会 計 情 報 連 携 システムⅡ運 用 支 援 業 務 調 達 仕 様 書
1 業務の目的 本業務は、農林水産省政策統括官(以下「政策統括官」という。)が所有している米 麦の買入等に係る代金等の支払データの分散入力、米麦の売買取引等に係る消費税額・ 課税区分の管理及び食料安定供給特別会計特有の支払元受高の管理・食糧証券発行に必 要な情報の管理などを行う会計情報連携システムⅡ(以下「連携システム」という。) を円滑に運用するために必要な支援を行うことを目的とする。 2 契約期間等 (1)契約期間 平成 31(2019)年4月1日から平成 32(2020)年3月 31 日まで (2)調達案件 本業務に係るスケジュールについては、以下のとおりである。 調達案件 調達の方式 実施時期 会計情報連携システムⅡ運用支援業務 (本業務) 一般競争契約 (最低価格落札方式) 落札者決定:平成 31 年2月下旬 業務開始 :平成 31 年4月1日 3 システムの概要 (1)連携システムの主な機能 連携システムは、政策統括官が管理・運営する経理用データベースにおいて運用し ており、その主な機能は以下のとおりである。経理用データベースの概要図は図1「本 省LANシステム配下で稼動する連携システムの概要図」及び図2「連携システムの 業務フロー概要図」のとおりである。 ① 政策統括官が所管している米麦の買入等に係る代金の支出決定・支出等を行うた め、食料安定供給特別会計業務の担当者(以下「特会担当者」という。)が自らの パソコンを使用して支払登録データを分散入力し、財務省が運営する官庁会計シス テム(以下「ADAMSⅡ」という。)が用意している汎用媒体インタフェースを 活用してADAMSⅡへの登録処理を行う機能 ② 消費税の確定申告に備えた取引に関する消費税額・課税区分の管理・集計機能 ③ 米麦の買入代金及び補助金等の管理事業費等に係る資金繰り等を的確に行うため の収支管理機能 (2)連携システムの実行環境 連携システムの実行環境は 13 の(3)の⑤に示すとおり。○ 図1 本省LANシステム配下で稼動する連携システムの概要図 ○ 図2 連携システムの業務フロー概要図 共有 ①支払登録 支払負担行為登録等の支払に関する元票を登録するプログラム ②支払情報 ①支払登録で入力された内容に決定した支払日の情報やADAMSⅡへ登録するた めのデータを入力・作成するプログラム ③支払情報 ADAMSⅡ(官庁会計システム) 各種登録票入力機能 【入力情報】 支出負担行為、 支出負担行為即 支出決定に必要な 情報など 原課(特会担当者) ①支払登録 【業務内容】 支払日の決定・入力 取りまとめなど 各種登録票入力機能、 連携機能 ②支払情報 CSV連携 会計室(特会担当者) ADAMSⅡ 【支払業務】 支出負担行為、 支出負担行為即 支出決定決議など ③支払情報 支払(振込み)
4 本業務の実施場所及び経理用データベースの設置場所 (1)実施場所 ① 農林水産省本省内 ② 必要に応じて、受注者の施設内 (2)経理用データベースの設置場所 〒100-8950 東京都千代田区霞が関1-2-1 農林水産省政策統括官付総務・経営安定対策参事官付会計室 5 業務の内容及び成果物 次により、連携システム等の円滑な運用に必要な支援を行うこと。 なお、支援は、政策統括官が別途契約によりシステムの改修等を行った場合において も、当該別途契約によるシステム改修等後の最新のシステムを対象として行うものとす る。 (1)操作等の支援 ① 各種問合せ(機能、操作、エラー等及び保存データ類に関する事項)への対応 なお、対応の結果、必要に応じ、簡易なマニュアル等を作成すること ② 消費税関係等データ抽出作業への対応 ③ 年度切り替え処理への対応 ④ 連携システムの円滑な運用を維持するためのプログラムの機能追加・修正・設定 等 なお、プログラムの機能追加・修正等を行った場合は、必要に応じて、当該プロ グラムの追加・修正等を行った部分に係る設計ドキュメント・操作手順書を紙媒体 により、また、最新版(全体差替版)の「実行用プログラム・ソースプログラム・ 設計ドキュメント・操作手順書」を電子媒体(CD、DVD等をいう。以下同じ。) により各1式を提出すること (2)連携システムの環境管理等に関する支援 ① 経理用データベース及びクライアントの環境管理・設定等に関する支援(業務シ ステム関連ソフトウェア・データベースの設定・調整、バックアップソフトに関す る設定・支援、ユーザ管理、各種関連ソフトウェアインストール作業支援等)を行 うこと ② 経理用データベースに係るハードウェア・ソフトウェアに関する各種相談への対 応 ③ 経理用データベース又は経理用データベースに関連する障害への対応(調査・対 応、障害の切り分け等) ④ ネットワーク及びセキュリティ関係の支援・各種問合せへの対応 ⑤ 連携システムにおいて使用するアプリケーションの修正プログラム(バージョン アッププログラム、パッチ等)の動作検証及び適用 (3)その他 ① 担当者(15 連絡窓口等に掲げる担当者をいう。以下同じ。)が指示する業務の最 適化(帳票様式の修正、入出力作業の簡素化のための修正等)への対応(プログラ
