![医療・看護・介護施設向け 勤怠管理システム · 株式会社エレパ | 医療ソリューション[ FileMakerPro × FileMakerGo連携 ] 2 ME機器管理システム](https://static.fdocument.pub/doc/165x107/5f633abaf90fa82f8c745762/oecfcoeefee-ccff-cff.jpg)
医療・看護・介護施設向け 勤怠管理システム · 株式会社エレパ | 医療ソリューション[ FileMakerPro × FileMakerGo連携 ] 2 ME機器管理システム
職員情報 DB及び勤怠管理システム 構築事業仕様書(案) · 別 紙....
23
別 紙 職員情報 DB 及び勤怠管理システム 構築事業仕様書(案) 2019年1月 経済産業省大臣官房秘書課
Transcript of 職員情報 DB及び勤怠管理システム 構築事業仕様書(案) · 別 紙....
別 紙
職員情報 DB 及び勤怠管理システム
構築事業仕様書(案)
2019年1月
経済産業省大臣官房秘書課
1
【目次】
1. 事業の概要 ....................................................................................................................................1 1.1 目的 ............................................................................................................................................... 1 1.2 用語の定義 .................................................................................................................................... 1 1.3 事業の概要 .................................................................................................................................... 1 1.4 納入成果物 .................................................................................................................................... 1 1.5 納入場所 ........................................................................................................................................ 4
2. 作業内容 ........................................................................................................................................5 2.1 実施作業について ......................................................................................................................... 5 2.2 作業スケジュール ......................................................................................................................... 6 2.3 プロジェクト管理 ......................................................................................................................... 6
3. 新システム開発仕様 ......................................................................................................................8 3.1 機能要件 ........................................................................................................................................ 8
機能・画面・帳票 ................................................................................................................... 8 情報・データ .......................................................................................................................... 8
3.2 非機能要件 .................................................................................................................................... 9 ユーザビリティ ....................................................................................................................... 9 規模・拡張性 .......................................................................................................................... 9
規模 ................................................................................................................................................. 9 拡張性............................................................................................................................................ 10
上位互換性 ............................................................................................................................ 10 性能 ....................................................................................................................................... 10
オンライン処理の性能................................................................................................................... 10 バッチ処理の性能 .......................................................................................................................... 10
