必要な通信のみに制限すること。
ウ ウェブサイトのなりすましを防止するため、政府ドメイン名(.xx.xx で終わるドメイン名)を利用するとともに、事前にルート証明書のインストールを必要とすることな く、その正当性を検証できる認証局(政府認証基盤(GPKI)等)により発行されたサーバ証明書を導入し、TLS(SSL)機能を適切に用いること。
エ サービスの継続性を確保するため、構成機器が備えるサービス停止の脅威の軽減に有効な機能を活用してウェブサイトを構築すること。
オ 不正プログラム(ウイルス、ワーム、ボット等)による脅威に備えるため、想定される不正プログラムの感染経路の全てにおいて感染を防止する機能を備えるとともに、新たに発見される不正プログラムに対応するために機能の更新が可能であること。
カ ウェブサイトを構成するソフトウェア及びハードウェアの脆弱性を悪用した不正を防止するため、構築時に脆弱性の有無を確認の上、運用上対処が必要な脆弱性は修正の上で納入すること。
キ ウェブサイトの運用開始後において、新たに発見される脆弱性を悪用した不正を防止するため、ウェブサイトを構成するソフトウェア及びハードウェアの更新を効率的に実施する機能を備えるとともに、ウェブサイト全体の更新漏れを防止する機能を備えること。
ク また、脆弱性の存在が明らかになった場合は、修正プログラムを適用するなど、速やかに情報セキュリティを確保するための措置を講ずること。
ケ ウェブサイトに対する不正行為の検知、発生原因の特定に用いるために、ウェブサイトの利用記録、例外的事象の発生に関するログを蓄積し、過去12か月分のログを保管すること。
コ ログの不正な改ざんや削除を防止するため、ログに関するアクセス制御機能を備えること。
サ 情報セキュリティインシデント発生時の原因追及や不正行為の追跡において、ログの分析等を容易にするため、システム内の機器を正確な時刻に同期する機能を備えること。
シ 不正行為に迅速に対処するため、通信回線を介して所属する農林水産省外と送受信される通信内容を監視し、不正アクセスや不正侵入を検知及び通知する機能を備えること。
ス 特権を有する管理者による不正を防止するため、管理者権限を制御する機能を備えること。
セ 情報の漏えいを防止するため、データセンターにおける厳格な入退室管理、施錠可能なサーバラックの採用、通信ケーブル及び通信回線装置の物理的保護(床下への埋設等)等によって、物理的な手段による情報窃取行為を防止・検知するための機能を備えること。
ソ 物理的な手段によるセキュリティ侵害に対抗するため、ウェブサイトの構成装置
(重要情報を扱う装置)については、外部からの侵入対策が講じられた場所に設置すること。
タ 情報セキュリティインシデントの発生要因を減らすとともに、情報セキュリティインシデントの発生時には迅速に対処するため、開発時及び構築時のウェブサイトの構成(ハードウェア、ソフトウェア及びサービス構成に関する詳細情報)が記載された文書を提出するとともに、文書どおりの構成とすること。
チ サービスの継続性を確保するため、ウェブサイトの各業務の異常停止時間が復旧目標時間として1日を超えることのない運用を可能とし、障害時には迅速な復旧を行う方法又は機能を備えること。
ツ ウェブサイトの構築において、農林水産省が意図しない変更や機密情報の窃取等が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること。当該品質保証体制を証明する書類(例えば、品質保証体制の責任者や各担当者がアクセス可能な範囲等を示した管理体制図)を提出すること。
テ ウェブサイトの利用者の情報セキュリティ水準を低下させないように配慮した上でウェブコンテンツ等を提供すること。
ト ウェブサイトにアクセスする利用者のアクセス履歴、入力情報等を当該利用者が意図しない形で第三者に送信されないようにすること。
ア 本業務における成果物の原著作権及び二次的著作物の著作権(著作xx第 21 条から第 28 条に定める全ての権利を含む。)は、受注者が本調達の実施の従前から権利を保有していた等の明確な理由によりあらかじめ提案書にて権利譲渡不可能と示されたもの以外は、全て農林水産省に帰属するものとする。
イ 農林水産省は、成果物について、第三者に権利が帰属する場合を除き、自由に複製し、改変等し、及びそれらの利用を第三者に許諾することができるとともに、任意
に開示できるものとする。また、受注者は、成果物について、自由に複製し、改変等し、及びこれらの利用を第三者に許諾すること(以下「複製等」という。)ができるものとする。ただし、成果物に第三者の権利が帰属するときや、複製等により農林水産省がその業務を遂行する上で支障が生じるおそれがある旨を契約締結時までに通知したときは、この限りでないものとし、この場合には、複製等ができる範囲やその方法等について協議するものとする。
ウ 納品される成果物に第三者が権利を有する著作物(以下「既存著作物等」という。)が含まれる場合には、受注者は、当該既存著作物等の使用に必要な費用の負担及び使用許諾契約等に関わる一切の手続を行うこと。この場合、本業務の受注者は、当該既存著作物の内容について事前に農林水産省の承認を得ることとし、農林水産省は、既存著作物等について当該許諾条件の範囲で使用するものとする。なお、本仕様に基づく作業に関し、第三者との間に著作権に係る権利侵害の紛争の原因が専ら農林水産省の責めに帰す場合を除き、受注者の責任及び負担において一切を処理すること。この場合、農林水産省は係る紛争等の事実を知ったときは、受注者に通知し、必要な範囲で訴訟上の防衛を受注者に委ねる等の協力措置を講じるものとする。
エ 本調達に係るプログラムに関する権利(著作xx第 21 条から第 28 条に定める全ての権利を含む。)及び成果物の所有権は、農林水産省から受注者に対価が完済されたとき受注者から農林水産省に移転するものとする。
オ 受注者は農林水産省に対し、一切の著作者人格権を行使しないものとし、また、第三者をして行使させないものとする。
カ 受注者は使用する画像、デザイン、表現等に関して他者の著作権を侵害する行為に十分配慮し、これを行わないこと。
ア 担当部署は検収完了後、成果物についてシステム仕様書との不一致(バグも含む。以下「契約不適合」という。)が発見された場合、受注者に対して当該契約不適合の修正等の履行の追完(以下「追完」という。)を請求することができ、受注者は、当該追完を行うものとすること。ただし、担当部署が追完の方法についても請求した場合であって、担当部署に不相当な負担を課するものでないときは、受注者は担当部署が請求した方法と異なる方法による追完を行うことができること。
イ 前記アにかかわらず、当該契約不適合によっても個別契約の目的を達することができる場合であって、追完に過分の費用を要する場合、受注者は前期アに規定された追完に係る義務を負わないものとすること。
