経済産業省基盤情報システムサービス 要求仕様書(案) ·...
TRANSCRIPT
経済産業省基盤情報システムサービス 要求仕様書(案)
令和 2 年 2 月
経済産業省
i
目次
1. 概要 ............................................................................................ 1
1.1. 調達件名 .................................................................................................. 1
1.2. 調達の背景及び目的 ................................................................................ 1
1.3. 用語の定義 .............................................................................................. 1
1.4. システムの内容 ....................................................................................... 1 1.4.1. 概要 ...................................................................................................................... 1 1.4.2. 利用形態 ............................................................................................................... 4 1.4.3. システム要件 ........................................................................................................ 5 1.4.4. 契約期間 ............................................................................................................... 5 1.4.5. 作業スケジュール(案) .......................................................................................... 5
2. 調達に関連する事項 ................................................................... 6
2.1. 本調達及び関連する調達案件 .................................................................. 6
2.2. 調達案件間の入札制限 ............................................................................. 6
2.3. 本調達の内容、範囲及び成果物 .............................................................. 6 2.3.1. 調達内容 ............................................................................................................... 6 2.3.2. 調達範囲 ............................................................................................................... 6 2.3.3. 次期基盤システムの提供範囲 .............................................................................. 8 2.3.4. 成果物 ................................................................................................................... 9 2.3.5. 入札制限、制約条件等 ........................................................................................ 11
3. 提供サービス内容 .................................................................... 13
3.1. サービス開始及び機器の設置等に関する前提条件 ................................ 13
3.2. プロジェクト全体に係る提供サービス内容 .......................................... 14
3.3. システム設計・構築・試験までの提供サービス内容 ............................ 16 3.3.1. 設計・構築実施計画書等の提供 ......................................................................... 16 3.3.2. 設計・構築実施要領の提供 ................................................................................ 17 3.3.3. 設計・構築に入る前の要件定義内容の調整・確定 ........................................... 19 3.3.4. 設計に関する提供事項 ....................................................................................... 19
ii
3.3.5. テストに関する提供事項 .................................................................................... 20 3.3.6. 移行に関する提供事項 ....................................................................................... 21 3.3.7. リハーサル実施支援 ........................................................................................... 23 3.3.8. 教育・訓練の実施 ............................................................................................... 23 3.3.9. 運用開始時の課題・リスク対応 ......................................................................... 23
3.4. システム運用・保守に係る提供サービス内容 ....................................... 23 3.4.1. システム運用に係る基本方針 ............................................................................ 23 3.4.2. システム保守に係る基本方針 ............................................................................ 23 3.4.3. システム運用の作業内容 .................................................................................... 24 3.4.4. システム保守の作業内容 .................................................................................... 24 3.4.5. システム運用・保守に係る成果物 ..................................................................... 25 3.4.6. SLA に関する提供事項 ....................................................................................... 26
3.5. システムの見直し及び廃止に係る提供サービス内容 ............................ 27 3.5.1. 次期基盤システムの見直し ................................................................................ 27 3.5.2. 次期基盤システムで提供する一部サービスの廃止 ........................................... 27
4. その他遵守事項 ........................................................................ 28
4.1. 作業体制・方法に関する遵守事項 ......................................................... 28 4.1.1. 受注者に求める能力 ........................................................................................... 28 4.1.2. 作業場所 ............................................................................................................. 29
4.2. 作業実施に当たっての遵守事項 ............................................................ 30
4.3. 機密保持 ................................................................................................ 30
4.4. 情報管理体制 ......................................................................................... 31 4.4.1. 情報管理体制 ...................................................................................................... 31 4.4.2. 業務従事者の経歴 ............................................................................................... 31 4.4.3. 履行完了後の情報の取扱い ................................................................................ 31
4.5. セキュリティに関する事項 ................................................................... 32 4.5.1. セキュリティに関する全般事項 ......................................................................... 32 4.5.2. セキュリティ監査、セキュリティ診断等に関する事項 .................................... 35
4.6. 入札参加資格に関する事項 ................................................................... 35
