入札情報は以下の通りです。
| 件名 | 一般競争入札公告(令和3年度開示請求進捗管理・運用支援システムの運用支援業務) |
|---|---|
| 入札区分 | 一般競争入札 |
| 公示日または更新日 | 2021 年 2 月 19 日 |
| 組織 | 独立行政法人医薬品医療機器総合機構 |
| 取得日 | 2021 年 2 月 19 日 19:39:54 |
ホーム 調達情報 入札情報 一般競争入札公告 一般競争入札公告(令和3年度開示請求進捗管理・運用支援システムの運用支援業務) ここから本文です。 一般競争入札公告(令和3年度開示請求進捗管理・運用支援システムの運用支援業務) 次のとおり一般競争入札に付します。令和3年2月19日 独立行政法人 医薬品医療機器総合機構 契約担当役 柳樂 晃洋競争入札に付する事項(1)件名令和3年度開示請求進捗管理・運用支援システムの運用支援業務 (詳細は入札説明書及び仕様書による。)(2)契約期間契約締結日から令和4年3月31日 (保守期間は令和3年4月1日から令和4年3月31日)(3)納入場所独立行政法人医薬品医療機器総合機構 経営企画部(4)入札方法 落札決定に当たっては、入札書に記載された金額に当該金額の10%に相当する額を加算した金額(当該金額に1円未満の端数があるときは、その端数金額を切り捨てた金額とする。)をもって落札価格とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を入札書に記載すること。競争参加資格 予算決算及び会計令第70条の規定に該当しない者であること。なお、未成年者、被保佐人又は被補助者であっても、契約締結のために必要な同意を得ている者は、同条中、特別な理由がある場合に該当する。予算決算及び会計令第71条の規定に該当しない者であること。全省庁統一資格の一般競争参加資格において、関東・甲信越地域で、「役務の提供等」で「A」、「B」、「C」又は「D」の等級に格付けされている者であること。競争参加資格確認のための書類審査を通過した者であること。現行関連システムの設計書等を閲覧していること。入札説明書「6 質問の受付」①の期間内に、質問もしくは質疑内容の共有を希望する旨の連絡を、仕様書13の窓口連絡先宛までメールにて行うこと。 入札説明会の日時及び場所本調達は、入札説明会の開催に替え、質問等がある場合は随時受け付けることとする。 (詳細については、入札説明書「6 質問の受付」を参照。)入札書の提出期限及び場所 提出期限 令和3年3月16日(火)17時00分(厳守)提出場所 東京都千代田区霞が関3-3-2独立行政法人 医薬品医療機器総合機構 財務管理部 契約課(新霞が関ビル19階 西側) 開札の日時及び場所 日時 令和3年3月17日(水)14時00分場所 東京都千代田区霞が関3-3-2 独立行政法人 医薬品医療機器総合機構 第2会議室 (新霞が関ビル6階 西側) ※1 開札への参加については任意とする。 ※2 開札へ参加する場合、発熱、せき、倦怠感その他新型コロナウイルスの感染が疑われる症状がなく、かつ、14日以内に外国への渡航歴のない者(代表者、代理人問わず)が参加すること。 ※3 上記2の症状の有無にかかわらず、必ずマスクを着用すること。 ※4 会場に入る前に手指を洗うか、消毒液で消毒すること。 ※5 会場では他者と距離をとるため席を指定する場合があり、特段の必要がない限り会場内で近距離での対面の会話をしないこと。入札保証金及び契約保証金全額免除する。入札の無効本公告に示した競争参加資格を有しない者のした入札及び入札に関する条件に違反した入札は無効とする。契約書作成の要否契約締結に当たっては契約書を作成するものとする。独立行政法人の契約に係る情報の公開 別添PDFファイルの内容を必ず熟読すること。その他契約書(案)、仕様書及び入札説明書はこちらからダウンロードできます。 契約書(案) 仕様書 入札説明書 以上 調達情報 入札情報 一般競争入札公告(政府調達) 令和元年度入札情報(政府調達) 一般競争入札公告 令和元年度入札情報 平成30年度入札情報 平成29年度入札情報 企画競争公告 平成30年度企画競争公告 平成29年度企画競争公告 公募のお知らせ 令和元年度公募情報 平成30年度公募情報 平成29年度公募情報 オープンカウンター方式(公開見積競争)のお知らせ 令和元年度オープンカウンター方式(公開見積競争) 平成30年度オープンカウンター方式(公開見積競争) 平成29年度オープンカウンター方式(公開見積競争) 情報提供依頼(RFI) 令和元年度情報提供依頼(RFI) 調達予定案件一覧 落札公示 会計規程と調達方針等 契約締結状況 調達等合理化計画に関する取組状況等について 契約監視委員会
開示請求進捗管理・運用支援システム運用支援業務 調達仕様書令和3年2月独立行政法人 医薬品医療機器総合機構i目次1 調達案件の概要に関する事項.1(1) 調達件名.1(2) 用語の定義.1(3) 調達の背景.1(4) 目的及び期待する効果.2(5) 業務・情報システムの概要.2(6) 契約期間.6(7) 作業スケジュール.62 調達案件及び関連調達案件の調達単位、調達の方式等に関する事項.6(1) 調達案件及び関連する調達案件の調達単位、調達の方式、実施時期.6(2) 調達案件間の入札制限.63 作業の実施内容に関する事項.7(1) 作業の内容.7(2) システム資産簿登録に係る作業.8(3) 成果物の範囲、納品期日等.84 満たすべき要件に関する事項.9(1) 情報セキュリティ対策.9(2) システム操作・監視等要件.10(3) データ管理要件.13(4) 運用施設・設備要件.13(5) ソフトウェア保守要件.13(6) ハードウェア保守要件.145 作業の実施体制・方法に関する事項.14(1) 作業実施体制.14(2) 作業要員に求める資格等の要件.14(3) 作業場所.15(4) 作業の管理に関する要領.156 作業の実施に当たっての遵守事項.15(1) 基本事項.15(2) 機密保持、資料の取扱い.16(3) 遵守する法令等.167 成果物の取扱いに関する事項.17(1) 知的財産権の帰属.17(2) 契約不適合責任.18(3) 検収.188 入札参加資格に関する事項.19(1) 入札参加要件.19(2) 入札制限.199 情報セキュリティ管理.19(1) 情報セキュリティ対策の実施.19(2) 情報セキュリティ監査の実施.2010再委託に関する事項.2111その他特記事項.22(1) 環境への配慮.22(2) その他.2212附属文書.22(1) 別紙.22(2) 事業者が閲覧できる資料一覧.2313窓口連絡先.2311 調達案件の概要に関する事項(1) 調達件名開示請求進捗管理・運用支援システムの運用支援業務(2) 用語の定義表 1.1 用語の定義用語 概要開示請求 総合機構理事長に対し、総合機構が保有する法人文書や個人情報の開示を求めること法人文書 総合機構の職員が、職務上作成、取得し、組織的に利用するために保有している文書、図画及び電磁的記録(フロッピーディスクなど)のこと情報公開法 独立行政法人等の保有する情報の公開に関する法律http://www.soumu.go.jp/main_sosiki/gyoukan/kanri/jyohokokai/shoukai.html個人情報保護法 独立行政法人等の保有する個人情報の保護に関する法律http://www.soumu.go.jp/main_sosiki/gyoukan/kanri/kenkyu.htm補正 開示請求書の受付時に形式上の不備があると認められた場合に、開示請求者に対して、相当の期間を定めて、その不備を修正すること(例えば、手数料の未納、文書特定ができないなど)開示前例 開示請求があった文書について、過去に同一の文書を開示したもの。また開示請求者の過去の請求履歴も含む。
施行状況調査 独立行政法人等の保有する情報の公開に関する法律第24条によるものhttp://www.soumu.go.jp/main_sosiki/gyoukan/kanri/jyohokokai/chousa.htmlhttp://www.soumu.go.jp/main_sosiki/gyoukan/kanri/shikojyokyo.html(3) 調達の背景情報公開法において、独立行政法人医薬品医療機器総合機構(以下「PMDA」という。)の法人文書の開示状況は、毎年約2,000件の請求があり、容量の大きい法人文書の請求が増加傾向にある。そうした中、PMDA職員が情報公開法で定められた事務処理期限を遵守すると同時に処理精度の向上を図り、PMDAに対する開示請求の進捗を管理するため、平成28年6月より法人等文書開示請求進捗管理システム(以下「本システム」という。)を運用している。
法人文書開示請求の受付、文書開示等の業務は、経営企画部 情報公開課が担当しており、本システムは、PMDAのイントラネットである「共用LAN」に接続するための専用2PC端末にaccdb形式のAccess データベースファイルを配置し、請求案件や対応進捗を管理しているものである。
経営企画部 情報公開課の担当者は、自身の端末からアプリケーションを介して本データベースに接続し、情報公開請求のあった案件について、参照・登録・更新などの処理を行っている。
開示請求対応業務の効率的な遂行を実現するためには、本システムの安定的な稼働が不可欠であることから、その実現のために運用保守業務を委託するものである。
(4) 目的及び期待する効果本調達は、PMDA職員の開示請求対応業務の効率的な遂行に必要となる本システムの安定的な稼働のため、本システムの運用保守作業を運用支援業務として外部委託する。また、ヘルプデスク業務も委託内容としており、本システムを利用する経営企画部 情報公開課の職員が持つ本システムへの不明点等を解決する役割を担うことで、開示請求対応業務の円滑な遂行に寄与することを期待する。
(5) 業務・情報システムの概要PMDAでは、「独立行政法人等の保有する情報の公開に関する法律」に基づき、法人文書の開示請求手続きを主に実施している。(図 1参照)図 1 法人文書開示請求手続きの流れ3また、「独立行政法人等の保有する個人情報の保護に関する法律」に基づき、個人情報の適切な管理を行うべく以下の業務を主に実施している。
・個人情報開示請求制度に基づく業務(図 2参照)・個人情報訂正請求制度に基づく業務(図 3参照)・個人情報利用停止請求制度に基づく業務(図 4参照)図 2 個人情報文書開示請求手続きの流れ4図 3 個人情報訂正請求手続きの流れ図 4 個人情報利用停止請求の流れ本システムは、開示請求への対応について、進捗を管理するためのシステムである。
PMDAのイントラネットである「共用LAN」に接続する専用のPC端末にaccdb形式の5Access データベースファイルを配置し、このデータベースで請求案件や対応進捗を管理する。本システムのユーザである経営企画部 情報公開課の担当者は、自身の端末からアプリケーションを介して、このデータベースに接続し、参照・登録・更新などの処理を行う。
構成概要を以下に示す。
クライアントアプリケーションの概要は以下の通り。
・開発言語:C# (スクラッチで開発)・ステップ数:63.7KStep・画面数:32・帳票数:66 (Excel形式:11, Word形式:52, Accessレポート:3) 令和2年7月時点のデータベースへのデータ格納状況は以下の通り。
・データベース数:3・テーブル数:30・レコード数計:約85,000件 (1テーブルの最大約15000件) なお、本システムが扱うデータには、個人情報が含まれる。
本システムの利用者数は以下の通り。
共用LANサーバ用PC情報公開課端末課内プリンタ新霞が関ビル開示請求進捗管理システムDB (Access 2013)開示請求進捗管理システムクライアントアプリ端末台数:15台(全てノートPC)端末スペック→OS Windows 10→ Office Professional 20166 ・PMDA内同時利用者数:約15名・PMDA内実効登録利用者数:約15名(6) 契約期間契約締結日から令和4年3月31日まで(7) 作業スケジュール本業務に係る想定スケジュールの概要を図 1.5に示す。図 1.5はあくまで想定のスケジュールであり、詳細な実施スケジュールは受注者が検討すること。
図 1.5 スケジュール概要2 調達案件及び関連調達案件の調達単位、調達の方式等に関する事項(1) 調達案件及び関連する調達案件の調達単位、調達の方式、実施時期 関連する調達案件の調達単位、調達の方式、実施時期は次の表の通りである。
表 2.1 関連する調達案件の調達単位、調達の方式、実施時期等(既存契約) なし。
表 2.2 関連する調達案件の調達単位、調達の方式、実施時期等(契約予定) なし。
(2) 調達案件間の入札制限なし。
令和3 令和473 作業の実施内容に関する事項(1) 作業の内容ア 運用保守業務「4 満たすべき要件に関する事項」に基づき、以下のシステム運用・保守業務を行うこと。作業は、基本的に当該業務の業務マニュアル及びシステム運用マニュアルに基づき実施し、必要に応じてPMDAと協議し実施すること。また、必要に応じてPMDAと協議し、ドキュメントの作成・改版等を行うこと。
a システム設定・運用業務に伴うシステム操作b ヘルプデスク(機構職員からの問合せ対応等 月2~3件程度を想定)c システム障害対応(状況把握・原因調査・復旧支援・機構内復旧作業 等)d 軽微な改修・修正 (年2人月程度の主に利便性向上を目的とした改修)e 施行状況調査の支援f その他・システム運用に必要な調査及び技術提案・ドキュメント作成業務・PMDAとの打ち合わせ・上記業務を実施するうえで必要とされる手順の確定と手順書作成業務イ 報告業務(ア) 受注者は、別紙2「システム運用管理基準」を参照の上、本業務で実施した運用作業または軽微改修作業におけるWBSの各項目単位の作業内容とその工数について、月次で作業報告書を作成しPMDAに提出すること。
(イ) ログ監視等にてシステムやデータベースの障害等が予見された場合には、当該事象を知った後、速やかにPMDAに報告し、その対応についてはPMDAと協議し、必要に応じて対策を実施すること。
(ウ) その他運用業務を実施するにあたって明らかになった、仕様変更などのシステムの見直しが必要と考えられる事項を整理し、改善策等の提案を含めて報告書としてとりまとめること。報告書は年度末及び、PMDAの求めに応じて提出すること。
ウ 作業期間等「1-(6)契約期間」に示す期間とする。
支援業務を行う日は、本仕様書で別途定められている業務の他は、行政機関の休日(「行政機関の休日に関する法律」(昭和63年法律第91号)第1条第1項に掲げる日をいう。)を除く日とする。
また、支援業務を行う時間については、原則、支援業務を行う日の9時30分から18時までとする。(ただし、12時から13時までは休憩時間とする。)8ただし、本仕様書で別途定めるものの他、緊急作業及び本業務を実施するために必要な作業がある場合は、この限りではない。
なお、PMDAに非常勤ではあるが、打合せやデータ確認、ログ確認等は機構にて行う為留意すること。
(2) システム資産簿登録に係る作業受注者は、本業務において新たに利用するハードウェア・ソフトウェア・外部サービス等がある場合、PMDA が指定する以下のシステム資産簿登録用シートを、運用実施要領において定める時期に提出すること。
(ア) ソフトウェアライセンスに関する情報(ソフトウェア名称、バージョン、期限、ライセンス番号、数量 等)(イ) 外部サービス利用に関する情報(サービス名称、契約形態、契約期間、サポート内容 等)(ウ) ハードウェア資産に関する情報(機器名、設置場所、メーカ保守期限、用途 等)(エ) その他PMDAが指定する項目(3) 成果物の範囲、納品期日等① 成果物作業工程別の納入成果物を表 3.1に示す。ただし、納入成果物の構成、詳細については、受注後、PMDAと協議し取り決めること。
