用語 概要 医薬品副作用・安全対策支援統合システム(「統合システム」) 市販後及び治験中の医薬品副作用情報の受付、蓄積、検索、解析等の支援を行うシステム。また、医薬品副作用報告等の解析結 果、データマイニング手法による統計学的評価、企業面談時の情報を統合することによる、安全対策業務の支援を行う。 EDI 電子情報交換 ICH 日本、米国、EU ...
令和4年2月
独立行政法人 医薬品医療機器総合機構
目次
1 調達案件の概要に関する事項 1
(1) 調達件名 1
(2) 用語の定義 1
(3) 調達の背景 1
(4) 目的及び期待する効果 2
(5) 業務・情報システムの概要 2
(6) 契約条件 4
(7) 作業スケジュール 4
2 調達案件及び関連調達案件の調達単位、調達の方式等に関する事項 4
(1) 調達案件及び関連する調達案件の調達単位、調達の方式、実施時期 4
(2) 調達案件間の入札制限 5
3 作業の実施内容に関する事項 5
(1) 作業の内容 5
(2) 成果物の範囲、納品期日等 7
4 満たすべき要件に関する事項 10
5 作業の実施体制・方法に関する事項 10
(1) 作業実施体制 10
(2) 管理体制 11
(3) 作業要員に求める資格等の要件 11
(4) 作業場所 11
(5) 作業の管理に関する要領 12
6 作業の実施に当たっての遵守事項 12
(1) 基本事項 12
(2) 機密保持、資料の取扱い 13
(3) 遵守する法令等 13
7 成果物の取扱いに関する事項 14
(1) 知的財産権の帰属 14
(2) 契約不適合責任 15
(3) 検収 15
8 入札参加資格に関する事項 16
(1) 入札参加要件 16
(2) 入札制限 16
9 情報セキュリティ管理 16
(1) 情報セキュリティ対策の実施 16
(2) 情報セキュリティ監査の実施 17
10 再委託に関する事項 18
(1) 再委託の制限及び再委託を認める場合の条件 18
(2) 承認手続 19
(3) 再委託先の契約違反 19
11 その他特記事項 20
(1) 環境への配慮 20
(2) その他 20
12 附属文書 20
(1) 要件定義書 20
(2) 事業者が閲覧できる資料一覧 20
(3) 閲覧要領 20
13 窓口連絡先 21
1 調達案件の概要に関する事項
(1) 調達件名
予防接種後副反応疑い報告の電子的報告システムの改修業務
(2) 用語の定義
表 1.1 用語の定義
用語 | 概要 |
医薬品副作用・安全対策支援統合システム (「統合システム」) | 市販後及び治験中の医薬品副作用情報の受付、蓄積、検索、解析等の支援を行うシステム。また、医薬品副作用報告等の解析結 果、データマイニング手法による統計学的評価、企業面談時の情報を統合することによる、安全対策業務の支援を行う。 |
EDI | 電子情報交換 |
ICH | 日本、米国、EU それぞれの医薬品規制当局と産業界代表を中心に構成され、医薬品の規制に関する基準を国際的に統一することを目的に、医薬品の品質、有効性、安全性に関するガイドラインを作成している。 |
E2B(R3) | ICH におけるトピックの一つ。個別症例副作用報告のためのデータ項目について日xx三極の共通仕様を定めている。 |
(3) 調達の背景
独立行政法人医薬品医療機器総合機構(以下「PMDA」という。)の中心業務は、審査関連業務、安全対策業務、健康被害救済業務となるが、そのうちの安全対策業務では、医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(以下「医薬品医療機器法」という。)第 68 条の 10 第1項及び第2項に基づく副作用・感染症の報告等を収集管理し、副作用等に対する安全対策に役立てるため、医薬品等の副作用等報告の受付、情報蓄積、検索、解析、評価記録等を支援する副作用等情報管理システム(以下
「副作用システム」という。)及び関連ツールを整備し、運用を行っているところである。また、医薬品安全対策支援システム(以下「支援システム」という。)では、副作用報告等の解析結果、データマイニング手法による統計学的評価、企業面談時の情報を統合することによる安全対策業務の支援を行っている。
現在は、両システムを統合し、安全対策業務の支援を行う医薬品副作用・安全対策支援統合システム(以下「統合システム」という。)を整備し、運用を行っているところである。
医薬品等の副作用等報告のうち、安全性情報報告については、Web、Fax、電子メール又は郵送により、予防接種後副反応疑い報告(以下「副反応疑い報告」という。)については、Web 又は Fax により報告を受け付けている。Fax、電子メール及び郵送による報
告については、PMDA 職員が報告内容を元に E2B(R3)で定められたデータ項目に基づいた電子的報告を作成し、副作用システムに登録している。Web による報告については、医療従事者が直接 Web による入力を行い、報告された内容を元に PMDA 職員が必要なコーディングを行い、副作用システムに登録をしている。Web による報告を可能にするた め、医薬品安全性情報報告及び副反応疑い報告受付サイト(以下「報告受付サイト」という。)及び受付サイト管理・閲覧システム(以下「管理・閲覧システム」という。)を統合システム上に構築し運用している。
副反応疑い報告においては特定の副反応についてそれぞれの調査票を作成して報告書と共に PMDA へ報告することを医療従事者に求めている。今般、新型コロナウイルス感染症に係るワクチンに関する報告基準として新たに2つの副反応が追加され、それぞれの調査票が導入された。
本調達においては、副反応疑い報告における調査票入力機能の追加及び改修を行うものである。
(4) 目的及び期待する効果
副反応疑い報告においては特定の副反応についてはそれぞれの調査票の作成を求めている。今般、新たに2つの副反応について調査票が導入されたため、報告受付サイトでの入力を可能にするものである。これにより、報告者においては電子報告の際に別途 FAX 等での送付が不要となるとともに、職員においては問合せ対応等に要する時間を削減することもでき、業務効率化に資することができる。
(5) 業務・情報システムの概要
統合システムでは医薬品の製造販売業者による市販後副作用等報告及び治験副作用等報告について、不具合報告については、医療機器及び再生医療等製品の製造販売業者による市販後副作用等報告について、電子的報告、CD 等報告、又は紙報告等のいずれかの方法による個別症例報告の受付を行っている。電子的報告には、EDI ツールを用いて AS1 規格(SMTP)又は AS2 規格(HTTP)により報告する方法並びに受付サイトにてアップロードにより報告する方法がある。
医薬品安全性情報報告については、Web、Fax、電子メール又は郵送により、副反応疑い報告は Web、Fax により受け付け、PMDA 職員が電子的報告を作成して受付サイトへのアップロードにより統合システムへの登録を行っている。医薬品安全性情報報告及び副反応疑い報告については、必要に応じて PMDA で調査を行い、その結果に基づき、報告内容の更新を行っている。
なお、医薬品安全性情報報告及び副反応疑い報告については、その受付状況、調査状況を進捗管理システムで管理している。
患者からの副作用報告については、情報提供システム上に構築された患者副作用報告システムで収集された報告データを連携した患者副作用報告管理システムによりコーディング等を実施し、その結果を基に、PMDA 職員が電子的報告を作成してアップロードにより登録を行っている。
これらの報告で収集された副作用報告について、症例毎に評価を行うとともに、医薬品副作用報告等の解析結果、データマイニング手法による統計学的評価、企業面談時の情報を統合して安全対策業務の支援を行っている。
製造販売業者または医療機関から報告された医薬品の副作用が疑われる国内の症例報告に関する情報については、月次処理によりラインリスト形式のデータを生成し、情報提供システムに連携して公開し、同時に医薬品副作用データベースを生成し、情報提供システムに掲載して情報提供を行っている。
統合システム、不具合システム及び関連システムの役割について図1.1に示す。図 1.1 統合システム・不具合システム関連図
本調達は、図1.1に示した「報告受付サイト」及び「管理・閲覧システム」に対して副反応疑い報告における調査票入力機能を追加を行うものである。
(6) 契約条件
受注者は、落札後に以下の契約条件にて PMDA と協議の上、契約を行うこと。
① 契約期間
契約締結日から令和4年 10 月 31 日まで
② 契約形態
請負契約形態とし、検収や支払方法等は契約書にて定める。
(7) 作業スケジュール
本業務に係る想定スケジュールの概要を図1.2に示す。図1.2はあくまで想定のスケジュールであり、詳細な実施スケジュールは受注者が検討の上、実施計画書に記載すること。
図 1.2 スケジュール概要
2 調達案件及び関連調達案件の調達単位、調達の方式等に関する事項
(1) 調達案件及び関連する調達案件の調達単位、調達の方式、実施時期
関連する調達案件の調達単位、調達の方式、実施時期は表2.1のとおりである。 表 2.1 関連する調達案件の調達単位、調達の方式、実施時期等(既存契約)
項番 | 調達案件名 | 調達の方式 | 実施時期 | 補足 |
1 | 医薬品副作用・安全対策 | 一般競争入札 | 平成 31 年4月1日 | xxエレクトロ |
支援統合システム及び医 | から令和7年3月 | ニクス株式会社 | ||
療機器不具合情報管理シ | 31 日 | |||
ステムシステムの機器更 | ||||
改及び賃貸借業務 |
項番 | 調達案件名 | 調達の方式 | 実施時期 | 補足 |
2 | 医療機関報告及び予防接種後副反応疑い報告に係る電子的報告システム開発業務 | 一般競争入札 | 令和2年5月 26 日から令和3年3月 31 日 | 大興電子通信株式会社 |
3 | 医療機器等安全性情報報告制度の電子化業務 | 一般競争入札 | 令和3年7月 30 日から令和4年3月 31 日 | 大興電子通信株式会社 |
(2) 調達案件間の入札制限
なし
3 作業の実施内容に関する事項
(1) 作業の内容
① 設計・開発
ア 設計・開発実施計画書等の作成
ア-1 受注者は、PMDA の指示に基づき、設計・開発実施計画書及び設計・開発実施要領の案を作成し、PMDA の承認を受けること。設計・開発実施計画書にはプロジェクトスコープ、体制表、作業分担、スケジュール、WBS、工程完了基準、成果物、前提条件、制約事項を記載すること。設計・開発実施要領の案には、コミュニケーション管理要領(会議体、議事録作成ルール、連絡方法など)、進捗管理要領・リスク管理要領(報告頻度、報告様式、管理方法)、課題管理要領・変更管理要領(様式、承認フロー)、構成管理要領、文書管理要領(受領資料の管理方法)、セキュリティ管理要領(セキュリティ対策、履行状況の報告)、品質管理要領(レビュー計画、品質目標、工程完了基準)を記載すること。