4.7. その他特記事項 ..................................................................................... 35 4.7.1. 政府・省庁規程及び各種ガイドラインへの準拠 ............................................... 35 4.7.2. 政府・省庁規程及び各種ガイドラインの動向への留意 .................................... 36 4.7.3. 技術的支援.......................................................................................................... 36
iii
4.7.4. 法律・規格への準拠 ........................................................................................... 37 4.7.5. 下請負 ................................................................................................................. 37 4.7.6. 閲覧資料 ............................................................................................................. 38
4.8. その他 .................................................................................................... 40
別紙一覧
別紙1.用語集 別紙2.要件定義書 別紙3.成果物一覧 別紙4.情報管理体制様式 別紙5.役割分担表 別紙6.次期基盤システムの運用範囲の考え方及び業務範囲イメージ 別紙7.SLA 項目一覧
iv
参考一覧
(参考1)次期基盤システムの基本構成 (参考2)端末別サービス利用対応表 (参考3)次期基盤システム設置場所一覧 (参考4)拠点別機器設置台数一覧 (参考5)他システム等接続機器一覧 (参考6)現行基盤情報システムリソース (参考7)回線トラフィック使用量一覧 (参考8)想定印刷枚数一覧 (参考9)貸出機器一覧 (参考10)使用端末ごとのエンタープライズモビリティ管理(EMM)の機能と要件 (参考11)ナレッジシェア機能一覧 (参考12)各種申請受付内容 (参考13)Web サーバアクセスログデータ量 (参考14)イントラアプリケーション一覧 (参考15)外部公開用アプリケーション一覧 (参考16)現行ソフトウェア一覧 (参考17)現行 CMS テンプレート一覧 (参考18)経済産業省外字一覧 (参考19)インシデント分類及び内容 (参考20)次期基盤システムの運用管理に係る業務範囲
1
1. 概要 1
1.1. 調達件名 2
経済産業省基盤情報システムサービスの調達 3
1.2. 調達の背景及び目的 4
経済産業省(以下「当省」という。)では、業務の効率化、高度化を進めるために経済5 産業省基盤情報システムを導入し、運用しており、当該システムは当省の行政事務遂行に6 おいて必要不可欠なものとなっている。現在運用中の基盤システムは、平成 30 年 2 月に7 導入したもので、令和 4 年 2 月にシステム更改を実施する。 8 また、世界最先端デジタル国家創造宣言・官民データ活用推進基本計画の変更について9
(令和元年 6 月 14 日閣議決定)に基づき、政府としては、コスト削減、柔軟なリソース10 配分等を図るため、システム更改を契機として、取扱う情報の特性、セキュリティ水準等11 を踏まえつつ、クラウド・バイ・デフォルト原則、すなわち、クラウドサービスの利用を12 第一候補として、情報システムを導入することとされており、当省においても当該取組に13 関する事業を推進する必要がある。 14 これらの背景を踏まえ、令和 4 年 2 月に導入される次期の経済産業省基盤情報システ15
ム(以下「次期基盤システム」という。)では、現行システム(以下「現行基盤システム」16 という。)を更に発展させ、”いつでも・どこでも・誰とでも” 業務ができる環境を提供す17 ることで一層の業務効率化を推進するとともに、クラウドサービスの最大活用及びデジ18 タル化とクラウド化に対応したセキュリティ対策も進め、柔軟かつ堅牢な基盤システム19 の実現を目指す。 20
1.3. 用語の定義 21
経済産業省基盤情報システムサービス 要求仕様書及び要件定義書(別紙、参考資料を22 含む。)(以下「本仕様書」という。)で使用する主要な用語を「別紙 1.用語集」に示す。 23
1.4. システムの内容 24
1.4.1. 概要 25
次期基盤システムは、職員が行政事務を行う上で利用する利用者認証サービス、各種26 コミュニケーションサービス、ファイル共有サービス等の各種サービスを提供する業27 務システム、経済産業省本省(資源エネルギー庁、中小企業庁を含む)(以下「本省」28 という。)を含め各拠点に敷設されている経済産業省 LAN、拠点間を接続する経済産業29 省 WAN で構成され、約 12,300 台のクライアント PC(以下「セキュア PC」という。)30 から利用される。 31
2
また、事業継続性確保の観点から、業務データのバックアップ及びシステムの冗長化32 を行うことで、高い安全性と可用性を有したシステムとなっている。 33
(ア) 方針 34
次期基盤システムでは、「1.2. 調達の背景及び目的」に沿って、業務効率の向上、35 コストの削減、セキュリティ対策の向上を推進するため、現状の課題を踏まえて検討36 した結果、以下 3 点を次期基盤システムにおける実現方針とする。 37
(1) ”いつでも・どこでも・誰とでも”効率的な業務ができる環境 38 (2) クラウドサービスの最大活用 39 (3) デジタル化とクラウド化に対応したセキュリティ対策 40
(1) ”いつでも・どこでも・誰とでも”効率的な業務ができる環境 41
職員が業務で利用するセキュア PC を始めとした各サービスの利便性、快適性を42 より向上するとともに、それらのサービスの活用を通じた更なるリモートアクセ43 スやペーパーレス化、チーム型のコミュニケーションの推進等により、時間や場所44 にとらわれることなく、柔軟に業務が可能となる環境を整備し、職員の働き方改革45 を目指す。 46
① ”早くて軽い”快適な PC 環境の提供 47
職員が行政事務を行うために支給するセキュア PC として、可搬性に優れた軽48 量の PC 端末を選定する。選定された当該端末に次期基盤システムで必要となる49 セキュリティ対策を施した上で、省内外での業務を可能とする。 50 セキュア PC を利用する際には、生体認証による利用者認証を行い、かつ、確51
実な情報漏えい対策を施すことで従前のセキュリティレベルを維持し、メール52 利用時の起動・応答時間の改善やネットワーク未接続の状態での業務を可能と53 する。 54
② デジタルワークスタイルを推進するコラボレーション環境 55
在席確認、共有スケジュール等の機能とともに、従来のメールの他、チャット56 やビデオ会議等のチーム型のコミュニケーションツールを活用することにより、57 外出時や自宅などでもストレスなく業務を行うことのできる仕組みを提供し、58 資料の共有や共同編集による省内外での共同作業を可能とする環境を実現する。 59 また、職員が目的の情報資産を容易に探し出し利活用できるよう、一元的管理60
及び文書の内容を含む全文検索機能等を用いて、情報資産の安全かつ効果的な61 共有の仕組みを実現する。 62
3
(2) クラウドサービスの最大活用 63
「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(2018 年64 6 月 7 日各府省情報化統括責任者(CIO)連絡会議決定)に基づき、コスト削減や65 柔軟なリソースの増減等の観点から、サービス・業務ごとに、本仕様書で求める、66 機能要件、サービスレベル、情報セキュリティ水準等の条件を満たす場合には、ク67 ラウドサービスでの提供も可能とする。 68
① アップデートを前提としたシステム設計 69
ソフトウェアのアップデート、セキュリティ対策が適時に、確実に実施される70 こと等によって、利便性や安全性を向上するとともに運用・保守コストの削減が71 図られるようシステム設計を行う。 72
② リソースとコストの最適化 73
サービス提供に必要なリソースの柔軟な配分が容易に実施されることによっ74 て、業務の内容、実施方法等の変化や多様化に適応しつつ、コスト面での最適化75 を行う。 76
③ システム構築範囲の最小化 77
サービス提供に必要な、ハードウェア、ソフトウェア、機能等について、導入、78 構築等に時間を要する範囲を縮小することによって、導入、構築等にかかる期間79 の短縮化や災害時等におけるシステム運用継続性の向上を図る。 80
(3) デジタル化とクラウド化に対応したセキュリティ対策 81
「政府機関等の情報セキュリティ対策のための統一基準群(平成 30 年度版)」82 (平成 30 年 7 月 25 日サイバーセキュリティ戦略本部)等を踏まえ、将来像を見83 据えたサイバーセキュリティ対策やクラウド利用に関わるリスクへの対策等を推84 進する。 85
① 最新のサイバー脅威への対策強化 86
未知の不正プログラム対策を、感染の未然防止、プログラムが動作する内部へ87 進化させるとともに、ソフトウェア等の脆弱性の効率的な把握を可能とするな88 ど最新のサイバーセキュリティ対策の実現に必要な機能を導入する。 89
② 適切なセキュリティとデジタルワークスタイルの両立 90
各サービスやセキュリティ対策において、最新の技術・方式の採用や実装の最91 適化により、セキュリティ水準の維持・向上と利便性・効率性の向上を両立した92
4
システムを実現する。 93
③ クラウド利用に備えた対策 94
各サービスや他システムでのクラウドサービス利用に対応し、次期基盤シス95 テムとクラウドサービス間の安全な接続等、クラウドサービス利用に関するセ96 キュリティ対策を実施する。 97
(イ) システムの基本構成 98
a. 次期基盤システムの基本構成は「(参考 1)次期基盤システムの基本構成」99 を参考とすること。 100
b. サーバ、ストレージ及びネットワーク等のハードウェア機器は、仮想化が101 適さないものを除き、仮想化技術を用いることで集約を図る。 102
c. ハードウェアリソース(CPU、メモリ、ディスク容量、ネットワーク回線103 等)及びシステムリソース等(利用量等)を可視化し容易に再配分するこ104 とに加えて、一元的に管理することでリソース配分の最適化、システム運105 用業務の負荷減少、増築等に伴う設定変更の簡素化を図る。 106
d. 障害時における業務継続性を向上させるため、物理障害のポイントを削減107 し、各サービスの特性を踏まえた冗長化構成、バックアップ体制を講じる。 108
e. ハードウェアリソース逼迫時、障害時、被災時における各サービスの業務109 継続性の向上のために、Service Level Agreement(以下「SLA」という。)110 を踏まえた、論理構成及び物理構成を実装する。 111
f. 昨今及び将来のサイバー攻撃に対応すべく、より強固なセキュリティ対策112 として、ゼロデイ脆弱性や既知及び未知の脅威に対しても常に最速、かつ、113 確実な検知・遮断、対応等を実現するために、最新の技術を適用した振る114 舞い検知、ログ分析、監視等を導入し、侵入防止はもとより、侵入後にお115 ける適切な対策によるセキュアな環境を提供する。 116
g. 職員は、次期基盤システムを利用するに当たり利便性とセキュリティ性に117 優れたセキュア PC を省内外で利用する。セキュア PC は、EMM118 (Enterprise Mobility Management)の導入による制御や TPM(Trusted 119 Platform Module)による改ざん防止及び内蔵ディスク暗号化を実装する。 120
h. 障害や災害時等のオフライン時においてもセキュアな環境で最低限の業121 務を遂行することを可能とする。 122
1.4.2. 利用形態 123
次期基盤システムの利用形態の概要は「(参考 2)端末別サービス利用対応表」のと124 おりである。 125
5
1.4.3. システム要件 126
各サービスの機能及びシステム要件については「別紙 2.要件定義書」を参照のこと。 127
1.4.4. 契約期間 128
契約締結日から令和 8 年 1 月 31 日までとする(うちサービス提供期間(有償期間)129 は令和 4 年 2 月 1 日から令和 8 年 1 月 31 日までとする。)。 130
1.4.5. 作業スケジュール(案) 131
次期基盤システムの稼働は、作業スケジュールに沿って遅延なくサービスを提供す132 ること。以下に「図 1.4.5.1 作業スケジュール(案)」を例示する。以下を参考に、受注133 者が提案するスケジュールを当省情報システム厚生課等担当職員(以下「担当職員」と134 いう。)に示して了承を得ること。 135
136
図 1.4.5.1 作業スケジュール(案) 137
138
