Contract
匿名医療保険等関連情報データベース及び匿名診療等関連情報データベースを用いた調査におけるデータ前処理作業の委託
(令和6年度)
調達仕様書
令和6年5月
独立行政法人 医薬品医療機器総合機構
目次
1. 案件名 3
2. 背景 3
3. 調達の概要 3
4. 応札者の条件 4
5. 応札制限 5
6. 契約期間 6
7. 実務実施期間 6
8. 調達案件及び関連調達案件の調達単位、調達の方式に関する事項 6
9. 対象となる業務 6
10. 作業内容 6
10.1 計画 6
10.2 ドキュメント作成 7
10.3 データ処理 9
10.4 検証 10
10.5 受託業務の適切性の担保 11
10.6 その他 11
11. 納入成果物 11
11.1 納入成果物 11
11.2 想定作業スケジュール 12
12. 本業務に関連する資料の閲覧等について 13
13. 契約不適合責任 13
14. 情報セキュリティ要件 14
14.1 順守事項 14
14.2 情報セキュリティ対策 15
15. 作業の体制・方法に関する事項 15
15.1 作業実施体制 15
15.2 作業要員に求める資格等の要件 15
15.3 作業場所等の要件 16
15.4 必要物品等の要件 17
16. 特記事項 17
16.1 基本事項 17
16.2 秘密保持 18
16.3 情報セキュリティ監査の実施 18
16.4 知的財産等 19
16.5 再委託 19
17. 本件に関する照会先 20
1. 案件名
匿名医療保険等関連情報データベース及び匿名診療等関連情報データベースを用いた調査におけるデータ前処理作業の委託(令和6年度)
2. 背景
独立行政法人医薬品医療機器総合機構(以下、「PMDA」)では、医薬品の製造販売後安全対策の一環として、薬剤疫学的手法による各種医療情報データベースを用いた調査業務(※)を実施し、得られた調査結果をもとに安全対策措置の要否の検討や、医薬品の適正使用を推進するための施策の検討を行っている。医薬品の安全対策は、国民全体の保健衛生上の危害の発生・拡大の防止に直結することから、当該調査は迅速かつ信頼性を十分に担保して実施する必要がある。
※PMDA が実施する薬剤疫学的手法を用いた主な調査
・医薬品の処方実態調査
・副作用リスクの検出・評価(他剤との比較、原疾患による症状発現との比較)
・安全対策措置の影響評価(安全対策措置の実施前後における副作用発現頻度の比較)
3. 調達の概要
本調達は、厚生労働省医薬局医薬安全対策課と連携して実施する「匿名医療保険等関連情報データベース(以下、「NDB」)」及び「匿名診療等関連情報データベース(以下、「DPC DB」)」を用いた薬剤疫学調査業務の実施にあたり、両データベースより令和6年度に抽出・提供を受けたデータを連結して医薬品の安全性評価を効率的に実施できるようにするためのデータの前処理に関する業務を委託するものである(図 1)。また、受注者には、データ処理の内容に誤りが無く、PMDA と事前に合意した計画に沿って本委託業務に関するすべての作業が適切に実施されることが担保されるよう、必要な対応を求めるものとする。
なお、両データベースより抽出された実際のデータ(以下、「本番データ」)を取り扱う作業は、新霞が関ビル内の PMDA が指定した専用の作業室内でのみ実施するものとする。また、PMDA では令和5年度に、NDB 等のデータ処理に供するための専用の解析機器一式を導入した(「匿名レセプト情報等データ解析用機器等一式(令和5年度)」)。本委託業務におけるデータ処理に関する作業のうち、本番データを取り扱う作業には、令和5年度に PMDA に導入された解析機器を含む PMDA が保有する機器(以下、専用機器)等、及び本委託業務の遂行にあたって必要であることを PMDA に説明した上で受注者が作業室に持ち込んだ機器等を利用できるものとする。
図 1.本業務の対象とする範囲
4. 応札者の条件
応札を希望する事業者は、次の条件を満たしていること。
ア.作業責任部署は ISO/IEC27001 認証(国際標準規格)又は JISQ27001 認証(日本産業標準規格)のいずれかを取得若しくはこれに準じた措置の対応が可能であること。また、本業務について、これら標準規格の要求事項を満たすよう対応する能力を有すること。
イ.作業責任部署は ISO9001 認証(国際標準規格)又は CMMI レベル 3 以上の認定を取得若しくはこれに準じた措置の対応が可能であること。また、本業務について、これら標準規格の要求事項を満たすよう対応する能力を有すること。
ウ.NDB 及び DPC DB の利用に関するルールを理解しているとともに、本業務に関する全ての工程についてルールを順守して対応できること。
エ.「匿名医療保険等関連情報データベース(NDB)の利用に関するガイドライン 第2版」(令和5年 10 月 厚生労働省保険局)及び「匿名診療等関連情報の利用に関するガイドライン 第2版」
(令和5年 11 月 厚生労働省保険局)において、データを取り扱う者及びその委託先に対して必要とされる要件を満たす体制を確保できること。
オ.NDB 及び DPC DB のデータ処理作業に関する業務経験を有すること。また、当該業務について、 ISO/IEC27001 認証(国際標準規格)又は JISQ27001 認証(日本産業標準規格)の要求事項を満たすよう対応した経験があること。また、ISO9001 認証(国際標準規格)又は CMMI レベル 3 の要求事項を満たすよう対応した経験があること。