ウ 担当部署は、当該契約不適合(受注者の責めに帰すべき事由により生じたものに限る。)により損害を被った場合、受注者に対して損害賠償を請求することができること。
エ 当該契約不適合について、追完の請求にもかかわらず相当期間内に追完がなされ
ない場合又は追完の見込みがない場合で、当該契約不適合により個別契約の目的を達することができないときは、担当部署は本契約及び個別契約の全部又は一部を解除することができること。
オ 受注者が本項に定める責任その他の契約不適合責任を負うのは、検収完了後1年以内に担当部署から当該契約不適合を通知された場合に限るものとすること。ただし、検収完了時において受注者が当該契約不適合を知り若しくは重過失により知らなかったとき、又は当該契約不適合が受注者の故意若しくは重過失に起因するときにはこの限りでない。
カ 前記アからオまでの規定は、契約不適合が担当部署の提供した資料等又は担当部署の与えた指示によって生じたときは適用しないこと。ただし、受注者がその資料等又は指示が不適当であることを知りながら告げなかったときはこの限りでない。
ア 本業務の受注者は、成果物等について、納品期日までに担当部署に内容の説明を実施して検収を受けること。
イ 検収の結果、成果物等に不備又は誤り等が見つかった場合には、直ちに必要な修正、改修、交換等を行い、変更点について担当部署に説明を行った上で、指定された日時までに再度納品すること。
ア 予算決算及び会計令第 70 条の規定に該当しない者であること。なお、未xx者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。
イ 公告日において令和4、5、6年度全省庁統一資格の「役務の提供等」の「A」の等級に格付けされ、競争参加資格を有する者であること。
ア 応札者は、品質マネジメントシステムに係る以下のいずれかの条件を満たすこと。
(ア) 品質マネジメントシステムの規格である「JIS Q 9001」又は「ISO9001」(登録活動範囲が情報処理に関するものであること。)の認定を、業務を遂行する組織が有しており、認証が有効であること。
(イ) 上記と同等の品質管理手順及び体制が明確化された品質マネジメントシステムを有している事業者であること(管理体制、品質マネジメントシステム運営規程、品質管理手順規定等を提示すること。)。
イ 応札者は、情報セキュリティに係る以下のいずれかの条件を満たすこと。
(ア) 情報セキュリティ実施基準である「JIS Q 27001」、「ISO/IEC27001」又は「ISMS」の認証を有しており、認証が有効であること。
(イ) 一般財団法人日本情報経済社会推進協会のプライバシーマーク制度の認定を受けているか、又は同等の個人情報保護のマネジメントシステムを確立していること。
(ウ) 個人情報を扱うシステムのセキュリティ体制が適切であることを第三者機関に認定された事業者であること。
米麦システムと同規模のインターネットを経由して利用者にサービスを提供するWEB システムのソフトウェア等のバージョンアップを含む保守業務の受注実績(再委託により受注したもの又は現在契約中のものでも可とする。)を有していること。
ア 複数の事業者が共同入札する場合、その中から全体の意思決定、運営管理等に責任を持つ共同入札の代表者を定めるとともに、本代表者が本調達に対する入札を行うこと。
イ 共同入札を構成する事業者間においては、その結成、運営等について協定を締結し、業務の遂行に当たっては、代表者を中心に、各事業者が協力して行うこと。事業者間の調整事項、トラブル等の発生に際しては、その当事者となる当該事業者間で解決すること。また、解散後の契約不適合責任に関しても協定の内容に含めること。
ウ 共同入札を構成する全ての事業者は、本入札への単独提案又は他の共同入札への参加を行っていないこと。
エ 共同事業体の代表者は、品質マネジメントシステム及び情報セキュリティに係る要件について満たすこと。その他の入札参加要件については、共同事業体を構成する事業者のいずれかにおいて満たすこと。
ア 政府所有米麦情報管理システムに係るプロジェクト管理支援業務の受注事業者(再委託先等を含む。)及びこの事業者の「財務諸表等の用語、様式及び作成方法に関する規則」(昭和 38 年 11 月 27 日大蔵省令第 59 号)第 8 条に規定する親会社及び子会社、同一の親会社を持つ会社並びに委託先事業者等の緊密な利害関係を有する事業者は、入札には参加できない。
イ 本業務を直接担当する農林水産省 IT テクニカルアドバイザー(旧農林水産省 CIO 補佐官に相当)、農林水産省 IT 法務スペシャリスト、農林水産省システム監査スペシャリスト、農林水産省全体管理組織(PMO)支援スタッフ及び農林水産省最高情報セキュリティアドバイザーが、その現に属する事業者及びこの事業者の「財務諸表等の用語、様式及び作成方法に関する規則」(昭和 38 年大蔵省令第 59 号)第8条に規定する親会社及び子会社、同一の親会社を持つ会社並びに委託先等緊密な利害関係を有する事業者は、本書に係る業務に関して入札に参加できないものとする。
受注者は、請負業務の全部を受注者内部で行うこととし、請負業務の全部又は一部を第三者に請け負わせてはならない。なお、効率的な履行を図るため、業務の一部を第三者に委任し、又は請け負わせること( 以下、「再請負」という。)を必要とするときは、あらかじめ農林水産省の承認を得なければならない。再請負ができる業務は、原則として契約金額に占める再請負金額の割合が 50 パーセント以内の業務とし、再請負先との契約に当たっては、受注者と同等の義務を負わせなければならない。
また、再請負した業務に伴う当該第三者(再請負の相手方が更に請負を行うなど複数の段階で再請負を行われる場合(以下「再々請負」という。)を含む)の行為についての全責任は、受注者が負うものとする。
本業務の一部を再請負する場合には、あらかじめ再請負の相手方の商号又は名称及び住所並びに再請負を行う業務範囲、必要性について記載した再請負承認申請書を農林水産省に提出し、あらかじめ承認を受けること。再請負の相手方の変更を行う必要が生じた場合も、同様に再請負に関する書面を提出し、承認を受けること。
また、再々請負を行う場合には、当該再々請負の相手方の商号又は名称及び住所並びに再々請負を行う業務の範囲を書面で届け出ること。
再委託先において、本調達仕様書の遵守事項に定める事項に関する義務違反又は義務を怠った場合には、受注者が一切の責任を負うとともに、農林水産省は、当該再委託先への再委託の中止を請求することができる。
ア 本調達仕様書と契約書の内容に齟齬が生じた場合には、本調達仕様書の内容が優先する。
イ 本業務は、令和5年度の予算成立を条件とする。令和5年3月 31 日以前に令和5予算が成立していない場合には、契約の中止等を行う可能性がある。
