Contract
労働保険適用事業場検索システムに係る設計・開発業務及び運用保守業務等一式
調達仕様書
令和2年6月
厚生労働省労働基準局労働保険徴収課
目 次
2. 当該調達及び関連調達の調達単位、調達の方式等に関する事項 6
調達案件及び関連する調達案件の調達単位、調達の方式、実施時期 6
○ 別紙一覧
(別紙1)要件定義書
(別紙2)応札希望者に開示する資料
(別添 1)受注者が機密保持を遵守するために講ずるべき措置
(様式 1)情報抹消に係る作業実施計画書
(様式 2)情報抹消対象機器等一覧
(様式 3)情報抹消に係る作業完了報告書
(様式 4)情報抹消完了機器等一覧
(様式 5)情報の返却又は廃棄若しくは抹消に係る作業実施計画書
(様式 6)情報の返却又は廃棄若しくは抹消に係る作業完了報告書
(様式 7)機器等リスト
1. 調達案件の概要に関する事項 調達案件名
労働保険適用事業場検索システムに係る設計・開発業務及び運用保守業務等一式
しかし、この政府共通プラットフォームについて、第 1 期の提供がxx、終了する見込みであり、労働保険適用事業場検索のサービスを継続提供するためには、新たなサーバ環境への移行が必要となっている。
一方で、国の行政情報システムについては、「世界最先端デジタル国家創造宣言・官民データ活用推進基本計画」(令和元年 6 月 14 日閣議決定)において、「クラウド・バイ・デフォルト原則」のもと、「クラウド技術の活用等により、投資対効果やサービスレベルの向上、サイバーセキュリティへの対応強化を図ることが重要」であるとされている。
以上から、クラウドサービスの利用を前提とし新たにシステムの構築・運用が必要となっている。
新たに構築するシステム(以下「本システム」という。)を継続稼働させ、労働保険に加入した事業場を公開することにより、国民が安心して働ける社会を維持することを目的とする。
また、クラウドサービスを利用することにより情報セキュリティ水準の向上や運用・保守コストの削減等に資することを目的とする。
本調達仕様書で使用する用語は以下のとおりとする。
表 1-1 用語の定義
No. | 用語 | 説明 |
1 | 適用徴収システ | 労働保険適用徴収システムの略。 |
ム | 適用徴収業務を支援する目的から昭和 47 年より運用してお | |
り、平成 15 年 10 月からは電子申請・届出に対応し、平成 16 | ||
年 1 月から労働保険料の電子納付に対応した、「労働保険適 | ||
用徴収業務の業務・システム最適化計画」(平成 18 年 3 月 29 | ||
日厚生労働省情報政策会議決定、平成 20 年 3 月 19 日同会議 | ||
改定、平成 22 年 9 月 17 日同会議再改定、 | ||
照)に基づく最適化を行ったシステム。 |
No. | 用語 | 説明 |
2 | 労働保険適用事業場検索システム | 労働保険に加入している事業場の情報をインターネット上で公開するためのシステム。本調達仕様書では新たに構築するシステムを「本システム」といい、現在、稼働しているシス テムを「現行システム」という。 |
3 | 事業場 | 事業主が雇用した労働者が業務に従事している作業場所。 |
4 | クラウドサービス | 事業者によって定義されたインタフェースを用いた、拡張 性、柔軟性を持つ共用可能な物理的又は仮想的なリソースにネットワーク経由でアクセスするモデルを通じて提供され、利用者によって自由にリソースの設定・管理が可能なサービスであって、情報セキュリティに関する十分な条件設定の余地があるもの。この構成要素として、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS (Infrastructure as a Service)が存在する。 |
5 | クラウドサービ ス事業者 | クラウドサービスを提供する事業者又はクラウドサービスを 用いて政府機関の情報システムを開発・運用する事業者。 |
6 | クラウドサービ スプロバイダ | クラウドサービス事業者のうち、クラウドサービスを提供す る事業者。 |
7 | クラウドサービスブローカ | クラウドサービス事業者のうち、クラウドサービスを用いて政府機関の情報システムを開発・運用する事業者。 ※本調達においては受注者に該当する。 |
8 | クラウド | クラウドサービスに基づきクラウドサービスプロバイダから 提供される物理的又は仮想的な全てのリソース。 |
9 | 政府共通プラットフォーム | 「新たな情報通信技術戦略(平成 22 年 5 月 11 日 IT 戦略本部決定)」に基づき、クラウドコンピューティング技術等の最新の技術を活用し、各府省別々に整備・運用している政府情報システムの統合・集約化や共通機能のxx的提供等を行う政府情報システムの基盤。 なお、政府共通プラットフォームの整備(設計・構築、機 器・基盤ソフトウェアの提供・保守、施設・設備の提供)及び移行支援、運用については、総務省(各作業請負事業者を 含む。)が担当、実施する。 |
10 | ODB | 政府情報システム管理データベース(Official information system total management Database)の略称。政府における情報システムに関係する情報をxx的に管理するため、総務省において整備及び管理し、各府省の用に供するデータベー ス。 |
11 | SLCP-JCF2013 | ソフトウェアを中心としたシステムの開発及び取引のための 共通フレーム体系(2013 年版)のこと。 |
12 | PJMO | Project Management Office(プロジェクト推進組織)の略称。プロジェクトを遂行し、その進捗等を管理する機能を担 う組織。 |
13 | 本件受注者 | 本業務の受注者。 |
14 | 次期運用・保守 事業者 | 本業務にて構築したシステムについて、本業務終了後に引き続 き運用・保守作業を担当する事業者。 |
No. | 用語 | 説明 |
15 | 労働保険適用徴収システムに係るアプリケーション保守事業者 | 適用徴収システムに係る以下の業務を担当する事業者を指す。 ①システム更改に向けたアプリケーション対応 基盤の更改に伴うアプリケーション改修作業を遂行する。 ②システム運用・保守統括者 システム運用・保守統括業務、運用支援業務を遂行する。 ③アプリケーション保守 アプリケーション改修作業、アプリケーション等障害時対応及び保守一般を遂行する。 なお、現行システムのアプリケーション保守業務も併せて担当している。 |
16 | 労働保険適用徴収システムに係るシステム運用事業者 | 適用徴収システムにおける運用オペレータとヘルプデスクを担当する事業者を指す。 ①運用オペレータ システム運用業務を遂行する。 ②ヘルプデスク ヘルプデスク業務を遂行する。 なお、現行システムの運用業務も併せて担当している。 |
17 | EVM | Earned Value Management の略。プロジェクトの進捗を定量的に計測し、管理するためのプロジェクト管理手法。コスト、スケジュール、品質等について、計画と実績の差異を測定 し、今後の推移を予測することで、プロジェクト完了時のコストや完了までのスケジュールが推定できる。また、コスト超過やスケジュール遅延等を分析することで、プロジェクト の問題を把握する。 |
18 | センター拠点 | xx 00 xxに設置した適用徴収システムを管理する拠点を指 す。 |
本システムの概要は次の図のとおりである。
本省
労働基準監督署・ハローワーク
①労働保険関係の各種届出の受付(職員)
(各都道府県)労働局
③決裁・システム登録(職員)
適用徴収システム
各種届出
②進達(職員)
適用台帳
職員
④データ作成
(月次)(システム)
本件受注者
公開用適用事業場
データ出力機能
⑧データ更新(月 ⑦データ受x
x)(受注者) (受注者) ⑤データ取出
(DVD保存)
(運用事業者)
運用事業者
⑨検索・閲覧
(一般国民)
クラウド
インターネ
ット
本システム
➅データ受渡(運用事業者)
公開データ
厚生労働省職員(本省)
⑩監視・ログ等取得
(受注者)
⑫データ返却(受注者)
➃稼働状況等報告(受注者)
図 1-1 本システムの概要
契約期間は、令和 2 年 8 月 17 日(予定)から令和 5 年 3 月 31 日までとする。上記のうち、設
計開発については、令和 2 年 8 月 17 日(予定)から令和 3 年 2 月までとし、運用保守について
は、令和 3 年 3 月から令和 5 年 3 月 31 日までとする。ただし、詳細なサービス稼働日については、別途、本件受注者と協議の上、決定する。
本システムは、本調達における契約期間終了後も、クラウドサービスの契約期間終了前に契約の延長又は他のクラウドサービスブローカへの引継ぎ等を実施することにより、本システムの運用等を行うクラウドをそのまま継続利用することを想定している。ただし、本システムの運用等に支障を来さず、かつ次期運用・保守事業者等の調達に支障を来さないスケジュールで実施する限り、契約期間中、厚生労働省の承認を得て、本件受注者の負担において他のクラウドサービスへの移行を実施することは妨げない。
作業スケジュールは次の図のとおりである。
:本調達の作業
Lite 利用期間
開発・テスト
プロジェクト管理
プロジェクト管理
引継ぎ
引継ぎ
運用・保守
運用・保守
利用期間
構築
クラウド環境構築・保守
移行
受入テスト
設計
設計・開発
要件確定
要件確定
計画策定
計画策定
本システム
PF-
―
現行 システム
3
2
1
12
11
10
9
8
7
6
5
4
令和4年度
令和3年度
令和2年度
作業
対象
システム
図 1-2 作業スケジュール
現行システムの利用期限が令和 3 年 3 月上旬までとなっていることに鑑み、原則、令和 3 年 3
月 1 日までに本システムでの稼働を開始すること。ただし、詳細なサービス稼働日については、別途、本件受注者と協議の上、決定する。
x調達仕様書に関する問合せ先は以下のとおり。
x000-0000
xxxxxxxxxx 0-0-0
厚生労働省労働基準局労働保険徴収課労働保険徴収業務室システム計画係 xx
電話:00-0000-0000(内線 407、416、420) Email: xxxxxxxxxxxxx@xxxx.xx.xx
2. 当該調達及び関連調達の調達単位、調達の方式等に関する事項
調達案件及び関連する調達案件の調達単位、調達の方式、実施時期
本調達案件及び関連する調達案件の調達単位、調達の方式、実施時期は次の表のとおりである。
表 2-1 本調達案件及び関連する調達案件の調達単位、調達の方式、実施時期
No | 調達案件名 | 調達の方式 | 実施時期 | 補足 |
1 | 労働保険適用徴収システムに係る工程管理等支援業務一式 | 一般競争入札 (総合評価落札方式) | ・契約締結日 :平成 29 年 4 月 3 日 ・契約期間 :平成 29 年 4 月から 令和 3 年 10 月まで | 調達済み |
2 | 労働保険適用徴収システムに係るアプリケーション保守業務一式(令和 2 年度開始) | 一般競争入札 (総合評価落札方式) | ・契約締結日 :令和 2 年 4 月 1 日 ・契約期間 : 令和 2 年 4 月から 令和 4 年 1 月まで | 調達済み |
3 | 労働保険適用徴収システムに係るシステム運用業務一式(令和 2 年度開始) | 一般競争入札 (総合評価落札方式) | ・契約締結日 :令和 2 年 4 月 1 日 ・契約期間 : 令和 2 年 4 月から 令和 4 年 1 月まで | 調達済み |
4 | 労働保険適用徴収システムの更改に係る設計・開発業務及びアプリケーション保守業務等一式(2021年度運用開始) | 一般競争入札 (総合評価落札方式) | ・契約締結日 :令和元年 11 月 1 日 ・契約期間 :令和 元年 11 月から令和 6 年 3 月まで | 調達済み |
5 | 労働保険適用徴収システムに係るシステム運用業務一式 | 一般競争入札 (総合評価落札方式) | ・意見招請(官報公示) :令和 3 年 4 月頃 ・入札公告(官報公示) :令和 3 年 8 月頃 ・落札者決定 :令和 3 年 11 月頃 ・契約期間 :令和 3 年 11 月から 令和 8 年 3 月まで |
No | 調達案件名 | 調達の方式 | 実施時期 | 補足 |
6 | 労働保険適用事業場検索システムに係る設計・開発業務及び運用保守業務等一式 (本調達) | 一般競争入札 (最低価格落札方式) | ・入札公告(官報公示) :令和 2 年 6 月頃 ・落札者決定 :令和 2 年 8 月頃 ・契約期間 :令和 2 年 8 月から 令和 5 年 3 月まで | 本調達 |
調達のxx性の観点から、「労働保険適用徴収システムに係る工程管理等支援業務一式」の受注者(以下「工程管理等支援事業者」という。)は本件の入札に参加することはできないものとする。なお、入札制限は工程管理等支援事業者の「財務諸表等の用語、様式及び作成方法に関する規則」(昭和 38 年大蔵省令第 59 号)第 8 条に規定する親会社及び子会社、同一の親会社を持つ会社並びに委託先事業者等の緊密な利害関係を有する事業者も対象とする。
3. 情報システムに求める要件
本調達の実施に当たっては、「別紙 1 要件定義書」の各要件を満たすこと。
4. 作業の実施内容に関する事項 作業の内容
ア 設計・開発に係る作業の内容
設計・開発実施計画書等の作成
本件受注者は、厚生労働省の指示に基づき、工程管理等支援業者と調整の上、設計・開発実施計画書及び設計・開発実施要領の案を作成し、厚生労働省の承認を受けること。
本システムの設計・開発に関しては、設計・開発の段階でも可能な限り操作性の向上を図る必要があることから、設計・開発手法は従来のウォータフォール型に限定せず、スパイラル型/アジャイル型等柔軟な対応を可能とする手法を採用すること。
本システムの設計・開発に関しては、画面のイメージや操作感等について本稼働前に厚生労働省に説明し、また、必要に応じて性能評価用のテスト版・試用版等の形で事前リリースを行う等により、厚生労働省の要望を取り込むことに配慮した手法を採用すること。
開発に当たり、情報セキュリティ確保のためのルール遵守や成果物の確認方法(例えば、標準コーディング規約遵守の確認、ソースコードの検査、現場での抜き打ち調査等についての実施主体、手順、方法等)を定め、厚生労働省の確認を受けること。ただし、ノンプログラミングによる画面生成等プロトタイピング用のツール等を採用する場合、情報セキュリティ確保のためのルール遵守や成果物の確認方法が当該ツール等に依存するときは、その旨を
あらかじめ厚生労働省に報告し、承認を得ることで情報セキュリティ確保のためのルール遵守や成果物の確認方法を定めることを省略することができる。
要件確定
本件受注者は、「別紙 1 要件定義書」の業務要件に基づき、業務フロー等を明確にした上で、要件定義書の機能要件及び非機能要件を前提として、要件の調査・分析を行い、システム化の範囲、システムの設計・構築等に必要な要件を記述した要件定義書(確定版)(案)を作成し、厚生労働省の承認を受けること。
設計
「別紙 1 要件定義書」の機能要件及び非機能要件を満たすための基本設計及び詳細設計を行い、成果物について厚生労働省の承認を受けること。
設計において、適用徴収システムの EA ドキュメントに修正が必要な場合には、適用徴収システムのアプリケーション保守事業者が構成管理している当該資料を受領し、修正すること。修正内容について厚生労働省の承認を受けた後、厚生労働省にて適用徴収システムのアプリケーション保守事業者に引渡し、適用徴収システムの EA ドキュメントとして管理する。情報システムの移行の方法、環境、ツール、段取り等を記載した移行計画書を作成し、厚
生労働省の承認を受けること。
運用設計及び保守設計を行い、定常時における作業内容、その想定スケジュール、障害発生時における作業内容等(情報システムの構成やライフサイクル等の中長期の作業を含む)を取りまとめた運用・保守計画書を作成し、厚生労働省の承認を受けること。
定常時及び障害発生時において想定される運用体制、実施手順等の案を作成し、厚生労働省の承認を受けること。
単体テスト、結合テスト及び総合テストについて、テスト方針、テスト体制、テスト環境、作業内容、作業スケジュール、テストシナリオ作成基準、合否判定基準等を記載したテスト計画書の案を作成し、厚生労働省の承認を受けること。
運用設計及び保守設計を行うに当たって、リソースの使用状況に応じてクラウドサービス上の仮想サーバのスペック等を調整し、リソースの効率的な使用を通じてコスト削減を継続的に図っていく取組(オートスケールを利用する場合の変更条件・上下限値等を含む。)を含めること。
開発・テスト
開発・テストに当たり、アプリケーションプログラムの開発又は保守を効率的に実施するため、「厚生労働省標準コーディング規約策定指針」に即して、プログラミング等のルールを定めた標準(標準コーディング規約、セキュアコーディング規約等)を定め、厚生労働省の確認を受けること。ただし、ノンプログラミングによる画面生成等プロトタイピング用のツ
ール等を採用する場合、プログラミング等のルールを定めた標準が当該ツール等に依存するときは、その旨をあらかじめ厚生労働省に報告し、承認を得ることでプログラミング等のルールを定めた標準を定めることを省略することができる。
