独立行政法人医薬品医療機器総合機構(以下「PMDA」という。)では、「消費者くすりきき相談室情報支援システム(以下「くすりきき相談システム」という。)」を構築 し、クラウドサーバー上で運用している。
調達仕様書
令和2年6月
独立行政法人 医薬品医療機器総合機構
目次
1 調達案件の概要に関する事項 1
(1) 調達件名 1
(2) 調達の背景 1
(3) 目的及び期待する効果 1
(4) 業務・情報システムの概要 1
(5) 契約条件 2
(6) 作業スケジュール 2
2 調達案件及び関連調達案件の調達単位、調達の方式等に関する事項 3
(1) 調達案件及び関連する調達案件の調達単位、調達の方式、実施時期 3
(2) 調達案件間の入札制限 3
3 作業の実施内容に関する事項 3
(1) 作業の内容 4
(2) システム資産簿登録に係る作業 7
(3) 成果物の範囲、納品期日等 7
4 満たすべき要件に関する事項 9
5 作業の実施体制・方法に関する事項 9
(1) 作業実施体制 10
(2) 管理体制 10
(3) 作業要員に求める資格等の要件 11
(4) 作業場所 11
(5) 作業の管理に関する要領 11
6 作業の実施に当たっての遵守事項 12
(1) 基本事項 12
(2) 機密保持、資料の取扱い 12
(3) 遵守する法令等 13
7 成果物の取扱いに関する事項 14
(1) 知的財産権の帰属 14
(2) 契約不適合責任 14
(3) 検収 15
8 入札参加資格に関する事項 15
(1) 入札参加要件 15
(2) 入札制限 16
9 情報セキュリティ管理 16
(1) 情報セキュリティ対策の実施 16
(2) 情報セキュリティ監査の実施 17
10 再委託に関する事項 17
(1) 再委託の制限及び再委託を認める場合の条件 17
(2) 承認手続 18
(3) 再委託先の契約違反 19
11 その他特記事項 19
(1) 環境への配慮 19
(2) その他 19
12 附属文書 19
(1) 要件定義書 19
(2) 事業者が閲覧できる資料一覧 20
13 窓口連絡先 20
1 調達案件の概要に関する事項
(1) 調達件名
消費者くすりきき相談室情報支援システム移行及び改修業務
(2) 調達の背景
独立行政法人医薬品医療機器総合機構(以下「PMDA」という。)では、「消費者くすりきき相談室情報支援システム(以下「くすりきき相談システム」という。)」を構築し、クラウドサーバー上で運用している。
現契約が 11 月で終了となり、現在使用しているOS のサポートも終了する。PMDA の業務システムを稼働させるための共通基盤が平成 31 年 1 月に構築され、くすりきき相談システムを稼働できる環境がPMDA に整備された。一方、従来システムの機能の使い勝手については、一部の帳票出力等において手作業で行っている項目があるなど改修の必要性が認められることから、このシステム移行期に合わせて、必要な改修を行い、使い勝手を向上させることでより一層の作業の効率化に繋げることを目指す。
(3) 目的及び期待する効果
本調達は、くすりきき相談システムを OS 及びミドルウェアを更新した PMDA の共通基盤に移設し、必要なアプリケーションの改修や移植及びデータ移行を実施することを目的とする。これにより、令和2年 12 月以降もハードウェア、OS 及びミドルウェア環境の障害対応を保守サポートのもとで行い、システムを安定的に稼働させることができ る。また、機能改修を行うことにより、手作業によるミス等を少なくし、作業の効率化に繋げることを目的とする。帳票作成、集計、入力データの確認、検索等の作業については、定期的かつ頻繁に行っていることから、大幅な作業効率の改善効果が期待でき る。
(4) 業務・情報システムの概要
本調達におけるくすりきき相談システム及びPMDA 共通基盤のシステム構成案は、
「別紙4 システム構成案」に示すとおりである。
① くすりきき相談システム
PMDA では、医師から処方されたくすり(医療用医薬品)や薬局などで購入するくすり、販売店で購入し家庭で使用する医療機器(コンタクトレンズ、マッサージ機、補聴器など)に関する一般消費者からの相談を電話にて受付けている。これらの相談事例に関する情報をくすりきき相談システムを使用してデータベース化(データ入力、蓄積、集計、解析等処理の支援各種出力)し、蓄積したデータの相談業務への活用を支援している。
② PMDA 共通基盤
PMDA が運用する複数の業務システムを運用するためにデータセンタに構築した環 境。PMDA が契約したデータセンタ内にハードウェア、ソフトウェア、ネットワークを搬入、設置、設定して全業務システムが利用可能な共用部分であるPMDA 共通基盤を構築し、運用及び保守サービスを提供している。各業務システムは同データセンタ内に独自に導入するハードウェア、ソフトウェア、ネットワークと共通基盤を組み合わせて業務システムを運用することができる。各業務システムの利用によりPMDA 共通基盤の増強が必要となる場合は、PMDA 共通基盤側と仕様を調整のうえで各業務システム側の負担で構築する必要がある。共通基盤には以下が含まれる。
• 仮想基盤
• 仮想サーバ用OS(Microsoft Windows Server 2016 Standard)
• SSL サーバ証明書
• PMDA のオフィスとデータセンタ間の通信回線
• インターネットとデータセンタ間の通信回線
• インターネットとデータセンタ間のファイアーウォール
• IPS 装置
• 運用監視サーバ
• PMDA 職員分のOffice365 及びRDP のライセンス
• MSS(Managed Security Service)
(5) 契約条件
受注者は、落札後に以下の契約条件にて PMDA と協議の上、契約を行うこと。
① 契約期間
契約締結日から令和6年3月末日まで
うち、サーバ移行及び改修期間を契約締結日から令和2年 12 月末日までとし、ソフ
トウェア等の保守及び技術支援の期間を令和2年 12 月1日から令和6年3月末日までとする。ただし、有償の保守サポートが必要なソフトウェアを使用しない場合は、サーバ移行及び改修期間のみとする。
② 契約形態
請負契約形態とし、検収や支払方法等は契約書にて定める。
(6) 作業スケジュール
本業務に係る想定スケジュールの概要を図 1.2に示す。図 1.2はあくまで想定のスケジュールであり、詳細な実施スケジュールは受注者が検討の上、実施計画書に記載すること。
図 1.2 スケジュール概要
令和2年
★テスト計画承認
定)
★移行計画承認
★テスト完了
(工程終了判定)
★移行開始判定
★移行完了判定
・
保守
8.運用・保守
教育
教育計画
7・教育
導入移行
導入移行計画
6.移行
テスト
テスト計画
5.テスト
設定
導入
4.導入・設定
改修
3.改修
設計
2.設計
実施計画
1.実施計画
★設計完了
(工程終了判
マイルストーン
12月
11月
10月
9月
8月
タスク
2 調達案件及び関連調達案件の調達単位、調達の方式等に関する事項
(1) 調達案件及び関連する調達案件の調達単位、調達の方式、実施時期
関連する調達案件の調達単位、調達の方式、実施時期は次の表の通りである。
表 2.1 関連する調達案件の調達単位、調達の方式、実施時期等(既存契約)
項番 | 調達案件名 | 調達の方式 | 実施時期 | 補足 |
1 | 消費者くすりきき相談室情報支援システムの運用支援業務 | 随意規約 | 令和2年 4 月1日 から令和2年 11 月 30 日 | NEC ネクサソリューションズ株式会社 |
2 | 共用 LAN システムサーバリプレイス | 一般競争入札 | 平成 30 年 6 月から 令和 6 年 12 月 | NEC ネクサソリューションズ株式会社 |
表 2.2 関連する調達案件の調達単位、調達の方式、実施時期等(契約予定)
項番 | 調達案件名 | 調達の方式 | 実施時期 | 役割 |
1 | 消費者くすりきき相談室情報支援システムの運用支援業務 | 一般競争入札 | 令和2年 12 月から令和6年3月 | 運用支援 |
(2) 調達案件間の入札制限
なし
3 作業の実施内容に関する事項
(1) 作業の内容
① 設計・開発
ア 設計・開発実施計画書等の作成
ア-1 受注者は、PMDA の指示に基づき、設計・開発実施計画書及び設計・開発実施要領の案を作成し、PMDA の承認を受けること。設計・開発実施計画書にはプロジェクトスコープ、体制表、作業分担、スケジュール、EVM、WBS、工程完了基準、成果物、前提条件、制約事項を記載すること。設計・開発実施要領の案には、コミュニケーション管理要領(会議体、議事録作成ルール、連絡方法など)、進捗管理要領・リスク管理要領(報告頻度、報告様式、管理方
法)、課題管理要領・変更管理要領(様式、承認フロー)、構成管理要領、文書管理要領(受領資料の管理方法)、セキュリティ管理要領(セキュリティ対策、履行状況の報告)、品質管理要領(レビュー計画、品質目標、工程完了基準)を記載すること。
イ 設計
イ-1 受注者は、「別紙1 業務要件」「別紙2 機能要件」及び「別紙3 非機能要件」を満たすための設計を行い、成果物について PMDA の承認を受けること。
イ-2 受注者は、情報システムの移行の方法、環境、ツール、段取り等を記載した導入・移行計画書を作成し、PMDA の承認を受けること。
イ-3 受注者は、運用設計及び保守設計を行い、情報システムの次期更改までの間に計画的に発生する作業内容、その想定される時期等を取りまとめた中長期運用・保守作業計画の案を作成し、PMDA の確認を受けること。
イ-4 受注者は、運用設計及び保守設計を行い、定常時における月次の作業内容、その想定スケジュール、障害発生時における作業内容等を取りまとめた運用計画及び保守作業計画の案を作成し、PMDA の確認を受けること。
ウ 改修
ウ-1 本調達仕様書に記述する要求仕様を満たす機器で正常に動作するようアプリケーションの改修を行うこと。詳細は、「別紙1 業務要件」及び「別紙 2非機能要件」に示す。なお、下記の役務に必要な部材を含むものとする。
エ 導入・設定
エ-1 受注者は、機器等の導入について、作業手順、作業スケジュール、確認項目、合否判定基準等を導入計画書に記載し、PMDA の承認を受けること。
エ-2 受注者は、導入計画書に基づき、機器等ヘの導入及び設定を行うこと。
エ-3 受注者は、導入計画書に基づき、導入の実施状況を PMDA に報告すること。
オ テスト
オ-1 受注者は、テスト体制、テスト環境、作業内容、作業スケジュール、テストシナリオ、合否判定基準等を記載したテスト計画書を作成し、PMDA の承認を受けること。詳細は「別紙3 非機能要件」参照のこと。
オ-2 受注者は、テスト計画書に基づき、テストを行うこと。
オ-3 受注者は、テスト計画書に基づき、各テストの実施状況を PMDA に報告すること。
カ 受入テスト支援
カ-1 受注者は、PMDA が受入テストのテスト計画書を作成するに当たり、情報提供等の支援を行うこと。
カ-2 受注者は、PMDA が受入テストを実施するに当たり、環境整備、運用等の支援を行うこと。
カ-3 受注者は、PMDA の指示に基づき、情報システム利用者のテスト実施も含めて、テスト計画書作成の支援を行うこと。
キ 移行
キ-1 受注者は、「別紙1 業務要件」に記載の移行対象のデータ等について移行計画書に記載し、PMDA の承認を受けること。移行計画の詳細は「別紙3 非機能要件」参照のこと。
キ-2 受注者は、PMDA の移行判定を受けて、移行計画書に基づく導入・移行作業を行うこと。
キ-3 受注者は、移行計画書に基づき、移行を行うこと。
キ-4 受注者は、移行計画書に基づき、移行の実施状況を PMDA に報告すること。
ク 引継ぎ
ク-1 受注者は、設計・開発の設計書、作業経緯、残存課題等を文書化し、運用事業者及び保守事業者に対して確実な引継ぎを行うこと。
ク-2 引き継ぎに際し、PMDA 及び運用・支援事業者から情報提供及び質疑応答等があった場合には速やかに対応すること。それらにかかる費用は本調達に含まれる。
② 運用
ア 中長期運用・保守作業計画の確定支援
