自主点検WEB サービスのモデル事業調達仕様書
労働災害再発防止のための
自主点検WEB サービスのモデル事業調達仕様書
令和元年 11 月
厚生労働省労働基準局労災保険業務課
目 次
1 調達案件の概要に関する事項 3
(1)調達案件名 3
(2)調達の背景 3
(3)目的及び期待する効果 3
(4)用語の定義 4
(5)業務・情報システムの概要 4
(6)契約期間 5
(7)作業スケジュール 5
(8)担当課室・連絡先 5
2 当該調達及び関連調達の調達単位、調達の方式等に関する事項 6
(1)調達案件及び関連する調達案件の調達単位、調達の方式、実施時期 6
(2)調達案件間の入札制限 7
3 情報システムに求める要件に関する事項 7
4 作業の実施内容に関する事項 7
(1)作業の内容 7
(2)納品成果物の範囲、納品期限等 19
5 作業の実施体制・方法に関する事項 21
(1)作業実施体制 21
(2)管理体制 23
(3)作業従事者に求める資格等の要件 24
(4)作業場所 26
(5)作業の管理に関する要領 26
6 作業の実施に当たっての遵守事項 33
(1)機密保持、資料の取扱い 33
(2)遵守する法令等 34
(3)情報セキュリティ管理 34
7 納品成果物の取扱いに関する事項 37
(1)知的財産権の帰属 37
(2)瑕疵担保責任 38
(3)検査 38
8 入札参加資格に関する事項 39
(1)入札参加要件 39
(2)入札参加前に提出する資料 40
(3)入札制限 40
9 再委託に関する事項 41
(1)再委託の制限及び再委託を認める場合の条件 41
(2)承認手続 41
10 その他特記事項 42
(1)前提条件及び制約条件 42
(2)環境への配慮 43
(3)契約に関する通報窓口 43
(4)問題発生時の連絡体制 43
(5)その他 44
11 附属文書 44
(1)要件定義書 44
(2)参考資料 44
(3)応札希望者等が閲覧できる資料一覧表 44
(4)閲覧要領 44
(5)提案書等の審査要領 45
(6)契約締結後に開示する資料 45
別紙1 用語集
別紙2 設計・開発スケジュール(案)別紙3 要件定義書(案)
別紙4 本調達にて求める役務及び納品成果物と SLCP-JCF2013 との対応関係別紙5 閲覧資料一覧
別紙6 労働災害再発防止のための自主点検 WEB サービスのモデル事業 提案書作成要領・総合評価基準表
※ 本調達仕様書及び別紙の資料に記載された会社名、製品名等は各社の商標又は登録商標である場合がある。
1 調達案件の概要に関する事項
(1)調達案件名
労働災害再発防止のための自主点検 WEB サービスのモデル事業
(2)調達の背景
休業4日以上の労働災害が発生した場合、事業場は個別の災害発生状況等を遅滞なく所轄労働基準監督署長へ報告(以下「労働者死傷病報告」という。)することが義務付けられており、労働基準監督署では、労働者死傷病報告により、労働災害の発生状況の把握や分析等を行っている。しかし、労働者死傷病報告では、事業場が講じた労働災害の再発防止対策等についてまで報告することとされておらず、労働者死傷病報告において入手可能な情報は限られている状態である。このため、都道府県労働局及び労働基準監督署(以下「労働基準監督署等」という。)では、独自に、災害発生事業場に対して、自主的に再発防止対策等の状況を点検するよう求める(以下「自主点検」という。)とともに、書面(以下「自主点検表」という。)の提出を求める等により、労働災害の再発防止に努めているところである。
自主点検表の取組については、全国統一的に行われているものではなく、労働基準監督署等ごとに独自に作成した様式を使用している状況である。さらに、自主点検表は災害発生事業場から書面で提出され、労働基準監督署等において書面にて保存・管理されているため、再発防止対策等の分析等に活用しづらい状況にある。
こうした状況のなか、「働き方改革を推進するための関係法律の整備に関する法律」が成立し、全国の労働基準監督署では、今後、一層の業務の充実・効率化が求められている。
(3)目的及び期待する効果
労働基準監督署等によって独自の様式や方法で行われている自主点検について、以下の観点からクラウドサービス上の WEB システムとして試行的に構築・運用する。
・ 労働基準監督署等において行われている自主点検に関する企画立案、発送、集計等の業務の効率化を図る。
・ 本サービスを通じて全国の災害発生事業場の再発防止対策事例を蓄積することにより、別途、国民に対し、事業場における労働災害防止活動に資する情報提供を行い、併せて、労働災害防止対策に向けた分析等の一層の向上を図る。
上記について、一部の労働基準監督署等に限定して試行的に実施し、労働災害防止に向けたさらなる取組みを整理することによって、WEB による全国xx的な自主点検の実現を目指すための業務要件、システム要件等を整理する。
(4)用語の定義
本調達仕様書において使用する用語の定義は、「別紙1 用語集」に示すとおり。
(5)業務・情報システムの概要ア 業務の概要
休業4日未満の労働災害が発生した場合にあっては、4半期ごとに1回、当該期間に発生した労働災害についてそれぞれの概要をまとめた労働者死傷病報告の届出が義務付けられており、休業4日以上の労働災害が発生した場合にあっては、災害ごとに個別の発生状況について労働者死傷病報告の届出が義務付けられている。休業4日以上の労働災害については、災害発生日時、場所、災害の程度、災害発生状況等、労働災害の詳細についての報告を求めており、その情報は紙での届出については OCRにより、電子申請での届出についてはシステム連携により労働基準行政システムに取り込まれ、システム管理を行っている。
一方で、労働者死傷病報告で入手できない情報については、労働基準監督署等における独自の取組として、再発防止対策等の実施状況について自主点検表による報告を求めること等により労働災害防止に向けた業務を行っている場合がある。この取組について、整理の上、試行的に、新しい方法及び様式で実施する。
イ 情報システムの概要
本サービス上では、試行的に構築した WEB 上で報告対象とする事業場を選定し、自主点検対象となった事業場へ自主点検表をWEB 上で入力するようメールで通知する。事業場を選定する際には、労働基準行政システム内に保存されている事業場に関する情報及び労働災害に関する情報を利用することから、適切なセキュリティ対策を実施した上で労働基準行政システムと本サービスを接続することを想定している。また、自主点検対象となった事業場が自主点検表の回答を入力する際、その入力が容易になるよう、入力ガイド・入力時のヘルプ機能等を実装する。入力された回答を WEB上で受理し、回答を集計するとともに、自主点検表の回答状況を進捗管理する。さらに、労働災害防止活動に資する情報の収集を行うため、WEB 上に蓄積された自主点検表の回答を検索、出力の上、別途集計する。自主点検表には異なる単語ではあるが、ほぼ同一の意味を持つ単語が記載されることがあるため、自主点検表回答の検索においては単語のゆれ、曖昧な検索条件等であっても適切な自主点検表が検索可能であるような機能を実装する。
なお、本調達で構築するサービスはモデル事業のため、本サービスを参考にした新規サービス構築(以下「新規サービス構築」という。)が今後検討される場合がある。この場合には、このモデル事業の実施結果、サービスの利用実績等を参考にして新規サービス構築の検討を行い、本サービスとはシステム的環境が異なり得るサービス
(本格的なサービスのことを指す。以下、「新規サービス」という。)を構築する想定である。その際、本サービス及び新規サービス間のシステム移行はなく、新規サービスは本サービスとは独立した形式で稼働させることを想定している。また、モデル事業の検証については本件受託者の協力のもと、安全衛生部及び関係する課室にて実施する。
(6)契約期間
令和2年3月2日(予定)から令和3年3月 31 日までとする。
なお、本調達における契約期間終了後も、クラウドサービスの契約期間終了前に契約の延長又は他のクラウドサービスブローカへの引継ぎ等を実施する場合には、本システムの運用等を行うクラウドをそのまま継続利用することに留意すること。
(7)作業スケジュール
本調達のスケジュールを「別紙2 設計・開発スケジュール(案)」に示す。
本調達を遂行するために必要となる作業項目を網羅的に洗い出した上で、マスタスケジュール及び詳細スケジュールについて、提案書提出時に提案すること。詳細スケジュールについては、作業期間を可能な限り詳細に設定し、提案書提出時には少なくとも要件定義工程については各タスクを2週間以内の作業期間で構成すること。また、本調達において想定されるスケジュールの遅延に係るリスクを抽出し、対応策と合わせて労災保険業務課に提案書提出時に合わせて提案すること。
本件受託者は、各工程(要件定義、設計、開発、テスト、受入テスト支援、引継ぎ等)の実施前に詳細スケジュールを更新し、労災保険業務課に提出して承認を得ること。なお、ウォーターフォール型以外の設計・開発手法を採用する場合には、採用する手法における工程のマスタスケジュール、詳細スケジュール及び想定されるリスクに加え、各工程(要件定義、設計、開発、テスト、受入テスト支援、引継ぎ等)との対応関係を説明すること。
また、労災保険業務課からの指示、本件受託者の提案等によりマスタスケジュール又は詳細スケジュールを更新する場合は、更新案を事前に労災保険業務課に説明の上、労災保険業務課の承認を得て更新すること。
(8)担当課室・連絡x
x調達に関する問い合わせ先は以下のとおり。
郵便番号 177-0044
xxx練馬区上石神井4-8-4
厚生労働省労働基準局労災保険業務課
システム計画第二係 xx、堀、xx
TEL 00-0000-0000(内線:366、367、336)
2 当該調達及び関連調達の調達単位、調達の方式等に関する事項
(1) 調達案件及び関連する調達案件の調達単位、調達の方式、実施時期
本調達案件及び関連する調達案件の調達単位、調達の方式、実施時期は「表2-1 本調達案件及び関連する調達案件一覧」のとおり。
なお、本調達の契約期間中に調達される予定の案件のうち、調達単位等が未確定なものは応札希望者の誤解を防ぐため記載していない。
表2-1 本調達案件及び関連する調達案件一覧
項番 | 調達案件名 | 調達の方式 | 実施時期 |
1 | 労働災害再発防止のための自主点検 WEB サービスのモデル事業 (本調達) | 一般競争入札(総合評価落札方式) | ・入札公告( 官報公示):令和元年 11 月 27日 ・落札者決定:令和2 年2月 24 日 |
2 | 労働基準行政情報システム・労災行政情報管理システム及び労災レセプト電算処理システムの運用等業務一式 (運用業者) | 一般競争入札(総合評価落札方式) | 実施済み (契約期間) 平成 29 年1月4日~ 令和3年3月 31 日 |
3 | 労働基準行政情報システム・労災行政情報管理システム及び労災レセプト電算処理システムに係る工程管理等支援業務一式(平成 30 年度開始) (工程管理等支援業者) | 一般競争入札(総合評価落札方式) | 実施済み (契約期間) 平成 30 年4月1日~ 令和5年3月 31 日 |
4 | 労働基準行政システム(統合後)に係る運用管理業務一式(平成 30 年度開始) (運用管理業者) | 一般競争入札(総合評価落札方式) | 実施済み (契約期間) 平成 30 年 10 月 24 日 ~令和3年3月 31 日 |
項番 | 調達案件名 | 調達の方式 | 実施時期 |
5 | 労働基準行政システム(統合後)に係るアプリケーション保守業務一式 (AP 保守業者) | 一般競争入札(総合評価落札方式) | 実施済み (契約期間) 平成 30 年 10 月 15 日 ~令和5年3月 31 日 |
6 | 労働基準行政システムの外部システム連携等に係る改修業務一式(令和2年度開始) (外部連携等 AP 改修業者) | 一般競争入札(総合評価落札方式) | ・意見招請:令和元年 9月3日公示済み |
(2)調達案件間の入札制限
本案件と以下に挙げる事業者については相互に入札制限の対象とする。
ア 「労働基準行政情報システム・労災行政情報管理システム及び労災レセプト電算処理システムに係る工程管理等支援業務一式(平成 30 年度開始)」の受託者
3 情報システムに求める要件に関する事項
本調達の実施に当たっては、「別紙3 要件定義書」の各要件を満たすこと。
4 作業の実施内容に関する事項
(1)作業の内容
本件受託者は以下に示す作業を行うこと。ア 作業前提に係る内容
(ア) 他業者との調整・連携及び他業者の改修内容の取り込み
① 本件受託者は、本サービス及び本サービスと接続予定の労働基準行政システムとの連携について、労災保険業務課を介した上で、労働基準行政システムの関係業者との各種調整を主体的に実施すること。調整に当たり、労働基準行政システムの仕様、接続方式等を随時把握すること。
② 本件受託者は、設計・開発に際しては、厚生労働省統合ネットワークなどの業務・システム基盤で提供している機能・サービスとの重複を防ぐとともに、各連携先との円滑な調整を図るため、利用可能な既存の機能・サービス及びその利用に係る手続・リードタイム等をあらかじめ確認した上で、これらの要素を実施計画書、実施要領等の内容に適切に反映すること。
(イ) 標準ガイドライン等の遵守
「デジタル・ガバメント推進標準ガイドライン(平成 31 年2月 25 日各府省情報化統括責任者(CIO)連絡会議決定)」(以下「標準ガイドライン」という。)、「デ
ジタル・ガバメント推進標準ガイドライン解説書(平成 31 年2月 25 日内閣官房情報通信技術(IT)総合戦略室)」及び「デジタル・ガバメント推進標準ガイドライン実践ガイドブック(平成 31 年 2 月 25 日内閣官房情報通信技術(IT)総合戦略室)」
(以下「標準ガイドライン等」という。)に従って作業を行うこととし、今後、標準ガイドライン等の改定の都度、その内容に準拠すること。
(ウ) 実施計画書等の作成
① 本件受託者は、労災保険業務課が定めるプロジェクト計画書及びプロジェクト管理要領と整合性を確保しつつ、体制図、作業内容、作業体制、スケジュール、進捗管理基準、本件受託者が用意する開発・テストに必要となる開発環境
(製品名、用途、製品バージョン情報を含む。)等を記載した実施計画書案及び実施要領案を作成し、提案書と併せて提出すること。また、「別紙4 本調達にて求める役務及び納品成果物と SLCP-JCF2013 との対応関係」を参考にして、契約後2週間以内に納品すべき実施計画書等の納品成果物を作成し、労災保険業務課による承認を得ること。なお、要件定義工程に支障を来さないよう、工程の着手前を目途に当該納品成果物に係る承認を得られるように、納品成果物に係る問い合わせ、指摘事項等に迅速に対応すること。
② 実施計画書等の納品成果物の承認完了後、作業完了報告書を提出すること。 (エ) プロジェクト管理
① 本件受託者は、進捗管理、品質管理、課題管理、リスク管理、システム構成
管理/変更管理、情報セキュリティ対策、体制管理及びコミュニケーション管理を実施し、プロジェクトの包括的な管理を行うこと。
② 本件受託者は、システムの開発及び管理に当たり、その手続・手順については標準ガイドライン等に従うこと。なお、今後、標準ガイドライン等の改定があった場合は、その内容に準拠すること。
③ プロジェクト管理には、適切な進捗管理を行うこととし、計画の遅れが生じた場合、原因を調査し、作業従事者の追加配置、変更等の具体的な対策を実行すること。
イ 設計・開発に係る作業の内容 (ア) 設計
① 本件受託者は「別紙3 要件定義書」を遵守した上で要件定義の確定作業、基
本設計及び詳細設計を実施すること。
② 本件受託者は、要件定義に基づいて基本設計を行い、「別紙4 本調達にて求める役務及び納品成果物と SLCP-JCF2013 との対応関係」に示す基本設計書等の作成作業を行うこと。
③ 本件受託者は、基本設計に基づいて詳細設計を行い、「別紙4 本調達にて求
める役務及び納品成果物と SLCP-JCF2013 との対応関係」に示す詳細設計書等の作成作業を行うこと。
④ 本件受託者は、本件受託者は、設計・開発の段階でも可能な限り利用者のニーズを反映させていく必要があることから、柔軟な設計・開発を可能とする手法を採用すること。従来のウォーターフォール型の設計・開発手法に限定せず、プロトタイプ型/スパイラル型/アジャイル型、又はそれらのハイブリッド型等柔軟な対応を可能とする手法を採用すること。なお、ウォーターフォール型以外の設計・ 開発手法を採用する場合には、その採用する手法と、調達仕様書及び要件定義書に記載されている設計・開発手法に係る仕様及び要件の対応を確認すること。その結果、採用手法において調達仕様書及び要件定義書に記載されている設計・開発手法に係る仕様及び要件の間で相違がある場合には、その相違点とそれに対する採用手法での対応方法を提案書提出時に提案すること。
⑤ ウォーターフォール型以外の設計・開発手法を採用する場合、役務実施において発注者に求める作業があれば、本件受託後の仕様調整においてその旨を明記すること。特に、業務要件、非機能要件等で確認すべき事項があれば必ず労災保険業務課へ確認するとともに、労災保険業務課が実施すべき作業を明示すること。
⑥ 設計・開発に関して、開発作業の効率化を図るため高速開発ツールを採用する場合には、中立性の観点から誰もが市場で調達可能かつ各プロジェクト・企業において多数の採用実績がある、特定ベンダに依存しない高速開発ツールを利用すること。
⑦ 成果物は、設計結果のみではなく設計根拠を明示し、検討経緯の可視化に努めること。また、運用保守工程における障害発生時や機能改修の案件において、影響範囲の調査等の目的で参照されることを想定し、保守性・分析容易性を担保すること。
⑧ 基本設計、詳細設計等における成果物の記載要素、記載内容、記載粒度等をあらかじめ定め、労災保険業務課の調整及び協議の上で作業に着手すること。また、設計に係る成果物の関係性を可視化すること。
⑨ 本件受託者は、運用設計及び保守設計を行い、定常時における月次の作業内容、その想定スケジュール、障害発生時における作業内容等を取りまとめた運用計画及び保守作業計画の案を作成し、労災保険業務課の確認を受けること。
⑩ クラウドサービスを選定する際には、任意の事業者が参入できるものを選定すること。さらに、本調達の契約期間終了後に別の事業者へそのままクラウドサービス基盤を引き継げるような設計とすること。
➃ 本件受託者は、本システムでクラウドサービスを利用するときには、運用設
計及び保守設計を行うに当たって、リソースの使用状況に応じてサーバのスペック等を調整し、リソースの効率的な使用を通じてコスト削減を継続的に図っていく取組(オートスケールを利用する場合の変更条件・上下限値等を含む。)を含めること。
(イ) 開発・テスト
① 本件受託者は、本件受託者の負担及び責任において、開発・テストに必要となる開発環境を用意すること。
② 本件受託者は、開発・テストに当たり、アプリケーションプログラムの開発又は保守を効率的に実施するため、プログラミング等のルールを定めた標準
(標準コーディング規約、セキュアコーディング規約等)を定め、労災保険業務課に提出すること。ただし、ノンプログラミング手法等、プログラミングを必要としない手法を採用する場合には、別途、開発・テストのルールを定めた標準を定め、労災保険業務課の承認を得ること。
③ 本件受託者は、開発・テストに当たり、情報セキュリティ確保のためのルール順守や成果物の確認方法(例えば、標準コーディング規約遵守の確認、ソースコードの検査、現場での抜き打ち調査等についての実施主体、手順、方法等)を定め、労災保険業務課の承認を受けること。
④ 本件受託者は、「別紙3 要件定義書」、設計工程の納品成果物等に基づき、プログラム設計、コーディング、単体テスト、結合テスト及び総合テストを実施すること。なお、ウォーターフォール型以外の設計・開発手法を採用する場合には、採用する手法に適した開発・テストの工程を定め、労災保険業務課の承認を得ること。
⑤ 本件受託者は、単体テスト、結合テスト及び総合テストについて、テスト体制、テスト環境、作業内容、作業スケジュール、テストシナリオ、合否判定基準等を記載したテスト計画書を作成し、各テスト実施前に労災保険業務課の承認を得ること。なお、ウォーターフォール型以外の設計・開発手法を採用する場合には、採用する手法に適したテスト計画書を作成し、労災保険業務課の承認を得ること。
⑥ 本件受託者は、テスト計画書に基づくテストの実施に当たっては、具体的なテスト内容(テスト項目、テストデータ等を含む。)を規定したテスト仕様書を作成し、テスト実施前に労災保険業務課の承認を得ること。また、当該テスト仕様書に沿ってテストを実施すること。なお、ウォーターフォール型以外の設計・開発手法を採用する場合には、採用する手法に適したテスト仕様書を作成し、労災保険業務課の承認を得ること。
⑦ 単体テスト、結合テスト、総合テスト完了時に、実施内容、品質評価結果及び次工程への申し送り事項等をとりまとめ、テスト結果報告書を作成の上、労
災保険業務課の承認を得ること。なお、ウォーターフォール型以外の設計・開 発手法を採用する場合には、採用する手法に適したテスト結果報告書を作成し、労災保険業務課の承認を得ること。
⑧ 本件受託者は、結合テスト及び総合テストの実施に当たり、労災保険業務課を介した上で、労働基準行政システムの関係業者との各種調整を主体的に実施すること。また、結合テスト及び総合テスト全体の円滑な計画・実施に向けて必要な対応を実施すること。また、労働基準行政システムとの連携に係る検証も行い、機能検証時に新たに改修を行う必要が生じた場合は改修を実施すること。
⑨ 本件受託者は、本サービスの稼働開始に必要なデータを労働基準行政システムから移行する作業を、労災保険業務課及び労働基準行政システムの関係業者との各種調整をした上で、実施すること。
(ウ) 受入テスト支援
① 受入テストは労災保険業務課が主体となって実施する。本件受託者は、労災保険業務課による受入テストの実施に対し、受入テスト実施手順書案(テスト項目案を含む。)の作成、テストデータの準備支援、受入テスト実施期間中の問い合わせ対応、受入テスト実施環境の設定を含め、労災保険業務課の受入テスト実施を支援すること。
② 本件受託者は、受入テスト支援を「別紙3 要件定義書」に記載のテスト要件等に基づき実施すること。
③ 本件受託者は、受入テスト支援の実施に当たり、労災保険業務課を介した上で、労働基準行政システムの関係業者との各種調整を主体的に実施し、受入テスト全体の円滑な計画・実施に向けて必要な対応を実施すること。
④ ウォーターフォール型以外の設計・開発手法を採用する場合には、採用する手法に応じて受入テスト相当の作業、その作業におけるテスト要件等を別途定め、労災保険業務課の承認を得ること。
(エ) 引継ぎ
① 本件受託者は、本サービスの操作方法等を記載した機械処理手引、機械処理事務手引、簡易操作マニュアル、教育訓練用教材等(画面イメージを含む。)を作成すること。
② 本件受託者は、本契約の設計・開発に係る事業者が変更になる場合、作業の経緯及び残存課題等を「別紙4 本調達にて求める役務及び納品成果物と SLCP-JCF2013 との対応関係」に示す納品成果物の体系に沿って文書化すること。
ウ ODB 登録用シートの提出
(ア) 本件受託者は、「標準ガイドライン別紙2 情報システムの経費区分」に基づき区分等した契約金額の内訳を記載した ODB 登録用シートを契約締結後速やかに提出すること。また、「標準ガイドライン別紙3 調達仕様書に盛り込むべきODB 登録用シートの提出に関する作業内容」の各項に従って作成した ODB 登録用シートを、各工程の実施要領等で定める時期までに提出すること。なお、以下に示す ODB登録用シートへの記載事項のうち、本調達での更新が不要となった内容については提出不要とする。
また、労災保険業務課から別途求められた場合は、スケジュールや工数等の計画値及び実績値について記載した ODB 登録用シートをその都度提出すること。
<ODB 登録用シートへの記載事項>
・ 契約金額内訳(P180_契約額内訳)
・ 開発規模の管理(S410_個別開発規模、S410_総開発規模)
・ ハードウェアの管理(S430_ハードウェア)
・ ソフトウェアの管理(S430_ソフトウェア)
・ 回線の管理(S430_回線)
・ 外部サービス(約款による外部サービス以外)の管理(S430_外部サービス)
・ 施設の管理(S480_施設・区域)
・ 公開ドメインの管理(S490_使用ドメイン)
・ 取扱い情報の管理(S450_取扱い情報)
・ 情報セキュリティ要件の管理(S460_セキュリティ)
・ 指標の管理(S513_評価指標(目標)、S522_評価指標(実績))
・ 作業実績等の管理(S420_WBS・工程管理、S440_システム方式、S511_運用繁忙期、S511_運用年間計画、S512_運用保守業務、S520_運用・保守業務計画概要、S521_運用・保守業務報告書、S523_リスク管理表、S524_課題管理表、S525_障害報告)
(イ) 上記以外の ODB 登録用シートにおいても、労災保険業務課の求めに応じ、スケジュール、工数等の計画値及び実績値について記載した ODB 登録用シートを提出すること。
エ 運用に係る作業の内容
(ア) 運用計画書及び運用実施要領の作成支援
本件受託者は、労災保険業務課が情報システムの構成やライフサイクル等の中長期の作業を含む運用計画書及び運用実施要領を作成するに当たり、具体的な作業内容や実施時間、実施サイクル等に関する資料作成等の支援を行うこと。特に、試行において、確認すべき観点を整理した上で、新規サービス構築に当たって適切に反映する必要があることに留意すること。
