一般競争入札公告(政府調達)(健康被害救済業務システムの運用支援業務)
- 発注機関
- 独立行政法人医薬品医療機器総合機構
- 所在地
- 東京都 千代田区
- カテゴリー
- 物品
- 公示種別
- 一般競争入札
- 公告日
- 2026/01/22
- 納入期限
- -
- 入札開始日
- -
- 開札日
- -
元の公告ページを見る ↗
リンク先が表示されない場合は、発注機関のサイトで直接ご確認ください
添付ファイル
公告全文を表示
一般競争入札公告(政府調達)(健康被害救済業務システムの運用支援業務)
調達情報 一般競争入札公告(政府調達)(健康被害救済業務システムの運用支援業務) よく見るページに追加 本文のみ印刷する 次のとおり一般競争入札に付します。 2026年1月23日 独立行政法人 医薬品医療機器総合機構 契約担当役 平岩 勝 政府機関番号 906 所在地番号 13 競争入札に付する事項 (1)品目分類番号 71、27 (2)件名 健康被害救済業務システムの運用支援業務 (3)契約期間 契約締結日から2028年3月31日まで (4)納入場所 独立行政法人医薬品医療機器総合機構 健康被害救済部 (5)入札方法 落札決定に当たっては、入札書に記載された金額に当該金額の10%に相当する額を加算した金額(当該金額に1円未満の端数があるときは、その端数金額を切り捨てた金額とする。)をもって落札価格とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を入札書に記載すること。 競争参加資格 予算決算及び会計令第70条の規定に該当しない者であること。なお、未成年者、被保佐人又は被補助者であっても、契約締結のために必要な同意を得ている者は、同条中、特別な理由がある場合に該当する。 予算決算及び会計令第71条の規定に該当しない者であること。 全省庁統一資格の一般競争参加資格において、関東・甲信越地域で、「役務の提供等」で「A」、「B」又は「C」の等級に格付けされている者であること。 競争参加資格確認のための書類審査を通過した者であること。 PMDAにて現行関連システムの設計書等を閲覧し、内容を十分理解していること。 入札説明会の日時及び場所 本調達は、入札説明会の開催に替え質問等を随時受け付けることとする。 (詳細については、入札説明書「6 質問等の受付」を参照。) 入札書の提出期限及び場所 提出期限 2026年3月5日(木曜日)17時00分(必着) 提出場所 東京都千代田区霞が関3-3-2 独立行政法人 医薬品医療機器総合機構 財務管理部 契約課 (新霞が関ビル19階 西側) 開札の日時及び場所 日時 2026年3月6日(金曜日)11時00分 場所 東京都千代田区霞が関3-3-2 独立行政法人 医薬品医療機器総合機構 第25会議室 (新霞が関ビル14階 西側) (注1) 開札への立会については任意とする。 (注2) 開札へ立ち会う場合、発熱、せき、倦怠感その他体調不良でない者(代表者、代理人問わず)が参加すること。 (注3) 会場に入る前に手指を洗うか、消毒液で消毒すること。 (注4) 会場では他者と距離をとるため席を指定する場合があり、特段の必要がない限り会場内で近距離での対面の会話をしないこと。 入札保証金及び契約保証金 全額免除する。 入札の無効 本公告に示した競争参加資格を有しない者のした入札及び入札に関する条件に違反した入札は無効とする。 契約書作成の要否 契約締結に当たっては契約書を作成するものとする。 手続きにおける交渉の有無 無 契約手続において使用する言語及び通貨 日本語及び日本国通貨 独立行政法人の契約に係る情報の公開 別添PDFファイル[193.31KB]の内容を必ず熟読すること。 その他 入札説明書、契約書(案)、仕様書及び仕様書別紙はこちらからダウンロードすること。 入札説明書[322.26KB] 契約書(案)[239.4KB] 仕様書[745.51KB] 仕様書別紙[1.3MB] Summary (1) Official in charge of disbursement of the procuring entity: Masaru Hiraiwa, Executive Director Pharmaceuticals and Medical Devices Agency (2) Classification of the services to be procured: 71, 27 (3) Nature and quantity of the services to be required: Management support operations for the system of relief services for adverse health effects (4) Services period: From a contract day to March, 31, 2028 (5) Delivery place: The place specified by the Pharmaceuticals and Medical Devices Agency (6) Qualifications for participating in the tendering procedures: Suppliers eligible for participating in the proposed tender are those who shall: [1] Not come under Article 70 of the Cabinet Order concerning the Budget, Auditing and Accounting. Furthermore, minors, Person under Conservatorship or Person under Assistance that obtained the consent necessary for concluding a contract may be applicable under cases of special reasons within the said clause [2] Not come under Article 71 of the Cabinet Order concerning the Budget, Auditing and Accounting [3] Have Grade “A”, “B”, or “C” on “offer of services etc.” in the Kanto- Koshinetsu Area in terms of qualification for participating in tenders by Single qualification for every ministry and agency [4] Meet the qualification requirements which the Executive Director may specify in accordance with Article 73 of the Cabinet Order [5] Have experience reading design documents of the current system, etc (7) Time-limit for tender: 17:00 March, 5, 2026 (8) Contact point for the notice: Taku Kawamitsu Procurement Section, Office of Financial Management, Pharmaceuticals and Medical Devices Agency, 3-3-2 Kasumigaseki Chiyoda-ku Tokyo 100-0013 Japan TEL 03-3506-9428 以上
入札説明書健康被害救済業務システムの運用支援業務2026年1月独立行政法人医薬品医療機器総合機構独立行政法人医薬品医療機器総合機構(以下「機構」という。)が行う健康被害救済業務システムの運用支援業務については、仕様書に定めるもののほか、この入札説明書によるものとする。
1 契約担当者独立行政法人医薬品医療機器総合機構 契約担当役 平岩 勝2 競争入札に関する事項(1)件名健康被害救済業務システムの運用支援業務(2)契約期間契約締結日から2028年3月31日(3)納入場所独立行政法人医薬品医療機器総合機構 健康被害救済部3 競争参加資格(1)予算決算及び会計令第70条及び第71条に規定される次の事項に該当する者は、競争に参加する資格を有しない。
① 当該契約を締結する能力を有しない者(未成年、被保佐人又は被補助人であっても、契約締結のために必要な同意を得ている者を除く)及び破産者で復権を得ない者② 以下の各号のいずれかに該当し、かつその事実があった後2年を経過していない者(これを代理人、支配人その他の使用人として使用する者についても同じ。)ア.契約の履行に当たり故意に工事若しくは製造を粗雑にし、又は物件の品質若しくは数量に関して不正の行為をした者イ.公正な競争の執行を妨げた者又は公正な価格を害し若しくは不正の利益を得るために連合した者ウ.落札者が契約を結ぶこと又は契約者が契約を履行することを妨げた者エ.監督又は検査の実施に当たり職員の執務の執行を妨げた者オ.正当な理由がなくて契約を履行しなかった者カ.前各号のいずれかに該当する事実があった後2年を経過しない者を、契約の履行に当たり、代理人、支配人その他の使用人として使用した者(2)次の事項に該当する者は競争に参加させないことがある。① 資格審査申請書又は添付書類に虚偽の事実を記載した者② 経営の状況又は信用度が極度に悪化している者(3)全省庁統一資格の一般競争参加資格において、関東・甲信越地域で「役務の提供等」で「A」、「B」又は「C」の等級に格付けされている者であること。
なお、競争参加資格を有しない者は、速やかに資格審査申請を行い、資格を取得する必要がある。
(4)競争参加資格確認のための書類審査を通過した者であること。
(5)機構にて現行関連システムの設計書等を閲覧し、内容を十分理解していること。
4 競争参加資格確認のための書類(1)この一般競争に参加を希望する者は、下記の時間までに次の書類を自己の負担において調製のうえ契約担当者に提出し、その確認を受けるものとする。
当該書類は契約担当者等において審査するものとし、採用しうると判断された者のみを競争参加の有資格者とする。
当該書類を審査した結果、採用不可と判断した者については契約担当者等より連絡する。
(採用しうると判断した者については連絡しない)なお、契約担当者等から当該書類について説明を求められた場合には、これに応じるものとする。
① 行政関係機関から送付された資格審査決定通知書の写し② 別紙様式1による証明書③ 仕様書“8.(1)入札参加要件” 中“①~③”に掲げる条件を満たすことを証明する書類 (証明書の写し等)(2)書類の提出期限及び場所① 期限 2026年3月5日(木)17時00分② 場所 〒100-0013 東京都千代田区霞が関3-3-2 新霞が関ビル19階独立行政法人医薬品医療機器総合機構財務管理部 契約課 契約第一係 TEL 03-3506-9428※1 原則として競争参加資格確認のための書類の提出は郵便によるものとし、上記(2)の受領期限内に当機構へ到達した競争参加資格確認のための書類について有効な提出として認める。
なお、持参による提出も認めることとするが、持参する場合は、発熱、せき、倦怠感その他体調不良でない者(代表者、代理人問わず)が提出すること。
また、郵便による提出の場合の到達時刻については、記録の残る郵送方法の場合は機構に到着した時刻を追跡機能等により必要に応じて機構にて確認することとし、記録の残らない郵送方法の場合は到着時刻を提出者において証明できない場合は無効とする。
※2 電話、電信、電報による提出及び上記受領期限を過ぎた提出は認めない。
5 入札説明会の日時及び場所本調達は、入札説明会の開催に替え、質問等がある場合は随時受け付けることとする。
(詳細については、「6 質問等の受付」を参照。)6 質問等の受付(1)本入札にかかる仕様書についての質問については、以下の通りとする。
① 受付期間:2026年1月23日から2026年2月10日まで② 回 答 日:質問受付日から2026年2月18日までのいずれかの日又は複数日受付期間以降に連絡があった者等に対しては、回答の共有のみ行う。
③ 質問方法:仕様書13の窓口連絡先宛まで、メールにて行うこと。
④ 回答方法:対象者全員にBccにてメールで実施予定。
⑤ 回答対象:質問者及びその他希望者等について行う。
その他希望者については、可能な限り上記①の期間内に上記③の連絡先に希望の旨を連絡すること。
なお、期間外の質問については回答しない。
⑥ そ の 他:上記事項に記載のない点については、機構の判断により実施する。
(2)本入札にかかる業務実施体制及び納品物(納品物がある場合に限る。以下同じ。)(案)についての確認について下記18(8)に定める業務実施体制(再委託先及び再々委託先等を含む。以下同じ。)及び納品物の案について確認を求める場合、仕様書13の窓口連絡先宛まで、メールにて行うこと。
確認受付期間は特に設けないが、すぐに回答できない場合があることに留意すること。
なお、確認結果が落札決定後となる可能性があることに留意すること。
(3)本入札に関する仕様書以外の質問について下記19の連絡先までメールまたは電話にて行うこと。
質問受付期間は特に設けないが、すぐに回答できない場合があることに留意すること。
なお、必要に応じて質問者以外に質問内容と回答を共有する場合がある。
7 入札書の提出期限及び場所(1)期限 2026年3月5日(木)17時00分(必着)(2)場所 〒100-0013 東京都千代田区霞が関3-3-2 新霞が関ビル19階独立行政法人医薬品医療機器総合機構財務管理部 契約課 契約第一係 Tel.03-3506-9428※1 入札書の様式は、別紙様式2にて作成し、入札書のみを封筒に入れ封をし、かつその封皮に氏名 (法人の場合はその名称又は商号)、宛名(独立行政法人医薬品医療機器総合機構 契約担当役殿と記載)及び「○○月○○日開札[件名]の入札書在中」と朱書しなければならない。
なお、「4 競争参加資格確認のための書類」と別紙様式3の委任状については、入札書を入れた封筒に同封しないよう十分注意すること。
※2 入札書には総額を記載すること。
※3 落札決定に当たっては、入札書に記載された金額に当該金額の10パーセントに相当する額を加算した金額(円未満の端数切捨て)をもって落札価格とするので、入札者は、消費税等に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を記載した入札書を提出しなければならない。
※4 入札書は、紙により提出するものとする。
なお、入札者はその提出した入札書を引き換え、変更又は取り消しをすることはできない。
※5 入札書の日付は提出日を記入のこと。
※6 原則として入札書の提出は郵便によるものとし、上記(1)の受領期限内に当機構へ到達した入札書について有効な提出として認める。
なお、持参による入札も認めることとするが、持参する場合は、発熱、せき、倦怠感その他体調不良でない者(代表者、代理人問わず)が提出すること。
また、郵便による提出の場合の到達時刻については、記録の残る郵送方法の場合は機構に到着した時刻を追跡機能等により必要に応じて機構にて確認することとし、記録の残らない郵送方法の場合は到着時刻を提出者において証明できない場合は無効とする。
※7 電話、電信、電報による提出及び上記受領期限を過ぎた提出は認めない。
8 開札の日時及び場所(1)日時 2026年3月6日(金)11時00分(2)場所 東京都千代田区霞が関3-3-2独立行政法人医薬品医療機器総合機構 第25会議室(新霞が関ビル14階 西側)(3)開札の実施① 開札は、入札者又はその代理人1名を立ち会わせて行う。
ただし、入札者又はその代理人が立ち会わない場合は、入札事務に関係のない職員を立ち会わせて行う。
② 入札者又はその代理人は、開札時刻後においては、開札場所に入場することはできない。
③ 入札者又はその代理人は、開札場所に入場しようとする時は、入札関係職員の求めに応じ、身分証又は入札権限に関する委任状を提示又は提出しなければならない。
※1 開札への参加については任意とする。
※2 開札へ参加する場合、発熱、せき、倦怠感その他体調不良でない者(代表者、代理人問わず)が参加すること。
※3 会場に入る前に手指を洗うか、消毒液で消毒すること。
※4 会場では他者と距離をとるため席を指定する場合があり、特段の必要がない限り会場内で近距離での対面の会話をしないこと。
9 入札の無効(1)本入札説明書に示した競争参加資格のない者、入札条件に違反した者又は入札者に求められる義務を履行しなかった者の提出した入札書は無効とする。
(2)次の各号に該当する入札書は、無効とする。
① 入札金額、入札件名、入札者の氏名(法人の場合は、その名称又は商号及び代表者氏名の記載)のない入札書。
(代理人が入札する場合は、代理人の氏名を併せて記入すること。)② 入札金額の記載が明確でない入札書③ 入札金額の記載を訂正した入札書④ 入札者の氏名(法人の場合は、その名称又は商号及び代表者の氏名)及び代理人の氏名が明確でない入札書(3)その他その意思表示が民法上無効とされる入札① 公序良俗に反する入札② 心裡留保による入札③ 虚偽表示による入札④ 錯誤による入札10 入札の延期等入札者が相連合し、又は不穏の挙動をする等の場合であって、競争入札を公正に執行することができない状態にあると認められるときは、当該入札を延期し、又はこれを取り止めることがある。
11 代理人による入札(1)代理人が入札する場合は、入札書に競争参加の氏名、名称又は商号、代理人であることの表示及び当該代理人の氏名を記入しておくとともに、入札書提出時に別紙様式3の1による委任状を提出すること。