ア-1 受注者は、PMDA が中長期運用・保守作業計画を確定するに当たり、情報システムの構成やライフサイクルを通じた運用業務及び保守作業の内容について、計画案の妥当性の確認、情報提供等の支援を行うこと。
イ 運用計画及び運用実施要領の作成支援
イ-1 受注者は、PMDA が運用計画及び運用実施要領を作成するに当たり、具体的な作業内容や実施時間、実施サイクル等に関する資料作成等の支援を行うこと。
③ 保守
ア 中長期運用・保守作業計画の確定支援
ア-1 受注者は、PMDA が中長期運用・保守作業計画を確定するに当たり、情報システムの構成やライフサイクルを通じた運用業務及び保守作業の内容について、計画案の妥当性の確認、情報提供等の支援を行うこと。
イ 保守作業計画及び保守実施要領の作成支援
イ-1 受注者は、PMDA が保守作業計画及び保守実施要領を作成するに当たり、具体的な作業内容や実施時間、実施サイクル等に関する資料作成等の支援を行うこと。
ウ 定常時対応
ウ-1 受注者は、「別紙 1 業務要件」の保守要件に示すソフトウェア保守を提供すること。具体的な実施内容・手順は PMDA が定める運用計画に基づいて行うこと。
④ 管理
ア プロジェクト管理
ア-1 プロジェクト実施計画書にて合意した管理要領に基づき、本業務が遅滞なく進捗するよう管理すること。管理にあたっては、以下に留意すること。
・プロジェクトの状況を正しく把握し、計画工数内で所定の期日までに納入成果物を作成することを目的として、実施計画書に記載した管理手法に基づき、EVM・WBS 等による予実管理を実施すること。
・受注者側のプロジェクトマネージャは、本業務におけるあらゆるタスクのあらゆるリスクについて、その発現を未然に防ぐための措置を施すととも
に、発現時の対応方針を事前に検討しておくこと。発現の蓋然性が高く、また発現がプロジェクトの方針の大幅な変更を要すると考えられるリスク
については、発現時の対応方針案について事前にPMDA と相談する等して、発現時のインパクトを最小限に留めるよう工夫すること。
・万が一、リスクが発現した場合は、可及的速やかに対応し被害を最小化するとともに、速やかに進捗を正常化するための措置を施すこと。
・プロジェクト体制の中に複数のサブチームを設ける場合、サブチーム間で必要な情報共有を適切に行うこと。
イ 作業工数実績の報告
イ-1 受注者は、本業務で実施した作業の工数について、月次で PMDA に報告すること。報告の様式等に関しては、業務開始時にPMDA と協議し決定すること。
(2) システム資産簿登録に係る作業
① PMDA においては、システムのインベントリ情報をxx管理するシステム資産簿を作成している。受注者は、本システムで利用する機器、ソフトウェア、ネットワーク等の構成情報をPMDA へ報告し、xx管理するシステム資産簿の管理情報について常に最新の状態を保つこと。なお、以下に示す事項以外に管理が必要と考えられる事項があればPMDA と協議の上、合わせて管理すること。
② 受注者は、下記のインベントリ情報に関し、PMDA が指定するシステム資産簿登録用シートを提出すること。
ア ソフトウェア管理台帳(ソフトウェア名称、エディション・バージョン、ソフトウェアの搭載機器、サポート内容・期間等)
イ ライセンス管理台帳(ソフトウェア名称、エディション・バージョン、ライセンス番号(シリアル番号)、提供形態、有効期限、保有ライセンス数等)
ウ その他PMDA が指定する項目
(3) 成果物の範囲、納品期日等
① 成果物
作業工程別の納入成果物を表 3.1に示す。ただし、納入成果物の構成、詳細については、受注後、PMDA と協議し取り決めること。
表 3.1 工程と成果物
項番 | 工程 | 納入成果物 (注 1) | 納入期日 |
1 | 実施計画 | ・設計・開発実施計画書(プロジェクトスコープ、 体制表、作業分担、スケジュール、EVM、WBS、成果物、工程完了基準、前提条件、制約事項) | 契約締結日から 2 週間以内 |
・設計・開発実施要領案(コミュニケーション管理要領、進捗管理要領・リスク管理要領、課題管理 |
項番 | 工程 | 納入成果物 (注 1) | 納入期日 |
要領・変更管理要領、構成管理要領、文書管理要領、セキュリティ管理要領、品質管理要領) | |||
2 | 設計 | ・方式設計書 ・環境設計書 ・環境定義書 ・導入計画書 ・移行計画書 | 令和2年 9月 30 日 |
3 | 改修 | ・改修済みプログラム及びソースコード ・プログラム及びソースコード一覧 | 令和2年 10 月 31 日 |
4 | 導入・設定 | ・導入計画書 ・導入手順書 ・導入作業結果報告書 ・導入・設定済みソフトウェア製品 ・開発環境 ・改修・導入済み実行プログラム ・システム資産簿登録用シート | 令和2年 10 月 31 日 |
5 | テスト | ・テスト計画書 ・テスト結果報告書 ・テスト結果エビデンス ・テストデータ | 令和3年 11 月 20 日 |
6 | 移行 | ・移行計画書 ・移行手順書 ・移行作業結果報告書 | 令和3年 12 月4日 |
7 | 教育 | ・教育計画書 ・操作マニュアル(管理者) ・操作マニュアル(一般ユーザ) ・業務マニュアル(運用・保守事業者) ・教育用資料 ・教育作業結果報告書等 ・FAQ | 令和3年 12 月4日 |
8 | 運用計画 | ・運用計画書 ・運用手順書 ・運用設計書 | 令和3年 11 月 20 日 |
9 | 保守計画 | ・保守計画書 ・保守手順書 | 令和3年 11 月 20 日 |
10 | 保守 | ・技術支援資料など | 令和6年 3月 20 日 |
11 | その他 | ・打合せ資料 ・議事録 ・機密情報受理管理簿 ・データ消去証明書 ・開発に係る中間成果物 ・契約不適合責任対応に係る保有情報の一覧 ・インシデント報告書 | 令和3年 12 月 22 日 (※必要に応じて随時提 出) |
注 1 納入成果物の作成にあたっては、SLCP-JCF2013(共通フレーム 2013)を参考とすること。
② 納品方法
表 3.1の納入成果物を含む全ての納入成果物を納入期日までに納品すること。なお、納入成果物については、以下の条件を満たすこと。
ア 文書を磁気媒体等(CD-R 又は CD-RW 等)により日本語で提供すること。
イ 磁気媒体等に保存する形式は、PDF 形式及びMicrosoft Office2016 で扱える形式とする。ただし、PMDA が別に形式を定めて提出を求めた場合は、この限りではない。
ウ 磁気媒体については二部ずつ用意すること。
バインダー一部に磁気媒体二部と成果物一覧を綴り、背表紙に案件名、受注業者名、納入年月日を記載すること。
エ 一般に市販されているツール、パッケージ類の使用は PMDA と協議の上、必要であれば使用を認めることとするが、特定ベンダーに依存する(著作権、著作者人格権を有する)ツール等は極力使用しないこと。
オ 現在利用中の開発ツールに加え、新しく開発ツールを導入する場合はそのライセンス及びメディアを納入すること。
カ 本調達で使用した開発ツール等の5年間有効なライセンス及びメディアを納入すること。
キ 本業務を実施する上で必要となる一切の機器物品等は、受注者の責任で手配するとともに、費用を負担すること。
ク 本調達の納入実行ファイルを作成した開発環境(開発ツール及び実行ファイル作成に用いたプログラム等で構成された環境一式を示す。)を検証環境に構築すること。
ケ 各工程の中間成果物も含め、本調達に係る全ての資料を納品すること。
③ 納品場所
独立行政法人 医薬品医療機器総合機構 安全性情報・企画管理部 リスクコミュニケーション推進課 医薬品・医療機器相談室
4 満たすべき要件に関する事項
本業務の実施にあたっては、「別紙 1 業務要件」「別紙2 機能要件」「別紙3 非機能要件」「別紙5 情報セキュリティ要件」「別紙6 情報システムのセキュリティ要件」の各要件を満たすこと。
5 作業の実施体制・方法に関する事項
(1) 作業実施体制
プロジェクトの推進体制及び本件受注者に求める作業実施体制は次の図及び表のとおりである。なお、受注者内のチーム編成については想定である。受注者は、本業務に係る要員の役割分担、責任分担、体制図等を実施計画書の一部として作成し、PMDA に報告するとともに、承認を得ること。また、受注者は、必要な要員の調達を遅滞なく実施 し、体制図等の要員配置関連資料を確定すること。なお、要員配置関連資料の作成に当たっては、情報セキュリティ対策の管理体制を明確に記載すること。
① プロジェクトマネジメントに係る、品質管理・進捗管理・セキュリティ管理・リスク管理等の必要な機能を、体制に組み込むこと。
② 作業体制の品質確保のため、本業務の運用責任者・xxxは業務開始から業務終了まで継続して遂行すること。交代する場合は同等以上の要員が担当するものとし、事前に PMDA の承認を得ること。
③ 受注者は、PMDA 側やその他関連事業者を含めた全体の体制・役割を示した上で、プロジェクトの推進体制及び本件受注者に求める作業実施体制を PMDA と協議の上定めること。
④ システム設計・開発等を複数業者が連携(再委託を含めて)して実施する等の場合は、参画する各業者の役割分担等を明示すること。
(2) 管理体制
① 本業務の実施に当たり、PMDA の意図しない変更が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること。また、当該品質保証体制が書類等で確認できること。
② 本情報システムに PMDA の意図しない変更が行われるなどの不正が見つかった時
(不正が行われていると疑わしい時も含む)に、追跡調査や立入検査等、PMDA と受注者が連携して原因を調査・排除できる体制を整備していること。また、当該
体制が書類等で確認できること。
③ 当該管理体制を確認する際の参照情報として、資本関係・役員等の情報、本業務の実施場所、本業務従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供を行うこと。具体的な情報提供内容については PMDA と協議の上、決定するものとする。
(3) 作業要員に求める資格等の要件
① 設計・開発に携わるxxxは特定非営利活動法人 日本プロジェクトマネジメント協会の「プロジェクトマネジメント・スペシャリスト(PMS)」、PMI(Project Management Institute)の「PMP」資格、独立行政法人情報処理推進機構(IPA)の「プロジェクトマネージャ」資格のいずれかを取得していること。
② 情報セキュリティ対策の管理体制の責任者は、情報処理の促進に関する法律(昭和 45 年 5 月 22 日法律第 90 号)に基づく情報処理安全確保支援士の登録を受けている者又は同等の資格を有する者であること。
③ Web システムの開発・運用・保守に関して取扱い経験及び専門的な技術知識を有し、現場担当者に対して適切な応答速度で、有効な助言、指示を与える者を配置すること。
④ PMDA にて現行関連システムの設計書等を閲覧し、内容を十分理解していること。
(4) 作業場所
① 受注業務の作業場所(サーバ設置場所等を含む)は、(再委託も含めて)PMDA内、又は日本国内で PMDA の承認した場所で作業すること。
② 受注業務で用いるサーバ、データ等は日本国外に持ち出さないこと。
③ 個人情報を含む機密データは、PMDA 外に持ち出さず、PMDA 内で作業をすること。
④ PMDA 内での作業においては、必要な規定の手続を実施し承認を得ること。
⑤ なお、必要に応じて PMDA 職員は現地確認を実施できることとする。
(5) 作業の管理に関する要領
① 受注者は、PMDA が承認した設計・開発実施要項に基づき、設計・開発業務、運用業務及び保守業務に係るコミュニケーション管理、進捗管理、リスク管理、課題管理、変更管理、構成管理、文書管理、セキュリティ管理、品質管理を行うこと。
ア コミュニケーション管理は、会議体(名称、目的、頻度、参加者)、資料及び議事録の提出期限(3 営業日以内)、連絡方法を記載すること。
イ 進捗管理は、報告頻度、報告様式、管理方法を記載すること。また、「3
(1)④管理」に従うこと。
ウ リスク管理は、報告頻度、報告様式、管理方法を記載すること。なお、報告様式にはリスク一覧及びリスク対応策を記載し、月次での報告とすること。