ムの機能追加・修正・設定等を含む。) ② 明らかにハードウェアが原因で発生した障害については、障害の切り分けのほか、 復旧に必要な助言・提案 ③ 元号改正に伴うプログラム等の修正 (4)業務の引継ぎ 受注者は、次年度に調達する本業務の受注者に引き継ぐ事項(作業経緯、残存課題 等)を取りまとめた業務引継書を作成し、本契約満了時までに次年度の本業務の受注 予定者に対する引継ぎを行うものとする。ただし、受注者と受注予定者が同一の場合 は、省略できるものとする。 (5)成果物の納入 本業務の成果物は全て日本語で作成し、紙媒体及び電磁的記録媒体により作成し、 個別に定めた場合を除き、原則紙媒体は正・副各1部ずつ、電磁的記録媒体は1部を 納入するものとする。 なお、紙媒体による納入について、用紙のサイズは原則として日本工業規格A列4 番とするが、必要に応じて日本工業規格A列3番を使用すること。 また、電磁的記録媒体による納入については、不正プログラム対策ソフトウェアに よる確認を行うなどして、成果物に不正プログラムが混入することのないよう、適切 に対処することとし、対策ソフトウェアに関する情報(対策ソフトウェア名称、定義 パターンバージョン、確認年月日)を記載したラベルを貼り付けること。 (6)成果物の検収 以下の○成果物一覧表について受注者は、期限までに担当者に内容の説明を実施し 検収を受けること。なお、検収の結果、成果物に不備又は誤り等が見つかった場合に は、直ちに必要な修正、交換等を行い、変更点について担当者に説明を行った上で指 定された日時までに再度納入すること。 (7)成果物の瑕疵担保責任 受注者は、本業務について検収を行った日を起算日として1年間、成果物に対する 瑕疵担保責任を負うものとし、その期間内において瑕疵があることが判明した場合に は、その瑕疵が担当者の指示によって生じた場合を除き(ただし、受注者がその支持 が不適当であることを知りながら、又は過失により知らずに告げなかったときはこの 限りでない。)、受注者の責任及び負担において速やかに修正等を行い、指定された 日時までに再度納入するものとする。 なお、修正方法等については事前に担当者の承認を得てから着手するとともに、修 正結果等についても担当者の承認を受けること。 ○成果物一覧表 工程 成果物の名称 期限 契約締結時 業務実施体制 契約締結後 1週間以内 プログラムの機能追加・修正等 設計ドキュメント・操作手順書(紙媒体) 実行用プログラム・ソースプログラム・設計ドキュメント・ 操作手順書(電子媒体) 随時 各種問合せ(機能、操作、エラー 等及び保存データ類に関する事 項)への対応各所問合せ 簡易なマニュアル 随時
支援 業務引継書 契約満了時まで 作業実績一覧表 翌月 10 日 データ消去時 ソースプログラムの電子情報を消去した旨の書面 消去時 6 支援方法 (1)支援方法 本業務については、訪問対応のほか、担当者が必要に応じて行う指示により、電話 ・FAX・メール等の通信手段によるものとする。 (2)支援業務の実施 対応日時については、原則、次のとおりとする。なお、緊急の場合には、担当者と 受注者で協議の上、次の対応日時以外の日時も対応するものとする。 対応日:行政機関の休日に関する法律(昭和 63 年法律第 91 号)に定める行政機関の 休日を除く日(以下「開庁日」という。) 時 間:原則8:30~18:15 (3)支援体制等に係る資料の提出 別紙1「情報セキュリティの確保に関する共通基本仕様」のⅡの1、Ⅱの2及びⅢ の1に規定されている情報及び情報セキュリティの確保に関する事項のほか、次の事 項を記載した「業務実施体制」について、受注決定後、1週間以内に提出するものと する。 ① 実施体制(作業者・作業範囲)(※) ② 連絡先(通常時) ③ 緊急時の連絡先 (※)役職・氏名を含めること。 7 物品の使用等 (1)本業務の遂行に当たって、仮のシステムを構築する場合や資材等の準備が必要な場 合は、受注者の責任と負担で行うこと。 (2)本業務に係るプログラムの機能追加・修正等に当たっては、政策統括官が提供する 13の(3)の⑥に示す閲覧資料「連携システムの実行環境」中の「システム開発・ 修正に使用したソフト」を使用することができる。また、必要に応じてソースプログ ラムを使用することができる。 (3)(2)のソフトウェア及びシステムに係るソースプログラムについては、あらかじ め使用申請書(様式は任意)を提出すること。 また、受注者は、(2)のソフトウェアの使用後は、速やかに返却すること。 なお、ソフトウェアの返却の際は、使用を終了した旨及びソースプログラムの電子 情報を消去した旨の書面(様式は任意)を添えること。 8 支援作業実績の報告 受注者は、毎月、作業実績一覧表を翌月 10 日(ただし、契約最終月分は最終月の月末 とする。)までに担当者に提出すること。当該一覧表には、訪問・電話・FAX・メー ル等の対応方法の別を問わず、対応した作業全てを記載するものとし、様式は任意とす