(イ) 定常時対応
① 本件受託者は、「別紙3 要件定義書」の運用要件に示す定常時運用業務(システム操作、運転管理・監視、稼働状況監視供等)を行うこと。具体的な実施内容・手順は労災保険業務課が定める運用計画書に基づいて行うこと。
② 本件受託者は、運用計画書、運用設計書、運用作業手順書等の作成及び改版 を実施すること。特にマニュアルに相当する書類の作成及び改版に当たっては、迅速・的確な処理、運用ミスの防止等の観点から内容が理解しやすいように視 覚的な図や画面キャプチャを挿入する等工夫すること。
③ 本件受託者は運用計画書及び運用実施要領に基づき、以下の内容について月次で運用作業報告書を取りまとめること。
運用業務の内容や工数(作業者のスキルレベルを含む。)、作業時間等の作業実績状況
情報システムの構成と運転状況(情報セキュリティ監視状況を含む。)情報システムの定期点検状況
リスク・課題の把握・対応状況
クラウドサービスの利用状況(リソース使用量の変動、構成変更の実施状況等を含む。なお、クラウドサービスプロバイダから提供される管理ツール等により出力可能な情報があれば、当該情報を使用しても差し支えないが、グラフ化等、参照性及び可読性を担保すること。)
本サービスを利用した自主点検表入力の実績・利用状況(利用時期・時間帯、利用に要した時間等)
④ クラウドサービスを利用するとき、リソース使用量の変動等を踏まえ、リソース最適化の観点からクラウドの運用に係る方針(オートスケールを利用する場合の変更条件・上下限値等を含む。)を変更すべきと考えられる場合には、見直しのための対応策を労災保険業務課に提案すること。
⑤ 本件受託者は、運用作業報告書の内容について、月次で労災保険業務課に報告すること。
⑥ 本件受託者は、労災保険業務課の求めに応じて、利用者の利用状況(利用時期・時間帯、利用に要した時間、問合わせ内容等)の収集・分析等に関する利用状況報告書を作成し、労災保険業務課へ報告すること。また、報告資料の具体的な記載内容等については事前に労災保険業務課と協議して決定すること。
(ウ) 障害・情報セキュリティインシデント発生時の対応
① 本件受託者は、本サービスの障害発生時(又は障害の発生が見込まれる時)には、速やかに労災保険業務課に報告するとともに、その緊急度及び影響度を判断の上、障害検知、障害発生箇所の切分け、関連業者等への連絡・調整、 復旧確認、報告等を行うこと。なお、障害には、本サービスの情報セキュリティ
インシデントを含めるものとする。
② 本件受託者は、情報システムの障害に関して、事象の分析(発生原因、影響度、過去の発生実績、再発可能性等)を行い、同様の事象が将来にわたって発生する可能性がある場合には、xx的な対応策を提案すること。
(エ) 情報システムの現況確認支援
① 本件受託者は、業務開始時及び ODB 登録シート提出時(四半期に一度)、厚生労働省の指示に基づき、ODB 格納データと情報システムの現況との突合・確認
(以下、「現況確認」という。)を支援すること。また、受注者は、本項で求める現況確認支援の実施実績を証跡として作成し、現況結果確認報告書を提出すること。
② 本件受託者は、現況確認の結果、ODB の格納データと情報システムの現況との間の差異がみられる場合は、運用実施要領に定める変更管理方法に従い、差異を解消すること。
③ 本件受託者は、現況確認の結果、ライセンス許諾条件に合致しない状況が認められる場合は、当該条件への適合可否、条件等を調査のxxx労働省に報告すること。
④ 本件受託者は、現況確認において IPA の My JVN バージョンチェッカを用い る等により、ソフトウェア製品のバージョンを確認し、その結果、サポート切 れのソフトウェア製品の使用が明らかとなった場合は、当該製品の更新の可否、更新した場合の影響の有無等を調査の上、厚生労働省に報告すること。
⑤ 本件受託者は、上記④における厚生労働省への報告後、サポート切れのソフトウェア製品を更新した場合は、改めて厚生労働省に報告すること。
(オ) 引継ぎ
① 本件受託者は、本調達におけるモデル事業を継続する場合には、新たな事業者に対して引継計画及び実施内容を記載した引継実施計画書を作成し、労災保険業務課へ引継ぐこと。
② 本契約の運用に係る事業者が変更になる場合、作業の経緯及び残存課題等を
「別紙4 本調達にて求める役務及び納品成果物と SLCPJCF2013 との対応関係」に示す納品成果物の体系に沿って文書化し、次期事業者に対して引継ぎを行うこと。また、履行期間満了までの期間において、次期事業者からの問合せに対応すること。受託者の作業不備等に起因して履行期間内に引継ぎが完了しない場合は、本件受託者の責任と負担において引継ぎ完了まで継続して実施すること。
③ 本調達で構築するサービスはモデル事業のため、新規サービス構築が今後検討される場合がある。本件受託者は、新規サービス構築に関係する事業者に対して、作業経緯、残存課題等に関する情報、各種データの提供、質問への回答
等の協力を行うこと。
④ モデル事業の終了及び本サービスの稼働終了時、本件受託者は労災保険業務課の求めに応じて、労災保険業務課より指示を受けた方法により本サービス内に保存されているデータを出力し、労災保険業務課に提出すること。なお、データを提出する際には提出されたデータの構成・構造、データの種別等が厚生労働省及び他の事業者でも理解できるような説明資料(テーブル定義表、実体関連図等を想定している。)も提出すること。
⑤ 本件受託者は、本契約の終了後に他の事業者が本情報システムの運用を受注した場合には、次期事業者に対し、本システムの運用等を行うクラウドを原則としてそのまま引継ぐこと。そのため、引継ぎに際しては、必要に応じて次期事業者及びクラウドサービスプロバイダとの間で書面による契約等を行い、管理者権限の引き渡し等クラウドの引継ぎを適切に行うこと。また、次期事業者へのクラウドの引継ぎに遺漏が無いよう、クラウドサービスプロバイダとの契約内容や引継ぎ手順等を整備しておくこと。
⑥ 本件受託者は、引継先が厚生労働省の場合も、上記と同様の引継ぎを実施すること。
(カ) ODB 登録用シートの提出
① 各データの変更管理
各情報システムの運用において、開発規模の管理、ハードウェアの管理、ソフトウェアの管理、回線の管理、外部サービスの管理、施設の管理、公開ドメインの管理、取扱情報の管理、情報セキュリティ要件の管理、指標の管理の各項目について、その内容に変更が生じる作業をした場合は、当該変更を行った項目
② 作業実績等の管理
情報システムの運用中に取りまとめた作業実績、リスク、課題及び障害事由
オ 保守に係る作業の内容
(ア) 保守計画書及び保守実施要領の作成支援
本件受託者は、労災保険業務課が保守作業計画及び保守実施要領を作成するに当たり、具体的な作業内容、実施時間、実施サイクル等に関する資料作成等の支援を行うこと。
(イ) 定常時対応
① 本件受託者は、「別紙3 要件定義書」の保守要件に示す定常時保守作業(定期点検及び不具合受付等)を行うこと。具体的な実施内容・手順は労災保険業務課が定める保守作業計画に基づいて行うこと。
② 本件受託者は、保守計画書、保守設計書、保守実施要領等の作成及び改版を
実施すること。
③ 本件受託者は保守作業計画及び保守実施要領に基づき、以下の内容について月次で保守作業報告書を取りまとめること。
保守作業の内容や工数等の作業実績状況(情報システムの脆弱性への対応状況を含む)
リスク・課題の把握・対応状況
④ 本件受託者は、クラウドサービスを利用するとき、リソース使用量の変動等を踏まえ、リソース最適化の観点からクラウドの運用に係る方針(オートスケールを利用する場合の変更条件・上下限値等を含む。)を変更すべきと考えられる場合には、見直しのための対応策を労災保険業務課に提案すること。
⑤ 本件受託者は、ソフトウェア製品の保守の実施において、ソフトウェア製品の構成に変更が生じる場合には、労災保険業務課にその旨を報告し、変更後の環境がライセンスの許諾条件に合致するか否かの確認を受けること。
⑥ 本件受託者は、保守作業報告書の内容について、月次で労災保険業務課に報告すること。
(ウ) 障害・情報セキュリティインシデント発生時の対応
① 本件受託者は、情報システムの障害発生時(又は発生が見込まれる時)には、労災保険業務課からの連絡を受け、「別紙3 要件定義書」の保守要件に示す障害発生時保守作業(原因調査、応急措置及び報告等)を行うこと。なお、障害には、情報システムの情報セキュリティインシデントを含めるものとする。
② 本件受託者は、情報システムの障害に関して発生日時、発生事象(発生箇所及びソフトウェア名を含む。)、発生原因、業務への影響、復旧策の提示及び復旧の目処について、速やかに労災保険業務課に対面及び調査報告書にて報告するとともに、迅速に対応すること。また、同様の事象が将来にわたって発生する可能性がある場合には、xx的な対応策を提案すること。
(エ) 情報システムの現況確認支援
① 本件受託者は、業務開始時及び ODB 登録シート提出時(四半期に一度)、厚生労働省の指示に基づき、ODB 格納データと情報システムの現況との突合・確認
(以下、「現況確認」という。)を支援すること。また、受注者は、本項で求める現況確認支援の実施実績を証跡として作成し、現況結果確認報告書を提出すること。
② 本件受託者は、現況確認の結果、ODB の格納データと情報システムの現況との間の差異がみられる場合は、運用実施要領に定める変更管理方法に従い、差異を解消すること。
③ 本件受託者は、現況確認の結果、ライセンス許諾条件に合致しない状況が認められる場合は、当該条件への適合可否、条件等を調査のxxx労働省に報告
すること。
④ 本件受託者は、現況確認において IPA の My JVN バージョンチェッカを用い る等により、ソフトウェア製品のバージョンを確認し、その結果、サポート切 れのソフトウェア製品の使用が明らかとなった場合は、当該製品の更新の可否、更新した場合の影響の有無等を調査の上、厚生労働省に報告すること。
⑤ 本件受託者は、上記④における厚生労働省への報告後、サポート切れのソフトウェア製品を更新した場合は、改めて厚生労働省に報告すること。
(オ) アプリケーションプログラムの改修
本件受託者は、労災保険業務課からアプリケーションプログラムに関する改修要望があった場合、労災保険業務課の指定した期日までに、改修是非の判断に資する情報を記載した改修調査報告書を作成し、対面での説明を労災保険業務課に行うこと。また、改修を実施する場合は、改修案件の項目、各工程の要約(総数、確度、到達予定、実績、進捗、到達予定日、到達実績日等)及び開発スケジュール(各工程の予定日数等がプロットされたもの)等を記述したアプリケーション プログラム改修作業計画書を作成し、労災保険業務課の承認を得て行うこと。実施後は、実施内容、改修ステップ数(ステップ数への換算値でも差し支えない。)、結果及び評価についてアプリケーションプログラム改修作業完了報告書を作成し、労災保険業務課に対する報告を行うこと。 本書に示す履行期間中に追加又は変更を予定している機能の改修(対象帳票におけるチェック機能の追加、入力項目の修正等)に要する想定工数は、最大6人月を想定している。
(カ) 引継ぎ
① 本件受託者は、本調達におけるモデル事業を継続する場合には、新たな事業者に対して引継計画及び実施内容を記載した引継実施計画書を作成し、労災保険業務課へ引継ぐこと。
② 本契約の保守に係る事業者が変更になる場合、作業の経緯及び残存課題等を
「別紙4 本調達にて求める役務及び納品成果物と SLCPJCF2013 との対応関係」に示す納品成果物の体系に沿って文書化し、次期事業者に対して引継ぎを行うこと。また、履行期間満了までの期間において、次期事業者からの問合せに対応すること。受託者の作業不備等に起因して履行期間内に引継ぎが完了しない場合は、本件受託者の責任と負担において引継ぎ完了まで継続して実施すること。
③ 本調達で構築するサービスはモデル事業のため、新規サービス構築が今後検討される可能性がある。本件受託者は、厚生労働省及び新規サービス構築に関係する事業者に対して、作業経緯、残存課題等に関する情報やデータの提供及び質疑応答等の協力を行うこと。
④ 本件受託者は、本契約の終了後に他の事業者が本情報システムの保守を受注した場合には、次期事業者に対し、本システムの運用等を行うクラウドを原則
としてそのまま引継ぐこと。そのため、引継ぎに際しては、必要に応じて次期事業者及びクラウドサービスプロバイダとの間で書面による契約等を行い、管理者権限の引き渡し等クラウドの引継ぎを適切に行うこと。また、次期事業者へのクラウドの引継ぎに遺漏が無いよう、クラウドサービスプロバイダとの契約内容や引継ぎ手順等を整備しておくこと。
⑤ 本件受託者は、引継先が厚生労働省の場合も、上記と同様の引継ぎを実施すること。
(キ) ODB 登録用シートの提出
① 各データの変更管理
各情報システムの保守において、開発規模の管理、ハードウェアの管理、ソフトウェアの管理、回線の管理、外部サービスの管理、施設の管理、公開ドメインの管理、取扱情報の管理、情報セキュリティ要件の管理、指標の管理の各項目について、その内容に変更が生じる作業をした場合は、当該変更を行った項目
② 作業実績等の管理
情報システムの保守中に取りまとめた作業実績、リスク、課題及び障害事由
カ その他の作業の内容
(ア) 厚生労働省内外組織への報告支援
本件受託者は、厚生労働省内外の組織に向けた本サービスに係る資料(利用状況の説明資料、照会事項への回答案、説明用プレゼンテーションスライド等を含む。)の作成を支援すること。
(イ) 本サービスの改善提案及び新規サービス構築に向けた要件検討の支援
① 本件受託者は、労災保険業務課の求めに応じて、利用者の利用状況(利用時期・時間帯、利用に要した時間等)の収集・分析等の結果から、本サービスの改善提案(機能改善、ユーザーインターフェース改善、非機能要件の改善等の提案を含む。)を行うこと。
② 本件受託者は、厚生労働省が新規サービス構築に向けた要件検討を行う場合には、その要件検討の支援を行うこと。具体的には、本サービスの課題、利用状況等を踏まえた新規サービスの業務要件及びシステム要件の提案、要件検討の会議、打ち合わせ等への同席、要件検討の資料作成支援等を想定している。また、要件検討の支援の成果物として、新規サービス構築の要件定義書(案)を作成すること。
キ 最終報告書の作成
(ア) 本件受託者は本調達案件が終了と判断したら、以下の内容を含む最終報告書を
作成し、労災保険業務課の承認を得ることとする。
① 本調達または工程の概要レベルの説明
② スコープ目標、スコープの評価に使用される基準、完了基準が満たされていることの証拠
③ 品質目標、本調達や成果物の品質評価に使用される基準、成果物の品質、検証と実際のマイルストーンの日付、差異の理由
④ 最終のサービス、成果物の検証概要
(2)納品成果物の範囲、納品期限等ア 納品成果物
(ア) 本件受託者は「別紙4 本調達にて求める役務及び納品成果物と SLCP-JCF2013との対応関係」に指定する期限までに納品成果物を納品すること。
また、納品期限として具体的な日付等が記載されていないものについては、労災保険業務課と協議の上、決定すること。
(イ) 納品成果物の作成に先立ち、内容や構成等について労災保険業務課が指摘を行った場合には、指摘事項への対応を行うこと。
(ウ) 納品成果物の作成に当たっては、労災保険業務課及び関係業者と十分な打合せを行うこと。
(エ) 納品成果物の作成に当たっては、事前に納品成果物の様式、記載内容等の承認を労災保険業務課から得ること。また、労災保険業務課からの指示がある場合は、それに従い記載様式等を決定すること。
(オ) 納品成果物の作成に当たっては、関係業者による運用保守作業が円滑に行えるよう配慮すること。
(カ) 納品成果物及びその他業務実施過程での成果物において、厚生労働省情報セキュリティポリシー及び付属書類に基づき、情報の格付の区分として原則「機密性2」と成果物に付記すること。一部資料については、労災保険業務課の指示に従い「機密性1」又は「機密性3」と付記すること。電磁的記録媒体で納品される納品成果物については、完全性及び可用性に係る情報も労災保険業務課の指示に従い付記すること。
(キ) ウォーターフォール型以外の設計・開発手法を採用する場合には、「別紙4 本調達にて求める役務及び納品成果物と SLCP-JCF2013 との対応関係」及び採用する手法の特性を考慮の上、納品成果物の記載内容が適切なものになるよう納品成果物を作成すること。
イ 納品方法
(ア) 納品成果物及びその他業務実施過程での成果物は、すべて日本語で作成すること。ただし、日本国においても、英字で表記されることが一般的な文言について
は、そのまま記載しても構わないものとする。
(イ) 用字・用語・記述符号の表記については、「公用文作成の要領(昭和 27 年4月
4日内閣閣甲第 16 号内閣官房長官依命通知)」に準拠すること。
(ウ) 情報処理に関する用語の表記については、原則、日本産業規格(JIS)の規定に準拠すること。
(エ) 納品成果物は電磁的記録媒体により正1部・副1部を納品すること。ただし、労災保険業務課の求めに応じて随時、紙媒体での納品も実施すること。
(オ) 紙媒体で納品する場合、用紙のサイズは、原則として日本産業規格A列4番とするが、必要に応じて日本産業規格A列3番を使用すること。また、バージョンアップ時等に差し替えが可能なようにバインダ方式とすること。
(カ) 電磁的記録媒体による納品について、Microsoft Word2016、同 Excel2016、同 PowerPoint2016(バージョンについては別途、労災保険業務課が指定する場合が ある。)で読み込み可能な形式及び PDF 形式で作成し、納品すること。ただし、労 災保険業務課が他の形式による提出を求めた場合は、これに応じること。なお、 本件受託者側で他の形式を用いて提出したいファイルがある場合は協議に応じる。
(キ) 納品後、厚生労働省において改変が可能となるよう、図表等の元データも併せて納品すること。
(ク) 納品成果物及びその他業務実施過程での成果物の作成に当たって、特別なツールを使用する場合は、労災保険業務課の承認を得ること。
(ケ) 納品成果物が外部に不正に使用されたり、納品過程において改ざんされたりすることのないよう、安全な納品方法を情報セキュリティ管理計画書(案)において提案し、納品成果物の情報セキュリティの確保に留意すること。
(コ) 電磁的記録媒体により納品する場合は、不正プログラム対策ソフトウェアによる確認を行う等して、納品成果物に不正プログラムが混入することのないよう、適切に対処すること。
ウ 納品成果物の修正等
納品成果物に改修等により修正があった場合は、すでに納品したものであっても、紙媒体については変更箇所を明記した変更履歴及び修正ページを速やかに提出し、電磁的記録媒体については変更箇所を明記した変更履歴及び修正後の全編を速やかに提出すること。
エ 納品場所
原則として、納品成果物は以下の場所において引渡しを行うこと。ただし、労災保険業務課が納品場所を別途指示する場合はこの限りではない。
郵便番号 177-0044
xxx練馬区上石神井4-8-4
厚生労働省労働基準局労災保険業務課
5 作業の実施体制・方法に関する事項
(1)作業実施体制
ア 本件受託者は、本件受託業務に係る作業従事者の役割分担、責任分担、体制図等の作業実施体制が分かる資料を実施計画書に含める形で契約締結後2週間以内に労災保険業務課に提出の上、業務遂行に支障が生じない体制を整備すること。当該整備後、作業実施体制に変更が生じる場合は、速やかに、変更後の作業実施体制が分かる資料を労災保険業務課に提出すること。
イ 本件受託者は、体制図等に記載の作業従事者を速やかに配置すること。
ウ 本件受託者は、本調達案件について労災保険業務課と円滑なコミュニケーションが図られるよう以下の法令等に関する基礎知識を有する作業従事者を参画させること、又は本件受託業務に着手するまでに本件受託者の負担においてこれらの知識を作業従事者に習得させること。なお、すべての作業従事者に求めるものではなく、担当案件単位などでの習得の分担も可能である。
・ 労働基準法
・ 労働安全衛生法
・ 労働安全衛生法施行令
・ 労働安全衛生規則
・ 行政手続法
・ 行政手続等における情報通信の技術の利用に関する法律
エ 本件受託者は、プロジェクト管理の責任者(以下「統括責任者」という。)及びxx技術者を配置すること。また、情報セキュリティ管理者を配置すること。業務要員については必要な時期に、必要な技能を有する人員を配置すること。xx技術者は、複数名配置すること。なお、xx技術者は原則専任での配置とする。
オ 本件受託者は、統括責任者、xx技術者及び情報セキュリティ管理者を、第三者に再委託することはできない。また、統括責任者、xx技術者及び情報セキュリティ管理者の3つの担当間において兼任できない。
カ 本件受託者は、作業従事者に対して労災保険業務課とのコミュニケーションに影響が出ないよう本件受託業務に必要な用語を習得させること。
キ 統括責任者、xx技術者及び情報セキュリティ管理者の主な役割を以下に示す。 (ア) 統括責任者
① 本件受託業務に係る最終的責任を負う
② xx技術者以下の作業従事者の管理
③ 業務要員等必要な体制の確立
④ 納期・品質の確保に必要な業務及び体制の管理
⑤ xx技術者が作成する進捗管理資料の確認 (イ) xx技術者
① 統括責任者の補佐
② 各種設計書、業務アプリケーション等の資材に係る品質管理
③ 本件受託業務を確実に遂行するため、労働基準行政システムの関係業者への対応・調整を実施する
④ 進捗管理資料の作成、取りまとめ
⑤ 本調達に係る会議への参加
⑥ 業務要員の業務管理 (ウ) 情報セキュリティ管理者
① 独立した立場での各作業従事者の情報セキュリティの遵守状況の管理
② 物理的観点、人的観点及び技術的観点に基づく、情報セキュリティを保つための施策の計画及び実施と実施結果の評価
③ 情報セキュリティ管理計画書の作成
④ 情報セキュリティ対策の履行状況の報告
⑤ 情報セキュリティ監査への対応における責任者
⑥ 情報セキュリティの侵害発生(侵害のおそれがある場合も含む。)時の原因調査、対策の実施及び労災保険業務課への報告
ク 本件受託者は、作業体制の品質確保のため、本件受託時の統括責任者、xx技術者及び情報セキュリティ管理者を業務終了まで継続して従事させること。万一交代する場合は同等以上の知識及び経験を有する人物が担当するものとして、事前に労災保険業務課の承認を得ること。
ケ 本件受託者と関係事業者の関係を「図5-1 本件受託者及び関係業者の関係」に示し、管理組織の役割を「表5-1 管理組織の役割」表5-2 本件受託者及び各関係業者の役割」に示す。本件業務を推進するに当たっては、「表5-2 本件受託者及び各関係業者の役割」に記載された関係業者等とも連携・調整を行うこと。今後、関係業者が追加された場合には、追加された関係業者とも連携・調整を行うこと。
なお、本件受託者が作業を行う際に、調査をしなければ責任の所在が明確にならない事象等が発生した場合や、責任分界点に疑義が生じた場合は、労災保険業務課、労働基準行政システムの関係業者と協議し、問題の解消に努めること。
体制 | 主な役割 | |
PJMO | 労災保険 | 本調達の意思決定者として、プロジェクトの実施等に係る計画、 |
業務課 | 作業実施状況等の承認を行う。 | |
(発注 | 業務アプリケーション改修及びシステム運用作業の責任者であ | |
者) | り、必要に応じて、関係業者への作業指示を行う。 | |
制度所管 | 政策目的の明確化、効果指標の設定と収集(業務面)、業務の見直 | |
部門管理 | しと改修案件の抽出、設計に関する調整(仕様調整)、受入テスト | |
者及び業 | の実施等を行う。 | |
務所管部 | ||
門管理者 | ||
図5-1 本件受託者及び関係業者の関係表5-1 管理組織の役割
表5-2 本件受託者及び各関係業者の役割
体制 | 主な役割 |
本件受託者 | 自主点検に係る WEB システムを構築・運用し、本モデル事業を推進する。 労働基準行政システムとの連携にあたり、関係業者と調整を行う。 |
(2)管理体制
ア 本件受託業務の実施に当たり、本サービスに労災保険業務課の意図しない変更が行われないように、一貫した品質保証体制の下で本件受託者の体制及び業務が管理さ
れていること。また、当該品質保証体制が書類等で確認できること。
イ 本サービスに労災保険業務課の意図しない変更が行われる等の不正が見つかったとき(不正が行われていると疑わしいときも含む。)に、追跡調査や立入検査等、厚生労働省と本件受託者が連携して原因を調査・排除できる体制を整備していること。また、当該体制が書類等で確認できること。
ウ 管理体制を確認する際の参照情報として、資本関係、役員等の情報(氏名・役職及び国籍)、本件受託業務の実施場所、作業従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報を書面により提出し、労災保険業務課の承認を得ること。
(3)作業従事者に求める資格等の要件 ア 作業従事者に関する要件(全般)
労災保険業務課が作業従事者(統括責任者を含む。)の中に本件受託業務の遂行について著しく不適当な者がいると認める場合には、本件受託者に対してその理由を付して通知し、作業従事者の交代も含めた必要な措置を要求することができるものとする。
イ 統括責任者の条件