カ.過去 5 年以内に 100 億レコード以上の NDB 又は DPC DB のデータの取り扱いに関する業務の実施経験を有すること。
キ.本業務の遂行に必要な体制(15. 参照)を確保できること。ク.落札した場合、以下に対応できること
① 厚生労働省で開催される「匿名医療情報等の提供に関する専門委員会」(以下、「専門委員会」)における審議を踏まえ、厚生労働省より本業務委託体制が承認されるまでの期間は、受注者は本番データを取り扱わない作業(10.1、10.2、10.5 及び 10.6 参照)を実施すること。本番データを取り扱う作業は、厚生労働省による本業務委託体制の承認の通知後に実施すること。
② 本業務委託体制について専門委員会又は厚生労働省より一定の条件が課せられた上で承認された場合、受注者は当該条件を満たすよう必要な措置を講ずる等、条件を満たしたうえで業務委託体制の継続に努めること。
③ 本業務委託体制について専門委員会より不承認の決定が通知された場合、又は前項の必要な条件が満たせない場合には、本業務に関する委託契約は終了するものとする(「6. 契約期間」参照)。受注者は、当該時点までに実施した作業に関する成果物を速やかにPMDAに提供し、検収を受ける。PMDA は提供された成果物の検収を行い、契約終了時点までに実施された委託作業に関しての費用を支払うものとする。
ケ.本業務で利用可能な専用機器等に関する資料の閲覧を事前に希望する場合には、応札までに、
PMDA に連絡すること(12. 参照)。
コ.本業務の遂行にあたり、PMDA 内での受注者の作業において機器(ラップトップ等)の持ち込みや、専用機器へのアプリケーション(テキストエディタ、プログラム開発環境、データベース管理システム又はデータ処理の専用アプリケーション等)の導入等が必要と見込まれる場合には、持ち込む機器、アプリケーション等の概要について応札までに PMDA に説明し、本業務への利用及び持ち込にあたっての問題が無いことの確認を得ること。応札後に必要性が見込まれた場合には、15.3 (2) コに従い対応すること。なお、専用機器等の PMDA が現に保有する物品等を除いて、本業務の遂行にあたり必要となる物品等がある場合には、受注者の責任で手配するとともに、その費用を負担すること。
5. 応札制限
次の事項に該当する事業者は対象となれない。
ア. PMDA の CIO 補佐が現に属する、又は過去 2 年間に属していた事業者
イ. 上記アの親会社及び子会社(「財務諸表等の用語、様式及び作成方法に関する規定」(昭和 38 年大蔵省令第 59 号)第 8 条に規定する親会社及び子会社をいう。以下同じ。)
ウ. 上記ア~イと同一の親会社を持つ事業者
エ. 上記ア~イから委託を受けるなど緊密な利害関係を有する事業者
オ. 過去に PMDA の業務に関わり、遅延又は改善等に関する指導を受けた事業者
6. 契約期間
契約締結日から令和 7 年 3 月 31 日までとする。ただし、本業務委託体制について厚生労働省より不承
認の決定が通知された場合には、当該通知日から起算して 14 営業日目までとする。
7. 実務実施期間
契約期間中とする。ただし、納入成果物の最終納入期日は令和 7 年 3 月 21 日とする。
8. 調達案件及び関連調達案件の調達単位、調達の方式に関する事項
本調達案件の調達単位、調達の方式、実施時期は表 1 のとおりである。
表 1. 本調達案件及び関連する調達案件の調達単位、調達の方式、実施時期等
項番 | 調達案件名 | 調達の方式 | 実施時期 |
1 | 匿名医療保険等関連情報データベース及び匿名診療等関連情報データベースを用いた調査におけるデータ前処理作 業の委託(令和6年度) | 一般競争入札(最低価格落札方式) | 契約締結日から 令和 7 年 3 月 31 日 |
9. 対象となる業務
本調達の対象となる業務は図 1 のとおりである。
10. 作業内容
受注者は、以下の作業を実施すること。10.2 から 10.4 の作業については、予め作業の手順書を作成し、 PMDA に説明し承認を得た上で、その手順を踏まえて作業を実施すること。それ以外の作業についても、作業内容又はその方針について事前に PMDA に説明し承認を得た上で対応すること。実施する作業については、事前に定めた手順に沿って作業が適切に実施されたことを受注者自らが確認するよう、作業の実施記録を作成し、その結果について PMDA に報告すること。
10.1 計画
(1)業務計画書の作成
ア.受注者は、業務計画書の案を作成し、PMDA の承認を得た上で最終化したものを契約締結日の 14 営業日後までに提出すること。
イ.業務計画書には少なくとも次の内容を含めること。具体的な記載事項については、受注後に
PMDA の指示に従うこと。
① 業務範囲
② 業務体制図又は表
③ 作業分担
④ 作業スケジュール
⑤ 文書管理要領
⑥ 情報セキュリティ管理要領
ウ.業務計画書を改訂する必要がある場合には、改訂箇所について PMDA に説明し了承を得た上で改訂すること。なお、文書の変更履歴を追跡できるよう適切な文書管理を行うこととし、最終納品時にはすべての版の業務計画書を納品すること。
(2)作業スケジュールの作成
ア.受注者は、10.1(1)イ④に定める作業スケジュールに関する補足資料として、本業務で実施する作業内容及びその詳細なスケジュールを記載した資料(作業分解図、WBS 等)の案を作成し、PMDA の承認を得た上で、業務計画書の確定後速やかに最終化すること。
イ.受注者は、アで作成した資料を踏まえて定期的に作業の進捗状況を PMDA に報告すること。