復代理人が入札する場合は別紙様式3の2を提出すること。
なお、記載する代理人、復代理人の氏名は1名までとする。
(2)委任状の日付は、提出日を記入すること。
(3)入札者又はその代理人は、本件調達に係る入札について、他の入札者の代理人を兼ねることができない。
(4)本件調達に係る入札だけでなく、契約に関する一切の行為を委任する場合は、別紙様式3の委任状とは別に押印した委任状を提出すること。
12 落札者の決定方法(1)機構が作成した予定価格の制限の範囲内において最低価格をもって有効な入札を行った者を落札者とする。
なお、最低入札額が、機構が作成した予定価格と比較し著しく低い場合は入札額の根拠となるより詳細な積算を求めるなど調査を行い、契約の内容に適合した履行がなされないおそれや明らかなコスト割れがあると判断した際には契約しない場合がある。
(2)落札となるべき同価格の入札をした者が2人以上あるときは、直ちに当該入札者にくじを引かせ落札者を決定する。
この場合において、当該入札者のうちくじを引かない者があるときは、これに代わって入札事務に関係のない職員がくじを引き、落札者を決定する。
(3)予定価格の制限に達した価格の入札がないときは、直ちに再度の入札を行う。
なお、再度の入札の回数は最大3回とする。
13 契約金額入札書に記載された金額の100分の110に相当する金額を契約金額とする。
ただし、当該金額に1円未満の端数があるときは、その端数を切り捨てた金額を契約金額とする。
14 入札保証金全額免除する。
15 契約保証金全額免除する。
16 支払条件別添契約書(案)参照17 契約書等(1)落札者を決定したときは、遅滞なく別紙(案)により契約書を取り交わすものとする。
(2)契約担当者が契約の相手方とともに契約書に記名押印しなければ、本契約は確定しないものとする。
(3)契約の相手方は契約締結後、遅滞なく別紙様式4「秘密保持等に関する誓約書」を事業担当部署に提出するものとする。
18 入札参加者の一般的心得(1)入札参加者は、入札公告、入札説明書、仕様書、契約書(案)等を熟覧のうえ、入札しなければならない。
これについて疑義があるときは、関係職員の説明を求めることができる。
入札後、これらの不明を理由として異議を申し立てることはできない。
(2)入札者又はその代理人が当該本人であることを確認するため、身分証明書又は名刺等の提示又は提出を求めることができる。
(3)入札指定時刻に遅刻した者は、入札場所に入場することはできない。
ただし、特別な理由により指定時刻までに参集できない場合で、客観情勢の許される範囲内で定刻までに参集した他の入札参加者の了解を求め、入札開始時刻を若干遅延させることがある。
(4)入札者又はその代理人は、契約担当者等の指示によるほかは入札場所から中途退場することができない。
(5)初度入札で無効となった者又は再度入札において辞退した者は、その後の入札に参加できない。
(6)初度入札に参加しなかった者は、再度入札に参加できない。
(7)入札参加者は、その提出した入札書を引換え、変更又は取消しをすることができない。
(8)入札参加者は、機構に対して入札書の提出前に業務実施体制及び納品物の案について機構に確認を求めることができる。
サプライチェーンリスク上の懸念が機構より示された場合は、入札参加者は業務実施体制及び納品物を変更すること。
確認受付期間は特に設けないが、すぐに回答できない場合があり、確認結果が落札決定後となる可能性があることに留意すること。
(9)落札決定後、落札者が契約担当者の指示に従わず、速やかに契約手続きに入らない場合は、落札の決定を取り消すことができる。
この場合において、機構に損害を与えたときは、落札金額の100分の5に相当する金額を違約金として請求することができる。
(10)落札決定後、落札者の業務実施体制及び納品物について、サプライチェーンリスク上の懸念が機構より示された場合は、落札者は速やかに業務実施体制及び納品物を変更すること。
この場合において、機構は契約金額等の変更を認めない。
19 入札説明書に関する照会先〒100-0013 東京都千代田区霞が関3-3-2 新霞が関ビル19階独立行政法人医薬品医療機器総合機構財務管理部契約課 川満 拓TEL 03-3506-9428メールアドレス chotatsu-keiyaku●pmda.go.jp※迷惑メール防止対策のため、●を半角のアットマークにしてください。
別紙様式1証明書当社は、次の事項には該当しません。
1 当該契約を締結する能力を有しない者(未成年、被保佐人又は被補助人であっても、契約締結のために必要な同意を得ている者を除く)及び破産者で復権を得ない者2 次の各号の一に該当した事実があった後2年間を経過していない者(これを代理人、支配人その他の使用人として使用する者についても同じ。)(1) 契約の履行に当たり故意に工事若しくは製造を粗雑にし、又は物件の品質若しくは数量に関して不正の行為をした者(2) 公正な競争の執行を妨げた者又は公正な価格を害し若しくは不正の利益を得るために連合した者(3) 落札者が契約を結ぶこと又は契約者が契約を履行することを妨げた者(4) 監督又は検査の実施に当たり職員の執務の執行を妨げた者(5) 正当な理由がなくて契約を履行しなかった者(6) 前各号の一に該当する事実があった後2年を経過しない者を、契約の履行に当たり、代理人、支配人その他の使用人として使用した者3 経営の状況又は信用度が極度に悪化している者年 月 日住 所会社名代表者担当者連絡先(メールアドレス)@独立行政法人医薬品医療機器総合機構契 約 担 当 役 殿別紙様式2入札書(第 回)1 件 名 健康被害救済業務システムの運用支援業務2 金 額 金 円(税抜)3 契約条件契約書、仕様書その他一切貴殿の指示のとおりとする。
上記のとおり入札いたします。
年 月 日住 所会社名代表者代理人氏名独立行政法人医薬品医療機器総合機構契 約 担 当 役 殿別紙様式3の1委任状私は下記の者を代理人と定め、下記の行為を行う権限を委任します。
記1 委任する行為「健康被害救済業務システムの運用支援業務」の入札に係る入札書の提出に関する一切の行為2 委任する期日年 月 日 ~ 年 月 日年 月 日住 所会社名代表者代 理 人 住 所所属(役職名)代 理 人 氏 名独立行政法人医薬品医療機器総合機構契 約 担 当 役 殿別紙様式3の2委任状私は下記の者を復代理人と定め、下記の行為を行う権限を委任します。
記1 委任する行為「健康被害救済業務システムの運用支援業務」の入札に係る入札書の提出に関する一切の行為2 委任する期日年 月 日 ~ 年 月 日年 月 日住 所会社名代表者代 理 人 住 所所属(役職名)代 理 人 氏 名復 代 理人住所所属(役職名)復 代 理人氏名独立行政法人医薬品医療機器総合機構契 約 担 当 役 殿別紙様式4独立行政法人 医薬品医療機器総合機構 御中秘密保持等に関する誓約書貴機構から委託された○○○○業務(以下「本件業務」という。)を受託者である○○○○株式会社(以下「弊社」という。)が実施するにあたり、次の事項を遵守することを誓約いたします。
記1. 弊社は、本件業務遂行のために必要な者(次頁に記載する者をいう。以下同じ。)以外は本件業務に従事させません。
ただし、本件業務遂行期間中に追加、変更する場合、貴機構に届け出、了承を受けるものとします。
2. 弊社は、媒体および手段を問わずに貴機構から開示もしくは提供された貴機構の秘密情報(以下「本件秘密情報」という。)を、本件業務遂行のために必要な者を除く第三者に対して開示いたしません。
ただし、以下のものについては秘密情報に含みません。
(1) 弊社が貴機構より開示を受けた時点で既に公知であったもの(2) 弊社が貴機構より開示を受けた時点で既に所有していたもの(3) 弊社が貴機構より開示を受けた後に弊社の責によらずに公知となったもの(4) 弊社が正当な権限を有する第三者から守秘義務を負わずに適法に入手したもの(5) 法令または裁判所の命令により開示を義務づけられたもの3. 弊社は、本件業務遂行のために必要な者がそれ以外の者に秘密情報を開示しないよう、厳正な措置を講じます。
4. 弊社は、本件秘密情報を本件業務のみを目的として使用するものとし、他の目的には一切使用いたしません。
5. 弊社は、貴機構の書面による事前の承諾なしに、本件業務遂行のため必要な最小限度の範囲を超えて本件秘密情報を複写または複製いたしません。
6. 弊社は、貴機構から要請がある場合または本件業務終了後は直ちに本件秘密情報を貴機構に返還し、または秘密保持上問題のない方法により処分いたします。
7. 弊社が本誓約書の内容に違反したことにより本件秘密情報が漏洩し、貴機構に損害が発生した場合には、貴機構に対しその損害を賠償いたします。
なお、賠償額については、貴機構と弊社にて別途協議して定めるものとします。
8. 本誓約書は、本件業務終了後も本件秘密情報が秘密性を失う日まで有効に存続する事を確認します。
以上○○○○年○○月○○日東京都○○区○○町○-○-○○○○○株式会社 代表取締役○○○○ ○○ ○○ 代表者印○本件業務遂行のために必要な者本件業務遂行のために必要な者は以下の者である。
記○○○○株式会社○○○○事業部 ○○ ○○○○○○事業部 △△ △△○○○○事業部 □□ □□
健康被害救済業務システムの運用支援業務仕様書令和8年1月独立行政法人 医薬品医療機器総合機構i目次1 調達案件の概要に関する事項.. 1(1)調達件名.. 1(2)用語の定義.. 1(3)調達の背景.. 3(4)目的及び期待する効果.. 3(5)業務の概要.. 3(6)契約条件.. 4(7)作業スケジュール.. 42 調達案件及び関連調達案件の調達単位、調達の方式等に関する事項.. 5(1)調達案件及び関連する調達案件の調達単位、調達の方式、実施時期.. 5(2)調達案件間の入札制限.. 53 作業の実施内容に関する事項.. 5(1)作業の内容.. 5(2)システム資産簿登録に係る作業.. 10(3)成果物の範囲、納品期日等.. 104 満たすべき要件に関する事項.. 125 作業の実施体制・方法に関する事項.. 13(1)作業実施体制.. 13(2)作業要員に求める資格等の要件.. 13(3)作業場所.. 14(4)作業の管理に関する要領.. 146 作業の実施に当たっての遵守事項.. 14(1)基本事項.. 14(2)機密保持、資料の取扱い.. 15(3)遵守する法令等.. 157 成果物の取扱いに関する事項.. 16(1)知的財産権の帰属.. 16(2)契約不適合責任.. 17(3)検収.. 178 入札参加資格に関する事項.. 18(1)入札参加要件.. 18(2)入札制限.. 189 情報セキュリティ管理.. 19(1)情報セキュリティ対策の実施.. 19(2)情報セキュリティ監査の実施.. 1910 再委託に関する事項.. 2011 その他特記事項.. 21(1)環境への配慮.. 21(2)その他.. 2112 附属文書.. 22(1)調達仕様書 別紙.. 22(2)事業者が閲覧できる資料一覧.. 2213 窓口連絡先.. 2211 調達案件の概要に関する事項(1) 調達件名健康被害救済業務システムの運用支援業務(2) 用語の定義表 1.1 用語の定義用語 概要救済関連業務統合システム(救済業務システム)相談カードサブシステム、副作用及び感染救済給付業務サブシステム、救済給付データベース統合・解析サブシステム、付加拠出金算定サブシステム、特定C型肝炎給付金支給等業務サブシステムを有するシステム相談カードサブシステム 救済給付に係る電話相談業務の支援を行うシステム。
副作用及び感染救済給付業務サブシステム(給付システム)医薬品等による副作用被害の救済に係る給付金及び、生物由来製品等による感染等被害救済に係る給付金について、申請受理から支払までの情報の管理等業務の支援を行うシステム。
救済給付データベース統合・解析サブシステム(統合解析システム)給付システムに蓄積されたデータ等の活用による関連データの集積・解析 及び、進捗管理、業務付加管理を行うシステム。
サブシステムとして、業務サブシステム、現況サブシステム、作業進捗サブシステム、BI サブシステムがある。
業務サブシステムは、副作用被害救済と感染等被害救済の区分により、更に原審サブシステムと感染サブシステムとに分かれる。
医薬品・医療機器申請・審査システム(Pegasus)薬機法に定められた許認可に関する申請等を受付けて審査し、行政側の許可・承認等の業務を全国的に一括処理する、独立行政法人 医薬品医療機器総合機構(以下、「PMDA」という。)における、基幹業務処理システム。
(以下、「Pegasus」という。)拠出金徴収業務に係る申告書類の送付、収納、債権管理等の支援を行う機能も有する。
本件において言及する「拠出金」とは副作用/感染/安全対策の各拠出金のみを指し、特定C型肝炎給付金に掛かる拠出金については含まない。
付加拠出金算定サブシステム(付加拠出金システム)副作用拠出金及び感染拠出金の付加拠出金にかかる算定、管理及び通知等の必要帳票等を生成するシステム。
当拠出金徴収管理システムにおいて言及する「拠出金」とは副作用/感染の各拠出金のみを指し、特定C型肝炎給付金に掛かる拠出金については含まない。
特定C型肝炎給付金支給等業務サブシステム(特定C肝システム)特定C型肝炎ウイルス感染者またはその相続人からの給付金請求の受付、給付金の支給、基金・拠出金等の管理等業務を支援するシステム。
2用語 概要当特定C肝システムにおいて言及する「拠出金」とは特定C型肝炎給付金に掛かる拠出金のみを指し、副作用/感染/安全対策の各拠出金については含まない。
救済相談 医薬品副作用被害救済制度、又は生物由来製品感染等被害救済制度に対する問い合わせに対応する相談事業。
精神面相談 医薬品副作用被害救済制度における副作用救済給付、又は生物由来製品感染等被害救済制度における感染救済給付の支給決定を受けた者、及びそのご家族を対象とした精神面のケア及び福祉サービスに繋げる助言を行うことを目的とする相談事業。
受給者カード 医薬品副作用被害救済制度における副作用救済給付の受給者のうち、希望者に対して公布されるカード。
副作用の原因と考えられる又は推定される医薬品名を記載しており、医療機関などで診断や治療を受ける場合に正確に情報提供が行えることなどを目的としている。
支給決定の通知と共にカードの案内が受給者に送られて、希望者はPMDAに対して申し込みをすることで発行される。
生物由来製品等 人その他の生物(植物を除く。)の細胞、組織等に由来する原料又は材料を用いた製品のうち、保健衛生上特別の注意を要するもの、並びに再生医療等製品(例)血液製剤、ワクチン、遺伝子組換製剤、細胞組織医療機器等健康被害救済制度 医薬品等や生物由来製品等を適正に使用したにもかかわらず発生した副作用や感染等により、一定の健康被害が生じた場合に、医療費等の給付を行うことにより、被害者の救済を図る制度。
医薬品等による健康被害を救済する「医薬品副作用被害救済制度」及び生物由来製品等が原因となった感染等被害を救済する「生物由来製品感染等被害救済制度」がある。
副作用拠出金、感染拠出金副作用・感染の救済給付に必要な費用に充てるため、許可医薬品等又は許可生物由来製品等製造販売業者から副作用拠出金又は感染拠出金を徴収している。
副作用・感染の救済給付の原因となった許可医薬品等の製造販売業者からは、一般拠出金に加えて付加拠出金を徴収している。
安全対策等拠出金 安全対策業務の費用に充てるため、医薬品、医療機器、再生医療等製品又は体外診断用医薬品の製造販売業の許可を受けている者から、安全対策等拠出金を徴収している。
医薬品安全対策支援システム医薬品副作用等報告の解析結果、データマイニング手法による統計学的評価、企業面談時の情報を統合することによる安全対策業務の支援を行うシステム。
(他部門所管)副作用救済給付 医薬品副作用被害救済制度に係る給付業務。
3用語 概要感染救済給付 生物由来製品感染等被害救済制度に係る給付業務。
タイムクロック 給付申請してから決定されるまでに要する時間。
及び事例 被害者が同一の申請が複数ある場合に、効率良く調査を行えるよう、親となる事 例に子の事例の情報を集約し、まとめて調査を行う事例。
(3) 調達の背景PMDAでは、健康被害救済部(以下、「救済部」という。)における救済給付業務、拠出金徴収業務及び救済制度に関する相談業務において、各業務のデータ処理や管理、業務統計の作成等の作業を迅速かつ効率的に実施するため業務ごとにシステムを構築し、必要に応じて各業務間を相互に連携する等、活用している。
また平成20年度より特定C肝システムを開発し、「特定フィブリノゲン製剤及び特定血液凝固第Ⅸ因子製剤によるC型肝炎感染被害者を救済するための給付金の支給に関する特別措置法」(平成20年1月16日公布)に基づき、特定C型肝炎ウイルス感染者またはその相続人からの給付金請求の受付、給付金の支給、基金・拠出金等の管理等業務を行っているところである。
また、令和9年度には、マイナポータル等を利用して請求や支給決定等についてオンラインで手続できるよう、現在、マイナポータル等の設定や救済業務システムの改修を行っているところである。
(4) 目的及び期待する効果本調達は、救済部にて稼働している救済関連業務統合システム(相談カードサブシステム、給付システム、統合解析システム、付加拠出金システム、特定C肝システムの5つの業務サブシステムを持つシステム)、住基ネット利用に係る情報機器及び請求等のオンライン化のためのマイナポータルとの接続等の円滑な運用に資するため、システム全般にかかる運用支援業務の外部委託を行うものである。
(5) 業務の概要PMDAの前身である「医薬品副作用被害救済・研究振興調査機構」は昭和54年に「医薬品副作用被害救済基金」として設立され、その翌年5月から「医薬品副作用被害救済業務」を開始し、さらに、平成16年4月からは、生物に由来する原料や材料を使って作られた医薬品と医療機器による感染等の健康被害について救済する「生物由来製品感染等被害救済業務」を、平成20年1月16日からは、「特定フィブリノゲン製剤及び特定血液凝固第IX因子製剤によるC型肝炎感染被害者を救済するための給付金の支給に関する特別措置法」に基づく給付金の支給等の業務を開始しており、平成26年11月25日からは医薬品医療機4器法の施行に伴い、再生医療等製品が医薬品副作用被害救済制度と生物由来製品感染等被害救済制度の対象となり、その支給等の業務も行っている。
