独立行政法人医薬品医療機器総合機構(以下「PMDA」という。)の中心業務は、審査関連業務、安全対策業務、健康被害救済業務となるが、そのうちの安全対策業務では、 医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(以下「医薬品医療機器法」という。)第 68 条の 10 第1項及び第2項に基づく副作用・感染症 の報告等を収集管理し、副作用等に対する安全対策に役立てるため、医薬品等の副作用等報告の受付、情報蓄積、検索、解析、評価記録等を支援する副作用等情報管理システム (以下
令和3年3月
独立行政法人 医薬品医療機器総合機構
目次
1 調達案件の概要に関する事項 1
(1) 調達件名 1
(2) 用語の定義 1
(3) 調達の背景 2
(4) 目的及び期待する効果 3
(5) 業務・情報システムの概要 3
(6) 契約条件 4
(7) 作業スケジュール 4
2 調達案件及び関連調達案件の調達単位、調達の方式等に関する事項 5
(1) 調達案件及び関連する調達案件の調達単位、調達の方式、実施時期 5
(2) 調達案件間の入札制限 5
3 作業の実施内容に関する事項 5
(1) 作業の内容 5
(2) 成果物の範囲、納品期日等 9
4 満たすべき要件に関する事項 11
5 作業の実施体制・方法に関する事項 11
(1) 作業実施体制 11
(2) 管理体制 12
(3) 作業要員に求める資格等の要件 12
(4) 作業場所 13
(5) 作業の管理に関する要領 13
6 作業の実施に当たっての遵守事項 13
(1) 基本事項 13
(2) 機密保持、資料の取扱い 14
(3) 遵守する法令等 15
7 成果物の取扱いに関する事項 15
(1) 知的財産権の帰属 15
(2) 契約不適合責任 16
(3) 検収 16
8 入札参加資格に関する事項 17
(1) 入札参加要件 17
(2) 入札制限 17
9 情報セキュリティ管理 18
(1) 情報セキュリティ対策の実施 18
(2) 情報セキュリティ監査の実施 18
10 再委託に関する事項 19
(1) 再委託の制限及び再委託を認める場合の条件 19
(2) 承認手続 20
(3) 再委託先の契約違反 20
11 その他特記事項 21
(1) 環境への配慮 21
(2) その他 21
12 附属文書 21
(1) 要件定義書 21
(2) 事業者が閲覧できる資料一覧 21
13 窓口連絡先 22
1 調達案件の概要に関する事項
(1) 調達件名
医療機関報告に関する企業との情報共有の電子化業務
(2) 用語の定義
表 1.1 用語の定義
用語 | 概要 |
医薬品副作用・安全対策支援統合システム (「統合システム」) | 市販後及び治験中の医薬品副作用情報の受付、蓄積、検索、解析等の支援を行うシステム。また、医薬品副作用報告等の解析結 果、データマイニング手法による統計学的評価、企業面談時の情報を統合することによる、安全対策業務の支援を行う。 |
EDI | 電子情報交換 |
ICH | 日本、米国、EU それぞれの医薬品規制当局と産業界代表を中心に構成され、医薬品の規制に関する基準を国際的に統一することを目的に、医薬品の品質、有効性、安全性に関するガイドラインを作成している。 |
ESTRI ゲートウェイ(規制情報の電子的伝送のためのゲートウェイ) | ICH の勧告の一つで、日xxを中心とした各規制当局において複数の通信プロトコルや EDI メッセージフォーマットの受入れを可能にするため、各規制当局にゲートウェイ(ESTRI Gateway)を設けることとされている。 |
E2B(R3) | ICH におけるトピックの一つ。個別症例副作用報告のためのデータ項目について日xx三極の共通仕様を定めている。 |
医薬品医療機器情報提供システム (情報提供システム) | 添付文書・副作用情報・不具合情報等に係る諸情報を管理し、ホームページを介して一般国民や医療関係者及び製薬会社・医療機器メーカーに提供するシステム。 |
企業サイト | 製薬企業向けサイト(SKW サイト)及び医療機器業者向けサイト (IKW サイト)が存在する。いずれも、自社製品の添付文書について、新規掲載・改訂指示反映・削除等を実施することができ、また製薬企業向けサイトは追加で、医薬品の副作用症例情報について、一般公開前に企業向けに情報提供を行うことができる。企業毎にアカウントが発行され、自社製品の情報のみ参照することができる。 |
FLW サイト | SKW サイト内に構築された、医療機関等からの副作用等報告の PMDA 調査結果ダウンロードサイト |
(3) 調達の背景
独立行政法人医薬品医療機器総合機構(以下「PMDA」という。)の中心業務は、審査関連業務、安全対策業務、健康被害救済業務となるが、そのうちの安全対策業務では、医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(以下「医薬品医療機器法」という。)第 68 条の 10 第1項及び第2項に基づく副作用・感染症の報告等を収集管理し、副作用等に対する安全対策に役立てるため、医薬品等の副作用等報告の受付、情報蓄積、検索、解析、評価記録等を支援する副作用等情報管理システム(以下
「副作用システム」という。)及び関連ツールを整備し、運用を行っている。また、医薬品安全対策支援システム(以下「安対システム」という。)では、副作用報告等の解析結果、データマイニング手法による統計学的評価、企業面談時の情報を統合することによる安全対策業務の支援を行っている。
現在は、両システムを統合し、安全対策業務の支援を行う医薬品副作用・安全対策支援統合システム(以下「統合システム」という。)を整備し、運用を行っている。
また、医療機器及び再生医療等製品については、不具合報告の受付、情報蓄積、検索、評価記録等を支援する医療機器不具合情報管理システム及び再生医療等製品不具合報告管理システム(以下「不具合システム」という)により安全対策業務の支援を行っている。
医薬品等の副作用等報告のうち、医療機関報告については、Web、Fax、電子メール又は郵送により、予防接種後副反応疑い報告については、Web、Fax により報告を受付け、調査担当機関(PMDA 調査、企業調査)を振り分けたうえで PMDA からFAX により医薬品等の製造販売業者へ情報提供するとともに、その情報を受けた製造販売業者から事実確認を行った結果に関する回答を FAX により受け取っている。製造販売業者からの回答をもとに PMDA 職員がE2B(R3)で定められたデータ項目に基づいた電子的報告を作成し、副作用システムに登録している。
現在、受付された医療機関報告及び予防接種後副反応疑い報告については進捗管理システムで管理しており、上記の FAX 送信についても管理している。また、統合システムに登録された PMDA 調査担当の医療機関報告等は、情報提供システム SKW サイトの副作用報告の PMDA 調査結果ダウンロードのサイト(以下「FLW サイト」という。)において ICSR データ(XML)やラインリスト情報の提供を行っている。
本調達においては、進捗管理システム及び FLW サイトをベースとして情報共有サイト
(以下「情報共有サイト」という。)を改修・構築し、情報提供システムを経由したデータの提供及び回答の登録を実現したい。
なお、医療機関報告における医療機器及び再生医療等製品の不具合報告についても同様にデータの提供及び回答の登録を可能とする。また、医薬品総合情報ネットワーク事業を医療機器にも応用した、医療機器/体外診断用医薬品製造販売業者の担当者向けサイト(以下「IKW サイト」という。)に情報共有サイトへのリンクを追加し、IKW サイトからも遷移を可能とするものである。
(4) 目的及び期待する効果
医療機関報告及び予防接種後副反応疑い報告にかかる製造販売業者への情報提供および回答については、FAX で行われていることから業務が煩雑で時間がかかり、FAX 番号の間違いによる誤送信のリスクがある。また、在宅での業務に対応することが困難である。進捗管理システムと情報共有サイトを連動し、製造販売業者が情報共有サイトでの情報の確認や回答を可能にすることで、情報の確実な伝達と速やかな回答の入手が実現できるとともに、職員の業務効率化に資することができる。
(5) 業務・情報システムの概要
統合システムでは医薬品の製造販売業者による市販後副作用等報告及び治験副作用等報告について、不具合システムでは医療機器及び再生医療等製品の製造販売業者による市販後不具合等報告について、電子的報告、CD 等報告、又は紙報告等のいずれかの方法による個別症例報告の受付を行っている。電子的報告には、EDI ツールを用いて AS1 規格(SMTP)又は AS2 規格(HTTP)により報告する方法ならびに受付サイトにてアップロードにより報告する方法がある。
医療機関報告については、Web、Fax、電子メール又は郵送により、予防接種後副反応疑い報告は Web、Fax により受付け、PMDA 職員が電子的報告を作成してアップロードにより登録を行っている。医療機関報告及び予防接種後副反応疑い報告については、必要に応じて PMDA で調査を行い、その結果に基づき、報告内容の更新を行っている。
なお、医療機関報告及び予防接種後副反応疑い報告については、その受付状況、調査状況を進捗管理システムで管理している。
患者からの副作用報告については、情報提供システム上に構築された患者副作用報告システムで収集された報告データを連携した患者副作用報告管理システムによりコーディング等を実施し、その結果を基に、PMDA 職員が電子的報告を作成してアップロードにより登録を行っている。
これらの報告で収集された副作用報告について、症例毎に評価を行うとともに、医薬品副作用報告等の解析結果、データマイニング手法による統計学的評価、企業面談時の情報を統合して安全対策業務の支援を行っている。
