1.件名 p.3
詳報作成支援システムの改修、運用及び保守
仕 様 書
※本仕様書は、予告なしに修正又は訂正する場合があります。その際は、当機構ホームページ上にて仕様書の修正又は正誤xxを公示いたしますので、必ず、ご確認下さい。
独立行政法人 製品評価技術基盤機構
「詳報作成支援システムの改修、運用及び保守」に関する仕様書
目次
第1章 調達作業の概要
1.件名 p.3
2.目的 p.3
3.用語の定義 p.3
4.詳報作成支援システムの概要 p.5
5.作業内容(調達の範囲)
5.1 調達の範囲 p.7
5.2 保守運用に関わる作業 p.9
5.3 ユーザー研修 p.9
6.スケジュール p.9
7.納入物 p.10
8.検収 p.12
9.システムの構築作業 p.12
10.納入場所 p.12
第2章 システム改修要件
1.機能改修 p.13
2.性能要件 p.13
3.信頼性要件 p.13
4.拡張性要件 p.13
5.システム中立性要件 p.13
6.事業継続性要件 p.14
7.情報セキュリティ要件 p.14
8.アクセシビリティ要件 p.14
9.その他の要件 p.14
第3章 システムの稼働環境要件
1.システム構成 p.15
2.ハードウェア及びソフトウェア構成 p.15
3.ネットワーク構成 p.16
第4章 テスト要件
1.テスト計画書作成 p.17
2.テスト実施要件 p.17
第5章 受入テスト実施要領
1.受入テスト p.21
2.OS、ミドルウェア、ネットワークの設定要件 p.21
3.テストデータの用意 p.21
4.改修版への反映 p.21
第6章 保守運用要件
1.全体 p.22
2.平常時の保守及び運用要件 p.22
3.障害発生時の保守及び運用要件 p.23
第7章 実施体制
1.作業体制 p.24
2.開発方法 p.24
第8章 契約条件
1.業務の再委託 p.26
2.知的財産権の帰属等 p.26
3.機密保持 p.26
4.情報セキュリティに関する受注者の責任 p.27
5.適合証明書等 p.30
6.ドキュメント等の貸与 p.30
7.契約不適合 p.30
8.法令等の遵守 p.31
9.契約形態 p.31
10.応札条件 p.31
11.特記事項 p.32
第1章 調達作業の概要
1.件名
詳報作成支援システムの改修、運用及び保守
2.目的
2.1 電気事業法(昭和 39 年法律第 170 号)第 106 条の規定に基づき制定された電
気関係報告規則(昭和 44 年 6 月 15 日通商産業省令第 54 号)第 3 条に基づき、電
気事業者(電気事業法第 38 条第 4 項各号に掲げる事業を営む者に限る。)又は自家用電気工作物を設置する者は、該当する事故が発生した場合には、事故の発生を知った日から起算して 30 日以内に指定された様式に基づく報告書(以下「詳報」という。)を経済産業大臣又は電気工作物の設置の場所を所管する産業保安監督部長に提出しなければならない。
独立行政法人製品評価技術基盤機構(以下「機構」という)は、電気事業者又は自家用電気工作物を設置する者が監督官庁に報告する詳報について作成支援を行うシステムを平成 29 年度(2017 年度)に開発し、それ以降運用及び保守を役務契約で実施している。
これまで運用時に発生した軽微な改修については運用及び保守契約の範囲で改修を行ってきたが、軽微な改修で対応できない改修について運用及び保守契約の範囲内で実施出来ないことから、詳報作成支援システムの改修を行うための役務契約を調達する。
2.2 また、上記2.2項に併せて今年度は、一般用電気工作物のうち風力発電設備(20kw 以下)、xxx発電設備(10kw 以上 50kw 未満)といった小出力発電設備に関わる事故報告作成に関する機能についても現行の詳報作成支援システムに追加を実施するものである。
(当該システムに追加する内容については、別添5フロー図(青色塗布部)参照)
2.3 上記2.1項や2.2項の他、NITE-LAN システム環境で適切かつ継続的な情報提供を確保するため運用や保守作業等のための役務契約についての調達も併せて行うものである。
3.用語の定義
表 1:用語の定義
用語 | 定義 |
機構 | 独立行政法人製品評価技術基盤機構 |
NITE | 独立行政法人製品評価技術基盤機構の英語名称の略称 National Institute of Technology and Evaluation の略称 |
機構本所 | xxxxxxxx 0-00-00 に所在する機構の拠点 |
担当職員 | 詳報作成支援システムの改修、運用及び保守業務を担当する機構 国際評価技術本部電力安全センターの職員 |
機構職員 | 国際評価技術本部職員 |
受注者 | 当該役務を受注した者 |
NITE-LAN システム | 機構内に構築されているサーバ、クライアント端末(NITE-LAN端末)及びネットワーク環境(NITE-LAN)を含めた共通基盤情報システムであり、機構企画管理部情報システム課が管理、運用 しているシステム。 |
電気工作物 | 電気事業法(昭和 39 年法律第 170 号)第 2 条第十八号に規定され、発電、変電、送電若しくは配電又は電気の使用のために設置する機械、器具、ダム、水路、貯水池、電線路その他の工作物(船舶、車両又は航空機に設置されるものその他の政令で定めるもの を除く。)をいう。 |
電気工作物の種類 | ①「一般用電気工作物」とは、主に一般住宅や小規模な店舗、事業所などのように、他の者から低圧(600V 以下)の電圧で受電している場所等の電気工作物をいう。 ②「事業用電気工作物」とは「一般用電気工作物」以外の電気工作物をいう。 ③「自家用電気工作物」とは、事業用電気工作物であって、「電気事業(一定規模以下の発電事業を除く)の用に供する電気工作物」以外の例えば工場やビルなどのように電気事業者から高圧以上の電圧で受電している事業所等の電気工作物(需要設備等)を いう。 |
小出力発電設備 | 一般用電気工作物のうち、風力発電設備(20kw 以下)、xxx 発電設備(10kw 以上 50kw 未満)等をいう。 |
詳報(現行の詳報) | 電気関係報告規則(昭和 44 年 6 月 15 日通商産業省令第 54 号) 第 3 条に基づいて電気事業者(電気事業法第 38 条第 3 項各号に掲げる事業を営む者に限る。)又は自家用電気工作物設置者から該当する事故の内容に応じて経済産業大臣又は電気工作物の設 置の場所を所管する産業保安監督部長に提出される事故報告書 |
METI-LAN システム | 経済産業省に構築されているサーバ、クライアント端末 (METI-LAN 端末)及びネットワーク環境(METI-LAN)を含めた共通基盤情報システムであり、経済産業省大臣官房情報システム厚生課が管理、運用しているシステム |
本省電安課 | 経済産業省商務情報政策局産業保安グループ電力安全課 |
保安監督部電安課 | 各地域に設置されている経済産業省産業保安監督部電力安全課等であり、以下の 10 の組織が含まれる。 ①北海道産業保安監督部電力安全課 ②関東東北産業保安監督部東北支部電力安全課 |
③関東東北産業保安監督部電力安全課 ④中部近畿産業保安監督部電力安全課 ⑤中部近畿産業保安監督部北陸産業保安監督署 ⑥中部近畿産業保安監督部近畿支部電力安全課 ⑦中国四国産業保安監督部電力安全課 ⑧中国四国産業保安監督部四国支部電力安全課 ⑨九州産業保安監督部電力安全課 ⑩那覇産業保安監督事務所保安監督課 | |
詳報作成支援システム | ①電気事業者又は自家用電気工作物設置者が行う詳報の作成を支援する情報システムであり、機構が開発を外部に委託し、平成 29 年度(2017 年度)に構築したシステム(現在の詳報作成支援システム)。 ②また、本役務において、現行の詳報作成支援システムに小出力 発電設備に関する事故報告作成機能を追加する。 |
詳報管理システム | 電気工作物に関する事故の再発防止に貢献するため、詳報の情報を行政において体系的に保存、整理し、分析する情報システムであり、機構が開発を外部に委託し平成 30 年度(2018 年度)に構 築したシステム |
詳報公表システム | 詳報管理システムに登録された詳報の情報を加工した上で一般に広く公表するシステムであり、機構が開発を外部に委託し平成 30 年度(2018 年度)に構築したシステム |
現契約者 | 令和元年(2019 年度)に運用・保守について契約を行った事業 者 |