ウ.作業に遅延の可能性が生じた場合には、スケジュールを適宜見直すとともに、全体進捗に影響が出ないよう必要な対応を検討し、その内容について PMDA に説明し承認を得た上で対応すること。
10.2 ドキュメント作成
受注者は、次に定めるドキュメントを作成すること。ドキュメントの作成にあたっては、記載内容に不備・不足等がないことを受注者側で十分に確認できる作業体制のもと対応すること。また、ドキュメントの案について PMDA の承認を求める際には、PMDA においても記載内容に不備・不足等が無いことを確認できるよう、PMDA 側のレビュー期間を一定程度考慮した作業スケジュールとすること。
(1)厚生労働省のデータ提供窓口に提出する資料の作成
ア.受注者は、本業務の実施にあたり、NDB 又は DPC DB に関するデータ提供窓口に提出が必要となる次の資料について、PMDA の指示に従いその案を作成し、PMDA の承認を得た上で最終化したものを提供すること。
① 受注者を NDB 及び DPC DB の提供申出者及び取扱者として追加するための資料
② その他、本業務の実施にあたり、データを取り扱う者又はその委託業務の受注者としてデータ提供窓口に提出が必要となる資料
(2)データの抽出及び加工の作業手順に関する資料の作成
ア.受注者は、令和6年度に PMDA が厚生労働省より提供を受ける本番データを対象に実施する次の作業について、PMDA が作業の内容を正確に把握するとともに第三者による作業の再現が担保できるよう、詳細かつ具体的な作業手順を記載した資料の案を作成し、PMDA の承認を得た上で最終化したものを提供すること。
① PMDA が指定する専用機器上の領域にデータを格納する作業(10.3(1)参照)
② 患者 ID の名寄せを行う作業(10.3(2)参照)
③ PMDA が指定するデータ項目に対するデータチェック及びデータクリーニングに関する作業(10.3(3)参照)
④ PMDA が提示するテーブル定義(案)等を踏まえて中間テーブルの構造にデータを加工する作業(10.2(3)及び 10.3(4)参照)
イ.SQL 等のプログラムを作成して実施する作業については、プログラムの基本設計及び詳細設計等に関する資料の案を作成し、その内容を PMDA に説明し承認を得た上で最終化し提供すること。また、その資料に従い作成したプログラムを用いてデータの抽出及び加工を実施すること。なお、プログラムの作成にあたっては 10.2(4)の内容も踏まえて対応すること。
ウ.ア及びイについて、PMDA が保有する既存の資料やプログラムのソースコードが参考となる場合には、当該資料の内容及び本業務に適用することの適切性について PMDA に説明し承認を得た上で、当該資料を更新しア及びイの資料に代えることでも差し支えない。なお、応札を希望する者のうち、PMDA が保有する本業務に関連した既存の資料の閲覧を希望する者は、12.
(1)に対応すること。
エ.資料の案の作成に当たっては次の点に対応すること。
① 作業の内容を PMDA が正確に把握できるようにするとともに、第三者による作業手順の再現が担保できるよう、詳細かつ明瞭に記載すること。
② 作業手順の作成にあたり参考とした資料のうち、手順の妥当性及びその根拠を説明する上で有用な資料については、その資料を添付すること。
(3)中間テーブル定義書の作成
ア.受注者は、PMDA が提示する中間テーブルのテーブル定義(案)について、本業務の目的、 NDB 及びDPC DB データの特性等を踏まえて変更の必要性を検討し、その要否についてPMDAに説明すること。変更が適切であると PMDA が判断した場合には、テーブル定義の変更案を作成し、PMDA の承認を得た上で最終化したものを提供すること。
(4)検証に関する資料の作成
ア.受注者は、10.2(2)で作成した作業手順に沿って作業及びデータ処理を実施する際には、作業及びデータ処理の内容に誤りがなく正しく実施されていることを検証することとし、その検証の計画を記載した資料の案及び具体的な検証の手順を記載した資料の案を作成し、PMDA の承認を得た上で最終化したものを提供すること。
イ.SQL 等のプログラムを作成して実施する作業の検証は、一般的なソフトウェア開発工程で採用されているV字モデルを参考とした内容とすること。また、次の点を含めること。
① 受注者が手配するテスト環境において、受注者がテストデータを作成する等して実施する検証と、本番環境にて実際のデータを用いて実施する検証をそれぞれ実施すること。
② テストデータは、原則として NDB 及び DPC DB データと同様のデータ構造となるよう設計すること。個別の工程に関する検証においては、検証の目的に適したテストデータとなるよう受注者が設計すること。
③ 二人以上の異なる担当が独立して SQL 等のプログラム作成(ダブルプログラミング)することにより検証を実施することが有用な場合には、それらを実行した際に得られる結果が一致することを確認する計画とすること。
ウ.検証の結果及び検証の記録に関する資料の案を作成し、PMDA の承認を得た上で最終化したものを提供すること。これらの資料には少なくとも次の情報を含めること。
① すべての検証計画に対応する結果に関する情報
② 受注者が作成したテストデータの設計に関する資料及び作成したテストデータ
③ テスト用に独立して作成された各プログラムを実行した際に結果が一致したことを示す資料
(5)作業の記録(証跡)の作成
ア.受注者は、受託業務として実施する全ての作業について、作業が適切に行われたことを確認すること。
イ.受注者は、作業の確認内容と確認結果を記録するための様式の案を事前に作成し、PMDA の承認を得た上で最終化すること。