エ 課題管理は、課題管理表の様式を記載し、都度報告及び月次での報告とすること。
オ 変更管理は、変更一覧の様式及び変更管理プロセスを記載し、都度及び月次での報告とすること。
カ 構成管理及び文書管理は、受領した資料の管理方法、構成管理の対象、構成管理に使用するツール等を記載すること。
キ セキュリティ対策は、医薬品医療機器総合機構 情報セキュリティポリシーを遵守するための情報セキュリティ対策を記載し、履行状況報告を月次での報告とすること。
ク 品質管理は、レビュー計画、品質目標、工程完了基準を記載すること。
6 作業の実施に当たっての遵守事項
(1) 基本事項
受注者は、次に掲げる事項を遵守すること。
① 本業務の遂行に当たり、業務の継続を第一に考え、善良な管理者の注意義務をもって誠実に行うこと。
② 本業務に従事する要員は、PMDA と日本語により円滑なコミュニケーションを行う能力と意思を有していること。
③ 本業務の履行場所を他の目的のために使用しないこと。
④ 本業務に従事する要員は、履行場所での所定の名札の着用等、従事に関する所定の規則に従うこと。
⑤ 要員の資質、規律保持、風紀及び衛生・健康に関すること等の人事管理並びに要員の責めに起因して発生した火災・盗難等不祥事が発生した場合の一切の責任を負うこと。
⑥ 受注者は、本業務の履行に際し、PMDA からの質問、検査及び資料の提示等の指示に応じること。また、修正及び改善要求があった場合には、別途協議の場を設けて対応すること。
⑦ 次回の本業務調達に向けた現状調査、PMDA が依頼する技術的支援に対する回答、助言を行うこと。
⑧ 本業務においては、業務終了後の運用等を、受注者によらずこれを行うことが可能となるよう詳細にドキュメント類の整備を行うこと。
(2) 機密保持、資料の取扱い
本業務を実施する上で必要とされる機密保持に係る条件は、以下のとおり。
① 受注者は、受注業務の実施の過程で PMDA が開示した情報(公知の情報を除く。以下同じ。)、他の受注者が提示した情報及び受注者が作成した情報を、本受注業務の目的以外に使用又は第三者に開示若しくは漏洩してはならないものとし、そのために必要な措置を講ずること。
② 受注者は、本受注業務を実施するにあたり、PMDA から入手した資料等については管理簿等により適切に管理し、かつ、以下の事項に従うこと。
• 複製しないこと。
• 用務に必要がなくなり次第、速やかに PMDA に返却又は消去すること。
• 受注業務完了後、上記①に記載される情報を削除又は返却し、受注者において該当情報を保持しないことを誓約する旨の書類を PMDA に提出すること。
③ 応札希望者についても上記①及び②に準ずること。
④ 「独立行政法人 医薬品医療機器総合機構 情報システム管理利用規程」の第 52条に従うこと。
⑤ 「秘密保持等に関する誓約書」を別途提出し、これを遵守しなければならない。
⑥ 機密保持の期間は、当該情報が公知の情報になるまでの期間とする。
(3) 遵守する法令等
本業務を実施するにあたっての遵守事項は、以下のとおり。
① 受注者は、民法、刑法、著作xx、不正アクセス行為の禁止等に関する法律、行政機関の保有する個人情報の保護に関する法律等の関連法規及び労働関係法令を遵守すること。
② 受注者は、次の文書に記載された事項を遵守すること。遵守すべき文書が変更された場合は変更後の文書を遵守すること。
ア 独立行政法人 医薬品医療機器総合機構 情報セキュリティポリシーイ 独立行政法人 医薬品医療機器総合機構 情報システム管理利用規程ウ 独立行政法人 医薬品医療機器総合機構 個人情報管理規程
なお、「独立行政法人 医薬品医療機器総合機構 情報セキュリティポリシー」は非公開であるが、「政府機関等の情報セキュリティ対策のための統一基準(最新版)」に準拠しているので、必要に応じ参照し、その内容を取り込むこと。
「独立行政法人 医薬品医療機器総合機構 情報セキュリティポリシー」の開示については、事業者が PMDA に「秘密保持等に関する誓約書」を提出した際に開示する。
③ PMDA へ提示する電子ファイルは事前にウイルスチェック等を行い、悪意のあるソフトウェア等が混入していないことを確認すること。
④ 受注者は、本業務において取り扱う情報の漏洩、改ざん、滅失等が発生することを防止する観点から、情報の適正な保護・管理対策を実施するとともに、これらの実施状況について、PMDA が定期又は不定期の検査を行う場合においてこれに応じること。万一、情報の漏洩、改ざん、滅失等が発生した場合に実施すべき事項及び手順等を明確にするとともに、事前に PMDA に提出すること。また、そのような事態が発生した場合は、PMDA に報告するとともに、当該手順等に基づき可及的速やかに修復すること。
7 成果物の取扱いに関する事項
(1) 知的財産権の帰属
知的財産の帰属は、以下のとおり。
① 本件に係り作成・変更・更新されるドキュメント類及びプログラムの著作権(著作xx第 21 条から第 28 条に定めるすべての権利を含む。)は、受注者が本件のシステム開発の従前より権利を保有していた等の明確な理由により、あらかじめ書面にて権利譲渡不可能と示されたもの以外、PMDA が所有する等現有資産を移行等して発生した権利を含めてすべて PMDA に帰属するものとする。
② 本件に係り発生した権利については、受注者は著作者人格権(著作xx第 18 条から第 20 条までに規定する権利をいう。)を行使しないものとする。
③ 本件に係り発生した権利については、今後、二次的著作物が作成された場合等であっても、受注者は原著作物の著作権者としての権利を行使しないものとする。
④ 本件に係り作成・変更・修正されるドキュメント類及びプログラム等に第三者が権利を有する著作物が含まれる場合、受注者は当該著作物の使用に必要な費用負担や使用許諾契約に係る一切の手続きを行うこと。この場合は事前に PMDA に報告し、承認を得ること。
⑤ 本件に係り第三者との間に著作権に係る権利侵害の紛争が生じた場合には、当該紛争の原因が専ら PMDA の責めに帰す場合を除き、受注者の責任、負担において一切を処理すること。この場合、PMDA は係る紛争の事実を知ったときは、受注者に通知し、必要な範囲で訴訟上の防衛を受注者にゆだねる等の協力措置を講ずる。なお、受注者の著作又は一般に公開されている著作について、引用する場合は出典を明示するとともに、受注者の責任において著作者等の承認を得るものとし、 PMDA に提出する際は、その旨併せて報告するものとする。
(2) 契約不適合責任
① 委託業務の納入成果物に関して本システムの安定稼動等に関わる契約不適合の疑いが生じた場合であって、PMDA が必要と認めた場合は、受注者は速やかに契約不適合の疑いに関して調査し回答すること。調査の結果、納入成果物に関して契約不適合等が認められた場合には、受注者の責任及び負担において速やかに修正を
行うこと。なお、修正を実施する場合においては、修正方法等について、事前に PMDA の承認を得てから着手すると共に、修正結果等について、PMDA の承認を受けること。
② 受注者は、契約不適合責任を果たす上で必要な情報を整理し、その一覧をPMDA に提出すること。契約不適合責任の期間が終了するまで、それら情報が漏洩しないように、ISO/IEC27001 認証(国際標準)又は JISQ27001 認証(日本工業標準)に従い、また個人情報を取り扱う場合には JISQ15001(日本工業標準)に従い、厳重に管理をすること。また、契約不適合責任の期間が終了した後は、速やかにそれら情報をデータ復元ソフトウェア等を利用してもデータが復元されないように完全に消去すること。データ消去作業終了後、受注者は消去完了を明記した証明書を作業xxとともにPMDA に対して提出すること。なお、データ消去作業に必要な機器等については、受注者の負担で用意すること。
(3) 検収
納入成果物については、適宜、PMDA に進捗状況の報告を行うとともに、レビューを受けること。最終的な納入成果物については、「3(3)①成果物」に記載のすべてが揃っていること及びレビュー後の改訂事項等が反映されていることを、PMDA が確認し、これらが確認され次第、検収終了とする。
なお、以下についても遵守すること。
① 検査の結果、納入成果物の全部又は一部に不合格品を生じた場合には、受注者は直ちに引き取り、必要な修復を行った後、PMDA の承認を得て指定した日時までに修正が反映されたすべての納入成果物を納入すること。
② 「納入成果物」に規定されたもの以外にも、必要に応じて提出を求める場合があるので、作成資料等を常に管理し、最新状態に保っておくこと。
③ PMDA の品質管理担当者が検査を行った結果、不適切と判断した場合は、品質管理担当者の指示に従い対応を行うこと。
8 入札参加資格に関する事項
(1) 入札参加要件
応札希望者は、以下の条件を満たしていること。
① 開発責任部署は ISO9001 又は CMMI レベル 3 以上の認定を取得していること。
② ISO/IEC27001 認証(国際標準)又は JISQ27001 認証(日本工業標準)のいずれかを取得していること。
③ PMDA にて現行関連システムの設計書等を閲覧し、内容を十分理解していること。
④ 応札時には、開発する機能毎に十分に細分化された工数、概算スケジュールを含む見積り根拠資料の即時提出が可能であること。なお、応札後に PMDA が見積り
根拠資料の提出を求めた際、即時に提出されなかった場合には、契約を締結しないことがある。
(2) 入札制限
情報システムの調達のxx性を確保するために、以下に示す事業者は本調達に参加できない。
① PMDA の CIO 補佐が現に属する、又は過去 2 年間に属していた事業者等
② 各工程の調達仕様書の作成に直接関与した事業者等
③ ①~③の親会社及び子会社(「財務諸表等の用語、様式及び作成方法に関する規則」(昭和 38 年大蔵省令第 59 号)第 8 条に規定する親会社及び子会社をいう。以下同じ。)
④ ①~③と同一の親会社を持つ事業者
⑤ ①~③から委託を請ける等緊密な利害関係を有する事業者
9 情報セキュリティ管理
(1) 情報セキュリティ対策の実施
受託者は、以下を含む情報セキュリティ対策を実施すること。また、その実施内容及び管理体制についてまとめた情報セキュリティ管理計画書を受注後速やかに提出して PMDA の承認を受けること。
① PMDA から提供する情報の目的外利用を禁止すること。
② 本業務の実施に当たり、受託者又はその従業員、本調達の役務内容の一部を再委託する先、若しくはその他の者により、PMDA の意図せざる変更が加えられないための管理体制が整備されていること。
③ 受託者の資本関係・役員等の情報、本業務の実施場所、本業務従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供を行うこと。具体的な情報提供内容については PMDA と協議の上、決定するものとする。
④ 情報セキュリティインシデントへの対処方法(対処手順、責任分界、対処体制、対応時間、情報伝達時間・手段等)が確立されていること。
⑤ 情報セキュリティ対策その他の契約の履行状況を定期的に確認し、PMDA へ報告すること。
⑥ 情報セキュリティ対策の履行が不十分である場合、その原因について調査・排除するため、PMDA による追跡調査や立ち入り検査等について連携・協力する体制が構築できていること。また速やかに改善策を提出し、PMDA の承認を受けた上で実施すること。
⑦ 本業務に係る業務の遂行における情報セキュリティ対策の履行状況を確認するた
めに、PMDA が必要と判断した場合は、情報セキュリティ監査を受入れること。
⑧ 本調達の役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるように上記①~⑥に関する事項を記載した情報セキュリティ管理計画書を作成し、PMDA の承認を受けること。
⑨ PMDA から要保護情報を受領する場合は、情報セキュリティに配慮した受領及び管理方法にて行うこと。
⑩ PMDA から受領した要保護情報が不要になった場合は、これを確実に返却、又は抹消し、書面にて報告すること。
⑪ 本業務において、情報セキュリティインシデントの発生又は情報の目的外利用等を認知した場合は、速やかに PMDA に報告すること。