電気関係事故報告 | 電気事業法(昭和 39 年法律第 170 号)第 106 条の規定に基づき 制定された電気関係報告規則(昭和 44 年 6 月 15 日通商産業省令 第 54 号)第 3 条に基づき、電気事業者(電気事業法第 38 条第 4項各号に掲げる事業を営む者に限る。)又は自家用電気工作物を設置する者は、該当する事故が発生した場合には、事故の発生を知った日から起算して 30 日以内に指定された様式に基づく報告書(「詳報」)を経済産業大臣又は電気工作物の設置の場所を所 管する産業保安監督部長に提出しなければならないもの。 |
4.現在の詳報作成支援システムの概要
電気事業者にあっては電気事業の用に供する電気工作物に関して、自家用電気工作物を設置する者にあっては自家用電気工作物に関して、次に該当する事故が発生したときは電気関係報告規則第3条に基づき、電気関係報告規則第3条第2項に定める様式第13にしたがい所管の産業保安監督部長又は経済産業大臣に電気事故の報告を 30 日以内にしなければならない。
【参考】電気関係報告規則第3条表より
○感電又は破損事故若しくは電気工作物の誤操作若しくは電気工作物を操作しないことにより人が死傷した事故(第1号)
○電気火災事故(第2号)
○電気工作物の破損又は電気工作物の誤操作若しくは電気工作物を操作しないことにより、他の物件に損傷を与え、又はその機能の全部又は一部を損なわせた事故(第
3号)
○主要電気工作物の破損事故(第4号・第5号)
○水力発電所、火力発電所、燃料電池発電所、xx電池発電所、風力発電所に属する出力10万キロワット以上の発電設備に係る7日間以上の発電支障事故(第6号)
○供給支障事故(第7号・第8号)
○波及事故(第9~11号)
○ダムによって貯留された流水が当該ダムの洪水吐から異常に放流された事故(第1
2号)
○電気工作物に係る社会的に影響を及ぼした事故(第13号)
上記のとおり、事業者は①感電による事故、②他に波及させてしまった事故、③破損による事故など多種多様の事故を報告しなければならなく、それぞれ報告書に記載しなければならない内容が異なっている。
詳報作成支援システムの概要は、以下のとおり。
①現行の詳報作成支援システムは以下のURLで一般公開を行っている。
xxxxx://xxx.xxxx.xx.xx/xxxx/xxx/xxxxxxxxxxxx/
②選択形式に出来る項目については選択形式にし報告書を提出する事業者の入力の負担を軽減させる。
③事故内容によって入力必須項目を変化させ必須項目に漏れが無いよう入力をアシストする。また、必須項目に漏れが発生した場合、警告を表示させる。
④入力の終えた内容を報告書様式13の形式に記載及び電気関係報告規則各号ごとの詳細や電気工作物情報を別紙に記載し印刷させる(別添1参照)。
⑤作成された報告書様式第13や別紙の内容を、XML 形式で電子媒体に保存。
(参考:XMLファイル項目数 約2000項目)。
⑥階層イメージは別添2のとおり。階層毎に複数の情報を持つ。
⑦画面遷移イメージは別添3のとおり。
なお、画面遷移するごとに入力データの入力内容に間違いが無いかエラーチェックを行っている。
エラーチェックの内容は、電気工学(学士課程卒業程度)・電気事業法・電気関係報告規則を理解しているものであれば対応出来る範囲のものである。
⑧当システムで報告書を作成した場合、入力項目は約1000項目ある(参考:XM Lファイル項目数 約2000項目)。
いずれも、画面遷移するたびに入力間違えエラーチェックを行っている。
⑨構築言語:PHP 7.2.34
⑩モジュール数:約100
⑪設計書等の詳細情報については、別途、受注者に開示する。
なお、本仕様書による調達に係る見積書の作成、入札への参加に関し必要な場合は、第8章6.のとおり、別添9「秘密保持誓約書」を提出の上、設計書等のドキュメントに関する資料を貸与等により閲覧することができる。
5.作業内容(調達の範囲)
5.1 調達の範囲
以下①~⑨に掲げる仕様を満たすこと。
なお、①~⑨に掲げる修正や機能追加を行う際、現行の詳報の入力情報をXMLファイルへ保存する方法が変更になる場合(項目ごとの吐き出し内容が変わる、もしくは選択肢が増える場合等)詳報管理システムへの影響がないか確認を行う必要がある。受注者は変更する内容を担当職員から提供されるXML定義書に変更内容をとりまとめ、担当職員から詳報管理システム担当職員に確認し、詳報管理システム担当職員から詳報管理システムに影響がない旨の回答をもって本役務を実施すること。
しかしながら、詳報管理システムへの影響が確認された場合は、可能な限り修正を行うこと。
例1:項目名Aを数値型からメモ型に変更する
例2:項目名B 番号の付与方法を変更する 20201010090901→S2020101009091
例3:項目名C 選択式 01:●●●●、02:●●△△に、本役務によって、03
:□□●●■を新規に追加する等、XMLファイルに情報を保存する際に、現在の定義内容から変更する場合は、必ず担当職員に確認し詳報管理システムに影響がない旨の確認を行うこと。
①保存したXMLファイルについて、現行の詳報について入力し保存したものなのか、小出力発電設備に関する事故報告書を入力し保存したものなのか、現在の詳報作成支援システムを踏襲した内容でXMLファイルに保存できるようにすること。 また、詳報作成支援システムの旧バージョンで作成されたものか、現在のXMLファイルへの保存内容を踏襲した方法で分別できるように、XMLファイルへの保存内容を定義すること(旧システムで保存したものを旧バージョンのシステムからリロードできるようにするため)。
②詳報作成支援システムのプログラムの改修(現行の詳報を作成する機能の改修))ア 改修内容は別添4に示す。受注者は、別添4に掲げる仕様を満たした改修を
行うこと。(現行の詳報作成支援機能に関する改修および小出力発電設備の事故報告書作成機能の追加イメージは別添5参照)。
イ 別添4で掲げる改修する項目以外は、現在の詳報作成支援システムの動作に影響を与えないこと。
ウ .現在の詳報作成支援システムは、基本、PHP で構築している。受注者においては、ソースコードを全て理解し別添4に掲げる仕様を満たした改修を実施すること。
エ 現在の詳報作成支援システム版のプログラムソース、基本設計書、詳細設計
書、運用保守報告書(現契約者によって令和2年度(2020 年度)に改修を行った内容の記載を含む)を受注者に提供するが、他にも情報等を必要とする場合は、受注者自ら現行の詳報作成支援システムを解析し本役務を完遂させること。
③小出力発電設備に関する事故報告書作成機能の追加
ア 現在の詳報作成支援システムに小出力発電設備に関する事故報告書作成機能の追加については、別添5~7に示す。受注者は、仕様を満たした機能を追加すること(現行の詳報作成支援機能に関する改修および小出力発電設備の事故報告書作成機能の追加イメージは別添5参照)。
イ 別添5で掲げる機能する際、フレームワーク・デザイン等は、現行の詳報作成支援システム及び現契約者が実施した運用保守内容も踏襲すること。
ウ 現在の詳報作成支援システムは、基本、PHP で構築している。受注者においては、ソースコードを全て理解し別添4に掲げる仕様を満たした改修を実施すること。
エ XMLファイルへの保存について、別添5や別添6に掲げる項目について、現在の詳報作成支援システムと同項目の場合(例えば同じ 1 号の死傷情報や様
式 13 と同じ項目名)は、同じ項目名に同じ形式(メモ型・数値型など)でデータを保存すること。
なお、別添5や6に掲げる内容のほか、本役務を遂行するにあたり項目名は同じでも同じ形式で保存ができないときは、受注者はその旨をとりまとめ担当職員に提出し、担当職員から詳報管理システムへの影響がない旨の回答をもって本役務を実施すること。しかしながら、詳報管理システムへの影響が確認された場合は、可能な限り修正を行うこと。
オ 印字イメージは、別添7に示す。なお、受注者によって、他の印字レイアウトを提示する場合は、担当職員と協議の上作成すること。
カ 現在の詳報作成支援システム版のプログラムソース、基本設計書、詳細設計書、運用保守報告書(現契約者によって令和2年度(2020 年度)に改修を行った内容の記載を含む)を受注者に提供するが、他にも情報等を必要とする場合は、受注者自ら現行の詳報作成支援システムを解析し本役務を完遂させること。
④プログラムの改修に伴うアプリケーション稼働のためのシステム設計の変更
第1章7.に掲げる納品物において、基本設計書、詳細設計書は、現在の詳報作成支援システムの設計書を修正し作成すること。
⑤改修したアプリケーションのテスト
⑥NITE-LAN システム上への改修したアプリケーションの導入
⑦受入テストの支援
⑧セキュリティ診断