ウ.受注者は、最終化された記録の様式を用いて、受託業務として実施する全ての作業について、実施した作業の記録を作成すること。
エ.記録の作成においては、実際に作業を実施した者、及びそれ以外の者による確認を行い、それぞれが署名等をした上で記録の保管を行うこと。
オ.受注者は、受注業務として実施する全ての作業について、作業が適切に行われたことを PMDA
に適宜説明し了承を得た上で、作業の記録を提供すること。
10.3 データ処理
受注者は、10.2(2)アで定めた手順に従い、次に定めるデータ処理を実施すること。本番データを取り扱う作業は PMDA 内の専用の作業室において、PMDA が指定した専用機器等又は本委託業務の遂行にあたって必要であることを PMDA に説明した上で受注者が作業室に持ち込んだ機器等を用いて実施すること。その他、本業務の遂行にあたり必要となる物品等は、受注者の責任で手配すること(15.3 参照)。
(1)専用機器への NDB データ及び DPC DB データの取込み
ア.令和6年度に PMDA が厚生労働省より提供を受ける NDB データ及び DPC DB データを、
PMDA が指定する専用機器上の領域に格納すること。
イ.応札を希望する者のうち、令和6年度に PMDA が厚生労働省より提供を受ける予定の NDB データ及び DPC DB データのデータ規模及びデータ項目等に関する情報について閲覧を希望する者は、12.(1)の対応に従うこと。
(2)患者 ID の名寄せ
ア.令和6年度に PMDA が厚生労働省より提供を受ける NDB データ及び DPC DB データを対象として、患者 ID の名寄せを行うこと。
イ.患者 ID の名寄せには、NDB データ及び DPC DB データの名寄せに利用可能な ID として提供されるデータを用いること。ただし、PMDA で実施する調査の趣旨を踏まえて適切だと考えられる代替手法がある場合には、その内容について受注後に PMDA に説明し協議の上、本業務で用いる方法として PMDA が決定した手法を用いること。
(3)データチェック及びクリーニング
ア.10.3(1)の作業により専用機器に格納したデータを対象に、データチェック及びクリーニングを行うこと。
イ.データチェックの対象は、少なくとも次のデータ項目を含めること。また、これらデータチェックの対象としたデータ項目において想定外のデータが特定された場合には、その対応について PMDA と協議の上決定するとともに、その手順に従い値の変換等の作業を行うこと。具体的なデータチェックの対象及び手順等の詳細については、受注後に PMDA と協議の上、決定すること。
① 日付に関するデータ項目
② 性別に関するデータ項目
ウ.データクリーニングの対象は、少なくともデータチェックにおいて特定された想定外のデータとし、個別のデータに対する具体的な対処方法については、データチェックの結果も踏まえて受注後に PMDA と協議の上、決定すること。
(4)中間テーブルの作成
ア.10.3(1)の作業により専用機器に格納したデータ及び 10.3(3)の作業によりデータチェック及びクリーニングを実施したデータを対象に、10.2(3)で最終化した中間テーブル定義書に従い、中間テーブルを作成すること。
10.4 検証
(1)検証の実施
ア.受注者は、10.2(4)で作成した資料を踏まえ、すべての作業について適切に実施されていることを検証すること。
イ.検証の実施にあたって、本場データを用いる際は、PMDA 内の専用の作業室にて実施すること。
10.5 受託業務の適切性の担保
(1)ISO 規格の要求事項を満たした対応
ア.受注者は、本件業務の成果物を利用して、PMDA が医薬品の安全対策に資する調査を実施することを理解するとともに、本業務については、ISO 規格に定められた要求事項を満たすよう業務の管理及び遂行を行うこと。また、受注業務の開始時には、要求事項を満たす体制で業務を実施することについての説明資料を作成し、PMDA に説明した上で了承を得ること。
10.6 その他
(1)会議等
ア.受注者は、実務実施期間中は PMDA との定期的な会議(以下、「定例会」)を月 1 回程度で開催することとし、日程調整等の開催に向けた対応を行うこと。また、作業の進捗及び課題の共有を目的とする担当者レベルの打合せを隔週程度で開催すること。定例会及び打合わせの開催に関する詳細は、受注後に PMDA と協議し決定すること。
イ.PMDA との会議及び打合せは、対面又は遠隔会議システム(Microsoft Teams 等)を用いて実施する。受注者は、本業務に利用可能な遠隔会議システムのアカウント等を用意するとともに、必要な準備をおこなうこと。
ウ.受注者は、定例会において業務の全体進捗及び課題への対応について PMDA に説明すること。説明に用いる資料の案は、原則として定例会の前日までに PMDA に情報提供すること。
エ.受注者は、PMDA が必要に応じて開催する打合せに出席すること。
オ.受注者は、原則として受注後に開催又は出席する全ての会議及び打合せについて、議事録の案を作成し、PMDA の承認を得た上で最終化したものを納品すること。また、会議及び打合せにおいて受注者が提示した資料は、最終納品物に含めること。
カ.受注者は、本業務に関係して PMDA が書面により回答を求める事項がある場合には、それを適切に作成し、定例会又は打合せにて説明し、PMDA の承認を得た上で最終化したものを納品すること。
11. 納入成果物
11.1 納入成果物
