h20260119_01_koukoku.pdf

- 1 -入 札 公 告次のとおり一般競争入札に付します。なお、本入札に係る落札及び契約締結は、当該業務に係る令和８年度本予算が成立し、予算示達がなされることを条件とするものです。令和８年１月19日支出負担行為担当官動物医薬品検査所長 荻窪 恭明◎調達機関番号 018 ◎所在地番号 08１ 調達内容(1) 品目分類番号 71、27(2) 購入等件名及び数量 令和８年度 動物用医薬品等データベース運用保守及び基盤提供業務 一式(電子入札方式対象案件)(3) 調達案件の仕様等 入札説明書による。(4) 履行期間 令和８年４月１日から令和９年３月31日。(5) 履行場所 動物医薬品検査所(6) 入札方法 落札者の決定は、入札書に記載- 2 -された金額に当該金額の10パーセントに相当する額を加算した金額(当該金額に１円未満の端数があるときは、その端数金額を切り捨てるものとする。)をもって落札価格とするので、入札者は消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を入札書に記載すること。２ 競争参加資格(1) 予算決算及び会計令第70条の規定に該当しない者であること。なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。(2) 予算決算及び会計令第71条の規定に該当しない者であること。(3) 令和７・８・９年度農林水産省競争参加資格(全省庁統一資格)「役務の提供等」において、「Ａ」の等級に格付されている、関東・甲信越地域の競争参加有資格者であること。- 3 -(4) 予算決算及び会計令第73条の規定に基づき、支出負担行為担当官が定める資格を有する者であること。(5) 支出負担行為担当官から指名停止を受けている期間中の者でないこと。(6) その他の競争参加資格については、入札説明書による。３ 電子調達システム(ＧＥＰＳ)の利用本案件は、入札等を電子調達システムで行う対象案件である。なお、電子調達システムによりがたい者は、発注者に書面により申出のうえ、紙入札によることができる。４ 入札書の提出方法及び場所等(1) 入札書の提出方法 電子調達システムによるが、電子調達システムに停電等の不具合、システム障害等やむを得ない事情によるトラブルが発生した場合は、紙入札に移行することがある。(2) 入札書の提出場所、契約条項を示す場所、入札説明書の問い合わせ先- 4 -〒305－8535 茨城県つくば市観音台２－１－22 動物医薬品検査所会計課用度係 電話029－811－6849(3) 入札説明書の交付方法 本公告日から調達ポータル上にてダウンロード可能。(https://www.p-portal.go.jp/pps-web-biz/UAA01/0AA0101)(4) 入札説明会の日時及び場所 開催しない。(5) 入札書及び提案書等の受領期限 令和８年３月10日午後５時 電子調達システム、持参又は郵送(書留郵便に限る。)すること。(6) 開札の日時及び場所 令和８年３月27日午前10時30分 動物医薬品検査所第一会議室４ その他(1) 入札及び契約手続において使用する言語及び通貨 日本語及び日本国通貨。(2) 入札保証金及び契約保証金 免除。(3) 入札者に要求される事項 この一般競争に参加を希望する者は、封印した入札書に入札- 5 -説明書で示した競争参加に必要な証明書類を添付して入札書の受領期限までに提出しなければならない。入札者は、開札日の前日までの間において、支出負担行為担当官から当該証明書類に関し説明を求められた場合は、それに応じなければならない。当該証明書類に関し説明の義務を履行しない者は落札決定の対象としない。(4) 入札の無効 本公告に示した競争参加資格のない者の入札、申請書又は資料等に虚偽の記載をした者の入札、入札に関する条件に違反した入札及び特定調達契約入札心得書第８条の規定に違反した者の入札は無効とする。(5) 契約書の作成の要否 要。(6) 落札者の決定方法 本公告に示した調達案件を履行できると支出負担行為担当官が判断した証明書類を添付して入札書を提出した入札者であって、予算決算及び会計令第79条の規定に基づいて作成された予定価格の制限の範囲内で最低価格をもって有効な入札を行っ- 6 -た者を落札者とする。ただし、落札者となるべき者の入札価格によっては、その者により当該契約の内容に適合した履行がなされないおそれがあると認められるとき又はその者と契約を締結することが公正な取引の秩序を乱すこととなるおそれがあって著しく不適当であると認められるときは、予定価格の制限の範囲内の価格をもって入札した他の者のうち最低の価格をもって入札した者を落札者とすることがある。(7) 手続きにおける交渉の有無 無。(8) 詳細は入札説明書による。５ Summary(1) Official in charge of disbursement ofthe procuring entity : OGIKUBO Yasuaki,Director of National Veterinary Assay L-aboratory(2) Classification of the services to beprocured : 71, 27(3) Nature and quantity of the services to- 7 -be required : Provision of operation,maintenance and cloud platform for Veterinary medicinal products and devicesDatabase, 1set(4) Fulfillment period : From 1 April,2026through 31 March, 2027(5) Fulfillment place : National Veterina-ry Assay Laboratory. (6) Qualification for participating in thetendering procedures : Suppliers eligi-ble for participating in the proposed t-ender are those who shall :① not come under Article 70 of the Ca-binet Order concerning the Budget, Au-diting and Accounting. Furthermore, m-inors, Person under Conservatorship orPerson under Assistance that obtainedthe consent necessary for concluding acontract may be applicable under casesof special reasons within the said cl-- 8 -ause. ② not come under Article 71 of the Ca-binet Order concerning the Budget, Au-diting and Accounting. ③ have the Grade "A" in terms of qual-ification "Provision of services" atKanto-Koshinetsu area for participat-ing in tenders by Ministry of Agric-ulture, Forestry and Fisheries (Sing-le qualification for every ministry and agency)in the fiscal year 2025, 2026 and 2027. ④ meet the qualification requirementswhich the Obligating Officer may spec-ify in accordance with Article 73 ofthe Cabinet Order. ⑤ Prove not to be a period of receivi-ng nomination stop from the contracti-ng officer etc. (7) Time-limit for tender : 5:00 P.M.,10- 9 -March 2026(8) Contact point for the notice Procurement Section of Accounting Division National Veterinary Assay Laboratory, 2－1－22Kannondai, Tsukuba city,Ibaraki prefecture 305－8535 Japan. TEL 029－811－6849 令和８年度動物用医薬品等データベース運用保守及び基盤提供業務調達仕様書農林水産省動物医薬品検査所2目次１ 調達案件の概要.. 4(１) 調達件名.. 4(２) 調達の背景.. 4(３) 調達目的及び調達の期待する効果.. 4(４) 業務・情報システムの概要.. 5(５) 契約期間.. 6(６) 作業スケジュール.. 6２ 調達案件及び関連調達案件.. 6(１) 調達範囲.. 6(２) 調達案件の一覧.. 7(３) 調達案件間の入札制限.. 7３ 情報システムに求める要件.. 7４ 運用保守及び基盤提供作業の実施内容.. 8(１) 運用保守計画書、運用保守実施要領の作成.. 8(２) 情報セキュリティ対策.. 8(３) クラウドサービスを運用保守する場合の前提.. 8(４) 定常時対応.. 9(５) 障害発生時対応.. 12(６) 引継ぎ.. 13(７) 定例会等の実施.. 13(８) 情報システムの現状確認支援.. 14(９) 運用保守及び基盤提供業務の改善提案.. 14(１０) 契約金額内訳及び情報資産管理標準シートの提出.. 15(１１) 成果物の作成.. 16５ 満たすべき要件.. 18(１) 可用性について.. 19(２) 完全性について.. 19(３) システム稼働環境について.. 20(４) ネットワーク構成について.. 21(５) クラウドサービスの要件について.. 21６ 作業の実施体制・方法.. 30(１) 作業実施体制.. 30(２) 作業要員に求める資格等の要件.. 31(３) クラウドサービス利用時の情報システムの保護に関する事項.. 32(４) 作業場所.. 32(５) 作業の管理に関する要領.. 32７ 作業の実施に当たっての遵守事項.. 33(１) 機密保持、資料の取扱い.. 33(２) 個人情報の取扱い.. 33(３) 法令等の遵守.. 34(４) 環境負荷低減に係る遵守事項.. 35(５) 標準ガイドラインの遵守.. 35(６) その他文書、標準への準拠.. 363(７) 情報システム監査.. 36(８) データマネジメント・データ活用要件.. 37(９) 行政の進化と革新のための生成 AI の調達・利活用に係るガイドラインへの対応37８ 成果物の取扱いに関する事項.. 37(１) 知的財産権の帰属.. 37(２) 契約不適合責任.. 38(３) 検収.. 39９ 競争参加資格に関する事項.. 39(１) 競争参加資格.. 39(２) 公的な資格や認証等の取得.. 39(３) 受注実績等.. 40(４) 入札制限.. 40１０ その他特記事項.. 40(１) 前提条件等.. 40(２) 入札公告期間中の資料閲覧等.. 41(３) その他.. 42１１ 附属文書.. 42(１) 別紙１ AWS/Azure設定確認リスト.. 42(２) 別紙２ webシステム/webアプリケーションセキュリティ要件書.. 42(３) 別紙３ 情報システムの経費区分.. 42(４) 別紙４ 調達仕様書に盛り込むべき情報資産管理標準シートの提出等に関する作業 42(５) 別紙５ 情報セキュリティの確保に関する共通基本仕様.. 42(６) 別紙６ みどりチェック実施状況報告書.. 42(７) 別記様式１ 閲覧申込書.. 42(８) 別記様式２ 守秘義務に関する誓約書.. 42(９) 別記様式３ 質問書.. 424１ 調達案件の概要(１) 調達件名令和８年度動物用医薬品等データベース運用・保守及び基盤提供業務(２) 調達の背景動物医薬品検査所では、医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律に基づき、動物用医薬品、動物用医薬部外品、動物用医療機器、動物用体外診断用医薬品及び動物用再生医療等製品(以下、「動物用医薬品等」とする。)の審査、検定業務等を行っている。動物用医薬品等に関する情報やその副作用に関する情報を収集し、国民に公開することを目的とする「動物用医薬品等データベース」はオンプレミスで稼働していたが、2018 年６月に決定した「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(最終決定：2025 年５月 27 日)において政府方針として示された「クラウド・バイ・デフォルトの原則」を踏まえ、令和元年度(2019年度)にクラウドサービス(NECCI)に移行した。農林水産省では、政府全体の動向や利用者視点に立った、あるべき農林水産行政の姿を踏まえ、令和４年６月７日に閣議決定された「デジタル社会の実現に向けた重点計画」を受けて、「デジタル社会の形成に向けた農林水産省中長期計画」(令和４年 10 月５日に農林水産行政情報化推進委員会決定)を策定した。同計画では、品質・低コスト・スピードを兼ね備えた行政サービスに向けて、 ガバメントクラウド、ガバメントソリューショ ンサービス(GSS)、ベースレジストリ等の共通機能について、農林水産省の各情報システムの状況を踏まえ、活用できるものについてはその活用を徹底するとしている。その上で、農林水産省では、クラウドの共通基盤を整備し、パブリッククラウドへの移⾏・運⽤に必要な最⼩限の共通機能を提供するとともに、情報システムの状況に応じて適切なクラウドへの移行方式を選択した上で円滑にクラウド移行できるよう支援を行っている。なお、当該共通機能を利用するパブリッククラウドを MAFF クラウドといい、総合的な支援活動を行う組織をMAFFクラウドCoEという。本システムは令和７年度(2025 年度)から MAFF クラウドを利用しており、本調達期間においても引き続きMAFFクラウドを利用することを前提とする。本調達では、当該政府方針に従い、MAFF クラウド(AWS)上に構築された動物用医薬品等データベースの運用業務及び MAFF クラウドにおけるクラウドサービスの提供業務を調達するものとし、クラウドサービスの提供に係る費用及び利用料は受注者の負担とする。(３) 調達目的及び調達の期待する効果本業務は、受注者が R８年度(2026 年度)の「動物用医薬品等データベース」の運用保守及び基盤提供業務を行う。また、「動物用医薬品等データベース」の維持・改善に関し、担当部署に助言・提言を行い、システムが円滑かつ効率的に運用されることを目的とする。5(４) 業務・情報システムの概要「動物用医薬品等データベース」と関連するシステム及び業務の概要は図１のとおり。別に運用する「飼養衛生管理支援(投薬指示)システム」、「畜産クラウド」及び「有害事象報告システム」と情報を連携している。システム構成図は図２のとおりである。図 1 「動物用医薬品等データベース」の概要6図 ２ 「動物用医薬品等データベース」のシステム構成図(５) 契約期間令和８年４月１日から令和９年３月31日まで(６) 作業スケジュール作業スケジュールは次のとおり想定しているが、具体的なスケジュールについては、担当部署と本案件業務の受注者間で協議の上、決定すること。図 ３ 作業スケジュール２ 調達案件及び関連調達案件(１) 調達範囲本調達では、「動物用医薬品等データベース」に係る運用保守及び基盤提供を行うものと7とする。なお、上記は責任分界の基本方針であり、責任範囲の調整が必要となった場合には、担当部署と協議の上、決定するものとする。 (２) 調達案件の一覧調達案件及びこれと関連する調達案件の調達単位、調達の方式、実施時期等は次の表のとおり。表 1 関連する調達案件の一覧No 調達案件名 調達の方式 契約締結日 入札公告落札者決定契約期間1 運用保守及び基盤提供一般競争入札(総合評価)令和８年４月１日 --令和８年４月から令和９年３月まで2 改修業務(副作用報告機能追加)一般競争入札(総合評価)令和８年４月(予定) 令和８年２月(予定)令和８年３月(予定)令和８年４月から令和８年10月まで(予定)図 ４ 調達案件及びこれと関連する調達案件の調達単位、調達の方式、実施時期等(３) 調達案件間の入札制限調達する業務について、他の調達案件と入札制限の対象となる案件はない。３ 情報システムに求める要件以下を満たすこと。なお、詳細については別途農林水産省が提示する最新の「農林水産省クラウド利用ガイドライン及び関係資料」を参照すること。また、本案件業務の実施において、農林水産省クラウド利用ガイドラインの改定があった場合は最新版を参照すること。