信頼性 ....................................................................................................................................11 可用性............................................................................................................................................. 11 完全性............................................................................................................................................. 11 継続性............................................................................................................................................. 11
中立性 ....................................................................................................................................11 オープンな標準的技術または製品に関する事項 ............................................................................ 11 他事業者への円滑な引継ぎに関する事項 ....................................................................................... 11
情報セキュリティ ................................................................................................................. 12 情報システム稼動環境 .......................................................................................................... 14 テスト ................................................................................................................................... 14 ユーザ研修 .......................................................................................................................... 15 運用・保守 .......................................................................................................................... 15
運用 ............................................................................................................................................. 15 保守 ............................................................................................................................................. 16
4. 作業の体制及び方法 .................................................................................................................... 17 4.1 企業としての実績・資格 ............................................................................................................ 17 4.2 作業体制 ...................................................................................................................................... 17 4.3 開発方法 ...................................................................................................................................... 17 4.4 情報セキュリティに関する事項 ................................................................................................. 17 4.5 瑕疵責任 ...................................................................................................................................... 19 4.6 著作権 ......................................................................................................................................... 19 4.7 機密保持 ...................................................................................................................................... 19
5. その他 ......................................................................................................................................... 21
1
1. 事業の概要 1.1 目的 現在、経済産業省(以下「当省」という。)で働くすべての人々に関する情報を一元的に管理しているシ
ステムは存在せず、人事系の各業務処理は秘書課各担当が保有するACCESS・EXCELなどのツール
を使用して実施している。情報鮮度もまちまちで情報によっては各業務処理の都度、現場(各局業務管
理官室)への確認作業が発生しており、秘書課及び各現場での効率的な業務実施を阻害している。
また、当省では各職員が出勤簿・休暇簿への押印、フレックスや育児・介護者向けの勤務時間制度の
運用・管理について、紙や表計算ソフトへの入力・管理を行っている。勤務時間や休暇制度に関する人
事院規則等に基づいた滞りのない事務運用が求められるが、管理簿等の押印・記載・入力状況の確認・
修正、各管理簿間の転記作業等の管理業務に職員のリソースが割かれている状況。
職員情報 DB 及び勤怠管理システム構築事業(以下「本事業」という。)では、当省で働くすべての人々
に関する情報を一元的に管理可能なシステム(以下「職員情報DB」という。)を構築し、タイムリーに情報
の更新を実施することで、秘書課及び各現場での効率的な人事系業務の実施を目指す。
勤務管理に関する課題についても「職員情報DB」に収録した情報を活用し、「出勤簿作成」、「休暇簿
作成」、「超過勤務見込時間の報告」等の機能を有した「勤怠管理システム」を導入し、電磁的に管理簿
を作成・管理する事で職員(主に庶務担当者)の業務負担の軽減を目指す。システムによる申請内容の
チェック機能を実装することで、事前事後のチェック作業を極小化することが可能になる。また、各種申請