併せて救済制度の概要、救済給付の請求方法、必要書類、請求書類の様式やその記載方法等についての問合せへの対応業務も行っているところ。
医薬品等の副作用による健康被害者に対してPMDAが行う救済給付等の業務に必要な費用は、許可医薬品製造販売業者等が納付した副作用拠出金等をもって充てられている。
同様に生物由来製品等を介した感染等による健康被害者に対してPMDAが行う救済給付等の業務に必要な費用は、許可生物由来製品製造販売業者等が納付した感染拠出金等をもって充てられている。
更にPMDAが行う安全対策業務に必要な費用には、安全対策等拠出金等が充てられることになっている。
これら副作用拠出金/感染拠出金/安全対策等拠出金は、独立行政法人医薬品医療機器総合機構法に基づき、各年4月1日において医薬品医療機器法の規定によりそれぞれの製造販売業の許可を受けている者が、各年度、7月31日までに一般拠出金に加えて付加拠出金についてPMDAに申告・納付することとされており、当該拠出金の徴収管理に関する業務を行っている。
(6) 契約条件受託者は、落札後に以下の契約条件にてPMDA と協議の上、契約を行うこと。
① 契約期間契約締結日から令和10年3月31日までとする。
② SLAの締結運用業務については、受託者とPMDAとの間で協議の上、SLA(Service LevelAgreement)を締結する。
サービスレベル評価項目と要求水準については、別紙1「SLA項目」を参照すること。
ただし、サービスレベル評価項目と要求水準については、協議の上、見直すこととする。
(7) 作業スケジュール運用業務の対象期間は、契約日から令和10年3月31日までとする。
5① 受託者は、契約開始日から運用業務の開始までに本情報システムの運用業務を実施するための準備を実施し、必要な情報についてPMDA(または前受託者)より引継ぎを受けること。
② 本業務に係る想定スケジュールの概要は、別紙2「作業スケジュール」のとおりとする。
なお、このスケジュールはあくまで想定のスケジュールであり、詳細な実施スケジュールは受託者が検討すること。
2 調達案件及び関連調達案件の調達単位、調達の方式等に関する事項(1) 調達案件及び関連する調達案件の調達単位、調達の方式、実施時期関連する調達案件の調達単位、調達の方式、実施時期は次の表の通りである。
図 2.1 関連する調達イメージ(2) 調達案件間の入札制限特になし。
3 作業の実施内容に関する事項(1) 作業の内容受託者は、本調達仕様書に記載された作業内容や各要件(別紙3「業務要件」等)を参照の上、以下に関し必要な作業を実施すること。
① 準備作業の内容ア 実施計画書の作成受託者は、契約締結日から運用業務の開始までに、体制図、作業内容、作業体制、作業分担、スケジュール、文書管理要領、変更管理要領、WBS等を記載した実施計画書及び情報セキュリティ管理計画書を作成し、PMDAの承認を受けること。
No. 分類 業務概要 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月1 住基ネット機器ソフト等保守2 住基ネット回線運用保守3 令和7年度ライセンス保守(AI OCR除く)4 令和8年度ライセンス保守(AI OCR除く)5 令和9年度ライセンス保守(AI OCR除く)6 令和7年度AI OCRライセンス7 令和8年度AI OCRライセンス8 令和9年度AI OCRライセンス9 新救済業務システム開発管理⽀援業務10 救済オンライン化11 令和7年度運用⽀援業務12 本業務(令和8年度運用⽀援)令和7年度 令和8年度 令和9年度住基運用⽀援開発ライセンス6② 運用に係る作業の内容ア 中長期的又は年度ごとの運用・保守作業計画の確定支援受託者は、PMDAが中長期又は年度ごとの運用・保守作業計画を確定するに当たり、情報システムの構成やライフサイクルを通じた運用業務及び保守作業の内容について、計画案の妥当性に関する意見提示、情報提供等の支援を行うこと。
イ 定常時対応イ-1 受託者は、別紙3「業務要件」の「運用業務の範囲定義」に示す運用業務(システム操作、運転管理・監視、稼動状況監視、サービスデスク提供等)を行うこと。
具体的な実施内容・手順は実施計画書等に基づいて行うこと。
イ-2 受託者は、別紙4「システム運用管理基準」を参照の上、以下の内容について月次で運用報告を取りまとめ、PMDAに報告すること。
A) 運用期間・報告日・イベントの概況等の基本状況B) 作業実績等の運用状況C) 情報システムの稼働業務状況D) 問合せ管理運用状況(サービスデスク稼働状況) (別紙4参照)E) インシデント管理状況 (別紙4参照)F) 問題管理状況(別紙4参照)G) 変更管理状況 (別紙4参照)H) バックアップ取得状況(別紙4参照)I) 情報セキュリティ管理状況(情報セキュリティ遵守状況)(別紙4参照)J) アクセス権管理状況(特権(高権限ID)管理状況)(別紙4参照)K) システムリソース状況 (キャパシティ管理、可用性管理)(別紙4参照)L) サービスレベル達成状況 (別紙4参照)M) データ外部保管状況N) 情報システムの定期点検状況(別紙5「情報セキュリティ対策の運用要件」参照)O) 教育・訓練状況P) リスク課題の把握・対応状況イ-3 受託者は、月間の運用実績を評価し、達成状況が目標に満たない場合はその要因の分析を行うとともに、達成状況の改善に向けた対応策を提案すること。
イ-4 受託者は、運用作業報告書の内容について、月例の定期運用会議を開催し、その内容を報告すること。
イ-5 受託者は、ソフトウェア製品の保守の実施において、ソフトウェア製品の構成に変更が生じる場合には、PMDAにその旨を報告し、変更後の環境がライセンスの許諾条件に合致するか否かの確認を受けること。
ウ 障害・情報セキュリティインシデント発生時及び大規模災害発生時の対応7ウ-1 受託者は、情報システムの障害発生時(又は発生が見込まれる時)には、速やかにPMDAに報告するとともに、その緊急度及び影響度を判断の上、別紙4「システム運用管理基準 4.2インシデント管理」に示す「インシデント報告書(ひな型)」を参照の上、障害発生時運用業務(障害検知、障害発生箇所の切り分け及び保守事業者との連携による原因調査、応急措置、復旧確認、報告等)を行うこと。
なお、障害には、情報セキュリティインシデントを含めるものとする。
具体的な実施内容・手順は情報システムごとのインシデント管理プロセス手順書に基づいて行うこと。
(インシデント管理プロセス手順書がない場合は、作成すること) また、情報セキュリティインシデントの場合は、「PMDA情報セキュリティインシデント対処手順書」を参照の上、障害発生対応を実施のこと。
ウ-2 受託者は、情報システムの障害に関して事象の分析(発生原因、影響度、過去の発生実績、再発可能性等)を行い、同様の事象が将来にわたって発生する可能性がある場合には、恒久的な対応策を提案及び対応策の実施をすること。
ウ-3 受託者は、大規模災害等の発災時には、PMDAの指示を受けて、必要な対応を実施すること。
エ 情報システムの現況確認支援エ-1 受託者は、年1回、PMDAの指示に基づき、システム資産簿と情報システムの現況との突合・確認(以下「現況確認」という。)を支援すること。
エ-2 受託者は、現況確認の結果、システム資産簿と情報システムの現況との間の差異がみられる場合は、運用実施要領に定める変更管理方法に従い、差異を解消すること。
エ-3 受託者は、現況確認の結果、ライセンス許諾条件に合致しない状況が認められる場合は、当該条件への適合可否、条件等を調査の上PMDAに報告すること。
エ-4 受託者は、現況確認の結果、サポート切れのソフトウェア製品の使用が明らかとなった場合は、当該製品の更新の可否、更新した場合の影響の有無等を調査の上PMDAに報告すること。
オ 運用作業の改善提案受託者は、年度末までに年間の運用実績を取りまとめるとともに、必要に応じて中長期運用・保守作業計画、運用計画、運用実施要領に対する改善提案を行うこと。
③ 保守に係る作業の内容ア 中長期又は年度ごとの運用・保守作業計画の確定支援受託者は、PMDAが中長期又は年度ごとの運用・保守作業計画を確定するに当たり、情報システムの構成やライフサイクルを通じた運用業務及び保守作業の内容について、計画案の妥当性の確認、情報提供等の支援を行うこと。
8イ 定常時対応イ-1 受託者は、別紙3「業務要件」の「保守業務の範囲定義」に示す保守業務(不具合受付等)及び定期点検(サーバ等のヘルスチェック)を行うこと。
具体的な実施内容・手順は実施計画書等に基づいて行うこと。
イ-2 受託者は、定期点検(サーバ等のヘルスチェック)の結果、システム設定値等の差異がみられる場合は、PMDAへ報告の上、変更管理方法に従い、差異を解消すること。
イ-3 受託者は、保守作業計画及び保守実施要領に基づき、保守作業の内容や工数などの作業実績状況(情報システムの脆弱性への対応状況を含む。)、サービスレベルの達成状況、情報システムの定期点検状況、リスク・課題の把握・対応状況について月次で保守作業報告書を取りまとめること。
イ-4 受託者は、月間の保守実績を評価し、達成状況が目標に満たない場合はその要因の分析を行うとともに、達成状況の改善に向けた対応策を提案すること。
イ-5 受託者は、保守作業報告書の内容について、月例の定期運用会議を開催し、その内容を報告すること。
ウ 障害・情報セキュリティインシデント発生時及び大規模災害発生時の対応ウ-1 受託者は、情報システムの障害発生時(又は発生が見込まれる時)には、速やかにPMDAに報告するとともに、その緊急度及び影響度を判断の上、別紙4「システム運用管理基準 4.2インシデント管理」に示す「インシデント報告書(ひな型)」を参照の上、障害発生時運用業務(障害検知、障害発生箇所の切り分け及び保守事業者との連携による原因調査、応急措置、復旧確認、報告等)を行うこと。
なお、障害には、情報セキュリティインシデントを含めるものとする。
具体的な実施内容・手順は情報システムごとのインシデント管理プロセス手順書に基づいて行うこと。
(インシデント管理プロセス手順書がない場合は、作成すること) また、情報セキュリティインシデントの場合は、「PMDA情報セキュリティインシデント対処手順書」を参照の上、障害発生対応を実施のこと。
ウ-2 受託者は、情報システムの障害に関して事象の分析(発生原因、影響度、過去の発生実績、再発可能性等)を行い、同様の事象が将来にわたって発生する可能性がある場合には、恒久的な対応策を提案及び対応策の実施をすること。
ウ-3 受託者は、大規模災害等の発災時には、PMDAの指示を受けて、必要な対応を実施すること。
9エ 情報システムの現況確認支援エ-1 受注者は、年1回、PMDAの指示に基づき、システム資産簿と情報システムの現況との突合・確認(以下「現況確認」という。)を支援すること。
エ-2 受注者は、年1回、PMDAの指示に基づき、情報システム台帳(セキュリティ要件に係る事項)の作成・更新を支援すること。
オ 保守作業の改善提案受注者は、年度末までに年間の保守実績を取りまとめるとともに、必要に応じて中長期保守・保守作業計画、保守計画、保守実施要領に対する改善提案を行うこと。
④ 作業報告ア 作業工数実績の報告受注者は、本業務で実施した作業の工数について、月次でPMDAに報告すること。
報告の様式等に関しては、業務開始時にPMDAと協議し決定すること。
⑤ 引継ぎア 受託者は、PMDAが本システムの更改を行う際には、次期の情報システムにおける要件定義支援事業者及び設計・開発事業者等に対し、作業経緯、残存課題等に関する情報提供及び質疑応答等の協力を行うこと。
イ 受託者は、現行運用事業者から令和8年4月1日からの運用に必要な事項の引継ぎとして、運用監視作業エリアの引継、サービスデスクの引継、システム資源及びデータの引継を受け、現行事業者から提供される資料(運用作業の計画書や報告書、運用設計書及び運用手順書等の一覧)を基に自主的に業務習熟を行うこと。
現行運用事業者からの引継作業は受託者の負担と責任において実施すること。
ウ 受託者は、現行の救済システム運用支援業務の事業者より、救済システムにおける各種手順等について引継ぎを受けること。
受託者は、本調達に係る契約期間終了後、受託者と異なる事業者が本情報システムの運用業務を受注した場合には、次期運用事業者に対し、作業経緯、残存課題等下記項目についての引継ぎを行うこと。
A) 問合せ、障害等の対応及び管理に関する手法・手順B) システム運用マニュアル、運用業務マニュアルC) 仕掛中の項目一覧及びその進捗状況D) 過去の問合せ、障害等の実績及びその対応方法E) バックログ・未対応作業一覧及びその対応(案)F) その他業務を引継ぐ上で必要と思われる事項10(2) システム資産簿登録に係る作業受注者は、対象システムに更新等が発生した場合、PMDAが指定する以下のシステム資産簿登録用シートを、運用実施要領において定める時期に提出すること。
ア IT機器管理簿イ 導入ソフトウェア一覧ウ 資産収集情報詳細エ ハードウェアサポート期限オ ソフトウェアサポート期限カ ソフトウェアライセンスキ ソフトウェア名称ク その他PMDAが指定する項目○資産台帳・管理簿(情報システム台帳)を下記の項目で更新する。
・情報システム名 ・管理課室 ・当該情報システムセキュリティ責任者の氏名及び連絡先 ・システム構成 ・接続する機構外通信回線の種別 ・取り扱う情報の格付及び取扱制限に関する事項 ・当該情報システムの設計/開発、運用/保守に関する事項○ネットワーク機器ソフトウェア資産台帳を下記の項目で更新する。
・ネットワーク機器名 ・ソフトウェア名 ・バージョン ・脆弱性/アップデート公開情報 ・アップデート適用履歴 ・外部との通信内容 ・設定シートパス名 ・その他のサポート状況・リスク ・確認頻度 ・最終確認日(3) 成果物の範囲、納品期日等① 成果物作業工程別の納入成果物を表 3.1に示す。
ただし、納入成果物の構成、詳細については、受注後、PMDAと協議し取り決めること。
表 3.1 工程と成果物項番 工程 納入成果物 (注1) 納入期日納品に関する注意事項1 準備 ・運用準備作業に関する実施計画書(運用準備作業)契約締結日から2週間以内2 計画 ・実施計画書(体制図、作業内容、作業体制、作業分担、スケジュール、文書管理要領、変更管理要領、WBS)・情報セキュリティ管理計画書(情報セキュリティ対策実施内容及び管理体制)運用業務の開始まで3 運用 ・システム運用マニュアル(注2)・運用業務マニュアル(注3)・業務フロー令和10年3月31日11項番 工程 納入成果物 (注1) 納入期日納品に関する注意事項・システム関連ドキュメント・プログラム・ツール等(※必要に応じて随時提出)4 その他 ・作業週報・月例報告資料・アウトソーシングセンター設置サーバ稼働状況報告書・打合せ資料・議事録・障害等作業記録・運用支援報告書・追加開発業務に係る設計書・マニュアル等の資料令和10年3月31日(※必要に応じて随時提出)注1 納入成果物の作成にあたっては、SLCP-JCF2013(共通フレーム2013)を参考とすること。
注2 システム運用上、運用支援要員の行うべき業務内容及び操作手順に関するマニュアルとし、全対象システムについて次の内容を盛り込んだものとする。
(ア)ジョブ一覧、(イ)起動・停止手順、(ウ)バックアップ手順、(エ)リカバリ手順、(オ)障害監視手順、(カ)障害対応手順、(キ)ログ確認手順、(ク)性能監視手順、(ケ)設定変更手順、(コ)ユーザ管理手順、(サ)マスタの更新及びそれに伴うデータ修正手順、(シ) (ア)~(サ)の他、本業務の適切な履行のために運用支援要員が準拠すべき内容を網羅した手順書等注3 システム運用上の業務プロセスを定めた「業務フロー及び手順書」とし、次のシステム運用業務について作成・更新するものとする。
(ア)問合せ管理プロセス (イ)インシデント管理プロセス (ウ)変更管理プロセス (エ)リリース管理プロセス (オ)構成管理プロセス (カ)問題管理プロセス (キ)各定期点検プロセス (ク)リスク管理プロセス (ケ)課題管理プロセス (コ)情報セキュリティ管理プロセス。
② 納品方法表 3.1の納入成果物を含む全ての納入成果物を令和10年3月31日に納品すること。
なお、納入成果物については、以下の条件を満たすこと。
ア 成果物は、すべて日本語で作成すること。
ただし、日本国においても、英字で表記されることが一般的な文言については、そのまま記載しても構わないものとする。
イ 用字・用語・記述符号の表記については、「公用文作成の要領」に準拠すること。
ウ 情報処理に関する用語の表記については、日本工業規格(JIS)の規定に準拠すること。
12エ 受託者は、指定のドキュメント, ソフトウェア、ソースコード等を電子媒体(DVD-R等)により納品すること。
オ 電子媒体に保存する形式はMicrosoftWord2016、同Excel2016、同PowerPoint2016で読み込み可能な形式及びPDF形式とすること。
ただし、PMDAが他の形式による提出を求めた場合は、これに応じること。
なお、受託者側で他の形式を用いて提出したいファイルがある場合は、協議に応じるものとする。
カ 納品したドキュメントに修正等があった場合は、それまでの変更内容及び修正後の全編を速やかに提出すること。
キ 電子媒体は、2部納品すること。
ク 納品後、PMDAにおいて改変が可能となるよう、図表等の元データも併せて納品すること。
ケ 成果物の作成に当たって、CAD等の上記以外の特別なツールを使用する場合は、PMDAの承認を得ること。
コ 成果物が外部に不正に使用されたり、納品過程において改ざんされたりすることのないよう、安全な納品方法を提案し、成果物の情報セキュリティの確保に留意すること。