ウ 本業務受注後に調達仕様書(別添要件定義書を含む。)の内容の一部について変更を行おうとする場合、その変更の内容、理由等を明記した書面をもって担当部署に申し入れを行うこと。双方の協議において、その変更内容が軽微(委託料、納期に影響を及ぼさない)かつ許容できると判断された場合は、変更の内容、理由等を明記した書面に双方が確認することによって変更を確定する。
エ 本仕様書について疑義等がある場合は、質問書により質問すること。なお、質問書に対する回答は適宜行うこととする。
本業務の実施に参考となる過去の類似業務の報告書等に関する資料については、農林水産省内にて閲覧可能とする。なお、資料の閲覧に当たっては、必ず事前に担当部署まで連絡の上、閲覧日時を調整すること。
ア 資料閲覧場所
xxxxxx区霞が関 1-2-1
農林水産省農産局農産政策部貿易業務課システム企画班
(別館2階 ドア番号 別 211)イ 閲覧期間及び時間
(ア) 令和5年〇月〇日から令和5年〇月〇日まで
(イ) 行政機関の休日を除く日の 10 時から 17 時まで。(12 時から 13 時を除く。)ウ 閲覧手続
最大3名までとし、一回2時間程度とする。応札希望者の商号、連絡先、閲覧希望者氏名を別紙3「閲覧申請書」に記載の上、閲覧希望日の2日前までに提出すること。また、閲覧日当日までに別紙4「機密保持誓約書」に記載の上、提出すること。
エ 閲覧時の注意
閲覧にて知り得た内容については、提案書の作成以外には使用しないこと。また、本調達に関与しない者等に情報が漏えいしないように留意すること。閲覧資料の複写等による閲覧内容の記録は行わないこと。
オ 連絡先
農林水産省農産局農産政策部貿易業務課システム企画班電話:03-6744-1352
担当:川崎
メール:shinichi_kawasaki880@maff.go.jpカ 事業者が閲覧できる資料
閲覧に供する資料の例を次に示す。
(ア) 米麦システムのシステム構成や基本ソフトウェア等を記載した設計書(ソフトウェア製品名を含む。)
(イ) 米麦システムの利用者向け操作手順書
(ウ) 農林水産省における情報セキュリティの確保に関する規則(平成 27 年3月 31 日付け農林水産省訓令第4号)
(エ) 政府所有米麦情報管理システム運用要領(平成 19 年3月 30 日付け 18 総合第
1845 号総合食料局長通知)
(オ) 政府所有米麦情報管理システムセキュリティ対策マニュアル
(カ) 米麦システムの保守業務に関する令和3年度以前の保守作業実施計画書、業務報告書等
本仕様書について疑義等がある場合は、別紙5「質問書」により質問すること。質問が多岐に渡る場合は、項目を変更しない範囲で様式を修正することも可とする。なお、質問書に対する回答は適宜行うこととする。
別紙1 政府所有米麦の業務及び米麦システムの概要別紙2 情報セキュリティの確保に関する共通基本仕様別紙3 閲覧申請書
別紙4 機密保持誓約書別紙5 質問書
以 上
政府所有米麦の業務及び米麦システムの概要
農林水産省貿易業務課
政府は、国民の主要な食糧である米麦の需給及び価格の安定を図り、国民生活と国民経済の安定に資することを目的として、不測の事態に備えた米穀の備蓄事業や国家貿易により外国産麦を計画的に輸入し、国内の需要者に供給する等の各種事業を行っており、その主な内容は、①米麦の買入及び契約業務②政府米の販売等管理業務③外国産米麦の販売業務④出納・経理業務に大別される。大別した各業務の概要は以下のとおりである。
外国産米麦及び国内産米穀を政府が買入れする業務である。
特に外国産米麦については、政府が買入れを委託する者(輸入商社)を入札により決定(契約)し、外国産米麦の買付け、本邦輸入港までの輸送、輸入港に到着した米麦を所定の引渡場所まで搬送、政府への引渡し及びその他付随する業務を委託している。
政府米(国が買入れを行った外国産米穀(SBS 方式除く)及び国内産米穀) における保管倉庫での品質・数量管理、運送及び国内需要者に販売した際の現品引渡しに係る業務である。
なお、本業務は民間の事業体(以下「受託事業体」という。)に委託している。
国が買入れを行った外国産麦及び SBS 方式で買入れを行った外国産米穀の国内需要者への販売手続き、代金請求及び現品引渡しを行う業務である。
政府が買入れを行った外国産米麦及び国内産米穀の数量等の管理(出納)を行い、また、上記(1)~(3)までの業務に係る歳入・歳出及び決算に関する業務である。
政府所有米麦管理業務の年間業務量(令和2年度決算)は以下のとおりである。
(1)売買契約件数 :約3千件(買入1千件、販売2千件)
(2)荷渡指図書発行件数:約6千枚
(3)買入数量:国内産米穀・約 21 万トン、外国産米麦・約 567 万トン
(4)販売数量:国内産米穀・約 23 万トン、外国産米麦・約 572 万トン
上記1の(1)から(4)までの業務を米麦システムにて運用する。
米麦システムにより運用・実施している主な業務内容は以下のとおり。
ア 外国産米麦買入業務委託者の決定
( ア)政府は買入を行う複数の外国産米麦の入札内容(産地国、銘柄、数量等)を登録する。
( イ)応札希望者は、政府が登録した外国産米麦の入札内容を確認し、入札申込を行う。
( ウ) 応札希望者は、入札申込を行った外国産米麦の落札結果を確認する。イ 本船(輸入船)情報の登録・更新
政府と契約した買入業務委託者は、受託した外国産米麦の本船情報(船名、輸入港、輸入港到着予定日)について随時、登録・更新を行う。
ウ 政府引渡数量の登録
買入業務委託者は、受託した外国産米麦の輸入港到着後における所定場所での政府引渡実数量の登録を行う。
受託事業体は、政府から委託された政府米について、保管倉庫別に入出庫数量の登録・更新を行う。
イ 販売情報の登録
受託事業体は、政府から委託された政府米を販売したときは、需要者別に当該政府米に係る産地、銘柄、数量、引渡日等の情報の登録を行う。
ウ 保管業者への出庫指示
受託事業体は、政府から委託された政府米を保管倉庫から出庫するときは、保管業者に対して出庫する現品、数量及び出庫日を指示する。
エ 保管業者は、受託事業体から指示のあった現品を出庫したときは、xxx数量を登録し在庫数量の確認を行う。
オ 受託事業体は、保管料請求を行うための保管倉庫別の在庫数量の把握を行う。
ア 販売先、販売価格及び販売数量の決定
( ア)政府は販売を行う複数の外国産米麦の販売内容(銘柄、数量)を登録する。
( イ)買受希望者は、政府が登録した外国産米麦の販売内容を確認し、入札申込を行う。
( ウ) 買受希望者は、入札申込を行った外国産米麦の落札結果を確認する。
( エ)(1 )のウで登録した所定場所での政府引渡実数量と、落札データ(販売先、販売価格、販売数量)の結び付けを行う。
イ 歳出・債権情報の登録と荷渡指図書(オーダー)の発行