8令和６年度の MAFF クラウド移行業務にて、「動物用医薬品等データベース」のサーバがMAFF クラウドへ移行している。その際に選定した、クラウドサービスプロバイダー(AWS)を利用すること。４ 運用保守及び基盤提供作業の実施内容(１) 運用保守計画書、運用保守実施要領の作成受注者は、プロジェクト計画書及びプロジェクト管理要領と整合をとりつつ、担当部署の指示に基づき、運用保守計画書及び運用保守実施要領の案を作成し、担当部署の承認を得ること。なお、運用保守計画書と運用保守実施要領の記載内容は「デジタル・ガバメント推進標準ガイドライン」(デジタル社会推進会議幹事会決定。最終改定：2025年5月27日以下「標準ガイドライン」という。)「第９章 運用及び保守」で定義されているものとする。(２) 情報セキュリティ対策ア クラウドアーキテクトのベストプラクティス(AWS Well-Architected Framework)及び「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル 別冊クラウド設計・開発編」に準拠すること。イ 以下のセキュリティ対策要件を参照し、動物用医薬品等データベースのセキュリティ対策要件を点検すること。(ア) AWS/Azure設定確認リスト(別紙１)(イ) webシステム/webアプリケーションセキュリティ要件書(別紙２)(３) クラウドサービスを運用保守する場合の前提ア 受注者は、前年度の動物用医薬品等データベースの運用保守及び基盤提供業務の事業者からパブリッククラウド上に構築された情報システムの引継ぎを受け、アカウントの契約の移管を行い、環境を維持すること。アカウント契約の移管にあたり、前年度の事業者からの引継ぎが４月１日に完了できない場合は、システムの運用に支障がでないよう、前年度の事業者との間で書面による契約等を行い、クラウド環境の引継ぎを適切に行うこと。イ 受注者は、構成管理及びパッチの適用について自動化すること。なお、自動化とは、対象を選定し、タイミングをコントロールして適用することをいう。ウ 受注者は、原則、メンテナンスの際に踏み台サーバを独自で構築せず、クラウドサービスプロバイダーのサービス(AWS の場合、AWS Systems Manager SessionManager ・AWS Systems Manager Fleet Manager)を利用すること。エ 受注者は、ソフトウェアの情報をクラウドサービスの機能(AWS の場合、SSM(AWSSystems Manager)) を利用して自動取得すること。9オ 農林水産省をエンドカスタマー(エンドユーザー)として登録していることを証明する書面を提出すること。(４) 定常時対応ア 受注者は、定常時対応(システム操作説明、問合せ窓口の提供)を行うこと。具体的な実施内容及び手順については、担当部署が定める運用保守計画に基づいて行うこと。問合せ窓口は、メールでの受付にあっては、24時間、電話での受付にあっては、9:30 から 18:00(行政機関の休日は含まない。)の間、対応できるよう、窓口を提供すること。ただし、緊急性が高いと担当部署が判断した場合は、通常対応時間外であっても対応すること。なお、問い合わせの頻度については、週に２～３回程度、担当部署からの回答期限までに回答することとし、目安としては、問い合わせの翌日までに回答もしくは回答見込みを担当部署まで回答すること。また、以下の作業は受注者にて実施すること。(ア) OS、ミドルウェアのセキュリティパッチの適用とシステムの動作確認(緊急・重要な更新は月１回程度)(イ) サーバ監視に必要な諸設定の調整作業(監視項目の追加・変更、アラームのしきい値の調整等)(ウ) サーバの監視にてアラームが発報した際の調査、対応(エ) OS(インスタンス)のバックアップが日々、正常に取得されていることの確認(オ) ログが日々、正常に取得・保管されていることを確認し、異常があれば、PJMOへ報告、原因確認、及び、異常解消に向けた諸対応の実施(カ) 発注者側のシステム研修などに利用するユーザーの追加・削除やデータの追加削除に係る依頼された作業(キ) 事故や問題の発生や機能改善が必要な事案が生じた際に、これらの原因を調査し、特定すること。調査の結果、基盤サービスやアプリケーションに原因があった場合、基盤サービスの設定やアプリケーションプログラムの不具合を修正すること。修正作業を行う際は、検証用サーバにおいて、テストを行った上で、本番環境に移行すること。令和７年度の改修内容については、閲覧資料にて確認すること。イ 連携する「飼養衛生管理支援(投薬指示)システム」「畜産クラウド」及び「有害事象報告システム」の運用保守業務受注者から問い合わせや支援依頼があった場合、これに対応すること。また、連携機能が正常に稼働しているか監視を行い、問題が生じた際には速やかに担当部署に報告すること。ウ 受注者は、担当部署から要請があった場合、又は、受注者が必要と判断した場合、必要資料を作成の上、打合せ等を開催すること。エ 受注者は、担当部署との協議内容は受注者の責任において議事録に整理し、農林10水産省の確認を得ること。議事録は打合せ等の実施後、原則として 5 日以内(行政機関の休日を除く。)に電子ファイルを電子メールで担当部署に提出すること。オ 受注者は、担当部署が承認した運用保守及び基盤提供実施計画及び実施要領に基づき、運用保守業務の内容や工数などの作業実績状況、サービスレベルの達成状況、「動物用医薬品等データベース」のシステムの構成と運転状況(セキュリティ監視状況、情報システムの脆弱性への対応状況を含む。 )、システムの定期点検状況、システム利用者のサポート、教育・訓練状況、リスク・課題の把握・対応状況について月次で運用作業報告書を取りまとめること。カ セキュリティ管理として、(AWS の場合 SecurityHub)が発報したセキュリティアラートについて、対応ならびに無効化／抑制を検討するものとする。なお、新たなルールの追加について、迅速に対応するものとする。キ 受注者は、月間の運用・保守実績を評価し、達成状況が目標に満たない場合はその要因の分析を行うとともに、達成状況の改善に向けた対応策を提案すること。ク 受注者は、月次の運用・保守作業報告書の内容について、その内容を報告すること。ケ 受注者は、担当部署が、情報システム運用継続計画を作成又は更新するにあたり、情報提供等の支援を行うこと。コ 受注者は、インフラの設定変更があった場合は設計書等の更新版(パラメータシート含む)を、担当部署に提出すること。サ 受注者は、担当部署が承認した運用保守計画書及び実施要領に基づいて、システム及びクラウドサービスの日常的な状態監視を行うこと。シ 受注者は、「動物用医薬品等データベース」に導入されているソフトウェアのバージョンに関して、脆弱性の有無を毎月確認し、確認した内容を月次の報告書に記載し、担当部署に報告すること。脆弱性が確認された場合、緊急性が高いものに関しては、至急報告すること。受注者は、ソフトウェアの保守の実施において、ソフトウェアの構成またはバージョンに変更が生じる場合には、担当部署にその旨を報告し、変更後の環境がライセンスの許諾条件に合致するか否かの確認を受けること。ス ソフトウェアにセキュリティのぜい弱性が見つかった場合は、対応策について計画し、承認を得た上で対応すること。使用しているソフトウェアのサポート期限についても適切に管理し、必要に応じてバージョンアップの計画を行い、承認を得たうえで対応すること。セ 受注者は、ぜい弱性及びソフトウェアのバージョンアップ作業に対応する際は、保有するテスト環境でバージョンアップ後の動作確認を行い、担当部署から承認を得た上で、本番環境への適用を行うこと。動作確認の内容は、事前に担当部署の許可を得ること。受注者は、バージョンアップ前の環境に戻せるようにバックアップを取得すること。使用しているソフトウェアは下表のとおり。その他のソフトウェア及びバージョン等詳細情報は、閲覧資料にて確認すること。11表２ 導入ソフトウェア一覧機能 導入ソフトウェアリレーショナルデータベース Amazon Aurora MySQLWebサーバソフト Apache開発プラットフォーム.NETプログラミング言語 PHPライブラリ jQueryフレームワーク CakePHP、AWS CDKTLSプロトコル OpenSSLソ 受注者は、保守作業でプログラムの修正を行った場合、設計書等の更新を行い、テストを行った上で本番環境へ適用すること。改修の際に作成、更新した資料は、担当部署へ提出すること。タ 受注者は、パッチの自動適用を用いて、検証環境や品質保証環境などを用いてパッチベースラインを検証し、その後に本番環境にパッチを適用するなど、パッチのリリース管理を行うこと。なお、パッチ適用に起因する不具合が出た際に行う切り戻しやアプリケーション修正などの対応を予め計画すること。チ 受注者は、年度末までに年間の運用実績を取りまとめるとともに、使用するソフトウェア、ミドルウェア等のサポート期限などをもとに、必要に応じて、次期運用保守計画、運用保守実施要領に対する改善提案を行うこと。ツ 受注者は、農林水産省クラウド利用ガイドライン別紙 1_共通機能_利用申請書の内容(システム構成を含む)に変更がある場合、資料を更新し、担当部署と MAFF クラウドCoEの確認を受けること。テ 受注者は、インベントリ情報を収集するため、設定作業(AWS の場合、SystemsManager Inventory とEC2の設定)を実施すること。なお、インベントリ収集機能はコンテナの構成管理に対応していないため、コンテナを利用しているシステムは、MAFF クラウド利用ガイドラインの記載を参考に、脆弱性対策を実施すること。ト 「動物用医薬品等データベース」のサブシステムである「副作用情報データベース」について、「副作用情報データベース」上に表示される項目にあわせ、「有害事象報告システム」、「eMAFF」及び「副作用報告システム」から報告されたデータを調整し、担当部署が「副作用情報データベース」に移行する作業をサポートすること(移行件数は、年間約32,400件程度を想定)。ナ さらに、「副作用情報データベース」で使用するマスタについて、関連する国際的な用語集(VICH、Veddra 及びWHO)(注)の改訂等にあわせ、追加、変更、更新作業と12して、旧バージョンファイルを担当部署が提供する新バージョンファイルに差替えること(作業頻度はVeddra及びWHOは年に１回、VICHは改訂が発生した場合を想定)。(注)VICH：https://vichsec.org/en/guidelines/pharmacovigilance/vich-gl30.htmlVeddra ： https://www.ema.europa.eu/en/veterinary-regulatory-overview/post-authorisation-veterinary-medicines/pharmacovigilance-veterinary-medicines/eudravigilance-veterinaryWHO：https://www.whocc.no/atcvet/atcvet_index/(５) 障害発生時対応ア 受注者は、「動物用医薬品等データベース」のシステムについて、障害発生時(又は発生が見込まれる時)には、障害を感知してから３時間以内(業務ができないなどシステム停止により緊急の対応を要する場合は、１時間以内)、問い合わせ対応時間外にあっては、翌開始日の開始時間から１時間以内に担当部署に報告するとともに、その緊急度及び影響度を判断の上、障害発生時運用業務(障害検知、障害発生箇所の切り分け、関係する事業者への連絡、復旧確認、障害報告書による報告等)及び障害発生時保守作業(原因調査、応急措置、報告等)を行うこと。なお、障害には、情報セキュリティインシデントを含めるものとし、具体的な実施内容・手順は担当部署が承認した運用保守計画及び運用保守実施要領に基づいて行うこと。イ 受注者は、「動物用医薬品等データベース」の不具合、システム障害に関して、その原因を調査し、特定する。不具合復旧に当たっては、事前に担当部署へ十分な説明を行うと共に作業計画書を提出し、担当部署の承認を得てから実施すること。なお、復旧までに時間を要する場合は、担当部署と協議すること。 不具合の復旧は、「動物用医薬品等データベース」を利用した業務に支障が無いことを確認出来た時点とし、復旧の完了後に、作業内容(原因、対応及び対応結果等)を記載した報告書を提出し、担当部署に不具合の原因とその対策について詳細な説明をし、承認を得ること。 なお、納品の際は、検収が終了したファイル一式を時点がわかるような形式(例：zip 等)で提出すること。・ サーバ納品について、Microsoft Office又はPDFのファイル形式で作成すること。・ 納品後、担当部署において改変が可能となるよう、図表等の元データも併せて納品すること。・ 各ファイルについて、原則として日本産業規格A列４番または日本産業規格A列３番紙媒体に、収まりよく印刷ができるように適切な印刷設定を行うこと。・ 成果物の作成に当たって、特別なツールを使用する場合は、担当職員の承認を得ること。・ 成果物が外部に不正に使用されたり、納品過程において改ざんされたりすることのないよう、安全な納品方法を提案し、成果物の情報セキュリティの確保に留意すること。・ 不正プログラム対策ソフトウェアによる確認を行うなどして、成果物に不正プログラムが混入することのないよう、適切に対処すること。・ 上記に加えて紙媒体についても作成し、担当部署から特別に示す場合を除き、原則紙媒体は１部を納品すること。・ 紙媒体による納品について、用紙のサイズは、原則として日本産業規格A列４番とするが、必要に応じて日本産業規格A列３番を使用すること。ウ 成果物の納品場所原則として、成果物は次の場所において引渡しを行うこと。ただし、担当部署が納品場所を別途指示する場合はこの限りではない。〒305-8535茨城県つくば市観音台２丁目１－22農林水産省 動物医薬品検査所 企画連絡室５ 満たすべき要件19運用保守及び基盤提供業務の実施に当たっては、担当部署が承認した「動物用医薬品等データベース」の運用保守計画及び運用保守実施要領の各要件を満たすこと。本システムの性能目標として、web ページのパフォーマンスを評価するツールを用い、原則月に１回、アクセス頻度が高いページについて、業務時間帯に以下の指標項目を測定し、合格となるよう対応すること。・Largest Contentful Paint (LCP)・First Input Delay (FID)・Cumulative Layout Shift (CLS)(１) 可用性についてア 「動物用医薬品等データベース」の可用性にかかる目標値は表４のとおり。サービスの継続性を確保するため、「動物用医薬品等データベース」の各業務の停止時間が復旧目標時間として以下の表で示す目標値を下回ることのない運用を可能とし、障害時には迅速な復旧を行う方法または機能を備えること。表５ 可用性に係る目標値設定対象 目標稼働率値 補足動物用医薬品等データベース99.48% 計画的に停止する場合は除く。業務アプリケーションを利用するために必要な全体の稼働率から算出する。イ 可用性に係る対策は以下の通り(ア) 障害復旧時間を 24 時間以内とすること。(クラウドサービスのユーザーとして対処可能な範囲とする。)※障害検知：保守員がアラート等で認知した後で、かつ障害と判断する前(イ) バックアップの世代は、データバックアップ３世代(日次)、システムバックアップ２世代(システム更新毎)とする。ただし、クラウドサービスの機能を使用することにより、同等の時点への復旧が可能な場合はこの限りではない。また、データの保存はシステムを稼働する拠点とは異なる拠点に保存が可能となる拡張性を有する。(２) 完全性についてア 機器の故障に起因するデータの滅失や改変を防止する対策を講ずること。イ 異常な入力や処理を検出し、データの滅失や改変を防止する対策を講ずること。ウ 処理の結果を検証可能とするため、ログ等の証跡を残すこと。エ データの複製や移動を行う際に、データが毀損しないよう、保護すること。20オ データの複製や移動を行う際に、その内容が毀損した場合でも、毀損したデータおよび毀損していないデータを特定するための措置を行うこと。カ 利用する基盤サービスは、AWSとする。(３) システム稼働環境について動物用医薬品等データベースの構成(コンテナ、サーバ、DB、ストレージ)は以下の通り。表６ コンテナ一覧区分 種別 OS タスク数vCPU メ モ リ(GB)実行時間ディ スク(GB)設置場所公開web・APサーバECS Linux 1 4 8 24時間365日20 AWSバッチ処理 ECS Windows 1 2 4 都度 20 AWSバッチ処理 ECS Linux 1 2 4 都度 20 AWS表７ サーバ一覧区分 種別 OS インスタンスタイプvCPU メ モ リ(GB)実行時間ディスク(GB)設置場所踏み台サーバEC2 Windows m6a.large 2 8 都度 100 AWS表８ DB一覧区分 種別 インスタンスタイプ vCPU メモリ(GB)ディスク(GB) 設置場所DB サ ー バ(Writer)Aurora(MySQL)db.r6g.xlarge 4 32 -※自動拡張AWSDB サ ー バ(Reader)Aurora(MySQL)db.r6g.xlarge 4 32 -※自動拡張AWS表９ ストレージ一覧21区分 種 別用途 ストレージクラス容量(GB)設 置 場 所備考各種ログ保存用S3 本システムへのアクセスやサーバログを保存する。