表 3.1 工程と成果物項番 工程 納入成果物 (注1) 納入期日 納品に関する注意事項1 計画 ・プロジェクト実施計画書(プロジェクトスコープ、体制表、作業分担、スケジュール、文書管理要領、セキュリティ管理要領、変更管理要領、WBS)・情報セキュリティ管理計画書契約締結日から2週間以内2 運用 ・システム運用マニュアル・運用支援要員業務マニュアル・システム関連ドキュメント・プログラム・ツール等令和4年3月31日注23 その他 ・作業週報・月例報告資料・打合せ資料・議事録・障害等作業記録・運用支援報告書令和4年3月31日(※必要に応じて随時提出)9注1納入成果物の作成には、SLCP-JCF2013(共通フレーム2013)を参考とすること。
注2必要に応じて改定したマニュアル(「システム運用マニュアル」「運用支援要員業務マニュアル」等の運用を行うために必須となるマニュアル)は改訂の都度PMDAに提出しPMDAの了承を得ること。なお、最終納品版として、令和4年3月31日までに当年度中に改訂したマニュアルを提出すること。
② 納品方法表 3.1の納入成果物を含む全ての納入成果物を表内記載の納入期日までに納品すること。なお、納入成果物については、以下の条件を満たすこと。
ア 電子形式の文書を磁気媒体等(CD-R又はDVD-R等)により日本語で提供すること。紙媒体の納入は不要とする。
イ 磁気媒体等に保存する形式は、PDF形式及びMicrosoft Office2016で扱える形式とする。ただし、PMDAが別に形式を定めて提出を求めた場合は、この限りではない。
ウ 磁気媒体等の納入物は、二部ずつ用意すること。
エ 一般に市販されているツール、パッケージ類の使用はPMDAと協議の上、必要であれば使用を認めることとするが、特定ベンダに依存する(著作権、著作者人格権を有する)ツール等は極力使用しないこと。
オ 本業務を実施する上で必要となる一切の機器物品等は、受注者の責任で手配するとともに、費用を負担すること。
カ 各工程の中間成果物も含め、本調達に係る全ての資料を納品すること。
③ 納品場所独立行政法人 医薬品医療機器総合機構 経営企画部 情報公開課4 満たすべき要件に関する事項(1) 情報セキュリティ対策本システムの設計・開発・運用保守等に際しては、受注者は、PMDAと調整の上、必要な対策を講じること。なお、情報セキュリティ対策を講じる範囲はシステム全体に係ることであり、本システム(未改修部分)にセキュリティホールが検出された場合も、受注者がセキュリティ対策を講じること。主な対策例を下表に示す。
10表 2 情報セキュリティ対策区分 対策の概要コンピュータウイルス対策 コンピュータウイルス対策基準(平成12年12月28日(通商産業省告示第952号))に準じた対策を講じること。
ボット対策 ボットに感染したコンピュータからのサイバー攻撃等を迅速かつ効果的に停止させるための対策を考慮すること。
不正アクセス対策 ウェブサイトに係る機能等に関しては、クロスサイト・スクリプティングやSQLインジェクション等の脆弱性を狙った攻撃に対する対策を講じること。
脆弱性対策 ソフトウェア等脆弱性関連情報取扱基準(平成16年7月7日(経済産業省告示 第235号))に準じた対策を講じること。
監査証跡(ログ管理) ・オンライン処理について、利用者ID、IPアドレス、利用機能、アクセス日時等について、ログが取得出来ること。
・ログの収集及び一元管理が可能であること。ログファイルは一定期間ハードディスク上に保存し、それを超えた分については、外部可搬媒体にて保存させること。
(2) システム操作・監視等要件① サービス提供プロセスア サービスレベル管理下表に基づき、サービスレベル管理を実施すること。サービスレベルの達成状況についてサービスレベル報告書としてとりまとめ、報告書の提出をもってPMDAに報告すること。サービスレベルが遵守できなかった場合、その改善策(手続きや体制の見直し、新たなツールや仕組みの検証・導入等)の検討・実施を必須とする。また、改善策の実施状況や改善の状況についても、報告書にて報告すること。
表 6 評価項目・評価基準一覧No. 評価項目 評価基準 目標値1 問合せへの一次回答 職員からの問合せに対し、受付から1営業日以内に一次回答を行うこと。
100%/月2 セキュリティ事故発生件数本業務の作業範囲において、「セキュリティ対策ソフトウェア」および「人」により検知されるセキュリティ事故が発生しないこと。
0件/月3 運用業務サービス・ヘルプデスクサービス提供時間9時30分から18時の時間帯において、[項3-(1)-ア]記載の各作業を実施すること。
99.9%/月4 システム障害対応 システム障害が発生したことを認知した時から15分以内に初動対応を開始100%/月11すること。
イ サービスの継続性及び可用性の管理(ア) 稼働監視なし。
(イ) ログ監視常時監視は必要ないが、定期的なログ監視を実施すること(月1回程度)。
(ウ) リカバリなし。
(エ) システム再起動なし。
(オ) 設定変更本システムを正常に稼動させるために設定の変更が必要となる場合は、PMDAに提案し、PMDAの了解の下、当該作業を実施すること。
ウ 容量・能力管理なし。
エ 情報セキュリティ管理本システムへの不正侵入など、本システムに関するセキュリティ監視をログから検出できるレベルで行うこと。
② 関係プロセスア 顧客関係管理(ア) 問い合わせ対応平日の9時30分から18時において、本システムに関するPMDA内の利用者からの問い合わせに対応すること。問い合わせの方法は電話または電子メールとする。
システム操作に関する質問については、適切な操作方法を回答すること。また、本システムの動作不具合に関する問い合わせについては、問い合わせ内容を分析し、操作方法に起因する場合には適切な操作方法を回答すること。システム障害が疑われる場合には、障害もしくは要望の切り分けを実施し、適切に解決に向けて対応すること。
適宜発生するPMDAからのセキュリティ状況に関する問合せや、システム構成情報等、本システム(本番環境、検証環境含む)に関する問合せにも対応すること。
また、PMDAでは、システム監査を外部機関に委託し、毎年実施している。このシステム監査によって発生した問い合わせやセキュリティホール等の指摘に対しても、12PMDAと協議の上、対応すること。
問合せに関しては機構からの問合せや回答内容、開発業者とのやりとり等含め一覧にて確認出来るよう記録として残すこと。
(イ) 情報提供PMDAに対し、システム運用に関する情報提供を行うこと。情報提供の手段は電子メールとし、提供件数は1件/年程度を想定する。
(ウ) 運用保守、障害対応手順の追加・改訂運用保守や障害対応においては手順に沿って対応することになるが、手順の追加修正等必要になる可能性がある。その場合において適宜手順の改訂や追加を行うこと。
(エ) 施行状況調査の支援 本システムにより生データ及び統計に必要な情報を付加したデータがExcel表(約40項目)に基礎データとして出力される。この基礎データには、誤入力などの入力不備が含まれ、データとして完成していない。データとして完成させるために、チェックシート(※)を元に不備な部分を調査し、PMDAに報告する。報告を受けて、PMDAはデータを修正するので、その修正後に本システムからExcel表に改めてデータを出力し、その結果を施行状況調査で指定された様式に入力する。
施行状況調査で指定されたデータ項目数は約500項目あるが、実際にPMDAで使用している項目はおおよそ200項目になると想定している。
なお、開示請求件数は毎年約2,000件あり、半年毎に行う。
※チェックシートは全項目分あり、資料閲覧時に公開する③ 解決プロセスア インシデント管理利用者からの問い合わせに対して、質問、要望、障害等の区分を整理するとともに、各案件の対応状況について記録管理すること。
また、定期的にインシデントの発生傾向を集計・分析すること。問い合わせの多いものについては、FAQとして情報抽出・整理を行うこと。
イ 問題管理インシデントのうち、対応方法の検討が必要となる案件について課題として切り出し、課題管理表に記録すること。また、対応策についてPMDAと協議し、PMDAの了解の下、必要な作業を実施すること。
④ 統合的制御プロセスア 変更管理13課題管理や変更要求等によって、対象となるハードウェア、ソフトウェア等の資源への変更が発生する場合、その対応状況や進捗状況を管理すること。また、受入テストの実施支援を行うこと。
イ 構成管理変更管理及びリリース管理に伴うハードウェア、ソフトウェア等の資源の版数管理、原本管理を行うこと。
ウ 環境管理検証環境機器について、本番環境機器と整合性の取れたシステム環境を維持管理すること。
⑤ リリースプロセスア リリース管理変更管理によって、対象となるハードウェア、ソフトウェア等の資源への変更が発生する場合、リリース可否の判断を行い、PMDAと協議し、PMDAの了解の下、リリースに必要な作業を実施すること。
⑥ 年間業務報告システム運用作業全般として、年度末にPMDAを交えた定期報告会を実施すること。定期報告会開催に当たっては、年間業務報告書を事前に作成し提出すること。尚、作成する年間業務報告書には以下の事項を含めること。また、年間業務報告の議題に挙げる事項は、PMDAと協議し決めること。
・各種ログの分析結果・障害等、システム状態予測(3) データ管理要件なし。
(4) 運用施設・設備要件なし。
(5) ソフトウェア保守要件① 軽微な改修・修正業務の効率化、利便性の向上に資するために、PMDAの指示のもと、例えば、アプ14リケーションに発生した不具合や画面・帳票レイアウトの変更、検索条件の修正、小規模ツールの作成といった軽微な改修・修正を実施すること。その際、必要な設計書の改訂・作成も併せて実施すること。(2人月程度までの作業とする。)軽微な改修に際して、工数見積もりを行い、PMDAの承諾を得ること。また、工数見積もりに係る時間は、上記に示した「2人月程度まで」に含めないこと。
(6) ハードウェア保守要件なし。
5 作業の実施体制・方法に関する事項(1) 作業実施体制① プロジェクトの推進体制及び本件受注者に求める作業実施体制は次の図及び表のとおりである。なお、受注者内のチーム編成については想定であり、受注者決定後に協議の上、見直しを行うこと。また、受注者の情報セキュリティ対策の管理体制については、作業実施体制とは別に作成すること。
② 本業務を複数業者が連携(再委託を含めて)して実施する等の場合は、参画する各業者の役割分担等を明示すること。
(2) 作業要員に求める資格等の要件① 以下のそれぞれの条件に合致する業務を担当した実績を有すること。
15ア AccessおよびC#によるシステム開発業務(それぞれの言語による開発は、別々のシステムであっても良い。)イ AccessおよびC#によって開発されたシステムのヘルプデスク業務(Accessで開発されたシステム、C#で開発されたシステムの2種類のヘルプデスク業務であっても良い)② 本業務に携わるメンバーの1人は独立行政法人情報処理推進機構(IPA)の「情報セキュリティスペシャリスト」もしくは「情報処理安全確保支援士」のいずれかの資格を取得していること。
(3) 作業場所① 受注業務の作業場所(サーバ設置場所等を含む)は、(再委託も含めて)PMDA内、又は日本国内でPMDAの承認した場所で作業すること。
② 受注業務で用いるサーバ、データ等は日本国外に持ち出さないこと。
③ PMDA内での作業においては、必要な規定の手続を実施し承認を得ること。
なお、必要に応じてPMDA職員は現地確認を実施できることとする。
(4) 作業の管理に関する要領① 受注者は、PMDAの指示に従って運用業務または保守業務に係るコミュニケーション管理、体制管理、作業管理、リスク管理、課題管理、システム構成管理、変更管理、情報セキュリティ対策を行うこと。
6 作業の実施に当たっての遵守事項(1) 基本事項受注者は、次に掲げる事項を遵守すること。
① 本業務の遂行に当たり、業務の継続を第一に考え、善良な管理者の注意義務をもって誠実に行うこと。
② 本業務に従事する要員は、PMDAと日本語により円滑なコミュニケーションを行う能力と意思を有していること。
③ 本業務の履行場所を他の目的のために使用しないこと。
④ 本業務に従事する要員は、履行場所での所定の名札の着用等、従事に関する所定の規則に従うこと。
⑤ 要員の資質、規律保持、風紀及び衛生・健康に関すること等の人事管理並びに要員の責めに起因して発生した火災・盗難等不祥事が発生した場合の一切の責任を負うこと。
16⑥ 受注者は、本業務の履行に際し、PMDAからの質問、検査及び資料の提示等の指示に応じること。また、修正及び改善要求があった場合には、別途協議の場を設けて対応すること。
⑦ 次回の本業務調達に向けた現状調査、PMDAが依頼する技術的支援に対する回答、助言を行うこと。
⑧ 本業務においては、業務終了後の運用等を、受注者によらずこれを行うことが可能となるよう詳細にドキュメント類の整備を行うこと。
(2) 機密保持、資料の取扱い本業務を実施する上で必要とされる機密保持に係る条件は、以下のとおり。
① 受注者は、受注業務の実施の過程でPMDAが開示した情報(公知の情報を除く。以下同じ。)、他の受注者が提示した情報及び受注者が作成した情報を、本受注業務の目的以外に使用又は第三者に開示若しくは漏洩してはならないものとし、そのために必要な措置を講ずること。
② 受注者は、本受注業務を実施するにあたり、PMDAから入手した資料等については管理簿等により適切に管理し、かつ、以下の事項に従うこと。
複製しないこと。
用務に必要がなくなり次第、速やかにPMDAに返却又は消去すること。
受注業務完了後、上記①に記載される情報を削除又は返却し、受注者において該当情報を保持しないことを誓約する旨の書類をPMDAに提出すること。
③ 応札希望者についても上記①及び②に準ずること。
④ 「独立行政法人 医薬品医療機器総合機構 情報システム管理利用規程」の第52条に従うこと。
⑤ 「秘密保持等に関する誓約書」を別途提出し、これを遵守しなければならない。
⑥ 機密保持の期間は、当該情報が公知の情報になるまでの期間とする。
(3) 遵守する法令等本業務を実施するにあたっての遵守事項は、以下のとおり。
① 受注者は、次の文書に記載された事項を遵守すること。遵守すべき文書が変更された場合は変更後の文書を遵守すること。
ア 独立行政法人 医薬品医療機器総合機構 情報セキュリティポリシーイ 独立行政法人 医薬品医療機器総合機構 情報システム管理利用規程ウ 独立行政法人 医薬品医療機器総合機構 個人情報管理規程17なお、「独立行政法人 医薬品医療機器総合機構 情報セキュリティポリシー」は非公開であるが、「政府機関等の情報セキュリティ対策のための統一基準(最新版)」に準拠しているので、必要に応じ参照し、その内容を取り込むこと。
「独立行政法人 医薬品医療機器総合機構 情報セキュリティポリシー」の開示については、PMDAに「秘密保持等に関する誓約書」を提出した際に開示する。
② PMDAへ提示する電子ファイルは事前にウイルスチェック等を行い、悪意のあるソフトウェア等が混入していないことを確認すること。
③ 受注者は、本業務の遂行に当たっては、民法、刑法、著作権法、不正アクセス行為の禁止等に関する法律、行政機関の保有する個人情報の保護に関する法律等の関連法規及び労働関係法令を遵守すること。
④ 受注者は、本業務において取り扱う情報の漏洩、改ざん、滅失等が発生することを防止する観点から、情報の適正な保護・管理対策を実施するとともに、これらの実施状況について、PMDAが定期又は不定期の検査を行う場合においてこれに応じること。万一、情報の漏洩、改ざん、滅失等が発生した場合に実施すべき事項及び手順等を明確にするとともに、事前にPMDAに提出すること。また、そのような事態が発生した場合は、PMDAに報告するとともに、当該手順等に基づき可及的速やかに修復すること。