単体テスト、結合テスト及び総合テストについて、テスト体制、テスト環境、作業内容、作業スケジュール、テストシナリオ、合否判定基準等を記載したテスト計画書を作成し、各テスト実施前に厚生労働省の承認を受けること。なお、これらテストにおいて、静的コード解析ツール等を使用することにより合理的に品質の向上を図ることができる場合には、積極的にこれらツールを活用することが望ましい(ただし、対象言語に係る解析の品質が一般に認められているもので、かつ原則として中立性が担保されるオープンソースソフトウェアであることを前提とする。)。この場合、人的レビューと重複する部分については、原則として省略して差し支えない。
本件受注者は、設計工程の成果物及びテスト計画書に基づき、アプリケーションプログラムの開発、テストを行うこと。
テスト計画書に基づくテストの実施に当たっては、具体的なテスト内容(テスト項目・使用するデータ等を含む。)について規定した「テスト仕様書」を作成し、これに基づきテストを実施すること。その際、総合テスト及び必要に応じて結合テストに関しては、テスト実施前に「テスト仕様書」について厚生労働省の確認を受けること。また、各テストの実施状況及び結果については、随時厚生労働省に報告を行うこと。
本システムの稼働に当たっては、クラウドサービスで提供される機能を利用するものとし、原則、有償ソフトウェアの追加は認めないが、止むを得ない理由によりソフトウェア等の導 入が必要な場合は、厚生労働省の承認を得た上で本件受注者の負担において購入すること。ただし、購入するソフトウェアについては市販されており、第三者においても同等の金額で 購入可能であること。その際、本件受注者は、ソフトウェア製品一式、ソフトウェア構成表、 ライセンス関係資料(ライセンス証書、ライセンス種別、ライセンス数、ライセンス料等)、 導入計画書、導入作業手順書、設定作業報告書を厚生労働省に提出すること。
本システムは、一般国民が利用することから、利用の前提条件(推奨環境)、利用の手順、利用上の留意事項等を厚生労働省 HP に掲載する必要がある。このため、これらの内容を整理した簡易利用マニュアルを作成し、厚生労働省に提出すること。
受入テスト支援
本件受注者は、厚生労働省が受入テストのテスト計画書を作成するに当たり、情報提供等の支援を行うこと。
本件受注者は、厚生労働省が受入テストを実施するに当たり、環境整備、運用等の支援を行うこと。
情報システムの移行
本システムへの移行手順についてリハーサルを実施し、移行シナリオ、移行スケジュールの適切性等を確認すること。
移行実施計画及び移行手順書に基づき、本システムへの移行を行うこと。移行が正常に完了したことを確認し、その結果を移行結果報告書として取りまとめ、厚生労働省に報告すること。
移行に際してはDNS サーバの設定変更について必要な設定情報をあらかじめ提供するなどの支援を実施すること。また、移行に際して DNS の設定変更がインターネット上に反映されるまでに時間を要することを考慮し、現行システムと本システムを一定期間、並行稼働させるよう移行計画を検討すること。
受注者は、本システムの稼働に際して、設計・開発の担当者から、運用・保守の担当者に運用上の留意点など必要な引継ぎを実施すること。
設計・開発の担当者から運用・保守の担当者に引き継ぐ際には、クラウドサービスの管理者権限の移管など必要な手続きを実施すること。
引継ぎが完了した際には引継ぎ結果報告書を提出すること。
ODB 登録用シートの提出
受注者は、次に掲げる事項について記載した ODB 登録用シートを、設計・開発実施計画書において定める時期に、提出すること。
① 開発規模の管理
情報システムの開発規模(工数、ファンクションポイント等)の計画値及び実績値
② ハードウェアの管理
情報システムを構成するハードウェアの製品名、型番、ハードウェア分類、契約形態、保守期限等
③ ソフトウェアの管理
情報システムを構成するソフトウェア製品(アプリケーションフレームワークや、ノンプログラミングによる画面生成等プロトタイピング用のツール等、開発時に使用するソフトウェアを含む。)の名称(エディションを含む。)、バージョン、ソフトウェア分類、契約形態、ライセンス形態、サポート期限等
④ 回線の管理
情報システムを構成する回線の回線種別、回線サービス名、事業者名、使用期間、ネットワーク帯域等
⑤ 外部サービスの管理
情報システムを構成するクラウドコンピューティングサービス等の外部サービス(約款による外部サービス以外)の利用形態、使用期間等
⑥ 施設の管理
情報システムを構成するハードウェア等が設置され、又は情報システムの運用業務等に用いる区域を有する施設の施設形態、所在地、耐久性、ラック数、各区域に関する情報等
⑦ 公開ドメインの管理
情報システムが利用する公開ドメインの名称、DNS 名、有効期限等
⑧ 取扱情報の管理
情報システムが取扱う情報について、データ・マスタ名、個人情報の有無、格付等
⑨ 情報セキュリティ要件の管理
情報システムの情報セキュリティ要件
⑩ 指標の管理
情報システムの運用及び保守の間、把握すべき KPI 名、KPI の分類、計画値等の案
イ 運用に係る作業の内容 定常時対応
「別紙 1 要件定義書」の運用要件に示す業務を実施すること。具体的な実施内容・手順は運用・保守計画書に基づいて行うこと。
本件受注者は、運用・保守計画書及び運用手順書に基づき、以下の内容について月次で運用作業報告書を取りまとめること。
① 運用業務の内容や工数、作業時間等の作業実績状況
② サービスレベルの達成状況
③ 本システムの構成と運転状況(情報セキュリティ監視状況を含む)
④ 本システムの定期点検状況
⑤ 本システムの利用者サポート、教育・訓練状況
⑥ リスク・課題の把握・対応状況
⑦ 利用状況(リソース使用量の変動、構成変更の実施状況等を含む。なお、クラウドサービスプロバイダから提供される管理ツール等により出力可能な情報があれば、当該情報を管理ツール等から出力したそのままの形で添付することとしても差し支えないが、グラフ化等、参照性の担保には配慮すること。)
本件受注者は、月間の運用実績を評価し、達成状況が目標に満たない場合はその要因の分析を行うとともに、達成状況の改善に向けた対応策を提示すること。なお、目標の未達部分
(利用する予定のクラウドサービスの責に帰すべき事由によるものも含む。)に応じて、契約金額から減額する場合がある。また、リソース使用量の変動等を踏まえ、リソース最適化の観点からクラウドの運用に係る方針(オートスケールを利用する場合の変更条件・上下限値等を含む。)を変更すべきと考えられる場合には、見直しのための対応策を提示すること。
本件受注者は、運用作業報告書の内容について、月例の定期運用会議に出席し、その内容を報告すること。
情報システムの現況確認支援
業務開始時及び ODB 登録シート提出時(年に一度を想定)、厚生労働省の指示に基づき、 ODB 格納データと本システムの現況との突合・確認(以下「現況確認」という。)を支援すること。また、現況確認支援の実施実績を証跡として作成し、現況結果確認報告書を提出すること。
現況確認の結果、ODB の格納データと本システムの現況との間の差異がみられる場合は、運用・保守計画書に定める変更管理方法に従い、差異を解消すること。
現況確認の結果、ライセンス許諾条件に合致しない状況が認められる場合は、当該条件への適合可否、条件等を調査のxxx労働省に報告すること。
現況確認において IPA の MyJVN バージョンチェッカを用いる等により、ソフトウェア製品のバージョンを確認し、その結果、サポート切れのソフトウェア製品の使用が明らかとなった場合は、当該製品の更新の可否、更新した場合の影響の有無等を調査の上、厚生労働省に報告すること。厚生労働省への報告後、サポート切れのソフトウェア製品を更新した場合は、改めて厚生労働省に報告すること。
運用作業の改善提案
年度末までに年間の運用実績を取りまとめるとともに、運用・保守計画書、運用手順書に対する改善提案を行うこと。
ウ 保守に係る作業の内容 定常時対応
「別紙 1 要件定義書」の保守要件に示す作業を行うこと。具体的な実施内容・手順は運用・保守計画書、システム管理用保守手順書(以下「保守手順書」という。)に基づいて行うこと。
運用・保守計画書及び保守手順書に基づき、以下の内容について月次で保守作業報告書を取りまとめること。
① 保守作業の内容や工数等の作業実績状況(本システムの脆弱性への対応状況を含む)
月間の保守実績を評価し、達成状況が目標に満たない場合はその要因の分析を行うとともに、達成状況の改善に向けた対応策を提示すること。また、リソース使用量の変動等を踏まえ、リソース最適化の観点からクラウドの保守に係る方針(オートスケールを利用する場合の変更条件・上下限値等を含む。)を変更すべきと考えられる場合には、見直しのための対応策を提示すること。
保守作業報告書の内容について、月例の定期運用会議に出席し、その内容を報告すること。ソフトウェア製品の保守の実施において、ソフトウェア製品の構成に変更が生じる場合に
は、厚生労働省にその旨を報告し、変更後の環境がライセンスの許諾条件に合致するか否か
の確認を受けること。
障害・情報セキュリティインシデント発生時及び大規模災害等の発災時の対応
本システムの障害発生時(又は発生が見込まれる時)には、「別紙 1 要件定義書」の保守要件に示す障害発生時保守作業(原因調査、応急措置、報告等)を行うこと。なお、障害には、情報セキュリティインシデントを含めるものとする。具体的な実施内容・手順は運用・保守計画書及び保守手順書に基づいて行うこと。
本システムの障害に関して事象の分析(発生原因、影響度、過去の発生実績、再発可能性等)を行い、同様の事象が将来にわたって発生する可能性がある場合には、xx的な対応策を提示すること。
大規模災害等の発災時には、厚生労働省の指示を受けて、情報システム運用継続計画に基づく保守作業を実施すること。
ODB 登録用シートの提出
次に掲げる事項について、記載した ODB 登録用シートを運用・保守計画書において定める時期に提出すること。
① 各データの変更管理
情報システムの運用・保守において、開発規模の管理、ハードウェアの管理、ソフトウェアの管理、回線の管理、外部サービス(約款による外部サービス以外)の管理、施設の管理、公開ドメインの管理、取扱情報の管理、情報セキュリティ要件の管理、指標の管理の各項目についてその内容に変更が生じる作業をした時は、当該変更を行った項目
② 作業実績等の管理
情報システムの運用・保守中に取りまとめた作業実績、リスク、課題及び障害事由
保守作業の改善提案
本件受注者は、年度末までに、年間の保守実績を取りまとめるとともに、必要に応じて運用・保守計画書及び保守手順書に対する改善提案を行うこと。
エ 引継ぎ
① 本契約の終了後に他の運用・保守事業者が本システムの運用・保守を受注した場合には、他の運用・保守事業者に対し、作業経緯及び厚生労働省の承認のもと本システムの運用・保守業務として解決すべきとした残存課題、リスク引継ぎ事項、改善提案引継ぎ事項、案件特性及びシステム特性に伴う個別引継ぎ事項等についての引継ぎを行うこと。
② 本契約の終了後に他の運用・保守事業者が本システムの運用・保守を受注した場合には、他の運用・保守事業者に対し、本システムの運用・保守等を行うクラウドを原則として
そのまま引き継ぐこと。そのため、引継ぎに際しては、必要に応じて他の運用・保守事業者及びクラウドサービスプロバイダとの間で書面による契約等を行い、しかるべく管理者権限の引き渡し等クラウドの引継ぎを行うこと。また、他の運用・保守事業者へのクラウドの引継ぎに遺漏がないよう、クラウドサービスプロバイダとの契約内容や引継ぎ手順等を整備しておくこと。
オ 最終報告書の作成
本件受注者は本調達案件が終了と判断したら、以下の内容を含む最終報告書を作成し、厚生労働省の承認を得ることとする。
① 本調達又は工程の概要レベルの説明
② スコープ目標、スコープの評価に使用される基準、完了基準が満たされていることの証拠
③ 品質目標、本調達や成果物の品質評価に使用される基準、成果物の品質、検証と実際のマイルストーンの創出日、差異の理由
④ 最終のサービス、成果物の検証概要
カ ODB 登録用シートの提出に係るその他の作業の内容
本件受注者は、「デジタル・ガバメント推進標準ガイドライン 別紙 2 情報システムの経費区分」に基づき区分等した契約金額の内訳を記載した ODB 登録用シートを契約締結後速やかに提出すること。なお、引継ぎ等の費用が把握できるよう更に詳細な費用内訳書もあわせて提出すること。
本件受注者は、厚生労働省から求められた場合は、スケジュールや工数等の計画値及び実績値について記載した ODB 登録用シートを提出すること。
ア 成果物
本業務の成果物を次の表に示す。
表 4-1 成果物一覧
No | 工程 | 成果物名 | 内容及び 納品数量 | 納品期日 | SLCP-JCF2013 の アクティビティ |
1 | 計画策定 | ・設計・開発実施計画書(スケジュール、WBS、体制図等含む) ・設計・開発実施要領 ・情報セキュリティ管理計画書 ・連絡手段の運用管理要領 | 一式 | 令和 2 年 9 月 18 日 | 5.1.2 プロジェクト計画 1.2.4 契約の実行 |
2 | プロジェクト管理 | ・設計・開発実施要領に基づ く資料(課題管理表、進捗管理資料、リスク管理xx) | 一式 | 週次 | 5.2.1 プロジェクトの監視 5.2.2 プロジェクトの制御 |
3 | 要件確定 | ・要件定義書(確定版)(案) | 一式 | 令和 2 年 9 月 18 日 | 2.2.4 要件の評価 |
4 | 設計 | ・基本設計書 ・詳細設計書 ・移行計画書 ・運用・保守計画書 ・テスト計画書 ・EA ドキュメント ・標準コーディング規約 | 一式 | 令和 2 年 10 月 31 日 | 2.3.2 システム要件定義プロセス 2.3.3 システム方式設計プロセス 2.4.2 ソフトウェア要件定義プロセス 2.4.3 ソフトウェア方式設計プロセス 2.4.4 ソフトウェア詳細 設計プロセス |
5 | 開発・テスト | ・ソースコード一式 ・実行プログラム一式 ・テスト計画書 ・テスト仕様書 ・単体テスト結果報告書 ・結合テスト結果報告書 ・総合テスト結果報告書 ・脆弱性検査結果報告書 ・テストデータ ・簡易利用マニュアル ・運用手順書 ・システム管理用保守手順書 | 一式 | 令和 3 年 1 月 31 日 | 2.3.4 実装プロセス 2.4.5 ソフトウェア構築プロセス 2.3.5 システム結合プロセス 2.4.6 ソフトウェア結合プロセス 2.3.6 システム適格性確認テストプロセス 2.4.7 ソフトウェア適格性確認テストプロセス 4.3.2 検証 4.4.2 妥当性確認 |
No | 工程 | 成果物名 | 内容及び 納品数量 | 納品期日 | SLCP-JCF2013 の アクティビティ |
6 | 移行 | ・移行手順書 ・移行結果報告書 ・引継ぎ結果報告書 | 一式 | 令和 3 年 3 月 31 日 | 3.1.3 業務及びシステムの移行 |
7 | 教育 | ・研修用資料 | 一式 | 令和 3 年 3 月 31 日 | 3.1.5 利用者教育 6.4.2 スキルの識別 6.4.2 スキルの開発 |
8 | 運用・保守 | ・運用・保守作業報告書(月次) ・システム稼働状況報告書 ・情報システムの現況確認結果報告書 ・改善提案書 | 一式 | 厚生労働 省が別途、指定する 期日 | 3.1.1 運用の準備 3.1.4 システム運用 3.1.6 業務運用と利用者支援 3.1.7 システム運用の評価 3.1.8 業務運用の評価 2.6.1 プロセス開始の準備 2.6.2 問題把握及び修正の分析 2.6.3 修正の実施 2.6.4 保守レビュー及び/又は受入れ |
9 | クラウドサ-ビス導入 | ・機器等リスト ・納品ソフトウェア製品一式 ・ソフトウェア構成表 ・ライセンス関係資料(ライセンス証書、ライセンス種別、ライセンス数、ライセンス料等) ・導入計画書 ・導入作業手順書 ・設定作業報告書 | 一式 | 厚生労働 省が別途、指定する 期日 | 6.2.2 インフラストラクチャの確立 |
・情報抹消に係る作業実施計画書 ・情報抹消対象機器等一覧 | 一式 | 情報抹消 作業実施 日の 5 開 庁日前 | 5.2.4 プロジェクトの終了 | ||
・情報抹消に係る作業完了報告書 ・情報抹消完了機器等一覧 | 一式 | 令和 5 年 3 月 31 日 | 5.2.4 プロジェクトの終了 | ||
10 | 引継ぎ | ・最終報告書 | 一式 | 令和 5 年 3 月 31 日 | 5.2.4 プロジェクトの終了 |
No | 工程 | 成果物名 | 内容及び 納品数量 | 納品期日 | SLCP-JCF2013 の アクティビティ |
11 | その他 | ・打合せ資料 | 一式 | 会議終了 後の 5 開 庁日後 | 1.2.4 契約の実行 4.1.3 文書発行 |
・議事録 | 一式 | 会議終了 後の 5 開 庁日後 | |||
・指摘回答書 | 一式 | 指摘を受 けた日の 翌開庁日 から 2 開 庁日以内 | 6.5.2 品質管理の是正処置 | ||
・ODB 登録用シート | 一式 | 厚生労働 省が別途、指定する 期日 | 5.7.2 情報管理の実行 6.7.2 再利用資産管理プロセス | ||
・情報セキュリティ監査対応計画書 | 一式 | 厚生労働 省が別途、指定する 期日 | 5.2.1 プロジェクトの監視 | ||