る。ただし、実績がない月については、当該一覧表の提出は要しないものとする。 9 知的財産等 (1)受注者は、本契約に関して農林水産省が開示した情報(公知の情報を除く。以下同 じ。)及び契約履行過程で生じた納入物に関する情報を本契約の目的外に使用又は第 三者に開示もしくは漏洩してはならないものとし、そのために必要な措置を講ずるこ と(本件において知り得た事項については、外部に漏らさぬこと。)。 (2)本契約により作成される納入物の著作権等の取扱いは、次に定めるところによる。 ① 受注者は著作権法(昭和 45 年法律第 48 号)第 21 条(複製権)、第 26 条の3(貸 与権)、第 27 条(翻訳権・翻案権等)及び第 28 条(二次的著作物の利用に関する 原著作者の権利)に規定する権利を農林水産省に無償で譲渡すること。 ② 農林水産省は著作権法第 20 条(同一性保持権)第2項第3号又は第4号に該当し ない場合においても、その使用のために本調達仕様書等で規定する物件を改変し、 また、任意の著作者名で任意に公表することができるものとすること。 ③ 受注者は農林水産省の書面による事前の同意を得なければ、著作権法第 18 条(公 表権)及び第 19 条(氏名表示権)を行使することができないこと。 (3)納入物に第三者が権利を有する著作物(以下「既存著作物」という。)が含まれる 場合は、農林水産省が特に使用を指示した場合を除き、当該著作物の使用に必要な費 用の負担及び使用許諾契約に係る一切の手続きを行うこと。この場合、受注者は当該 契約等の内容について事前に担当部署(農林水産省政策統括官付総務・経営安定対策 参事官付会計室をいう。以下同じ。)の了承を得ることとし、農林水産省は既存著作 物について当該許諾要件の範囲内で使用するものとする。なお、本調達仕様書に基づ く作業に関し、第三者との間に著作権に係る権利侵害の紛争が生じた場合は、当該紛 争の原因が専ら農林水産省の責めに帰する場合を除き、受注者の責任、負担において 一切を処理すること。この場合、農林水産省は係る紛争等の事実を知ったときは、受 注者に通知し、必要な範囲で訴訟上の防衛を受注者に委ねる等の協力措置を講ずるも のとする。 (4)使用する画像、デザイン、表現等に関して他者の著作権を侵害する行為に十分配慮 し、これを行わないこと。 10 情報セキュリティの確保 (1)本業務の遂行に当たっては、「政府機関等の情報セキュリティ対策のための統一基 準群」*1及び別添1「情報セキュリティの確保に関する共通基本仕様」を参照し、定 められている事項について遵守すること。 (2)受注者は、以下①から⑥に掲げる情報セキュリティ対策を実施し、情報セキュリテ ィ水準の低下を招かないようにすること。また、担当部署から「アプリケーション・ コンテンツの作成及び提供に関する規程」の説明を受け、それに基づきアプリケーシ ョン・コンテンツの作成及び提供を行うこと。 *1 別途提供
① 提供するアプリケーション・コンテンツに不正プログラムを含めないこと。 ② 提供するアプリケーションに脆弱性を含めないこと。 ③ 実行プログラムの形式以外にコンテンツを提供する手段がない限り、実行プログ ラムの形式でコンテンツを提供しないこと。 ④ 電子証明書を利用するなど、提供するアプリケーション・コンテンツの改ざん等 がなく真正であることを確認できる手段がある場合には、それをアプリケーション ・コンテンツの提供先に与えること。 ⑤ 提供するアプリケーション・コンテンツの利用時に脆弱性が存在するバージョン のOSやソフトウェア等の利用を強制するなどの情報セキュリティ水準を低下さ せる設定変更をOSやソフトウェア等の利用者に要求することがないよう、アプリ ケーション・コンテンツの提供方法を定めて開発すること。 ⑥ サービス利用に当たって必須ではないサービス利用者その他の者に関する情報が 本人の意思に反して第三者に提供されるなどの機能がアプリケーション・コンテン ツに組み込まれることがないよう開発すること。 (3)本調達の受注により知り得たすべての事実については、契約期間中はもとより、契 約期間満了後においても永久に外部に漏らしてはならない。なお、本業務の一部を再 委託等する場合は、再委託等を受ける者も同様とする。 (4)情報が記録された情報機器を廃棄する場合は、その内容が絶対に復元できないよう にすること。また、「情報の格付及び取扱制限に関する規程」(平成 19 年8月 31 日 情報セキュリティに関する委員会決定)に基づき機密性2以上に格付けされた情報が 記録された書面等を廃棄する場合は、シュレッダーによる裁断等により復元が困難な 状態にすること。 (5)本業務の実施にあたり、情報が漏洩した場合には、直ちに担当部署に報告を行い、 担当部署の指示に従うとともに、損害が発生した場合には、その損害について賠償す ること。 11 個人情報の取扱いに関する事項 (1)個人情報の取扱いに係る事項について担当部署と協議の上決定し、書面にて提出す ること。なお、以下の事項を記載すること。 ① 個人情報保護取扱責任者の所属・氏名等を記載した管理体制 ② 個人情報の管理状況の検査に関する事項(検査時期、検査項目、検査結果におい て問題があった場合の対応等) (2)本業務の作業を派遣労働者に行わせる場合は、労働者派遣契約書に秘密保護義務な ど個人情報の適正な取扱いに関する事項を明記し、担当部署の了承を得た上で実施す ること。 (3)個人情報を複製する際には、事前に担当部署の了承を得ること。複製の実施は必要 最低限とし、複製が不要となり次第、その内容が絶対に復元できないように破棄・消 去を実施すること。また、受注者は廃棄作業が適切に行われたことを確認し、保証す ること。