(2) 情報セキュリティ監査の実施
① PMDA がその実施内容(監査内容、対象範囲、実施等)を定めて、情報セキュリティ監査等を行う(PMDA が選定した事業者による監査を含む。)ものとする。受託者は、あらかじめ情報セキュリティ監査等を受け入れる部門、場所、時期、条件等を「実施計画書」に付記し提示すること。
② 受託者は自ら実施した外部監査についても PMDA へ報告すること。
③ 受託者は、情報セキュリティ監査の結果、本調達における情報セキュリティ対策の履行状況について PMDA が改善を求めた場合には、PMDA と協議の上、必要な改善策を立案して速やかに改善を実施するものとする。
④ 本調達に関する監査等が実施される場合、受託者は、技術支援及び情報提供を行うこと。
⑤ 受託者は、指摘や進捗等把握のための資料提出依頼等があった場合は、PMDA と協議の上、内容に沿って適切な対応を行うこと。
情報セキュリティ監査の実施については、本項に記載した内容を上回る措置を講ずることを妨げるものではない。
10 再委託に関する事項
(1) 再委託の制限及び再委託を認める場合の条件
① 受注者は、受注業務の全部又は主要部分を第三者に再委託することはできない。
② プロジェクト管理責任者を再委託先事業者の社員とすることはできない。
③ ①における「主要部分」とは、以下に掲げるものをいう。ア 総合的な企画及び判断並びに業務遂行管理
イ 手法の決定及び技術的判断
ウ SLCP-JCF2013 の 2.3 開発プロセス、及び 2.4 ソフトウェア実装プロセスで定める各プロセスで、以下に示す要件定義・基本設計工程に相当するもの。
・ 2.3.1 プロセス開始の準備
・ 2.3.2 システム要件定義プロセス
・ 2.3.3 システム方式設計プロセス
・ 2.4.2 ソフトウェア要件定義プロセス
・ 2.4.3 ソフトウェア方式設計プロセス
ただし、以下の場合には再委託を可能とする。
・ 補足説明資料作成支援等の補助的業務
・ サーバ移行業務及び改修機能毎の工数見積において、工数が比較的小規模(本調達における工数全体の 5 分の 1 以下を目安とし、PMDA が事前に承認したもの)であった機能に係るサーバ移行業務及び改修業務
④ 再委託先が「8(2)入札制限」の要件を満たすこと。
⑤ 受注者の責任において、サプライチェーンリスクの発生を未然に防止するための体制を確立すること。
⑥ 再委託における情報セキュリティ要件については以下のとおり。
・ 再委託先が「9(1)情報セキュリティ対策の実施」の要件を満たしていることについて証明する書面(※)を、「再委託に関する承認申請書」に添付して提出し PMDA の承認を受けること。
※情報セキュリティに関する管理体制と管理基準、社内規程が整備されている事実を証明する書面。例:体制図、社内規程、ISO 認証、外部監査実績 等
・ 受注者は、再委託先における情報セキュリティ対策、及びその他の契約の履行状況の確認方法を整備し、PMDA へ報告すること。
・ 受注者は再委託先における情報セキュリティ対策の履行状況を定期的に確認すること。また、情報セキュリティ対策の履行が不十分な場合、その原因について調査・排除するため、PMDA による追跡調査や立ち入り検査等について連携・協力する体制が構築できていること。また、その対処方法を検討し、PMDA へ報告すること。
・ 受注者は、情報セキュリティ監査を実施する場合、再委託先も対象とするものとする。
・ 受注者は、再委託先が自ら実施した外部監査についても PMDA へ報告すること。
・ 受注者は、委託した業務の終了時に、再委託先において取り扱われた情報が確実に返却、又は抹消されたことを確認すること。
⑦ 上記①~⑥について再委託先が、さらに再委託を行う場合も同様とする。
(2) 承認手続
受注者は、受託業務を再委託する場合、予め再委託の相手方の商号又は名称及び住所並びに再委託を行う業務の範囲、再委託の必要性(及び契約金額)について記載した
「再委託に関する承認申請書」を提出し、PMDA の承認を受けること。
申請にあたって、次に掲げる事項を遵守すること。
・ 再委託先が情報セキュリティに関する管理体制と管理基準、社内規程が整備されている事実を証明する書面。(例:管理体制図、社内規程、ISO 認証、外部監査実績、等)及び受注者と再委託先との委託契約書の写し及び委託要領等の写しを、「再委託に関する承認申請書」に添付して提出すること。
・ 再委託の相手方は「8(2)入札制限」の対象となる事業者でないこと。
・ 受注者は、機密保持、知的財産xxに関して本仕様書が定める受注者の責務を再委託先業者も負うよう、必要な処置を実施し、PMDA に報告し、承認を受けること。
・ 受注者は再委託先の資本関係・役員等の情報、委託事業の実施場所、委託事業従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供を行うこと。具体的な情報提供内容については PMDAと協議の上、決定するものとする。
(3) 再委託先の契約違反
再委託先において、本調達仕様書の遵守事項に定める事項に関する義務違反又は義務を怠った場合には、受注者が一切の責任を負うとともに、PMDA は、当該再委託先への再委託の中止を請求することができる。
11 その他特記事項
(1) 環境への配慮
環境への負荷を低減するため、以下に準拠すること。
① 本件に係る納入成果物については、最新の「国等による環境物品等の調達の推進等に関する法律(グリーン購入法)」に基づいた製品を可能な限り導入すること。
② 導入する機器等がある場合は、性能や機能の低下を招かない範囲で、消費電力節減、発熱対策、騒音対策等の環境配慮を行うこと。
(2) その他
PMDA 全体管理組織(PMO)が担当課に対して指導、助言等を行った場合には、受注者もその方針に従うこと。
12 附属文書
(1) 要件定義書
別紙1 業務要件 別紙2 機能要件 別紙3 非機能要件
別紙4 システム構成案
別紙5 情報セキュリティ要件
別紙6 情報システムのセキュリティ要件
(2) 事業者が閲覧できる資料一覧
閲覧資料1 独立行政法人 医薬品医療機器総合機構 情報セキュリティポリシー閲覧資料2 PMDA 情報セキュリティインシデント対処手順書
閲覧資料3 セキュリティ管理要件書(ひな型)
閲覧資料4 消費者くすりきき相談室情報支援システム設計書及びソースコード
閲覧資料5 アプリケーション・コンテンツ提供時の情報セキュリティ対策実施手順閲覧資料6 共通基盤設計書一式(くすりきき相談システムに関連する部分のみ) これら資料は、PMDA に「秘密保持等に関する誓約書」を提出した事業者から申し出があれば開示する。
13 窓口連絡先
独立行政法人 医薬品医療機器総合機構
安全性情報・企画管理部 リスクコミュニケーション推進課 医薬品・医療機器相談室電話:03 (3506) 9482
Email:xxxxxxxxx-taisuke●xxxx.xx.xx
*迷惑メール防止対策をしているため、●を半角のアットマークに置き換えて下さい。
1.業務要件
本調達において以下の業務を行うこと (ア)サーバの移設
① 共通基盤が提供する仮想基盤上に現行サーバと同等のスペックの仮想サーバを共通基盤の管理者に申請して構築及び OS の導入を行うこと。現行の Excel出力用ツールが最新の Linux に対応していないため、Windows Server 2016 Standard に移行するものとする。「別紙 4 システム構成案」は、構成案であり、最終的な構成は、PMDA と協議のうえ決定すること。
② 構築した仮想サーバ上にミドルウェアを導入すること。「別紙 4 システム構成案」に現行システムに導入された主なソフトウェアを示す。
尚、導入する製品及びバージョンは、機能、性能、安定性及びサポート期限を考慮して PMDA と協議のうえ変更可能とする。
以下のサーバライセンス及びインストール・メディアは、PMDA が保有している。
1. Windows Server 2016 Standard
③ ①及び②で構築した仮想サーバ、OS、ミドルウェアに対してアプリケーションの稼働及びアプリケーションの利用に必要な環境設定、ネットワーク設定、監視設定及びジョブ設定を行うこと。
④ くすりきき相談システムの運用・保守及び利用に必要なネットワーク、Zabbix Manager(監視対象のホストやユーザの登録など)、Active Directory、DNS、バックアップ等の設定を共通基盤の管理者に申請して構築及びテストを実施すること。なお、バックアップの頻度、世代数、フル/増分バックアップ、スケジュールは共通基盤のルールに従うものとする。また、バックアップには共通基盤の Arcserve を使用するものとする。
⑤ ①から④で構築した仮想サーバ、OS、ミドルウェア、ネットワーク、ジョブが正常に稼働していることを監視する仕組みを共通基盤が提供する Zabbix Manager を用いて(但し、メール等で通知する機能・仕組みを備えている場合は除く)構築すること。監視対象は、CPU/メモリ/ディスクの使用率、Web と DB のサービスの死活、Zabbix Agent の死活とする。なお、Zabbix Manager での監視設定作業は、PMDA が行うものとする。
⑥ サーバ証明書の導入及び設定すること。尚、導入に必要なサーバ証明書は PMDAが保有している。
⑦ 成果物は PMDA と協議の上決定すること。最低限以下の設計書及び手順書を含めること。
1. 方式設計書(システム構成、ネットワーク構成、ストレージ構成、製品一覧、ソフトウェア構成、セキュリティ設計、バックアップ設計)
2. 環境定義書(ネットワーク設定、ソフトウェア設定、セキュリティ設定、アカウント一覧)
3. 運用設計書(xxx・xxxxxx定義、監視設計、製品のサポート情報)
4. 運用手順書(起動・停止、復旧)
⑧ PMDA の求めに応じ移設したサーバ等の仕様について十分な説明を行うこと。 (イ)アプリケーションの移行
① 現行サーバで稼働するアプリケーションを(ア)で構築したサーバに移行すること。
② (ア)で導入した OS、ミドルウェアで正常に稼働するために必要となる改修を行うこと。
③ 設計時における最新のフレームワーク及び開発言語を使用してマイグレーションを行うこと。
④ 開発に必要な開発環境、開発言語及び開発ツール類については受注者の責任で手配するとともに費用を負担すること。
⑤ バージョンアップに伴い問題が生じる機能を洗い出し、修正すること。その際、事前の調査結果に基づき問題の生じる可能性のある機能を中心にシステム観 点で基本機能の確認を行うこと。
(ウ)データの移行
① 現行サーバのデータ、コンテンツを(ア)で構築したサーバに移行し、アプリケーションから利用できるようにすること。
② 現行サーバの 3 か月分のログを(ア)で構築したサーバに移行し、参照可能な状態にすること。
③ 現行サーバからのデータの取得は、本受託業者が行うものとする。事前に運用支援業者と打ち合わせを行い、実施内容及びスケジュールを PMDA と協議のうえ決定すること。
(エ)機能改修
① 「別紙 2 機能要件」に記載された機能改修を行うこと。 (オ)保守要件
① ソフトウェア保守
有償の保守サポートが必要なソフトウェアを使用しない場合は、対象外とする。
1. 保守の期間と業務時間
実施時期・期間 | 実施・提供時間 | 補足 | |
通年 | 令和2年 12 月1日 ~令和6年3月 31 日 ※業務を行う日(平日)と | 9:00~18:00 ※12:00~13:00 は 休憩時間とする。 | ただし、本仕様書で別途定めるものの他、緊急作業及び本業務を実施する ために必要な作業がある |
は、本仕様書で別途定められている業務の他は、行政機関の休日(「行政機関の休日に関する法律」(昭和 63 年法律第 91 号)第 1 条 第 1 項に掲げる日をい う。)を除く日とする。 | 場合は、この限りではない。 |
2. 対応方法
A) 導入するソフトウェアについて受付窓口を一本化して保守を行うこと。調達するソフトウェアの障害発生時及び PMDA、運用支援業者からの問合せに対し迅速な対応が出来る体制を取り、連絡をした場合、速やかに回答を行うこと。