政府は、外国産米麦の落札結果情報に基づき、代金請求情報及び物品引渡情報の登録を行う。
また、国内需要者に納入告知書を発行し、買受代金納付を確認した後、荷渡指図書を発行する。
政府所有米麦情報管理業務 |
ビジネスコンテキスト図 |
業務システム視点から見た政府所有米麦情報管理システム(イメージ図)
民間事業者
政府所有米麦情報管理システム
施策概要
輸入商社
買入入札申込
外国産米麦の買入・販売に関する契約情
買入・販売業務
主要食糧の需給及び価格の安定に関する法律(食糧法)に基づき、国民の主食である米穀及び麦の安定供給を図るため、外国産
国内需要者
販売入札申込
結果確認
結果確認
SBS食糧麦 SBS飼料麦 SBS米穀
一般小麦
MA一般米
入札公告の登録落札結果
・入札公告情報の作成
・予定価格の登録
・入札執行
・落札処理
・入札結果の公表
米麦を国家貿易により国が買入れ、国内需要者に販売する業務を効率的に行うもの。
また、不測の事態に備え、国内産米穀の 備蓄事業を行うための在庫情報を蓄積する。
輸入商社
検収日登録
買入代金の振込・荷渡指図書の交付
本船・搬入情報
外国産米麦の物品情報(契約・種類別)
歳出情報登録
財務省
会計センター
買入代金振込
輸入商社等
保管業者
物品情報
積来船情報
契約情報
債権情報登録
国内需要者
売渡業者
買入入札申込
結果確認
入庫倉庫情報 債権歳出情報
備蓄米の買入情報国内産
事業用物品情報
ADAMSⅡ
(電子納付の場合)【納入告知書】
REPS
代金納付
【荷渡指図書】
※電子納付の場合は、マルチペイメントネッ
受託事業体
販売代金情報
経理情報
債権情報登録
【納入告知】 トワーク(MPN)のサービスである「Pay-easy
(ペイジー)」ダイレクト方式を利用
入出庫指示情報
債権情報
有資格内容の登録
・書類審査
資格審査業務
通知書の発行
MA一般米 買受業者
政府米の在庫情報
・有資格者名簿作成(公表用)
物品引渡・代金回収
保管業者
入出庫情報
倉庫倉所情報 産地品種数量情報
包装形態情報事故品情報
事業用物品情報
財務省/会計検査院
【資格確認通知書】
夜間バッチ処理
【物品管理計算書】
【各種証拠書】
農林水産省
〔政府所有米麦情報管理システム:システム・コンテキスト図〕
政府米の買入入札の申込及び落札結果の確認
Web Web
売渡業者
外国産米麦の買入販売に係る入札、落札及び契約情報
外国産米麦の本船動向情報政府米の在庫情報
荷渡指図書の発行債権歳出情報
利用者IDの管理
政府所有米麦情報管理システム
Web
輸入商社
外国産米麦の買入販売入札の申込及び落札結果の確認
外国産米麦の本船動向情報
政府米の買入情報
Web 買受業者(実需者)
外国産米麦の販売入札の申込、落札結果の確認及び売払代金
外国産米麦の買入・契約情報
財務省/会計検査院 ファイル
物品管理計算書
期別入出庫高表
政府米の販売・在庫管理
Web
受託事業体(政府米管理)
MA一般米委託情報
在庫情報
財務省会計センター
ファイル
外国産米麦の販売情報
政府米の入出庫情報
歳出情報債権情報
納入告知書の発行
販売代金情報
政府米の運送情報
歳出・債権情報
販売代金電子納付
財務省会計センター(REPS) REPS連携基盤
売払代金の電子納付
Web
保管業者
電子納付情報
外国産米麦の物品情報
凡例)
: サーバ
: クラウドサービス
: 物理機器
別紙1 別添② 全体構成図 運用管理室
(農林水産省庁舎区画)
ルータ
農林水産省 商社等
農水省職員 統合ネットワーク
利用者
ネットワークスイッチ
IP-VPN網
(UNO)
農水省職員(運用業務)
運用保守事業者
ルータ
インターネット
ネットワークスイッチ
クラウド
UTM
VPNゲートウェイ
FICゲートウェイ
(VPNゲートウェイと同等)
OSSサポート事業者
ルータ | |
ネットワークスイッチ | |
ロードバランサ
WAF
本番環境
ロードバランサ
WAF
検証環境
AP 保守事業者
xxx
Web
サーバ#1
Web
サーバ#2
Mail/DNS
サーバ#1
Mail/DNS
サーバ#2
Web
サーバ#1
Web
サーバ#2
Mail/DNS
サーバ#1
Mail/DNS
サーバ#2
ネットワークスイッチ
FW FW
IP-VPN網
(UNO)
ロードバランサ
AP AP
ロードバランサ
AP AP
本省機械室
政府共通
REPS
歳入金電子納付
サーバ#1
サーバ#2
サーバ#1
サーバ#2
UNO-T
ネットワーク
連携基盤
(カジノ管理委員会)
システム (REPS)
DB
サーバ#1
DB
サーバ#2
DB
サーバ#1
DB
サーバ#2
ネットワークスイッチ
共有環境
ルータ
時刻同期サービス
ウイルス対策サービス
バックアップサービス
運用管理サーバ
(ジョブ管理、システム監視)
ファイアウォール
KDDI 網
ダイレクト方式金融機関共同利用センター
(NTTデータ)
FINEMAX
マルチペイメント
(日立製作所)
※将来的に接続を検討
マルチ ペイメント ネットワーク
凡例)
:業務セグメント
:運用管理セグメント
:拠点セグメント
:業務LAN&その他LAN
:運用管理LAN
➉
⑱ 本番環境
DMZ イントラネット
運用環境提供事業者によるクラウドサービス(Enterprise Cloud 2.0)
➃
利用者
インター
㉗
インターネットゲートウェイ
① LB
③
LB
Managed
WAF
Webサーバ
㉘
⑳ ㉑
LB
LB
Managed
④
AP
サーバ
⑤ ⑥ ⑦
DB
サーバ#1
DB
共有環境
運用管理サーバ
運用管理室(本省)
㉔
ネット
M
VPNゲートウェイ (運用管理拠点閉域網用)
a n
➇
② a g
e d
VPNゲートウェイ (外部連携
閉域網用)
㉛ 検証環境 U
T
LB
M LB
Managed
⑩
Web
サーバ
Mail/DNS FW
サーバ
➈
㉚
㉓
LB
➃ LB
Managed
REPS連携通信サーバ
➃
AP
サーバ
サーバ#2
⑫ ⑬ ⑭
DB
サーバ#1
DB
SaaS機能提供環境のエリア
ARCSERVE
サーバ vCenterサーバ
運用支援事業者
㉕
AP保守事業者
㉖
IP-VPN
共通機能ゲートウェイ
時刻同期機能
WAF
⑮
機械室(本省)
Mail/DNS FW
サーバ
⑯
ダイレクト方式共同利用センター (NTTデータ)
外部連携ルータ
FW
政府共通
REPS連携通信サーバ
サーバ#2
REPS連携基盤
IP-VPN
㉜ ネットワーク
KDDI網 (IP-VPN)
REPS
MPN
セグメント① ・・・ インターネットセグメント
ダイレクト方式共同利用センター (日立製作所)
※将来的に接続を検討
セグメント➈ ・・・ 本番運用管理セグメント(イントラ) セグメント➃ ・・・ 運用管理セグメント(共有)
