一般競争入札公告（2025年度（令和7年度）情報システム監査業務）

一般競争入札公告（2025年度（令和7年度）情報システム監査業務） 調達情報 一般競争入札公告（2025年度（令和7年度）情報システム監査業務） よく見るページに追加 本文のみ印刷する 次のとおり一般競争入札に付します。 2025年11月11日 独立行政法人 医薬品医療機器総合機構 契約担当役 平岩 勝 競争入札に付する事項 （1）件名 2025年度（令和7年度）情報システム監査業務 （2）契約期間 契約締結日から2026年3月31日 （3）納品場所 独立行政法人医薬品医療機器総合機構 監査室 （4）入札方法 落札決定に当たっては、入札書に記載された金額に当該金額の10％に相当する額を加算した金額（当該金額に1円未満の端数があるときは、その端数金額を切り捨てた金額とする。）をもって落札価格とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を入札書に記載すること。 競争参加資格 予算決算及び会計令第70条の規定に該当しない者であること。なお、未成年者、被保佐人又は被補助者であっても、契約締結のために必要な同意を得ている者は、同条中、特別な理由がある場合に該当する。 予算決算及び会計令第71条の規定に該当しない者であること。 全省庁統一資格の一般競争参加資格において、関東・甲信越地域で、「役務の提供」で「A」、「B」、「C」又は「D」の等級に格付けされている者であること。 競争参加資格確認のための書類審査を通過した者であること。 現行関連システムの設計書等を閲覧し、内容を十分理解できる能力と意思を有していること。 入札説明会の日時及び場所 本調達は、本入札公告のHP掲載をもって入札説明会の開催に替えることとし、質問等がある場合は、随時受け付けることとする。 （詳細については、入札説明書「6 質問等の受付」を参照。） 入札書の提出期限及び場所 提出期限 2025年12月4日（木曜日）17時00分 厳守 提出場所 東京都千代田区霞が関3-3-2 独立行政法人 医薬品医療機器総合機構 財務管理部 契約課 （新霞が関ビル19階 西側） 開札の日時及び場所 日時 2025年12月5日（金曜日）14時30分 場所 東京都千代田区霞が関3-3-2 独立行政法人医薬品医療機器総合機構 第2会議室 （新霞が関ビル6階西側） （注1） 開札への立ち会いについては任意とするが、立ち会いがない場合、入札説明書「12落札者の決定方法（3）」に定める再度の入札には参加は出来ないため留意すること。 （注2） 開札へ参加する場合、発熱、せき、倦怠感その他体調不良でない者（代表者、代理人問わず）が参加すること。 （注3） 会場に入る前に手指を洗うか、消毒液で消毒すること。 （注4） 会場では他者と距離をとるため席を指定する場合があり、特段の必要がない限り会場内で近距離での対面の会話をしないこと。 入札保証金及び契約保証金 全額免除する。 入札の無効 本公告に示した競争参加資格を有しない者のした入札及び入札に関する条件に違反した入札は無効とする。 契約書作成の要否 契約締結に当たっては契約書を作成するものとする。 独立行政法人の契約に係る情報の公開 別添PDFファイル[200.07KB]の内容を必ず熟読すること。 その他 入札説明書、契約書（案）、仕様書及び資料閲覧についての誓約書はこちらからダウンロードすること。 入札説明書[351.79KB] 契約書（案）[283.51KB] 仕様書[336.68KB] 資料閲覧についての誓約書[17.3KB] 以上 入札説明書令和７年度情報システム監査業務２０２５年１１月独立行政法人医薬品医療機器総合機構独立行政法人医薬品医療機器総合機構(以下「機構」という。)が行う令和７年度情報システム監査業務については、仕様書に定めるもののほか、この入札説明書によるものとする。 １ 契約担当者独立行政法人医薬品医療機器総合機構 契約担当役 平岩 勝２ 競争入札に関する事項(１)件名令和７年度情報システム監査業務(２)契約期間契約締結日から２０２６年３月３１日(３)納品場所独立行政法人医薬品医療機器総合機構 監査室３ 競争参加資格(１)予算決算及び会計令第７０条及び第７１条に規定される次の事項に該当する者は、競争に参加する資格を有しない。 ① 当該契約を締結する能力を有しない者(未成年、被保佐人又は被補助人であっても、契約締結のために必要な同意を得ている者を除く)及び破産者で復権を得ない者② 以下の各号のいずれかに該当し、かつその事実があった後２年を経過していない者(これを代理人、支配人その他の使用人として使用する者についても同じ。)ア．契約の履行に当たり故意に工事若しくは製造を粗雑にし、又は物件の品質若しくは数量に関して不正の行為をした者イ．公正な競争の執行を妨げた者又は公正な価格を害し若しくは不正の利益を得るために連合した者ウ．落札者が契約を結ぶこと又は契約者が契約を履行することを妨げた者エ．監督又は検査の実施に当たり職員の執務の執行を妨げた者オ．正当な理由がなくて契約を履行しなかった者カ．前各号のいずれかに該当する事実があった後２年を経過しない者を、契約の履行に当たり、代理人、支配人その他の使用人として使用した者(２)次の事項に該当する者は競争に参加させないことがある｡① 資格審査申請書又は添付書類に虚偽の事実を記載した者② 経営の状況又は信用度が極度に悪化している者(３)全省庁統一資格の一般競争参加資格において、関東・甲信越地域で「役務の提供等」で「Ａ」、「Ｂ」、「Ｃ」又は「Ｄ」の等級に格付けされている者であること。 なお、競争参加資格を有しない者は、速やかに資格審査申請を行い、資格を取得する必要がある。 (４)競争参加資格確認のための書類審査を通過した者であること。 (５)機構にて現行関連システムの設計書等を閲覧し、内容を十分理解できる能力と意思を有していること。 ４ 競争参加資格確認のための書類(１)この一般競争に参加を希望する者は、下記の時間までに次の書類を自己の負担において調製のうえ契約担当者に提出し、その確認を受けるものとする。 当該書類は契約担当者等において審査するものとし、採用しうると判断された者のみを競争参加の有資格者とする。 当該書類を審査した結果、採用不可と判断した者については契約担当者等より連絡する。 (採用しうると判断した者については連絡しない)なお、契約担当者等から当該書類について説明を求められた場合には、これに応じるものとする。 ① 行政関係機関から送付された資格審査決定通知書の写し② 別紙様式１による証明書③ 仕様書“１０．(１)入札参加要件” 中“①～⑤”に掲げる条件を満たすことを証明する書類 (様式任意)(２)書類の提出期限及び場所① 期限 ２０２５年１２月４日(木)１２時００分② 場所 〒100-0013 東京都千代田区霞が関３－３－２ 新霞が関ビル１９階独立行政法人医薬品医療機器総合機構財務管理部 契約課 契約第一係 TEL 03-3506-9428※１ 原則として競争参加資格確認のための書類の提出は郵便によるものとし、上記(２)の受領期限内に当機構へ到達した競争参加資格確認のための書類について有効な提出として認める。 なお、持参による提出も認めることとするが、持参する場合は、発熱、せき、倦怠感その他体調不良でない者(代表者、代理人問わず)が提出すること。 また、郵便による提出の場合の到達時刻については、記録の残る郵送方法の場合は機構に到着した時刻を追跡機能等により必要に応じて機構にて確認することとし、記録の残らない郵送方法の場合は到着時刻を提出者において証明できない場合は無効とする。 ※２ 電話、電信、電報による提出及び上記受領期限を過ぎた提出は認めない。 ５ 入札説明会の日時及び場所本調達は、入札説明会の開催に替え、質問等がある場合は随時受け付けることとする。 (詳細については、「６ 質問等の受付」を参照。)６ 質問等の受付(１)本入札にかかる仕様書についての質問については、以下の通りとする。 ① 受付期間：２０２５年１１月１１日から２０２５年１１月１８日まで② 回 答 日：質問受付日から２０２５年１１月２１日までのいずれかの日又は複数日受付期間以降に連絡があった者等に対しては、回答の共有のみ行う。 ③ 質問方法：仕様書１５の窓口連絡先宛まで、メールにて行うこと。 ④ 回答方法：対象者全員にBccにてメールで実施予定。 ⑤ 回答対象：質問者及びその他希望者等について行う。 その他希望者については、可能な限り上記①の期間内に上記③の連絡先に希望の旨を連絡すること。 なお、期間外の質問については回答しない。 ⑥ そ の 他：上記事項に記載のない点については、機構の判断により実施する。 (２)本入札にかかる業務実施体制(案)についての確認について下記１８(８)に定める業務実施体制(再委託先及び再々委託先等を含む。以下同じ。)の案について確認を求める場合、仕様書１５の窓口連絡先宛まで、メールにて行うこと。 確認受付期間は特に設けないが、すぐに回答できない場合があることに留意すること。 なお、確認結果が落札決定後となる可能性があることに留意すること。 (３)本入札に関する仕様書以外の質問について下記１９の連絡先まで電話で行うこと。 質問受付期間は特に設けないが、すぐに回答できない場合があることに留意すること。 なお、必要に応じて質問者以外に質問内容と回答を共有する場合がある。 ７ 入札書の提出期限及び場所(１)期限 ２０２５年１２月４日(木)１７時００分(必着)(２)場所 〒100-0013 東京都千代田区霞が関３－３－２ 新霞が関ビル１９階独立行政法人医薬品医療機器総合機構財務管理部 契約課 契約第一係 Tel.03－3506－9428※１ 入札書の様式は、別紙様式２にて作成し、入札書のみを封筒に入れ封をし、かつその封皮に氏名 (法人の場合はその名称又は商号)、宛名(独立行政法人医薬品医療機器総合機構 契約担当役殿と記載)及び「○○月○○日開札[件名]の入札書在中」と朱書しなければならない。 なお、「４ 競争参加資格確認のための書類」と別紙様式３の委任状については、入札書を入れた封筒に同封しないよう十分注意すること。 ※２ 入札書には総額を記載すること。 ※３ 落札決定に当たっては、入札書に記載された金額に当該金額の１０パーセントに相当する額を加算した金額(円未満の端数切捨て)をもって落札価格とするので、入札者は、消費税等に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の１１０分の１００に相当する金額を記載した入札書を提出しなければならない。 ※４ 入札書は、紙により提出するものとする。 なお、入札者はその提出した入札書を引き換え、変更又は取り消しをすることはできない。 ※５ 入札書の日付は提出日を記入のこと。 ※６ 原則として入札書の提出は郵便によるものとし、上記(１)の受領期限内に当機構へ到達した入札書について有効な提出として認める。 なお、持参による入札も認めることとするが、持参する場合は、発熱、せき、倦怠感その他体調不良でない者(代表者、代理人問わず)が提出すること。 また、郵便による提出の場合の到達時刻については、記録の残る郵送方法の場合は機構に到着した時刻を追跡機能等により必要に応じて機構にて確認することとし、記録の残らない郵送方法の場合は到着時刻を提出者において証明できない場合は無効とする。 ※７ 電話、電信、電報による提出及び上記受領期限を過ぎた提出は認めない。 ８ 開札の日時及び場所(１)日時 ２０２５年１２月５日(金)１４時３０分(２)場所 東京都千代田区霞が関３－３－２独立行政法人医薬品医療機器総合機構 第２会議室(新霞が関ビル６階 西側)(３)開札の実施① 開札は、入札者又はその代理人１名を立ち会わせて行う。 ただし、入札者又はその代理人が立ち会わない場合は、入札事務に関係のない職員を立ち会わせて行う。 ② 入札者又はその代理人は、開札時刻後においては、開札場所に入場することはできない。 ③ 入札者又はその代理人は、開札場所に入場しようとする時は、入札関係職員の求めに応じ、身分証又は入札権限に関する委任状を提示又は提出しなければならない。 ※１ 開札への参加については任意とするが、立ち会いがない場合、入札説明書「12落札者の決定方法(3)」に定める再度の入札には参加は出来ないため留意すること。 ※２ 開札へ参加する場合、発熱、せき、倦怠感その他体調不良でない者(代表者、代理人問わず)が参加すること。 ※３ 会場に入る前に手指を洗うか、消毒液で消毒すること。 ※４ 会場では他者と距離をとるため席を指定する場合があり、特段の必要がない限り会場内で近距離での対面の会話をしないこと。 ９ 入札の無効(１)本入札説明書に示した競争参加資格のない者、入札条件に違反した者又は入札者に求められる義務を履行しなかった者の提出した入札書は無効とする。 (２)次の各号に該当する入札書は、無効とする。 ① 入札金額、入札件名、入札者の氏名(法人の場合は、その名称又は商号及び代表者氏名の記載)のない入札書。 (代理人が入札する場合は、代理人の氏名を併せて記入すること。)② 入札金額の記載が明確でない入札書③ 入札金額の記載を訂正した入札書④ 入札者の氏名(法人の場合は、その名称又は商号及び代表者の氏名)及び代理人の氏名が明確でない入札書(３)その他その意思表示が民法上無効とされる入札① 公序良俗に反する入札② 心裡留保による入札③ 虚偽表示による入札④ 錯誤による入札１０ 入札の延期等入札者が相連合し、又は不穏の挙動をする等の場合であって、競争入札を公正に執行することができない状態にあると認められるときは、当該入札を延期し、又はこれを取り止めることがある。 １１ 代理人による入札(１)代理人が入札する場合は、入札書に競争参加の氏名、名称又は商号、代理人であることの表示及び当該代理人の氏名を記入しておくとともに、入札書提出時に別紙様式３の１による委任状を提出すること。 復代理人が入札する場合は別紙様式３の２を提出すること。 なお、記載する代理人、復代理人の氏名は１名までとする。 (２)委任状の日付は、提出日を記入すること。 (３)入札者又はその代理人は、本件調達に係る入札について、他の入札者の代理人を兼ねることができない。 (４)本件調達に係る入札だけでなく、契約に関する一切の行為を委任する場合は、別紙様式３の委任状とは別に押印した委任状を提出すること。 １２ 落札者の決定方法(１)機構が作成した予定価格の制限の範囲内において最低価格をもって有効な入札を行った者を落札者とする。 なお、最低入札額が、機構が作成した予定価格と比較し著しく低い場合は入札額の根拠となるより詳細な積算を求めるなど調査を行い、契約の内容に適合した履行がなされないおそれや明らかなコスト割れがあると判断した際には契約しない場合がある。 (２)落札となるべき同価格の入札をした者が２人以上あるときは、直ちに当該入札者にくじを引かせ落札者を決定する。 この場合において、当該入札者のうちくじを引かない者があるときは、これに代わって入札事務に関係のない職員がくじを引き、落札者を決定する。 (３)予定価格の制限に達した価格の入札がないときは、直ちに再度の入札を行う。 なお、再度の入札の回数は最大３回とする。 １３ 契約金額入札書に記載された金額の１００分の１１０に相当する金額を契約金額とする。 