イ 設計
イ-1 受注者は、「別紙1 機能要件」及び「別紙2 非機能要件」を満たすための基本設計及び詳細設計を行い、成果物についてPMDA の承認を受けること。
イ-2 受注者は、情報システムの移行の方法、環境、ツール、段取り等を記載した移行計画書を作成し、PMDA の承認を受けること。
イ-3 受注者は、運用設計及び保守設計を行い、情報システムの次期更改までの間に計画的に発生する作業内容、その想定される時期等を取りまとめた中長期運用・保守作業計画の案を作成し、PMDA の確認を受けること。
イ-4 受注者は、運用設計及び保守設計を行い、定常時における月次の作業内容、その想定スケジュール、障害発生時における作業内容等を取りまとめた運用計画及び保守作業計画の案を作成し、PMDA の確認を受けること。
ウ 開発・テスト
ウ-1 受注者は、開発に当たり、アプリケーションプログラムの開発又は保守を効率的に実施するため、プログラミング等のルールを定めた標準(標準コーディング規約、セキュアコーディング規約等)を定め、PMDA の確認を受けること。
ウ-2 受注者は、開発に当たり、情報セキュリティ確保のためのルール遵守や成果物の確認方法(例えば、標準コーディング規約遵守の確認、ソースコードの検査、現場での抜き打ち調査等についての実施主体、手順、方法等)を定 め、PMDA の確認を受けること。
ウ-3 受注者は、単体テスト、結合テスト及び総合テストについて、テスト体制、テスト環境、作業内容、作業スケジュール、テストシナリオ、合否判定基準等を記載したテスト計画書を作成し、PMDA の承認を受けること。
ウ-4 受注者は、設計工程の成果物及びテスト計画書に基づき、アプリケーションプログラムの開発、テストを行うこと。
ウ-5 受注者は、テスト計画書に基づき、各テストの実施状況を PMDA に報告すること。
エ 受入テスト支援
エ-1 受注者は、PMDA が受入テストのテスト計画書を作成するに当たり、情報提供等の支援を行うこと。
エ-2 受注者は、PMDA が受入テストを実施するに当たり、環境整備、運用等の支援を行うこと。
エ-3 受注者は、PMDA の指示に基づき、情報システム利用者のテスト実施も含めて、テスト計画書作成の支援を行うこと。
オ 導入・移行
オ-1 受注者は、PMDA の移行判定を受けて、導入・移行計画書に基づく導入・移行作業を行うこと。
オ-2 受注者は、データ移行に当たり、新規情報システムのデータ構造を明示し、保有・管理するデータの変換、移行要領の策定、例外データ等の処理方法等に関する手順書を作成し、PMDA の承認を受けること。
オ-3 受注者は、上記手順書に従い、データを変換・移行した後は、移行後のデータだけでなく、例外データ等についても確認を行い、データの信頼性の確保を図ること。
カ 引継ぎ
カ-1 受注者は、設計・開発の設計書、作業経緯、残存課題等を文書化し、運用事業者及び保守事業者に対して確実な引継ぎを行うこと。
カ-2 引き継ぎに際し、作業経緯、残存課題等に関してPMDA 及び運用・支援事業者から情報提供及び質疑応答等があった場合には速やかに対応すること。それらにかかる費用は本調達に含まれる。
② 管理
ア プロジェクト管理
ア-1 プロジェクト実施計画書にて合意した管理要領に基づき、本業務が遅滞なく進捗するよう管理すること。管理にあたっては、以下に留意すること。
・プロジェクトの状況を正しく把握し、計画工数内で所定の期日までに納入成果物を作成することを目的として、実施計画書に記載した管理手法に基づき、EVM・WBS 等による予実管理を実施すること。
・受注者側のプロジェクトマネージャは、本業務におけるあらゆるタスクのあらゆるリスクについて、その発現を未然に防ぐための措置を施すととも
に、発現時の対応方針を事前に検討しておくこと。発現の蓋然性が高く、また発現がプロジェクトの方針の大幅な変更を要すると考えられるリスクについては、発現時の対応方針案について事前にPMDA と相談する等し て、発現時のインパクトを最小限に留めるよう工夫すること。
・万が一、リスクが発現した場合は、可及的速やかに対応し被害を最小化するとともに、速やかに進捗を正常化するための措置を施すこと。
・プロジェクト体制の中に複数のサブチームを設ける場合、サブチーム間で必要な情報共有を適切に行うこと。
イ 作業工数実績の報告
イ-1 受注者は、本業務で実施した作業の工数について、月次で PMDA に報告すること。報告の様式等に関しては、業務開始時にPMDA と協議し決定すること。
(2) 成果物の範囲、納品期日等
① 成果物
作業工程別の納入成果物を表 3.1に示す。ただし、納入成果物の構成、詳細については、受注後、PMDA と協議し取り決めること。
表 3.1 工程と成果物
項番 | 工程 | 納入成果物 (注 1) | 納入期日 |
1 | 計画 | ・設計・開発実施計画書(プロジェクトスコープ、体制表、作業分担、スケジュール、WBS、成果 物、工程完了基準、前提条件、制約事項) ・設計・開発実施要領案(コミュニケーション管理要領、進捗管理要領・リスク管理要領、課題管理要領・変更管理要領、構成管理要領、文書管理要領、セキュリティ管理要領、品質管理要領) | 契約締結日から 10 営業日以内 |
2 | 基本設計 | ・実現方式設計書 ・基本設計書 | 令和4年 6月 24 日 |
3 | 詳細設計・開発 | ・詳細設計書 ・環境定義書 ・標準開発ポリシー定義書 ・アクセス権限/ロール一覧x | xx4年 6月 24 日 |
4 | テスト | ・テスト計画書 ・テスト結果報告書 ・テスト結果エビデンス ・テストデータ ・脆弱性診断計画書 ・第三者による診断結果報告書 ・脆弱性診断結果報告書 | 令和4年 9月 22 日 |
5 | 導入・移行 | ・導入・移行計画書 ・導入・移行手順書 ・導入・移行作業結果報告書 ・ソフトウェア製品 ・開発環境 ・ソースコード ・実行プログラム | 令和4年 10 月 28 日 |
6 | 教育 | ・教育計画書 ・操作マニュアル(管理者) ・操作マニュアル(一般ユーザ) ・業務マニュアル(運用・保守事業者) ・教育用資料 ・教育作業結果報告書等 ・FAQ | 令和4年 10 月 28 日 |
7 | 移行 | ・移行計画書 ・移行作業結果報告書 ・移行手順書 | 令和4年 10 月 28 日 |
8 | 運用 | ・運用計画書 ・運用手順書 | 令和4年 10 月 28 日 |
9 | 保守 | ・保守計画書 ・保守手順書 | 令和4年 10 月 28 日 |
10 | その他 | ・打合せ資料 ・議事録 ・機密情報受理管理簿 | 令和4年 10 月 28 日 |
項番 | 工程 | 納入成果物 (注 1) | 納入期日 |
・データ消去証明書 ・開発に係る中間成果物 ・契約不適合責任対応に係る保有情報の一覧 | (※必要に応じて随時提 出) |
注 1 納入成果物の作成にあたっては、SLCP-JCF2013(共通フレーム 2013)を参考とすること。
② 納品方法
表 3.1の納入成果物を含む全ての納入成果物を納入期日までに納品すること。なお、納入成果物については、以下の条件を満たすこと。
ア 文書を磁気媒体等(CD-R 又は CD-RW 等)により日本語で提供すること。
イ 磁気媒体等に保存する形式は、PDF 形式及びMicrosoft Office2013 で扱える形式とする。ただし、PMDA が別に形式を定めて提出を求めた場合は、この限りではない。
ウ 磁気媒体については二部ずつ用意すること。
エ 一般に市販されているツール、パッケージ類の使用は PMDA と協議の上、必要であれば使用を認めることとするが、特定ベンダーに依存する(著作権、著作者人格権を有する)ツール等は極力使用しないこと。
オ 基本設計書及び詳細設計書については、最低限以下のドキュメントを含み、他業者がこれを基にして同一システムを開発できるレベルの設計書を作成すること。必須ドキュメント:システム機能設計書、コード設計書、帳票設計書、画面設計書、画面遷移図、データ設計書(ER 図、データモデル、論理データ設計書、ファイル定義書、物理データベース設計書を含む。) 、ジョブ設計書 (ジョブフロー)、障害対策設計書、セキュリティ対策設計書、完成図書(機能説明書、プログラム説明書)、外部インターフェース設計書(インターフェース一覧、インターフェース関連表、インターフェース定義書等)及びプログラムリスト等。現在利用中の開発ツールに加え、新しく開発ツールを導入する場合はそのライセンス及びメディアを納入すること。
カ 本調達で使用した開発ツール等を使用する場合は、事前に PMDA に報告し承認を得ること。新規の開発ツール等を使用する場合、又はライセンスの追加が必要となる場合は、本稼働後5年間のライセンス及びメディアを納入すること。
キ 本業務を実施する上で必要となる一切の機器物品等は、受注者の責任で手配するとともに、費用を負担すること。
ク 本調達の納入実行ファイルを作成した開発環境(開発ツール及び実行ファイル作成に用いたプログラム等で構成された環境一式を示す。)を検証環境に構築すること。
ケ 各工程の中間成果物も含め、本調達に係る全ての資料を納品すること。
③ 納品場所
PMDA 安全性情報・企画管理部 情報管理課
4 満たすべき要件に関する事項
本業務の実施にあたっては、「別紙1 機能要件」「別紙2 非機能要件」「別紙3情報セキュリティ要件」の各要件を満たすこと。
5 作業の実施体制・方法に関する事項
(1) 作業実施体制
プロジェクトの推進体制及び本件受注者に求める作業実施体制は図5.1のとおりである。なお、受注者内のチーム編成については想定である。受注者は、本業務に係る要員の役割分担、責任分担、体制図等を実施計画書の一部として作成し、PMDA に報告するとともに、承認を得ること。また、受注者は、必要な要員の調達を遅滞なく実施し、体制図等の要員配置関連資料を確定すること。なお、要員配置関連資料の作成に当たって は、情報セキュリティ対策の管理体制を明確に記載すること。
図 5.1 推進体制及び作業実施体制
① プロジェクトマネジメントに係る、品質管理・進捗管理・セキュリティ管理・リスク管理等の必要な機能を、体制に組み込むこと。
② 作業体制の品質確保のため、本業務の運用責任者・xxxは業務開始から業務終了まで継続して遂行すること。交代する場合は同等以上の要員が担当するものとし、事前に PMDA の承認を得ること。
③ 受注者は、PMDA 側やその他関連事業者を含めた全体の体制・役割を示した上で、プロジェクトの推進体制及び本件受注者に求める作業実施体制を PMDA と協議の上定めること。