~12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3次期システム
運用管理
工程管理
移行支援(現行システムからのデータ抽出)
対象システム
工程令和2年度 令和3年度 令和4年度
以降設計・構築・移行・運用・保守 調達手続等
調達手続等
調達手続等
設計
環境構築・テスト
受入テスト
移行設計 移行・展開
教育・研修
設計支援 移行設計支援 移行支援
工程管理
運用管理
本件の調達範囲
引継調達手続等
準備期間
保守
並行運用
並行運用
システム運用
6
2. 調達に関連する事項 139
2.1. 本調達及び関連する調達案件 140
本調達及び関連する調達案件の調達単位、実施時期は次の表のとおりである。 141
表 2.1.1 関連調達案件 142
№ 調達案件名 契約予定日 1 本調達 契約予定日:令和 3 年 4 月頃 2 経済産業省基盤情報システム構築に係
る移行支援(仮) 契約予定日:令和 3 年 4 月頃
3 経済産業省基盤情報システム構築に係
る工程管理支援(仮) 契約予定日:令和 3 年 4 月頃
4 経済産業省基盤情報システムサービス 運用管理業務(仮)
契約予定日:令和 3 年 10 月頃
2.2. 調達案件間の入札制限 143
本調達と「経済産業省基盤情報システム構築に係る工程管理支援」は、相互に入札制限144 の対象とする。 145
2.3. 本調達の内容、範囲及び成果物 146
2.3.1. 調達内容 147
本調達においては、以下のサービスを提供する。 148
(ア) 提供サービス 149
(1) システム及びネットワークに関する提供サービス 150
「別紙 2.要件定義書」に記載するシステム及びネットワーク 151
(2) 作業等に関する提供サービス 152
次期基盤システムのライフサイクルに係る作業等提供一式(次期基盤システム153 の設計、構築、導入、システム運用、保守、物品の納入、現行基盤システムからの154 移行に関する作業等) 155
2.3.2. 調達範囲 156
各サービスの提供、構築作業、次期基盤システムへの各種移行作業、運用管理(シス157 テム運用)、保守、導入支援、教育並びに他システムへの接続支援までを範囲とし、契158
7
約終了後の設置機器の回収・撤去は別途契約するものとする。 159 また、運用管理のうちシステム運用にかかる業務を除いた業務については別調達(以160
下、「運用管理業務」という)を行う。 161
162
図 2.3.2.1 調達範囲概要 163
(ア) 経済産業省基盤情報システムの現行事業者との責任分界点 164
次期基盤システムへの移行は受注者が責任を持って管理すること。移行計画にお165 いては、当省及び現行基盤システム側で行うべき作業も含めて検討した上で計画書166 を作成し、現行事業者と協力して対応すること。移行計画作成に必要な現行基盤シス167 テムの情報は、当省から提供する。 168 なお、計画書に沿って実施する現行基盤システムのデータ抽出及び設定変更作業169
については、別途現行事業者と契約する業務(経済産業省基盤情報システム構築に係170 る移行支援(仮))の中で実施する予定である。ただし、移行に必要な機器の準備や171 接続は、受注者が実施すること。 172 また、移行作業は現行基盤システムの運用中の作業となるため、受注者は現行基盤173
システムの停止や性能劣化等を発生させないための対策を講ずること。 174
(イ) 運用管理業務事業者との責任分界点 175
「別紙 5.役割分担表」において定める役割分担に従う。 176
経済産業省 次期基盤システム(契約期間中)
次期基盤システム調達
各サービスの提供
構築作業
次期基盤システムへの各種移行作業
システム運用
保守
導入支援
教育
他システムへの接続支援
運用管理業務調達
運用管理
機器回収・撤去調達
契約終了後の設置機器の回収・撤去
拠点移転調達拠点の移転
※中部経済産業局仮庁舎、特許庁六本木仮庁舎の移転を含む
工程管理調達
次期基盤システムに係る工程管理
一部業務の分離(市場化テスト)
工程管理対象
移行支援調達
データ抽出移行支援
8
(ウ) その各種個別システムとの責任分界点 177
(1) 政府共通ネットワークとの接続に係る責任分界点 178
受注者は、総務省が用意する専用のルーティング機器に接続すること。接続に当179 たり受注者は事前に接続する情報及びスケジュールの提示を受けること。 180
(2) 別途設置する監視用機器との接続に係る責任分界点 181
別途、当省が設置する監視用機器に接続するため、指定する複数の機器に対しミ182 ラーポートを設定すること。また、ミラーポートを設定した機器と監視装置を接続183 するための配線を用意すること。また、監視装置を収容するラックスペース及び電184 源を用意すること。 185
なお、詳細な設置要件、接続箇所、スケジュール等に関しては担当職員と調整の186 上、決定すること。また、年 1 回以上実施予定の当該機器のメンテナンス、その他187 運用中に発生する変更等がある場合には、立会いを含めた支援等を行うこと。 188
(3) その他のシステムとの接続に係る責任分界点 189
他システムとのサーバ機器や PC、プリンタ等との接続は受注者の責任で実施す190 ること。現時点での接続予定機器は「別紙 2.要件定義書」にて示すが、移行時点で191 新規に追加されている機器の情報提供を当省から受けた上で、全機器を次期基盤192 システムに接続すること。 193
他システム自体の動作確認は本調達の範囲外であるが、ネットワーク接続に必194 要な情報の提供及び立会い、また接続できなかった場合の技術的支援を行うこと。 195 また、接続するプリンタのドライバは当省より提供するため、次期基盤システム196
で使用するセキュア PC への導入は受注者が行うこと。 197 なお、運用期間中において、他システム側の更改等により再接続等(各システム198
1 回程度を想定)が発生した場合、次期基盤システム側で必要となる作業を行うこ199 と。 200
2.3.3. 次期基盤システムの提供範囲 201
a. 本省、特許庁、各地方経済産業局(以下「地方局」という。)、北陸支局、202 内閣府沖縄総合事務局経済産業部、経済産業研修所(以下「中規模拠点」203 という。)、各産業保安監督部及びこれらの付属機関(以下「小規模拠点」204 という。)である。設置場所については「(参考 3)次期基盤システム設置205 場所一覧」を参照すること。 206
b. 地方局のうち、中部経済産業局については、令和 3 年度の第 4 四半期に207 仮庁舎に移転する予定である。受注者は移転先となる仮庁舎に次期基盤シ208 ステムを導入すること。なお、仮庁舎は 2 拠点となる可能性があるが、仮209
9
庁舎への具体的な移転時期及び拠点数については、令和 2 年 2 月時点で210 未定であり、今後、変動があることに留意すること。 211
c. 特許庁については、次期基盤システム運用期間中に庁舎改修工事が完了し、212 六本木仮庁舎は令和 5 年 6 月に撤去するため、基本的に全職員及び移転213 可能な設備は本庁舎に移転する予定である。また、令和 5 年 4 月から 5214 月にかけて段階的に移転を開始する予定である。移転に係る役務・費用に215 ついては、別途契約を予定しているため、受注者は滞りなく移転が完了す216 るよう必要な支援を実施すること。支援内容としては、移転前のケーブル217 抜線や移転後のケーブル結線や動作確認等を想定している。 218
d. 上記 e.の移転に伴い、六本木仮庁舎における次期基盤システムの利用期219 間は令和 4 年 2 月から令和 5 年 5 月までとする。 220
e. 契約期間内に発生するその他の拠点の増減・移転に係る役務・費用につい221 ても別途契約を予定しているため、受注者は同様に滞りなく移転が完了す222 るよう必要な支援を実施すること。 223
2.3.4. 成果物 224
(ア) 成果物及び納入 225
a. 受注者は落札後速やかに担当職員と協議の上、の提出日程を確定し、提出226 すること。「別紙 3.成果物一覧」に示す成果物の提出日程を確定し、提出227 すること。 228
b. 成果物の提出については、当省の承認を経た内容を電子媒体で当省が指示229 する場所に納入することとし 、記載内容に変更があった場合には、修正230 し、提出すること。 231
c. 運用管理業務に関連する成果物については、運用管理調達の受注者と協議232 し、より実態に即したものとなるよう、記載内容を変更し、運用管理に必233 要な準備を支援すること。 234
d. 次期基盤システムに導入(サービス提供後の追加、変更を含む。)する機235 器等については予め当省に「機器等リスト」(様式は別途当省から提示す236 る。)を提出し、当省がサプライチェーン・リスクに係る懸念が払拭され237 ないと判断した場合には、代替品選定やリスク低減対策等、当省と迅速か238 つ密接に連携し導入する機器等の見直しを図ること。 239
(イ) 成果物の修正等 240
a. 成果物に修正等がある場合、更新履歴と修正ページを示した上で修正後の241 全編を速やかに提出すること。 242
b. 運用管理業務に関連する成果物については、担当職員及び運用管理調達の243
10
受注者と協議の上、必要に応じて記載内容を変更し、速やかに提出するこ244 と。 245
c. 別途契約において指示がある場合にはその指示に従うこと。 246
(ウ) 検収 247
a. 当省において、担当職員が受注者立会いの上、試験運用を実施後、次期基248 盤システムに係る検収を実施する。 249 なお、検収実施に際しては、担当職員の負荷を極力抑えかつ可能な限り実250 運用を想定した負荷試験を行う等、必要十分な範囲の検証ができる方法を251 提案すること。 252
b. 前述「2.3.4(ア) 成果物及び納入」に則って、納入成果物を提出すること。253 その際、当省の指示により、別途品質保証が確認できる資料を作成し、納254 入成果物と併せて提出すること。 255
c. 検収の結果、納入成果物の全部又は一部に不合格品が生じた場合には、受256 注者は直ちに引き取り、必要な修正を行った後、指定した日時までに修正257 が反映された全ての納入成果物を納入すること。 258
d. 前述「2.3.4(ア) 成果物及び納入」以外にも、必要に応じて納入成果物の259 提出を求める場合があるため、作成資料は常に管理し、最新状態に保って260 おくこと。 261
(エ) 責任の所在 262
a. 検収後、契約期間終了までの間、次期基盤システムを正常に使用した状態263 で不具合が発見され、提供されるサービスが正常稼働しなかった場合には、264 受注者の責任と負担において、迅速に修理、修復、又は、交換等を行い、265 サービスの正常稼働を担保すること。また、当省は、上記対応を実施して266 もなお生じる損害に対する賠償の請求を行うことができるものとする。 267
b. 納入した物品やサービス等の稼働・保守については、物品の製造者やサー268 ビス提供者の如何に関わらず、受注者が最終責任を負うこととし、自社製269 品・サービス以外の場合もこれを受注者と製造者・提供者間の契約等によ270 り担保すること。 271 なお、製造者・提供者からのサポートが確実に受けられる体制を構築する272 こと。 273
c. 次期基盤システムに関する技術的問題点、機器のバグ、パッチ及びバージ274 ョンアップ等に関する情報を速やかに提供すること。また、パッチ、バー275 ジョンアップ等の適用を実施する場合は、スケジュールを提示して当省の276 承認を受けた上で、実施すること。なお、必要に応じて、事前検証等を実277
11
施すること。 278
(オ) 著作権等 279
a. 本調達に当たり作成・変更・更新されるドキュメント類及びプログラムの280 著作権(著作権法第 21 条から第 28 条に定める全ての権利を含む。)は、281 受注者が本調達のシステム構築の従前より権利を保有していた等の明確282 な理由により、予め提案書にて権利譲渡不可能と示されたもの以外、当省283 が所有する等現有資産を移行等して発生した権利を含めて、全て当省に帰284 属するものとする。ただし、契約後であっても、当省は協議に応じる。 285
b. 本調達に当たり発生した権利については、受注者は著作者人格権を行使し286 ないものとする。 287
c. 本調達に当たり発生した権利については、今後、二次的著作物が作成され288 た場合等であっても、受注者は原著作物の著作権者としての権利を行使し289 ないものとする。 290
d. 本調達に当たり作成・変更・修正されるドキュメント類及びプログラム等291 に第三者が権利を有する著作物が含まれる場合、受注者は当該著作物の使292 用に必要な費用負担や使用許諾契約に係る一切の手続きを行うこと。この293 場合は、事前に当省へ報告し、承認を得ること。 294
e. 本調達に当たり第三者が有する知的所有権を利用する場合は、受注者の責295 任において解決すること。 296
2.3.5. 入札制限、制約条件等 297
(ア) 本調達の調達仕様書の作成・評価支援に直接関与した事業者等に関する入札制限 298