⑨運用及び保守(令和 3 年(2021 年)4 月1日から令和 4 年(2022 年)3 月 31 日まで)
運用及び保守作業については、5.2項参照。
⑩関連作業(詳報管理システム及び詳報公表システムの運用保守事業者、NITE-LANシステムの構築事業者及び機構企画管理部情報システム課、詳報管理システム及
び詳報公表システム構築事業者との調整作業等)
5.2 保守運用に関わる作業
①作業内容詳細については第6章のとおり。1.平常時の保守及び運用、2.障害発生時の保守及び運用、3.軽微な改修を予定している。
②保守期間は令和 3 年(2021 年)4 月 1 日から令和 4 年(2022 年)3 月 31 日とする。
③NITE-LAN システムのミドルウェア・OS の構築及び運用・保守は NITE-LAN システム構築/運用保守事業者(第3章1.(1)図2参照)が行う。
なお、機構が用意するミドルウェア・OS のバージョンアップ等については、受注者の確認の下、NITE-LAN システム構築/運用保守事業者が実施するが、受注者が当該契約の範囲で別途用意したミドルウェア等のバージョンアップについては、受注者が行うこと。
④当該システムで開発したアプリケーションが動作出来ない場合、原因に対する対応内容が軽微な修正にとどまるものであれば、アプリケーションを改修し対応できるものにすること。
5.3 ユーザー研修
①当該システムを利用するユーザーに対して利用者マニュアルを作成し、冊子による配布または内部システム画面のオンラインヘルプ上から参照できるようにすること。
②当該システムについて、担当職員(5名程度)に対し操作説明(1時間程度)を実施すること。また、操作説明の際、担当職員分の冊子を印刷し用意すること。
③当該システムの利用者マニュアルは印刷(A4)して利用できるよう配慮して作成すること。
6.スケジュール
想定しているスケジュールは以下のとおりである。
表 2:マイルストーンマイルストーン | スケジュール |
①改修設計 ②プログラム改修 ③改修したアプリケーションの導入 ④受入テスト ⑤セキュリティ診断 ⑥納品 ⑦保守・運用・軽微な改修 | 令和 3 年(2021 年)2 月令和 3 年(2021 年)2 月令和 3 年(2021 年)2 月令和 3 年(2021 年)3 月令和 3 年(2021 年)3 月令和 3 年(2021 年)3 月 令和 3 年(2021 年)4 月 1 日より 1 年間 |
7.納入物
本仕様書で要求する納品成果物は、以下のとおりとする。
表 3 :納品成果物一覧 番号 | 納品成果物 | 最終納期 | 備考 |
1. | プロジェクト計画書 | 契約後 2 週間以内 | 開発スケジュール、受注者の作業体制 (責任者、責任担当 職員、連絡体制)を含めること。 |
2. | 画面レイアウト、画面遷移、帳票 レイアウト | 契約後 1 ヶ月以内 | |
3. | 基本設計書 | 令和 3 年(2021 年)3 月 31 日(水) | |
4. | 詳細設計書 | 令和 3 年(2021 年)3 月 31 日(水) | |
5. | プログラム及びプログラムソース | 令和 3 年(2021 年)3月 31 日(水) | |
6. | OS、ミドルウェア、ネットワーク の設定要件 | 令和 3 年(2021 年)3 月 31 日(水) | |
7. | 運用手順書 | 令和 3 年(2021 年)3 月 31 日(水) | |
8. | 利用者マニュアル | 平成 3 年(2021 年)3 月 31 日(水) | |
9. | テスト計画書 | 受入テスト実施前まで | 受注者が実施する動作確認テスト及び受入テスト(テスト項目のみ)につい て作成のこと |
10. | テスト結果報告書 | 令和 3 年(2021 年)3月 31 日(水) | |
11. | セキュリティ診断実施報告書 | 納品までに実施するこ と。 | 指摘ありの場合は、 改修後診断も含む |
12. | 運用・保守・改修報告書 | 運用・保守開始後毎月、 最終令和 4 年(2022 年) |
3 月 31 日(木) | |||
13. | 打ち合わせ議事録及び提出資料 | 令和 3 年(2021 年)3月 31 日(水) | 議事録は電子媒体等で確認し、最終版を最終納期までに 提出すること |
14. | パッケージソフト、ミドルウェア 等のライセンス証書 | 令和 3 年(2021 年)3 月 31 日(水) | ソフトウェアを導 入した場合のみ |
15. | 次年度へ引き継ぎ資料 | 令和 4 年(2022 年)3 月 31 日(木) |
①納入成果物は、原則日本語で作成した紙媒体(正 1 部及び副 1 部)及び電子媒体(2部、Microsoft Office 365 を使って内容を確認できる形式)とする。紙媒体は原則として A4 サイズすること。専門用語には必ず説明を付けること。
②納品成果物の電子媒体を納入する場合には、最新のウイルス定義ファイルが適用されたウイルス対策ソフトによるチェックを行い、ウイルス感染の問題がないことを確認し、その旨を記載した書面を担当職員に提出すること。
③納品成果物の提出予定日を記載したスケジュール表を契約後 2 週間以内に提出し、担当職員の承認を得ること。
④「運用・保守報告書」以外の納品成果物の最終版は令和 3 年(2021 年)3 月 31 日(水)までに、機構国際評価技術本部電力安全センターに納品すること。
⑤紙媒体及び電子媒体(CD-R、DVD-R、BD-R による場合)については、国等による環境物品等の調達の推進等に関する法律 (以下 「グリーン購入法」 という。)に適合するように紙類の基準を満たすこと。ただし、上記の基準を満たすことが著しく困難な場合においては、事前に担当職員の承諾を得た上で納入することができる。
⑥電子媒体の納期が同一の場合には、事前に担当職員の承諾を得た上で CD-R、DVD-R又は BD-R を 1 つにまとめてもよい。納入する電子記録媒体には、件名、受注者名、納期日を本体に印字又はシールに添付等して提出すること。
⑦納品成果物については、作成に先立ち、その構成や記述項目、記載内容及び記載水準等を規定した作成要領を提出し、担当職員の了承を受けた上で、それに従い作成すること。作成要領として、以下の項目を遵守すること。
ア 納品成果物の内容について、担当職員のレビューを受け、その結果を反映させること。また、業務要件や拡張性要件、画面イメージの確認等、担当職員が内容確認すべきドキュメントは対面でのレビューを行う一方、詳細設計書は一部の重要機能をサンプリングしてフォーマットを中心としたレビューを行う等、担当職員のレビュー工数が最小限になるよう、効率的なレビュー方法を提案すること。
イ 特に、設計・開発・テストにおける各工程で受注者は担当職員に確認を求め、合意の上、修正が必要となった事項については、納品成果物へ全て反映させること。
⑧納品成果物は同業の一般スキルを持った第三者が、納品成果物のみから詳報作成支
援システムを再構築するために必要な情報を不足なく含んでいること。
⑨NITE-LAN システムに含まれないパッケージソフトウェア、ミドルウェア等を導入する場合は、そのインストール手順や設定した内容について、設計書、インストール手順書、運用手順書等の記載に含めること。
8.検収
(1)受入テスト
①第4章 2.1及び2.7にて作成される手順書に従い、担当職員及び機構職員が主体となって行う受入テストに合格したことをもってプログラムなどについての検収とする。
②テスト時に使用した一時ファイルなどの不要なファイルなどは、受入テスト終了後、受注者において削除すること。
③テストにおいて指摘があった場合は、担当職員の指示に従い、適切な処置を施すこと。受注者は、テストにあたって、担当職員の求めに応じテストに立ち会い説明し、指導・支援し、テスト等を実施すること。
(2)納入物の検収
①設計書などは、開発、受入テスト、セキュリティ診断の各段階での担当職員のレビューをもって検収とする。
②運用及び保守に必要な運用手順書、ユーザー向け利用マニュアルなどは、納品時の担当職員のレビューをもって検収とする。
9.システムの導入作業
x000-0000 xxxxxxxx 0-00-00
独立行政法人製品評価技術基盤機構内
10.納入場所
x000-0000 xxxxxxxx 0-00-00
独立行政法人製品評価技術基盤機構 本所 別館3階国際評価技術本部 電力安全センター
第2章 システム改修要件
1.機能改修
別添4に掲げる改修および別添5~7に掲げる機能追加を実施すること。