④ システム設計・開発等を複数業者が連携(再委託を含めて)して実施する等の場合は、参画する各業者の役割分担等を明示すること。
(2) 管理体制
① 本業務の実施に当たり、PMDA の意図しない変更が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること。また、当該品質保証体制が書類等で確認できること。
② 本情報システムに PMDA の意図しない変更が行われるなどの不正が見つかった時
(不正が行われていると疑わしい時も含む)に、追跡調査や立入検査等、PMDA と受注者が連携して原因を調査・排除できる体制を整備していること。また、当該体制が書類等で確認できること。
③ 当該管理体制を確認する際の参照情報として、資本関係・役員等の情報、本業務の実施場所、本業務従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供を行うこと。具体的な情報提供内容については PMDA と協議の上、決定するものとする。
(3) 作業要員に求める資格等の要件
① 設計・開発に携わるxxxは特定非営利活動法人 日本プロジェクトマネジメント協会の「プロジェクトマネジメント・スペシャリスト(PMS)」、PMI(Project Management Institute)の「PMP」資格、独立行政法人情報処理推進機構(IPA)の「プロジェクトマネージャ」資格のいずれかを取得していること。
② 情報セキュリティ対策の管理体制の責任者は、情報処理の促進に関する法律(昭和 45 年5月 22 日法律第 90 号)に基づく情報処理安全確保支援士の登録を受けている者又は同等の資格を有する者であること。
③ 医薬品副作用報告の業務を理解しており、本業務システムの設計にあたり、PMDAに逐次業務の説明を求めることなく担当者とスムーズな会話ができる知識を有していること。
(4) 作業場所
① 受注業務の作業場所(サーバ設置場所等を含む)は、(再委託も含めて)PMDA内、又は日本国内で PMDA の承認した場所で作業すること。
② 受注業務で用いるサーバ、データ等は日本国外に持ち出さないこと。
③ PMDA 内での作業においては、必要な規定の手続を実施し承認を得ること。
④ なお、必要に応じて PMDA 職員は現地確認を実施できることとする。
(5) 作業の管理に関する要領
① 受注者は、PMDA が承認した設計・開発実施要項に基づき、設計・開発業務、運用業務及び保守業務に係るコミュニケーション管理、進捗管理、リスク管理、課題管理、変更管理、構成管理、文書管理、セキュリティ管理、品質管理を行うこと。
ア コミュニケーション管理は、会議体(名称、目的、頻度、参加者)、資料及び議事録の提出期限(3営業日以内)、連絡方法を記載すること。
イ 進捗管理は、報告頻度、報告様式、管理方法を記載すること。また、「3
(1)④管理」に従うこと。
ウ リスク管理は、報告頻度、報告様式、管理方法を記載すること。なお、報告様式にはリスク一覧及びリスク対応策を記載し、月次での報告とすること。
エ 課題管理は、課題管理表の様式を記載し、都度報告及び月次での報告とすること。
オ 変更管理は、変更一覧の様式及び変更管理プロセスを記載し、都度及び月次での報告とすること。
カ 構成管理及び文書管理は、受領した資料の管理方法、構成管理の対象、構成管理に使用するツール等を記載すること。
キ セキュリティ対策は、医薬品医療機器総合機構 情報セキュリティポリシーを遵守するための情報セキュリティ対策を記載し、履行状況報告を月次での報告とすること。
ク 品質管理は、レビュー計画、品質目標、工程完了基準を記載すること。
6 作業の実施に当たっての遵守事項
(1) 基本事項
受注者は、次に掲げる事項を遵守すること。
① 本業務の遂行に当たり、業務の継続を第一に考え、善良な管理者の注意義務をもって誠実に行うこと。
② 本業務に従事する要員は、PMDA と日本語により円滑なコミュニケーションを行う能力と意思を有していること。
③ 本業務の履行場所を他の目的のために使用しないこと。
④ 本業務に従事する要員は、履行場所での所定の名札の着用等、従事に関する所定の規則に従うこと。
⑤ 要員の資質、規律保持、風紀及び衛生・健康に関すること等の人事管理並びに要員の責めに起因して発生した火災・盗難等不祥事が発生した場合の一切の責任を負うこと。
⑥ 受注者は、本業務の履行に際し、PMDA からの質問、検査及び資料の提示等の指示に応じること。また、修正及び改善要求があった場合には、別途協議の場を設けて対応すること。
⑦ 次回の本業務調達に向けた現状調査、PMDA が依頼する技術的支援に対する回答、助言を行うこと。
⑧ 本業務においては、業務終了後の運用等を、受注者によらずこれを行うことが可能となるよう詳細にドキュメント類の整備を行うこと。
(2) 機密保持、資料の取扱い
① 本業務を実施する上で必要とされる機密保持に係る条件は、以下のとおり。受注者は、受注業務の実施の過程で PMDA が開示した情報(公知の情報を除く。以下同じ。)、他の受注者が提示した情報及び受注者が作成した情報を、本受注業務の目的以外に使用又は第三者に開示若しくは漏洩してはならないものとし、そのために必要な措置を講ずること。
② 受注者は、本受注業務を実施するにあたり、PMDA から入手した資料等については管理簿等により適切に管理し、かつ、以下の事項に従うこと。
• 複製しないこと。
• 用務に必要がなくなり次第、速やかに PMDA に返却又は消去すること。
• 受注業務完了後、上記①に記載される情報を削除又は返却し、受注者において該当情報を保持しないことを誓約する旨の書類を PMDA に提出すること。
③ 応札希望者についても上記①及び②に準ずること。
④ 「独立行政法人 医薬品医療機器総合機構 情報システム管理利用規程」の第 52条に従うこと。
⑤ 「秘密保持等に関する誓約書」を別途提出し、これを遵守しなければならない。
⑥ 機密保持の期間は、当該情報が公知の情報になるまでの期間とする。
(3) 遵守する法令等
本業務を実施するにあたっての遵守事項は、以下のとおり。
① 受注者は、民法、刑法、著作xx、不正アクセス行為の禁止等に関する法律、行政機関の保有する個人情報の保護に関する法律等の関連法規及び労働関係法令を遵守すること。
② 受注者は、次の文書に記載された事項を遵守すること。遵守すべき文書が変更された場合は変更後の文書を遵守すること。
ア 独立行政法人 医薬品医療機器総合機構 情報セキュリティポリシーイ 独立行政法人 医薬品医療機器総合機構 情報システム管理利用規程
ウ 独立行政法人 医薬品医療機器総合機構 個人情報管理規程
なお、「独立行政法人 医薬品医療機器総合機構 PMDA 情報セキュリティポリシー」は非公開であるが、「政府機関等の情報セキュリティ対策のための統一基準
(最新版)」に準拠しているので、必要に応じ参照し、その内容を取り込むこ と。「独立行政法人 医薬品医療機器総合機構 PMDA 情報セキュリティポリシー」の開示については、事業者が PMDA に「秘密保持等に関する誓約書」を提出した際に開示する。
③ PMDA へ提示する電子ファイルは事前にウイルスチェック等を行い、悪意のあるソフトウェア等が混入していないことを確認すること。
④ 受注者は、本業務において取り扱う情報の漏洩、改ざん、滅失等が発生することを防止する観点から、情報の適正な保護・管理対策を実施するとともに、これらの実施状況について、PMDA が定期又は不定期の検査を行う場合においてこれに応じること。万一、情報の漏洩、改ざん、滅失等が発生した場合に実施すべき事項及び手順等を明確にするとともに、事前に PMDA に提出すること。また、そのような事態が発生した場合は、PMDA に報告するとともに、当該手順等に基づき可及的速やかに修復すること。
7 成果物の取扱いに関する事項
(1) 知的財産権の帰属
知的財産の帰属は、以下のとおり。
① 本件に係り作成・変更・更新されるドキュメント類及びプログラムの著作権(著作xx第 21 条から第 28 条に定めるすべての権利を含む。)は、受注者が本件のシステム開発の従前より権利を保有していた等の明確な理由により、あらかじめ書面にて権利譲渡不可能と示されたもの以外、PMDA が所有する等現有資産を移行等して発生した権利を含めてすべて PMDA に帰属するものとする。
② 本件に係り発生した権利については、受注者は著作者人格権(著作xx第 18 条から第 20 条までに規定する権利をいう。)を行使しないものとする。
③ 本件に係り発生した権利については、今後、二次的著作物が作成された場合等であっても、受注者は原著作物の著作権者としての権利を行使しないものとする。
④ 本件に係り作成・変更・修正されるドキュメント類及びプログラム等に第三者が権利を有する著作物が含まれる場合、受注者は当該著作物の使用に必要な費用負担や使用許諾契約に係る一切の手続きを行うこと。この場合は事前に PMDA に報告し、承認を得ること。
⑤ 本件に係り第三者との間に著作権に係る権利侵害の紛争が生じた場合には、当該紛争の原因が専ら PMDA の責めに帰す場合を除き、受注者の責任、負担において一
切を処理すること。この場合、PMDA は係る紛争の事実を知ったときは、受注者に通知し、必要な範囲で訴訟上の防衛を受注者にゆだねる等の協力措置を講ずる。なお、受注者の著作又は一般に公開されている著作について、引用する場合は出典を明示するとともに、受注者の責任において著作者等の承認を得るものとし、 PMDA に提出する際は、その旨併せて報告するものとする。
(2) 契約不適合責任
① 受注者は本業務の納入成果物に対する契約不適合責任を負うものとする。本業務の最終検収後1年以内の期間において、委託業務の納入成果物に関して仕様書と異なる、または契約目的に照らして通常期待される条件を満たしていない等本システムの正常な稼動等に関わる契約不適合の疑いが生じた場合であって、PMDA が必要と認めた場合は、受注者は速やかに契約不適合の疑いに関して調査し回答すること。調査の結果、納入成果物に関して契約不適合等が認められた場合には、受注者の責任及び負担において速やかに修正を行うこと。なお、修正を実施する場合においては、修正方法等について、事前に PMDA の承認を得てから着手すると共に、修正結果等について、PMDA の承認を受けること。
② 受注者は、契約不適合責任を果たす上で必要な情報を整理し、その一覧をPMDA に提出すること。契約不適合責任の期間が終了するまで、それら情報が漏洩しないように、ISO/IEC27001 認証(国際標準規格)又は JISQ27001 認証(日本産業規格)に従い、また個人情報を取り扱う場合には JISQ15001(日本産業規格)に従い、厳重に管理をすること。また、契約不適合責任の期間が終了した後は、速やかにそれら情報をデータ復元ソフトウェア等を利用してもデータが復元されないように完全に消去すること。データ消去作業終了後、受注者は消去完了を明記した証明書を作業xxとともに PMDA に対して提出すること。なお、データ消去作業に必要な機器等については、受注者の負担で用意すること。
