Contract
令和5年度 次期国有xx情報管理システムの構築に係る要件定義書作成等業務調達仕様書(案)
林野庁
目次
1 調達案件の概要 4
(1) 調達件名 4
(2) 調達の背景 4
(3) 調達目的及び調達の期待する効果 4
(4) 業務・情報システムの概要 4
(5) 契約期間 5
(6) 作業スケジュール 5
2 調達案件及び関連調達案件の調達単位、調達の方式等 6
(1) 調達範囲 6
(2) 調達案件及びこれと関連する調達案件 6
(3) 調達案件間の入札制限 7
3 作業の実施内容 7
(1) 作業実施計画の作成 7
(2) プロジェクト計画書、プロジェクト管理要領の更新 8
(3) 作業内容 8
(4) 引継ぎ 10
(5) 定例会等の実施 10
(6) 情報資産管理標準シートの提出 10
(7) 成果物 10
(8) その他 12
4 作業の実施体制・方法 13
(1) 作業実施体制 13
(2) 作業要員に求める資格等の要件 14
(3) 作業場所 15
(4) 使用する言語 15
(5) 会議の体制 15
(6) 貸与条件 16
5 作業の実施に当たっての遵守事項 16
(1) 機密保持、資料の取扱い 16
(2) 個人情報の取扱い 16
(3) 法令等の順守 17
(4) 標準ガイドライン等の遵守 17
(5) その他文書、標準への準拠 17
6 成果物の取扱いに関する事項 18
(1) 知的財産権の帰属 18
(2) 契約不適合責任 19
(3) 検収 19
7 入札参加資格に関する事項 20
(1) 競争参加資格 20
(2) 公的な資格や認証等の取得 20
(3) 受注実績 20
(4) 複数事業者による共同入札 20
(5) 入札制限 21
8 再委託に関する事項 21
(1) 再委託の制限及び再委託を認める場合の条件 21
(2) 承認手続 21
(3) 再委託先の契約違反等 22
9 その他特記事項 22
(1) 前提条件等 22
(2) 入札公告期間中の資料閲覧等 22
10 附属文書 23
1 調達案件の概要
(1) 調達件名
令和5年度 次期国有xx情報管理システムの構築に係る要件定義書作成等業務
(2) 調達の背景
林野庁国有xx部経営企画課(以下「担当部署」という。)では、電子政府構築計画に基づく業務・システムの最適化を行い、平成 19 年度から国有xx情報管理システム(以下「現行システム」という。)の運用を開始した。現行システムは現在稼働中の第一期政府共通プラットフォームの終了に伴い、現在、プラットフォーム移行業務を実施中であり、おそくとも令和 5 年 9 月末から農林水産省クラウド(Amazon Web Service)での稼働を開始することとしている。
しかしながら現行システムは、その設計が古く、特定の古いソフトウェアの導入により運用コストが割高となっており、情報システムを取り巻く環境の変化により、利便性向上や効率的な業務が可能であっても、改修の実現が難しい状況である。
このため、運用コストの低減、業務の効率化を図ることに加え、利便性向上のため利用者自身でデータの効果的な利用・分析ができるシステムとすることなどを目的として、新たに設計することが必要である。
また、平成 30 年(2018 年)6⽉には、「政府情報システムにおけるクラウドサービスの利⽤に係る基本⽅針」が決定(最終改定は、令和 4 年(2022)年 9 月 30 日)された。この中で、「クラウド・バイ・デフォルトの原則」が政府⽅針として出されている。
これらを踏まえ、次期システムの構築にあたっては、ガバメント・クラウドへの移 行を前提にクラウド等の民間サービスの利用を検討するとともに、クラウドサービス を最大限に活用したクラウドスマートなシステムとするための検討を行う必要がある。
(3) 調達目的及び調達の期待する効果
本業務は、現行システムと同等の業務を実施できるシステムの要件を定義すること及び現在職員が行っている業務見直しの結果に基づき、現行システムで課題となっている作業やシステムを活用したい業務の要件を発注者とともに整理し、発注者と協議の上、優先順位をつけてシステム要件に落とし込むことを目的とする。
これにより、クラウドサービスを最大限に活用し、運用コストの低減や利便性の向上に資するとともに、将来の改修が容易な次期システムの構築が可能となる。
(4) 業務・情報システムの概要
本システムは、林野庁、森林管理局・森林管理署等の職員が、伐採・造林等の事業実行の管理、経理事務の処理、地域の国有林面積等の森林情報の管理等を行うために
活用しているものであり、日々の業務の遂行に必要な基幹的システムである。本システムの概要は図1のとおりである。また、国有xx業務の概要及び現行システムの構成等については、別紙1 現行システム構成資料に示すとおりである。
図 1
(5) 契約期間
契約締結の日から令和 5 年 10 月 31 日まで
(6) 作業スケジュール
作業スケジュールは次のとおり想定している。
図 2 作業スケジュール
2 調達案件及び関連調達案件の調達単位、調達の方式等
(1) 調達範囲
本調達では、次期国有xx情報管理システムの構築に係る要件定義書作成を行うものとする。
(2) 調達案件及びこれと関連する調達案件
調達案件及びこれと関連する調達案件の調達単位、調達の方式、実施時期等は次の図のとおりであり、次期システムの稼働は令和 7 年度ないし令和 8 年度を予定している。
図 3 調達案件及びこれと関連する調達案件の調達単位、調達の方式、実施時期等
(3) 調達案件間の入札制限
本業務において入札制限となる調達案件はない。
3 作業の実施内容
(1) 作業実施計画の作成
受注者は、本調達仕様書、デジタル・ガバメント推進標準ガイドライン(2019 年 2月 25 日各府省情報化統括責任者(CIO)連絡会議決定。2022 年 4 月 20 日最終改定。以下「標準ガイドライン」という。)及び「デジタル・ガバメント推進標準ガイドライン解説書(内閣官房情報通信技術(IT)総合戦略室)」(以下、「解説書」という。)から、本業務の作業内容を把握した上で、契約日の翌日から 10 日(行政機関の休日を含まない。)以内に作業実施計画書を作成して提出し、担当部署の承認を得ること。
なお、作業実施計画書には、以下の内容を記述し、作業実施計画書の内容に変更の必要が生じた場合は、変更の理由及び変更内容とともに修正された作業実施計画書を担当部署に書面にて届け出て承認を得ること。
また、受注者は、承認を得た作業実施計画書に基づき、本業務に係るコミュニケーション管理、体制管理、作業管理、リスク管理、課題管理、変更管理、情報セキュリティ対策を行うこと。
(ア) 全体スケジュール(作業工程名、各作業工程の実施内容、実施期間、作業担当、各作業工程の完了条件を含む。)
(イ) WBS及び詳細スケジュール(作成したWBSを元に、各作業の関連性(作業間の依存関係が明確になるようにスケジュールをガントチャートとして記述し、明確にすること。)、作業担当、開始・完了日等の制約、各作業項目の作業内容と成果物の関係を踏まえ整理するもの。)
(ウ) プロジェクト体制図(要員数、要員の経験・スキル、連絡先、作業計画と要員配置との対応関係も含む。)
(エ) 会議体ルール
(オ) コミュニケーション管理(手段、様式を含む。)
(カ) 本業務の成果物を詳細に定義したドキュメント体系
(キ) ドキュメント管理(採番ルール、版数管理を含む。) (ク) 情報セキュリティ管理(再委託先等を含む。)
(ケ) 作業体制の管理手法 (コ) リスク管理
(サ) 課題管理 (シ) 変更管理
(2) プロジェクト計画書、プロジェクト管理要領の更新
本業務における検討結果をプロジェクト計画書及び管理要領に適宜反映するとともに、プロジェクト計画書を段階的詳細化するため、内容変更の支援をすること。
(3) 作業内容
受注者は、次期システムについて以下の作業を実施する。 (ア) 現行業務の現状把握、課題抽出
2023 年 2 月中旬とりまとめ予定の「業務プロセス分析・改善に関する資料」を参考に、現行業務の現状把握、課題抽出を行うこと。
(イ) 新たな業務の検討、システム化範囲の検討
「業務プロセス分析・改善に関する資料」を参考に、新たな業務の検討、システム化範囲の検討を行うこと。(ア)(イ)の検討に必要な情報が不足していた場合、担当部署の指示により調査を行うこと。
(ウ) 調査結果のとりまとめ、報告
(ア)(イ)の検討結果を(エ)要件定義書(案)のもととなるよう、資料としてとりまとめること。なお、令和 6 年度からの構築の際に、実装の優先順位を明確に設
定できるようにするため、以下の 2 つの要求があることに留意した構成とすること。
① 業務の停止を避ける目的で、現行システムと同等の業務を実施できるシステムを構築するために必須の要件を定義すること
② 現行システムで課題となっている作業や、追加でシステムを活用したい業務など、利便性を高めるために実現したい要件を定義すること
なお②について、要件間の優先順位と実現に当たっての課題、依存関係も併せて整理すること。
(エ) 要件定義書(案)の作成
「標準ガイドライン対応 農林水産省要件定義書(ひな形)」を活用し作成すること。また、「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル(2022 年7月 29 日 内閣サイバーセキュリティセンター)」の点検を行い、要件定義書に反映すること。
(オ) 費用積算書の作成
令和 6 年度からの構築に必要な費用見積もりを、担当部署が事業者から取得できるよう、構築に必要な作業項目や想定作業量などを列挙した見積もりのひな形となる費用積算書を作成すること。なお、実際の費用を積算することは本業務の要件に含まない。
(カ) 他システムとの接続の検討資料作成及び、調整に係る資料の作成・作成支援次期システムにおいて、以下の他システムとの連携の実施を検討する。受注者は
それぞれ接続に必要な要件を整理する。また担当部署が他システム担当者と接続検討を行う際の資料作成及び、作成に必要な情報の収集等の支援を行うとともに、担当部署からの求めに応じ打合せに出席すること。
⚫ ADAMSII :(必須)現行システムではファイルによる連携を行っているが WebAPI での連携を実施する
⚫ eMAFF ID:(必須)現行システムでは独自のユーザーID を整備しているが、 eMAFF ID を利用した ID 体系を採用する
⚫ 文書管理システム:現行システムでは連携していない。WebAPI 連携により決裁業務を効率化する
⚫ REPS:現行システムでは連携していないが、業務要件に支払いを受ける業務を含むことからその必要性について検討する
⚫ 電子契約書:現行システムでは連携していないが、業務要件に契約書作成業務を含むことからその必要性について検討する
⚫ Peppol:現行システムでは対応していないが、請求書情報をデータでやり取りする仕組みについてその必要性を検討する。
⚫ ほか事業実行中に必要が生じた場合は 2 程度のシステム
2 | 3(2) | プロジェクト計画書 | 契約の終期 |
3 | 3(2) | プロジェクト管理要領 | 契約の終期 |
4 | 3(3) (ウ) | 調査結果とりまとめ、報告書 | 契約の終期 |
5 | 3(3) (エ) | 要件定義書 | 2023/9/15 |
6 | 3(3) (オ) | 費用積算書 | 2023/9/15 までに中間 納品及び契約の終期 |
7 | 3(3) (カ) | 他システムとの接続の検討資料 | 2023/9/15 までに中間 納品及び契約の終期 |
8 | 3(3) (カ) | 他システムとの接続の調整に係る資 料 | 担当部署の求めに応じ 適宜 |
9 | 3(6) | 情報資産管理標準シート | 担当部署の求めに応じ 適宜及び契約の終期 |
10 | 3(6) | 契約金額の内訳が記載されたエクセ ルの電子データ | 契約締結後速やかに |
11 | 3(5) | 業務実施結果報告書 | 契約の終期 |
(イ) 成果物の納品方法
1. 成果物は、全て日本語で作成すること。
2. 用字・用語・記述符号の表記については、「「公用文作成の考え方」の周知について(令和 4 年 1 月 11 日内閣文第 1 号内閣官房長官通知)」を参考にすること。
3. 情報処理に関する用語の表記については、日本産業規格(JIS)の規定を参考にすること。
4. 成果物は紙媒体及び電磁的記録媒体により作成し、農林水産省から特別に示す場合を除き、原則紙媒体は正1部・副 1 部、電磁的記録媒体は 2 部を納品すること。
5. 紙媒体による納品について、用紙のサイズは、原則として日本産業規格A列
4番とするが、必要に応じて日本産業規格A列3番を使用すること。
6. 電磁的記録媒体による納品について、Microsoft Office 形式で作成した後、 PDF 形式に変換することとし、Microsoft Office 形式と PDF 形式の両方を格納して納品すること。
7. 納品後農林水産省において改変が可能となるよう、図表等の元データも併せて納品すること。
8. 成果物の作成に当たって、特別なツールを使用する場合は、担当職員の承認を得ること。
9. 成果物が外部に不正に使用されたり、納品過程において改ざんされたりすることのないよう、安全な納品方法を提案し、成果物の情報セキュリティの確保に留意すること。
10. 電磁的記録媒体により納品する場合は、不正プログラム対策ソフトウェアによる確認を行うなどして、成果物に不正プログラムが混入することのないよう、適切に対処すること。なお、対策ソフトウェアに関する情報(対策ソフトウェア名称、定義パターンバージョン、確認年月日)を記載したラベルを貼り付けること。
(ウ) 成果物の納品場所