セグメント㉕ ・・・ 運用支援・保守業者(リモート運用監視間)セグメント
セグメント② ・・・ VPNセグメント(運用管理拠点閉域網用) セグメント⑩ ・・・ 検証DMZセグメント
セグメント⑱ ・・・ Managed UTMハートビートセグメント1
セグメント㉖ ・・・ AP保守業者(リモート運用監視間)セグメント
セグメント③ ・・・ 本番DMZセグメント
セグメント④ ・・・ 本番本番APセグメントセグメント⑤ ・・・ 本番DBセグメント
セグメント⑥ ・・・ 本番DBログ転送用セグメントセグメント⑦ ・・・ 本番DBハートビートセグメント
セグメント➃ ・・・ 検証APセグメントセグメント⑫ ・・・ 検証DBセグメント
セグメント⑬ ・・・ 検証DBログ転送用セグメント セグメント⑭ ・・・ 検証DBハートビートセグメントセグメント⑮ ・・・ 検証運用管理セグメント(DMZ)
セグメント➉ ・・・ Managed UTMハートビートセグメント2
セグメント⑳ ・・・ 本番Managed FWハートビートセグメント1セグメント㉑ ・・・ 本番Managed FWハートビートセグメント2セグメント➃ ・・・ 検証Managed FWハートビートセグメント1セグメント㉓ ・・・ 検証Managed FWハートビートセグメント2
セグメント㉗ ・・・ 本番DMZ負荷分散セグメントセグメント㉘ ・・・ 本番AP負荷分散セグメントセグメント ・・・ 検証DMZ負荷分散セグメントセグメント㉚ ・・・ 検証AP負荷分散セグメント
セグメント㉛ ・・・ VPNセグメント(外部連携閉域網用)
セグメント➇ ・・・ 本番運用管理セグメント(DMZ)
セグメント⑯ ・・・ 検証運用管理セグメント(イントラ) セグメント㉔ ・・・ 農林水産省(リモート運用監視)セグメント
セグメント㉜ ・・・ 中継セグメント(本省 機械室内)
<業務体系別 機能関連構成図>
政府所有米麦情報管理システム
本船動向共通
貿易入札共通
外国産米麦の販売 外国産米麦の買入(入札) 契約情報・本船動向等
販売
(一般麦)
保管
貿易入札
(SBS米)
本船動向
(SBS飼料用麦)
備蓄米入札
政府米の在庫管理等
貿易入札
(一般麦)
貿易入札
(SBS食糧用麦)
本船動向
(一般麦)
売買同時入札
各入札方式ごとに本船動向データを管理
販売
(MA一般米)
貿易入札
(MA一般米)
貿易入札
(SBS飼料用麦)
本船動向
(SBS食糧用麦)
運送
共通
システム管理
本船動向
(MA一般米)
本船動向
(SBS米)
報告
検収
(政府米)
MA一般米を除く本船動向から債権者情報を管理
業者管理
検収予定通知
経理業務
経理
個人輸入届
アダムスⅡ
食糧麦備蓄事業
※政府米の販売、保管、運送、報告及び業者管理は受託事業体が利用
(注)矢印はデータ連携を示す。
業務アプリケーション構成一覧表 |
業務区分 | 業務概要(機能面から見たもの) | 業務アプリケーションの規模 ※注1 | |||
機能数 | 画面数 | 帳票数 | プログラム本数 | ||
買 入 | 外国産米麦の入札内容を登録(入札区分別)、申込を行い、落札結果の確認を行う。 | 8 | 39 | 153 | 338 |
販 売 | 政府が買入れした米麦の販売に係る入札申込、落札結果の確認及び政府引渡実数量と落札データの結び付けを行う。 | 19 | 75 | 10 | 407 |
本船動向 | 外国産米麦の本船情報(船名、輸入港、輸入港到着日)について、情報の登録、更新を随時行う。 | 15 | 79 | 0 | 463 |
経 理 | 政府所有米麦の販売業務に際し、債務者(債権)情報及び会計システム(ADAMSⅡ)への連携データ作成を行う。 | 6 | 18 | 1 | 89 |
保 管 | 政府米を保管倉庫別の入出庫数量、在庫数量の登録・更新を行う。また、カビ等による事故品の管理を行う。 | 6 | 17 | 0 | 180 |
運 送 | 受託事業体が物品を運送する際、運送業者への指示通知や運送実績等の管理を行う。 | 2 | 5 | 0 | 32 |
報 告 ※注2 | 受託事業体が作成する報告書用データのダウンロード及びシステム未利用受託事業体の在庫情報アップロード等を行う。 | 2 | 2 | 6 | 23 |
事業者管理 | 受託事業体、保管業者、倉所及び運送業者等のマスタを管理する。 | 6 | 20 | 0 | 103 |
個人輸入 | 個人が輸入する米穀の輸入届出管理を行う。 | 6 | 16 | 0 | 71 |
検 収 | 政府米買入に係る検収関係書類(物品預り証及び検収請求書等)の作成及び検収日を管理する。 | 4 | 15 | 15 | 82 |
検収予定通知 | 輸入米麦(MA一般米を除く)の買入・販売に係る検収予定内容及び現品買受申出書を国内需要者(買受業者)へ通知。 | 2 | 4 | 11 | 45 |
食糧麦備蓄事業 | 食糧麦備蓄事業に関するデータ管理及び保管料請求書の作成を行う。 | 8 | 18 | 7 | 107 |
備蓄米買入 | 国産の備蓄米の入札内容を登録、申込を行い、落札結果の確認を行う。また、落札した米の検収関係書類の作成と、保管業務へのデータ連携を行う。 | 12 | 16 | 8 | 113 |
システム管理 | 利用者IDの登録・更新をはじめ、システムの運用管理全般を行う。 | 7 | 34 | 0 | 177 |
共通 | 利用者のログイン認証、パスワード更新等、システム操作に関する管理を行う。 | 33 | 111 | 0 | 996 |
合計 | 136 | 469 | 211 | 3,226 | |
※注1 「業務アプリケーションの規模」は、令和3年11月02日時点の実績。 |
※注2 帳票数は、政府所有米麦情報管理システムから出力したCSVファイルを基に、「Excelツール」で作成した数。 |
情報セキュリティの確保に関する共通基本仕様
Ⅰ 情報セキュリティポリシーの遵守
1 受託者は、担当部署から農林水産省における情報セキュリティの確保に関する規則(平成 27 年農林水産省訓令第4号。以下「規則」という。)等の説明を受けるとともに、本業務に係る情報セキュリティ要件を遵守すること。
なお、規則は、政府機関等のサイバーセキュリティ対策のための統一基準群(以下「統一基準群」という。)に準拠することとされていることから、受託者は、統一基準群の改定を踏まえて規則が改正された場合には、本業務に関する影響分析を行うこと。
2 受託者は、規則と同等の情報セキュリティ管理体制を整備していること。
3 受託者は、本業務の従事者に対して、規則と同等の情報セキュリティ対策の教育を実施していること。
Ⅱ 受託者及び業務実施体制に関する情報の提供
1 受託者は、受託者の資本関係・役員等の情報、本業務の実施場所、本業務の従事者(契約社員、派遣社員等の雇用形態は問わず、本業務に従事する全ての要員)の所属・専門性