(3) 検収
納入成果物については、適宜、PMDA に進捗状況の報告を行うとともに、レビューを受けること。最終的な納入成果物については、「3(2)①成果物」に記載のすべてが揃っていること及びレビュー後の改訂事項等が反映されていることを、PMDA が確認し、これらが確認され次第、検収終了とする。
なお、以下についても遵守すること。
① 検査の結果、納入成果物の全部又は一部に不合格品を生じた場合には、受注者は直ちに引き取り、必要な修復を行った後、PMDA の承認を得て指定した日時までに修正が反映されたすべての納入成果物を納入すること。
② 「納入成果物」に規定されたもの以外にも、必要に応じて提出を求める場合があるので、作成資料等を常に管理し、最新状態に保っておくこと。
③ PMDA の品質管理担当者が検査を行った結果、不適切と判断した場合は、品質管理担当者の指示に従い対応を行うこと。
8 入札参加資格に関する事項
(1) 入札参加要件
応札希望者は、以下の条件を満たしていること。
① 開発責任部署は ISO9001 又は CMMI レベル3以上の認定を取得していること。
② ISO/IEC27001 認証(国際標準)又は JISQ27001 認証(日本産業標準)のいずれかを取得していること。
③ PMDA にて現行関連システムの設計書等を閲覧し、内容を十分理解していること。
④ 応札時には、開発する機能毎に十分に細分化された工数、概算スケジュールを含む見積り根拠資料の即時提出が可能であること。なお、応札後に PMDA が見積り根拠資料の提出を求めた際、即時に提出されなかった場合には、契約を締結しないことがある。
(2) 入札制限
情報システムの調達のxx性を確保するために、以下に示す事業者は本調達に参加できない。
① PMDA の CIO 補佐が現に属する、又は過去2年間に属していた事業者等
② 各工程の調達仕様書の作成に直接関与した事業者等
③ ①~③の親会社及び子会社(「財務諸表等の用語、様式及び作成方法に関する規則」(昭和 38 年大蔵省令第 59 号)第8条に規定する親会社及び子会社をいう。以下同じ。)
④ ①~③と同一の親会社を持つ事業者
⑤ ①~③から委託を請ける等緊密な利害関係を有する事業者
9 情報セキュリティ管理
(1) 情報セキュリティ対策の実施
受注者は、以下を含む情報セキュリティ対策を実施すること。また、その実施内容及び管理体制についてまとめた情報セキュリティ管理計画書を受注後速やかに提出して PMDA の承認を受けること。
① PMDA から提供する情報の目的外利用を禁止すること。
② 本業務の実施に当たり、受注者又はその従業員、本調達の役務内容の一部を再委
託する先、若しくはその他の者により、PMDA の意図せざる変更が加えられないための管理体制が整備されていること。
③ 受注者の資本関係・役員等の情報、本業務の実施場所、本業務従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供を行うこと。具体的な情報提供内容については PMDA と協議の上、決定するものとする。
④ 情報セキュリティインシデントへの対処方法(対処手順、責任分界、対処体制、対応時間、情報伝達時間・手段等)が確立されていること。
⑤ 情報セキュリティ対策その他の契約の履行状況を定期的に確認し、PMDA へ報告すること。
⑥ 情報セキュリティ対策の履行が不十分である場合、その原因について調査・排除するため、PMDA による追跡調査や立ち入り検査等について連携・協力する体制が構築できていること。また速やかに改善策を提出し、PMDA の承認を受けた上で実施すること。
⑦ 本業務に係る業務の遂行における情報セキュリティ対策の履行状況を確認するために、PMDA が必要と判断した場合は、情報セキュリティ監査を受入れること。
⑧ 本調達の役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるように上記①~⑥に関する事項を記載した情報セキュリティ管理計画書を作成し、PMDA の承認を受けること。
⑨ PMDA から要保護情報を受領する場合は、情報セキュリティに配慮した受領及び管理方法にて行うこと。
⑩ PMDA から受領した要保護情報が不要になった場合は、これを確実に返却、又は抹消し、書面にて報告すること。
⑪ 本業務において、情報セキュリティインシデントの発生又は情報の目的外利用等を認知した場合は、速やかに PMDA に報告すること。
(2) 情報セキュリティ監査の実施
① PMDA がその実施内容(監査内容、対象範囲、実施等)を定めて、情報セキュリティ監査等を行う(PMDA が選定した事業者による監査を含む。)ものとする。受注者は、あらかじめ情報セキュリティ監査等を受け入れる部門、場所、時期、条件等を「実施計画書」に付記し提示すること。
② 受注者は自ら実施した外部監査についても PMDA へ報告すること。
③ 受注者は、情報セキュリティ監査の結果、本調達における情報セキュリティ対策の履行状況について PMDA が改善を求めた場合には、PMDA と協議の上、必要な改善策を立案して速やかに改善を実施するものとする。
④ 本調達に関する監査等が実施される場合、受注者は、技術支援及び情報提供を行うこと。
⑤ 受注者は、指摘や進捗等把握のための資料提出依頼等があった場合は、PMDA と協
議の上、内容に沿って適切な対応を行うこと。
情報セキュリティ監査の実施については、本項に記載した内容を上回る措置を講ずることを妨げるものではない。
10 再委託に関する事項
(1) 再委託の制限及び再委託を認める場合の条件
① 受注者は、受注業務の全部又は主要部分を第三者に再委託することはできない。
② プロジェクト管理責任者を再委託先事業者の社員とすることはできない。
③ ①における「主要部分」とは、以下に掲げるものをいう。ア 総合的な企画及び判断並びに業務遂行管理
イ 手法の決定及び技術的判断
ウ SLCP-JCF2013 の 2.3 開発プロセス、及び 2.4 ソフトウェア実装プロセスで定める各プロセスで、以下に示す要件定義・基本設計工程に相当するもの。
・ 2.3.1 プロセス開始の準備
・ 2.3.2 システム要件定義プロセス
・ 2.3.3 システム方式設計プロセス
・ 2.4.2 ソフトウェア要件定義プロセス
・ 2.4.3 ソフトウェア方式設計プロセス
ただし、以下の場合には再委託を可能とする。
・ 補足説明資料作成支援等の補助的業務
・ 機能毎の工数見積において、工数が比較的小規模(本調達における工数全体の 5 分の 1 以下を目安とし、PMDA が事前に承認したもの)であった機能に係るソフトウェア要件定義等業務
④ 再委託先が「8(2)入札制限」の要件を満たすこと。
⑤ 受注者の責任において、サプライチェーンリスクの発生を未然に防止するための体制を確立すること。
⑥ 再委託における情報セキュリティ要件については以下のとおり。
・ PMDA から提供する情報の目的外利用を禁止すること。
・ 受注者は、再委託先における情報セキュリティ対策、及びその他の契約の履行状況の確認方法を整備し、PMDA へ報告すること。
・ 受注者は再委託先における情報セキュリティ対策の履行状況を定期的に確認すること。また、情報セキュリティ対策の履行が不十分な場合、その原因について調査・排除するため、PMDA による追跡調査や立ち入り検査等について連携・
協力する体制が構築できていること。また、その対処方法を検討し、PMDA へ報告すること。
・ 受注者は、情報セキュリティ監査を実施する場合、再委託先も対象とするものとする。
・ 受注者は、再委託先が自ら実施した外部監査についても PMDA へ報告すること。
・ 受注者は、委託した業務の終了時に、再委託先において取り扱われた情報が確実に返却、又は抹消されたことを確認すること。
(2) 承認手続
受注者は、受注業務を再委託する場合、予め再委託の相手方の商号又は名称及び住所並びに再委託を行う業務の範囲、再委託の必要性(及び契約金額)について記載した
「再委託に関する承認申請書」を提出し、PMDA の承認を受けること。申請にあたって、次に掲げる事項を遵守すること。
・ 再委託先が情報セキュリティに関する管理体制と管理基準、社内規程が整備されている事実を証明する書面。(例:管理体制図、社内規程、ISO 認証、外部監査実績、等)、受注者と再委託先との関係がわかる書類(例:委託契約書の写し及び委託要領等の写し等)及び「9(1)⑧」の情報セキュリティ管理計画書を「再委託に関する承認申請書」に添付して提出すること。
・ 再委託の相手方は「8(2)入札制限」の対象となる事業者でないこと。
・ 受注者は、機密保持、知的財産xxに関して本仕様書が定める受注者の責務を再委託先業者も負うよう、必要な処置を実施し、PMDA に報告し、承認を受けること。
・ 受注者は再委託先の資本関係・役員等の情報、委託事業の実施場所、委託事業従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供を行うこと。具体的な情報提供内容については PMDA と協議の上、決定するものとする。
(3) 再委託先の契約違反
再委託先において、本調達仕様書の遵守事項に定める事項に関する義務違反又は義務を怠った場合には、受注者が一切の責任を負うとともに、PMDA は、当該再委託先への再委託の中止を請求することができる。
11 その他特記事項
(1) 環境への配慮
環境への負荷を低減するため、以下に準拠すること。
① 本件に係る納入成果物については、最新の「国等による環境物品等の調達の推進等に関する法律(グリーン購入法)」に基づいた製品を可能な限り導入すること。
② 導入する機器等がある場合は、性能や機能の低下を招かない範囲で、消費電力節減、発熱対策、騒音対策等の環境配慮を行うこと。
(2) その他
PMDA 全体管理組織(PMO)が担当課に対して指導、助言等を行った場合には、受注者もその方針に従うこと。
12 附属文書
(1) 要件定義書
別紙1 機能要件 別紙2 非機能要件
別紙3 情報セキュリティ要件別紙4 調査票様式
(2) 事業者が閲覧できる資料一覧
閲覧資料1 独立行政法人 医薬品医療機器総合機構 情報セキュリティポリシー閲覧資料2 PMDA 情報セキュリティインシデント対処手順書
閲覧資料3 セキュリティ管理要件書(ひな型)
閲覧資料4 医薬品副作用・安全対策支援統合システム設計書