(4)受注者は、本業務を履行する上で、行政機関の保有する個人情報の保護に関する法 律(平成 15 年5月 30 日付け法律第 58 号)を遵守し、個人情報(生存する個人に関す る情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個 人を識別することができるもの(他の情報と容易に照合することができ、それにより 特定の個人を識別することができることとなるものを含む。)をいう。)の漏洩等安 全確保の上で問題となる事案を把握した場合には、直ちに被害の拡大防止のため必要 な措置を講ずるとともに、担当部署に発生した事案の概要、被害状況、復旧等の措置 及び本人への対応等について直ちに報告すること。 12 応札者の条件 以下の条件を満たしていることの証明書及び資料等の写しを提出すること。 なお、本業務への応札希望者は、13 事前資料閲覧に従ってシステム設計書等、システ ム操作手順書等を閲覧し、必要に応じて担当者へ質問等を行い、その内容を理解しておく こと。 (1)本業務と同規模以上のシステム(CSV又はインターネットを経由して登録した情 報の受け渡しを行うシステム)の運用支援・保守業務の受注実績があること。 (2)情報セキュリティ確保に関する以下のいずれかを満たすこと。 なお、別紙1「情報セキュリティの確保に関する共通基本仕様」のⅡの2の認証等 については、社内規程等により情報セキュリティ水準が一定程度確保されていると認 められるときは、社内規程等及び社内規程等に基づく措置がとられている旨の書面の 提出をもって代えることができる。 ① ISO/IEC27001 等の国際規格とそれに基づく認証の証明書等 ② プライバシーマーク又はそれと同等の認証の証明書等 ③ IPA が公開する自己診断ツール(情報セキュリティ対策ベンチマーク)等、情報 セキュリティガバナンスの確立促進のために開発された自己評価の結果 ④ MS 認証信頼性向上イニシアティブに参画し、不祥事への対応や透明性確保に係る 取組を実施している実績 (3)複数の事業者が共同提案する場合、その中から全体の意思決定、運営管理等に責任 を持つ共同提案の代表者を定めるとともに、本代表者が本調達に対する入札を行うこ と。 共同提案を構成する事業者間においては、その結成、運営等について協定を締結し、 業務の遂行に当たっては、代表者を中心に、各事業者が協力して行い、事業者間の調 整事項、トラブル等の発生に際しては、その当事者となる当該事業者間で解決するこ と。また、解散後の瑕疵担保責任に関しても協定の内容に含めること。 共同提案を構成する全ての事業者は、本入札への単独提案又は他の共同提案への参 加を行っていないこと。 共同事業体を組織して入札に参加する場合、共同事業体の代表者又は構成員のう ち、いずれかの者により、上記(1)及び(2)の条件を満たすこと。 (4)本業務を直接担当する農林水産省CIO補佐官、農林水産省全体管理組織(PMO)
支援スタッフ及び農林水産省最高情報セキュリティアドバイザーが、その現に属する 事業者及びこの事業者の「財務諸表等の用語、様式及び作成方法に関する規則」(昭 和 38 年大蔵省令第 59 号)第8条に規定する親会社及び子会社、同一の親会社を持つ 会社並びに委託先等緊密な利害関係を有する事業者は、本書に係る業務に関して入札 に参加できないものとする。 13 事前資料閲覧 本業務への応札希望者は、連携システムに係る関係書類を事前に閲覧することができ る。 資料閲覧に当たっては、別紙様式1「秘密保持の誓約書」を提出するとともに、閲覧 者は、別紙様式2「閲覧管理簿」に署名・捺印をすること。 資料閲覧場所及び閲覧可能資料等は以下のとおりであり、コピー、写真撮影等の複製 は許可しない。 (1)閲覧場所 東京都千代田区霞が関1-2-1 農林水産省政策統括官内(担当者が指定する場所) (2)閲覧期間及び時間帯 ① 入札公告期間 ② 開庁日の 10 時~17 時(12 時~13 時を除く。) (3)閲覧可能資料 ① 汎用媒体インタフェース仕様書 ② 連携システム設計書等(システム実行環境、システムフォルダ構成) ③ 連携システム操作手順書 ④ 運用保守対応一覧表 ⑤ 連携システムの実行環境(ハードウェア、ソフトウェア) ⑥ 政策統括官経理用データベースの賃貸借及び保守等業務調達仕様書 14 その他 (1)本業務の遂行にあたり疑義等が生じた場合は、速やかに担当者へ確認・協議等する こと。 (2)本契約(仕様書)に基づき受注者に提供された書面(規程及び規則等)については、 受注者の管理の下、本業務遂行のためのみに使用することとし、本業務を完了したと きは、速やかに返却すること。 15 連絡窓口等 (1)連絡窓口 仕様書に関する連絡窓口は、以下のとおりである。 〒100-8950 東京都千代田区霞が関1-2-1
農林水産省政策統括官付総務・経営安定対策参事官付会計室 電話:03-6744-0540(直通)
担当者:特別会計経理班 (2)納入場所
別紙様式1
誓
約
書