結果は電磁的に記録されるため、休暇残日数の手計算・転記など現状紙ベースの作業であることに起因
する作業はゼロとすることができる。
1.2 用語の定義 本仕様書で用いる用語とその定義について以下に示す。
表 1 用語の定義 用語 定義
職員情報 DB 本事業で新規構築するシステム。
経済産業省で働くすべての人に関する情報を一元的に管理するデータ
ベースとデータベースを使用した人事系業務を実施するシステムをまとめ
て「職員情報 DB」と呼ぶこととする。
勤怠管理システム 本事業で新規構築するシステム。
上記「職員情報 DB」に保持する情報を活用し、経済産業省で働く人の勤
怠管理に関する業務を実施する。
その他用語 別添「用語集」を参照すること
1.3 事業の概要 本事業では、「職員情報DB」及び「勤怠管理システム」の2つのシステム(以下「本システム」と総称する。)
を新規構築し、運用を開始する。
1.4 納入成果物
本事業における納入成果物は、以下のとおり。
表 2 納入成果物
成果物 内容 納期
プ ロ ジ
ェクト管
理文書
プロジェクト
計画書
本事業に関する計画。目的、実施概要、体制、スケジュ
ール、会議体、プロジェクト標準などをまとめた文書
契約後、
1 週間以内
作業工程表
(WBS)
本事業の実施に当たり、必要な作業及びその成果物、
担当者並びにマイルストーンを記した作業工程表
2
成果物 内容 納期
各種プロジェクト
管理に係る成果
物
プロジェクト管理に当たって、以下の成果物等について
作成。
なお、必要とする成果物の種類、詳細等については、当
省担当職員及び当省関係者と受注者との間で協議の
上、決定。
・各工程において、検討、決定すべき課題や業務実施
上の課題などを整理し一覧形式にて管理する課題管理
表
・各種会議体における、合意内容、検討内容等を記した
会議議事録
・企画段階における必要な作業、設計・開発・テスト段階
における必要な作業、改修・テスト段階におけるシステム
改修に必要な作業等の完了に関する作業完了報告
各工程の
終了時点
(各会議資料
については、
会議開催日前
日)
各種会議資料
(進捗会議等)
各種会議体の実施において必要に応じて作成する、成
果物の内容、作業報告、品質報告等の資料
情報資産台帳 情報資産(ハードウェア、ソフトウェア、ネットワーク、デー
タ(電子化されていないものも含む。)や知的資産等)を
組織内で継続的に管理・共有するため、その構成、経
費、仕様等の属性情報を記載した台帳
2020 年
3 月 31 日
設計
・ 開 発
標準 1
設計標準書 各種設計標準及び命名規約(ドキュメント管理基準を含
む)を表した文書
当省担当職員
及び当省関係
者の指定する
日
インタフェース
設計標準
インタフェース設計の標準を表した文書
画面設計標準 画面設計の標準を表した文書
帳票設計標準 帳票設計の標準を表した文書
データベース
設計標準
データベース設計の標準を表した文書
プログラム
コーディング
標準
プログラムコーディングに関する標準を表した文書
辞書 設計・開発等で使用する用語とその意味を表した文書
基本設
計書
機能設計書 機能ごとのインプット、処理内容、アウトプットを表した設
計書(他システムとの連携に必要な資源を含む)
当省担当職員
及び当省関係
者の指定する
日 データ設計書 論理レベルでデータ定義表の最終化、及び、論理テー
ブルの定義 (インタフェース、コード含む)を表した設計
書
画面設計書 画面設計におけるレイアウト、項目等を表した設計書
帳票設計書 帳票設計におけるレイアウト、項目等を表した設計書
システム方式
設計書
本システムで提供するサービスを定義し、ハードウェア、
ソフトウェア、ネットワーク等の構造を表した設計書(他シ
ステムとの連携に必要な資源を含む)
ソフトウェア
方式設計書
システム機能を実現するためのソフトウェア構成、処理方
式、処理内容を表した設計書(他システムとの連携に必
要な資源を含む)
ハードウェア
方式設計書
システム機能を実現するためのハードウェア構成を表し
た設計書(他システムとの連携に必要な資源を含む)
1 一般的に業界で妥当と認められた又は公式に定められた標準に準拠したものでなければならない。
3
成果物 内容 納期
外部インタフェ
ース設計書
インタフェースに関する処理形態及び処理内容。インタ
フェースが必要なデータ種別(論理レベル)を明確にし、
データ種別ごとのデータ項目を表した設計書
情報セキュリティ
設計書
システム構成のコンポーネントごとの情報セキュリティ方
式(開発工程ごとの対策を含む)を表した設計書
詳細設
計書
ソフトウェア
詳細設計書
基本設計の機能設計の内容を、プログラム構造を踏ま
え、物理レベルに詳細化した設計書(他システムとの連
携に必要な資源を含む)
当省担当職員
及び当省関係
者の指定する
日 データ詳細
設計書
データ定義表に基づき、データ、ファイル等の物理デー
タ仕様(インタフェース含む)を定義した設計書
画面詳細
設計書
画面定義及び項目毎の処理内容を定義した設計書
帳票詳細
設計書
帳票定義及び項目毎の処理内容を定義した設計書
プ ロ グ
ラ ム 設
計書
プログラム
設計書
プログラム単位で、処理ロジックなどの仕様を定義した設
計書(他システムとの連携に必要な資源を含む)
当省担当職員
及び当省関係
者の指定する
日
プ ロ グ
ラム等
ソース
プログラム
本システムで使用されているプログラムのソース(他シス
テムとの連携に必要な資源を含む)
当省担当職員
及び当省関係
者の指定する
日 実行形式
プログラム
本システムで利用されている実行形式のプログラム(他
システムとの連携に必要な資源を含む)
各種定義
ファイル
本システムの環境構築で作成したツール、実行環境、開
発環境、環境定義ファイル(他システムとの連携に必要
な資源を含む)
その各種資源 本システムの使用に必要なソフトウェアライセンス、ハー
ドウェアなど
テスト文
書
テスト計画書 テストフェーズ(単体テスト、結合テスト、改修・テスト、総
合テスト、受入テスト)ごとに、テスト目的、実施環境、実
施手順、スケジュール、体制、終了条件等を定義した文
書
当省担当職員
及び当省関係
者の指定する
日
テスト仕様兼
結果報告書
テストフェーズごと、テスト実行単位(プログラム、結合単
位、シナリオなど)ごとに、詳細なテスト仕様と結果報告
(テストデータやテスト結果を証明する書類を添付)をまと
めた文書
教育文
書
教育計画書 職員及びシステム管理者に対する教育に関する計画書 当省担当職員
及び当省関係
者の指定する
日
教育資料 教育を行う際に使用する教材等資料
教育結果
報告書
教育の実施に対する作業報告をまとめた文書
シ ス テ
ム移行
文書
システム移行
計画書
本番運用に向けて準備すべき事項を整理した、導入に
関する計画。移行方式、体制、移行ツール、対象データ
等を表した文書
当省担当職員
及び当省関係
者の指定する
日 システム移行
手引書
システム移行計画に基づいた実施手順を表した文書
システム移行
報告書
システム移行の実施に対する作業報告をまとめた文書
移行データファ
イル
当省が作成した移行データファイル
4
成果物 内容 納期
運用管
理文書
運用管理業務
手順説明書
本システムに係る運用管理業務手順を表した文書
運用保守に関する業務手順の他、当省への報告(定期
報告、議事録、インシデント報告、モニタリングデータ、
改善対応報告等)をまとめたもの
当省担当職員
及び当省関係
者の指定する
日
操作説明書 職員及びシステム管理者向けの本システムに係る操作
手順、操作内容を表した文書
システム運用
手順書
本システムの運用に係る手順を表した文書
品質管
理文書
品質計画書 性能の品質基準、品質評価プロセスを明確にし、品質の
維持・向上に関する体制、実施概要、スケジュール等を
記述。また、品質管理に関するモニタリング機能及び各
活動の継続的な改善計画を表した文書
各工程の開始
日
ただし、品質
計画実施報告
書は、期間中
随時状況を報
告し、最終報
告を終了時点
に提出
品質評価
基準書
各工程における品質評価基準を表した文書
品質計画実施
報告書
各工程における品質管理活動の実施報告をまとめた文
書
SLA
文書
SLA 合意書 当省担当職員
及び当省関係
者の指定する
日
(1) 成果物フォーマット
成果物については、紙媒体で納入する(移行データファイル、ソースプログラム、実行形式プログラ
ム、各種定義ファイルは除く)とともに、Microsoft Word 2016、Microsoft Excel 2016 又は Microsoft
PowerPoint 2016 以上の形式で、レイアウトの崩れなく読み取れるように作成されたファイル及び当該