7 成果物の取扱いに関する事項(1) 知的財産権の帰属知的財産の帰属は、以下のとおり。
① 本件に係り作成・変更・更新されるドキュメント類及びプログラムの著作権(著作権法第21条から第28条に定めるすべての権利を含む。)は、受注者が本件のシステム開発の従前より権利を保有していた等の明確な理由により、あらかじめ書面にて権利譲渡不可能と示されたもの以外、PMDAが所有する等現有資産を移行等して発生した権利を含めてすべてPMDAに帰属するものとする。
② 本件に係り発生した権利については、受注者は著作者人格権(著作権法第18条から第20条までに規定する権利をいう。)を行使しないものとする。
③ 本件に係り発生した権利については、今後、二次的著作物が作成された場合等であっても、受注者は原著作物の著作権者としての権利を行使しないものとする。
④ 本件に係り作成・変更・修正されるドキュメント類及びプログラム等に第三者が権利を有する著作物が含まれる場合、受注者は当該著作物の使用に必要な費用負担や使用許諾契約に係る一切の手続きを行うこと。この場合は事前にPMDAに報告し、承認を得ること。
18⑤ 本件に係り第三者との間に著作権に係る権利侵害の紛争が生じた場合には、当該紛争の原因が専らPMDAの責めに帰す場合を除き、受注者の責任、負担において一切を処理すること。この場合、PMDAは係る紛争の事実を知ったときは、受注者に通知し、必要な範囲で訴訟上の防衛を受注者にゆだねる等の協力措置を講ずる。
なお、受注者の著作又は一般に公開されている著作について、引用する場合は出典を明示するとともに、受注者の責任において著作者等の承認を得るものとし、PMDAに提出する際は、その旨併せて報告するものとする。
(2) 契約不適合責任① 委託業務の納入成果物に関して本システムの安定稼動等に関わる契約不適合の疑いが生じた場合であって、PMDAが必要と認めた場合は、本業務実施者は速やかに契約不適合の疑いに関して調査し回答すること。調査の結果、納入成果物に関して契約不適合等が認められた場合には、本業務実施者の責任及び負担において速やかに修正を行うこと。なお、修正を実施する場合においては、修正方法等について、事前にPMDAの承認を得てから着手すると共に、修正結果等について、PMDAの承認を受けること。
② 本業務実施者は、契約不適合責任を果たす上で必要な情報を整理し、その一覧をPMDAに提出すること。契約不適合責任の期間が終了するまで、それら情報が漏洩しないように、ISO/IEC27001認証(国際標準)又はJISQ27001認証(日本工業標準)に従い、また個人情報を取り扱う場合にはJISQ15001(日本工業標準)に従い、厳重に管理をすること。また、契約不適合責任の期間が終了した後は、データ復元ソフトウェア等を利用してもデータが復元されないように、速やかにその情報を完全に消去すること。データ消去作業終了後、本業務実施者は消去完了を明記した証明書を作業ログとともにPMDAに対して提出すること。なお、データ消去作業に必要な機器等については、本業務実施者の負担で用意すること。
(3) 検収納入成果物については、適宜、PMDAに進捗状況の報告を行うとともに、レビューを受けること。最終的な納入成果物については、「3(3)①成果物」に記載のすべてが揃っていること及びレビュー後の改訂事項等が反映されていることを、PMDAが確認し、これらが確認され次第、検収終了とする。
なお、以下についても遵守すること。
① 検査の結果、納入成果物の全部又は一部に不合格品を生じた場合には、受注者は直ちに引き取り、必要な修復を行った後、PMDAの承認を得て指定した日時までに修正が反映されたすべての納入成果物を納入すること。
19② 「納入成果物」に規定されたもの以外にも、必要に応じて提出を求める場合があるので、作成資料等を常に管理し、最新状態に保っておくこと。
③ PMDAの品質管理担当者が検査を行った結果、不適切と判断した場合は、品質管理担当者の指示に従い対応を行うこと。
8 入札参加資格に関する事項(1) 入札参加要件応札希望者は、以下の条件を満たしていること。
① 開発責任部署はISO9001又はCMMIレベル3以上の認定を取得していること。
② ISO/IEC27001認証(国際標準)又はJISQ27001認証(日本工業標準)のいずれかを取得していること。
③ PMDAにて現行関連システムの設計書等を閲覧し、内容を十分理解していること。
④ 応札時には、概算スケジュールを含む見積り根拠資料の即時提出が可能であること。なお、応札後にPMDAが見積り根拠資料の提出を求めた際、即時に提出されなかった場合には、契約を締結しないことがある。
(2) 入札制限情報システムの調達の公平性を確保するため、以下に示す事業者は本調達に参加できない。
① PMDAのCIO補佐が現に属する、又は過去2年間に属していた事業者等② 各工程の調達仕様書の作成に直接関与した事業者等③ 設計・開発等の工程管理支援業者等④ ①~③の親会社及び子会社(「財務諸表等の用語、様式及び作成方法に関する規則」(昭和38年大蔵省令第59号)第8条に規定する親会社及び子会社をいう。以下同じ。)⑤ ①~③と同一の親会社を持つ事業者⑥ ①~③から委託を請ける等緊密な利害関係を有する事業者9 情報セキュリティ管理(1) 情報セキュリティ対策の実施受注者は、「別紙3 情報セキュリティ対策の運用要件」に記載されている内容および以下を含む情報セキュリティ対策を実施すること。また、その実施内容及び管理体制につい20てまとめた「情報セキュリティ管理計画書」をプロジェクト実施計画書に添付して提出すること。ア PMDAから提供する情報の目的外利用を禁止すること。イ 本業務の実施に当たり、受注者又はその従業員、本調達の役務内容の一部を再委託する先、若しくはその他の者による意図せざる変更が加えられないための管理体制が整備されていること。ウ 受注者の資本関係の情報、本業務の実施場所、本業務従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績並びに国籍に関する情報提供を行うこと。具体的な情報提供内容についてはPMDAと協議の上、決定するものとする。エ 情報セキュリティインシデントへの対処方法が確立されていること。オ 情報セキュリティ対策その他の契約の履行状況を定期的に確認し、PMDAへ報告すること。カ 情報セキュリティ対策の履行が不十分である場合、速やかに改善策を提出し、PMDAの承認を受けた上で実施すること。キ PMDAが求めた場合に、速やかに情報セキュリティ監査を受入れること。ク 本調達の役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるように「情報セキュリティ管理計画書」に記載された措置の実施を担保すること。ケ PMDAから要保護情報を受領する場合は、情報セキュリティに配慮した受領及び管理方法にて行うこと。コ PMDAから受領した要保護情報が不要になった場合は、これを確実に返却、又は抹消し、書面にて報告すること。サ 本業務において、情報セキュリティインシデントの発生又は情報の目的外利用等を認知した場合は、速やかにPMDAに報告すること。
(2) 情報セキュリティ監査の実施ア PMDAがその実施内容(監査内容、対象範囲、実施等)を定めて、情報セキュリティ監査等を行う(PMDAが選定した事業者による監査を含む。)ものとする。受託者は、あらかじめ情報セキュリティ監査等を受け入れる部門、場所、時期、条件等を「情報セキュリティ管理計画書」に付記し提示すること。
イ 受託者は自ら実施した外部監査についてもPMDAへ報告すること。
ウ 受託者は、情報セキュリティ監査の結果、本調達における情報セキュリティ対策の履行状況についてPMDAが改善を求めた場合には、PMDAと協議の上、必要な改善策を立案して速やかに改善を実施するものとする。
エ 本業務に関する監査等が実施される場合、受託者は技術支援及び情報提供を行うこと。
21オ 受託者は、指摘や進捗等把握のための資料提出依頼等があった場合は、PMDAと協議の上、内容に沿って適切な対応を行うこと。
なお、情報セキュリティ監査の実施については、本項に記載した内容を上回る措置を講ずることを妨げるものではない。
10 再委託に関する事項① 受注者は、受注業務の全部又は主要部分を第三者に再委託することはできない。
② ①における「主要部分」とは、以下に掲げるものをいう。
ア 総合的企画、業務遂行管理、手法の決定及び技術的判断等。
イ SLCP-JCF2013の2.3開発プロセス、及び2.4ソフトウェア実装プロセスで定める各プロセスで、以下に示す要件定義・基本設計工程に相当するもの。
・ 2.3.1プロセス開始の準備・ 2.3.2システム要件定義プロセス・ 2.3.3システム方式設計プロセス・ 2.4.2ソフトウェア要件定義プロセス・ 2.4.3ソフトウェア方式設計プロセスただし、以下の場合には再委託を可能とする。
・ 補足説明資料作成支援等の補助的業務・ 機能毎の工数見積において、工数が比較的小規模であった機能に係るソフトウェア要件定義等業務③ 受注者は、再委託する場合、事前に再委託する業務、再委託先等をPMDAに申請し、承認を受けること。申請にあたっては、「再委託に関する承認申請書」の書面を作成の上、受注者と再委託先との委託契約書の写し及び委託要領等の写しをPMDAに提出すること。受注者は、機密保持、知的財産権等に関して本仕様書が定める受注者の責務を再委託先業者も負うよう、必要な処置を実施し、PMDAに報告し、承認を受けること。なお、第三者に再委託する場合は、その最終的な責任は受注者が負うこと。
④ 再委託先が、更に再委託を行う場合も同様とする。
⑤ 再委託における情報セキュリティ要件については以下のとおり。
・ 受注者は再委託先における情報セキュリティ対策の実施内容を管理しPMDAに報告すること。
22・ 受注者は業務の一部を委託する場合、本業務にて扱うデータ等について、再委託先またはその従業員、若しくはその他の者により意図せざる変更が加えられないための管理体制を整備し、PMDAに報告すること。
・ 受注者は再委託先の資本関係・役員等の情報、委託事業の実施場所、委託事業従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関して、PMDAから求めがあった場合には情報提供を行うこと。
・ 受注者は再委託先にて情報セキュリティインシデントが発生した場合の再委託先における対処方法を確認し、PMDAに報告すること。
・ 受注者は、再委託先における情報セキュリティ対策、及びその他の契約の履行状況の確認方法を整備し、PMDAへ報告すること。
・ 受注者は再委託先における情報セキュリティ対策の履行状況を定期的に確認すること。また、情報セキュリティ対策の履行が不十分な場合の対処方法を検討し、PMDAへ報告すること。
・ 受注者は、情報セキュリティ監査を実施する場合、再委託先も対象とする。
・ 受注者は、再委託先が自ら実施した外部監査についてもPMDAへ報告すること。
・ 受注者は、委託した業務の終了時に、再委託先において取り扱われた情報が確実に返却、又は抹消されたことを確認すること。
11 その他特記事項(1) 環境への配慮環境への負荷を低減するため、以下に準拠すること。
① 本件に係る納入成果物については、最新の「国等による環境物品等の調達の推進等に関する法律(グリーン購入法)」に基づいた製品を可能な限り導入すること。
② 導入する機器等がある場合は、性能や機能の低下を招かない範囲で、消費電力節減、発熱対策、騒音対策等の環境配慮を行うこと。
(2) その他PMDA全体管理組織(PMO)が担当課に対して指導、助言等を行った場合には、受注者もその方針に従うこと。
12 附属文書(1) 別紙別紙1 本システム新規開発時の要件定義書別紙2 システム運用管理基準23別紙3 情報セキュリティ対策の運用要件(2) 事業者が閲覧できる資料一覧閲覧資料1 独立行政法人 医薬品医療機器総合機構 情報セキュリティポリシー閲覧資料2 PMDA情報セキュリティインシデント対処手順書閲覧資料3 セキュリティ管理要件書(ひな型)閲覧資料4 開示請求進捗管理システム設計書一式13 窓口連絡先独立行政法人 医薬品医療機器総合機構 経営企画部情報公開課 吉野 康宏電話:03 (3506)9601Email:yoshino-yasuhiro ●pmda.go.jp (●は@に読み替えること)開示請求進捗管理及び運用支援システムの構築業務要件定義書別紙1i目 次1. システム化の目的.12. システムの概要.12.1 全体構成図.13. 機能要件.23.1 機能一覧.23.2 情報・データ要件.23.3 外部インターフェース要件.23.4 個人情報及びプライバシー保護への配慮.24. 非機能要件.34.1 規模要件.34.2 性能要件.34.3 信頼性要件.34.4 拡張性要件.34.5 上位互換性要件.34.6 システム中立性要件.34.7 情報セキュリティ要件.34.7.1 権限要件.44.7.2 情報セキュリティ対策.44.8 ユーザビリティ要件.44.8.1 ユーザビリティ向上の目的.44.8.2 想定利用者.44.8.3 要件.45. 移行要件.45.1 移行方針.45.2 移行範囲.46. 運用要件.56.1 システム操作・監視等要件.56.2 試行運用中の微修正.56.3 データ管理要件.57. 用語集.511. システム化の目的独立行政法人医薬品医療機器総合機構(以下「PMDA」という。)では、平成 16 年設立以来、法人文書の特定を的確に行い、開示期限内に対応することに務めてきたところである。しかしながら、年々増加する開示請求や大容量の文書に対して、既存システムを利用して、法で定められた期限を遵守しつつ処理することは非常に困難な状況にあり、業務遅延リスクを防止するべく進捗管理を強化し、業務を支援するための新たなシステムを構築することが必要である。そのため本調達は、作業の効率化を図るべく進捗管理・運用支援システム(以下「進捗管理システム」という。)を構築することを目的としている。なお、本システムには法人文書だけでなく、個人情報保護法に基づく開示請求等の進捗管理システムも含む。
2. システムの概要2.1 全体構成図図2.1 システム概念図(次期システム)※2020年7月現在は、「データセンタ」の範囲が、「共用LAN上の専用PC」となります。
本紙1-(5)も合わせてご参照ください。
① 進捗管理システム用として用いるデータベースは、accdb ファイルを共有する方式で構築する。
② 共有するaccdb ファイルは、PMDAが指定する共用ファイルサーバ上に構築する。
③ 個人情報保護を考慮し、accdbファイルを個人情報ファイルと個人情報を含まないファイルに分割する。また、個人情報ファイルを暗号化する。
④ 進捗管理システムのクライアントAP は、C# を用いたWindows アプリケーションとして構築する。
23. 機能要件3.1 機能一覧機能一覧、画面一覧、帳票一覧を基本設計フェーズにて作成し、基本設計書として管理する。
3.2 情報・データ要件本システムでは、以下のデータを管理する。
表3.1本システムの情報・データ概要No 情報・データ名 情報・データ概要1 個人情報開示請求情報 個人情報の開示請求に関する情報。
2 法人文書開示請求情報 法人文書の開示請求に関する情報。
3 個人情報開示決定情報 個人情報の開示請求に対する決定内容に関する情報。
4 法人文書開示決定情報 法人文書の開示請求に対する決定内容に関する情報。
5 第三者意見照会情報 法人文書/個人情報開示請求および異議申立において、PMDAと第三者の間で行われた意見照会に関する情報。
6 異議申立情報 法人文書および個人情報の異議申立に関する情報。