農林水産省において、「会計情報連携システムⅡ運用支援業務調達仕様書」の 13 に基づ く資料閲覧を行うにあたり、農林水産省における情報セキュリティの確保に関する規則を 遵守し、以下の事項を厳守することを誓います。 記 1.貴省の事務所内で知り得た情報を他へ漏らさないこと。 2.貴省の情報に不正にアクセスしたり、意図的な情報入手をしないこと。 3.貴省の指示を遵守し、閲覧により得た情報は見積提出または応札に係る作業を実施す る目的の範囲に限って使用すること。 4.書類等の持ち出し、複製(コピー、写真撮影等を含む。)、改変等を一切行わないこ と。 5.貴省の許可なく、システムの規模、構成、手順等を書面にしないこと。 平成 年 月 日 社 名: 住 所: 氏 名: 印 以 上別紙様式2 管理番号
閲 覧 管 理 簿
閲覧対象物:汎用媒体インタフェース仕様書 (以下、「本仕様書」という。) 項番 項 目 内 容 1 閲覧日 平成 年 月 日 2 会社名 3 会社住所 4 役職名 5 閲覧者氏名 6 閲覧者印鑑 7 以下の閲覧条件に同意 同意する ≪閲覧条件≫ 以下の各項に定める閲覧条件に同意し、本閲覧管理簿に必要事項を記入し、記名及び 押印を行った場合に限り、本仕様書の閲覧を許可する。 1.「会計情報連携システムⅡ運用支援業務」のための見積提出または応札に係る作業 を実施する目的の範囲に限って、ADAMSⅡのインタフェースに関する機密情報を 農林水産省政策統括官庁舎内において閲覧のうえ使用し、それ以外の目的で財務省会 計センターの事前の書面による承諾なく機密情報を使用しないこと。 2.本仕様書を農林水産省政策統括官庁舎内においてのみ閲覧するものとし、本仕様 書の持ち出し、複製、改変等は一切行わないこと。 3.本仕様書に関する著作権、発明等、営業秘密、ノウハウその他一切の知的財産権 は財務省に帰属する。別添1 情報セキュリティの確保に関する共通基本仕様 Ⅰ 情報セキュリティポリシーの遵守 1 受託者は、担当部署から農林水産省における情報セキュリティの確保に関する規則(平成 27 年農林水産省訓令第4号。以下「規則」という。)等の説明を受けるとともに、本業務に係 る情報セキュリティ要件を遵守すること。 なお、規則は、政府機関等の情報セキュリティ対策のための統一基準群(以下「統一基準 群」という。)に準拠することとされていることから、受託者は、統一基準群の改定を踏まえて 規則が改正された場合には、本業務に関する影響分析を行うこと。 2 受託者は、規則と同等の情報セキュリティ管理体制を整備していること。 3 受託者は、本業務の従事者に対して、規則と同等の情報セキュリティ対策の教育を実施し ていること。 Ⅱ 受託者及び業務実施体制に関する情報の提供 1 受託者は、受託者の資本関係・役員等の情報、本業務の実施場所、本業務の従事者(契 約社員、派遣社員等の雇用形態は問わず、本業務に従事する全ての要員)の所属・専門性 (保有資格、研修受講実績等)・実績(業務実績、経験年数等)及び国籍に関する情報を記 載した資料を提出すること。 なお、本業務に従事する全ての要員に関する情報を記載することが困難な場合は、本業 務に従事する主要な要員に関する情報を記載するとともに、本業務に従事する部門等にお ける従事者に関する情報(○○国籍の者が△名(又は□%)等)を記載すること。また、この 場合であっても、担当部署からの要求に応じて、可能な限り要員に関する情報を提供するこ と。 2 受託者は、本業務を実施する部署、体制等の情報セキュリティ水準を証明する以下のいず れかの証明書等の写しを提出すること。 (1)ISO/IEC27001 等の国際規格とそれに基づく認証の証明書等 (2)プライバシーマーク又はそれと同等の認証の証明書等 (3)IPA が公開する自己診断ツール(情報セキュリティ対策ベンチマーク)等、情報セキュリティ ガバナンスの確立促進のために開発された自己評価の結果 (4)MS 認証信頼性向上イニシアティブに参画し、不祥事への対応や透明性確保に係る取組を 実施している実績 Ⅲ 業務の実施における情報セキュリティの確保 1 受託者は、本業務の実施に当たって、以下の措置を講じること。また、以下の措置を講じる ことを証明する資料を提出すること。 (1)本業務上知り得た情報(公知の情報を除く。)については、契約期間中はもとより契約終了
別添1 後においても第三者に開示及び本業務以外の目的で利用しないこと。 (2)本業務に従事した要員が異動、退職等をした後においても有効な守秘義務契約を締結す ること。 (3)本業務の各工程において、農林水産省の意図しない変更や機密情報の窃取等が行われ ないことを保証する管理が、一貫した品質保証体制の下でなされていること(例えば、品 質保証体制の責任者や各担当者がアクセス可能な範囲等を示した管理体制図、第三者 機関による品質保証体制を証明する書類等を提出すること。)。 (4)本業務において、農林水産省の意図しない変更が行われるなどの不正が見つかったとき に、追跡調査や立入調査等、農林水産省と連携して原因を調査し、排除するための手順 及び体制(例えば、システムの操作ログや作業履歴等を記録し、担当部署から要求され た場合には提出するなど)を整備していること。 (5)本業務において、個人情報又は農林水産省における要機密情報を取り扱う場合は、当該 情報(複製を含む。以下同じ。)