(ア) 本件受託者は、統括責任者を1名配置し、本件受託業務を履行できることを能力、実績、資格等を基に労災保険業務課に説明し、労災保険業務課の承認を得ること。
(イ) 統括責任者は以下の条件をすべて満たしていること。
① WEB システム開発業務の通算での経験年数が 10 年以上であること。
② プロジェクト管理実績について、本調達における要件と同程度以上の規模の全国で利用されるWEB システム開発におけるプロジェクトの管理実績を有すること。
③ 以下のいずれかに該当すること。
・ 情報処理の促進に関する法律(昭和 45 年 5 月 22 日法律第 90 号)に基づき実施される情報処理技術者試験のうちプロジェクトマネージャ試験
(PM)又は IT ストラテジスト試験(ST)の合格者若しくは PMI(Project Management Institute)が行う PMP(Project Management Professional)の有資格者
・ 「IT スキル標準 V3 2011」(平成 24 年3月 26 日 独立行政法人 情報処理推進機構)を踏まえて上記の試験合格者又は有資格者と同等以上の
能力を有することが経歴等において明らかであり、その根拠を具体的に示した上で労災保険業務課の承認を得た者
ウ xx技術者の条件
(ア) システム開発実績について、本調達における要件と同程度以上の規模の全国で利用される WEB システム又はクラウドサービスを利用したシステムの開発におけるプロジェクトの設計・開発・テスト及び運用保守の管理実績を有すること。なお、当該管理実績は必ずしも同一案件の実績である必要はない。
(イ) 以下のいずれかに該当すること。
① 情報処理の促進に関する法律に基づき実施される情報処理技術者試験のうち、IT ストラテジスト試験(ST)、システムアーキテクト試験(SA)、データベーススペシャリスト試験(DB)、ネットワークスペシャリスト(NW)又は応用情報技術者試験(AP)の有資格者
② 「IT スキル標準 V3 2011」を踏まえて上記の試験合格者又は有資格者と同等以上の能力を有することが経歴等において明らかであり、その根拠を具体的に示した上で労災保険業務課の承認を得た者
エ 情報セキュリティ管理者の条件
(ア) 情報セキュリティに関する企画、実施、運用及び分析のすべての段階で、物理的観点、人的観点及び技術的観点から、情報セキュリティを保つための施策を計画及び実施し、その結果に関する評価を行った実績を有すること。
(イ) 以下のいずれかに該当すること。
① 情報処理の促進に関する法律に基づく情報処理安全確保支援士の登録を受けている者
② 情報処理の促進に関する法律に基づき実施される情報処理技術者試験のうち、システム監査技術者試験(AU)(旧情報処理試験、システム監査技術者を含む)の合格者
③ 特定非営利活動法人日本システム監査人協会(SAAJ)が認定する公認情報システム監査人(CSA)の有資格者
④ 情報システムコントロール協会(ISACA)が認定する公認情報システム監査人
(CISA)の有資格者
⑤ (ISC)2(International Information Systems Security Certification Consortium)が認定するセキュリティプロフェッショナル認証資格(CISSP)の有資格者
オ 業務要員の条件
(ア) 本件受託者が採用するソフトウェア及びプログラム言語に対する知識・経験を有すること。
(4)作業場所
ア 事前に労災保険業務課と協議し、許可を受けた場所のみで作業を実施すること。
イ 本件受託業務の作業場所、作業に当たり必要となる設備、備品、消耗品等については、本件受託者及び本件受託業務の一部を再委託された者(更にそれ以降の委託先も含む。)の責任において用意すること。また、その作業場所等の条件については、必要に応じて厚生労働省が現地確認を迅速に実施することができるものであること。
ウ 厚生労働省内での作業は、必要な規定の手続を実施し承認を得ること。
(5)作業の管理に関する要領ア プロジェクト管理
本件受託者は、労災保険業務課と調整・連携の上、以下のプロジェクト管理を行うこと。
なお、本件受託者は、本件受託業務の開始に当たり作成する実施計画書及び実施要領並びに労災保険業務課が作成したプロジェクト計画書及びプロジェクト管理要領に基づきコミュニケーション管理、進捗管理、品質管理、リスク管理、課題管理、システム構成管理/変更管理、体制管理、情報セキュリティ対策等を行うこと。
ただし、以下に記載したプロジェクト管理手法はウォーターフォール型の設計・開発手法を前提としている。ウォーターフォール型以外の設計・開発手法を採用する場合には、その採用する手法に適したプロジェクト管理手法を要件定義・仕様調整の段階で提案すること。
(ア) コミュニケーション管理
コミュニケーション管理は、プロジェクト関連情報の作成、共有、蓄積等に関する基準を定め、本件受託者内の統括責任者以下の作業従事者すべてがその基準に従い、円滑かつ効率的なコミュニケーションを行うことを目的とし、以下に示す作業を実施すること。
① 本件受託者は、会議・情報伝達計画書を作成し、提出すること。会議・情報伝達計画書では、会議体の目的、開催頻度、対象者、対象者の当該プロジェクトへの要求事項及びその背景の識別等を明確にすること。
② 会議・情報伝達計画に基づき、各工程における各種作業に関する打合せ、納品成果物等のレビュー、進捗確認及び課題共有等を行うため、労災保険業務課との各種会議の開催又は参加をすること。特に、以下の内容に関する会議は、
それぞれを個別に開催する必要はないが、開催を必須とする。
・ 「進捗管理」に関する個別進捗会議等における報告:1回/(週又は隔週)
・ 「品質管理」に関する報告:1回/四半期等
・ 「リスク管理」に関する報告:1回/隔週
・ 「課題管理」に関する報告:1回/隔週
・ 「情報セキュリティ対策」に関する報告:1回/月※
※情報セキュリティが侵害された又はそのおそれがある場合等は、随時迅速に実施すること。
③ 各種会議を開催するタイミング及び頻度は、各工程の特徴及び状況に鑑みて、労災保険業務課と協議の上、必要に応じて変更すること。
④ 会議各種における報告内容及び報告フォームは、労災保険業務課が報告内容に基づき、今後の対応方針を判断可能なものとすること。
⑤ 労災保険業務課から求めがある場合又は労災保険業務課との協議が必要な事案が発生した場合には、臨時の会議を随時開催すること。
⑥ 労災保険業務課と打合せ等を実施する場合においては、文書により説明すること。
⑦ 本件受託者が主催する会議については、原則3開庁日以内に議事録を提出し、全出席者に内容を確認すること。
⑧ 他の調達案件の発注者及び受託者等が開催する会議についても、労災保険業務課の求めに応じて出席すること。
⑨ 上記のコミュニケーション管理対象、管理レベル等を取りまとめたコミュニケーション管理要領を作成し、実施要領に記載すること。
(イ) 進捗管理
進捗管理は、各タスクの状況把握及びスケジュール管理を行うことを目的とし、以下に示す作業内容を実施すること。
① 本件受託者は、労災保険業務課に対して定期的に作業の進捗管理資料を提出し、作業進捗状況の報告及び問い合わせ回答や指示に応じた作業を行うこと。また、労災保険業務課の求めに応じ、適宜労働基準行政システムの関係業者、省 PMO 等に対し作業進捗状況の報告、問い合わせ回答等を行うこと。
② 各タスクの進捗状況に関する進捗会議等に参加し、労災保険業務課に作業状況を報告すること。なお、報告の頻度・期限については、労災保険業務課と協議の上、調整を実施すること。また、稼働推進会議等の案件横断で開催される会議においては、関係業者の進捗、課題、リスク等の把握に努めるとともに、本件受託者の進捗、課題、リスク等を関係業者に共有すること。
③ 本件受託者は、進捗管理表及びそれを補足する資料(進捗管理資料)を作成し、定期的に、WBS 番号、作業名、個別管理組織及び受託者作業区分、責任者、
作業の開始日及び終了日、完了基準等を進捗管理表に記入すること。
④ 個別進捗会議等では、対象とする作業期間に予定していた全タスクについて、進捗管理表及びそれを補足する資料(進捗管理資料)に基づき進捗を分析し、結果を報告すること。
⑤ 計画から遅れが生じた場合は、原因を調査し、作業従事者の追加、担当者の変更等の体制の見直しを含む改善策を、遅れが生じた時から2週間以内に提示し、労災保険業務課と協議の上対応すること。
⑥ 上記の進捗管理対象、管理レベル等を取りまとめた進捗管理要領を作成し、実施要領に記載すること。
⑦ 本件受託者は、工程の完了を労災保険業務課が承認した後、工程ごとに作業完了報告書を提出すること。
(ウ) 品質管理
品質管理は、本サービスが本調達仕様書で定義された要件を満たすこと又は上回ることを保証することを目的とし、以下に示す作業を実施すること。
① 工程ごとの納品成果物の品質管理基準書(評価指標及び判断基準等)を作成し、提出すること。
② 品質管理基準書の評価結果を記載した品質評価報告書を作成し、労災保険業務課に報告すること。また、次の工程へ移行する際は、労災保険業務課の承認を得ること。
③ 品質評価計画書を作成し、検証及び品質改善策の検討・実施を管理する体制を構築すること。また、各種取組が、品質評価計画書に記載された手続に基づいて実施されていることを定期的に確認及び報告すること。
④ 本件受託者内に品質管理を専門とした部門又は担当者を配置すること。また、その組織名又は担当者氏名を提示し、かつそれらの役割及び本調達との役割分 担を提示すること。
⑤ 上記の品質管理部門又は担当者による本件受託業務の品質レビューを四半期ごと等定期的に実施し、労災保険業務課へ品質レビュー結果を品質評価報告書に含める形で報告すること。
⑥ 各納品成果物の整合性を確保するために、納品成果物の記載方法、体裁等について定義したドキュメント標準を作成し、提出すること。
⑦ 上記の品質管理対象、管理レベル等を取りまとめた品質管理要領を作成し、実施要領に記載すること。
⑧ 本件受託者は、労災保険業務課の求めに応じて本件受託業務の品質改善活動に係る品質改善計画書及び品質改善報告書を作成し、労災保険業務課へ内容を報告すること。
(エ) リスク管理
リスク管理は、各工程における目標の達成に対するリスクを最小限にすることを目的とし、以下に示す業務を実施すること。
① 技術的観点、進捗的観点、人員的観点及び財務的観点等から、本プロジェクトの遂行に影響を与えるリスクを識別し、その発生要因、発生確率、影響度等を整理すること。また、発生確率及び影響度に基づきリスクの対応の優先度を決定し、それに応じた対策を行うこと。
② リスクを顕在化させないための対応策(対応手順、体制等)を策定すること。特に、対応の優先度が高いリスクは、その発生に備え、緊急対応時の体制及び計画を緊急対応時計画として具体化すること。
③ リスクとその属性(予想される頻度、潜在的な影響及び対応)に関する情報を最新の状態に維持するとともに、定期的にリスクへの対応策の見直し、優先順位付けの変更等について必要性を判断し、変更を行うこと。
④ リスク管理に当たり、以下の内容をリスク管理台帳にまとめ、xx管理する こととし、その他必要と考えられる項目についても管理する仕組みとすること。
発生要因発生確率影響度 対応策
対応策の実施状況定期的な監視結果
リスクに係る評価結果
⑤ 上記で整理したリスク及び対応策について、インシデント発生のxx原因、対応策の実施状況、定期的な監視及び評価結果を記載したリスク管理台帳を作成し、報告すること。また、必要に応じて、第三者の評価、システム監査、工程レビュー等の結果を評価して、更なるリスク分析を実行する必要性を判断すること。
⑥ 上記のリスク管理対象、管理レベル等を取りまとめたリスク管理要領を作成し、実施要領に記載すること。
(オ) 課題管理
課題管理は、プロジェクト遂行上の様々な局面で発生する各種課題について、課題の認識、対応案の検討、解決及び報告のプロセスを明確にすることを目的とし、以下に示す作業を実施すること。
① 課題管理に当たり、以下の内容を課題管理台帳にまとめ、xx管理することとし、その他必要と考えられる項目についても管理する仕組みとすること。
・ 課題内容
・ 影響
・ 優先度
・ 発生日
・ 担当者
・ 対応状況
・ 対応策
・ 対応結果
・ 解決日
② 労災保険業務課と情報を共有するために、起票、検討、対応及び承認といった一連のワークフローを意識した管理プロセスを確立すること。
③ 積極的に課題の早期発見に努め、迅速にその解決に取り組むこと。
④ 対応状況を定期的に監視及び報告し、解決を促す仕組みを確立すること。
⑤ 設計・開発スケジュールに影響を与えるような重大な課題が発生した場合には、速やかに労災保険業務課に報告し、対応策について協議すること。
⑥ 課題に対する解決策の実行が業務アプリケーション又はマニュアル等の文書の変更に及ぶ場合には、変更管理の手続に従い、変更管理の要求を提出すること。また、その影響を受ける関係業者に対して、実行した解決策、実行結果及び今後の対応について周知を行うこと。
⑦ 上記の課題管理対象、管理レベル等を取りまとめた課題管理要領を作成し、実施要領に記載すること。
(カ) システム構成管理/変更管理
システム構成管理/変更管理は、本サービスの整合性を維持し、プロジェクト環境の変更に対し、常に追跡可能な状態を確保することを目的とし、以下に示す作業を実施すること。
① 構成管理対象(ソフトウェア、標準記述様式、仕様書、設計書等)を特定し、管理レベル(参照権限、更新権限、保存方法、保存期間等)を定めること。
② 構成管理対象について、変更依頼、影響分析、影響調査、承認及び実装といった一連のワークフローを意識した管理プロセスを確立すること。
③ 要件と構成管理対象の変更について、双方向に追跡可能な仕組みを確立すること。また、本件受託者内の品質管理部門による監査及び評価を行い、その結果を反映及び進捗会議等において報告すること。
④ 上記の構成管理対象、管理レベル等を取りまとめたシステム構成管理/変更管理要領を作成し、実施要領に記載すること。
⑤ 労災保険業務課が承認した実施要領及びシステム構成管理/変更管理要領に基づき、変更管理を行うこと。
⑥ 労災保険業務課が課している役務範囲を超えた要件又は作業を指示した場合は、労災保険業務課の指示に従い見積書を作成し、必要工数、その内訳及び
算出根拠を具体的かつ詳細に提示すること。また、その見積額が、本調達の契約額に照らして妥当であることを示す資料を提出すること。
⑦ 変更管理に当たり、以下の内容をシステム構成管理/変更管理台帳にまとめ、xx管理することとし、その他必要と考えられる項目についても管理する仕組 みとすること。
・ 変更管理 ID
・ 変更対象システム
・ 変更概要
・ ステータス
・ 発生元
・ 変更要求書起票
・ 影響分析・工程見積
・ 変更管理実施判定 (キ) 体制管理
体制管理は、本件受託業務に参画する作業従事者の選定、変更及び体制維持に
関する管理を行うことを目的とし、以下に示す作業を実施すること。
① 工程及びタスクごとに必要となるスキルを正確に定義し、適切な知識及び経験を有する業務要員等を配置すること。また、主たる報告責任者とその権限及び役割を明確にした業務体制図を労災保険業務課に提出すること。
② 統括責任者、xx技術者、xx技術者を補佐する業務要員、情報セキュリティ管理者等に変更が生じる場合には、事前に労災保険業務課に書面にて報告し、承認を得ること。また、代替する作業従事者は、同等の知識及び経験を有するものを選定すること。
③ 情報漏えい及び作業計画の大幅な遅延等の問題が生じた場合は、以下の連絡先にその問題の内容について報告すること。
(事業担当部局)厚生労働省労働基準局労災保険業務課
TEL 00-0000-0000(内線:380、322、366、367)
(契約担当部局)厚生労働省労働基準局労災管理課
TEL 00-0000-0000(内線:5445)
④ 上記の体制管理対象、管理レベル等を取りまとめた体制管理要領を作成し、実施要領に記載すること。
(ク) 情報セキュリティ対策
情報セキュリティ対策は、設計・開発における情報漏えい対策等に関する管理を行うことを目的とし、以下に示す作業を実施すること。
① 厚生労働省情報セキュリティポリシー及び付属書類並びに厚生労働省保有個人情報管理規程及び特定個人情報の適正な取扱いに関するガイドライン(行
政機関等・地方公共団体等編)(以下「厚生労働省情報セキュリティポリシー等」という。)の内容を理解し、遵守すること。
② 厚生労働省が提供する資料、ハードウェア、ソフトウェア、データ、施設等を利用する際、厚生労働省情報セキュリティポリシー等を遵守し、万全のセキュリティ対策を実施すること。
③ 厚生労働省情報セキュリティポリシー等の見直しが行われた場合は、その内容に準拠すること。
④ 情報セキュリティ対策対象、管理レベル等を取りまとめた情報セキュリティ対策要領を作成すること。
⑤ 情報セキュリティ対策要領に則った情報セキュリティ対策を実施すること。
⑥ 情報セキュリティ対策の実施状況は、定期的に内部監査を実施の上、情報セキュリティ対策実施報告書を作成し、労災保険業務課に報告すること。
⑦ 情報セキュリティ対策の内容は、各作業工程の状況に応じて、適宜改善策を検討し、労災保険業務課の承認を得ること。
⑧ 情報セキュリティに関する事故及び障害等が発生した場合には、速やかに労災保険業務課に報告し、対応策について協議すること。
⑨ 業務アプリケーション等について、ペネトレーションテストといった脆弱性検査を実施し、その結果を労災保険業務課に脆弱性検査結果報告書にて報告すること。
⑩ 脆弱性検査結果を踏まえて、構成する機器及びソフトウェアの中で、脆弱性対策を実施する対象を適切に決定すること。また、脆弱性対策を行うとした機器及びソフトウェアについて、公表されている脆弱性情報及び公表される脆弱性情報を把握すること。
➃ 把握した脆弱性情報について、対処の要否及び可否を判断すること。対処したものに関して対処方法、対処しなかったものに関してその理由、代替措置及び影響を納品時に労災保険業務課に脆弱性情報の対処状況報告書にて報告すること。
⑫ 情報セキュリティポリシー実施手順を、最新の厚生労働省情報セキュリティポリシー等に基づき作成し、情報セキュリティ教育実施計画書に含めること。
⑬ 本件受託者は、セキュリティ対策を実施するに当たり、本件受託者内の社内教育や周知計画について、セキュリティ教育実施計画書にて具体的な実施方法を労災保険業務課に報告すること。また、実施結果等を情報セキュリティ教育実施報告書にて報告すること。
⑭ 本番稼働後、本件受託者の責任範囲を起因とする情報セキュリティに係るリスクが発現しないよう本件受託者にて必要な対策を実施すること。
⑮ 本件受託者は、情報セキュリティが侵害された又はそのおそれがある場合に
は、速やかに労災保険業務課に報告すること。また、原因の分析及び再発防止策をセキュリティインシデント報告書にて労災保険業務課に報告し、労災保険業務課の承認を得た上で実行すること。さらに、損害に対する賠償等の責任を負うこと。なお、以下の事象が発生した場合も同様の対応を実施し、損害賠償等の責任を負うこと。
・ 本件受託者に提供した情報又は本件受託者によるアクセスを認める厚生労働省の情報の外部への漏えい及び目的外利用
・ 本件受託者による厚生労働省のその他の情報へのアクセス
⑯ 情報セキュリティ対策の履行状況について、労災保険業務課が本調達仕様書において求める情報セキュリティ対策の実績の報告を求めた場合には速やかに提出すること。
➃ 本件受託者における情報セキュリティ対策の履行が不十分であると認められる場合には、本件受託者は、労災保険業務課の求めに応じ、労災保険業務課と協議を行い、合意した対応を実施すること。
6 作業の実施に当たっての遵守事項
(1) 機密保持、資料の取扱い
ア 本件受託者は、本件受託業務の実施の過程で厚生労働省が開示した情報(公知の情報を除く。以下同じ。)、他の受託者が提示した情報及び本件受託者が作成した情報を、本件受託業務の目的以外に使用又は第三者に開示若しくは漏えいしてはならないものとし、そのために必要な措置を講ずること。
イ 本件受託者は、本件受託業務を実施するに当たり、厚生労働省から入手した資料等については管理台帳等により適切に管理し、かつ以下の事項に従うこと。
(ア)複製しないこと。
(イ)用務に必要がなくなり次第、速やかに厚生労働省に返却すること。
(ウ)本件受託業務完了後、上記アに記載する情報の廃棄又は厚生労働省への返却を行った上で、本件受託者において当該情報を保持していないことを誓約する旨の
「機密文書の保持終了に係る誓約書」を厚生労働省へ提出すること。
ウ 機密保持及び資料の取扱いについて、適切な措置が講じられていることを確認するため、厚生労働省が遵守状況の報告や実地調査を求めた場合には応じること。
エ 万一本件受託者の責に起因する情報セキュリティインシデントが発生する等の事故があった場合には、直ちに労災保険業務課に報告すること。また、損害に対する賠償等の責任を負うこと。
(2) 遵守する法令等ア 法令等の遵守
(ア)本件受託者は厚生労働省情報セキュリティポリシー等の最新版を遵守すること。なお、厚生労働省情報セキュリティポリシー及び付属書類は非公表であるが、政府機関等の情報セキュリティ対策のための統一基準に準拠しているので、必要に応じ参照すること。また、厚生労働省情報セキュリティポリシー及び付属書類の参照は、契約締結時に本件受託者が誓約する守秘義務に従って行うこと。
(イ)本件受託業務の実施に当たり、労働基準行政システムの設計書等を参照する際、作業方法等について労災保険業務課の指示に従い、秘密保持契約の締結等をした 上で作業すること。作業場所は、厚生労働省庁舎内又は労災保険業務課の許可を 受けた場所とすること。
(ウ)本件受託者は、本件受託業務の実施において、民法、刑法、著作xx、不正アクセス行為の禁止等に関する法律、行政機関の保有する個人情報の保護に関する法律等の関連する法令等を遵守すること。
(エ)厚生労働省が提供する資料は、原則貸出しによるものとし、厚生労働省が指定する期限までに返却すること。
(オ)また、厚生労働省の許可なく当該資料の複製又は第三者への提供はしないこと。
(カ)本件受託者は、本件受託業務の実施において、特定個人情報の取扱いに関して、特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)に規定された安全管理措置の遵守に必要な対応を行うこと。
イ その他文書及び標準への準拠
本調達の業務遂行に当たり、労災保険業務課が定めるプロジェクト計画書及びプロジェクト管理要領との整合性を確保して行うこととし、労災保険業務課からの指示があった場合は、これに従うこと。
(3) 情報セキュリティ管理
ア 情報セキュリティ管理(全般)
本件受託者は以下を含む情報セキュリティ対策を実施すること。
また、その実施内容及び管理体制についてまとめた情報セキュリティ管理計画書を作成の上、提出すること。
あわせて、本業務において納品するソフトウェア、電磁的記録媒体等は、製造業者名、製造業者の法人番号、製品名及び型番等について、情報セキュリティ管理計画書の一部として、別添様式(以下「機器リスト」という。)により提出すること。提出された機器リストについて、厚生労働省がサプライチェーン・リスクに係る懸念が払
拭されないと判断した場合には、当該リスクに対応するため、代替品又はリスク低減対策の提出を求めることがあるので留意すること。なお、機器リストの製品等を変更する場合には、事前に厚生労働省に申請し、承認を得ること。
ただし、機器リストについて、本件受託業務において業務アプリケーションのみを納品する場合は、「区分」は「ソフトウェア」、「製造業者名」及び「製造業者の法人番号」は本件受託者の情報、「製品名」は「業務アプリケーション(詳細な機能は仕様書による)」並びに「型番」は空欄とすること。
(ア)厚生労働省から提供する情報の目的外利用を禁止すること。
(イ)本件受託業務の実施に当たり、本件受託者若しくはその従業員、本調達の役務の内容の一部を再委託する先若しくはその従業員又はその他の者による意図せざる不正な変更が情報システムのハードウェア、ソフトウェア等に加えられないための管理体制が整備されていること。
(ウ)本件受託者の資本関係、本件受託業務の実施場所、役員等の情報(氏名・役職及び国籍)、本件受託業務従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供を行うこと。
(エ)情報セキュリティインシデントへの対処方法が確立されていること。
(オ)情報セキュリティ対策その他の契約の履行状況を定期的に確認し、労災保険業務課へ報告すること。
(カ)情報セキュリティ対策の履行が不十分である場合、速やかに改善策を提出し、労災保険業務課の承認を得た上で実施すること。
(キ)厚生労働省が求めた場合に、速やかに情報セキュリティ監査を受け入れること。
(ク)本調達の役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるように情報セキュリティ管理計画書に記載された措置の実施を担保すること。
(ケ)本件受託業務の実施の過程で厚生労働省から要保護情報を受領する場合は、情報セキュリティに配慮した受領方法にて行うこと。
(コ)本件受託業務の実施の過程で厚生労働省から受領した要保護情報が不要になった場合は、これを確実に返却又は抹消し、書面にて報告すること。
(サ)本件受託業務において情報セキュリティインシデントの発生、情報の目的外利用等を認知した場合は、速やかに労災保険業務課に報告すること。