製造販売業者または医療機関から報告された医薬品の副作用が疑われる国内の症例報告に関する情報については、月次処理によりラインリスト形式のデータを生成し、情報提供システムに連携して公開し、同時に医薬品副作用データベースを生成し、情報提供システムに掲載して情報提供を行っている。
統合システム、不具合システム及び情報提供システムの役割について「図1.1 システム関連図」に示す。
図 1.1 システム関連図
本調達は、「図1.1システム関連図」に示した統合システム上の進捗管理システム及び情報提供システムの情報共有サイトを改修し、製造販売業者への医療機関報告及び予防接種後副反応疑い報告の情報提供および回答登録を可能にするものとである。
(6) 契約条件
受注者は、落札後に以下の契約条件にて PMDA と協議の上、契約を行うこと。
① 契約期間
契約締結日から令和4年3月 31 日まで
② 契約形態
請負契約形態とし、検収や支払方法等は契約書にて定める。
(7) 作業スケジュール
本業務に係る想定スケジュールの概要を図1.2に示す。図1.2はあくまで想定のスケジュールであり、詳細な実施スケジュールは受注者が検討の上、実施計画書に記載すること。
図 1.2 スケジュール概要
2 調達案件及び関連調達案件の調達単位、調達の方式等に関する事項
(1) 調達案件及び関連する調達案件の調達単位、調達の方式、実施時期
関連する調達案件の調達単位、調達の方式、実施時期は次の表の通りである。
表 2.1 関連する調達案件の調達単位、調達の方式、実施時期等(既存契約)
項番 | 調達案件名 | 調達の方式 | 実施時期 | 補足 |
1 | 医薬品副作用・安全対策 | 一般競争入札 | 平成 31 年4月1日 | xxエレクトロ |
支援統合システム及び医 | から令和7年3月 | ニクス株式会社 | ||
療機器不具合情報管理シ | 31 日 | |||
ステムシステムの機器更 | ||||
改及び賃貸借業務 |
(2) 調達案件間の入札制限
なし
3 作業の実施内容に関する事項
(1) 作業の内容
① 設計・開発
ア 設計・開発実施計画書等の作成
ア-1 受注者は、PMDA の指示に基づき、設計・開発実施計画書及び設計・開発実施要領の案を作成し、PMDA の承認を受けること。設計・開発実施計画書にはプロジェクトスコープ、体制表、作業分担、スケジュール、WBS、工程完了基準、成果物、前提条件、制約事項を記載すること。設計・開発実施要領の案には、コミュニケーション管理要領(会議体、議事録作成ルール、連絡方法など)、進捗管理要領・リスク管理要領(報告頻度、報告様式、管理方法)、課
題管理要領・変更管理要領(様式、承認フロー)、構成管理要領、文書管理要領(受領資料の管理方法)、セキュリティ管理要領(セキュリティ対策、履行状況の報告)、品質管理要領(レビュー計画、品質目標、工程完了基準)を記載すること。
イ 設計
イ-1 受注者は、「別紙1 機能要件」及び「別紙2 非機能要件」を満たすための基本設計及び詳細設計を行い、成果物についてPMDA の承認を受けること。
イ-2 受注者は、情報システムの移行の方法、環境、ツール、段取り等を記載した移行計画書を作成し、PMDA の承認を受けること。
イ-3 受注者は、運用設計及び保守設計を行い、情報システムの次期更改までの間に計画的に発生する作業内容、その想定される時期等を取りまとめた中長期運用・保守作業計画の案を作成し、PMDA の確認を受けること。
イ-4 受注者は、運用設計及び保守設計を行い、定常時における月次の作業内容、その想定スケジュール、障害発生時における作業内容等を取りまとめた運用計画及び保守作業計画の案を作成し、PMDA の確認を受けること。
ウ 開発・テスト
ウ-1 受注者は、開発に当たり、アプリケーションプログラムの開発又は保守を効率的に実施するため、プログラミング等のルールを定めた標準(標準コーディング規約、セキュアコーディング規約等)を定め、PMDA の確認を受けること。
ウ-2 受注者は、開発に当たり、情報セキュリティ確保のためのルール遵守や成果物の確認方法(例えば、標準コーディング規約遵守の確認、ソースコードの検査、現場での抜き打ち調査等についての実施主体、手順、方法等)を定 め、PMDA の確認を受けること。
ウ-3 受注者は、単体テスト、結合テスト及び総合テストについて、テスト体制、テスト環境、作業内容、作業スケジュール、テストシナリオ、合否判定基準等を記載したテスト計画書を作成し、PMDA の承認を受けること。
ウ-4 受注者は、設計工程の成果物及びテスト計画書に基づき、アプリケーションプログラムの開発、テストを行うこと。
ウ-5 受注者は、テスト計画書に基づき、各テストの実施状況を PMDA に報告すること。
エ 受入テスト支援
エ-1 受注者は、PMDA が受入テストのテスト計画書を作成するに当たり、情報提供等の支援を行うこと。
エ-2 受注者は、PMDA が受入テストを実施するに当たり、環境整備、運用等の支援を行うこと。
エ-3 受注者は、PMDA の指示に基づき、情報システム利用者のテスト実施も含めて、テスト計画書作成の支援を行うこと。
オ 導入・移行
オ-1 受注者は、PMDA の移行判定を受けて、導入・移行計画書に基づく導入・移行作業を行うこと。
オ-2 受注者は、データ移行に当たり、新規情報システムのデータ構造を明示し、保有・管理するデータの変換、移行要領の策定、例外データ等の処理方法等に関する手順書を作成し、PMDA の承認を受けること。
オ-3 受注者は、上記手順書に従い、データを変換・移行した後は、移行後のデータだけでなく、例外データ等についても確認を行い、データの信頼性の確保を図ること。
カ 引継ぎ
カ-1 受注者は、設計・開発の設計書、作業経緯、残存課題等を文書化し、運用事業者及び保守事業者に対して確実な引継ぎを行うこと。
② 運用
ア 中長期運用・保守作業計画の確定支援
ア-1 受注者は、PMDA が中長期運用・保守作業計画を確定するに当たり、情報システムの構成やライフサイクルを通じた運用業務及び保守作業の内容について、計画案の妥当性の確認、情報提供等の支援を行うこと。
イ 運用計画及び運用実施要領の作成支援
イ-1 受注者は、PMDA が運用計画及び運用実施要領を作成するに当たり、具体的な作業内容や実施時間、実施サイクル等に関する資料作成等の支援を行うこと。
ウ 引継ぎ
ウ-1 受注者は、本契約の終了後に他の運用事業者が本情報システムの運用を受注した場合には、次期運用事業者に対し、作業経緯、残存課題等についての引継ぎを行うこと。
ウ-2 引き継ぎに際し、作業経緯、残存課題等に関してPMDA 及び運用・支援事業者から情報提供及び質疑応答等があった場合には速やかに対応すること。それらにかかる費用は本調達に含まれる。
③ 保守
ア 中長期運用・保守作業計画の確定支援
ア-1 受注者は、PMDA が中長期運用・保守作業計画を確定するに当たり、情報システムの構成やライフサイクルを通じた運用業務及び保守作業の内容について、計画案の妥当性の確認、情報提供等の支援を行うこと。
x xx作業計画及び保守実施要領の作成支援
イ-1 受注者は、PMDA が保守作業計画及び保守実施要領を作成するに当たり、具体的な作業内容や実施時間、実施サイクル等に関する資料作成等の支援を行うこと。
ウ 引継ぎ
ウ-1 受注者は、本契約の終了後に他の保守事業者が本情報システムの保守を受注した場合には、次期保守事業者に対し、作業経緯、残存課題等についての引継ぎを行うこと。
ウ-2 引き継ぎに際し、作業経緯、残存課題等に関してPMDA 及び運用・支援事業者から情報提供及び質疑応答等があった場合には速やかに対応すること。それらにかかる費用は本調達に含まれる。
④ 管理
ア プロジェクト管理
ア-1 プロジェクト実施計画書にて合意した管理要領に基づき、本業務が遅滞なく進捗するよう管理すること。管理にあたっては、以下に留意すること。
・プロジェクトの状況を正しく把握し、計画工数内で所定の期日までに納入成果物を作成することを目的として、実施計画書に記載した管理手法に基づき、EVM・WBS 等による予実管理を実施すること。
・受注者側のプロジェクトマネージャは、本業務におけるあらゆるタスクのあらゆるリスクについて、その発現を未然に防ぐための措置を施すととも
に、発現時の対応方針を事前に検討しておくこと。発現の蓋然性が高く、また発現がプロジェクトの方針の大幅な変更を要すると考えられるリスクについては、発現時の対応方針案について事前にPMDA と相談する等し て、発現時のインパクトを最小限に留めるよう工夫すること。
・万が一、リスクが発現した場合は、可及的速やかに対応し被害を最小化するとともに、速やかに進捗を正常化するための措置を施すこと。
・プロジェクト体制の中に複数のサブチームを設ける場合、サブチーム間で必要な情報共有を適切に行うこと。
イ 作業工数実績の報告
イ-1 受注者は、本業務で実施した作業の工数について、月次で PMDA に報告すること。報告の様式等に関しては、業務開始時にPMDA と協議し決定すること。
(2) 成果物の範囲、納品期日等
① 成果物
作業工程別の納入成果物を表 3.1に示す。ただし、納入成果物の構成、詳細については、受注後、PMDA と協議し取り決めること。
表 3.1 工程と成果物
項番 | 工程 | 納入成果物 (注 1) | 納入期日 |
1 | 計画 | ・設計・開発実施計画書(プロジェクトスコープ、体制表、作業分担、スケジュール、WBS、成果 物、工程完了基準、前提条件、制約事項) ・設計・開発実施要領案(コミュニケーション管理要領、進捗管理要領・リスク管理要領、課題管理要領・変更管理要領、構成管理要領、文書管理要領、セキュリティ管理要領、品質管理要領) | 契約締結日から2週間以内 |
2 | 基本設計 | ・実現方式設計書 ・基本設計書 | 令和3年 9月 30 日 |