を国内において取り扱うものとし、当該情報の国外への送 信・保存や当該情報への国外からのアクセスを行わないこと。 (6)本業務における情報セキュリティ対策の履行状況を定期的に報告すること。 (7)農林水産省が情報セキュリティ監査の実施を必要と判断した場合は、農林水産省又は農 林水産省が選定した事業者による立入調査等の情報セキュリティ監査(サイバーセキュリ ティ基本法(平成 26 年法律第 104 号)第 25 条第1項第2号に基づく監査等を含む。以下 同じ。)を受け入れること。また、担当部署からの要求があった場合は、受託者が自ら実 施した内部監査及び外部監査の結果を報告すること。 (8)本業務において、要安定情報を取り扱うなど、担当部署が可用性を確保する必要があると 認めた場合は、サービスレベルの保証を行うこと。 (9)本業務において、第三者に情報が漏えいするなどの情報セキュリティインシデントが発生 した場合は、担当部署に対し、速やかに電話、口頭等で報告するとともに、報告書を提出 すること。また、農林水産省の指示に従い、事態の収拾、被害の拡大防止、復旧、再発防 止等に全力を挙げること。なお、これらに要する費用の全ては受託者が負担すること。 (10)情報セキュリティ対策の履行が不十分な場合、農林水産省と協議の上、必要な改善策を 立案し、速やかに実施するなど、適切に対処すること。 2 受託者は、私物(本業務の従事者個人の所有物等、受託者管理外のものをいう。)の機器 等を本業務に用いないこと。 3 受託者は、成果物等を電磁的記録媒体により納品する場合には、不正プログラム対策ソフ トウェアによる確認を行うなどして、成果物に不正プログラムが混入することのないよう、適 切に対処するとともに、確認結果(確認日時、不正プログラム対策ソフトウェアの製品名、定 義ファイルのバージョン等)を成果物等に記載又は添付すること。 4 受託者は、本業務において取り扱われた情報を、担当部署の指示に従い、本業務上不要 となったとき若しくは本業務の終了までに返却又は復元できないよう抹消し、その結果を担
別添1 当部署に書面で報告すること。 Ⅳ 情報システムの各工程における情報セキュリティの確保 1 受託者は、本業務において情報システムの運用管理機能又は設計・開発に係る企画・要 件定義を行う場合には、以下の措置を実施すること。 (1)情報システム運用時のセキュリティ監視等の運用管理機能を明確化し、本業務の成果物 へ適切に反映するために、以下を含む措置を実施すること。 ア 情報システム運用時に情報セキュリティ確保のために必要となる管理機能を本業務 の成果物に明記すること。 イ 情報セキュリティインシデントの発生を監視する必要がある場合、監視のために必要 な機能について、以下を例とする機能を本業務の成果物に明記すること。 (ア)農林水産省外と通信回線で接続している箇所における外部からの不正アクセスを監 視する機能 (イ)不正プログラム感染や踏み台に利用されること等による農林水産省外への不正な通 信を監視する機能 (ウ)農林水産省内通信回線への端末の接続を監視する機能 (エ)端末への外部電磁的記録媒体の挿入を監視する機能 (オ)サーバ装置等の機器の動作を監視する機能 (2)開発する情報システムに関連する脆(ぜい)弱性への対策が実施されるよう、以下を含む 対策を本業務の成果物に明記すること。 ア 既知の脆(ぜい)弱性が存在するソフトウェアや機能モジュールを情報システムの構 成要素としないこと。 イ 開発時に情報システムに脆(ぜい)弱性が混入されることを防ぐためのセキュリティ実 装方針を定めること。 ウ セキュリティ侵害につながる脆(ぜい)弱性が情報システムに存在することが発覚した 場合に修正が施されること。 エ ソフトウェアのサポート期間又はサポート打ち切り計画に関する情報を提供すること。 2 受託者は、本業務において情報システムの設計・開発を行う場合には、以下の事項を含む 措置を適切に実施すること。 (1)情報システムのセキュリティ要件の適切な実装 (2)情報セキュリティの観点に基づく試験の実施 ア ソフトウェアの開発及び試験を行う場合は、運用中の情報システムと分離して実施す ること。 イ 試験項目及び試験方法を定め、これに基づいて試験を実施すること。 ウ 試験の実施記録を作成し保存すること。 (3)情報システムの開発環境及び開発工程における情報セキュリティ対策
別添1 ア ソースコードが不正に変更されることを防止するため、ソースコードの変更管理、アク セス制御及びバックアップの取得について適切に管理すること。 イ 調達仕様書等に規定されたセキュリティ実装方針に従うこと。 ウ セキュリティ機能の適切な実装、セキュリティ実装方針に従った実装が行われている ことを確認するために、情報システムの設計及びソースコードを精査する範囲及び方法 を定め実施すること。 エ オフショア開発を実施する場合、試験データとして実データを使用しないこと。 3 受託者は、情報セキュリティの観点から調達仕様書で求める要件以外に必要となる措置が ある場合には、担当部署に報告し、協議の上、対策を講ずること。 4 受託者は、本業務において情報システムの運用・保守を行う場合には、情報システムに実 装されたセキュリティ機能が適切に運用されるよう、以下の事項を適切に実施すること。 (1)情報システムの運用環境に課せられるべき条件の整備 (2)情報システムのセキュリティ監視を行う場合の監視手順や連絡方法 (3)情報システムの保守における情報セキュリティ対策 (4)運用中の情報システムに脆(ぜい)弱性が存在することが判明した場合の情報セキュリテ ィ対策 (5)利用するソフトウェアのサポート期限等の定期的な情報収集及び報告 (6)政府情報システム管理データベース(以下「ODB」という。)の登録対象となる情報システ ムについては、「デジタル・ガバメント推進標準ガイドライン」(平成 30 年3月 30 日各府省 情報化統括責任者(CIO)連絡会議決定)の別紙3に基づくODBに情報を登録又は更新す るために必要な事項を記載したODB登録用シートの提出 (7)情報システムの利用者に使用を求めるソフトウェアのバージョンのサポート終了時におけ る、サポート継続中のバージョンでの動作検証及び当該バージョンで正常に動作させるた めの情報システムの改修等 5 受託者は、本業務において情報システムの運用・保守を行う場合には、運用保守段階へ移 行する前に、移行手順及び移行環境に関して、以下を含む情報セキュリティ対策を行うこと。 (1)情報セキュリティに関わる運用保守体制の整備 (2)運用保守要員へのセキュリティ機能の利用方法等に関わる教育の実施 (3)情報セキュリティインシデント(可能性がある事象を含む。以下同じ。)を認知した際の対処 方法の確立 6 受託者は、本業務において情報システムのセキュリティ監視を行う場合には、以下の内容 を含む監視手順を定め、適切に監視運用すること。 (1)監視するイベントの種類 (2)監視体制 (3)監視状況の報告手順 (4)情報セキュリティインシデントの可能性がある事象を認知した場合の報告手順
別添1 (5)監視運用における情報の取扱い(機密性の確保) 7 受託者は、本業務において運用中の情報システムに脆(ぜい)弱性が存在することを発見 した場合には、速やかに担当部署に報告し、本業務における運用・保守要件に従って脆(ぜ い)弱性の対策を行うこと。 8 受託者は、本業務において本業務の調達範囲外の情報システムを基盤とした情報システ ムを運用する場合は、運用管理する府省庁等との責任分界に応じた運用管理体制の下、 基盤となる情報システムの運用管理規程等に従い、基盤全体の情報セキュリティ水準を低 下させることのないよう、適切に情報システムを運用すること。 9 受託者は、本業務において情報システムの運用・保守を行う場合には、不正な行為及び意 図しない情報システムへのアクセス等の事象が発生した際に追跡できるように、運用・保守 に係る作業についての記録を管理すること。 10 受託者は、本業務において情報システムの更改又は廃棄を行う場合には、当該情報シス テムに保存されている情報について、以下の措置を適切に講ずること。 (1)情報システム更改時の情報の移行作業における情報セキュリティ対策 (2)情報システム廃棄時の不要な情報の抹消 Ⅴ クラウドサービスに関する情報セキュリティの確保 受託者は、本業務において、クラウドサービスを活用する場合には、以下の措置を講じること。 また、当該クラウドサービスの活用が本業務の再委託に該当する場合は、当該クラウドサービ スに対して、Ⅷの措置を講じること。 1 ISO/IEC27001 又はそれに基づく認証を取得しているクラウドサービスを採用すること。また、 当該認証の証明書等の写しを提出すること。 2 クラウドサービスの情報セキュリティ水準を証明する以下のいずれかの証明書等の写しを 提出すること。 (1)ISO/IEC 27017 又は ISMS クラウドセキュリティ認証制度に基づく認証
(2)セキュリティに係る内部統制の保証報告書(SOC 報告書(Service Organization Control Report)) (3)情報セキュリティ監査により対策の有効性が適切であることを証明する報告書(クラウド情 報セキュリティ監査制度に基づく CS マークが付された CS 言明書等) 3 クラウドサービスにおいて個人情報又は農林水産省における要機密情報が取り扱われる 場合には、当該クラウドサービスのデータセンター(バックアップセンターを含む。)は国内に 限ること。 4 クラウドサービスの廃止、サービス内容の変更等に伴い契約を終了する場合は、他のクラ ウドサービス等に円滑に移行できるよう、十分な期間をもって事前(サービス廃止等の1年 以上前が望ましい。)に担当部署へ通知すること。 5 クラウドサービスの契約を終了する場合、クラウドサービス上に保存された農林水産省の