イ 情報管理体制
(ア)本件受託者は本件受託業務で知り得た情報を適切に管理するため、以下に示す体制を確保し、当該体制を確保していることを証明するため、厚生労働省に対し情報セキュリティ管理計画書の一部として、「情報取扱者名簿」(当該業務に従事
する者のうち、保護を要する情報を取り扱う可能性のある者の名簿をいう。業務の一部を再委託する場合は再委託先も含む。)、「情報セキュリティを確保するための体制を定めた書面(情報管理体制図、情報管理に関する社内規則等)」(業務の一部を再委託する場合は再委託先も含む。)及び「業務従事者名簿」(当該業務に従事する者の名簿をいう。)を提出すること。ただし、「業務従事者名簿」の提出については、「情報セキュリティを確保するための体制を定めた書面」の事前提出があり、労災保険業務課が確認の上、「業務従事者名簿」の提出がなくとも差し支えない情報管理体制であると判断した場合は、この限りでない。
「情報取扱者名簿」には情報管理責任者(当該業務の情報取扱いのすべてに責任を有する者)、情報取扱管理者(当該業務の進捗管理等を行い、保護を要する情報を取り扱う可能性のある者)、その他保護を要する情報を取り扱う可能性のある者について、氏名、住所、生年月日、所属部署、役職等を、業務の一部を再委託する場合は再委託先も含めて記載すること。
「情報セキュリティを確保するための体制を定めた書面」として、情報管理体制図や情報管理に関する社内規則のほか、本件受託者等の資本関係・役員等の情報、本件受託業務の実施場所が確認できる資料を提出すること。
「業務従事者名簿」には、当該業務に従事する者について、氏名、所属部署、役職、学歴、職歴、業務経験、研修実績その他の経歴、専門的知識その他の知見、母語及び外国語能力、国籍等を記載すること。
<確保すべき体制>
① 情報取扱者は、本件受託業務の遂行のために最低限必要な範囲の者とすること。
② 本件受託者が本件受託業務で知り得た情報について、厚生労働省が承認した場合を除き、本件受託者の役員等を含め、情報取扱者名簿に記載のある者以外の者に伝達又は漏えいされないことを保証する履行体制を有していること。
③ 本件受託者が本件受託業務で知り得た情報について、厚生労働省が承認した場合を除き、本件受託者の親会社、地域統括会社、ブランド・ライセンサー、フランチャイザー、コンサルタントその他の本件受託者に対して指導、監督、業務支援、助言、監査等を行う者を含め、本件受託者以外の者に伝達又は漏えいされないことを保証する履行体制を有していること。
(イ)本件受託者は、上記の「情報取扱者名簿」、「情報セキュリティを確保するための体制を定めた書面(情報管理体制図、情報管理に関する社内規則等)」及び「業務従事者名簿」に変更がある場合は、あらかじめ厚生労働省に申請を行い、承認を得ること。
(ウ)本件受託者は、本件受託業務で知り得た情報について、厚生労働省が承認した場合を除き、本件受託者の役員等を含め、情報取扱者以外の者に伝達又は漏えい
してはならないこと。本件受託者は、本件受託業務で知り得た情報について、厚生労働省が承認した場合を除き、受託者の親会社、地域統括会社、ブランド・ライセンサー、フランチャイザー、コンサルタントその他の受託者に対して指導、監督、業務支援、助言、監査等を行う者を含め、受託者以外の者に伝達又は漏えいしてはならないこと。
ウ 履行完了後の資料の取扱い
本件受託者は、厚生労働省から提供した資料又は厚生労働省が指定した資料の履行完了後の取扱い(返却、削除等)について、厚生労働省の指示に従うこと。
7 納品成果物の取扱いに関する事項
(1) 知的財産権の帰属
ア 本調達に関わり作成、変更又は更新されるドキュメント類、プログラム等の著作権
(著作xx(昭和 45 年法律第 48 号)第 21 条から第 28 条に定めるすべての権利を含む。)は、本件受託者が本調達の従前より権利を保有していた等の明確な理由により、あらかじめ提案書にて権利譲渡不可能と示されたものを除いて、厚生労働省が所有する現有資産を移行等して発生した権利を含めて、すべて厚生労働省に帰属するものとする。また、厚生労働省は、納品成果物及びその他業務実施過程での成果物を著作xx第 47 条の3の規定に基づき、複製、翻案すること及び当該作業を第三者に委託し、当該者に行わせることができるものとする。
イ 本調達に関わり発生した権利については、本件受託者は著作者人格権を行使しないものとする。
ウ 本調達に関わり発生した権利については、今後、二次的著作物が作成された場合等 であっても、本件受託者は原著作物の著作権者としての権利を行使しないものとする。
エ 本調達に関わり作成、変更又は修正されるドキュメント類、プログラム等に第三者が権利を有する著作物(以下「既存著作物等」という。)が含まれる場合、本件受託者は当該既存著作物の使用に必要な費用負担や使用許諾契約等に係る一切の手続を行うこと。この場合、本件受託者は事前に当該既存著作物の内容について厚生労働省の承認を得ることとし、厚生労働省は、既存著作物等について当該許諾条件の範囲で使用するものとする。
オ 本調達に関わり第三者が有する著作物を巡る紛争が生じた場合には、当該紛争の原因が専ら厚生労働省の責めに帰す場合を除き、本件受託者の責任及び負担において
一切を処理すること。厚生労働省は、当該紛争の事実を知ったときは、本件受託者に通知し、必要な範囲で訴訟上の防衛を本件受託者に委ねる等の協力処置を講ずる。
カ 本調達に定める納品成果物の所有権は、本調達に定める納品成果物の検査が完了した日をもって、厚生労働省に移転するものとする。
(2) 瑕疵担保責任
ア 本件受託者は、本調達について検査が完了した日(検査を年度等の単位で分割して実施した場合は、契約期間中、本調達に対して最後に検査が完了した日。以下同じ。)を起算日として1年間、納品成果物に対する瑕疵担保責任を負うものとする。その期間内において瑕疵があることが判明した場合には、その瑕疵が労災保険業務課の指示によって生じた場合を除き(ただし、本件受託者がその指示が不適当であることを知りながら、又は過失により知らずに告げなかったときはこの限りでない。)、本件受託者の責任及び負担において速やかに修正等を行い、指定された日時までに再度納品するものとする。なお、修正方法等については事前に労災保険業務課の承認を得てから着手するとともに、修正結果等についても労災保険業務課の承認を得ること。
イ 前項の瑕疵担保期間経過後であっても、納品成果物等の瑕疵が本件受託者の故意又は重大な過失に基づく場合は、本調達について検査が完了した日を起算日として2年間はその責任を負うものとする。
ウ 厚生労働省は、前各項の場合において、瑕疵の修正等に代えて、当該瑕疵により通常生ずべき損害に対する賠償の請求を行うことができるものとする。また、瑕疵を修正してもなお生じる損害に対しても同様とする。
(3) 検査
ア 本調達仕様書「4(2)納品成果物の範囲、納品期限等」に則って納品成果物を提出すること。その際、労災保険業務課の指示により、別途品質保証が確認できる資料を作成し、納品成果物と併せて提出すること。ただし、本調達仕様書に示す納品成果物以外にも、必要に応じて納品成果物としての提出を求めることがあるので、本調達仕様書に基づき作成した資料は常に管理し、最新の状態に保っておくこと。
イ 納品成果物の検査に先立ち、労災保険業務課と協議の上、検査事項及び日程等に関する調整を実施すること。
ウ 納品成果物の検査に先立ち、労災保険業務課から事前に納品成果物の様式、記載内
容等を確認すること。
エ 労災保険業務課が指定する担当職員及び工程管理等支援業者の立会いの下、納品成果物の提出及び検査事項の確認をもって検査完了とすること。
オ 労災保険業務課による検査の結果、納品成果物の全部又は一部が不合格であった場合は、本件受託者は直ちに引き取り、必要な修正を行った上で、労災保険業務課が指定した日時までに修正が反映されたすべての納品成果物を提出すること。
8 入札参加資格に関する事項
(1)入札参加要件
本調達の遂行において、応札希望者は以下のすべての条件を満たすことを証明すること。
ア 公的な資格や認証等の取得
品質管理体制について「ISO9001:2015」、組織としての能力成熟度について「CMMIレベル3以上」のうち、いずれかの認証を受けていること。
応札希望者は ISO9001:2015、組織としての能力成熟度について CMMI レベル3以上のうちいずれの認証も受けていないものの「これらに準じた品質管理体制を構築・運用している」と厚生労働省が認める場合は、入札への参加を可能とする。本確認を受けるために以下の書類を提出すること。なお、提出された書類において、本調達にかかる品質管理体制が確保できないと厚生労働省が判断した場合は、入札に参加することができない。
・品質管理に関する明文化された規程及び体制図
・品質管理体制に関する誓約書
プライバシーマーク付与認定、ISO/IEC27001 認証(国際標準規格)、JIS Q 27001認証(日本産業標準規格)のいずれかを取得していること。
x 受託実績
システム開発実績について、本調達における要件と同程度以上の規模の情報システムにおける要件定義支援、システム設計・開発の経験を有すること。
ウ 複数業者による共同提案
(ア)複数の業者が共同提案する場合、その中から全体の意思決定及び運営管理等に責任を持つ共同提案の代表者を定めるとともに、本代表者が本調達に対する入札を行うこと。
(イ)共同提案を構成する業者間においては、その結成、運営等について協定を締結
し、業務の遂行に当たっては代表者を中心に各業者が協力して行うこと。業者間の調整事項、トラブル等の発生に際しては、その当事者となる当該業者間で解決すること。また、解散後の瑕疵担保責任に関しても協定の内容に含めること。
(ウ)共同提案を構成するすべての業者は、本調達における入札への単独提案又は他の共同提案への参加を行っていないこと。
エ 履行可能性審査に関する要件
本調達仕様書「6(3)情報セキュリティ管理」に基づいた情報セキュリティ管理計画書(案)を作成し提案書と併せて提出すること。また、情報セキュリティ管理計画書(案)は本件受託業務で取り扱う情報等の特性を十分に踏まえて作成したものであること。
なお、提出された情報セキュリティ管理計画書(案)において履行可能性を認めることができないと厚生労働省が判断した場合は、入札に参加することはできない。
オ その他
(ア)応札希望者は労災保険業務課が定める期間、場所、方法において資料閲覧(電磁的記録媒体による資料閲覧を含む。)を実施すること。
(イ)本件受託者は、受託後、スケジュールどおりに作業を行うべく、必要な作業環境を用意し、環境設定ができること。
(ウ)クラウドサービスを利用するとき、利用する予定のクラウドサービスを技術提案段階で明示し、当該クラウドサービスが本調達仕様書に示す各要件を満たすことを提案書に記載すること。また、利用するクラウドサービスは、ISO/IEC 27017による認証又はJASA クラウドセキュリティ推進協議会CS ゴールドマークを取得しているものを利用すること。
(2)入札参加前に提出する資料
サプライチェーン・リスクに係る確認のため、提案書の提出期限の 15 開庁日前までに、「6(3)情報セキュリティ管理」に基づいて機器リスト(案)を提出すること。なお、提出された機器リスト(案)について6(3)と同様に代替品又はリスク低減対策の提出を求めることがあるので、速やかに応じること。
(3)入札制限
本調達のxx性を確保するため、応札希望者は、以下に挙げる業者並びにこの業者の
「財務諸表等の用語、様式及び作成方法に関する規則」(昭和 38 年大蔵省令第 59 号)第8条に規定する親会社及び子会社、同一の親会社を持つ会社並びに委託先業者等の緊密な利害関係を有する業者でないこと。
「平成 30~32 年度厚生労働省全体管理組織(PMO)の支援【調達支援等】一式」の受託者
「労働基準行政情報システム・労災行政情報管理システム及び労災レセプト電算処理システムに係る工程管理等支援業務一式(平成 30 年度開始)」の受託者
9 再委託に関する事項
(1)再委託の制限及び再委託を認める場合の条件
本件受託者は、本件受託業務の全部又は本件受託業務における総合的な企画及び判断並びに業務遂行管理部分を第三者(本件受託者の子会社(会社法第2条第3号に規定する子会社をいう。)を含む。)に再委託することはできない。
また、本件受託業務の契約金額に占める再委託契約金額は、原則2分の1未満とすること。
本件受託者でないが主体となる関連会社及び協力会社が参画する体制を敷くことを労災保険業務課が承認する場合は、関連会社及び協力会社の作業範囲及び責任範囲を明確にし、関連会社及び協力会社の作業並びに納品成果物及びその他業務実施過程での成果物に対して十分な管理及び検査を実施するとともに、関連会社及び協力会社に係る一切の事項について、その最終的な責任を本件受託者が負うこと。特に、労働者派遣事業の適正な運営の確保及び派遣労働者の就業条件の整備等に関する法律等に抵触しないように、適切な管理及び対応を行うこと。
本件受託者は、知的財産権、情報セキュリティ(機密保持及び遵守事項)、xxxxx等に関して本調達仕様書が定める本件受託者の責務を、再委託先業者も負うよう、必要な処置を実施すること。
(2)承認手続
本件受託業務の一部を再委託する場合は、あらかじめ再委託の相手方の商号又は名称及び住所並びに再委託を行う業務の範囲、再委託の必要性及び契約金額について記載した「再委託に係る承認申請書」を提出し、事前に承認を得ること。申請の承認には提出から3週間程度を要する見込みであるため、本件受託者にてスケジュール等への影響を考慮し、適宜申請を行うこと。
なお、再委託の相手方は本調達仕様書「8 (3)入札制限」の対象となる業者でないこと。
当初申請内容に変更が生じた場合は「再委託に係る変更承認申請書」を労災保険業務課に提出し、承認を得ること。
再委託の相手方から更に第三者(更にそれ以降の委託先も含む。)に委託が行われる場合は、当該第三者の商号又は名称及び住所並びに委託を行う業務の範囲等を記載し
た「履行体制図」に、当該第三者に業務を委託する必要性、並びに業務処理及び労務管理に係る責任分界点が分かる資料を添えて提出の上、当該第三者への委託について事前に承認を得ること。当該承認には、提出から3週間程度を要する見込みであるため、本件受託者にてスケジュール等への影響を考慮し、適宜提出すること。
また、提出内容に変更が生じた場合も、同様に事前に承認を得ること。
10 その他特記事項
(1)前提条件及び制約条件
ア 本件受託者は、労災保険業務課の求めにより契約金額の内訳を提出すること。内訳は、少なくとも案件、工程及び年度単位で示すこと。契約金額の内訳のうち、実施しないこととした業務の項目がある場合は、労災保険業務課と本件受託者で協議の上、契約金額を減額することもあり得る。
イ 本件受託者は、本件受託者、関係業者、労災保険業務課の間における連絡手段とし て、メーリングリスト又はインターネットを利用したグループウェアを用意すること。
グループウェアを使用する場合には、最低限下記の機能があることを条件とする。また、本件受託者は当該連絡手段の運用管理要領を厚生労働省情報セキュリティポリシー等に従い作成した上で、労災保険業務課の承認を得ること。なお、各利用者間でアクセス等の区分を設けるとともに、公開設定、権限設定等に誤りがないよう十分に注意すること。さらに、ユーザ ID の発行、削除、棚卸等に係る管理及び四半期等での定期的な監査を実施すること。
・フォルダごとの管理
・ファイルのダウンロード、アップロード
・ユーザ権限設定(参照のみ、書き込み可など)
・データ交換機能
・ファイルの一括 DL
・ファイルのバックアップ機能
ウ クラウドサービスプロバイダを契約する際には、本件受託者とクラウドサービスプロバイダとの間で書面による契約を締結すること。その際には、本調達にて示した仕様、要件等を満足するような契約を締結すること。
エ クラウドサービス利用料金の支払いは、本件受託者が行うこと。事前にクラウドサービス利用料金を試算し、適切な金額を見積った上で入札すること。
(2)環境への配慮
ア 調達に係る納品物については、「国等による環境物品等の調達の推進等に関する法律(グリーン購入法)」に基づいた製品を可能な限り導入すること。
イ 本件受託者にて用意する機器については、性能や機能の低下を招かない範囲で消費電力節減、発熱対策、騒音対策等の環境配慮を行うこと。
ウ 本件受託者は、政府の電力需給対策を踏まえた作業環境や作業手順等を検討し労災保険業務課の承認を得た上で実施すること。
(3)契約に関する通報窓口
事業者(受託者)による契約条項違反を防止するため、事業者(受託者)の社員から直接厚生労働省(大臣官房会計課監査指導室)に書面、メール等による通報を受け付ける「契約に関する通報窓口」について、本事業に従事する職員に事業開始までにあらかじめ周知すること。また周知した旨、当省(事業担当課)に報告すること。
(通報窓口) 厚生労働省大臣官房会計課監査指導室ア 書面(郵送)の場合
〒100-8916 xxxxxx区霞が関1-2-2厚生労働省大臣官房会計課監査指導室
イ FAXの場合
厚生労働省大臣官房会計課監査指導室 00-0000-0000
ウ メールの場合
xxxxxxx-xxxxx@xxxx.xx.xx(専用メールアドレス)
(4)問題発生時の連絡体制
情報漏えい及び作業計画の大幅な遅延等の問題が生じた場合は、以下の連絡先にその問題の内容について報告すること。
(事業担当部局)労働基準局労災保険業務課 電話番号 00-0000-0000(内線 366、 367、336)
(契約担当部局)厚生労働省労働基準局労災管理課 電話番号 00-0000-0000(内線 5445)
(5)その他
ア 厚生労働省全体管理組織(PMO)から労災保険業務課に対して行った指導、助言等については、本件受託者もその指導等に従うこと。
イ 本件受託者は、電子政府推進に係る政府の各種施策・方針等(今後出されるものを含む。)に従うこと。
11 附属文書
(1)要件定義書
「別紙3 要件定義書」を参照すること。
(2)参考資料
本調達の役務を遂行するにあたり、以下の資料を参照すること。
「Web サイト等の整備及び廃止に係るドメイン管理ガイドライン」(平成 30年3月 30 日 各府省情報化統括責任者(CIO)連絡会議決定)
「Web サイト等による行政情報の提供・利用促進に関するガイドライン」(平成 31 年4月 18 日 各府省情報化統括責任者(CIO)連絡会議決定)
「政府機関等の情報セキュリティ対策のための統一基準群」(平成 30 年7月
25 日 サイバーセキュリティ戦略本部決定)
(3)応札希望者等が閲覧できる資料一覧表
入札期間中又は契約時に応札希望者又は本件受託者が閲覧できる資料は、「別紙5閲覧資料一覧」を参照すること。なお、守秘義務に関する誓約書を提出した後に開示する。
(4)閲覧要領
応札希望者が「別紙5 閲覧資料一覧」に示す資料を閲覧する際は、公告期間中に「1
(8)担当課室・連絡先」に事前に連絡し了承を得た上で「様式 庁舎における資料閲覧に係る誓約書」又は「様式1 電磁的記録媒体の貸出による資料閲覧に係る誓約書」及び「様式2 電磁的記録媒体の貸出による資料閲覧者名簿」を提出した場合に、厚生労働省が定める期間、場所及び方法において閲覧を許可する。なお、電磁的記録媒体による閲覧を希望する場合は、「様式3 「電磁的記録媒体の貸出による資料閲覧に係る誓約書」に係る遵守状況報告書」による閲覧状況の報告を求める。
閲覧要領に関する詳細は、「庁舎における資料閲覧要領」及び「電磁的記録媒体の貸出による資料閲覧要領」を参照すること。
(5)提案書等の審査要領
提案書等の審査要領については、「別紙6 労働災害再発防止のための自主点検 WEBサービスのモデル事業 提案書作成要領・総合評価基準表」を参照すること。
(6)契約締結後に開示する資料
契約締結後に開示する資料は以下のとおり。 厚生労働省情報セキュリティポリシー等
以上
用語集 【別紙1】
項番 | 用語 | 説明 |
1 | ソフトウェア | 汎用ソフトウェア、業務アプリケーション、設定ファイル等のシステムを構成する、又は影響を与えるプログラムの総称。 |
2 | 汎用ソフトウェア | ハードウェア等保守業者等が導入した一般的機能を有するソフトウェア。特定のビジネス及び産業xxxに特化しない、多様な場面で用いられる機能を有する。 OS、ミドルウェア、ファームウェア、フレームワーク、ランタイム及びアプリケーションソフトウェアを含む。 |
3 | PJMO | プロジェクトを遂行し、その進捗等を管理する機能を担う組織。本件受託業務に係るPJMOは、労災保険業務課、制度・業務所管部署(本調達においては安全衛生部)で構成される。 |
4 | PMO | Portfolio Management Office(府省内全体管理組織)の略。各府省の業務・システムを統括し、最適化を推進する府省全体管理組織。厚生労働省においては、情報化担当参事官室や CIO補佐官等で構成される。 |
5 | CIO | Chief Information Officerの略で、組織における情報戦略を考え、実現する責任者。特に各府省情報化統括責任者(CIO)連絡会議におけるCIOは組織・予算・制度を含む行政情報化関連施策全般にわたり、各部局等を総合調整し、府省内全体の行政情報化を推進する者。厚生労働省においては厚生労働審議官。 |
6 | CIO補佐官 | 業務分析手法、情報システム技術及び情報セキュリティに関する専門的な知識・経験を有 し、独立性・中立性を有する外部専門家。府省内の業務・システムの分析・評価、最適化計画の策定・実施に当たり、CIO及び各所管部門の長(業務改革関係部門、情報システム統括部門)に対する支援・助言等を行う。 |
7 | 本件受託者 | 「労働災害再発防止のための自主点検WEBサービスのモデル事業」を受託した者。 |
8 | 労災保険業務課 | 本調達の意思決定者として、プロジェクトの実施等に係る計画、作業実施状況等の承認を行う。本件受託業務に係るPJMOの一部である。詳細は調達仕様書「5. 作業の実施体制・方法に関する事項」を参照のこと。 |
9 | 安全衛生部 | 本調達にて構築する試行サービスのユーザーとして、プロジェクトの実施等に係る業務要件、システム要件の確認を行う。本件受託業務に係るPJMOの一部である。 |
10 | 本省 | 厚生労働省の本省組織のこと。厚生労働省の本庁舎及び分庁舎(上石神井庁舎)、厚生労働省(芝庁舎)内労働保険審査会事務室のこと。 |
11 | 労働x | xx労働省の事務を分掌するために置かれる地方支分部局である都道府県労働局のこと。 |
12 | 監督署 | 都道府県労働局の所掌事務を分掌するために置かれる労働基準監督署のこと。 |
13 | 局署 | 都道府県労働局及び労働基準監督署のこと。 |
14 | 安全衛生主務課 | 労働局において安全衛生業務を担当する課のこと。労働安全衛生法違反等の是正指導のほか、法違反でなくても労働災害等を発生させるおそれがある事業場に対して個別指導を行う。 |
15 | 安全衛生主務担当 | 監督署において安全衛生業務を担当する組織のこと。労働安全衛生法違反等の是正指導のほか、法違反でなくても労働災害等を発生させるおそれがある事業場に対して個別指導を行う。 |
16 | 事業場 | 工場、鉱山、事務所、店舗等のごとく一定の場所において相関連する組織のもとに継続的に行なわれる作業の一体。一の事業場であるか否かは主として場所的観念によつて決定し、同一場所にあるものは原則として一の事業場とし、場所的に分散しているものは原則として別個の事業場となる。(「昭和47年9月18日発基第91号通達の第2の3「事業場の範囲」」より一部抜粋) |
17 | 本番環境 | 実際に使用する労働基準行政システムの環境を構成した稼働環境。 |
用語集 【別紙1】
項番 | 用語 | 説明 |
18 | 総合試験環境 | リリース、リハーサル等、システムの変更を実施しテストを行う環境。 |
19 | 電磁的記録媒体 | 業務用として使用する、DVD-R、CD-Rのこと。システムバックアップ用としては、磁気テープのこと。 |
20 | 執務室 | 監督・xx衛生等業務及び労災保険給付業務を実施する職員が職務を行う執務室のことを指す。 |
21 | 厚生労働省情報セキュリティポリシー | 厚生労働省において情報セキュリティの確保のためにとるべき対策及びその水準を更に高めるための対策と基準を定めたもの。 |
22 | 総合テスト | 開発中のソフトウェアや情報システムのテスト手法の一つで、システム全体を対象に行われるテスト。 開発の最終段階で行われるテストで、製品として完成したものを本番とほぼ同じ環境でテストする。システムが全体として要求された仕様のとおりに動作するか、性能は十分か等を検証する。システムテストで問題が発見されなければ、顧客への引き渡しや実環境での稼働開始などの段階へ移行する。 |
23 | 受入テスト | システムが仕様どおりに作成されているかどうかを確認するためのテスト。定められた手順に従い、発注者が確認作業を実施する。 |
24 | 可用性 (availability) | 情報を利用することを許可された者が必要な時に必要な情報を利用できること。 |
25 | 完全性 (integrity) | 情報及び処理方法が正確かつ完全である状態を安全防護できること。 |
26 | 機密性 (confidentiality) | 情報を利用することを許可された者のみが当該情報を利用できること。 |