なお、各機能改修の詳細な仕様については、改修設計時に、担当職員と協議して決定すること。
2.性能要件
システム利用者にとって快適な作業を実現でき、かつ、システムの日常運用を円滑に進めるために処理速度に係る以下の要件を実現すること。また、以下の要件は平日の勤務時間帯(午前 8:30 から午後 6 時半まで)に最大 20 人の外部ユーザー(最大接
続数 10 名)が詳報作成支援システムを使用する場合でも実現すること。
(1)オンライン処理のレスポンス時間の目標値は、平常時 3 秒以内、ピーク時 6 秒以内とする。
(2)上記レスポンス時間は、機構職員が機構内で使用する端末における画面の切替に要する想定時間である。
3.信頼性要件
要件は以下のとおり。
(1)サーバ上のデータ、設定情報等がシステム障害、ユーザーの不注意及び故意等により失われることのないよう、セキュリティ及び情報の完全性に十分配慮した詳報管理・公表システムの改修をすること。
(2)受注者がソフトウェアを調達する場合、過去に出荷・稼働実績及び十分に高い信頼性を有する標準的な既製品であり、かつ、最新のものを調達すること。
4.拡張性要件
(1)性能の拡張性
特別な要件はない。
(2)機能の拡張性
本役務によるシステム構築後においても、電気事業法、電気関係報告規則といった関連する法令の改正によりデータ項目の追加、削除、修正が必要になることが想定されることから、受注者はこれらの対応にあたって機構のシステム改修に係る追加コストを極力抑えることができるようシステムの設計及び構築を行うこと。
5.システム中立性要件
(1)開発言語は PHP、PostgreSQL とし、それ以外のものを使用する場合は特定ベンダーの技術に依存しないものとすること。
(2)開発するアプリケーションは Linux OS 上で稼働するものであること。
(3)開発に利用するソフトウェア等は特定のベンダーの技術に依存しないものであり、普及率が高く、セキュリティ面での対応が十分あり、日本国内に対応可能なエンジニアが多数存在するものであること。
(4)他の事業者がシステムの運用、保守、改修、拡張等を引き継げるようにすること。
6.事業継続性要件
災害時や故障時において、事業を短期的に再開することが可能であるように、本仕様書に係るシステムについてのリカバリの運用体制を構築するものとし、NITE-LAN システムに対して必要な情報提供を行うこと。リカバリの運用手順等については、 NITE-LAN システムについて必要な情報を得て運用手順書に反映させること。
7.情報セキュリティ要件
クロスサイトスクリプティング、SQL インジェクション等、web サイトにおける脆弱性等に対する情報セキュリティ対策を十分に考慮して、情報処理推進機構の「安全なウェブサイトの作り方(改訂第 7 版)」に準じたシステムの設計及び構築を行うこと。また、本システム開発時において IPA や JPCERT/CC などから指摘されている既知のシステム固有の脆弱性や CVE 識別番号又は JVN 脆弱性識別番号が付された脆弱性等に対するセキュリティ上の対策を確実に考慮してプログラム開発を行うこと。さらに第1章5.2保守に関わる作業に示す保守期間において本システムに関係する重大な脆弱性の発見・存在を把握した場合には、直ちに担当職員に連絡すること。
8.アクセシビリティ要件
詳報作成支援システムから外部ユーザーに対して公開するページについては、総務省から出されている「みんなの公共サイト運用ガイドライン(2016)」に基づき、高齢者や障害者を含む誰もが利用しやすいものとし、日本工業規格 JIS X 8341-3:2016 の適合レベル A4 に準拠すること。
9.その他の要件
(1)内部ユーザーが NITE-LAN システムや METI-LAN システムで使用するクライアント端末の環境設定変更が必要となる設計は原則しないこと。
(2)意図しないユーザーの誤操作を防ぐために、プログラムにはフールプルーフを組み込むこと。
第3章 システムの稼働環境要件
1.システム構成
詳報作成システムの稼働環境の機器構成の概略を示す。
内
部
ユ
機構
ー
NITE-LAN
システム
ザ
ー
SE
現契約者
NITE-LAN端末
NITE-LAN
SE
NITE-LANシステム
構築/運用保守
事業者
AP
サーバ
OS・
ミドルウェア等
SE
受注者
詳報作成支援
システム
データはサーバに
保存しない。
インターネット(Web)
METI-LANファイヤーウォール
METI-LAN端末
報告事業者
METI-LAN 本省電安課
システム 保安監督部電安課
詳報作成支援システム
図 1:システム構成図
2.ハードウェア及びソフトウェア構成
NITE-LAN システムのサーバの概要は以下のとおり。詳細な設計書、設定書及びドキュメントについては、契約締結後に提供する。
(NITE-LAN システム環境)
①CPU:SPECint_rate2006 が 30 相当以上、CPU コア数が 1 個
②メモリ:4GB
③ディスク容量:250GB
④インターフェース等:1000BASE-T、1 ポート以上の論理帯域
⑤OS:Red Hat Enterprise Linux 7.5
⑥ミドルウェア:Apache 2.4、Tomcat 9.0、PHP 7.2
⑦その他:運用管理ソフト、セキュリティ対策ソフト
3.ネットワーク構成
NITE-LANシステム
DMZ
機構
用者
図 2:ネットワークイメージ構成図(NITE-LAN システムの運用)
第4章 テスト要件
1.テスト計画書作成
(1)実施するテストと役割分担は以下のとおりとする。
表 4:テストの分類と役割分担
番号 | テスト名 | 役割分担 | |
受注者 | 機構 | ||
1. | 単体テスト | 作業主体 | 確認 |
2. | 結合テスト | 作業主体 | 確認 |
3. | 総合テスト | 作業主体 | 確認 |
4. | 受入テスト | 作業支援、確認 | 作業主体 |
(2)実施するテストについて、テスト方針、実施内容及び実施理由を記載し、テスト工程毎にテスト計画書として提出すること。また、機構国際評価技術本部が主体となって実施する受入テストについて、受注者は必要な技術的支援を実施すること。テスト計画書に記載すべき事項は以下のとおり。
①受注者のテスト実施体制と役割
②テストに係る詳細な作業及びスケジュール
③テスト環境(テストにおける通信回線及び機器構成、テスト範囲)
④テストに関するツール類
⑤テストデータ
⑥評価指標(合否判定基準)
2.テスト実施要件
2.1テスト工程共通要件
(1)受注者はテストの管理主体としてテストの管理を実施すると共に、その結果と品質に責任を負い適切な対応を行うこと。
(2)受注者は担当職員及び関連する他システムに係る業者等との作業調整を行うこと。
(3)担当職員に対し定期進捗報告及び問題発生時の随時報告を行うこと。
(4)各テストを行うため、一連のテストケース(入力、出力及びテスト基準)、テストシナリオ(例外処理を含む。)、テストデータ、テスト評価項目及びテスト手順を各テスト実施前に作成し、担当職員の承認を得ること。
(5)各テスト終了時に、実施内容、品質評価結果及び次工程への申し送り事項等について担当職員と協議の上、テスト実施報告書を作成すること。
なお、テスト実施結果報告書はテスト結果のエビデンスを含み、かつ、テスト結果に基づき品質基準に沿って適切な合格判定がなされていること。また、合格判定基準を充足していることが容易に確認できる内容であること。
(6)テストの実施に必要なプログラム類の開発ないし用意は、テスト開始前までに
完了していること。
2.2テストデータ要件
(1)電気関係報告規則第3条第1項に掲げる各号(1号~13号)に該当するテストデータ並びに当該役務で追加する小出力発電設備に関するテストデータは、必要に応じて機構から提供する。
(2)テストデータの管理は受注者が責任を持って行うこと。
なお、テスト工程毎のテスト計画書にテストデータの種類等を記載し、使用したテストデータはテスト結果と共に紙媒体及び電子媒体で納入すること。
2.3テスト環境要件
(1)構築において機構が提供する機器を使用する。また、単体テスト、結合テスト、総合テストに必要な機器等は、受注者の負担と責任において用意すること。
(2)受入テストは、詳報作成支援システムの稼働環境において改修前の詳報作成支援システムの運用を停止し、改修後の詳報作成支援システムに置き換えて実施すること。ただし、受入テストにおいて不具合が生じた場合は、改修前の詳報作成支援システムに戻すこと。