3 | 詳細設計・開発 | ・詳細設計書 ・環境定義書 ・標準開発ポリシー定義書 ・アクセス権限/ロール一覧x | xx3年 10 月 29 日 |
4 | テスト | ・テスト計画書 ・テスト結果報告書 ・テスト結果エビデンス ・テストデータ | 令和4年 2月 28 日 |
5 | 導入・移行 | ・導入・移行計画書 ・導入・移行手順書 ・導入・移行作業結果報告書 ・ソフトウェア製品 ・開発環境 ・ソースコード ・実行プログラム | 令和4年 3月 25 日 |
6 | 教育 | ・教育計画書 ・操作マニュアル(管理者) ・操作マニュアル(一般ユーザ) ・業務マニュアル(運用・保守事業者) ・教育用資料 ・教育作業結果報告書等 ・FAQ | 令和4年 3月 25 日 |
7 | 移行 | ・移行計画書 ・移行作業結果報告書 | 令和4年 3月 25 日 |
項番 | 工程 | 納入成果物 (注 1) | 納入期日 |
・移行手順書 | |||
8 | 運用 | ・運用計画書 ・運用手順書 | 令和4年 3月 25 日 |
9 | 保守 | ・保守計画書 ・保守手順書 | 令和4年 3月 25 日 |
10 | その他 | ・打合せ資料 ・議事録 ・機密情報受理管理簿 ・データ消去証明書 ・開発に係る中間成果物 ・瑕疵担保責任対応に係る保有情報の一覧 | 令和4年 3月 25 日 (※必要に応じて随時提 出) |
注 1 納入成果物の作成にあたっては、SLCP-JCF2013(共通フレーム 2013)を参考とすること。
② 納品方法
表 3.1の納入成果物を含む全ての納入成果物を納入期日までに納品すること。なお、納入成果物については、以下の条件を満たすこと。
ア 文書を磁気媒体等(CD-R 又は CD-RW 等)により日本語で提供すること。
イ 磁気媒体等に保存する形式は、PDF 形式及びMicrosoft Office2016 で扱える形式とする。ただし、PMDA が別に形式を定めて提出を求めた場合は、この限りではない。
ウ 磁気媒体については二部ずつ用意すること。
エ 一般に市販されているツール、パッケージ類の使用は PMDA と協議の上、必要であれば使用を認めることとするが、特定ベンダーに依存する(著作権、著作者人格権を有する)ツール等は極力使用しないこと。
オ 基本設計書及び詳細設計書については、最低限以下のドキュメントを含み、他業者がこれを基にして同一システムを開発できるレベルの設計書を作成すること。必須ドキュメント:システム機能設計書、コード設計書、帳票設計書、画面設計書、画面遷移図、データ設計書(ER 図、データモデル、論理データ設計書、ファイル定義書、物理データベース設計書を含む。) 、xxx設計書 (ジョブフロー) 、障害対策設計書、セキュリティ対策設計書、完成図書 (機能説明書、プログラム説明書) 、外部インターフェース設計書(インターフェース一覧、インターフェース関連表、インターフェース定義書等)及びプログラムリスト等。現在利用中の開発ツールに加え、新しく開発ツールを導入する場合はそのライセンス及びメディアを納入すること。
カ 本調達で使用した開発ツール等の本稼働後5年間のライセンス及びメディアを納入すること。
キ 本業務を実施する上で必要となる一切の機器物品等は、受注者の責任で手配するとともに、費用を負担すること。
ク 本調達の納入実行ファイルを作成した開発環境(開発ツール及び実行ファイル作成に用いたプログラム等で構成された環境一式を示す。)を検証環境に構築すること。
ケ 各工程の中間成果物も含め、本調達に係る全ての資料を納品すること。
③ 納品場所
PMDA 安全性情報・企画管理部 情報管理課
4 満たすべき要件に関する事項
本業務の実施にあたっては、「別紙1 機能要件」「別紙2 非機能要件」「別紙3情報セキュリティ要件」の各要件を満たすこと。
5 作業の実施体制・方法に関する事項
(1) 作業実施体制
プロジェクトの推進体制及び本件受注者に求める作業実施体制は次の図及び表のとおりである。なお、受注者内のチーム編成については想定である。受注者は、本業務に係る要員の役割分担、責任分担、体制図等を実施計画書の一部として作成し、PMDA に報告するとともに、承認を得ること。また、受注者は、必要な要員の調達を遅滞なく実施 し、体制図等の要員配置関連資料を確定すること。なお、要員配置関連資料の作成に当たっては、情報セキュリティ対策の管理体制を明確に記載すること。
① プロジェクトマネジメントに係る、品質管理・進捗管理・セキュリティ管理・リスク管理等の必要な機能を、体制に組み込むこと。
② 作業体制の品質確保のため、本業務の運用責任者・xxxは業務開始から業務終了まで継続して遂行すること。交代する場合は同等以上の要員が担当するものとし、事前に PMDA の承認を得ること。
③ 受注者は、PMDA 側やその他関連事業者を含めた全体の体制・役割を示した上で、プロジェクトの推進体制及び本件受注者に求める作業実施体制を PMDA と協議の上定めること。
④ システム設計・開発等を複数業者が連携(再委託を含めて)して実施する等の場合は、参画する各業者の役割分担等を明示すること。
(2) 管理体制
① 本業務の実施に当たり、PMDA の意図しない変更が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること。また、当該品質保証体制が書類等で確認できること。
② 本情報システムに PMDA の意図しない変更が行われるなどの不正が見つかった時
(不正が行われていると疑わしい時も含む)に、追跡調査や立入検査等、PMDA と受注者が連携して原因を調査・排除できる体制を整備していること。また、当該体制が書類等で確認できること。
③ 当該管理体制を確認する際の参照情報として、資本関係・役員等の情報、本業務の実施場所、本業務従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供を行うこと。具体的な情報提供内容については PMDA と協議の上、決定するものとする。
(3) 作業要員に求める資格等の要件
① 設計・開発に携わるxxxは特定非営利活動法人 日本プロジェクトマネジメント協会の「プロジェクトマネジメント・スペシャリスト(PMS)」、PMI(Project Management Institute)の「PMP」資格、独立行政法人情報処理推進機構(IPA)の「プロジェクトマネージャ」資格のいずれかを取得していること。
② 情報セキュリティ対策の管理体制の責任者は、情報処理の促進に関する法律(昭和 45 年 5 月 22 日法律第 90 号)に基づく情報処理安全確保支援士の登録を受けている者又は同等の資格を有する者であること。
③ 医薬品副作用報告の業務を理解しており、本業務システムの設計にあたり、PMDAに逐次業務の説明を求めることなく担当者とスムーズな会話ができる知識を有していること。
(4) 作業場所
① 受注業務の作業場所(サーバ設置場所等を含む)は、(再委託も含めて)PMDA内、又は日本国内で PMDA の承認した場所で作業すること。
② 受注業務で用いるサーバ、データ等は日本国外に持ち出さないこと。
③ PMDA 内での作業においては、必要な規定の手続を実施し承認を得ること。
④ なお、必要に応じて PMDA 職員は現地確認を実施できることとする。
(5) 作業の管理に関する要領
① 受注者は、PMDA が承認した設計・開発実施要項に基づき、設計・開発業務、運用業務及び保守業務に係るコミュニケーション管理、進捗管理、リスク管理、課題管理、変更管理、構成管理、文書管理、セキュリティ管理、品質管理を行うこと。
ア コミュニケーション管理は、会議体(名称、目的、頻度、参加者)、資料及び議事録の提出期限(3営業日以内)、連絡方法を記載すること。
イ 進捗管理は、報告頻度、報告様式、管理方法を記載すること。また、「3
(1)④管理」に従うこと。
ウ リスク管理は、報告頻度、報告様式、管理方法を記載すること。なお、報告様式にはリスク一覧及びリスク対応策を記載し、月次での報告とすること。
エ 課題管理は、課題管理表の様式を記載し、都度報告及び月次での報告とすること。
オ 変更管理は、変更一覧の様式及び変更管理プロセスを記載し、都度及び月次での報告とすること。
カ 構成管理及び文書管理は、受領した資料の管理方法、構成管理の対象、構成管理に使用するツール等を記載すること。
キ セキュリティ対策は、医薬品医療機器総合機構 情報セキュリティポリシーを遵守するための情報セキュリティ対策を記載し、履行状況報告を月次での報告とすること。
ク 品質管理は、レビュー計画、品質目標、工程完了基準を記載すること。
6 作業の実施に当たっての遵守事項
(1) 基本事項
受注者は、次に掲げる事項を遵守すること。
① 本業務の遂行に当たり、業務の継続を第一に考え、善良な管理者の注意義務をもって誠実に行うこと。
② 本業務に従事する要員は、PMDA と日本語により円滑なコミュニケーションを行う能力と意思を有していること。
③ 本業務の履行場所を他の目的のために使用しないこと。
④ 本業務に従事する要員は、履行場所での所定の名札の着用等、従事に関する所定の規則に従うこと。
⑤ 要員の資質、規律保持、風紀及び衛生・健康に関すること等の人事管理並びに要員の責めに起因して発生した火災・盗難等不祥事が発生した場合の一切の責任を負うこと。
⑥ 受注者は、本業務の履行に際し、PMDA からの質問、検査及び資料の提示等の指示に応じること。また、修正及び改善要求があった場合には、別途協議の場を設けて対応すること。
⑦ 次回の本業務調達に向けた現状調査、PMDA が依頼する技術的支援に対する回答、助言を行うこと。
⑧ 本業務においては、業務終了後の運用等を、受注者によらずこれを行うことが可能となるよう詳細にドキュメント類の整備を行うこと。