27 | ODB | 政府情報システム管理データベース(Official information system total management Database)の略称。政府における情報システムに関する情報をxx的に管理するため、総務省において整備及び管理し、各府省の用に供するデータベースのこと。 |
28 | 開庁日 | 行政機関の休日に関する法律(昭和六十三年十二月十三日法律第九十一号)第一条にて定められた休日以外の日(注:基本的には上記の休日以外の日であるが、拠点によっては、休日にも業務を行っている場合がある。)。 |
29 | SLCP-JCF2013 | ソフトウェアを中心としたシステムの開発及び取引のための共通フレーム体系(2013年版)のこと。 |
30 | 厚生労働省情報セキュリティポリシー | 厚生労働省の情報セキュリティ対策の包括的な規程のこと。 |
31 | OSS(Open Source Software) | ソフトウェアのソースコードが無償で公開され、改良や再配布を行うことが誰に対しても許可されているソフトウェアのこと。 |
32 | クラウドサービス | 事業者によって定義されたインターフェイスを用いた、拡張性、柔軟性を持つ共用可能な物理的又は仮想的なリソースにネットワーク経由でアクセスするモデルを通じて提供される サービスの総称。利用者によって自由にリソースの設定・管理が可能なサービスであって、情報セキュリティに関する十分な条件設定の余地があるもの。この構成要素として、 SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)が存在する。 |
用語集 【別紙1】
項番 | 用語 | 説明 |
33 | クラウドサービス事業者 | クラウドサービスを提供する事業者又はクラウドサービスを用いて政府機関の情報システムを開発・運用する事業者。 |
34 | クラウドサービスプロバイダ | クラウドサービス事業者のうち、クラウドサービスを提供する事業者。 |
35 | クラウドサービスブローカ | クラウドサービス事業者のうち、クラウドサービスを用いて政府機関の情報システムを開発・運用する事業者。 ※本調達においては受託者に該当する。 |
36 | エンドユーザ | クラウドサービスの提供は行わず、クラウドサービスの利用のみ行う者。 ※本調達においては厚生労働省、国民に該当する。 |
37 | IaaS (Infrastructure as a Service) | CPU、メモリ、ストレージ、ネットワーク等のハードウェア資産をサービスとして提供するクラウドサービス。 |
38 | PaaS (Platform as a Service) | オペレーティングシステムや実行環境をサービスとして提供するクラウドサービス。 |
39 | SaaS (Software as a Service) | アプリケーションやデータベースをサービスとして提供するクラウドサービス。 |
40 | クラウド | クラウドサービスに基づきクラウドサービスプロバイダから提供される物理的または仮想的なすべてのリソース。 |
41 | 厚生労働省統合ネットワーク | 「厚生労働省ネットワーク(共通システム)最適化計画」(2005年(平成17年)5月27日厚生労働省行政情報化推進会議決定)に基づき、本省、地方支分部局、検疫所等の各組織におい て、個別の業務ごとに構築されてきた専用通信回線の集約・統合及び運用管理の一元化を図るため、平成20年4月から運用を開始したネットワーク基盤。 |
設計・開発スケジュール(案) 【別紙2】
2
3
4
5
6
7
8
9
10
11
12
1
2
3
マイルストン
▼開札
▼リリース
本調達範囲
要件定義
設計
開発
単体 結合 総合
テスト テスト テスト
受入テスト
運用・保守
クラウドサービス契約期間(令和2年3月~令和3年3月)
労働災害再発防止のための自主点検WEBサービスの
モデル事業
令和元年度 令和2年度
※ 点線部内が本調達案件の範囲となる。
【別紙3】
労働災害再発防止のための
自主点検WEB サービスのモデル事業要件定義書
令和元年 11 月
厚生労働省労働基準局労災保険業務課
目 次
1 調達案件の概要に関する事項 2
2 業務要件の定義 2
(1) 業務実施手順 2
(2) 規模 3
(3) 時期・時間 4
3 機能要件の定義 4
(1) 機能に関する事項 4
(2) 画面に関する事項 5
(3) 帳票に関する事項 5
(4) 情報・データに関する事項 6
(5) 外部インターフェースに関する事項 6
4 非機能要件の定義 7
(1) ユーザビリティ及びアクセシビリティに関する事項 7
(2) システム化方式に関する事項 8
(3) 規模に関する事項 10
(4) 性能に関する事項 11
(5) 信頼性に関する事項 11
(6) 拡張性に関する事項 12
(7) 上位互換性に関する事項 12
(8) 中立性に関する事項 13
(9) 継続性に関する事項 13
(10) 情報セキュリティに関する事項 14
(11) 情報システム稼働に関する事項 16
(12) テストに関する事項 18
(13) 引継ぎに関する事項 18
(14) 教育に関する事項 19
(15) 運用に関する事項 20
(16) 保守に関する事項 22
別紙1 業務フロー図
別紙2 システム機能一覧
別紙3 厚生労働省における通信・ネットワーク要件の基本方針
1 調達案件の概要に関する事項
労働災害再発防止のための自主点検 WEB サービスのモデル事業
2 業務要件の定義
(1)業務実施手順
労働災害再発防止のための自主点検 WEB システム(以下「本サービス」という。)における業務の内容を 図2-1「自主点検業務の流れ」及び図2-2「自主点検における WEB 化・情報の蓄積」に示す。本サービスは、労働災害発生時に各事業場から提出される労働者死傷病報告に基づく自主点検表を試行的に WEB 上で受理するものである。従来、自主点検表は書面で受理していたが、これをクラウドサービス上に実装した WEBサービス上で受理できるようにする。詳細の業務フローについては「要件定義書別紙1業務フロー図」を参照すること。
なお、自主点検の対象となる事業場を WEB サービス上で選定するにあたり、月次バッチ処理にて既存の業務システム(労働基準行政システム)より事業場に関する情報(事業場基本情報)及び労働災害発生時に労働基準監督署へ提出する労働者死傷病報告情報を取得する。
図2-1 自主点検業務の流れ
図2-2 自主点検における WEB 化・情報の蓄積
(2)規模
ア サービスの利用者数及び情報システムの利用者数
自主点検対象となった事業場、厚生労働省職員(労働基準監督署等職員を含む。)、運用事業者等が利用する。本サービスの利用者、サービスの利用者数の想定を表2-
1「サービスの利用者」に示す。本件受託者は、本調達にて対象とする利用者の範囲に応じて規模を見積もること。なお、本サービスは試行的取組であることに留意し、規模を見積もること。
表2-1 サービスの利用者
実施 体制 | 利用者名 | 概要 | 利用者数 | |
職員 | 厚生 労働省 | 労働基準局 | 労働行政のうち、労働者の安全と健康 の確保についての企画・立案、推進を行う者。 | 5人 |
x x 府県 労働局 | 労働基準部 | 都道府県労働局において労働基準行政事務を行う者のうち、労働安全の業 務を行う者。 | 108 人 | |
労働基準監督署職員 | 労働基準行政の第一線機関である労働基準監督署において、労働安全の業 務を行う者。 | 650 人 | ||
職員以外 | 自主点検対象事業場 | 自主点検の対象となった事業場。 本サービスに自主点検表の回答を入力する。 | 年間 約2~3万人を想定 | |
システム運用事業者 | 本サービスの運用業務を担当する者。 | 数名程度を 想定 | ||
イ 単位(年、月、日、時間等)当たりの処理件数
労働者死傷病報告は平成 20 年から平成 28 年までの間で年間 10~11 万件程度発生しているため、年間の自主点検処理件数は2~3万件程度と想定している。
表2-2 想定される処理件数
項番 | 実施時期・期間 | 件数 |
1 | 労働者死傷病報告 | 10 万~11 万件/年 |
2 | 事業場基本情報 | 約 660 万件(平成 31 年3月時点) |
3 | 自主点検表 | 2~3万件/年 |
(3)時期・時間
ア 業務の実施時期、期間及び繁忙期等
業務の実施時期は、本件の契約期間と同じ期間とする。繁忙期はなく、毎月概ね定量の自主点検業務を実施する。
イ 業務の実施・提供時間等
業務の実施・提供時間について、表2‐3「業務の時期・時間」に示す。なお、メンテナンス時間の取扱い等の運用ルールは、仕様調整の結果を踏まえて決定するものとする。
表2-3 業務の時期・時間
分類 | 実施時期・期間 | 実施・提供時間 | 補足 |
本サービ ス | 通年 | 08:00~22:00 365 日 | メンテナンス等によるサイト閲 覧できない時間帯を除く |
3 機能要件の定義
(1) 機能に関する事項
業務要件に基づき、現時点で必要と考えられる機能(以下、「想定機能」という。)は
「要件定義書別紙1 業務フロー図」「要件定義書別紙2 システム機能一覧」を参照すること。そのうち特に、自主点検表回答の入力が容易になるような入力ガイド・入力時のヘルプ機能、曖昧な検索条件等であっても適切に自主点検表を検索する機能については具体的かつ有効的なものを提案すること。
本件受託者は想定機能を踏まえ、具体的な機能及びその実装の方法(機能の単位、画面構成・遷移等を含む。)等について、提案するシステム方式等に応じて適宜適切なものを提案すること。なお、既存の機能・サービス利用(SaaS、PaaS 等の外部サービスの利用、ノンプログラミングによる画面生成等プロトタイピング用のツール等を採用する場合等を含む。)により、想定機能の一部又は全部を実装することも可能とするが、
本書に示す業務要件、機能要件、非機能要件等を遵守すること。
(2) 画面に関する事項 ア 画面出力イメージ
業務要件に基づく画面出力イメージは、「(1)機能に関する事項」に記載されている各機能をベースとしつつ、様々な属性を有する利用者の様々なニーズを踏まえ、適切なものを提案すること。なお、画面の追加・拡充(「(1)機能に関する事項」に記載されている各機能の一部拡充)が容易にできるよう、画面出力イメージを柔軟に変更可能なものとすること。
また、スマートフォン、タブレット等利用者の端末の画面サイズが一定でない可能性に留意し、レスポンシブデザインを前提とした画面設計とすること。
イ 画面一覧、画面概要、画面入出力要件・画面設計要件
本サービスで使用するデータの内容・データの提供元及び提供先・提供時期等については「(1)機能に関する事項」に記載されている各機能をベースとしつつ、様々な属性を有する利用者の様々なニーズを踏まえ、適切なものを提案すること。
なお、画面の追加・拡充(「(1)機能に関する事項」に記載されている各機能の一部拡充)が容易にできるよう、画面入出力要件、画面設計要件等を柔軟に変更可能なものとすること。
ウ 画面遷移の基本的考え方
以下の要件を満たすような画面遷移を提案すること。
・ 本システム全体の画面遷移、画面表示及び画面構成に統一性を持たせること。
・ 画面を一度閉じたり、メニュー画面に遡ったりすることなく、連続的な操作を可能とすること。
・ 一連の処理において、画面が遷移しても一度入力した情報が引き継がれるようにし、再入力を不要とすること。
・ ポップアップ表示による子画面を除き、各画面の上部に統一的な操作メニューを表示し、他の画面への遷移を可能とすること。
・ ポップアップ表示による子画面を除き、現在の画面のメニュー体系における位置を階層的に表示し、他の画面への遷移を可能とすること。
(3) 帳票に関する事項
ア 帳票一覧、帳票概要、帳票入出力要件・帳票設計要件
本サービスで使用するデータの内容・データの提供元及び提供先・提供時期等を表
3-1に示す。ただし、現時点で想定される帳票一覧等の情報であるため「(1)機
能に関する事項」に記載されている各機能をベースとしつつ、様々な属性を有する利用者の様々なニーズを踏まえ、適切なものを提案すること。
なお、帳票の追加・拡充(「(1)機能に関する事項」に記載されている各機能の一部拡充)が容易にできるよう、帳票入出力要件、帳票設計要件等を柔軟に変更可能なものとすること。
表3-1 帳票一覧
No. | 帳票名 | 帳票概要 |
1 | 労働者 死傷病報告 | 事業場から提出された労働者死傷病報告情報。 |
2 | 事業場 基本情報 | 監督指導等の業務により把握した事業場名、所在地、業種、代表者職氏名、所属団体、主要業務名・主要製品名等の事業 場の基本的な情報及び自由分類項目等の事業場基本情報。 |
3 | 自主点検 対象事業場 | 自主点検の実施対象となった労働災害発生事業場に関する 情報。 |
4 | 自主点検表 | 自主点検の実施対象となった事業場が、自主的に再発防止対 策等の状況を記載した帳票。 |
5 | 自主点検 進捗管理 | 自主点検の実施対象となった事業場に対して自主点検表の 回答状況を管理する帳票。 |
6 | 自主点検表 入力用 ID 管理 | 自主点検の実施対象となった事業場に付与する本サービス の ID を管理する帳票。 |
イ 帳票出力イメージ
業務要件に基づく帳票出力イメージは、「(1)機能に関する事項」に記載されている各機能をベースとしつつ、様々な属性を有する利用者の様々なニーズを踏まえ、適切なものを提案すること。なお、機能の追加・拡充(「(1)機能に関する事項」に記載されている各機能の一部拡充)が容易にできるよう、柔軟に変更可能なものとすること。
(4) 情報・データに関する事項
本サービスで使用するデータの内容・データの提供元及び提供先・提供時期等については「(1)機能に関する事項」に記載されている各機能をベースとしつつ、様々な属性を有する利用者の様々なニーズを踏まえ、適切なものを提案すること。
本サービスの稼働開始に必要なデータ量については約12GBを想定している。なお、詳細については閲覧資料を参照すること。
(5) 外部インターフェースに関する事項
本サービスにおける外部インターフェースを表3-2に示す。また、外部インター
フェース経由で受信するデータ量は初期時点において約12GBを想定している。内訳等については閲覧資料を参照すること。なお、外部インターフェースの構築にあたっては、相手先システムに関係する事業者と十分に仕様確認及び必要な調整を行った上で外部インターフェースの設計、開発等を実施すること。
表3-2 外部インターフェース一覧
No. | 外部インターフェース名 | 外部インターフェース概要 | 相手先システム | 送受 信区分 | 送受信データ | 送受信 タイミング | 送受 信の条件 |
1 | 労働基準行政 | 労働者死傷病報告 | 労働基準 | 受信 | ・労働者死 | オンライ | 日次 |
システム | 及び事業場基本情 | 行政 | 傷病報告 | ンバッチ | |||
報を労働基準行政 | システム | ・事業場基 | |||||
システムから日次 | 本情報 | ||||||
で取得する。 |
4 非機能要件の定義
(1)ユーザビリティ及びアクセシビリティに関する事項ア ユーザビリティ要件
本サービスのユーザビリティ要件を表4-2に示す。ただし、現時点で想定される利用者の種類、特性であるため仕様調整段階において再定義する可能性があることに留意すること。
表4-2 ユーザビリティ要件
No. | ユーザビリティ 分類 | ユーザビリティ要件 |
1 | 画面の構成 | 何をすればよいかが見て直ちに分かるような画面構成にすること。 無駄な情報、デザイン及び機能を排し、簡潔で分かりやすい画面にすること。 十分な視認性のあるフォント及び文字サイズを用いること。 画面の大きxx位置の変更ができること。 |
2 | 操作方法の 分かりやすさ | 無駄な手順を省き、最小限の操作、入力等で利用者が作業できるようにすること。 画面上で入出力項目のコピー及び貼付けができること。 |
3 | 指示や状態の分かりやすさ | 操作の指示、説明、メニュー等には、利用者が正確にその内容を理解できる用語を使用すること。 必須入力項目と任意入力項目の表示方法を変えるなど各項目の重要度を利用者が認識できるようにすること。 システムが処理を行っている間、その処理内容を表示すること。 |
4 | エラーの防止と処理 | 利用者が操作、入力等を間違えないようなデザインや案内を提供すること。 入力内容の形式に問題がある項目については、それを強調表示す る等、利用者がその都度その該当項目を容易に見つけられるよう |
にすること。 電子申請等については、確認画面等を設け、利用者が行った操作又は入力の取消し、修正等が容易にできるようにすること。 重要な処理については事前に注意表示を行い、利用者の確認を促すこと。 エラーが発生したときは、利用者が容易に問題を解決できるよう、エラーメッセージ、修正方法等について、分かりやすい情報提供 をすること。 | ||
5 | ヘルプ | 利用者が必要とする際に、ヘルプ情報やマニュアル等を参照できるようにすること。 事業場の担当者が WEB 上で自主点検表の回答を入力することか ら、自主点検表回答の入力が容易になるよう、入力ガイド及び入力時のヘルプ機能等を実装すること。 |
イ アクセシビリティ要件
本サービスのアクセシビリティ要件を表4-3に示す。ただし、現時点で想定される利用者の種類、特性であるため仕様調整段階において再定義する可能性があることに留意すること。
表4-3 アクセシビリティ要件
No. | アクセシビリティ分類 | アクセシビリティ要件 |
1 | 基準等への準拠 | 日本工業規格 JIS X8341 シリーズ、「みんなの公共サイト運用モデル」(総務省)、「Web サイトガイドブック」(2019年(平成 31 年)4月 18 日 内閣官房情報通信技術(IT)総合戦略室)等の指針に従い、アクセシビリティを確保し た設計・開発を行うこと。 |
2 | 指示や状態の分かりやすさ | 色の違いを識別しにくい利用者(視覚障害のかた等)を考慮し、利用者への情報伝達や操作指示を促す手段はメッセージを表示する等とし、可能な限り色のみで判断するよ うなものは用いないこと。 |
3 | 利用者特性に合わせた 対応 | 一般的な読み上げソフトウェアの利用者に配慮したページ 構成とすること。 |
(2)システム化方式に関する事項
ア 情報システムの構成に関する全体の方針
本件受託者は、本書に示す業務要件、機能要件、非機能要件及び表4-4に示す全体の方針(案)を踏まえて適切な構成を提案すること。なお、表4-4については現時点での方針案であり、仕様調整段階において再定義を行う可能性があることに留意すること。
表4-4 情報システムの構成に関する全体の方針(案)
No. | 全体方針(案)の分 類 | 全体方針(案) |
1 | システムアーキテクチャ | 本システムのシステムアーキテクチャは、クラウドサービスを利用した WEB システムとする。 利用者の端末に追加的なソフトウェア、WEB ブラウザのアドオン等のインストール等を行うことなく、一般に利用されている WEB ブラウザで処理を行うものとする。 スマートフォンやxxxxxによる操作を可能とすること。 |
2 | アプリケーションプログラムの設計方針 | 情報システムを構成する各コンポーネント(ソフトウェアの 機能を特定単位で分割したまとまり)間の疎結合、再利用性を確保する。 |
3 | ソフトウェア製品の活用方針 | 広く市場に流通し、利用実績を十分に有するソフトウェア製品を活用する。 アプリケーションプログラムの動作、性能等に支障を来たさない範囲において、可能な限りオープンソースソフトウェア (OSS)製品(ソースコードが無償で公開され、改良や再配布を行うことが誰に対しても許可されているソフトウェア製品)の活用を図る。(ただし、それらの製品のサポートが確実に継続されていることが条件) 既存の機能・サービス利用(SaaS、PaaS 等の外部サービスの利用、ノンプログラミングによる画面生成等プロトタイピング用のツール等を採用する場合等を含む。)により想定機能の一部又は全部を実装することで、システムライフサイクルコストの削減といった利点が見込める場合には、既存の機能・ サービス利用を検討しても良い。 |
4 | システム基盤の方針 | リソース使用量の変動等に柔軟に対応するとともに、コスト削減を図るため、クラウドサービスを利用する。 本サービスへのアクセスを負荷分散処理可能な構成とする。また、クラウドサービスにおける自動的なスケールアップ/スケールアウトを行うことを前提とした構成とする。 WAF、DDoS 攻撃保護等のセキュリティ機能を実装する。また、 ユーザの成りすまし、WEB ページ及び本サービスに保存されるデータ等の改ざんを防止する機能も実装する。 |
イ 情報システムの全体構成
本件受託者は、本書に示す業務要件、機能要件及び非機能要件を踏まえ、本サービスの適切な全体構成を提案書にて提案すること。
ウ 開発方式及び開発手法
本サービスはクラウドサービス上に実装し、利用者は WEB で本サービスを利用する方式とする。また、本件受託者は、本サービスの実現方式、開発手法、採用するソフトウェア及びプログラム言語について各要件を踏まえて適切な開発方式及び開発手法を提案書提出時に提案すること。なお、その際には次の観点を考慮すること。
(ア) 本サービスの開発方式は、スクラッチ開発に限定せず、ノンプログラミングによる画面生成等プロトタイピング用のツール等の活用等、幅広い手法を検討して適した開発方式を提案すること。また、採用するプログラム言語については、一般的かつ標準的なものを採用すること。ただし、特定ベンダの技術に依存しない技術仕様に基づくものとすること。
(イ) 本サービスの開発手法は、柔軟な設計・開発を可能とする手法を採用すること。従来のウォーターフォール型の設計・開発手法に限定せず、プロトタイプ型/スパイラル型/アジャイル型、又はそれらのハイブリッド型等柔軟な対応を可能とする手法を採用すること。
(ウ) 保守・運用コストの更なる適正化の観点から、改修等が発生した際の影響を極小化できるようなアプリケーションプログラム構造とすること。また、設計書及びプログラムの可読性を確保すること。なお、高速開発ツールを利用して設計ドキュメントを出力する場合、設計書としての可読性が確保できるよう工夫すること。
(エ) クラウドサービスを利用して本サービスを実装する際、IaaS、PaaS、SaaS 等クラウドサービスの形態については、本書に示す業務要件、機能要件及び非機能要件に適合する形態を提案すること。
エ その他
(ア) 日付、住所、郵便番号及び電話番号に係る表記、データの保持等については、原則として「行政基本情報データ連携モデル(2019 年(平成 31 年)4月 18 日 内閣官房情報通信技術(IT)総合戦略室)」の記載に従うこと。
(イ) 日付に係る表記、データの保持等については、原則として JIS X 0301(情報交換のためのデータ要素及び交換形式―日付及び時刻の表記)に即した暦日付の完全表記(基本方式の場合は「YYYYMMDD」)を用いること。業務上の必要により元号による日付を用いる場合でも、データは暦日付の形式で保持することを前提に、当該データを元号による日付に変換することで元号の日付を取扱うような実装とすること。
(3)規模に関する事項
ア 機器数及び設置場所
本サービスは、クラウドサービスを利用して構築予定である。本件受託者は、本書に示す業務要件、機能要件、非機能要件を踏まえて、適切なクラウドサービスの構成
(製品・サービス、インスタンスタイプ、インスタンス数等)を提案すること。また、クラウドサービスの利点を活用し、容易にスケールアップ又はスケールアウトを実施可能な構成とすること。
イ データ量
本件受託者は、本書に示す業務要件、機能要件、非機能要件を踏まえて、データ量 の概算値を予測し、クラウドサービスの構成を検討すること。また、クラウドサービ スの利点を活用し、容易にスケールアップ又はスケールアウトを実施可能な構成とし、データ量の変動に対応可能な構成とすること。
ウ 処理件数
本件受託者は、本書に示す業務要件、機能要件、非機能要件を踏まえて、処理件数 の概算値を予測し、クラウドサービスの構成を検討すること。また、クラウドサービ スの利点を活用し、容易にスケールアップ又はスケールアウトを実施可能な構成とし、処理件数の変動に対応可能な構成とすること。
エ 利用者数
本サービスの推定利用者数は、「2(2)規模」を参照すること。
(4)性能に関する事項
サーバ処理時間について、95 パーセンタイル 1.0 秒以内とする。ただし、現時点での案であり、仕様調整段階において再定義を行う可能性があることに留意すること。
(5)信頼性に関する事項ア 可用性要件
本サービスはクラウドサービスを利用することとし、各構成要素を冗長化すること。
イ 完全性要件
(ア) クラウドサービスプロバイダ又は本件受託者の瑕疵によるデータの滅失や改変を防止する対策を講ずること。
(イ) 異常な入力や処理を検出し、データの滅失や改変を防止する対策を講ずること。 (ウ) 処理の結果を検証可能とするため、ログ等の証跡を残すこと。
(エ) データの複製や移動を行う際にその内容が毀損した場合でも、毀損したデータ及び毀損していないデータを特定するための措置を行うこと。
(オ) 電子データの送受信を行う際には電子署名やタイムスタンプを用いることで偽造等から保護することが可能であること。
(カ) 本サービス内の情報・データへのアクセス状況の記録及び一定期間の保存並びにアクセス記録の定期的かつ迅速な分析を可能にするとともに、アクセス記録の改ざん、窃取又は不正な消去の防止等に必要な対応を講ずること。