(3)テスト環境における受注者のセキュリティ要件は第8章4.「情報セキュリティに関する受注者の責任」に従うこと。
2.4単体・結合テスト要件
(1)単体テスト又は結合テストには、システムの機能単位のテストが含まれていること。
(2)機能単位のテストのテスト実施報告書には、一連の画面のスナップショットを添付し、各画面での入力データを記載する等、どのようなシナリオでテストが行われたのか(どのような値をインプットし、アウトプットは何であったのか等、条件分岐、制約条件等がわかる内容)を記載すること。
2.5総合テスト要件
(1)システムが仕様に適合し、かつ、第3章システムの稼働環境要件に掲げる環境で利用可能であることを確認できる評価指標を設定した上で、テストを実施すること。
(2)性能及び負荷のテストにおいては、第3章システムの稼働環境要件に掲げる環境と同様の環境により相応の負荷等をかけ問題が発生しないことを確認すること。
(3)総合テストでは以下の項目について確認を行うこと。
①機能性
ア システムの機能が、正常系、異常系共に仕様書どおりに動作すること。イ 情報セキュリティ要件を満たしていること。
②信頼性
第2章3.「信頼性要件」を満たしていること。
③ユーザビリティ
要件及び説明書どおりに動作し、利用者が利用しやすいこと。なお、この場合の利用者が利用しやすいこととは、第2章11.アクセシビリティ要件を満たすことを指す。
④パフォーマンス
ア 第2章2.性能要件にて示したレスポンス時間を満たすこと。
イ 400KByte 以上のデータのダウンロードを行った場合においても正常に動作すること
2.6セキュリティ診断要件
(1)システムについて、以下の要件に沿ったテストを実施すること。
①受注者は、原則としてすべての機能について、情報処理推進機構の「安全なウェブサイトの作り方(改訂第 7 版)」に記載されている対策事項を十分考慮して、受入テスト開始前に、第三者によるセキュリティ診断を実施すること。それにあたっては JPCERT、IPA 等から注意喚起がなされているものや、 JVN 識別番号、CVE 識別番号等が付与されている重大な脆弱性を踏まえた最新の脅威の動向を考慮して第三者に実施項目の検討を行わせること。
②受注者は、システムのセキュリティ診断の結果、不具合があった場合は「情報シスムの特性を鑑み、システムの運用上重要な影響を与える脆弱性は無いと合理的に判断される」、「情報システムの特性を鑑み、システムの運用上重要な影響を与える脆弱性を回避するための設計が行われていると合理的に判断される」 等の結論を得るまで、設計開発及び設定変更とセキュリティ診断を繰り返し実施すること。
③セキュリティ診断実施前に、同診断の実施計画書を作成、説明を行い担当職員の承認を得ること。
なお、セキュリティ診断実施後に作成するセキュリティ診断実施報告書に、セキュリティ診断実施計画書を含めること。
④第三者によるセキュリティ診断については、受注者はセキュリティ診断を行う第三者を自ら選定するが、第三者は受注者の「財務諸表等の用語、様式及び作成方法に関する規則(昭和 38 年大蔵省令第 59 号)第 8 条」に規定する親会社及び子会社、同一の親会社を持つ会社並びにその役員及び従業員以外とすること。セキュリティ診断を行う第三者は、社内に情報セキュリティ対策等に関する役務提供を専門とする部門を有しているか、又は情報セキュリティ対策等に関する役務提供を専門とする事業者であること。委託先は、提案書に記載すること。契約期間中に委託先を変更する場合は、担当職員を通じて機構より許可を得ること。
⑤第三者によるセキュリティ診断については、セキュリティ診断の内容を実施する主担当職員の少なくとも 1 名は、経済産業省が実施しているシステム監査技術者試験、情報セキュリティスペシャリスト試験又は情報処理安全確保
支援士試験に合格している者であるか、公認情報セキュリティマネージャー CISM(Certified Information Security Manager)、セキュリティプロフェッショナル CISSP(Certified Information Systems Security Professional)又はセキュリティ認定プラクティショナーSSCP(Systems Security Certified Practitioner)のいずれかの資格を有している者とすることを条件にセキュリティ診断を行う第三者を選定すること。
(2)適切なテストツールを選択して想定されるパターンを網羅的に行うこと。
(3)セキュリティ診断において発見された脆弱性及び当該脆弱性に関して実施した対処について、2.1(5)のテスト実施報告書に記載すること。
(4)実施計画書の作成
請負事業者は、担当職員との間で事前打ち合わせを行うこと。さらに、事前打ち合わせの内容に基づいた検査計画書を作成、説明し、担当職員の承認を得ること。
2.7受入テスト支援要件
(1)受入テストは 3 名の機構職員が担当し、構築したシステムが必要な仕様を満たしているのかをトリプルチェックして確認する。
(2)受入テストにおける具体的な手順及び結果を記入するための受入テスト手順書
(案)を作成すること。
なお、テストは 1 営業日以内で実施できる計画とし、システム操作に精通していない職員でも分かりやすいものとなるように工夫すること。
(3)受注者は受入テストを支援するための要員を機構へ派遣すること。
(4)受入テストで必要となるテストデータ(電気事故報告規則第3条第1項に掲げるそれぞれの号に該当する詳報データ)は機構が用意する。
(5)受入テストで確認された障害について対応方針を提示し担当職員の承認を得ること。
(6)担当職員に承認された対応方針に従い、プログラム及びドキュメント等を修正すること。特に不具合と考えられる事象が発生した際、それがバグ・不具合によるものなのか、操作ミスによるものなのか、原因の切り分けは迅速に行うこと。また、不具合等への対応状況を管理すること。
(7)不具合があった場合には、担当職員が再度受入テストを実施し不具合が修正されていることを確認する。受入テストにおける不具合対応は、不具合が検出されなくなるまで繰り返し実施する。
第5章 受入テスト実施要領
1.受入テスト
受入テストとは機構が実際の詳報データを使って以下を実施し、当システムの使い勝手、操作性、応答速度、入力項目等を確認することを目的とする。
機構職員が受入テストを行うための期間は最低5日設けること。
(1)機構職員が、詳報データを使い詳報作成支援システムにて入力し、報告書作成及び電子媒体への保存までの一連の作業を画面イメージでその遷移と共に確認する。
(2)詳報データについては電気関係報告規則第3条第1項に掲げる各号(1号~13号)に該当する報告書を使用する。
(3)報告書作成までの一連において、作成途中のデータを電子媒体に保存する。その後、電子媒体の情報をシステム内で取り込み入力作業の続きを行う。
最終的には報告書が作成できるか及び電子媒体に最終版が保存されるかについて一連の作業を画面イメージでその遷移と共に確認する。
(4)現行のシステムで正常だった箇所が、改修版でも同様に動作するか確認する。
(5)その他、想定される使用方法にて、画面イメージを使ってその遷移と共に確認する。
2.OS、ミドルウェア、ネットワークの設定要件
第3章2.に記載のないミドルウェアを NITE-LAN システムにインストールする必要がある場合は、受注者の費用と責任でこれを実施すること。
3.テストデータの用意
1.(1)~(5)を実施するためのデータは、機構で用意する。
4.改修版への反映
(1)受入テストで、不具合と考えられる事象が発生した際、それがバグ、不具合によるものなのか、操作ミスによるものなのか原因の切り分けを迅速に行うこと。
(2)また、不具合がバグによる場合は迅速に対応を行い、改修版に反映すること。 (3)受入テスト中、機構職員から提出された意見やコメントは、担当職員がとりまとめ
受注者に連絡することとする。
第6章 保守運用要件
1.全体
(1)受注者は保守及び運用作業を令和 3 年(2022 年)3 月末まで実施すること。
(2)作業は、原則月 1 回(土・日曜日、祝日、休日、5 月 1 日及び 12 月 29 日~1 月 3日を除く平日の 9:00-18:00)、機構にて NITE-LAN システム端末を使用し常駐作業を行うこと。
(3)担当職員の技術的な問い合わせ(電話・FAX:土・日曜日、祝日、休日、5 月 1 日及び 12 月 29 日~1 月 3 日を除く平日 9 時 00 分~18 時 00 分の間、電子メール:
24 時間)に対しては、迅速に誠意をもって対応すること。