ただし、当該金額に１円未満の端数があるときは、その端数を切り捨てた金額を契約金額とする。 １４ 入札保証金全額免除する。 １５ 契約保証金全額免除する。 １６ 支払条件別添契約書(案)参照１７ 契約書等(１)落札者を決定したときは、遅滞なく別紙(案)により契約書を取り交わすものとする。 (２)契約担当者が契約の相手方とともに契約書に記名押印しなければ、本契約は確定しないものとする。 (３)契約の相手方は契約締結後、遅滞なく別紙様式４「秘密保持等に関する誓約書」を事業担当部署に提出するものとする。 １８ 入札参加者の一般的心得(１)入札参加者は、入札公告、入札説明書、仕様書、契約書(案)等を熟覧のうえ、入札しなければならない。 これについて疑義があるときは、関係職員の説明を求めることができる。 入札後、これらの不明を理由として異議を申し立てることはできない。 (２)入札者又はその代理人が当該本人であることを確認するため、身分証明書又は名刺等の提示又は提出を求めることができる。 (３)入札指定時刻に遅刻した者は、入札場所に入場することはできない。 ただし、特別な理由により指定時刻までに参集できない場合で、客観情勢の許される範囲内で定刻までに参集した他の入札参加者の了解を求め、入札開始時刻を若干遅延させることがある。 (４)入札者又はその代理人は、契約担当者等の指示によるほかは入札場所から中途退場することができない。 (５)初度入札で無効となった者又は再度入札において辞退した者は、その後の入札に参加できない。 (６)初度入札に参加しなかった者は、再度入札に参加できない。 (７)入札参加者は、その提出した入札書を引換え、変更又は取消しをすることができない。 (８)入札参加者は、機構に対して入札書の提出前に業務実施体制の案について機構に確認を求めることができる。 サプライチェーンリスク上の懸念が機構より示された場合は、入札参加者は業務実施体制を変更すること。 確認受付期間は特に設けないが、すぐに回答できない場合があり、確認結果が落札決定後となる可能性があることに留意すること。 (９)落札決定後、落札者が契約担当者の指示に従わず、速やかに契約手続きに入らない場合は、落札の決定を取り消すことができる。 この場合において、機構に損害を与えたときは、落札金額の１００分の５に相当する金額を違約金として請求することができる。 (１０)落札決定後、落札者の業務実施体制について、サプライチェーンリスク上の懸念が機構より示された場合は、落札者は速やかに業務実施体制を変更すること。 この場合において、機構は契約金額等の変更を認めない。 １９ 本件に関する照会先〒100-0013 東京都千代田区霞が関３－３－２ 新霞が関ビル１９階独立行政法人医薬品医療機器総合機構財務管理部契約課 川満 拓TEL ０３－３５０６－９４２８FAX ０３－３５０６－９４１７別紙様式１証明書当社は、次の事項には該当しません。 １ 当該契約を締結する能力を有しない者(未成年、被保佐人又は被補助人であっても、契約締結のために必要な同意を得ている者を除く)及び破産者で復権を得ない者２ 次の各号の一に該当した事実があった後２年間を経過していない者(これを代理人、支配人その他の使用人として使用する者についても同じ。)(１) 契約の履行に当たり故意に工事若しくは製造を粗雑にし、又は物件の品質若しくは数量に関して不正の行為をした者(２) 公正な競争の執行を妨げた者又は公正な価格を害し若しくは不正の利益を得るために連合した者(３) 落札者が契約を結ぶこと又は契約者が契約を履行することを妨げた者(４) 監督又は検査の実施に当たり職員の執務の執行を妨げた者(５) 正当な理由がなくて契約を履行しなかった者(６) 前各号の一に該当する事実があった後２年を経過しない者を、契約の履行に当たり、代理人、支配人その他の使用人として使用した者３ 経営の状況又は信用度が極度に悪化している者年 月 日住 所会社名代表者独立行政法人医薬品医療機器総合機構契 約 担 当 役 殿別紙様式２入札書(第 回)１ 件 名 令和７年度情報システム監査業務２ 金 額 金 円(税抜)３ 契約条件契約書、仕様書その他一切貴殿の指示のとおりとする。 