B) 保守の期間中に有効なソフトウェア・ライセンスを保有すること。
3. 作業内容
A) セキュリティホール等の情報及び対策のためのパッチを入手可能で あること。また、パッチの適用について技術的な情報を提供すること。
B) 調達したソフトウェアのアップデートプログラムに係る情報を入手し、提供すること。また、アップデート作業について技術的な情報を提供すること。
C) 障害時に、搭載するソフトウェアとサーバ等の機器の切分けを支援すること。
D) 搭載するソフトウェアの障害が発生した場合は、問題の切り分け及び原因解析を行うこと。ソフトウェアが原因と判断した場合は、設定変更、パッチ適用等の対応方法を提示すること。なお、パッチ等の提供を受けるためのソフトウェア保守契約は同時に契約するものとする。パッチによりアプリケーションの機能に影響を及ぼす場合には、 PMDA と対応について協議すること。
E) PMDA からの問い合わせに対して、技術支援を行うこと。
F) その他、マニュアル上に記載されていない等の理由により、運用管理事業者が対応出来ない事項に対する回答を行うこと。
別紙 2 機能要件
1. 機能要件
表 1 機能要件一覧
No. | 改修要望内容 | |||
1 | 新規 | 「定型帳票出力」に新たなくすり帳票、きき帳票出力機能*を追加する *計算を伴う | 出力帳票名:くすり月報(仮称)データ出力項目: 〇月報用くすり帳票(仮称) ・相談件数 ・平均相談時間 ・最大相談時間 ・最小相談時間 ・xxxxxx相談件数 ・内容別相談件数(「安全性( の合計件数)」「用法・用量」「効能・効果」「相互作用」「成分」「その他( の合計件数)」) 〇月報用きき帳票(仮称) ・相談件数 ・平均相談時間 ・最大相談時間 ・最小相談時間 ・内容別相談件数(「安全性( の合計件数)」「使用目的又は効果((旧)効能効果)」「性能」「使用方法」「その他( の合計件数)」) | P2 ①【くすり月報イメージ】 P3 ②【きき月報イメージ】 |
2 | 改修 | きき相談の相談内容分類における 項目名を修正する。 | 現行の「効能効果」を「使用目的又は効果」に変更する(すべてに反映)。 | P4 ⑤【きき新規登録画面イメージ】 |
新規 | 「新規登録画面」保存時に新た | 〇くすり新規登録時 | P5 ⑥【くすり新規登録画面中、入力内容チェックイメージ】くすり P6 ⑦【きき入力画面中、入力内容チェックイメージ】きき | |
なチェック項目を追加する。 | 「相談者の情報、服用者本人」にxxxxがある時、「相談者の情報、年齢」、「同、 | |||
性別」と「服用者の情報、年齢」、「同、性別」の入力データが一致しない場合は保 | ||||
存時にエラーメッセージを表示して修正を促す。 | ||||
3 | ||||
〇きき新規登録時 | ||||
「相談者の情報、使用者本人」にチェックがある時、「相談者の情報、年齢」、「同、 | ||||
性別」と「使用者の情報、年齢」「同、性別」の入力データが一致しない場合は保存 | ||||
時にエラーメッセージを表示して修正を促す。 | ||||
4 | 改修 | くすり相談検索「医薬品品目医療用医薬品 の検索、・商品名や成分をテキストで検索する」における条件指定方法を変更する。 | 薬効分類の指定について、現行は大分類を指定して下位分類を絞る仕様だが、直接下位分類を指定できるように変更する。また、薬効分類の複数選択は不可とする。 | P7 ⑧【医薬品検索画面イメージ】 |
5 | 改修 | 後発品マスターの様式変更に伴う変更。 | 後発品マスターは、厚労省の HP から取り込むが、様式中の列が 14 列から 15 列に変更になったため、手作業で 1 列削除後、取り込んでいるため、取込仕様変更をお願いしたい。 | P8 ⑦【14 桁取り込み仕様を変更イメージ】 |
別紙 2 機能要件
2. 機能要件イメージ
① 【くすり月報イメージ】
抽出条件指定画面 月度指定を想定している。
出力帳票(ファイル)
別紙 2 機能要件
② 【きき月報イメージ】
抽出条件指定画面 月度指定を想定している。
出力帳票(ファイル)
別紙 2 機能要件
③ 【きき新規登録画面イメージ】
効能効果→使用目的・効果
別紙 2 機能要件
④ 【くすり新規登録画面中、入力内容チェックイメージ】くすり
相談者が服用者本人の場合、服用者と相談者の年齢、性別が一致していない場合
保存をクリックすると「服用者と相談者の年齢、性別が一致していません」とメッセージを表示し、不一致の場合、保存不可とする。
別紙 2 機能要件
⑤ 【きき入力画面中、入力内容チェックイメージ】きき
相談者が服用者本人の場合、服用者と相談者の年齢、性別が一致していない場合
保存をクリックすると「使用者と相談者の年齢、性別が一致していません」とメッセージを表示し、不一致の場合、保存不可とする。
別紙 2 機能要件
⑥ 【医薬品検索画面イメージ】
上位から入力する必要があった。
直接下位分類を入力可能にする。
別紙 2 機能要件
⑦ 【14 桁取り込み仕様を変更イメージ】
15 桁のデータ 一番影響がないと思われるG 列を削除している。
目次
1 ユーザビリティ及びアクセシビリティに関する事項 1
(1) 情報システムの利用者の種類、特性 1
(2) ユーザビリティ要件 1
(3) アクセシビリティ要件 1
2 システム方式に関する事項 1
(1) 情報システムの構成に関する全体の方針 1
(2) 情報システムの全体構成 2
3 規模に関する事項 2
(1) 利用者数等 2
(2) 処理件数 2
(3) データ量 3
4 性能に関する事項 3
5 信頼性に関する事項 3
(1) 可用性要件 3
(2) 完全性要件 5
(3) 機密性要件 5
6 拡張性に関する事項 5
(1) 性能の拡張性 5
(2) 機能の拡張性 5
7 上位互換性に関する事項 5
8 中立性に関する事項 6
9 継続性に関する事項 6
(1) 継続性に係る目標値 6
(2) 継続性に係る対策 6
10 情報セキュリティに関する事項 6
(1) 基本事項 6
(2) 情報セキュリティ対策 6
11 情報システム稼働環境に関する事項 8
(1) ソフトウェア構成 8
(2) ネットワーク構成 9
(3) 施設・設備要件 9
(4) 環境の種類 9
(5) 環境の導入に係る要件 10
12 テストに関する事項 10
(1) テスト工程共通要件 10
(2) テストデータ及びその取扱い 10
(3) テスト計画書 11
(4) 単体テスト 11
(5) 結合テスト 11
(6) 総合テスト 12
(7) 負荷テスト/パフォーマンステスト 12
(8) ドキュメントテスト 12
(9) セキュリティテスト 12
(10) 受入テストの支援 12
13 移行に関する事項 12
(1) 移行手順 12
(2) 移行要件 13
(3) 移行対象データ 13
14 引継ぎに関する事項 13
(1) 運用・保守業者への引継ぎ 13
15 教育に関する事項 14
(1) 教育対象者の範囲、教育の方法 14
(2) 教材の作成 14
16 運用に関する事項 14
(1) 運転管理・監視等要件 14
(2) 運用サポート業務 15
(3) 業務運用支援 15
17 保守に関する事項 15
(1) アプリケーションプログラムの保守要件 15
(2) ハードウェアの保守要件 15
(3) ソフトウェア製品の保守要件 15
1 ユーザビリティ及びアクセシビリティに関する事項
(1) 情報システムの利用者の種類、特性
No. | 利用者区分 | 利用者の種類 | 特性 | 補足 |
1 | PMDA 内 | PMDA 職員 | 特定ユーザ、内部ネットワークからのみのアクセス |
(2) ユーザビリティ要件
本調達において現行システムから、ユーザビリティ要件に原則変更はない。ただし、現行システムで使用しているソフトウェアに依存する機能において、該当ソフトウェアが販売中止で使用できない、または新バージョンにおける機能変更等でやむを得ず変更が発生する場合は、PMDA の承認を得ることで変更を許可する場合がある。その際、設計書および手順書の該当箇所を変更するものとする。
(3) アクセシビリティ要件
本調達において、現行システムから、アクセシビリティ要件に原則変更はない。ただし、ソフトウェアの新バージョンにおける画面イメージ変更等でやむを得ず画面レイアウト等を変更する場合は、PMDA の承認を得ることで変更を許可する場合がある。その際、設計書および手順書の該当箇所の画面イメージを変更するものとする。ただし、軽微な画面イメージの変更の場合は画面イメージの差し替えは不要とする。
本調達作業開始後に別途定める推奨環境以外での利用については、利用は妨げることはないが、動作の保証はしないものとする。
2 システム方式に関する事項
(1) 情報システムの構成に関する全体の方針
本調達で納入する、ソフトウェア製品については、市場において導入実績が豊富な一般的な製品であり、開発・保守・拡張・改修等に柔軟性を持つ製品が選定されること。
ソフトウェア製品選定における留意事項を以下に示す。
① 競争原理によって、適正な価格で調達することが可能な製品であること。
② 他の業者においても、市場で調達可能な製品であり、本受託者が独占的に供給する製品ではないこと。
③ 稼働後から 5 年以上、保守サービスが受けられる又は同等製品(同製品のバージョンアップ又は後継製品)が継続的に調達可能であること。
④ くすりきき相談システムのための独自仕様でないこと。
⑤ 現行システムと同等の規模(トランザクション量とデータ量)での使用実績があ
ること。なお、業務量に依存しない製品については対象外とする。
⑥ 特定の技術及び製品に依存せず、高品質・高信頼と経済性を兼ね備え、継続的に提供される技術を適用可能なハードウェア及びソフトウェアとすること。
⑦ 本システムの次期更改時の移行作業において、特定の業者、製品に依存することなく円滑に移行実施可能なシステム構成であること。
⑧ オープンソースソフトウェアの製品やツールについては、保守や技術サポートを調達することが困難である場合は、採用しないこと。なお、当該製品を組み込むために、くすりきき相談システムのすべて又は一部のソースコードを開示する必要が生じる場合は、事前に PMDA と協議すること。
(2) 情報システムの全体構成
「別紙1 業務要件」及び「別紙 4 システム構成案」を参照のこと。「別紙 4 システム構成案」は、構成案であり、最終的な構成は、PMDA と協議のうえ決定すること。
3 規模に関する事項
(1) 利用者数等
以下の利用者数を前提に性能目標を達成するものとする。
なお、本システムで利用者数を制限することはしないものとする。
種別 | 利用者の概要 | ユーザ数 | 同時 ログイン数 | |
1 | 管理ユーザ | 総合機構内の利用者で、本システム全ての機能を利用できる。 利用部署:情報管理課、医薬品・医療機 器相談室 | 5 | 3 |
2 | 相談室ユーザ | 総合機構内の利用者で、本システムで相談業務の登録・更新・削除が行える。 利用部署:医薬品・医療機器相談室 | 99 | 15 |
3 | 閲覧ユーザ | 総合機構内の利用者で、本システムでの閲覧のみ利用できる。 利用部署:PMDA | 200 | 10 |
4 | 確認ユーザ | 総合機構内の利用者で、本システムでの全ての情報を閲覧できる。 利用部署:PMDA | 10 | 5 |
(2) 処理件数
くすりきき相談システムに登録する相談件数は、年間 1 万 5 千件程度である。
(3) データ量
① Web サーバ
アプリケーション 11 GB
ログ 500 MB
② DB サーバ
データベース本体 5 GB
データベースバックアップ(圧縮時、1 週間分) 1.6 GB
ログ 30 MB
4 性能に関する事項
以下を目標値とする。ただし、共通基盤の性能に依存する部分については、別途、PMDAと協議のうえ定めるものとする。
① 画面応答(参照系処理)は 3 秒以内。
② 画面応答(更新系処理)は 10 秒以内。(※1)
③ DB 検索結果表示は 10 秒以内。(※1)
※1 対象データが膨大となる場合や OR 条件設定時や、検索条件が索引を使えないような複雑な場合などは目標値を PMDA と協議のうえ定めるものとする。