(キ) 本サービスのシステム動作に係るログを契約期間中保存すること。また、設計・
開発、運用、保守に係る事業者が変更になる場合、次期事業者及び厚生労働省に対して本サービスのログを引継ぐこと。
ウ 機密性要件
(ア) 労働者死傷病報告及び自主点検表は機微な情報であるため、適切なセキュリティ対策を実施すること。情報が第三者や権限のないユーザに参照されないよう、適切なアクセス権限を設定し、必要に応じて暗号化を実施すること。
(6)拡張性に関する事項ア 性能の拡張性
(ア) 利用対象の範囲拡大等を考慮して適宜最適な拡張が可能な構成とすること。 (イ) 制度の変更、対象業務の追加等の変化に対する拡張性を考慮し、必要に応じて
性能の拡張が可能であるように柔軟性を持たせること。
(ウ) 利用者の増加、アクセスの増加、データ量の増加等に対して、リソース(サーバ、CPU、メモリ、ストレージ等)の増強及び負荷分散等が容易に対応可能な拡張性と柔軟性を確保すること。
(エ) クラウドサービスを利用するとき、リソース(サーバ、CPU、メモリ、ストレージ等)の実際の使用量に合わせて最適化を図ることが可能なクラウドサービスを選定すること。
イ 機能の拡張性
(ア) 合字(例:「㍻」「㍼」など)や半角カタカナその他環境に依存する特殊文字については、業務上特別の必要性が認められない限り、原則として使用しないこと。
(イ) 「文字環境導入実践ガイドブック(2019 年(平成 31 年)3月 28 日 内閣官房情報通信技術(IT)総合戦略室)」に定める通り、本サービスにおいて取り扱う日本語文字集合範囲は日本工業規格 JIS X 0213、文字コードは ISO/IEC 10646、文字の符号化形式は UTF-8 とすること。その他、文字環境に関する事項については「文字環境導入実践ガイドブック」に従うこと。
(7) 上位互換性に関する事項
ア 主な利用環境として想定する WEB ブラウザ環境は、W3C 標準への準拠度、サポートの有無や、市場占有率等を総合的に考慮して決定すること。
イ アプリケーションソフトウェア(OS、ミドルウェア、WEB ブラウザ、Java 等の実効環境、プラグイン等を含む。)の特定バージョンに依存しないような設計とすること。
ウ WEB ブラウザ及び実行環境等のバージョンアップに対応可能な情報システムとす
ること。
エ アプリケーションソフトウェアの機能改善及び脆弱性対策等の保守サポートが継続的に受けられるようなアプリケーションソフトウェアを選定すること。その際、アプリケーションソフトウェアの保守サポート期間を確認し、問題ないものを選定すること。
(8) 中立性に関する事項
ア 提供するハードウェア、ソフトウェア等は、誰もが市場で調達可能であり広く利用されている、特定ベンダに依存しない、オープンな技術仕様に基づくものとすること。
イ 提供するハードウェア、ソフトウェア等は、全てオープンなインターフェースを利用して接続又はデータの入出力が可能であること。
ウ 導入するハードウェア、ソフトウェア等の構成要素は、標準化団体(ISO、IETF、 IEEE、ITU、JISC 等)が規定又は推奨する各種業界標準に準拠すること。
エ プログラミング言語については、市場における技術者の確保の容易性に留意しつつ、ISO/IEC 等の国際規格として整備されているものの採用を考慮すること。
オ ノンプログラミングによる画面生成等プロトタイピング用のツール等を採用する場合には、当該ツールは中立性の観点から問題ないものを選定すること。
カ 原則として本サービス内のデータを出力する際、XML、CSV 等の標準的な形式で出力可能とすること。
キ 特定の事業者や製品に依存することなく、他者に引き継ぐことが可能なシステム構成であること。特に本サービスにて利用するクラウドサービスについては、本件受託者とクラウドサービスプロバイダとの間のサービス契約を、本件受託者以外の者に引き継ぐことができるものとすること。
(9) 継続性に関する事項ア 継続性に係る目標値
本サービスはモデル事業につき、試行的に構築するものであるため、仕様調整段階において継続性に係る目標値を定める。
イ 継続性に係る対策
(ア) クラウドサービスを利用するとき、利用するクラウドサービスで提供される仮想サーバ等の可用性に係る SLA に留意し、各構成要素について適切に冗長化等を行うこと。
(イ) クラウドサービスを利用するとき、バックアップの取得については、クラウドサービスプロバイダから提供されるバックアップサービスを利用して差し支えない。ただし、適用するサービスの種類、同時被災しないことを前提としたバックアップサイトの場所、バックアップデータの取得時期及び保持期間(世代管理を含む)、自動化の程度等については、対象とするデータの性質等に応じて、業務に影響を与えず、かつコスト対効果が高いものを適宜選定すること。
(10)情報セキュリティに関する事項ア 基本事項
「厚生労働省情報セキュリティポリシー」に準拠した情報セキュリティ対策を講ずること。なお、「厚生労働省情報セキュリティポリシー」は非公表であるが、「政府機関等の情報セキュリティ対策のための統一基準」に準拠しているので、必要に応じ参照すること。「厚生労働省情報セキュリティポリシー」の開示については、契約締結後、本件受託者が労災保険業務課に守秘義務の誓約書を提出した際に開示する。
イ 権限要件
利用者の権限については、「3 機能要件の定義」に即して、適切に認証やアクセスコントロール等が行われるよう、本件受託者の提案に基づき、労災保険業務課と協議の上で決定する。
なお、職員のユーザ情報に局署コード(都道府県労働局及び労働基準監督署を判別するコード)を持たせ、都道府県労働局及び労働基準監督署単位で権限枠を設けること。
ウ リスクの概要と対策
本件受託者は、本サイトに係る情報セキュリティ上のリスクを洗い出し、リスクに見合った適切な情報セキュリティ対策を講じること。
エ 情報セキュリティ対策要件 (ア) セキュリティ機能の具備
以下のセキュリティ機能を具体化し、実装すること。
① 本サービスへのアクセスを業務上必要な者に限るための機能
② 本サービスに対するアクセス、ウイルス・不正プログラム感染等、インター
ネットを経由する攻撃、不正等への対策機能(特に WEB ページの改ざん、成りすまし、DDoS 攻撃等のサービス不能攻撃に対して対策を実施すること。)
③ 本サービスにおける事故及び不正の原因を事後に追跡するための機能(情報システムに含まれる構成要素(仮想サーバ等)のうち、時刻設定が可能なものについては、情報システムにおいて基準となる時刻に、当該構成要素の時刻を同期させ、ログに時刻情報も記録されるよう、設定すること。)
④ 情報システムへ情報へのアクセスを管理するためアクセス主体を特定し、そのアクセス主体が正当な主体であることを検証するため、アクセス主体の識別及びアクセス主体の認証を行う機能
⑤ 本サービス内に保存された情報・データを適切に保護する機能 (イ) 脆弱性対策の実施
以下の脆弱性対策を実施すること。
① 本サービスに基づく新規構築が影響する範囲について、第三者による脆弱性検査を実施し、その結果を労災保険業務課に書面にて報告すること。
② 本サイトを構成する機器及びソフトウェアの中で、脆弱性対策を実施するものを適切に決定すること。
③ 脆弱性対策を行うとした機器及びソフトウェアについて、公表されている脆弱性情報及び公表される脆弱性情報を把握すること。
④ 把握した脆弱性情報について、対処の要否、可否を判断すること。対処したものに関して対処方法、対処しなかったものに関してその理由、代替措置及び影響を納品時に労災保険業務課に報告すること。
⑤ 決定した対処又は代替措置を実施すること。 (ウ) 情報セキュリティが侵害された場合の対処
本調達に係る業務の遂行において情報セキュリティが侵害され又はそのおそれ
がある場合には、速やかに労災保険業務課に報告すること。これに該当する場合には、以下の事象を含む。
① 本件受託者に提供又は本件受託者によるアクセスが認められる厚生労働省
の情報の外部への漏えい及び目的外利用
② 本件受託者による厚生労働省のその他の情報へのアクセス (エ) 製品サポートの期間
情報システムの構築等又は運用・保守・点検の際に導入する製品(ソフトウェア
及びハードウェア)については、当該情報システムのライフサイクル(システム利用期間の終了まで)におけるサポート(部品、セキュリティパッチの提供等)が継続される製品を導入すること。
(オ) 情報セキュリティ対策の履行状況の報告
本調達に係る業務の遂行における情報セキュリティ対策の履行状況について、
労災保険業務課から本調達仕様において求める情報セキュリティ対策の実績を求められた場合には速やかに提出すること。
(カ) 情報セキュリティ監査への対応
労災保険業務課が別途実施する第三者による情報セキュリティ監査に対応すること。
(キ) 情報セキュリティ対策の履行が不十分な場合の対処
本調達に係る業務の遂行において、本件受託者における情報セキュリティ対策の履行が不十分であると認められる場合には、本件受託者は、労災保険業務課の求めに応じ、労災保険業務課と協議を行い、合意した対応を実施すること。
(ク) IT セキュリティ評価及び認証制度に基づく認証取得製品の採用
本調達に係る情報システムを構成するソフトウェア、機器等について、IT セキュリティ評価及び認証制度に基づく認証を取得している製品を積極的に採用すること。 採用に当たっては、以下の資料を参照すること
① 「ISO/IEC15408 を活用した調達のガイドブック Version 2.0(平成 16 年 8
月 11 日経済産業省商務情報政策局情報セキュリティ政策室)」
② 「IT 製品の調達におけるセキュリティ要件リスト(平成 30 年 2 月 28 日経済産業省)」
(ケ) クラウドサービスの利用
情報セキュリティ対策の実施に当たっては、適宜クラウドサービスプロバイダから提供されるサービスを利用することとして差し支えない。
(コ) サーバ証明書の利用
サーバ証明書は、原則として厚生労働省が配布する GPKI 発行のものを導入すること。なお、何らかの理由により他の認証機関から取得できる証明書を導入する場合には、当該認証機関が適切に外部監査を受けているものであることを確認し、当該監査結果を労災保険業務課に提出すること。
(サ) 本サービスのドメインの取扱い
① 本サービスにおけるドメインは「https://[サブドメイン].xxxx.xx.xx/」とし、サブドメインは「ドメイン管理ガイド(平成 28 年 12 月1日 内閣官房 情報通信技術(IT)総合戦略室)」を参照するとともに労災保険業務課と協議の上で決定すること。メールアドレスのドメインも上記と同様の扱いとする。
② 本サービスのグローバルIP アドレスを、国内のグローバル IP アドレス管理団体である「JPNIC」に厚生労働省の名前で登録すること。
(11)情報システム稼働に関する事項ア ソフトウェア構成
(ア) ソフトウェア構成の基本方針
ソフトウェア構成については、本書に示す業務要件、機能要件及び非機能要件
を踏まえて適切な構成を提案すること。特に、「(8) 中立性」に関する事項等に留意して適切な構成を提案すること。
(イ) ソフトウェア製品の要件
① アプリケーションプログラムの動作及び性能等に支障を来たさない範囲において、可能な限りオープンソースソフトウェア(OSS)製品(ソースコードが無償で公開され、改良や再配布を行うことが誰に対しても許可されているソフトウェア製品)の活用を図ること。ただし、本件受託者は、利用するソフトウェアについて、サポート期間を考慮して選定し、ソフトウェアベンダによるサポート又は他の事業者によるサポートサービスを必ず受けること。
② オープンな標準規格による相互接続性を確保するとともに、製品間の相互依存関係を極力生じないようにすること。
③ 安定性及び安全性の確保のために、導入するソフトウェアは調達段階での最新バージョンを使用すること。ただし、本サービスの運用に影響を及ぼすと認められる場合には労災保険業務課の承認を受け実績のあるバージョンを使用すること。
イ ネットワーク構成
(ア) ネットワーク構成図
ネットワーク構成については、本書に示す業務要件、機能要件及び非機能要件を踏まえて適切な構成を提案すること。
(イ) ネットワーク回線の要件
ネットワーク回線の要件については「別紙3 厚生労働省における通信・ネットワーク要件の基本方針」を参照すること。
特に、本サービスでは労働基準行政システムより事業場基本情報及び労働者死傷病報告のデータを受信することから、労働基準行政システム及び厚生労働省統合ネットワークとクラウドサービス間で適切なセキュリティレベルが担保されたネットワーク回線を使用する必要があることに留意すること。
ウ 利用するクラウドサービスの要件 (ア) 政府情報システムの保護
① 情報資産を管理するデータセンタの物理的所在地が日本国内であること。
② 厚生労働省の指示によらない限り、一切の情報資産について日本国外への持ち出しを行わないこと。
③ 障害発生時に縮退運転を行う際にも、情報資産が日本国外のデータセンタに移管されないこと。
④ クラウドサービスの利用契約に関連して生じる一切の紛争は、日本の地方裁
判所を専属的合意管轄裁判所とするものであること。
⑤ 契約の解釈が日本法に基づくものであること。
⑥ 情報資産の所有権がクラウドサービス事業者に移管されるものではないこと。従って、厚生労働省が要求する任意の時点で情報資産を他の環境に移管できること。
⑦ 法令や規制に従って、クラウドサービス上の記録を保護すること。
⑧ 情報資産が残留して漏えいすることがないよう、必要な措置を講じること。
⑨ 自らの知的財産権についてクラウド利用者に利用を許諾する範囲及び制約を、クラウド利用者に通知すること。
(イ) 技術的条件
クラウドセキュリティに関する次のいずれかを取得していること。
・ ISO/IEC 27017:2015 認証
・ JASA クラウドセキュリティ推進協議会 CS ゴールドマーク
(12)テストに関する事項
ア 本件受託者は、本サービスで利用するクラウドサービス上で本番と同様の環境を構築し、当該環境をテスト環境として用いること。なお、当該テスト環境については、利用しない期間は稼働を停止させる等により適宜コストの抑制を図ること。
イ 本件受託者は、本サービスにおけるテスト実施時、テスト専用の疑似データを利用し、本番データは利用しないことを基本とする。本番データを利用する必要がある場合は、本番データの匿名化及び符号化、本番データの利用方法等を事前に労災保険業務課に報告し、承認を得ること。
(13)引継ぎに関する事項
ア 受託者の変更、新規調達、その他の理由により事業者が変更となる場合、本件受託者は次期事業者へ引継ぎを実施すること。次期サービスへの移行にあたり、問合せ対応及びその他の協力をすること。また、設計書、作業経緯等について労災保険業務課の承認のもと当該サービスで将来解決すべきとした残存課題を引き継ぐこと。
イ 引継ぎの際には、必要に応じて引継先事業者に対して対面での指導や質疑応答を実施する等、丁寧で分かりやすいものとすること。また、引継ぎを行った結果については、労災保険業務課に対して適切に報告を行うこと。
ウ 本サービスで利用するクラウドサービスの契約は、運用・保守事業者に対し、環境・構成等に原則として変更を加えない前提で引き継ぐこと。
エ 契約期間内に引継ぎが完了しない場合は、受託者の責任と負担において引継完了まで継続して実施すること。
オ 引継ぎが完了した後も、本調達に係る契約満了までの期間は、本サービスの運営に
関し、労災保険業務課の求めに応じて問い合わせ等に適切に対応すること。
カ 本件受託者は、次期事業者に対し、本システムの運用等を行うクラウドを原則としてそのまま引き継ぐこと。そのため、引継ぎに際しては、必要に応じて次期事業者及びクラウドサービスプロバイダとの間で書面による契約等を行い、管理者権限の引き渡し等クラウドの引継ぎを適切に行うこと。なお、利用するクラウドサービスによっては、クラウドサービスプロバイダとの契約についても、予め、第三者にクラウドを引き継ぐことが可能な形としておく必要がある場合が存在する。そのため、利用するクラウドサービスを選定する際には、事前にクラウドサービスプロバイダに第三者へのクラウドの引継ぎ等の手続きについて確認した上で、次期事業者へのクラウドの引継ぎに遺漏が無いよう、クラウドサービスプロバイダとの契約内容や引継ぎ手順等を整備しておくこと。
キ 本件受託者は、引継先が厚生労働省の場合も、上記と同様の引継ぎを実施すること。
(14)教育に関する事項
ア 教育対象者の範囲、教育の方法
本件受託者は、表4-6に示す教育を実施すること。教育の内容については事前に労災保険業務課の確認を受けてから実施すること。
表4-6 実施する教育
No. | 教育対象者 の範囲 | 教育の 内容 | 教育の 実施時期 | 教育の方法 | 使用教材 | 教育 対象者数 |
1 | 厚生労働省 労働基準局職員 | 本サービスの利用方法 | 本サービスリリースx | xx労働省 霞が関庁舎 での集合研修 | 操作手順書 | 10 名~30名程度 |
イ 教材の作成
本件受託者は、表4-7に示す教材を作成すること。教材の内容については事前に労災保険業務課と協議し、作成した教材は労災保険業務課の承認を得ること。なお、機械処理手引とは、本サービスを利用して業務を処理する方法・手順等を記載した手引、事務処理手引とは、対象とする業務の説明、業務の処理方法・手順等を記載した手引、マニュアル・FAQ 等とは、機械処理手引及び事務処理手引の他、本サービスを利用するにあたり必要な説明資料のことを指す。
表4-7 作成する教材一覧
No. | 教育対象者 の範囲 | 教育の内容 |
1 | 厚生労働省 労働基準局 | 本サービスの機能を利用する際の操作方法等を記載した機械処 理手引・事務処理手引・マニュアル・FAQ 等(職員向けの内容) |
職員 | ||
2 | 事業場 総務担当者 | 本サービスの機能を利用する際の操作方法等を記載した機械処理手引・事務処理手引・マニュアル・FAQ 等 (事業場における自主点検表の入力操作方法等、事業場向けのx x) |
3 | 運用保守業 者 | 本サービスの機能の利用、運用保守に関する機械処理手引・事務 処理手引・マニュアル |
(15)運用に関する事項 ア 運転管理・監視要件
(ア) 運転管理・監視
① 死活監視
監視対象サーバの状態を定期的に監視すること。
② プロセス監視
監視対象サーバ上にあるアプリケーションプログラム等について、システムの稼働に必須となる常駐プロセスを監視すること。
③ ジョブ監視
ジョブ管理用ソフトウェアと連携し、障害の検知を目的とした監視をすること。
④ ログ監視
不正アクセスの確認のため、OS、アプリケーションプログラムのログの確認を、月に 1 回、実施すること。
⑤ リソース使用状況監視
システムリソース(CPU、メモリ、ストレージ等)の使用状況を監視し、あらかじめ定めた閾値を超えた場合に、自動的に検知できる仕組みを用意すること。
⑥ 性能監視
応答時間等の状況を監視すること。
⑦ セキュリティ監視(不正侵入・不正アクセス等の監視)
不正侵入・不正アクセス、改ざん、情報漏えいの有無等を監視すること。
⑧ 利用者の利用状況管理(利用時期・時間帯、利用に要した時間等)
利用者の利用時期・時間帯、利用に要した時間、問い合わせ内容等の利用状況を管理及び収集すること。また、利用状況データを集計すること。
(イ) システム操作
下記に記載のシステム操作を実施すること。その際、対応は全てリモート対応とすることを想定している。なお、詳細事項については、要件定義・仕様調整の段階で本件受託者の提案を踏まえ決定する。
① 修正プログラム又はアップデートファイルの適用
本サービスのアプリケーションプログラム等に対して修正プログラム又はアップデートファイルの適用が必要になった場合、適用作業を実施すること。
② 一般的な障害の一次対応(障害検知又は受付、関係者への連絡等)
本サービスの障害検知又はクラウドサービスプロバイダから障害受付を行い、労災保険業務課へ連絡等を行うこと。障害が発生した際には、担当者に即時に 通知し、障害の1次切り分けを行うものとする。なお、障害発生が深夜時間帯 の場合、翌営業日以降に対応を実施する。
障害受付、労災保険業務課への連絡等の方法については、本件受託者の提案を踏まえ設計段階において決定する。
③ 情報漏えい、改ざん等の一次対応(障害検知又は受付、関係者への連絡等)本サービスにおける情報漏えい、改ざん等の検知を行い、労災保険業務課へ
連絡等を行うこと。障害が発生した際には、担当者に即時に通知し、速やかに障害の1次切り分けを行うものとする。
情報漏えい、改ざん等の検知、労災保険業務課への連絡等の方法については、本件受託者の提案を踏まえ設計段階において決定する。
④ バックアップ管理
本サービスにおけるバックアップ作業の実施、バックアップデータの管理、バックアップデータからの復旧等を実施すること。
バックアップ管理の方法については、本件受託者の提案を踏まえ設計段階において決定する。
(ウ) 運転管理・監視時間帯
詳細事項については、要件定義・仕様調整の段階で本件受託者の提案を踏まえ決定する。本サービスにおいて深夜時間帯は運転管理、・監視時間帯の対象外とするが、情報漏えい、改ざん等の検知・監視は常時(24 時間 365 日)実施することを想定している。
イ データ管理要件
(ア) バックアップ管理(バックアップの頻度、取得時期及び保持期間(世代管理を 含む。)等を含む。)は要件定義・仕様調整の段階で決定する。なお、バックアッ プの取得については、クラウドサービスプロバイダから提供されるバックアップ サービスを利用して差し支えない。ただし、適用するサービスの種類、バックアッ プサイトの場所、バックアップデータの取得時期及び保持期間(世代管理を含む。)、自動化の程度等については、対象とするデータの性質等に応じて、業務に影響を 与えず、かつコスト対効果が高いものを選定すること。
ウ 運用サポート業務
(ア) 問合せ対応は、機能の一環として作成する WEB ベースの仕組みを通じて実施すること。技術的な質問、業務的な質問等、運用・保守に係る振り分け機能と振り分け方を本件受託者より提案書提出時に提案すること。それに基づき設計・実装し、問合せ対応の業務負荷軽減を実現すること。
(イ) 問合せ内容を集計し、報告すること。
エ 運用実績の評価と改善
(ア) 運用実績(情報システムの運転状況(リソース使用量等含む。)等)の値の提示と評価について報告すること。リソース使用量の変動等を踏まえ、リソース最適化の観点からクラウドの運用に係る方針(オートスケールを利用する場合の変更条件・上下限値等を含む。)の見直しのための対応策を提案すること。
(イ) 利用者の利用状況(利用時期・時間帯、利用に要した時間、問合わせ内容等)の収集・分析、評価及び管理を行うこと。
(16)保守に関する事項
本件受託者は、設計・開発に関する作業の中で、下記の要素を含んだ保守設計を、採用するクラウドサービスの性質等に応じて検討し、労災保険業務課と協議の上で実施すること。
ア アプリケーションプログラムの保守要件
・ 情報セキュリティに関する脆弱性の修正や不具合等の確認及び修正、小規模な改修等の作業を実施すること。
・ 不具合情報の受付後、本件受託者において不具合の確認を行うこと。なお、不具合情報の受付時間帯は平日の日中帯を想定しているが、詳細は労災保険業務課と協議の上で決定する。
・ 修正プログラムの作成及びテストのための環境は、本件受託者が用意すること。
・ 不具合修正に係る作業の内容、実施期間等は、労災保険業務課と合意の上で決定すること。
イ ソフトウェア製品の保守要件
・ 脆弱性情報の報告とセキュリティパッチ適用作業を実施すること。
・ システム稼働時間を踏まえたセキュリティパッチ適用方針を策定すること。
・ 不具合の受付とパッチ適用作業を実施すること。
・ 脆弱性等に対する迅速な対応を実施すること。ウ データの保守要件
・ データに異常が生じた場合の復旧作業を実施すること。
・ ソフトウェア等のアップデート時、データの更新作業を実施すること。
・ データ項目の追加・変更・削除を行うこと。エ 保守実績の評価と改善
・ リソース使用量の変動等を踏まえ、リソース最適化の観点からクラウドの運用に係る方針(オートスケールを利用する場合の変更条件・上下限値等を含む。)の見直しのための対応策を提案すること。
オ その他
システム保守については、技術的な事柄は原則本件受託者が担当し、各法令規則に基づく帳票入力の解釈等の業務的な事柄のみ厚生労働省の業務担当部署で処理することを想定している。保守に係る作業について、業務担当部署において対応する作業と本件受託者において対応する作業の振分け及び作業の割当てが可能な枠組みを実装すること。
本件受託者は、保守作業依頼、保守報告記録、障害対応記録、その他を蓄積する等の対応を行い、受託者のみで技術的な事項に対応できるような保守体制を準備すること。
労働災害発生
自主点検表
受理
自主点検表
記入・返送
督促
受理
死傷病報告作成
自主点検表
受理
自主点検表
履歴管理
自主点検表
編綴
死傷病報告受理
自主点検対象事
業場選定
自主点検表
(紙帳票)
Excel等に入力
保存
自主点検表
分析
自主点検表不受理の
事業場へ督促
自主点検対象
事業場
都道府県労働局
労働基準監督署
労働者死傷病報告 自主点検の現在の業務フロー 【別紙1】
試行的に構築するサービスにおける業務フロー(案) 【別紙1】
自主点検対象
事業場
労働災害発生
メール宛先誤り NO
又は郵送戻り?