原則として、成果物は次の場所において引渡しを行うこと。ただし、担当部署が納品場所を別途指示する場合はこの限りではない。
x000-0000
xxxxxxxxxx 0-0-0林野庁経営企画課
(8) その他
本事業で作成した資料等について、納品前であっても発注者の求めに応じ、発注者の業務に必要な範囲で利用可能とすること。ただし、特別の事情がある場合はこの限りではない。
明確に示し、担当部署の理解を得ること。)。
(パブリッククラウドに係る要件)
チームリーダーは、パブリッククラウドに係る全ての技術領域において当該クラウドサービスプロバイダーの認定技術者としての上級資格[※1]を有すること。なお、チームリーダーの資格は全体リーダーが保有していることでも可とする。
担当メンバーは、パブリッククラウドに係る全ての技術領域において当該クラウドサービスプロバイダーの認定技術者としての中級資格[※2]を有すること。
また、クラウドスマートを検討するにあたり、以下の経験を有する者を 1 名以上配置することが望ましい。なお、本項目を示すものとして業務経歴書を提出することとする。なお、クラウドスマート検討時に参画をするものとして、本業務期間に一貫して配置する必要はない。
・フロントエンドエンジニア
フロントエンドアプリケーション技術の知識と開発経験を有することを指し、バッ クエンドとの連携に関する基礎知識、及びウェブアプリケーション開発経験2年以上、クラウドのマネージドサービスを使ったアプリケーション開発の経験を有すること
・バックエンドエンジニア
Web アプリケーション開発経験を指し、パブリッククラウドサービス(Azure、 AWS、GCP など)でホストするシステムの開発経験2年以上、データベース設計経験2年以上を有すること
※1 例として、以下のような資格が挙げられる。
AWS 認定ソリューションアーキテクト-プロフェッショナル試験
マイクロソフト認定ソリューションズアーキテクトエキスパート試験
※2 例として、以下のような資格が挙げられる。
AWS 認定ソリューションアーキテクト-アソシエイト試験
マイクロソフト認定ソリューションズアーキテクトアソシエイト試験
(3) 作業場所
本業務の作業場所及び作業に当たり必要となる設備、備品及び消耗品等については、受注者の責任において用意すること。また、必要に応じて担当職員が現地確認を実施 することができるものとする。
(4) 使用する言語
本業務に使用する言語(会話によるコミュニケーションを含む。)は日本語、数字は算用数字、単位は原則としてメートル法とすること。
(5) 会議の体制
担当部署が参加する会議は原則として農林水産省本省内で開催することとし、事前に日程等を担当部署と協議して会場の確保に努めること。なお、効率的な業務実施の
ために、事前に担当部署の承認を得た上でウェブ会議を実施することを可能とする。
(6) 貸与条件
本業務の遂行に必要な貸与物品がある場合は、事前に担当部署と協議の上、貸与申請を行うこと。貸与された物品は、厳重な管理を行い、貸与期間終了後は速やかに返却すること。また、貸与期間終了前であっても、必要がなくなった場合には速やかに返却すること。
5 作業の実施に当たっての遵守事項
(1) 機密保持、資料の取扱い
担当部署から「農林水産省における情報セキュリティの確保に関する規則(平成27年3月 31 日農林水産省訓令第4号。以下「規則」という。)」、「農林水産省における個人情報の適正な取扱いのための措置に関する訓令」等の説明を受けるとともに、本業務に係る情報セキュリティ要件を遵守すること。なお、「規則」は、政府機関等のサイバ―セキュリティ対策のための統一基準群(以下「統一基準群」という。)に準拠することとされていることから、受注者は、統一基準群の改定を踏まえて「規則」が改正された場合には、本業務に関する影響分析を行うこと。
本業務に係る情報セキュリティ要件は次の通りである。 (ア) 委託した業務以外の目的で利用しないこと。
(イ) 業務上知り得た情報について第三者への開示や漏えいをしないこと。 (ウ) 持出しを禁止すること。
(エ) 受注者の責に起因する情報セキュリティインシデントが発生するなどの万一の事故があった場合に直ちに報告する義務や、損害に対する賠償等の責任を負うこ と。
(オ) 業務の履行中に受け取った情報の管理、業務終了後の返却又は抹消等を行い復元不可能な状態にすること。
(カ) 適切な措置が講じられていることを確認するため、遵守状況の報告を求めることや、必要に応じて発注者による実地調査が実施できること。
上記以外に、別紙2「情報セキュリティの確保に関する共通基本仕様」に基づき、作業を行うこと。
(2) 個人情報の取扱い
個人情報(生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。以下同じ。)の取扱いに係る事項について担当部署と協議の上決定
し、書面にて提出すること。なお、以下の事項を記載すること。
(ア) 個人情報取扱責任者が情報管理責任者と異なる場合には、個人情報取扱責任者等の管理体制
(イ) 個人情報の管理状況の検査に関する事項(検査時期、検査項目、検査結果において問題があった場合の対応等)
(ウ) 本業務の作業を派遣労働者に行わせる場合は、労働者派遣契約書に秘密保持義務など個人情報の適正な取扱いに関する事項を明記し、作業実施前に教育を実施 し、認識を徹底させること。なお、受注者はその旨を証明する書類を提出し、担当部署の了承を得たうえで実施すること。
(エ) 個人情報を複製する際には、事前に担当職員の許可を得ること。なお、複製の実施は必要最小限とし、複製が不要となり次第、その内容が絶対に復元できないように破棄・消去を実施すること。なお、受注者は廃棄作業が適切に行われた事を確認し、その保証をすること。
(オ) 受注者は、本業務を履行する上で個人情報の漏えい等安全確保の上で問題となる事案を把握した場合には、直ちに被害の拡大を防止等のため必要な措置を講ずるとともに、担当職員に事案が発生した旨、被害状況、復旧等の措置及び本人への対応等について直ちに報告すること。
(カ) 受注者は、農林水産省からの指示に基づき、個人情報の取扱いに関して原則として年1回以上の実地検査を受け入れること。なお、やむを得ない理由により実地検査の受入れが困難である場合は、書面検査を受け入れること。また、個人情報の取扱いに係る業務を再委託する場合は、受注者(必要に応じ農林水産省)は、原則として年1回以上の再委託先への実地検査を行うこととし、やむを得ない理由により実地検査の実施が困難である場合は、書面検査を行うこと。
(キ) 個人情報の取扱いにおいて適正な取扱いが行われなかった場合は、本業務の契約解除の措置を受けるものとする。
(3) 法令等の順守
法基準として日本国内法を適用すること。
(4) 標準ガイドライン等の遵守
本業務の遂行に当たっては、標準ガイドラインを含む、「デジタル社会推進標準ガイドライン」に基づき、作業を行うこと。具体的な作業内容及び手順等については、解説書を参考とすること。なお、「デジタル社会推進標準ガイドライン」が改定された場合は、最新のものを参照し、その内容に従うこと。
(5) その他文書、標準への準拠 (ア) プロジェクト計画書等
本業務の遂行に当たっては、担当部署が定めるプロジェクト計画書及びプロジェク
ト管理要領との整合を確保して行うこと。
(イ) 国有xxの管理経営に関する法律及びそれらに基づく規程・通知
要件の定義に当たっては関連する規程・通知等から逸脱しないよう担当部署とともに協議を行うこと。
6 成果物の取扱いに関する事項
(1) 知的財産権の帰属
本業務における成果物の原著作権及び二次的著作物の著作権(著作xx第 21 条か
ら第 28 条に定める全ての権利を含む。)は、受注者が本調達の実施の従前から権利を保有していた等の明確な理由によりあらかじめ提案書にて権利譲渡不可能と示されたもの以外は、全て農林水産省に帰属するものとする。
農林水産省は、成果物について、第三者に権利が帰属する場合を除き、自由に複製 し、改変等し、及びそれらの利用を第三者に許諾することができるとともに、任意に 開示できるものとする。また、受注者は、成果物について、自由に複製し、改変等し、及びこれらの利用を第三者に許諾すること(以下「複製等」という。)ができるもの とする。ただし、成果物に第三者の権利が帰属するときや、複製等により農林水産省 がその業務を遂行する上で支障が生じるおそれがある旨を契約締結時までに通知した ときは、この限りでないものとし、この場合には、複製等ができる範囲やその方法等 について協議するものとする。
納品される成果物に第三者が権利を有する著作物(以下「既存著作物等」という。)が含まれる場合には、受注者は、当該既存著作物等の使用に必要な費用の負担及び使 用許諾契約等に関わる一切の手続を行うこと。この場合、本業務の受注者は、当該既 存著作物の内容について事前に農林水産省の承認を得ることとし、農林水産省は、既 存著作物等について当該許諾条件の範囲で使用するものとする。なお、本仕様に基づ く作業に関し、第三者との間に著作権に係る権利侵害の紛争の原因が専ら農林水産省 の責めに帰す場合を除き、受注者の責任及び負担において一切を処理すること。この 場合、農林水産省は係る紛争等の事実を知ったときは、受注者に通知し、必要な範囲 で訴訟上の防衛を受注者に委ねる等の協力措置を講じるものとする。
本調達に係るプログラムに関する権利(著作xx第 21 条から第 28 条に定める全ての権利を含む。)及び成果物の所有権は、農林水産省から受注者に対価が完済されたとき受注者から農林水産省に移転するものとする。
受注者は農林水産省に対し、一切の著作者人格権を行使しないものとし、また、第三者をして行使させないものとする。
受注者は使用する画像、デザイン、表現等に関して他者の著作権を侵害する行為に十分配慮し、これを行わないこと。
(2) 契約不適合責任
(ア) 農林水産省は検収完了後、成果物についてシステム仕様書との不一致(バグも含む。以下「契約不適合」という。)が発見された場合、受注者に対して当該契約不適合の修正等の履行の追完(以下「追完」という。)を請求することができ、受注者は、当該追完を行うものとすること。ただし、農林水産省が追完の方法についても請求した場合であって、農林水産省に不相当な負担を課するものでないとき は、受注者は農林水産省が請求した方法と異なる方法による追完を行うことができること。
(イ) 前記(ア)にかかわらず、当該契約不適合によっても個別契約の目的を達することができる場合であって、追完に過分の費用を要する場合、受注者は前期アに規定された追完に係る義務を負わないものとすること。
(ウ) 農林水産省は、当該契約不適合(受注者の責めに帰すべき事由により生じたものに限る。)により損害を被った場合、受注者に対して損害賠償を請求することができること。
(エ) 当該契約不適合について、追完の請求にもかかわらず相当期間内に追完がなされない場合又は追完の見込みがない場合で、当該契約不適合により個別契約の目的を達することができないときは、農林水産省は本契約及び個別契約の全部又は一部を解除することができること。
(オ) 受注者が本項に定める責任その他の契約不適合責任を負うのは、検収完了後1年以内に農林水産省から当該契約不適合を通知された場合に限るものとすること。ただし、検収完了時において受注者が当該契約不適合を知り若しくは重過失により知らなかったとき、又は当該契約不適合が受注者の故意若しくは重過失に起因するときにはこの限りでない。
(カ) 前記(ア)から(オ)までの規定は、契約不適合が農林水産省の提供した資料等又は農林水産省の与えた指示によって生じたときは適用しないこと。ただし、受注者がその資料等又は指示が不適当であることを知りながら告げなかったときはこの限りでない。
(3) 検収
本業務の受注者は、成果物等について、納品期日までに担当部署に内容の説明を実施して検収を受けること。
検収の結果、成果物等に不備又は誤り等が見つかった場合には、直ちに必要な修正、改修、交換等を行い、変更点について担当部署に説明を行った上で、指定された日時 までに再度納品すること。
7 入札参加資格に関する事項
(1) 競争参加資格
予算決算及び会計令第 70 条の規定に該当しない者であること。なお、未xx者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。
予算決算及び会計令第 71 条の規定に該当しない者であること。
公告日において令和 4・5・6 年度全省庁統一資格の「役務の提供等」の「A」、「B」の等級に格付けされ、競争参加資格を有する者であること。
応札資料の提出期限の日から、開札の時までの間において林野庁長官から物品の製造契約、物品の購入契約及び役務等契約指名停止措置要領に基づく指名停止を受けている期間中でないこと。
(2) 公的な資格や認証等の取得
応札者は、品質マネジメントシステムに係る以下のいずれかの条件を満たすこと。品質マネジメントシステムの規格である「JIS Q 9001」又は「ISO9001」(登録活動 範囲が情報処理に関するものであること。)の認定を、業務を遂行する組織が有して
おり、認証が有効であること。
上記と同等の品質管理手順及び体制が明確化された品質マネジメントシステムを有している事業者であること(管理体制、品質マネジメントシステム運営規程、品質管理手順規定等を提示すること。)。
応札者は、情報セキュリティに係る以下のいずれかの条件を満たすこと。
情報セキュリティ実施基準である「JIS Q 27001」、「ISO/IEC27001」又は「ISMS」の認証を有しており、認証が有効であること。
一般財団法人日本情報経済社会推進協会のプライバシーマーク制度の認定を受けているか、又は同等の個人情報保護のマネジメントシステムを確立していること。