・情報の返却又は廃棄若しくは抹消に係る作業実施計画書 | 一式 | 当該作業 実施日の 5 開庁日 前 | 5.2.1 プロジェクトの監視 5.2.2 プロジェクトの制御 | ||
・情報の返却又は廃棄若しくは抹消に係る作業完了報告書 | 一式 | 当該作業 実施日の 5 開庁日 後 | 5.2.1 プロジェクトの監視 5.2.2 プロジェクトの制御 |
※上記納品期限は、厚生労働省が検査を完了する最終期限であるので、概ね 10 開庁日前に提出し、納品期限までに検査に合格すること。
イ 納品方法
① 成果物は、全て日本語で作成すること。ただし、日本国においても、英字で表記されることが一般的な文言については、そのまま記載しても構わないものとする。
② 用字・用語・記述符号の表記については、「公用文作成の要領(昭和 27 年 4 月 4 日内閣
閣甲第 16 号内閣官房長官依命通知)」に準拠すること。
③ 情報処理に関する用語の表記については、原則、日本産業規格(JIS)の規定に準拠すること。
④ 成果物は紙媒体及び電磁的記録媒体(CD-R 等)により作成し、厚生労働省から特別に示す場合を除き、原則紙媒体は1部、電磁的記録媒体は 2 部を納品すること。
⑤ 紙媒体による納品について、用紙のサイズは、原則として日本産業規格 A 列 4 番とするが、必要に応じて日本産業規格 A 列 3 番を使用すること。また、バージョンアップ時等に差し替えが可能なようにバインダ方式とすること。
⑥ 電磁的記録媒体による納品について、 Microsoft Word2016 、同 Excel2016 、同 PowerPoint2016 で読み込み可能な形式、又は PDF 形式で作成し、納品すること。ただし、厚生労働省が他の形式による提出を求める場合は、協議の上、これに応じること。なお、本件受注者側で他の形式を用いて提出したいファイルがある場合は、協議に応じるものとする。
⑦ 納品後、厚生労働省において改変が可能となるよう、図表等の元データも併せて納品すること。
⑧ 成果物の作成に当たって、特別なツールを使用する場合は、厚生労働省の承認を得ること。
⑨ 成果物が外部に不正に使用されたり、納品過程において改ざんされたりすることのないよう、安全な納品方法を提示し、成果物の情報セキュリティの確保に留意すること。
⑩ 電磁的記録媒体により納品する場合は、不正プログラム対策ソフトウェアによる確認を行う等して、成果物に不正プログラムが混入することのないよう、適切に対処すること。
ウ 納品場所
原則として、成果物は 1(8)担当課室・連絡先に記載する場所において引渡しを行うこと。ただし、厚生労働省が納品場所を別途指示する場合はこの限りではない。
5. 作業の実施体制・方法に関する事項 作業実施体制
厚生労働省
全体管理組織(省PMO)
連絡・調整
政府共通プラットフォーム
担当府省
厚生労働省統合ネットワーク
関連事業者
連絡・調整
個別管理組織(PJMO)
政府共通プラットフォーム運用実施者
連絡・調整
工程管理等支援事業者
事業場公開機能に係るクラウドサービス事業者
適用徴収システム関連事業者
(現行)
適用徴収システム関連事業者
(次期)
ハードウェア・ソフトウェア導入・保守事業者
ハードウェア・ソフトウェア
導入・保守事業者
※本件受注者
運用・保守チーム
設計・開発チーム
受注者における遂行責任者
政府共通ネットワーク
関連事業者
クラウドサービスプロバイダ
システム運用事業者
システム運用事業者
更改に係る設計・開発及び
アプリケーション保守事業者
アプリケーション保守事業者
厚生労働省LANシステム
関連事業者
プロジェクトの推進体制及び本件受注者に求める作業実施体制は次の図及び表のとおりであ る。なお、本件受注者内のチーム編成については想定であり、本件受注者決定後に協議の上、見直しを行う。また、本件受注者の情報セキュリティ対策の管理体制については、作業実施体制とは別に作成する。
労働基準局 労働保険徴収課 | 労働基準局 労働保険徴収業務室 | |
本省サーバ |
拠点機器その1 |
拠点機器その2 |
拠点機器その3 |
本省サーバ |
端末機器 |
OCR機器等 |
図 5-1 作業実施体制
表 5-1 本業務における組織等の役割
No | 組織又は要員 | 役割 |
1 | 受注者における遂行責任者 | 本業務全体を統括し、必要な意思決定を行う。また、各関連する組織・部門とのコミュニケーション窓口を担う。 原則として全ての進捗会議及び品質評価会議に出席する。 |
No | 組織又は要員 | 役割 |
2 | 設計・開発チーム | 本システムに関する設計・開発、稼働環境構築、移行等のサ ービス開始までの各種作業を担う。 |
3 | 運用・保守チーム | ∙ 運用・保守作業状況の監視・監督を担うとともに、チーム間の調整を図る。 ∙ 設計・開発チームの要員が引き続き、サービス開始後、運 用・保守チームの要員となることについては差し支えない。 |
本業務実施に当たり、厚生労働省の意図しない変更が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること。また、当該品質保証体制が書類等で確認できるこ と。
本システムに厚生労働省の意図しない変更が行われる等の不正が見つかった時(不正が行われていると疑わしい時も含む)に、追跡調査や立入検査等、厚生労働省と本件受注者が連携して原因を調査・排除できる体制を整備していること。また、当該体制が書類等で確認できること。
当該管理体制を確認する際の参照情報として、資本関係・役員等の情報、本業務の実施場所、本業務従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供を行うこと。
ア 受注者における遂行責任者は、クラウドサービスを利用した Web アプリケーションシステムの設計・開発の経験を有すること。また、EVM による進捗管理に精通し、経験を有するこ
と。
イ 受注者における遂行責任者は、情報処理の促進に関する法律(昭和 45 年 5 月 22 日法律第
90 号)に基づき実施される情報処理技術者試験のうちプロジェクトマネージャ試験の合格者又は技術士(情報工学部門又は総合技術監理部門(情報工学を選択科目とする者))の資格を有すること。ただし、当該資格保有者等と同等の能力を有することが経歴等において明らかな者については、これを認める場合がある(その根拠(PDU 受講証明書等)を明確に示し、厚生労働省の理解を得ること。)。
ウ 設計・開発チームの担当者のうち、情報システムの設計・開発等の情報処理業務の経験年数が 5 年以上の者又は同等の実績を有する者を 1 名以上配置すること。
エ 設計・開発チームの担当者には、情報処理の促進に関する法律に基づき実施される情報処理技術者試験のうち、次に掲げる試験区分の合格者を 1 名以上必要な人数を含むこと。なお、同一人が全ての試験区分に合格していることを求めるものではない。
① システムアーキテクト試験
② データベーススペシャリスト試験
③ ネットワークスペシャリスト試験
オ 設計・開発チームの担当者には、情報処理の促進に関する法律(昭和 45 年 5 月 22 日法律第
90 号)第 15 条の規定に基づく情報処理安全確保支援士の登録を受けている者を 1 名以上必要な人数を含むこと。
カ 運用・保守チームの担当者には、以下のいずれかを満たす者を1名以上含むこと。
① 情報処理の促進に関する法律に基づき実施される情報処理技術者試験のうち、IT サービスマネージャ試験の合格者
② ITIL インタメディエート又はITIL エキスパートの資格保有者
本受注業務の作業場所及び作業に当たり必要となる設備、備品、消耗品等については、本件受注者の責任において用意すること。また、必要に応じて厚生労働省が現地確認を実施することができるものとする。
なお、作業場所については設計・開発実施計画書、運用・保守計画書に定め、厚生労働省の承認を得ること。また、作業場所を変更する場合には当該計画書を改訂し、事前に厚生労働省の承認を得ること。
ア 作業管理
本件受注者は、厚生労働省が承認した設計・開発実施要領、運用・保守計画書、運用手順書及び保守手順書に基づき、コミュニケーション管理、体制管理、工程管理、品質管理、リスク管理、課題管理、システム構成管理、変更管理、情報セキュリティ対策を行うこと。
イ 定例会議の実施
① 作業の進捗状況等を報告するため、厚生労働省の担当職員との会議を定期的に行うこと。また、当該会議の開催を、設計・開発実施計画書及び運用・保守計画書に記載すること。
② 当該会議の開催の都度、原則、5営業日以内に議事録を作成し、関係者に内容の確認を行った上で、厚生労働省の担当職員の承認を得ること。
ウ 情報漏洩及び作業計画の大幅な遅延対応
情報漏えい及び作業計画の大幅な遅延等の問題が生じた場合は、以下の連絡先にその問題の内容について報告すること。
(事業担当部局)
労働基準局労働保険徴収課労働保険徴収業務室システム計画係電話番号 00-0000-0000(内線 407、416、420)
(契約担当部局)
労働基準局労働保険徴収課労働保険徴収業務室管理係
電話番号 00-0000-0000(内線 402)
6. 作業の実施に当たっての遵守事項 機密保持、情報・資料の取扱い
本件受注者は、受注業務の実施の過程で厚生労働省が開示した情報(公知の情報を除く。以下同じ。)、他の契約受注者が提示及び作成した情報を、本受注業務の目的以外に使用又は第三者に開示若しくは漏えいしてはならないものとし、そのために必要な措置を講ずること。なお、厚生労働省が提供した情報、資料を第三者に開示する必要がある場合は、事前に協議の上、承認を得ること。
本件受注者は、本受注業務を実施するに当たり、厚生労働省から入手した資料等については原則として貸与によるものとし、管理台帳等により適切に管理し、かつ、以下の事項に従うこと。
ア 複製はしないこと。
イ 本件受注者組織内に移送する際は、暗号化や施錠等適切な方法により、情報セキュリティを確保すること。また、厚生労働省との調整等に必要な場合及び返却時以外は原則として、本件受注者組織外に持ち出さないこと。
ウ 個人情報等の重要な情報が記載された情報・資料に関しては、原則として社外に持ち出さないこと。
エ 本件受注者組織内で作業を行う場合には、作業を行う施設は、IC カード等電磁的管理による入退館管理がなされていること。
オ 作業を行う施設内の作業実施場所は、IC カード等電磁的管理による入退室管理がなされていること。
カ 電磁的に情報・資料を保管する場合には、本受注業務に係る体制以外の者がアクセスできないようアクセス制限を行うこと。また、アクセスログにより不審なアクセスがないかの確認を行うこと。
キ 情報・資料を保管する端末やサーバ装置等は、本件受注者の情報セキュリティポリシー等により、サイバー攻撃に備え、ウイルス対策ソフト、脆弱性対策及び検知・監視等の技術的対策が講じられ、適切に管理・運用される必要があるため、政府機関等の情報セキュリティ対策のための統一基準や厚生労働省情報セキュリティポリシーに準拠し、管理等することとし、準拠した対応ができない場合は、代替のリスク軽減策を講じ、厚生労働省の承認を得ること。
ク 用務に必要がなくなり次第、速やかに厚生労働省に返却すること。
ケ 本受注業務完了後、厚生労働省が提供した情報・資料を返却し、本件受注者において該当情報を保持しないことを誓約する旨の書類を厚生労働省へ提出すること。
コ 機密保持及び情報・資料の取扱いについて、適切な措置が講じられていることを確認するため、厚生労働省が遵守状況の報告や実地調査を求めた場合には応じること。
ア 本件受注者は、政府機関統一基準群、厚生労働省情報セキュリティポリシー及び関係規程等を遵守すること。なお、厚生労働省情報セキュリティポリシー及び関係規程等は非公表であるため、政府機関統一基準群を必要に応じ参照すること。厚生労働省情報セキュリティポリシー及び関係規程等の開示については、契約締結後に開示する。
政府機関統一基準群:xxxxx://xxx.xxxx.xx.xx/xxxxxx/xxxxxxx/xxxxx00.xxxx
イ 本受注業務の実施において、現行情報システムの設計書等を参照する必要がある場合は、作業方法等について厚生労働省の指示に従い、秘密保持契約を締結する等した上で、作業すること。
ウ 本件受注者は、本受注業務の実施において、民法、刑法、著作xx、不正アクセス行為の禁止等に関する法律、行政機関の保有する個人情報の保護に関する法律等の関連する法令等を遵守すること。
ア 情報セキュリティ管理計画書の作成
本件受注者は、本受注業務において取扱う情報について、以下の項目及び別添 1「受注者が機密保持を遵守するために講ずるべき措置」にある措置のために必要な内容を記載した情報セキュリティ管理計画書を提出し、担当職員の承認を得ること。また、厚生労働省は措置状況について、随時、実地調査できるものとする。
① 厚生労働省から提供する情報の目的外利用を禁止すること。
② 本受注業務の実施に当たり、本件受注者又はその従業員、本調達の役務の内容の一部を再委託する先、若しくはその他の者による意図せざる不正な変更が本システムの動作環境(クラウドサービス)等に加えられないための管理体制が整備されていること。
③ 本件受注者の資本関係・役員等の情報、本受注業務の実施場所、本受注業務従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供を行うこと。
④ 情報セキュリティインシデントへの対処方法が確立されていること。
⑤ 情報セキュリティ対策及びその他の契約の履行状況を定期的に確認し、厚生労働省へ報告すること。
⑥ 情報セキュリティ対策の履行が不十分である場合、速やかに改善策を提出し、厚生労働省の承認を受けた上で実施すること。
⑦ 厚生労働省が求めた場合に、速やかに情報セキュリティ監査を受入れること。
⑧ 本調達の役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるように情報セキュリティ管理計画書に記載された措置の実施を担保すること。
⑨ 厚生労働省から要保護情報を受領する場合は、情報セキュリティに配慮した受領方法に
て行うこと。
⑩ 厚生労働省から受領した要保護情報が不要になった場合は、これを確実に返却、又は抹消し、書面にて報告すること。
➃ 本件受注者は、厚生労働省から提供した資料又は厚生労働省が指定した資料の履行完了後の取扱い(返却、削除等)について、厚生労働省の指示に従うこと。
⑫ 本受注業務において、情報セキュリティインシデントの発生又は情報の目的外利用等を認知した場合は、速やかに厚生労働省に報告すること。
イ 機器等リストの提出
本受注業務において導入する通信回線装置、サーバ装置、端末、複合機、特定用途機器、ソフトウェア、周辺機器及び外部電磁的記録媒体は、製造業者名、製造業者の法人番号、製品名、型番等について、情報セキュリティ管理計画書の一部として、様式 7 に準拠したリスト(以下
「機器等リスト」という。)により提出すること。クラウドサービスについて機器等リストの提出が困難な場合には、その理由とクラウドサービス名を提示すること。提出された機器等リストについて、厚生労働省がサプライチェーン・リスクに係る懸念が払拭されないと判断した場合には、当該リスクに対応するため、代替品又はリスク低減対策の提出を求めることがあるので留意すること。なお、機器等リストの機器等を変更する場合には、事前に厚生労働省に申請し、承認を得ること。
ア 本件受注者は、本業務で知り得た情報を適切に管理するため、次に掲げる体制を確保し、当該体制を確保していることを証明するため、「情報取扱者名簿」(本受注業務に従事する者のうち、保護を要する情報を取り扱う可能性のある者の名簿をいう。業務の一部を再委託する場合は再委託先も含む。)及び「情報セキュリティを確保するための体制を定めた書面(情報管理体制図、情報管理に関する社内規則等)」(本受注業務の一部を再委託する場合は再委託先も含む。)を提出すること。
(確保すべき体制)
① 情報取扱者は、本受注業務の遂行のために最低限必要な範囲の者とすること。
② 本件受注者が本受注業務で知り得た情報について、厚生労働省が承認した場合を除き、本件受注者の役員等を含め、情報取扱者名簿に記載のある者以外の者に伝達又は漏えいされないことを保証する履行体制を有していること。
③ 本件受注者が本受注業務で知り得た情報について、厚生労働省が承認した場合を除き、本件受注者の親会社、地域統括会社、ブランド・ライセンサー、フランチャイザー、コンサルタントその他の受注者に対して指導、監督、業務支援、助言、監査等を行う者を
含め、本件受注者以外の者に伝達又は漏えいされないことを保証する履行体制を有していること。
※ 「情報取扱者名簿」には、情報管理責任者(本受注業務の情報取扱いの全てに責任を有する者)、情報取扱管理者(本受注業務の進捗管理等を行い、保護を要する情報を取り扱う可能性のある者)、その他保護を要する情報を取り扱う可能性のある者について、氏名、住所、生年月日、所属部署、役職等を、本受注業務の一部を再委託する場合は再委託先も含めて、記載すること。
・
イ 本件受注者は、アの「情報取扱者名簿」及び「情報セキュリティを確保するための体制を定めた書面(情報管理体制図、情報管理に関する社内規則等)」に変更がある場合は、あらかじめ厚生労働省に申請を行い、承認を得なければならない。