サ 電磁的記録媒体により納品する場合は、不正プログラム対策ソフトウェアによる確認を行う等して、成果物に不正プログラムが混入することのないよう、適切に対処すること。
シ 成果物の作成及び納品に当たり、内容、構成等についてPMDAが指摘した場合には、指摘事項に対応すること。
ス 納品に当たっては、現存するドキュメント等を変更する必要がある場合はそれらを修正することとし、修正点が分かるように表記すること。
なお、現存するドキュメントについては別紙8「資料閲覧について」を参照の上確認すること。
セ 報告書、計画書等の成果物の記載様式については、記載様式案をPMDAに提示すること。
PMDAは、案について受託者と協議の上、決定する。
③ 納品場所独立行政法人医薬品医療機器総合機構健康被害救済部4 満たすべき要件に関する事項本業務の実施にあたっては、以下に記載の各要件を満たすこと。
○別紙3 業務要件○別紙4 システム運用管理基準○別紙5 情報セキュリティ対策の運用要件○閲覧資料 セキュリティ管理要件書(ひな型)135 作業の実施体制・方法に関する事項(1) 作業実施体制受託者は、本業務に係る要員の役割分担、責任分担、体制図等を実施計画書の一部として作成し、PMDAに報告するとともに、承認を得ること。
また、受託者は、必要な要員の調達を遅滞なく実施し、要員を確定すること。
① 本業務の実施に当たり、PMDAの意図しない変更が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること。
また、当該品質保証体制が書類等で確認できること。
② 本情報システムにPMDAの意図しない変更が行われるなどの不正が見つかった時(不正が行われていると疑わしい時も含む)に、追跡調査や立入検査等、PMDAと受託者が連携して原因を調査・排除できる体制を整備していること。
また、当該体制が書類等で確認できること③ 当該管理体制を確認する際の参照情報として、資本関係・役員等の情報、本業務の実施場所、本業務従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供を行うこと。
具体的な情報提供内容についてはPMDAと協議の上、決定するものとする。
④ 受託者は、プロジェクトの推進体制及び本件受託者に求める作業実施体制をPMDAと協議の上定めること。
また、受託者の情報セキュリティ対策の管理体制については、作業実施体制とは別に作成すること。
(2) 作業要員に求める資格等の要件作業要員に求めるスキル及び資格等の要件を以下に示す。
体制構築においては費用対効果の観点を踏まえ、管理者及び作業実施者を適切に配置すること。
① 運用責任者・リーダの必要スキルA) システム運用保守業務経験が10年以上B) システム運用保守業務のマネジメント経験が3年以上② 従業員100名以上の規模を有する事業所等において、以下の製品・システムを取り扱うヘルプデスク業務を担当した実績を有する要員を体制に含めること。
各項目の条件に関しては、1人ですべての条件を充足する必要はない。
⚫ Windows Server 2022以上⚫ Outsystems 11.27(Standard Edition)で構築された業務アプリケーション⚫ データベース製品(SQLServer)⚫ VMware ESX3.5 以上⚫ NAS 及びSAN ストレージ⚫ 負荷分散装置⚫ バックアップソフト14③ 救済部企画管理課、給付課、調査第一課、調査第二課、特定救済課、拠出金課の各業務及び安全性情報・企画管理部企画管理課の拠出金関連業務を理解する能力を有しており、本業務システムの運用にあたり、PMDAに逐次業務の説明を求めることなく担当者とスムーズな会話ができること。
(3) 作業場所① 受注業務の作業場所(サーバ設置場所等を含む)は、(再委託も含めて)PMDA内、又は日本国内でPMDAの承認した場所で作業すること。
② 受注業務で用いるサーバ、データ等は日本国外に持ち出さないこと。
③ PMDA内での作業においては、必要な規定の手続を実施し承認を得ること。
④ なお、必要に応じてPMDA職員は現地確認を実施できることとする。
(4) 作業の管理に関する要領① 受託者は、PMDAの指示に従って運用業務に係るコミュニケーション管理、体制管理、作業管理、リスク管理、課題管理、システム構成管理、変更管理、情報セキュリティ対策を行うこと。
② 受託者は、PMDAの指示に従って保守業務に係るコミュニケーション管理、体制管理、作業管理、リスク管理、課題管理、システム構成管理、変更管理、情報セキュリティ対策を行うこと。
6 作業の実施に当たっての遵守事項(1) 基本事項受託者は、次に掲げる事項を遵守すること。
① 本業務の遂行に当たり、業務の継続を第一に考え、善良な管理者の注意義務をもって誠実に行うこと。
② 本業務に従事する要員は、PMDAと日本語により円滑なコミュニケーションを行う能力と意思を有していること。
③ 本業務の履行場所を他の目的のために使用しないこと。
④ 本業務に従事する要員は、履行場所での所定の名札の着用等、従事に関する所定の規則に従うこと。
⑤ 要員の資質、規律保持、風紀及び衛生・健康に関すること等の人事管理並びに要員の責めに起因して発生した火災・盗難等不祥事が発生した場合の一切の責任を負うこと。
⑥ 受託者は、本業務の履行に際し、PMDAからの質問、検査及び資料の提示等の指示に応じること。
また、修正及び改善要求があった場合には、別途協議の場を設けて対応すること。
15⑦ 本業務を実施する上で必要となる機器物品等は、受注者の責任で手配するとともに、費用を負担すること。
⑧ 次回の本業務調達に向けた現状調査、PMDAが依頼する技術的支援に対する回答、助言を行うこと。
⑨ 本業務においては、業務終了後の運用等を、受託者によらずこれを行うことが可能となるよう詳細にドキュメント類の整備を行うこと。
(2) 機密保持、資料の取扱い本業務を実施する上で必要とされる機密保持に係る条件は、以下のとおり。
① 受託者は、受注業務の実施の過程でPMDAが開示した情報(公知の情報を除く。以下同じ。)、他の受託者が提示した情報及び受託者が作成した情報を、本受注業務の目的以外に使用又は第三者に開示若しくは漏洩してはならないものとし、そのために必要な措置を講ずること。
② 受託者は、本受注業務を実施するにあたり、PMDAから入手した資料等については管理簿等により適切に管理し、かつ、以下の事項に従うこと。
⚫ 複製しないこと。
⚫ 用務に必要がなくなり次第、速やかにPMDAに返却又は消去すること。
⚫ 受注業務完了後、上記①に記載される情報を削除又は返却し、受託者において該当情報を保持しないことを誓約する旨の書類をPMDAに提出すること。
③ 応札希望者についても上記①及び②に準ずること。
④ 「独立行政法人 医薬品医療機器総合機構 情報システム管理利用規程」の第52条に従うこと。
⑤ 「秘密保持等に関する誓約書」を別途提出し、これを遵守しなければならない。
⑥ 機密保持の期間は、当該情報が公知の情報になるまでの期間とする。
(3) 遵守する法令等本業務を実施するにあたっての遵守事項は、以下のとおり。
① 受託者は、民法、刑法、著作権法、不正アクセス行為の禁止等に関する法律、行政機関の保有する個人情報の保護に関する法律等の関連法規及び労働関係法令を遵守すること。
② 受託者は、次の文書に記載された事項を遵守すること。
遵守すべき文書が変更された場合は変更後の文書を遵守すること。
ア 独立行政法人医薬品医療機器総合機構 情報セキュリティポリシーイ 独立行政法人医薬品医療機器総合機構 情報システム管理利用規程ウ 独立行政法人医薬品医療機器総合機構 個人情報管理規程エ 政府機関等の情報セキュリティ対策のための統一規範(最新版)オ 政府機関等の情報セキュリティ対策の運用等に関する指針(最新版)16カ 政府機関等の情報セキュリティ対策のための統一基準(最新版)なお、「PMDA情報セキュリティポリシー」は非公開であるが、「政府機関等の情報セキュリティ対策のための統一基準(最新版)」に準拠しているので、必要に応じ参照すること。
「PMDA情報セキュリティポリシー」の開示については、入札説明会に参加した事業者のうち、事業者がPMDAに「秘密保持等に関する誓約書」を提出した際に開示する。
③ PMDAへ提示する電子ファイルは事前にウイルスチェック等を行い、悪意のあるソフトウェア等が混入していないことを確認すること④ 受託者は、本業務において取り扱う情報の漏洩、改ざん、滅失等が発生することを防止する観点から、情報の適正な保護・管理対策を実施するとともに、これらの実施状況について、PMDAが定期又は不定期の検査を行う場合においてこれに応じること。
万一、情報の漏洩、改ざん、滅失等が発生した場合に実施すべき事項及び手順等を明確にするとともに、事前にPMDAに提出すること。
また、そのような事態が発生した場合は、PMDAに報告するとともに、当該手順等に基づき可及的速やかに修復すること。
7 成果物の取扱いに関する事項(1) 知的財産権の帰属知的財産の帰属は、以下のとおり。
① 本件に係り作成・変更・更新されるドキュメント類及びプログラムの著作権(著作権法第21条から第28条に定めるすべての権利を含む。)は、受託者が本件のシステム開発の従前より権利を保有していた等の明確な理由により、あらかじめ書面にて権利譲渡不可能と示されたもの以外、PMDAが所有する等現有資産を移行等して発生した権利を含めてすべてPMDAに帰属するものとする。
② 本件に係り発生した権利については、受託者は著作者人格権(著作権法第18条から第20条までに規定する権利をいう。)を行使しないものとする。
③ 本件に係り発生した権利については、今後、二次的著作物が作成された場合等であっても、受託者は原著作物の著作権者としての権利を行使しないものとする。
④ 本件に係り作成・変更・修正されるドキュメント類及びプログラム等に第三者が権利を有する著作物が含まれる場合、受託者は当該著作物の使用に必要な費用負担や使用許諾契約に係る一切の手続きを行うこと。
この場合は事前にPMDAに報告し、承認を得ること。
17⑤ 本件に係り第三者との間に著作権に係る権利侵害の紛争が生じた場合には、当該紛争の原因が専らPMDAの責めに帰す場合を除き、受託者の責任、負担において一切を処理すること。
この場合、PMDAは係る紛争の事実を知ったときは、受託者に通知し、必要な範囲で訴訟上の防衛を受託者にゆだねる等の協力措置を講ずる。
なお、受託者の著作又は一般に公開されている著作について、引用する場合は出典を明示するとともに、受託者の責任において著作者等の承認を得るものとし、PMDAに提出する際は、その旨併せて報告するものとする。
(2) 契約不適合責任① 受注者は本業務の成果物に対する契約不適合責任を負うものとする。
本業務の最終検収後において、委託業務の納入成果物に関して仕様書と異なる、または契約目的に照らして通常期待される条件を満たしていない等本システムの正常な稼動等に関わる契約不適合の疑いが生じた場合であって、PMDAが検収後1年以内に調査を求めた場合は、受注者は速やかに契約不適合の疑いに関して調査し回答すること。
調査の結果、納入成果物に関して契約不適合等が認められた場合には、受注者の責任及び負担において速やかに修正を行うこと。
なお、修正を実施する場合においては、修正方法等について、事前にPMDAの承認を得てから着手すると共に、修正結果等について、PMDAの承認を受けること。
② 受注者は、契約不適合責任を果たす上で必要な情報を整理し、その一覧をPMDAに提出すること。
契約不適合責任の期間が終了するまで、それら情報が漏洩しないように、ISO/IEC27001 認証(国際標準規格)又はJISQ27001 認証(日本産業規格)に従い、また個人情報を取り扱う場合にはJISQ15001(日本産業規格)に従い、厳重に管理をすること。
また、契約不適合責任の期間が終了した後は、速やかにそれら情報をデータ復元ソフトウェア等を利用してもデータが復元されないように完全に消去すること。
データ消去作業終了後、受注者は消去完了を明記した証明書を作業ログとともにPMDAに対して提出すること。
なお、データ消去作業に必要な機器等については、受注者の負担で用意すること。
(3) 検収納入成果物については、適宜、PMDAに進捗状況の報告を行うとともに、レビューを受けること。
最終的な納入成果物については、「3(3)①成果物」に記載のすべてが揃っていること及びレビュー後の改訂事項等が反映されていることを、PMDAが確認し、これらが確認され次第、検収終了とする。
なお、以下についても遵守すること。
18① 検査の結果、納入成果物の全部又は一部に不合格品を生じた場合には、受託者は直ちに引き取り、必要な修復を行った後、PMDAの承認を得て指定した日時までに修正が反映されたすべての納入成果物を納入すること。
② 「納入成果物」に規定されたもの以外にも、必要に応じて提出を求める場合があるので、作成資料等を常に管理し、最新状態に保っておくこと。
③ PMDAの品質管理担当者が検査を行った結果、不適切と判断した場合は、品質管理担当者の指示に従い対応を行うこと。
8 入札参加資格に関する事項(1) 入札参加要件応札希望者は、以下の条件を満たしていること。
① 開発責任部署はISO9001又はCMMIレベル3以上の認定を取得していること。
② ISO/IEC27001認証(国際標準)又はJISQ27001認証(日本工業標準)のいずれかを取得していること。
③ プライバシーマーク付与認定を取得していること。
④ PMDAにて現行関連システムの設計書等を閲覧し、内容を十分理解していること。
資料閲覧は別紙8を参照すること。
⑤ 応札時には、開発する機能毎に十分に細分化された工数、概算スケジュールを含む見積り根拠資料の即時提出が可能であること。
なお、応札後にPMDAが見積り根拠資料の提出を求めた際、即時に提出されなかった場合には、契約を締結しないことがある。
(2) 入札制限情報システムの調達の公平性を確保するために、以下に示す事業者は本調達に参加できない。
① PMDAのCIO補佐が現に属する、又は過去2年間に属していた事業者等② 各工程の調達仕様書の作成に直接関与した事業者等③ 設計・開発等の工程管理支援業者等④ ①~③の親会社及び子会社(「財務諸表等の用語、様式及び作成方法に関する規則」(昭和38年大蔵省令第59号)第8条に規定する親会社及び子会社をいう。
以下同じ。
)⑤ ①~③と同一の親会社を持つ事業者⑥ ①~③から委託を請ける等緊密な利害関係を有する事業者199 情報セキュリティ管理(1) 情報セキュリティ対策の実施受託者は、以下を含む情報セキュリティ対策を実施すること。
また、その実施内容及び管理体制についてまとめた情報セキュリティ管理計画書を実施計画書に添付して提出すること。
① PMDAから提供する情報の目的外利用を禁止すること。
② 本業務の実施に当たり、受託者又はその従業員、本調達の役務内容の一部を再委託する先、若しくはその他の者による意図せざる変更が加えられないための管理体制が整備されていること。
③ 受託者の資本関係・役員等の情報、本業務の実施場所、本業務従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供を行うこと。
具体的な情報提供内容についてはPMDAと協議の上、決定するものとする。
④ 情報セキュリティインシデントへの対処方法が確立されていること。
⑤ 情報セキュリティ対策その他の契約の履行状況を定期的に確認し、PMDAへ報告すること。
⑥ 情報セキュリティ対策の履行が不十分である場合、速やかに改善策を提出し、PMDAの承認を受けた上で実施すること。
⑦ PMDAが求めた場合に、速やかに情報セキュリティ監査を受入れること。
⑧ 本調達の役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるように情報セキュリティ管理計画書に記載された措置の実施を担保すること。
⑨ PMDAから要保護情報を受領する場合は、情報セキュリティに配慮した受領方法にて行うこと。
⑩ PMDAから受領した要保護情報が不要になった場合は、これを確実に返却、又は抹消し、書面にて報告すること。
⑪ 本業務において、情報セキュリティインシデントの発生又は情報の目的外利用等を認知した場合は、速やかにPMDAに報告すること。
(2) 情報セキュリティ監査の実施① PMDAがその実施内容(監査内容、対象範囲、実施等)を定めて、情報セキュリティ監査等を行う(PMDAが選定した事業者による監査を含む。)ものとする。
受託者は、あらかじめ情報セキュリティ監査等を受け入れる部門、場所、時期、条件等を「実施計画書」に付記し提示すること。
② 受託者は自ら実施した外部監査についてもPMDAへ報告すること。
20③ 受託者は、情報セキュリティ監査の結果、本調達における情報セキュリティ対策の履行状況についてPMDAが改善を求めた場合には、PMDAと協議の上、必要な改善策を立案して速やかに改善を実施するものとする。
④ 本調達に関する監査等が実施される場合、受託者は、技術支援及び情報提供を行うこと。
⑤ 受託者は、指摘や進捗等把握のための資料提出依頼等があった場合は、PMDAと協議の上、内容に沿って適切な対応を行うこと。
情報セキュリティ監査の実施については、本項に記載した内容を上回る措置を講ずることを妨げるものではない。
10 再委託に関する事項① 受託者は、受注業務の全部又は主要部分を第三者に再委託することはできない。
② ①における「主要部分」とは、以下に掲げるものをいう。
ア 総合的企画、業務遂行管理、手法の決定及び技術的判断等。
イ SLCP-JCF2013の2.3開発プロセス、及び2.4ソフトウェア実装プロセスで定める各プロセスで、以下に示す要件定義・基本設計工程に相当するもの。
⚫ 2.3.1プロセス開始の準備⚫ 2.3.2システム要件定義プロセス⚫ 2.3.3システム方式設計プロセス⚫ 2.4.2ソフトウェア要件定義プロセス⚫ 2.4.3ソフトウェア方式設計プロセスただし、以下の場合には再委託を可能とする。