個人情報を扱うシステムのセキュリティ体制が適切であることを第三者機関に認定された事業者であること。
(3) 受注実績
応札者は、パブリッククラウドを用いたサーバレス設計の情報システムの設計を行った実績を過去3年以内に有すること。
(4) 複数事業者による共同入札
複数の事業者が共同入札する場合、その中から全体の意思決定、運営管理等に責任を持つ共同入札の代表者を定めるとともに、本代表者が本調達に対する入札を行うこと。
共同入札を構成する事業者間においては、その結成、運営等について協定を締結し、業務の遂行に当たっては、代表者を中心に、各事業者が協力して行うこと。事業者間 の調整事項、トラブル等の発生に際しては、その当事者となる当該事業者間で解決す ること。また、解散後の契約不適合責任に関しても協定の内容に含めること。
共同入札を構成する全ての事業者は、本入札への単独提案又は他の共同入札への参加を行っていないこと。
共同事業体の代表者は、品質マネジメントシステム及び情報セキュリティに係る要件について満たすこと。その他の入札参加要件については、共同事業体を構成する事業者のいずれかにおいて満たすこと。
(5) 入札制限
本業務を直接担当する農林水産省IT テクニカルアドバイザー(旧農林水産省CIO 補佐官に相当)、農林水産省全体管理組織(PMO)支援スタッフ及び農林水産省最高情報セキュリティアドバイザーが、その現に属する事業者及びこの事業者の「財務諸表等の用語、様式及び作成方法に関する規則」(昭和 38 年大蔵省令第 59 号)第 8 条に規定する親会社及び子会社、同一の親会社を持つ会社並びに委託先等緊密な利害関係を有する事業者は、本書に係る業務に関して入札に参加できないものとする。
8 再委託に関する事項
(1) 再委託の制限及び再委託を認める場合の条件
本業務の受注者は、業務を一括して又は主たる部分を再委託してはならない。
受注者における遂行責任者を再委託先事業者の社員や契約社員とすることはできない。
受注者は再委託先の行為について一切の責任を負うものとする。
再委託先における情報セキュリティの確保については受注者の責任とする。
再委託を行う場合、再委託先が「7.(5)入札制限」に示す要件を満たすこと。
(2) 承認手続
本業務の実施の一部を合理的な理由及び必要性により再委託する場合には、あらかじめ再委託の相手方の商号又は名称及び住所並びに再委託を行う業務の範囲、再委託の必要性及び契約金額等について記載した契約書別紙様式第2号の再委託承認申請書を担当部署に提出し、あらかじめ承認を受けること。
前項による再委託の相手方の変更等を行う必要が生じた場合も、前項と同様に再委託に関する書面を担当部署に提出し、承認を受けること。
再委託の相手方が更に委託を行うなど複数の段階で再委託が行われる場合(以下
「再々委託」という。)には、当該再々委託の相手方の商号又は名称及び住所並びに再々委託を行う業務の範囲を書面で報告すること。
(3) 再委託先の契約違反等
再委託先において、本調達仕様書の遵守事項に定める事項に関する義務違反又は義務を怠った場合には、受注者が一切の責任を負うとともに、担当部署は、当該再委託先への再委託の中止を請求することができる。
9 その他特記事項
(1) 前提条件等
本調達仕様書と契約書の内容に齟齬が生じた場合には、本調達仕様書の内容が優先する。
本業務は、令和 5 年度の予算成立を条件とする。令和 5 年 4 月 1 日以前に令和 5 年度予算が成立していない場合には、契約の中止等を行う可能性がある。
本業務受注後に調達仕様書の内容の一部について変更を行おうとする場合、その変更の内容、理由等を明記した書面をもって担当部署に申し入れを行うこと。双方の協議において、その変更内容が軽微(委託料、納期に影響を及ぼさない)かつ許容できると判断された場合は、変更の内容、理由等を明記した書面に双方が確認することによって変更を確定する。
本仕様書について疑義等がある場合は、応札資料作成要領(別紙)質問状により質問すること。なお、質問状に対する回答は適宜行うこととする。
ガバメント・クラウドを含めたクラウド検討について不明点等がある場合は、担当部署及び MAFF クラウド CoE と協議の上、作業を進めること。
(2) 入札公告期間中の資料閲覧等
本業務の実施に参考となる過去の類似業務の報告書等に関する資料については、農林水産省内にて閲覧可能とする。なお、資料の閲覧に当たっては、必ず事前に担当部署まで連絡の上、閲覧日時を調整すること。
(ア) 資料閲覧場所
xxxxxx区霞が関 1-2-1 林野庁経営企画課(北別館 8 階ドア番号北 812)ただし、会場が変更となった場合は担当部署から別途連絡する。
(イ) 閲覧期間及び時間
公告の日から入札終了の前日まで
行政機関の休日を除く日の 10 時から 17 時まで。(12 時から 13 時を除く。) (ウ) 閲覧手続
最大 5 名まで。応札希望者の商号、連絡先、閲覧希望者氏名を別紙4「閲覧申込
書」に記載の上、閲覧希望日の 3 日前までに提出すること。また、閲覧日当日までに別紙5「守秘義務に関する誓約書」に記載の上、提出すること。
(エ) 閲覧時の注意
閲覧にて知り得た内容については、提案書の作成以外には使用しないこと。また、本調達に関与しない者等に情報が漏えいしないように留意すること。閲覧資料の複 写等による閲覧内容の記録は行わないこと。
(オ) 連絡先
林野庁経営企画課 電話 00-0000-0000 メール xxxxx@xxxx.xx.xx (カ) 事業者が閲覧できる資料
閲覧に供する資料の例を次に示す。
1. 「農林水産省における個人情報の適正な取扱いのための措置に関する訓令」等[5(1)]
2. 農林水産省における情報セキュリティの確保に関する規則[5(1)]
3. プロジェクト計画書
4. プロジェクト管理要領
5. 標準ガイドライン対応 農林水産省要件定義書(ひな形)[3(3)(エ)]
6. 現行の情報システムの情報システム設計書、操作マニュアル
7. 関連する他の情報システムの操作マニュアル、設計書、各種プロジェクト標準
8. 過去の検討資料等
9. 業務プロセス分析・改善に関する資料(サンプル)
10. 業務プロセス分析・改善に関する資料(令和 5 年 2 月中旬に整備予定)
10 附属文書
1. 別紙1 現行システム構成資料[1(4)]
2. 別紙2 「情報セキュリティの確保に関する共通基本仕様」[5(1)(カ)]
3. 別紙3 Web システム/Web アプリケーションセキュリティ要件書 Ver.4.0[3 (3)(カ)]
4. 別紙4 閲覧申込書[9(2)(ウ)]
5. 別紙5 守秘義務に関する誓約書[9(2)(ウ)]
以上
別紙1-2 システム構成図 (セグメント別サーバ配置図(本番環境))
*1 バックアップサーバとDNS/NTPサーバ(プライマリ・セカンダリ共)、データ移⾏⽤サーバは物理サーバとなる。(政府共通PF管理・運⽤対象)
*2 運⽤管理サーバ及びゲートウェイサーバは政府共通PFよりシステム毎に提供される。(政府共通PF管理・運⽤対象)
別紙1-3 システム構成図 (セグメント別サーバ配置図(検証環境))
*1 バックアップサーバとDNS/NTPサーバ(プライマリ・セカンダリ共)、データ移⾏⽤サーバは物理サーバとなる。(政府共通PF管理・運⽤対象)
*2 運⽤管理サーバ及びゲートウェイサーバは政府共通PFよりシステム毎に提供される。(政府共通PF管理・運⽤対象)
別紙1-4 システム構成図 (セグメント別サーバ配置図(バックアップセンタ環境))
*1 バックアップサーバとDNS/NTPサーバ(プライマリ・セカンダリ共)、データ移⾏⽤サーバは物理サーバとなる。(政府共通PF管理・運⽤対象)
*2 運⽤管理サーバ及びゲートウェイサーバは政府共通PFよりシステム毎に提供される。(政府共通PF管理・運⽤対象)
別紙1-5 システム構成図(使⽤サーバの規模 [本番環境及び検証環境])
環境 | No | サーバ種類 | 構 成 | 台数 | リソース(1台当たり) | リソース合計値 | |||||
CPU 個数 | メモリサイズ | ディスクサイズ (システム領域) | ディスクサイズ (データ領域) | CPU コア数 | メモリサイズ | ディスクサイズ | |||||
本番環境 | 1 | WEB | 仮想サーバ切替構成 | 1 | 4 | 8 | 100 | 0 | 4 | 8 | 100 |
2 | 基幹系AP | 負荷分散構成(予備機なし) | 4 | 4 | 20 | 100 | 0 | 16 | 80 | 400 | |
3 | 情報系AP | 仮想サーバ切替構成 | 1 | 4 | 16 | 100 | 0 | 4 | 16 | 100 | |
4 | 基幹系DB | 仮想サーバ切替構成 | 1 | 8 | 24 | 100 | 900 | 8 | 24 | 1000 | |
5 | 情報系DB | 仮想サーバ切替構成 | 1 | 8 | 24 | 100 | 600 | 8 | 24 | 700 | |
6 | 帳票 | 仮想サーバ切替構成 | 2 | 4 | 8 | 100 | 0 | 8 | 16 | 200 | |
7 | 構成管理 ・コンパイル | 仮想サーバ切替構成 | 1 | 2 | 8 | 100 | 300 | 2 | 8 | 400 | |
検証環境 | 8 | WEB | シングル構成 | 1 | 2 | 8 | 100 | 300 | 2 | 8 | 400 |
9 | 基幹系AP | 負荷分散構成(予備機なし) | 2 | 1 | 16 | 100 | 0 | 2 | 32 | 200 | |
10 | 情報系AP | シングル構成 | 1 | 2 | 16 | 100 | 0 | 2 | 16 | 100 | |
11 | 基幹系DB | シングル構成 | 1 | 2 | 24 | 100 | 900 | 2 | 24 | 1000 | |
12 | 情報系DB | シングル構成 | 1 | 2 | 24 | 100 | 600 | 2 | 24 | 700 | |
13 | 帳票 | シングル構成 | 1 | 2 | 8 | 100 | 0 | 2 | 8 | 500 | |
14 | 構成管理 ・コンパイル | シングル構成 | 1 | 2 | 8 | 100 | 400 | 2 | 8 | 500 | |
別紙3 ソフトウェア⼀覧
No | 種別 | 利⽤ソフトウェア⼀覧 | 分担 | 保守調達対象ソフトウェア | サーバ⼀覧 【凡例 ○︓ソフトウェアを利⽤、数字︓持ち込みソフトウェアのライセンス数※、-︓ソフトウェアを利⽤しない】 | ||||||||||||||||||||
ソフトウェア名称 | 製品名称 | バージョン | エディション | メーカ | 備考 | 政府共通P F提供 | 国有xx情報管理システム持ち込み | 本番環境 | 検証環境 | ||||||||||||||||
WEB | 基幹系AP | 情報系AP | 基幹系DB | 情報系DB | 帳票 | 構成管理 コンパイル | WEB | 基幹系AP | 情報系AP | 基幹系DB | 情報系DB | 帳票 | 構成管理 コンパイル | ||||||||||||
1 | OS | Windows | Windows Server | Windows Server | 2012 R2 | Standard Edition | Microsoft | ○ | - | - | - | - | - | - | - | - | ○ | - | - | - | - | - | - | ○ | |
2 | Linux | Red Hat Enterprise Linux | Red Hat Enterprise Linux | 7.2 | - | Red Hat | ○ | - | - | ○ | ○ | ○ | ○ | ○ | ○ | - | ○ | ○ | ○ | ○ | ○ | ○ | - | ||
3 | ミドルウ ア | WEBサーバ | Apache HTTP Server | Apache HTTP Server | 2.4 | - | ○ | - | - | ○ | - | - | - | - | - | - | ○ | - | - | - | - | - | - | ||
4 | APサーバ | Tomcat | Apache Tomcat | 7.0 | - | ○ | - | - | - | - | ○ | - | - | - | - | - | - | ○ | - | - | - | - | |||
5 | セキュリティ対策 | ウィルス対策ソフトウェア(エージェント) | Sophos Anti-Virus for Windows | 10 | - | Windows⽤ | ○ | - | - | - | - | - | - | - | - | ○ | - | - | - | - | - | - | ○ | ||
6 | Sophos Anti-Virus for Linux/Unix | 9 | - | Linux/Solaris⽤ | ○ | - | - | ○ | ○ | ○ | ○ | ○ | ○ | - | ○ | ○ | ○ | ○ | ○ | ○ | - | ||||
7 | 運⽤管理 | システム監視ソフトウェア(エージェント) | Hinemos Agent | 4.0 | - | ○ | - | - | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | |||
8 | 運⽤管理 | ジョブ管理ソフトウェア(エージェント) | Hinemos Agent | 4.0 | - | ○ | - | - | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | |||