(4)機構内での作業に当たっては、作業前日までに担当職員に作業予定者を連絡するとともに、作業終了後は作業状況について報告すること。
(5)体制に変更が生じる場合は、1 ヶ月前までに担当職員に報告し、承認を得ること。
(6)本調達における運用保守に必要なテスト環境等は、受注者の負担と責任において確保すること。
(7)本件業務終了の際には、その次年度も円滑にシステムが稼働できるように、次年度への引継ぎ資料を作成すること。
2.平常時の保守及び運用要件
(1)必要に応じて導入したソフトウェア及びシステムの構築に利用した OS、ミドルウェア等に対して、脆弱性、セキュリティパッチ及びバージョンアップ等の情報を少なくとも 1 ヶ月に 1 回調査し、月次報告書にて担当職員に報告すること。
(2)上記において、受注者が脆弱性情報を入手した場合には、担当職員に報告のうえ、脆弱性を回避するための対策を検討し、担当職員と協議し対処方針を決定すること。ただし、第3章2.に記載のないミドルウェア等を導入している場合には、受注者においてセキュリティパッチ当て、バージョンアップ等の作業を行うこと。 なお、必要に応じて導入したソフトウェア等の調査した脆弱性に関わらないが、システムの継続的な運用に影響を与える恐れのあるパッチの情報を入手した場合には、受注者がシステムに対する影響を調査し、その調査結果を文書にて担当職員に報告し、その内容について協議のうえ、パッチの適否を判断するものとする。
(3)担当職員から依頼があった場合、OS、ミドルウェアのアップグレード、パッチ配布の適用等によるアプリケーションへの影響、また、ハードウェア、ミドルウェア、その他システムに関する設定変更によるアプリケーションへの影響の有無について調査を行うこと(想定頻度:2回/年を想定)。また、動作確認のための試験を実施し、文書にて調査結果と共に報告すること。ただし、第3章2.に記載のないミドルウェア等を導入している場合には、受注者においてアップグレード、セキュリティパッチ当て等の作業を行うこと。
(4)システムにおけるエラーの発生について確認作業を実施し、担当職員に対して報告を行うこと(想定頻度:1回/月を想定)。
(5)データ、各種ログ等のバックアップ取得に必要な処理を月1回以上行うこと。 (6)担当職員からの指示によりシステムの軽微な修正に該当する以下の事項を実施す
ること。
①画面表示文字の追加、変更及び削除
②選択肢の追加、変更及び削除
③入力項目の文字数の変更
④入力枠の拡大
⑤XMLファイルの出力値修正
⑥印刷物の文字等の修正
(7)なお、参考までに 2019 年度(平成30年4月から令和元年3月末時点)に実施した軽微な修正は以下のとおりである。
①画面表示文字の追加、変更及び削除 8件
②選択肢の追加、変更及び削除 4件
③入力項目の文字数の変更 1件
④入力枠の拡大 2件
⑤XMLファイルの出力値修正 4件
⑥印刷物の文字等の修正 5件
(8)保守及び運用で行った作業については 1 ヶ月に 1 回担当職員に報告すること。
(9)保守及び運用で行った作業に伴い、設計書、利用者マニュアルといった納品成果物の内容に齟齬が生じた場合、それらの文書について必要な修正を行うこと。
(10)外部ユーザーからの詳報作成支援システムに係る問い合わせについては対応不要とする。
(11)運用開始後、少なくとも年1回の頻度で機構におけるセキュリティ診断を実施予定である。セキュリティ診断において何らかの作業が発生した場合、受注者は可能な範囲で対応に応じること。
3.障害発生時の保守及び運用要件
(1)システムに障害が生じた場合は、担当職員からの連絡に対して 1 営業日以内に対応できる体制を整えること。
(2)障害に係る対応(土・日曜日、祝日、休日、5 月 1 日及び 12 月 29 日~1 月 3 日を
除く 9 時 00 分~18 時 00 分の間)は原則として機構内で行うこと。
(3)システムに障害が生じた場合、担当職員の指示に従い、NITE-LAN システム構築/運用保守事業者と協力して障害の原因の特定、切り分けを行うこと。
(4)システムの障害がハードウェアに起因する場合は担当職員の指示に従い、NITE-LANシステム構築/運用保守事業者に対して障害復旧に必要な情報を提供すること。また、復旧後にシステムを再起動し正常稼働することを確認すること。
(5)システムの障害が必要に応じて導入したソフトウェア等に起因する場合は、担当職員の指示に従いその障害を復旧させること。また、復旧後にシステムを再起動し正常稼働することを確認すること。
(6)障害発生時においてはその停止時間は 5 営業日以内を目標とすること。
(7)災害時や故障時において事業を短期的に再開することが可能であるように、システムについてのリカバリの運用・保守体制を構築すること。
第7章 実施体制
1.作業体制
1.1全体体制
本作業に関連する者や機構内の組織を以下に示す。
機構 | ||||
国際評価技術本部 電力安全センター電力安全技術室 | 受注者 | |||
現契約者 (詳報作成支援システム構築 /令和 2 年度(2020 年度)運用保守事業者) | ||||
(NITE-LAN システム運用) 企画管理部情報システム課 | (NITE-LAN システム構築/運 用保守事業者) |
図 3 作業体制(NITE-LAN システム)
本作業の遂行にあたって、受注者は NITE-LAN システム構築/運用保守事業者とハードウェア、ネットワーク、各種サービス、セキュリティに関する調整を実施する必要がある。また、詳報作成支援システムの機構の外部向けホームページへのリンクの切替、設置に調整を実施する必要がある。調整作業は担当職員を通じて行う。
1.2受注者の体制
(1)受注者は、本作業を履行できる体制案を提出し担当職員の了承を得ること。また、原則として体制の変更は認めない。やむを得ず体制を変更する場合は事前に担当職員の了承を得ること。
①受注者側の体制(責任者・実施責任者を含む)
②受注者側の実施担当責任者実施担当責任者に求める要件は次のとおりとする。プロジェクト管理担当責任者と設計開発担当責任者は兼任して差し支えないものとする。
ア プロジェクト管理担当責任者
進捗管理手法に精通し経験を有すること。担当職員からの問合せに対し検討を行い、その対応を担当職員に指示すること。半年以上の開発期間を要する web システム又はデータベースシステム開発プロジェクトのプロジ
ェク管理担当責任者を 2 回以上経験していること。イ 設計担当責任者
データベースやシステムの企画、設計に関する知見や技術を有すること。ウ 運用・保守担当責任者
システム運用・保守経験を有すること。
③連絡体制(受注者側の対応窓口)
(2)受注者は本作業の履行が確実に行われるよう、本作業の全期間に渡って必要となるスキル、経験を有した要員の確保を保証すること。また、受注者は十分な知見を有すること。
(3)担当職員が受注者に対し常時契約履行状況に関する確認を行える体制とすること。
2.開発方法
(1)開発計画
①メンバー毎の担当役割及び責任範囲表を作成すること。社内にそのバックアップ体制を確保すること。
②開発を行うにあたり、良いと思われる具体的な方策があれば実施計画書を作成し提案すること。
(2)進捗管理方法
①各作業に関する打合せ、納品物等のレビュー及び作業進捗確認のため、システム構築期間中は原則として隔週1回、機構本所において定例会議を行うこと。頻度を変更する等の場合には担当職員に申し出て承認を受けること。
②毎回の定例会議の議事録を、遅くとも 5 営業日以内に作成し、担当職員に提出すること。
③定例会議では、開発スケジュールと実際の進捗状況の差を明らかにし、その原因と対策を明らかにすること。
なお、進捗管理に当たっては WBS・ガントチャートによるものとし、実施計画書の各管理要領については一覧形式の管理表を作成し報告を行うこと。
④機構内での作業に当たっては、作業前日までに担当職員に作業予定者を連絡するとともに、担当職員の指示に従い作業終了後は報告書を提出すること。
⑤システム構築期間中における仕様変更が必要な場合には、変更を少なくするための方策を提案すると共に、各フェーズにおける変更不可となる時点についての考え方を担当職員に示し、承認を得ること。
(3)開発環境
開発環境は、受注者の負担と責任において確保すること。
第8章 契約条件
1.業務の再委託
(1)本調達に係る業務のうち、システム設計及びプロジェクト管理業務については第三者に請け負わせることはできない。また、第三者にシステム設計業務及びプロジェクト管理業務以外の業務について請け負わせる場合、当該第三者のすべての行為及びその結果についての責任を受注者が負うこと。また、再委託先の担当部署が ISMS適合性評価制度、又はプライバシーマーク使用許諾の認証を取得又は、これらの認証と同等以上の資格の認証を取得していること。