受注者は、納入成果物として表 2 に示す資料を納入すること。なお、納入成果物は、以下の条件を満たすものとすること。
ア.原則として電子ファイルとし、日本語で作成すること。この条件での提供が困難な資料については、受注後に PMDA と協議し、合意した方法で対応すること。
イ.電子ファイルの形式は、原則として Windows 10 を搭載したコンピュータにおいて PDF 形式又
は Microsoft Office 2016 以上で扱える形式とすることとし、具体的には受注後に PMDA の指示に従うこと。PMDA が別に形式を定めて提出を求めた場合にはこの限りではない。
ウ.原則として、ドキュメント類の納入成果物は、資料が確定した時点において電子メール等により納入するとともに、最終納入時に一括して光学メディア(CD-R 又は DVD-R 等)に記録し納入すること。光学メディアは 2 式納入すること。
エ.データ処理に関する納入成果物のうち、中間テーブル等の NDB データ及び DPC DB データを加工して得られるものは、PMDA 内の専用の作業室において、耐障害性を備えた USB 接続型のハードディスクドライブに記録し PMDA に受け渡すこと。ハードディスクドライブは 1 式を納入すること。納入に用いるハードディスクドライブは盗難防止のためのセキュリティスロット(ケンジントンロック等)が備えられたものとし、対応するセキュリティワイヤーをあわせて納入すること。製品の選定にあたっては、事前に PMDA と協議し、合意したものを利用すること。
オ.最終納品時には、納入成果物のファイル名の一覧及びその電子ファイルの格納先に関する資料を含めること。
カ.文書を紙で作成した場合には、原則として日本産業規格 A 例4番(A4 紙)とし、資料の更新時に差し替えが可能となるようバインダー方式とすることとし、可読性に配慮した資料とすること。バインダーは5年以上の保管が可能な耐久性の高いものとすること。
キ.本業務を実施する上で必要となる物品等は、受注者の責任で手配するとともに、その費用を負担すること。
ク.納入成果物の具体的な構成及び内容等の詳細は、受注後に PMDA と協議し取り決めるものとする。
表 2. 納入成果物
作業 | 納入成果物 | 最終納入期日 | |
計画 | ・ | 業務計画書 | 令和 7 年 3 月 21 日 |
ドキュメント作 | ・ | データ提供窓口に提出する資料 | |
成 | ・ | データ抽出及び加工の作業手順に関する資料 | |
・ | 中間テーブル定義書 | ||
・ | 検証に関する資料(計画、結果、実施の記録) | ||
・ | 作業の記録に関する資料 | ||
データ処理 | ・ | 名寄せされた患者 ID に関するデータ | |
・ | データチェック及びクリーニングの結果に関するデータ | ||
・ | 中間テーブル | ||
検証 | ・ | 検証に関する資料 | |
その他 | ・ | 会議資料、議事録等 | |
11.2 想定作業スケジュール
本業務に係る想定作業スケジュールを図 3 に示す。ただし、各作業のスケジュールの詳細については、受注後に PMDA と協議の上、決定すること。
5 月 | 6 月 | 7 月 | 8 月 | 9 月 | 10 月 | 11 月 | 12 月 | 1 月 | 2 月 | 3 月 | |
★業者決定・契約 | 最終成果物納入★ | ||||||||||
契約終了★ | |||||||||||
★専門委員会審査 ★承認 | |||||||||||
計画 | |||||||||||
ド キ ュ メ ン ト 作成 | |||||||||||
デ ー タ 処理 | |||||||||||
検証 | |||||||||||
図 3.想定作業スケジュール
12. 本業務に関連する資料の閲覧等について
(1) 本業務の応札を希望する者のうち、PMDA が過去に提供を受けた NDB データのデータ項目及び それを格納した中間テーブルのテーブル定義、本業務で利用できるシステムの仕様に関する資料、及びその他の本業務に関連した既存の資料について、応札前に閲覧を希望する場合には PMDA に 連絡すること。秘密保持に関する誓約書を提出することで、本業務に関する資料を応札までに PMDA 内において閲覧することができるものとする。
(2) 厚生労働省より PMDA が提供を受けた NDB データ及び DPC DB データについては、専門委員会による本業務委託体制の承認後に受注者に閲覧及び取り扱わせるものとする。その他の者は閲覧及び取り扱うことはできない。
(3) PMDA は、本業務の実施にあたり必要となる資料を、秘密保持を含む契約を締結の上、本業務の受注者に対して、実務実施期間中、提供する。
13. 契約不適合責任
(1)受注者は本業務の納入成果物に対する契約不適合責任を負うものとする。本業務の最終検収後において、委託業務の納入成果物に関して仕様書と異なる、または契約目的に照らして通常期待される条件を満たしていない等、委託業務の納入成果物に関わる契約不適合の疑いが生じた場合であって、PMDA が下記(3)で定める期間内に調査を求めた場合は、受注者は速やかに契約不適合の疑いに関して調査し回答すること。調査の結果、納入成果物に関して契約不適合等が認められた場合には、受注者の責任及び負担において速やかに修正を行うこと。なお、修正を実施する場合におい
ては、修正方法等について、事前に PMDA の承認を得てから着手すると共に、修正結果等について、PMDA の承認を受けること。