⚫ 補足説明資料作成支援等の補助的業務⚫ 機能毎の工数見積において、工数が比較的小規模であった機能に係るソフトウェア要件定義等業務③ 受託者は、再委託する場合、事前に再委託する業務、再委託先等をPMDAに申請し、承認を受けること。
申請にあたっては、「再委託に関する承認申請書」の書面を作成の上、受託者と再委託先との委託契約書の写し及び委託要領等の写しをPMDAに提出すること。
受託者は、機密保持、知的財産権等に関して本仕様書が定める受託者の責務を再委託先業者も負うよう、必要な処置を実施し、PMDAに報告し、承認を受けること。
なお、第三者に再委託する場合は、その最終的な責任は受託者が負うこと。
④ 再委託先が、更に再委託を行う場合も同様とする。
⑤ 再委託における情報セキュリティ要件については以下のとおり。
21⚫ 受託者は再委託先における情報セキュリティ対策の実施内容を管理しPMDAに報告すること。
⚫ 受託者は業務の一部を委託する場合、本業務にて扱うデータ等について、再委託先またはその従業員、若しくはその他の者により意図せざる変更が加えられないための管理体制を整備し、PMDAに報告すること。
⚫ 受託者は再委託先の資本関係・役員等の情報、委託事業の実施場所、委託事業従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関して、PMDAから求めがあった場合には情報提供を行うこと。
⚫ 受託者は再委託先にて情報セキュリティインシデントが発生した場合の再委託先における対処方法を確認し、PMDAに報告すること。
⚫ 受託者は、再委託先における情報セキュリティ対策、及びその他の契約の履行状況の確認方法を整備し、PMDAへ報告すること。
⚫ 受託者は再委託先における情報セキュリティ対策の履行状況を定期的に確認すること。
また、情報セキュリティ対策の履行が不十分な場合の対処方法を検討し、PMDAへ報告すること。
⚫ 受託者は、情報セキュリティ監査を実施する場合、再委託先も対象とするものとする。
⚫ 受託者は、再委託先が自ら実施した外部監査についてもPMDAへ報告すること。
⚫ 受託者は、委託した業務の終了時に、再委託先において取り扱われた情報が確実に返却、又は抹消されたことを確認すること。
11 その他特記事項(1) 環境への配慮環境への負荷を低減するため、以下に準拠すること。
① 本件に係る納入成果物については、最新の「国等による環境物品等の調達の推進等に関する法律(グリーン購入法)」に基づいた製品を可能な限り導入すること。
② 導入する機器等がある場合は、性能や機能の低下を招かない範囲で、消費電力節減、発熱対策、騒音対策等の環境配慮を行うこと。
(2) その他PMDA全体管理組織(PMO)が担当課に対して指導、助言等を行った場合には、受託者もその方針に従うこと。
2212 附属文書(1) 調達仕様書 別紙別紙1 「SLA(Service Level Agreement)項目」別紙2 「作業スケジュール」別紙3 「業務要件」別紙4 「システム運用管理基準」別紙5 「情報セキュリティ対策の運用要件」別紙6 「健康被害救済業務システム概略図」別紙7 「ハードウェア・ソフトウェア構成一覧」別紙8 「資料閲覧について」(2) 事業者が閲覧できる資料一覧閲覧資料1 独立行政法人 医薬品医療機器総合機構 情報セキュリティポリシー閲覧資料2 PMDA情報セキュリティインシデント対処手順書閲覧資料3 セキュリティ管理要件書(ひな型)閲覧資料4 健康被害救済業務システムに係る関連資料閲覧資料5 オンライン請求に係るPMDA向け及び請求者向け手順書閲覧資料6 マイナポータル様式登録に係るパラメータシート閲覧資料7 zipファイルの構成に係る文書閲覧資料8 請求データにおけるXMLファイルの構造に係る文書これら資料は、PMDAに「秘密保持等に関する誓約書」を提出した事業者へ開示する。
13 窓口連絡先独立行政法人医薬品医療機器総合機構健康被害救済部企画管理課 布施電話:03 (3506) 9460E-mail:kaitou●pmda.go.jp●を@(半角)に変換して送信してください。
別紙1 「SLA(Service Level Agreement)項目」指標の種類 指標名 計算式 単位 目標値 計測方法 計測周期問い合わせへの一次回答一次回答の応答時間応答時刻-問い合わせ受付時刻<60 分の件数/問い合わせ件数% 100% 問い合わせ一覧表に受付と応答日時の記録毎月セキュリティ対策セキュリティ事故発生件数セキュリティ事故発生件数件 0件 セキュリティ対策ソフトウェアおよび人手により検知されたセキュリティ事故(防御されたものは除く)の発生件数の集計毎月運用業務サービスサービス提供時間9:00~18:00 のサービスを提供できなかった日数/営業日数×100% 0% 勤務実績の提出 毎月報告書類の提出期限期限までに提出した報告書類の件数/報告書類の件数×100% 100% 提出期日と報告日の比較都度ヘルプデスク業務サービス提供時間9:00~18:00 のサービスを提供できなかった日数/営業日数×100% 0% 勤務実績の提出 毎月障害対応 初動対応の開始異常の発見から 15 分以内に初動対応を行った障害件数/障害件数×100% 100% 障害発見日時と初動対応開始日時の障害報告書への記録毎月障害発生の連絡異常の発見から 1 時間以内に PMDA に連絡した障害件数/障害件数×100% 100% 障害発見日時と障害発生連絡日時の障害報告書への記録毎月障害報告書の提出期限期限までに提出した障害報告書の件数/障害報告書の件数×100% 100% 提出期日と報告日の比較都度システム稼働システム稼働率(計画サービス時間-計画外サービス停止時間)/計画サービス時間×100※1分未満のサービス停止時間は切り捨て)% 99.9% サービス停止開始・終了日時の記録毎月別紙2 「作業スケジュール」別紙2 作業スケジュール契約月 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月1-1 キックオフ実施◎▲ 実施計画書に基づくキックオフを実施1-2 実施計画書の作成実施◎実施契約後2週間以内に運用準備作業に関する実施計画書(運用準備作業)を作成し、PMDAの承認を受ける。
1-3 月次定例実施◎▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲1-4 次年度(新業者)への引継ぎ実施◎2-1インシデント一覧報告(システム障害、情報セキュリティインシデントを含む)報告○▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告「システム運用標準」⇒インシデント管理:インシデント一覧による月次報告2-2システム変更作業報告(パッチ適用状況報告を含む)報告○▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告「システム運用標準」⇒変更管理:変更作業一覧による月次報告2-3特権ID使用状況報告(台帳を含む)報告○▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告「システム運用標準」⇒特権ID管理台帳・特権ID使用管理簿による月次報告2-4 データ保全(バックアップ)状況の点検報告○▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告「システム運用標準」⇒バックアアプと回復:遵守状況の月次報告、机上訓練(任意)2-5 情報セキュリティ:遵守状況の報告報告○▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告「システム運用標準」⇒情報セキュリティ:遵守状況の報告2-6 脆弱性対策の実施状況の点検報告○▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告▲報告⇒情報セキュリティ管理:セキュリティパッチ適用状況の報告 脆弱性に関し関する新着情報、影響度・適用要否、適用予定と実績3-1 各業務データアクセス権限再検証支援△▲報告▲報告不要なアクセス権限の洗い出しと削除。
3-2ユーザーID棚卸し(各業務システム)実施◎▲報告▲報告不要IDの洗い出しと削除・無効化。
不要なID、権限があれば削除する。
3-3 特権ID検証(棚卸し)実施◎実施▲報告【システム運用標準】”システム運用管理(要件書)”に基づく運用⇒台帳と使用管理簿の相関チェック、使用管理簿とログの相関チェック3-4パソコン等搭載ソフトウェアの定期的な調査、不要ソフトウェアの削除支援△準備▲報告使用するソフトウェア・バージョン、ソフトウェアの利用可否基準を整理し、棚卸を実施する(パソコン更改時に対応し「台帳」を整備する)4-1 情報資産棚卸し・リスク評価支援△▲報告⇒ 厚労省のガイドラインに従って実施:「情報資産台帳」「情報資産ライフサイクル確認様式」「リスク評価チェックシート様式」の作成・更新4-2 パソコン等情報資産棚卸し支援△準備▲報告台帳と現物との照合(照合結果に基づく「台帳」の作成)4-3 システム台帳の最新化支援△▲報告⇒資産台帳・管理簿(システム台帳)を更新する。
⇒ネットワーク機器ソフトウェア資産台帳を更新する。
4-4 ログ取得状況の点検支援△準備 実施▲報告⇒情報資産の重要度に応じて、監視対象となるイベントを絞り込み、ファイル抽出した上で、セキュリティ違反を示す証跡がないかを定期的に確認する。
4-5セキュリティヘルスチェック(不正プログラム及び不正な設定変更の有無確認)支援△準備 実施▲報告4-6 情報セキュリティ:遵守状況の自己点検実施○準備 実施▲報告「システム運用標準」⇒情報セキュリティ:遵守状況の報告4-7 情報システム開発・運用資料確認実施○準備 実施▲報告▲報告情報システムの開発・運用・保守に必要な各種ドキュメント(各種設計書、手順書等)と実装(システムの構成・設定、プログラム等)が一致していることを確認する。
5-1システム運用担当者(サービスデスク)向け研修受講△受講 6月に2回開催予定6-1委託先における情報セキュリティ対策の履行状況の確認受査◎⇒過去の実施手順を参考に対象システムを選定の上、PMDA内部検査を実施7-1 厚労省・情報セキュリティ監査支援△7-2調達による第3者情報セキュリティ監査 支援△7-4 監査指摘対応フォロー支援△▲報告▲報告「過去の監査対応状況について」に基づく進捗管理、半期毎に報告8-1 疎通確認テスト実施◎マイナポータル、e-Gov等に係る仕様、機能、データパターン等確認8-2 ユーザビリティテスト実施◎テストシナリオの作成、テストデータ等環境準備、軽微改修実施実施オンライン請求受入テストに係る改修等支援実施実施実施監査支援実施区分2025年度PMDA監査受査への支援内部監査セキュリティ対策点検Noマイルストン運用教育・訓練権限管理実施内容準備 受査・・・・・・・・・・・・・運用フォロー・・・・・・・・・・・・・実施準備準備 実施準備 実施・・・運用フォロー・・・監査支援準備 実施準備2026年度別紙3 「業務要件」業務の時期・時間の定義実施時期・期間 実施・提供時間 補足通年令和8年4月1日~令和10年3月31日※業務を行う日(平日)とは、本仕様書で別途定められている業務の他は、行政機関の休日(「行政機関の休日に関する法律」(昭和63年法律第91号)第1条第1項に掲げる日をいう。
)を除く日とする。
9:00~18:00※12:00~13:00 は休憩時間とする。
ただし、本仕様書で別途定めるものの他、緊急作業及び本業務を実施するために必要な作業がある場合は、この限りではない。
運用業務の範囲定義No 名称 内容1 【システム監視 - 稼動監視】本システムのハードウェア、ソフトウェア、ネットワークに対して、以下の稼動状況(パフォーマンス)を監視し、監視実績を記録・管理すること。
※本システムのハードウェア、ソフトウェア、ネットワークに対し、死活監視、障害監視、エラー出力監視を行い、異常を発見した場合は障害対応手順に沿って対応すること。
監視に当たっては事前にPMDAと協議の上、必要に応じてツール等を用いた常時監視の仕組みを構築すること。
(1) ソフトウェア及び開発アプリケーションの稼動状況(2) ハードウェアの各種状況(性能、容量、故障、縮退)(3) バックアップなどの定期起動ジョブの実行結果(4) セキュリティアラートの発生状況2 【システム監視 - ログ監視】本システムを構成する機器及びソフトウェア上で入手可能なログの管理、監視を行い、必要に応じて外部環境に保管すること。
定期的にログの内容を確認し、異常検知した場合は速やかに総合機構に報告し、問題解決のための対処を行うこと。
3 【システム監視 - 情報セキュリティ監視】本システムへの不正侵入、不正改ざん検知、ウイルスチェックなど、本システムに関するセキュリティ監視を行うこと。
4 【システム設定・操作- ジョブ管理】操作ミスの防止や無人化を目的とした操作の自動化を行う場合、必要となるジョブスケジュールの設定等を行うこと。
また、ジョブの登録/変更/削除が必要となる場合には PMDA に提案し、PMDAの了解の下、当該作業を実施すること。
5 【システム設定・操作- 容量・能力管理】本システムの性能を計測する指標(CPU 負荷、メモリ使用量、ディスク使用量など)をPMDAと協議の上で確定し、指標データを常時収集し、閾値を超えるなどの異常を発見した場合は障害対応についてPMDA に提案し、PMDA の了解の下、当該作業を実施すること。
6 【ヘルプデスク業務 -問い合わせ対応】利用者からのシステムに関する問い合わせに対応すること。
なお、問い合わせ手段は基本的に電話、電子メールとし、専用のフォーマットを用意し、問No 名称 内容合せ内容や処置内容を漏らさず記録すること。
また、システム及び機器の障害に関する問い合わせについては原因の調査を実施し、PMDA担当者に連絡すること。
その際は、解決のための対応策も提案すること。
保守サービスや各種メーカーへの問合せ時には窓口となって情報を集約すること。
7 【運用管理】 システム運用上の業務プロセスを定めた「業務フロー及び手順書」について、次のシステム運用業務について作成・更新するものとする。
(ア)問合せ管理プロセス (イ)インシデント管理プロセス (ウ)変更管理プロセス (エ)リリース管理プロセス (オ)構成管理プロセス (カ)問題管理プロセス (キ)各定期点検プロセス (ク)リスク管理プロセス (ケ)課題管理プロセス (コ)情報セキュリティ管理プロセス。
変更管理及びリリース管理に伴うハードウェア、ソフトウェア等の資源の版数管理、原本管理を行うこと。
本業務の改修案件に限らず、対象システムに対する全ての変更について構成管理を行うこと。
8 【ユーザー管理】 (ア) PMDAから提出されるユーザ登録・削除依頼に基づき、OS上、及びアプリケーション上のユーザを登録・削除すること。
作業内容はすべて作業ログとして蓄積し、PMDAに報告すること。
(随時/適宜)(イ) システムを構成する機器やアプリケーション等のユーザ管理システムを構成する機器やアプリケーション、リモートアクセス機器及びリモートアクセスユーザを管理の対象とすること。
(ウ) アクセス権限管理管理対象となる各種ユーザのアクセス権限の管理を行うこと。
9 【サービスレベル管理】別紙1 「SLA(Service Level Agreement)項目」参照運用業務については、受託者とPMDAとの間で協議の上、SLA(ServiceLevel Agreement)を締結する。
サービスレベル評価項目と要求水準については、別紙1「SLA項目」を参照すること。
ただし、サービスレベル評価項目と要求水準については、協議の上、見直すこととする。
10 【バックアップ/リカバリ】重大な障害が発生し、復旧が必要になる場合に備え、運用手順としてバックアップ並びにリカバリ計画及び手順を確立し、それに基づき実行すること。
バックアップデータのリカバリを行う必要があると考えられる場合には、PMDAの判断に従いリカバリ手順に沿って作業すること。
11 【各種データ管理】 定期的に取得が必要な運用データ、各種帳票・レポート類、各システムの設定データ等のデータ管理。
(1) 必要データの保存と削除定期的に夜間バッチ処理により生成される結果データ、操作履歴等の蓄積データに関しては、データを定期的に再利用可能な形式で別媒体に保存した後にデータベースから削除を行うこと。
(2) データ保守業務アプリケーションに起因する障害復旧に伴い、過去のデータを含め、不整合データの存在が明らかになった場合、不整合データの修正箇所の特定、報告を行い、PMDAと協議の上、修正、削除の実施、確認、記録業務への対応を行うこと。
また関連文書検索用紐付けデータのデータベースへの一括登No 名称 内容録、更には登録された紐付けデータに不整合等が判明した場合には、その修復も行うこと。
(3) データ集計PMDAの指示により、データベースからの条件指定によるデータ検索、抽出、集計を行うこと。
(月4回程度)12 【データベース運用支援】データベースの性能劣化を防止するため、テーブル再構成やインデックス再構成等の性能劣化防止作業を計画し、PMDAの承認を得た上で定期的に実施すること。
13 【住基ネット関連運用支援】住基ネットに係るシステムについて、適宜以下について対応すること。
(1) 市町村コードマスタファイルの更新(2) 画面制御情報の設定(3) 本人確認端末の追加(4) 情報提供業務メニュー画面における初期表示の設定変更(5) 情報提供サーバにおけるユーザパスワード変更に伴う対応(6) 耐タンパー装置の抜き取り/接続(7) 定期点検(日常点検、定期点検、バックアップ装置のクリーニング等)(8) 情報提供サーバ/本人確認端末/その他ハードウェアやソフトウェアに係るアップデート(9) 法定停電等におけるシステム停止/起動(10)操作ログ検証のための救済システムデータの抽出(11)障害発生時の復旧作業14 【ファイルサーバ棚卸】救済システム内に構築されているファイルサーバについては、一時的な利用を想定したものであるため、半年に一回の頻度で棚卸を行い、最終更新日が半年以上前のファイルについては担当課に移動を依頼すること。