9 | 運⽤管理 | ストレージバックアップソフトウェア(エージェント) | ETERNUS SF AdvancedCopy Manager | 16.4 | - | ○ | - | - | - | - | - | ○ | ○ | - | - | - | - | - | ○ | ○ | - | - | |||
10 | 運⽤管理 | バックアップソフトウェア(エージェント) | Veritas NetBackup Enterprise Client | 7.7 | - | ○ | - | - | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | |||
11 | 運⽤管理 | 構成管理ソフトウェア/資産管理ソフトウェア(エージェント) | Systemwalker Runbook Automation | 15.1 | - | ○ | - | - | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | |||
12 | 運⽤管理 | リリース管理ソフトウェア(エージェント) | Systemwalker Runbook Automation | 15.1 | - | ○ | - | - | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | |||
13 | 仮想化管理 | プラットフォーム統合管理ソフトウェア(エージェント) | ServerView Resource Orchestrator | 3.12 | Cloud Edition | ○ | - | - | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | |||
14 | Systemwalker Software Configuration Manager | Windows:15.5 Linux:15.6 | - | ○ | - | - | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | |||||
15 | 運⽤管理 | サーバ管理ソフトウェア(エージェント) | ServerView Agent | 7.30 | - | Windows/Linux⽤ | ○ | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | ||
16 | 信頼性 | マルチパスドライバ | ETERNUS マルチパスドライバ for Standard Model | V2.0 | - | Windows⽤ | ○ | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | ||
17 | ETERNUS マルチパスドライバ for Standard Model | V2.0 | - | Linux⽤ | ○ | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | ||||
18 | 運⽤管理 | ストレージ管理ソフトウェア(エージェント) | ETERNUS SF Storage Cruiser Client | 16.3 | - | ○ | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | |||
19 | 運⽤管理 | ログ管理ソフトウェア(エージェント) | Splunk | 6.5/6.2 | - | ○ | - | - | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | |||
20 | DBMS | Symfoware Server | Symfoware Server | 12.3 | Enterprise Edition | 富⼠通 | - | ○ | ○ | - | - | - | 4 | 4 | - | - | - | - | - | 1 | 1 | - | - | ||
21 | DBMS | Symfoware Server | Symfoware Server クライアント | 12.3 | Enterprise Edition | 富⼠通 | - | ○ | - | - | ○ | - | - | - | - | ○ | - | ○ | - | - | - | - | ○ | ||
22 | DBMS | Symfoware Server | Symfoware Server Advanced Backup Controller | 12.3 | Enterprise Edition | 富⼠通 | - | ○ | ○ | - | - | - | 4 | 4 | - | - | - | - | - | 1 | 1 | - | - | ||
23 | DBMS | Symfoware Server | LinkExpress | 5.16 | Enterprise Edition | 富⼠通 | - | ○ | - | - | - | - | ○ | ○ | - | - | - | - | - | ○ | ○ | - | - | ||
24 | DBMS | Symfoware Server | LinkExpress Replication Option | 5.19 | Enterprise Edition | 富⼠通 | - | ○ | - | - | - | - | ○ | ○ | - | - | - | - | - | ○ | ○ | - | - | ||
25 | DBMS | Symfoware Server | LinkExpress クライアント | 5.16 | Enterprise Edition | 富⼠通 | - | ○ | - | - | - | - | - | - | - | ○ | - | - | - | - | - | - | ○ | ||
26 | APサーバ | Interstage Business Application Server | Interstage Business Aplication Server | 11 | Standard Edition | 富⼠通 | - | ○ | ○ | - | 8 | - | - | - | - | - | - | 1 | - | - | - | - | - | ||
27 | APサーバ | Interstage Business Application Server | Apache Tomcat | 5.5 | Standard Edition | 富⼠通 | - | ○ | - | - | ○ | - | - | - | - | - | - | ○ | - | - | - | - | - | ||
28 | APサーバ | Interstage Business Application Server | FJVM | 1.6 | Standard Edition | 富⼠通 | - | ○ | - | - | ○ | - | - | - | - | - | - | ○ | - | - | - | - | - | ||
29 | APサーバ | Interstage Business Application Server | Struts | 1.3.10 | Standard Edition | 富⼠通 | - | ○ | - | - | ○ | - | - | - | - | ○ | - | ○ | - | - | - | - | ○ | ||
30 | コンパイル | Interstage Business Application Server | Interstage Studio | 11 | Standard Edition | 富⼠通 | - | ○ | - | - | - | - | - | - | - | ○ | - | - | - | - | - | - | ○ | ||
31 | コンパイル | Interstage Business Application Server | Apache Ant | 1.7 | Standard Edition | 富⼠通 | - | ○ | - | - | - | - | - | - | - | ○ | - | - | - | - | - | - | ○ | ||
32 | 集計 データ分析 | Interstage Navigator Server | Interstage Navigator Server | 9.4 | Enterprise Edition | 富⼠通 | - | ○ | - | - | - | - | - | 4 | - | - | - | - | - | - | 1 | - | - | ||
33 | 集計 データ分析 | Interstage Navigator Server | Interstage Navigator Server Webコンポーネント | 9.4 | Enterprise Edition | 富⼠通 | - | ○ | - | - | - | ○ | - | - | - | - | - | - | ○ | - | - | - | - | ||
34 | 集計 データ分析 | Interstage Navigator Server | Navigator管理ツール | 9.4 | Enterprise Edition | 富⼠通 | - | ○ | - | - | - | - | - | - | - | ○ | - | - | - | - | - | - | ○ | ||
35 | ⽂字管理 | Interstage Charset Manager | Interstage Xxxxxxx Manager | 9.5 | Standard Edition | 富⼠通 | - | ○ | ○ | - | - | - | - | 4 | - | - | - | - | - | - | 1 | - | - | ||
36 | 帳票設計 ⽣成 | Interstage List Creator | Interstage List Creator | 10.5 | Enterprise Edition | 富⼠通 | - | ○ | ○ | - | - | - | - | - | 4 | - | - | - | - | - | - | 1 | - | ||
37 | 帳票設計 ⽣成 | Interstage List Creator Connector | Interstage List Creator Connector | 10.5 | - | 富⼠通 | - | ○ | ○ | - | 8 | - | - | - | - | - | - | 1 | - | - | - | - | - | ||
38 | 帳票設計 ⽣成 | Interstage List Creator デザイナー | Interstage List Creator デザイナー | 10.5 | - | 富⼠通 | - | ○ | ○ | - | - | - | - | - | - | 1 | - | - | - | - | - | - | ○ | ||
39 | Java | Jビジネス運⽤パッケージ | FJVM | 1.6 | - | 富⼠通 | - | ○ | ○ | - | - | 2 | - | - | 4 | 1 | - | - | 1 | - | - | 1 | 1 | ||
40 | 構成管理 | Apache Subversion | Apache Subversion | 1.9 | - | - | - | ○ | ○ | - | - | - | - | - | - | 1 | - | - | - | - | - | - | 1 | ||
※ライセンス数は、CPUコア数×0.5。CPUコア数については別紙1-5参照。ただし、No.38「Interstage List Creator デザイナー」のライセンスは、本システム全体で「1」必要である。
別紙4 サブシステム一覧
No | サブシステム等 | 内容 | プログラムステップ数 | 画面数 | 帳票数 | Excel機能 マクロ ステップ数 | |||
JAVA | 帳票 | OLAP 帳票 | |||||||
1 | 森林情報管理 | 森林調査簿・伐採造林計画簿・林班沿革簿作成・管理等 | 222,429 | 204,173 | 88 | 93 | 51 | 42 | 15,170 |
2 | 収穫 | 予定簿・実行簿作成、収穫調査復命書作成、材積計算等 | 205,035 | 190,267 | 36 | 33 | 30 | 3 | 14,830 |
3 | 造林 | 予定簿・実行簿作成、造林調整簿作成、進行管理等 | 149,381 | 141,529 | 30 | 61 | 53 | 8 | 27,664 |
4 | 林道 | 予定簿・実行簿作成、進行管理、林道台帳管理等 | 125,022 | 113,080 | 32 | 42 | 36 | 6 | 0 |
- | 森林整備共通 | (共通ロジック) | 12,020 | 10,259 | 0 | 0 | 0 | 0 | 0 |
5 | xx販売 | xx価格評定、販売計画、進行管理等 | 193,986 | 173,079 | 51 | 48 | 25 | 23 | 0 |
6 | 製品生産 | 素材検知野帳・生産予定・完了情報入力等、進行管理等 | 139,235 | 129,853 | 32 | 28 | 17 | 11 | 15,181 |