(2) 機密保持、資料の取扱い
本業務を実施する上で必要とされる機密保持に係る条件は、以下のとおり。
① 受注者は、受注業務の実施の過程で PMDA が開示した情報(公知の情報を除く。以下同じ。)、他の受注者が提示した情報及び受注者が作成した情報を、本受注業務の目的以外に使用又は第三者に開示若しくは漏洩してはならないものとし、そのために必要な措置を講ずること。
② 受注者は、本受注業務を実施するにあたり、PMDA から入手した資料等については管理簿等により適切に管理し、かつ、以下の事項に従うこと。
• 複製しないこと。
• 用務に必要がなくなり次第、速やかに PMDA に返却又は消去すること。
• 受注業務完了後、上記①に記載される情報を削除又は返却し、受注者において該当情報を保持しないことを誓約する旨の書類を PMDA に提出すること。
③ 応札希望者についても上記①及び②に準ずること。
④ 「独立行政法人 医薬品医療機器総合機構 情報システム管理利用規程」の第 52条に従うこと。
⑤ 「秘密保持等に関する誓約書」を別途提出し、これを遵守しなければならない。
⑥ 機密保持の期間は、当該情報が公知の情報になるまでの期間とする。
(3) 遵守する法令等
本業務を実施するにあたっての遵守事項は、以下のとおり。
① 受注者は、民法、刑法、著作xx、不正アクセス行為の禁止等に関する法律、行政機関の保有する個人情報の保護に関する法律等の関連法規及び労働関係法令を遵守すること。
② 受注者は、次の文書に記載された事項を遵守すること。遵守すべき文書が変更された場合は変更後の文書を遵守すること。
ア 独立行政法人 医薬品医療機器総合機構 情報セキュリティポリシーイ 独立行政法人 医薬品医療機器総合機構 情報システム管理利用規程ウ 独立行政法人 医薬品医療機器総合機構 個人情報管理規程
なお、「独立行政法人 医薬品医療機器総合機構 PMDA 情報セキュリティポリシー」は非公開であるが、「政府機関等の情報セキュリティ対策のための統一基準
(最新版)」に準拠しているので、必要に応じ参照し、その内容を取り込むこ と。「独立行政法人 医薬品医療機器総合機構 PMDA 情報セキュリティポリシー」の開示については、事業者が PMDA に「秘密保持等に関する誓約書」を提出した際に開示する。
③ PMDA へ提示する電子ファイルは事前にウイルスチェック等を行い、悪意のあるソフトウェア等が混入していないことを確認すること。
④ 受注者は、本業務において取り扱う情報の漏洩、改ざん、滅失等が発生することを防止する観点から、情報の適正な保護・管理対策を実施するとともに、これらの実施状況について、PMDA が定期又は不定期の検査を行う場合においてこれに応じること。万一、情報の漏洩、改ざん、滅失等が発生した場合に実施すべき事項及び手順等を明確にするとともに、事前に PMDA に提出すること。また、そのような事態が発生した場合は、PMDA に報告するとともに、当該手順等に基づき可及的速やかに修復すること。
7 成果物の取扱いに関する事項
(1) 知的財産権の帰属
知的財産の帰属は、以下のとおり。
① 本件に係り作成・変更・更新されるドキュメント類及びプログラムの著作権(著作xx第 21 条から第 28 条に定めるすべての権利を含む。)は、受注者が本件のシステム開発の従前より権利を保有していた等の明確な理由により、あらかじめ書面にて権利譲渡不可能と示されたもの以外、PMDA が所有する等現有資産を移行等して発生した権利を含めてすべて PMDA に帰属するものとする。
② 本件に係り発生した権利については、受注者は著作者人格権(著作xx第 18 条から第 20 条までに規定する権利をいう。)を行使しないものとする。
③ 本件に係り発生した権利については、今後、二次的著作物が作成された場合等であっても、受注者は原著作物の著作権者としての権利を行使しないものとする。
④ 本件に係り作成・変更・修正されるドキュメント類及びプログラム等に第三者が権利を有する著作物が含まれる場合、受注者は当該著作物の使用に必要な費用負担や使用許諾契約に係る一切の手続きを行うこと。この場合は事前に PMDA に報告し、承認を得ること。
⑤ 本件に係り第三者との間に著作権に係る権利侵害の紛争が生じた場合には、当該紛争の原因が専ら PMDA の責めに帰す場合を除き、受注者の責任、負担において一切を処理すること。この場合、PMDA は係る紛争の事実を知ったときは、受注者に通知し、必要な範囲で訴訟上の防衛を受注者にゆだねる等の協力措置を講ずる。なお、受注者の著作又は一般に公開されている著作について、引用する場合は出典を明示するとともに、受注者の責任において著作者等の承認を得るものとし、 PMDA に提出する際は、その旨併せて報告するものとする。
(2) 契約不適合責任
① 受注者は本業務の納入成果物に対する契約不適合責任を負うものとする。委託業務の納入成果物に関して仕様書と異なる、または契約目的に照らして通常期待される条件を満たしていない等本システムの正常な稼動等に関わる契約不適合の疑いが生じた場合であって、PMDA が必要と認めた場合は、受注者は速やかに契約不適合の疑いに関して調査し回答すること。調査の結果、納入成果物に関して契約不適合等が認められた場合には、受注者の責任及び負担において速やかに修正を行うこと。なお、修正を実施する場合においては、修正方法等について、事前に PMDA の承認を得てから着手すると共に、修正結果等について、PMDA の承認を受けること。
② 受注者は、契約不適合責任を果たす上で必要な情報を整理し、その一覧をPMDA に提出すること。契約不適合責任の期間が終了するまで、それら情報が漏洩しないように、ISO/IEC27001 認証(国際標準規格)又は JISQ27001 認証(日本産業規格)に従い、また個人情報を取り扱う場合には JISQ15001(日本産業規格)に従い、厳重に管理をすること。また、契約不適合責任の期間が終了した後は、速やかにそれら情報をデータ復元ソフトウェア等を利用してもデータが復元されないように完全に消去すること。データ消去作業終了後、受注者は消去完了を明記した証明書を作業xxとともに PMDA に対して提出すること。なお、データ消去作業に必要な機器等については、受注者の負担で用意すること。
(3) 検収
納入成果物については、適宜、PMDA に進捗状況の報告を行うとともに、レビューを受けること。最終的な納入成果物については、「3(2)①成果物」に記載のすべてが揃
っていること及びレビュー後の改訂事項等が反映されていることを、PMDA が確認し、これらが確認され次第、検収終了とする。
なお、以下についても遵守すること。
① 検査の結果、納入成果物の全部又は一部に不合格品を生じた場合には、受注者は直ちに引き取り、必要な修復を行った後、PMDA の承認を得て指定した日時までに修正が反映されたすべての納入成果物を納入すること。
② 「納入成果物」に規定されたもの以外にも、必要に応じて提出を求める場合があるので、作成資料等を常に管理し、最新状態に保っておくこと。
③ PMDA の品質管理担当者が検査を行った結果、不適切と判断した場合は、品質管理担当者の指示に従い対応を行うこと。
8 入札参加資格に関する事項
(1) 入札参加要件
応札希望者は、以下の条件を満たしていること。
① 開発責任部署は ISO9001 又は CMMI レベル3以上の認定を取得していること。
② ISO/IEC27001 認証(国際標準)又は JISQ27001 認証(日本産業標準)のいずれかを取得していること。
③ PMDA にて現行関連システムの設計書等を閲覧し、内容を十分理解していること。
④ 応札時には、開発する機能毎に十分に細分化された工数、概算スケジュールを含む見積り根拠資料の即時提出が可能であること。なお、応札後に PMDA が見積り根拠資料の提出を求めた際、即時に提出されなかった場合には、契約を締結しないことがある。
(2) 入札制限
情報システムの調達のxx性を確保するために、以下に示す事業者は本調達に参加できない。
① PMDA の CIO 補佐が現に属する、又は過去2年間に属していた事業者等
② 各工程の調達仕様書の作成に直接関与した事業者等
③ ①~③の親会社及び子会社(「財務諸表等の用語、様式及び作成方法に関する規則」(昭和 38 年大蔵省令第 59 号)第8条に規定する親会社及び子会社をいう。以下同じ。)
④ ①~③と同一の親会社を持つ事業者
⑤ ①~③から委託を請ける等緊密な利害関係を有する事業者
9 情報セキュリティ管理
(1) 情報セキュリティ対策の実施
受託者は、以下を含む情報セキュリティ対策を実施すること。また、その実施内容及び管理体制についてまとめた情報セキュリティ管理計画書を受注後速やかに提出して PMDA の承認を受けること。
① PMDA から提供する情報の目的外利用を禁止すること。
② 本業務の実施に当たり、受託者又はその従業員、本調達の役務内容の一部を再委託する先、若しくはその他の者により、PMDA の意図せざる変更が加えられないための管理体制が整備されていること。
③ 受託者の資本関係・役員等の情報、本業務の実施場所、本業務従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供を行うこと。具体的な情報提供内容については PMDA と協議の上、決定するものとする。
④ 情報セキュリティインシデントへの対処方法(対処手順、責任分界、対処体制、対応時間、情報伝達時間・手段等)が確立されていること。
⑤ 情報セキュリティ対策その他の契約の履行状況を定期的に確認し、PMDA へ報告すること。
⑥ 情報セキュリティ対策の履行が不十分である場合、その原因について調査・排除するため、PMDA による追跡調査や立ち入り検査等について連携・協力する体制が構築できていること。また速やかに改善策を提出し、PMDA の承認を受けた上で実施すること。