共有フォルダ配下のファイルを取得するバッチファイルが配置され、タスクスケジューラによって定期実行され、最終更新日とパスを含む情報を出力するようになっているが、現状は整形が必要である。
(上位フォルダ単位でのファイル分割、半年経過前の情報の削除等)PMDA の指示を踏まえて処理を効率化するようバッチファイルを修正すると共に、運用手順書を新規作成すること。
15 【その他】 定期的(概ね年2回)に実施される新霞が関ビル電気設備のための停電に対応すること。
保守業務の範囲定義No 名称 内容1 【システム設定・操作- 設定変更】ハードウェア、OS、ミドルウェア等を正常に稼動させるために設定の変更が必要となる場合にはPMDAに提案し、PMDAの了解の下、当該作業を実施すること。
2 【ソフトウェア保守 -ソフトウェア更新】運用対象システムのソフトウェア資源について、以下の作業を実施する。
なお、(3)~(6)に係る、公表されている脆弱性情報を漏れなく把握すること。
ソフトウェアの更新作業については、PMDA と協議の上、検証テストや事前のバックアップ(スナップショット取得等)を実施の上で本番環境に反映させること。
(1) パッチの提供に関する情報及び 脆弱性情報の収集当システムを構成する全てのソフトウェアについて、ソフトウェアベンダからのパッチ(不具合修正を目的とするパッチ、脆弱性対策を目的とするセキュリティパッチの両方を含む。)の提供情報及び脆弱性に関する情報を継続的に収集すること。
(2) 脆弱性対応計画の作成脆弱性情報又はセキュリティパッチの提供に関する情報を入手した場合、当該脆弱性への対応又は当該セキュリティパッチの適用に関する計画を脆弱性対応計画」(案)として取りまとめ、PMDAの承認を得ること。
脆弱性対応計画」(案)は、以下の内容を含むこと。
・対策の必要性・対策方法又は対策方法が存在しない場合の一時的な回避方法・対策方法又は回避方法が情報システムに与える影響・直ちにはパッチ適用できないと判断される場合のリスクと当面の回避策(案)・対策の実施予定・テストの必要性・テストの方法・テストの実施予定・テストの合格基準・本番環境への適用手順とスケジュール(3) 業務アプリケーションへのパッチの定期適用業務アプリケーションプログラムへのパッチの適用を定期的に適用する計画を作成し、PMDAの承認の上で適用を実施すること。
(4) 業務アプリケーションへのパッチの緊急適用業務アプリケーションプログラムへのパッチを緊急適用する計画を作成し、PMDAの承認の上で適用を実施すること。
(5) OS・ミドルウェアの不具合修正の適用特定ミドル保守業者又はその他の機器保守業者から提供される修正版の OS・ミドルウェアの不具合修正資源を適用する計画を作成し、PMDA の承認を得た上で適用を実施すること。
(6) ウィルスパターンファイルの更新本システムに導入されているアンチウィルスソフトウェアのうち、パターンファイルの自動更新が行われていないものについては、1日ごとにウィルスパターンファイル資源を適用すること。
No 名称 内容3 【ハードウェア保守】 ハードウェア及びファームウェアの不具合、ファームウェア更新等のハードウェア保守に関してサーバ等の保守業者と協力し、分担の役割に応じて対応すること。
作業の分担において抜け、漏れが出ないよう充分留意し、最終的な対応は本件受注業者の責任において実施すること。
別紙 運用監視・保守方針と役割分担を参照。
4 【不具合修正、軽微な改修】運用を継続するにあたって、業務の効率化、利便性の向上に資するために、PMDAの指示の下、検索条件及び検索処理の修正、小規模ツール、文書管理システムに関連した文書の保存方法といった軽微なプログラム改修・システム構成の変更を実施すること。
必要な設計書及び業務フローの改訂・作成及びプログラム入替え作業も含むものとする。
(年間100人日程度※の作業とする。)5 【オンライン請求受入テストに係る改修等支援】デジタル庁によるマイナポータル/汎用電子申請サービス/e-Gov 審査支援サービス(以下、「外部サービス」という)側の改修が完了した後、外部サービス側の環境(テスト環境含む)とPMDAの検証環境を利用して、オンライン請求に係る一気通貫のテストを実施する。
(外部サービスを含む全体像については下図を参照)一気通貫テストの開始時期について、デジタル庁とスケジュール調整を行うこと。
デジタル庁に確認の上、改修完了に先行して実施可能なテスト範囲があれば順次着手すること。
一気通貫のテストに当たっては、アプリによる認証にあたりスマートフォンの利用が必須であることから、以下の要領でスマートフォンを準備すること。
台数:14台(iPhone 7台、Android 7台)利用場所:PMDA拠点内OS:iPhone:iOS 16以降Android:Android 11以上Android端末のメーカー:Google Pixelその他:グローバルIPアドレスを1つに絞って通信できることまた、スマートフォンの初期セットアップにあわせて、アプリの利用申請、インストール作業やテストに使用するために必要となる各種設定作業を実施すること。
一気通貫テストについては受託者主体の「①疎通確認テスト(システム観点での構成やデータ入出力に係るテスト)」と PMDA 主体の「②ユーザビリティテスト(業務観点でのテスト)」を想定しており、それぞれ以下について対応すること。
① 疎通確認テスト 外部サービスが手順書通り利用できるか確認すること e-Gov 審査支援サービスからダウンロードする全手続き分の請求データについて以下を確認することNo 名称 内容 パラメータシート通り様式が設定されていること zipファイルの構成(フォルダ/ファイル構成、形式等)が想定通りであること XMLファイルのデータ構造が想定通りであること 本システムへの取込み後、問題なく DB 登録、画面/帳票出力できること※想定仕様についてはPMDAよりご連絡する予定 決定通知を e-Gov 審査支援サービスを通してアップロードし、マイナポータルで閲覧できることを確認すること 全手続きにおいて外部サービス側と本システムとでデータパターン(最大値/最小値、単一/複数の選択肢、チェックボックス、日付、ブランクフォームの値等)を洗い出し、問題なく入出力できることを確認すること※上記に係るテストシナリオ及びテストデータ、テスト環境について作成/準備すること※PMDA 環境におけるファイルのアップロード/ダウンロードについては受託者では対応できないため、PMDA職員に依頼すること※受託者によるテストにあたっては、J-LISからテスト用のマイナンバーカード借用すること。
手続に数カ月かかる可能性があるため、PMDA に確認の上、契約次第すぐに借用に係る手続を進めること。
② ユーザビリティテスト 令和 7 年度受入テストのテストシナリオをもとに、ユーザビリティテストで必要なテストシナリオを作成すること 令和 7 年度以降、政府共通基盤側の仕様変更等が発生した場合には、必要に応じて該当箇所を含むテストシナリオを追加すること 必要に応じてテストデータや環境を準備すること テスト担当者(ユーザー)からの問合せに対応すること上記の一気通貫テストの結果、外部サービスの設定変更等が必要となった場合は、PMDAの指示の下、設定変更又は変更支援をすること。
この変更によりe-Gov審査支援サービスから出力される XML 等のデータが変更されるかを確認し、変更される場合は当該変更を受けて XML データ取込み機能等において既存システムの改修が必要かどうか確認すること。
既存システムの改修が必要な場合は軽微なプログラム改修を実施すること。
必要に応じて設計書の作成・改訂及びプログラム入替え作業を実施すること。
当該変更を受けて既存の手順書(PMDA 向け、請求者向け)や請求者向け動画を修正する必要があれば対応すること。
本件に関連して、必要に応じてQA管理表等を作成の上、直接外部関係者(デジタル庁等)とコミュニケーションをすること。
本件についてはタイムリーな対応を求めることから、担当者を本案件専用にアNo 名称 内容サインすること。
(本タスク全般として60人日程度※の作業とする。)※ ローコード基盤であることを考慮し、画面や帳票の文言修正、レイアウトの変更等、軽微なメンテナンス作業は通常保守作業として、保守作業工数消費対象作業に含まないこととする。
業務ロジックの追加・変更を伴う改修は保守作業工数を消費することとする。
※別途、改修案件が調達された場合、当該受注業者との連携、調整を密にし、当該受注業者による改修作業が円滑に進むよう支援をすること。
その際にはソースプログラムのデグレード等が発生しないよう、構成管理に留意すること。
本システムの開発方法に適合させること。
図 外部サービスを含む全体像1凡例︓手動作業の流れ︓データの流れ︓外部システム︓内部システム︓ファイル︓ネットワーク︓e-Gov内のシステム︓マイナポータルの内のシステム新救済業務システムPMDA(職員)e-Gov電子申請サービスインターネットe-Gov審査支援サービス汎用電子申請サービスマイナポータル(フロントエンド/バックエンド)PDF支給決定通知請求内容・添付資料登録申請データ添付資料XMLe-Gov出力PDF支給決定通知申請データ・添付資料XML請求書レイアウト電子ファイルPMDA(開発ベンダー)マイナポータルアプリマイナポータル申請管理令和8年度一気通貫テスト想定範囲令和7年度疎通確認テスト想定範囲申請・補正手続検索検索結果確認様式情報取得別紙4システム運用管理基準2018年7 月独立行政法人 医薬品医療機器総合機構【資料の見方】 システム運用業務を「12の領域」に分けている。
システム運用の標準化(要件)は、システム運用者(委託先)からPMDAへの報告(情報提供も含む)を統一することにある。
当資料においては「標準化」のタイトル等にて報告を記載している。
標準化(要件)は、「報告書式を統一する領域」と「報告内容を統一(書式任意)」の2タイプに分かれる。
「報告書式を統一する領域」は、インシデント管理、変更管理、アクセス権管理の領域となっている。
改訂履歴改訂日 改訂理由2018年6月8 日 初版発行2018年7月20 日 情報セキュリティ遵守状況報告内容を追記11.はじめに1.1 目的独立行政法人医薬品医療機器総合機構(PMDA:Pharmaceuticals and Medical Devices Agency)(以下、「機構」という。)が調達し、又は、開発した情報システムの運用管理を確実かつ円滑に行い、利用者が要求するサービス品質を、安定的、継続的かつ効率的に提供するために、情報システムの運用管理に関する業務内容を明確化・標準化するために定めるものである。
1.2 対象範囲機構が調達し、又は開発・構築した全ての情報システムの運用保守を担当する組織(情報システムの運用保守業務を外部委託する場合における委託先事業者を含む)に適用する。
1.3 適用の考え方システム運用管理業務は、既に開発・構築しサービスイン(本番稼動)している情報システムの運用・保守業務の実行と管理に係る業務を対象とする。
情報システムの運用・保守を外部委託する場合は、本資料をもとに委託先事業者において、当該情報システムの種類・規模・用途を踏まえた適切な運用手順を策定のうえ、運用サービスを提供するものとする。
1.4 用語の定義本要領で使用する用語は情報システムの「ITIL(IT Infrastructure Library)」のガイドラインを踏まえた運用プロセス定義に準拠するものとする。
1.5 準拠および関連文書上位規程 : 「情報セキュリティポリシー」関連文書 : 「情報システム管理利用規程」22.システム運用管理業務の概要機構においては情報システムの運用保守を外部委託している状況を踏まえ、運用管理に必要なプロセスのあるべき姿から主要なプロセスを運用管理業務として選定し、以下の12の管理業務について、明確化・標準化を行う。
管理業務 概要問合せ管理(サービスデスク)システムの利用者からの問合せ窓口として、利用者からの各種問合せについて一括受付することにより 問合せに対する早期回答、障害対応への早期エスカレーションを図るとともに、ユーザからの要望を適切に吸い上げる。
インシデント管理 問い合わせに含まれるインシデント、あるいはハードウェア、アプリケーションなどからのインシデント発生の警告/報告を受け、サービスの中断を最小限に抑えながら、可能な限り迅速に通常サービスを回復するよう努める。
問題管理(再発防止策)障害(インシデント)の根本的な原因となっている不具合が、ビジネスに与える悪影響を最小化するため、問題を分析し抜本的解決策や回避策を立案する。
変更管理(課題管理)情報システムに対する変更の許可と実装を確実に行うための管理をいう。
本番環境に対する変更要求を適正な要領で評価・承認を行い、標準化された変更方法、手順が実施されることを確実にする。
また、変更による影響とリスクを最小化し、障害を未然に防止することで、サービス品質の維持・向上に努める。
なお、本要領においては、変更要求の必要性、効果、リスクなど変更の妥当性の評価と承認(変更管理)に加えて、本番環境に対してどのような準備・実行・見直しを行って変更を加えるかの決定(リリース管理)を含めるものとする。
構成管理 情報システムを構成する物理資源・論理資源とその環境を常に把握するための管理をいう。
運用・保守業務やそのサービスに含まれる全てのIT資産や構成を明確にし、正確な構成情報と関連文書を提供することで、他のサービスマネジメント・プロセス(インシデント管理、問題管理、変更管理、情報セキュリティ管理等)に信頼できる管理基盤を提供する。
運行管理(稼動管理)情報システム全体を予定通り安定的に稼動させるために、システムのスケジュール、稼働監視、オペレーションなど一連の運行を管理する。
・スケジュール管理・オペレーション管理(定型業務、非定型業務)・稼動監視 ・障害対応 ・ジョブ運用 ・媒体管理・本番システム導入・移行時の支援 等3管理業務 概要バックアップと回復管理必要なバックアップを定期的に取得、管理し、障害が発生した場合は、速やかな回復ができるよう、回復要件に基づき必要な回復手順、仕組みを計画、作成、維持する。
情報セキュリティ管理 情報セキュリティポリシーに規定されたセキュリティ対策を実施するために必要な管理要件に基づき、情報セキュリティ管理要領・手順等を作成し、情報セキュリティ管理を行う。
アクセス権管理 アクセス方針を定め、アクセス制御の仕組みを構築・維持し、システム・アカウントの申請受付け・登録・変更・削除など管理業務を行う。
・アプリケーション・システムのアカウント・サーバのOSアカウント・DBMSアカウント・運用支援システムのアカウント・各種特権アカウント 等キャパシティ管理 サービス提供に必要となるシステム資源の利用状況の測定・監視を実施し、現在の業務要求(既存の提供サービス量)と将来の業務要求(要求される提供サービス量)とを把握した上で、システム資源がコスト効率よく供給されるように調整・改善策の立案を行う。
可用性管理 ITインフラストラクチャーを整備し、それをサポートするITサービス部門の能力を最適化させることで、ビジネス部門に対して、費用対効果が高いITサービスを持続して提供する。
可用性管理の活動は、既存のITサービスの可用性を日常的に監視・管理する「リアクティブ」なプロセスと、リスク分析や可用性計画の策定や可用性設計基準などの作成を行う「プロアクティブ」なプロセスに分けられる。
サービスレベル管理 「サービスレベル合意書」で定める各種サービスレベル値の達成、維持作業として、管理項目に対する実績データの収集、分析、評価、及び改善策を策定する。
また、運用管理業務における報告データを収集、管理し、月次にユーザへの報告を実施する。
43.運用管理業務の基本プロセス(運用管理業務プロセスのPDCAマネジメントサイクル)他のマネジメント・システムと同様に、運用管理業務プロセスも手順書等を策定して終わりではなく、実際に手順書等に準拠した運用を実施し、定期的に又はシステムの変更やメンバーの入れ替わりなどに合わせて都度、管理プロセスを見直し、必要に応じて改善・是正を行う必要がある。
そのために、運用管理業務プロセスに、個別管理要領の「策定(Plan)」、「実施(Do)」、「点検・監査(Check)」、「評価と改善(Act)」の4つの基本プロセスからなるPDCAマネジメントサイクルを導入し、継続的改善を実施することが重要である。
各基本プロセスの概要は、以下のとおりである。
(1) 個別管理要領の策定 (Plan)各運用管理業務の実施方針、実施範囲、管理プロセス、業務の管理指標等を含めた管理要領書ならびに管理手順を定める。
(2) 個別管理業務の実施 (Do)各運用管理業務の実作業を行うとともに、業務遂行に必要な関連情報の蓄積、実績情報の収集保管、およびに評価指標の実績測定を行う。
(3) 個別管理業務の点検・監査 (Check)各運用管理業務に対し、個別運用管理要領に遵守した運用がなされているか定期的に点検・監査を行い、その結果を分析・評価する。
(4) 個別運用管理業務の評価と改善 (Act)各運用管理業務に対する評価指標に対する実績管理を行うと共に、品質向上に向けた改善計画を立案し、改善実施を行う。
(1) 個別管理基準の策定(Plan)(2) 個別管理業務の実施(Do)(3) 個別管理業務の点検・監査(Check)(4) 個別運用管理業務の評価と改善(Act)・定期的に実施・各運用管理基準に従い、定常業務として実施・各管理プロセスの導入時、見直し時に実施・定期的に実施54.システム運用管理業務の明確化・標準化4.1 問合せ管理(1) 目的ユーザ及び各業務プロセスオーナからの問合せや依頼に対する受付窓口を一元化することで、各業務の利用ユーザの業務効率性を向上させる。
(2) 業務の概要問合せ対応では、問合せの受付、クローズ、一次回答、管理プロセスの評価・改善の一連のプロセスを実施する。
(3) 管理対象本番システム環境で稼動している全てのシステムに係る以下の問合せについて対応する。