スタンダード 無制限 AWSAWS 監査ログ保存用S3 監査ログを保存する。スタンダード 無制限 AWS MAFF クラウド管理者アカウントに存在一時ファイル保存用EFS Web・AP サーバが出力する一時ファイルを保存する。スタンダード 無制限 AWS Web・AP サーバからマウントして使用(４) ネットワーク構成についてア ネットワーク全体構成イ 新たに回線を導入する場合は、以下に記載した仕様とすること。表10 回線の要件(５) クラウドサービスの要件についてア 基盤提供について内容は、以下に記載した仕様とすること。なお、その際は「政府機関の情報セキュリティ対策のための統一基準(最終改定令和７年６月 27 日サイバーセキュリティ戦略本部決定)」に準拠したクラウドサービスにより情報システム基盤を提供するものとする。表11 クラウドサービス要件項目 要件サーバホスティング  システムが動作する環境をクラウドとして提供可能なこと。 サーバ用途(コスト、性能、信頼性)に応じて複数のサービスメニューを用意し、バランスよく配置が可能なこと。 ポータルを利用し、監視設定や仮想サーバの作成、インシデント問合せ、リソース利用状況の確認が可能であること。回線種別 ネットワーク要件 備考インターネット インターネット接続、100Mbps(ベストエフォート)22項目 要件ネットワークサービスの提供 ネットワーク設備の提供を可能とすること。 ファイアウォール(仮想、物理共有、物理占有のいずれか)の提供を可能とすること。 SSL暗号化/復号機能の提供を可能とすること。 特定の回線事業者に限ることなく、外部回線と安全かつ柔軟に接続が可能なこと。死活監視サービスの提供 仮想サーバに対する死活監視(Ping、Port監視、Web、サーバからのメール送信等)の実施が可能なこと。 リソース監視(CPU、メモリ、ディスク)が可能なこと。 プロセス監視が可能なこと。 ログ監視(Syslog、イベントログ、指定されたログ)が可能なこと。  ジョブ実施状況監視が可能なこと。 各サーバの監視項目及び閾値については、以下のとおり。◆ サーバのCPU使用率5分平均が75%を超えた場合アラート◆ サーバのメモリ使用率5分平均が75%を超えた場合アラート◆ サーバの死活監視1分以内に1回検知でアラート◆ サーバのHTTP応答のうち、5xx と 4xx のレスポンスコードの場合(エラーコード) アラートセキュリティ監視  情報セキュリティ監視、不正アクセスの検知等を行い、調査に必要な対応をすること。バックアップ管理  上記可用性の要件を満たすこと。なお、バックアップ管理はクラウドサービスの利用も可とする。冗長化の提供  仮想サーバ冗長化構成の提供が可能なこと。 仮想サーバ利用ストレージ内のディスク冗長化の提供が可能なこと。施設・設備  利用するデータセンターは国内にあること。 国内の単一拠点内において、独立した電源、冷却手段、ネットワークをもつ複数のデータセンターを組み合わせた、高可用性サービスを利用できること。 国内に複数の拠点を持つこと。その他  対応時間は24時間365日であること。23イ 運用要件について動物用医薬品等データベースの運用要件は以下のとおり。表12 システム運用要件作業名 作業概要 監視項目例可用性管理  利用するクラウドサービスについて、上記可用性で定める目標値が満たされていることを監視すること。 サービスレベル等セキュリティ監視  情報セキュリティに関する事象の発生状況を監視すること。 不正アクセス件数 ウイルス検知数 不正侵入検知数 等バックアップ管理  上記可用性に記載した内容を満たすようにデータ及びシステム構成情報、OS、ミドルウェア等のソフトウェア、アプリケーション等について、バックアップを行うこと。 障害発生時に、直近のバックアップ採取時点のシステム状態に速やかに復旧可能となるように、バックアップを取得すること。 定時バックアップ率 バックアップ実施回数 バックアップデータからの復旧回数 等障害復旧対応  障害発生時に影響度等の分析を行った上で、障害による影響を最小限にとどめ、情報システムの復旧作業を行うこと。 障害復旧時間 等セキュリティパッチ運用等業務 事前検証を実施の上、セキュリティパッチの適用やアップデートを実施すること。 緊急の対応が必要な場合は担当部署と協議の上、実施すること。 セキュリティパッチ適用件数 アップデート実施件数等ログ管理  情報システムのログを管理すること。 Windowsイベントログ構成管理  ハードウェアやソフトウェア製品、ネットワーク等の情報システムを構成する資産の管理を行うこと。 構成変更件数 等24作業名 作業概要 監視項目例基盤運用に関する問合せ対応 担当部署からの基盤の運用に関する問合せに対応すること。なお、受付時間は、電子メールの場合 24 時間、電話の場合平日 9:30 から18:00(行政機関の休日は含まない。)までとすること。ウ 保守要件について動物用医薬品等データベースの保守要件は以下のとおり。表13 システム保守要件作業項目 作業概要クラウドサービスの保守 上記可用性に示す目標値を下回らないようにすること。 基盤が健全であるか、定期点検を行う。 システム運用に資するため、クラウドサービスに関する担当部署からの問い合わせに対応する。 クラウドサービス事業者から提供されたメンテナンス、事故発生などの情報について、担当部署に遅滞なく伝達する。 本システムが利用するクラウドサービスに不具合等が発生した場合は、担当部署に速やかに報告するとともに迅速に復旧させること。 ロードバランサーに適用している SSL 証明書の有効期限を確認し、期限が近い場合はAWS Certificate Manager で期限更新を確認すること。エ セキュリティ要件について動物用医薬品等データベースのセキュリティ要件は以下のとおり。25表14 情報システムのセキュリティ要件No. 情報セキュリティ対策対策に係る要件システム クラウドサービス7ログの蓄積・管理情報システムに対する不正行為の検知、発生原因の特定に用いるために、情報システムの利用記録、例外的事象の発生に関するログを蓄積し、１年間保管できるようにするとともに、不正の検知、原因特定に有効な管理機能(ログの検索機能、ログの蓄積不能時の対処機能等)を備えること。○ ○8 ログの保護ログの不正な改ざんや削除を防止するため、ログに対するアクセス制御機能及び消去や改ざんの事実を検出する機能を備えるとともに、ログのアーカイブデータの保護(消失及び破壊や改ざんの脅威の軽減)のための措置を含む設計とすること。○ ○9時刻の正確性確保情報セキュリティインシデント発生時の原因追及や不正行為の追跡において、ログの分析等を容易にするため、システム内の機器を正確な時刻に同期する機能を備えること。○ ○10 侵入検知不正行為に迅速に対処するため、府省庁内外で送受信される通信内容の監視及びサーバ装置のセキュリティ状態の監視等によって、不正アクセスや不正侵入を検知及び通知する機能を備えること。○11サービス不能化の検知サービスの継続性を確保するため、大量のアクセスや機器の異常による、サーバ装置、通信回線装置又は通信回線の過負荷状態を検知する機能を備えること。○12ライフサイクル管理主体のアクセス権を適切に管理するため、主体が用いるアカウント(識別コード、主体認証情報、権限等)を管理(登録、更新、停止、削除等)するための機能を備えること。○ ○27No. 情報セキュリティ対策対策に係る要件システム クラウドサービス13 アクセス権管理情報システムの利用範囲を利用者の職務に応じて制限するため、情報システムのアクセス権を職務に応じて制御する機能を備えるとともに、アクセス権の割り当てを適切に設計すること。○ ○14管理者権限の保護特権を有する管理者による不正を防止するため、管理者権限を制御する機能を備えること。○ ○15通信経路上の盗聴防止通信回線に対する盗聴行為や利用者の不注意による情報の漏えいを防止するため、通信回線を暗号化する機能を備えること。暗号化の際に使用する暗号アルゴリズムについては、「電子政府推奨暗号リスト」を参照し決定すること。○ ○16保存情報の機密性確保情報システムに蓄積された情報の窃取や漏えいを防止するため、情報へのアクセスを制限できる機能を備えること。また、保護すべき情報を利用者が直接アクセス可能な機器に保存しないことに加えて、保存された情報を暗号化する機能を備えること。暗号化の際に使用する暗号アルゴリズムについては、「電子政府推奨暗号リスト」を参照し決定すること。○ ○17保存情報の完全性の確保情報の改ざんや意図しない消去等のリスクを軽減するため、情報の改ざんを検知する機能又は改ざんされていないことを証明する機能を備えること。○ 28No. 情報セキュリティ対策対策に係る要件システム クラウドサービス18システムの構成管理情報セキュリティインシデントの発生要因を減らすとともに、情報セキュリティインシデントの発生時には迅速に対処するため、構築時の情報システムの構成(ハードウェア、ソフトウェア及びサービス構成に関する詳細情報)が記載された文書を提出するとともに文書どおりの構成とし、加えて情報システムに関する運用開始後の最新の構成情報及び稼働状況の管理を行う方法又は機能を備えること。○ ○19調達する機器等に不正プログラム等が組み込まれることへの対策機器等の製造工程において、府省庁が意図しない変更が加えられないよう適切な措置がとられており、当該措置を継続的に実施していること。また、当該措置の実施状況を証明する資料を提出すること。○ ○20情報セキュリティ水準低下の防止情報システムの利用者の情報セキュリティ水準を低下させないように配慮した上でアプリケーションプログラムやウェブコンテンツ等を提供すること。○ ○21プライバシー保護情報システムにアクセスする利用者のアクセス履歴、入力情報等を当該利用者が意図しない形で第三者に送信されないようにすること。○ ○22主体認証 情報システムによるサービスを許可された者のみに提供するため、情報システムにアクセスする主体の認証を行う機能として、認証コード(ID)とパスワードによる主体認証の方式を採用すること。主体認証情報の推測や盗難等のリスクの軽減を行う機能として、２段階認証の機能を付けること。○29No. 情報セキュリティ対策対策に係る要件システム クラウドサービス23システムの可用性確保サービスの継続性を確保するため、情報システムの各業務の異常停止時間が復旧目標時間として 24 時間を超えることのない運用を可能とし、障害時には迅速な復旧を行う方法又は機能を備えること。○24構築時の脆弱性対策情報システムを構成するソフトウェアおよびハードウェアの脆弱性を悪用した不正を防止するため、開発時及び構築時に脆弱性の有無を確認の上、運用上対処が必要な億弱制は修正の上で納入すること。○ ○25運用時の脆弱性対策運用開始後、新たに発見される脆弱性を悪用した不正を防止するため、情報システムを構成するソフトウェア及びハードウェアの更新を効率的に実施する機能を備えるとともに、情報システム全体の更新漏れを防止する機能を備えること。○ ○26委託先において不正プログラム等が組込まれることへの対策情報システムの構築において、府省庁が意図しない変更や機密情報の窃取等が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること。当該品質保証体制を証明する書類(例えば、品質保証体制の責任者や各担当者がアクセス可能な範囲等を示した管理体制図)を提出すること。本調達に係る業務の遂行における情報セキュリティ対策の履行状況を確認するために、府省庁が情報セキュリティ監査の実施を必要と判断した場合は、受託者は情報セキュリティ監査を受入れること。また、役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して、情報セキュリティを確保すること。○ ○30６ 作業の実施体制・方法(１) 作業実施体制本業務の推進体制及び本業務受注者に求める作業実施体制は次の図及び表のとおりである。なお、受注者内の人員構成については想定であり、受注者決定後に協議の上、見直しを行う。また、受注者の情報セキュリティ対策の管理体制については、作業実施体制とは別に作成すること。図 ５ 本業務の推進体制及び本業務受注者に求める作業実施体制連絡・相談照会・回答PMOMAFFクラウドCoEデジタル戦略グループ情報管理室動物医薬品検査所PJMO 会計課運用保守及び基盤提供業務受注者クラウドサービス事業者(AWS)業務遂⾏責任者運⽤担当者 情報セキュリティ管理者31表 15 本業務における組織等の役割組織等 本業務における役割PMO／デジタル戦略グループ情報管理室農林水産省の全体管理組織。クラウド利用を含む情報システムに関する担当部署からの問い合わせを受け、対応、助言・指導等を行う。MAFFクラウドCoE PJMO・受注者に対してMAFFクラウド利用に係る技術的な支援を行う。動物医薬品検査所PJMO動物用医薬品等データベースの管理組織として、本業務の進捗等を管理する。・責任者：農林水産省動物医薬品検査所企画連絡室長・プロジェクト責任者：農林水産省動物医薬品検査所企画連絡室企画調整課長(サブシステム)企画連絡室技術指導課長運用保守業務及び基盤提供業務受注者本業務の受注者動物用医薬品等データベースの運用保守業務の実施動物用医薬品等データベースの基盤の提供表 16 本業務受注者に求める作業実施体制の役割組織等 本業務における役割遂行責任者  本業務全体を統括し、必要な意思決定を行う。また、各関連する組織・部門とのコミュニケーション窓口を担う。 原則として全ての進捗会議に出席する。運用担当者 受注した業務を実施する。情報セキュリティ管理者本業務の情報取扱い全てに関する監督を担う。(２) 作業要員に求める資格等の要件受注者は、本業務の遂行責任者及び担当者等の役割に応じて次に示すスキル・経験を持つ人員を充て、プロジェクト全体として全ての要件を満たす作業実施体制とすること。ア 受注者における遂行責任者は、日本語で円滑なコミュニケーションが可能で、「標準ガイドライン」の内容を理解し、本業務を円滑に運営する能力を有すること。イ 受注者における遂行責任者は、システム(利用者100名以上)の運用又は保守の遂行責任者としての経験を３年以上有すること。ウ 受注者における遂行責任者は、独立行政法人情報処理推進機構の IT スキル標準、IT サービスマネジメントの各スキル項目について、スキル熟達度レベル４以上に相当すること。エ 動物用医薬品等データベースの運用保守に関わるメンバーのうち、少なくとも1名はクラウドサービスを用いた情報システムの構築又は構築を支援する業務のいずれかの経験を有する者を配置すること。オ 運用・保守を行う担当者には、以下の資格のいずれかを有する者を１名以上配置す32ること。AWS solutions architect associate / AWS solutions architect professionalカ 応札者は、本システムで利用中のパブリッククラウド(AWS)において運用・保守を行った実績を過去３年以内に有すること。キ 本業務を行う担当者は、業務を効率的、効果的に推進するために求められる業務遂行能力を有すること。(ウ) 情報や意見を的確に交換できるコミュニケーション能力(エ) 課題・改善点を識別し、改善する能力(オ) 本業務を履行するうえで適当なAWSのスキル(３) クラウドサービス利用時の情報システムの保護に関する事項ア 情報システム、情報システムで取り扱うデータ等の情報資産の所有権その他の権利が受注者及びクラウドサービスプロバイダーに帰属せず、また、発注者から受注者にクラウドサービスプロバイダーに移転されるものでないこと。イ 農林水産省の情報システムにおけるクラウドサービスの契約は、農林水産省を契約者として契約すること。本業務の契約とクラウドサービスの契約は別に契約することが必要であることを理解して対応すること。ウ クラウドサービスの利用にあたり、情報資産が漏えいすることがないよう、必要な措置を講じること。エ 現在利用しているクラウドサービスの解約に伴うデータの削除については、クラウドサービスプロバイダーが定めるデータ消去の方法で、データ削除し、削除したことを証明する資料を提出すること。なお、クラウドサービスの契約を移管する場合は当たらない。オ 農林水産省の情報システムにおけるクラウドサービスの契約は、AWS の場合、農林水産省をエンドカスタマーとしてクラウドサービスの再販を行うこと。(４) 作業場所本業務の作業場所及び作業に当たり必要となる設備、備品及び消耗品等については、受注者の責任において用意すること。また、必要に応じて担当職員が現地確認を実施することができるものとする。 (５) 作業の管理に関する要領受注者は、担当部署が承認した運用保守計画書及び運用保守実施要領に従い、記載された成果物を作成すること。