自主点検表 WEB入力・修正
機能ID 1-2, 2-6-1
死傷病報告作成
YES 自主点検が
未入力状態? NO YES
入力内容の印刷
機能ID 2-6-2
都道府県労働局
労働基準監督署
死傷病報告受理
機能ID 2-1
労働災害情報検索
機能ID 2-2
自主点検対象事業場を 選定し、新システムへ入力
自主点検の依頼文送付方法を決定
メール
郵送
メールアドレス、 依頼文等の必要事項を入力
送付先、依頼文等の必要事項を入力
機能ID 2-5
必要書類の出力及び メール送信
必要書類の印刷及び 郵送
依頼文を再送
事業場所在地、メールアドレス等の調査
自主点検結果の検索
機能ID 2-6-2
NO
完了
再入力依頼
YES
不備があるか?
死傷病報告情報を基準システムへ入力
機能ID 2-4
機能ID 2-7, 2-8
自主点検結果の検索
新システム
事業場基本情報
労働者死傷病報告情報
自主点検対象事業場
機能ID 2-9
自主点検進捗管理
自主点検結果一覧
厚生労働省
安全衛生部
機能ID 2-10
自主点検表入力項目の作成、修正等
機能ID 2-3
自主点検結果の検索
機能ID 2-7, 2-8
労働基準行政
システム
データ連携
事業場基本情報
労働者死傷病報告情報
※基準システム外部IF連携によるオンラインデータ連携
※機能ID、帳票、データの受渡等については、要件定義書別紙2システム機能一覧もあわせて参照のこと
事業場基本情報及び労働者死傷病報告情報については、労働基準行政システムから労働基準関係情報管理ツールへデータ連携をしている方式と同様の方式により連携することを想定
【別紙2】
システム機能一覧
No. | 利用者 | ||||||||||||
分類 | 機能 ID | 機能名 | 概要 | 事業場 | 自主点検対象 | 厚生労働省 | 労働x | x道府県 | 監督署 | 労働基準 | 事業者 | システム運用 | |
1 | アカウント | 1-1 | 利用者ID 登録・変更・削除 | 本サービスを使用する利用者のIDを登録、変更及び削除する機能。 | 〇 | ||||||||
1-2 | ログイン | 利用者IDを照合し、ログイン可否を判定する機能。ログイン後、利用者の権限に基づき、システム機能の制限を行う。利用者IDとパスワードを自主点検事業場に通知し、当該ID、パスワードにより本サービスにログイン後、自 主点検事業場において自主点検表、メールアドレスの入力等を行う。これにより、自主点検事業場が特定される ため、自主点検表入力依頼文を送付した事業場のうち、自主点検表に入力を完了していない事業場を表示し、管理することを可能とする。自主点検事業場の利用者IDは事業場を特定するコード、パスワードは本サービスで自動生成したパスワードを使用する。入力が完了した後は、原則入力内容の修正を行うことはできない。 | 〇 | 〇 | 〇 | 〇 | 〇 | ||||||
2 | 自主点検 | 2-1 | 死傷病報告 一覧表示、検索及び検索結果表示 | 死傷病報告の一覧を表示する。また、事業場名、労働災害発生日時、所轄労働基準監督署等の検索条件により死傷病報告を検索し、検索結果を表示する。 | 〇 | 〇 | 〇 | 〇 | |||||
2-2 | 死傷病報告 自主点検対象となる報告の選定 | 死傷病報告一覧から、自主点検の対象とする事業場を選定する。選定した事業場の一覧、送付先住所等の出力を可能とする。 | 〇 | 〇 | 〇 | 〇 | |||||||
2-3 | 自主点検表 入力項目の作成、修正等(本省) | 自主点検表の入力項目のうち、全国で統一する項目の作成、修正等を行う。試行として対象局を限定しているため、入力項目は本省でのみ作成する。 | 〇 | 〇 | |||||||||
2-4 | 自主点検表 印刷 | 初めて自主点検表を送付する場合、登録されたメールアドレスが無効である場合等メール送付が困難な場合に、自主点検対象事業場への郵送用依頼文(再依頼文を含む。)を印刷する。 ※機能としては、ブラウザ上から印刷する方式、または一旦pdfファイルを生成して利用者端末にpdfファイル等をダウンロードし、印刷する方式等、実現方式は問わない。 | 〇 | 〇 | 〇 | 〇 | |||||||
2-5 | 自主点検表入力依頼文 メール送信 | 自主点検表入力依頼文(再依頼文を含む。)を、自主点検対象事業場へメール送信する。自主点検対象事業場が入力したメールアドレスは本サービスにて保管する。自主点検対象事業場が入力を完了した後は、所轄労働基準監督署等の職員のみがメールアドレスの変更権限を有する。 ※メール送信方法については、本サービス上でメールサーバを実装し、そのメールサーバーからメール送信する方式、または利用者のメーラーを呼び出して利用者のメールアカウントからメール送信する方式等、実現方式は問わない。 | 〇 | 〇 | 〇 | 〇 | |||||||
2-6-1 | 自主点検表 入力 | 自主点検対象事業場が、メールアドレス、自主点検xxを本サービス上で入力する。画像データ(JPEG、PNG等)を入力可能とする。自主点検対象事業場において各入力項目に入力すべき内容がわかるよう入力ガイド(入力補助機能)を導入する。なお、入力ガイドで表示する内容は、事業者が自主点検表を入力するに当たり具体的かつ明確な内容となるよう入力支援するもの、また法人又は個人を特定可能な内容を入力しないようにするものとする。 | 〇 | 〇 | |||||||||
2-6-2 | 自主点検表 修正・印刷 | 自主点検対象事業場が、入力を完了した後は、自主点検対象事業場では、入力情報の修正は原則不可とする。入力完了後は、自主点検対象事業場において、入力内容の印刷を可能とする。入力内容に不備等があり、所轄労働基準監督署等の職員が、入力内容の修正等が必要と判断した場合は、当該職員が自主点検対象事業場に再入力依頼を 行うとともに、当該職員の権限により、自主点検対象事業場が本サービスに再度ログインして、入力内容の修正等を行うことを可能とする。当該職員自身には、自主点検表の入力権限はなく、当該職員自身による自主点検表入力内容の修正等は不可とする(機能ID2-5のとおり、メールアドレスの変更は可。)。 | 〇 (修正 入力及び入力結果印刷) | 〇 | 〇 | 〇 | 〇 | ||||||
2-7 | 自主点検表 報告結果の一覧表示、検索及び検索結果表示 | 自主点検対象事業場が入力した自主点検表の一覧を表示する。また、各検索条件により自主点検表を検索し、検索結果を表示する。 また、自主点検表には異なる単語ではあるが、ほぼ同一の意味を持つ単語が記載されることがあるため、自主点 検表回答の検索においては単語のゆれ、曖昧な検索条件等であっても適切な自主点検表が検索可能であるような機能を実装する。加えて、検索機能については行政職員が検索結果の重みづけ、優先度等を変更して適切な検索結果が出力するよう調整可能とする。 | 〇 | 〇 | 〇 | 〇 | |||||||
2-8 | 自主点検表 単票表示 | 自主点検対象事業場が入力した自主点検表の一覧から、各自主点検表ごとに単票表示して、自主点検表の内容を確認する。 | 〇 | 〇 | 〇 | 〇 | |||||||
2-9 | 報告状況の表示・管理 | 自主点検表の送付状況、返信状況、入力状況等の進捗を管理する。自主点検対象事業場ごとに現在の状況を画面上に表示する。また、自主点検表入力依頼文を送付した事業場のうち、自主点検表に入力を完了していない事業場の一覧を表示し、自主点検結果表の入力完了の有無を管理する。 | 〇 | 〇 | 〇 | 〇 | |||||||
2-10 | 本サービスと基準システムとの連携 | 基準システムの事業場基本情報、労働者死傷病報告情報を、本サービスへ取り込む。取り込みは週次で行う。 ※本サービスへの取り込みは、運用業者、本省(安全衛生部)のいずれが行うか、電子媒体により行うか否かは問わない。週次の媒体受取が困難な場合は、本件受託者がファイル共有サーバー等を用意する。 | (〇) | (〇) | |||||||||
3 | 運用保守 | 3-1 | 運転管理・監視 | 本サービス上のシステム状況(死活監視、性能監視、稼働状況監視、セキュリティ監視(不正侵入・不正アクセス等の監視)等のシステム運転状況)に関する情報を管理・監視する。また、それらをシステムを運用する事業者へ通知する。 | 〇 | ||||||||
3-2 | アクセスログ収集 | 利用者が本サービスにアクセスした際のログを収集する。 | 〇 | ||||||||||
3-3 | アクセスログ分析 | 機能ID3-2にて収集したログを分析する。 | 〇 | 〇 | |||||||||
3-4 | システムログ収集 | システム動作ログを収集する。 | 〇 | ||||||||||
3-5 | バックアップ管理、データ取込み等のシステム操作 | バックアップ管理、外部からのデータ取込み等のシステム操作を行う。 | 〇 | ||||||||||
厚生労働省における
通信・ネットワーク要件の基本方針
別紙3
~セキュリティ水準の確保に留意して~
利用拠点
1. 厚生労働省周辺のネットワーク①
事業者に提供可
【国民・事業者、地方公共団体等とのつながり】
(出先機関等)
※土管の表現は便宜上のものであり、通信の流れはイラストの管の単位に限定されません。また、管の本数や長さ、管間の距離などは 図上の表現として加工する場合があります。
厚労統合NW及び
政府共通PF(政府共通プラットフォーム)
政府情報システムの共通基盤を目指して整備されている。
所管は総務省行政管理局。
破線:インターネット接続系※実線:LGWAN接続系※
※地方公共団体の視点による分類
国民・事業者
センタ的拠点
(厚労本省等)
各拠点の詳細は
②参照
厚労統合NW⇔インターネットの共用Web接続環境の帯域は 800Mbpsを確保
インターネット
政府共通PF
LGWAN-ASP
政府共通PFリモート保守
厚労統合NW
厚労統合NW⇔政府共通NW間はそれほど回線が太くない
(100Mbps保証)
政府共通NW
政府共通NW⇔LG-WAN間は
LGWAN
LGWAN-ASP
地方公共団体
厚労統合NW(厚生労働省統合ネッ
各府省等
200Mbps保証
LGWAN向けに各種サービスを提供。主に民間企業が参入。
トワーク)
厚生労働省の関係機関・各拠点間を接続する広域ネットワーク(WAN)。
担当は情報システム管理室。
政府共通NW(政府共通ネットワーク)
各府省等のネットワークを相互接続する
政府内専用ネットワーク。旧霞が関WAN。所管は総務省行政管理局。
LGWAN(総合行政ネットワーク)
地方公共団体を相互接続する行政専用ネットワーク。地方共同法人である地方公共団体情報システム機構
(J-LIS)が地方公共団体の委任を受けて運営。
事業者に提供可
1. 厚生労働省周辺のネットワーク②【厚労統合NW】
厚生労働省統合ネットワーク(厚労統合NW/WAN/土管)
担当:情報システム管理室(情報化基盤企画係)
【提供サービス】
NTP(時刻同期)※内部限定
リモートデスクトップ接続用の
利用拠点
施設等機関、地方支分部局・署所
拠点によって確保されている帯域は異なり、毎年度、帯域に応じた課金(予算要求時の
配賦)が各部局になされる
SSL-VPN通信(テレワーク用)
※利用時にはトークン必須
2系統で冗長化、災害時の業務継続性も担保
通信経路上のセキュリティ対策
(ex. ふるまい検知、IPS等)
厚生労働省ネットワークシステム
(厚労LAN/NWS/共働支援)
担当:情報システム管理室
(管理第一係・第二係)
【提供サービス】
DNS(mhlwドメイン管理)
FW スイッチ
センタ的拠点
本省・上石神井庁舎、厚労LAN-DC、年金機構
FW スイッチ
FW ルータ
FW ルータ
NW 1系
NW 2系
中央 センタ
個別システムで共働支援端末を利用するための各種設定
職員情報(アカウント)管理・認証基盤等
※シングルサインオン(SSO)に必要
外字基盤
センタ的拠点/利用拠点の責任分界点:
・厚労統合NWがFWとルータを設置
・利用機関はスイッチ(L2/L3)を用意
厚労LANは、ネットワーク構成上は厚労統合NW配下の個別システムの
1つという位置付け
VPN接続環境利用案件
民間クラウド・外部DC
ルータ
VPN接続環境の詳細は➃参照
事業者に提供可
1. 厚生労働省周辺のネットワーク③
【次期厚労LAN(H30.7以降)での内外分離(予定)】
非公開部分に接続する「内部系」と、公開部分のみの接続に限定する「外部系」を分離。
職員端末からの一般のWebサイト閲覧には、「外部系」のサーバで動くWebブラウザで生成・表示された画面だけを「内部系」に転送する(VDI-SBC)方式を採用。
内外のファイルのやり取り等は、専用のデータ交換領域を経由させる。
厚生労働省ネットワークシステム(厚労LAN)
一般のWebサイト閲覧
直接ファイルのやり取りはせず、必ずデータ交換領域を経由させる
ファイル共有等
外部メール/
SBC
外部系
厚労統合NW※
個別システム
(公開部分)
画面のみ転送
内部系
データ交換領域
ファイル共有等
/内部メール/
グループウェア
厚労LAN 共働支援端末
※厚労LANの内部系/外部系の分離を表現するため、便宜上、上下の土管を離して記載しています。
個別システム
(非公開部分)
or
VDI
VDI(Virtual Desktop Infrastructure;仮想デスクトップ) SBC(Server Based Computing)
事業者に提供可
1. 厚生労働省周辺のネットワーク➃
【民間クラウド・外部DC等向けのVPN接続環境(H30.4~)】
民間クラウド・外部DC等の利用案件向けに、厚労統合NWでは専用のVPN接続口を提供。
個別システム側でVPN回線等とルータを持ち込み、厚労統合NWが提供するスイッチに接続する形態。(政府共通プラットフォームのリモート保守でも同様の方式となっている。)
各拠点等から個別システムへのルーティングは厚労統合NWで実施するので、個別システム側は持ち込む回線や接続先などの要件を予め整理し、厚労統合NWと早期に調整。
厚生労働省統合ネットワーク(厚労統合NW)
個別システム
各拠点等
NW 1系
中央センタ #1
NW 2系
L3スイッチ
中央センタ #2
ルータ
註:厚労統合NWのVPN接続口は、 H30.4~利用開始に向けて準備中
民間クラウド外部DC等
L3スイッチ
ルータ
クライアント
責任分界点:ルータからL3SWまでの配線は厚労統合NW側
当面、接続可能なシステム数には制約があるところ、可能な限り予算要求前に、厚労統合NW側に案件登録の連絡を入れることが望ましい。
※民間クラウド等-厚労統合NW拠点間の回線及びルータは、個別システム側が負担(中央センタに持ち込む)。回線冗長化等の要否は個別に判断。
事業者に提供可
1. 厚生労働省周辺のネットワーク⑤【セキュリティ面】
情報セキュリティ水準は、複数の対策を組み合わせた「多層防御」の考え方で担保。
情報セキュリティ対策は、決定的な対策を一つ実施すればよいわけではなく、複数の対策を組み合わせ、全体として水準を確保することが重要。
厚生労働省では、個別システムに至る前に、厚労統合NWを中心とする基盤側で各種対策を実施しており、個別システム側で基盤側と重複する対策を実施する必要はない。
各個別システムでは、リスク評価の結果も踏まえつつ、各々の業務要件に応じて独自 に対応する必要があるリスクへの対策に注力することが求められる。
エンドポイント
個別システム
セキュア・コーディング
データ暗号化、アクセス制御セキュリティ体制の整備
運用手順の遵守
内部ネットワーク
厚労LAN
仮想ブラウザふるまい検知
(エンドポイント)
ネットワーク境界
厚労統合NW
FW(ファイアウォール) IPS(侵入防止システム)
FW
ふるまい検知 プロキシサーバ
外部ネットワーク
絵:(右)GATAG|フリー素材集 壱「ウイルス入りのメール」
(中)京セラコミュニケーションシステムセキュリティ事業部「IDSとIPSの動作」(ITPro)
事業者に提供可
1.
厚生労働省周辺のネットワーク⑥【用語の整理】
本書における用語の整理
非公開部分 | 個別システムのうち、利用者が国の機関や地方公共団体など行政内※1に限定され、一般向けに公開しない部分。一般向けに提供しているWebサイト等でも、CMS(コンテンツ管理)など管理機能は「非公開部分」に該当する※2。 ※1 行政機関に準ずる主体を含む場合がある。 ※2 例えば、未決定の施策について予めリリース用のWebページを準備しておき、決定後、直ちにリリースを行おうとする場合など、最終的にすべて一般公開となる情報であっても、公表前の情報の中には取扱いに特別の注意が必要なものが含まれることに注意。 | |
公開部分 | 非公開部分以外のすべての部分。 | |
内訳 | 一般公開 | 一般向けの情報提供サイトなど、アクセス制御を行わない部分※2。 |
限定公開 | ID/Pass等でアクセス制御を行う部分(利用者は行政内に限定されない)。 | |
一般に注意が必要な表現
インターネット接続/ インターネット閲覧 | 物理的には「インターネット」を経由するものでも、個々のリスク評価の結果に応じたセキュアな通信方式(HTTPSやIPsec-VPNなど)を採用すればセキュリティ上の問題はない。「インターネット接続」のようなあいまいな表現では、要求されるセキュリティ水準が不明瞭になり、意図が共有されないおそれがある。 【推奨】「インターネット接続」→「IPsec-VPN接続」等接続方式を具体的に記載(※) 「インターネット閲覧」→「一般のWebサイト閲覧」等に置き換え |
内部/外部 | 厚労LANの「内部系」「外部系」の整理と混同されるおそれがある。 【推奨】業務要件に応じて「非公開部分」「公開部分」の記載で統一 |
※詳細は「2.セキュリティ対策を考慮した接続の基本方針②」を参照。
事業者に提供可
2. セキュリティ対策を考慮した接続の基本方針①
厚生労働省における各拠点・個別システム接続の大原則
各拠点間、個別システムとの接続、一般のWebサイト閲覧等は厚労統合NWに一本化。
各個別システムは、業務要件に基づいて非公開部分と公開部分を整理し(※次頁参照)、両者の間で明確にセキュリティレベルを分け、確実に論理分離を行う。
個別システムのうち非公開部分との接続に際しては、厚労統合NWのVPN接続環境等を利用し、個別にセキュアなルーティングを実施する。
厚労統合NWを介さない「裏口」は禁止
非公開部分
個別システムのうち公開部分へのアクセスは一般のWebサイト閲覧と同じ厚労統合NWの共用Web接続環境を利用
各拠点等
一般のWebサイト閲覧
厚労統合NW※1 ※1 厚労LANの内部系/外部系の
個別システムとの接続や
分離を表現するため、便宜上、
一般のWebサイト閲覧等※1は
必ず厚労統合NWを経由
個別システム※2
上下の土管を離して記載しています。ただし、外部系との接続部分については、便宜上記載を省略しています。
厚労LANの内部系
厚労LANの内部系との間は非公開部分に限り接続可能
(認証基盤等との連携も可能)
B:非公開
公開部分と非公開部分は
論理的に分離
F:公開部分
※2 公開部分の有無等は個別システム毎に異なる。
(おおまかな分類は次頁参照)
事業者に提供可
2. セキュリティ対策を考慮した接続の基本方針②
非公開部分/公開部分それぞれの接続方針【整理表】
分類 | 通信方式 | 利用する接続環境 | 厚労 LAN 分類 | 注意事項 | |
一般のWebサイト閲覧 | HTTP(S) | ||||
個別システム(公開部分) | HTT※P(S) (詳細③参照) | 共用Web接続環境 | 外部系 | ※H30FYの情報セキュリティポリシー改訂により常時 TLS化が必須となる見込み。 | |
個別 システム (非公開部分) | Webブラウザで完結するWeb機能の部分 | HTTP(S) (詳細③参照) | 共用Web接続環境 | 内部系 | 個別システム側でアクセス元IPによるアクセス制限等の対策を実施。 |
その他の標準的な部分 | IPsec- VPN | VPN接続環境 | 各個別システムの接続要件の決定に際しては、取り扱う情報の性質その他の業務要件、回線コスト等、総合的なリスク評価の結果に基づき、個別に判断を行う。 | ||
高い可用性・機密性等が要求される部分 | IP-VPN 以上 | ||||
政府共通PFリモート保守 | IPsec- VPN以上 | PF接続環境 | |||
事業者に提供可
2. セキュリティ対策を考慮した接続の基本方針③
非公開部分に係る接続方針【解説】
個別システムの接続要件は総合的なリスク評価の結果に基づき決定。
リスク評価では、取扱情報の性質その他の業務要件、回線コスト等を総合的に勘案。対象の情報が、他省庁で一般に提供されているシステムなども含めてどのように取り 扱われているかも考慮し、費用対効果等を加味した合理的な選択肢を検討。
Webブラウザで完結するWeb機能の部分は、HTTPSで接続。
アクセス元IP制限等の他、e-Gov電子申請や銀行・証券系と同様、 十分な暗号化強度の確保が必須であり、IPA「SSL/TLS暗号設定
ガイドライン」内の基準に基づく設定が必要。具体的にはTLS 1.2以上とし、
非公開部分は「高セキュリティ型」、公開部分は「推奨セキュリティ型」以上※とする。
さらにリスクの度合いによっては↓のパターンを検討。
※システムライフサイクルを通じて有効と見込まれるものに限る。
HTTPS接続では業務要件を満たさない場合はIPsec-VPN等により接続。
標準はIPsec-VPN。ただし、寸断も許容されない高度な可用性や高度な機密性が求められる場合等には、要件に応じて個別にIP-VPN以上の採用を検討。
厚労統合NWで実施する統一的なセキュリティ対策の活用、クライアント端末の管理コスト等の観点から、SSL-VPN(クライアント端末と個別システムとの間の通信)につ いては原則不可とする。 絵:IPA「SSL/TLS暗号設定ガイドライン」
事業者に提供可
【参考】セキュアな通信方式のおおまかな分類
オープン/ 堅牢化の対象 種類 通信経路上の クローズ※ セキュリティ | ||||
「クローズド ネットワーク」 | チャネルセキュア (回線自体) | 専用線 | 接続サービスを提供する通信・回線事業者が担保 | |
広域イーサネット | ||||
IP-VPN(MPLS-VPN) | ||||
「オープンな ネットワーク」 | インターネット VPN | IPsec-VPN | ネットワークを構築する主体が担保 ①通信・回線事業者 (接続サービス利用の場合) ②自前でネットワーク構築 | |
(いわゆる) SSL-VPN | 自前でネットワーク構築 ※厚労統合NW上では原則不可 | |||
オブジェクトセキュア (データ) | HTTPS (SSL/TLS通信) | 送受信時に適宜暗号化 | ||
※厚生労働省「医療情報システムの安全管理に関するガイドライン」 (第5版)
事業者に提供可
3.