7 審査会履歴情報 審査会の審査履歴に関する情報8 請求者情報 法人文書および個人情報の開示請求者に関する情報。
9 第三者情報 法人文書/個人情報開示請求において、特定した法人文書/個人情報に対して意見照会を行う第三者(企業)とその担当者に関する情報。
10 手数料情報 手数料の入金、還付、流用などに関する情報。
11 定型文書 本システムで出力する帳票の雛形。
12 ユーザ情報 本システムを利用するユーザに関する情報。
13 アクセス履歴 本システムで管理している情報に対するアクセス履歴(ユーザ、時間、機能等)。
14 マスタ情報 本システムで利用するマスタ情報。
3.3 外部インターフェース要件PMDA会計課が業務で使用する手数料管理表をExcel形式で出力する。
3.4 個人情報及びプライバシー保護への配慮個人情報およびプライバシーの保護に配慮し、その範囲と方策について以下の通り定める。
① 本システムで保護すべき個人情報およびプライバシーの範囲・請求者情報・第三者情報・開示請求された文書② 個人情報およびプライバシー保護に対する方策・個人情報となる請求者情報、第三者情報については、個人情報用にaccdbを構築し、データベースパスワードを設定して暗号化する。
・開示請求された文書はPMDAが指定する共用ファイルサーバ上に配置し、アクセス権により保護する。
34. 非機能要件4.1 規模要件① 開示請求件数に係る規模を以下に示す。1 件あたり、A4 用紙5,000 頁に及ぶものもある。
表4.1 年度別開示請求件数年度 件数(約)平成23 年度以前 2,600平成24 年度 1,600平成25 年度 1,800平成26 年度 1,600②過去の実績から、毎年度2,000件の開示請求を考慮する。5年後の平成31年度の開示請求総件数は17,600件となる。
③ 20台の端末より同時アクセスされることを前提にシステムを構築する。情報更新に際してはレコードの排他制御を十分に考慮する。
4.2 性能要件20台の端末からの同時アクセスに際して、新規登録・編集・参照に係る一操作(ボタンクリック後のレスポンス等)が3秒以内とする。検索は、1,000件以内の情報を表示する場合3秒以内とする。(ただし、フリー入力項目による部分一致検索は30秒以内とする。)また、検索を伴わない表示系のレスポンスは1秒以内とする。なお、統計用のExcel出力に関しては、集計に必要なデータ一覧を上限10分以内に出力する。ただし、ネットワークの性能による影響は考慮しない。
4.3 信頼性要件稼働中システムの正常動作を保証し、通常業務に重大な影響を与えない。具体的には以下のとおり。
・プログラムリリース以外の計画停止は実施しない。
・基本的に24h365/366稼働とする。ただし、サーバメンテナンス時およびパッチ適用などの緊急時は除く。
・障害が発生した際はデータ不整合が発生しない設計とする。
・データ障害等でデータの復旧が伴う場合は、最大1日前までのデータを用いて復旧できる。
・運用時にパフォーマンス測定が容易に行えるよう、ボタンクリックから画面出力までの時間をログに出力する。(CPU使用率、メモリ空き容量など、分析に必要な情報も出力する。)・万が一、障害等でシステムが利用出来なくなった場合を想定し、システムが利用出来なくなった場合の業務についても考慮の上、マニュアル等を作成する。
4.4 拡張性要件本業務において改修等を施す際には、既存システムのソフトウェア構成やシステム開発言語等を踏襲し拡張等にも対応する。
4.5 上位互換性要件選定したソフトウェアに関して、設計段階から、バージョンアップのプランを考えて設計する。
4.6 システム中立性要件他の事業者がシステムの保守や拡張を引き継げるようにする。
4.7 情報セキュリティ要件44.7.1 権限要件ユーザ毎に権限設定を可能とする。
設定できる権限は、実務担当者、手数料担当者、管理者とする。
4.7.2 情報セキュリティ対策検証環境にて検証を行い、共用LANシステムで実装している情報セキュリティ対策に影響がないことを確認する。
また、本システムに関するセキュリティ対策においては、調達仕様書の「情報セキュリティ要件」や「遵守事項」を対応する。
なお、不正アクセス等の監視目的から入力パラメータ等を含めた操作ログ等取得する。
4.8 ユーザビリティ要件4.8.1 ユーザビリティ向上の目的本開発では、ユーザビリティの向上に取り組む。ユーザビリティ向上は、以下を目的としている。
① 利用者の作業時間の短縮② 利用者の負担・ストレスの低減と満足度の向上4.8.2 想定利用者本システムの利用者、利用組織は以下の通りである。
① PMDA 審査マネジメント部情報公開課の職員4.8.3 要件本開発では、ユーザビリティについて以下の要件を満たすことが求められる。
1. 選択肢が多い場合には、効率的に選択できるよう、プルダウンメニューからの選択等を活用し、選択肢が少ない場合にはチェックボックスを活用し、選択肢が択一の選択であるか複数選択可であるかが画面上で明確に識別できるようにする。
2. データの削除や更新を行う際は、確認メッセージを表示するなどの誤操作の防止に配慮する。
3. 入力画面が縦に長くなるような場合は、ページ切替等の操作性の向上を検討する。
5. 移行要件5.1 移行方針① 本番環境の移行作業は、移行手順の作成・整備・事前検証を行い、その結果についてPMDAの承認を得て、作業を実施する。
② 業務に影響を出さないようPMDAと調整の上、作業を実施する。
③ 本番稼動に際しては、直前の業務で発生した現行システムのデータも漏れなく移行し、正常に格納されていることを十分に確認する。
④ システム改修等を施しても、改修した機能を含めて全機能が使用できるように設計する。
⑤ 移行準備作業に際し、PMDAで実施すべきこと、NESにて実施すべき事を明確にし、作業を進める。なお、PMDAが作業する場合、PMDAにて作業誤りが発生しないよう予め埋められるデータは埋めた状態でフォーマット等作成し、PMDAに提供する。
5.2 移行範囲①データクレンジングに際して、PMDAの指示に従い、以下の作業支援を実施する。
5ア)一括変換でのデータクレンジングイ)一括変換できなかったデータのリスト ウ) 既存データベースからのデータ抽出② クレンジング済データに関して、刷新した進捗管理システムへデータ移行する。
③ CD-ROM メディア等で管理している過去の開示請求対象文書等に関して、指定するフォルダに格納する。なお、本システムとの連携を考慮しフォルダ構成等を検討する。
6. 運用要件6.1 システム操作・監視等要件① 業務時間試行運用期間は2/22~3/31までとし、試行運用業務を行う日は、行政機関の休日(「行政機関の休日に関する法律」(昭和63年法律第91号)第1条第1項に掲げる日をいう。)を除く日とする。試行運用期間はPMDA常駐せず、電話やメールでの対応とする。また、試行運用業務を行う時間については、原則、試行運用業務を行う日の9時00 分から17 時30 分までとする(但し、12 時から13 時までは休憩時間とする。)。ただし、本要件定義書で別途定めるものの他、本業務を実施するために必要な作業がある場合は、この限りではない。
6.2 試行運用中の微修正①試行運用期間における進捗管理システムに対する軽微な改修として、1 件当たり10時間程度の改修工数で年間あたり16 件程度の小規模改修に対応する。なお、端数月数となる初年度に関しても、16 件程度の小規模改修に対して対応する。
②小規模改修の具体的な内容(要件、設計、製造、テスト、時期等)に関しては、都度、総合機構と協議の上、決定する。
③システム改修後の構成管理およびリリース管理を実施し、総合機構の承認を得る。
6.3 データ管理要件①システム障害からの復旧システム障害からの復旧開始は 3 時間以内に実施する。
②バックアップ進捗管理システムではバックアップを行なわない。共用LANシステムで実装しているバックアップ機能を使用する。
バックアップ機能は、Windows標準機能のシャドウコピーで1日1回AM4時にバックアップを作成し、14日間保存する。
7. 用語集本要件定義書および別紙で使用されている用語について、以下の通り定義する。
表7.1 用語集用語 定義PMDA 独立行政法人医薬品医療機器総合機構開示請求 総合機構理事長に対し、総合機構が保有する法人文書や個人情報の開示を求めること法人文書 総合機構の職員が、職務上作成、取得し、組織的に利用するために保有している文書、図画及び電磁的記録(フロッピーディスクなど)のこと6用語 定義情報公開法 独立行政法人等の保有する情報の公開に関する法律http://www.soumu.go.jp/main_sosiki/gyoukan/kanri/jyohokokai/shoukai.html個人情報保護法 独立行政法人等の保有する個人情報の保護に関する法律http://www.soumu.go.jp/main_sosiki/gyoukan/kanri/kenkyu.html既存システム 現在使用しているアクセス及びエクセルによる管理システム開示前例 開示請求があった文書について、過去に同一の文書を開示したもの。また開示請求者の過去の請求履歴も含む。
別紙2 システム運用管理基準2019年12月独立行政法人 医薬品医療機器総合機構【資料の見方】 システム運用業務を「13の領域」に分けている。
それぞれの業務プロセスは、標準化対象外。各情報システムの体制・特性・リスク等により、最適なプロセスを設計し、運用する。
システム運用の標準化(要件)は、システム運用者(委託先)から当機構への報告書式(情報提供も含む)を統一し、各システムの運用状況を定期的に収集して、全体状況の把握と情報共有等を可能とすることにある。
当資料においては「標準化」のタイトル等にて報告を記載している。
標準化(要件)は、「報告書式を統一する領域」と「報告内容を統一(書式任意)」の2タイプに分かれる。
「報告書式を統一する領域」は、インシデント管理、変更管理、構成管理、脆弱性管理、アクセス権管理の領域となっている。
改訂履歴改定日 改定理由2018年6月8日 初版発行2018年7月20日 情報セキュリティ遵守状況報告内容を追記2018年9月10日 脆弱性管理を追記2019年8月15日2. システム運用管理業務の概要に「【参考】システム運用管理業務の全体像」を追加4.5構成管理 最新情報をPMDAに報告する標準書式を定義4.9脆弱性管理 管理状況を報告するPMDA標準書式を定義2019年12月20日 4.7 バックアップと回復管理 バックアップデータの保管方法を追加1.はじめに1.1 目的独立行政法人医薬品医療機器総合PMDA(Pharmaceuticals and Medical Devices Agency)(以下、「PMDA」という。)が調達し、又は、開発した情報システムの運用管理を確実かつ円滑に行い、利用者が要求するサービス品質を、安定的、継続的かつ効率的に提供するために、情報システムの運用管理に関する業務内容を明確化・標準化するために定めるものである。
1.2 対象範囲PMDAが調達し、又は開発・構築した全ての情報システムの運用保守を担当する組織(情報システムの運用保守業務を外部委託する場合における委託先事業者を含む)に適用する。 1.3 適用の考え方システム運用管理業務は、既に開発・構築しサービスイン(本番稼動)している情報システムの運用・保守業務の実行と管理に係る業務を対象とする。
情報システムの運用・保守を外部委託する場合は、本資料をもとに委託先事業者において、当該情報システムの種類・規模・用途を踏まえた適切な運用手順を策定のうえ、運用サービスを提供するものとする。
1.4 用語の定義本要領で使用する用語は情報システムの「ITIL(IT Infrastructure Library)」のガイドラインを踏まえた運用プロセス定義に準拠するものとする。
1.5 準拠および関連文書上位規程 : 「情報セキュリティポリシー」関連文書 : 「情報システム管理利用規程」2.システム運用管理業務の概要PMDAにおいては情報システムの運用保守を外部委託している状況を踏まえ、運用管理に必要なプロセスのあるべき姿から主要なプロセスを運用管理業務として選定し、以下の13の管理業務について、明確化・標準化を行う。
管理業務 概要問合せ管理 (サービスデスク)システムの利用者からの問合せ窓口として、利用者からの各種問合せについて一括受付することにより 問合せに対する早期回答、障害対応への早期エスカレーションを図るとともに、ユーザからの要望を適切に吸い上げる。
インシデント管理 問い合わせに含まれるインシデント、あるいはハードウェア、アプリケーションなどからのインシデント発生の警告/報告を受け、サービスの中断を最小限に抑えながら、可能な限り迅速に通常サービスを回復するよう努める。
問題管理(再発防止策)障害(インシデント)の根本的な原因となっている不具合が、ビジネスに与える悪影響を最小化するため、問題を分析し抜本的解決策や回避策を立案する。
変更管理(課題管理)情報システムに対する変更の許可と実装を確実に行うための管理をいう。本番環境に対する変更要求を適正な要領で評価・承認を行い、標準化された変更方法、手順が実施されることを確実にする。 また、変更による影響とリスクを最小化し、障害を未然に防止することで、サービス品質の維持・向上に努める。
なお、本要領においては、変更要求の必要性、効果、リスクなど変更の妥当性の評価と承認(変更管理)に加えて、本番環境に対してどのような準備・実行・見直しを行って変更を加えるかの決定(リリース管理)を含めるものとする。
構成管理 情報システムを構成する物理資源・論理資源とその環境を常に把握するための管理をいう。運用・保守業務やそのサービスに含まれる全てのIT資産や構成を明確にし、正確な構成情報と関連文書を提供することで、他のサービスマネジメント・プロセス(インシデント管理、問題管理、変更管理、情報セキュリティ管理等)に信頼できる管理基盤を提供する。
運行管理(稼動管理)情報システム全体を予定通り安定的に稼動させるために、システムのスケジュール、稼働監視、オペレーションなど一連の運行を管理する。
・スケジュール管理・オペレーション管理(定型業務、非定型業務)・稼動監視 ・障害対応 ・ジョブ運用 ・媒体管理・本番システム導入・移行時の支援 等管理業務 概要バックアップと回復管理必要なバックアップを定期的に取得、管理し、障害が発生した場合は、速やかな回復ができるよう、回復要件に基づき必要な回復手順、仕組みを計画、作成、維持する。
情報セキュリティ管理 情報セキュリティポリシーに規定されたセキュリティ対策を実施するために必要な管理要件に基づき、情報セキュリティ管理要領・手順等を作成し、情報セキュリティ管理を行う。
脆弱性管理 情報システムのソフトウェアおよびアプリケーションにおける脆弱性を特定、評価、解消するための管理業務を行う。システム構成を把握した上で、構成要素ごとに関連する脆弱性情報をいち早く「収集」し、影響範囲の特定とリスクの分析によって適用の緊急性と対応要否を「判断」し、判断結果をもとに迅速に「対応」を行う。
アクセス権管理 アクセス方針を定め、アクセス制御の仕組みを構築・維持し、システム・アカウントの申請受付け・登録・変更・削除など管理業務を行う。
・アプリケーション・システムのアカウント・サーバのOSアカウント・DBMSアカウント・運用支援システムのアカウント・各種特権アカウント 等キャパシティ管理 サービス提供に必要となるシステム資源の利用状況の測定・監視を実施し、現在の業務要求(既存の提供サービス量)と将来の業務要求(要求される提供サービス量)とを把握した上で、システム資源がコスト効率よく供給されるように調整・改善策の立案を行う。
可用性管理 ITインフラストラクチャーを整備し、それをサポートするITサービス部門の能力を最適化させることで、ビジネス部門に対して、費用対効果が高いITサービスを持続して提供する。