(2)受注者は、契約不適合責任を果たす上で必要な情報を整理し、その一覧を PMDA に提出すること。契約不適合責任の期間が終了するまで、それら情報が漏洩しないように、ISO/IEC27001 認証(国際標準規格)又は JISQ27001 認証(日本産業標準規格)に準拠した対応に従い厳重に管理をすること。また、契約不適合責任の期間が終了した後は、データ復元ソフトウェア等を利用してもデータが復元されないように、速やかにその情報を完全に消去すること。データ消去作業終了後、受注者は消去完了を明記した証明書を作業ログとともに PMDA に対して提出すること。なお、データ消去作業に必要な機器等については、受託者の負担で用意すること。
(3)契約不適合責任の期間は別途契約書で定めるものとする。
14. 情報セキュリティ要件
14.1 順守事項
受注者は、次の事項を留意して作業を実施すること。
ア.民法、刑法、著作権法、不正アクセス行為の禁止等に関する法律、個人情報の保護に関する法律等の関連する法令等を遵守すること。
イ.厚生労働省が定める NDB および DPC DB の利用に関する規約及び PMDA が定める「独立行政法人医薬品医療機器総合機構匿名レセプト情報等運用管理規程」を遵守すること。また、「匿名医療保険等関連情報データベース(NDB)の利用に関するガイドライン」及び「匿名診療等関連情報の利用に関するガイドライン」の最新の規定に沿って業務を適正に行うこと。
ウ.次の規程等の最新版を遵守すること。
① 独立行政法人医薬品医療機器総合機構情報システム管理利用規程
② 独立行政法人医薬品医療機器総合機構個人情報保護規程
③ 独立行政法人医薬品医療機器総合機構情報セキュリティポリシー
なお、①から③までについて、閲覧を希望する場合には PMDA に連絡すること。
エ.電子ファイルを PMDA に提示する場合には、事前にウイルスチェック等を行い、悪意のあるソフトウェア等が混入していないことを確認すること。
オ.取り扱う情報の漏洩、改ざん、滅失等が発生することを防止する観点から、情報の適正な保護・管理対策を実施するとともに、PMDA が定期又は不定期にこれらの実施状況を確認する場合には、その作業に協力すること。
カ.万一、情報の漏洩、改ざん、滅失等が発生した場合に実施すべき事項及び手順等を明確にしておくこと。さらに、そのような事態が発生した場合には、PMDA へ報告するとともに、当該手順等に基づき、作業記録をとりつつ、可及的速やかに修復すること。また、PMDA から要望があった場合には、その手順や作業記録を提出すること。
キ.本業務の遂行にあたり、PMDA から提供された資料は、本業務終了後 1 か月以内に、適切に削除し、その報告書を提出すること(PMDA の了承を得ている場合を除く)。本業務の最終検収後 1 年
以内の期間に行うべき契約不適合責任における不具合対応等のためにこれらの資料を一定期間保存する必要がある場合には、PMDA に文書にて申し出を行い、了承を得ること。
14.2 情報セキュリティ対策
本業務を実施するにあたっては、「匿名医療保険等関連情報データベース(NDB)の利用に関するガイドライン」及び「匿名診療等関連情報の利用に関するガイドライン」に定められた安全管理対策を実施すること。
15. 作業の体制・方法に関する事項
15.1 作業実施体制
(1) 受注者は、PMDA に対して作業体制を報告するとともに、全ての作業については事前に PMDAの承認を得た上で作業を進めること。また、作業体制に変更がある場合には、事前にその旨を PMDA に報告し、承認を得た上で体制の変更を行うこと。
(2) 受注者は、業務計画書において作業体制を明示すること。また、業務体制を構築するにあたっては、本業務を統括する人員を明確にすること。
(3) 受注者は、業務の進捗状況に遅延が生じる等により全体進捗に悪影響が生じていると判断される場合には、本業務に従事する要員を適宜増員する等の措置により、業務計画書に定めた作業スケジュールを遵守するよう努めること。
15.2 作業要員に求める資格等の要件
(1) 本業務に従事する要員には以下の者を含め、実施する作業内容と担当者の専門性が最適となるよう配置を考慮し、各要件に該当する者について業務計画書内で明示すること。同一の要員が複数の要件を満たすことでも差し支えない。
ア.厚生労働省より第三者提供が行われている NDB 及び DPC DB のデータ構造に精通しており、第三者提供を受けたデータの構造及び適切な処理方法等を理解する能力を有する者
イ.NDB の取扱いに関する業務経験を 5 年以上有する者 ウ.DPC DB の取扱いに関する業務経験を 1 年以上有する者
エ.レセプト情報の記録条件仕様を理解し、本事業の目的を把握した上で、適切なデータ処理手法等を検討、提案及び実装できる者
オ.データベース化された 100 億件以上のレセプト情報等の医療情報データを、SQL 等のデータベース言語を使用して抽出・加工する業務経験を有する者
カ.レセプト情報又は DPC データ等を取り扱う公的機関のシステムに対する知識を持ち、これらのシステム開発、管理又は運営に関する業務に 5 年以上従事した経験を有する者
キ.Windows Server が導入された機器の管理・運用に関する業務経験を 5 年以上有する者
ク.Red Hat Enterprise Linux Server が導入された機器の管理・運用に関する業務経験を 5 年以上有する者
ケ.本業務のデータ処理に用いるプログラム言語(SQL 等)を用いたデータ処理業務に 10 年以上従事した経験を有する者