頻度の高いネットワーク周りの調整事項①
DNS(DOmain Name System;名前解決機能)→厚労LAN担当
Webサイトや業務システムを xxxxx://xxx.xxxx.xx.xx のような形で提供するための xxxx.xx.xxドメインのサブドメイン(↑のxxxの部分)の管理、設定変更等を実施。
ホスト名のみ(Aレコード)、サブドメインの管理を外部委任する(NSレコード)、メールサーバ(MXレコード)及びメールサーバIPアドレス(SPFレコード)に対応。
メールアドレスにおけるxxxx.xx.xxドメインの利用に当たっては、「政府機関の情報セキュリティ対策のための統一基準」に準拠した取扱いとするほか、利用するメールサーバが以下の条件を満たす必要があることに留意。
xxxx.xx.xxドメイン以外のメール送受信を行わない専用サーバ※とすること。
※独立した物理サーバであることは必須ではなく、メールサーバが適切に分離されていればよい。
サーバのグローバルIPアドレスを、国内のグローバルIPアドレス管理団体である
「JPNIC」に厚労省の名前で登録すること。
詐称メール対策として、正しいメールサーバから送信されていることを担保し、差出人メールアドレスの偽装を防ぐSPFレコード(Sender Framework Policy)の設定※を行うこと。
サブドメインの命名方法については、
「ドメイン管理ガイド」を参照のこと。
→ xxxxx://xxx.xx.xx/xxxx/0000
※SPFレコード末尾には「-all」を記述するなど、
規定された設定が必要。
「府省庁対策基準策定のためのガイドライン」の基本対策事項7.2.1(1)-2 a)「送信側の対策」で
事業者に提供可
3.
頻度の高いネットワーク周りの調整事項②
NTP(NetwOrk Time PrOtOcOl;時刻同期機能)→厚労統合NW担当
ネットワーク内の各端末の時刻を統一するための基準となる時刻情報を提供。
情報セキュリティの観点からも、不正アクセス・不審な通信等が発生した正確な時刻の把握は重要なので、非公開部分については原則厚労統合NWのNTPを指定し同期。
※外部系で厚労統合NWのNTPが利用できない場合でも、システム内ではどこかのNTPを利用し時刻を統一した上で、厚労統合NWとの時刻の差異を記録しておくことが求められる。
サーバ証明書(GPKI;GOvernment Public Key Infrastracture)→情報公開文書室
アクセス先のサーバが本物であることを確認できるようにするため、各サーバには
「サーバ証明書」の導入が必要。
政府情報システムは、総務省行政管理局が管理しているGPKIから発行されるサーバ証明書を無料で取得、導入することができる。
※民間の認証機関から有料で提供されているサーバ証明書を利用することもできるが、その場合には、当該認証機関が適切に外部監査を受けている、客観的に信用できるものであることが必要。
個別システムを共働支援端末で利用 →厚労統合NW担当 and/or 厚労LAN担当
Webブラウザのみ(HTTP)で完結する場合は、ネットワーク関係の調整は原則不要。
※インターネット接続を制限している端末の場合、ルーティング等の設定が必要なので、利用予定端末の設置場所とホスト名(PC裏の「TPA○○」のこと)のリストを用意し、厚労統合NW担当に相談。
ソフトウェアのインストール等が必要になる場合などには、適宜厚労LAN担当に相談。
事業者に提供可
3.
頻度の高いネットワーク周りの調整事項③
人事異動情報連携、シングルサインオン(Single Sign-On;SSO) →厚労LAN担当
人事異動情報は所定のフォーマットによるCSV連携が可能。通信プロトコルはCIFS
(Common Internet File System)を利用する。
※所定の場所に置かれた連携用ファイル(厚労LAN側で各連携システム向けに日次で作成するもの)を、連携システム側から任意のタイミングで取得しにいく形。
内部ネットワークにあるWebベース(ブラウザによるアクセス)のシステムであれば、
「シングルサインオン」が利用可能。共働支援端末でログインしていれば、個別システム利用時に改めてID/Passの入力等を行うことが不要にできる。
現行のLAN(~H30.6)ではRSA Access Manager 6.1(販売終了品)を利用。
※Active Directoryを使うため、LDAP-SSLインタフェースを利用(=サーバ証明書が必要)。また、TCPベースの独自プロトコルを利用する。
次期LAN(H30.7~)ではOpenAMを利用(予定)。
シングルサインオンの利用を新規に希望する場合には以下に留意。
個別システムが、厚労LANのリバースプロキシのみと通信を行い、他からのアクセスを拒否するものであることが必要。
ユーザ数、認証基盤の利用頻度等によっては、厚労LAN側で認証基盤の増強が必要になるため、工事等の期間(リードタイム)が発生するほか、個別に費用負担が発生する可能性がある。
事業者に提供可
3.
頻度の高いネットワーク周りの調整事項➃
政府共通プラットフォーム(政府共通PF)のリモート運用保守 →厚労統合NW担当
政府共通PF移行後、個別システムの運用保守は原則としてリモートで実施。
※政府共通PFでは、大量データ移行などで「作業室」を利用するケースもあるが、数日前の申請必須、空きスロットの制約等のため、日頃の運用保守をリモート以外で行うことは実態として考えにくい。
運用保守業務をベンダに任せる場合、ベンダの拠点-厚労統合NW間の通信が必要になり、回線+ルータを厚労統合NWに持ち込む必要がある。
本省庁舎内からのアクセスの場合には、厚労LAN担当にも申請が必要になる。ファイアウォール設定申請(政府共通PFまでアクセスできるようにするため)ハードウェア接続申請(管理端末等として新たにハードウェアを持ち込む場合)
スマートフォン、タブレット等の端末を使いたい →サイバーセキュリティ担当参事官室
「スマートフォン・タブレット端末等の使用手順」※の遵守が必要。公用端末を利用する場合には、管理面・技術面の両面で諸々対応が必要となる。
※同手順は、厚生労働省情報セキュリティポリシー等とともに共働支援システム上に掲載。なお、公用端末利用時の規定については、情報システムに係る調達関係資料のうち「案件形成の事例紹介」>
「出先機関等の現場における諸外国語への対応」でも概要解説あり。
事業者に提供可
3.頻度の高いネットワーク周りの調整事項⑤
個別システムの教育研修 →統計・情報総務室統計研修係(+厚労LAN担当)
「自習室」(オンライン研修システム)機能を使えば、内部向けにe-Learningとして提供することが可能。「自習室」で使える教材の形式等は次のとおり。
現行(~H30.6末まで)
PowerPointでコンテンツを作成し、システムで提供されるオーサリングツールを用いて所定の形式に変換。運用担当者への依頼等によりシステムに登録。
次期(H30.7以降)
SCORM 1.2(e-Learningの標準規格)準拠、又は独自形式(Generalist LM形式※)のコンテンツ掲載が可能。
※システム側から無償提供されるツールで作成可能(PowerPointの取り込みも可能)。
法人の情報 →国税庁法人番号公表サイト(xxxx://xxx.xxxxxx-xxxxxx.xxx.xx.xx/xxxxxx/)
法人番号公表サイトで提供されている「法人番号システムWeb-API」を利用すると、法人番号や法人名等を指定することで法人に係る基本情報等の取得が可能。
※Web-APIを利用するには予め「アプリケーションID」を発行してもらうことが必要。ID発行は無料なので、サイト側に適宜発行申請を。
この他にも、APIで取得できるオープンデータ例。
・ 経産省「法人インフォ」の法人インフォメーションAP
・ 総務省「統一資格審査申請・調達情報検索サイト」のオープンデータ機能 等。
本案件にて求める役務及び納入成果物とSLCP-JCF2013との対応関係 【別紙4】
項番 | 大項目 | 中項目 | 小項目 | 成果物名 | 納入期日 | SLCP-JCF2013のアクティビティ |
作業の実施内容に関する事項 | ||||||
1 | 作業の内容 | 作業前提に係る内容 | 実施計画書等の作成(共通) | 実施計画書(体制図、作業内容、作業体制及びマスタスケジュール、WBS等の基本方針を示したもの。) | 契約締結後2週間以内 | 5.1.2 プロジェクト計画 |
2 | 実施要領(コミュニケーション管理要領、工程管理要領、リスク管理要領、課題管理要領、システム構成・変更管理要領、体制管理要領) | |||||
作業完了報告書 | 実施計画書等の承認日各工程の完了日 | 2.6.3 修正の実施 | ||||
3 | 最終報告書 | 契約満了日 | 5.2 プロジェクトアセスメント及び制御プロセス | |||
4 | プロジェクト管理 | 課題管理簿 | 隔週 ※具体的な期日は、労災保険業務課と調整の上決定する。 | 5.4 リスク管理プロセス | ||
5 | リスク管理簿 | |||||
6 | 設計・開発に係る作業の内容 | 設計 | 要件定義書の確定版 | 要件定義工程完了日 | 2.2.4 要件の評価 | |
7 | 設計書(基本設計書、詳細設計書、システム方式設計書、環境定義書、データ定義表、情報システム関連図、ソフトウェア構成図及びプログラム一覧等、情報システムの設計を定義した資料一式) ※クラウド上に実装されたアプリケーションプログラムの設計を記載すること。 | 設計工程完了日 | 2.3.2 システム要件定義プロセス 2.3.3 システム方式設計プロセス 2.4.2 ソフトウェア要件定義プロセス 2.4.3 ソフトウェア方式設計プロセス 2.4.4 ソフトウェア詳細設計プロセス | |||
8 | 設計書(ネットワーク構成図、ハードウェア構成図等、VPC構成図等、情報システムを実装するインフラ基盤に係る設計を定義した資料一式) ※クラウド上に実装されたインフラ基盤構築に係る設計を記載すること。 | 設計工程完了日 | 2.3.2 システム要件定義プロセス 2.3.3 システム方式設計プロセス 2.4.2 ソフトウェア要件定義プロセス 2.4.3 ソフトウェア方式設計プロセス 2.4.4 ソフトウェア詳細設計プロセス | |||
9 | 開発・テスト | ソースコード一式 ※ノンプログラミング型設計・開発手法を採用する場合には、設計書やソースコード一式の生成等に使用される設定情報その他の必要な情報一式を納入すること。 | 開発工程完了日 | 2.3.4 実装プロセス 2.4.5 ソフトウェア構築プロセス | ||
10 | 実行プログラム一式 ※外部サービスを利用しているため実行プログラム一式を提供できない場合には、当該サービスに係る設定情報その他の必要な情報一式を納入すること。 | |||||
11 | 単体テスト計画書 | テスト計画書、テスト仕様書:各テスト開始 2週間前 テスト結果報告書(テスト証跡も含む):各テストの工程完了日 | 2.3.5 システム結合プロセス 2.3.6 システム適格性確認テストプロセス 2.4.5 ソフトウェア構築プロセス 2.4.6 ソフトウェア結合プロセス 2.4.7 ソフトウェア適格性確認テストプロセス 4.3.2 検証 4.4.2 妥当性確認 4.5.2 プロジェクト管理レビュー 4.5.3 技術レビュー | |||
12 | 単体テスト仕様書(テスト項目、テストデータ等を含む。) | |||||
13 | 単体テスト結果報告書(テスト証跡も含む。) | |||||
14 | 結合テスト計画書 | |||||
15 | 結合テスト仕様書(テスト項目、テストデータ等を含む。) | |||||
16 | 結合テスト結果報告書(テスト証跡も含む。) | |||||
17 | 総合テスト計画書 | |||||
18 | 総合テスト仕様書(テスト項目、テストデータ等を含む。) | |||||
19 | 総合テスト結果報告書(テスト証跡も含む。) | |||||
20 | 受入テスト支援 | 受入テスト実施手順書案(テスト項目案も含む。) | 受入テスト開始2週間前 | 2.4.9 ソフトウェア受入れ支援プロセス 4.3.1 プロセス開始の準備(検証) 4.4.1 プロセス開始の準備(妥当性確認) 4.5.2 プロジェクト管理レビュー 4.5.3 技術レビュー | ||
21 | 教育 | 教育・研修実施計画書 | 教育・研修の開始1か月前 | 2.6.1 プロセス開始の準備(保守) 3.1 運用プロセス 3.1.1 運用の準備 | ||
21 | 本サービスの操作方法等を記載した機械処理手引、機械処理事務手引、簡易操作マニュアル、教育訓練用教材等(画面イメージを含む。) | 教育・研修の開始1か月前 | 2.6.1 プロセス開始の準備(保守) 3.1 運用プロセス 3.1.1 運用の準備 4.3.1 プロセス開始の準備(検証) 4.4.1 プロセス開始の準備(妥当性検証) | |||
22 | 教育・研修実施報告書 | 教育・研修の実施後1週間以内 | 2.6.1 プロセス開始の準備(保守) 3.1 運用プロセス 3.1.1 運用の準備 4.3.1 プロセス開始の準備(検証) 4.4.1 プロセス開始の準備(妥当性検証) | |||
24 | 引継ぎ | 引継実施計画書 | 引継ぎ開始1か月前 | 2.6.1 プロセス開始の準備(保守) 3.1 運用プロセス 3.1.1 運用の準備 | ||
25 | 業務引継ぎ資料一式(引継に関する事項を記載したもの) | 引継ぎ開始1か月前 | 2.6.1 プロセス開始の準備(保守) 3.1 運用プロセス 3.1.1 運用の準備 | |||
26 | 運用・保守 | 運用 | 運用計画書(案) | 運用開始1か月前 | 2.6.1 プロセス開始の準備 | |
27 | 運用実施要領(案) | |||||
28 | 運用設計書 | |||||
29 | 運用作業手順書 | |||||
30 | 運用作業報告書 | 月末最終日 | 3.1.1 運用の準備 3.1.4 システム運用 3.1.6 業務運用と利用者支援 3.1.7 システム運用の評価 3.1.8 業務運用の評価 | |||
31 | 情報システムの現況確認結果報告書 | 随時 | ||||
32 | サービス利用状況報告書 | |||||
33 | 保守 | 保守作業計画書(案) | 運用開始1か月前 | 2.6.1 プロセス開始の準備 | ||
34 | 保守実施要領(案) | |||||
35 | 保守設計書 | |||||
36 | 保守作業報告書 | 随時 | 2.6.1 プロセス開始の準備 2.6.2 問題把握及び修正の分析 2.6.3 修正の実施 2.6.4 保守レビュー及び/又は受入 | |||
37 | 情報システムの現況確認結果報告書 | |||||
38 | アプリケーションプログラムの改修調査報告書 | |||||
39 | 保守作業結果を反映した要件定義書、設計書等の改訂版 | |||||
40 | その他の作業 | - | 厚生労働省内外の組織に向けた本サービスに係る資料 | 随時 | 3.1.4 システム運用 3.1.6 業務運用と利用者支援 3.1.7 システム運用の評価 3.1.8 業務運用の評価 | |
41 | 次期サービスの要件定義書(案) | |||||
42 | ODB登録用シート の提出 | - | ODB登録用シート | 契約締結後2週間以内 | 5.7.2 情報管理の実行 6.7.2 再利用資産管理プロセス | |
本案件にて求める役務及び納入成果物とSLCP-JCF2013との対応関係 【別紙4】
項番 | 大項目 | 中項目 | 小項目 | 成果物名 | 納入期日 | SLCP-JCF2013のアクティビティ |
作業の実施体制・方法に関する事項 | ||||||
43 | 作業の管理に関する要領 | プロジェクト管理 | コミュニケーション管理 | 会議・情報伝達計画書 | 契約締結後2週間以内 | 5.1.2 プロジェクト計画 |
44 | 議事録 | 会議実施後3開庁日以内 | 4.1.3 文書発行 | |||
45 | 工程管理 | 会議資料 | 随時(労災保険業務課が指定した日) | 1.2.4 契約の実行 | ||
46 | 工程管理資料(進捗管理表及びそれを補足する資料) | 毎週 ※具体的な期日は、労災保険業務課と調整の上決定する。 | 4.5.1 プロセス開始の準備(共同レビュー) 4.5.2 プロジェクト管理レビュー 5.1 プロジェクト計画プロセス 5.2 プロジェクトアセスメント及び制御プロセス 5.8 測定プロセス | |||
47 | 品質管理 | 品質管理基準書 | 契約締結後2週間以内 | 4.5.2 プロジェクト管理レビュー 5.2 プロジェクトアセスメント及び制御プロセス 5.8 測定プロセス | ||
48 | 品質評価計画書 | |||||
49 | 品質評価報告書 | 各工程の完了日 | ||||
50 | ドキュメント標準 | 契約締結後2週間以内 | ||||
51 | 品質改善計画書 | 随時(労災保険業務課が指定した日) | ||||
52 | 品質改善報告書 | |||||
53 | システム構成管理 /変更管理 | システム構成・変更管理台帳 | 随時(労災保険業務課が指定した日) | 5.5.1 構成管理計画 5.5.2 構成管理の実行 5.6.1 プロセス開始の準備(ソフトウェア構成管理) 5.6.2 構成識別 5.6.3 構成制御 5.6.4 構成状態の記録 5.6.5 構成評価 | ||
54 | 情報セキュリティ対策 | - | 情報セキュリティ対策要領 | 契約締結後2週間以内 | 1.2 供給プロセス 1.2.4 契約の実行 3.1 運用プロセス 3.1.1 運用の準備 5.5 構成管理プロセス 5.5.1 構成管理計画 | |
55 | 情報セキュリティ教育実施計画書 | |||||
56 | 情報セキュリティ教育実施報告書 | 月末最終日 | 4.3.2 検証 4.4.1 プロセス開始の準備(妥当性確認) | |||
57 | 脆弱性検査結果報告書 | 脆弱性検査を実施した工程の完了日 | 4.3.1 プロセス開始の準備(検証) 4.3.2 検証 | |||
58 | 脆弱性情報の対処状況報告書(脆弱性対策を行うとした機器及びアプリケーションソフトウェア(OS及びミドルウェアを含む。)につい て、公表されている又は公表される脆弱性情報を把握し、対処状況 (対処方法、対処しなかった理由、代替措置及び影響等)を示し たもの。) | 月末最終日 | 4.3.2 検証 4.4.1 プロセス開始の準備(妥当性確認) 4.4.2 妥当性確認 | |||
59 | セキュリティインシデント報告書(セキュリティ事故の発生又はそのおそれがある場合に際して、インシデントの内容、原因の分析及び再発 防止策等を示したもの。) | 随時(労災保険業務課が指定した日) | ||||
作業の実施に当たっての遵守事項 | ||||||
60 | 機密保持、資 料の取扱い | - | - | 機密文書の保持終了に係る誓約書 | 契約満了日 | 5.2 プロジェクトアセスメント及び制御プロセス |
61 | 情報セキュリティ管理 | - | - | 情報セキュリティ管理計画書 | 契約締結後2週間以内 | 1.2 供給プロセス 1.2.4 契約の実行 3.1 運用プロセス 3.1.1 運用の準備 5.5 構成管理プロセス |
62 | 情報セキュリティ対策実施報告書 | 月末最終日 | 4.3.2 検証 4.4.1 プロセス開始の準備(妥当性確認) 4.4.2 妥当性確認 | |||
※:月次の期間を越える期日で納入を行う成果物については、労災保険業務課等のレビュー期間を最低2週間設けること。
※:納入期日に納入された成果物について、後続の工程で修正が発生した場合には、修正を行った工程の成果物と併せて納品すること。
※:納品期日については、受託後協議の上、決定するものとする。
閲覧資料一覧 【別紙5】
項番 | 提供資料名 | 労働基準行政システム | 開示タイミング | |
資料閲覧時 | 契約時 | |||
1 | 業務関係資料 | ・自主点検表(未記入版)、自主点検表(記入例)、入力ガイド等 | ○ | ○ |
2 | 設計書概要資料 | ・労働基準行政システムに係る設計成果物の関係 ・基本設計要領 ・詳細設計要領 | ○ | ○ |
3 | 要件定義書 | ・労働基準行政システムに係る要件定義書 | ○ | ○ |
4 | 基本設計書 | ・システム方式設計書 ・開発用DB作成方針書 ・設計・開発標準 ・中長期運用・保守作業計画案 ・基本設計書 ・外部連携に関する仕様書 | ○ | ○ |
5 | プロジェクト計画書・管理要領 | ・プロジェクト計画書 ・プロジェクト管理要領 ・労働基準行政情報システム・労災行政情報管理システム及び労災レセプト電算処理システムの次期ハードウェア等の更改に係るアプリケーション改修業務一式 実施計画書 ・労働基準行政情報システム・労災行政情報管理システム及び労災レセプト電算処理システムの次期ハードウェア等の更改に係るアプリケーション改修業務一式 管理実施要領 | ○ | ○ |
庁舎における資料閲覧要領
「労働災害再発防止のための自主点検 WEB サービスのモデル事業」の調達仕様書で示す閲覧資料について、厚生労働省上石神井庁舎での閲覧を希望する場合は以下の手続きを行ってください。
○ 手続き
1 資料の閲覧を希望する場合には、次の事項を担当あてに電話又はメールにて連絡してください。閲覧日及び時間帯を担当から回答します。
・ 会社名
・ 閲覧者数、閲覧者全員の氏名及び連絡先
・ 閲覧希望日及び希望時間帯(複数の希望日)
2 資料を閲覧する際に、様式「庁舎における資料閲覧に係る誓約書」を担当あてに提出してください。
3 社員証を担当に提示の上、名刺を担当に提出してください。
○ 閲覧可能日及び時間帯
・ 閲 覧 可 能 日:土日祝日以外
・ 閲覧可能時間帯:原則として、次の①~③のいずれかの時間帯
① 10:00~11:30
② 13:30~15:00
③ 15:00~16:30
○ 留意事項
・ 資料は丁寧に取り扱ってください。
・ 指定した時間内に閲覧を終えるようにしてください。
・ 上記の閲覧可能時間帯を超えて閲覧を希望する場合等には、その旨担当に相談してください。
【担当】
厚生労働省労働基準局労災保険業務課システム計画第二係 xx、堀、xx
電話:00-0000-0000 (内線 366、367、336)メール:xxxxx-xxxxxxx@xxxx.xx.xx
電磁的記録媒体の貸出による資料閲覧要領
「労働災害再発防止のための自主点検 WEB サービスのモデル事業」の調達仕様書で示す閲覧資料について、電磁的記録媒体の貸出による閲覧のための要領を以下のとおり定めます。
1 貸出対象者
調達仕様書「8(1)入札参加要件」に記載されている要件をすべて満たすことができる者。
2 貸出期間
公示の2開庁日後から提案書等の提出期限までとする。
3 貸出場所
電磁的記録媒体の貸出場所は「厚生労働省上石神井庁舎 事務棟労災保険業務課」とする。
4 貸出及び返却手順
(1) 貸出を希望する開庁日の1開庁日前の午前 10 時までに、貸出希望日時、様式1
「電磁的記録媒体の貸出による資料閲覧に係る誓約書」の写し及び様式2「電磁的記録媒体の貸出による資料閲覧者名簿」の写しを「5 連絡先」の担当者宛に電子メールにて送付すること。
(2) 電磁的記録媒体を受領する際に、上記(1)の様式1「電磁的記録媒体の貸出による資料閲覧に係る誓約書」の原本及び様式2「電磁的記録媒体の貸出による資料閲覧者名簿」の原本を提出すること。
(3) 電磁的記録媒体を貸し出す際に、社員証を提示の上、名刺を提出すること。
(4) 本調達の見積額の算出及び提案書作成に係る検討終了後、電磁的記録媒体を貸出場所まで速やかに持参すること。
5 連絡先
郵便番号 177-0044
xxx練馬区上石神井4-8-4
厚生労働省労働基準局労災保険業務課システム計画第二係 xx、堀、xx
TEL 00-0000-0000(内線: 366、367、336)
以上
様式
令和 元年 月 日
厚生労働省労働基準局労災管理課長 殿
商号又は名称
所在地及び電話番号
代表者職氏名 ○印
庁舎における資料閲覧に係る誓約書
弊社は、労災保険業務課内の端末にて提供される「労働災害再発防止のための自主点検 WEB サービスのモデル事業」の入札(以下「本入札」という。)に係る閲覧資料及び当該端末の利用について、下記の条項を遵守することを誓約します。
記
1 閲覧資料の情報は、本入札のためにのみ利用します。
2 閲覧資料の情報及び閲覧資料の情報を記した記録物は、労災保険業務課の許可なく、本意見提出以外に利用、他に開示又は漏えいしないように管理及び保持します。
3 閲覧資料の情報を記した記録物は、本入札終了後、速やかに廃棄します。
4 労災保険業務課の許可なく、閲覧資料の持ち出し、複写を行いません。
5 閲覧資料の情報及び閲覧資料の情報を記した記録物に基づいて発明、考案又は意匠の創作等をなしたときは、遅滞なく労災保険業務課に通知するものとし、権利の帰属、取扱い等について、別途協議の上、決定するものとします。
6 閲覧資料の情報が公知されない限り、上記事項を遵守します。
7 資料の閲覧及び当該端末の利用は労災保険業務課の立会いの下、実施します。
上記に違反して、閲覧資料の情報及び閲覧資料の情報を記した記録物を本入札以外に使用、他に開示又は漏えいした場合、弊社は、責任を負う義務があることを認め、これにより労災管理課及び労災保険業務課が被った一切の損害を賠償します。
閲覧者氏名 裏面記載