⑦ 本業務に係る業務の遂行における情報セキュリティ対策の履行状況を確認するために、PMDA が必要と判断した場合は、情報セキュリティ監査を受入れること。
⑧ 本調達の役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるように上記①~⑥に関する事項を記載した情報セキュリティ管理計画書を作成し、PMDA の承認を受けること。
⑨ PMDA から要保護情報を受領する場合は、情報セキュリティに配慮した受領及び管理方法にて行うこと。
⑩ PMDA から受領した要保護情報が不要になった場合は、これを確実に返却、又は抹消し、書面にて報告すること。
⑪ 本業務において、情報セキュリティインシデントの発生又は情報の目的外利用等を認知した場合は、速やかに PMDA に報告すること。
(2) 情報セキュリティ監査の実施
① PMDA がその実施内容(監査内容、対象範囲、実施等)を定めて、情報セキュリティ監査等を行う(PMDA が選定した事業者による監査を含む。)ものとする。受託者は、あらかじめ情報セキュリティ監査等を受け入れる部門、場所、時期、条件等を「実施計画書」に付記し提示すること。
② 受託者は自ら実施した外部監査についても PMDA へ報告すること。
③ 受託者は、情報セキュリティ監査の結果、本調達における情報セキュリティ対策の履行状況について PMDA が改善を求めた場合には、PMDA と協議の上、必要な改善策を立案して速やかに改善を実施するものとする。
④ 本調達に関する監査等が実施される場合、受託者は、技術支援及び情報提供を行うこと。
⑤ 受託者は、指摘や進捗等把握のための資料提出依頼等があった場合は、PMDA と協議の上、内容に沿って適切な対応を行うこと。
情報セキュリティ監査の実施については、本項に記載した内容を上回る措置を講ずることを妨げるものではない。
10 再委託に関する事項
(1) 再委託の制限及び再委託を認める場合の条件
① 受注者は、受注業務の全部又は主要部分を第三者に再委託することはできない。
② プロジェクト管理責任者を再委託先事業者の社員とすることはできない。
③ ①における「主要部分」とは、以下に掲げるものをいう。ア 総合的な企画及び判断並びに業務遂行管理
イ 手法の決定及び技術的判断
ウ SLCP-JCF2013 の 2.3 開発プロセス、及び 2.4 ソフトウェア実装プロセスで定める各プロセスで、以下に示す要件定義・基本設計工程に相当するもの。
・ 2.3.1 プロセス開始の準備
・ 2.3.2 システム要件定義プロセス
・ 2.3.3 システム方式設計プロセス
・ 2.4.2 ソフトウェア要件定義プロセス
・ 2.4.3 ソフトウェア方式設計プロセス
ただし、以下の場合には再委託を可能とする。
・ 補足説明資料作成支援等の補助的業務
・ 機能毎の工数見積において、工数が比較的小規模(本調達における工数全体の
5分の1以下を目安とし、PMDA が事前に承認したもの)であった機能に係るソフトウェア要件定義等業務
④ 再委託先が「8(2)入札制限」の要件を満たすこと。
⑤ 受注者の責任において、サプライチェーンリスクの発生を未然に防止するための体制を確立すること。
⑥ 再委託における情報セキュリティ要件については以下のとおり。
・ PMDA から提供する情報の目的外利用を禁止すること。
・ 受注者は、再委託先における情報セキュリティ対策、及びその他の契約の履行状況の確認方法を整備し、PMDA へ報告すること。
・ 受注者は再委託先における情報セキュリティ対策の履行状況を定期的に確認すること。また、情報セキュリティ対策の履行が不十分な場合、その原因について調査・排除するため、PMDA による追跡調査や立ち入り検査等について連携・協力する体制が構築できていること。また、その対処方法を検討し、PMDA へ報告すること。
・ 受注者は、情報セキュリティ監査を実施する場合、再委託先も対象とするものとする。
・ 受注者は、再委託先が自ら実施した外部監査についても PMDA へ報告すること。
・ 受注者は、委託した業務の終了時に、再委託先において取り扱われた情報が確実に返却、又は抹消されたことを確認すること。
(2) 承認手続
受注者は、受託業務を再委託する場合、予め再委託の相手方の商号又は名称及び住所並びに再委託を行う業務の範囲、再委託の必要性(及び契約金額)について記載した
「再委託に関する承認申請書」を提出し、PMDA の承認を受けること。申請にあたって、次に掲げる事項を遵守すること。
・ 再委託先が情報セキュリティに関する管理体制と管理基準、社内規程が整備されている事実を証明する書面。(例:管理体制図、社内規程、ISO 認証、外部監査実績、等)及び受注者と再委託先との委託契約書の写し及び委託要領等の写しを、「再委託に関する承認申請書」に添付して提出すること。
・ 再委託の相手方は「8(2)入札制限」の対象となる事業者でないこと。
・ 受注者は、機密保持、知的財産xxに関して本仕様書が定める受注者の責務を再委託先業者も負うよう、必要な処置を実施し、PMDA に報告し、承認を受けること。
・ 受注者は再委託先の資本関係・役員等の情報、委託事業の実施場所、委託事業従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供を行うこと。具体的な情報提供内容については PMDA と協議の上、決定するものとする。
(3) 再委託先の契約違反
再委託先において、本調達仕様書の遵守事項に定める事項に関する義務違反又は義務を怠った場合には、受注者が一切の責任を負うとともに、PMDA は、当該再委託先への再委託の中止を請求することができる。
11 その他特記事項
(1) 環境への配慮
環境への負荷を低減するため、以下に準拠すること。
① 本件に係る納入成果物については、最新の「国等による環境物品等の調達の推進等に関する法律(グリーン購入法)」に基づいた製品を可能な限り導入すること。
② 導入する機器等がある場合は、性能や機能の低下を招かない範囲で、消費電力節減、発熱対策、騒音対策等の環境配慮を行うこと。
(2) その他
PMDA 全体管理組織(PMO)が担当課に対して指導、助言等を行った場合には、受注者もその方針に従うこと。
12 附属文書
(1) 要件定義書
別紙1 機能要件 別紙2 非機能要件
別紙3 情報セキュリティ要件
(2) 事業者が閲覧できる資料一覧
閲覧資料1 独立行政法人 医薬品医療機器総合機構 情報セキュリティポリシー閲覧資料2 PMDA 情報セキュリティインシデント対処手順書
閲覧資料3 セキュリティ管理要件書(ひな型)
閲覧資料4 医薬品副作用・安全対策支援統合システム設計書
閲覧資料5 アプリケーション・コンテンツ提供時の情報セキュリティ対策実施手順書
(3) 閲覧要領
資料の閲覧を希望する場合は、「秘密保持等に関する誓約書」を提出の上、PMDAが定める期間、場所、方法において閲覧を許可する。閲覧可能としている資料については、複写及び撮影等は禁止する。なお、閲覧資料2~5の資料に関しては、事業者から申出があれば、CD/DVD にて提供する。貸し出した CD/DVD は開札日までに返却すること
閲覧期間 公告日から令和3年4月16日まで
13 窓口連絡先
独立行政法人 医薬品医療機器総合機構安全性情報・企画管理部 情報管理課
電話:03 (3506) 9482
Email:shibayama-taisuke●pmda.go.jp
※●を@(半角)に置き換えて下さい。
1. 情報共有サイト
・製造販売業者が医薬品副作用報告、医療機器及び再生医療等製品の不具合報告の送信者識別子を使用したログインを可能とする。
・ログイン時には送信者識別子に加えて企業毎に登録した個人アカウント及びパスワードで承認を行う。
・アカウントに対して製品の別(医薬品、医療機器、再生医療等製品)に対して参照・編集できる権限設定を可能とする。
・医療機関報告及び予防接種後副反応疑い報告のPDF を共有する。
・送信者識別子で表示する報告を制御し、ログインしている製造販売業者に紐づく報告のみ参照可能とする。
・製品の別(医薬品、医療機器、再生医療等製品)毎に一覧を表示し、タブで切り替え可能とする。
一覧で表示する項目は下記を想定している。
項目 | 備考 |
受付番号 | 進捗管理システムの情報より連携して表示 |
情報提供日 | |
機構受付日 | |
被疑薬 | |
対象/対象外/除外の別 | |
初回/追加報の別 | |
調査対象機関 | |
医療機関報告PDF ダウンロード | 個別のPDF ダウンロード |
PDF ダウンロードの有無 | 情報共有サイトで自動設定 |
企業回答日 | |
回答内容 | 企業担当者による選択/入力 |
識別番号・管理番号 | |
備考 | |
企業回答に関連するファイルのアップ ロード | 企業担当者によるファイルのアップ ロード(写真等) |
・一覧表示から回答内容、識別番号・管理番号、備考についての情報入力およびファイルのアップロードを可能とする。
・受付番号、情報提供日、調査対象機関、回答状況等による検索、ソートを可能とする。
・回答内容の修正を可能とする。
・回答の修正が発生した場合には内部的に履歴として管理すること。
・未取得PDF の一括ダウンロード機能を設ける。
・メール送信機能(情報提供時等)
・PMDA からPDF を提供した時(追加報も)
・調査担当機関や対象/対象外/除外の別等が変更となった時
・メールについては再送可能としたい。
・督促メール
・情報提供後、一定期間(案:1 営業日)ダウンロードがない場合
・情報提供後、一定期間(案:31 日)企業回答の登録が無い場合
・記載内容や送信期間等については、製品の別毎に設定可能としたい。
・督促メールについては再送可能としたい。
2. 進捗管理システム
・現行のFAX 送付データ機能を改修し、情報提供機能として機能を追加する。