(保有資格、研修受講実績等)・実績(業務実績、経験年数等)及び国籍に関する情報を記載した資料を提出すること。
なお、本業務に従事する全ての要員に関する情報を記載することが困難な場合は、本業務に従事する主要な要員に関する情報を記載するとともに、本業務に従事する部門等における従事者に関する情報(○○国籍の者が△名(又は□%)等)を記載すること。また、この場合であっても、担当部署からの要求に応じて、可能な限り要員に関する情報を提供すること。
2 受託者は、本業務を実施する部署、体制等の情報セキュリティ水準を証明する以下のいずれかの証明書等の写しを提出すること。(提出時点で有効期限が切れていないこと。)
(1)ISO/IEC27001 等の国際規格とそれに基づく認証の証明書等
(2)プライバシーマーク又はそれと同等の認証の証明書等
(3)独立行政法人情報処理推進機構(IPA)が公開する「情報セキュリティ対策ベンチマーク」を利用した自己評価を行い、その評価結果において、全項目に係る平均値が4に達し、かつ各評価項目の成熟度が2以上であることが確認できる確認書
(4)MS 認証信頼性向上イニシアティブに参画し、不祥事への対応や透明性確保に係る取組を実施している実績
Ⅲ 業務の実施における情報セキュリティの確保
1 受託者は、本業務の実施に当たって、以下の措置を講じること。また、以下の措置を講じることを証明する資料を提出すること。
【別紙2】
(1)本業務上知り得た情報(公知の情報を除く。)については、契約期間中はもとより契約終了後においても第三者に開示及び本業務以外の目的で利用しないこと。
(2)本業務に従事した要員が異動、退職等をした後においても有効な守秘義務契約を締結すること。
(3)本業務の各工程において、農林水産省の意図しない変更や機密情報の窃取等が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること(例えば、品質保証体制の責任者や各担当者がアクセス可能な範囲等を示した管理体制図、第三者機関による品質保証体制を証明する書類等を提出すること。)。
(4)本業務において、農林水産省の意図しない変更が行われるなどの不正が見つかったときに、追跡調査や立入調査等、農林水産省と連携して原因を調査し、排除するための手順及び体制(例えば、システムの操作ログや作業履歴等を記録し、担当部署から要求された場合には提出するなど)を整備していること。
(5)本業務において、個人情報又は農林水産省における要機密情報を取り扱う場合は、当該情報(複製を含む。以下同じ。)を国内において取り扱うものとし、当該情報の国外への送信・保存や当該情報への国外からのアクセスを行わないこと。
(6)本業務における情報セキュリティ対策の履行状況を定期的に報告すること。
(7)農林水産省が情報セキュリティ監査の実施を必要と判断した場合は、農林水産省又は農林水産省が選定した事業者による立入調査等の情報セキュリティ監査(サイバーセキュリティ基本法(平成 26 年法律第 104 号)第 26 条第1項第2号に基づく監査等を含む。以下同じ。)を受け入れること。また、担当部署からの要求があった場合は、受託者が自ら実施した内部監査及び外部監査の結果を報告すること。
(8)本業務において、要安定情報を取り扱うなど、担当部署が可用性を確保する必要があると認めた場合は、サービスレベルの保証を行うこと。
(9)本業務において、第三者に情報が漏えいするなどの情報セキュリティインシデントが発生した場合は、担当部署に対し、速やかに電話、口頭等で報告するとともに、報告書を提出すること。また、農林水産省の指示に従い、事態の収拾、被害の拡大防止、復旧、再発防止等に全力を挙げること。なお、これらに要する費用の全ては受託者が負担すること。
(10)情報セキュリティ対策の履行が不十分な場合、農林水産省と協議の上、必要な改善策を立案し、速やかに実施するなど、適切に対処すること。
2 受託者は、私物(本業務の従事者個人の所有物等、受託者管理外のものをいう。)の機器等を本業務に用いないこと。
3 受託者は、成果物等を電磁的記録媒体により納品する場合には、不正プログラム対策ソフトウェアによる確認を行うなどして、成果物に不正プログラムが混入することのないよう、適切に対処するとともに、確認結果(確認日時、不正プログラム対策ソフトウェアの製品名、定義ファイルのバージョン等)を成果物等に記載又は添付すること。
4 受託者は、本業務において取り扱われた情報を、担当部署の指示に従い、本業務上不要
【別紙2】
となったとき若しくは本業務の終了までに返却又は復元できないよう抹消し、その結果を担当部署に書面で報告すること。
Ⅳ 情報システムの各工程における情報セキュリティの確保
1 受託者は、本業務において情報システムの運用管理機能又は設計・開発に係る企画・要件定義を行う場合には、以下の措置を実施すること。
(1)情報システム運用時のセキュリティ監視等の運用管理機能を明確化し、本業務の成果物へ適切に反映するために、以下を含む措置を実施すること。
ア 情報システム運用時に情報セキュリティ確保のために必要となる管理機能を本業務の成果物に明記すること。
イ 情報セキュリティインシデントの発生を監視する必要がある場合、監視のために必要な機能について、以下を例とする機能を本業務の成果物に明記すること。
(ア)農林水産省外と通信回線で接続している箇所における外部からの不正アクセスを監視する機能
(イ)不正プログラム感染や踏み台に利用されること等による農林水産省外への不正な通信を監視する機能
(ウ)農林水産省内通信回線への端末の接続を監視する機能
(エ)端末への外部電磁的記録媒体の挿入を監視する機能
(オ)サーバ装置等の機器の動作を監視する機能
(2)開発する情報システムに関連する脆(ぜい)弱性への対策が実施されるよう、以下を含む対策を本業務の成果物に明記すること。
ア 既知の脆(ぜい)弱性が存在するソフトウェアや機能モジュールを情報システムの構成要素としないこと。
イ 開発時に情報システムに脆(ぜい)弱性が混入されることを防ぐためのセキュリティ実装方針を定めること。
ウ セキュリティ侵害につながる脆(ぜい)弱性が情報システムに存在することが発覚した場合に修正が施されること。
エ ソフトウェアのサポート期間又はサポート打ち切り計画に関する情報を提供すること。
2 受託者は、本業務において情報システムの設計・開発を行う場合には、以下の事項を含む措置を適切に実施すること。
(1)情報システムのセキュリティ要件の適切な実装ア 主体認証機能
イ アクセス制御機能ウ 権限管理機能
エ 識別コード・主体認証情報の付与管理オ ログの取得・管理
【別紙2】
カ 暗号化機能・電子署名機能 キ 暗号化・電子署名に係る管理
ク ソフトウェアに関する脆(ぜい)弱性等対策ケ 不正プログラム対策