5 信頼性に関する事項
(1) 可用性要件
共通基盤の可用性に依存する部分については、対象外とする。
① 可用性に係る目標値
可用性に係る目標値は、「表 2」に示す。
表 2 情報システムのSLA
No. | SLA 項目 | 説明 | 設定値 |
1 | サービス稼働時間 | ・情報システムのサービスが提供される時間帯 ・定期保守、法定停電等による計画停止時間を除く | 平日:09:00~18:00 |
2 | 保守サービス時間 | ・保守サービスが提供される時間帯 | 平日:09:00~18:00 |
3 | 稼働率(正常稼働時) | ・No.1 に示すサービス稼働時間における稼働予定時間に対して実際に稼働した | 98.5%以上 |
時間(稼働時間)の割合であり、以下の式により計算する <稼働率(%)=(1 ヶ月のサービス稼働時間-1 ヶ月の停止時間÷1 ヶ月のサービス稼働時間)×100> ・停止時間とは、サービスが停止していると確認された時刻(本調達で導入する監視機能で障害を検知した時刻、または、利用者が連絡した時刻のいずれか早い方)から利用可能とされた時刻までの経過時間を指す ・停止時間には、待機系システム等への切換えのために発生した停止時間、障害からの本格復旧のために必要になった停止時間、人為的なミスにより発生した停止時間等を含む ・PMDA 側に責任があることが確認できた場合には、停止時間として取り扱わない | |||
4 | 平均故障間隔 ( MTBF : Mean Time Between Failure) | ・システムに故障が発生してから、次に故障が発生するまでの平均時間で、以下の式により計算する <平均故障間隔=総稼動時間÷総故障件数> | ・共通基盤の機器を使用するため、本調達の対象外とする。 |
5 | 平均復旧時間 ( MTTR : Mean Time To Repair) | ・平均復旧時間とは、ヘルプデスク稼動時間中において、機器に故障が発生した時刻から故障が復旧した時刻までに要した時間の 1 ヶ月間における平均値である ・平均復旧時間は、以下の式により計算する <平均復旧時間=1 ヶ月の総復旧時間÷1ヶ月間の総件数> | ・共通基盤の機器を使用するため、本調達の対象外とする。 |
6 | RPO(目標復旧時点) | ・データの損失は許容できないため、データの再送や再処理を含め、障害発生時までの復旧を基本とする(大規模災害時を除く) | データの障害:障害発生時 |
機器等の障害:直近のバックアップ時点 大規模災害時:1 か月以内 | |||
7 | RTO(目標復旧時間) | ・業務停止時間を極力少なくするため、6時間以内の復旧を目標とする(大規模災害時を除く) | データの障害:6 時間以内 機器等の障害:10 時間以内 大規模災害時:数か月以内 |
② 可用性に係る対策
本調達を実現するにあたり、①の目標値を達成するための施策を検討し、必要に応じて対策を施すこと。
(2) 完全性要件
データの紛失や改ざんからデータを保護し、データの正確性及びデータの一貫性を保証することとする。
(3) 機密性要件
利用を許可された者以外の第三者は、システムを利用できないこととする。
6 拡張性に関する事項
(1) 性能の拡張性
共通基盤の機器を使用するため、本調達の対象外とする。
(2) 機能の拡張性
① 管理情報の拡大
本調達において構築するデータベースの容量等について事前に拡張性を含めた試算を行う事。
7 上位互換性に関する事項
OS、ミドルウェア等のソフトウェアパッケージのバージョンアップに対して、影響範囲が限定的で、小規模の改修で対応可能なシステムとすること。また、バージョンアップへの対応が技術的に困難である場合は、PMDA と協議し、その指示に従うこと。
8 中立性に関する事項
特定の製品、技術等に依存することなく、運用・保守を担当するベンダの交替時、システム拡張時、あるいは次期更改時等において、他の業者等に必要な情報を、支障なく引き継ぐことが可能なシステム構成とすること。
9 継続性に関する事項
(1) 継続性に係る目標値
共通基盤の障害が発生した場合を除いて、本システムを用いた業務処理が維持できること。
(2) 継続性に係る対策
大規模災害が発生した場合に対しては、早急にその状態を把握し、リスクの拡大を防止し、速やかに回復させるための処置を講じることとして、その対策をシステム運用マニュアル、保守実施計画書に取りまとめること。
10 情報セキュリティに関する事項
(1) 基本事項
「医薬品医療機器総合機構情報セキュリティポリシー」に準拠した情報セキュリティ対策を講じること。また、受注者は、最新の「政府機関の情報セキュリティ対策のための統一基準(平成 30 年度版)(平成 30 年 7 月 25 日情報セキュリティ政策会議)」、「高度
サイバー攻撃対処のためのリスク評価等のガイドライン(平成 28 年 10 月 7 日情報セキュリティ政策会議)」及び「「高度標的型攻撃」対策に向けたシステム設計ガイド(2014年 9 月独立行政法人情報処理推進機構セキュリティセンター)」「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」を参照の上、必要に応じてその内容を取り込むこと。
(2) 情報セキュリティ対策
原則として、基本設計書に規定する施策を踏まえ、本調達において本受託者が納入する基盤製品(ソフトウェアパッケージ等)について、下記①及び②に示す機能または代替手段について PMDA と協議を行い、合意した対策を実施すること。なお、本受託者が納入する基盤製品に求める情報セキュリティ機能については、「別紙 5 情報セキュリティ要件 」「別紙 6 情報システムのセキュリティ要件 」に示す。
また、下記③から⑨に示す項目について対応すること。
① 情報セキュリティ機能の実装
ア 業務上必要なアクセスに限るための利用者認証機能
イ 盗聴等の脅威に対処するために、伝送データを暗号化する機能
ウ テストデータ等をマスキング(変換、置換、シャッフル等)する機能
エ 権限を持つ PMDA 職員が、利用者の画面操作に関するログを参照又は分析するための不正追跡機能(ログは設定変更で出力可能な範囲とする)
オ 権限を持つ PMDA 職員が、特権 ID を利用したすべての保守及び運用に関する作業証跡を参照又は分析できる、特権 ID 不正追跡機能(ログは設定変更で出力可能な範囲とする)
カ ブラウザ経由にて想定される Web アプリケーションに対する不正アクセス
(クロスサイトスクリプティング、SQL インジェクション等)対策機能
キ ウイルス、スパイウェア等の不正プログラムを検知し、駆除又は隔離を行うとともに、定義ファイルの自動配布・適用を行う不正プログラム対策機能
ク セキュリティレベルの異なるネットワーク境界上にて、ネットワーク間で行われる通信の通過制御を行うファイアウォール機能(共通基盤のファイアウォール機能を使用するものとする)
② 脆弱性検査の実施
ア 本調達に基づくシステム構築が影響する範囲について、脆弱性検査を実施し、その結果を PMDA に書面にて報告すること。なお、インターフェイスシステム等、他機関より提供され改修することなく実装するソフトウェアについては、脆弱性検査の対象外とする。共通基盤環境内に本受託者が持ち込む端末を接続して実施することを原則とするが、第三者による検査を含め、検査方法については PMDA と協議のうえ決定することとする。
イ 収集した脆弱性情報に係る対処の要否、可否について検討するとともに、対処要としたものに関しては、対処方法をPMDA と協議し、決定すること。否としたものに関しては、その理由、代替措置及び影響を、PMDA に報告すること。
ウ 決定した対処又は代替措置を実施すること。
③ 脆弱性対策の実施
本調達に係る業務遂行に当たり、情報セキュリティが侵害された、又はその恐れがある場合には、速やかに PMDA に報告すること。これに該当する場合には以下の事象を含む。
ア 本受託者に対して提供した、あるいはアクセスを認めた PMDA の情報を目的外に利用した場合又は外部漏えいした場合
イ 本受託者に対して提供していない又はアクセスを認めていない PMDA の情報にアクセスした場合
④ 製品サポート期間の確認
情報システムの構築等又は運用・保守・点検の際に納入する製品(ソフトウェ ア)については、当該情報システムのライフサイクル(システム利用期間の終了まで)におけるサポート(セキュリティパッチの提供等)を継続し受けられる製品を選定すること。
サポートライフサイクルポリシーが事前に公表されていない製品を納入する場合は、サポートが継続して行われるように後継製品への更新計画を提出すること。なお、後継製品に更新する場合の費用は本調達に含むものとする。
⑤ 情報セキュリティ対策の履行状況の報告
本調達に係る業務の遂行におけるセキュリティ対策の履行状況について、PMDA から報告を求めた場合には速やかに提出すること。
⑥ 情報セキュリティ監査への支援
PMDA が第三者機関等による情報セキュリティ監査を受ける場合には、PMDA を支援すること。情報セキュリティ監査の結果、対策が必要な場合は、PMDA と協議を行い、合意した対策を実施すること。
⑦ 情報セキュリティ監査への対応
本調達に係る業務の遂行において、本受託者における情報セキュリティ対策の履行が不十分であると認められる場合には、本受託者は、PMDA の求めに応じ、PMDAと協議を行い、合意した対応を実施すること。
⑧ IT セキュリティ評価及び認証制度に基づく認証取得製品の採用
個人番号管理サブシステム等を構成するソフトウェアパッケージ等のすべての構成要素については、「IT セキュリティ評価及び認証制度」に基づく認証を取得している製品を積極的に採用すること。
⑨ 管理体制の整備
納入する基盤製品について、不正が見つかったときに、追跡調査や立入検査等により原因を調査・排除できる体制を整備していること。
11 情報システム稼働環境に関する事項
(1) ソフトウェア構成
① 基本事項
以下の要件を満たす製品を選定すること。
ア ボリュームライセンス、ガバメントライセンスの適用を考慮すること。
イ 選定する製品には、製品に付属する取扱説明書、並びにシステム環境の構築及び運用・保守作業に利用する製品仕様や操作手順等に係るドキュメント類を含むものであること。
ウ 当該ドキュメント類は、日本語で書かれたものであること。
エ ソフトウェアパッケージ間の連携を考慮した上で、動作保証できるソフトウェアパッケージの組み合わせとすること。
② ソフトウェア要件
現行と同じ製品の最新のOS、ミドルウェアを導入すること。ただし、導入する製品及びバージョンは、機能、性能、安定性及びサポート期限を考慮してPMDAと協議のうえ変更可能とする。
(2) ネットワーク構成
① 基本事項
ア 現行システムと同等以上のセキュリティを確保したネットワーク設計とすること。現行システムのネットワーク設計は資料閲覧で確認可能とする。
イ 納品対象には、共通基盤に依頼した環境設定資料、申請書を含むものとし、納品に際しては、その内容を説明の上、PMDA の承認を得ること。
② ネットワーク要件
ア 本調達の対象として想定するネットワーク構成を「別紙 4 システム構成案」に示す。
イ 本システムとPMDA 内の他システムとの間の接続に際し、既存設備への接続に必要となるケーブルについては、原則、本受託者において敷設すること。なお、既存設備の設定変更及び結線については、既存設備側の保守業者にて実施する。
(3) 施設・設備要件
PMDA の共通基盤が提供する仮想基盤上に構築すること。PMDA の共通基盤が設置されたデータセンタは PMDA に「秘密保持等に関する誓約書」を提出した事業者から申し出があれば開示する。
(4) 環境の種類
本調達で導入する環境は、以下の 1 種類とする。
① 本番環境
本システムの本番サービスが稼働する環境として利用する。
(5) 環境の導入に係る要件
本システムで必要となる各種環境の導入に係る要件は、以下に示すとおりである。
① 稼働に必要なデータ及び各種設定について追加、修正等が行われた場合は、必要となる情報を整理した上で、設計書を更新すること。また、当該追加、修正等を行うに当たり、更新前の情報については、必要に応じてバックアップを取得すること。