アプリケーション仕様、操作、機能、内容に関する問合せ ハードウェア/ソフトウェアに関する問合せ 要望 アプリケーション修繕に対する依頼 その他の依頼作業(4) 業務の管理指標&標準化問合せ対応業務を評価するための評価指標として以下を定義し、定期的(月次)報告を行う。
①問合せ発生件数(日次集計・月次集計を含む)②問合せ区分別件数③問合せ一次回答期限遵守率④問合せ完了率(一定期間経過後(10営業日経過後)の完了率)※報告内容は、各システムの状況に応じて変更しても構わない。
【補足】問合せにより「システム障害」「セキュリティインシデント」が発覚した場合は、該当問合せは一次回答にてクローズとし、その後は「インシデント管理」にて対応する。
問合せにより「変更」実施が必要となった場合は、対応予定日を回答することでクローズとし、その後は「変更管理(課題管理)」にて対応する。
64.2 インシデント管理(1) 目的インシデント管理は、ユーザからの問合せ・連絡、あるいはオペレータや監視システム等によるインシデントの検知を受け、ITサービスの中断を最小限に抑えながら、可能な限り迅速に正常なサービスを回復することを目的とする。
(2) 業務の概要①インシデントの定義インシデントとは、ユーザや監視システム等の検知により判明したハードウェアやソフトウェアに関する一般的な障害(システム・ダウン、バグによるアプリケーションの機能停止等)だけでなく、ユーザが日常の操作手順によってITサービスを利用する上で支障がある事象はすべてインシデントに包含される。
【注】このインシデントには、情報セキュリティインシデント(不正アクセス・マルウェア検知等)を含む。
また、まだITサービスに影響を与えていない構成アイテムの障害もインシデントとして扱う。
例えば、(i) 二重化されたデータベース・システムの一方がダウンした場合で、まだサービス自体が正常に稼働している場合、(ii) 本番環境のバックアップを検証環境にリストアできない場合、これらをインシデントとして扱う。
②インシデント管理の主な活動インシデント管理は、インシデントの 4 つのライフサイクル(発見-判別-回復-解決)の内、発見-判別-回復(解決)までをカバーする。
(再発防止については、次節の「問題管理」で扱う。)インシデント管理のプロセスでは、主に次の活動を実施する。
・インシデントの検知・インシデントの記録・インシデントの通知・インシデントの分類・インシデントの優先度付け・インシデントの初期診断・エスカレーション・インシデントの調査と診断・復旧(解決)策の実施・インシデントのクローズ(3) 管理対象本番システム環境で稼動している全てのシステムのインシデントを管理対象とする。
(4) 業務の管理指標インシデント管理の管理業務を評価するための評価指標として以下を定義し、定期的(月次)報告を行う。
① 当月インシデント発生件数(総件数、障害ランク別・原因別・システム別件数・解決責任部門別)7② 優先度又は緊急度毎に分類されたインシデントの解決までに要した時間(平均時間)③ ステータス(記録済み、対応中、クローズ済み等)毎のインシデントの内訳④ 長期間(発生から1カ月以上)未解決のインシデントの件数と理由および業務影響⑤ 新規に発生したインシデントの件数とその傾向⑥ ユーザのトレーニングなど、ITテクノロジーに関連しないで解決されたインシデントの件数⑦ 解決に要したコスト⑧ インシデント発生件数の削減率(対前年比)(5) 標準化インシデント管理は、機構標準書式を適用する。
①インシデント発生(判明)時インシデントごとに個票を起票する。
この個票は「機構標準書式」を使用する。
※添付「インシデント報告書(ひな型)」を使用する。
また「インシデント一覧記載要領」を参照し、対応すること。
※各情報システムの状況等によって、一部改修して使用しても構わない。
ただし、必須項目の変更・削除は認めない。
②定期的(月次)報告時インシデントごとの個票を集計表に転記のうえ報告する。
この集計表は「機構標準書式」を使用する。
※添付「インシデント一覧」を使用する。
84.3 問題管理(再発防止策)(1) 目的サービスの信頼性を維持・向上するためには、システムの利用・運用上発生した問題(障害を引き起こす根本的な原因)を確実に解決し、同一障害・類似障害の再発防止のための是正を実施することを目的とする。
(2) 業務の概要本番サービスに影響を与えた障害を分析し、それらの共通の根本原因を取り除く是正策を実施するまでの一連のプロセスを管理する。
問題管理(再発防止)では、以下を実施する。
・問題の傾向分析と課題点の抽出・是正策の検討・是正策の実施(3) 管理対象本番システム環境で稼動している全てのシステムの問題を管理対象とする。
(4) 業務の管理指標&標準化問題管理(再発防止)業務を評価するための評価指標として以下を定義し、定期的(月次)報告を行う。
① 再発防止策が策定された問題件数(総件数、障害ランク別・原因別・システム別件数・解決責任部門別)② ステータス(記録済み、対応中、クローズ済み等)毎の再発防止策の内訳③ 再発防止に要したコスト④ 長期間(策定から1カ月以上)未実施の再発防止策件数と理由⑤ 再発防止の実施率(対前年比)※報告内容は、各システムの状況に応じて変更しても構わない。
94.4 変更管理(1) 目的サービスの信頼性を維持・向上するためには、システムに対する変更について、その妥当性を検証し、変更によるユーザへの影響を最小限にすることが重要である。
変更管理プロセスは、システムに対する変更を一元的に管理することを目的とする。
(2) 業務の概要変更管理では、変更の申請から変更内容の審査、変更の承認または却下、変更の実施、変更実施結果の報告までの一連のプロセスを管理する。
緊急の場合、対応を優先し所定のプロセスを適宜省略することを可能とするが、事後的に対応できるものについては、事後速やかに対応することとする。
(3) 管理対象運用チームが運用し本番サービスを提供するシステムのすべて又はその一部に対して影響を与えるすべての変更を管理対象とする。
本番環境 構成要素(主な要素)ハードウェア CPU、DASD・DISK、サーバ、ワークステーション、周辺装置システム・ソフトウェア OS、サブシステム、サーバ及びワークステーションOSミドルウェア DBMS、ネットワークOSアプリケーション・ソフトウェア ソース、モジュール、シェル、JCLネットワーク・ハードウェア スイッチ、ルータ、ブリッジネットワーク・サービス 基幹ネットワーク、LAN、インターネット 等データ データベース及びファイル内のデータ(に対する直接修正)(4) 業務の管理指標変更管理業務を評価するための評価指標として以下を定義する。
① 変更実施件数(総件数、領域別・原因別・システム別件数・解決責任部門別)② 変更の実装が失敗した件数③ 変更のバックログの件数④ 予定期間でクローズされなかった変更の件数⑤ 変更が原因で発生した変更の件数⑥ 緊急の変更の件数※具体的にどの管理指標をどう用いるかについては、今後調整の上確定する。
以下同様。
(5) 標準化変更管理は、機構標準書式を適用する。
①変更案件発生時課題管理表に記入し、変更管理のステイタス(未着手(対応予定日記入)~着手(対応中)~完了)を管理する。
※課題管理表の書式は、各情報システムの任意とする。
②変更実施着手時10変更の着手ごとに個票を起票する。
この個票は「機構標準書式」を使用する。
※添付「変更作業申請書(ひな型)」を使用する。
※各情報システムの状況等によって、一部改修して使用しても構わない。
ただし、PMDA側の確認・承認欄の削除は認めない。
※個票は、「単純な定常作業」に関しては使用しなくても良い。
「単純な定常作業」は、各システムにて定義する。
ただし、定期的(月次)報告には、記載する。
※個票は委託先にて保管し、監査等にて提示要求があった場合は、速やかに提示できるよう対応する③定期的(月次)報告時変更実施ごとの個票を集計表に転記のうえ報告する。
この集計表は「機構標準書式」を使用する。
※添付「変更作業一覧」を使用する。
また「変更作業一覧記載要領」を参照し、対応すること。
※「単純な定常作業」に関しては、「変更作業一覧」の「変更申請」欄及び「完了確認」欄に関する内容を記入し、報告する。
114.5 構成管理(1) 目的システムの構成要素(構成情報)を正確に把握し、常に最新状態にあることを保証する事で、他の運用管理プロセス(障害管理や変更管理等)に対して必要な構成情報を提供できるようにする。
(2) 業務の概要構成管理では、ITサービス開始時より構成情報を一元管理し、他の運用管理プロセスから最新の構成情報を参照可能にする。
本管理プロセスの開始前に、立案した計画に沿って対象とするITサービスやITコンポーネントの範囲、詳細度のポリシーを策定し、開始時のベースラインを把握する。
次に、構成情報の収集と分類を行ったうえで構成情報を参照可能な状態に維持する。
本管理プロセスの開始後は、変更管理プロセスと連携し、構成情報が常に最新状態として維持されるようにコントロールを行う。
また、定期的に構成情報の点検を行うことにより、課題や問題点を洗い出し、評価・改善を行う。
(3) 管理対象構成管理が対象とする構成情報は以下の通りとする。
カテゴリー 管理対象の種類システム運用管理 各種管理プロセス定義書、手順書、依頼書、CI一覧システム運用・ハードウェア、ネットワーク・ハードウェアの一覧、構成図・ネットワーク・サービス (WAN、インターネット等)の一覧、構成図・システム運用各種手順書(障害対応手順書等)システム保守・システム・ソフトウェア、ミドルウェアの一覧、構成図・アプリケーション・ソフトウェア(ライブラリ、データ、環境設定情報)ハウジング環境設備 (空調設備、電源設備、配線室、配線、管理室)の一覧、構成図アプリケーション保守・設計ドキュメント、プログラムソース・アプリケーション保守用各種手順書(定型作業手順書等)(4) 業務の管理指標構成管理業務を評価するための評価指標として以下を定義する。
① 承認されていない構成の件数② 不正確な構成情報が原因で失敗した変更及び発生した障害の件数③ CI(管理対象の項目数)の正確さ率・構成アイテムの管理情報と実態(H/W、S/W、M/W、機器)との整合性の確認(5) 標準化機構では、「システム管理台帳」による管理を実施している。
システム管理台帳の更新(点検)を定期的に実施するため、機構の指示により更新情報を提示すること。
124.6 運行管理(1) 目的運行管理の目的は、開発部門より引き継いだ業務アプリケーション・システムを、あらかじめ定められた運行計画に基づき、定められた手順に従ってシステム運用を行うことにより、システム運用の品質の維持・向上を図ることにある。
(2) 業務の概要運用引継ぎから、システムのスケジュール計画、稼働監視、オペレーションなど一連の運行を管理する。
以下のサブプロセスから構成される。
① 運用引継ぎ② 運用スケジュールの計画・管理③ オペレーション実施④ 稼動監視と障害対応(一次対応)⑤ ジョブ実行管理⑥ 帳票管理⑦ 報告管理(3) 管理対象本番システム環境で稼動している全てのシステムの運行を管理対象とする。
日次で目視監視している業務のうち、メール通知機能を利用した監視ツールに設定することができる業務があれば、機構に提案し了承を得ることで設定可能とする。
(4) 業務の管理指標運行管理業務を評価するための評価指標として以下を定義する。
① 重要バッチ処理終了時間遵守率② 重要帳票の配布時間遵守率③ システムの運行業務に起因した障害の発生件数・プログラム・JCL等の本番移送のミス、ジョブのスケジュール誤り、操作ミス、監視項目の見落とし/発見遅延、等。
② 当月実施されたリストア件数と内訳(障害対応、調査目的、帳票再作成・出力等)。
③ 当月実施されたリストアの内、リストアに失敗した件数と理由。
(5) 標準化○定期的なバックアップが取得されていることを報告する(月次)(書式任意)○機構では、「リストアの机上訓練」を定期的に実施することを推奨している。
各情報システムにおいては、必要に応じて定期的な訓練実施を行い、結果報告を行う。
144.8 情報セキュリティ管理(1) 目的情報セキュリティ管理は、「情報セキュリティ規程」に定める情報セキュリティの管理要領に則り、情報システムのセキュリティを維持・管理し、情報資産を適切に保護することを目的とする。
(2) 業務の概要情報セキュリティ管理プロセスは、企業のリスク管理活動の一環として、ITサービス及びサービスマネジメント活動におけるすべての情報のセキュリティを、首尾一貫した方針に基づき効果的に管理する。
具体的には、情報セキュリティ規程に則って、適切にセキュリティ管理策が導入され、維持されていることを確実にするために、セキュリティ管理計画の維持・管理、セキュリティ対策の導入時の確認・レビューを行う。
また、導入されたセキュリティ管理策が適切に運用されているかを定期的に点検するとともに、コンプライアンス等の観点からのシステム監査の実施対応をおこなう。
(3) 管理対象ITサービス及びサービスマネジメント活動におけるすべての情報セキュリティの管理を対象とする。
(4) 業務の管理指標情報セキュリティ管理業務を評価するための評価指標として以下を定義する。
① 情報セキュリティ違反・事件・事故の発生件数とその内容② 発生した情報セキュリティ違反・事件・事故への対策の実施状況③ 情報セキュリティ監査(内部・外部)及び自己点検で検出された不適合の件数④ 前回の情報セキュリティ監査及び自己点検で検出された不適合の是正状況(5) 標準化①情報セキュリティ遵守状況の報告<次ページ参照> 情報セキュリティを遵守していることを定期的(月次)にて報告すること 合わせて委託会社における自己点検を定期的(年2回程度)に実施し、点検結果を報告すること。
(点検内容は委託会社の任意項目で実施)②情報セキュリティパッチの適用 仕様書の記載内容にしたがって情報セキュリティパッチの適用を実施し、定期的(月次)に報告すること15【補足説明】情報セキュリティ遵守状況の報告は、以下の内容を確認し、報告すること① 情報の目的外利用の禁止② 情報セキュリティ対策の実施および管理体制(プロジェクト計画書記載内容の遵守)※委託先において実施するセキュリティ研修や委託先の情報セキュリティポリシー遵守のため取組み内容を含む※責任者による情報セキュリティの履行状況の確認を含む③ 体制変更の場合の速やかな報告④ 体制に記載された者以外が委託業務にアクセスできない(していない)ことの確認※発生した場合は、すぐに検知でき、報告される⑤ 要員の所属・専門性(資格や研修実績)・実績および国籍に関する情報提供※変更があれば、その都度情報提供される。
⑥ 秘密保持契約(誓約書)の提出(要員全員が提出)※委託業務を離れた者の一定期間の機密遵守を含む※体制変更があった場合の追加提出も含む⑦ 情報セキュリティインシデントへの対処方法の明確化され、要員に周知されている⑧ 再委託がある場合は、上記内容を再委託先においても遵守していることが確認されている164.9 アクセス権管理(1) 目的システムを利用するユーザ・アカウントを保護するため、及び、なりすましによる不正ログインの可能性を低減するために、ユーザ・アカウントを役割権限別に分類した上で管理方法を取決めてセキュリティレベルを維持する。
(2) 業務の概要システムを利用するサーバ OS、ミドルウェア、アプリケーション・ソフトウェア、及びネットワーク機器のアカウントを対象にアクセス権の管理を行う。
(3) 管理対象本番システム環境での全てのアカウント(社外の取引先等に提供しているアカウントを含む)のアクセス権を管理対象とする。
本番環境 アクセス権管理の対象システム・ソフトウェア OSユーザIDミドルウェア DBMSユーザID、ジョブスケジューラ・ユーザID、他アプリケーション・ソフトウェア アプリケーション・ユーザIDネットワーク機器 各ネットワーク機器の管理者用ID(4) 業務の管理指標アクセス権管理業務を評価するための評価指標として以下を定義する。
① 期間内に発生したユーザID登録・変更・削除の件数② 特権(高権限)ユーザID別の貸出し件数と用途③ アカウントおよびアクセス権の定期棚卸しで、発見された不備項目④ 不適切/不正なアクセス権限の設定によって発生したインシデントの件数⑤ アクセス権限の再設定が必要となったインシデントの件数⑥ 間違ったアクセス権限の設定によって提供不能になったサービスの件数⑦ 間違ったアクセス権限の設定によって生じた不正アクセスの件数(5) 標準化特権(高権限)IDについて、以下の管理を行う。
①特権ID(システムID)台帳の作成※添付「特権ID管理台帳」を使用する。
※各情報システムの状況等によって、一部改修して使用しても構わない。
ただし、項目の削除は認めない。
※監査等にて提示要求があった場合は、速やかに提示できるよう保管する②特権ID(システムID)使用管理簿の作成(またはログ抽出)※添付「特権ID使用管理簿」を使用する。
※各情報システムの状況等によって、一部改修して使用しても構わない。
ただし、項目の削除は認めない。
※ログイン・ログアウトのログ(または画面コピー)を必ず保管(または添付)し、監査等にて提示要求があった場合は、速やかに提示できるよう保管する17③定期(月次)報告特権ID(システムID)台帳ならびに特権ID(システムID)使用状況を、定期(月次)報告する。
(ログまたは画面コピーは、月次報告不要)④特権ID棚卸し特権IDの棚卸しを定期的(年2回程度)に実施し、報告を行う。
(報告書式任意)棚卸し点検内容は以下の通り○台帳は、本当に使用する者を登録しているか?(体制図と一致しているか?)・チームから外れた者が削除されずに残っていないか?・使用予定がない者が登録されていないか?○台帳と使用管理簿の相関は一致しているか?○使用管理簿とログ(または画面コピー)保管の相関は一致しているか?184.10 キャパシティ管理(1) 目的キャパシティ管理の目的は、ビジネスが必要とするときに、必要なキャパシティを適正なコストで提供することである。