7 | 製品販売 | 素材価格評定、販売計画、進行管理等 | 192,562 | 174,494 | 64 | 67 | 39 | 28 | 18,228 |
8 | 樹木採取権 | 樹木採取権情報、実施契約、樹木料評定・算定、定期報告等 | 37,912 | 34,141 | 13 | 3 | 3 | 0 | 2,320 |
9 | 歳出予算管理 | 歳出予算登録、支出負担行為示達入力等 | 54,548 | 48,686 | 15 | 8 | 8 | 0 | 2,466 |
10 | 支出管理 | 債主登録、支出負担行為情報入力、支出負担行為決議書の作成、支出負担行為日計表印刷等 | 119,033 | 108,182 | 24 | 21 | 13 | 8 | 0 |
11 | 収入管理 | 債務者登録、契約情報入力、契約書作成等 | 149,762 | 135,522 | 36 | 24 | 21 | 3 | 0 |
12 | 決算 | 科目別表作成、資産情報取込、財務諸表作成等 | 123,667 | 110,804 | 14 | 17 | 12 | 5 | 0 |
- | 経理共通 | (共通ロジック) | 11,127 | 7,720 | 0 | 0 | 0 | 0 | 0 |
13 | 貸付・使用等管理 | 国有xx貸付・使用台帳等管理、地域振興資料作成等 | 155,616 | 141,283 | 26 | 39 | 37 | 2 | 2,083 |
14 | 分収育林 | 顧客管理、保育状況・生育状況等通知書作成等 | 130,883 | 118,622 | 39 | 36 | 26 | 10 | 2,153 |
- | 情報分析 | (通常非使用) | 297 | 205 | 0 | 0 | 0 | 0 | 0 |
- | 事業統計 | (通常非使用) | 15,329 | 14,819 | 1 | 38 | 38 | 0 | 105,332 |
15 | 業務共通 | (共通ロジック) | 69,837 | 62,383 | 28 | 7 | 4 | 3 | 0 |
- | 業務基盤 | (共通ロジック) | 44,273 | 38,281 | 0 | 0 | 0 | 0 | 0 |
- | その他 | (共通ロジック) | 4,277 | 936 | 0 | 0 | 0 | 0 | 0 |
計 | 2,156,231 | 1,958,318 | 529 | 565 | 413 | 152 | 205,427 | ||
情報セキュリティの確保に関する共通基本仕様
Ⅰ 情報セキュリティポリシーの遵守
1 受託者は、担当部署から農林水産省における情報セキュリティの確保に関する規則( 平成
27 年農林水産省訓令第4号。以下「規則」という。)等の説明を受けるとともに、本業務に係る情報セキュリティ要件を遵守すること。
なお、規則は、政府機関等のサイバーセキュリティ対策のための統一基準群(以下「 統一基準群」という。)に準拠することとされていることから、受託者は、統一基準群の改定を踏まえて規則が改正された場合には、本業務に関する影響分析を行うこと。
2 受託者は、規則と同等の情報セキュリティ管理体制を整備していること。
3 受託者は、本業務の従事者に対して、規則と同等の情報セキュリティ対策の教育を実施していること。
Ⅱ 受託者及び業務実施体制に関する情報の提供
1 受託者は、受託者の資本関係・役員等の情報、本業務の実施場所、本業務の従事者( 契約社員、派遣社員等の雇用形態は問わず、本業務に従事する全ての要員)の所属・専門性
(保有資格、研修受講実績等)・実績(業務実績、経験年数等) 及び国籍に関する情報を記載した資料を提出すること。
なお、本業務に従事する全ての要員に関する情報を記載することが困難な場合は、 本業
務に従事する主要な要員に関する情報を記載するとともに、本業務に従事する部門等における従事者に関する情報( ○○国籍の者が△名( 又は□%)等) を記載すること。また、 この場合であっても、担当部署からの要求に応じて、可能な限り要員に関する情報を提供すること。
2 受託者は、本業務を実施する部署、体制等の情報セキュリティ水準を証明する以下のいずれかの証明書等の写しを提出すること。(提出時点で有効期限が切れていないこと。)
(1)ISO/IEC27001 等の国際規格とそれに基づく認証の証明書等
(2)プライバシーマーク又はそれと同等の認証の証明書等
(3)独立行政法人情報処理推進機構(IPA)が公開する「情報セキュリティ対策ベンチマーク」を利用した自己評価を行い、その評価結果において、全項目に係る平均値が4に達し、かつ各評価項目の成熟度が2以上であることが確認できる確認書
(4)MS 認証信頼性向上イニシアティブに参画し、不祥事への対応や透明性確保に係る取組を実施している実績
Ⅲ 業務の実施における情報セキュリティの確保
1 受託者は、本業務の実施に当たって、以下の措置を講じること。また、以下の措置を講じることを証明する資料を提出すること。
(1)本業務上知り得た情報(公知の情報を除く。)については、契約期間中はもとより契約終了後においても第三者に開示及び本業務以外の目的で利用しないこと。
(2)本業務に従事した要員が異動、退職等をした後においても有効な守秘義務契約を締結す
ること。
(3)本業務の各工程において、農林水産省の意図しない変更や機密情報の窃取等が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること( 例えば、 品質保証体制の責任者や各担当者がアクセス可能な範囲等を示した管理体制図、第三者機関による品質保証体制を証明する書類等を提出すること。)。
(4)本業務において、農林水産省の意図しない変更が行われるなどの不正が見つかったときに、追跡調査や立入調査等、農林水産省と連携して原因を調査し、排除するための手順及び体制(例えば、システムの操作ログや作業履歴等を記録し、担当部署から要求された場合には提出するなど)を整備していること。
(5)本業務において、個人情報又は農林水産省における要機密情報を取り扱う場合は、当該
情報(複製を含む。以下同じ。) を国内において取り扱うものとし、当該情報の国外への送信・保存や当該情報への国外からのアクセスを行わないこと。
(6)本業務における情報セキュリティ対策の履行状況を定期的に報告すること。
(7)農林水産省が情報セキュリティ監査の実施を必要と判断した場合は、農林水産省又は農林水産省が選定した事業者による立入調査等の情報セキュリティ監査(サイバーセキュリティ基本法(平成 26 年法律第 104 号)第 25 条第1項第2号に基づく監査等を含む。以下同じ。)を受け入れること。また、担当部署からの要求があった場合は、受託者が自ら実施した内部監査及び外部監査の結果を報告すること。
(8)本業務において、要安定情報を取り扱うなど、担当部署が可用性を確保する必要があると
認めた場合は、サービスレベルの保証を行うこと。
(9)本業務において、第三者に情報が漏えいするなどの情報セキュリティインシデントが発生した場合は、担当部署に対し、速やかに電話、口頭等で報告するとともに、報告書を提出すること。また、農林水産省の指示に従い、事態の収拾、被害の拡大防止、復旧、再発防止等に全力を挙げること。なお、これらに要する費用の全ては受託者が負担すること。
(10)情報セキュリティ対策の履行が不十分な場合、農林水産省と協議の上、必要な改善策を立案し、速やかに実施するなど、適切に対処すること。
2 受託者は、私物(本業務の従事者個人の所有物等、受託者管理外のものをいう。) の機器等を本業務に用いないこと。
3 受託者は、成果物等を電磁的記録媒体により納品する場合には、不正プログラム対策ソフ
トウェアによる確認を行うなどして、成果物に不正プログラムが混入することのないよう、適切に対処するとともに、確認結果(確認日時、不正プログラム対策ソフトウェアの製品名、定義ファイルのバージョン等) を成果物等に記載又は添付すること。
4 受託者は、本業務において取り扱われた情報を、担当部署の指示に従い、本業務上不要
となったとき若しくは本業務の終了までに返却又は復元できないよう抹消し、その結果を担当部署に書面で報告すること。
Ⅳ 情報システムの各工程における情報セキュリティの確保
1 受託者は、本業務において情報システムの運用管理機能又は設計・開発に係る企画・要件定義を行う場合には、以下の措置を実施すること。
(1)情報システム運用時のセキュリティ監視等の運用管理機能を明確化し、本業務の成果物へ適切に反映するために、以下を含む措置を実施すること。
ア 情報システム運用時に情報セキュリティ確保のために必要となる管理機能を本業務
の成果物に明記すること。
イ 情報セキュリティインシデントの発生を監視する必要がある場合、監視のために必要な機能について、以下を例とする機能を本業務の成果物に明記すること。
(ア)農林水産省外と通信回線で接続している箇所における外部からの不正アクセスを監
視する機能
(イ)不正プログラム感染や踏み台に利用されること等による農林水産省外への不正な通信を監視する機能
(ウ)農林水産省内通信回線への端末の接続を監視する機能
(エ)端末への外部電磁的記録媒体の挿入を監視する機能
(オ)サーバ装置等の機器の動作を監視する機能
(2)開発する情報システムに関連する脆(ぜい)弱性への対策が実施されるよう、以下を含む対策を本業務の成果物に明記すること。
ア 既知の脆(ぜい)弱性が存在するソフトウェアや機能モジュールを情報システムの構
成要素としないこと。
イ 開発時に情報システムに脆(ぜい)弱性が混入されることを防ぐためのセキュリティ実装方針を定めること。
ウ セキュリティ侵害につながる脆(ぜい)弱性が情報システムに存在することが発覚した場合に修正が施されること。
エ ソフトウェアのサポート期間又はサポート打ち切り計画に関する情報を提供すること。
2 受託者は、本業務において情報システムの設計・開発を行う場合には、以下の事項を含む措置を適切に実施すること。
(1)情報システムのセキュリティ要件の適切な実装ア 主体認証機能
イ アクセス制御機能ウ 権限管理機能
エ 識別コード・主体認証情報の付与管理
オ ログの取得・管理
カ 暗号化機能・電子署名機能キ 暗号化・電子署名に係る管理
ク ソフトウェアに関する脆(ぜい)弱性等対策
ケ 不正プログラム対策
コ サービス不能攻撃対策サ 標的型攻撃対策
シ アプリケーション・コンテンツのセキュリティ要件の策定ス 政府ドメイン名(xx.xx)の使用
セ 不正なウェブサイトへの誘導防止
ソ 農林水産省外のアプリケーション・コンテンツの告知
(2)情報セキュリティの観点に基づく試験の実施
ア ソフトウェアの開発及び試験を行う場合は、運用中の情報システムと分離して実施すること。
イ 試験項目及び試験方法を定め、これに基づいて試験を実施すること。ウ 試験の実施記録を作成し保存すること。
(3)情報システムの開発環境及び開発工程における情報セキュリティ対策
ア ソースコードが不正に変更されることを防止するため、ソースコードの変更管理、アクセス制御及びバックアップの取得について適切に管理すること。
イ 調達仕様書等に規定されたセキュリティ実装方針に従うこと。
ウ セキュリティ機能の適切な実装、セキュリティ実装方針に従った実装が行われていることを確認するために、情報システムの設計及びソースコードを精査する範囲及び方法を定め実施すること。
エ オフショア開発を実施する場合、試験データとして実データを使用しないこと。
3 受託者は、情報セキュリティの観点から調達仕様書で求める要件以外に必要となる措置がある場合には、担当部署に報告し、協議の上、対策を講ずること。
4 受託者は、本業務において情報システムの運用・保守を行う場合には、情報システムに実装されたセキュリティ機能が適切に運用されるよう、以下の事項を適切に実施すること。
(1)情報システムの運用環境に課せられるべき条件の整備
(2)情報システムのセキュリティ監視を行う場合の監視手順や連絡方法
(3)情報システムの保守における情報セキュリティ対策
(4)運用中の情報システムに脆(ぜい)弱性が存在することが判明した場合の情報セキュリティ対策
(5)利用するソフトウェアのサポート期限等の定期的な情報収集及び報告
(6)「デジタル・ガバメント推進標準ガイドライン」(デジタル社会推進会議幹事会決定。最終改定:2022 年 4 月 20 日)の「別紙3 調達仕様書に盛り込むべき情報資産管理標準シートの提出等に関する作業内容」に基づく情報資産管理を行うために必要な事項を記載した情
報資産管理標準シートの提出。
(7)情報システムの利用者に使用を求めるソフトウェアのバージョンのサポート終了時における、サポート継続中のバージョンでの動作検証及び当該バージョンで正常に動作させるための情報システムの改修等
5 受託者は、本業務において情報システムの運用・保守を行う場合には、運用保守段階へ移行する前に、移行手順及び移行環境に関して、以下を含む情報セキュリティ対策を行うこと。
(1)情報セキュリティに関わる運用保守体制の整備
(2)運用保守要員へのセキュリティ機能の利用方法等に関わる教育の実施
(3)情報セキュリティインシデント(可能性がある事象を含む。以下同じ。) を認知した際の対処方法の確立
6 受託者は、本業務において情報システムのセキュリティ監視を行う場合には、以下の内容を含む監視手順を定め、適切に監視運用すること。
(1)監視するイベントの種類
(2)監視体制
(3)監視状況の報告手順
(4)情報セキュリティインシデントの可能性がある事象を認知した場合の報告手順
(5)監視運用における情報の取扱い(機密性の確保)
7 受託者は、本業務において運用中の情報システムに脆( ぜい) 弱性が存在することを発見した場合には、速やかに担当部署に報告し、本業務における運用・保守要件に従って脆( ぜい)弱性の対策を行うこと。