コ サービス不能攻撃対策サ 標的型攻撃対策
シ アプリケーション・コンテンツのセキュリティ要件の策定ス 政府ドメイン名(xx.xx)の使用
セ 不正なウェブサイトへの誘導防止
ソ 農林水産省外のアプリケーション・コンテンツの告知
(2)情報セキュリティの観点に基づく試験の実施
ア ソフトウェアの開発及び試験を行う場合は、運用中の情報システムと分離して実施すること。
イ 試験項目及び試験方法を定め、これに基づいて試験を実施すること。ウ 試験の実施記録を作成し保存すること。
(3)情報システムの開発環境及び開発工程における情報セキュリティ対策
ア ソースコードが不正に変更されることを防止するため、ソースコードの変更管理、アクセス制御及びバックアップの取得について適切に管理すること。
イ 調達仕様書等に規定されたセキュリティ実装方針に従うこと。
ウ セキュリティ機能の適切な実装、セキュリティ実装方針に従った実装が行われていることを確認するために、情報システムの設計及びソースコードを精査する範囲及び方法を定め実施すること。
エ オフショア開発を実施する場合、試験データとして実データを使用しないこと。
3 受託者は、情報セキュリティの観点から調達仕様書で求める要件以外に必要となる措置がある場合には、担当部署に報告し、協議の上、対策を講ずること。
4 受託者は、本業務において情報システムの運用・保守を行う場合には、情報システムに実装されたセキュリティ機能が適切に運用されるよう、以下の事項を適切に実施すること。
(1)情報システムの運用環境に課せられるべき条件の整備
(2)情報システムのセキュリティ監視を行う場合の監視手順や連絡方法
(3)情報システムの保守における情報セキュリティ対策
(4)運用中の情報システムに脆(ぜい)弱性が存在することが判明した場合の情報セキュリティ対策
(5)利用するソフトウェアのサポート期限等の定期的な情報収集及び報告
(6)「デジタル・ガバメント推進標準ガイドライン」(2019 年 2 月 25 日各府省情報化統括責任者 (CIO)連絡会議決定)の別紙3に基づく情報資産管理を行うために必要な事項を記載した情報資産管理標準シートの提出
【別紙2】
(7)情報システムの利用者に使用を求めるソフトウェアのバージョンのサポート終了時における、サポート継続中のバージョンでの動作検証及び当該バージョンで正常に動作させるための情報システムの改修等
5 受託者は、本業務において情報システムの運用・保守を行う場合には、運用保守段階へ移行する前に、移行手順及び移行環境に関して、以下を含む情報セキュリティ対策を行うこと。
(1)情報セキュリティに関わる運用保守体制の整備
(2)運用保守要員へのセキュリティ機能の利用方法等に関わる教育の実施
(3)情報セキュリティインシデント(可能性がある事象を含む。以下同じ。)を認知した際の対処方法の確立
6 受託者は、本業務において情報システムのセキュリティ監視を行う場合には、以下の内容を含む監視手順を定め、適切に監視運用すること。
(1)監視するイベントの種類
(2)監視体制
(3)監視状況の報告手順
(4)情報セキュリティインシデントの可能性がある事象を認知した場合の報告手順
(5)監視運用における情報の取扱い(機密性の確保)
7 受託者は、本業務において運用中の情報システムに脆(ぜい)弱性が存在することを発見した場合には、速やかに担当部署に報告し、本業務における運用・保守要件に従って脆(ぜい)弱性の対策を行うこと。
8 受託者は、本業務において本業務の調達範囲外の情報システムを基盤とした情報システムを運用する場合は、運用管理する府省庁等との責任分界に応じた運用管理体制の下、基盤となる情報システムの運用管理規程等に従い、基盤全体の情報セキュリティ水準を低下させることのないよう、適切に情報システムを運用すること。
9 受託者は、本業務において情報システムの運用・保守を行う場合には、不正な行為及び意図しない情報システムへのアクセス等の事象が発生した際に追跡できるように、運用・保守に係る作業についての記録を管理すること。
10 受託者は、本業務において情報システムの更改又は廃棄を行う場合には、当該情報システムに保存されている情報について、以下の措置を適切に講ずること。
(1)情報システム更改時の情報の移行作業における情報セキュリティ対策
(2)情報システム廃棄時の不要な情報の抹消
Ⅴ クラウドサービスに関する情報セキュリティの確保
受託者は、本業務において、クラウドサービスを活用する場合には、以下の措置を講じること。また、当該クラウドサービスの活用が本業務の再委託に該当する場合は、当該クラウドサービスに対して、Ⅷの措置を講じること。
1 ISO/IEC27001 又はそれに基づく認証を取得しているクラウドサービスを採用すること。また、
【別紙2】
当該認証の証明書等の写しを提出すること。(提出時点で有効期限が切れていないこと。)
2 クラウドサービスの情報セキュリティ水準を証明する以下のいずれかの証明書等の写しを提出すること。(提出時点で有効期限が切れていないこと。)
(1)ISO/IEC 27017 又は ISMS(情報セキュリティマネジメントシステム)クラウドセキュリティ認証制度に基づく認証
(2)セキュリティに係る内部統制の保証報告書(SOC 報告書(Service Organization Control Report))
(3)情報セキュリティ監査により対策の有効性が適切であることを証明する報告書(クラウド情報セキュリティ監査制度に基づく CS マークが付された CS 言明書等)
3 クラウドサービスにおいて個人情報又は農林水産省における要機密情報が取り扱われる場合には、当該クラウドサービスのデータセンター(バックアップセンターを含む。)は国内に限ること。
4 クラウドサービスの廃止、サービス内容の変更等に伴い契約を終了する場合は、他のクラウドサービス等に円滑に移行できるよう、十分な期間をもって事前(サービス廃止等の1年以上前が望ましい。)に担当部署へ通知すること。
5 クラウドサービスの契約を終了する場合、クラウドサービス上に保存された農林水産省のデータについて、汎用性のあるデータ形式に変換して提供するとともに、クラウドサービス上において復元できないよう抹消し、その結果を担当部署に書面で報告すること。
6 クラウドサービスに係るアクセスログ等の証跡を保存し、担当部署からの要求があった場合は提供すること。なお、証跡は1年間以上保存することが望ましい。
7 インターネット回線とクラウド基盤との接続点の通信を監視すること。
8 クラウドサービスに係る業務の一部がクラウドサービス事業者以外の事業者に外部委託されている場合は、当該クラウドサービス事業者以外の事業者にⅧの措置を講ずること。
9 クラウドサービスにおける脆(ぜい)弱性対策の実施内容を担当部署が確認できること。