ファイルを ISO 26300 (ODF)形式で保存したファイル、DXF 形式ファイル(図面データのみ)を ISO
9660 形式にフォーマットされた CD-R 等に記録して納入すること。
納品部数は、すべての成果物について、紙媒体(移行データファイル、ソースプログラム、実行形式
プログラム、各種定義ファイルは除く)1 部及び電子媒体 2 部とすること。
1.5 納入場所 〒100-8901 東京都千代田区霞が関1-3-1
経済産業省大臣官房秘書課
5
2. 作業内容 2.1 実施作業について
「職員情報 DB」及び「勤怠管理システム」のシステム開発及び運用として以下の作業を行うこ
と。 (1) プロジェクト管理関連
経済産業省大臣官房秘書課担当職員(以下「担当職員」という。)及び当省関係者と協議の上、「プ
ロジェクト計画書」を策定し、了承を得ること。
(2) 基本設計工程
「基本設計書」を作成し、事前に担当職員及び当省関係者の了承を得ること。
チェックポイントの確認を行うこと。
(3) 詳細設計工程
「詳細設計書」を作成し、事前に担当職員及び当省関係者の了承を得ること。
チェックポイントの確認を行うこと。
(4) 開発工程
本仕様書の「3.新システム開発仕様」で要求されている仕様でシステムの開発作業を行うこと。
(5) テスト工程(作動確認試験)
テスト用の環境において、本仕様書にかかる機能確認として、作動確認試験を実施すること。
作動確認作業の結果報告書を作成し、担当職員及び当省関係者を対象に報告会を省内で実施す
ること。なお、報告会資料は、事前に担当職員及び当省関係者の了承を得ること。
報告会の開催場所・開催日程については担当職員及び当省関係者と調整すること。
(6) データ移行工程
(ア) 当省が保有するデータの整備に関する支援を実施すること。
(イ) 移行作業に必要となるツールの開発を実施すること。
(ウ) 移行作業の支援を実施すること。
(エ) 移行結果の検証を実施すること。
(7) ユーザ研修
業務アプリケーションのユーザ研修を計画・実施すること。
研修は、「人事系業務」「勤怠管理業務」の別で各 2 回対面形式で実施すること。
また、当省がユーザや省内等に向けて周知を行うため、支援を行うこと。
(8) 導入工程
「業務マニュアル」及び「システム保守・運用業務マニュアル」を作成し、事前に担当職員及び当省
関係者の了承を得ること。
人事系業務マニュアルは「秘書課の業務担当者向け」「管理者向け」の 2 種類。
勤怠管理業務マニュアルは「一般職員向け」「勤務時間管理者向け」「管理者向け」の 3 種類。
(9) 運用・保守工程
運用・保守における主な業務内容は以下のとおりである。
(ア) 別途調達する運用・保守事業者が運用期間中のシステム改善を実施可能とするよう、本システ
ムの運用保守設計を実施すること。
(イ) 作成した運用保守設計に基づき、本システムの稼働開始から当該年度末までの間、本システム
の運用・保守を実施するとともに、別途調達する運用・保守事業者に業務引継を行うこと。
(10) 調整事項
作業に際して発生した不明な点は、担当職員及び当省関係者と協議し解決すること。
関連する既存のシステムとの外部インタフェースの設計、開発及び作動確認試験においては、担当
職員及び当省関係者と調整の上、既存のシステムの改修業者(別契約)と連携・調整を行うこと。
6
2.2 作業スケジュール 作業スケジュールは、下記を想定している。
開発工程の前半にて、「職員情報 DB(人事系業務)」及び「勤怠管理システム」からそれぞれの代表業務
を2つ程度選定し、プロトタイピングを実施し当省ユーザからの意見聴取を行うことで、後続の工程での手
戻りを抑止すること。
なお、詳細については担当職員及び当省関係者と協議し、その指示に従うこと。
2.3 プロジェクト管理 (1) 遵守すべきガイドライン等
本事業の実施に当たっては、原則として「デジタル・ガバメント推進標準ガイドライン」(平成 30 年 3
月 30 日各府省情報化統括責任者(CIO)連絡会議決定)等に記載された事項を遵守すること。
また、今後契約期間中に当該文書が改定された場合にはそれに従うこととするが、より良い作業の
進め方又は開発手法について提案がある場合には、当省に提示し、協議の上認められたものにつ
いては実施することができる。
(2) プロジェクト計画書の作成
受注者は、契約締結後 1 週間以内に、作業体制と共に、作業内容及びスケジュール等について記
載したプロジェクト計画書を策定し、当省に提出し、了承を受けること。
プロジェクト計画書においては、プロジェクト管理を行うために、進捗管理方法・課題管理方法につ
いて記載すること。
作業体制には、作業責任者、個人情報取扱責任者及び作業担当者の氏名、所属及び担当作業並
びに指揮命令系統、情報セキュリティ対策に係る管理・連絡体制及び連絡先を記載すること。
(3) 作業報告
(ア) 作業管理
受注者は、作成したプロジェクト計画書に基づいて、本事業の各工程において、プロジェクト管
理を的確に実施すること。
(イ) 作業報告
受注者は、作成したプロジェクト計画書に基づき、進捗状況及び課題状況を取りまとめ、定期的
(隔週程度)に報告会を実施し、当省への報告を行うこと。
報告会では、実施作業の進捗状況及び予定並びに課題状況を文書によって説明することとし、
その都度担当職員及び当省関係者の了承を得ること。
また、報告会において重点的に検討する事項がある場合は、検討用資料を作成すること。
なお、進捗に遅れが生じた場合は速やかに担当職員及び当省関係者に報告し、是正措置を
講じること。ただし、是正措置を講じても進捗の遅れが改善されず、両者で協議を行った結果、
納期までの完了が達せられないと当省が判断した場合は、本契約の解除事項とすることができ
るものとする。
(ウ) 議事録の作成
7
打合せ等の議事録は、打合せ翌 3 営業日以内に受注者にて作成・提示して、担当職員及び当
省関係者の了承を得ることとし、その他に当省との確認事項のやり取りについても、受注者にて
文書に記録し、担当職員及び当省関係者の確認を得るものとする。
(4) その他
プロジェクト計画書を変更する場合は、担当職員及び当省関係者に提出し了承を得ること。
受注者は、担当職員及び当省関係者が常時契約履行に関する調査を行える体制とすること。
作業手順の事前確認や複数の担当者による作業連携等、効率的かつ円滑な作業体制を確保する
こと。
契約後、受注者は速やかに「機密保持体制表」を提示した上で、本作業についての説明を行うこと。
8
3. 新システム開発仕様 3.1 機能要件
機能・画面・帳票 以下に各システムに求める業務のラインナップを記載する。各業務に搭載する機能・画面・帳票の詳
細は、別添「調達仕様書別添資料一覧」「新業務フローサマリ」新業務フロー案」「要件定義書(SFC)」
「機能要件一覧(詳細)」「移行要件一覧」「システム相関図」「IF 一覧」「帳票一覧」「サンプル帳票」
「DB 基本管理項目」、および入札公告後の資料閲覧により提示する「現業務フロー」「要件定義書
(BFC)」を参照すること。
(1) 「職員情報 DB」で実施する業務
(ア) 組織管理
(イ) 人材カルテ
(ウ) 採用
常勤・非常勤などの区分ごとに業務フローは異なる
(エ) 任用
管理職・非管理職などの区分ごとに業務フローは異なる
(オ) 昇格・昇任・昇給
個々に業務フローは異なる
(カ) 研修管理
(キ) 各種情報抽出
(2) 「勤怠管理システム」で実施する業務
(ア) 日々の勤務時間入力
当省の既存システムである基盤情報システムとの連携により、職員個々人の入力作業を極力簡
素化する
(イ) 各種申請・承認(休暇、フレックスなど)
(ウ) 月単位の勤務報告の申請・承認
(エ) 各種情報抽出
超過勤務時間の多い職員に対するアラート機能などを含む
(3) 共通機能
共通機能として以下の各機能を実装すること。
(ア) システム基盤
ユーザ管理
権限管理
シングルサインオン
(イ) データ移行
(ウ) システム間インタフェース
情報・データ (1) データ基本要件
本システムでは、関連するシステムへのインプットデータとして、各種データを出力する。本システム
でのコード値設計などのデータ設計については、本システム内での利用に限らず後続システムでの
利用を踏まえたデータ設計とすることを基本とする。
(2) データ定義(一般)
本システムのデータ定義の基本要件を以下に記す。
(ア) データ設計は共通語彙基盤を参照して行うこと。
(イ) 共通語彙基盤に定義されていない項目については自由に設計が可能であるが、データの構造
化を行い再利用しやすいデータとすること。
(ウ) インタフェースになるデータに関しては、データの意味や記述内容を定義したインタフェース設