ウ 本件受注者は、本受注業務で知り得た情報について、厚生労働省が承認した場合を除き、本件受注者の役員等を含め、情報取扱者以外の者に伝達又は漏えいしてはならない。本件受注者は、本受注業務で知り得た情報について、厚生労働省が承認した場合を除き、本件受注者の親会社、地域統括会社、ブランド・ライセンサー、フランチャイザー、コンサルタントその他の受注者に対して指導、監督、業務支援、助言、監査等を行う者を含め、受注者以外の者に伝達又は漏えいしてはならない。
ア 本件受注者は、本受注業務を終了する際には、機器等に格納される情報については、全ての情報を復元できないように抹消することとし、その方法(情報の消去、除去若しくは物理的破壊)等について、情報抹消に係る作業実施計画書(様式 1)及び情報抹消対象機器等一覧 (様式2)を作成し、厚生労働省の承認を得たうえで速やかに実施すること。
イ 実施後においては情報抹消に係る作業完了報告書(様式3)及び情報抹消完了機器等一覧
(様式4)を厚生労働省に提出すること。
ウ 作業実施にあたっては、厚生労働省の担当者が可能な限り立ち会うので配慮すること。な お、本件受注者の都合により立ち会うことができない場合には、その理由も併せて様式 1 に記載すること。
エ 本件受注者は、事業担当部局から提供した資料又は事業担当部局が指定した資料の履行完了後の取扱い(返却、削除等)について、本仕様書の定めの他、事業担当部局の指示に従うこと。
オ 上記手順は契約期間中の故障等による機器等の交換においても準用する。
ア 本調達に係る業務の遂行における情報セキュリティ対策の履行状況を確認するために、厚生労働省が情報セキュリティ監査の実施を必要と判断した場合は、当省がその実施内容(監査内容、対象範囲、実施者等)を定めて、情報セキュリティ監査を行う(当省が選定した事業者による外部監査を含む。)。
イ 本件受注者は、厚生労働省から監査等の求めがあった場合に、速やかに情報セキュリティ監査を受け入れる部門、場所、時期、条件等を「情報セキュリティ監査対応計画書」等により提示し、監査を受け入れること。
ウ 本件受注者は自ら実施した外部監査についても厚生労働省へ報告すること。
エ 情報セキュリティ監査の実施については、これらに記載した内容を上回る措置を講ずることを妨げるものではない。
オ 本受注業務履行後において当該業務に関する情報漏えい等が発生した場合であっても、監査を受け入れること。
7. 成果物の取扱いに関する事項 知的財産権の帰属
ア 調達に係り作成・変更・更新されるドキュメント類及びプログラムの著作権(著作xx第 21 条から第 28 条までに定める全ての権利を含む。)は、本件受注者が本システム開発の従前から権利を保有していた等の明確な理由により、あらかじめ書面にて権利譲渡不可能と示されたもの以外、厚生労働省が所有する現有資産を移行等して発生した権利を含めて全て厚生労働省に帰属するものとすること。また、厚生労働省は、納入された当該プログラムの複製物を、著作xx第 47 条の 3 の規定に基づき、複製、翻案すること及び当該作業を第三者に委託し、当該者に行わせることができるものとする。
イ 本件に係り発生した権利については、本件受注者は著作者人格権を行使しないものとすること。
ウ 調達に係り発生した権利については、今後、二次的著作物が作成された場合等であっても、本件受注者は原著作物の著作権者としての権利を行使しないものとすること。
エ 調達に係り作成・変更・修正されるドキュメント類、プログラム等に第三者が権利を有する著作物(以下「既存著作物等」という。)が含まれる場合、本件受注者は当該既存著作物等の使用に必要な費用負担や使用許諾契約等に係る一切の手続を行うこと。この場合、本件受注者は、事前に当該既存著作物の内容について厚生労働省の承認を得ることとし、厚生労働省は、既存著作物等について当該許諾条件の範囲で使用するものとする。
オ 調達に係り第三者との間に著作権に係る権利侵害の紛争が生じた場合には、当該紛争の原因が専ら厚生労働省の責めに帰す場合を除き、本件受注者の責任、負担において一切を処理すること。この場合、厚生労働省は係る紛争の事実を知った時は、本件受注者に通知し、必要な範囲で訴訟上の防衛を受注者に委ねる等の協力措置を講ずる。
ア 本件受注者は、本調達仕様書「7.(3)検査」に規定する納品検査に合格した成果物を納品した後において、厚生労働省が契約不適合を知った時から 1 年以内に(数量又は権利の不適合については期間制限なく)その旨を本件受注者に通知した場合は、次の①、②のいずれかを選択して請求することができ、本件受注者はこれに応じなければならない。なお、厚生労働省は、本件受注者に対して②を請求する場合において、事前に相当の期間を定めて本項の履行を催告することを要しないものとする。
① 厚生労働省の選択に従い 、厚生労働省の指定した期限内に、本件受注者の責任と費用負担により、他の良品との引換え、修理又は不足分の引渡しを行うこと。
② 直ちに代金の減額を行うこと。
イ 厚生労働省は、前項の通知をした場合は、上記①、②に加え、本件受注者に対する損害賠償請求及び本契約の解除を行うことができる。
ウ 本件受注者が契約不適合について知り若しくは重大な過失により知らなかった場合、又は契約不適合が重大である場合は、上記アの通知期間を経過した後においてもなお上記ア、イを適用するものとする。
ア 本調達仕様書「4.(2)ア 成果物」に則って、成果物を提出すること。その際、厚生労働省の指示により、別途品質保証が確認できる資料を作成し、成果物と併せて提出すること。
イ 検査の結果、成果物の全部又は一部に不合格品を生じた場合には、本件受注者は直ちに引き取り、必要な修復を行った後、指定した日時までに修正が反映された全ての成果物を納入すること。
ウ 本調達仕様書「4.(2).ア 成果物」に依る以外にも、必要に応じて成果物の提出を求める場合があるので、作成資料は常に管理し、最新状態に保っておくこと。
8. 入札参加資格に関する事項 入札参加要件
ア 公的な資格や認証等の取得
① 「プライバシーマーク付与認定」、「ISO/IEC27001 認証(国際標準)」、「JISQ27001 認証(日本産業規格)」のうち、いずれかの認証を受けていること。なお、「ISO/IEC27001 認証(国際標準)」、「JIS Q 27001 認証(日本産業規格)」については、本業務を実施する組織において認証を取得していること。
② 利用する予定のクラウドサービスを競争参加資格確認関係書類に明示し、当該クラウドサービスが本調達仕様書に示す各要件を満たすものであることをあらかじめ担保すること。なお、ここでいう「利用」とは、本情報システムに関する情報資産を取り扱う業務一般の
ことを言い、本番環境におけるリリースに限定しない。また、要件とは次のいずれかの認証を取得していること。
(ア)ISO/IEC 27017:2015 認証
(イ)CS ゴールドマーク
イ 競争参加資格等
① 予算決算及び会計令(以下「予決令」という。)第 70 条の規定に該当しない者であること。なお、未xx者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。
② 予決令第 71 条の規定に該当しない者であること。
③ 令和 01・02・03 年度(平成 31・32・33 年度)厚生労働省競争参加資格(全省庁統一)において、「役務の提供等」のうち営業品目が「情報処理」又は「ソフトウェア開発」で「A」又は「B」の等級に格付けされている者であること。
④ 厚生労働省から指名停止を受けている期間でないこと。
⑤ 資格審査申請書又は添付書類に虚偽の事実を記載していないと認められる者であること。
⑥ 経営の状況又は信用度が極度に悪化していないと認められる者であること。
⑦ 入札に参加しようとする者は、厚生労働省が別に指定する暴力団等に該当しない旨の誓約書を提出すること。入札に参加した者が、誓約書を提出せず、又は虚偽の誓約をし、若しくは誓約書に反することとなったときは、当該者の入札を無効とする。
ウ 受注実績
以下に示す全ての実績を有すること。
① クラウドサービスを利用した Web アプリケーションシステムの設計・開発の実績を過去 3年以内に有すること。
② インターネットを介した不特定多数の利用者が想定される Web アプリケーションシステムの設計・開発の実績を過去 3 年以内に有すること。
③ スマートフォンからの利用を想定した Web アプリケーションシステムの設計・開発の実績を過去 3 年以内に有すること。
④ クラウドサービスを利用した Web アプリケーションシステムの運用・保守の実績を過去 3年以内に有すること。
エ 複数事業者による共同入札
① 複数の事業者が共同入札する場合、その中から全体の意思決定、運営管理等に責任を持つ共同入札の代表者を定めるとともに、本代表者が本調達に対する入札を行うこと。
② 共同入札を構成する事業者間においては、その結成、運営等について協定を締結し、業務の遂行に当たっては、代表者を中心に、各事業者が協力して行うこと。事業者間の調整事
項、トラブル等の発生に際しては、その当事者となる当該事業者間で解決すること。また、解散後の契約不適合責任に関しても協定の内容に含めること。
③ 共同入札を構成する全ての事業者は、本入札への単独入札又は他の共同入札への参加を行っていないこと。
④ 共同入札を構成する全ての事業者は、受注実績を除く全ての応札条件を満たすこと。
オ 厚生労働省所管法令の遵守に関する要件
① 過去 1 年以内に厚生労働省所管法令違反により行政処分を受けていないこと。ただし、次の各号に掲げる労働基準関係法令の違反により労働基準監督機関から使用停止等命令を受けたが、是正措置を行い「使用停止等命令解除通知書」を受理している場合には、この限りではない。
(ア)労働基準法
(イ)労働安全衛生法 (ウ)最低賃金法
(エ)賃金の支払の確保等に関する法律 (オ)家内労働法
(カ)作業環境測定法 (キ)じん肺法
(ク)炭鉱災害による一酸化炭素中毒症に関する特別措置法
② 過去 1 年以内に厚生労働省所管法令違反により送検され、この事実を公表されていないこと。
③ 過去 1 年以内に厚生労働省所管法令に基づく公表制度により、又は違法な長時間労働や過労死等が複数の事業場で認められた企業として、平成 29 年 1 月 20 日付け基発 0120 第 1号厚生労働省労働基準局長通達「違法な長時間労働や過労死等が複数の事業場で認められた企業の経営トップに対する都道府県労働局長等による指導の実施及び企業名の公表について」記 3、平成 31 年 1 月 25 日付け基発 0125 第 1 号「裁量労働制の不適正な運用が複数の事業場で認められた企業の経営トップに対する都道府県労働局長による指導の実施及び企業名の公表について」記の 3 に基づく企業名の公表をされていないこと。
④ 次の各号に掲げる制度が適用される者にあっては、この入札の入札書提出期限の直近 2 年間(オ及びカについては 2 保険年度)の保険料について滞納がないこと。
(ア)厚生年金保険
(イ)健康保険(全国健康保険協会が管掌するもの) (ウ)船員保険
(エ)国民年金
(オ)労働者災害補償保険 (カ)雇用保険
カ 履行可能性審査に関する要件
本受注業務及び情報セキュリティ管理の履行可能性を証明するため、以下の書類を提出すること。なお、提出された計画書(案)において履行可能性を認めることができないと厚生労働省が判断した場合は、入札に参加することができない。
① WBS 手法を用いて、作業工程ごとに必要なタスクを分類・定義し、タスクごとに必要となる作業量を記載するとともに、それを実現するためのスケジュール、進捗管理基準、体制等を含む実施計画書(案)
② 本調達仕様書に基づいた運用保守業務実施方針書(案)
なお、IT サービスマネジメントのフレームワーク(ITIL 等)を参考に作成すること。
③ 「6.(3)情報セキュリティ管理」に基づいた情報セキュリティ管理計画書(案)
なお、本受注業務で取扱う情報等の特性を十分に踏まえて作成したものであること。
本システムの調達のxx性を確保するため、応札希望者は、以下に挙げる事業者並びにこの事業者の「財務諸表等の用語、様式及び作成方法に関する規則」(昭和 38 年大蔵省令第 59 号)第 8条に規定する親会社及び子会社、同一の親会社を持つ会社並びに委託先事業者等の緊密な利害関係を有する事業者でないこと。
① 「平成 30~32 年度厚生労働省全体管理組織(PMO)の支援【調達支援等】一式」の受注者
② 「労働保険適用徴収システムに係る工程管理等支援業務」の受注者
9. 再委託に関する事項
ア 本件受注者は、本受注業務の全部又は受注業務における総合的な企画及び判断並びに業務遂行管理部分を第三者(受注者の子会社(会社法第2条第3号に規定する子会社をいう。)を含む。)に再委託することはできない。これ以外の本受注業務の一部について再委託を希望する場合、本件受注者は、再委託を行う前に再委託となる対象業務の範囲・規模・内容を明確化した上で、厚生労働省と協議し、契約書にて定める内容について書面による承認を得ること。また、本事業の契約金額に占める再委託契約金額の割合は、原則 2 分の 1 未満とすること。
イ 本件受注者からの直接の委託であるか否かにかかわらず本業務の一部を第三者に委託する場合は、委託する全ての第三者(以下「再委託先等」という。)について、その最終的な責任を受注者が負うこと。本件受注者は、知的財産権、情報セキュリティ(機密保持及び遵守事項)、xxxxx等に関して本調達仕様書が定める本件受注者の債務を、再委託先等も負うよう必要な処置を実施すること。
ウ 本仕様書 8(1)オ④を満たさない事業者は、本項における再委託先等となることはできない。
エ 本仕様書 8(2)に該当する事業者は、本項における再委託先等となることはできない。
オ 再委託先等についても別紙 1 に示す要件定義書に記載した情報セキュリティに関する事項を遵守させること。
カ 再委託する場合でも、プロジェクト責任者については本件受注者から要員を配置すること。キ 再委託先等について、資本関係・役員等の情報、再委託業務の実施場所、再委託業務従事者
の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供を行うとともに、再委託業務に対して意図せざる変更が加えられないための十分な管理体制がとられることを報告し、係る管理体制について厚生労働省の確認(立入調査)を随 時、容易に受け入れられること。
本受注業務の一部を再委託する場合は、あらかじめ再委託の相手方の商号又は名称及び住所並びに再委託を行う業務の範囲を記載した「履行体制図」を提出し、再委託の必要性及び契約金額について記載した「再委託に係る承認申請書」を提出し、厚生労働省の承認を受けること。な お、「再委託に係る承認申請書」においては、再委託する対象業務を明確にすること。また、当初の申請内容に変更が生じた場合は「再委託に係る変更承認申請書」を提出すること。
10. その他特記事項
ア 本件受注後に調達仕様書(「別紙 1 要件定義書」を含む)の内容の一部について変更を行おうとする場合、その変更の内容、理由等を明記した書面をもって厚生労働省に申し入れを行うこと。
イ 本仕様書に記載の事項に疑問が生じた場合は、厚生労働省との協議により解決すること。本仕様書に記載がない事項で、本件の遂行に必要と認められるものについては、厚生労働省と本件受注者の間で協議の上、本件受注者の責任と負担の下に実施すること。
ウ 本件受注者、厚生労働省、関係事業者等の間における連絡手段として、メーリングリスト又はインターネットを利用したグループウェアを用意すること。グループウェアは、最低限下記の機能があることを条件とする。また、本件受注者は当該連絡手段の運用管理要領を厚生労働省情報セキュリティポリシー等に従い作成した上で、厚生労働省の承認を得ること。なお、各利用者間でアクセス等の区分を設けるとともに、公開設定、権限設定等に誤りがないよう十分に注意すること。さらに、ユーザ ID の発行、削除、棚卸等に係る管理、四半期等での定期的な監査を実施すること。
① フォルダごとの管理
② ファイルのダウンロード、アップロード
③ ユーザ権限設定(参照のみ、書き込み可など)
④ データ交換機能
⑤ ファイルの一括 DL
⑥ ファイルのバックアップ機能
エ クラウドサービスプロバイダと契約する際には、本件受注者とクラウドサービスプロバイダとの間で書面による契約を締結すること。その際には、本調達にて示した仕様、要件等を満足するような契約を締結すること。
オ クラウドサービス利用料金の支払いは、本件受注者が行うこと。事前にクラウドサービス利用料金を試算し、適切な金額を見積った上で入札すること。
ア 調達に係る納入物については、「国等による環境物品等の調達の推進等に関する法律(グリーン購入法)」に基づいた製品を可能な限り導入すること。
イ 導入する機器については、性能や機能の低下を招かない範囲で、消費電力節減、発熱対策、騒音対策等の環境配慮を行うこと。
ア 本件受注者は、デジタル・ガバメント推進に係る政府の各種施策・方針等(今後出されるものを含む)に従うこと。
イ 厚生労働省全体管理組織(PMO)が担当課室に対して指導、助言等を行った場合や工程管理等支援業者が担当課室に対して助言等を行った場合には、本件受注者もその方針に従うこと。
ウ 厚生労働省情報化統括責任者補佐官(厚生労働省 CIO 補佐官)、厚生労働省情報化専任審議官補佐官(厚生労働省副 CIO 補佐官)、厚生労働省全体管理組織(PMO)、厚生労働省個別管理組織(PJMO)から指摘等があった場合は、指摘された事項について検討を行い、指摘回答書等を作成し、必要な対応を実施すること。
エ 工程管理等支援事業者から指摘等があった場合は、指摘された事項について検討を行い、厚生労働省に報告すること。