可用性管理の活動は、既存のITサービスの可用性を日常的に監視・管理する「リアクティブ」なプロセスと、リスク分析や可用性計画の策定や可用性設計基準などの作成を行う「プロアクティブ」なプロセスに分けられる。
サービスレベル管理 「サービスレベル合意書」で定める各種サービスレベル値の達成、維持作業として、管理項目に対する実績データの収集、分析、評価、及び改善策を策定する。 また、運用管理業務における報告データを収集、管理し、月次にユーザへの報告を実施する。
【参考】システム運用管理業務の全体像3.運用管理業務の基本プロセス(運用管理業務プロセスのPDCAマネジメントサイクル)他のマネジメント・システムと同様に、運用管理業務プロセスも手順書等を策定して終わりではなく、実際に手順書等に準拠した運用を実施し、定期的に又はシステムの変更やメンバーの入れ替わりなどに合わせて都度、管理プロセスを見直し、必要に応じて改善・是正を行う必要がある。
そのために、運用管理業務プロセスに、個別管理要領の「策定(Plan)」、「実施(Do)」、「点検・監査(Check)」、「評価と改善(Act)」の4つの基本プロセスからなるPDCAマネジメントサイクルを導入し、継続的改善を実施することが重要である。
各基本プロセスの概要は、以下のとおりである。
(1) 個別管理要領の策定 (Plan)各運用管理業務の実施方針、実施範囲、管理プロセス、業務の管理指標等を含めた管理要領書ならびに管理手順を定める。
(2) 個別管理業務の実施 (Do)各運用管理業務の実作業を行うとともに、業務遂行に必要な関連情報の蓄積、実績情報の収集保管、およびに評価指標の実績測定を行う。
(3) 個別管理業務の点検・監査 (Check)各運用管理業務に対し、個別運用管理要領に遵守した運用がなされているか定期的に点検・監査を行い、その結果を分析・評価する。
(4) 個別運用管理業務の評価と改善 (Act)各運用管理業務に対する評価指標に対する実績管理を行うと共に、品質向上に向けた改善計画を立案し、改善実施を行う。
(1) 個別管理基準の策定(Plan)(2) 個別管理業務の実施(Do)(3) 個別管理業務の点検・監査(Check)(4) 個別運用管理業務の評価と改善(Act)・定期的に実施・各運用管理基準に従い、定常業務として実施・各管理プロセスの導入時、見直し時に実施・定期的に実施4.システム運用管理業務の明確化・標準化4.1 問合せ管理(1) 目的ユーザ及び各業務プロセスオーナからの問合せや依頼に対する受付窓口を一元化することで、各業務の利用ユーザの業務効率性を向上させる。
(2) 業務の概要問合せ対応では、問合せの受付、クローズ、一次回答、管理プロセスの評価・改善の一連のプロセスを実施する。
(3) 管理対象本番システム環境で稼動している全てのシステムに係る以下の問合せについて対応する。
アプリケーション仕様、操作、機能、内容に関する問合せ ハードウェア/ソフトウェアに関する問合せ 要望 アプリケーション修繕に対する依頼 その他の依頼作業(4) 業務の管理指標&標準化問合せ対応業務を評価するための評価指標として以下を定義し、定期的(月次)報告を行う。
①問合せ発生件数(日次集計・月次集計を含む)②問合せ区分別件数③問合せ一次回答期限遵守率④問合せ完了率(一定期間経過後(10営業日経過後)の完了率)※報告内容は、各システムの状況に応じて変更しても構わない。
【補足】問合せにより「システム障害」「セキュリティインシデント」が発覚した場合は、該当問合せは一次回答にてクローズとし、その後は「インシデント管理」にて対応する。
問合せにより「変更」実施が必要となった場合は、対応予定日を回答することでクローズとし、その後は「変更管理(課題管理)」にて対応する。
4.2 インシデント管理(1) 目的インシデント管理は、ユーザからの問合せ・連絡、あるいはオペレータや監視システム等によるインシデントの検知を受け、ITサービスの中断を最小限に抑えながら、可能な限り迅速に正常なサービスを回復することを目的とする。
(2) 業務の概要①インシデントの定義インシデントとは、ユーザや監視システム等の検知により判明したハードウェアやソフトウェアに関する一般的な障害(システム・ダウン、バグによるアプリケーションの機能停止等)だけでなく、ユーザが日常の操作手順によってITサービスを利用する上で支障がある事象は全てインシデントに包含される。
【注】このインシデントには、情報セキュリティインシデント(不正アクセス・マルウェア検知等)を含む。 また、まだITサービスに影響を与えていない構成アイテムの障害もインシデントとして扱う。 例えば、(i) 二重化されたデータベース・システムの一方がダウンした場合で、まだサービス自体が正常に稼働している場合、(ii) 本番環境のバックアップを検証環境にリストアできない場合、これらをインシデントとして扱う。
②インシデント管理の主な活動インシデント管理は、インシデントの4つのライフサイクル(発見-判別-回復-解決)の内、発見-判別-回復(解決)までをカバーする。 (再発防止については、次節の「問題管理」で扱う。)インシデント管理のプロセスでは、主に次の活動を実施する。
・インシデントの検知・インシデントの記録・インシデントの通知・インシデントの分類・インシデントの優先度付け・インシデントの初期診断・エスカレーション・インシデントの調査と診断・復旧(解決)策の実施・インシデントのクローズ(3) 管理対象本番システム環境で稼動している全てのシステムのインシデントを管理対象とする。
(4) 業務の管理指標インシデント管理の管理業務を評価するための評価指標として以下を定義し、定期的(月次)報告を行う。
① 当月インシデント発生件数(総件数、障害ランク別・原因別・システム別件数・解決責任部門別)② 優先度又は緊急度毎に分類されたインシデントの解決までに要した時間(平均時間)③ ステータス(記録済み、対応中、クローズ済み等)毎のインシデントの内訳④ 長期間(発生から1カ月以上)未解決のインシデントの件数と理由および業務影響⑤ 新規に発生したインシデントの件数とその傾向⑥ ユーザのトレーニングなど、ITテクノロジーに関連しないで解決されたインシデントの件数⑦ 解決に要したコスト⑧ インシデント発生件数の削減率(対前年比)(5) 標準化インシデント管理は、PMDA標準書式を適用する。
①インシデント発生(判明)時インシデントごとに個票を起票する。この個票は「PMDA標準書式」を使用する。
※添付「インシデント報告書(ひな型)」を使用する。また「インシデント一覧記載要領」を参照し、対応すること。
※各情報システムの状況等によって、一部改修して使用しても構わない。ただし、必須項目の変更・削除は認めない。
②定期的(月次)報告時インシデントごとの個票を集計表に転記のうえ報告する。この集計表は「PMDA標準書式」を使用する。
※添付「インシデント一覧」を使用する。
4.3 問題管理(再発防止策)(1) 目的サービスの信頼性を維持・向上するためには、システムの利用・運用上発生した問題(障害を引き起こす根本的な原因)を確実に解決し、同一障害・類似障害の再発防止のための是正を実施することを目的とする。
(2) 業務の概要本番サービスに影響を与えた障害を分析し、それらの共通の根本原因を取り除く是正策を実施するまでの一連のプロセスを管理する。 問題管理(再発防止)では、以下を実施する。
・問題の傾向分析と課題点の抽出・是正策の検討・是正策の実施(3) 管理対象本番システム環境で稼動している全てのシステムの問題を管理対象とする。
(4) 業務の管理指標&標準化問題管理(再発防止)業務を評価するための評価指標として以下を定義し、定期的(月次)報告を行う。
① 再発防止策が策定された問題件数(総件数、障害ランク別・原因別・システム別件数・解決責任部門別)② ステータス(記録済み、対応中、クローズ済み等)毎の再発防止策の内訳③ 再発防止に要したコスト④ 長期間(策定から1カ月以上)未実施の再発防止策件数と理由⑤ 再発防止の実施率(対前年比)※報告内容は、各システムの状況に応じて変更しても構わない。
4.4 変更管理(1) 目的サービスの信頼性を維持・向上するためには、システムに対する変更について、その妥当性を検証し、変更によるユーザへの影響を最小限にすることが重要である。 変更管理プロセスは、システムに対する変更を一元的に管理することを目的とする。
(2) 業務の概要変更管理では、変更の申請から変更内容の審査、変更の承認または却下、変更の実施、変更実施結果の報告までの一連のプロセスを管理する。
緊急の場合、対応を優先し所定のプロセスを適宜省略することを可能とするが、事後的に対応できるものについては、事後速やかに対応することとする。
(3) 管理対象システム運用者(委託先)が運用し本番サービスを提供するシステムの全て又はその一部に対して影響を与える全ての変更を管理対象とする。
本番環境 構成要素(主な要素)ハードウェア CPU、DASD・DISK、サーバ、ワークステーション、周辺装置システム・ソフトウェア OS、サブシステム、サーバ及びワークステーションOSミドルウェア DBMS、ネットワークOSアプリケーション・ソフトウェア ソース、モジュール、シェル、JCLネットワーク・ハードウェア スイッチ、ルータ、ブリッジネットワーク・サービス 基幹ネットワーク、LAN、インターネット 等データ データベース及びファイル内のデータ(に対する直接修正)(4) 業務の管理指標変更管理業務を評価するための評価指標として以下を定義する。
① 変更実施件数(総件数、領域別・原因別・システム別件数・解決責任部門別)② 変更の実装が失敗した件数③ 変更のバックログの件数④ 予定期間でクローズされなかった変更の件数⑤ 変更が原因で発生した変更の件数⑥ 緊急の変更の件数※具体的にどの管理指標をどう用いるかについては、今後調整の上確定する。 以下同様。
(5) 標準化変更管理は、PMDA標準書式を適用する。
①変更案件発生時課題管理表に記入し、変更管理のステイタス(未着手(対応予定日記入)~着手(対応中)~完了)を管理する。
※課題管理表の書式は、各情報システムの任意とする。
②変更実施着手時変更の着手ごとに個票を起票する。この個票は「PMDA標準書式」を使用する。
※添付「変更作業申請書(ひな型)」を使用する。
※各情報システムの状況等によって、一部改修して使用しても構わない。ただし、PMDA側の確認・承認欄の削除は認めない。
※個票は、「単純な定常作業」に関しては使用しなくても良い。
「単純な定常作業」は、各システムにて定義する。
ただし、定期的(月次)報告には、記載する。
※個票は委託先にて保管し、監査等にて提示要求があった場合は、速やかに提示できるよう対応する ③定期的(月次)報告時変更実施ごとの個票を集計表に転記のうえ報告する。この集計表は「PMDA標準書式」を使用する。
※添付「変更作業一覧」を使用する。また「変更作業一覧記載要領」を参照し、対応すること。
※「単純な定常作業」に関しては、「変更作業一覧」の「変更申請」欄及び「完了確認」欄に関する内容を記入し、報告する。
4.5 構成管理(1) 目的システムの構成要素(構成情報)を正確に把握し、常に最新状態にあることを保証する事で、他の運用管理プロセス(障害管理や変更管理等)に対して必要な構成情報を提供できるようにする。
(2) 業務の概要構成管理では、ITサービス開始時より構成情報を一元管理し、他の運用管理プロセスから最新の構成情報を参照可能にする。
本管理プロセスの開始前に、立案した計画に沿って対象とするITサービスやITコンポーネントの範囲、詳細度のポリシーを策定し、開始時のベースラインを把握する。 次に、構成情報の収集と分類を行った上で構成情報を参照可能な状態に維持する。
本管理プロセスの開始後は、変更管理プロセスと連携し、構成情報が常に最新状態として維持されるようにコントロールを行う。 また、定期的に構成情報の点検を行うことにより、課題や問題点を洗い出し、評価・改善を行う。
(3) 管理対象構成管理が対象とする構成情報は以下の通りとする。
カテゴリー 管理対象の種類システム運用管理 各種管理プロセス定義書、手順書、依頼書、CI一覧システム運用・ハードウェア、ネットワーク・ハードウェアの一覧、構成図・ネットワーク・サービス (WAN、インターネット等)の一覧、構成図・システム運用各種手順書(障害対応手順書等)システム保守・システム・ソフトウェア、ミドルウェアの一覧、構成図・アプリケーション・ソフトウェア(ライブラリ、データ、環境設定情報)ハウジング環境設備 (空調設備、電源設備、配線室、配線、管理室)の一覧、構成図アプリケーション保守・設計ドキュメント、プログラムソース・アプリケーション保守用各種手順書(定型作業手順書等)(4) 業務の管理指標構成管理業務を評価するための評価指標として以下を定義する。
① 承認されていない構成の件数② 不正確な構成情報が原因で失敗した変更及び発生した障害の件数③ CI(管理対象の項目数)の正確さ率・構成アイテムの管理情報と実態(H/W、S/W、M/W、機器)との整合性の確認(5) 標準化○PMDAでは、「システム資産簿」を作成してシステムのインベントリ情報を一元管理している。各システムのインベントリ情報を各システムの実装状況を反映した最新状況に更新するとともに、「システム資産簿」を最新の状況に保つため、最新のインベントリ情報を「システム資産簿登録用シート」を使用して、PMDAへ報告する。
4.6 運行管理(1) 目的運行管理の目的は、開発部門より引き継いだ業務アプリケーション・システムを、あらかじめ定められた運行計画に基づき、定められた手順に従ってシステム運用を行うことにより、システム運用の品質の維持・向上を図ることにある。
(2) 業務の概要運用引継ぎから、システムのスケジュール計画、稼働監視、オペレーションなど一連の運行を管理する。 以下のサブプロセスから構成される。
① 運用引継ぎ② 運用スケジュールの計画・管理③ オペレーション実施④ 稼動監視と障害対応(一次対応)⑤ ジョブ実行管理⑥ 帳票管理⑦ 報告管理(3) 管理対象本番システム環境で稼動している全てのシステムの運行を管理対象とする。
(4) 業務の管理指標運行管理業務を評価するための評価指標として以下を定義する。
① 重要バッチ処理終了時間遵守率② 重要帳票の配布時間遵守率③ システムの運行業務に起因した障害の発生件数・プログラム・JCL等の本番移送のミス、ジョブのスケジュール誤り、操作ミス、監視項目の見落とし/発見遅延、等。
④ 非定型依頼業務の実施件数と正常終了率4.7 バックアップと回復管理(1) 目的障害発生時等において、速やかに正確な回復処置が行えるようにバックアップの取得・リストアの手順を明確にし、安定したサービスの提供を図る。
(2) 業務の概要アプリケーションオーナーとのサービスレベルまたは管理目標の合意に基づき、システムの回復要件(*)に見合ったバックアップ・リストア方針を定め、バックアップ対象の選定、手順の明確化を実施する。
日常運用においては、バックアップ取得、バックアップ媒体の保管を行う。
また、定期的に、バックアップ・リストア実績報告を行い、バックアップ・リストアにおける体制、役割、手順の見直しを図る。
(*)業務の優先度を勘案して有事の際に稼動させるシステムのサービスレベルを定めて、データのバックアップと復旧方法を決定する。
RLO (Recovery Level Objective):どの範囲、レベルで業務を継続するかRTO (Recovery Time Objective):いつまでにシステムを復旧するかRPO (Recovery Point Objective):どの時点にデータが戻るか (3) 管理対象本番システム環境で稼動している全てのシステムのバックアップとリストアを管理対象とする。
本要領の適用システムに関するOS、データベース、テーブル類、ユーザデータなどのバックアップ計画、バックアップ取得、バックアップ媒体の保管、リストア実施および定期的な実績報告の手続きを対象とする。