8 受託者は、本業務において本業務の調達範囲外の情報システムを基盤とした情報システムを運用する場合は、運用管理する府省庁等との責任分界に応じた運用管理体制の下、基盤となる情報システムの運用管理規程等に従い、基盤全体の情報セキュリティ水準を低下させることのないよう、適切に情報システムを運用すること。
9 受託者は、本業務において情報システムの運用・保守を行う場合には、不正な行為及び意図しない情報システムへのアクセス等の事象が発生した際に追跡できるように、運用・保守に係る作業についての記録を管理すること。
10 受託者は、本業務において情報システムの更改又は廃棄を行う場合には、当該情報システムに保存されている情報について、以下の措置を適切に講ずること。
(1)情報システム更改時の情報の移行作業における情報セキュリティ対策
(2)情報システム廃棄時の不要な情報の抹消
Ⅴ クラウドサービス等外部サービスに関する情報セキュリティの確保
受託者は、本業務において、クラウドサービス等外部サービスを活用する場合には、 外部サービス毎に以下の措置を講じること。また、当該外部サービスの活用が本業務の再委託に該当する場合は、当該外部サービスに対して、Ⅸの措置を講じること。
1 外部サービス条件
(1)外部サービスを提供する情報処理設備が収容されているデータセンターについて、設置されている独立した地域(リージョン)が国内であること。
(2)外部サービスの契約に定める準拠法が国内法のみであること。
(3)クラウドサービスの場合、ペネトレーションテストや脆弱性診断等の第三者による検査の実施状況と受入に関する情報が開示されていること。
2 ISMAP クラウドサービスリストに登録されているクラウドサービスであること。
3 ISMAP クラウドサービスリストに登録されていないクラウドサービスの場合は、ISM AP の管理基準に従い、ガバナンス基準及びマネジメント基準における全ての基準、管理策基準における統制目標(3桁の番号で表現される項目)及び末尾にBが付された詳細管理策( 4桁の番号で表現される項目)を原則として全て満たしていること。
4 クラウドサービス以外の外部サービスの場合は、以下の措置を講じること。
(1)外部サービスの利用を通じて農林水産省が取り扱う情報の外部サービス提供者における目的外利用の禁止。
(2)外部サービスの提供に当たり、外部サービス提供者若しくはその従業員、再委託先又はその他の者によって、農林水産省の意図しない変更や機密情報の窃取等が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること(例えば、品質保証体制の責任者や各担当者がアクセス可能な範囲等を示した管理体制図、第三者機関による品質保証体制を証明する書類等を提出すること)。
(3)外部サービス提供者の資本関係・役員等の情報、外部サービスの提供が行われる施設等の場所、外部サービス提供に従事する者(契約社員、派遣社員等の雇用形態は問わず、本業務に従事する全ての要員)の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報を記載した資料を提出すること。
(4)情報セキュリティインシデントへの対処方法を確立していること。
(5)情報セキュリティ対策その他の契約の履行状況を確認できること。
(6)情報セキュリティ対策の履行が不十分な場合の対処方法を確立していること。
(7)外部サービス提供者との情報の受渡し方法や委託業務終了時の情報の廃棄方法等を含む情報の取扱手順について外部サービス提供者と合意し、定められた手順により情報を取り扱うこと。
Ⅵ Web システム/Web アプリケーションに関する情報セキュリティの確保
受託者は、本業務において、Web システム/Web アプリケーションを開発、利用または運用等を行う場合、別紙「Web システム/Web アプリケーションセキュリティ要件書 Ver.4.0」の各項目について、対応可、対応不可あるいは対象外等の対応方針を記載した資料を提出すること。
Ⅶ 機器等に関する情報セキュリティの確保
受託者は、本業務において、農林水産省にサーバ装置、端末、通信回線装置、複合機、特定用途機器、外部電磁的記録媒体、ソフトウェア等(以下「機器等」という。) を納品、賃貸借等をする場合には、以下の措置を講じること。
1 納入する機器等の製造工程において、農林水産省が意図しない変更が加えられないよう適切な措置がとられており、当該措置を継続的に実施していること。また、当該措置の実施状況を証明する資料を提出すること。
2 機器等に対して不正な変更があった場合に識別できる構成管理体制を確立していること。また、不正な変更が発見された場合に、農林水産省と受託者が連携して原因を調査・ 排除できる体制を整備していること。
3 機器等の設置時や保守時に、情報セキュリティの確保に必要なサポートを行うこと。
4 利用マニュアル・ガイダンスが適切に整備された機器等を採用すること。
5 脆(ぜい)弱性検査等のテストが実施されている機器等を採用し、そのテストの結果が確認できること。
6 ISO/IEC 15408 に基づく認証を取得している機器等を採用することが望ましい。なお、当該認証を取得している場合は、証明書等の写しを提出すること。(提出時点で有効期限が切れていないこと。)
7 情報システムを構成するソフトウェアについては、運用中にサポートが終了しないよう、サポート期間が十分に確保されたものを選定し、可能な限り最新版を採用するとともに、 ソフトウェアの種類、バージョン及びサポート期限について報告すること。なお、サポート期限が事前に公表されていない場合は、情報システムのライフサイクルを踏まえ、販売からの経過年数や後継ソフトウェアの有無等を考慮して選定すること。
8 機器等の納品時に、以下の事項を書面で報告すること。
(1)調達仕様書に指定されているセキュリティ要件の実装状況( セキュリティ要件に係る試験の実施手順及び結果)
(2)機器等に不正プログラムが混入していないこと(最新の定義ファイル等を適用した不正プ
ログラム対策ソフトウェア等によるスキャン結果、内部監査等により不正な変更が加えられていないことを確認した結果等)
Ⅷ 管轄裁判所及び準拠法
1 本業務に係る全ての契約( クラウドサービスを含む。以下同じ。) に関して訴訟の必要が生じた場合の専属的な合意管轄裁判所は、国内の裁判所とすること。
2 本業務に係る全ての契約の成立、効力、履行及び解釈に関する準拠法は、日本法とする
こと。
Ⅸ 業務の再委託における情報セキュリティの確保
1 受託者は、本業務の一部を再委託( 再委託先の事業者が受託した事業の一部を別の事業
者に委託する再々委託等、多段階の委託を含む。以下同じ。) する場合には、受託者が上記Ⅱの1、Ⅱの2及びⅢの1において提出することとしている資料等と同等の再委託先に関する資料等並びに再委託対象とする業務の範囲及び再委託の必要性を記載した申請書を提出し、農林水産省の許可を得ること。
2 受託者は、本業務に係る再委託先の行為について全責任を負うものとする。また、 再委託先に対して、受託者と同等の義務を負わせるものとし、再委託先との契約においてその旨を定めること。なお、情報セキュリティ監査については、受託者による再委託先への監査のほか、農林水産省又は農林水産省が選定した事業者による再委託先への立入調査等の監査を受け入れるものとすること。
3 受託者は、担当部署からの要求があった場合は、再委託先における情報セキュリティ対策の履行状況を報告すること。
Ⅹ 資料等の提出
上記Ⅱの1、Ⅱの2、Ⅲの1、Ⅴの1、Ⅴの2、Ⅶの1及びⅦの6において提出することとしている資料等については、最低価格落札方式にあっては入札公告及び入札説明書に定める証明書等の提出場所及び提出期限に従って提出し、総合評価落札方式にあっては提案書等の総合評価のための書類に添付して提出すること。
Ⅺ 変更手続
受託者は、上記Ⅱ、Ⅲ、Ⅴ、Ⅶ及びⅨに関して、農林水産省に提示した内容を変更しようとする場合には、変更する事項、理由等を記載した申請書を提出し、農林水産省の許可を得ること。
調達仕様書(別紙3)
Webシステム/Webアプリケーションセキュリティ要件書 Ver 4 0
項⽬ | ⾒出し | 要件 | 備考 | 必須可否 | |||
1 | 認証・認可 | 1.1 | ユーザー認証 | 1.1.1 | 特定のユーザーや管理者のみに表⽰・実⾏を許可すべき画⾯や機能、APIでは、ユーザー認証を実施すること | 特定のユーザーや管理者のみにアクセスを許可したいWebシステムでは、ユーザー認証を⾏う必要があります。また、ユーザー認証が成功した後にはアクセス権限を確認する必要があります。そのため、認証済みユーザーのみがアクセス可能な箇所を明⽰しておくことが望ましいでしょう。 リスクベース認証や⼆要素認証など認証をより強固にする仕組みもあります。不特定多数がアクセスする必要がない場合には、IPアドレスなどによるアクセス制限も効果があります。 OpenIDなどIdP(ID Provider)を利⽤する場合には信頼できるプロバイダであるかを確認する必要があります。IdPを使った認証・認可を⾏う場合も他の認証・認可に関する要件を満たすものを利⽤することが望ましいです。 | 必須 |
1.1.2 | 上記画⾯や機能に含まれる画像やファイルなどの個別のコンテンツ(⾮公開にすべきデータは直接URLで指定できる公開ディレクトリに配置し ない)では、ユーザー認証を実施すること | 必須 | |||||
1.1.3 | 多要素認証を実施すること | 多要素認証(Multi Factor Authentication: MFA)とは、例えばパスワードによる認証に加え、TOTP (Time-Based One-Time Password:時間 ベースのワンタイムパスワード)やデジタル証明書など⼆つ以上の要素を利⽤した認証⽅式です。⼿法については NIST Special Publication 800- 63B などを参照してください。 | 推奨 | ||||
1.2 | ユーザーの再認証 | 1.2.1 | 個⼈情報や機微情報を表⽰するページに遷移する際には、再認証を実施すること | ユーザー認証はセッションにおいて最初の⼀度だけ実施するのではなく、重要な情報や機能へアクセスする際には再認証を⾏うことが望ましいで しょう。 | 推奨 | ||
1.2.2 | パスワード変更や決済処理などの重要な機能を実⾏する際には、再認証 を実施すること | 推奨 | |||||
1.3 | パスワード | 1.3.1 | ユーザー⾃⾝が設定するパスワード⽂字列は最低 8⽂字以上であること | 認証を必要とするWebシステムの多くは、パスワードを本⼈確認の⼿段と して認証処理を⾏います。そのためパスワードを盗聴や盗難などから守ることが重要になります。 | 必須 | ||
1.3.2 | 登録可能なパスワード⽂字列の最⼤⽂字数は64⽂字以上であること | パスワードを処理する関数の中には最⼤⽂字数が少ないものもあるので注 意する必要があります。 | 必須 | ||||
1.3.3 | パスワード⽂字列として使⽤可能な⽂字種は制限しないこと | 任意の⼤⼩英字、数字、記号、空⽩、Unicode⽂字など任意の⽂字が利⽤ 可能である必要があります。 | 必須 | ||||
1.3.4 | パスワード⽂字列の⼊⼒フォームはinput type= password で指定すること | 基本的にinputタグのtype属性には「password」を指定しますが、パスワードを⼀時的に表⽰する可視化機能を実装する場合にはこの限りではあ りません。 | 必須 | ||||
1.3.5 | ユーザーが⼊⼒したパスワード⽂字列を次画⾯以降で表⽰しないこと (hiddenフィールドなどのHTMLソース内やメールも含む) | 必須 | |||||
項⽬ | ⾒出し | 要件 | 備考 | 必須可否 | |||
1.3.6 | パスワードを保存する際には、平⽂で保存せず、Webアプリケーションフレームワークなどが提供するハッシュ化とsaltを使⽤して保存する関数を使⽤すること | 関数が存在しない場合にはパスワードは「パスワード⽂字列+salt(ユーザー毎に異なるランダムな⽂字列)」をハッシュ化したものとsaltのみを保存する必要があります。(saltは20⽂字以上であることが望ましい) パスワード⽂字列のハッシュ化をさらに安全にする⼿法としてストレッチングがあります。 | 必須 | ||||
1.3.7 | ユーザー⾃⾝がパスワードを変更できる機能を⽤意すること | 必須 | |||||
1.3.8 | パスワードはユーザー⾃⾝に設定させること システムが仮パスワードを発⾏する場合はランダムな⽂字列を設定し、安全な経路でユーザーに通知すること | 推奨 | |||||
1.3.9 | パスワードの⼊⼒欄でペースト機能を禁⽌しないこと | ⻑いパスワードをユーザーが利⽤出来るようにするためにペースト機能を 禁⽌しないようにする必要があります。 | 推奨 | ||||
1.3.10 | パスワード強度チェッカーを実装すること | 使⽤する⽂字種や⽂字数を確認し、ユーザー⾃⾝にパスワードの強度を⽰せるようにします。またユーザーIDと同じ⽂字列や漏洩したパスワードなどのリストとの突合を⾏う必要があります。⼿法については NIST Special Publication 800-63B などを参照してください。 | 推奨 | ||||