計書を作成すること。
9
(エ) データ設計に当たっては、行政運営基本データ設計・運用実践ガイドブックβを参照すること。
(オ) コードを使う必要がある場合には、できるだけ既存のコードを活用すること。コードの設計に当た
っては、コード(分類体系)設計・運用実践ガイドブックβを参照すること。
(カ) 他システムとの連携や過去データの参照が必要な場合には、そのデータのコンバージョンを実
施すること。
(キ) 氏名や法人名等の特段の指示がない場合には、文字の誤表示等を防ぐために、以下の条件
で文字を整備すること。
① 取り扱う日本語文字集合の範囲:JIS X 0213:2012
② 符号 JIS X 0221:2014(ISO/IEC 10646(UCS))の UCS-4 の範囲を符号化
③ 文字の符号化方式:UTF-8
(3) データ定義(氏名)
本システムの氏名に関するデータ定義の基本要件を以下に記す。
(ア) 氏名データは、「氏」と「名」を別データ項目で設定すること
(イ) 氏名データは、フリガナデータを持つこと
(ウ) 氏名データは、ローマ字名を持つこと
(エ) フリガナ氏名の入力を行う場合は、漢字氏名入力時に同時に自動入力(修正可能)できるように
することが望ましい。
(オ) 氏名で取り扱う日本語文字集合の範囲は文字情報基盤とし、外字の作成は行わない。
(カ) その後の処理で氏名を扱う必要がある場合には、代替文字の入力を戸籍文字に合わせて行う。
利用者との入出力以外は代替文字で処理を行い、できる限り戸籍文字での運用範囲を限定す
ること。
3.2 非機能要件 ユーザビリティ
(1) 【人事管理】ユーザは担当業務に知見を持つ当省職員である。パソコンを用いて操作する。人事情
報の参照、登録、帳票の出力等に利用する。
【勤怠管理】ユーザは当省職員である。パソコンを用いて操作する。勤怠記録の申請・承認に利用す
る。
(2) ユーザが想定する流れに沿った手順(画面遷移・タブの移動順等)であること。
(3) ユーザが必要な操作を想起しやすい画面構成であること。
(4) できる限り、最小限の操作で業務が可能な画面構成とすること。
(5) 操作の指示や説明、メニュー等には、ユーザが正しく理解できる用語が使用されていること。
(6) 基本的な用語、指示、デザインに一貫性があること。
(7) 必要に応じて確認画面が表示され、入力の取消、やり直しができること。
(8) エラーが発生した時には、ユーザが何をすべきかをメッセージ等で指示されるとともに、エラーコード
等、問題解決に資する情報が表示されること。
(9) ユーザが必要とする時に、ヘルプやマニュアル等を利用できること。
(10) 法定項目であっても、数値や用語を変更できること。(民間企業が準拠する法令と当省が準拠する
法令が異なる場合がある)
規模・拡張性
規模 (1) 本システムでは以下の通りの規模を想定している。
10
拡張性
(1) 業務処理量、ユーザ数、データ量が段階的に増加する想定のため、第一段階ではその段階で想定
される業務処理量、ユーザ数、データ量に最適なシステム規模で稼働し、かつ、その後の増加に対
応できること。
(2) サーバ負担軽減のため、分散処理可能な構成であること。
(3) 電子化対象業務の追加、省内外の接続先システムとのインタフェース、バッチ処理の追加、および
ユーザ種別の追加に対応できること。
(4) 主要なブラウザ、OS や Office 製品等の最新バージョンに迅速に対応されること。
上位互換性 (1) クライアント OS のバージョンアップに備え、OS の特定バージョンに依存する機能が判明している場
合は、その利用が最低限となっていること。
(2) 実行環境等のバージョンアップの際、必要な調査及び作業を実施することで、バージョンアップに対
応可能であること。
(3) 契約期間中にアプリケーション稼働環境として導入しているソフトウェアのバージョンアップが発生し
た場合は、原則、バージョンアップ後の環境を前提として開発が行われる。なお、バージョンアップの
決定時期によって対応が困難な場合には、当省と協議の上、その指示に従うこと。
(4) バージョンアップについて、技術的な問題等がある場合は、当省と協議の上、その指示に従うこと。
性能
オンライン処理の性能 (1) 応答時間について、基本的なリクエスト(20 項目・100 文字程度)に対し 1 秒を基本の目標時間とす
ること。
※ レスポンスタイムに外部システム連携処理は含まない
※ 目標値の達成率は 90%とする
(2) システムの応答時間については、ユーザにストレスを感じさせない充分なレスポンスが確保されてい
ること。
バッチ処理の性能 (1) 想定されるバッチ処理の例:勤怠実績の集計
指標名:勤怠実績の集計が終了するまでの時間
指標:業務に極力支障の出ない時間帯、かつ日次で処理を完了すること
達成率:100%
11
信頼性
可用性 (1) 365 日 24 時間の運用を目標とすること。
(2) 計画的システム停止期間を除く、99.5%の稼働率を目標値とすること。
(3) 通常時の負荷分散および障害発生時の縮退運転ができること。
(4) 障害発生時にも業務が継続できるよう待機系への切換えが可能であること。
(5) データのバックアップ処理は業務への影響が排除された設計となっていること。
(6) 障害時のデータ消失対策として、サーバ上のデータベースファイルは、冗長構成をとるものとするこ
と。
(7) 処理の結果を検証可能とするため、ログ等の証跡が画面などで確認できること。
完全性 (1) 30 日分のアプリケーションログがいつでも閲覧可能であり、30 日以前のログも請求・取得可能である
こと。
(2) 自動で最低 1 日 1 回、あるいはそれ以上の頻度でデータベースファイルのバックアップが取得され、
必要に応じ手動バックアップも可能であること。
(3) バックアップ取得の成否について、運用管理者へ通知する機能を具備していること。
(4) バックアップデータやトランザクションデータ等も含め、暗号化によってデータ保護が行われているこ
と。
(5) ノード、リソース(CPU・メモリ・ディスク)、プロセス、ジョブ、データベースの監視が実施されていること。
(6) 不正アクセスが無いか、攻撃検知・不正検知・防止ができること。
(7) マルウェアや Dos 攻撃に代表される、外部からの攻撃に対する対策が講じられていること。
(8) アプリケーション特有の脅威、脆弱性について対策が講じられていること。
継続性 (1) 【想定するリスク】
(ア) 地震、火災、風水害等、攻撃等による直接的な設備及びシステムの損壊
(イ) 本システム設置場所周辺のライフライン(電力、通信、交通等)の機能不全による本システムの
長時間停止
(ウ) 新型インフルエンザウイルスによるパンデミック、及び人員や交通機関の被災等による本システ
ムの運用者不在
(2) 【事業再開の定義】
(ア) システム運用をメインからバックアップセンタへ切替え、システム資源及び要員体制の範囲内で
の縮退運用により業務を継続できること
(イ) 冗長化構造やホットスタンバイ状態の予備機の提供等の対策を講じることで、大規模障害発生
時もサービスを継続できること
(3) 【目標値】
目標復旧地点:1 日
目標復旧時間:12 時間
中立性
オープンな標準的技術または製品に関する事項 (1) 提供されるハードウェア、ソフトウェア等は、原則としてオープンなインタフェースを利用して接続又は
データの入出力が可能であること。
(2) システム更改の際に、移行の妨げや特定の装置や情報システムに依存することを防止するため、原
則として情報システム内のデータを標準的な形式で取り出すことができるものであること。
他事業者への円滑な引継ぎに関する事項 (1) 特定の事業者に依存することなく、他者による保守、追加開発が可能なシステム構成であること。
12
情報セキュリティ (1) SQL インジェクションなどの脆弱性を排除する措置が講じられていること。
(2) クラウドサービスを利用する場合は、盗聴された場合でもデータの内容がわからないようにするため
の措置(個人データに対するパスワード設定や暗号化等)が講じられていること。
(3) 日本の個人情報保護法に準拠した安全管理対策が講じられていること。
(4) EU 一般データ保護規則(GDPR)に準拠した措置が講じられていること。
(5) 通信経路の分離
不正の防止及び発生時の影響範囲を限定するため、外部との通信を行うサーバ装置及び通信回
線装置のネットワークと、内部のサーバ装置、端末等のネットワークを通信回線上で分離すること。
(6) 不正通信の遮断
通信回線を介した不正を防止するため、不正アクセス及び許可されていない通信プロトコルを通