・現行のFAX 送付データについて、レコードを手動で追加可能な仕様とする。
・PDF の登録機能
・ 情報提供する PDF は 1 レコード(現行の送付履歴)に対して 1 ファイルとする。
・ 手動で登録・削除が可能とする。
・ 一括アップロード機能(PDF のファイル名で制御する)を可能とする。
・連携対象を判別するためのステータス(確認済/未確認等)設定を可能とする。
・情報共有サイトとの連携機能
・ 情報提供情報(進捗管理システムの情報より連携して表示することとした情報共有サイトでの一覧表示項目及びPDF)を情報共有サイトに連携する。
・ 情報共有サイトの一覧表示項目のうち、PDF ダウンロードの有無、企業回答日、回答内容等を、進捗管理システムに連携する。
・ アップロードされた企業回答に関連するファイルは進捗管理システムを利用する環境からアクセス可能な共有フォルダーに受付番号等で分類して保管する。
・ 連携は一日に数回実施する。
・ 企業回答の変更については履歴として保持する。
・企業回答のメールによる通知
・ 回答に追加/変更があった場合、医療機関報告及び予防接種後副反応疑い報告毎にメールにより、受付番号、追加/変更の別、回答内容等を指定した宛先へ通知する。
・現行のFAX での送付、回答受信の反映機能も継続可能とする
3. その他改修
業務の効率化、利便性の向上に資するために、PMDA の指示の下、情報共有サイト、FLW サイト、進捗管理システム及び安対システムに対して環境の整備及び画面・帳票レイアウトの変更、検索条件の修正、他システム連携等の軽微な改修を実施すること。(8 人月程度)
具体的な改修項目としては下記等を想定している。
・受領書の送付日設定および再送機能の実装
・検索条件の追加(数項目)
・報告書PDF の削除機能の追加
・不具合システムとの企業マスタ連携機能の追加
・情報共有サイトのメール配信先を安対システム(機器及び再生の場合は不具合システムを想定)と連携する。
・情報共有サイトのメール配信先のサブアドレスを情報共有サイトでも登録可能(製品の別毎に設定可能が理想)な仕様とする。なおこの登録は、PMDA 側ではなく、企業側での設定可能とする機能とする。
・FLW サイトにおいて、医薬品の副作用症例情報について、一般公開前に企業向けに情報提供を行っているが、この情報提供時に企業へ情報更新の連絡をメールにて行っている。連絡の際に、公開対象企業が連絡対象になっていない場合には、システムでアラートを出力し企業情報について安対システムの企業マスタと連携可能とし、追加を可能とする。また、すでに連絡対象となっている場合にも企業マスタの情報を最新の情報へ自動更新可能とする。
・安対システムにおけるワクチン評価にかかる機能追加を行う。
・定型帳票出力設定画面へ新設の帳票を追加する。
・評価結果表示画面や症例評価入力画面で非重篤の副作用の認識を可能とする。
・上記改修に伴う画面表示等の修正及び改善
目次
1 ユーザビリティ及びアクセシビリティに関する事項 1
(1) 情報システムの利用者の種類、特性 1
(2) ユーザビリティ要件 1
(3) アクセシビリティ要件 1
2 システム方式に関する事項 1
(1) 情報システムの全体構成 1
3 規模に関する事項 2
(1) 利用者数等 2
(2) 処理件数 2
(3) データ量 2
4 性能に関する事項 2
5 信頼性に関する事項 3
(1) 可用性要件 3
(2) 完全性要件 4
(3) 機密性要件 4
6 拡張性に関する事項 4
(1) 機能の拡張性 4
7 上位互換性に関する事項 5
8 中立性に関する事項 5
9 継続性に関する事項 5
10 情報セキュリティに関する事項 5
(1) 情報セキュリティ対策 5
(2) 個人情報及びプライバシー保護への配慮 6
11 テストに関する事項 6
(1) テスト工程共通要件 6
(2) テストデータ及びその取扱い 7
(3) テスト計画書 7
(4) 単体テスト 8
(5) 結合テスト 8
(6) 総合テスト 8
(7) 負荷テスト/パフォーマンステスト 8
(8) ドキュメントテスト 8
(9) セキュリティテスト 8
(10) 受入テストの支援 9
(11) テスト時の障害対応 9
12 移行に関する事項 9
(1) 移行手順 9
(2) 移行要件 9
(3) 移行対象データ 10
13 引継ぎに関する事項 10
(1) 運用・保守業者への引継ぎ 10
14 教育に関する事項 10
(1) 教育対象者の範囲、教育の方法 10
(2) 教材の作成 11
15 運用に関する事項 11
(1) 運転管理・監視等要件 11
(2) 運用サポート業務 11
(3) 業務運用支援 11
16 保守に関する事項 11
(1) アプリケーションプログラムの保守要件 11
1 ユーザビリティ及びアクセシビリティに関する事項
(1) 情報システムの利用者の種類、特性
No. | 利用者区分 | 利用者の種類 | 特性 | 補足 |
1 | PMDA 内 | PMDA 職員 | 特定ユーザ、内部ネットワークからのみのアクセス | |
2 | PMDA 外 | 厚生労働省、感染症研究所の職員 | 特定ユーザ、専用ネットワークからのみのアクセス | |
3 | PMDA 外 | 製造販売業者等の副作用報告並びに不具合報告担当者 医療従事者 | 不特定ユーザ、インターネットからのアクセス |
(2) ユーザビリティ要件
本調達において現行システムから、ユーザビリティ要件に原則変更はない。ただし、現行システムで使用しているソフトウェアに依存する機能において、該当ソフトウェアが販売中止で使用できない、または新バージョンにおける機能変更等でやむを得ず変更が発生する場合は、PMDA の承認を得ることで変更を許可する場合がある。その際、設計書および手順書の該当箇所の変更するものとする。
(3) アクセシビリティ要件
本調達において、現行システムから、アクセシビリティ要件に原則変更はない。ただし、ソフトウェアの新バージョンにおける画面イメージ変更等でやむを得ず画面レイアウト等を変更する場合は、PMDA の承認を得ることで変更を許可する場合がある。その際、設計書および手順書の該当箇所の画面イメージを変更するものとする。ただし、軽微な画面イメージの変更の場合は画面イメージの差し替えは不要とする。
本調達作業開始後に別途定める推奨環境以外での利用については、利用は妨げることはないが、動作の保証はしないものとする。
2 システム方式に関する事項
(1) 情報システムの全体構成
本調達は医薬品副作用・安全対策支援統合システム(以下「統合システム」という。)上に医療機関報告及び予防接種後副反応疑い報告の電子化の仕組みを新たに構築するものであるが、統合システムに加え、医療機器不具合情報管理システム及び再生医療等製品不具合情報管理システム(以下「不具合システム」という。)は共通基盤で稼働している。
情報システムの概要については調達仕様書の「1.(5) 業務・情報システムの概
要」を参照のこと。
3 規模に関する事項
(1) 利用者数等
統合システム及び不具合システムを利用して調査等の業務を行う利用者数は 400 名程度であり、同時アクセス数はピーク時 100、平均 80 とする。
但し、医療機関報告及び予防接種後副反応疑い報告については、同時アクセス数はピーク時 10 程度と想定している。
(2) 処理件数
統合システム及び不具合システムで受け付ける報告件数は、1日当たり 5,000 件程度である。
但し、医療機関報告及び予防接種後副反応疑い報告については、あわせて最大 200 件程度である。
(3) データ量
年度 | 医薬品副作用等報告数 | 医療機器不具合等報告数 | |||
企業報告 | 安全性情報報告制度 | 予防接種後 副反応疑い報告 | 企業報告 | 安全性情報報告制度 | |
平成 26 年度 | 352,908 | 4,782 | 1,398 | 32,490 | 420 |
平成 27 年度 | 399,852 | 4,891 | 1,238 | 46,406 | 406 |
平成 28 年度 | 453,296 | 4,956 | 1,091 | 52,063 | 548 |
平成 29 年度 | 490,019 | 6,606 | 1,018 | 56,081 | 441 |
平成 30 年度 | 556,424 | 9,065 | 863 | 57,439 | 487 |
令和元年 | 595,494 | 8,739 | 785 | 80,467 | 497 |
情報システムにおけるデータ件数は、「表 1」に示すとおりである。表 1 医薬品副作用及び医療機器不具合等報告数
なお、企業報告において、EDI ツールを用いた AS1 規格の場合は最大 10MB、AS2 規格の場合は最大 50MB、受付サイトからアップロードする場合は最大 100MB のファイルサイズの報告を受付けている。
4 性能に関する事項
現行システムの性能要件を満たすこと。
5 信頼性に関する事項
(1) 可用性要件
① 可用性に係る目標値
可用性に係る目標値は、「表 2」に示す。
表 2 情報システムのSLA
No. | SLA 項目 | 説明 | 設定値 |
1 | サービス稼働時間 | ・情報システムのサービスが提供される時間帯 ・定期保守、法定停電等による停止時間を除く | 24 時間 365 日 |
2 | 運用・保守サービス時間 | ・運用・保守サービスのうち、監視業務、障害対応業務が提供される時間帯 | 平日:09:30~ 18:00 ハード故障については 24 時間 365 日の連絡受付が取れること |
3 | 稼働率(正常稼働時) | ・No.1 に示すサービス稼働時間における稼働予定時間に対して実際に稼働した時間(稼働時 間)の割合であり、以下の式により計算する | 98.5%以上 |