オ 本件受注者は現行システムで稼働しているプログラム及び設計書の参照が可能であり、これ以外に本対応を行う上で必要であると厚生労働省が判断した資料については、閲覧を許可する。なお、必要となる質問や資料入手等は、必ず厚生労働省労働基準局労働保険徴収課労働保険徴収業務室を窓口として実施すること。
カ 本受注業務の実施に当たって、発生した課題については厚生労働省に報告し、関係者と必要な協議を行い、解消すること。
キ 本受注業務において厚生労働省と打合せ等を実施する場合は、文書により説明等を実施し、また、その際の会議議事録を作成し、厚生労働省に提出すること。
ク 作業実施に関する詳細については、厚生労働省との密接な協議に基づき行うこととし、質疑あるいは協議の結果はその都度、文書で提出すること。
ケ 厚生労働省の指示に従い、作業の進捗状況・予定を文書によって説明することとし、その都度、厚生労働省の承認を得て作業を進めること。
コ 作業実施に当たり必要となる備品、什器、消耗品等については、本件受注者の負担において準備すること。
サ 本受注業務の内容を変更する必要が生じたときは、厚生労働省と本件受注者が協議すること。
シ 成果物の納品に際し、担当課室から別途様式が提示された場合は、その指示に従うこと。ス 費用内訳書における引継ぎ等に係る経費について、その業務の必要性が全くないことが明
らかな場合は減額する。
11. 附属文書
「別紙 1 要件定義書」を参照すること。
入札期間中に開示予定の資料は、「別紙 2 応札希望者に開示する資料」を参照すること。
別紙 2 に示す資料の閲覧を希望する場合は、閲覧希望日の前開庁日 15 時までに以下の事項を連絡し、閲覧日時を調整の上、閲覧日当日に守秘義務に関する誓約書を提出した後、閲覧を許可する。
・会社名
・閲覧者数、閲覧者全員の氏名及び代表者の連絡先
・閲覧希望日及び希望時間帯(複数提示すること)
閲覧に際しては、資料等の撮影、機器を用いた複写及び閲覧場所での携帯電話等の通信機器の使用を禁止する。また、原則として閲覧資料の借用はできない。
資料閲覧は厚生労働省上石神井庁舎内の指定する場所にて行うものとし、閲覧が可能な期間
は、公示期間中の開庁日であり、閲覧可能な時間帯は、10:00~17:00(12:00~13:00 は除く)である。なお、閲覧日時は諸事情により、厚生労働省にて指定する場合もあるので留意すること。
資料閲覧についての連絡先は本仕様書 1(8)を参照すること。
契約締結後に開示する資料は以下のとおり。
・厚生労働省セキュリティポリシー及び関係規程
・現行システムに係る設計書等
別紙 1
労働保険適用事業場検索システムに係る設計・開発業務及び運用保守業務等一式
要件定義書
令和2年6月
厚生労働省労働基準局労働保険徴収課
目 次
1. 調達案件名
労働保険適用事業場検索システムに係る設計・開発業務及び運用保守業務等一式
2. 業務要件の定義
国民向け情報提供業務は、表 2-1 に示す体制で実施する。
表 2-1 実施体制概要
実施体制 | 業務概要 | 補足 |
労働保険適用徴収システム運用事業者 | 適用徴収システムにおいて、公開用適用事業場データを出力し、厚生労働省職員に納品する。 | |
厚生労働省職員 | 公開用適用事業場データを適用事業場検索システム運用保守担当者に受け渡す。 適用事業場検索システムの画面に表示するお知らせの内容を起案し、適用事業場検索システム運用保守担当者に掲載を依頼する。 | |
適用事業場検索システム運用保守担当者 | 本システムのサービスを停止し、公開用適用事業データを更新の上、再度、サービスを開始する。 稼働状況等を取り纏め、厚生労働省に報告する。 厚生労働省からの依頼に基づき、お知らせの内容を更新する。 |
イ 業務フロー図
業務フロー図を、以下に示す。
将来
国民向け情報提供
DVD
受領書
(提示)
受領
引渡し
保管
受領
終了
要なセキュリティ対策を講じた搬送サービスを
受領書
者ス
当シ
担索
守検
保場
用業
終了
保管
返却
搬送
サービス
再開
データ
更新
サービス
停止
搬送
受領
運事
ム用
DVD
(返却)
利用すること。)
テ適
媒体の搬送は本件受注者の役務に含む。(必
DVD
厚生労働省職員
開始
引渡し
データ出力
用適事用業徴者収
運
ム険
テ保
ス働
シ労
媒体の搬送は本件受注者の役務に含む。(必要なセキュリティ対策を講じた搬送サービスを利用すること。)
図 2-1 業務フロー(国民向け情報提供)
ウ 入出力情報項目及び取扱量
入出力情報項目及び取扱量を表 2-2 に示す。
表 2-2 入出力情報項目
取扱情報 | 項目 | 入出力区分 | 取扱量 |
公開用適用事業場情報データ | 府県コード、事業主名、事業主名カナ、事業主郵便番号、事業場住所、事業場住所カナ、保険種類、データ作成年月 日、公開用法人番号等 | 出力(適用徴収システム) 入力(適用事業場 検索システム) | 約 330 万件 |
ア 利用者
本システムの利用者を表 2-3 に示す。
表 2-3 利用者の種類
利用者 | 利用者の種類 | 主な 利用拠点 | 主な 利用時間帯 | 利用者数 | |
サービス 利用者 | 情報システ ムの利用者 | ||||
一般国民 | ○ | ― | 全国 | 365 日 24 時間(メンテナンス等によるサイト閲覧できない時 間帯を除く) | ― |
適用事業場検索システム運用・保守事業者 (本件受注者) | ― | ◯ | 厚生労働省に承認を受けた作業場所 | ― | ― |
厚生労働省職員 | ― | ― | センター拠点 | ― | ― |
イ 処理件数
主な利用者は一般国民であり、その利用件数は表 2-4 のとおりである。ただし、時間帯ごとにアクセス件数の偏りがあるため、設計に際しては実際の測定結果を記載している現行システムのシステム稼働状況報告書を参照すること。
表 2-4 WEB アクセス件数
項目 | 処理件数 | 補足 | |
定常時 | ピークの特性 | ||
Web アクセス数 | 約 40,000 件/日 | ― | ※令和元年 9 月度の最大値 |
毎月、月初に公開データを更新する。データ更新作業は、午前中の時間帯を目途として、事業場検索サービスを停止して実施する。
表 2-3 に示す主な利用拠点を参照すること。ただし、本システムは、本調達仕様で示すセキュリティ要件及び本調達仕様を満たすクラウド環境であること。
効果を測定するための指標を表 2-5 に示す。
表 2-5 管理すべき指標
指標 | 計算式 | 単位 | 目標値 | 計測方法 | 計測 周期 |
運用コスト削減額 | 現行システムの年間運用コスト(2019 年度) -新システムの年間運用コ スト(2021 年度) | ― | 非開示 | 契約額から算出する。 | 年次 |
以下の機能を情報システム化の対象とする。
表 2-6 情報システム化の範囲
情報システムの機能 | 補足 | |
公開用適用事業場検索 | 適用事業場情報をインターネット上に公開するための表示機能。 | ― |
公開用適用事業データ登 録 | 公開する適用事業場情報を更新するための機能。 | |
お知らせ登録 | 適用事業場の利用画面に掲載するお知らせ内容を変更するための 機能。 | |
3. 機能要件の定義
業務要件に基づき、現時点で必要と考えられる機能(以下「想定機能」という。)は以下のとおり。本件受注者は、想定機能を踏まえ、機能及びその実装の方法(機能の単位、画面構成・遷移等を含む。)等を具体化し、厚生労働省の承認を得ること。その際、他の方法で実質的に想定機能の一部又は全部を代替可能な場合(外部サービスの利用、ノンプログラミングによる画面生成等プロトタイピング用のツール等を採用する場合など、既存の機能・サービスで置き換えることが可能な場合を含む。)には、対象となる想定機能が、実質的に代替可能であることを客観的かつ具体的に確認できること。
表 3-1 機能一覧
No. | 機能 ID | 機能分類 | 機能名 | 機能概要 | 処理 方式 | 利用者 区分 | 現状の機能 との差異 | 補足 | ||
入力 | 処理 | 出力 | ||||||||
1 | D0101 | 事業場公開 | 公 開 用 適 用 事 業 場 検 索 | 検 索 条件 | 適用事業場情報をインターネット上に公開するための表示機能である。 公開用適用事業場情報管理テーブルからお知らせ、利用方法の情報等を取得し て、検索条件を入力するための画面に表示する。 検索条件を入力するための画面で入力された検索条件をもとに公開用適用事業場情報テーブルから適用事業場の情報を検索し、検索結果を一覧表形式で表示す る。 | お 知 ら せ、検索結果 | オンライン | イ ン タ ー ネ ッ ト 経 由 で ア ク セ ス す る 利 用 者 | スマートフ ォン、タブレット等から の利用を想 定した画面 設計(レスポンシブデザ イン)とする。 | ― |
2 | ― | 事業場公開 | 公 開 用 適 用 事 業 デ ー タ登録 | 公 開 用 適 用 事 業 デ ータ | 公開用適用事業場情報テーブルを公開用適用事業データ CSV形式ファイルに基づき更新する。 | ― | バッチ | 本 件 受 注者 | 簡易にメン テナンスで きるよう機能化・手順化する。 | 新規 |
3 | ― | 事業場公開 | お 知 ら せ登録 | お 知 らせ | 公開用適用事業場情報管理テーブルのお知らせ、利用方法の情報等を変更する。 | ― | バッチ | 本 件 受 注者 | 簡易にメン テナンスで きるよう機能化する。 | 新規 |
ア 画面出力イメージ
業務要件に基づく画面出力イメージは以下のとおり。本件受注者は、本イメージを参考としつつ、下記の各点に留意して適切な画面設計を行うこと。
管理者と一般国民利用者では業務に係る習熟度や IT リテラシー等に差があることを踏まえ、合理的な範囲で、利用者の区分に応じて画面設計の方針を変えることは差し支えない。
利用環境の制約、ソフトウェアのバージョンアップ等に対する保守工数の増加等につながることから、原則として過度なレイアウトの指定は行わないこと。
スマートフォン、タブレット等利用者の端末の画面サイズが一定でない可能性に留意し、レスポンシブ WEB デザインを前提とした画面設計とすること。
都道府県 (必須選択) | |||
※ 事業主名 (全角漢字入力) | |||
※ 所在地 (全角漢字入力) | |||
※ 法人番号 (半角数字入力) | |||
漢字検索 カナ検索
※ 事業主名、法人番号、所在地のいずれか一つの項目に必ず入力してください
設定クリア
検索実行
検索結果件数が最大件数を超えました。
検索結果:◯件
検索結果は最大件数まで表示し、スクロール可能とする。
閉じる
労働保険適用事業場検索 ×
×
―
・
・
・
法人番号欄
には、番号の
みを表示する。
1234567890123
適用状況
所在地
法人番号
事業主名
(お知らせ)
令和2年1月31日午後8時から令和2年2月1日午前0時までは、保守作業のため、ご利用いただくことはできませんので、ご了承ください。
労働保険適用事業場検索
図 3-1 画面イメージ
イ 画面一覧、画面概要、画面入出力要件・画面設計要件
業務要件に基づく画面一覧は以下のとおり。運用等の各種設計を踏まえて、必要な画面は追加すること。
表 3-2 画面一覧
No. | 画面 ID | 画面 分類 | 画面名 | 画面概要 | 画面入出力要件 | 画面設計 要件 | 該当機能 | 利用者 区分 | 補足 |
1 | GM01 | 検索画 | 公開用労 | お知らせを | ●入力項目: | WEB ブラ | 公開用適 | 一般国 | |
面 | 働保険適 | 表示する。 | 検索条件(xx | ウザで表 | 用事業場 | 民 | |||
用事業場 | 検索条件を | 府県、事業主 | 示可能で | 検索 | |||||
検索画面 | 入力し、 | 名、所在地、法 | あるこ | ||||||
(GM01) | 検索結果を | 人番号) | と。 | ||||||
表示する。 | ●出力項目: | ||||||||
事業主名、法人 | |||||||||
番号、所在地、 | |||||||||
適用状況 |
ウ 画面遷移の基本的考え方
原則、画面を更新して、表示すること。
公開用労働保険
適用事業場検索
検索実行
図 3-2 画面遷移図
想定する入出力帳票は無い。
本システムは、適用徴収システムから出力される以下のファイルを取込み、インターネット上で公開する。ただし、公開前に以下のファイルに含まれる労働保険番号は削除すること。なお、運用設計において、削除方法及び削除のタイミングを決定する場合は、厚生労働省の承認を得ること。
表 3-3 ファイル一覧
No. | ファイル ID | ファイル 名 | ファイル概要 | 入出力 区分 | ファイ ル形式 | 該当機能 | 利用者 区分 |
1 | LICD0102F01 | 公開用適用事業場情報データ | 適用徴収システムから出力される公開用の事業 場情報。 | 入力 | CSV ファイル (可変 長) | 公開用適用事業データ登録 | 本件受注者 |
本システムで使用するデータについては、上記(4)に示すファイルに格納されたデータとなる。当該データについては、データベース設計書のうち適用事業場公開データ関連の資料を参照すること。
本システムは、適用徴収システムから出力されるファイルのオフライン連携以外に連携する外部システムはない。
4. 非機能要件の定義
ユーザビリティ及びアクセシビリティに関する事項ア 情報システムの利用者の種類、特性
本システムの利用者の種類、特性を表 4-1 に示す。
表 4-1 利用者の種類、特性
No | 利用者区分 | 利用者の種類 | 特性 | 補足 |
1 | インターネット経由でアクセスする利用 者 | 公開された労働保険適用事業場の情報を参照する。 | 一般の国民が利用者となるため、リテラシーは様々で ある。 | パソコン、スマートフォンから利用を想定。 |
No | 利用者区分 | 利用者の種類 | 特性 | 補足 |
2 | 本件受注者 | 本システムのデータ更新等の運用・保守作業を実施する。 | 高い専門性を有している。 | 別の事業者が管理することになった場合を想定して分かりやすいユーザインタフェースと すること。 |
3 | 厚生労働省職員 | 厚生労働省の適用徴収システムを運用管理する担当部署の職員。基本的に本システムについて直接、運用・保守作業を実施することはな い。 | 一定の PC 操作リテラシーを有している。 | 職員によって経験年数に差異があり、 IT リテラシーの水準も差異がある。 |
イ ユーザビリティ要件
本システムにおけるユーザビリティ要件を表 4-2 に示す。
表 4-2 ユーザビリティ要件一覧
No | ユーザビリティ分類 | ユーザビリティ要件 | 補足 |
1 | 画面の構成 | ⮚ 何をすればよいかが見て直ちに分かるような画面構成にすること ⮚ 無駄な情報、デザイン及び機能を排し、簡潔で分かりやすい画面にすること ⮚ 十分な視認性のあるフォント及び文字サイズを用いること ⮚ 画面の大きxx位置の変更ができること | |
2 | 操作方法の分かりやすさ | ⮚ 無駄な手順を省き、最小限の操作、入力等で利用者が作業できるようにすること ⮚ 画面上で入出力項目のコピー及び貼付けができること ⮚ 操作の実施状況によっては、ショートカットや代替入力方法が用意されること(例えば、片手だけで主要な操作が完了することが求められたり、マウスを利用す ることが困難であったりする場合が考えられる) |
No | ユーザビリティ分類 | ユーザビリティ要件 | 補足 |
3 | 指示や状態の分かりやすさ | ⮚ 操作の指示、説明、メニュー等には、利用者が正確にその内容を理解できる用語を使用すること ⮚ 必須入力項目と任意入力項目の表示方法を変えるなど各項目の重要度を利用者が認識できるようにすること ⮚ システムが処理を行っている間、その処理内容を利用 者が直ちに分かるようにすること | |
4 | エラーの防止と処理 | ⮚ 利用者が操作、入力等を間違えないようなデザインや案内を提供すること ⮚ 入力内容の形式に問題がある項目については、それを強調表示する等、利用者がその都度その該当項目を容易に見つけられるようにすること ⮚ エラーが発生したときは、利用者が容易に問題を解決できるよう、エラーメッセージ、修正方法等について、 分かりやすい情報提供をすること | |
5 | ヘルプ | ⮚ 利用者が必要とする際に、ヘルプ情報やマニュアル等 を参照できるようにすること |
ウ アクセシビリティ要件
本システムにおけるアクセシビリティ要件を表 4-3 に示す。
表 4-3 アクセシビリティ要件一覧
No | アクセシビリティ分類 | アクセシビリティ要件 | 補足 |
1 | 基準等への準拠 | ⮚ 広く国民に利用され公益性の高い情報システムであるため、日本産業規格 JIS X8341 シリーズ、「みんなの公共サイト運用モデル」(総務省)、厚生労働省ウェブアクセシビリティ方針1等に従い、アクセシビリ ティを確保した設計・開発を行うこと | |
2 | 指示や状態の分かりやすさ | ⮚ 色の違いを識別しにくい利用者(視覚障害のかた等)を考慮し、利用者への情報伝達や操作指示を促す手段はメッセージを表示する等とし、可能な限り色のみで 判断するようなものは用いないこと |
1 厚生労働省 WEB サイト参照(xxxxx://xxx.xxxx.xx.xx/xxxxxxxxxxxxx/xxxxx.xxxx)