各情報システムを構成するサーバや通信回線装置等については、運用状態を復元するために必要な重要な設計書や設定情報等のバックアップについても適切な場所に保管する。
(4) バックアップデータの保管方法要保全情報(完全性2)又は要安定情報(可用性2)である電磁的記録若しくは重要な設計書は、バックアップを取得する。
① データベースやファイルサーバのバックアップは、インターネットに接点を有する情報システムに接続しないディスク装置、テープライブラリ装置等に保存する。
② 一般継続重要業務で使用するシステムについては、大規模災害やテロ等による設備・機器の破損を想定し、情報システムの復元に必要な電磁的記録についてはLTO等の可搬記憶媒体による遠隔地保管を行う。
③ バックアップの取得方法、頻度、世代等は各システムの方式設計、運用要件に応じて定める。
(5) 業務の管理指標バックアップと回復管理業務を評価するための評価指標として以下を定義する。
① 当月で計画された定期バックアップの内、バックアップに失敗した件数と理由。
② 当月実施されたリストア件数と内訳(障害対応、調査目的、帳票再作成・出力等)。
③ 当月実施されたリストアの内、リストアに失敗した件数と理由。
(6) 標準化○定期的なバックアップが取得されていることを報告する(月次)(書式任意)○PMDAでは、「リストアの机上訓練」を定期的に実施することを推奨している。
各情報システムにおいては、必要に応じて定期的な訓練実施を行い、結果報告を行う。
4.8 情報セキュリティ管理(1) 目的情報セキュリティ管理は、「情報セキュリティ対策の運用要件」に定める情報セキュリティ対策の運用要件に則り、情報システムのセキュリティを維持・管理し、情報資産を適切に保護することを目的とする。
(2) 業務の概要情報セキュリティ管理プロセスは、PMDAのリスク管理活動の一環として、ITサービス及びサービスマネジメント活動における全ての情報のセキュリティを、首尾一貫した方針に基づき効果的に管理する。
具体的には、「情報セキュリティ対策の運用要件」に則って、適切にセキュリティ管理策が導入され、維持されていることを確実にするために、情報セキュリティ管理計画の維持・管理を行う。合わせて、情報セキュリティ対策が適切に運用されているかを定期的に点検するとともに、コンプライアンス等の観点からのシステム監査の実施対応をおこなう。
(3) 管理対象ITサービス及びサービスマネジメント活動における全ての情報セキュリティの管理を対象とする。
(4) 業務の管理指標情報セキュリティ管理業務を評価するための評価指標として以下を定義する。
① 情報セキュリティ違反・事件・事故の発生件数とその内容② 発生した情報セキュリティ違反・事件・事故への対策の実施状況③ 情報セキュリティ監査(内部・外部)及び自己点検で検出された不適合の件数④ 前回の情報セキュリティ監査及び自己点検で検出された不適合の是正状況(5) 標準化①情報セキュリティ遵守状況の報告<次ページ参照> 情報セキュリティを遵守していることを定期的(月次)にて報告すること 合わせて委託先における自己点検を定期的(年2回程度)に実施し、点検結果を報告すること。
(点検内容は委託先の任意とするが、業務システムの運用保守業務に携わる要員等が自らの役割に応じて実施すべき対策事項を実際に実施しているか否かを確認するだけではなく、体制全体の情報セキュリティ水準を確認する内容とすること。)【補足説明】情報セキュリティ遵守状況の報告は、以下の内容を確認し、報告すること① 情報の目的外利用の禁止② 情報セキュリティ対策の実施および管理体制(プロジェクト計画書記載内容の遵守)※委託先において実施するセキュリティ研修や委託先の情報セキュリティポリシー遵守のため取組み内容を含む※責任者による情報セキュリティの履行状況の確認を含む③ 体制変更の場合の速やかな報告④ 体制に記載された者以外が委託業務にアクセスできない(していない)ことの確認※発生した場合は、すぐに検知でき、報告される⑤ 要員の所属・専門性(資格や研修実績)・実績および国籍に関する情報提供※変更があれば、その都度情報提供される。
⑥ 秘密保持契約(誓約書)の提出(要員全員が提出)※委託業務を離れた者の一定期間の機密遵守を含む※体制変更があった場合の追加提出も含む⑦ 情報セキュリティインシデントへの対処方法の明確化され、要員に周知されている⑧ 再委託がある場合は、上記内容を再委託先においても遵守していることが確認されている4.9 脆弱性管理(1) 目的サーバ装置、端末及び通信回線装置上で利用するソフトウェア(含むファームウェア)やアプリケーションに関連する脆弱性情報の収集とその影響評価に基づく適切な対策を実施するための標準的管理要件を定め、脆弱性によりもたらされる情報セキュリティの脅威について迅速かつ適切に対処することを目的とする。
(2) 業務の概要 脆弱性管理では、システム構成を把握したうえで、管理対象とするソフトウェアのバージョン等の確認から、脆弱性情報の収集、影響評価と対策の要否判定、脆弱性対策計画の策定、脆弱性対策の実施、結果の確認、対策の実施状況のモニタリングまでの一連のプロセスを管理する。
①管理対象ソフトウェアの把握 (管理すべきソフトウェアを特定)②管理対象ソフトウェアの脆弱性対策の状況確認②脆弱性情報の収集と識別(当該脆弱性が管理対象ソフトウェアに該当するかの確認)③影響・リスクの評価と対応要否の判断及び記録④脆弱性対策計画の策定と承認(変更管理手続きに拠る) ⑤脆弱性対策の検証 (検証環境での稼動確認) ⑥脆弱性対策の実施 ⑦脆弱性対策の記録・報告 ⑧脆弱性対策の実施状況のモニタリングと継続的改善(3) 管理の対象本番システム環境で稼動しているサーバ装置、端末及び通信回線装置上で利用するソフトウェアやアプリケーションに関する全ての脆弱性を管理対象とする。
(4) 業務の管理指標 脆弱性管理業務を評価するための評価指標として以下を定義する。
① 管理対象プロダクツ、バージョンに該当する脆弱性情報件数(通常/緊急)② 脆弱性対策の評価件数(対策要、対策不要)③ 対策計画の策定・実施状況(セキュリティパッチ適用、またはその代替策)/予定・実績・定期報告=脆弱性管理の実施報告 ・変更管理=システム変更作業報告(セキュリティパッチ適用状況報告を含む) ④ 実施可能な脆弱性対策を実施しなかったことによる情報セキュリティインシデントが1件も発生しないこと。
(5) 標準化脆弱性対策について、以下の管理を行う。 管理状況についてはPMDA標準様式を使用する。 ① 対象プロダクト・バージョンの把握 ・各情報システムにおいて管理対象とするプロダクトとバージョンを特定するとともに脆弱性情報の収集及びパッチの取得方法を(事前に)整備する。 ※「納品書添付用データフォーマット」のソフトウェア関連項目を元に、標準様式「脆弱性管理対象ソフトウェア一覧」と作成する。
② 脆弱性情報の収集及び対策の要否判断・管理対象のプロダクトに係る脆弱性情報の公開状況を定期的に収集する。
・収集した脆弱性情報をもとに影響・緊急度、対策の必要性、情報システムへ与える影響・リスクを考慮し、対策の要否を判断する。
③ 脆弱性対策計画の策定と実施 ・対策が必要と判断した場合は、セキュリティパッチの適用計画、または、その代替策(回避方法)の実施計画を策定する。
・対策が情報システムに与える影響について事前検証を行った上、実施する。 対策が情報システムの構成変更を伴う場合は、「4.4変更管理」に拠るものとする。
・対策計画の策定及び実施状況の管理 ④ 定期的(月次)報告時 ・各システムにおける管理対象とするプロダクト・バージョンについて、「脆弱性管理対象ソフトウェア一覧」を使用し報告する。
(内容に更新があった際は速やかに報告する)・脆弱性対策の要否及び対策の実施状況について、「脆弱性対策管理簿」を使用し、定時(月次)で報告する。
参考 脆弱性情報収集時の参考URL一覧 (「IPA 脆弱性対策の効果的な進め方(実践編)」より)種別 URL脆弱性関連情報データベース■国内・JVN (Japan Vulnerability Notes)https://jvn.jp/・脆弱性対策情報データベース JVN iPediahttps://jvndb.jvn.jp/■海外・NVD(National Vulnerability Database)https://nvd.nist.gov/・Vulnerability Notes Databasehttps://www.kb.cert.org/vuls/・Metasploit (攻撃情報あり)https://www.metasploit.com/・Exploit Database (攻撃情報あり)https://www.exploit-db.com/ニュースサイト ■国内・CNET ニュース:セキュリティhttps://japan.cnet.com/news/sec/・ITmedia エンタープライズ セキュリティhttp://www.itmedia.co.jp/enterprise/subtop/security/index.html・ITpro セキュリティhttps://tech.nikkeibp.co.jp/genre/security/■海外・ComputerWorld Security (米国中心)https://www.computerworld.com/category/security/・The Register Security (英国・欧州中心)https://www.theregister.co.uk/security/注意喚起サイト■国内・IPA:重要なセキュリティ情報一覧https://www.ipa.go.jp/security/announce/alert.html・JPCERT/CC 注意喚起https://www.jpcert.or.jp/at/2018.html・警察庁:警察庁セキュリティポータルサイトhttps://www.npa.go.jp/cyberpolice/■海外・米国:US-CERThttps://www.us-cert.gov/ncas・米国:ICS-CERThttps://ics-cert.us-cert.gov/■定例アップデート・マイクロソフト セキュリティ更新プログラム ガイドhttps://portal.msrc.microsoft.com/ja-jp/security-guidance・オラクル Critical Patch Update と Security Alertshttps://www.oracle.com/technetwork/jp/topics/security/alerts-082677-ja.html製品ベンダー■クライアント製品など・Apple セキュリティアップデートhttps://support.apple.com/ja-jp/HT201222・Adobe セキュリティ速報およびセキュリティ情報https://helpx.adobe.com/jp/security.html・Mozilla サポートの検索https://support.mozilla.org/ja/■サーバ、ネットワーク製品など・シスコ – セキュリティアドバイザリhttps://www.cisco.com/c/ja_jp/support/docs/csa/psirt-index.html・HP - サポートホームhttps://support.hp.com/jp-ja・日立 –セキュリティ情報https://www.hitachi.co.jp/hirt/security/index.html・富士通 - セキュリティ情報https://www.fujitsu.com/jp/support/security/https://www.fujitsu.com/jp/products/software/resources/condition/security/・NEC - NEC 製品セキュリティ情報https://jpn.nec.com/security-info/・IBM – IBM Supporthttps://www.ibm.com/support/home/?lnk=ushpv18hcwh1&lnk2=support・Red Hat – Red Hat Product Erratahttps://access.redhat.com/errata/#/■セキュリティ製品など・シマンテック –セキュリティアップデートhttps://www.symantec.com/ja/jp/security_response/securityupdates/list.jsp?fid=security_advisory■オープンソースなど・Apache Foundationhttps://httpd.apache.org/ (Apache HTTP サーバ)https://tomcat.apache.org/ (Apache Tomcat)https://struts.apache.org/ (Apache Struts)・ISC (Internet Systems Consortium)https://www.isc.org/downloads/bind/ (BIND)https://www.isc.org/downloads/dhcp/ (DHCP)・OpenSSLhttps://www.openssl.org/4.10 アクセス権管理 (1) 目的システムを利用するユーザ・アカウントを保護するため、及び、なりすましによる不正ログインの可能性を低減するために、ユーザ・アカウントを役割権限別に分類した上で管理方法を取決めてセキュリティレベルを維持する。
(2) 業務の概要システムを利用するサーバOS、ミドルウェア、アプリケーション・ソフトウェア、及びネットワーク機器のアカウントを対象にアクセス権の管理を行う。
(3) 管理対象本番システム環境での全てのアカウント(社外の取引先等に提供しているアカウントを含む)のアクセス権を管理対象とする。
本番環境 アクセス権管理の対象システム・ソフトウェア OSユーザIDミドルウェア DBMSユーザID、ジョブスケジューラ・ユーザID、他アプリケーション・ソフトウェア アプリケーション・ユーザIDネットワーク機器 各ネットワーク機器の管理者用ID(4) 業務の管理指標アクセス権管理業務を評価するための評価指標として以下を定義する。
① 期間内に発生したユーザID登録・変更・削除の件数② 特権(高権限)ユーザID別の貸出し件数と用途③ アカウントおよびアクセス権の定期棚卸しで、発見された不備項目④ 不適切/不正なアクセス権限の設定によって発生したインシデントの件数⑤ アクセス権限の再設定が必要となったインシデントの件数⑥ 間違ったアクセス権限の設定によって提供不能になったサービスの件数⑦ 間違ったアクセス権限の設定によって生じた不正アクセスの件数(5) 標準化特権(高権限)IDについて、以下の管理を行う。
①特権ID(システムID)台帳の作成 ※添付「特権ID管理台帳」を使用する。
※各情報システムの状況等によって、一部改修して使用しても構わない。ただし、項目の削除は認めない。
※監査等にて提示要求があった場合は、速やかに提示できるよう保管する ②特権ID(システムID)使用管理簿の作成(またはログ抽出) ※添付「特権 ID使用管理簿」を使用する。
※各情報システムの状況等によって、一部改修して使用しても構わない。ただし、項目の削除は認めない。
※ログイン・ログアウトのログ(または画面コピー)を必ず保管(または添付)し、監査等にて提示要求があった場合は、速やかに提示できるよう保管する ③定期(月次)報告 特権ID(システムID)台帳ならびに特権ID(システムID)使用状況を、定期(月次)報告する。