<稼働率(%)=(1-1 ヶ月の停止時間÷1ヶ月の稼動予定時間)×100> | |||
・ 稼動予定時間とは、定期保守、法定停電等による計画した停止時間を除く、1ヶ月に稼動すべき時間である | |||
・ 停止時間とは、サービスが停止していると確認された時刻(本調達で導入する監視機能で障害を検知した時刻、または、利用者が連絡した時刻のいずれか早い方)から利用可能とされた時刻までの経過時間を指す | |||
・ 停止時間には、待機系システム等への切換えのために発生した停止時間、障害からの本格復旧のために必要になった停止時間、人為的なミスにより発生した停止時間等を含む | |||
・ 冗長化構成されている部分のうち、一部分が停止した場合でも、冗長化によりサービスの |
提供に支障を来たさなかった場合には、停止時間として取り扱わない ・ PMDA 側に責任があることが確認できた場合には、停止時間として取り扱わない | |||
4 | RPO(目標 復旧時点) | ・データの損失は許容できないため、データの再送や再処理を含め、障害発生時までの復旧を基本とする(大規模災害時を除く) | データの障害: 障害発生時 |
機器等の障害:直近のバックアップ時点 | |||
大規模災害時: 1か月以内 | |||
5 | RTO(目標 復旧時間) | ・業務停止時間を極力少なくするため、6時間以内の復旧を目標とする(大規模災害時を除く) | データの障害: 6時間以内 |
機器等の障害: 10 時間以内 | |||
大規模災害時:数か月以内 |
② 可用性に係る対策
本調達を実現するにあたり、①の目標値を達成するための施策を検討し、必要に応じて対策を施すこと。
(2) 完全性要件
データの紛失や改ざんからデータを保護し、データの正確性及びデータの一貫性を保証することとする。
(3) 機密性要件
利用を許可された者以外の第三者は、システムを利用できないこととする。
6 拡張性に関する事項
(1) 機能の拡張性
① 管理情報の拡大
本調達において構築するデータベースの容量等について事前に拡張性を含めた試算を行う事。
7 上位互換性に関する事項
OS、ミドルウェア等のソフトウェアパッケージのバージョンアップに対して、影響範囲が限定的で、小規模の改修で対応可能なシステムとすること。また、バージョンアップへの対応が技術的に困難である場合は、PMDA と協議し、その指示に従うこと。
8 中立性に関する事項
特定の製品、技術等に依存することなく、運用・保守を担当するベンダの交替時、システム拡張時、あるいは次期更改時等において、他の業者等に必要な情報を、支障なく引き継ぐことが可能なシステム構成とすること。
9 継続性に関する事項
統合システムの継続性に係る事項に準じること。
10 情報セキュリティに関する事項
(1) 情報セキュリティ対策
原則として、基本設計書に規定する施策を踏まえ、本調達において本受託者が納入するアプリケーションについて、下記①及び②に示す機能または代替手段について PMDAと協議を行い、合意した対策を実施すること。
また、下記③から⑥に示す項目について対応すること。
① 情報セキュリティ機能の実装
ア 業務上必要なアクセスに限るための利用者認証機能
イ テストデータ等をマスキング(変換、置換、シャッフル等)する機能
ウ ブラウザ経由にて想定される Web アプリケーションに対する不正アクセス
(クロスサイトスクリプティング、SQL インジェクション等)対策機能
② 脆弱性検査の実施
ア 本調達に基づくシステム構築が影響する範囲について、脆弱性検査を実施し、その結果を PMDA に書面にて報告すること。なお、インターフェイスシステム等、他機関より提供され改修することなく実装するソフトウェアについては、脆弱性検査の対象外とする。脆弱性診断にあたっては、新たな脆弱性を年間 10 件以上発見した実績を持つ第三者による検査を実施すること。検査内容については PMDA と協議のうえ決定することとする。
イ 決定した対処又は代替措置を実施すること。
③ 脆弱性対策の実施
本調達に係る業務遂行に当たり、情報セキュリティが侵害された、又はその恐れがある場合には、速やかに PMDA に報告すること。これに該当する場合には以下
の事象を含む。
ア 本受託者に対して提供した、あるいはアクセスを認めた PMDA の情報を目的外に利用した場合又は外部漏えいした場合
イ 本受託者に対して提供していない又はアクセスを認めていない PMDA の情報にアクセスした場合
④ 情報セキュリティ対策の履行状況の報告
本調達に係る業務の遂行におけるセキュリティ対策の履行状況について、PMDA から報告を求めた場合には速やかに提出すること。
⑤ 情報セキュリティ監査への支援
PMDA が第三者機関等による情報セキュリティ監査を受ける場合には、PMDA を支援すること。情報セキュリティ監査の結果、対策が必要な場合は、PMDA と協議を行い、合意した対策を実施すること。
⑥ 情報セキュリティ監査への対応
本調達に係る業務の遂行において、本受託者における情報セキュリティ対策の履行が不十分であると認められる場合には、本受託者は、PMDA の求めに応じ、PMDAと協議を行い、合意した対応を実施すること。
(2) 個人情報及びプライバシー保護への配慮
医療機関報告及び予防接種後副反応疑い報告に係る電子化業務の運用について、設計段階からプライバシー保護に配慮したものとするため、Privacy By Design に基づいた方策を提案すること。また、提案した方策について、プライバシー影響評価(PIA)を行い、リスクの低減または回避を行うこと。
11 テストに関する事項
(1) テスト工程共通要件
実施する単体テスト、結合テスト、総合テスト、受入テストについて、共通となる要件は以下のとおり。
① 情報システムの正常稼働を保証するためのテストとして、単体テスト、結合テスト及び総合テストを実施すること。また、PMDA が行う受入(運用)テストの支援を行うこと。
② 各テストを行うため一連のテストケース(入力、出力、及びテスト合否基準)、テストデータ、及びテスト手順を整理し、テスト計画書として作成し、PMDA と協議の上、承認を得ること。
③ 各テスト終了時に、実施内容、品質評価結果、及び次工程への申し送り事項等について、テスト結果報告書を作成し、PMDA と協議の上、承認を得ること。
④ テストに使用するテストツール等については、PMDA と協議の上、使用すること。
(2) テストデータ及びその取扱い
受注者が主体的に実施するテスト(以下「テスト工程」という。)においては、受注者が準備したテスト用データを使用すること。ただし、テスト工程において PMDA のデータ(以下「本番データ」という。)を使用する場合は、必要性等を PMDA に説明 し、PMDA の承諾を得て使用すること。なお、テスト工程における本番データの管理責任は受注者が負うこと。
特に、外部接続を行うテストにおいて本番データを使用する場合は、外部にデータが漏洩しないことが前提となる。そのため、外部接続を行うテストにおいては、アプリケーションおよび機器等の設定を確認し、さらに、スタブモジュール等を作成するな ど、本番データにアクセスできないような施策を講じること。なお、外部接続を行うテストにおけるテスト方針およびデータの取り扱い等については、テスト計画時に PMDAと協議の上取り決めを行うこと。
PMDA が主体的に実施するテスト(以下「受入テスト」という。)においては、本番データを使用することになり、その管理責任は PMDA が負うことになる。ただし、受入テストにおける操作ではなく、受注者の操作等により漏洩等のインシデントが発生した場合はその限りではない。
(3) テスト計画書
実施する単体テスト、結合テスト、総合テストについて、設計し、テスト方針、実施内容、及び実施理由を記述し、テスト計画書として提示し、テスト開始1ヶ月前までに PMDA と協議の上、承認を得ること。
承認されたテスト計画書に基づき、進捗管理を確実に実施すると共に、進捗状況の報告を定期的かつ PMDA の求めに応じて行うこと。
以下に、テスト計画書で必要と考える事項を示す。
① テスト概要 ア テスト範囲
イ テスト品質目標(テスト項目数、バグ検出数)
② テストに関する実施作業及びスケジュール
③ テスト環境(テストに使用した回線及び機器構成、その他ツール、場所等)。
④ テスト体制(テスト実施者、テスト結果確認者(評価者))
⑤ 使用及び提出するドキュメントとその定義ア テスト項目一覧
イ テスト仕様書
ウ 懸案事項一覧
エ テスト結果報告書
(4) 単体テスト
プログラム及びモジュールが個別単体において正しく機能することを確認する。パッケージ化されたプログラム及びモジュールについてもテスト範囲とする。パッケージ化されている範囲について単体テストを実施しない場合には、実施しなくても該当機能が正しく機能することを別の手段で証明し、PMDA と協議の上、承認を得ること。
(5) 結合テスト
プログラム及びモジュールが、情報システムの各システムの単位でそれぞれ正しく機能することを確認するため、段階的に結合した状態でテストを行い、ソフトウェアの結合が完全であることを確認する。
(6) 総合テスト
情報システム全体として要件どおりにシステムが構築されていることを確認するために、テストを行い、システムが納品可能な状態であることを確認する。確認に当たっては、ソフトウェア製品が仕様に適合し、かつ実稼働環境で利用可能であることを確認できる評価指標及び合格条件を設定した上で、テストを実施する。
特に、総合テストにおける性能及び負荷のテストにおいては、想定する最大人数が同時に利用開始した場合であっても問題が生じないことを確認する。
なお、総合テストの開始にあたっては、HW 更改で実施された各種設定について確認し、齟齬がないことを確認すること。
(7) 負荷テスト/パフォーマンステスト