閲覧資料5 アプリケーション・コンテンツ提供時の情報セキュリティ対策実施手順書
(3) 閲覧要領
資料の閲覧を希望する場合は、「秘密保持等に関する誓約書」を提出の上、PMDAが定める期間、場所、方法において閲覧を許可する。閲覧可能としている資料については、複写及び撮影等は禁止する。なお、閲覧資料2~5の資料に関しては、事業者から申出があれば、CD/DVD にて提供する。貸し出した CD/DVD は開札日までに返却すること。閲覧期間は公告日から開札日の2週間前までとする。
13 窓口連絡先
独立行政法人 医薬品医療機器総合機構安全性情報・企画管理部 情報管理課
電話:03 (3506) 9482
Email:xxxxxxxxx-taisuke●xxxx.xx.xx
※●を@(半角)に置き換えて下さい。
医薬品安全性情報報告及び予防接種後副反応疑い報告受付サイト | ||||
NO. | 機能 | 機能概要 | 現行機能及び機能追加・改修要件 | |
0 | 概要 | ─ | - | 【現行機能】 医療従事者向けの報告受付サイトである。 ・本サイトの利用にあたり、ユーザ登録を行う。 ・医薬品安全性情報報告、予防接種後副反応疑い報告、医薬部外品・化粧品安全性情報報告、医療機器安全性情報報告及び再生医療等製品安全性情報報告の入力、報告を行う。 ・過去報告はDBで管理し、追加報告作成時等に再利用が可能である。 ・報告内容のローカル保存、保存内容の読み込みが可能である。 ・PMDA内部からの利用も可能とし、データベース上の区別を行っている。 【改修要件】 ・Web方式で構築されたシステムに機能追加を行う。 |
1 | ログイン機能 | 報告受付サイトにログインする | 既存 | 【現行機能】 ・登録されたメールアドレス及びパスワードを利用して報告システムにログインする。 ・認証に成功した場合には「報告一覧機能」に遷移する。 ・新規登録する場合には新規登録ボタンをクリックして「利用規約の同意機能」に遷移する。 ・パスワードを忘れた場合の対応、初回ログイン時の強制パスワード変更、定期的なパスワード変更機能等が実装されている。 |
2 | 利用規約の同意機能 | 利用規約を表示し同意を求める | 既存 | 【現行機能】 ・利用規約の表示及びダウンロードを行う。 ・利用規約に同意した場合には「利用者情報登録機能」に遷移する。 |
3 | 利用者情報登録機能 | 利用者情報を登録する | 既存 | 【現行機能】 ・利用者情報を登録する。 ・登録内容は、メールアドレス、氏名、職種、医療機関名、医療機関住所、電話番号等を入力する。 ・住所は、郵便番号から簡易入力を可能とする。 ・入力完了で利用者情報確認機能に遷移する。 |
4 | 利用者情報確認機能 | 利用者情報を確認し、登録依頼を行う | 既存 | 【現行機能】 ・入力した利用者情報を確認する。 ・登録内容確認後に、登録されたメールアドレスに仮パスワードを送信する。 |
5 | パスワード変更機能 | 登録された利用者のパスワードを変更する | 既存 | 【現行機能】 ・パスワードの変更を行う。 ・初回ログイン時は強制的に本機能を使用してパスワードを変更する。 ・定期的にパスワード変更を促す。 |
6 | 利用者情報変更機能 | 登録された利用者情報の変更を行う | 既存 | 【現行機能】 ・登録されている利用者情報の確認・更新を行う。 |
7 | 報告一覧機能 | 利用者の過去の報告及び一時保存中の報告を一覧表示する | 既存 | 【現行機能】 ・利用者の過去の報告及び一時保存中の報告を一覧で表示する。 ・報告を選択して様式帳票の印刷が可能。 ・過去報告を選択して追加報告を行える。 ・一時保存中の報告については入力を再開できる。 ・新規報告として、医薬品安全性情報報告又は予防接種後副反応疑い報告、医薬部外品・化粧品安全性情報報告、医療機器安全性情報報告及び再生医療等製品安全性情報報告を選択して報告を作成する。 ・ヘルプ機能により、報告様式の選択や入力時の注意喚起等についての文言を画面上に表示できる。なお、表示内容は外部ファイル等で定義し、運用による更新が可能である。 |
8 | 医薬品安全性情報報告入力機能 | 医薬品安全性情報報告の入力を行う | 既存 | 【現行機能】 ・医薬品安全性情報報告様式と同様の入力画面より報告が登録できる。 ・報告内容をグループ化しタブで機能を切り替えて入力を行う。 ・一時保管ができる。 ・利用者情報から報告者の情報への反映できる。 ・制度及び様式については下記を参照の事。 xxxxx://xxx.xxxx.xx.xx/xxxxxx/xxxxxxx/xxx/xxx-xxx/0000.xxxx ・臨床検査値についてはCSVファイルからの読み込みを可能とする。JavaScript等でローカルでパースしてサーバにファイルをアップロードしない方法を採用している。 ・ローカル保管用の様式を設定し、ローカルファイルへの保存及びローカルファイルからの読み込める。 |
9 | 予防接種後副反応疑い報告入力機能 | 予防接種後副反応疑い報告の入力を行う | 既存 | 【現行機能】 ・予防接種後副反応疑い報告様式と同様の入力画面より報告が登録できる。 ・報告内容をグループ化しタブで機能を切り替えて入力を行う。 ・一時保管ができる。 ・利用者情報から報告者の情報への反映できる。 ・制度及び様式については下記を参照の事。 xxxxx://xxx.xxxx.xx.xx/xxxxxx/xxxxxxx/xxx/xxxx-xxxx-xxx/0000.xxxx ・ワクチン名、製造販売業者、ロット番号の書式、副反応等はマスター設定により制御することを想定している。 ・マスタにない副反応については、テキスト入力できるようにする。 ・副反応のうち3つについては選択された場合、「調査票登録機能」に遷移し、評価項目の入力を可能とする。 ・ローカル保管用の様式を設定し、ローカルファイルへの保存及びローカルファイルからの読込が可能。 |
10 | 予防接種後副反応調査票入力機能 | 調査票登録を行う | 改修 | 【現行機能】 ・3つの副反応(ADEM、GBS、TTS)選択時に、それぞれ専用の「調査票登録機能」に遷移し、評価項目に対する入力を行う。 ・評価項目はそれぞれ40項目程度で、一部項目は自由記載での登録となる。 ・評価項目の選択(あり、なし等)により関連項目の入力を促すなどの操作性を実現している。 ・ローカル保管用の様式を設定し、ローカルファイルへの保存及びローカルファイルからの読込が可能。 【機能追加】 ・現在は、調査票入力が必要は副反応選択時に、「症状」タブ内で調査票入力枠を展開しているが、調査票の種類の追加に伴う画面処理速度の低下等を考慮し、既存の調査票も含め別画面として画面構成に変更する。 ・現行の副反応に加え、新たに2つの副反応(心筋炎と心膜炎)について、「調査票登録機能」を追加する。 ・機能については現行の機能を踏襲すること。 |
11 | 医薬部外品・化粧品安全性情報報告入力機能 | 医薬部外品・化粧品安全性情報報告の入力を行う | 既存 | 【現行機能】 ・医薬部外品・化粧品安全性情報報告様式と同様の入力機能を構成し、登録を可能とする。 ・項目グループによってタブで機能を切り替える等、操作性を考慮すること。 ・一時保管を可能とする。 ・利用者情報から報告者の情報への反映を可能とする。 ・制度及び様式については下記を参照の事。 xxxxx://xxx.xxxx.xx.xx/xxxxxx/xxxxxxx/xxx/xxx-xxx/0000.xxxx ・臨床検査値についてはCSVファイルからの読み込みを可能とする。JavaScript等でローカルでパースしてサーバにファイルをアップロードしない方法を検討し実装すること。 ・ローカル保管用の様式を設定し、ローカルファイルへの保存及びローカルファイルからの読込が可能。 |
12 | 医療機器安全性情報報告報告入力機能 | 医療機器安全性情報報告の入力を行う | 既存 | 【現行機能】 ・医療機器安全性情報報告様式と同様の入力機能を構成し、登録を可能とする。 ・項目グループによってタブで機能を切り替える等、操作性を考慮すること。 ・一時保管を可能とする。 ・利用者情報から報告者の情報への反映を可能とする。 ・制度及び様式については下記を参照の事。 xxxxx://xxx.xxxx.xx.xx/xxxxxx/xxxxxxx/xxx/xxx-xxx/0000.xxxx ・ローカル保管用の様式を設計し、ローカルファイルへの保存及びローカルファイルからの読み込みを可能とする。 |
13 | 再生医療等製品安全性情報報告報告入力機能 | 再生医療等製品安全性情報報告の入力を行う | 既存 | 【現行機能】 ・再生医療等製品安全性情報報告様式と同様の入力機能を構成し、登録を可能とする。 ・項目グループによってタブで機能を切り替える等、操作性を考慮すること。 ・一時保管を可能とする。 ・利用者情報から報告者の情報への反映を可能とする。 ・制度及び様式については下記を参照の事。 xxxxx://xxx.xxxx.xx.xx/xxxxxx/xxxxxxx/xxx/xxx-xxx/0000.xxxx ・ローカル保管用の様式を設計し、ローカルファイルへの保存及びローカルファイルからの読み込みを可能とする。 |
11 | 報告確認、登録 | 報告確認、登録 | 既存 | 【現行機能】 ・入力した報告内容を確認し、登録を行う。 ・報告内容及び調査票についてはPDFを出力できる。 ・登録を行った際に、その旨のメールを報告者に送信される。 |
12 | 個人情報の管理 | 報告の個人情報管理 | 既存 | 【現行機能】 ・報告には個人情報を含むため、データベースを暗号化するなどプライバシーに考慮した適切な管理を行っている。 |
13 | 脆弱性診断 | 報告受付サイトに対する脆弱性診断の実施 | - | 改修後の報告受付サイト全体に対し、第3者となるセキュリティ対策専門業者の脆弱性診断を実施し、結果の報告及び必要な対策を実施する。 |
医薬品安全性情報報告及び予防接種後副反応疑い報告管理・閲覧システム | ||||
NO. | 機能 | 機能概要 | 現行機能及び機能追加・改修要件 | |
0 | 概要 | ─ | - | 【現行機能】 登録された医薬品安全性情報報告、予防接種後副反応疑い報告、医薬部外品・化粧品安全性情報報告、医療機器安全性情報報告及び再生医療等製品安全性情報報告の管理、閲覧を行うシステムである。 ・クライアントサーバ方式のアプリケーションである。 ・報告を受付け、進捗管理システムと連携を行う。 ・医薬品名、副作用・副反応名等についてコーディングを行う。 ・ICSRファイルを作成し、副作用報告システムへの登録を行う。 ・個人情報を含む報告内容の閲覧が可能。 【改修要件】 ・追加された調査票についても既存の調査票と同様の取り扱いを可能とする。 |