コ.データ処理に関する作業を実施するにあたってデータベース管理システム又はデータ処理の専用アプリケーション等を利用する場合(15.3 (2)コ参照)、その導入及び管理・運用に関する業務経験を 5 年以上有する者
15.3 作業場所等の要件
(1) 本業務の作業場所は、日本国内で PMDA の承認した場所とすること。
(2) PMDA 内の専用の作業室に来訪して実施する必要がある作業については、以下の点に対応すること。
ア.事前に作業計画書を提出し、PMDA の承認を得た上で、PMDA に来訪し作業を実施すること。
イ.PMDA 内で作業を行う際には、所定の名札の着用等、従事に関する所定の規則及び PMDA
の指示に従うこと。
ウ.作業終了後 2 週間以内に、作業実施報告書を PMDA に提出し、承認を得ること。エ.PMDA 内の機器を利用する際には、PMDA の指示に従うこと。
オ.PMDA 内の機器には、リムーバブルディスク等の記憶装置の接続を行わないこと。カ.PMDA 内の機器は持ち出しを行わないこと。
キ.PMDA 内の機器は、インターネット等の外部ネットワークに接続を行わないこと。
ク.NDB データ、DPC DB データ及びその派生物は PMDA 内の所定の領域より持出しを行おうとしてはならない。その他のデータのうち持ち出しを希望するデータについては、持出しの可否及びその手順について PMDA に相談し、指示に従うこと。
ケ.専用の作業室では、カメラ、スマートフォン等による写真の撮影は行わないこと。
コ.専用機器等の PMDA が現に保有する物品等を除いて、PMDA 内での受注者の作業において必要となる機器(ラップトップ等)、アプリケーション(テキストエディタ、プログラム開発環境、データベース管理システム又はデータ処理の専用アプリケーション等)、備品、消耗品等(以下、「必要物品等」。)がある場合には、受注者の責任において手配・運用し、その費用を負担すること。PMDA 内への持ち込みにあたっては、事前に利用目的、運用方法等を明確にし、PMDA に説明した上で承認を得ること。なお、機器又はアプリケーションの持ち込みにあたっては、4.コ及び 15.4 の条件に従うこと。
サ.前項により PMDA 内へ持ち込んだ必要物品等については、PMDA の資産と明確に区別するとともに、管理表を作成し受注者の責任において管理すること。持込み後の運用・管理にあたっては PMDA の指示に従うこととし、無断で PMDA 内のネットワークに接続等を行わないこと。情報漏えい、紛失等を防ぐため、セキュリティワイヤー等を利用して保管すること。運用・管理方法の変更・撤去・破棄等を実施する際には事前に PMDA に相談を行うとともに、本業務の終了後には受注者の責任において撤去・破棄等の適切な対応を行うこと。
シ.来訪にかかる旅費、駐車料金、その他費用は受注者が負担すること。
ス.PMDA 内の本業務の履行場所を他の目的のために使用してはならないこと。
(3) PMDA に来訪する必要がない作業については、以下の点に対応すること。
ア.作業場所及び作業にあたり必要となる設備、備品及び消耗品等については、受注者の責任において用意し、その費用を負担すること。
イ.作業場所における情報漏えいを防ぐため、入退室管理等の対策が講じられている等、不特定多数の入室が行われない場所を作業場所とすること。
ウ.本業務に使用する機器は、必要なセキュリティ対策が講じられていることとし、私用の機器は用いないこと。
15.4 必要物品等の要件
(1) 本業務の遂行にあたり、データベース管理システム又はデータ処理の専用アプリケーションの持ち込みを行う場合には、本業務で対象とする全国民規模のレセプト情報等のデータ処理に適したものであるとともに、データ処理の内容を PMDA の担当者が確認できるよう、原則として次の要件を満たすものとすること。
ア.インターネット非接続環境で利用できること。
イ.データベース管理システムを利用する場合には、次の要件を満たすこと。
① リレーショナルデータベースであることとし、少なくとも SQL92 規格に準拠していること。また、ODBC 及び JDBC インターフェイスを備えること。
② 1500 以上の列数を扱える性能を有すること。
③ 列単位でのデータ圧縮が可能であるなど、大容量データの取扱いに適した機能を有すること。
④ 並列処理、分散処理、非順序実行処理等の高速処理が行えること。その他、100 億レコード以上の NDB 又は DPC DB のデータ処理に適した機能を有すること。
⑤ データ量および処理量の増加に対して、ストレージの増設、メモリの増設、またはサーバの交換など、スケールアップにより対応できるものであること。
ウ.100 億レコード以上の NDB 又は DPC DB のデータ処理に関する業務での利用実績を受注者が有すること。
エ.第三者によるサポートを受けることなく、受注者による運用が可能であること。又は、受注者により国内サポートが提供されていること。
(2) 持ち込む機器、アプリケーション等の概要については、事前に PMDA に説明し、本業務への利用及び持ち込にあたっての問題が無いことの確認を得ること。なお、PMDA の環境への導入及び運用・管理は受注者の責任で手配するとともに、その費用を負担すること。
16. 特記事項
16.1 基本事項
受注者は、次に掲げる事項を遵守すること。
ア. PMDA との会議、打合せ、及び PMDA 内で作業を行う日は、行政機関の休日(「行政機関の休日に関する法律」(昭和 63 年法律第 91 号)第 1 条第 1 項に掲げる日をいう。)を除く日とし、
原則として 10 時から 18 時とする。