本調達の仕様書の作成及び評価支援に直接関与した事業者及び当該事業者と緊密299 な利害関係を有する事業者(当該業務について業務請負契約を締結した事業者等)は、300 本調達の入札に参加することができない。 301 また、当該入札制限を受ける事業者の親会社、子会社及び同一の親会社を持つ事業302
者も同様とする。 303
(イ) CIO 補佐官及び支援スタッフ等の属する事業者等に対する入札制限 304
CIO 補佐官及びその支援スタッフ等(常時勤務を要しない官職を占める職員、「一305 般職の任期付職員の採用及び給与の特例に関する法律」(平成 12 年 11 月 27 日法律306 第 125 号)に規定する任期付職員及び「国と民間企業との間の人事交流に関する法307 律」(平成 11 年 12 月 22 日法律第 224 号)に基づき交流採用された職員を除く。)に308 よる調達計画書及び本仕様書の妥当性確認並びに入札事業者の審査に関する業務309 (以下「妥当性確認等」という)について、透明性及び公平性を確保するため、CIO310
12
補佐官等が現に属する又は過去 2 年間に属していた事業者及びその関連事業者につ311 いては、CIO 補佐官等が妥当性確認等を行う調達案件(当該 CIO 補佐官等が過去に312 行ったものを含む)に入札に参加することができない。 313 また、CIO 補佐官等がその職を辞職した後に所属する事業者の所属部門(辞職後314
の期間が 2 年に満たない場合に限る)についても、当該 CIO 補佐官等が妥当性確認315 等を行った調達案件の入札に参加することができない。 316
317
13
3. 提供サービス内容 318
本章ではサービス開始時における前提条件やプロジェクト全体に関わる内容、システ319 ム設計・構築・試験、システム運用・保守等におけるサービス提供内容を示す。 320 なお、サービス個々の要件に関する内容は「別紙 2.要件定義書」を参照すること。 321
3.1. サービス開始及び機器の設置等に関する前提条件 322
a. 受注者は契約締結後 10 営業日以内に、作業体制とともに、作業内容及び323 スケジュール等について記載したプロジェクト計画書を作成し、当省に提324 出し、承認を得ること。詳細は、「3.2. プロジェクト全体に係る提供サー325 ビス内容」に基づき実施すること。 326
b. プロジェクト計画書においては、プロジェクト管理を行うために、進捗管327 理方法・課題管理方法について記載すること。 328
c. 作業体制には、作業責任者、個人情報取扱責任者及び作業担当者の氏名及329 び所属、担当作業、指揮命令系統、情報セキュリティ対策に係る管理・連330 絡体制並びに連絡先を記載すること。また、「別紙 4.情報管理体制様式」331 に従い、情報取扱者名簿及び情報管理体制図を提出すること。また、以下332 の内容を含む情報セキュリティ対策を実施すること。 333
(i) 受注者に提供する情報の受注者における目的外利用の禁止 334 (ii) 受注者における情報セキュリティ対策の実施内容及び管理体制 335
(iii) 事業の実施に当たり、受注者又はその従業員、下請負先、若しくはその336 他の者による意図せざる変更が加えられないための管理体制 337
(iv) 受注者の資本関係・役員等の情報、事業の実施場所、事業従事者の所属・338 専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に339 関する情報提供 340
(v) 情報セキュリティインシデントへの対処方法 341 (vi) 情報セキュリティ対策その他の契約の履行状況の確認方法 342
(vii) 情報セキュリティ対策の履行が不十分な場合の対処方法 343 d. 受注者は、次期基盤システムのサービス提供に当たって、全機能提供開始344
後の運用を十分考慮し、保守、サポートを含むサービス提供に係る一切の345 作業を行うこと。 346
e. 受注者は、現地調査等を行う場合、現行基盤システムの運用に支障を来さ347 ないようにすること。 348
f. 現行基盤システムに支障を来した場合、受注者の負担で復旧作業等を行う349 こと。 350
g. 受注者は、次期基盤システムに係る全てのサービス提供において、事前に351
14
担当職員と協議の上、当省が不要と考える機能の洗い出しを行い、根拠を352 明確にした上で提案すること。 353
h. 本仕様書で要求する全機能を、全機能提供開始日から利用できること。 354 なお、一部機能が利用できない場合は、代替機能を受注者の負担で提供す355 ること。 356
i. 本仕様書において供用機器については、「(参考 4)拠点別機器設置台数一357 覧」で指定する場所に設置すること。また、新たな拠点の追加及び拠点の358 削減による設置機器の移動についても対応できること。 359 なお、設置機器の移動に係る費用は、本調達に含まない。 360
j. 機器の設置等のため、当省執務室に立ち入る場合は、原則として、平日の361 8:30~18:15 以外とすること。その際、事前に作業スケジュールを示した362 上で担当職員の許可を得ること。 363
k. 受注者は、作成担当以外の第三者(品質管理者の設置)によって、網羅性、364 正確性、全体との整合性などの品質を高めるため、レビューを実施するこ365 と。 366
l. 受注者は、発注者が工程管理事業者に対して、プロジェクト計画書、設計367 書、課題管理表、議事録など、ドキュメントとの整合性が取れているか、368 システム要件に係る観点でのレビューを指示するため、当該レビューにお369 いて指摘された内容に対し、必要な対応を行うこと。 370
m. 本プロジェクトにおける関係者間の役割分担概要については、「別紙 5.役371 割分担表」を参照すること。 372
n. 機器の設置等に当たり、受注者は、法令等に定められた手続きが必要な場373 合、官公庁等に対し手続きを行うこと。また、手続き完了後に担当職員へ374 報告すること。 375
o. 機器及び必要資材の搬入等を行う場合、おおよそ 1 週間前までに詳細な376 施工方法、施工範囲、作業員名、スケジュール及び使用車両について、予377 め定めた書面をもって作業申請を行い、担当職員の承認を得ること。また、378 当省が行うべき作業がある場合には、これを明示すること。 379
p. 機器の設置等により、受注者の責に帰する事由による造営物及び道路の損380 傷、土地踏み荒らし等、当省及び第三者に与えた損害に対する費用等は、381 全て受注者の負担とする。 382
q. その他必要事項については、適宜担当職員と協議の上、決定すること。 383
3.2. プロジェクト全体に係る提供サービス内容 384
a. 受注者は、「デジタル・ガバメント推進標準ガイドライン」(平成 31 年 2385 月 25 日各府省情報化統括責任者(CIO)連絡会議決定)(以下「標準ガイ386
15
ドライン」という。)に基づき、プロジェクト管理の国際標準である387 PMBOK(Project Management Body of Knowledge)の体系に準じ、WBS388 (Work Breakdown Structure)をベースとした EVM(Earned Value 389 Management)を用いて、次期基盤システムの全機能が提供されるまでの390 間、効率的なプロジェクト管理を行うこと。 391 なお、標準ガイドラインは、調達時における最新版を参照すること。 392
b. 受注者は、本仕様書に記載する全ての項目について、適切に管理するため393 にプロジェクト管理責任者を定めること。 394
c. 担当職員、運用管理事業者及び工程管理支援業者から指導・助言等を受け395 た際には、速やかに対応すること。 396
d. プロジェクト管理責任者は、担当職員の指示のもと、適切なプロジェクト397 管理に努めること。 398
e. プロジェクト管理責任者は、担当職員の指示に従い、プロジェクト計画書、399 プロジェクト管理要領、ガントチャート(後工程に対して大きく影響する400 作業については必要に応じて WBS ディクショナリを含む。)、EVM 進捗401 状況表、課題管理表、リスク管理表といったプロジェクト管理に必要とさ402 れる資料を作成し、提出すること。 403
f. WBS にはタスクごとに受注者側の主担当名称を記載すること。 404 g. WBS には発注者側のタスクを明示して記載すること。また、タスク期間405
は発注者が要する期間を考慮したスケジュールとすること。 406 h. プロジェクトに係る体制、発注者側の制約等を考慮した上で現実的な407
WBS とスケジュールを示すこと。 408 i. プロジェクトのステークホルダを整理して、プロジェクト計画書に定義す409
ること。 410 j. プロジェクト管理責任者は、常に作業実績を把握し、計画との差異分析を411
行うこと。なお、WBS 等の変更が必要な場合には、予め担当職員の了承412 を得ること。 413
k. EVM による工程管理において、SPI(Schedule Performance Index)が414 0.8 を下回った場合は、必要な改善策を提示し、担当職員の了承を得るこ415 と。 なお、担当職員の了承が得られない場合は、担当職員の指示に従い、416 再度改善策を提示すること。 417
l. プロジェクト管理を適切に行うため、上記による改善策を実施後 1 週間418 経過しても、プロジェクトの進捗状況が好転しない場合、当省から受注者419 に対して、プロジェクト管理責任者、要員の交代を求めることができる。420 その場合、受注者は、代替要員を 2 週間以内に選任し、担当職員の了承を421 得ること。 422
16
m. プロジェクト管理責任者は、リスク管理として、プロジェクトの遂行に影423 響を与えるリスクを識別し、その発生要因、発生確率、根本原因、影響度424 を分析し、リスク対応策を予め定めること。 425
n. プロジェクト管理責任者は、リスクが顕在化した場合には、事前に定めら426 れたリスク対応策に従って、問題解決のために必要な措置を取ること。 427
o. プロジェクト管理責任者は、毎週又は 2 週間ごとに担当職員に対し、当該428 プロジェクトの進捗報告会を開催し、その際に必要な資料を提出すること。 429 なお、報告会では、実施作業の進捗状況及び予定、並びに課題状況を文書430 によって説明することとし、その都度担当職員の了承を得ること。また、431 担当職員から資料の修正を求められた場合、速やかに対応すること。 432
p. 報告会において重点的に検討する事項がある場合は、検討用資料を作成す433 ること。 434
q. 進捗に遅れが生じた場合は速やかに担当職員に報告し、是正措置を講じる435 こと。是正措置を講じても進捗の遅れが改善されず、両者で協議を行った436 結果、納期までの完了が達せられないと当省が判断した場合は、本契約の437 解除事項とすることができるものとする。 438
r. 打合せ等の議事録は、打合せ後、翌 3 営業日以内に受注者にて作成・提示439 して、担当職員の承認を得ることとし、その他に当省との確認事項のやり440 取りについても、受注者にて文書に記録し、担当職員の確認を得ること。 441
s. プロジェクト計画書を変更する場合は、担当職員に提出し了承を得ること。 442 t. 受注者は、担当職員が常時契約履行に関する調査を行える体制とすること。 443 u. 作業手順の事前確認や複数の担当者による作業連携等、効率的かつ円滑な444
作業体制を確保すること。 445 v. 標準ガイドラインで定められた「政府情報システム管理データベース446
(ODB)」への情報登録のため、担当職員の指示に基づき、登録用シート447 の記入を行うこと。 なお、「ODB 登録情報一覧」については、適合証明448 書提出前に担当職員より提示を受け、閲覧可能とする。 449
w. 標準ガイドライン及びその実務手引書で定められたレビューポイントに450 おいて、自己点検を実施し、その結果を担当職員に報告すること。 451
3.3. システム設計・構築・試験までの提供サービス内容 452
3.3.1. 設計・構築実施計画書等の提供 453
システム設計・構築実施計画書には、標準ガイドライン、本仕様書に基づき、以下に454 掲げる事項について記載すること。また、附属文書として、作業項目、作業内容、スケ455 ジュールをより詳細に階層化し、担当者等を記載した WBS を作成すること。 456
17
(ア) 作業概要 457
設計・構築の対象範囲、作業概要等について記載すること。 458
(イ) 作業体制に関する事項 459
PJMO 及び受注者のみならず、設計・構築に携わる関係機関、情報システムの利460 用者、関係事業者、府省 CIO 補佐官等、設計・構築に関連する全ての関係者につい461 て、その体制、関係者間の関係性、役割分担・責務等について記載すること。 462
(ウ) スケジュールに関する事項 463
a. プロジェクト計画書及び本仕様書に基づき、作業内容、スケジュール、マ464 イルストーン等について記載すること。 465
b. 決められた構築期間内で構築を完了させるため、段階的なシステム構築等、466 構築期間短縮及び負荷軽減を目的とした対策を講じること。 467
c. 中部経済産業局の庁舎移転が次期基盤システムの設計・構築時期と重なる468 可能性があるため、受注者は機器等の設置や敷設にかかる工事の実施スケ469 ジュールを担当職員と調整すること。 470