1 | ログイン機能 | 管理・閲覧システムにログインする | 既存 | 【現行機能】 ・ID、パスワードでログインを行う。 ・設定した期間で定期的にパスワード変更を促す。 ・ターミナルサーバのログイン情報を取得し、シングルサインオンが可能。 |
2 | ユーザ管理機能 | ユーザの登録、権限の付与を可能とする | 既存 | 【現行機能】 ユーザの登録、権限の付与が可能である。想定している権限は下記の通り。 ・閲覧権限 検索可能及び報告を閲覧できる。 ・ワクチン権限 ワクチンを含む症例の報告書のみ検索できる。 ・受付権限 報告の受付処理を実施できる。 ・報告作成権限 コーディングを行いXMLの作成を指示できる。 ・個人情報権限 個人情報を閲覧できる。 ・管理者権限 ユーザ管理を行える。 |
3 | 報告検索機能 | 登録された報告を検索する | 既存 | 【現行機能】 ・登録日、報告書ID、報告分類(医薬品安全性情報報告、予防接種後副反応疑い報告、医薬部外品・化粧品安全性情報報告、医療機器安全性情報報告及び再生医療等製品安全性情報報告)、報告者情報、報告内容及び進捗管理システムでの受付番号、識別番号等で報告の検索を行う。 |
4 | 報告閲覧機能 | 報告内容を閲覧する | 既存 | 【現行機能】 ・検索で抽出された報告を選択し、報告内容を閲覧する。 |
5 | 受付機能 | 登録された報告の受付処理を行う | 既存 | 【現行機能】 ・登録された報告の受付を行う。 ・進捗管理システム(既存システム)に必要情報を登録し、受付番号の発番を行う。発番された受付番号については本システムでも保持をしている。 ・追加報告として受付けた場合の発番ルールなどについては現行の進捗管理システムへの登録方式と同様。 |
6 | 個人情報閲覧機能 | 登録された報告のうち、個人情報を閲覧する | 既存 | 【現行機能】 ・個人情報については権限を持つ利用者のみ閲覧可能である。 |
7 | コーディング機能 | 登録された報告のコーディングを行う | 既存 | 【現行機能】 ・医薬品安全性情報報告、予防接種後副反応疑い報告の医薬品の情報、副作用・副反応情報等について医薬品コード、投与経路コード、MedDRAコード等の登録を行う。 |
8 | コーディング機能 | 登録された報告のコーディングを行う | 既存 | 【現行機能】 ・医療機器安全性情報報告及び再生医療等製品安全性情報報告について一般的名称コード、不具合用語、健康被害用語、調査結果用語等についてコードの登録を行う。 |
9 | ICSR作成機能 | E2B(R3)形式の、医薬品安全性情報報告及び予防接種後副反応疑い報告の ICSR XMLを作成する | 既存 | 【現行機能】 ・コーディング後の情報を元にE2B(R3)形式の、医薬品安全性情報報告、予防接種後副反応疑い報告、医薬部外品・化粧品安全性情報報告のICSR XMLを作成する。 ・進捗管理システムに設定された調査担当機関(PMDA調査又は企業調査)によって出力項目、出力内容を切り替えること。 ・ICSR XML作成に当たっては、「E2B(R3)実装ガイドに対応した市販後副作用等報告及び治験副作用等報告について(平成29年3月 31日 薬生薬審発0331第6号、薬生安発0331第1号)」、「E2B(R3)実装ガイドに対応した市販後副作用等報告及び治験副作用等報告の留意点について(平成29年3月31日 薬機審マ発第0331001号、薬機xx発第0331001号、薬機xx発第0331002号)」等を参照し、作成後のXMLファイルはそのまま副作用報告システムで取りこみ可能であること。 ・既存のXML作成ツールで読み取り、編集が可能であること。 ・副反応疑い報告については、複数の報告項目をE2B(R3)の特定の項目にまとめて記載しているので現行の機能を参照し、現行を踏襲すること。 ・予防接種後副反応調査票は調査票様式のPDFとしてC.1.6.1に添付するものとする。 |
10 | 不具合報告 XML作成 | 医療機器安全性情報報告及び再生医療等製品安全性情報報告について報告様式XMLを作成する。 | 既存 | 【現行機能】 ・コーディング後の情報を元に医療機器安全性情報報告及び再生医療等製品安全性情報報告の報告様式XMLを作成する。 ・進捗管理システムに設定された調査担当機関(PMDA調査又は企業調査)によって出力項目、出力内容を切り替えること。 ・報告様式XMLについては、製造販売業者からの不具合報告と同様の様式とするが、具体的な内容については資料閲覧にて確認すること。なお、作成後のXMLファイルはそのまま副作用報告システムで取りこみ可能であること。 ・製造販売業者からの不具合報告については下記の通知などを参照すること。 ・医療機器安全性情報報告 「医薬品等の副作用等の報告について」の一部改正について(令和2年1月31日 薬生発0131第5号)」 「医療機器の不具合等報告について(令和2年1月31日 薬生安発0131第1号)」 「医療機器の不具合等報告の留意点について(令和2年1月31日 薬機品安発第0131001号)」 ・再生医療等製品安全性情報報告 「「医薬品等の副作用等の報告について」の一部改正について(令和2年1月31日 薬生発0131第5号)」 「再生医療等製品の不具合等報告について(令和2年1月31日 薬生安発0131第2号)」 「薬機安対二発第0131001号 再生医療等製品の不具合等報告の留意点について (令和2年1月31日 薬機安企発第0131001号) ※令和2年12月25日別添、別紙4一部改正 」 ・既存のXML作成ツールで読み取り、編集が可能であること。 |
11 | 報告内容の CSV出力機能 | 特定の項目については、 CSV形式等で外部出力を可能とする | 既存 | 【現行機能】 ・検索機能で検索された報告について報告内容をCSV出力が可能である。 |
共通 | ||||
NO. | 機能 | 機能概要 | 機能追加・改修要件 | |
1 | 軽微改修 | 報告受付サイト及びx x・閲覧システム対する軽微改修を行う | 改修 | 【改修要件】 ・報告受付サイト ・報告者タブの報告者2~5において、報告者氏名と職種以外の項目に「報告者1と同じ」というチェックボックスを設け、チェックを入れた状態では入力欄を非活性とする。 なお、チェックを入れた項目については、報告書PDF上に出力しない。(管理・閲覧システムでPDFを出力する際も同様。) ・管理・閲覧システム ・医薬品安全性情報報告の投与経路が空欄の場合(報告受付サイトからプルダウン選択、テキスト入力共になされていない場合)、コーディング画面での投与経路のデフォルト表示を空欄から「065 不明」のコードに変更する。 |
目次
1 ユーザビリティ及びアクセシビリティに関する事項 1
(1) 情報システムの利用者の種類、特性 1
(2) ユーザビリティ要件 1
(3) アクセシビリティ要件 1
2 システム方式に関する事項 1
(1) 情報システムの全体構成 1
3 規模に関する事項 2
(1) 利用者数等 2
(2) 処理件数 2
(3) データ量 2
4 性能に関する事項 2
5 信頼性に関する事項 3
(1) 可用性要件 3
(2) 完全性要件 4
(3) 機密性要件 4
6 拡張性に関する事項 4
(1) 機能の拡張性 4
7 上位互換性に関する事項 5
8 中立性に関する事項 5
9 継続性に関する事項 5
10 情報セキュリティに関する事項 5
(1) 情報セキュリティ機能の実装 5
(2) 脆弱性検査の実施 5
(3) 脆弱性対策の実施 5
(4) 情報セキュリティ対策の履行状況の報告 6
(5) 情報セキュリティ監査への支援 6
(6) 情報セキュリティ監査への対応 6
11 テストに関する事項 6
(1) テスト工程共通要件 6
(2) テストデータ及びその取扱い 6
(3) テスト計画書 7
(4) 単体テスト 7
(5) 結合テスト 8
(6) 総合テスト 8
(7) 負荷テスト/パフォーマンステスト 8
(8) ドキュメントテスト 8
(9) セキュリティテスト 8
(10) 受入テストの支援 8
(11) テスト時の障害対応 9
12 移行に関する事項 9
(1) 移行手順 9
(2) 移行要件 9
(3) 移行対象データ 10
13 引継ぎに関する事項 10
(1) 運用・保守業者への引継ぎ 10
14 教育に関する事項 10
(1) 教育対象者の範囲、教育の方法 10
(2) 教材の作成 10
15 運用に関する事項 11
(1) 運転管理・監視等要件 11
(2) 運用サポート業務 11
(3) 業務運用支援 11
16 保守に関する事項 11
(1) アプリケーションプログラムの保守要件 11
1 ユーザビリティ及びアクセシビリティに関する事項
(1) 情報システムの利用者の種類、特性
No. | 利用者区分 | 利用者の種類 | 特性 | 補足 |
1 | PMDA 内 | PMDA 職員 | 特定ユーザ、内部ネットワークからのみのアクセス | |
2 | PMDA 外 | 外部業者 | オフライン版の使用 |
(2) ユーザビリティ要件
本調達において現行システムから、ユーザビリティ要件に原則変更はない。ただし、現行システムで使用しているソフトウェアに依存する機能において、該当ソフトウェアが販売中止で使用できない、又は新バージョンにおける機能変更等でやむを得ず変更が発生する場合は、PMDA の承認を得ることで変更を許可する場合がある。その際、設計書及び手順書の該当箇所の変更するものとする。
(3) アクセシビリティ要件
本調達において、現行システムから、アクセシビリティ要件に原則変更はない。ただし、ソフトウェアの新バージョンにおける画面イメージ変更等でやむを得ず画面レイアウト等を変更する場合は、PMDA の承認を得ることで変更を許可する場合がある。その際、設計書及び手順書の該当箇所の画面イメージを変更するものとする。ただし、軽微な画面イメージの変更の場合は画面イメージの差し替えは不要とする。
本調達作業開始後に別途定める推奨環境以外での利用については、利用は妨げることはないが、動作の保証はしないものとする。
2 システム方式に関する事項
(1) 情報システムの全体構成
本調達は医薬品副作用・安全対策支援統合システム(以下「統合システム」という。)上に医療機関報告及び予防接種後副反応疑い報告の XML 作成ツールを改修するものであ る。
情報システムの概要については調達仕様書の「1.(5) 業務・情報システムの概要」を参照のこと。
3 規模に関する事項
(1) 利用者数等
統合システムを利用して調査等の業務を行う利用者数は 400 名程度であり、同時アクセス数はピーク時 100、平均 80 とする。
ただし、医療機関報告及び予防接種後副反応疑い報告の作成については、同時アクセス数はピーク時 10 程度と想定している。
(2) 処理件数