② 導入に伴い共用 LAN の既存設定を変更する必要がある場合は、具体的な設定値を添えて共通基盤の管理者に変更申請を原則 10 営業日前に提出すること。
12 テストに関する事項
(1) テスト工程共通要件
実施する単体テスト、結合テスト、総合テスト、受入テストについて、共通となる要件は以下のとおり。
① 情報システムの正常稼働を保証するためのテストとして、単体テスト、結合テスト及び総合テストを実施すること。また、PMDA が行う受入(運用)テストの支援を行うこと。
② 各テストを行うため一連のテストケース(入力、出力、及びテスト合否基準)、テストデータ、及びテスト手順を整理し、テスト計画書として作成し、PMDA と協議の上、承認を得ること。
③ 各テスト終了時に、実施内容、品質評価結果、及び次工程への申し送り事項等について、テスト結果報告書を作成し、PMDA と協議の上、承認を得ること。
④ テストに使用するテストツール等については、PMDA と協議の上、使用すること。
(2) テストデータ及びその取扱い
受注者が主体的に実施するテスト(以下「テスト工程」という。)においては、受注者が準備したテスト用データを使用すること。ただし、テスト工程において PMDA のデータ(以下「本番データ」という。)を使用する場合は、必要性等を PMDA に説明 し、PMDA の承諾を得て使用すること。なお、テスト工程における本番データの管理責任は受注者が負うこと。
特に、外部接続を行うテストにおいて本番データを使用する場合は、外部にデータが漏洩しないことが前提となる。そのため、外部接続を行うテストにおいては、アプリケーションおよび機器等の設定を確認し、さらに、本番データにアクセスできないよう
な施策を講じること。なお、外部接続を行うテストにおけるテスト方針およびデータの取り扱い等については、テスト計画時に PMDA と協議の上取り決めを行うこと。
PMDA が主体的に実施するテスト(以下「受入テスト」という。)においては、本番データを使用することになり、その管理責任は PMDA が負うことになる。ただし、受入テストにおける操作ではなく、受注者の操作等により漏洩等のインシデントが発生した場合はその限りではない。
(3) テスト計画書
実施する単体テスト、結合テスト、総合テストについて、設計し、テスト方針、実施内容、及び実施理由を記述し、テスト計画書として提示し、テスト開始 1 ヶ月前までに PMDA と協議の上、承認を得ること。
承認されたテスト計画書に基づき、進捗管理を確実に実施すると共に、進捗状況の報告を定期的かつ PMDA の求めに応じて行うこと。
以下に、テスト計画書で必要と考える事項を示す。
① テスト概要 ア テスト範囲
イ テスト品質目標(テスト項目数、バグ検出数)
② テストに関する実施作業及びスケジュール
③ テスト環境(テストに使用した回線及び機器構成、その他ツール、場所等)。
④ テスト体制(テスト実施者、テスト結果確認者(評価者))
⑤ 使用及び提出するドキュメントとその定義ア テスト項目一覧
イ テスト仕様書ウ 懸案事項一覧
エ テスト結果報告書
(4) 単体テスト
プログラム及びモジュールが個別単体において正しく機能することを確認する。パッケージ化されたプログラム及びモジュールについてもテスト範囲とする。パッケージ化されている範囲について単体テストを実施しない場合には、実施しなくても該当機能が正しく機能することを別の手段で証明し、PMDA と協議の上、承認を得ること。
(5) 結合テスト
プログラム及びモジュールが、情報システムの各システムの単位でそれぞれ正しく機能することを確認するため、段階的に結合した状態でテストを行い、ソフトウェアの結
合が完全であることを確認する。
(6) 総合テスト
情報システム全体として要件どおりにシステムが構築されていることを確認するために、テストを行い、システムが納品可能な状態であることを確認する。確認に当たっては、ソフトウェア製品が仕様に適合し、かつ実稼働環境で利用可能であることを確認できる評価指標及び合格条件を設定した上で、テストを実施する。
(7) 負荷テスト/パフォーマンステスト
情報システム全体として規模に関する事項及び性能に関する事項を満たしていることを確認するためにテストを行い、システムが納品可能な状態であることを確認する。 特に、想定する最大人数が同時に利用開始した場合であっても問題が生じないことを確認する。
(8) ドキュメントテスト
運用手順書及び保守手順書に記載したとおりに動作することを確認するために、テストを行い、システムが納品可能な状態であることを確認する。
(9) セキュリティテスト
移行したアプリケーションが情報セキュリティに関する事項を満たしていることを確認するためにテストを行い、システムが納品可能な状態であることを確認する。
(10) 受入テストの支援
PMDA が実施する受入テストにおいて、本受託者は、テスト計画の策定、準備、テストの実施、成果物の作成、テスト実施結果の報告等に関して、基盤製品に関する設定変 更、情報提供等の必要な支援を行うこと。
13 移行に関する事項
(1) 移行手順
移行において想定する作業は以下のとおり。
① 移行計画書の策定
② 移行設計
③ 移行手順の作成・検証
④ 移行プログラムの作成・検証
⑤ リスクの洗い出し・コンティンジェンシープランの作成
⑥ 移行リハーサルの実施
⑦ 移行判定
⑧ 移行作業の実施
(2) 移行要件
現行システムから更改後のシステムへの移行に当たっては、機器の安定稼働及び業務の継続に影響を与えることなく、速やかに実施する必要がある。以下の基本方針に基づき、移行計画・作業を行うこと。
① 情報システムの安定した稼働及び業務の継続に影響を与えることがないよう、安全で確実な作業を優先すること。
② PMDA が承認した日時を除き、現在稼働中のシステムのサービスを停止することなく、移行作業を行うこと。
③ システムの停止を伴う作業が避けられない場合には、システム利用者への影響を最小限に抑えるため、平日においては、勤務時間外、その他土日及び休日を作業実施日の基本として検討し、停止予定日より、原則 1 ヶ月前に停止日時及び停止による影響(停止するサービスの範囲)について、PMDA の承認を書面にて得ること。
④ 移行作業中に障害が発生した場合には、速やかに原因究明にあたるとともに、移行実施計画書、システム切替手順書に従い、切り戻し作業を行い、PMDA の承認を得て、必要な障害対処作業を本受託者の責任と負担により実施すること。
⑤ 移行の実施前に、現行機器のデータについて、バックアップを取得すること。
(3) 移行対象データ
改修により移行が必要となったデータをすべて移行対象とする。移行計画において移行対象のデータを確定すること。
14 引継ぎに関する事項
(1) 運用・保守業者への引継ぎ
以下の事項に留意して、運用・保守業者等に引継ぎを実施すること。
なお、引継ぎ先、引継ぎ内容及び手順等の概要を、「表3 引継ぎ内容、手順」に示す。
① 運用・保守業務の円滑な実施に役立つよう、必要な各種情報及び資料の提供を行うこと。
② 引継ぎの内容は、事前にPMDA に示し承認を得ること。
③ 引継ぎの実施に当たっては、PMDA 及び引継ぎ先と日程を調整した上で実施すること。
④ 引継ぎに必要な資料等は、本受託者において用意すること。
⑤ 必要に応じて、実機での操作説明等を行うこと。
表 3 引継ぎ内容、手順
No. | 引継ぎ発生時(予定) | 引継ぎ元 | 引継ぎ先 | 引継ぎ内容 | 引継ぎ手順 |
1 | 令和 3 年 3月 | 本受託者 | 情報システム運用業者 | 情報システムの運用手順等、本受託者及び PMDAが必要と判断した引継ぎを行うこと。 | ・引継計画書を策定すること。 ・引継計画書に基づ き、引継ぎを実施 し、引継ぎ実施後、引継ぎ完了報告書を作成すること。 |
15 教育に関する事項
(1) 教育対象者の範囲、教育の方法
本調達は共通基盤への移設とソフトウェアのバージョンアップによる変更部分のみのた め、大幅な運用変更は発生しない想定である。PMDA 内のシステム利用者に対し、各 1 回程度説明会を実施、もしくは、書面により、変更点を周知すること。周知の方法は変更点が確定後、PMDA と協議して決定するものとする。
(2) 教材の作成
説明会の実施、書面による周知にあたり、変更点を抜粋した資料を作成すること。
16 運用に関する事項
(1) 運転管理・監視等要件
情報システムの運用時間については、5(1)可用性要件に示す。
全サーバのリソースの消費状況、プロセスの稼働状況、疎通状況、監視エージェントの稼働状況、システム障害などを定期的に監視し、閾値を超える異常値が発生した場合はメール通知すること。また、バッチジョブを一覧化し、xxxが失敗した場合はメール通知すること。詳細な要件はPMDA と協議のうえ設定すること。
(2) 運用サポート業務
情報システムの運用サポート業務は、別途調達する運用支援業者が実施するため、本調達の対象外とする。
(3) 業務運用支援
情報システムの業務運用支援業務は、別途調達する運用支援業者が実施するため、本調達の対象外とする。
17 保守に関する事項
(1) アプリケーションプログラムの保守要件
情報システムのアプリケーションプログラムの保守業務は、別途調達する運用支援業者が実施するため、本調達の対象外とする。
(2) ハードウェアの保守要件
共通基盤のハードウェアを使用し、別途調達済みの共通基盤の保守業者が実施するため、本調達の対象外とする。
(3) ソフトウェア製品の保守要件
「別紙 1 業務要件」-(オ)保証要件-①ソフトウェア保守を参照のこと。
別紙3 システム構成案
共通 盤 1Gbps Eth (原則LAGで二重化)
16Gbps FC (マルチパス二重化)
インターネット
くすりきき相談システム
10Gbps Eth (原則LAGで二重化)
仮想基盤サーバ
共有ストレージ
HTTPプロキシ
バックアップストレージ
くすりきき相談システム
DB サーバ
PMDAドメイン AD#1/#2
Webサーバ
メールリレー (SMTP Auth有)
公開DNS (サービス)
Zabbix
FCスイッチ
ロードバランサ
サーバ接続スイッチ
WANスイッチ | |
外部ファイアウォール | |
IPS + SSL復号化装置 | |
DC-L3スイッチ HP 5940
サービス系VRF
運用管理系VRF
システムの主な機能
運用管理スイッチ
バックアップサーバ
• Webサイト機能 (業務PCからの内部アクセスのみ)
• システム、ログ、アプリ、データのバックアップ機能 (Arcserveを使用してバックアップストレージへ保管)
• セキュリティ更新機能 (ウイルス対策ソフトの定義ファイルの更新、
Windows Update等をインターネットから取得)
• 時刻同期 (共用LANのNTPサーバを利用)
補足
1. 仮想基盤サーバ上の仮想サーバの構築とOS導入は、共通基
業務PC
広域イーサ1 広域イーサ2
L2スイッチ
L2スイッチ
L3スイッチ
内部ファイアウォール
共通 盤データセンタ
新霞ヶ関ビル
盤の管理者が行う。(受注者は構成情報を共通基盤の管理者に構成示して構築を依頼する)
2. 1で構築した仮想サーバにくすりきき相談システムの移行は、受注者が行う。
3. くすり機器相談システムの運用・保守及び利用に必要なネットワーク、Zabbix Manager、DNS、バックアップ等の設定変更は、共通基盤の管理者が行う。 (受注者は構成情報を共通基盤の管理者に示して構築を依頼する)
参考 現行システムのハードウェアとソフトウェア
WEBサーバ
CPU | 1vCPU |
メモリ | 8GB |
ディスク容量 | 40GB |
OS | Red Hat Enterprise Linux Server release 5.11 |
SW | Apache 2.2.3 PHP 5.3.3 Canon ESET Internet Security |
DBサーバ
CPU | 1vCPU |
メモリ | 8GB |
ディスク容量 | 40GB |
OS | Red Hat Enterprise Linux Server release 5.11 |
SW | PostgreSQL 8.4.20 Canon ESET Internet Security |