上記のとおり入札いたします。 年 月 日住 所会社名代表者代理人氏名独立行政法人医薬品医療機器総合機構契 約 担 当 役 殿別紙様式３の１委任状私は下記の者を代理人と定め、下記の行為を行う権限を委任します。 記１ 委任する行為「令和７年度情報システム監査業務」の入札に係る入札書の提出に関する一切の行為２ 委任する期日年 月 日 ～ 年 月 日年 月 日住 所会社名代表者代 理 人 住 所所属(役職名)代 理 人 氏 名独立行政法人医薬品医療機器総合機構契 約 担 当 役 殿別紙様式３の２委任状私は下記の者を復代理人と定め、下記の行為を行う権限を委任します。 記１ 委任する行為「令和７年度情報システム監査業務」の入札に係る入札書の提出に関する一切の行為２ 委任する期日年 月 日 ～ 年 月 日年 月 日住 所会社名代表者代 理 人 住 所所属(役職名)代 理 人 氏 名復 代 理人住所所属(役職名)復 代 理人氏名独立行政法人医薬品医療機器総合機構契 約 担 当 役 殿別紙様式４独立行政法人 医薬品医療機器総合機構 御中秘密保持等に関する誓約書貴機構から委託された○○○○業務(以下「本件業務」という。)を受託者である○○○○株式会社(以下「弊社」という。)が実施するにあたり、次の事項を遵守することを誓約いたします。 記1. 弊社は、本件業務遂行のために必要な者(次頁に記載する者をいう。以下同じ。)以外は本件業務に従事させません。 ただし、本件業務遂行期間中に追加、変更する場合、貴機構に届け出、了承を受けるものとします。 2. 弊社は、媒体および手段を問わずに貴機構から開示もしくは提供された貴機構の秘密情報(以下「本件秘密情報」という。)を、本件業務遂行のために必要な者を除く第三者に対して開示いたしません。 ただし、以下のものについては秘密情報に含みません。 (1) 弊社が貴機構より開示を受けた時点で既に公知であったもの(2) 弊社が貴機構より開示を受けた時点で既に所有していたもの(3) 弊社が貴機構より開示を受けた後に弊社の責によらずに公知となったもの(4) 弊社が正当な権限を有する第三者から守秘義務を負わずに適法に入手したもの(5) 法令または裁判所の命令により開示を義務づけられたもの3. 弊社は、本件業務遂行のために必要な者がそれ以外の者に秘密情報を開示しないよう、厳正な措置を講じます。 4. 弊社は、本件秘密情報を本件業務のみを目的として使用するものとし、他の目的には一切使用いたしません。 5. 弊社は、貴機構の書面による事前の承諾なしに、本件業務遂行のため必要な最小限度の範囲を超えて本件秘密情報を複写または複製いたしません。 6. 弊社は、貴機構から要請がある場合または本件業務終了後は直ちに本件秘密情報を貴機構に返還し、または秘密保持上問題のない方法により処分いたします。 7. 弊社が本誓約書の内容に違反したことにより本件秘密情報が漏洩し、貴機構に損害が発生した場合には、貴機構に対しその損害を賠償いたします。 なお、賠償額については、貴機構と弊社にて別途協議して定めるものとします。 8. 本誓約書は、本件業務終了後も本件秘密情報が秘密性を失う日まで有効に存続する事を確認します。 以上○○○○年○○月○○日東京都○○区○○町○－○－○○○○○株式会社 代表取締役○○○○ ○○ ○○ 代表者印○本件業務遂行のために必要な者本件業務遂行のために必要な者は以下の者である。 