統合システムで受け付ける報告件数は、1日当たり 5,000 件程度である。
ただし、医療機関報告及び予防接種後副反応疑い報告については、あわせて最大 450 件程度である。
(3) データ量
年度 | 医薬品副作用等報告数 | 医療機器不具合等報告数 | |||
企業報告 | 医療機関報告 | 予防接種後 副反応疑い報告 | 企業報告 | 医療機関報告 | |
平成 28 年度 | 453,296 | 4,956 | 1,091 | 52,063 | 548 |
平成 29 年度 | 490,019 | 6,606 | 1,018 | 56,081 | 441 |
平成 30 年度 | 556,424 | 9,065 | 863 | 57,439 | 487 |
令和元年度 | 595,494 | 8,739 | 785 | 80,467 | 497 |
令和 2 年度 | 655,647 | 8,649 | 2,314 | 133,185 | 426 |
情報システムにおけるデータ件数は、「表 1」に示すとおりである。表 1 医薬品副作用及び医療機器不具合等報告数
なお、企業報告において、EDI ツールを用いた AS1 規格の場合は最大 10MB、AS2 規格の場合は最大 50MB、受付サイトからアップロードする場合は最大 100MB のファイルサイズの報告を受付けている。
4 性能に関する事項
現行システムの性能要件を満たすこと。
5 信頼性に関する事項
(1) 可用性要件
① 可用性に係る目標値
可用性に係る目標値は、「表 2」に示す。
表 2 情報システムの SLA
No. | SLA 項目 | 説明 | 設定値 |
1 | サービス稼働時間 | ・情報システムのサービスが提供される時間帯 ・定期保守、法定停電等による停止時間を除く | 24 時間 365 日 |
2 | 運用・保守サービス時間 | ・運用・保守サービスのうち、監視業務、障害対応業務が提供される時間帯 | 平日:09:30~ 18:00 ハード故障については 24 時間 365 日の連絡受付が取れること |
3 | 稼働率(正常稼働時) | ・No.1 に示すサービス稼働時間における稼働予定時間に対して実際に稼働した時間(稼働時 間)の割合であり、以下の式により計算する | 98.5%以上 |
<稼働率(%)=(1-1ヶ月の停止時間÷ 1 ヶ月の稼動予定時間)×100> | |||
・ 稼動予定時間とは、定期保守、法定停電等による計画した停止時間を除く、1ヶ月に稼動すべき時間である | |||
・ 停止時間とは、サービスが停止していると確認された時刻(本調達で導入する監視機能で障害を検知した時刻、又は、利用者が連絡した時刻のいずれか早い方)から利用可能とされた時刻までの経過時間を指す | |||
・ 停止時間には、待機系システム等への切換えのために発生した停止時間、障害からの本格復旧のために必要になった停止時間、人為的なミスにより発生した停止時間等を含む | |||
・ 冗長化構成されている部分のうち、一部分が停止した場合でも、冗長化によりサービスの |
提供に支障を来たさなかった場合には、停止時間として取り扱わない ・ PMDA 側に責任があることが確認できた場合には、停止時間として取り扱わない | |||
4 | RPO(目標 復旧時点) | ・データの損失は許容できないため、データの再送や再処理を含め、障害発生時までの復旧を基本とする(大規模災害時を除く) | データの障害: 障害発生時 |
機器等の障害:直近のバックアップ時点 | |||
大規模災害時: 1か月以内 | |||
5 | RTO(目標 復旧時間) | ・業務停止時間を極力少なくするため、6時間以内の復旧を目標とする(大規模災害時を除く) | データの障害: 6時間以内 |
機器等の障害: 10 時間以内 | |||
大規模災害時:数か月以内 |
② 可用性に係る対策
本調達を実現するにあたり、①の目標値を達成するための施策を検討し、必要に応じて対策を施すこと。
(2) 完全性要件
データの紛失や改ざんからデータを保護し、データの正確性及びデータの一貫性を保証することとする。
(3) 機密性要件
利用を許可された者以外の第三者は、システムを利用できないこととする。
6 拡張性に関する事項
(1) 機能の拡張性
① 管理情報の拡大
本調達において構築するデータベースの容量等について事前に拡張性を含めた試算を行う事。
7 上位互換性に関する事項
OS、ミドルウェア等のソフトウェアパッケージのバージョンアップに対して、影響範囲が限定的で、小規模の改修で対応可能なシステムとすること。また、バージョンアップへの対応が技術的に困難である場合は、PMDA と協議し、その指示に従うこと。
8 中立性に関する事項
特定の製品、技術等に依存することなく、運用・保守を担当するベンダの交替時、システム拡張時、あるいは次期更改時等において、他の業者等に必要な情報を、支障なく引き継ぐことが可能なシステム構成とすること。
9 継続性に関する事項
統合システムの継続性に係る事項に準じること。
10 情報セキュリティに関する事項
原則として、基本設計書に規定する施策を踏まえ、本調達において本受注者が納入するアプリケーションについて、下記①及び②に示す機能又は代替手段について PMDA と協議を行い、合意した対策を実施すること。
また、下記③から⑥に示す項目について対応すること。
(1) 情報セキュリティ機能の実装
① 業務上必要なアクセスに限るための利用者認証機能
② テストデータ等をマスキング(変換、置換、シャッフル等)する機能
③ ブラウザ経由にて想定される Web アプリケーションに対する不正アクセス(クロスサイトスクリプティング、SQL インジェクション等)対策機能
(2) 脆弱性検査の実施
① 本調達に基づくシステム構築が影響する範囲について、脆弱性検査を実施し、その結果を PMDA に書面にて報告すること。なお、インターフェイスシステム等、他機関より提供され改修することなく実装するソフトウェアについては、脆弱性検査の対象外とする。脆弱性診断にあたっては、第三者による検査を実施すること。検査内容については PMDA と協議のうえ決定することとする。
② 決定した対処又は代替措置を実施すること。
(3) 脆弱性対策の実施
本調達に係る業務遂行に当たり、情報セキュリティが侵害された、又はその恐れがある場合には、速やかに PMDA に報告すること。これに該当する場合には以下の事象を含む。
① 本受注者に対して提供した、あるいはアクセスを認めた PMDA の情報を目的外に
利用した場合又は外部漏えいした場合
② 本受託者に対して提供していない又はアクセスを認めていない PMDA の情報にアクセスした場合
(4) 情報セキュリティ対策の履行状況の報告
本調達に係る業務の遂行におけるセキュリティ対策の履行状況について、PMDA から報告を求めた場合には速やかに提出すること。
(5) 情報セキュリティ監査への支援
PMDA が第三者機関等による情報セキュリティ監査を受ける場合には、PMDA を支援すること。情報セキュリティ監査の結果、対策が必要な場合は、PMDA と協議を行い、合意した対策を実施すること。
(6) 情報セキュリティ監査への対応
本調達に係る業務の遂行において、本受注者における情報セキュリティ対策の履行が不十分であると認められる場合には、本受注者は、PMDA の求めに応じ、PMDAと協議を行い、合意した対応を実施すること。
11 テストに関する事項
(1) テスト工程共通要件
実施する単体テスト、結合テスト、総合テスト、受入テストについて、共通となる要件は以下のとおり。
① 情報システムの正常稼働を保証するためのテストとして、単体テスト、結合テスト及び総合テストを実施すること。また、PMDA が行う受入(運用)テストの支援を行うこと。
② 各テストを行うため一連のテストケース(入力、出力、及びテスト合否基準)、テストデータ、及びテスト手順を整理し、テスト計画書として作成し、PMDA と協議の上、承認を得ること。
③ 各テスト終了時に、実施内容、品質評価結果、及び次工程への申し送り事項等について、テスト結果報告書を作成し、PMDA と協議の上、承認を得ること。
④ テストに使用するテストツール等については、PMDA と協議の上、使用すること。
(2) テストデータ及びその取扱い
受注者が主体的に実施するテスト(以下「テスト工程」という。)においては、受注者が準備したテスト用データを使用すること。ただし、テスト工程において PMDA のデータ(以下「本番データ」という。)を使用する場合は、必要性等を PMDA に説明
し、PMDA の承諾を得て使用すること。なお、テスト工程における本番データの管理責任は受注者が負うこと。
特に、外部接続を行うテストにおいて本番データを使用する場合は、外部にデータが漏洩しないことが前提となる。そのため、外部接続を行うテストにおいては、アプリケーション及び機器等の設定を確認し、さらに、スタブモジュール等を作成するなど、本番データにアクセスできないような施策を講じること。なお、外部接続を行うテストにおけるテスト方針及びデータの取り扱い等については、テスト計画時にPMDA と協議の上取り決めを行うこと。
PMDA が主体的に実施するテスト(以下「受入テスト」という。)においては、本番データを使用することになり、その管理責任は PMDA が負うことになる。ただし、受入テストにおける操作ではなく、受注者の操作等により漏洩等のインシデントが発生した場合はその限りではない。
(3) テスト計画書
実施する単体テスト、結合テスト、総合テストについて、設計し、テスト方針、実施内容、及び実施理由を記述し、テスト計画書として提示し、テスト開始1ヶ月前までに PMDA と協議の上、承認を得ること。
承認されたテスト計画書に基づき、進捗管理を確実に実施すると共に、進捗状況の報告を定期的かつ PMDA の求めに応じて行うこと。
以下に、テスト計画書で必要と考える事項を示す。
① テスト概要 ア テスト範囲
イ テスト品質目標(テスト項目数、バグ検出数)
② テストに関する実施作業及びスケジュール
③ テスト環境(テストに使用した回線及び機器構成、その他ツール、場所等)。
④ テスト体制(テスト実施者、テスト結果確認者(評価者))
⑤ 使用及び提出するドキュメントとその定義ア テスト項目一覧
イ テスト仕様書ウ 懸案事項一覧
エ テスト結果報告書
(4) 単体テスト
プログラム及びモジュールが個別単体において正しく機能することを確認する。パッケージ化されたプログラム及びモジュールについてもテスト範囲とする。パッケージ化
されている範囲について単体テストを実施しない場合には、実施しなくても該当機能が正しく機能することを別の手段で証明し、PMDA と協議の上、承認を得ること。
(5) 結合テスト