すなわち、① ビジネスの需要に対する供給ビジネスの変化に合わせて、ITサービスの対応にもスピードが要求される。
キャパシティ管理は、現在から将来にわたるビジネス需要・要件に合わせて、ITインフラストラクチャーのキャパシティを最大限に活用できるようにすることを目的とする。
② キャパシティに対するコスト一方、必要以上のキャパシティを確保すると購入や運用のための費用が膨らみ、ビジネスの観点からコストを正当化できない。
キャパシティを最適化し、費用対効果が高いITサービスを提供することもキャパシティ管理の目的である(2) 業務の概要このプロセスは、次の3つのサブプロセスから構成される。
① ビジネスキャパシティ管理ITサービスに対する将来のビジネス需要・要件を収集・検討し、それによって、ITサービスのキャパシティを確実に実装させるための計画の立案、予算化、構築がタイムリーに実施されるようにする。
② サービスキャパシティ管理実際のサービスの利用と稼働のパターン、山と谷を理解して、運用中のITサービスのパフォーマンスを監視し、それによって、SLAの目標値を達成し、ITサービスを要求どおりに機能させる。
③ コンポーネントキャパシティ管理ITインフラストラクチャーの個々のコンポーネントのパフォーマンスとキャパシティ、使用状況を監視し、それによって、SLAの目標値を達成・維持するために、コンポーネントの利用を最適化する。
(3) 管理対象本要領の適用システムにおけるハードウェア、ソフトウェア、ネットワーク、アプリケーション、及び人的リソースを対象とする。
(4) 業務の管理指標キャパシティ管理業務を評価するための評価指標として以下を定義する。
① CPU、ディスク、メモリ、ネットワーク容量などの閾値に対する需要の割合② ITサービスのパフォーマンス不足に起因するSLA違反やインシデントの発生件数③ ITコンポーネントのパフォーマンス不足に起因するSLA違反やインシデントの発生件数④ 正規の購入計画に含まれていなかった、パフォーマンスの問題解決のために急きょ行った購入の数又は金額194.11 可用性管理(1) 目的可用性管理の目的は、ビジネス部門に対して、費用対効果が高いITサービスを持続して提供することであり、そのためにITインフラストラクチャーを整備し、それをサポートするITサービス部門の能力を最適化させる。
(2) 業務の概要可用性管理の活動は大きく、1)可用性要件の把握、2)可用性の設計、及び3)可用性の改善活動の3つに分けられる。
具体的には、以下の可用性管理の3要素の目標値を設定し、設定した可用性のレベルを達成・維持・向上させることである。
① 可用性可用性とは、ITサービスが必要なときに使用できる割合のことで、一般的には稼働率という指標を用いて表される。
稼働率(%)=(サービス提供時間-停止時間)÷サービス提供時間② 信頼性提供されるITサービスにおける、不具合の発生しにくさ/故障しずらさを表す。
平均故障間隔=(使用可能な時間-総停止時間)÷(サービス中断の回数-1)③ 保守性ITサービスが停止又は品質低下した際に、いかに早く復旧できるかを示す指標。
平均修理時間=修理時間の合計÷サービス中断の回数可用性について極めて重要なことは、ユーザの求めるシステムの可用性レベルをどのように達成するかについて、システム設計時に真剣に検討し、システム構築時に実現し、システムの運用において継続的に改善することである。
(3) 管理対象本基準の適用システムにおけるハードウェア、ソフトウェア、ネットワーク、及びアプリケーションを対象とする。
(4) 業務の管理指標可用性管理業務を評価するための評価指標として以下を定義する。
① 可用性の割合② 平均故障間隔③ 平均修理時間④ サービスの中断回数⑤ 定期的なリスク分析、及びレビューの完了の件数204.12 サービスレベル管理(1) 目的ユーザニーズを満足する適正なサービスレベルおよび管理指標を設定し、これを実績管理することにより質の高いサービスの提供を図る。
(2) 業務の概要サービスレベルおよび各個別管理業務での管理指標の実績データを定期的に把握し、サービスレベル指標と実績の差異や傾向を継続的に分析することにより、改善策を立案し実施する。
(3) 管理対象IT 部門が提供するすべての IT サービスに関するサービスレベルおよび各個別管理業務での管理指標を管理対象とする。
(4) 業務の管理指標サービスレベル管理業務を評価するための評価指標として以下を定義する。
①「サービスレベル合意書」の各サービスレベル項目の達成率②各個別管理業務での管理指標の達成率(5) 標準化サービスレベル管理業務を定期的(月次)に報告する。
①「サービスレベル合意書」の各サービスレベル項目の達成率②各個別管理業務での管理指標の達成率以上別紙5 情報セキュリティ対策の運用要件情報システムの運用・保守の業務遂行にあたっては、調達・構築時に決定した情報セキュリティ要件が適切に運用されるように、人的な運用体制を整備するとともに、機器等のパラメータが正しく設定されていることの定期的な確認、運用・保守に係る作業記録の管理等を確実に実施すること。
対策区分 対策方針 対策要件 運用要件 定期点検侵害対策(AT:Attack)通信回線対策(AT-1)通信経路の分離(AT-1-1)不正の防止及び発生時の影響範囲を限定するため、外部との通信を行うサーバ装置及び通信回線装置のネットワークと、内部のサーバ装置、端末等のネットワークを通信回線上で分離すること。
ネットワーク構成情報と実際の設定を照合し、所定の要件通りに設定されていることを定期的に確認すること。
セキュリティヘルスチェック(構成管理資料の原本と実際の設定状況を目視にて突合せチェックすることにより各種セキュリティ設定の不正変更の有無をチェックする)と合わせて実施し報告すること。
不正通信の遮断(AT-1-2)通信に不正プログラムが含まれていることを検知したときに、その通信をネットワークから遮断すること。
通信のなりすまし防止 (AT-1-3)通信回線を介した不正を防止するため、不正アクセス及び許可されていない通信プロトコルを通信回線上にて遮断する機能について、有効に機能していることを定期的に確認すること。
セキュリティヘルスチェック(構成管理資料の原本と実際の設定状況を目視にて突合せチェックすることにより各種セキュリティ設定の不正変更の有無をチェックする)と合わせて実施し報告すること。
サービス不能化の防止 (AT-1-4)サービス不能攻撃を受けているかを監視できるよう、稼動中か否かの状態把握や、システムの構成要素に対する負荷を定量的(CPU使用率、プロセス数、ディスクI/O量、ネットワークトラフィック量等)に把握すること。
監視方法はシステムの特性に応じて適切な方法を選択すること。
不正プログラム対策(AT-2)不正プログラムの感染防止 (AT-2-1)不正プログラム対策ソフトウェア等に係るアプリケーション及び不正プログラム定義ファイル等について、これを常に最新の状態に維持すること。
不正プログラム対策ソフトウェア等により定期的に全てのファイルに対して、不正プログラムの検査を実施すること。
不正プログラム対策の管理 (AT-2-2)不正プログラム対策ソフトウェア等の定義ファイルの更新状況を把握し、不正プログラム対策ソフトウェア等が常に有効に機能するよう必要な対処を行うこと。
セキュリティホール対策(AT-3)運用時の脆弱性対策 (AT-3-2)情報システムを構成するソフトウェア及びハードウェアのバージョン等を把握して、製品ベンダや脆弱性情報提供サイト等を通じて脆弱性の有無及び対策の状況を定期的に確認すること。
脆弱性情報を確認した場合は情報システムへの影響を考慮した上でセキュリティパッチの適用等必要な対策を実施すること。
対策が適用されるまでの間にセキュリティ侵害が懸念される場合には、当該情報システムの停止やネットワーク環境の見直し等情報セキュリティを確保するための運用面での対策を講ずること。
脆弱性対策の実施状況は、月次で報告すること。
不正監視・追跡(AU:Audit)ログ管理(AU-1)ログの蓄積・管理(AU-1-1)情報システムにおいて、情報システムが正しく利用されていることの検証及び不正侵入、不正操作等がなされていないことの検証を行うために必要なログ(システムへのログオンや資源へのアクセスのロギング等)を取得すること。
ログが所定の要件通り、取得・蓄積されていることを確認すること。
(年1回以上)ログの保護 (AU-1-2)取得・蓄積されたログが不正な改ざんや削除が行われないようログの格納ファイルのアクセス権を制限する等必要な対策を講じること。
取得・蓄積されたログが不正な改ざんや削除が行われていなことを確認すること。
(年1回以上)時刻の正確性確保(AU-1-3)システム内の機器の時刻同期の状況を確認すること。
不正監視(AU-2)侵入検知 (AU-2-1)不正行為に迅速に対処するため、通信回線を介して所属するPMDA外と送受信される通信内容を監視し、不正アクセスや不正侵入を検知した場合は通信の遮断等必要な対処を行うこと。
アクセス・利用制限(AC:Access)主体認証(AC-1)主体認証 (AC-1-1)主体認証情報(ID、パスワード)は不正に読み取りできないよう保護すること。
アカウント管理(AC-2)ライフサイクル管理 (AC-2-1)主体が用いるアカウント(識別コード、主体認証情報、権限等)は、主体の担当業務に必要な範囲において設定すること。
また、アカウント管理(登録、更新、停止、削除等)の作業内容は記録し、証跡を保管すること。
アカウント棚卸を定期的に実施し、不要なアカウントを削除すること。
併せて、特定C肝システムを対象に稼働プラットフォームの再構築を実施。
特定C肝システム統計情報抽出請求受付業務給付⾦⽀給業務請求者への納付通知拠出⾦⽀出管理企業への納⼊通知・受領相談カード相談カードシステム⼀般相談精神⾯相談統合給付システム Data Base給付⾦関連情報調査解析関連情報相談関連情報ナレッジDB(過去事例)給付システム副作⽤⼀係 ⼆係感染⼀係 ⼆係統合・解析システム業務 現況副作⽤感染過去事例検索現況⼊⼒進捗事例進捗 担当負荷督促⼀覧共通マスター管理医薬品医療機関共通マスター統合給付⾦管理システム※最新IT基盤に移⾏※課単位にバラバラだった情報を統合(⼀元化)・システム間の情報連携の削減と単純化・重複したデータ保持による多重作業の解消・必要な情報への即時アクセスによる待ち時間解消・適切なアクセス権管理による機密情報・個⼈情報保護の徹底※最新のIT基盤へ移⾏⽂書管理サーバー電⼦ファイルRPA(データ登録の⾃動化)AI-OCR(⼿書き⽂字の認識と変換)注釈・メモ書き機能⾃動⼊⼒原本受け取り電⼦決裁システム(機構共通)⽂書管理(機構共通)受託給付システム拠出⾦管理受取⽂書のPDF化と参照決裁⽂書添付資料⽀給決定情報※新規導⼊別紙6別紙7 ハードウェア一覧 (詳細構成は資料閲覧時にシステム設計書を確認すること)機器名称システムモデル(型番・型式)HI-000 SVR DELL 文書管理DBサーバ(本番) PowerEdge R750ラック 物理HI-000 SVR DELL 文書管理DBサーバ(待機) PowerEdge R750ラック 物理HI-000 SVR - ライフサイクル管理サーバ - 仮想HI-000 SVR - ローコード開発基盤サーバ(開発機) - 仮想HI-000 SVR - ローコード開発基盤サーバ(検証機) - 仮想HI-000 SVR - ローコード開発基盤サーバ(本番機) - 仮想HI-000 SVR - 文書管理サーバ - 仮想HI-000 SVR - バックアップ管理サーバ - 仮想HI-000 SVR - ログ管理サーバ - 仮想HI-000 SVR - 運用管理サーバ - 仮想システムコードハードウェア種別製造元(ベンダー名)ハードウェア物理・仮想区分1/4別紙7 ソフトウェア一覧 (詳細構成は資料閲覧時にシステム設計書を確認すること)ソフトウェア名称 エディション バージョンHI-000 Microsoft Windows Server Standard 2022HI-000 Windows Server Datacenter 2022HI-000 SQL Server Standerd 2022HI-000 Express Edition 2019HI-000 Microsoft Internet Information Services(IIS) - 10.0.20348.1HI-000 Microsoft.NET Framework - 4.8HI-000 Microsoft Build Tools - 2015HI-000.NET Core - 2.1HI-000 Microsoft Visual C++ 2015 Redistributable Update 3 - 2015HI-000 OpenSSL - 3.1.0HI-000 Oracle Oracle Database Standard Edition 19cHI-000 OpenJDK - uild 11.0.17+8)HI-000 PostgreSQL PostgreSQL - -HI-000 Apache Apache Tomcat - 8.5.84HI-000 ゾーホージャパン Op Manager Professional Edition 12.7.198HI-000 Arcserve Arcserve UDP エージェント - 9.0.6034HI-000 Arcserve UDP コンソール - 9.0.6034HI-000 Arcserve UDP 復旧ポイントサーバ(RPS) - 9.xHI-000 infosense Logstorage コンソール - 9.1.0HI-000 Logstorage LogGate - 9.1.0HI-000 Logstorage Agent ※ログ収集機能 - 9.1.0HI-000 Logstorage SecureBatchTransfer (SBT) ※ログ収集機能 - 9.1.0HI-000 ウィングアーク1ST invoiceAgent 文書管理 rise(オンプレミス版) 10.9.1.2HI-000 Outsystems Outsystems Standard Edition 11.27ソフトウェアシステムコード製造元(ベンダー名)2/4別紙7 ソフトウェア一覧 (詳細構成は資料閲覧時にシステム設計書を確認すること)ソフトウェア名称 エディション バージョンソフトウェアシステムコード製造元(ベンダー名)HI-000 Trend Micro Trend Micro Deep Security Agent ウイルス対策 - 20.03/4別紙7 主なソフトウェア構成 (詳細構成は資料閲覧時にシステム設計書を確認すること)リモートデスクトップサーバ DB 開発言語 フレームワーク給付システム Windows Server Datacenter 2022 SQL Server Standerd 2022 Outsystems 11.27(Standard Edition)-統合解析システム Windows Server Datacenter 2022 SQL Server Standerd 2022 Outsystems 11.27(Standard Edition)-拠出金システム Windows Server Datacenter 2022 SQL Server Standerd 2022 Outsystems 11.27(Standard Edition)-4/4別紙8資料閲覧について1. 閲覧対象物健康被害救済業務システムに係る関連資料2. 閲覧場所独立行政法人 医薬品医療機器総合機構内3. 閲覧期間令和8年1月23日(金)から令和8年2月10日(火)までの平日(10:00~17:00)4. 閲覧上の注意(1) 閲覧に際しては、5.閲覧連絡先に電話にて連絡し、社名・連絡先・人数等を登録すること。
なお、3.閲覧期間の後半は閲覧場所を確保できなくなる場合があるので、早めに閲覧希望日時を登録すること。
(2) 閲覧前に別紙様式に基づき秘密保持誓約書を作成し、捺印の上総合機構に提出すること。
(3) 一回あたりの閲覧時間は1時間程度とする。
閲覧回数は原則制限しない。
(4) 閲覧時に個々の内容に関する質問に応じることはできない。
5. 閲覧連絡先独立行政法人 医薬品医療機器総合機構 健康被害救済部企画管理課 布施電話:03 (3506) 9460別紙様式独立行政法人医薬品医療機器総合機構 御中秘密保持誓約書貴機構における一般競争入札公告(健康被害救済業務システムの運用支援業務(以下「本件業務」という。)について、 (以下「弊社」という。)が応札するため、現行システムを参照するにあたり、次の事項を遵守することを誓約いたします。
記1. 弊社は、媒体及び手段を問わずに貴機構から開示もしくは提供された貴機構の秘密情報(以下「本件秘密情報」という。)を、本件業務応札のため必要な者を除く第三者に対して開示しません。
ただし以下のものについては秘密情報に含みません。
(1) 弊社が貴機構より開示を受けた時点で既に公知であったもの(2) 弊社が貴機構より開示を受けた時点で既に所有していたもの(3) 弊社が貴機構より開示を受けた後に弊社の責によらずに公知となったもの(4) 弊社が正当な権利を有する第三者から守秘義務を負わずに適法に入手したもの(5) 法令または裁判所の命令により開示を義務付けられたもの2. 弊社は、本件業務応札のために必要な者がそれ以外の者に秘密情報を開示しないよう、厳正な措置を講じます。
3. 弊社は、本件秘密情報を本件業務のみを目的として使用するものとし、他の目的には一切使用いたしません。
4. 弊社は、本件秘密情報を複写または複製いたしません。
5. 弊社が本誓約書の内容に違反したことにより本件秘密情報が漏洩し、貴機構に損害が発生した場合には、貴機構に対してその損害を賠償いたします。
なお、賠償額については、貴機構と弊社にて別途協議して定めるものとします。
6. 本誓約書は、本件業務終了後も本件秘密情報が機密性を失う日まで有効に存続することを確認します。
以上年 月 日住 所社 名部 署 名担当者氏名部長印