その際、運用保守計画書及び運用保守実施要領に従い、コミュニケーション管理、体制管理、作業管理、品質管理、リスク管理、課題管理、システム構成管理、変更管理、情報セキュリティ対策を行うこと。33７ 作業の実施に当たっての遵守事項(１) 機密保持、資料の取扱いア 担当部署から農林水産省における情報セキュリティの確保に関する規則(平成27年３月 31 日農林水産省訓令第４号。以下「規則」という。)、「農林水産省における個人情報の適正な取扱いのための措置に関する訓令」等の説明を受けるとともに、本業務に係る情報セキュリティ要件を遵守すること。なお、「農林水産省における情報セキュリティの確保に関する規則」は、政府機関等のサイバーセキュリティ対策のための統一基準群(以下「統一基準群」という。)に準拠することとされていることから、受注者は、統一基準群の改定を踏まえて規則が改正された場合には、本業務に関する影響分析を行うこと。イ 本業務に係る情報セキュリティ要件は次のとおりである。(ア) 委託した業務以外の目的で利用しないこと。(イ) 業務上知り得た情報について第三者への開示や漏えいをしないこと。(ウ) 持出しを禁止すること。(エ) 受注事業者の責に起因する情報セキュリティインシデントが発生するなどの万一の事故があった場合に直ちに報告する義務や、損害に対する賠償等の責任を負うこと。(オ) 業務の履行中に受け取った情報の管理、業務終了後の返却又は抹消等を行い復元不可能な状態にすること。(カ) 適切な措置が講じられていることを確認するため、遵守状況の報告を求めることや、必要に応じて発注者による実地調査が実施できること。(キ) 生成 AI システム特有のリスクケース等が発生した場合、受注者は関係するデータの提供や調査等に協力すること。(ク) 本業務の開発・運用において、ソースコード解析やソースコード生成、ソースコードの管理を行う際には、セキュリティ・バイ・デザイン(DS-200)を元に、情報セキュリティ対策の責任者を定め、開発環境や開発工程等も含めたすべてのライフサイクルに対してぬけ漏れなく情報セキュリティ対策を実行すること。ウ 上記以外に、別紙５「情報セキュリティの確保に関する共通基本仕様」に基づき、作業を行うこと。(２) 個人情報の取扱いア 個人情報(生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。以下同じ。)の取扱いに係る事項について担当部署と協議の上決34定し、書面にて提出すること。なお、以下の事項を記載すること。(ア) 個人情報の取扱いに関する責任者が情報管理責任者と異なる場合には、個人情報の取扱いに関する責任者等の管理体制(イ) 個人情報の管理状況の検査に関する事項(検査時期、検査項目、検査結果において問題があった場合の対応等)イ 本業務の作業を派遣労働者に行わせる場合は、労働者派遣契約書に秘密保持義務など個人情報の適正な取扱いに関する事項を明記し、作業実施前に教育を実施し、認識を徹底させること。なお、受注者はその旨を証明する書類を提出し、担当部署の了承を得たうえで実施すること。ウ 個人情報を複製する際には、事前に担当職員の許可を得ること。なお、複製の実施は必要最小限とし、複製が不要となり次第、その内容が絶対に復元できないように破棄・消去を実施すること。なお、受注者は廃棄作業が適切に行われた事を確認し、その保証をすること。エ 受注者は、本業務を履行する上で個人情報の漏えい等安全確保の上で問題となる事案を把握した場合には、直ちに被害の拡大を防止等のため必要な措置を講ずるとともに、担当職員に事案が発生した旨、被害状況、復旧等の措置及び本人への対応等について直ちに報告すること。オ 受注者は、農林水産省からの指示に基づき、個人情報の取扱いに関して原則として年１回以上の実地検査を受け入れること。なお、やむを得ない理由により実地検査の受入れが困難である場合は、書面検査を受け入れること。また、個人情報の取扱いに係る業務を再委託する場合は、受注者(必要に応じ農林水産省)は、原則として年１回以上の再委託先への実地検査を行うこととし、やむを得ない理由により実地検査の実施が困難である場合は、書面検査を行うこと。カ 個人情報の取扱いにおいて適正な取扱いが行われなかった場合は、本業務の契約解除の措置を受けるものとする。(３) 法令等の遵守ア 関係法令の遵守受注者は、役務(委託事業を含む)の提供に当たり、関連する環境関係法令を遵守するものとする。(ア) エネルギーの節減a エネルギーの使用の合理化及び非化石エネルギーへの転換等に関する法律(昭和54年法律第49号)(イ) 廃棄物の発生抑制、適正な循環的な利用及び適正な処分a 廃棄物の処理及び清掃に関する法律(昭和45年法律第137 号)b 国等による環境物品等の調達の推進等に関する法律 (平成 12 年法律第35100 号)c プラスチックに係る資源循環の促進等に関する法律(令和３年法律第60号)d 労働安全衛生法(昭和47年法律第57号)e 地球温暖化対策の推進に関する法律(平成10年法律第117 号)(４) 環境負荷低減に係る遵守事項受注者は、物品・役務(委託事業を含む)の提供に当たり、新たな環境負荷を与えることにならないよう、事業の最終報告時に様式(別紙６)を用いて、以下の取組に努めたことを、みどりチェック実施状況報告書として提出すること。なお、全ての事項について「実施した/努めた」又は「左記非該当」のどちらかにチェックを入れるとともに、ア～エの各項目について、一つ以上「実施した/努めた」にチェックを入れること。ア 環境負荷低減に配慮したものを調達するよう努める。イ エネルギーの削減の観点から、オフィスや車両・機械などの電気、燃料の使用状況の記録・保存や、不必要・非効率なエネルギー消費を行わない取組(照明、空調のこまめな管理や、ウォームビズ・クールビズの励行、燃費効率の良い機械の利用等)の実施に努める。ウ 廃棄物の発生抑制、適切な循環的な利用及び適正な処分に努める。エ みどりの食料システム戦略の理解に努めるとともに、機械等を扱う場合は、機械の適切な整備及び管理並びに作業安全に努める。 (５) 標準ガイドラインの遵守本業務の遂行に当たっては、「デジタル社会推進標準ガイドライン群」のうち標準ガイドライン(政府情報システムの整備及び管理に関するルールとして順守する内容を定めたドキュメント)に該当する以下のアからケに基づくこと。また、具体的な作業内容及び手順等については、「デジタル・ガバメント推進標準ガイドライン解説書」を参考とすること。なお、デジタル社会推進標準ガイドライン群が改定された場合は、最新のものを参照し、その内容に従うこと。ア DS-100 デジタル・ガバメント推進標準ガイドラインイ DS-310 政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針ウ DS-511 行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドラインエ DS-670.1 ユーザビリティガイドラインオ DS-680.1 ウェブサイトガイドラインカ DS-680.2 ウェブコンテンツガイドラインキ DS-900 Webサイト等の整備及び廃止に係るドメイン管理ガイドラインク DS-910 安全保障等の機微な情報等に係る政府情報システムの取扱い36ケ DS-920 行政の進化と革新のための生成AIの調達・利活用に係るガイドライン(６) その他文書、標準への準拠ア プロジェクト計画書等本業務の遂行に当たっては、担当部署が定めるプロジェクト計画書及びプロジェクト管理要領との整合を確保して行うこと。イ アプリケーション・コンテンツの作成規程(ア) 提供するアプリケーション・コンテンツに不正プログラムを含めないこと。(イ) 提供するアプリケーションにぜい弱性を含めないこと。(ウ) 実行プログラムの形式以外にコンテンツを提供する手段がない限り、実行プログラムの形式でコンテンツを提供しないこと。(エ) 電子証明書を利用するなど、提供するアプリケーション・コンテンツの改ざん等がなく真正なものであることを確認できる手段がある場合には、それをアプリケーション・コンテンツの提供先に与えること。(オ) 提供するアプリケーション・コンテンツの利用時に、ぜい弱性が存在するバージョンのＯＳやソフトウェア等の利用を強制するなどの情報セキュリティ水準を低下させる設定変更を、ＯＳやソフトウェア等の利用者に要求することがないよう、アプリケーション・コンテンツの提供方式を定めて開発すること。(カ) サービス利用に当たって必須ではない、サービス利用者その他の者に関する情報が本人の意思に反して第三者に提供されるなどの機能がアプリケーション・コンテンツに組み込まれることがないよう開発すること。(キ) 「.go.jp」で終わるドメインを使用してアプリケーション・コンテンツを提供すること。なお、ドメインを新規に導入する場合又はドメインを変更等する場合は、担当部署から農林水産省ドメイン管理マニュアルの説明を受けるとともに、それに基づき必要な作業を行うこと。(ク) 詳細については、担当部署から「アプリケーション・コンテンツの作成及び提供に関する規程」の説明を受けるとともに、それに基づきアプリケーション・コンテンツの作成及び提供を行うこと。(７) 情報システム監査ア 本調達において整備又は管理を行う情報システムに伴うリスクとその対応状況を客観的に評価するために、農林水産省が情報システム監査の実施を必要と判断した場合は、農林水産省が定めた実施内容(監査内容、対象範囲、実施者等)に基づく情報システム監査を受注者は受け入れること。(農林水産省が別途選定した事業者による監査を含む)。イ 情報システム監査で問題点の指摘又は改善案の提示を受けた場合には、対応案を担37当部署と協議し、指示された期間までに是正を図ること。(８) データマネジメント・データ活用要件本業務の遂行に当たっては、「農林水産省データマネジメント・データ活用基本方針書(令和5年10 月)」に基づくこと。(９) 行政の進化と革新のための生成AIの調達・利活用に係るガイドラインへの対応本業務の遂行に当たっては、生成 AI を活用する場合、「デジタル社会推進標準ガイドライン DS-920 行政の進化と革新のための生成 AI の調達・利活用に係るガイドライン別紙３調達チェックシート」の基本項目を満たすこと。本業務においては、「国民等による農林水産省外利用の場合」、「個人情報、プライバシー、知的財産を取り扱う場合」の項目もそれぞれ満たすこと。行政の進化と革新のための生成 AI の調達・利活用に係るガイドラインが改定された場合は、最新のものを参照し、その内容に従うこと。８ 成果物の取扱いに関する事項(１) 知的財産権の帰属ア 本業務における成果物の原著作権及び二次的著作物の著作権(著作権法第 21 条から第 28 条に定める全ての権利を含む。)は、受注者が本調達の実施の従前から権利を保有していた等の明確な理由によりあらかじめ提案書等にて権利譲渡不可能と示されたもの以外は、全て農林水産省に帰属するものとする。イ 受注者又は第三者に帰属する知的財産権を用いて成果物を作成(情報システムの構築等を含む。)する場合、当該知的財産権の利用における制約等を担当部署に説明するとともに、WEB サイトのコンテンツ利用規約にその内容を記載する等によりシステム利用者が意図せず知的財産権を侵害することがないよう、必要な措置を講じること。ウ 農林水産省は、成果物について、第三者に権利が帰属する場合を除き、自由に複製し、改変等し、及びそれらの利用を第三者に許諾することができるとともに、任意に開示できるものとする。また、受注者は、成果物について、自由に複製し、改変等し、及びこれらの利用を第三者に許諾すること(以下「複製等」という。)ができるものとする。ただし、成果物に第三者の権利が帰属するときや、複製等により農林水産省がその業務を遂行する上で支障が生じるおそれがある旨を契約締結時までに通知したときは、この限りでないものとし、この場合には、複製等ができる範囲やその方法等について協議するものとする。エ 納品される成果物に第三者が権利を有する著作物(以下「既存著作物等」という。)が含まれる場合には、受注者は、当該既存著作物等の使用に必要な費用の負担及び使用許諾契約等に関わる一切の手続を行うこと。この場合、本業務の受注者は、38当該既存著作物の内容について事前に農林水産省の承認を得ることとし、農林水産省は、既存著作物等について当該許諾条件の範囲で使用するものとする。 なお、本仕様に基づく作業に関し、第三者との間に著作権に係る権利侵害の紛争の原因が専ら農林水産省の責めに帰す場合を除き、受注者の責任及び負担において一切を処理すること。この場合、農林水産省は係る紛争等の事実を知ったときは、受注者に通知し、必要な範囲で訴訟上の防衛を受注者に委ねる等の協力措置を講じるものとする。オ 本調達に係る成果物の関する権利(著作権法第 21 条から第 28 条に定める全ての権利を含む。)及び所有権は、検収に合格した成果物の引渡しを受けたとき、受注者から農林水産省に移転するものとする。カ 受注者は農林水産省に対し、一切の著作者人格権を行使しないものとし、また、第三者をして行使させないものとする。キ 受注者は使用する画像、デザイン、表現等に関して他者の著作権を侵害する行為に十分配慮し、これを行わないこと。(２) 契約不適合責任ア 農林水産省は検収(「検査」と同義。以下同じ。)完了後、成果物についてシステム仕様書との不一致(バグも含む。以下「契約不適合」という。)が発見された場合、受注者に対して当該契約不適合の修正等の履行の追完(以下「追完」という。)を請求することができ、受注者は、当該追完を行うものとすること。ただし、農林水産省が追完の方法についても請求した場合であって、農林水産省に不相当な負担を課するものでないときは、受注者は農林水産省が請求した方法と異なる方法による追完を行うことができること。イ 前記アの場合において、追完の請求にも関わらず相当の期間内に追完がなされないときは、農林水産省は、その不適合の程度に応じて支払うべき金額の減額を請求することができる。ウ 前記イの規定にかかわらず、次に掲げる場合には、農林水産省は、相当の期間の経過を待つことなく、直ちに支払うべき金額の減額を請求することができる。(ア) 追完が不能であるとき。(イ) 受注者が追完を拒絶する意思を明確に表示したとき。(ウ) 特定の日時又は一定の期間内に履行をしなければ本調達の目的を達することができない場合において、受注者が追完をしないでその時期を経過したとき。(エ) (ア)から(ウ)までに掲げる場合のほか、農林水産省が追完の請求をしても追完を受ける見込みがないことが明らかであるとき。エ 農林水産省は、当該契約不適合(受注者の責めに帰すべき事由により生じたものに限る。)により損害を被った場合、受注者に対して損害賠償を請求することができる。39オ 当該契約不適合について、追完の請求にもかかわらず相当期間内に追完がなされない場合又は追完の見込みがない場合で、当該契約不適合により本契約の目的を達することができないときは、農林水産省は本契約の全部又は一部を解除することができること。カ 受注者が本項に定める責任その他の契約不適合責任を負うのは、検収完了後１年以内に農林水産省から当該契約不適合を通知された場合に限るものとすること。ただし、検収完了時において受注者が当該契約不適合を知り若しくは重過失により知らなかったとき、又は当該契約不適合が受注者の故意若しくは重過失に起因するときにはこの限りでない。キ 前記アからカまでの規定は、契約不適合が農林水産省の提供した資料等又は農林水産省の与えた指示によって生じたときは適用しないこと。ただし、受注者がその資料等又は指示が不適当であることを知りながら告げなかったときはこの限りでない。(３) 検収ア 本業務の受注者は、成果物等について、納品期日までに農林水産省に内容の説明を実施して検収を受けること。イ 検収の結果、成果物等に不備又は誤り等が見つかった場合には、直ちに必要な修正、改修、交換等を行い、変更点について農林水産省に説明を行った上で、指定された日時までに再度納品すること。９ 競争参加資格に関する事項(１) 競争参加資格ア 予算決算及び会計令第70条の規定に該当しない者であること。なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。イ 公告日において令和７、８、９年度全省庁統一資格の「役務の提供等」の「A」の等級に格付けされ、競争参加資格を有する者であること。(２) 公的な資格や認証等の取得ア 応札者は、品質マネジメントシステムに係る以下のいずれかの条件を満たすこと。(ア) 品質マネジメントシステムの規格である「JIS Q 9001」又は｢ISO9001」(登録活動範囲が情報処理に関するものであること。)の認定を、業務を遂行する組織が有しており、認証が有効であること。(イ) 上記と同等の品質管理手順及び体制が明確化された品質マネジメントシステムを有している事業者であること(管理体制、品質マネジメントシステム運営規程、品質管理手順規定等を提示すること。)。40イ 応札者は、情報セキュリティに係る以下のいずれかの条件を満たすこと。(ア) 情報セキュリティ実施基準である「JIS Q 27001」、「ISO/IEC27001」又は「ISMS」の認証を有しており、認証が有効であること。