情報システム全体として規模に関する事項及び性能に関する事項を満たしていることを確認するためにテストを行い、システムが納品可能な状態であることを確認する。
(8) ドキュメントテスト
運用手順書及び保守手順書に記載したとおりに動作することを確認するために、テストを行い、システムが納品可能な状態であることを確認する。
(9) セキュリティテスト
移行したアプリケーションが情報セキュリティに関する事項を満たしていることを確認するためにテストを行い、システムが納品可能な状態であることを確認する。
(10) 受入テストの支援
PMDA が実施する受入テストにおいて、本受託者は、テスト計画の策定、準備、テストの実施、成果物の作成、テスト実施結果の報告等に関して、基盤製品に関する設定変 更、情報提供等の必要な支援を行うこと。
(11) テスト時の障害対応
本受託者は、各テストの実施時に発生した障害や性能に関する課題について、一時切り分けを行い、必要に応じて HW 更改業者に問合せを行い、調査結果に基づいて、適切な対応を実施すること、また、基盤製品に関する設定変更が必要な場合は、協議のうえで対応の依頼を行うこと。
12 移行に関する事項
(1) 移行手順
移行において想定する作業は以下のとおり。
① 移行計画書の策定
② 移行設計
③ 移行手順の作成・検証
④ 移行プログラムの作成・検証
⑤ リスクの洗い出し・コンティンジェンシープランの作成
⑥ 移行リハーサルの実施
⑦ 移行判定
⑧ 移行作業の実施
(2) 移行要件
現行システムから更改後のシステムへの移行に当たっては、機器の安定稼働及び業務の継続に影響を与えることなく、速やかに実施する必要がある。以下の基本方針に基づき、移行計画・作業を行うこと。
① 情報システムの安定した稼働及び業務の継続に影響を与えることがないよう、安全で確実な作業を優先すること。
② PMDA が承認した日時を除き、現在稼働中のシステムのサービスを停止することなく、移行作業を行うこと。
③ システムの停止を伴う作業が避けられない場合には、システム利用者への影響を最小限に抑えるため、平日においては、勤務時間外、その他土日及び休日を作業実施
日の基本として検討し、停止予定日より、原則1ヶ月前に停止日時及び停止による影響(停止するサービスの範囲)について、PMDA の承認を書面にて得ること。
④ 移行作業中に障害が発生した場合には、速やかに原因究明にあたるとともに、移行実施計画書、システム切替手順書に従い、切り戻し作業を行い、PMDA の承認を得て、必要な障害対処作業を本受託者の責任と負担により実施すること。
(3) 移行対象データ
改修により移行が必要となったデータをすべて移行対象とする。移行計画において移行対象のデータを確定すること。
13 引継ぎに関する事項
(1) 運用・保守業者への引継ぎ
以下の事項に留意して、運用・保守業者等に引継ぎを実施すること。
なお、引継ぎ先、引継ぎ内容及び手順等の概要を、「表3 引継ぎ内容、手順」に示す。
① 運用・保守業務の円滑な実施に役立つよう、必要な各種情報及び資料の提供を行うこと。
② 引継ぎの内容は、事前にPMDA に示し承認を得ること。
③ 引継ぎの実施に当たっては、PMDA 及び引継ぎ先と日程を調整した上で実施すること。
④ 引継ぎに必要な資料等は、本受託者において用意すること。
⑤ 必要に応じて、実機での操作説明等を行うこと。
表 3 引継ぎ内容、手順
No. | 引継ぎ発生時(予定) | 引継ぎ元 | 引継ぎ先 | 引継ぎ内容 | 引継ぎ手順 |
1 | 令和3年3月 | 本受託者 | 情報システム運用業者 | 情報システムの運用手順等、本受託者及び PMDAが必要と判断した引継ぎを行うこと。 | ・引継計画書を策定すること。 ・引継計画書に基づ き、引継ぎを実施 し、引継ぎ実施後、引継ぎ完了報告書を作成すること。 |
14 教育に関する事項
(1) 教育対象者の範囲、教育の方法
PMDA 内外のシステム利用者に対し、各1回程度説明会を実施し、変更点を周知すること。
(2) 教材の作成
説明会の実施にあたり、変更点を抜粋した資料を作成すること。
15 運用に関する事項
(1) 運転管理・監視等要件
情報システムの運用時間については、5(1)可用性要件に示す。
(2) 運用サポート業務
情報システムの運用サポート業務は、別途調達する運用支援業者が実施するため、本調達の対象外とする。
(3) 業務運用支援
情報システムの業務運用支援業務は、別途調達する運用支援業者が実施するため、本調達の対象外とする。
16 保守に関する事項
(1) アプリケーションプログラムの保守要件
情報システムのアプリケーションプログラムの保守業務は、別途調達する運用支援業者が実施するため、本調達の対象外とする。
1. 委託
(1) 受託者は、以下の内容を含む情報セキュリティ対策の遵守方法、情報セキュリティ管理体制等に関する確認書等を提出すること。また、変更があった場合は、速やかに再提出すること。
a) 当該委託業務に携わる者の特定
b) 当該委託業務に携わる者が実施する具体的な情報セキュリティ対策の内容
c) 当該委託業務に携わる者との就業規則等に基づく守秘義務契約・誓約書等の締結
2. 情報システムのライフサイクル
2.1 情報システムの構築に係る対策
(1) 受託者は、情報セキュリティの観点に基づく試験について、以下を含む事項を実施すること。
a) ソフトウェアの作成及び試験を行う情報システムについては、情報セキュリティの観点から運用中の情報システムに悪影響が及ばないように、運用中の情報システムと分離すること。
b) 情報セキュリティの観点から必要な試験がある場合には、試験項目及び試験方法を定め、これに基づいて試験を実施すること。
c) 情報セキュリティの観点から実施した試験の実施記録を保存すること。
d) 開発中のソフトウェアの動作確認のために、運用中の情報システムの要機密情報をテストデータとして、試験を行う情報システムにおいて使用しないようにすること。但し、外部からのアクセスを遮断するなどのセキュリティ対策を実施したうえで、PMDA が運用中の情報システムの要機密情報をテストデータとして使用することを認める場合がある。
2.2 情報システムの運用・保守に係る対策
(1) 受託者は、情報システムの運用・保守において、情報システムに実装されたセキュリティ機能が適切に運用されるために、以下を含む事項について PMDA と協議し、運用・保守手順書を見直すこと。
a) 情報システムの運用環境に課せられるべき条件の整備
b) 情報システムのセキュリティ監視を行う場合の監視手順や連絡方法
c) 情報システムの保守における情報セキュリティ対策
d) 運用中の情報システムに脆弱性が存在することが判明した場合の情報セキュリティ対策
(2) 受託者は、機密性4情報又は機密性3情報を取り扱う情報システムの改修作業を行う場合は、以下の情報セキュリティ対策を実施させること。
a) 要員個人の専用アカウントの使用及び当該アカウントの適切な管理
b) 個人情報へのアクセスの有無及びアクセスした場合は対象の情報を含む作業記録の作成
c) 要員の離職や担当変え等時の報告
d) メンテナンス実施時における作業申請の事前提出(日単位)及びメンテナンス終了時の速やかな作業報告書の提出
e) 機密性4情報又は機密性3情報を含むデータを PMDA 外に持ち出すことは認めない
f) 必要に応じて PMDA による監査の受入れ
3. 情報システムのセキュリティ要件
3.1 主体認証機能
(1) 受託者は、PMDA から主体認証方式(知識(パスワード等)、所有(IC カード又はワンタイムパスワード生成器等)、生体(指紋や静脈等))に係る指示に基づき、主体認証機能を設けること。
(2) 知識による主体認証方式を用いる場合には、以下の機能を設けること。
a) 利用者が自ら主体認証情報を設定する機能や、利用者以外の者が主体認証情報を設定する場合に、利用者へ安全な方法で主体認証情報を割り当てる機能
b) 利用者が主体認証情報としてパスワードを設定する際に、以下の要素を考慮して、セキュリティ上の強度が指定以上となるよう、情報システムに要求する機能 (ア)パスワードに用いる文字の種類とその組み合わせ
(イ)パスワードの桁数(8 文字以上)
(ウ)パスワードの有効期間(最長 2 ヶ月)
(エ)大規模な辞書を用いたパスワード解析への耐性
(3) 主体認証情報を他の主体に利用され、又は利用されるおそれを認識した場合に当該主体認証情報を用いた不正アクセスが行われないよう、以下を例とする、当該主体認証による情報システムの利用を停止する機能を設けること。
a) パスワード入力が不成功に終わった場合の再入力に対して一定不応時間の設定機能
b) パスワード再入力の失敗が一定回数を超えた場合は再入力を一定期間受け付けない機能
3.2 ログの取得・管理
(1) 以下を例とする、ログとして取得する情報項目を定め、管理可能なこと。
a) 事象の主体(人物又は機器等)を示す識別コード
b) 識別コードの発行等の管理記録
c) 利用者による情報システムの操作記録
d) 事象の種類
e) 事象の対象(機密性4情報又は機密性3情報を取り扱う情報システムにおいて
はログイン中に操作した個人情報)
f) 正確な日付及び時刻
g) 試みられたアクセスに関わる情報
h) 電子メールのヘッダ情報及び送信内容
i) 通信パケットの内容
j) 操作する者、監視する者、保守する者等への通知の内容
(2) 取得したログを効率的かつ確実に点検及び分析し、その結果を報告するために、以下を例とする、当該作業を支援する機能を導入すること。
a) ログ情報をソフトウェア等により集計し、時系列で表示し、報告書を生成するなどの作業の自動化
b) 機密性4情報又は機密性3情報を取り扱う情報システムの保守作業に関わるログの確認手段として、アクセスした情報を時系列順に並べで表示し、かつ指定時間内でどの情報に何回のアクセスが行われたかが確認できる仕組み