イ. 本業務の遂行に当たり、業務の継続を第一に考え、善良な管理者の注意義務をもって誠実に行うこと。
ウ. 本業務に従事する要員は、PMDA 担当者と日本語にて円滑なコミュニケーションを行う能力と意思を有していること。
エ. 本業務に従事する要員は、必要に応じて PMDA から指導を受け、本業務に必要となるルール及び知識等を理解した上で作業を実施すること。
オ. 要員の資質、規律保持、風紀及び衛生・健康に関すること等の人事管理並びに要員の責めに起因して発生した火災・盗難等不祥事が発生した場合の一切の責任は受注者が負うこと。
カ. 次回の本業務調達に向けた現状調査、PMDA 担当者が依頼する技術的支援に対する回答、助言を行うこと。
キ. 本業務を実施する中で、システムやデータの障害等が予見された場合には、当該事象を把握した後、可及的速やかに PMDA 担当者に報告し、その対応について PMDA と協議の上、実施すること。
16.2 秘密保持
本業務を実施する上で必要とされる機密保持に係る条件は、以下のとおりである。
ア. 受注者は、本業務の実施の過程で PMDA が開示した情報(公知の情報を除く。以下同じ。)を、本業務の目的以外に使用、又は第三者に開示若しくは漏洩してはならないものとし、そのために必要な措置を講ずること。
イ. 受注者は、本業務を実施するに当たり、PMDA から入手した資料等については管理台帳等により適切に管理し、かつ、以下の事項に従うこと。
① 複製しないこと。
② 用務に必要がなくなり次第、速やかに PMDA に返却すること。
③ 本業務完了後、管理台帳等に記載される情報を削除、又は返却し、受注者において該当情報を保持しないことを誓約する旨の書類を PMDA へ提出すること。
ウ. 応札予定者についても上記ア及びイに準ずること。
エ. 別に『秘密保持等に関する誓約書』を提出し、これを遵守すること。オ. 機密保持の期間は、当該情報が公知の情報になるまでの期間とする。
16.3 情報セキュリティ監査の実施
本調達に係る業務の遂行における情報セキュリティ対策の履行状況を確認するため、PMDA が受注者に対して情報セキュリティ監査の実施が必要であると判断した場合には、PMDA がその実施内容(監査内容、対象範囲、実施等)を定めて、情報セキュリティ監査(PMDA が選定した事業者による監査を含む。)を行うので、PMDA からの求めがあった場合には以下のとおり対応すること。
ア. 受注者は、予め情報セキュリティ監査を受け入れる部門、場所、時期、条件等を「情報セキュリ
ティ監査対応計画書」等により提示すること。
イ. 受注者は、自ら実施した外部監査についても PMDA へ報告すること。
ウ. 受注者は、情報セキュリティ監査の結果、本調達における情報セキュリティ対策の履行状況について PMDA が改善を求めた場合には、PMDA と協議の上、必要な改善策を立案して速やかに対策を実施するものとする。
情報セキュリティ監査の実施については、本項に記載した内容を上回る措置を講ずることを妨げるものではない。
16.4 知的財産等
知的財産の帰属は、以下のとおりである。
ア. 本業務に係り作成・変更・更新されるドキュメント類のうち、納入成果物に含まれるものについての著作権(著作権法第 21 条から第 28 条に定める全ての権利を含む)は、受注者が本件業務の従前より権利を保有していた等の明確な理由により、予め書面にて権利譲渡不可能と示されたもの以外、PMDA が所有する等現有資産を移行等して発生した権利含めて全て PMDA に帰属するものとする。
イ. 本業務に係り発生した権利については、受注者は著作権人格権を行使しないものとする。
ウ. 本業務に係り発生した権利については、今後、二次的著作物が作成された場合等であっても、受注者は原著作物の著作権者としての権利を行使しないものとする。
エ. 本業務に係り作成・変更・修正されるドキュメント類に第三者が権利を有する著作物が含まれる場合には、受注者は当該著作物の使用に必要な費用負担や使用許諾契約に係る一切の手続を行うこと。この場合には、事前に担当者へ報告し、承認を得ること。
オ. 本業務に係り第三者との間に著作権に係る権利侵害の紛争が生じた場合には、当該紛争の原因が専ら PMDA の責めに帰す場合を除き、受注者の責任、負担において一切を処理すること。この場合には、PMDA は係る紛争の事実を知った時は、受注者に通知し、必要な範囲で訴訟上の防衛を受注者に委ねる等の協力措置を講ずる。なお、受注者の著作又は一般に公開されている著作について、引用する場合には出典を明示するとともに、受注者の責任において著作者等の承認を得るものとし、PMDA に提出する際は、その旨併せて報告するものとする。
16.5 再委託
(1) 受注者は、本業務の全部又は主要部分(受注業務における総合的な企画及び判断並びに業務遂行管理部分をいう。)を第三者に再委託することはできない。
(2) 受注業務の一部を第三者に再委託する場合には、事前に再委託する業務、再委託先等を PMDAに申請し、承認を受けること。受注者は、機密保持、知的財産権等に関して本仕様書が定める受注者の責務を再委託先業者も負うよう、必要な処置を講じ、PMDA に報告し、承認を受けること。
(3) 受注業務の一部を第三者に再委託する場合には、その最終的な責任は受注者が負うこと。
17. 本件に関する照会先
独立行政法人医薬品医療機器総合機構 医薬品安全対策第一部志村 嵩史(shimura-takashi●pmda.go.jp)
電話:03 (3506) 9435
※迷惑メール防止対策をしているため、●を半角のアットマークに変えること。
以上