(ログまたは画面コピーは、月次報告不要) ④特権ID棚卸し 特権IDの棚卸しを定期的(年2回程度)に実施し、報告を行う。(報告書式任意) 棚卸し点検内容は以下の通り ○台帳は、本当に使用する者を登録しているか?(体制図と一致しているか?) ・体制から外れた者が削除されずに残っていないか? ・使用予定がない者が登録されていないか? ○台帳と使用管理簿の相関は一致しているか? ○使用管理簿とログ(または画面コピー)保管の相関は一致しているか?4.11 キャパシティ管理(1) 目的キャパシティ管理の目的は、ビジネスが必要とするときに、必要なキャパシティを適正なコストで提供することである。 すなわち、① ビジネスの需要に対する供給ビジネスの変化に合わせて、ITサービスの対応にもスピードが要求される。 キャパシティ管理は、現在から将来にわたるビジネス需要・要件に合わせて、ITインフラストラクチャーのキャパシティを最大限に活用できるようにすることを目的とする。
② キャパシティに対するコスト一方、必要以上のキャパシティを確保すると購入や運用のための費用が膨らみ、ビジネスの観点からコストを正当化できない。 キャパシティを最適化し、費用対効果が高いITサービスを提供することもキャパシティ管理の目的である(2) 業務の概要このプロセスは、次の3つのサブプロセスから構成される。
① ビジネスキャパシティ管理ITサービスに対する将来のビジネス需要・要件を収集・検討し、それによって、ITサービスのキャパシティを確実に実装させるための計画の立案、予算化、構築がタイムリーに実施されるようにする。
② サービスキャパシティ管理実際のサービスの利用と稼働のパターン、山と谷を理解して、運用中のITサービスのパフォーマンスを監視し、それによって、SLAの目標値を達成し、ITサービスを要求どおりに機能させる。
③ コンポーネントキャパシティ管理ITインフラストラクチャーの個々のコンポーネントのパフォーマンスとキャパシティ、使用状況を監視し、それによって、SLAの目標値を達成・維持するために、コンポーネントの利用を最適化する。
(3) 管理対象本要領の適用システムにおけるハードウェア、ソフトウェア、ネットワーク、アプリケーション、及び人的リソースを対象とする。
(4) 業務の管理指標キャパシティ管理業務を評価するための評価指標として以下を定義する。
① CPU、ディスク、メモリ、ネットワーク容量などの閾値に対する需要の割合② ITサービスのパフォーマンス不足に起因するSLA違反やインシデントの発生件数③ ITコンポーネントのパフォーマンス不足に起因するSLA違反やインシデントの発生件数④ 正規の購入計画に含まれていなかった、パフォーマンスの問題解決のために急きょ行った購入の数又は金額4.12 可用性管理(1) 目的可用性管理の目的は、ビジネス部門に対して、費用対効果が高いITサービスを持続して提供することであり、そのためにITインフラストラクチャーを整備し、それをサポートするITサービス部門の能力を最適化させる。
(2) 業務の概要可用性管理の活動は大きく、1)可用性要件の把握、2)可用性の設計、及び3)可用性の改善活動の3つに分けられる。
具体的には、以下の可用性管理の3要素の目標値を設定し、設定した可用性のレベルを達成・維持・向上させることである。
① 可用性可用性とは、ITサービスが必要なときに使用できる割合のことで、一般的には稼働率という指標を用いて表される。
稼働率(%)=(サービス提供時間-停止時間)÷サービス提供時間② 信頼性提供されるITサービスにおける、不具合の発生しにくさ/故障しずらさを表す。
平均故障間隔=(使用可能な時間-総停止時間)÷(サービス中断の回数-1)③ 保守性ITサービスが停止又は品質低下した際に、いかに早く復旧できるかを示す指標。
平均修理時間=修理時間の合計÷サービス中断の回数可用性について極めて重要なことは、ユーザの求めるシステムの可用性レベルをどのように達成するかについて、システム設計時に真剣に検討し、システム構築時に実現し、システムの運用において継続的に改善することである。
(3) 管理対象本基準の適用システムにおけるハードウェア、ソフトウェア、ネットワーク、及びアプリケーションを対象とする。
(4) 業務の管理指標可用性管理業務を評価するための評価指標として以下を定義する。
① 可用性の割合② 平均故障間隔③ 平均修理時間④ サービスの中断回数⑤ 定期的なリスク分析、及びレビューの完了の件数4.13 サービスレベル管理(1) 目的ユーザニーズを満足する適正なサービスレベルおよび管理指標を設定し、これを実績管理することにより質の高いサービスの提供を図る。
(2) 業務の概要サービスレベルおよび各個別管理業務での管理指標の実績データを定期的に把握し、サービスレベル指標と実績の差異や傾向を継続的に分析することにより、改善策を立案し実施する。
(3) 管理対象IT部門が提供する全てのITサービスに関するサービスレベルおよび各個別管理業務での管理指標を管理対象とする。
(4) 業務の管理指標サービスレベル管理業務を評価するための評価指標として以下を定義する。
①「サービスレベル合意書」の各サービスレベル項目の達成率②各個別管理業務での管理指標の達成率(5) 標準化サービスレベル管理業務を定期的(月次)に報告する。
①「サービスレベル合意書」の各サービスレベル項目の達成率②各個別管理業務での管理指標の達成率 以上別紙3 情報セキュリティ対策の運用要件 情報システムの運用・保守の業務遂行にあたっては、調達・構築時に決定した情報セキュリティ要件が適切に運用されるように、人的な運用体制を整備するとともに、機器等のパラメータが正しく設定されていることの定期的な確認、運用・保守に係る作業記録の管理等を確実に実施すること。
対策区分 対策方針 対策要件 運用要件 定期点検通信経路の分離(AT-1-1)不正の防止及び発生時の影響範囲を限定するため、外部との通信を行うサーバ装置及び通信回線装置のネットワークと、内部のサーバ装置、端末等のネットワークを通信回線上で分離すること。ネットワーク構成情報と実際の設定を照合し、所定の要件通りに設定されていることを定期的に確認すること。
セキュリティヘルスチェック(構成管理資料の原本と実際の設定状況を目視にて突合せチェックすることにより各種セキュリティ設定の不正変更の有無をチェックする)と合わせて実施し報告すること。
不正通信の遮断(AT-1-2)通信に不正プログラムが含まれていることを検知したときに、その通信をネットワークから遮断すること。
通信のなりすまし防止 (AT-1-3)通信回線を介した不正を防止するため、不正アクセス及び許可されていない通信プロトコルを通信回線上にて遮断する機能について、有効に機能していることを定期的に確認すること。
セキュリティヘルスチェック(構成管理資料の原本と実際の設定状況を目視にて突合せチェックすることにより各種セキュリティ設定の不正変更の有無をチェックする)と合わせて実施し報告すること。
通信回線対策(AT-1)サービス不能化の防止 (AT-1-4)サービス不能攻撃を受けているかを監視できるよう、稼動中か否かの状態把握や、システムの構成要素に対する負荷を定量的(CPU使用率、プロセス数、ディスクI/O量、ネットワークトラフィック量等)に把握すること。監視方法はシステムの特性に応じて適切な方法を選択すること。
不正プログラムの感染防止 (AT-2-1)不正プログラム対策ソフトウェア等に係るアプリケーション及び不正プログラム定義ファイル等について、これを常に最新の状態に維持すること。不正プログラム対策ソフトウェア等により定期的に全てのファイルに対して、不正プログラムの検査を実施すること。
侵害対策(AT:Attack)不正プログラム対策(AT-2)不正プログラム対策の管理 (AT-2-2)不正プログラム対策ソフトウェア等の定義ファイルの更新状況を把握し、不正プログラム対策ソフトウェア等が常に有効に機能するよう必要な対処を行うこと。
セキュリティホール対策(AT-3)運用時の脆弱性対策 (AT-3-2)情報システムを構成するソフトウェア及びハードウェアのバージョン等を把握して、製品ベンダや脆弱性情報提供サイト等を通じて脆弱性の有無及び対策の状況を定期的に確認すること。脆弱性情報を確認した場合は情報システムへの影響を考慮した上でセキュリティパッチの適用等必要な対策を実施すること。
対策が適用されるまでの間にセキュリティ侵害が懸念される場合には、当該情報システムの停止やネットワーク環境の見直し等情報セキュリティを確保するための運用面での対策を講ずること。
脆弱性対策の実施状況は、月次で報告すること。
ログの蓄積・管理(AU-1-1)情報システムにおいて、情報システムが正しく利用されていることの検証及び不正侵入、不正操作等がなされていないことの検証を行うために必要なログ(システムへのログオンや資源へのアクセスのロギング等)を取得すること。
ログが所定の要件通り、取得・蓄積されていることを確認すること。(年1回以上)ログの保護 (AU-1-2)取得・蓄積されたログが不正な改ざんや削除が行われないようログの格納ファイルのアクセス権を制限する等必要な対策を講じること。
取得・蓄積されたログが不正な改ざんや削除が行われていなことを確認すること。(年1回以上)ログ管理(AU-1)時刻の正確性確保(AU-1-3)システム内の機器の時刻同期の状況を確認すること。
不正監視・追跡(AU:Audit)不正監視(AU-2)侵入検知 (AU-2-1)不正行為に迅速に対処するため、通信回線を介して所属するPMDA外と送受信される通信内容を監視し、不正アクセスや不正侵入を検知した場合は通信の遮断等必要な対処を行うこと。
主体認証(AC-1)主体認証 (AC-1-1)主体認証情報(ID、パスワード)は不正に読み取りできないよう保護すること。
ライフサイクル管理 (AC-2-1)主体が用いるアカウント(識別コード、主体認証情報、権限等)は、主体の担当業務に必要な範囲において設定すること。
また、アカウント管理(登録、更新、停止、削除等)の作業内容は記録し、証跡を保管すること。
アカウント棚卸を定期的に実施し、不要なアカウントを削除すること。
アカウント棚卸を定期的(年1回以上)に実施すること。
アクセス権管理(AC-2-2)主体が用いるアカウント(識別コード、主体認証情報、権限等)は、主体の担当業務に必要な範囲において設定すること。また、アカウント管理(登録、更新、停止、削除等)の作業内容は記録し、証跡を保管すること。
権限の再検証を定期的に実施し、不要な権限を削除すること。
ユーザーIDの棚卸と合わせて実施すること。
アクセス・利用制限(AC:Access)アカウント管理(AC-2)管理者権限の保護(AC-2-3)システム特権を付与されたアカウント及び使用者を特定し、アカウントの使用状況を記録し、アカウントの不正使用がないことを定常的に確認管理状況を「特権ID台帳」及び「特権ID使用管理簿」により、月次で報告すること。
すること。
通信経路上の盗聴防止 (PR-1-1)通信回線に対する盗聴行為による情報の漏えいを防止するため、通信回線を暗号化する機能について、有効に機能していることを定期的に確認すること。
セキュリティヘルスチェック(各種セキュリティ設定の不正変更の有無、および不正操作の痕跡の有無の確認)と合わせて実施し報告すること。
保存情報の機密性確保 (PR-1-2)情報システムに蓄積された情報の窃取や漏えいを防止するため、情報へのアクセスを制限すること。構成情報と実際の設定を照合し、所定の要件通りに設定されていることを定期的に確認すること。
また、業務データへのアクセス権限の付与状況を点検し、不要なアクセス権限が付与されていないことを確認すること。
ユーザーIDの棚卸と合わせて実施すること。
業務データへのアクセス管理情報の格付の見直し及び再決定が行われた際や、当該情報システムに係る職員等の異動や職制変更等が生じた際には、情報に対するアクセス制御の設定や職務に応じて与えられている情報システム上の権限が適切に変更されていることを確認すること。
ユーザーIDの棚卸と合わせて実施すること。
データ保護(PR:Protect)機密性・完全性の確保(PR-1)受託者によるアクセス受託者は受託した業務以外の情報へアクセスしないこと。情報セキュリティ遵守状況は月次で報告すること。
情報の物理的保護(PH-1-1)受託者の管理区域において、受託者がPMDAより提供された情報を格納する機器は、情報の漏えいを防止するため、物理的な手段による情報窃取行為を防止・検知するための機能を備えること。
また受託者の管理区域内のバックアップテープ等の可搬記憶媒体についても、管理(受領、返却、廃棄、等)の内容を台帳に記録し、証跡を保管すること。
情報セキュリティ遵守状況は月次で報告すること。
可搬記憶媒体の棚卸と合わせて実施すること。
侵入の物理的対策(PH-1-2)受託者の管理区域において、受託者がPMDAより提供された情報を格納する機器は、物理的な手段によるセキュリティ侵害に対抗するため、外部からの侵入対策が講じられた場所に設置すること。
情報セキュリティ遵守状況は月次で報告すること。
物理対策(PH:Physical)情報窃取・侵入対策(PH-1)入退室管理の履行 PMDAが管理するサーバ室、事務室等の管理区域への入退出については、PMDA入退室管理規程を遵守すること。
PMDAの管理区域内での作業は、原則として、PMDA職員の立会いのもとで行うこと。
構成管理(DA-1)システムの構成管理 (DA-1-1)情報セキュリティインシデントの発生要因を減らすとともに、情報セキュリティインシデントの発生時には迅速に対処するため、情報システムの構成(ハードウェア、ソフトウェア及びサービス構成に関する詳細情報)が記載された文書を実際のシステム構成と合致するように維持・管理すること。
変更作業時の構成管理資料の更新については、「変更作業一覧」により、月次で報告すること。
障害対策(事業継続対応)(DA:Damage)可用性確保(DA-2)システムの可用性確保 (DA-2-1)情報のバックアップの取得システム及びデータの保全が確実に実施されるため、システム及びデータのバックアップが所定の要件通りに取得されていることを定期的に確認すること。
また、回復手順について机上訓練を実施し、バックアップや回復手順が適切に機能することを確認する。
バックアップの実施状況は、月次で報告すること。
バックアップによるリストア等回復手順については、机上訓練を年1回以上実施すること。
サプライチェーン・リスク対策(SC:SupplyChain)情報システムの構築等の外部委託における対策(SC-1)委託先において不正プログラム等が組み込まれることへの対策(SC-1-1)情報システムの運用保守において、PMDAが意図しない変更や機密情報の窃取等が行われないことを保証するため、構成管理・変更管理を適切に実施すること。
変更管理の状況は「変更作業一覧」により、月次で報告すること。