(イ) 一般財団法人日本情報経済社会推進協会のプライバシーマーク制度の認定を受けているか、又は同等の個人情報保護のマネジメントシステムを確立していること。(ウ) 個人情報を扱うシステムのセキュリティ体制が適切であることを第三者機関に認定された事業者であること。(３) 受注実績等ア 100 名以上の職員が利用する情報システムの運用又は保守業務を行った実績を、直近５年以内に有すること。イ 受注者は、本システムで利用中のパブリッククラウドにおいて、運用・保守を行った実績を過去３年以内に有すること。ウ クラウドサービスについて応札者は以下の(ア)又は(イ)のいずれかの条件を満たすこと。(ア)クラウドサービスプロバイダーから代理店の認定を受け、かつ AWS SolutionProvider Program(SPP)の登録を受けていること。加えて、本案件の関係者が、日本国内のクラウドサービスプロバイダーから日本語で契約や技術に関するサポートを受けられる商流であること。(イ)国内企業のディストリビュータ経由でクラウドサービスの再販が可能であること。 (４) 入札制限本業務を直接担当する農林水産省ITアドバイザー(デジタル統括アドバイザーに相当)、農林水産省全体管理組織(ＰＭＯ)支援スタッフ及び農林水産省最高情報セキュリティアドバイザーが、その現に属する事業者及びこの事業者の「財務諸表等の用語、様式及び作成方法に関する規則」 (昭和38年大蔵省令第59号)第８条に規定する親会社及び子会社、同一の親会社を持つ会社並びに委託先等緊密な利害関係を有する事業者は、本書に係る業務に関して入札に参加できないものとする。１０ その他特記事項(１) 前提条件等ア 本調達仕様書と契約書の内容に齟齬が生じた場合には、本調達仕様書の内容が優先する。イ 本業務に関する契約の締結は、令和８年度の予算成立を条件とする。令和８年４月１日以前に令和８年度予算が成立していない場合には契約締結の中止等を行う可41能性があり、この場合、農林水産省は、契約締結の中止等に伴ういかなる責任も負担しない。ウ 本業務受注後に調達仕様書の内容の一部について変更を行おうとする場合、その変更の内容、理由等を明記した書面をもって担当部署に申し入れを行うこと。双方の協議において、その変更内容が軽微(委託料、納期に影響を及ぼさない)かつ許容できると判断された場合は、変更の内容、理由等を明記した書面に双方が確認することによって変更を確定する。エ 本業務に使用する言語(会話によるコミュニケーションを含む。)は日本語、数字は算用数字、単位は原則としてメートル法とすること。オ MAFFクラウドについて不明点等がある場合は、担当部署及びMAFFクラウドCoEと協議の上、作業を進めること。MAFF クラウド CoE からクラウドのシステム構成について、改善点の指摘を受けた場合に協議の上、対応を行うこと。また、MAFFクラウドCoE が監査・指導の観点でクラウド環境の確認が必要と判断した際には、要請に基づき、リードオンリーのIAMユーザーを払い出すこと。(２) 入札公告期間中の資料閲覧等本業務の実施に参考となる過去の類似業務の報告書等に関する資料については、農林水産省動物医薬品検査所内にて閲覧可能とする。なお、資料の閲覧に当たっては、必ず事前に担当部署まで連絡の上、閲覧日時を調整すること。ア 資料閲覧場所茨城県つくば市観音台２丁目１－22農林水産省動物医薬品検査所企画連絡室イ 閲覧期間及び時間(ア) 公告日から入札日前日まで(イ) 行政機関の休日を除く日の10時から17時まで。(12時から13時を除く。)ウ 閲覧手続最大３名まで。応札希望者の商号、連絡先、閲覧希望者氏名を別記様式１「閲覧申込書」に記載の上、閲覧希望日の３日前までに提出すること。また、閲覧日当日までに別記様式２「守秘義務に関する誓約書」に記載の上、提出すること。エ 閲覧時の注意閲覧にて知り得た内容については、提案書の作成以外には使用しないこと。また、本調達に関与しない者等に情報が漏えいしないように留意すること。閲覧資料の複写等による閲覧内容の記録は行わないこと。オ 連絡先農林水産省 動物医薬品検査所 企画連絡室電話029-811-696442Email：nval_kikakuchouseika@maff.go.jpカ 事業者が閲覧できる資料閲覧に供する資料の例を次に示す。(ア) 遵守すべき各府省独自の規定類a 農林水産省における情報セキュリティの確保に関する規則b 農林水産省における個人情報の適正な取扱いのための措置に関する訓令(イ) 「動物用医薬品等データベース」の設計書(３) その他本仕様書について疑義等がある場合は、応札希望者は別記様式３「質問書」により質問すること。なお、質問書に対する回答は適宜行うこととする。１１ 附属文書(１) 別紙１ AWS/Azure設定確認リスト(２) 別紙２ webシステム/webアプリケーションセキュリティ要件書(３) 別紙３ 情報システムの経費区分(４) 別紙４ 調達仕様書に盛り込むべき情報資産管理標準シートの提出等に関する作業(５) 別紙５ 情報セキュリティの確保に関する共通基本仕様(６) 別紙６ みどりチェック実施状況報告書(７) 別記様式１ 閲覧申込書(８) 別記様式２ 守秘義務に関する誓約書(９) 別記様式３ 質問書以 上AWS・Azureセキュリティ設定確認リスト 凡例：〇：責任者、△：サポート※各リソースの詳細な設定についてご不明な点等ございましたら別途お問合せください。 その他のログについてはPJMOに一任。 AWS：Configの「Configsnapshot」「Confighistory」・CloudTrailの証跡ログ・VPCフローログ・GuardDutyの検出結果Azure：Microsoft Defender for Cloudの評価結果・Activity Log・VNetフローログ・AzurePolicyの評価結果ログの一元管理 △ 〇 同上ログの保護 △ 〇 同上ログの監視/通知の設定 〇 PJMOに一任ネットワークロードバランサの接続設定 〇 PJMOに一任DDoS対策 〇 PJMOに一任SSL/TLS証明書の設定・管理 〇 PJMOに一任AWSにおいて考慮すべき設定セキュリティグループの設定 ○ PJMOに一任Azureにおいて考慮すべき設定ネットワークセキュリティグループ(NSG)の設定 ○ PJMOに一任他セキュリティ全般不適切な設定を検知するサービスの導入 〇 △MAFFクラウド共通機能「不適切設定検知機能」により設定AWS：Config・Security HubAzure：Azure Policyクラウド環境内の脅威を検知するサービスの導入 〇 △MAFFクラウド共通機能「マネージド型脅威検出機能」により設定AWS：GuardDutyAzure：Microsoft Defender for Cloud攻撃対象となるネットワークポートへのアクセス制限 〇 PJMOに一任各サービスにおける不要な匿名/公開アクセスのブロック 〇 PJMOに一任各サービスにおけるデータ・通信の暗号化 〇 PJMOに一任不正プログラム対策ソフトウェアの導入 〇 IDS/IPS対策(※要否については応相談)脆弱性管理最新のOSパッチの適用確認 〇インベントリ収集機能の有効化 ○ △ MAFFクラウド共通機能「インベントリ収集機能」を有効化し、管理者アカウントで監視AWSにおいて考慮すべき設定Amazon Inspectorの有効化 ○ PJMOに一任コンテナにおける脆弱性対策 ○ ECR(基本スキャン)またはInspector(拡張スキャン)を利用Azureにおいて考慮すべき設定コンテナにおける脆弱性対策 ○Defender CSPMまたはDefender for Containersを利用※基本的にはDefender for Containersを利用(脆弱性診断の性能に差はほとんどない一方、Defender CSPMはサブスクリプション内のリソース毎に料金が発生するため、 Defender forContainersに比べコストが高くなりやすい)バックアップ各サービスのバックアップ設定 ○ PJMOに一任セキュリティ設定確認リスト(AWS/Azure)担当役割分担に関する補足Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.01 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否1 認証・認可 1.1 ユーザー認証 1.1.1 特定のユーザーや管理者のみに表⽰・実⾏を許可すべき画⾯や機能、APIでは、ユーザー認証を実施すること特定のユーザーや管理者のみにアクセスを許可したいWebシステムでは、ユーザー認証を⾏う必要があります。また、ユーザー認証が成功した後にはアクセス権限を確認する必要があります。そのため、認証済みユーザーのみがアクセス可能な箇所を明⽰しておくことが望ましいでしょう。 リスクベース認証や⼆要素認証など認証をより強固にする仕組みもあります。不特定多数がアクセスする必要がない場合には、IPアドレスなどによるアクセス制限も効果があります。 OpenIDなどIdP(ID Provider)を利⽤する場合には信頼できるプロバイダであるかを確認する必要があります。IdPを使った認証・認可を⾏う場合も他の認証・認可に関する要件を満たすものを利⽤することが望ましいです。 必須1.1.2 上記画⾯や機能に含まれる画像やファイルなどの個別のコンテンツ(⾮公開にすべきデータは直接URLで指定できる公開ディレクトリに配置しない)では、ユーザー認証を実施すること必須1.1.3 多要素認証を実施すること 多要素認証(Multi Factor Authentication: MFA)とは、例えばパスワードによる認証に加え、TOTP (Time-Based One-Time Password：時間ベースのワンタイムパスワード)やデジタル証明書など⼆つ以上の要素を利⽤した認証⽅式です。⼿法については NIST Special Publication 800-63B などを参照してください。 推奨1.2 ユーザーの再認証 1.2.1 個⼈情報や機微情報を表⽰するページに遷移する際には、再認証を実施することユーザー認証はセッションにおいて最初の⼀度だけ実施するのではなく、重要な情報や機能へアクセスする際には再認証を⾏うことが望ましいでしょう。 推奨1.2.2 パスワード変更や決済処理などの重要な機能を実⾏する際には、再認証を実施すること推奨1.3 パスワード 1.3.1 ユーザー⾃⾝が設定するパスワード⽂字列は最低 8⽂字以上であること 認証を必要とするWebシステムの多くは、パスワードを本⼈確認の⼿段として認証処理を⾏います。そのためパスワードを盗聴や盗難などから守ることが重要になります。 必須1.3.2 登録可能なパスワード⽂字列の最⼤⽂字数は64⽂字以上であること パスワードを処理する関数の中には最⼤⽂字数が少ないものもあるので注意する必要があります。 必須1.3.3 パスワード⽂字列として使⽤可能な⽂字種は制限しないこと 任意の⼤⼩英字、数字、記号、空⽩、Unicode⽂字など任意の⽂字が利⽤可能である必要があります。 必須1.3.4 パスワード⽂字列の⼊⼒フォームはinput type="password"で指定すること基本的にinputタグのtype属性には「password」を指定しますが、パスワードを⼀時的に表⽰する可視化機能を実装する場合にはこの限りではありません。 必須1.3.5 ユーザーが⼊⼒したパスワード⽂字列を次画⾯以降で表⽰しないこと(hiddenフィールドなどのHTMLソース内やメールも含む)必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.02 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否1.3.6 パスワードを保存する際には、平⽂で保存せず、Webアプリケーションフレームワークなどが提供するハッシュ化とsaltを使⽤して保存する関数を使⽤すること関数が存在しない場合にはパスワードは「パスワード⽂字列＋salt(ユーザー毎に異なるランダムな⽂字列)」をハッシュ化したものとsaltのみを保存する必要があります。(saltは20⽂字以上であることが望ましい)パスワード⽂字列のハッシュ化をさらに安全にする⼿法としてストレッチングがあります。 必須1.3.7 ユーザー⾃⾝がパスワードを変更できる機能を⽤意すること 必須1.3.8 パスワードはユーザー⾃⾝に設定させることシステムが仮パスワードを発⾏する場合はランダムな⽂字列を設定し、安全な経路でユーザーに通知すること推奨1.3.9 パスワードの⼊⼒欄でペースト機能を禁⽌しないこと ⻑いパスワードをユーザーが利⽤出来るようにするためにペースト機能を禁⽌しないようにする必要があります。 推奨1.3.10 パスワード強度チェッカーを実装すること 使⽤する⽂字種や⽂字数を確認し、ユーザー⾃⾝にパスワードの強度を⽰せるようにします。またユーザーIDと同じ⽂字列や漏洩したパスワードなどのリストとの突合を⾏う必要があります。⼿法については NISTSpecial Publication 800-63B などを参照してください。 推奨1.4 アカウントロック機能について 1.4.1 認証時に無効なパスワードで10回試⾏があった場合、最低30分間はユーザーがロックアウトされた状態にすることパスワードに対する総当たり攻撃や辞書攻撃などから守るためには、試⾏速度を遅らせるアカウントロック機能の実装が有効な⼿段になります。アカウントロックの試⾏回数、ロックアウト時間については、サービスの内容に応じて調整することが必要になります。 必須1.4.2 ロックアウトは⾃動解除を基本とし、⼿動での解除は管理者のみ実施可能とすること推奨1.5 パスワードリセット機能について 1.5.1 パスワードリセットを実⾏する際にはユーザー本⼈しか受け取れない連絡先(あらかじめ登録しているメールアドレス、電話番号など)にワンタイムトークンを含むURLなどの再設定⽅法を通知すること連絡先については、事前に受け取り確認をしておくことでより安全性を⾼めることができます。 使⽤されたワンタイムトークンは破棄し、有効期限を12時間以内とし必要最低限に設定してください。 必須1.5.2 パスワードはユーザー⾃⾝に再設定させること 必須1.6 アクセス制御について 1.6.1 Web ページや機能、データをアクセス制御(認可制御)する際には認証情報・状態を元に権限があるかどうかを判別すること認証により何らかの制限を⾏う場合には、利⽤しようとしている情報や機能へのアクセス(読み込み・書き込み・実⾏など)権限を確認することでアクセス制御を⾏うことが必要になります。 画像やファイルなどのコンテンツ、APIなどの機能に対しても、全て個別にアクセス権限を設定、確認する必要があります。 これらはアクセス権限の⼀覧表に基づいて⾏います。 CDNなどを利⽤してコンテンツを配置するなどアクセス制御を⾏うことが困難な場合、予測が困難なURLを利⽤することでアクセスされにくくする⽅法もあります。 必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.03 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否1.6.2 公開ディレクトリには公開を前提としたファイルのみ配置すること 公開ディレクトリに配置したファイルは、URLを直接指定することでアクセスされる可能性があります。そのため、機微情報や設定ファイルなどの公開する必要がないファイルは、公開ディレクトリ以外に配置する必要があります。 必須1.7 アカウントの無効化機能について 1.7.1 管理者がアカウントの有効・無効を設定できること 不正にアカウントを利⽤されていた場合に、アカウントを無効化することで被害を軽減することができます。推奨2 セッション管理2.1 セッションの破棄について 2.1.1 認証済みのセッションが⼀定時間以上アイドル状態にあるときはセッションタイムアウトとし、サーバー側のセッションを破棄しログアウトすること認証を必要とするWebシステムの多くは、認証状態の管理にセッションIDを使ったセッション管理を⾏います。認証済みの状態にあるセッションを不正に利⽤されないためには、使われなくなったセッションを破棄する必要があります。セッションタイムアウトの時間については、サービスの内容やユーザー利便性に応じて設定することが必要になります。また、NIST Special Publication 800-63B などを参照してください。 必須2.1.2 ログアウト機能を⽤意し、ログアウト実⾏時にはサーバー側のセッションを破棄することログアウト機能の実⾏後にその成否をユーザーが確認できることが望ましい。 必須2.2 セッションIDについて 2.2.1 Webアプリケーションフレームワークなどが提供するセッション管理機能を使⽤することセッションIDを⽤いて認証状態を管理する場合、セッションIDの盗聴や推測、攻撃者が指定したセッションIDを使⽤させられる攻撃などから守る必要があります。 