No | アクセシビリティ分類 | アクセシビリティ要件 | 補足 |
3 | 利用者特性に合わせた 対応 | ⮚ 一般的な読み上げソフトウェアの利用者に配慮した ページ構成とすること |
ア 情報システムの構成に関する全体の方針
本システムにおける情報システムに関する全体の方針を表 4-4 に示す。
表 4-4 情報システムの構成に関する全体の方針
No | 全体方針の分類 | 全体方針 | 補足 |
1 | システムアーキテクチャ | ⮚ 本システムのシステムアーキテクチャは、WEB アプリケーション型とする。 ⮚ 利用者の端末に追加的なソフトウェアのインストール等を行うことなく、一般に利用されている WEB ブラ ウザで処理を行うものとすること。 | |
2 | アプリケーションプログラムの設計方針 | ⮚ 情報システムを構成する各コンポーネント(ソフトウェアの機能を特定単位で分割したまとまり)間の疎結 合、再利用性の確保を基本とする。 |
No | 全体方針の分類 | 全体方針 | 補足 |
3 | ソフトウェア製品の活用方針 | ⮚ PaaS 型クラウドサービスを利用するものとし、原則として独自のソフトウェア製品を追加導入しないものとする。ただし、ソフトウェア製品の活用が妥当と厚生労働省が認めた場合においては、ソフトウェア製品を活用しても差し支えない。 ⮚ ソフトウェア製品を活用する場合は、広く市場に流通し、利用実績を十分に有するソフトウェア製品を活用する。 ⮚ ソフトウェア製品を活用する場合は、アプリケーションプログラムの動作、性能等に支障を来たさない範囲において、可能な限りオープンソースソフトウェア (OSS)製品(ソースコードが無償で公開され、改良や再配布を行うことが誰に対しても許可されているソフトウェア製品)の活用を図る。ただし、それらの OSS製品のサポートが確実に継続されていることを確認しなければならない。 ⮚ ノンプログラミングによる画面生成等プロトタイピング用のツール等を利用することにより、システムライフサイクルコストの削減等が見込める場合には、積 極的に採用を検討する | |
4 | システム基盤の方針 | ⮚ 民間クラウドサービスが提供する稼働環境を可能な限り活用し、可用性に優れたシステム構成とする。 ⮚ リソース使用量の変動等に柔軟に対応するとともに、コスト削減を図るため、クラウドサービスを利用する。構成等については、業務要件を踏まえ、本件受注 者において適切なものとする。 |
イ 情報システムの全体構成
本システムは、以下のとおり、適用徴収システムの事業場情報公開に関する機能をクラウドサービス上で実現する。
図 4-1 情報システムの構成
ウ 開発方式及び開発手法
本システムは、基本的な機能は既存機能を踏襲する想定であるが、スマートフォンやタブレット等の多様な利用環境への対応、ユーザビリティの向上を図るため、既存のアプリケーションプログラムの流用は可能とするが、開発方式はスクラッチ開発を前提とする。
本システムの設計・開発に関しては、設計・開発の段階でも可能な限り操作性の向上を図る必要があることから、設計・開発手法は従来のウォータフォール型に限定せず、スパイラル型
/アジャイル型等柔軟な対応を可能とする手法を採用すること。
エ その他
日付に係る表記、データの保持等については、原則として JIS X 0301(情報交換のためのデータ要素及び交換形式―日付及び時刻の表記)に即した暦日付の完全表記(基本方式の場合は
「YYYYMMDD」)を用いること。業務上の必要により元号による日付を用いる場合でも、データは暦日付の形式で保持することを前提に、当該データを元号による日付に変換する機能・関数等は可能な限り一箇所に集約し、変更等の際に改修規模・費用を最小限に抑えられるものとすること。
ア 機器数及び設置場所
インターネットに公開するサービスであるため、特定のクライアント端末での利用に限定しない。
イ データ量
本システムで取扱うデータ量を表 4-5 に示す。
表 4-5 データ量
No. | データ区分 | データ量 | 補足 |
1 | 公開用適用事業場情報デー タ | 約 20 GB | |
2 | 操作ログ | ※ | ※アクセス数(約 80 万件/ 月)から想定すること。 |
ウ 処理件数
本システムの処理件数を表 4-6 に示す。
表 4-6 処理件数
No. | 項目 | 処理件数 | 補足 |
1 | アクセス数 | • 約 30,000~40,000 件/日 • ピーク特性:平日の日中帯にアクセスが多い | 現行システムのアクセス 数については開示資料を参照すること。 |
エ 利用者数
本システムの処理件数を表 4-7 に示す。
表 4-7 利用者数
No. | 利用者区分 | 利用者数 | 補足 |
1 | インターネット経由でアクセスする利用者 | • アクセスの同時到達量:※ • 利用時間帯:24 時間利用可能 | ※アクセス数から想定すること。 現行システムのアクセス数については開示資料を参照するこ と。 |
ア 応答時間(レスポンスタイム、ターンアラウンドタイム、サーバ処理時間)
本システムの応答時間の目標を表 4-8 に示す。
表 4-8 応答時間の目標
No. | 設定対象 | 指標名 | 目標値 | 応答時間達成率 | 補足 |
1 | 公開用労働保険適 用事業場検索画面 | レスポンスタイム | 5 秒以内 | 90% |
イ スループット
本システムのスループットの目標を表 4-9 に示す。
表 4-9 スループットの目標
No. | 設定対象 | 目標値 | 補足 |
1 | 公開用労働保険適用 事業場検索画面 | 70 件/分 |
(ア) 可用性に係る目標値
本システムの可用性の目標を表 4-10 に示す。
表 4-10 可用性の目標
No. | 設定対象 | 指標値 | 目標値 | 補足 |
1 | 公開用 労働保険適用事業場検索画面 | 平均故障間隔 | 平均故障間隔は 8,760時間(※)以上 | ※24 時間×365 日 (データ更新時の停止は除く) |
2 | 平均修復時間 | 平均修復時間は 8 時間 以内 |
(イ) 可用性に係る対策
仮想化や冗長化による高可用性を備えたクラウドサービスを選定し、活用すること。
イ 完全性要件
クラウドサービスプロバイダ又は本件受託者の瑕疵によるデータの滅失や改変を防止する対策を講ずること。異常な入力や処理を検出し、データの滅失や改変を防止する対策を講ずること。また、万が一、データの滅失や改変が発生した場合は、速やかに復旧できるよう公開用適用事業場情報データを別途、保存しておくこと。処理の結果を検証可能とするため、ログ等の証跡を残すこと。データの複製や移動を行う際に、データが毀損しないよう、保護すること。電子データの送受信を行う際には電子署名やタイムスタンプを用いることで偽造等から保
護することが可能であること。
公開用適用事業場情報データを更新する作業においては、更新件数等をチェックし、更新が正常に行われたかを確認すること。
アクセス数の増減等に柔軟に対応し、リソース(サーバ、CPU、メモリ、ストレージ等)の実 際の使用量に合わせて最適化を図ることが可能なクラウドサービスを選定すること。その際、採用するクラウドサービスと対象業務の性質により、具体的に利用するサービス(例:オート スケール、PaaS 等)に係る最適な構成は異なってくると考えられるところ、実際の構成の検討 に際しては、可能な限り当該クラウドサービスに係るクラウドサービスプロバイダにも相談し、要件に最も適した(当該クラウドサービスにおけるベストプラクティスに合致又は近似である)構成の選定、設計(運用・保守設計を含む。)を図ること。
イ 機能の拡張性
利用者ニーズ及び業務環境の変化等に最小コストで対応可能とするため、本システムを構成する各コンポーネント(ソフトウェアの機能を特定単位で分割したまとまり)の再利用性を確保すること。
利用者が不特定多数であることから、特定の WEB ブラウザに依存する設計としないこと。
プログラミング言語については、市場における技術者の確保の容易性に留意しつつ、ISO/IEC 等の国際規格として整備されているものの採用を考慮すること。
ノンプログラミングによる画面生成等プロトタイピング用のツール等を採用する場合には、当該ツールは中立性の観点から問題ないものを選定すること。
特定の事業者や製品に依存することなく、他者に引き継ぐことが可能なシステム構成であること。
ア 継続性に係る目標値
本システムの継続性の目標を表 4-11 に示す。
表 4-11 継続性の目標
No. | 設定対象 | 指標名 | 目標値 | 補足 |
1 | 公開用 | 稼働率 | 99.9% | |
労働保険適用事業場 | (「年間実稼働時間」/「計画停止等 | |||
検索画面 | を除いた年間予定稼働時間」×100) | |||
2 | 目標復旧時点 | 当月更新デ | 公開用適用事業場 | |
ータ | 情報データは、月 | |||
次で更新している | ||||
ため、当月の更新 | ||||
データで復旧。 | ||||
3 | 目標復旧時間 | 8 時間以内 | ||
(データ復旧までの時間) |
イ 継続性に係る対策
アプリケーションプログラム及び最新の公開用適用事業場情報データをクラウドサービス上以外に、別途、保存しておくこと。なお、データ保存機器について二重化すること。クラウドサービスを利用するとき、利用するクラウドサービスで提供される仮想サーバ等の可用性に係る SLA に留意し、各構成要素について適切に冗長化等を行うこと。
「厚生労働省情報セキュリティポリシー」に準拠した情報セキュリティ対策を講ずること。なお、「厚生労働省情報セキュリティポリシー」は非公表であるが、「政府機関等の情報セキュリティ対策のための統一基準」に準拠しているので、必要に応じ参照すること。「厚生労働省情報セキュリティポリシー」の開示については、契約締結後、本件受注者が厚生労働省に守秘義務の誓約書を提出した際に開示する。
イ 権限要件
本システムの利用者区分ごとの権限を表 4-12 に示す。
表 4-12 利用者区分ごとの権限
No. | 機能 | 利用者区分 | アクセス権限 | 補足 |
1 | 公開用適用事業場検 索 | インターネット経由で アクセスする利用者 | 検索・参照のみ可能。 | |
2 | 公開用適用事業データ登録 | 本件受注者 | 一括登録の実行のみ可能。 | 誤操作を防止するため、特 定データのみの削除・変更は不可とする。 |
3 | お知らせ登録 | 本件受注者 | 登録内容を変更可能。 |
ウ リスクの概要と対策
本システムの情報セキュリティに関するリスクの概要と対策を表 4-13 に示す。
表 4-13 リスクの概要と対策
No. | リスクの区分 | リスクの概要と対策 | 補足 |
1 | DDoS 攻撃 | インターネットからの DDoS 攻撃を受ける可能性がある。当該攻撃への対策を備えたクラウドサービスを選定し、サービスダウンを防ぐ。また、必要に応じて海外からのアク セスを停止する。 | |
2 | 不正アクセス | インターネットからの不正アクセスにより、公開データが滅失、改変される可能性がある。 改ざん検知等の監視サービスを備えたクラウドサービスを 選定し、当該攻撃を受けた場合は早期に対策を講じる。 |
エ 情報セキュリティ対策要件
(ア) セキュリティ機能の装備
以下のセキュリティ機能を具体化し、実装すること。
① 本調達に係る情報システムへのアクセスを業務上必要な者に限るための機能
② 本調達に係る情報システムに対する不正アクセス、ウイルス・不正プログラム感染等、インターネットを経由する攻撃、不正等への対策機能
③ 本調達に係る情報システムにおける事故及び不正の原因を事後に追跡するための機能
(情報システムに含まれる構成要素のうち、時刻設定が可能なものについては、情報システムにおいて基準となる時刻に、当該構成要素の時刻を同期させ、ログに時刻情報も記録されるよう、設定すること。)
(イ) 脆弱性対策の実施
以下の脆弱性対策を実施すること。
① 本調達に基づき構築する機能について、第三者による脆弱性検査を実施し、その結果を厚生労働省に書面にて報告すること。
② クラウドサービス及びソフトウェアについて、公表される脆弱性情報を常時把握すること。
③ 把握した脆弱性情報について、対処の要否、可否につき厚生労働省と協議し、決定すること。
④ 決定した対処又は代替措置を実施すること。
(ウ) 情報セキュリティが侵害された場合の対処
本調達に係る業務の遂行において情報セキュリティが侵害され又はそのおそれがある場合には、速やかに厚生労働省に報告すること。これに該当する場合には、以下の事象を含む。
① 本件受注者に提供し、又は受注者によるアクセスを認める厚生労働省の情報の外部への漏えい及び目的外利用
② 本件受注者による厚生労働省のその他の情報へのアクセス
(エ) 製品サポート期間の確認
情報システムの構築等又は運用・保守・点検の際に導入する製品(ソフトウェア及びハードウェア)及び活用するクラウドサービスについては、当該情報システムのライフサイクル
(システム利用期間の終了まで)におけるサポート(部品、セキュリティパッチの提供等)が継続される製品及びクラウドサービスを導入・活用すること。具体的な製品・技術の選定に当たっては、「政府情報システムにおけるサポート終了等技術への対応に関する技術レポート」(平成 30 年 5 月 15 日 内閣官房情報通信技術(IT)総合戦略室)等を参照するほか、サポートライフサイクルポリシーが事前に公表されていない製品・クラウドサービスを活用する場合は、サポートが継続して行われるように後継製品への更新計画を提出すること。なお、後継製品に更新する場合の費用は本調達に含むものとする。
(オ) 情報セキュリティ対策の履行状況の報告
本調達に係る業務の遂行における情報セキュリティ対策の履行状況について、厚生労働省から以下の報告を求めた場合には速やかに提出すること。
① 本調達仕様において求める情報セキュリティ対策の実績
(カ) 情報セキュリティ監査への対応
厚生労働省が別途実施する第三者による情報セキュリティ監査に対応すること。
(キ) 情報セキュリティ対策の履行が不十分な場合の対処
本調達に係る業務の遂行において、本件受注者における情報セキュリティ対策の履行が不十分であると認められる場合には、本件受注者は、厚生労働省の求めに応じ、厚生労働省と協議を行い、合意した対応を実施すること。
(ク) IT セキュリティ評価及び認証制度に基づく認証取得製品の採用
本調達に係る情報システムを構成するソフトウェア、機器等について、IT セキュリティ評価及び認証制度に基づく認証を取得している製品を積極的に採用すること。
採用に当たっては、以下の資料を参照すること。
① 「ISO/IEC15408 を活用した調達のガイドブック Version 2.0(平成 16 年 8 月 11 日経済産業省商務情報政策局情報セキュリティ政策室)」
② 「IT 製品の調達におけるセキュリティ要件リスト(平成 30 年 2 月 28 日経済産業省)」
(ケ) クラウドサービスにおけるセキュリティ対策
情報セキュリティ対策の実施に当たっては、適宜クラウドサービスプロバイダから提供されるサービスを利用することとして差し支えない。
サーバ証明書は、原則として厚生労働省が配布する GPKI 発行のものを導入すること。な
お、何らかの理由により他の認証機関から取得できる証明書を導入する場合には、当該認証機関が適切に外部監査を受けているものであることを確認し、当該監査結果を厚生労働省に提出すること。
(コ) 媒体の搬送に係るセキュリティ対策
厚生労働省が提供する公開用適用事業場情報データを格納した媒体を搬送する際には以下のセキュリティ対策を講じること。具体的な対策は、情報セキュリティ管理計画書に記載し、厚生労働省の承認を得ること。
① 提供する媒体は、施錠可能なジュラルミンケースに保管し、搬送すること。xxxxxxxxxは、本件受注者が用意すること。
② 媒体を搬送する車両については適切なセキュリティ対策を行い、媒体搬送中はリアルタイムで車両の位置確認が可能であること。
③ 媒体に格納するデータは、厚生労働省にて暗号化等の必要な対策を実施するため、搬 送後、データを利用するにあたり復号等の必要な作業を本件受注者にて実施すること。
④ 媒体は紛失等がないよう在庫管理を行うこと。
⑤ 受領した媒体については、次の媒体を受領後、速やかに厚生労働省に返却すること。返却時の媒体の搬送についても本件受注者の負担で、受領時と同等のセキュリティ対策を講じること。
想定される情報システム稼働環境を本項で示すが、本システムは PaaS 型のクラウドサービス上で稼働することを想定しており、実際のハードウェア・ソフトウェア等の構成、性能を指定するものではない。なお、本要件定義書の 4.非機能要件の定義に示す本項以外の要件を満たす構成とすること。
ア ハードウェア構成
(ア) ハードウェア構成図
想定されるハードウェア構成を以下に示す。
ファイア
ウォール
DMZ
ファイア
ウォール
DB用
セグメント
インター
ネット
ルータ
Web/AP
サーバ
DBサーバ
サービス
利用者
保守用
サーバ
インター
ネット
保守担当者
VPN
LB
WAF
クラウドサービス
(本件受注者)
図 4-2 ハードウェア構成図
(イ) ハードウェア要件
想定されるハードウェアの要件を表 4-14 に示す。また、クラウドサービスとして原則、以下の要件を満たすこと。
① 基本的には冗長化構成と同等以上の信頼性要件を担保すること。