別添1 データについて、汎用性のあるデータ形式に変換して提供するとともに、クラウドサービス上 において復元できないよう抹消し、その結果を担当部署に書面で報告すること。 6 クラウドサービスに係るアクセスログ等の証跡を保存し、担当部署からの要求があった場 合は提供すること。なお、証跡は1年間以上保存することが望ましい。 7 インターネット回線とクラウド基盤との接続点の通信を監視すること。 8 クラウドサービスに係る業務の一部がクラウドサービス事業者以外の事業者に外部委託さ れている場合は、当該クラウドサービス事業者以外の事業者にⅧの措置を講ずること。 9 クラウドサービスにおける脆(ぜい)弱性対策の実施内容を担当部署が確認できること。 10 クラウドサービスの可用性を保証するための十分な冗長性、障害時の円滑な切替等の対 策が講じられていること。また、クラウドサービスに障害が発生した場合の復旧時点目標 (RPO)等の指標を提示すること。 なお、農林水産省の要安定情報を取り扱う場合は、データセンターを地理的に離れた複数 の地域に設置するなどの災害対策が講じられていること。 11 クラウドサービス上で取り扱う情報について、機密性及び完全性を確保するためのアクセ ス制御、暗号化及び暗号鍵の保護並びに管理を確実に行うこと。 12 クラウドサービスの利用者が、自らの意思によりクラウドサービス上で取り扱う情報を確実 に抹消できること。 13 本業務において、農林水産省に開示することとしているクラウドサービスに係る情報につ いて、業務開始時に開示項目や範囲を明記した資料を提出すること。 14 農林水産省に対して、クラウドサービスに係る機密性の高い情報を開示する場合は、農林 水産省において、当該情報を審査又は本業務以外の目的で利用しないよう適切に取り扱う ため、必要に応じて当該情報に取扱制限を明記するなどの措置を講じること。 Ⅵ 機器等に関する情報セキュリティの確保 受託者は、本業務において、農林水産省にサーバ装置、端末、通信回線装置、複合機、特 定用途機器、外部電磁的記録媒体、ソフトウェア等(以下「機器等」という。)を納品、賃貸借等 をする場合には、以下の措置を講じること。 1 納入する機器等の製造工程において、農林水産省が意図しない変更が加えられないよう 適切な措置がとられており、当該措置を継続的に実施していること。また、当該措置の実施 状況を証明する資料を提出すること。 2 機器等に対して不正な変更があった場合に識別できる構成管理体制を確立していること。 また、不正な変更が発見された場合に、農林水産省と受託者が連携して原因を調査・排除 できる体制を整備していること。 3 機器等の設置時や保守時に、情報セキュリティの確保に必要なサポートを行うこと。 4 利用マニュアル・ガイダンスが適切に整備された機器等を採用すること。 5 脆(ぜい)弱性検査等のテストが実施されている機器等を採用し、そのテストの結果が確認
別添1 できること。 6 ISO/IEC 15408 に基づく認証を取得している機器等を採用することが望ましい。なお、当該 認証を取得している場合は、証明書等の写しを提出すること。 7 情報システムを構成するソフトウェアについては、運用中にサポートが終了しないよう、サ ポート期間が十分に確保されたものを選定し、可能な限り最新版を採用するとともに、ソフト ウェアの種類、バージョン及びサポート期限について報告すること。なお、サポート期限が事 前に公表されていない場合は、情報システムのライフサイクルを踏まえ、販売からの経過年 数や後継ソフトウェアの有無等を考慮して選定すること。 8 機器等の納品時に、以下の事項を書面で報告すること。 (1)調達仕様書に指定されているセキュリティ要件の実装状況(セキュリティ要件に係る試験 の実施手順及び結果) (2)機器等に不正プログラムが混入していないこと(最新の定義ファイル等を適用した不正プ ログラム対策ソフトウェア等によるスキャン結果、内部監査等により不正な変更が加えら れていないことを確認した結果等) Ⅶ 管轄裁判所及び準拠法 1 本業務に係る全ての契約(クラウドサービスを含む。以下同じ。)に関して訴訟の必要が生 じた場合の管轄裁判所は、国内の裁判所とすること。 2 本業務に係る全ての契約の成立、効力、履行及び解釈に関する準拠法は、日本法とするこ と。 Ⅷ 業務の再委託における情報セキュリティの確保 1 受託者は、本業務の一部を再委託(再委託先の事業者が受託した事業の一部を別の事業 者に委託する再々委託等、多段階の委託を含む。以下同じ。)する場合には、受託者が上 記Ⅱの1、Ⅱの2及びⅢの1において提出することとしている資料等と同等の再委託先に関 する資料等並びに再委託対象とする業務の範囲及び再委託の必要性を記載した申請書を 提出し、農林水産省の許可を得ること。 2 受託者は、本業務に係る再委託先の行為について全責任を負うものとする。また、再委託 先に対して、受託者と同等の義務を負わせるものとし、再委託先との契約においてその旨を 定めること。なお、情報セキュリティ監査については、受託者による再委託先への監査のほ か、農林水産省又は農林水産省が選定した事業者による再委託先への立入調査等の監査 を受け入れるものとすること。 3 受託者は、担当部署からの要求があった場合は、再委託先における情報セキュリティ対策 の履行状況を報告すること。 Ⅸ 資料等の提出
別添1 上記Ⅱの1、Ⅱの2、Ⅲの1、Ⅴの1、Ⅴの2、Ⅵの1及びⅥの6において提出することとしてい る資料等については、最低価格落札方式にあっては入札公告及び入札説明書に定める証明 書等の提出場所及び提出期限に従って提出し、総合評価落札方式にあっては提案書等の総 合評価のための書類に添付して提出すること。 Ⅹ 変更手続 受託者は、上記Ⅱ、Ⅲ、Ⅴ、Ⅵ及びⅧに関して、農林水産省に提示した内容を変更しようとす る場合には、変更する事項、理由等を記載した申請書を提出し、農林水産省の許可を得ること。