10 クラウドサービスの可用性を保証するための十分な冗長性、障害時の円滑な切替等の対策が講じられていること。また、クラウドサービスに障害が発生した場合の復旧時点目標
(RPO)等の指標を提示すること。
なお、農林水産省の要安定情報を取り扱う場合は、データセンターを地理的に離れた複数の地域に設置するなどの災害対策が講じられていること。
11 クラウドサービス上で取り扱う情報について、機密性及び完全性を確保するためのアクセス制御、暗号化及び暗号鍵の保護並びに管理を確実に行うこと。
12 クラウドサービスの利用者が、自らの意思によりクラウドサービス上で取り扱う情報を確実に抹消できること。
13 本業務において、農林水産省に開示することとしているクラウドサービスに係る情報について、業務開始時に開示項目や範囲を明記した資料を提出すること。
14 農林水産省に対して、クラウドサービスに係る機密性の高い情報を開示する場合は、農林
【別紙2】
水産省において、当該情報を審査又は本業務以外の目的で利用しないよう適切に取り扱うため、必要に応じて当該情報に取扱制限を明記するなどの措置を講じること。
Ⅵ 機器等に関する情報セキュリティの確保
受託者は、本業務において、農林水産省にサーバ装置、端末、通信回線装置、複合機、特定用途機器、外部電磁的記録媒体、ソフトウェア等(以下「機器等」という。)を納品、賃貸借等をする場合には、以下の措置を講じること。
1 納入する機器等の製造工程において、農林水産省が意図しない変更が加えられないよう適切な措置がとられており、当該措置を継続的に実施していること。また、当該措置の実施状況を証明する資料を提出すること。
2 機器等に対して不正な変更があった場合に識別できる構成管理体制を確立していること。また、不正な変更が発見された場合に、農林水産省と受託者が連携して原因を調査・排除できる体制を整備していること。
3 機器等の設置時や保守時に、情報セキュリティの確保に必要なサポートを行うこと。
4 利用マニュアル・ガイダンスが適切に整備された機器等を採用すること。
5 脆(ぜい)弱性検査等のテストが実施されている機器等を採用し、そのテストの結果が確認できること。
6 ISO/IEC 15408 に基づく認証を取得している機器等を採用することが望ましい。なお、当該認証を取得している場合は、証明書等の写しを提出すること。(提出時点で有効期限が切れていないこと。)
7 情報システムを構成するソフトウェアについては、運用中にサポートが終了しないよう、サポート期間が十分に確保されたものを選定し、可能な限り最新版を採用するとともに、ソフトウェアの種類、バージョン及びサポート期限について報告すること。なお、サポート期限が事前に公表されていない場合は、情報システムのライフサイクルを踏まえ、販売からの経過年数や後継ソフトウェアの有無等を考慮して選定すること。
8 機器等の納品時に、以下の事項を書面で報告すること。
(1)調達仕様書に指定されているセキュリティ要件の実装状況(セキュリティ要件に係る試験の実施手順及び結果)
(2)機器等に不正プログラムが混入していないこと(最新の定義ファイル等を適用した不正プログラム対策ソフトウェア等によるスキャン結果、内部監査等により不正な変更が加えられていないことを確認した結果等)
Ⅶ 管轄裁判所及び準拠法
1 本業務に係る全ての契約(クラウドサービスを含む。以下同じ。)に関して訴訟の必要が生じた場合の専属的な合意管轄裁判所は、国内の裁判所とすること。
2 本業務に係る全ての契約の成立、効力、履行及び解釈に関する準拠法は、日本法とする
【別紙2】
こと。
Ⅷ 業務の再委託における情報セキュリティの確保
1 受託者は、本業務の一部を再委託(再委託先の事業者が受託した事業の一部を別の事業者に委託する再々委託等、多段階の委託を含む。以下同じ。)する場合には、受託者が上記Ⅱの1、Ⅱの2及びⅢの1において提出することとしている資料等と同等の再委託先に関する資料等並びに再委託対象とする業務の範囲及び再委託の必要性を記載した申請書を提出し、農林水産省の許可を得ること。
2 受託者は、本業務に係る再委託先の行為について全責任を負うものとする。また、再委託先に対して、受託者と同等の義務を負わせるものとし、再委託先との契約においてその旨を定めること。なお、情報セキュリティ監査については、受託者による再委託先への監査のほか、農林水産省又は農林水産省が選定した事業者による再委託先への立入調査等の監査を受け入れるものとすること。
3 受託者は、担当部署からの要求があった場合は、再委託先における情報セキュリティ対策の履行状況を報告すること。
Ⅸ 資料等の提出
上記Ⅱの1、Ⅱの2、Ⅲの1、Ⅴの1、Ⅴの2、Ⅵの1及びⅥの6において提出することとしている資料等については、最低価格落札方式にあっては入札公告及び入札説明書に定める証明書等の提出場所及び提出期限に従って提出し、総合評価落札方式にあっては提案書等の総合評価のための書類に添付して提出すること。
Ⅹ 変更手続
受託者は、上記Ⅱ、Ⅲ、Ⅴ、Ⅵ及びⅧに関して、農林水産省に提示した内容を変更しようとする場合には、変更する事項、理由等を記載した申請書を提出し、農林水産省の許可を得ること。
閲覧申請書
申込日: 令和 年 月 日
1 会 社 名:
2 住 所:
3 担当者名:
4 電話番号:
5 E-mail アドレス:
6 | 閲覧希望日時: 令和 | 年 | 月 | 日 | 時 |
令和 | 年 | 月 | 日 | 時 | |
令和 | 年 | 月 | 日 | 時 |
7 閲覧者氏名:
:
:
:
食料安定供給特別会計支出負担行為担当官農林水産省大臣官房参事官(経理) 殿
機密保持誓約書
「政府所有米麦情報管理システムのソフトウェア等バージョンアップ業務」に係る資料閲覧に当たり、下記の事項を厳守することを誓約します。
記
1 農林水産省の情報セキュリティに関する規程等を遵守し、農林水産省が開示した情報(公知の情報等を除く。)を本調達の目的以外に使用又は第三者に開示若しくは漏えいすることのないよう、必要な措置を講じます。
2 閲覧資料については、複製及び撮影を行いません。
3 本業務に係る調達の期間中及び終了後にかかわらず、xx義務を負います。
4 上記1~3に反して、情報を本調達の目的以外に使用又は第三者に開示若しくは漏えいした場合、法的な責任を負うものであることを確認し、これにより農林水産省が被った一切の損害を賠償します。また、その際には秘密保持に関する農林水産省の監査を受けることとし、誠実に対応します。
令和 | 年 | 月 | 日 |
住 | 所 | ||
会 | 社 名 |
代表者名
政府所有米麦情報管理システムのソフトウェア等バージョンアップ業務
質問票
社 名 | |||
住 所 | |||
TEL | メール | ||
質問者 | |||
質問に関連する文書名及び頁 | |||
質問内容 回答 | |||