プログラム及びモジュールが、情報システムの各システムの単位でそれぞれ正しく機能することを確認するため、段階的に結合した状態でテストを行い、ソフトウェアの結合が完全であることを確認する。
(6) 総合テスト
情報システム全体として要件どおりにシステムが構築されていることを確認するために、テストを行い、システムが納品可能な状態であることを確認する。確認に当たっては、ソフトウェア製品が仕様に適合し、かつ実稼働環境で利用可能であることを確認できる評価指標及び合格条件を設定した上で、テストを実施する。
特に、総合テストにおける性能及び負荷のテストにおいては、想定する最大人数が同時に利用開始した場合であっても問題が生じないことを確認する。
なお、総合テストの開始にあたっては、HW 更改で実施された各種設定について確認し、齟齬がないことを確認すること。
(7) 負荷テスト/パフォーマンステスト
情報システム全体として規模に関する事項及び性能に関する事項を満たしていることを確認するためにテストを行い、システムが納品可能な状態であることを確認する。
(8) ドキュメントテスト
運用手順書及び保守手順書に記載したとおりに動作することを確認するために、テストを行い、システムが納品可能な状態であることを確認する。
(9) セキュリティテスト
移行したアプリケーションが情報セキュリティに関する事項を満たしていることを確認するためにテストを行い、システムが納品可能な状態であることを確認する。
(10) 受入テストの支援
PMDA が実施する受入テストにおいて、本受注者は、テスト計画の策定、準備、テストの実施、成果物の作成、テスト実施結果の報告等に関して、基盤製品に関する設定変 更、情報提供等の必要な支援を行うこと。
(11) テスト時の障害対応
本受注者は、各テストの実施時に発生した障害や性能に関する課題について、一時切り分けを行い、必要に応じて HW 更改業者に問合せを行い、調査結果に基づいて、適切な対応を実施すること、また、基盤製品に関する設定変更が必要な場合は、協議のうえで対応の依頼を行うこと。
12 移行に関する事項
(1) 移行手順
移行において想定する作業は以下のとおり。
① 移行計画書の策定
② 移行設計
③ 移行手順の作成・検証
④ 移行プログラムの作成・検証
⑤ リスクの洗い出し・コンティンジェンシープランの作成
⑥ 移行リハーサルの実施
⑦ 移行判定
⑧ 移行作業の実施
(2) 移行要件
現行システムから更改後のシステムへの移行に当たっては、機器の安定稼働及び業務の継続に影響を与えることなく、速やかに実施する必要がある。以下の基本方針に基づき、移行計画・作業を行うこと。
① 情報システムの安定した稼働及び業務の継続に影響を与えることがないよう、安全で確実な作業を優先すること。
② PMDA が承認した日時を除き、現在稼働中のシステムのサービスを停止することなく、移行作業を行うこと。
③ システムの停止を伴う作業が避けられない場合には、システム利用者への影響を最小限に抑えるため、平日においては、勤務時間外、その他土日及び休日を作業実施日の基本として検討し、停止予定日より、原則1ヶ月前に停止日時及び停止による影響(停止するサービスの範囲)について、PMDA の承認を書面にて得ること。
④ 移行作業中に障害が発生した場合には、速やかに原因究明にあたるとともに、移行実施計画書、システム切替手順書に従い、切り戻し作業を行い、PMDA の承認を得て、必要な障害対処作業を本受注者の責任と負担により実施すること。
(3) 移行対象データ
改修により移行が必要となったデータをすべて移行対象とする。移行計画において移行対象のデータを確定すること。
13 引継ぎに関する事項
(1) 運用・保守業者への引継ぎ
以下の事項に留意して、運用・保守業者等に引継ぎを実施すること。なお、引継ぎ先、引継ぎ内容及び手順等の概要を「表3」に示す。
① 運用・保守業務の円滑な実施に役立つよう、必要な各種情報及び資料の提供を行うこと。
② 引継ぎの内容は、事前にPMDA に示し承認を得ること。
③ 引継ぎの実施に当たっては、PMDA 及び引継ぎ先と日程を調整した上で実施すること。
④ 引継ぎに必要な資料等は、本受注者において用意すること。
⑤ 必要に応じて、実機での操作説明等を行うこと。
表 3 引継ぎ内容、手順
No. | 引継ぎ発生時(予定) | 引継ぎ元 | 引継ぎ先 | 引継ぎ内容 | 引継ぎ手順 |
1 | 令和4年9月 | 本受注者 | 情報システム運用業者 | 情報システムの運用手順等、本受注者及び PMDAが必要と判断した引継ぎを行うこと。 | ・引継計画書を策定すること。 ・引継計画書に基づ き、引継ぎを実施 し、引継ぎ実施後、引継ぎ完了報告書を作成すること。 |
14 教育に関する事項
(1) 教育対象者の範囲、教育の方法
PMDA 内外のシステム利用者に対し、各1回程度説明会を実施し、変更点を周知すること。
(2) 教材の作成
説明会の実施にあたり、変更点を抜粋した資料を作成すること。
15 運用に関する事項
(1) 運転管理・監視等要件
情報システムの運用時間については、5(1)可用性要件に示す。
(2) 運用サポート業務
情報システムの運用サポート業務は、別途調達する運用支援業者が実施するため、本調達の対象外とする。
(3) 業務運用支援
情報システムの業務運用支援業務は、別途調達する運用支援業者が実施するため、本調達の対象外とする。
16 保守に関する事項
(1) アプリケーションプログラムの保守要件
情報システムのアプリケーションプログラムの保守業務は、別途調達する運用支援業者が実施するため、本調達の対象外とする。
1. 委託
(1) 受託者は、以下の内容を含む情報セキュリティ対策の遵守方法、情報セキュリティ管理体制等に関する確認書等を提出すること。また、変更があった場合は、速やかに再提出すること。
a) 当該委託業務に携わる者の特定
b) 当該委託業務に携わる者が実施する具体的な情報セキュリティ対策の内容
c) 当該委託業務に携わる者との就業規則等に基づく守秘義務契約・誓約書等の締結
2. 情報システムのライフサイクル
2.1 情報システムの構築に係る対策
(1) 受託者は、情報セキュリティの観点に基づく試験について、以下を含む事項を実施すること。
a) ソフトウェアの作成及び試験を行う情報システムについては、情報セキュリティの観点から運用中の情報システムに悪影響が及ばないように、運用中の情報システムと分離すること。
b) 情報セキュリティの観点から必要な試験がある場合には、試験項目及び試験方法を定め、これに基づいて試験を実施すること。
c) 情報セキュリティの観点から実施した試験の実施記録を保存すること。
d) 開発中のソフトウェアの動作確認のために、運用中の情報システムの要機密情報をテストデータとして、試験を行う情報システムにおいて使用しないようにすること。但し、外部からのアクセスを遮断するなどのセキュリティ対策を実施したうえで、PMDA が運用中の情報システムの要機密情報をテストデータとして使用することを認める場合がある。
2.2 情報システムの運用・保守に係る対策
(1) 受託者は、情報システムの運用・保守において、情報システムに実装されたセキュリティ機能が適切に運用されるために、以下を含む事項について PMDA と協議し、運用・保守手順書を見直すこと。
a) 情報システムの運用環境に課せられるべき条件の整備
b) 情報システムのセキュリティ監視を行う場合の監視手順や連絡方法
c) 情報システムの保守における情報セキュリティ対策
d) 運用中の情報システムに脆弱性が存在することが判明した場合の情報セキュリティ対策
(2) 受託者は、機密性4情報又は機密性3情報を取り扱う情報システムの改修作業を行う場合は、以下の情報セキュリティ対策を実施させること。
a) 要員個人の専用アカウントの使用及び当該アカウントの適切な管理
b) 個人情報へのアクセスの有無及びアクセスした場合は対象の情報を含む作業記録の作成
c) 要員の離職や担当変え等時の報告
d) メンテナンス実施時における作業申請の事前提出(日単位)及びメンテナンス終了時の速やかな作業報告書の提出
e) 機密性4情報又は機密性3情報を含むデータを PMDA 外に持ち出すことは認めない
f) 必要に応じて PMDA による監査の受入れ
3. 情報システムのセキュリティ要件
3.1 主体認証機能
(1) 受託者は、PMDA から主体認証方式(知識(パスワード等)、所有(IC カード又はワンタイムパスワード生成器等)、生体(指紋や静脈等))に係る指示に基づき、主体認証機能を設けること。
(2) 知識による主体認証方式を用いる場合には、以下の機能を設けること。
a) 利用者が自ら主体認証情報を設定する機能や、利用者以外の者が主体認証情報を設定する場合に、利用者へ安全な方法で主体認証情報を割り当てる機能
b) 利用者が主体認証情報としてパスワードを設定する際に、以下の要素を考慮して、セキュリティ上の強度が指定以上となるよう、情報システムに要求する機能 (ア)パスワードに用いる文字の種類とその組み合わせ
(イ)パスワードの桁数(8 文字以上)
(ウ)パスワードの有効期間(最長 2 ヶ月)
(エ)大規模な辞書を用いたパスワード解析への耐性
(3) 主体認証情報を他の主体に利用され、又は利用されるおそれを認識した場合に当該主体認証情報を用いた不正アクセスが行われないよう、以下を例とする、当該主体認証による情報システムの利用を停止する機能を設けること。
a) パスワード入力が不成功に終わった場合の再入力に対して一定不応時間の設定機能
b) パスワード再入力の失敗が一定回数を超えた場合は再入力を一定期間受け付けない機能
3.2 ログの取得・管理
(1) 以下を例とする、ログとして取得する情報項目を定め、管理可能なこと。
a) 事象の主体(人物又は機器等)を示す識別コード
b) 識別コードの発行等の管理記録
c) 利用者による情報システムの操作記録
d) 事象の種類
e) 事象の対象(機密性4情報又は機密性3情報を取り扱う情報システムにおいて
はログイン中に操作した個人情報)
f) 正確な日付及び時刻
g) 試みられたアクセスに関わる情報
h) 電子メールのヘッダ情報及び送信内容
i) 通信パケットの内容
j) 操作する者、監視する者、保守する者等への通知の内容
(2) 取得したログを効率的かつ確実に点検及び分析し、その結果を報告するために、以下を例とする、当該作業を支援する機能を導入すること。
a) ログ情報をソフトウェア等により集計し、時系列で表示し、報告書を生成するなどの作業の自動化
b) 機密性4情報又は機密性3情報を取り扱う情報システムの保守作業に関わるログの確認手段として、アクセスした情報を時系列順に並べで表示し、かつ指定時間内でどの情報に何回のアクセスが行われたかが確認できる仕組み
別紙 4 調査票様式
1.心筋炎調査票
2.心膜炎調査票