1.4 | アカウントロック機能について | 1.4.1 | 認証時に無効なパスワードで10回試⾏があった場合、最低30分間はユーザーがロックアウトされた状態にすること | パスワードに対する総当たり攻撃や辞書攻撃などから守るためには、試⾏速度を遅らせるアカウントロック機能の実装が有効な⼿段になります。アカウントロックの試⾏回数、ロックアウト時間については、サービスのx xに応じて調整することが必要になります。 | 必須 | ||
1.4.2 | ロックアウトは⾃動解除を基本とし、⼿動での解除は管理者のみ実施可 能とすること | 推奨 | |||||
1.5 | パスワードリセット機能について | 1.5.1 | パスワードリセットを実⾏する際にはユーザー本⼈しか受け取れない連絡先(あらかじめ登録しているメールアドレス、電話番号など)にワンタイムトークンを含むURLなどの再設定⽅法を通知すること | 連絡先については、事前に受け取り確認をしておくことでより安全性を⾼めることができます。 使⽤されたワンタイムトークンは破棄し、有効期限を12時間以内とし必 要最低限に設定してください。 | 必須 | ||
1.5.2 | パスワードはユーザー⾃⾝に再設定させること | 必須 | |||||
1.6 | アクセス制御について | 1.6.1 | Web ページや機能、データをアクセス制御(認可制御)する際には認証情報・状態を元に権限があるかどうかを判別すること | 認証により何らかの制限を⾏う場合には、利⽤しようとしている情報や機能へのアクセス(読み込み・書き込み・実⾏など)権限を確認することでアクセス制御を⾏うことが必要になります。 画像やファイルなどのコンテンツ、APIなどの機能に対しても、全て個別にアクセス権限を設定、確認する必要があります。 これらはアクセス権限の⼀覧表に基づいて⾏います。 CDNなどを利⽤してコンテンツを配置するなどアクセス制御を⾏うことが困難な場合、予測が困難なURLを利⽤することでアクセスされにくくする ⽅法もあります。 | 必須 | ||
項⽬ | ⾒出し | 要件 | 備考 | 必須可否 | |||
1.6.2 | 公開ディレクトリには公開を前提としたファイルのみ配置すること | 公開ディレクトリに配置したファイルは、URLを直接指定することでアクセスされる可能性があります。そのため、機微情報や設定ファイルなどの公開する必要がないファイルは、公開ディレクトリ以外に配置する必要が あります。 | 必須 | ||||
1.7 | アカウントの無効化機能について | 1.7.1 | 管理者がアカウントの有効・無効を設定できること | 不正にアカウントを利⽤されていた場合に、アカウントを無効化すること で被害を軽減することができます。 | 推奨 | ||
2 | セッション管理 | 2.1 | セッションの破棄について | 2.1.1 | 認証済みのセッションが⼀定時間以上アイドル状態にあるときはセッ ションタイムアウトとし、サーバー側のセッションを破棄しログアウトすること | 認証を必要とするWebシステムの多くは、認証状態の管理にセッションIDを使ったセッション管理を⾏います。認証済みの状態にあるセッションを不正に利⽤されないためには、使われなくなったセッションを破棄する必要があります。セッションタイムアウトの時間については、サービスの内容やユーザー利便性に応じて設定することが必要になります。また、 NIST Special Publication 800-63B などを参照してください。 | 必須 |
2.1.2 | ログアウト機能を⽤意し、ログアウト実⾏時にはサーバー側のセッショ ンを破棄すること | ログアウト機能の実⾏後にその成否をユーザーが確認できることが望まし い。 | 必須 | ||||
2.2 | セッションIDについて | 2.2.1 | Webアプリケーションフレームワークなどが提供するセッション管理機能を使⽤すること | セッションIDを⽤いて認証状態を管理する場合、セッションIDの盗聴や推測、攻撃者が指定したセッションIDを使⽤させられる攻撃などから守る必要があります。 また、セッションIDは原則としてcookieにのみ格納すべきです。 | 必須 | ||
2.2.2 | セッションIDは認証成功後に発⾏すること 認証前にセッションIDを発⾏する場合は、認証成功直後に新たなセッションIDを発⾏すること | 必須 | |||||
2.2.3 | ログイン前に機微情報をセッションに格納する時点でセッションIDを発 ⾏または再⽣成すること | 必須 | |||||
2.2.4 | 認証済みユーザーの特定はセッションに格納した情報を元に⾏うこと | 必須 | |||||
2.3 | CSRF(クロスサイトリクエストフォージェリー)対策の実施について | 2.3.1 | ユーザーにとって重要な処理を⾏う箇所では、ユーザー本⼈の意図したリクエストであることを確認できるようにすること | xxユーザー以外の意図により操作されては困る処理を⾏う箇所では、 フォーム⽣成の際に他者が推測困難なランダムな値(トークン)を hiddenフィールドやcookie以外のヘッダーフィールド(X-CSRF-TOKENなど)に埋め込み、リクエストをPOSTメソッドで送信します。フォームデータを処理する際にトークンが正しいことを確認することで、xxユーザーの意図したリクエストであることを確認することができます。 また、別の⽅法としてパスワード再⼊⼒による再認証を求める⽅法もあります。 cookieのSameSite属性を適切に使うことによって、CSRFのリスクを低減する効果があります。SameSite属性は⼀部の状況においては効果がないこともあるため、トークンによる確認が推奨されます。 | 必須 | ||
3 | ⼊⼒処理 | 3.1 | パラメーターについて | 3.1.1 | URLにユーザーID やパスワードなどの機微情報を格納しないこと | URLは、リファラー情報などにより外部に漏えいする可能性があります。そのため URLには秘密にすべき情報は格納しないようにする必要 があります。 | 必須 |
項⽬ | ⾒出し | 要件 | 備考 | 必須可否 | |||
3.1.2 | パラメーター(クエリーストリング、エンティティボディ、cookieなどクライアントから受け渡される値)にパス名を含めないこと | ファイル操作を⾏う機能などにおいて、URL パラメーターやフォームで指定した値でパス名を指定できるようにした場合、想定して いないファイルにアクセスされてしまうなどの不正な操作を実⾏されて し まう可能性があります。 | 必須 | ||||
3.1.3 | パラメーター要件に基づいて、⼊⼒値の⽂字種や⽂字列⻑の検証を⾏うこと | 各パラメーターは、機能要件に基づいて⽂字種・⽂字列⻑・形式を定義する必要があります。⼊⼒値に想定している⽂字種や⽂字列⻑以外の値の⼊ ⼒を許してしまう場合、不正な操作を実⾏されてしまう可能性があります。サーバー側でパラメーターを受け取る場合、クライアント側て ゙の⼊⼒値検証の有無に関わらず、⼊⼒値の検証はサーバー側で実施する必要があります。 | 必須 | ||||
3.2 | ファイルアップロードについて | 3.2.1 | ⼊⼒値としてファイルを受け付ける場合には、拡張⼦やファイルフォーマットなどの検証を⾏うこと | ファイルのアップロード機能を利⽤した不正な実⾏を防ぐ必要がありま す。画像ファイルを扱う場合には、ヘッダー領域を不正に加⼯したファイ ルにも注意が必要です。 | 必須 | ||
3.2.2 | アップロード可能なファイルサイズを制限すること | 圧縮ファイルを展開する場合には、解凍後のファイルサイズや、ファイルパスやシンボリックリンクを含む場合のファイルの上書きにも注意が必要 です。 | 必須 | ||||
3.3 | XMLを使⽤する際の処理について | 3.3.1 | XMLを読み込む際は、外部参照を無効にすること | ⼿法についてはXML External Entity Prevention Cheat Sheetなどを参照してください。 xxxxx://xxxxxxxxxxxxxxxx.xxxxx.xxx/xxxxxxxxxxx/XXX_Xxxxxxxx_Xxx ity_Prevention_Cheat_Sheet.html | 必須 | ||
3.4 | デシリアライズについて | 3.4.1 | 信頼できないデータ供給元からのシリアライズされたオブジェクトを受け⼊れないこと | デシリアライズする場合は、シリアライズしたオブジェクトにデジタル署名などを付与し、信頼できる供給元が発⾏したデータであるかを検証して ください。 | 必須 | ||
3.5 | 外部リソースへのリクエスト送信について | 3.5.1 | 他システムに接続や通信を⾏う場合は、外部からの⼊⼒によって接続先を動的に決定しないこと | 外部から不正なURLやIPアドレスなどが挿⼊されると、SSRF(Server- Side Request Forgery)の脆弱性になる可能性があります。外部からの⼊ ⼒によって接続先を指定せざるを得ない場合は、ホワイトリストを基に⼊ ⼒値の検証を実施するとともに、アプリケーションレイヤーだけではなくネットワークレイヤーでのアクセス制御も併⽤する必要があります。 | 推奨 | ||
4 | 出⼒処理 | 4.1 | HTMLを⽣成する際の処理について | 4.1.1 | HTMLとして特殊な意味を持つ⽂字(< > &)を⽂字参照によりエスケープすること | 外部からの⼊⼒により不正なHTMLタグなどが挿⼊されてしまう可能性があります。「<」→「<」や「&」→「&」、「 」→「"」のようにエスケープを⾏う必要があります。スクリプトによりクライアント側でHTMLを⽣成する場合も、同等の処理が必要です。実装の際にはこれらを⾃動的に実⾏するフレームワークやライブラリを使⽤することが望ましいでしょう。また、その他にもスクリプトの埋め込みの原因となるものを作らないようにする必要があります。 XMLを⽣成する場合も同様にエスケープが必要です。 | 必須 |
4.1.2 | 外部から⼊⼒したURLを出⼒するときは「http://」または「https://」 で始まるもののみを許可すること | 必須 | |||||
項⽬ | ⾒出し | 要件 | 備考 | 必須可否 | |||
4.1.3 | <script>...</script>要素の内容やイベントハンドラ(onmouseover=など)を動的に⽣成しないようにすること | <script>...</script>要素の内容やイベントハンドラは原則として動的に ⽣成しないようにすべきですが、jQueryなどのAjaxライブラリを使⽤する際はその限りではありません。ライブラリについては、アップデート状況などを調べて信頼できるものを選択するようにしましょう。 | 必須 | ||||
4.1.4 | 任意のスタイルシートを外部サイトから取り込めないようにすること | 必須 | |||||
4.1.5 | HTMLタグの属性値を「 」で囲うこと | HTMLタグ中のname= value で記される値(value)にユーザーの⼊⼒値を使う場合、「 」で囲わない場合、不正な属性値を追加されてしまう可能 性があります。 | 必須 | ||||
4.1.6 | CSSを動的に⽣成しないこと | 外部からの⼊⼒により不正なCSSが挿⼊されると、ブラウザに表⽰される 画⾯が変更されたり、スクリプトが埋め込まれる可能性があります。 | 必須 | ||||
4.2 | JSONを⽣成する際の処理について | 4.2.1 | ⽂字列連結でJSON⽂字列を⽣成せず、適切なライブラリを⽤いてオブ ジェクトをJSONに変換すること | 適切なライブラリがない場合は、JSONとして特殊な意味を持つ⽂字( \ , : { } [ ] )をUnicodeエスケープする必要があります。 | 必須 | ||
4.3 | HTTPレスポンスヘッダーについて | 4.3.1 | HTTPレスポンスヘッダーのContent-Typeを適切に指定すること | ⼀部のブラウザではコンテンツの⽂字コードやメディアタイプを誤認識させることで不正な操作が⾏える可能性があります。これを防ぐためには、 HTTPレスポンスヘッダーを「Content-Type: text/html; charset=utf- 8」のように、コンテンツの内容に応じたメディアタイプと⽂字コードを指定する必要があります。 | 必須 | ||
4.3.2 | HTTPレスポンスヘッダーフィールドの⽣成時に改⾏コードが⼊らないようにすること | HTTPヘッダーフィールドの⽣成時にユーザーが指定した値を挿⼊できる場合、改⾏コードを⼊⼒することで不正なHTTPヘッダーやコンテンツを挿⼊されてしまう可能性があります。これを防ぐためには、HTTPヘッ ダーフィールドを⽣成する専⽤のライブラリなどを使うようにすることが望ましいでしょう。 | 必須 | ||||
4.4 | その他の出⼒処理について | 4.4.1 | SQL⽂を組み⽴てる際に静的プレースホルダを使⽤すること | SQL⽂の組み⽴て時に不正なSQL⽂を挿⼊されることで、SQLインジェクションを実⾏されてしまう可能性があります。これを防ぐためにはSQL⽂を動的に⽣成せず、プレースホルダを使⽤してSQL⽂を組み⽴てるようにする必要があります。 静的プレースホルダとは、JIS/ISOの規格で「準備された⽂(Prepared Statement)」と規定されているものです。 | 必須 | ||
4.4.2 | プログラム上でOSコマンドやアプリケーションなどのコマンド、xxx、eval()などによるコマンドの実⾏を呼び出して使⽤しないこと | コマンド実⾏時にユーザーが指定した値を挿⼊できる場合、外部から任意のコマンドを実⾏されてしまう可能性があります。コマンドを呼び出して 使⽤しないことが望ましいでしょう。 | 必須 | ||||