信回線上にて遮断する機能を備えること。
(7) 通信のなりすまし防止
情報システムのなりすましを防止するために、サーバの正当性を確認できる機能を備えるとともに、
許可されていない端末、サーバ装置、通信回線装置等の接続を防止する機能を備えること。
(8) サービス不能化の防止
サービスの継続性を確保するため、情報システムの負荷がしきい値を超えた場合に、通信遮断や
処理量の抑制等によってサービス停止の脅威を軽減する機能を備えること。
(9) 不正プログラムの感染防止
不正プログラム(ウイルス、ワーム、ボット等)による脅威に備えるため、想定される不正プログラム
の感染経路の全てにおいて感染を防止する機能を備えるとともに、新たに発見される不正プログ
ラムに対応するために機能の更新が可能であること。
(10) 不正プログラム対策の管理
システム全体として不正プログラムの感染防止機能を確実に動作させるため、当該機能の動作状
況及び更新状況を一元管理する機能を備えること。
(11) ログの蓄積・管理
情報システムに対する不正行為の検知、発生原因の特定に用いるために、情報システムの利用
記録、例外的事象の発生に関するログを蓄積し、2 年の期間保管するとともに、不正の検知、原因
特定に有効な管理機能(ログの検索機能、ログの蓄積不能時の対処機能等)を備えること。
指定された期間でログが自動削除できること。
(12) ログの保護
ログの不正な改ざんや削除を防止するため、ログに対するアクセス制御機能及び消去や改ざんの
事実を検出する機能を備えるとともに、ログのアーカイブデータの保護(消失及び破壊や改ざんの
脅威の軽減)のための措置を含む設計とすること。
(13) 時刻の正確性確保
情報セキュリティインシデント発生時の原因追及や不正行為の追跡において、ログの分析等を容
易にするため、システム内の機器を正確な時刻に同期する機能を備えること。
(14) 侵入検知
不正行為に迅速に対処するため、送受信される通信内容の監視及びサーバ装置のセキュリティ
状態の監視等によって、不正アクセスや不正侵入を検知及び通知する機能を備えること。
一定数以上のデータ取得、特定の時間帯でのデータ取得等、通常の業務によるデータベースの
操作から逸脱した操作のログの記録、警告を発する機能を有すること。
(15) サービス不能化の検知
サービスの継続性を確保するため、大量のアクセスや機器の異常による、サーバ装置、通信回線
装置又は通信回線の過負荷状態を検知する機能を備えること。
(16) 主体認証
情報システムによるサービスを許可された者のみに提供するため、情報システムにアクセスする主
体のうち当省職員の認証を行う機能として、当省の基盤情報システムの認証を利用したシングル
サインオンの方式を採用すること。
13
情報システムによるサービスを許可された者のみに提供するため、情報システムにアクセスする主
体のうち事業者側運用担当者の認証を行う機能として、複数要素による主体認証などの安全性の
高い方式を採用し、主体認証情報の推測や盗難等のリスクの軽減を行う機能として、情報システ
ムの認証履歴の記録と通知などの機能を備えること。
第三者の不正利用を防ぐため、必要に応じて一定時間画面操作がない場合、自動的にパスワー
ドロックまたはログオフする機能等が設定できること。
大規模な辞書を用いたパスワード解析等パスワードクラックへの耐性を備えること。
(17) ライフサイクル管理
主体のアクセス権を適切に管理するため、主体が用いるアカウント(識別コード、主体認証情報、
権限等)を管理(登録、更新、停止、削除等)するための機能を備えること。
(18) アクセス権管理
情報システムの利用範囲を利用者の職務に応じて制限するため、情報システムのアクセス権を職
務に応じて制御する機能を備えるとともに、アクセス権の割り当てを適切に設計すること。
情報システムを利用する主体ごとに識別コードを個別に付与すること。ただし、やむを得ず共用識
別コードを付与する必要がある場合には、以下の例のような利用者を特定できる仕組みを設けた
上で、共用識別コードの取扱いに関する規定を整備し、その規定に従って利用者に付与すること。
(ア) 当該情報システムにおける別途の認証手段を併用する
(イ) 入退室管理装置等の物理的認証手段を併用する
(19) 管理者権限の保護
特権を有する管理者による不正を防止するため、管理者権限を制御する機能を備えること。
データベースの管理に関する権限の不適切な付与を、設定により検知することができること。
(20) 通信経路上の盗聴防止
通信回線に対する盗聴行為や利用者の不注意による情報の漏えいを防止するため、通信回線を
暗号化する機能を備えること。暗号化の際に使用する暗号アルゴリズムについては、「電子政府推
奨暗号リスト」を参照し決定すること。
(21) 保存情報の機密性確保
情報システムに蓄積された情報の窃取や漏えいを防止するため、情報へのアクセスを制限できる
機能を備えること。また、保護すべき情報を利用者が直接アクセス可能な機器に保存しないことに
加えて、保存された情報を暗号化する機能を備えること。暗号化の際に使用する暗号アルゴリズム
については、「電子政府推奨暗号リスト」を参照し決定すること。
保管・バックアップ時や移送時においては、不正コピーや盗難があった際の対策(ファイルへのパ
スワード設定や暗号化等の個人データの内容が分からないようにするための措置)が講じられて
いること。
(22) 保存情報の完全性確保
情報の改ざんや意図しない消去等のリスクを軽減するため、情報の改ざんを検知する機能又は改
ざんされていないことを証明する機能を備えること。
(23) システムの構成管理
情報セキュリティインシデントの発生要因を減らすとともに、情報セキュリティインシデントの発生時
には迅速に対処するため、構築時の情報システムの構成(ハードウェア、ソフトウェア及びサービス
構成に関する詳細情報)が記載された文書を提出するとともに文書どおりの構成とし、加えて情報
システムに関する運用開始後の最新の構成情報及び稼働状況の管理を行う方法又は機能を備
えること。
(24) 調達する機器等に不正プログラム等が組み込まれることへの対策
機器等の製造工程において、府省庁が意図しない変更が加えられないよう適切な措置がとられて
おり、当該措置を継続的に実施していること。また、当該措置の実施状況を証明する資料を提出
すること。
(25) 情報セキュリティ水準低下の防止
情報システムの利用者の情報セキュリティ水準を低下させないように配慮した上でアプリケーショ
ンプログラムやウェブコンテンツ等を提供すること。
(26) プライバシー保護
情報システムにアクセスする利用者のアクセス履歴、入力情報等を当該利用者が意図しない形で
14
第三者に送信されないようにすること。
情報システム稼動環境 (1) 機能要件・その他の非機能要件を満たす前提で、最適なシステム構成であること。想定するシ
ステム構成の概要は以下の通り。
(2) 当省職員が使用する端末は、インターネット分離が図られているなど各種セキュリティ対策がな
されているため、制約条件があることを踏まえて本システムの設計開発を行うこと。詳細は入札公告
後の資料閲覧により提示する「インターネットのウェブサイト閲覧環境について」を参照すること。
この端末からの業務利用に支障がない構成とすること。
テスト (1) テスト方針
(ア) 本作業においては、単体テスト、結合テスト及び総合テストを実施すること。ユーザ受入テストに
ついては実施を支援すること。
(イ) テストにおいて重大な不具合等が発生した場合には、速やかに当省に報告を行い、不具合原
因を取り除き、テスト項目が全て合格するよう努めること。
(ウ) 情報システムを構成するソフトウェア及びハードウェアの脆弱性を悪用した不正を防止するため、
開発時及び構築時に脆弱性の有無を確認の上、運用上対処が必要な脆弱性は修正の上で納
入すること。
(2) テスト実施計画書の作成
受注者は、結合テスト、総合テスト及びユーザ受入テストごとにテスト実施計画書を作成し、当省の
了承を得ること。
(3) テスト結果報告
受注者は、テスト区分ごとにテスト結果報告書を作成し、当省の了承を得ること。
(4) 作業場所等
単体テスト及び結合テストについては、受注者で準備した環境にて実施すること。総合テスト及びユ
ーザ受入テストについては、当省内のユーザがテスト実施可能な環境を用意すること。
ただし、本番稼動に当たっては、テストデータやテストツール等が残らないよう、再インストール等の
措置を行うこと。
(5) ユーザ受入テスト支援
当省が実施するユーザ受入テストについて、受注者は以下に示す支援作業を行うこと。
(ア) ユーザ受入テスト実施計画の作成支援(支援体制の整備を含む)