(2)業務を再委託する場合、再委託先の実施作業の内容及びその実施体制等の詳細を担当職員に報告し、内容の確認及び承認を得ること。
(3)業務を再委託する場合、再委託先にも本仕様書で定める受注者の責務を負わせる契約を締結すること。
(4)再委託先にはCIO 補佐官が現に属する事業者又は過去 2 年間に属していた事業者及びその関連事業者(「財務諸表等の用語、様式及び作成方法に関する規則」(昭和 38 年大蔵省令第 59 号)第 8 条に規定する親会社及び子会社、同一の親会社を持つ会社並びに委託先事業者等の緊密な利害関係を有する事業者をいう。)が含まれないこと。
2.知的財産権の帰属等
(1)本調達の履行に当たって生じた納品成果物の所有権及び著作権(著作xx(昭和 45 年法律第 48 号)第 27 条及び第 28 条に規定する権利を含む)は、第1章8.による検収の完了日をもって、受注者から機構に譲渡すること。
(2)機構に譲渡される所有権及び著作権の対価は、本調達によって機構から受注者に支払われる金額に含まれること。
(3)受注者は、納品成果物について自ら著作者人格権の行使をせず、また、自身の従業員その他著作に関わった者をして著作権又は著作者人格権を行使させないことを機構に保証すること。
(4)受注者は、機構に加え機構が指定する者(本システムの利用を目的とした改修等を請け負う者に限る。)についても、本調達の納品成果物の複製・改変ができることに合意すること。
(5)受注者は、第三者の既存著作物の利用に関してはその著作物の帰属を明確にし機構が使用できる範囲を指定すること。
(6)受注者は、機構による納品成果物の利用が第三者の著作権、知的財産権その他の権利を侵害しないことを機構に保証すること。
なお、第三者との間に紛争が生じたときは、当該紛争の原因が機構の責に帰する場合を除き、受注者の責任、負担において一切処理すること。
3.機密保持
(1)受注者は、調達に係る作業を実施するに当たり、機構から取得した資料(電子媒体文書、図面等の形態を問わない。)を含め契約上知り得た情報を、第三者に開示又は本調達に係る作業以外の目的で利用しないものとする。ただし、次の①から⑤のいずれかに該当する場合は除くものとする。
①機構から取得した時点で、既に公知であるもの
②機構から取得後、受注者の責によらず公知となったもの
③法令等に基づき開示されるもの
④機構から秘密でないと指定されたもの
⑤第三者への開示又は本調達に係る作業以外の目的で利用することにつき、事前に機構に協議の上、承認を得たもの。
(2)受注者は、機構の許可なく取り扱う情報を指定された場所から持ち出し、若しくは複製しないものとする。
(3)受注者は、本調達に係る作業に関与した受注者の所属職員が異動した後においても、機密が保持される措置を講じるものとする。
(4)受注者は、本調達に係る検収後、受注者の事業所内部に保有されている本調達に係る機構に関する情報を、裁断等の物理的破壊、消磁、その他復元不可能な方法により、速やかに抹消すると共に、機構から貸与されたものについては、検収後1週間以内に機構に返却するものとする。
4.情報セキュリティに関する受注者の責任
(1)情報セキュリティポリシーの遵守
受注者は、機構の情報セキュリティポリシー(後述の(9)⑨機構の情報セキュリティポリシー参照)に従って受注者組織全体のセキュリティを確保すること。
(2)情報セキュリティを確保するための体制の整備
受注者は、機構の情報セキュリティポリシーに従い、受注者組織全体のセキュリティを確保すると共に、本調達に係る業務の遂行において情報セキュリティを確保するための体制を整備すること。機構以外で作業を行う場合も、機構の情報セキュリティポリシーに従い、情報セキュリティを確保できる環境において行うこと。
(3)情報セキュリティが侵害された場合の対処
本調達に係る業務の遂行において、担当職員が求めた場合には、情報セキュリティ対策の履行状況を報告すると共に情報セキュリティが侵害され又はその恐れがある場合には、直ちに担当職員に報告すること。これに該当する場合には、以下の事象を含む。
①機構が受注者に提供した又は受注者によるアクセスを認めた機構の情報の外部への漏えい及び目的外利用
②受注者による機構のその他の情報へのアクセス
③被害の程度を把握するため、受注者は必要な記録類を契約終了時まで保存し、機構が求めた場合には、納品成果物と共に担当職員に引き渡すこと。
④情報セキュリティが侵害された又はその恐れがある事象が本調達に係るシステム開発中及びシステムの保守及び運用期間中に発生した場合には遅滞なく担当職員に報告すること。また、その事象が受注者における情報セキュリティ上の問 題に起因する場合は、受注者の責任及び負担において次の各事項を速やかに実施すること。
⑤情報セキュリティ侵害の内容及び影響範囲を調査の上、当該情報セキュリティ侵害への対応策を立案し、担当職員の承認を得た上で実施すること。
⑥発生した事態の具体的内容、原因及び実施した対応策等について報告書を作成し、担当職員へ提出して承認を得ること。
⑦再発防止対策を立案し、担当職員の承認を得た上で実施すること。
⑧上記のほか、発生した情報セキュリティ侵害について、担当職員の指示に基づく措置を実施すること。
(4)情報セキュリティ監査の実施
本調達に係る業務の遂行における情報セキュリティ対策の履行状況を確認するために、担当職員が情報セキュリティ監査の実施を必要と判断した場合は、担当職員がその実施内容(監査内容、対象範囲、実施等)を定めて、情報セキュリティ監査を行う(機構が選定した事業者による監査を含む。)。また、機構が求めた場合、受注者は自ら実施した外部監査についても機構へ報告すること。
情報セキュリティ監査の実施については、これらに記載した内容を上回る措置を講ずることを妨げるものではない。
(5)情報セキュリティ対策の改善
受注者は、本調達における情報セキュリティ対策の履行状況について担当職員が改善を求めた場合には、担当職員と協議の上、必要な改善策を立案して速やかに実施するものとする。
(6)私物の使用禁止
受注者は、本調達に係る作業を実施するすべての関係者に対し、私物(関係者個人の所有物等、受注者管理外のものを指す。以下、同じ。)コンピュータ及び私物記録媒体(USB メモリ等)に機構に関連する情報を保存すること及び本調達に係る作業を私物コンピュータにおいて実施することを禁止する。
(7)機構内への電子機器の持ち込み禁止
システムの改修、運用及び保守作業時においても、担当職員の許可無く機構内に受注者のモバイル機器・コンピュータを持ち込んではならない。ただし、作業上やむを得ず持ち込む必要がある場合には、担当職員に理由を説明し、事前に了承を得ること。さらに、受注者のモバイル機器・コンピュータ(電子媒体含む)を機構に持ち込み機構の機器等に接続する場合には、当該機器に対して不正プログラム対策を事前に行っておくこと。
(8)情報セキュリティに係る確認書の提出
受注者は、以下に記載する事項を担当職員に提示し、その了承を得た上で、契約締結後の初回会合までに確認書又は契約書の付属書として提出すること。
①本調達の実施において、情報セキュリティ(機構の提供した情報の保護)を確保するための体制を示すこと。その際、受注者の責任者及び技術担当職員の所属、連絡先及び氏名を明らかにすること。
②情報セキュリティに係る障害・事故等(故障、インシデント等を含む)が発生した場合又はその可能性がある場合に備え、担当職員への緊急連絡体制及び緊急連絡手順を示すこと。また、担当職員への緊急連絡は、対面、電話連絡、電子メール等複数の手段で、複数の担当職員に対して遅滞なく確実に連絡及び情報共有できるようにすること。
③受注者が実施する情報セキュリティ対策等の具体的な取組内容
④本調達に係る業務を行う者の特定とそれ以外の者による当該業務の禁止
⑤受注者の資本関係・役員等の情報、委託事業の実施場所、委託事業従事者の所属
・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報
⑥情報セキュリティインシデントへの対処方法
⑦情報セキュリティ対策その他の契約履行状況の確認方法 情報セキュリティ対策の履行が不十分な場合の対処方法
⑨(9).の遵守方法
(9)情報セキュリティに関する遵守方法
受注者は、契約締結後、初回会合までに、以下に記載する事項を遵守する方法について、担当職員に提示し、了承を得た上で確認書として提出すること。