入札説明書令和3年度開示請求進捗管理・運用支援システムの運用支援業務令和3年2月独立行政法人医薬品医療機器総合機構独立行政法人医薬品医療機器総合機構(以下「機構」という。)が行う令和3年度開示請求進捗管理・運用支援システムの運用支援業務については、仕様書に定めるもののほか、この入札説明書によるものとする。1 契約担当者独立行政法人医薬品医療機器総合機構 契約担当役 柳樂 晃洋2 競争入札に関する事項(1)件名令和3年度開示請求進捗管理・運用支援システムの運用支援業務(詳細は入札説明書及び入札仕様書による。)(2)契約期間契約締結日から令和4年3月31日(保守期間は令和3年4月1日から令和4年3月31日)(3)納入場所独立行政法人医薬品医療機器総合機構 経営企画部(東京都千代田区霞が関3-3-2 新霞が関ビル)3 競争参加資格(1)予算決算及び会計令第70条及び第71条に規定される次の事項に該当する者は、競争に参加する資格を有しない。① 当該契約を締結する能力を有しない者(未成年、被保佐人又は被補助人であっても、契約締結のために必要な同意を得ている者を除く)及び破産者で復権を得ない者② 以下の各号のいずれかに該当し、かつその事実があった後2年を経過していない者(これを代理人、支配人その他の使用人として使用する者についても同じ。)ア.契約の履行に当たり故意に工事若しくは製造を粗雑にし、又は物件の品質若しくは数量に関して不正の行為をした者イ.公正な競争の執行を妨げた者又は公正な価格を害し若しくは不正の利益を得るために連合した者ウ.落札者が契約を結ぶこと又は契約者が契約を履行することを妨げた者エ.監督又は検査の実施に当たり職員の執務の執行を妨げた者オ.正当な理由がなくて契約を履行しなかった者カ.前各号のいずれかに該当する事実があった後2年を経過しない者を、契約の履行に当たり、代理人、支配人その他の使用人として使用した者(2)次の事項に該当する者は競争に参加させないことがある。① 資格審査申請書又は添付書類に虚偽の事実を記載した者② 経営の状況又は信用度が極度に悪化している者(3)全省庁統一資格の一般競争参加資格において、関東・甲信越地域で、「役務の提供等」で「A」、「B」、「C」又は「D」の等級に格付けされている者であること。なお、競争参加資格を有しない者は、速やかに資格審査申請を行い、資格を取得する必要がある。(4)競争参加資格確認のための書類審査を通過した者であること。(5)現行関連システムの設計書等を閲覧していること。(6)「6 質問の受付」①の期間内に、質問もしくは質疑内容の共有を希望する旨の連絡を、仕様書13の窓口連絡先宛までメールにて行うこと。4 競争参加資格確認のための書類(1)この一般競争に参加を希望する者は、下記の時間までに次の書類を自己の負担において調製のうえ契約担当者に提出し、その確認を受けるものとする。当該書類は契約担当者等において審査するものとし、採用しうると判断された者のみを競争参加の有資格者とする。当該書類を審査した結果、採用不可と判断した者については契約担当者等より連絡する。(採用しうると判断した者については連絡しない)なお、契約担当者等から当該書類について説明を求められた場合には、これに応じるものとする。① 行政関係機関から送付された競争参加資格審査通知書又は登録通知書の写し② 別紙様式1による証明書③ 仕様書“8.(1).入札参加要件”中、“ ① ~ ② ”に掲げる条件を満たすことを証明する書類(様式任意)(2)書類の提出期限及び場所① 期限 令和3年3月16日(火)12時00分 機構必着② 場所 〒100-0013 東京都千代田区霞が関3-3-2 新霞が関ビル19階独立行政法人医薬品医療機器総合機構財務管理部 契約課 契約第一係 TEL 03-3506-94285 入札説明会の日時及び場所本調達は、入札説明会の開催に替えて、質問等がある場合は随時受け付けることとする。(詳細については、「6 質問の受付」を参照。)6.質問の受付(1)本入札にかかる仕様書についての質問については、以下の通りとする。① 受付期間:令和3年2月19日から令和3年3月1日まで② 回 答 日:質問受付日から令和3年3月3日までのいずれかの日又は複数日③ 質問方法:仕様書13の窓口連絡先宛まで、メールにて行うこと。④ 回答方法:対象者全員にBccにてメールで実施予定。⑤ 回答対象:質問者及びその他希望者について行う。その他希望者については、上記①の期間内に上記③の連絡先に希望の旨をメールで連絡することとし、期間内に送付がなかった者への回答は行わない。⑥ そ の 他:上記事項に記載のない点については、機構の判断により実施する(2)本入札に関する仕様書以外の質問について下記19の連絡先まで電話で行うこと。質問受付期間は特に設けないが、すぐに回答できない場合があることに留意すること。なお、必要に応じて質問者以外に質問内容と回答を共有する場合がある。7 入札書の提出方法(1)入札書は、紙により提出するものとする。なお、入札者はその提出した入札書を引き換え、変更又は取り消しをすることはできない。(2)入札書の受領期限は令和3年3月16日(火)17時00分とする(必着)。(3)入札書の提出場所は以下のとおりとする。〒100-0013 東京都千代田区霞が関3-3-2 新霞が関ビル19階独立行政法人医薬品医療機器総合機構財務管理部 契約課 契約第一係 Tel.03-3506-9428(4)入札書の様式は、別紙様式2にて作成し、封筒に入れ封印し、かつその封皮に氏名 (法人の場合はその名称又は商号)、宛名(独立行政法人医薬品医療機器総合機構 契約担当役殿と記載)及び「○○月○○日開札[件名]の入札書在中」と朱書しなければならない。(5)落札決定に当たっては、入札書に記載された金額に当該金額の10パーセントに相当する額を加算した金額(円未満の端数切捨て)をもって落札価格とするので、入札者は、消費税等に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を記載した入札書を提出しなければならない。(6)入札書の日付は提出日を記入のこと。(7)電話、電信、電報による提出及び上記受領期限を過ぎた提出は認めない。(8)原則として入札書の提出は郵便によるものとし、上記(2)の受領期限内に当機構へ到達した入札書について有効な提出として認める。
なお、持参による入札も認めることとするが、持参する場合は、発熱、せき、倦怠感その他新型コロナウイルスの感染が疑われる症状がなく、かつ、14日以内に外国への渡航歴のない者(代表者、代理人問わず)がマスク着用の上で提出すること。なお、郵便による提出の場合の到達時刻については、記録の残る郵送方法の場合は機構に到着した時刻を追跡機能等により必要に応じて機構にて確認することとし、記録の残らない郵送方法の場合は到着時刻を提出者において証明できない場合は無効とする。8 開札の日時及び場所(1)日時 令和3年3月17日(水)14時00分(2)場所 東京都千代田区霞が関3-3-2独立行政法人医薬品医療機器総合機構 第2会議室(新霞が関ビル6階 西側)(3)開札の実施① 開札は、入札者又はその代理人1名を立ち会わせて行う。ただし、入札者又はその代理人が立ち会わない場合は、入札事務に関係のない職員を立ち会わせて行う。② 入札者又はその代理人は、開札時刻後においては、開札場所に入場することはできない。③ 入札者又はその代理人は、開札場所に入場しようとする時は、入札関係職員の求めに応じ、身分証又は入札権限に関する委任状を提示又は提出しなければならない。※1 開札への参加については任意とする。※2 開札へ参加する場合、発熱、せき、倦怠感その他新型コロナウイルスの感染が疑われる症状がなく、かつ、14日以内に外国への渡航歴のない者(代表者、代理人問わず)が参加すること。※3 上記2の症状の有無にかかわらず、必ずマスクを着用すること。※4 会場に入る前に手指を洗うか、消毒液で消毒すること。※5 会場では他者と距離をとるため席を指定する場合があり、特段の必要がない限り会場内で近距離での対面の会話をしないこと。9 入札の無効(1)本入札説明書に示した競争参加資格のない者、入札条件に違反した者又は入札者に求められる義務を履行しなかった者の提出した入札書は無効とする。(2)次の各号に該当する入札書は、無効とする。① 入札金額、入札件名、入札者の氏名(法人の場合は、その名称又は商号及び代表者氏名の記載)及び入札者の押印のない入札書。(代理人が入札する場合は、代理人の氏名を併せて記入し、押印すること。)② 入札金額の記載が明確でない入札書③ 入札金額の記載を訂正した入札書であって、その訂正について入札者の押印のないもの④ 入札者の氏名(法人の場合は、その名称又は商号及び代表者の氏名)及び代理人の氏名が明確でない入札書(3)その他その意思表示が民法上無効とされる入札① 公序良俗に反する入札② 心裡留保による入札③ 虚偽表示による入札④ 錯誤による入札10 入札の延期等入札者が相連合し、又は不穏の挙動をする等の場合であって、競争入札を公正に執行することができない状態にあると認められるときは、当該入札を延期し、又はこれを取り止めることがある。11 代理人による入札(1)代理人が入札する場合は、入札書に競争参加の氏名、名称又は商号、代理人であることの表示及び当該代理人の氏名を記入して押印(外国人の署名を含む。)をしておくとともに、入札書提出時に別紙様式3による委任状を提出すること。復代理人が入札する場合は代理人との委任関係を明らかにする書類も併せて提出すること。(2)委任状の日付は、提出日を記入すること。(3)入札者又はその代理人は、本件調達に係る入札について、他の入札者の代理人を兼ねることができない。12 落札者の決定方法(1)機構が作成した予定価格の制限の範囲内において最低価格をもって有効な入札を行った者を落札者とする。なお、最低入札額が、機構が作成した予定価格と比較し著しく低い場合は調査を行い、契約の内容に適合した履行がなされないおそれがあるときは、契約しない場合がある。更に予定価格の30%に満たない低価格の調査時には入札額の根拠となるより詳細な積算を求め、明らかなコスト割れと判断した際にも契約を締結しない場合がある。(2)落札となるべき同価格の入札をした者が2人以上あるときは、直ちに当該入札者にくじを引かせ落札者を決定する。この場合において、当該入札者のうちくじを引かない者があるときは、これに代わって入札事務に関係のない職員がくじを引き、落札者を決定する。(3)予定価格の制限に達した価格の入札がないときは、直ちに再度の入札を行う。なお、再度の入札の回数は最大3回とする。13 契約金額入札書に記載された金額の100分の110に相当する金額を契約金額とする。ただし、当該金額に1円未満の端数があるときは、その端数を切り捨てた金額を契約金額とする。14 入札保証金全額免除する。15 契約保証金全額免除する。16 支払条件別添契約書(案)参照17 契約書(1)落札者を決定したときは、遅滞なく別紙(案)により契約書を取り交わすものとする。(2)契約担当者が契約の相手方とともに契約書に記名押印しなければ、本契約は確定しないものとする。18 入札参加者の一般的心得(1)入札参加者は、入札公告、入札説明書、仕様書、契約書(案)等を熟覧のうえ、入札しなければならない。これについて疑義があるときは、関係職員の説明を求めることができる。入札後、これらの不明を理由として異議を申し立てることはできない。(2)入札者又はその代理人が当該本人であることを確認するため、身分証明書又は名刺等の提示又は提出を求めることができる。(3)入札指定時刻に遅刻した者は、入札場所に入場することはできない。ただし、特別な理由により指定時刻までに参集できない場合で、客観情勢の許される範囲内で定刻までに参集した他の入札参加者の了解を求め、入札開始時刻を若干遅延させることがある。(4)入札者又はその代理人は、契約担当者等の指示によるほかは入札場所から中途退場することができない。(5)初度入札で無効となった者又は再度入札において辞退した者は、その後の入札に参加できない。(6)初度入札に参加しなかった者は、再度入札に参加できない。(7)入札参加者は、その提出した入札書を引換え、変更又は取消しをすることができない。(8)落札決定後、落札者が契約担当者の指示に従わず、速やかに契約手続きに入らない場合は、落札の決定を取り消すことができる。この場合において、機構に損害を与えたときは、落札金額の100分の5に相当する金額を違約金として請求することができる。
19 本件に関する照会先〒100-0013 東京都千代田区霞が関3-3-2 新霞が関ビル19階独立行政法人医薬品医療機器総合機構財務管理部契約課 田中 雄平TEL 03-3506-9428FAX 03-3506-9417別紙様式1証明書当社は、次の事項には該当しません。1 当該契約を締結する能力を有しない者(未成年、被保佐人又は被補助人であっても、契約締結のために必要な同意を得ている者を除く)及び破産者で復権を得ない者2 次の各号の一に該当した事実があった後2年間を経過していない者(これを代理人、支配人その他の使用人として使用する者についても同じ。)(1) 契約の履行に当たり故意に工事若しくは製造を粗雑にし、又は物件の品質若しくは数量に関して不正の行為をした者(2) 公正な競争の執行を妨げた者又は公正な価格を害し若しくは不正の利益を得るために連合した者(3) 落札者が契約を結ぶこと又は契約者が契約を履行することを妨げた者(4) 監督又は検査の実施に当たり職員の執務の執行を妨げた者(5) 正当な理由がなくて契約を履行しなかった者(6) 前各号の一に該当する事実があった後2年を経過しない者を、契約の履行に当たり、代理人、支配人その他の使用人として使用した者3 経営の状況又は信用度が極度に悪化している者令和 年 月 日住 所会社名代表者 印独立行政法人医薬品医療機器総合機構契 約 担 当 役 殿別紙様式2入札書(第 回)1 件 名 令和3年度開示請求進捗管理・運用支援システムの運用支援業務2 金 額 金 円3 契約条件契約書、仕様書その他一切貴殿の指示のとおりとする。上記のとおり入札いたします。令和 年 月 日住所会社名代表者 印代理人氏名 印独立行政法人医薬品医療機器総合機構契 約 担 当 役 殿別紙様式3委任状私は を代理人と定め、下記の行為を行う権限を委任します。記1 委任する行為「令和3年度開示請求進捗管理・運用支援システムの運用支援業務」の入札に係る入札書の提出に関する一切の行為2 委任する期日令和 年 月 日 ~ 令和 年 月 日令和 年 月 日住所会社名代 表 者 印代理人住所所属(役職名)代理人氏名 印独立行政法人医薬品医療機器総合機構契 約 担 当 役 殿(参考様式)独立行政法人 医薬品医療機器総合機構 御中秘密保持等に関する誓約書貴機構から委託された令和3年度開示請求進捗管理・運用支援システムの運用支援業務(以下、「本件業務」という)を受託者である○○○○株式会社(以下「弊社」という。)が実施するにあたり、次の事項を遵守することを誓約いたします。記1. 弊社は、本件業務遂行のために必要な者(次頁に記載する者をいう。以下同じ。)以外は本件業務に従事させません。ただし、本件業務遂行期間中に追加、変更する場合、貴機構に届け出、了承を受けるものとします。2. 弊社は、媒体および手段を問わずに貴機構から開示もしくは提供された貴機構の秘密情報(以下「本件秘密情報」という。)を、本件業務遂行のために必要な者を除く第三者に対して開示いたしません。ただし、以下のものについては秘密情報に含みません。(1) 弊社が貴機構より開示を受けた時点で既に公知であったもの(2) 弊社が貴機構より開示を受けた時点で既に所有していたもの(3) 弊社が貴機構より開示を受けた後に弊社の責によらずに公知となったもの(4) 弊社が正当な権限を有する第三者から守秘義務を負わずに適法に入手したもの(5) 法令または裁判所の命令により開示を義務づけられたもの3. 弊社は、本件業務遂行のために必要な者がそれ以外の者に秘密情報を開示しないよう、厳正な措置を講じます。4. 弊社は、本件秘密情報を本件業務のみを目的として使用するものとし、他の目的には一切使用いたしません。5. 弊社は、貴機構の書面による事前の承諾なしに、本件業務遂行のため必要な最小限度の範囲を超えて本件秘密情報を複写または複製いたしません。6. 弊社は、貴機構から要請がある場合または本件業務終了後は直ちに本件秘密情報を貴機構に返還し、または秘密保持上問題のない方法により処分いたします。7. 弊社が本誓約書の内容に違反したことにより本件秘密情報が漏洩し、貴機構に損害が発生した場合には、貴機構に対しその損害を賠償いたします。なお、賠償額については、貴機構と弊社にて別途協議して定めるものとします。8. 本誓約書は、本件業務終了後も本件秘密情報が秘密性を失う日まで有効に存続する事を確認します。以上令和○○年○○月○○日東京都○○区○○町1-6-5○○○○株式会社 ○○○○事業部長 ○○ ○○ 社印○本件業務遂行のために必要な者本件業務遂行のために必要な者は以下の者である。記○○○○株式会社○○○○事業部 ○○ ○○○○○○事業部 △△ △△○○○○事業部 □□ □□