d. 特許庁本庁舎の改修工事が次期基盤システムの設計・構築時期と重なる可471 能性があるため、受注者は特許庁担当者と構築スケジュールを調整するこ472 と。 473
(エ) 成果物に関する事項 474
設計・構築によって納品される成果物、品質基準、担当者、納入期限、納入方法、475 納入部数等について記載すること。 476
(オ) その他 477
上記に掲げる事項の他、設計・構築の実施における前提条件、手法、時間の条件等478 について記載すること。 479
3.3.2. 設計・構築実施要領の提供 480
(ア) 設計・構築実施要領の作成 481
設計・構築実施要領には、プロジェクト管理要領と整合性を確保しつつ、標準ガイ482 ドラインに基づき、少なくとも次に掲げる事項について記載すること。 483
(1) コミュニケーション管理 484
受注者、関係事業者等との合意形成に関する手続き、連絡調整に関する方法、受485 注者が参加すべき会議・開催頻度・議事録等の管理等について記載すること。 486
18
特に、PJMO と受注者との仕様における認識の相違が生じないよう、PJMO が487 議事録の正確性を確認し、修正する手順も併せて盛り込むこと。 488
(2) 体制管理 489
受注者における作業体制の管理手法等について記載すること。 490
(3) 工程管理 491
設計・構築の作業、その工程の管理手法等について記載すること。 492
(4) 品質管理 493
成果物の品質を確保するため、品質基準、品質管理方法等について記載すること。 494
(5) リスク管理 495
設計・構築における作業を阻害する可能性のあるリスクを適切に管理するため、496 リスク認識の手法、リスクの管理手法、顕在時の対応手順等について記載すること。 497
(6) 課題管理 498
設計・構築において解決すべき問題について、発生時の対応手順、管理手法等に499 ついて記載すること。 500
(7) システム構成管理 501
設計・構築における情報システムの構成(ハードウェア、ソフトウェア製品、ア502 プリケーションプログラム、ネットワーク、外部サービス、施設・区域、公開ドメ503 イン等)の管理手法等について記載すること。 504
(8) 変更管理 505
設計・構築の進捗により発生する変更内容について、管理対象、変更手順、管理506 手法等について記載すること。 507
(9) 情報セキュリティ対策 508
設計・構築における情報漏えい対策等について記載すること。 509
(10) 構築時のセキュリティ対策 510
次期基盤システム構築に当たり、セキュリティ要件を「セキュリティ共通設計書」511 として定め、提出すること。 512 なお、現行基盤システムの「セキュリティ共通基本設計書」を当省にて閲覧する513
ことができる。 514
19
納品時には、全てのサービス(サービスを提供するためのハードウェア、ソフト515 ウェア、ネットワーク等を含む。)について脆弱性検査を行い、問題が発見された516 場合は、是正した上で納品すること。 517
(イ) 設計・構築実施計画書等の調整・確定 518
設計・構築実施計画書等の作成に当たっては、調達手続き開始後の事情の変化、受519 注者の提案による具体化・詳細化の反映を確実に行うこと。 520
3.3.3. 設計・構築に入る前の要件定義内容の調整・確定 521
a. 受注者は、要件定義の内容を用いて業務や情報システムの目指すべき姿を522 共有するために、要件定義の内容の調整を当省と行い確定すること。 523
b. 「3.3.1(ウ) スケジュールに関する事項」で調整した結果、各庁舎の設計・524 構築スケジュールが遅延する場合においても、各庁舎各フロアの初回の機525 器設置、工事については、本調達の範囲で実施すること。 526
3.3.4. 設計に関する提供事項 527
(ア) 要件定義の内容との整合性確認 528
受注者は、設計の検討内容を当省に報告し、要件定義の内容を確実に反映すること。 529
(イ) 関係機関、情報システムの利用者等との調整 530
受注者は、プロジェクトが円滑に実施されるよう、必要に応じて、担当職員ととも531 に、情報システムの利用者、関係機関、関係事業者等と調整を行い、それぞれと設計532 内容について合意すること。 533
(ウ) 品質の評価 534
受注者は、品質基準の達成状況の評価を随時実施し、担当職員の求めに応じて報告535 すること。 536
(エ) 移行計画書の案の作成 537
受注者は、本番環境へのシステム移行及びデータ移行に備えて、移行の方法、環境、538 ツール、段取り等を記載した移行計画書の案の作成を行うこと。 539
(オ) 年間保守スケジュールの案の作成 540
受注者は、情報システムの次期更改までの間に計画的に発生する作業内容、その想541 定される時期等を取りまとめた年間保守スケジュールの案を作成すること。 542
20
(カ) サービス実施計画書の案の作成 543
受注者は、定常時における月次の作業内容、その想定スケジュール等を取りまとめ544 たサービス実施計画書の案を作成すること。その際、保守と瑕疵担保責任の範囲内で545 実施する作業の分担を明確にするよう留意すること。 546
(キ) 運用体制等 547
受注者は、定常時及び障害発生時において想定される運用体制、実施手順等を取り548 まとめること。 549 なお、政府共通プラットフォーム等府省共通システムが提供するサービスを利用550
する場合には、サービス提供者、運用事業者及び保守事業者の間で必要な作業が行わ551 れるよう作業分担、実施手順等を明確にするよう留意すること。 552
3.3.5. テストに関する提供事項 553
(ア) テスト計画書の作成 554
a. 受注者は、担当職員と協議の上、標準ガイドラインに基づき、単体テスト、555 結合テスト、総合テスト及び受入テストについて、テスト体制、テスト環556 境、作業内容、作業スケジュール、テストシナリオ、合否判定基準等を記557 載したテスト計画書を作成すること。 558
b. 複数の事業者に関係する、次期基盤システムの全体に係るようなテスト559 (結合テスト及び総合テスト等)は、関連する事業者と協働し、実施する560 こと。 561
c. 個別システム等の接続時の各種テストは、個別システム所管部課及び個別562 システム事業者等と協働し、実施すること。 563
(イ) 単体テスト 564
a. 機器の初期不良の検出及び機器単体レベルでの設計内容の妥当性を確認565 すること。 566
b. ハードウェア、ソフトウェアの起動・停止等の基本設定を確認すること。 567 c. テストの結果については、「単体テスト結果報告書」に取りまとめ、報告568
すること。 569
(ウ) 結合テスト・総合テスト 570
a. 本調達範囲内における機器相互間の稼働が適切であることを確認する結571 合テストを実施すること。 572 結合テストには、要求する性能を満たすかを確認する性能試験も含めるこ573 と。 574
21
b. 「デジタル・ガバメント推進標準ガイドライン実践ガイドブック(第3編575 第7章 設計・開発)Step.4 設計・開発・テストの管理」を参考に業務576 観点からのシナリオに基づいて機能テストを実施すること。なお、機能テ577 スト時の除外項目について、単体テストや結合テスト実施時のテスト内容578 及び結果に基づき、当省の承認を得ること。」 579
(エ) 受入テスト 580
a. 当省が行う検収について、運用を想定したシナリオを考慮すること。 581 b. 当省が実施する受入テスト実施時には、当省の指示等に基づき、主体的に582
協力を行うこと。また、受入テストに必要となるデータ等を適宜提供する583 とともに、当省からの問合せ対応等を行うこと。 584
c. 受入テストにおいて発覚した不具合等については、速やかに原因の切り分585 けを行うとともに、速やかに対処すること。 586
d. 当省が作成するテスト結果報告書の作成に必要となる情報提供等を行う587 こと。 588
(オ) テスト手順・データの再利用対策 589
a. 受注者は、将来の保守や更改時におけるテスト工程の合理化に資するため、590 テストシナリオ、スクリプト、テストデータ等を保存し、保守後等の動作591 確認等において、それらを一部改変して再利用できるようにすること。 592
b. 各テストで用いるテストデータは原則として、疑似データを作成すること。593 なお、本番データを利用する必要がある場合には、次の点に留意してテス594 トを行うこと。 595
(i) 作業者、作業場所及び作業に用いる装置の制限 596 (ii) 暗号化等の対応 597
(iii) データの持ち出し、コピー等の禁止 598 (iv) 本番データを利用する際の承認手続き 599 (v) 使用後の消去手続きと確認方法等 600
3.3.6. 移行に関する提供事項 601
(ア) 移行計画書の作成 602
a. 受注者は、担当職員と協議の上、標準ガイドラインに基づき、移行対象範603 囲、移行データの抽出、移行データのクレンジング、移行順序、移行方法604 (データ移行方式、システム移行方式)、リハーサル、移行判定基準、切605 り戻し方針、移行スケジュール、移行体制、役割分担等を記載した移行計606 画書を作成すること。 607
22
b. 「移行データの抽出」は、現行環境への影響を考慮した作業時間や実施方608 法を含めること。 609
c. 「移行データのクレンジング」は、データの重複排除、データ記載形式、610 データ品質等の全体方針を含めること。 611
d. 「移行順序」は、移行リスクや移行方式などを踏まえたサービス移行順序612 を含めること。 613
e. 「データ移行方式」は、移行対象となるサービスに適合した方式(段階的614 移行方式、一括移行方式、同期方式等)を採用すること。 615
f. 「システム移行方式」は、移行対象となるサービスに適合した方式(ワン616 ポイント切り替え、単純切り替え、現行及び次期基盤システムの統合-切617 り離し切り替え等)を採用すること。 618
g. 「リハーサル」は、移行データ及び移行手順の検証、移行時間の測定等、619 本番移行を想定した内容を含めること。 620
h. 「切り戻し方針」は、切り戻しを実施する場合の条件と手順を含めること。 621
(イ) 移行判定 622
受注者は、当省による受入テストにおいて、導入試験計画書で設定した品質基準を623 全て満たしたと認められた場合、移行計画書の内容も適正であると確認した場合、の624 全てを満たした場合、本番移行を開始すること。 625
(ウ) データ移行等 626
受注者は、データを次期基盤システムに移行する場合には、次期基盤システムのデ627 ータ構造の明示、データの変換、移行手順書、利用者操作マニュアル及びシステム管628 理者用マニュアルを作成し、当省の承認を受けること。また、当該手順書に従い、デ629 ータを変換・移行した後は、移行後のデータの確認を行い、データの信頼性の確保を630 図ること。 631
(エ) クラウド移行時 632
a. 受注者は、クラウドサービス事業者が提供する移行サービス等を用いて、633 移行作業を実施すること。 634
b. クラウドへ移行する際は現行基盤システムへ影響を与えることなく実施635 すること。 636
c. クラウドへ移行する際は閉域網利用、暗号化対策、マルウェア対策等の機637 密漏えい防止を目的としたセキュリティ対策を実施すること。また、「別638 紙 2.要件定義書 1.3.3. 基本事項」に記載の事項についても留意すること。 639
23
(オ) その他 640
a. 停止による業務影響が大きなシステムは、現行及び次期基盤システムの並641 行稼働期間を設けることを必須とし、切り戻しを可能とすること。 642
b. 移行が失敗した場合に備え、綿密な切り戻し手順及びスケジュールを準備643 し、担当者の承認を得ること。 644
c. 関係するシステムについては可能な限り移行タイミングを分割し、移行失645 敗に伴う切り戻しや業務影響を最小限に抑えるようスケジュールを作成646 すること。 647
d. リハーサルは可能な限り本番と同等のツール、データ、手順を実施し、本648 番環境との差分を少なくすること。 649
e. 移行作業に係るリスクの軽減及び職員負担の軽減を可能とする具体的な650 施策があれば提案すること。 651
3.3.7. リハーサル実施支援 652
受注者は、業務の運営開始に先立ち、原則として、業務のリハーサルを行うこと。こ653 の場合において、業務の運営に支障を来す不具合等を発見したときは、業務の実施手順654 を見直す等により、当該不具合等を回避すること。 655
3.3.8. 教育・訓練の実施 656
教育・訓練の実施については「別紙 2.要件定義書 3.3.2.(オ) 教育支援」を参照のこ657 と。 658
3.3.9. 運用開始時の課題・リスク対応 659
受注者は、業務の運営開始時に発生する課題に対応するため、予めリスクを分析し、660 リスク顕在時の対応案を準備すること。 661
3.4. システム運用・保守に係る提供サービス内容 662
3.4.1. システム運用に係る基本方針 663