また、セッションIDは原則としてcookieにのみ格納すべきです。 必須2.2.2 セッションIDは認証成功後に発⾏すること認証前にセッションIDを発⾏する場合は、認証成功直後に新たなセッションIDを発⾏すること必須2.2.3 ログイン前に機微情報をセッションに格納する時点でセッションIDを発⾏または再⽣成すること必須2.2.4 認証済みユーザーの特定はセッションに格納した情報を元に⾏うこと 必須2.3 CSRF(クロスサイトリクエストフォージェリー)対策の実施について2.3.1 ユーザーにとって重要な処理を⾏う箇所では、ユーザー本⼈の意図したリクエストであることを確認できるようにすること正規ユーザー以外の意図により操作されては困る処理を⾏う箇所では、フォーム⽣成の際に他者が推測困難なランダムな値(トークン)をhiddenフィールドやcookie以外のヘッダーフィールド(X-CSRF-TOKENなど)に埋め込み、リクエストをPOSTメソッドで送信します。フォームデータを処理する際にトークンが正しいことを確認することで、正規ユーザーの意図したリクエストであることを確認することができます。 また、別の⽅法としてパスワード再⼊⼒による再認証を求める⽅法もあります。 cookieのSameSite属性を適切に使うことによって、CSRFのリスクを低減する効果があります。SameSite属性は⼀部の状況においては効果がないこともあるため、トークンによる確認が推奨されます。 必須3 ⼊⼒処理 3.1 パラメーターについて 3.1.1 URLにユーザーID やパスワードなどの機微情報を格納しないこと URLは、リファラー情報などにより外部に漏えいする可能性があります。そのため URLには秘密にすべき情報は格納しないようにする必要があります。 必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.04 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否3.1.2 パラメーター(クエリーストリング、エンティティボディ、cookieなどクライアントから受け渡される値)にパス名を含めないことファイル操作を⾏う機能などにおいて、URL パラメーターやフォームで指定した値でパス名を指定できるようにした場合、想定していないファイルにアクセスされてしまうなどの不正な操作を実⾏されてし まう可能性があります。 必須3.1.3 パラメーター要件に基づいて、⼊⼒値の⽂字種や⽂字列⻑の検証を⾏うこと各パラメーターは、機能要件に基づいて⽂字種・⽂字列⻑・形式を定義する必要があります。⼊⼒値に想定している⽂字種や⽂字列⻑以外の値の⼊⼒を許してしまう場合、不正な操作を実⾏されてしまう可能性があります。サーバー側でパラメーターを受け取る場合、クライアント側での⼊⼒値検証の有無に関わらず、⼊⼒値の検証はサーバー側で実施する必要があります。 必須3.2 ファイルアップロードについて 3.2.1 ⼊⼒値としてファイルを受け付ける場合には、拡張⼦やファイルフォーマットなどの検証を⾏うことファイルのアップロード機能を利⽤した不正な実⾏を防ぐ必要があります。画像ファイルを扱う場合には、ヘッダー領域を不正に加⼯したファイルにも注意が必要です。 必須3.2.2 アップロード可能なファイルサイズを制限すること 圧縮ファイルを展開する場合には、解凍後のファイルサイズや、ファイルパスやシンボリックリンクを含む場合のファイルの上書きにも注意が必要です。 必須3.3 XMLを使⽤する際の処理について 3.3.1 XMLを読み込む際は、外部参照を無効にすること ⼿法についてはXML External Entity Prevention Cheat Sheetなどを参照してください。 https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html必須3.4 デシリアライズについて 3.4.1 信頼できないデータ供給元からのシリアライズされたオブジェクトを受け⼊れないことデシリアライズする場合は、シリアライズしたオブジェクトにデジタル署名などを付与し、信頼できる供給元が発⾏したデータであるかを検証してください。 必須3.5 外部リソースへのリクエスト送信について 3.5.1 他システムに接続や通信を⾏う場合は、外部からの⼊⼒によって接続先を動的に決定しないこと外部から不正なURLやIPアドレスなどが挿⼊されると、SSRF(Server-Side Request Forgery)の脆弱性になる可能性があります。外部からの⼊⼒によって接続先を指定せざるを得ない場合は、ホワイトリストを基に⼊⼒値の検証を実施するとともに、アプリケーションレイヤーだけではなくネットワークレイヤーでのアクセス制御も併⽤する必要があります。 推奨4 出⼒処理 4.1 HTMLを⽣成する際の処理について 4.1.1 HTMLとして特殊な意味を持つ⽂字( " ' &)を⽂字参照によりエスケープすること外部からの⼊⼒により不正なHTMLタグなどが挿⼊されてしまう可能性があります。「<」→「<」や「&」→「&」、「"」→「"」のようにエスケープを⾏う必要があります。スクリプトによりクライアント側でHTMLを⽣成する場合も、同等の処理が必要です。実装の際にはこれらを⾃動的に実⾏するフレームワークやライブラリを使⽤することが望ましいでしょう。また、その他にもスクリプトの埋め込みの原因となるものを作らないようにする必要があります。 XMLを⽣成する場合も同様にエスケープが必要です。 必須4.1.2 外部から⼊⼒したURLを出⼒するときは「http://」または「https://」で始まるもののみを許可すること必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.05 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否4.1.3 .要素の内容やイベントハンドラ(onmouseover=””など)を動的に⽣成しないようにすること.要素の内容やイベントハンドラは原則として動的に⽣成しないようにすべきですが、jQueryなどのAjaxライブラリを使⽤する際はその限りではありません。ライブラリについては、アップデート状況などを調べて信頼できるものを選択するようにしましょう。 必須4.1.4 任意のスタイルシートを外部サイトから取り込めないようにすること 必須4.1.5 HTMLタグの属性値を「"」で囲うこと HTMLタグ中のname=”value”で記される値(value)にユーザーの⼊⼒値を使う場合、「”」で囲わない場合、不正な属性値を追加されてしまう可能性があります。 必須4.1.6 CSSを動的に⽣成しないこと 外部からの⼊⼒により不正なCSSが挿⼊されると、ブラウザに表⽰される画⾯が変更されたり、スクリプトが埋め込まれる可能性があります。 必須4.2 JSONを⽣成する際の処理について 4.2.1 ⽂字列連結でJSON⽂字列を⽣成せず、適切なライブラリを⽤いてオブジェクトをJSONに変換すること適切なライブラリがない場合は、JSONとして特殊な意味を持つ⽂字( " \, : { } [ ] )をUnicodeエスケープする必要があります。 必須4.3 HTTPレスポンスヘッダーについて 4.3.1 HTTPレスポンスヘッダーのContent-Typeを適切に指定すること ⼀部のブラウザではコンテンツの⽂字コードやメディアタイプを誤認識させることで不正な操作が⾏える可能性があります。これを防ぐためには、HTTPレスポンスヘッダーを「Content-Type: text/html; charset=utf-8」のように、コンテンツの内容に応じたメディアタイプと⽂字コードを指定する必要があります。 必須4.3.2 HTTPレスポンスヘッダーフィールドの⽣成時に改⾏コードが⼊らないようにすることHTTPヘッダーフィールドの⽣成時にユーザーが指定した値を挿⼊できる場合、改⾏コードを⼊⼒することで不正なHTTPヘッダーやコンテンツを挿⼊されてしまう可能性があります。これを防ぐためには、HTTPヘッダーフィールドを⽣成する専⽤のライブラリなどを使うようにすることが望ましいでしょう。 必須4.4 その他の出⼒処理について 4.4.1 SQL⽂を組み⽴てる際に静的プレースホルダを使⽤すること SQL⽂の組み⽴て時に不正なSQL⽂を挿⼊されることで、SQLインジェクションを実⾏されてしまう可能性があります。これを防ぐためにはSQL⽂を動的に⽣成せず、プレースホルダを使⽤してSQL⽂を組み⽴てるようにする必要があります。 静的プレースホルダとは、JIS/ISOの規格で「準備された⽂(PreparedStatement)」と規定されているものです。 必須4.4.2 プログラム上でOSコマンドやアプリケーションなどのコマンド、シェル、eval()などによるコマンドの実⾏を呼び出して使⽤しないことコマンド実⾏時にユーザーが指定した値を挿⼊できる場合、外部から任意のコマンドを実⾏されてしまう可能性があります。コマンドを呼び出して使⽤しないことが望ましいでしょう。 必須4.4.3 リダイレクタを使⽤する場合には特定のURLのみに遷移できるようにすることリダイレクタのパラメーターに任意のURLを指定できる場合(オープンリダイレクタ)、攻撃者が指定した悪意のあるURLなどに遷移させられる可能性があります。 必須4.4.4 メールヘッダーフィールドの⽣成時に改⾏コードが⼊らないようにすることメールの送信処理にユーザーが指定した値を挿⼊できる場合、不正なコマンドなどを挿⼊されてしまう可能性があります。これを防ぐためには、不正な改⾏コードを使⽤できないメール送信専⽤のライブラリなどを使うようにすることが望ましいでしょう。 必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.06 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否4.4.5 サーバ側のテンプレートエンジンを使⽤する際に、テンプレートの変更や作成に外部から受け渡される値を使⽤しないことサーバ側のテンプレートエンジンを使⽤してテンプレートを組み⽴てる際に不正なテンプレートの構⽂を挿⼊されることで、任意のコードを実⾏される可能性があります。 外部から渡される値をテンプレートの組み⽴てに使⽤せず、レンダリングを⾏う際のデータとして使⽤する必要があります。 また、レンダリング時にはクロスサイトスクリプティングの脆弱性が存在しないか確認してください。 必須5 HTTPS 5.1 HTTPSについて 5.1.1 Webサイトを全てHTTPSで保護すること 適切にHTTPSを使うことで通信の盗聴・改ざん・なりすましから情報を守ることができます。次のような重要な情報を扱う画⾯や機能ではHTTPSで通信を⾏う必要があります。 ・⼊⼒フォームのある画⾯・⼊⼒フォームデータの送信先・重要情報が記載されている画⾯・セッションIDを送受信する画⾯HTTPSの画⾯内で読み込む画像やスクリプトなどのコンテンツについてもHTTPSで保護する必要があります。 必須5.1.2 サーバー証明書はアクセス時に警告が出ないものを使⽤すること HTTPSで提供されているWebサイトにアクセスした場合、Webブラウザから何らかの警告がでるということは、適切にHTTPSが運⽤されておらず盗聴・改ざん・なりすましから守られていません。適切なサーバー証明書を使⽤する必要があります。 必須5.1.3 TLS1.2以上のみを使⽤すること SSL2.0／3.0、TLS1.0／1.1には脆弱性があるため、無効化する必要があります。使⽤する暗号スイートは、7.2.1を参照してください。 必須5.1.4 レスポンスヘッダーにStrict-Transport-Securityを指定すること Hypertext Strict Transport Security(HSTS)を指定すると、ブラウザがHTTPSでアクセスするよう強制できます。 必須6 cookie 6.1 cookieの属性について 6.1.1 Secure属性を付けること Secure属性を付けることで、http://でのアクセスの際にはcookieを送出しないようにできます。特に認証状態に紐付けられたセッションIDを格納する場合には、Secure属性を付けることが必要です。 必須6.1.2 HttpOnly属性を付けること HttpOnly属性を付けることで、クライアント側のスクリプトからcookieへのアクセスを制限することができます。 必須6.1.3 Domain属性を指定しないこと セッションフィクセイションなどの攻撃に悪⽤されることがあるため、Domain属性は特に必要がない限り指定しないことが望ましいでしょう。 推奨7 その他 7.1 エラーメッセージについて 7.1.1 エラーメッセージに詳細な内容を表⽰しないこと ミドルウェアやデータベースのシステムが出⼒するエラーには、攻撃のヒントになる情報が含まれているため、エラーメッセージの詳細な内容はエラーログなどに出⼒するべきです。 必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.07 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否7.2 暗号アルゴリズムについて 7.2.1 ハッシュ関数、暗号アルゴリズムは『電⼦政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)』に記載のものを使⽤すること広く使われているハッシュ関数、疑似乱数⽣成系、暗号アルゴリズムの中には安全でないものもあります。安全なものを使⽤するためには、『電⼦政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)』や『TLS暗号設定ガイドライン』に記載されたものを使⽤する必要があります。 必須7.3 乱数について 7.3.1 鍵や秘密情報などに使⽤する乱数的性質を持つ値を必要とする場合には、暗号学的な強度を持った疑似乱数⽣成系を使⽤すること鍵や秘密情報に予測可能な乱数を⽤いると、過去に⽣成した乱数値から⽣成する乱数値が予測される可能性があるため、ハッシュ関数などを⽤いて⽣成された暗号学的な強度を持った疑似乱数⽣成系を使⽤する必要があります。 必須7.4 基盤ソフトウェアについて 7.4.1 基盤ソフトウェアはアプリケーションの稼働年限以上のものを選定すること脆弱性が発⾒された場合、修正プログラムを適⽤しないと悪⽤される可能性があります。そのため、⾔語やミドルウェア、ソフトウェアの部品などの基盤ソフトウェアは稼働期間またはサポート期間がアプリケーションの稼働期間以上のものを利⽤する必要があります。もしアプリケーションの稼働期間中に基盤ソフトウェアの保守期間が終了した場合、危険な脆弱性が残されたままになる可能性があります。 必須7.4.2 既知の脆弱性のないOSやミドルウェア、ライブラリやフレームワーク、パッケージなどのコンポーネントを使⽤すること利⽤コンポーネントにOSSが含まれる場合は、SCA(ソフトウェアコンポジション解析)ツールを導⼊し、依存関係を包括的かつ正確に把握して対策が⾏えることが望ましいでしょう。 必須7.5 ログの記録について 7.5.1 重要な処理が⾏われたらログを記録すること ログは、情報漏えいや不正アクセスなどが発⽣した際の検知や調査に役⽴つ可能性があります。認証やアカウント情報の変更などの重要な処理が実⾏された場合には、その処理の内容やクライアントのIPアドレスなどをログとして記録することが望ましいでしょう。ログに機微情報が含まれる場合にはログ⾃体の取り扱いにも注意が必要になります。 必須7.6 ユーザーへの通知について 7.6.1 重要な処理が⾏われたらユーザーに通知すること 重要な処理(パスワードの変更など、ユーザーにとって重要で取り消しが困難な処理)が⾏われたことをユーザーに通知することによって異常を早期に発⾒できる可能性があります。 推奨7.7 Access-Control-Allow-Originヘッダーについて7.7.1 Access-Control-Allow-Originヘッダーを指定する場合は、動的に⽣成せず固定値を使⽤することクロスオリジンでXMLHttpRequest (XHR)を使う場合のみこのヘッダーが必要です。不要な場合は指定する必要はありませんし、指定する場合も特定のオリジンのみを指定する事が望ましいです。 必須7.8 クリックジャッキング対策について 7.8.1 レスポンスヘッダーにX-Frame-OptionsとContent-Security-Policyヘッダーのframe-ancestors ディレクティブを指定することクリックジャッキング攻撃に悪⽤されることがあるため、X-Frame-OptionsヘッダーフィールドにDENYまたはSAMEORIGINを指定する必要があります。 Content-Security-Policyヘッダーフィールドに frame-ancestors 'none'または 'self' を指定する必要があります。 