15
(イ) ユーザ受入テスト仕様書の作成支援
(ウ) 環境の構築・設定、テスト方法・実施手順の支援、トラブル対応等のテスト実施に当たっての支
援
ユーザ研修 受注者は、以下の要件を踏まえて業務アプリケーションのユーザ研修を計画・実施すること。また、当省
がユーザや省内等に向けて周知を行うため、受注者においては支援を行うこと。
(1) 研修・支援活動設計書の作成
ユーザ研修を行うに当たっては、本項に定める対象ユーザに対し必要となる研修及び支援内容を
踏まえて研修・支援活動設計書を作成し、担当職員及び当省関係者の了承を得ること。
(2) 対象者
ユーザ研修の対象者は当省職員である。システム管理者及び一般ユーザとなる職員に対して集合
研修を実施し、システムの運用及び操作方法について、研修を実施すること。
(3) 研修の実施スケジュール
研修は、本システムの運用開始までに実施すること。詳細な実施期間については担当職員及び当
省関係者と協議の上決定すること。
(4) 研修内容
(ア) マニュアルの配布
① マニュアルは、当省職員向けの業務マニュアル及びシステム保守・運用業務マニュアルの
2 種類を作成すること。
② マニュアルにおいては、ユーザの権限ごとに実施可能な業務内容及び当該業務の操作手
順を記載すること。
③ マニュアルはシステムの一般的な操作について、ユーザにわかり易く説明すること。
④ 印刷した場合の用紙サイズは A4 縦形式とすること。
⑤ 用語集、索引を記載すること。
⑥ IT の専門用語等、一般的に分かりにくい用語については、注釈を記載すること。
⑦ マニュアルの原本は、当省にて改版可能な形式での電子ファイルとすること。
⑧ マニュアルの配布は、当省が実施する。
(イ) 集合研修の実施
① 受注者は、当省職員向けの集合研修を実施することとし、システムの概要及び操作手順等
について理解するための研修テキスト及び研修用デモ等を準備すること。
② 集合研修においては、当省職員が実際の業務に沿った画面操作を確認できる内容とする
こと。
③ 集合研修の講師は、システムの運用や操作手順に精通した者が担当すること。
④ 集合研修実施場所については当省内とする。
⑤ 対象となる全ての当省職員が集合研修を受講できない可能性があるため、集合研修に参
加できない者へのフォローアップの方法等を検討し、研修・支援活動設計書に記載するこ
と。
運用・保守
運用 (1) 当省側で確保する必要がある運用体制、その人員数、要求されるスキルが、オンサイト/バックヤード
の別ごとに明示されており、かつそれらが必要最低限のものであること。
(2) SLA がオンサイト/バックヤードの別ごとに作成されること。
(3) 情報の漏えいを防止するため、施錠可能なサーバラックの採用等によって、物理的な手段による情
報窃取行為を防止・検知するための機能を備えること。
(4) 物理的な手段によるセキュリティ侵害に対抗するため、情報システムの構成装置(重要情報を扱う装
置)については、外部からの侵入対策が講じられた場所に設置すること。
(5) 記憶装置の廃棄または交換時には、当該装置に情報が残留した状態とならないよう、全ての情報を
復元できないように抹消すること。
16
(6) インシデント発生時に備え、関係者の責任分界点を明確に定義したインシデント対応手順を整備す
ること。
保守 (1) 法改正に伴う機能変更が提供されること。
(2) 当省の制度変更に迅速に対応できること。
(3) 導入後、当省の要望した新たな機能(改善含む)に迅速に対応できること。
(4) 導入後、機能の追加・改善があった場合、該当の追加・改善が提供されること。
(5) 教育や機能確認を行うための検証環境が構築できること。
(6) 検証環境と本番環境のデータ格納領域は相互に干渉しないこと。
(7) 検証環境と本番環境は独立してプログラムのリリースやアップデートができること。
(8) 本番環境から検証環境のデータの移行ができる。その際、必要に応じてデータのマスクができること。
(9) 稼動時間帯は自由に設定できること。
(10) 過去データが10年以上移行・保管できること。
(11) 運用開始後、新たに発見される脆弱性を悪用した不正を防止するため、情報システムを構成するソ
フトウェア及びハードウェアの更新及びセキュリティパッチの適用を効率的に実施する機能を備える
とともに、情報システム全体の更新漏れを防止する機能を備えること。
17
4. 作業の体制及び方法 4.1 企業としての実績・資格
以下の要件を満たすこと。
(1) 経済産業省所管の契約に係る競争参加者資格審査事務取扱要領(昭和 38 年 6 月 26 日付け 38
会第 391 号。)により、平成 22・23・24 年度経済産業省競争参加資格(全省庁統一資格)「役務の提
供等」の「A」、「B」、「C」又は、「D」の等級に格付けされている者であって、ソフトウェア開発の営業
品目を選択した者であること。
(2) 本作業に従事する部門が、ISMS 又は ISO27001 を取得していること。
(3) 本作業に従事する部門が、ISO9001 を取得していること。
4.2 作業体制 以下の要件を満たす者を配置した体制とすること。
(1) 本作業の作業体制表を提出し、作業責任者と個人情報取扱責任者を各々1名ずつ選任すること。
(2) 作業責任者は、経済産業大臣が認定する情報処理技術者(プロジェクトマネージャ)若しくは米国
PMI 認定の PMP(Project Management Professional)又はこれらと同等の資格の有資格者又はこれら
と同等の技術水準を満たすことを業務経験等から証明できる者とすること。
(3) 本作業を担当する従事者の中に、経済産業大臣が認定する情報処理技術者試験制度の「ITストラ
テジスト」試験の合格者若しくは中小企業診断士の有資格者又はこれらと同等の技術水準を満たす
ことを業務経験等から証明できる者を1名以上含めること。
(4) 本作業を担当する従事者の中に、情報処理技術者試験制度のシステムアーキテクト試験若しくはア
プリケーションエンジニア試験の合格者又はこれらと同等の技術水準を満たすことを業務経験等から
証明できる者を1名以上含めること。
4.3 開発方法 (1) 開発環境
(ア) 受注者は、システム開発に必要な作業場所、システム開発に必要な機器、開発機器に必要な
設置場所及び備品・消耗品を自ら用意すること。
(イ) システム全体について、使用するソフトウェアの生産者の如何にかかわらず受注者が最終責任
を負うこと。
(ウ) 作業場所の入退室管理、作業場所内での開発機器、情報の取り扱い等については、「4.4 情
報セキュリティに関する事項」及び「4.7 機密保持」に基づき、受注者が責任を持って管理する
こと。
4.4 情報セキュリティに関する事項 (1) 受注者は、契約締結後速やかに、情報セキュリティを確保するための体制を定めたものを含み、以
下に記載する事項の遵守の方法及び提出を求める情報、書類等について、当省に提示し了承を得
た上で確認書類として提出すること。また、契約期間中に、当省の要請により、確認書類に記載した
事項に係る実施状況を紙媒体又は電子媒体により報告すること。なお、報告の内容について、当省
と受注者が協議し不十分であると認めた場合、受注者は、速やかに当省と協議し対策を講ずること。
(2) 受注者は、本事業に使用するソフトウェア、電子計算機等に係る脆弱性対策、不正プログラム対策、
サービス不能攻撃対策、標的型攻撃対策、アクセス制御対策、情報漏えい対策を講じるとともに、契
約期間中にこれらの対策に関する情報セキュリティ教育を本事業にかかわる従事者に対し実施する
こと。
(3) 受注者は、貸与された紙媒体、電子媒体の取扱いには十分注意を払い、当省内に複製が可能な電
子計算機等の機器を持ち込んで作業を行う必要がある場合には、事前に当省の許可を得ること。な
お、この場合であっても、当省の許可なく複製してはならない。また、作業終了後には、持ち込んだ
機器から貸与した電子媒体の情報が消去されていることを当省が確認できる方法で証明すること。
(4) 受注者は、貸与された紙媒体、電子媒体であっても、当省の許可なく当省外で複製してはならない。
また、作業終了後には、複製した情報等が電子計算機等から消去されていることを当省が確認でき
18
る方法で証明すること。
(5) 受注者は、本事業を終了又は契約解除する場合には、当省から貸与された紙媒体、電子媒体を速
やかに当省に返却又は廃棄若しくは消去すること。その際、当省の確認を必ず受けること。
(6) 受注者は、契約期間中及び契約終了後においても、本事業に関して知り得た当省の業務上の内容
について、他に漏らし又は他の目的に利用してはならない。