システム運用に係る基本方針については「別紙 2.要件定義書 3.3.1. 基本要件」を参664 照のこと。 665
3.4.2. システム保守に係る基本方針 666
a. 受注者は、SLA で定める各サービスの稼働率及び障害復旧時間等を保証667 するため、保守業務を実施すること。 668
b. 運用支援に関するサービスのサービスサポート、サービスデリバリを支援669 すること。 670
24
c. 受注者は、導入したハードウェア・ソフトウェアについて、第三者製品で671 あっても責任を持って保守を行うこと。 672
d. 応札者は、第三者製品又はオープンソースソフトウェアの導入を提案する673 場合、保守情報の入手先、入手頻度、入手形態(メール、ウェブ、紙媒体674 等)を明示するとともに、当該製品等の保守サービスを提供した実績等を675 示し、その保守能力があることを証明すること。 676
e. 受注者は、導入したハードウェア・ソフトウェアの販売が終了した場合、677 遅延することなく、当省に当該製品等の報告を行うとともに、その後の保678 守可能期間についても報告すること。 679
f. 受注者は、導入するハードウェア・ソフトウェアの運用・保守に必要とな680 るドキュメント、メディア等を常に利用可能な状態で保管・管理すること。 681
g. 受注者は、当省の求めに応じて、技術的なサポートを行うこと。 682 h. 技術サポートの提供に当たっては、迅速な対応を可能とする体制とすると683
ともに、調整の必要な製造元等との連絡が取れる体制を確保すること。 な684 お、窓口は 1 か所とすること。 685
i. 受注者は、次期基盤システムの安定稼働及び運用管理事業者の安定運用ま686 での間、当省に駐在の上、技術的なサポート、立会いを行うこと。 687
j. 受注者は、導入したハードウェア・ソフトウェアについて、移設や他シス688 テム機器との接続、更に別途ソフトウェアを追加インストールする等の要689 件が生じた場合、当省に協力すること。 690
k. 受注者は、各機器の設置場所について、設置図面等にて常に把握しておく691 こと。 692
l. 受注者は、異動等によって担当職員が変更となる場合、遅延することなく、693 ハードウェア等機器の状況、利用技術等を説明すること。 694
3.4.3. システム運用の作業内容 695
システム運用の作業内容については「別紙 2.要件定義書 3.3. 運用支援に関するサー696 ビス」を参照のこと。また、運用作業における運用管理事業者とのかかわり方について697 は「別紙 6.次期基盤システムの運用範囲の考え方及び業務範囲イメージ」を参照する698 こと。 699
3.4.4. システム保守の作業内容 700
システム保守の作業内容については「別紙 2.要件定義書 3.4. 保守に関するサービス」701 を参照のこと。 702
25
3.4.5. システム運用・保守に係る成果物 703
(ア) サービス実施計画書の案の作成 704
受注者は、担当職員と協議の上、標準ガイドラインに基づき、運用支援に関するサ705 ービスにおける月次の作業内容、その想定スケジュール等を取りまとめた、中長期運706 用・保守作業計画(案)を含む、サービス実施計画書(案)を作成すること。 707 なお、当該計画案については、定常時及び障害発生時において想定される運用体制、708
実施手順等を含めるものとする。また、計画を策定する際は、保守と瑕疵担保責任の709 範囲内で実施する作業の分担を明確にするよう留意すること。 710
(イ) システム運用マニュアル及び操作解説書案の提供 711
受注者は、担当職員と協議の上、標準ガイドラインに基づき、本サービスが提供す712 る業務手順を明確にし、システム運用マニュアル及び操作解説書の作成を行うこと。 713 また、職員及び運用管理事業者と調整の上、必要に応じて質疑応答やマニュアルの714
改訂などを行うこと。 715
(ウ) 作業報告書の作成 716
受注者は、「作業報告書」として提出する作業報告の対象範囲を明確にすること。 717
(エ) 月次定期報告書の作成 718
受注者は、本システムにおけるシステム運用、保守内容を月次で「月次定期報告書」719 の「運用報告」として提出し、報告すること。 720
(オ) 保守計画書の作成 721
受注者は、保守業務の作業概要、作業体制、スケジュール、成果物、保守形態・保722 守環境等を明確にした「保守計画書」として提出すること。 723
(カ) マニュアル等の改定 724
受注者は、「システム運用マニュアル及び操作解説書」の他、「別紙 3.成果物一覧」725 において、作成主担当者となっている運用・保守に必要となるマニュアル等について、726 その内容を更新する必要が生じた場合、必要に応じて運用管理事業者と連携し、紙媒727 体・電子媒体全てに対する改訂版を提供すること。また、改訂を行った際には、その728 履歴を管理すること。 729
26
3.4.6. SLA に関する提供事項 730
(ア) SLA を評価する上での前提条件 731
a. サービス提供開始時点から 3 か月間は調整期間とし、4 か月目から SLA732 の遵守の対象とする。また、達成及び未達成の評価は、月単位で行う。 733
b. 受注者は、各サービスの監視、測定等を行い、後述する「3.4.6(イ) SLA 項734 目」に記載されているサービスレベルの達成状況を逐次確認、把握するこ735 と。 なお、監視、測定方法については、担当職員と協議の上、決定する736 こと。 737
c. 受注者は、月単位でサービスレベル目標値を設定した項目に対して実績を738 報告し、SLA 達成度合いを評価する。 739
d. SLA を満たせない可能性がある場合、速やかに担当職員に報告すること。740 また、サービスレベルを保つための対策について検討し準備すること。 741
e. 受注者は、SLA を遵守できなかった場合には、対応策について検討し、742 担当職員の了承を得た上で実施すること。 743
f. 対応の実施に当たっては、その対応実行ログを取得し、対応の効果、サー744 ビスレベル目標値への影響度を分析の上、サービスレベル目標値に達成で745 きる対応がなされるまで月次レベルで報告すること。 746
g. 対応に必要な人的リソースの追加、体制の変更、対応のために必要なシス747 テムの導入等に費用がかかる場合、受注者の費用負担により、実施するこ748 と。 749
h. 各サービスの稼働率を保証するため、リスク分析、テスト要件への盛り込750 み、冗長構成の精査等を十分に考慮し、サービス停止を予防すること。 751
i. サービスレベルの評価に当たって、以下の事項に該当する場合は、SLA 規752 程の範囲外とする。 753
(i) 当省の都合によって障害復旧できなかった場合 754 (ii) 当省の事由によって障害監視及び障害通知を受けることができなかっ755
た場合 756 (iii) 予見できない不測の事態(社会通念上、受注者に責任がないことが認め757
られる事態)が生じた場合 758
(イ) SLA 項目 759
a. SLA 項目については、「別紙 7.SLA 項目一覧」を参照とすること。 760 b. SLA 項目は、当省及び受注者双方の合意事項に明確な変更が生じた場合、761
当省及び受注者双方が必要と認めた場合等、必要に応じて見直しを実施し762 改訂するものとする。 763
27
3.5. システムの見直し及び廃止に係る提供サービス内容 764
3.5.1. 次期基盤システムの見直し 765
当省は、次に掲げる事由が発生又は判明した場合には、次期基盤システムの見直しを766 検討することがあるため、受注者は当省の求めに応じ支援を行うこと。更に、当省は、767 少なくとも毎年度末においては、プロジェクト計画書に記載された目標の達成状況を768 評価するとともに、残存するリスク及び課題について整理し、見直しの必要性について769 検討することがあるため、受注者は当省の求めに応じ支援を行うこと。 770
a. プロジェクト計画書に記載された目標の達成状況が著しく低い場合 771 b. 効率性、有効性、情報セキュリティ等で多くの課題が発生しており、それ772
らが業務に大きな支障を及ぼしている場合 773 c. 法令制度の変更、業務環境の変化等により大幅な業務の変更が生じる場合 774 d. ハードウェアの耐用年数が経過する場合 775 e. ハードウェア、ソフトウェア製品及びクラウドサービス等のサービス提供776
期間が満了する場合 777 f. ソフトウェア製品のサポート期間が終了する場合 778 g. その他次期基盤システムの見直しが必要となる状況が発生している場合 779
3.5.2. 次期基盤システムで提供する一部サービスの廃止 780
当省は、次に掲げる事由のいずれかが生じたときは、次期基盤システムで提供する一781 部サービスの廃止を検討することがあるため、受注者は当省の求めに応じ支援を行う782 こと。 783
a. 当該サービスの整備の根拠となった政策又は業務が廃止される場合 784 b. 業務の縮小等により、手作業で業務を行ったり、他のシステムを利用した785
りする方が経済的と考えられる場合 786 787
28
4. その他遵守事項 788
4.1. 作業体制・方法に関する遵守事項 789
4.1.1. 受注者に求める能力 790
a. 受注者のうち、本調達を担当する部署又は事業所は、ISO9001 の認証又791 は CMMI レベル 3 相当以上の組織的な品質管理体制を有すること。また、792 応札者は、JISQ27001 又は ISO/IEC27001 に基づく認証を取得している793 こと、若しくは JISQ15001 に適合したマネジメントシステムを有するこ794 とについて、第三者の制度による認証を受けていること。 なお、事業部795 等の単位で認証を受けている場合は、当該事業部が本調達の実施体制に参796 画の上、認証に係る管理を行うこと。また、応札者は、これを証明するこ797 と。 798
b. 受注者は、本調達を請負うに当たり業務を遂行するための体制を構築する799 とともに、全体責任者を定めること。また、全体責任者は、本調達の進捗800 管理、課題管理を行うとともに、当省に提示・送付(メールを含む)する801 資料等に対して責任を持つこと。 802
c. 受注者は、ハードウェア、ソフトウェア、ネットワークに関する専門技術803 を活用し、最適なシステム基盤の設計、構築、導入を実施するための作業804 チームごとに作業責任者(リーダ)を定めること。 805
d. 全体責任者は、下記の「表 4.1.1.1 資格・IT スキル標準」の「各工程の806 管理」に示す資格又は IT スキル標準(以下「ITSS」という。)のスキル807 レベルを有すること。 808
e. 作業責任者は、下記の「表 4.1.1.1 資格・IT スキル標準」の「導入・移809 行」に示す資格又は ITSS のスキルレベルを有すること。 810
f. 応札者は、全体責任者及び作業責任者における資格又は ITSS のスキルレ811 ベルを証明すること。なお、資格保有の証明については、合格証書等、ス812 キルレベルの証明については、「IT スキル標準 V3 ダウンロード 2 部キャ813 リア編 職種の概要と達成度指標(職種別)」(経済産業省、独立行政法人814 情報処理推進機構)の達成度指標に対応させた資料を提出すること。 815 IT スキル標準 V3 ダウンロード(最新版を参照すること。) 816
https://www.ipa.go.jp/jinzai/itss/download_V3_2011.html 817 g. 受注者は、次期基盤システムを構成する主要(仮想化基盤、統合コミュニ818
ケーション、情報共有(グループウェア)、無線 LAN、セキュリティ)な819 ソフトウェア、ハードウェア、ソリューション製品、クラウドサービス等820 の開発・提供元の者を「設計」、「環境構築」の各工程の作業チームに参画821
29
させる等の支援体制を構築すること。 822
表 4.1.1.1 資格・IT スキル標準 823
業務 要求資格(いずれか 1 つ以上)
ITSS のレベル及び職種 (いずれか 1 つ以上。なお、
専門分野の種別は問わない) 各工程の管理 プロジェクトマネージャ(IPA)
PMP(PMI) 技術士(情報工学部門)(IPEJ) 技術士(総合技術監理部門(情報工学
を選択科目とする者))(IPEJ)
レベル 4 プロジェクトマネジメント IT サービスマネジメント
設計・開発、
結合・総合
テスト
システムアーキテクト(IPA) ネットワークスペシャリスト(IPA) データベーススペシャリスト(IPA) 情報処理安全確保支援士(IPA) システム監査技術者(IPA) 技術士(情報工学部門)(IPEJ)
レベル 4 IT アーキテクト IT スペシャリスト アプリケーションスペシャリ
スト カスタマサービス
導入・移行 システムアーキテクト(IPA) ネットワークスペシャリスト(IPA) データベーススペシャリスト(IPA) 情報処理安全確保支援士(IPA) システム監査技術者(IPA)
レベル 4 IT スペシャリスト アプリケーションスペシャリ
スト カスタマサービス
運用 ネットワークスペシャリスト(IPA) データベーススペシャリスト(IPA) 情報処理安全確保支援士(IPA) IT サービスマネージャ(IPA) システム監査技術者(IPA) 技術士(情報工学部門)(IPEJ)