①受注者は、契約期間中及び契約終了後において、本作業に関して知り得た機構の業務上の内容について、他に漏らし又は他の目的に利用してはならない。 ただし、あらかじめ知り得ている事項について、知り得ていることを公的に立証できる場合においては、この限りではない。
②受注者は、本調達のために担当職員から貸与された紙媒体や電子媒体を、担当職員の許可なく複製してはならない。また、許可を得て複製する場合は、複写先及び複写数等の記録を取ること。
③機構内で作業する場合、受注者は、一時的に機構から貸与したパソコン、電子機器、電子媒体等の取扱いに十分注意を払うこと。また、作業終了後には、貸与した物を必ず返却すること。貸与した物が破損した場合は、直ちに担当職員にそ旨を報告し、担当職員の指示に従うこと。
④複製が可能な電子計算機等の機器又は電子媒体を機構内に持ち込んで作業を行う必要がある場合は、事前に担当職員の許可を得ること。この場合であっても、担当職員の許可なくサーバや作業用パソコン等、前述の③により一時的に貸与した電子媒体等から電子ファイルの複製をしてはならない。また、契約者は、本役務に関連して、電子計算機等の機器または電子媒体を機構に持ち込み機構の機器等に接続する場合には、当該機器または電子媒体に対して不正プログラム対策を事前に行っておくこと。
⑤本調達に係る作業で取扱うデータ及び情報システムの取扱いには十分注意を払うこと。
⑥受注者が本調達を終了又は契約解除する場合は、担当職員から貸与された紙媒体、電子媒体を速やかに担当職員に返却すること。その際、担当職員の確認を必ず受けること。
⑦受注者は、本調達において、機構の情報セキュリティが侵害された又はその恐れを発見した場合は、速やかに担当職員に報告を行い、原因究明及びその対処 方法等について担当職員の指示に従い実施すること。
既知のクロスサイトスクリプティング、SQL インジェクション、IPA や JPCERT/CC
などから指摘されている既知のシステム固有の脆弱性や CVE 識別番号又は JVN
脆弱性識別番号が付された脆弱性等ウェブアプリケーション固有の脆弱性等に対するセキュリティ上の対策を考慮してプログラム開発を行うこと。
⑨ 機 構 の 情 報 セ キ ュ リ テ ィ ポ リ シ ー を 遵 守 す る こ と 。
( xxxxx://xxx.xxxx.xx.xx/xxxx/xxxxxxxxxxx/xxxxxxxxxxx/xxxxxxxx/xxxxxxx y.html を参照)
⑩ 機 構 の 個 人 情 報 保 護 x x x 程 を 遵 守 す る こ と 。
( xxxxx://xxx.xxxx.xx.xx/xxxx/xxxxxxxxxxx/xxxxxxxxxxx/xxxxx/xxxxx_xxxx i.html を参照
⑪受注者は、本調達の実施において、情報セキュリティ(機構の提供した情報の保護)を確保するための体制を整備し、明示すること。その際、受注者及び再委託先の責任者及び技術担当職員の所属、連絡先及び氏名を記載すること。
⑫情報セキュリティの侵害が発生した場合又はその可能性がある場合の緊急連絡体制及び手順を含めること。その際、担当職員への連絡は、対面、電話連絡、電子メール等複数の手段で、複数の担当職員に対して遅滞なく確実に連絡及び情報共有できるようにすること。また、変更があった場合は、速やかに再提出すること。
5.適合証明書等
本仕様書で求める調達内容について、条件に適合することを事前に確認するため、応札を希望する事業者は、別添8「適合証明書作成要領」に基づき、適合証明書を事前に提出し、審査に合格しなければならない。
6.ドキュメント等の貸与
本仕様書による調達に係る見積書の作成、入札への参加に関し必要な場合、設計書等のドキュメントに関する資料を、別添9「秘密保持誓約書」を提出の上、貸与等により閲覧することができる。
7.契約不適合
(1)本調達に係るシステムの納入から起算して 1 年以内に障害が発生した場合、担当職員から問い合わせを受けた受注者は速やかに原因調査を行い、責任をもった原因の特定・切り分け、対処案の策定のための速やかな情報提供を行うとともに、システムの正常稼働に必要な対応を、受注者の負担で実施すること。
(2)障害対応を実施した際は、担当職員に報告書を提出し、説明を行うこと。報告書には原因、その分析及び再発防止策を必ず含めること。また、必要な場合、納品成果物の更新を行うこと。障害対応に係る報告書及び更新した納品成果物については、担当職員の了承を得ること。
(3)受注者はセキュリティ診断の結果に対しても責任を負い、契約不適合の責任はセキュリティ診断に係るものにも及ぶものとする。従って、例えば、セキュリティ診断の結果判明した脆弱性や当該脆弱性への不適切な対応等について受注者は、契約不適合の是正に対する責任を負う(ただし、検収後に行うセキュリティ診断においては、納入時点で合理的に予想することができない脆弱性は除く。)。
(4)契約不適合の是正に対する責任を果たすために生じる一切の費用は、受注者が負担すること。
(5)本調達は改修であるため、オリジナル部分において問題が発生した場合は契約不適合の範囲ではない。
8.法令等の遵守
(1)受注者は、民法(明治 29 年法律第 89 号)、刑法(明治 40 年法律第 45 号)、著作
xx、不正アクセス行為の禁止等に関する法律(平成 11 年法律第 128 号)等の関係法規を遵守すること。
(2)受注者は、個人情報の保護に関する法律(平成 15 年法律第 57 号)及び受注者が定めた個人情報保護に関するガイドライン等を遵守し、個人情報を適正に取り扱うこと。なお、業務の遂行における個人情報保護対策の履行状況を確認するために、担当職員が個人情報保護監査の実施を必要と判断した場合は、担当職員がその実施内容(監査内容、対象範囲、実施等)を定めて、個人情報保護監査を行う(機構が選定した事業者による監査を含む。)こととし、受注者は当該監査に誠意を持って対応すること。
9.契約形態
本契約は役務契約による。
10.応札条件
(1)応札希望者は、適合証明に関する審査に合格にすること。
(2)機構のCIO 補佐官が現に属する事業者又は過去2 年間に属していた事業者及びその関連事業者(「財務諸表等の用語、様式及び作成方法に関する規則」(昭和 38 年
大蔵省令第 59 号)第 8 条に規定する親会社及び子会社、同一の親会社を持つ会社並びに委託先事業者等の緊密な利害関係を有する事業者をいう。)については入札に参加できない。
(3)応札希望者は、以下の条件を満たしていること。
①過去に、国(中央省庁及びその出先機関、並びに独立行政法人)から受注した案件で web システム(web ブラウザを通じて利用するシステム等)又はデータベースシステムを開発した実績を有していること。
②ISMS 適合性評価制度又はプライバシーマーク使用許諾の認証を取得又は、これらの認証と同等以上の資格の認証を取得していること。ただし、ISMS 適合性評価制度の認証については、作業者の所属部門が対象となっていること。
③担当職員とやり取りを行う実施担当責任者は、日本語でのコミュニケーションに支障がないこと。
④改修のプロジェクト管理担当責任者は、進捗管理手法に精通し、経験を有すること。担当職員からの問合せに対し、検討を行い、その対応を担当職員に指示すること。Web システム又はデータベースシステム開発プロジェクトのプロジェクト管理担当責任者を経験していること。
⑤設計担当責任者は、Web システム及びデータベースシステムの企画・設計に関する経験を有すること。
⑥運用及び保守のプロジェクト管理担当責任者は、Web システム又はデータベースシステム開発プロジェクトのプロジェク管理責任者又はプロジェク管理担当職員を経験していること。
⑦運用・保守担当責任者は、Web システム及びデータベースシステムのシステム運用・保守責任者又は担当職員を経験していること。
11.特記事項
(1)本調達に関する全ての納品成果物の稼働・保守については、納品成果物の製造者の如何にかかわらず、受注者が最終責任を負うこととし、これを製造者との間の契約によって担保していること。
(2)本調達の履行に当たっては、関係法令を遵守し、安全、衛生等の管理及び防火、防災、防犯に努めること。
(3)本調達の履行に当たって、仕様書に記載されていない項目や、記載されていても疑義が生じた場合は、担当職員と協議のxxx指示を受けるものとする。
(4)次年度以降において予算措置が行われなかった場合に限り、該当年度開始の 2 ヶ月前までに通知した上で、実施しないまたは実施内容を変更する可能性がある。
以上