(7) 受注者は、本事業の遂行において、情報セキュリティが侵害され又はそのおそれがある場合には、
速やかに当省に報告を行い、原因究明及びその対処方法等について当省と協議し実施すること。
(8) 受注者は、経済産業省情報セキュリティ管理規程(平成 18・03・22 シ第 1 号)、経済産業省情報セキ
ュリティ対策基準(平成 18・03・24 シ第 1 号)及び「政府機関等の情報セキュリティ対策のための統一
基準群(平成 30 年度版)」(以下「規程等」と総称する。)を遵守すること。また、契約締結時に規程等
が改正されている場合は、改正後の規程等を遵守すること。
(9) 受注者は、当省が実施する情報セキュリティ監査又はシステム監査を受け入れるとともに、指摘事項
への対応を行うこと。
(10) 受注者は、外部公開ウェブサイト(以下「ウェブサイト」という。)を構築又は運用するプラットフォームと
して、受注者自身(再委託(作業/事業の一部を第三者に委託することをいい、外注及び請負を含
む。以下同じ。)先を含む。)が管理責任を有するサーバ等を利用する場合には、OS、ミドルウェア
等のソフトウェアの脆弱性情報を収集し、セキュリティ修正プログラムが提供されている場合には業務
影響に配慮しつつ、速やかに適用を実施すること。また、ウェブサイト構築時においてはサービス開
始前に、運用中においては年 1 回以上、ポートスキャン、既知の脆弱性検査を含むプラットフォーム
診断を実施し、脆弱性を検出した場合には必要な対策を実施すること。
(11) 受注者は、ウェブサイト上のウェブアプリケーションの構築又は改修を行う場合には、独立行政法人
情報処理推進機構が公開する最新の「安全なウェブサイトの作り方」(以下「作り方」という。)に基づ
くこと。また、構築又は改修したウェブアプリケーションのサービス開始前に、「作り方」に記載されて
いる脆弱性の検査を含むウェブアプリケーション診断を実施し、脆弱性を検出した場合には必要な
対策を実施すること。あわせて、「作り方」のチェックリストに従い対応状況を確認し、その結果を記入
したチェックリストを当省に提出すること。チェックリストの結果に基づき、当省から指示があった場合
は、それに従うこと。
(12) 受注者は、ウェブサイト又は電子メール送受信機能を含むシステムを構築又は運用する場合には、
原則、政府機関のドメインであることが保証されるドメイン名「.go.jp」(以下「政府ドメイン名」という。)
を使用すること。政府ドメイン名を使用しない場合には、第三者による悪用等を防止するため、本事
業完了後、一定期間ドメイン名の使用権を保持すること。
(13) 受注者は、電子メール送受信機能を含むシステムを構築又は運用する場合には、SPF(Sender
Policy Framework)等のなりすましの防止策を講ずること。
(14) 受注者は、情報システム(ウェブサイトを含む。以下同じ。)の設計、構築、運用、保守、廃棄等(電子
計算機、電子計算機が組み込まれた機器、通信回線装置、電磁的記録媒体等のハードウェア又は
ソフトウェア(以下「機器等」という。)の調達を含む場合には、その製造工程を含む。)の各工程にお
いて、当省の意図しない変更や機密情報の窃取等が行われないことを保証する管理が、一貫した
品質保証体制の下でなされていること。また、具体的な管理手順や品質保証体制を証明する書類
等を提出すること。
(15) 受注者は、情報システムや機器等に意図しない変更が行われる等の不正が見つかったときに、追跡
調査や立入検査等、当省と連携して原因を調査し、排除するための手順及び体制を整備しているこ
と。それらが妥当であることを証明するため書類を提出すること。
(16) 受注者は、本事業に従事する者を限定すること。また、受注者の資本関係・役員の情報、本事業の
実施場所、本事業の全ての従事者の所属、専門性(情報セキュリティに係る資格・研修実績等)、実
績及び国籍に関する情報を当省に提示すること。なお、本事業の実施期間中に従事者を変更等す
る場合は、事前にこれらの情報を当省に再提示すること。
(17) 受注者は、サポート期限が切れた又は本事業の期間中にサポート期限が切れる予定がある等、サポ
ートが受けられないソフトウェアの利用を行わない及びその利用を前提としないこと。また、ソフトウェ
アの名称・バージョン・導入箇所等を管理台帳で管理することに加え、サポート期限に関するものを
含むソフトウェアの脆弱性情報を収集し、当省に情報提供するとともに、情報を入手した場合には脆
弱性対策計画を作成し、当省の確認を得た上で対策を講ずること。
19
(18) 受注者は、本事業を実施するに当たり、約款による外部サービスやソーシャルメディアサービスを利
用する場合には、それらサービスで要機密情報を扱わないことや不正アクセス対策を実施するなど
規程等を遵守すること。
(19) 本事業に定める準拠法・裁判管轄は日本とすること。
(20) 受注者は、本事業を再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリテ
ィが十分に確保されるよう、上記(1)~(19)の措置の実施を契約等により再委託先に担保させること。
また、(1)の確認書類には再委託先に係るものも含むこと。
4.5 瑕疵責任 (1) 当省は、本事業が完了した後でも納品物に瑕疵があることを発見したときは、受注者に対して相当の期間
を定めて、その瑕疵の補修をさせることができる。
(2) (1)の瑕疵の補修をさせることができる期間は、納品物の引渡しを受けてから 1年間とする。
(3) 受注者が(1)の期間内に瑕疵の補修をしないときは、当省は受注者の負担において第三者に瑕疵の補修
をさせることができる。
4.6 著作権 (1) 本作業の納入成果物の著作権は、検収が完了した時点で、当省に移転する。
(2) 受注者は、納入成果物の作成に当たり、第三者の著作権、工業所有権、ライセンス又はノウハウ(以
下、「著作権等」という。)を実施・使用するときは、その実施・使用に対する一切の責任を負う。また、
受注者は、当省以外の組織において納入成果物を活用する場合に調整が必要となる著作権等を一
覧にした「ライセンス等に関する報告書」を作成の上、提出する。
4.7 機密保持 (1) 機密保持
(ア) 当省が開示した情報、契約履行過程で生じた納入成果物(印刷した帳票を含む。)及び本作業
の履行上知り得た一切の事項について、いかなる場合にもこれを当省が開示することを認めて
いない第三者に開示又は漏えいしてはならないものとし、そのために必要な措置を講じること。
また、「機密保持体制表」を作成し、当省の了承を得ること。
当省が提供した情報を第三者に開示する必要がある場合には、事前に当省と協議し、了承を
得ること。
なお、上記の開示又は漏えい防止、当省の了承を得ることについては、本作業の委託期間終
了後も同様とする。
(イ) 本作業の実施に当たって、受領、作成及び出力した一切の情報について、当省の許可なく作
業実施場所から持ち出してはならない。
(ウ) 当省が提供する本作業に関連する文書等について、当省が用意する場所に保管し、原則とし
て、契約期間終了時までに返却又は裁断・溶解等の処分を行うこと。
(エ) 本事業の履行上発生したプログラム、データ及びその他納品物については、当省の許可なし
に、事業実施場所から外部に持ち出したり、外部からアクセスできる状態に置いてはならない。
(オ) 当省以外の物品等を事業実施場所へ持ち込み、又は当省の物品を事業実施場所から持ち出
す場合は、事前に当省の許可を得ること。
(カ) 電子媒体によって運用するプログラム、データ及び文書等については、ウィルスチェックを実施
すること。
(2) 個人情報の保護
(ア) 個人情報の取扱いに係る事項については、当省と協議の上決定し、書面で提出すること。また、
個人情報の適正な取扱いを図るための責任者を選任し、併せて報告を行うこと。
(イ) 個人情報を複製する際には、事前に当省の許可を得ること。ただし、複製の実施は必要最小限
とし、複製が不要となり次第、その内容が絶対に復元することができないように破棄・消去を実
施すること。なお、受注者は廃棄作業が適切に行われたことを確認し、その保証をすること。
20
(ウ) 受注者が、個人情報の取扱いにおいて、適正な取扱いをしなかった場合は、本作業の契約解
除の措置を受けることがある。
(エ) 受注者が、本作業を履行する上で個人情報の漏えい等、個人情報の秘密保持に反する行為
及び安全確保の上で問題となる事案等を把握した場合には、直ちに当省に報告すること。
21
5. その他 本仕様書に関して疑義が生じたとき又は本仕様書に定めがなく、かつ、契約書にも記載のない事項につ
いては、協議の上、当省の指示に従うものとする。