レベル 4 IT アーキテクト IT スペシャリスト アプリケーションスペシャリ
スト
保守 システムアーキテクト(IPA) ネットワークスペシャリスト(IPA) データベーススペシャリスト(IPA) 情報処理安全確保支援士(IPA) IT サービスマネージャ(IPA) システム監査技術者(IPA)
レベル 4 IT アーキテクト IT スペシャリスト アプリケーションスペシャリ
スト カスタマサービス
4.1.2. 作業場所 824
本調達の作業場所及び作業に当たり必要となる設備、備品及び消耗品等については、825
30
受注者の責任において用意すること。また、必要に応じて担当職員が現地確認を実施す826 ることができるものとする。また、当省において作業が必要な場合には、担当職員と協827 議すること。 828
4.2. 作業実施に当たっての遵守事項 829
a. 受注者は、当省の指示に従い、作業の進捗状況及び予定を文書によって説830 明することとし、その都度、当省の承認を得て作業を進めること。 831
b. 設計・構築、移行・導入、及び運用・保守の全ての作業工程にわたり、職832 員、運用管理事業者及び工程管理支援業者との調整を図り、次期基盤シス833 テムが稼働する上で、必要なサービスを提供すること。 834
c. 本調達の遂行、次期基盤システムの安定稼働、及び関係するシステム・ネ835 ットワークとの接続に必要と認められる次期基盤システム側の対応につ836 いては、当省と受注者との協議・検討の上、受注者の責任と負担により実837 施すること。 838
d. 当省から、本調達に係る技術的な助言を求められた際は、速やかに対応し、839 書面、又は、電子メールによる回答を行うこと。また、受注者は、本調達840 に係る次期基盤システム構築に必要な技術動向及び製品動向等の情報を841 積極的に提供すること。 842
4.3. 機密保持 843
a. 本仕様書に基づく作業の実施中はもとより、作業の実施後も、本仕様書か844 ら作成する次期基盤システムの構成及び機器に関する技術、知識及びその845 他本調達を履行する上で、知り得た当省に係る情報を第三者に開示、漏え846 い、又は、本調達の遂行以外の目的で利用しないこと。また、そのために847 必要な措置を講ずること。 848
b. 当省が提供する資料は、原則、持ち出しを禁止する。ただし、当省承認の849 もと貸し出しを行うが、本調達の遂行中は受注者が適切な管理を実施し、850 契約終了時までに、当省の指示に従い、当省、又は、資料提供元に返却又851 は抹消等を行い復元不可能な状態にすること。また、当該資料の複写及び852 第三者への提供はしないこと。 853
c. 当省が提供した情報を第三者に開示することが必要である場合は、事前に854 当省と協議の上、承認を得ること。 855
d. 受注者の責に起因する情報セキュリティインシデントが発生する等の万856 一の事故があった場合は、直ちに当省に報告すること。また、事故による857 損害が生じた場合は賠償等の責任を負うことがある。 858
e. 機密保持や資料の取扱いについて適切な措置が講じられていることを確859
31
認するため、遵守状況の報告及び当省による実地調査を求めることがある860 ため、受注者はこれに応じること。 861
4.4. 情報管理体制 862
4.4.1. 情報管理体制 863
a. 受注者は、本業務で知り得た情報を適切に管理するため、次の履行体制を864 確保し、当省に対し「別紙 4.情報管理体制様式」により「情報取扱者名簿」865 (氏名、住所、生年月日、所属部署、役職等が記載されたもの)及び「情866 報セキュリティを確保するための体制を定めた書面(情報管理体制図)」867 を提出し、担当職員の同意を得ること。なお、情報取扱者名簿は、本業務868 の遂行のため最低限必要な範囲で情報取扱者を掲載すること。 869
b. 契約を履行する一環として受注者が収集、整理、作成等した一切の情報が、870 当省が保護を要さないと確認するまでは、情報取扱者名簿に記載のある者871 以外に伝達又は漏えいされないことを保証する履行体制を有しているこ872 と。 873 当省が個別に承認した場合を除き、受注者に係る親会社、地域統括会社、874 ブランド・ライセンサー、フランチャイザー、コンサルタントその他の契875 約相手方に対して指導、監督、業務支援、助言、監査等を行う者を含む一876 切の契約相手方以外の者に対して伝達又は漏えいされないことを保証す877 る履行体制を有していること。 878
c. 本業務で知り得た一切の情報について、情報取扱者以外の者に開示又は漏879 えいしてはならないものとする。ただし、担当課室の承認を得た場合は、880 この限りではない。 881
d. 前述 a.及び b.の情報セキュリティを確保するための体制を定めた書面又882 は情報取扱者名簿に変更がある場合は、予め担当職員へ届出を行い、同意883 を得なければならない。 884
4.4.2. 業務従事者の経歴 885
業務従事者の経歴(氏名、所属、役職、学歴、職歴、業務経験、研修実績その他の経886 歴、専門的知識その他の知見、母語及び外国語能力、国籍等がわかる資料)を提出する887 こと。 888
4.4.3. 履行完了後の情報の取扱い 889
国から提供した資料又は国が指定した資料の取扱い(返却・削除等)については、担890 当職員の指示に従うこと。 891
32
4.5. セキュリティに関する事項 892
4.5.1. セキュリティに関する全般事項 893
a. 受注者は、契約締結後速やかに、情報セキュリティを確保するための体制894 を定めたものを含み、以下に記載する事項の遵守の方法及び提出を求める895 情報、書類等について、当省の担当職員に提示し了承を得た上で確認書類896 として提出すること。また、契約期間中に、担当職員の要請により、確認897 書類に記載した事項に係る実施状況を紙媒体又は電子媒体により報告す898 ること。なお、報告の内容について、担当職員と受注者が協議し不十分で899 あると認めた場合、受注者は、速やかに担当職員と協議し対策を講ずるこ900 と。 901
b. 受注者は、本業務に使用するソフトウェア、電子計算機等に係る脆弱性対902 策、不正プログラム対策、サービス不能攻撃対策、標的型攻撃対策、アク903 セス制御対策、情報漏えい対策を講じるとともに、契約期間中にこれらの904 対策に関する情報セキュリティ教育を本業務にかかわる従事者に対し実905 施すること。 906
c. 受注者は、貸与された紙媒体、電子媒体の取扱いには十分注意を払い、当907 省内に複製が可能な電子計算機等の機器を持ち込んで作業を行う必要が908 ある場合には、事前に担当職員の許可を得ること。なお、この場合であっ909 ても、担当職員の許可なく複製してはならない。また、作業終了後には、910 持ち込んだ機器から貸与した電子媒体の情報が消去されていることを担911 当職員が確認できる方法で証明すること。 912
d. 受注者は、貸与された紙媒体、電子媒体であっても、担当職員の許可なく913 当省外で複製してはならない。また、作業終了後には、複製した情報等が914 電子計算機等から消去されていることを担当職員が確認できる方法で証915 明すること。 916
e. 受注者は、本業務を終了又は契約解除する場合には、担当職員から貸与さ917 れた紙媒体、電子媒体を速やかに担当職員に返却又は廃棄若しくは消去す918 ること。その際、担当職員の確認を必ず受けること。 919
f. 受注者は、契約期間中及び契約終了後においても、本業務に関して知り得920 た当省の業務上の内容について、他に漏らし又は他の目的に利用してはな921 らない。 922
g. 受注者は、本業務の遂行において、情報セキュリティが侵害され又はその923 おそれがある場合には、速やかに担当職員に報告を行い、原因究明及びそ924 の対処方法等について担当職員と協議し実施すること。 925
h. 受注者は、経済産業省情報セキュリティ管理規程(平成 18・03・22 シ第 1926
33
号)、経済産業省情報セキュリティ対策基準(平成 18・03・24 シ第 1 号)927 及び「政府機関等の情報セキュリティ対策のための統一基準群(平成 30928 年度版)」(以下「規程等」と総称する。)を遵守すること。また、契約締結929 時に規程等が改正されている場合は、改正後の規程等を遵守すること。 930
i. 受注者は、当省が実施する情報セキュリティ監査又はシステム監査を受け931 入れるとともに、指摘事項への対応を行うこと。 932
j. 受注者は、外部公開ウェブサイト(以下「ウェブサイト」という。)を構933 築又は運用するプラットフォームとして、受注者自身(再委託(業務の一934 部を第三者に委託することをいい、外注及び請負を含む。以下同じ。)先935 を含む。)が管理責任を有するサーバ等を利用する場合には、OS、ミドル936 ウェア等のソフトウェアの脆弱性情報を収集し、セキュリティ修正プログ937 ラムが提供されている場合には業務影響に配慮しつつ、速やかに適用を実938 施すること。また、ウェブサイト構築時においてはサービス開始前に、運939 用中においては年 1 回以上、ポートスキャン、既知の脆弱性検査を含むプ940 ラットフォーム診断を実施し、脆弱性を検出した場合には必要な対策を実941 施すること。 942
k. 受注者は、ウェブサイト上のウェブアプリケーションの構築又は改修を行943 う場合には、独立行政法人情報処理推進機構が公開する最新の「安全なウ944 ェブサイトの作り方」(以下「作り方」という。)に基づくこと。また、構945 築又は改修したウェブアプリケーションのサービス開始前に、「作り方」946 に記載されている脆弱性の検査を含むウェブアプリケーション診断を実947 施し、脆弱性を検出した場合には必要な対策を実施すること。併せて、「作948 り方」のチェックリストに従い対応状況を確認し、その結果を記入したチ949 ェックリストを担当職員に提出すること。なお、チェックリストの結果に950 基づき、担当職員から指示があった場合は、それに従うこと。 951
l. 受注者は、ウェブサイトを構築又は運用する場合には、インターネットを952 介して通信する情報の盗聴及び改ざんの防止並びに正当なウェブサーバ953 であることを利用者が確認できるようにするため、TLS(SSL)暗号化の実954 施等によりウェブサイトの暗号化の対策等を講じること。 955 なお、必要となるサーバ証明書には、利用者が事前のルート証明書のイン956 ストールを必要とすることなく、その正当性を検証できる認証局(証明書957 発行機関)により発行された電子証明書を用いること。 958
m. 受注者は、ウェブサイト又は電子メール送受信機能を含むシステムを構築959 又は運用する場合には、原則、政府機関のドメインであることが保証され960 るドメイン名「.go.jp」(以下「政府ドメイン名」という。)を使用するこ961 と。なお、政府ドメイン名を使用しない場合には、第三者による悪用等を962
34
防止するため、業務完了後、一定期間ドメイン名の使用権を保持すること。 963 n. 受注者は、情報システム(ウェブサイトを含む。以下同じ。)の設計、構964
築、運用、保守、廃棄等(電子計算機、電子計算機が組み込まれた機器、965 通信回線装置、電磁的記録媒体等のハードウェア又はソフトウェア(以下966 「機器等」という。)の調達を含む場合には、その製造工程を含む。)を行967 う場合には、以下を実施すること。 968
(i) 各工程において、当省の意図しない変更や機密情報の窃取等が行われな969 いことを保証する管理が、一貫した品質保証体制の下でなされているこ970 と。また、具体的な管理手順や品質保証体制を証明する書類等を提出す971 ること。 972
(ii) 情報システムや機器等に意図しない変更が行われる等の不正が見つか973 ったときに、追跡調査や立入検査等、当省と連携して原因を調査し、排974 除するための手順及び体制を整備していること。それらが妥当であるこ975 とを証明するため書類を提出すること。 976
(iii) 不正プログラム対策ソフトウェア等の導入に当たり、既知及び未知の不977 正プログラムの検知及びその実行の防止の機能を有するソフトウェア978 を導入すること。 979
(iv) 情報セキュリティ対策による情報システムの変更内容について、担当職980 員に速やかに報告すること。また、情報システムが構築段階から運用保981 守段階へ移行する際等、他の事業者へ引継がれる項目に、情報セキュリ982 ティ対策に必要な内容を含めること。 983
(v) サポート期限が切れた又は本業務の期間中にサポート期限が切れる予984 定がある等、サポートが受けられないソフトウェアの利用を行わない及985 びその利用を前提としないこと。また、ソフトウェアの名称・バージョ986 ン・導入箇所等を管理台帳で管理することに加え、サポート期限に関す987 るものを含むソフトウェアの脆弱性情報を収集し、担当職員に情報提供988 するとともに、情報を入手した場合には脆弱性対策計画を作成し、担当989 職員の確認を得た上で対策を講ずること。 990