X-Frame-Options ヘッダーは主要ブラウザーでサポートされていますが標準化されていません。CSP レベル 2 仕様で frame-ancestors ディレクティブが策定され、X-Frame-Options は⾮推奨とされました。 必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.08 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否7.9 キャッシュ制御について 7.9.1 個⼈情報や機微情報を表⽰するページがキャッシュされないよう Cache-Control: no-store を指定すること個⼈情報や機密情報が含まれたページはCDNやロードバランサー、ブラウザなどのキャッシュに残ってしまうことで、権限のないユーザーが閲覧してしまう可能性があるためキャッシュ制御を適切に⾏う必要があります。 必須7.10 ブラウザのセキュリティ設定について 7.10.1 ユーザーに対して、ブラウザのセキュリティ設定の変更をさせるような指⽰をしないことユーザーのWebブラウザのセキュリティ設定などを変更した場合や、認証局の証明書をインストールさせる操作は、他のサイトにも影響します。 必須7.11 ブラウザのセキュリティ警告について 7.11.1 ユーザーに対して、ブラウザの出すセキュリティ警告を無視させるような指⽰をしないことブラウザの出す警告を通常利⽤においても無視させるよう指⽰をしていると、悪意のあるサイトで同様の指⽰をされた場合もそのような操作をしてしまう可能性が⾼まります。 必須7.12 WebSocketについて 7.12.1 Originヘッダーの値が正しいリクエスト送信元であることが確認できた場合にのみ処理を実施することWebSocketにはSOP (Same Origin Policy)という仕組みが存在しないため、Cross-Site WebSocket Hijacking(CSWSH)対策のためにOriginヘッダーを確認する必要があります。 必須7.13 HTMLについて 7.13.1 html開始タグの前にを宣⾔すること DOCTYPEで⽂書タイプをHTMLと明⽰的に宣⾔することでCSSなど別フォーマットとして解釈されることを防ぎます。 必須7.13.2 CSSファイルやJavaScriptファイルをlinkタグで指定する場合は、絶対パスを使⽤することlinkタグを使⽤してCSSファイルやJavaScriptファイルを相対パス指定した場合にRPO (Relative Path Overwrite) が起きる可能性があります。 必須8 提出物 8.1 提出物について 8.1.1 サイトマップを⽤意すること 認証や再認証、CSRF対策が必要な箇所、アクセス制御が必要なデータを明確にするためには、Webサイト全体の構成を把握し、扱うデータを把握する必要があります。そのためには上記の資料を⽤意することが望ましいでしょう。 必須8.1.2 画⾯遷移図を⽤意すること 必須8.1.3 アクセス権限⼀覧表を⽤意すること 誰にどの機能の利⽤を許可するかまとめた⼀覧表を作成することが望ましいでしょう。 必須8.1.4 コンポーネント⼀覧を⽤意すること 依存しているライブラリやフレームワーク、パッケージなどのコンポーネントに脆弱性が存在する場合がありますので、依存しているコンポーネントを把握しておく必要があります。 推奨8.1.5 上記のセキュリティ要件についてテストした結果報告書を⽤意すること ⾃社で脆弱性診断を実施する場合には「脆弱性診断⼠スキルマッププロジェクト」が公開している「Webアプリケーション脆弱性診断ガイドライン」などを参照してください。 推奨別紙２ 情報システムの経費区分経費区分 摘要1) 整備経費 情報システムの整備(新規開発、機能改修・追加、更改及びこれらに付随する環境の整備をいう。)に要する一時的な経費目的により、投資的整備と維持的整備のものに分けられる。 投資的整備国民・利用者の利便性向上・負担軽減や業務効率化、経済効果の創出、システムのスリム化などの面で積極的に効果を得ることを目的として行うもの(注１) 維持的整備外部環境の変更等により生じる障害の回避を目的として、義務的に行うもの(仕様変更を伴うが積極的に効果を得ることを目的としないもの)(注２)ア 調査研究等経費情報システムの整備に当たり、業務の設計、要件定義を行う目的で行う現状分析、プロトタイプ作成、ドキュメント作成支援、調査研究等に要する経費(最適化計画の策定に要する経費を含む。)イ 設計経費 情報システムの整備に際し、その開発に関する設計書の作成に要する経費ウ 開発経費 情報システムの整備に際し、情報システムのプログラミング、パラメータ設定等による情報システムの開発(単体テストを含む。)に要する経費エ 据付調整経費ハードウェアやラックの搬入・据付け、ネットワークケーブルの敷設等、情報システムの物理的な稼働環境の整備に要する経費オ テスト経費 開発する情報システムの結合テスト、総合テスト及び受入テストに要する経費カ 移行経費 情報システムのシステム移行及びデータ移行に要する経費キ 廃棄経費 情報システムの廃止及び更改に伴う、ハードウェアやラック、ネットワークケーブル等の撤去及び廃棄に要する経費ク プロジェクト管理支援経費情報システムの整備に伴うプロジェクト管理支援事業者に要する経費ケ 施設整備等経費情報システムを構成するハードウェアを設置する施設、データ等を保管する施設又は運用事業者等が運用・保守等を行うために駐在する施設の整備、改修等に要する経費コ ハードウェア買取経費情報システムを構成するハードウェアの買取りに要する経費サ ソフトウェア買取経費情報システムを構成するソフトウェア製品のライセンスの買取り又は更新に要する経費シ サービス利用料情報システムの整備に当たって、ASP、SaaS、PaaS、ホスティングサービスなど、国の行政機関以外の者が提供するサービスの利用に要する経費及び国の行政機関以外の者が提供するサービスの利用開始に要する経費ス その他整備経費アからシまでのいずれにも該当しない情報システムの整備に要する経費2) 運用等経費 情報システムの運用、保守等に要する経常的な経費経費区分 摘要ア システム運用経費情報システムの正常な稼働を保持するために行うハードウェアの状態ファイルの管理、アプリケーションの設定等の管理、障害に対する予防等の措置など、仕様変更や構成変更を伴わない情報システムの技術的及び管理的業務の実施に要する経費イ 業務運用支援経費情報システムの稼働に当たって、業務実施部門が行う業務(データ作成(Webサイトやeラーニングのコンテンツ作成等)、データ受付・登録等)の運用支援に要する経費ウ 操作研修等経費情報システムの利用に当たって、当該情報システム部門の担当者又は情報システムの利用者に対する操作研修等(教材作成・更新を含む。)に要する経費エ ヘルプデスク経費職員等の情報システム利用者からの問合せに対応するために行う業務に要する経費オ コールセンター経費国民や事業者等の情報システム利用者からの問合せに対応するために行う業務に要する経費カ アプリケーション保守経費開発した情報システムについて、障害や技術革新等の外部環境の変化に対して情報システムの機能を仕様どおり正常な状態に保つために行うアプリケーションプログラムの改修、設定変更等に要する経費キ ハードウェア保守経費情報システムを構成するハードウェアについて、障害や技術革新等の外部環境の変化に対して情報システムの機能を仕様どおり正常な状態に保つために行う業務に要する経費ク ソフトウェア保守経費情報システムを構成するソフトウェア製品について、障害や技術革新等の外部環境の変化に対して情報システムの機能を仕様どおり正常な状態に保つために行う業務に要する経費ケ 監査経費 情報システムについて、システム監査又は情報セキュリティ監査の実施に要する経費コ 情報セキュリティ検査経費情報システムについて、ペネトレーションテスト、脆弱性診断等の情報セキュリティ検査・診断の実施に要する経費サ ハードウェア借料情報システムを構成するハードウェアについて、その使用に要する借料シ ソフトウェア借料情報システムを構成するソフトウェア製品について、その使用に要する借料ス サービス利用料情報システムの稼働又は利用に当たって、ASP、SaaS、PaaS、ホスティングサービスなど、国の行政機関以外の者が提供するサービスの利用に要する経費セ 通信回線料 情報システムを構成するネットワークにおいて必要となる通信回線の利用に要する経費ソ 施設利用等経費情報システムを構成するハードウェアを設置する施設、データ等を保管する施設又は運用事業者等が運用・保守等を行うために駐在する施設の利用等に要する経費タ その他運用等経費アからソまでのいずれにも該当しない情報システムの運用等に要する経費3) その他経費 国の行政機関以外の情報システムに関係する経費及びデジタル・ガバメントの推進のための体制整備に要する経費(1) 情報システム振興等経費地方公共団体、独立行政法人等に対する情報システムの整備・運用に関する助成金、補助金、交付金等の経費経費区分 摘要ア 地方公共団体情報システム関係経費地方公共団体に対する情報システムの整備・運用に関する補助金、交付金等の経費イ 独立行政法人等情報システム関係経費独立行政法人、国立大学法人(大学共同利用機関法人を含む。)、特殊法人、公益法人等に対する情報システムの整備・運用に関する助成金、補助金、交付金(法人の運営に関する経費は除く。)等の経費(2) デジタル・ガバメントの推進のための体制整備関係経費高度デジタル人材の登用に要する経費、ＰＭＯの支援スタッフ等に要する経費、内部職員の育成に要する経費等、デジタル・ガバメントの推進のための体制整備に要する経費(注１)以下の例による。 ・ 紙による行政手続のオンライン化による国民の利便性向上に有効なもの・ ワンストップ化による国民の来訪回数の低減など国民の負担軽減に有効なもの・ 行政事務の自動化又は時間短縮などに有効なもの・ 運用等経費など将来の経費削減に有効なもの(注２)以下の例による。・ 法令改正等により現行の仕様のままでは法令等に違反する状態になることを避けるために行うもの・ 災害発生等の情報収集及び人々の避難等の行動につなげるなど国民の身体への悪影響又は経済的損失を回避するためのもの・ サイバー攻撃による基盤となる情報システムの停止などを回避するためのもの・ 重要インフラの停止など社会混乱を回避するためのもの・ パソコンやネットワークの更新など行政事務の停止を回避するためのもの別紙３ 調達仕様書に盛り込むべき情報資産管理標準シートの提出等に関する作業内容調達を行うときは、調達内容に応じ、少なくとも次の１．及び２．に定める作業内容を調達仕様書に盛り込むものとする。また、３．に掲げる項目については、必要に応じて、適宜様式を定めた上で適時に内容を記載することを調達仕様書に盛り込むものとする。契約金額内訳「別紙２ 情報システムの経費区分」に基づき区分等した契約金額の内訳を、デジタル庁から作業依頼のある時期(原則毎年度末)に提出すること。情報資産管理標準シートの提出情報資産管理標準シートを、デジタル庁から作業依頼のある時期(原則毎年度末)に提出すること。その他1) ハードウェアの管理情報システムを構成するハードウェアの製品名、型番、ハードウェア分類、契約形態、保守期限等2) ソフトウェアの管理情報システムを構成するソフトウェア製品の名称(エディションを含む。)、バージョン、ソフトウェア分類、契約形態、ライセンス形態、サポート期限等3) 回線の管理情報システムを構成する回線の回線種別、回線サービス名、事業者名、使用期間、ネットワーク帯域等4) 外部サービスの管理情報システムを構成するクラウドサービス等の外部サービスの外部サービス利用形態、使用期間等5) 施設の管理情報システムを構成するハードウェア等が設置され、又は情報システムの運用業務等に用いる区域を有する施設の施設形態、所在地、耐久性、ラック数、各区域に関する情報等6) 公開ドメインの管理情報システムが利用する公開ドメインの名称、ＤＮＳ名、有効期限等7) 取扱情報の管理情報システムが取り扱う情報について、データ・マスタ名、個人情報の有無、格付等8) 情報セキュリティ要件の管理情報システムの情報セキュリティ要件9) 指標の管理情報システムの運用及び保守の間、把握すべきＫＰＩ注記)名、ＫＰＩ分類、計画値等の案注記)ＫＰＩ(Key Performance Indicator)とは、目標・戦略を実現するために設定した具体的な業務プロセスをモニタリングするために設定される指標(業績評価指標：Performance Indicators)のうち、特に重要なものをいう。10) 各データの変更管理情報システムの運用及び保守において、上記の各項目についてその内容に変更が生じる作業をしたときは、当該変更を行った項目11) 作業実績等の管理情報システムの運用及び保守中に取りまとめた作業実績、リスク、課題及び障害事由12) スケジュールや工数等の管理役務を伴う調達案件については、ＰＪＭＯの求めに応じ、スケジュールや工数等の計画値及び実績値(別紙５)- 1 -情報セキュリティの確保に関する共通基本仕様Ⅰ 情報セキュリティポリシーの遵守１ 受託者は、担当部署から農林水産省における情報セキュリティの確保に関する規則(平成27 年農林水産省訓令第４号。以下「規則」という。)等の説明を受けるとともに、本業務に係る情報セキュリティ要件を遵守すること。なお、規則は、政府機関等のサイバーセキュリティ対策のための統一基準群(以下「統一基準群」という。)に準拠することとされていることから、受託者は、統一基準群の改定を踏まえて規則が改正された場合には、本業務に関する影響分析を行うこと。２ 受託者は、規則と同等の情報セキュリティ管理体制を整備していること。３ 受託者は、本業務の従事者に対して、規則と同等の情報セキュリティ対策の教育を実施していること。Ⅱ 応札者に関する情報の提供１ 応札者は、応札者の資本関係・役員等の情報、本業務の実施場所、本業務の従事者(契約社員、派遣社員等の雇用形態は問わず、本業務に従事する全ての要員)の所属・専門性(保有資格、研修受講実績等)・実績(業務実績、経験年数等)及び国籍に関する情報を記載した資料を提出すること。なお、本業務に従事する全ての要員に関する情報を記載することが困難な場合は、本業務に従事する主要な要員に関する情報を記載するとともに、本業務に従事する部門等における従事者に関する情報(○○国籍の者が△名(又は□％)等)を記載すること。また、この場合であっても、担当部署からの要求に応じて、可能な限り要員に関する情報を提供すること。２ 応札者は、本業務を実施する部署、体制等の情報セキュリティ水準を証明する以下のいずれかの証明書等の写しを提出すること。(提出時点で有効期限が切れていないこと。)(１)ISO/IEC27001等の国際規格とそれに基づく認証の証明書等(２)プライバシーマーク又はそれと同等の認証の証明書等(３)独立行政法人情報処理推進機構(IPA)が公開する「情報セキュリティ対策ベンチマーク」を利用した自己評価を行い、その評価結果において、全項目に係る平均値が４に達し、かつ各評価項目の成熟度が２以上であることが確認できる確認書Ⅲ 業務の実施における情報セキュリティの確保１ 受託者は、本業務の実施に当たって、以下の措置を講ずること。なお、応札者は、以下の措置を講ずることを証明する資料を提出すること。(１)本業務上知り得た情報(公知の情報を除く。)については、契約期間中はもとより契約終了後においても、第三者に開示し、又は本業務以外の目的で利用しないこと。(別紙５)- 2 -(２)本業務に従事した要員が異動、退職等をした後においても有効な守秘義務契約を締結すること。(３)本業務に係る情報を適切に取り扱うことが可能となるよう、情報セキュリティ対策の実施内容及び管理体制を整備すること。なお、本業務実施中及び実施後において検証が可能となるよう、必要なログの取得や作業履歴の記録等を行う実施内容及び管理体制とすること。(４)本業務において、個人情報又は農林水産省における要機密情報を取り扱う場合は、当該情報(複製を含む。以下同じ。 )を国内において取り扱うものとし、当該情報の国外への送信・保存や当該情報への国外からのアクセスを行わないこと。(５)農林水産省が情報セキュリティ監査の実施を必要と判断した場合は、農林水産省又は農林水産省が選定した事業者による立入調査等の情報セキュリティ監査(サイバーセキュリティ基本法(平成 26 年法律第 104 号)第 26 条第１項第２号に基づく監査等を含む。以下同じ。)を受け入れること。また、担当部署からの要求があった場合は、受託者が自ら実施した内部監査及び外部監査の結果を報告すること。(６)本業務において、要安定情報を取り扱うなど、担当部署が可用性を確保する必要があると認めた場合は、サービスレベルの保証を行うこと。(７)本業務において、第三者に情報が漏えいするなどの情報セキュリティインシデントが発生した場合は、担当部署に対し、速やかに電話、口頭等で報告するとともに、報告書を提出すること。また、農林水産省の指示に従い、事態の収拾、被害の拡大防止、復旧、再発防止等に全力を挙げること。なお、これらに要する費用の全ては受託者が負担すること。