② 特定の外部サーバから短時間で大量のアクセスを受けた場合には、当該サーバの発信元を特定するための情報を確認できること。
表 4-14 ハードウェア要件
No. | ハードウェア分類 | ハードウェア名 | ハードウェア要件 | 補足 |
1 | サーバ機器 | WEB/AP サーバ | 下記性能のサーバを 2 台で構成 CPU:4 コア※ メモリ:8GB ディスク容量: システム 80GBデータ 500GB ※CPU 性能については公開しない。 | 左記ハードウェア要件は現行構成。 別途、開示するシステム稼働状況報告に記載された現行のリソース利用状況を参考に必要な性能を設計すること。 想定では、少なくともコア数、メモリ容量を 50%削減し、データ領域は必要最小 限とする。 |
2 | サーバ機器 | DB サーバ | 下記性能のサーバを 1 台で構成 CPU:8 コア メモリ:16GB ディスク容量: システム 80GBデータ 500GB ※CPU 性能については公開しない。 | 左記ハードウェア要件は現行構成。 別途、開示するシステム稼働状況報告に記載された現行のリソース利用状況を参考に必要な性能を設計すること。 ディスクについてはストレージを含む。 想定では、少なくともコア数、メモリ容量を 50%削減し、データ領域は必要最小 限とする。 |
3 | ネットワーク機器 | ルータ | ― | 別途、開示するシステム稼働状況報告に記載された現行の WEB アクセス数を参考に必要な性能を設計すること。 |
4 | ネットワーク機器 | LB(負荷分散装置) | ― | |
5 | ネットワーク機器 | ファイアウォール | ― | |
6 | ネットワーク機器 | WAF | ― | |
7 | サーバ機器 | 保守用サーバ | ― | クラウドサービスにおいて標準的に備わっている機能を利用することを想定して いる。 |
8 | ネットワーク機器 | VPN 装置 | インターネット VPN を実現できること。 |
イ ソフトウェア構成
(ア) ソフトウェア構成図
現行システムのソフトウェア構成を以下に示す。具体的な製品名については、「別紙 2 応札希望者に開示する資料」を参照すること。PaaS 型のクラウドサービスとし、現行システムのソフトウェアが提供する機能は、基本的にクラウドサービスの機能を利用すること。
F-2➅
クラウドサービス
Web/APサーバ
DBサーバ
サーバOS
サーバOS
リレーショナルデータベース
Webアプリケーションサービス
Java動作環境
改ざん検知ソフトウェア
運用管理(エージェント)
運用管理(エージェント)
起動・終了管理ソフトウェア
起動・終了管理ソフトウェア
サーバ系ウイルス管理(エージェント)
サーバ系ウイルス管理(エージェント)
証跡管理(エージェント)
証跡管理(エージェント)
図 4-3 ソフトウェア構成図
(イ) ソフトウェア製品の要件
クラウドサービスで提供する機能を利用することとし、原則、独自にソフトウェアを導入しないこと。
クラウドサービスとしては、原則、以下の要件を満たすこと。
① 常時 SSL に対応すること。
② 公開情報・画面について改ざん検知機能を実現すること。
③ システムの運用監視機能を有し、問題が生じた場合には本件受注者に連絡するサービスを備えること。
ウ ネットワーク構成
(ア) ネットワーク構成図
想定されるネットワーク構成を以下に示す。本システムが提供する事業場公開サービスは、厚生労働省のドメインを使用することから、本件受注者は、厚生労働省の DNS サーバに設定 すべき内容を整理し、厚生労働省に提供すること。サーバ証明書は、原則、厚生労働省にて 用意したものを使用すること。グローバル IP アドレス(IPv4、IPv6)は、本調達の範囲に含
むものとする。
クラウドサービス
ファイアウォール
インター
ネット
インター
ネット回線
DMZ
DB用セグメント
Web/AP
サーバ
ファイア
ウォール
DBサーバ
厚生労働省
DNSサーバ
保守用サーバ
インター
ネット
インター
ネットVPN
保守端末
VPN
WAF
ルータ
LB
図 4-4 ネットワーク構成図
(イ) ネットワーク回線の要件
想定されるネットワーク要件を以下に示す。
表 4-15 ネットワーク要件
No. | 回線種別 | ネットワーク要件 | 補足 |
1 | インターネット回線 | 必要な帯域は、別途、開示するシステム稼働状況報告に記載された現行の WEB アクセス数を参考にするこ と。 冗長構成とすること。 | |
2 | インターネット VPN | ※専用回線でも可能。 | 本件受注者の保守拠点に設置された保守端末からクラウドサービス環境上の本システムを保守する際 に使用する回線。 |
エ 利用するクラウドサービスの要件
本システムを稼働させるクラウドサービスは、以下の要件を満たすこと。なお、保守作業に当たり、検証用環境として利用するクラウドサービスも同様とする。
(ア) 政府情報システムの保護
① 情報資産を管理するデータセンタの物理的所在地が日本国内であること。
② 厚生労働省の指示によらない限り、一切の情報資産について日本国外への持ち出しを行わないこと。
③ 障害発生時に縮退運転を行う際にも、情報資産が日本国外のデータセンタに移管されないこと。
④ クラウドサービスの利用契約に関連して生じる一切の紛争は、日本の地方裁判所を専属的合意管轄裁判所とするものであること。
⑤ 契約の解釈が日本法に基づくものであること。
⑥ 情報資産の所有権がクラウドサービス事業者に移管されるものではないこと。従って、厚生労働省が要求する任意の時点で情報資産を他の環境に移管させることができる こと。
⑦ 法令や規制に従って、クラウドサービス上の記録を保護すること。
⑧ 情報資産が残留して漏えいすることがないよう、必要な措置を講じること。
⑨ 自らの知的財産権についてクラウド利用者に利用を許諾する範囲及び制約を、クラウドサービス利用者に通知すること。
(イ) 技術的条件
クラウドセキュリティに関する次のいずれかを取得していること。
- ISO/IEC 27017 認証
- CS ゴールドマーク
(ウ) 継続利用期間
本件の契約期間終了まで、原則、継続利用可能であること。なお、クラウドサービスプロバイダの都合により、契約期間中にクラウドサービスの提供が終了する場合には、原則、本件受注者の負担において、他のクラウドサービスに本システムを移行すること。
各テスト工程の名称と内容を表 4-16 に示す。必要に応じて、開発方式に応じた最適なテスト方式を基本設計段階において提示すること。各テストの方法については、最終的には厚生労働省と協議すること。
表 4-16 テスト一覧
No. | テストの種類 | テストの目的、内容 | テスト環境 | テストデータ | 補足 |
1 | 単体テスト | 開発したアプリケーションプログラムが要求事項を満たすことを確 認する。 | 開発環境 | 擬似データ |
No. | テストの種類 | テストの目的、内容 | テスト環境 | テストデータ | 補足 |
2 | 結合テスト | 開発したアプリケーションプログ ラムを事業場検索サービスとして稼働させ、開発環境で確認可能な要件を確認する。 ・当該サービスがサポートする環境(利用推奨環境)での動作確認 ・境界値テスト ・操作性テスト ・セキュリティテスト | 開発環境 | 擬似データ | (利用推奨環境想定) Microsoft Edge Internet Explorer Google Chrome Firefox Safari |
3 | 総合テスト | 事業場検索サービスの動作確認及び運用を想定した非機能観点での動作確認を実施する。 ・ 疎通確認 ・ 運用及び保守手順書及び保守ツール等の確認 ・ 運用テスト(起動・停止・データ更新等) ・ 性能テスト ・ 信頼性テスト ・ 障害回復テスト ・ 脆弱性検査 | 本番環境 | 擬似データ | クラウドサービスの利用規約により禁止されている等の理由で、テストできない内容については、当該クラウドサービスが必要な要件を満たすことを示す資料を提示すること。 |
4 | 受入テスト | 厚生労働省が事業場検索サービスの動作を確認する。 また、データ更新等の保守作業において厚生労働省側が実施する作業についても確認する。 | 本番環境 | 本番データ | 本件受注者は受入テストの支援(テストデータの作成支援、テスト検証環境の整備、テストの立会い、テスト結果の確認、操作時の質問対応等)を 行う。 |
本システムは情報を公開するサービスのみを提供しており、現在、政府共通プラットフォーム上で稼働している現行システムからのデータ移行は原則、発生しない。
移行は、現行システムに格納した公開用適用事業場情報データと同等のデータを本システムに格納した上で、本システムにおいてサービスを開始しておくものとし、その後、DNS サーバの設定を変更することにより、利用者が本システムのサービスを使用可能とする。DNS サーバの設定変更後、一定期間においては本システムと現行システムを並行稼働させ、現行システムへのアクセスが収束した段階で現行システムを停止する。
基本的には、上記の手順により移行を実施するものとするが、本件受注者が実施する移行計画において、改善すべき点は適宜、見直すものとする。
なお、移行手順を具体化する際には以下の点に留意すること。
・ 移行リハーサル(移行データの検証、移行時間の測定等)をあらかじめ実施し、移行計画及び手順に問題がないかを事前に検証すること。
・ 移行開始の可否を判定するための判定項目及び基準を移行計画段階で設定しておくこと。
・ 移行完了を判定するための判定項目及び基準を移行計画段階で設定しておくこと。
・ 移行開始に際しては、移行開始判定を実施し、厚生労働省の承認を得ること。
・ 移行作業を完了した後、移行完了判定を実施し、厚生労働省に報告すること。
イ 移行要件
移行作業は、原則、本件受注者が主体で作業を進め、厚生労働省が確認する。ただし、DNS サーバの設定変更については、本件受注者が提供する設定情報に基づき、厚生労働省にて担当事業者に依頼する。
基本的に本システムへの切替の日程は、WEB アクセス数が少ない曜日及び時間帯を基本とするが、DNS サーバの設定変更といった外部事業者の作業時間等も勘案し、最終的に決定する。移行が失敗し、切戻しが必要と判断される場合においては、DNS サーバの設定を切戻し、現
行システムを継続稼働させることとする。
ウ 移行対象データ
現行システムに格納した公開用適用事業場情報データと同等のデータを本システムに格納する。
以下の引継ぎを実施すること。
表 4-17 引継ぎ事項一覧
No. | 引継ぎ発生時 | 引継ぎ元 | 引継ぎ先 | 引継ぎ内容 | 引継ぎ手順 | 補足 |
1 | 運用保守事業者 | 本件受注者 | 次期運用・保 | 設計書、プロ | 別途、引継ぎ書 | クラウドサービス |
交代時 | 守事業者 | グラム、手順 | を作成。 | を引継ぐ場合にお | ||
書等の資材一 | いては、クラウド | |||||
式、残存課 | サービスのサプラ | |||||
題、リスク引 | イヤを含めた契約 | |||||
継事項、改善 | 調整に協力するこ | |||||
提案引継ぎ事 | と。 | |||||
項、案件特性 | ||||||
及びシステム | ||||||
特性に伴う個 | ||||||
別引継ぎ事項 | ||||||
等 |
ア 教育対象者の範囲、教育の方法
以下の教育を実施すること。
表 4-18 教育実施概要
No. | 教育対象者 の範囲 | 教育の内容 | 教育の 実施時期 | 教育の方法 | 使用教材 | 教育 対象者数 | 補足 |
1 | 労働保険徴収業務室職員 | ・更新用データの受渡手順 ・障害発生時の連絡体制 ・利用者からの 想定問答 | 令和 3 年 2 月 | 対面説明 | 各種手順書 | 5 名程度 | 当日の使用教材は本件受注者が印刷・準備すること。 |
イ 教材の作成
以下の教育を実施すること。
表 4-19 教材一覧
No. | 教材 | 教材の概要 | 対象者 | 補足 |
1 | システム管理用保守手順書 | ・更新用データの受渡手順 ・障害発生時の連絡体制及び連絡方法 ・利用者からの問合せが想定される内容及び回答 | 労働保険徴収業務室職員 | 専門用語は原則、使用せず、図表等を用いた分かり易い内容とすること。 また、読み手にとって解釈が異なるような、あいまいな表現 は使用しないこと。 |
本システムの運用時間は 24 時間 365 日とする。ただし、本件受注者の対応時間は、原則、9時~17 時 30 分とする。
イ 運転管理・監視等要件
障害が発生した際には、担当者に即時に通知する機能を保持すること。担当者は複数名、設定すること。
障害が発生した際には、3 時間以内(運用対応時間に記載に対応時間の範囲での計算)に障害の一次切り分けを行うこと。
ウ データ管理要件
クラウドサービスの障害により、データが消失した場合に備えて、最新の公開用適用事業場情報データを本システムで利用するクラウドサービス環境以外でもデータを保管すること。なお、保管するデータはパスワード等による暗号化など、必要なセキュリティ対策を講じること。詳細については、別添 1 「3.情報の受領・管理・破棄等について」を参照すること。
エ 運用サポート業務
本システムに関する一般国民からの問合せは、原則、厚生労働省にて対応する。ただし、障害が疑われる内容であった場合には、厚生労働省から本件受注者に問合わせることがある。この場合においては、障害か否かの切り分けを行うこと。
オ 業務運用支援
(ア) データ更新
毎月、月初に厚生労働省の指定する場所で更新用の公開用適用事業場情報データを格納した媒体を受領し、本件受注者の作業場所まで搬送すること。
事業場検索サービスを停止した上で、公開用適用事業場情報データを最新のデータに更新すること。データ更新後は速やかに事業場検索サービスを再開すること。
使用済みの媒体は、本件受注者が厚生労働省の指定する場所まで返却すること。
(イ) お知らせの変更
厚生労働省の依頼に応じて、事業場検索サービスの画面に表示するお知らせの内容を変更すること。概ね月次で変更する。
(ウ) サービス停止・起動
厚生労働省の依頼に応じて、サービスの停止・起動を実施すること。データ更新以外での臨時作業は、緊急時以外は原則、発生しない。
(エ) セキュリティ分析
特定のサーバ等から通常利用では想定し得ない量のアクセスを検知した場合には、アクセス元に関する情報等を分析し、厚生労働省に報告すること。
カ 運用実績の評価と改善
本システムの運用実績(CPU 使用率(日別最高)、CPU 使用率(日別平均)、メモリ使用率(日別最高)、メモリ使用率(日別平均)、ディスク使用率(日別)、データベース使用率(日別)、ネットワーク利用率(日別最高)、ネットワーク利用率(日別平均)、WEB アクセス数(日別累計)、WEB アクセス数(時間帯別累計)、データ件数(月次)、1 検索あたりの処理時間平均等)を、報告対象となる月の翌月の第 5 開庁日までに整理した上で厚生労働省に提出すること。運用実績が目標に満たない場合には、その要因を分析した上で改善策を整理し、厚生労働省の承認を得た上で、当該改善策を実施すること。
ア アプリケーションプログラムの保守要件
(ア) 障害対応
障害が発生した際には、本件受注者が主体となって復旧作業を実施すること。障害発生時においては、厚生労働省に対して障害対応の状況を定期的に報告すること。
アプリケーションプログラムの修正が必要となった場合には、本件受注者において修正すること。なお、修正において必要となるテスト環境(クラウドサービス含む)等は本件受注者の負担で用意すること。
障害対応が完了した段階で、障害原因の分析結果や再発防止策を検討の上、報告すること。
(イ) 構成管理
本システムの各種設計書、手順書、ソースコード等について常に最新版を管理し、厚生労働省から提示依頼があった場合には、最新版一式を提示すること。
(ウ) 調査対応
厚生労働省から本システムに係る調査の依頼があった場合は、調査の上、回答すること。
イ クラウドサービスの保守要件
(ア) 障害対応
クラウドサービスの障害については、基本的にクラウドサービスプロバイダが対応する想定であるが、本件受注者は障害対応の状況、復旧見込等を確認し、厚生労働省に対して定期的に報告すること。
クラウドサービスのメール等による保守受付時間については 24 時間とすること。
クラウドサービスの保守対応時間については日中営業時間帯を対応可能とすること。
(イ) 更新プログラム及びセキュリティパッチ等の適用
本システムが稼働するクラウドサービスについて構成ソフトウェアの更新プログラム及びセキュリティパッチ等が提供されている場合、速やかに適用すること。
(ウ) サーバ証明書の更新
厚生労働省の提供するサーバ証明書の更新が必要になった場合には、対応すること。なお、本契約期間中は、原則、サーバ証明書の更新は発生しない想定である。
(エ) その他
クラウドサービスが計画停止する場合には、本件受注者に事前に通知されること。本件受注者は厚生労働省に事前に報告し、必要なシステムの停止・起動等の作業を実施すること。
また、システムに影響を与えることが想定される作業がクラウドサービスプロバイダから本件受注者に通知された場合には、厚生労働省と協議の上、必要な対応を実施すること。
ウ データの保守要件
設定データに異常が生じた場合には、本件受注者にて正常な設定に再設定すること。
エ 保守実績の評価と改善