1. 委託
(1) 受託者は、以下の内容を含む情報セキュリティ対策の遵守方法、情報セキュリティ管理体制等に関する確認書等を提出すること。また、変更があった場合は、速やかに再提出すること。
a) 当該委託業務に携わる者の特定
b) 当該委託業務に携わる者が実施する具体的な情報セキュリティ対策の内容
c) 当該委託業務に携わる者との就業規則等に基づく守秘義務契約・誓約書等の締結
2. 情報システムのライフサイクル
2.1 情報システムの構築に係る対策
(1) 受託者は、情報セキュリティの観点に基づく試験について、以下を含む事項を実施すること。
a) ソフトウェアの作成及び試験を行う情報システムについては、情報セキュリティの観点から運用中の情報システムに悪影響が及ばないように、運用中の情報システムと分離すること。
b) 情報セキュリティの観点から必要な試験がある場合には、試験項目及び試験方法を定め、これに基づいて試験を実施すること。
c) 情報セキュリティの観点から実施した試験の実施記録を保存すること。
d)開発中のソフトウェアの動作確認のために、運用中の情報システムの要機密情報を テストデータとして、試験を行う情報システムにおいて使用しないようにすること。但し、外部からのアクセスを遮断するなどのセキュリティ対策を実施したうえで、 PMDA が運用中の情報システムの要機密情報をテストデータとして使用することを 認める場合がある。
2.2 情報システムの運用・保守に係る対策
(1) 受託者は、情報システムの運用・保守において、情報システムに実装されたセキュリティ機能が適切に運用されるために、以下を含む事項について PMDA と協議し、運用・保守手順書を見直すこと。
a) 情報システムの運用環境に課せられるべき条件の整備
b) 情報システムのセキュリティ監視を行う場合の監視手順や連絡方法
c) 情報システムの保守における情報セキュリティ対策
d) 運用中の情報システムに脆弱性が存在することが判明した場合の情報セキュリティ対策
(2) 受託者は、機密性4情報又は機密性3情報を取り扱う情報システムの改修作業を行う場合は、以下の情報セキュリティ対策を実施させること。
a) 要員個人の専用アカウントの使用及び当該アカウントの適切な管理
b) 個人情報へのアクセスの有無及びアクセスした場合は対象の情報を含む作業記録の作成
c) 要員の離職や担当変え等時の報告
d) メンテナンス実施時における作業申請の事前提出(日単位)及びメンテナンス終了時の速やかな作業報告書の提出
e) 機密性4情報又は機密性3情報を含むデータを PMDA 外に持ち出すことは認めない
f) 必要に応じて PMDA による監査の受入れ
ID | 対策区分 | 対策方針 | 対策要件の名称 | 対策の目的 | 内容 |
AT-1-1 | 侵害対策 | 通信回線対策 | 通信経路の分離 | 不正行為の影響範囲を限定的にするため、業務に応じて通信経路(ネットワーク)の分離を行うこと。 | ・不正の防止及び発生時の影響範囲を限定するため、外部との通信を行うサーバ装置及び通信回線装置のネットワークと、内部のサーバ装置、端末等のネットワークを通信回線上で分離するとともに、業務目的、所属部局等の情報の管理体制に応じて内部のネットワークを通信回線上で分離すること。 |
AT-1-2 | 侵害対策 | 通信回線対策 | 不正通信の遮断 | 許可されていない不正な通信を防止するため、特定の通信を遮断すること。 | ・通信回線を介した不正を防止するため、不正アクセス及び許可されていない通信プロトコルを通信回線上にて遮断する機能を備えること。 |
AT-1-3 | 侵害対策 | 通信回線対策 | 通信のなりすまし防止 | 通信回線を介したなりすましによる不正を防止すること。 | ・情報システムのなりすましを防止するために、サーバの正当性を確認できる機能を備えること。 |
AT-1-4 | 侵害対策 | 通信回線対策 | サービス不能化の防止 | トラフィック集中によるサービス不能化の脅威を軽減すること。 | ・サービスの継続性を確保するため、情報システムの負荷がしきい値を超えた場合に、通信遮断や処理量の抑制等によってサービス停止の脅威を軽減する機能を備えること。 |
AT-2-1 | 侵害対策 | 不正プログラム対策 | 不正プログラムの感染防止 | 不正プログラムによる情報漏えい等の被害を防止するため、不正プログラムの感染防止の対策を行うこと。 | ・不正プログラム(ウイルス、ワーム、ボット等)による脅威に備えるため、想定される不正プログラムの感染経路の全てにおいて感染を防止する機能を備えるとともに、新たに発見される不正プログラムに対応するために機能の更新が可能であること。 |
AT-2-2 | 侵害対策 | 不正プログラム対策 | 不正プログラム対策の管理 | 不正プログラム対策の最新化を確実に行うため、不正プログラムの対策状況を管理すること。 | ・システム全体として不正プログラムの感染防止機能を確実に動作させるため、当該機能の動作状況及び更新状況をxx管理する機能を備えること。 |
AU-1-1 | 不正監視・追跡 | ログ管理 | ログの蓄積・管理 | 不正行為の検知、原因追求を行うため、情報システムのログの収集・蓄積・保管を行うこと。 | ・情報システムに対する不正行為の検知、発生原因の特定に用いるために、情報システムの利用記録、例外的事象の発生に関するログを蓄積し、過去1年間の期間保管するとともに、不正の検知、原因特定に有効な管理機能(ログの検索機能、ログの蓄積不能時の対処機能等)を備えること。 |
AU-1-2 | 不正監視・追跡 | ログ管理 | ログの保護 | 不正行為のログに対する改ざんや削除を防止するため、ログの保護を行うこと。 | ・ログの不正な改ざんや削除を防止するため、ログに対するアクセス制御機能及び消去や改ざんの事実を検出する機能を備えるとともに、ログの アーカイブデータの保護(消失及び破壊や改ざんの脅威の軽減)のための措置を含む設計とすること。 |
AU-1-3 | 不正監視・追跡 | ログ管理 | 時刻の正確性確保 | ログの発生時刻を正確に把握することで正確な分析を行えるため、システム全体の時刻を同期させること。 | ・情報セキュリティインシデント発生時の原因追及や不正行為の追跡において、ログの分析等を容易にするため、システム内の機器を正確な時刻に同期する機能を備えること。 |
AU-2-1 | 不正監視・追跡 | 不正監視 | 侵入検知 | 外部ネットワークから侵入による情報セキュリティの侵害を防止するため、不正侵入の検知を行うこと。 | ・不正行為に迅速に対処するため、PMDA内外で送受信される通信内容の監視及びサーバ装置のセキュリティ状態の監視等によって、不正アクセスや不正侵入を検知及び通知する機能を備えること。 |
AU-2-2 | 不正監視・追跡 | 不正監視 | サービス不能化の検知 | トラフィック集中によるサービス不能化を検知すること。 | ・サービスの継続性を確保するため、大量のアクセスや機器の異常によ る、サーバ装置、通信回線装置又は通信回線の過負荷状態を検知する機能を備えること。 |
AC-1-1 | アクセス・利用制限 | 主体認証 | 主体認証 | 許可されていない利用者のアクセスを防止するため、アクセス主体を認証するための機能を備えること。 | ・情報システムによるサービスを許可された者のみに提供するため、情報システムにアクセスする主体のうちログイン者の認証を行う機能として、各システムの設計書に記載された方式を採用し認証すること。 |
ID | 対策区分 | 対策方針 | 対策要件の名称 | 対策の目的 | 内容 |
AC-2-1 | アクセス・利用制限 | アカウント管理 | ライフサイクル管理 | 不要なアカウントによる不正な操作等を防止するため、適切に識別コード、認証情報等のライフサイクルを管理すること。 | ・主体のアクセス権を適切に管理するため、主体が用いるアカウント(識別コード、主体認証情報、権限等)を管理(登録、更新、停止、削除等)するための機能を備えること。 |
AC-2-2 | アクセス・利用制限 | アカウント管理 | アクセス権管理 | 許可されている情報のみにアクセスできるように、職務等に応じたアクセス権の管理を行うこと。 | ・情報システムの利用範囲を利用者の職務に応じて制限するため、情報システムのアクセス権を職務に応じて制御する機能を備えるとともに、アクセス権の割り当てを適切に設計すること。 |
AC-2-3 | アクセス・利用制限 | アカウント管理 | 管理者権限の保護 | 管理者権限の悪用による不正行為を防止するため、管理者権限を適切に保護すること。 | ・特権を有する管理者による不正を防止するため、管理者権限を制御する機能を備えること。 |
PR-1-1 | データ保護 | 機密性・完全性の確保 | 通信経路上の盗聴防止 | 通信経路上に流れるデータが盗聴された場合でも影響を低減させるための措置を行うこと。 | ・通信回線に対する盗聴行為や利用者の不注意による情報の漏えいを防止するため、通信回線を暗号化する機能を備えること。暗号化の際に使用する暗号アルゴリズムについては、「電子政府推奨暗号リスト」を参照し決定すること。 |
PR-1-2 | データ保護 | 機密性・完全性の確保 | 保存情報の機密性確保 | 保存されているデータの窃取を防止するため処置及び窃取された場合に影響を低減させるための、措置を行うこ と。 | ・情報システムに蓄積された情報の窃取や漏えいを防止するため、情報へのアクセスを制限できる機能を備えること。また、保護すべき情報を利用 者が直接アクセス可能な機器に保存しないことに加えて、保存された情報を暗号化する機能を備えること。暗号化の際に使用する暗号アルゴリズムについては、「電子政府推奨暗号リスト」を参照し決定すること。 |
PR-1-3 | データ保護 | 機密性・完全性の確保 | 保存情報の完全性確保 | 情報が不正に改ざんされることを防止するため、システムが取り扱う情報の完全性を確保すること。 | ・情報の改ざんや意図しない消去等のリスクを軽減するため、情報の改ざんを検知する機能又は改ざんされていないことを証明する機能を備えること。 |
DA-1-1 | 障害対策 (事業継続対応) | 構成管理 | システムの構成管理 | 必要な機器のみによって必要なサービスのみを提供するように情報システムの構成及び稼働状況の管理を行うこと。 | ・情報セキュリティインシデントの発生要因を減らすとともに、情報セキュリティインシデントの発生時には迅速に対処するため、構築時の情報システムの構成(ハードウェア、ソフトウェア及びサービス構成に関する詳細情 報)が記載された文書を提出するとともに文書どおりの構成とし、加えて情報システムに関する運用開始後の最新の構成情報及び稼働状況の管理を行う方法又は機能を備えること。 |
SC-2-1 | サプライチェーン・リスク対策 | 機器等の調達における対策 | 調達する機器等に不正プログラム等が組み込まれることへの対策 | 製造過程における情報セキュリティ対策を確認することで、不正プログラム等が組み込まれた機器等が納入されないようにする。 | ・機器等の製造工程において、PMDAが意図しない変更が加えられないよう適切な措置がとられており、当該措置を継続的に実施していること。また、当該措置の実施状況を証明する資料を提出すること。 |
UP-1-1 | 利用者保護 | 情報セキュリティ水準低下の防止 | 情報セキュリティ水準低下の防止 | 利用者が情報システムによって提供されるアプリケーションプログラムやウェブコンテンツ等を利用する際に、利用者の情報セキュリティ水準の低下を招かないよう対策を行うこと。 | ・情報システムの利用者の情報セキュリティ水準を低下させないように配慮した上でアプリケーションプログラムやウェブコンテンツ等を提供すること。 |
UP-2-1 | 利用者保護 | プライバシー保護 | プライバシー保護 | 情報システムの利用者に関する情報が本人の意思に反して第三者に提供されないよう対策を行うこと。 | ・情報システムにアクセスする利用者のアクセス履歴、入力情報等を当該利用者が意図しない形で第三者に送信されないようにすること。 |
別紙4_情報システムのセキュリティ要件