(vi) 電子メール送受信機能を含む場合には、 SPF( Sender Policy 991 Framework)等のなりすましの防止策を講ずるとともに SMTP による992 サーバ間通信の TLS(SSL)化や S/MIME 等の電子メールにおける暗993 号化及び電子署名等により保護すること。 994
o. 受注者は、本業務に従事する者を限定すること。また、受注者の資本関係・995 役員の情報、本業務の実施場所、本業務の全ての従事者の所属、専門性(情996 報セキュリティに係る資格・研修実績等)、実績及び国籍に関する情報を997 担当職員に提示すること。なお、本業務の実施期間中に従事者を変更等す998
35
る場合は、事前にこれらの情報を担当職員に再提示すること。 999 p. 受注者は、本業務を実施するに当たり、約款による外部サービスやソーシ1000
ャルメディアサービスを利用する場合には、それらサービスで要機密情報1001 を扱わないことや不正アクセス対策を実施するなど規程等を遵守するこ1002 と。 1003
q. 受注者は、本業務を第三者に請け負わせる場合は、請け負わせることによ1004 り生ずる脅威に対して情報セキュリティが十分に確保されるよう、上記 a.1005 ~p.の措置の実施を契約等により下請負先に担保させること。また、a.の1006 確認書類には下請負先に係るものも含むこと。 1007
4.5.2. セキュリティ監査、セキュリティ診断等に関する事項 1008
a. 受注者は、当省等が実施するセキュリティ監査、セキュリティ診断等を受1009 けること。 1010
b. セキュリティ監査、セキュリティ診断等の結果、指摘事項があった場合、1011 監査人による改善提案等に基づき、担当職員と協議の上、改善案の作成及1012 び改善を行うこと。 1013
4.6. 入札参加資格に関する事項 1014
複数の事業者が共同提案する場合、その中から代表者を定めるとともに、当該代表者が1015 本調達に対する入札を行うこと。 1016 共同提案を構成する事業者間においては、その結成、運営等について協定を締結し、業1017
務の遂行に当たっては、当該代表者を中心に、各事業者が協力して行うこと。事業者間の1018 調整事項、トラブル等の発生に際しては、その当事者となる当該事業者間で解決すること。1019 また、解散後の瑕疵担保責任に関しても協定の内容に含めること。 1020
4.7. その他特記事項 1021
4.7.1. 政府・省庁規程及び各種ガイドラインへの準拠 1022
以下に示す各種ガイドライン(最新版)を遵守すること。今後契約期間中に当該文書1023 が改定された場合には、それに従うこととするが、より良い作業の進め方又は手法につ1024 いて提案がある場合には、担当職員に提案、協議の上、当該提案に基づき実施してもよ1025 い。 1026
a. 経済産業省「クラウドサービス利用のための情報セキュリティマネジメン1027 トガイドライン」 1028
b. 経済産業省「経済産業省情報セキュリティ管理規程」及び「情報セキュリ1029 ティ対策基準」並びにこれらの関連規程(以下、「経済産業省情報セキュ1030 リティポリシー等」という。) 1031
36
c. 独立行政法人情報処理推進機構「『高度標的型攻撃』対策に向けたシステ1032 ム設計ガイド」 1033
d. 独立行政法人情報処理推進機構「『新しいタイプの攻撃』の対策に向けた1034 設計・運用ガイド」 1035
e. サイバーセキュリティ対策推進会議「高度サイバー攻撃対処のためのリス1036 ク評価等のガイドライン」及び内閣官房内閣サイバーセキュリティセンタ1037 ー「高度サイバー攻撃対処のためのリスク評価等のガイドライン付属書」」 1038
f. サイバーセキュリティ戦略本部決定「政府機関等の情報セキュリティ対策1039 のための統一規範」、「政府機関等の情報セキュリティ対策の運用等に関す1040 る指針」及び「政府機関等の情報セキュリティ対策のための統一基準」並1041 びに内閣官房内閣サイバーセキュリティセンター「政府機関等の対策基準1042 策定のためのガイドライン」 1043
g. 独立行政法人情報処理推進機構「安全な Web サイトの作り方」 1044 h. ISO/IEC15408 1045 i. 経済産業省「IT 製品の調達におけるセキュリティ要件リスト」 1046 j. 各府省情報化統括責任者(CIO)連絡会議決定「デジタル・ガバメント推1047
進標準ガイドライン」 1048
4.7.2. 政府・省庁規程及び各種ガイドラインの動向への留意 1049
以下に示す各種ガイドライン(最新版)及び関連する施策の動向に留意し提案するこ1050 と。 1051
a. 平成 30 年 12 月 10 日関係省庁申合せ「IT 調達に係る国の物品等又は役1052 務の調達方針及び調達手続に関する申合せ」 1053
b. 平成 30 年 7 月 27 日閣議決定「サイバーセキュリティ戦略」 1054
4.7.3. 技術的支援 1055
当省の要求に応じ、以下に示す技術的支援を行うこと。また、これら技術的支援に当1056 たっての体制及び方法を提示すること。 1057
a. 機器、ネットワーク設備及びクラウドサービスの使用に関する質問に対す1058 る回答、助言を行うこと。 1059
b. 定期的な機器利用状況のモニタリング等による次期基盤システムの改善1060 案を提示すること。 1061
c. コンピュータ関連の技術、製品動向等及び情報セキュリティに関する質問1062 に対する回答、助言を行うこと。また、コンピュータ及び情報セキュリテ1063 ィに関する最新技術情報を定期的に提供すること。 1064
d. 問題発生時における原因調査及び解決を行うこと。 1065
37
e. 次期基盤システムの運用及び利用を支援・指導する要員を配置すること。 1066 f. ソフトウェアの新バージョン及びクラウドサービスの新機能等に関する1067
情報、資料等を提供すること。 1068 g. その他、機器及びネットワーク設備を適正かつ効率的に使用するために、1069
当省が依頼する技術的支援に対する回答、助言を行うこと。 1070 h. 各種システム、機器等の更新等に伴う諸設定作業について支援を行うこと。 1071 i. 次期基盤システムの更改に際して必要となる現状調査、当省が依頼する技1072
術的支援に対する回答、助言を行うこと。 1073 j. 政府機関、各省庁及びその他の組織からセキュリティ対応の指示、要請等1074
があった場合、担当職員と協議の上、速やかに対応すること。 1075
4.7.4. 法律・規格への準拠 1076
a. 導入するハードウェア及びソフトウェア等の構成要素は、オープンシステ1077 ム環境の整備を可能とするため、ITU-T(国際電気通信連合)、ISO(国際1078 標準化機構)等が規定、又は、推奨する各種国際標準及び装置の製造・デ1079 ータ処理に関して、IEEE(米国電気電子技術者協会)等が規定、又は、1080 推奨する各種デファクトスタンダードに準拠していること。また、これら1081 と必要十分なインタフェースを有すること。 1082
b. 「民法(明治 29 年 4 月 27 日法律第 89 号)」、「刑法(明治 40 年 4 月 241083 日法律第 45 号)」、「著作権法(昭和 45 年 5 月 6 日法律第 48 号)」、「不正1084 アクセス行為の禁止等に関する法律(平成 11 年 8 月 13 日法律第 1281085 号)」、「行政機関の保有する個人情報の保護に関する法律(平成 15 年 5 月1086 30 日法律第 58 号)」及び「個人情報保護法」の関連法規を遵守すること。 1087
4.7.5. 下請負 1088
a. 次期基盤システムにおける一部の作業を第三者に請け負わせる場合、請け1089 負わせることにより生ずる脅威に対して情報セキュリティを十分に確保1090 するため、下記事項を下請負先に担保させること。 1091
(i) 下請負先に提供する情報の下請負先における目的外利用の禁止 1092 (ii) 下請負先における情報セキュリティ対策の実施内容及び管理体制 1093
(iii) 本業務の実施に当たり、下請負先企業又はその従業員、再下請負先、若1094 しくはその他の者による意図せざる変更が加えられないための管理体1095 制 1096
(iv) 下請負先の資本関係・役員等の情報、本業務の実施場所、下請負事業従1097 事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実1098 績及び国籍に関する情報提供 1099
38
(v) 情報セキュリティインシデントへの対処方法 1100 (vi) 情報セキュリティ対策その他の契約の履行状況の確認方法 1101
(vii) 情報セキュリティ対策の履行が不十分な場合の対処方法 1102 (viii) 情報セキュリティ監査の受入れ 1103
(ix) サービスレベルの保証 1104 b. 当省の許可なく、作業の一部又は全部を第三者(下請負先)に請負わせて1105
はならない。ただし、当省が許可した場合には、契約上受注者に求められ1106 る水準と同等の情報セキュリティ水準を、下請負先においても確保するこ1107 と。また、受注者は、下請負先が実施する情報セキュリティ対策及びその1108 実施状況について報告すること。 1109
c. 本業務において取扱う情報について、下請負先が閲覧することがないよう1110 に、受注者は情報を厳重に管理すること。止むを得ず、下請負先において1111 本業務に係る情報を閲覧する必要がある場合には、受注者は、事前に当省1112 の担当者と調整し、指示に従うこと。 1113
4.7.6. 閲覧資料 1114
a. 応札者は、以下の資料を閲覧することができる。資料の閲覧を希望する場1115 合は、必要な手続きを行った上、当省が定める期間、場所、方法において1116 閲覧を許可する。また、以下の資料の他に閲覧を希望する資料がある場合1117 には、当省と相談すること。 1118
(i) 現行基盤システムに係る資料 1119 プロジェクト計画書(サービス準備編) 1120 プロジェクト計画書(サービス運用編) 1121 システム概要構成図 1122 ネットワーク構成図 1123 各サービス仕様書 1124 機器諸元表(当省内に設置する機器に限る。) 1125 導入試験計画書(試験項目、試験内容、試験体制、試験スケジュール) 1126 導入計画書(導入手順、導入体制、導入スケジュール) 1127 移行計画書(移行対象システム、移行対象データ、移行体制、移行ス1128 ケジュール) 1129 教育計画書(教育対象者、教育対象サービス、教育体制、教育スケジ1130 ュール) 1131 他システム向け接続仕様書 1132 導入試験結果報告書 1133 導入結果報告書 1134
39
移行結果報告書 1135 教育結果報告書 1136 運用マニュアル及び操作解説書 1137 月次定期報告書(SLA 報告、運用報告、インシデント報告) 1138 年間保守スケジュール 1139 作業報告書(都度作業が発生した際の作業報告書) 1140 セキュリティ共通設計書 1141 工事展開計画書 1142 工事展開結果報告書 1143 システム切替実施計画書 1144 職員データ移行マニュアル 1145 他システム設定手順書 1146 職員情報 DB 及び勤怠管理システムの関連資料 1147
(ii) 参考資料 1148 (参考 1)次期基盤システムの基本構成 1149 (参考 2)端末別サービス利用対応表 1150 (参考 3)次期基盤システム設置場所一覧 1151 (参考 4)拠点別機器設置台数一覧 1152 (参考 5)他システム等接続機器一覧 1153 (参考 6)現行基盤情報システムリソース 1154 (参考 7)回線トラフィック使用量一覧 1155 (参考 8)想定印刷枚数一覧 1156 (参考 9)貸出機器一覧 1157 (参考 10)使用端末ごとのエンタープライズモビリティ管理(EMM)1158 の機能と要件 1159 (参考 11)ナレッジシェア機能一覧 1160 (参考 12)各種申請受付内容 1161 (参考 13)Web サーバアクセスログデータ量 1162 (参考 14)イントラアプリケーション一覧 1163 (参考 15)外部公開用アプリケーション一覧 1164 (参考 16)現行ソフトウェア一覧 1165 (参考 17)現行 CMS テンプレート一覧 1166 (参考 18)経済産業省外字一覧 1167 (参考 19)インシデント分類及び内容 1168 (参考 20)次期基盤システムの運用管理に係る業務範囲 1169
(iii) ODB 登録情報一覧 1170
40
4.8. その他 1171
a. 本調達の延長の際は同等のサービスを契約期間の月額と同額以下で提供1172 すること。 1173
b. 本件は、令和 3 年度の予算成立を条件とする。 1174 c. 本調達の受注後に本仕様書の内容の一部について変更を行おうとする場1175
合、その変更の内容、理由等を明記した書面をもって当省に申し入れを行1176 うこと。双方の協議において、その変更内容が軽微(契約額、納期に影響1177 を及ぼさない)かつ許容できると判断された場合は、変更の内容、理由等1178 を明記した書面に双方が記名捺印することによって変更を確定する。 1179