可用性要件に示す目標の達成状況を四半期ごとに確認し、厚生労働省に報告すること。また、目標に満たない場合には、その要因を分析の上、必要な改善措置を検討すること。検討した改善措置について、厚生労働省に報告し、承認を得た上で当該措置を講じること。
【別紙2】 応札希望者に開示する資料
本調達において応札希望者に開示する資料は以下のとおりである。
資料名 | ||
適用徴収システム関係資料 | ||
基本設計書 | ||
ソフトウェア論理設計書 | ||
情報セキュリティ設計書 | ||
オンライン処理規約 | ||
バッチ処理規約 | ||
外部インタフェース仕様書 | ||
システム論理設計書 | ||
詳細設計書 | ||
ソフトウェア物理設計書 | ||
運用設計書 | ||
画面設計書 | ||
帳票設計書 | ||
データベース設計書 | ||
ファイル設計書 | ||
設計書補足資料 | ||
ソースコード | ||
開発標準ドキュメント | ||
マニュアル | ||
運用手順書 | ||
システム処理手引 | ||
オペレーション指示書 | ||
処理手引 | ||
マニュアル | ||
ハードウェア関連資料 | ||
設計書 | ||
設定定義書 | ||
インフラストラクチャ詳細設計書 | ||
その他関係資料 | ||
労働保険適用徴収システム運用保守要領 | ||
労働保険適用徴収システム緊急時対応計画(システム運用) | ||
EAドキュメント | ||
現行システムの問題点と改善点 | ||
過去の受注者の検討資料、作業報告書、システム稼働状況報告書等 | ||
別紙2-1
(別添1)
「受注者が機密保持を遵守するために講ずるべき措置」
1.情報管理のための体制整備等について (1)情報管理のための体制
① 受注者は、受注者組織全体のセキュリティを確保するとともに、厚生労働省から求められた当該業務の実施において情報セキュリティを確保するための管理体制を整備すること。
② 本体制には、経営者が関与し、経営者の責任の明確化を図ること。
③ 厚生労働省が提供した業務上の情報を適正に管理するために、情報管理責任者
(当該業務の情報取扱いの全てに責任を有する者)をおくこと。
④ 情報管理責任者は、その事務の一部を担当させるため、情報取扱管理担当者(当該業務の進捗管理等を行い、当該業務の情報を取扱う可能性のある者)を指定すること。
⑤ 当該業務の実施に当たり、受注者又はその従業員、本調達の役務内容の一部を再委託する先、若しくはその他のものによる意図せざる不正な変更が情報システムのハードウェアやソフトウェア等に加えられないための管理体制を整備すること。
⑥ 厚生労働省で整備する通報窓口の設置について、受注者内で説明・周知すること。
(2)情報管理のための体制確保について
① 受注者は、本業務で知り得た情報を適切に管理する必要があることから、次に掲 げる体制を確保し、当該体制を確保していることを証明するため、厚生労働省に対 し「情報取扱者名簿」(当該業務に従事する者のうち、保護を要する情報を取り扱 う可能性のある者の名簿をいう。業務の一部を再委託する場合は再委託先も含む。)、
「情報セキュリティを確保するための体制を定めた書面(情報管理体制図、情報管理に関する社内規則等)」(業務の一部を再委託する場合は再委託先も含む。)及び
「業務従事者名簿」(当該業務に従事する者の名簿をいう。)を提出すること。
(確保すべき体制)
・ 情報取扱者は、本業務の遂行のために最低限必要な範囲の者とすること。
・ 受注者が本業務で知り得た情報について、厚生労働省が承認した場合を除き、受注者の役員等を含め、情報取扱者名簿に記載のある者以外の者に伝達又は漏えいされないことを保証する履行体制を有していること。
・ 受注者が本業務で知り得た情報について、厚生労働省が承認した場合を除き、受注者の親会社、地域統括会社、ブランド・ライセンサー、フランチャイザー、コンサルタントその他の受注者に対して指導、監督、業務支援、助言、監査等を行う者を含め、受注者以外の者に伝達又は漏えいされないことを保証する履行体制を有していること。
※ 「情報取扱者名簿」には、情報管理責任者、情報取扱管理者、その他保護を要する情報を取り扱う可能性のある者について、氏名、住所、生年月日、所属部署、役職等を、業務の一部を再委託する場合は再委託先も含めて、記載すること。
※ 「業務従事者名簿」には、当該業務に従事する者について、氏名、所属部署、役職、学歴、職歴、業務経験、研修実績その他の経歴、専門的知識その他の知見、母語及び外国語能力、国籍等を記載すること。
② 受注者は、①の「情報取扱者名簿」、「情報セキュリティを確保するための体制を定めた書面(情報管理体制図、情報管理に関する社内規則等)」及び「業務従事者名簿」に変更がある場合は、あらかじめ厚生労働省に申請を行い、承認を得なければならないこと。
(3)その他
① 情報管理責任者は、受注者側組織内で作業を行う場合の情報の取扱いに関して、情報セキュリティが侵害され又はそのおそれがある場合等の非常時における対策を定めると共に、その内容を従事者に徹底すること。
② 本調達の役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して、情報セキュリティが十分に確保されるように情報セキュリティ管理計画書に記載された措置の実施を担保すること。
2.取り扱う情報の目的外利用等について
(1) 厚生労働省から提供する情報の目的外利用を禁止すること。
(2) 受注者は、本業務で知り得た情報について、厚生労働省が承認した場合を除き、受注者の役員等を含め、情報取扱者以外の者に伝達又は漏えいしてはならないこと。受注者は、本業務で知り得た情報について、厚生労働省が承認した場合を除き、受注者の親会社、地域統括会社、ブランド・ライセンサー、フランチャイザー、コンサルタントその他の受注者に対して指導、監督、業務支援、助言、監査等を行う者を含め、受注者以外の者に伝達又は漏えいしてはならないこと。
3.情報の受領・管理・廃棄等について
(1) 厚生労働省から情報を受領する場合は、情報セキュリティに配慮した受領方法にて行うこと。
(2) 本業務において厚生労働省から受領した情報及び作成された情報については、業務の終了に伴い不要となった場合又は厚生労働省から返却又は廃棄若しくは抹消の指示があった場合は、回復が困難な方法により速やかに対応すること。なお、実施方法等については、様式5 情報の返却又は廃棄若しくは抹消に係る作業実施計画書(様式5)により厚生労働省の承認を得た上で速やかに実施し、実施後において
は情報の返却又は廃棄若しくは抹消に係る作業完了報告書(様式6)を厚生労働省へ速やかに提出すること。
なお、情報セキュリティ管理計画書又は事業実施前までに受注者から提示された作業計画書(以下「情報セキュリティ管理計画書等」という。)において、作業実施計画書に相当する内容が記載されている場合は、情報セキュリティ管理計画書等を作業実施計画書に代えても差し支えない。
(3) 本業務を実施する住所を示すこと。
(4) 当該業務の日々の活動場所は、受注者側組織内であることに鑑み、情報を受注者組織内に移送する際は、暗号化や施錠等適切な方法により、情報セキュリティを確保すること。また、受注者側組織内へ移送した情報は、厚生労働省との調整等に必要な場合及び返却時以外は原則として、受注者組織外に持ち出さないこと。
(5) 個人情報等の重要な情報が記載された情報に関しては、原則として社外に持ち出さないこと。
(6) 受注者側組織内で作業を行う場合には、作業を行う施設は、IC カード等電磁的管理による入退館管理がなされていること。
(7) 同様に、上記作業施設内の作業実施場所は、IC カード等電磁的管理による入退室管理がなされていること。
(8) 電磁的に情報を保管する場合には、当該業務に係わる体制以外の者がアクセスできないようアクセス制限を行うこと。また、アクセスログにより不審なアクセスがないか等の確認を行うこと。
(9) 厚生労働省から受領した情報を保管する端末やサーバ装置等は、受注者の情報セキュリティポリシー等により、サイバー攻撃に備え、ウイルス対策ソフト、脆弱性対応及び検知・監視等の技術的対策が講じられ、適切に管理・運用される必要があるため、政府統一基準群や厚生労働省情報セキュリティポリシーに準拠し、管理等することとし、準拠した対応ができない場合は、代替のリスク軽減策を講じ、厚生労働省の承認を得ること。
(10) 情報セキュリティ対策に関する履行状況を定期的に確認し、厚生労働省へ報告すること。
4.情報セキュリティが侵害された場合の対処について
(1) 情報セキュリティインシデントへの対処方法が確立されていること。
(2) 本業務において、情報セキュリティインシデントの発生又は情報の目的外利用等を認知した場合(注)は、速やかに厚生労働省に報告すること。
(注)履行中・履行後を問わない。また、受注者自ら検知したものに限らず、報道等の外部からの指摘により認知した場合を含む。
(3) 本調達に係る業務の遂行において、情報セキュリティ対策の履行状況を定期的に厚生労働省に報告すること。なお、情報セキュリティ対策の履行状況に問題がある場合は、情報セキュリティインシデントに該当する可能性もあることから、速やかに厚生労働省に報告すること。
(4) 被害の程度を把握するため、受注者は必要な記録類を事案対応終了時まで保存し、厚生労働省の求めに応じて成果物と共に厚生労働省に引き渡すこと。
5.情報セキュリティ対策の履行が不十分な場合の対処について
本調達に係る業務の遂行において、受注者における情報セキュリティ対策の履行が不十分であると認められる場合には、速やかに改善策を提出し、厚生労働省の承認を受けた上で実施すること。
6.情報セキュリティ監査の実施について
(1) 本調達に係る業務の遂行における情報セキュリティ対策の履行状況を確認するために、厚生労働省が情報セキュリティ監査の実施を必要と判断した場合は、厚生労働省がその実施内容(監査内容、対象範囲、実施者等)を定めて、情報セキュリティ監査を行う(厚生労働省が選定した事業者による外部監査を含む。)。
(2) 受注者は、厚生労働省から監査等の求めがあった場合に、速やかに情報セキュリティ監査を受け入れる部門、場所、時期、条件等を「情報セキュリティ監査対応計画書」等により提示し、監査を受け入れること。
(3) 受注者は自ら実施した外部監査についても厚生労働省へ報告すること。
(4) 情報セキュリティ監査の実施については、これらに記載した内容を上回る措置を講ずることを妨げるものではない。
(5) 業務履行後において当該業務に関する情報漏えい等が発生した場合であっても、監査を受け入れること。
7.報告の義務について
厚生労働省から求めがあった場合には、以上の状況について書面等での報告を行うこと。
(様式1)
令和 年 月 日
●●業務における機器等の情報抹消に係る作業実施計画書
受注者名
本業務に関する情報について、下記のとおり情報の抹消作業を実施します。
記
1.機器等に関する情報別紙のとおり
2.作業体制に関する情報別紙のとおり
3.受注者における管理体制
①本計画書どおりに作業が実施されることを担保する社内の管理体制
(作業プロセスに係る第三者監査等の結果等)
②作業前における情報漏えい対策(暗号化の実施、その他の方法)
③作業場所から機器等が不正に持ち出されないための対策
(金属探知機による入退室チェック等)
④作業場所まで機器等の移動が生じる場合、移動時の紛失・盗難対策
(移動に伴う専用ケース、専用ケースの鍵管理、数の確認等)
4.作業結果を証明する証跡
①作業結果を証明するための証跡
(写真、作業を実施した時間や実施結果等が分かるログ等)
②当省職員立ち会いの可否(否の場合はその理由)
※各項目について、参考となる資料を添付すること。
(様式2)
No | 機器等に関する情報 | 作業体制に関する情報 | 備考 | |||||||||||
種類 | 型番 | シリアルナンバー | 数量 | 所有権の所在 | 作業後の再利用の可否 | 作業予定日 | 作業場所 | 作業実施者 | 作業確認者 | 作業確認方法 | 作業方法 (注1) | 作業に当たり準拠した基準 (注2) | ||
(注1) データ抹消ソフトウェアによる「消去」、消磁装置等による「除去」、粉砕・焼却等による「物理的破壊」のいずれに該当するか記載。
(注2) 準拠した基準があれば当該欄に基準名(例:米国国立標準技術研究所規格(NIST SP800-88)、米国国防総省規格(DoD5220.22-M)、英国政府準拠方式(Baseline)等)を記載し、当該基準の該当箇所を添付すること。該当する基準がない場合には、当該方法が受注者内で適切であると判断された資料を添付すること。
(注3) クラウドサービスの場合で「機器等に関する情報」のうち、「型番」、「シリアルナンバー」等記載が困難な場合、記載を省略して構わない。
(様式3)
令和 年 月 日
●●業務における機器等の情報抹消に係る作業完了報告書
受注者名
本業務に関する情報について、下記のとおり情報の抹消作業を実施したことを報告します。
記
1.機器等に関する情報別紙のとおり
2.作業体制に関する情報別紙のとおり
3.受注者における管理体制
①作業実施計画書どおりに作業が実施されることを担保する社内の管理体制
(作業プロセスに係る第三者監査等の結果等)
②実施した情報漏えい対策(暗号化の実施、その他の方法)
③作業場所から機器等が不正に持ち出されないために実施した対策
(金属探知機による入退室チェック等)
④作業場所まで機器等の移動が生じた場合、実施した移動時の紛失・盗難対策
(移動に伴う専用ケース、専用ケースの鍵管理、数の確認等)
4.作業結果を証明する証跡に関すること
①作業結果を証明するための証跡
(写真、作業を実施した時間や実施結果等が分かるログ等)
②当省職員立ち会いの有無
※各項目について、参考となる資料を添付すること。
(様式5)令和 年 月 日
●●業務に係る情報の返却又は廃棄若しくは抹消に係る作業実施計画書
受注者名:
本業務において貴省から受領した情報及び作成された情報については、下記のとおり返却又は廃棄若しくは抹消する予定です。
記
1 情報の保存媒体
情報の種類 (注1) | 情報の保存場所 (注2) | 作業の方法 (注3) | 作業の確認方法 | 作業実施者 | 作業確認者 |
(例)紙媒体 | キャビネット | 返却 | 貴省に手交 | ○○ | △△ |
(例)電磁的記録媒体 | 端末 | 消去(データ抹消ソフトウ ェア) | 情報管理責任者の立ち 会い | ○○ | △△ |
(注1)「紙媒体」、「電磁的記録媒体」のいずれかを記載すること。
(注2)「キャビネット」、「外部電磁的記録媒体(CD-R、USB メモリ等)」、「端末」、「サーバ装置」等を記載すること。
(注3)返却の場合:「返却」と記載すること。
廃棄・抹消の場合:「焼却」、「溶解」、「裁断」、「消去(データ抹消ソフトウェア)」等を記載すること。
2 全ての作業が完了する予定日
(様式6)令和 年 月 日
●●業務に係る情報の返却又は廃棄若しくは抹消に係る作業完了報告書
受注者名:
本業務において貴省から受領した情報及び作成された情報については、下記のとおり返却又は廃棄若しくは抹消しましたので、報告します。
記
1 情報の保存媒体
情報の種類 (注1) | 情報の保存場所 (注2) | 作業の方法 (注3) | 作業の確認方法 | 作業実施者 | 作業確認者 |
(例)紙媒体 | キャビネット | 返却 | 貴省に手交 | ○○ | △△ |
(例)電磁的記録媒体 | 端末 | 消去(データ抹消ソフトウ ェア) | 情報管理責任者の立ち 会い | ○○ | △△ |
(注1)「紙媒体」、「電磁的記録媒体」のいずれかを記載すること。
(注2)「キャビネット」、「外部電磁的記録媒体(CD-R、USB メモリ等)」、「端末」、「サーバ装置」等を記載すること。
(注3)返却の場合:「返却」と記載すること。
廃棄・抹消の場合:「焼却」、「溶解」、「裁断」、「消去(データ抹消ソフトウェア)」等を記載すること。
2 全ての作業が完了した日
(様式7)
令和 年 月 日
購入等件名 (調達案件名) | |
法人名 |
担当者名 | |
連絡先メールアドレス | |
連絡先電話番号 |
○ 提案機器等一覧
法人名 | 通番 | 区分 | 製造業者名 | 製造業者の法人番号 (半角数字) | 製品名 | 型番 |
(記載例) ◎◎電機 | サーバ | ××× | ××サーバ | AAA 0123 | ||
ストレージ | ××× | ××ストレージ | BBB-bb | |||
端末装置 | △△△ | △△端末 | CCC-1111 | |||
ウイルス対策ソフト | ●●● | ウイルス対策 | VVV123 | |||
スキャナ | ○○○ | ○○スキャナ | DD dddd | |||
プリンタ | △△△ | △△E1234e | E1234e | |||
1 | ||||||
2 | ||||||
3 | ||||||
4 | ||||||
5 | ||||||
6 | ||||||
7 | ||||||
8 | ||||||
9 | ||||||
10 | ||||||
11 | ||||||
12 | ||||||
13 | ||||||
14 | ||||||
15 | ||||||
16 | ||||||
17 | ||||||
18 | ||||||
19 | ||||||
20 |
※ 記載する行が足りない場合は、行を追加してご回答ください。なお、行の追加以外の表構成の変更は行わないようお願いいたします。