4.4.3 | リダイレクタを使⽤する場合には特定のURLのみに遷移できるようにすること | リダイレクタのパラメーターに任意のURLを指定できる場合(オープンリダイレクタ)、攻撃者が指定した悪意のあるURLなどに遷移させられる可 能性があります。 | 必須 | ||||
4.4.4 | メールヘッダーフィールドの⽣成時に改⾏コードが⼊らないようにすること | メールの送信処理にユーザーが指定した値を挿⼊できる場合、不正なコマンドなどを挿⼊されてしまう可能性があります。これを防ぐためには、不正な改⾏コードを使⽤できないメール送信専⽤のライブラリなどを使うよ うにすることが望ましいでしょう。 | 必須 | ||||
項⽬ | ⾒出し | 要件 | 備考 | 必須可否 | |||
4.4.5 | サーバ側のテンプレートエンジンを使⽤する際に、テンプレートの変更や作成に外部から受け渡される値を使⽤しないこと | サーバ側のテンプレートエンジンを使⽤してテンプレートを組み⽴てる際に不正なテンプレートの構⽂を挿⼊されることで、任意のコードを実⾏される可能性があります。 外部から渡される値をテンプレートの組み⽴てに使⽤せず、レンダリングを⾏う際のデータとして使⽤する必要があります。 また、レンダリング時にはクロスサイトスクリプティングの脆弱性が存在しないか確認してください。 | 必須 | ||||
5 | HTTPS | 5.1 | HTTPSについて | 5.1.1 | Webサイトを全てHTTPSで保護すること | 適切にHTTPSを使うことで通信の盗聴・改ざん・なりすましから情報を守ることができます。次のような重要な情報を扱う画⾯や機能では HTTPSで通信を⾏う必要があります。 ・⼊⼒フォームのある画⾯ ・⼊⼒フォームデータの送信先 ・重要情報が記載されている画⾯ ・セッションIDを送受信する画⾯ HTTPSの画⾯内で読み込む画像やスクリプトなどのコンテンツについてもHTTPSで保護する必要があります。 | 必須 |
5.1.2 | サーバー証明書はアクセス時に警告が出ないものを使⽤すること | HTTPSで提供されているWebサイトにアクセスした場合、Webブラウザから何らかの警告がでるということは、適切にHTTPSが運⽤されておらず盗聴・改ざん・なりすましから守られていません。適切なサーバー証明 書を使⽤する必要があります。 | 必須 | ||||
5.1.3 | TLS1.2以上のみを使⽤すること | SSL2.0/3.0、TLS1.0/1.1には脆弱性があるため、無効化する必要があ ります。使⽤する暗号スイートは、7.2.1を参照してください。 | 必須 | ||||
5.1.4 | レスポンスヘッダーにStrict-Transport-Securityを指定すること | Hypertext Strict Transport Security(HSTS)を指定すると、ブラウザが HTTPSでアクセスするよう強制できます。 | 必須 | ||||
6 | cookie | 6.1 | cookieの属性について | 6.1.1 | Secure属性を付けること | Secure属性を付けることで、xxxx://xxxxxxxxxxxxxxxxxxx しないようにできます。特に認証状態に紐付けられたセッションIDを格納する場合には、Secure属性を付けることが必要です。 | 必須 |
6.1.2 | HttpOnly属性を付けること | HttpOnly属性を付けることで、クライアント側のスクリプトからcookie へのアクセスを制限することができます。 | 必須 | ||||
6.1.3 | Domain属性を指定しないこと | セッションフィクセイションなどの攻撃に悪⽤されることがあるため、 Domain属性は特に必要がない限り指定しないことが望ましいでしょう。 | 推奨 | ||||
7 | その他 | 7.1 | エラーメッセージについて | 7.1.1 | エラーメッセージに詳細な内容を表⽰しないこと | ミドルウェアやデータベースのシステムが出⼒するエラーには、攻撃のヒントになる情報が含まれているため、エラーメッセージの詳細な内容はエ ラーログなどに出⼒するべきです。 | 必須 |
項⽬ | ⾒出し | 要件 | 備考 | 必須可否 | |||
7.2 | 暗号アルゴリズムについて | 7.2.1 | ハッシュ関数、暗号アルゴリズムは『電⼦政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)』に記載のものを使⽤すること | 広く使われているハッシュ関数、疑似乱数⽣成系、暗号アルゴリズムの中には安全でないものもあります。安全なものを使⽤するためには、『電⼦政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)』や『TLS暗号設定ガイドライン』に記載されたものを使⽤する必要があります。 | 必須 | ||
7.3 | 乱数について | 7.3.1 | 鍵や秘密情報などに使⽤する乱数的性質を持つ値を必要とする場合には、暗号学的な強度を持った疑似乱数⽣成系を使⽤すること | 鍵や秘密情報に予測可能な乱数を⽤いると、過去に⽣成した乱数値から⽣成する乱数値が予測される可能性があるため、ハッシュ関数などを⽤いて ⽣成された暗号学的な強度を持った疑似乱数⽣成系を使⽤する必要があり ます。 | 必須 | ||
7.4 | 基盤ソフトウェアについて | 7.4.1 | 基盤ソフトウェアはアプリケーションの稼働年限以上のものを選定すること | 脆弱性が発⾒された場合、修正プログラムを適⽤しないと悪⽤される可能性があります。そのため、⾔語やミドルウェア、ソフトウェアの部品などの基盤ソフトウェアは稼働期間またはサポート期間がアプリケーションの稼働期間以上のものを利⽤する必要があります。もしアプリケーションの稼働期間中に基盤ソフトウェアの保守期間が終了した場合、危険な脆弱性が残されたままになる可能性があります。 | 必須 | ||
7.4.2 | 既知の脆弱性のないOSやミドルウェア、ライブラリやフレームワーク、パッケージなどのコンポーネントを使⽤すること | 利⽤コンポーネントにOSSが含まれる場合は、SCA(ソフトウェアコンポジション解析)ツールを導⼊し、依存関係を包括的かつ正確に把握して対 策が⾏えることが望ましいでしょう。 | 必須 | ||||
7.5 | ログの記録について | 7.5.1 | 重要な処理が⾏われたらログを記録すること | ログは、情報漏えいや不正アクセスなどが発⽣した際の検知や調査に役⽴つ可能性があります。認証やアカウント情報の変更などの重要な処理が実 ⾏された場合には、その処理の内容やクライアントのIPアドレスなどをログとして記録することが望ましいでしょう。ログに機微情報が含まれる場合にはログ⾃体の取り扱いにも注意が必要になります。 | 必須 | ||
7.6 | ユーザーへの通知について | 7.6.1 | 重要な処理が⾏われたらユーザーに通知すること | 重要な処理(パスワードの変更など、ユーザーにとって重要で取り消しが困難な処理)が⾏われたことをユーザーに通知することによって異常を早 期に発⾒できる可能性があります。 | 推奨 | ||
7.7 | Access-Control-Allow-Originヘッダーについて | 7.7.1 | Access-Control-Allow-Originヘッダーを指定する場合は、動的に⽣成せず固定値を使⽤すること | クロスオリジンでXMLHttpRequest (XHR)を使う場合のみこのヘッダーが必要です。不要な場合は指定する必要はありませんし、指定する場合も 特定のオリジンのみを指定する事が望ましいです。 | 必須 | ||
7.8 | クリックジャッキング対策について | 7.8.1 | レスポンスヘッダーにX-Frame-OptionsとContent-Security-Policyヘッダーのframe-ancestors ディレクティブを指定すること | クリックジャッキング攻撃に悪⽤されることがあるため、X-Frame- OptionsヘッダーフィールドにDENYまたはSAMEORIGINを指定する必要があります。 Content-Security-Policyヘッダーフィールドに frame-ancestors noneまたは self を指定する必要があります。 X-Frame-Options ヘッダーは主要ブラウザーでサポートされていますが標準化されていません。CSP レベル 2 仕様で frame-ancestors ディレクティブが策定され、X-Frame-Options は⾮推奨とされました。 | 必須 | ||
項⽬ | ⾒出し | 要件 | 備考 | 必須可否 | |||
7.9 | キャッシュ制御について | 7.9.1 | 個⼈情報や機微情報を表⽰するページがキャッシュされないよう Cache- Control: no-store を指定すること | 個⼈情報や機密情報が含まれたページはCDNやロードバランサー、ブラウザなどのキャッシュに残ってしまうことで、権限のないユーザーが閲覧し てしまう可能性があるためキャッシュ制御を適切に⾏う必要があります。 | 必須 | ||
7.10 | ブラウザのセキュリティ設定について | 7.10.1 | ユーザーに対して、ブラウザのセキュリティ設定の変更をさせるような 指⽰をしないこと | ユーザーのWebブラウザのセキュリティ設定などを変更した場合や、認証 局の証明書をインストールさせる操作は、他のサイトにも影響します。 | 必須 | ||
7.11 | ブラウザのセキュリティ警告について | 7.11.1 | ユーザーに対して、xxxxの出すセキュリティ警告を無視させるような指⽰をしないこと | xxxxの出す警告を通常利⽤においても無視させるよう指⽰をしていると、悪意のあるサイトで同様の指⽰をされた場合もそのような操作をして しまう可能性が⾼xxます。 | 必須 | ||
7.12 | WebSocketについて | 7.12.1 | Originヘッダーの値が正しいリクエスト送信元であることが確認できた場合にのみ処理を実施すること | WebSocketにはSOP (Same Origin Policy)という仕組みが存在しないため、Cross-Site WebSocket Hijacking(CSWSH)対策のためにOriginヘッ ダーを確認する必要があります。 | 必須 | ||
7.13 | HTMLについて | 7.13.1 | html開始タグの前に<!DOCTYPE html>を宣⾔すること | DOCTYPEで⽂書タイプをHTMLと明⽰的に宣⾔することでCSSなど別 フォーマットとして解釈されることを防ぎます。 | 必須 | ||
7.13.2 | CSSファイルやJavaScriptファイルをlinkタグで指定する場合は、絶対パ スを使⽤すること | linkタグを使⽤してCSSファイルやJavaScriptファイルを相対パス指定し た場合にRPO (Relative Path Overwrite) が起きる可能性があります。 | 必須 | ||||
8 | 提出物 | 8.1 | 提出物について | 8.1.1 | サイトマップを⽤意すること | 認証や再認証、CSRF対策が必要な箇所、アクセス制御が必要なデータを明確にするためには、Webサイト全体の構成を把握し、扱うデータを把握する必要があります。そのためには上記の資料を⽤意することが望ましい でしょう。 | 必須 |
8.1.2 | 画⾯遷移図を⽤意すること | 必須 | |||||
8.1.3 | アクセス権限⼀覧表を⽤意すること | 誰にどの機能の利⽤を許可するかまとめた⼀覧表を作成することが望まし いでしょう。 | 必須 | ||||
8.1.4 | コンポーネント⼀覧を⽤意すること | 依存しているライブラリやフレームワーク、パッケージなどのコンポーネントに脆弱性が存在する場合がありますので、依存しているコンポーネン トを把握しておく必要があります。 | 推奨 | ||||
8.1.5 | 上記のセキュリティ要件についてテストした結果報告書を⽤意すること | ⾃社で脆弱性診断を実施する場合には「脆弱性診断⼠スキルマッププロ ジェクト」が公開している「Webアプリケーション脆弱性診断ガイドライ ン」などを参照してください。 | 推奨 | ||||
調達仕様書(別紙4)
閲覧申込書
申込日: 令和 年 月 日
1 会 社 名:
2 住 所:
3 担当者名:
4 電話番号:
5 E-mail アドレス:
6 閲覧日時: 令和 年 月 日 時
7 閲覧者氏名 1:
(5名まで)
2:
3:
4:
5:
調達仕様書(別紙5)
林野庁経営企画課課長 宛
守秘義務に関する誓約書
「令和5年度 次期国有xx情報管理システムの構築に係る要件定義書作成等業務」に係る資料閲覧に当たり、下記の事項を厳守することを誓約します。
記
1 農林水産省の情報セキュリティに関する規程等を遵守し、農林水産省が開示した情報(公知の情報を除く。)を本調達の目的以外に使用又は第三者に開示若しくは漏えいすることのないよう、必要な措置を講じます。
2 閲覧資料については、複製及び撮影を行いません。
3 本業務に係る調達の期間中及び終了後に関わらず、守秘義務を負います。
4 上記1~3に反して、情報を本調達の目的以外に使用又は第三者に開示若しくは漏えいした場合、法的な責任を負うものであることを確認し、これにより農林水産省が被った一切の損害を賠償します。また、その際には秘密保持に関する農林水産省の監査を受けることとし、誠実に対応します。
令和 | 年 | 月 | 日 |
住 | 所 | ||
会 | 社 名 |
代表者名