２ 受託者は、委託期間を通じて以下の措置を講ずること。(１)情報の適正な取扱いのため、取り扱う情報の格付等に応じ、以下に掲げる措置を全て含む情報セキュリティ対策を実施すること。また、実施が不十分の場合、農林水産省と協議の上、必要な改善策を立案し、速やかに実施するなど、適切に対処すること。ア 情報セキュリティインシデント等への対処能力の確立・維持イ 情報へアクセスする主体の識別とアクセスの制御ウ ログの取得・監視エ 情報を取り扱う機器等の物理的保護オ 情報を取り扱う要員への周知と統制カ セキュリティ脅威に対処するための資産管理・リスク評価キ 取り扱う情報及び当該情報を取り扱うシステムの完全性の保護ク セキュリティ対策の検証・評価・見直し(２)本業務における情報セキュリティ対策の履行状況を定期的に報告すること。(３)本業務において情報セキュリティインシデントの発生、情報の目的外使用等を認知した場合、直ちに委託事業の一時中断等、必要な措置を含む対処を実施すること。(４)私物(本業務の従事者個人の所有物等、受託者管理外のものをいう。)の機器等を本業務に用いないこと。(別紙５)- 3 -(５)本業務において取り扱う情報が本業務上不要となった場合、担当部署の指示に従い返却又は復元できないよう抹消し、その結果を担当部署に書面で報告すること。３ 受託者は、委託期間の終了に際して以下の措置を講ずること。(１)本業務の実施期間を通じてセキュリティ対策が適切に実施されたことを書面等により報告すること。(２)成果物等を電磁的記録媒体により納品する場合には、不正プログラム対策ソフトウェアによる確認を行うなどして、成果物に不正プログラムが混入することのないよう、適切に対処するとともに、確認結果(確認日時、不正プログラム対策ソフトウェアの製品名、定義ファイルのバージョン等)を成果物等に記載又は添付すること。(３)本業務において取り扱われた情報を、担当部署の指示に従い返却又は復元できないよう抹消し、その結果を担当部署に書面で報告すること。４ 受託者は、情報セキュリティの観点から調達仕様書で求める要件以外に必要となる措置がある場合には、担当部署に報告し、協議の上、対策を講ずること。Ⅳ 情報システムにおける情報セキュリティの確保１ 受託者は、本業務において情報システムに関する業務を行う場合には、以下の措置を講ずること。なお、応札者は、以下の措置を講ずることを証明する資料を提出すること。(１)本業務の各工程において、農林水産省の意図しない情報システムに関する変更や機密情報の窃取等が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること(例えば、品質保証体制の責任者や各担当者がアクセス可能な範囲等を示した管理体制図、第三者機関による品質保証体制を証明する書類等を提出すること。)。(２)本業務において、農林水産省の意図しない変更が行われるなどの不正が見つかったときに、追跡調査や立入調査等、農林水産省と連携して原因を調査し、排除するための手順及び体制(例えば、システムの操作ログや作業履歴等を記録し、担当部署から要求された場合には提出するなど)を整備していること。２ 受託者は、本業務において情報システムの運用管理機能又は設計・開発に係る企画・要件定義を行う場合には、以下の措置を実施すること。(１)情報システム運用時のセキュリティ監視等の運用管理機能を明確化し、情報システム運用時に情報セキュリティ確保のために必要となる管理機能や監視のために必要な機能を本業務の成果物へ適切に反映するために、以下を含む措置を実施すること。ア 情報システム運用時に情報セキュリティ確保のために必要となる管理機能を本業務の成果物に明記すること。イ 情報セキュリティインシデントの発生を監視する必要がある場合、監視のために必要な機能について、以下を例とする機能を本業務の成果物に明記すること。(ア)農林水産省外と通信回線で接続している箇所における外部からの不正アクセスやサ(別紙５)- 4 -ービス不能攻撃を監視する機能(イ)不正プログラム感染や踏み台に利用されること等による農林水産省外への不正な通信を監視する機能(ウ)端末等の農林水産省内ネットワークの末端に位置する機器及びサーバ装置において不正プログラムの挙動を監視する機能(エ)農林水産省内通信回線への端末の接続を監視する機能(オ)端末への外部電磁的記録媒体の挿入を監視する機能(カ)サーバ装置等の機器の動作を監視する機能(キ)ネットワークセグメント間の通信を監視する機能(２)開発する情報システムに関連する脆(ぜい)弱性への対策が実施されるよう、以下を含む対策を本業務の成果物に明記すること。ア 既知の脆(ぜい)弱性が存在するソフトウェアや機能モジュールを情報システムの構成要素としないこと。イ 開発時に情報システムに脆(ぜい)弱性が混入されることを防ぐためのセキュリティ実装方針を定めること。ウ セキュリティ侵害につながる脆(ぜい)弱性が情報システムに存在することが発覚した場合に修正が施されること。エ ソフトウェアのサポート期間又はサポート打ち切り計画に関する情報を提供すること。(３)開発する情報システムに意図しない不正なプログラム等が組み込まれないよう、以下を全て含む対策を本業務の成果物に明記すること。 ア 情報システムで利用する機器等を調達する場合は、意図しない不正なプログラム等が組み込まれていないことを確認すること。イ アプリケーション・コンテンツの開発時に意図しない不正なプログラム等が混入されることを防ぐための対策を講ずること。ウ 情報システムの構築を委託する場合は、委託先において農林水産省が意図しない変更が加えられないための管理体制を求めること。(４)要安定情報を取り扱う情報システムを構築する場合は、許容される停止時間を踏まえて、情報システムを構成する要素ごとに、以下を全て含むセキュリティ要件を定め、本業務の成果物に明記すること。ア 端末、サーバ装置及び通信回線装置等の冗長化に関する要件イ 端末、サーバ装置及び通信回線装置並びに取り扱われる情報に関するバックアップの要件ウ 情報システムを中断することのできる時間を含めた復旧に関する要件(５)開発する情報システムのネットワーク構成について、以下を全て含む要件を定め、本業務の成果物に明記すること。ア インターネットやインターネットに接点を有する情報システム(クラウドサービスを含(別紙５)- 5 -む。)から分離することの要否の判断及びインターネットから分離するとした場合に、分離を確実にするための要件イ 端末、サーバ装置及び通信回線装置上で利用するソフトウェアを実行するために必要な通信要件ウ インターネット上のクラウドサービス等のサービスを利用する場合の通信経路全般のネットワーク構成に関する要件エ 農林水産省外通信回線を経由して機器等に対してリモートメンテナンスすることの要否の判断とリモートメンテナンスすることとした場合の要件３ 受託者は、本業務において情報システムの構築を行う場合には、以下の事項を含む措置を適切に実施すること。(１)情報システムのセキュリティ要件の適切な実装ア 主体認証機能イ アクセス制御機能ウ 権限管理機能エ 識別コード・主体認証情報の付与管理オ ログの取得・管理カ 暗号化機能・電子署名機能キ 暗号化・電子署名に係る管理ク 監視機能ケ ソフトウェアに関する脆(ぜい)弱性等対策コ 不正プログラム対策サ サービス不能攻撃対策シ 標的型攻撃対策ス 動的なアクセス制御セ アプリケーション・コンテンツのセキュリティソ 政府ドメイン名(go.jp)の使用タ 不正なウェブサイトへの誘導防止チ 農林水産省外のアプリケーション・コンテンツの告知(２)監視機能及び監視のための復号・再暗号化監視のために必要な機能について、２(１)イの各項目を例として必要な機能を設けること。 また、不正な変更が発見された場合に、農林水産省と受託者が連携して原因を調査・排除できる体制を整備していること。３ 機器等の設置時や保守時に、情報セキュリティの確保に必要なサポートを行うこと。４ 利用マニュアル・ガイダンスが適切に整備された機器等を採用すること。５ 脆(ぜい)弱性検査等のテストが実施されている機器等を採用し、そのテストの結果が確認できること。６ ISO/IEC 15408 に基づく認証を取得している機器等を採用することが望ましい。なお、当該認証を取得している場合は、証明書等の写しを提出すること。(提出時点で有効期限が切れていないこと。)７ 情報システムを構成するソフトウェアについては、運用中にサポートが終了しないよう、サポート期間が十分に確保されたものを選定し、可能な限り最新版を採用するとともに、ソフトウェアの種類、バージョン及びサポート期限について報告すること。なお、サポート期限が事前に公表されていない場合は、情報システムのライフサイクルを踏まえ、販売からの経過年数や後継ソフトウェアの有無等を考慮して選定すること。８ 機器等の納品時に、以下の事項を書面で報告すること。(１)調達仕様書に指定されているセキュリティ要件の実装状況(セキュリティ要件に係る試験(別紙５)- 14 -の実施手順及び結果)(２)機器等に不正プログラムが混入していないこと(最新の定義ファイル等を適用した不正プログラム対策ソフトウェア等によるスキャン結果、内部監査等により不正な変更が加えられていないことを確認した結果等)Ⅸ 管轄裁判所及び準拠法１ 本業務に係る全ての契約(クラウドサービスを含む。以下同じ。)に関して訴訟の必要が生じた場合の専属的な合意管轄裁判所は、国内の裁判所とすること。２ 本業務に係る全ての契約の成立、効力、履行及び解釈に関する準拠法は、日本法とすること。Ⅹ 業務の再委託における情報セキュリティの確保１ 受託者は、本業務の一部を再委託(再委託先の事業者が受託した事業の一部を別の事業者に委託する再々委託等、多段階の委託を含む。以下同じ。)する場合には、受託者が上記Ⅱの１、Ⅱの２、Ⅲの１及びⅣの１において提出することとしている資料等と同等の再委託先に関する資料等並びに再委託対象とする業務の範囲及び再委託の必要性を記載した申請書を提出し、農林水産省の許可を得ること。２ 受託者は、本業務に係る再委託先の行為について全責任を負うものとする。また、再委託先に対して、受託者と同等の義務を負わせるものとし、再委託先との契約においてその旨を定めること。なお、情報セキュリティ監査については、受託者による再委託先への監査のほか、農林水産省又は農林水産省が選定した事業者による再委託先への立入調査等の監査を受け入れるものとすること。３ 受託者は、担当部署からの要求があった場合は、再委託先における情報セキュリティ対策の履行状況を報告すること。Ⅺ 資料等の提出上記Ⅱの１、Ⅱの２、Ⅲの１、Ⅳの１、Ⅴの６、Ⅴの７、Ⅴの８、Ⅵの１(５)、Ⅵの１(６)、Ⅵの１(８)、Ⅷの１及びⅧの６において提出することとしている資料等については、最低価格落札方式にあっては入札公告及び入札説明書に定める証明書等の提出場所及び提出期限に従って提出し、総合評価落札方式及び企画競争方式にあっては提案書等の評価のための書類に添付して提出すること。Ⅻ 変更手続受託者は、上記Ⅱ、Ⅲ、Ⅳ、Ⅴ、Ⅵ、Ⅶ、Ⅷ及びⅩに関して、農林水産省に提示した内容を変更しようとする場合には、変更する事項、理由等を記載した申請書を提出し、農林水産省の許可を得ること。1【別紙６】様式みどりチェック実施状況報告書事業名事業者名担当者・連絡先以下のア～カの取組について、実施状況を報告します。ア 環境負荷低減に配慮したものを調達するよう努める。具体的な事項実施した／努めた左記非該当・対象となる物品の輸送に当たり、燃料消費を少なくするよう検討する(もしくはそのような工夫を行っている配送業者と連携する)。☐ ☐・対象となる物品の輸送に当たり、燃費効率の向上や温室効果ガスの過度な排出を防ぐ観点から、輸送車両の保守点検を適切に実施している。☐ ☐・農林水産物や加工食品を使用する場合には、農薬等を適正に使用して(農薬の使用基準等を遵守して)作られたものを調達することに努めている。☐ ☐・事務用品を使用する場合には、詰め替えや再利用可能なものを調達することに努めている。☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )2イ エネルギーの削減の観点から、オフィスや車両・機械などの電気、燃料の使用状況の記録・保存や、不必要・非効率なエネルギー消費を行わない取組(照明、空調のこまめな管理や、ウォームビズ・クールビズの励行、燃費効率の良い機械の利用等)の実施に努める。具体的な事項実施した／努めた左記非該当・事業実施時に消費する電気・ガス・ガソリン等のエネルギーについて、帳簿への記載や伝票の保存等により、使用量・使用料金の記録に努めている。☐ ☐・事業実施時に使用するオフィスや車両・機械等について、不要な照明の消灯やエンジン停止に努めている。☐ ☐・事業実施時に使用するオフィスや車両・機械等について、基準となる室温を決めたり、必要以上の冷暖房、保温を行わない等、適切な温度管理に努めている。☐ ☐・夏期のクールビズや冬期のウォームビズの実施に努めている。☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )ウ 廃棄物の発生抑制、適正な循環的な利用及び適正な処分に努める。具体的な事項実施した／努めた左記非該当・事業実施時に使用する資材について、プラスチック資材から紙などの環境負荷が少ない資材に変更することを検討する。☐ ☐・資源のリサイクルに努めている(リサイクル事業者に委託することも可)。☐ ☐・事業実施時に使用するプラスチック資材を処分する場合に法令に従って適切に実施している。☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )3エ みどりの食料システム戦略の理解に努めるとともに、機械等を扱う場合は、機械の適切な整備及び管理並びに作業安全に努める。 具体的な事項実施した／努めた左記非該当・「環境配慮のチェック・要件化(みどりチェック)チェックシート解説書 －民間事業者・自治体等編－」にある記載内容を了知し、関係する事項について取り組むよう努める。☐ ☐・事業者として独自の環境方針やビジョンなどの策定している、もしくは、策定を検討する。☐ ☐・従業員等向けの環境や持続性確保に係る研修などを行っている、もしくは、実施を検討する。☐ ☐・作業現場における、作業安全のためのルールや手順などをマニュアル等に整理する。また、定期的な研修などを実施するように努めている。☐ ☐・資機材や作業機械・設備が異常な動作などを起こさないよう、定期的な点検や補修などに努めている。☐ ☐・作業現場における作業空間内の工具や資材の整理などを行い、安全に作業を行えるスペースを確保する。☐ ☐・労災保険等の補償措置を備えるよう努めている。☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )機密性２情報1(別記様式１)閲覧申込書「動物用医薬品等データベース運用保守及び基盤提供業務」に係る資料を閲覧したいので、下記日程で資料閲覧を申し込みます。希望日 時間第一希望 月 日( )第二希望 月 日( )第三希望 月 日( )【記入方法】・第１希望から第３希望まで記入してください。・閲覧を希望する最も早い日の３営業日前までに動物医薬品検査所 企画連絡室 担当宛にメールで提出してください。提出先：動物医薬品検査所 企画連絡室e-mail： nval_kikakuchouseika@maff.go.jp・動物医薬品検査所から、最も早い閲覧希望日の前日の12時までに閲覧日時をご連絡いたします。・閲覧希望時間は下表の①～③の中から選択して記入してください。時間① 10 時～12 時② 13 時15 分～15 時15 分③ 15 時30 分～17 時30 分連絡先会社名：部署名：氏名：TEL：E-MAIL：機密性２情報2(別記様式２)守秘義務に関する誓約書動物医薬品検査所長 殿(以下「弊社」という。)は、このたび、農林水産省動物医薬品検査所(以下「貴所」という。)の行う「動物用医薬品等データベース運用保守及び基盤提供業務」の入札等(以下「本入札等」という。)に関する資料を閲覧に関し、以下の事項を誓約します。第１条(守秘義務の誓約)弊社は、貴所の許可なくして、社外はもちろん貴所職員で本件に直接関与していない者に対しても、本入札等に関し弊社が知り得たすべての事項・情報を開示、漏洩し、若しくは自ら使用しないことを約束します。第２条(資料複写の禁止等)弊社は、守秘義務を厳守するため、貴所より本入札等に関し、開示された資料一切の複写をしないことを約束し、貴所より返還要求された場合、これらの資料及びコピー並びにそれらに関する資料の一切を直ちに返還することを約束します。第３条(入札等後の守秘義務について)弊社は、貴所において本入札等が行われた後といえども、第１条記載の事項・情報を開示、漏洩若しくは使用しないことを約束します。第４条(守秘義務違反後の処置)弊社は、貴所と約束した守秘義務に反した場合は、貴所が行う合法的処置を受けることを約束します。令和 年 月 日住 所会社名代表者機密性２情報3(別記様式３)質問書質問者会社名、所属：質問者氏名：質問者(連絡先)電話：電子メール：No 質問者記入欄 動物医薬品検査所記入欄 備 考質問日 目次 質問事項 回答日 回答内容１２