記○○○○株式会社○○○○事業部 ○○ ○○○○○○事業部 △△ △△○○○○事業部 □□ □□ 1令和７年度 情報システム監査業務調達仕様書独立行政法人 医薬品医療機器総合機構令和７年11月2目次１ 事業名.. 3２ 目的.. 3３ 業務内容.. 3(１)情報セキュリティ対策の整備・運用状況の監査.. 3(２)標的型メール訓練.. 5(３)監査報告.. 5４ システム監査対象.. 5５ 実施期間.. 6６ 納入成果物及び納入期日.. 6(１) 納入成果物.. 6①実施計画書.. 6②情報セキュリティ管理計画書.. 6(２) 納入品目.. 8(３) 納品場所.. 9７ 作業の実施体制・方法に関する事項.. 9(１) 作業実施体制.. 9(２) 作業要員に求める資格等の要件.. 10(３) 作業方法.. 10(４) 作業の管理に関する要領.. 10(５) 作業場所.. 11８ 作業の実施に当たっての遵守事項.. 11(１) 基本事項.. 11(２) 機密保持、資料の取扱い.. 11(３) 遵守する法令等.. 12９ 成果物の取扱いに関する事項.. 13(１) 知的財産権の帰属.. 13(２) 検収.. 13１０ 入札参加資格に関する事項.. 14(１) 入札参加要件.. 14(２) 入札制限.. 14１１ 情報セキュリティ対策の実施.. 15１２ 再委託に関する事項.. 15１３ その他特記事項.. 16(１) 環境への配慮.. 16(２) その他.. 17(３) 各業者との役割分担.. 17１４ 応札希望者が閲覧できる資料一覧.. 17１５ 窓口連絡先.. 17【別紙１】 監査人の資格要件.. 19【別紙２】資料閲覧について.. 203１ 事業名令和７年度情報システム監査業務２ 目的サイバーセキュリティに関する施策を総合的かつ効果的に推進するため、独立行政法人医薬品医療機器総合機構(以下「総合機構」という。)のサイバーセキュリティ対策に関する現状を適切に把握した上で、総合機構において対策強化のための自律的かつ継続的な改善活動の実施、及び必要なサイバーセキュリティ対策の実施を支援するとともに、当該業務が継続的かつ有効に機能するよう助言することによって、総合機構におけるサイバーセキュリティ対策の効果的な強化を図ることを目的とする。 また、標的型メール訓練を行い、総合機構のサイバー攻撃に対する知見を深めることを目的とする。 ３ 業務内容(１)情報セキュリティ対策の整備・運用状況の監査総合機構のシステム管理者に対し、聴取形式による運用面・管理面における脆弱性監査を実施し、管理対象システムごとに脆弱性・問題点の一覧及び改善項目・優先度・推奨する運用管理手法等を監査報告書に記載すること。 なお、検出された改善に関する改修等作業については本業務に含まれない。 ① 監査の基準本業務における基準は、以下によるものとする。 ・独立行政法人 医薬品医療機器総合機構 サイバーセキュリティポリシー 【※】・独立行政法人 医薬品医療機器総合機構 情報システム管理利用規程・独立行政法人 医薬品医療機器総合機構 個人情報管理規程・政府機関等のサイバーセキュリティ対策のための統一規範(最新版)・政府機関等のサイバーセキュリティ対策の運用等に関する指針(最新版)・政府機関等のサイバーセキュリティ対策のための統一基準(最新版)※「独立行政法人 医薬品医療機器総合機構 サイバーセキュリティポリシー」は非公開であるが、「政府機関等のサイバーセキュリティ対策のための統一基準」に準拠している。 また、参考の位置づけで以下の基準を参照する。  NISC 高度サイバー攻撃対処のためのリスク評価等のガイドライン(平成 28 年 10月7日) NISC外部委託等における情報セキュリティ上のサプライチェーン・リスク対応のための仕様書策定手引書(2016年10月25日) 総務省 地方公共団体における情報セキュリティポリシーに関するガイドライン(令和7年3月)4 厚生労働省 医療情報システムの安全管理に関するガイドライン第 6 版(令和 5 年5月)② 監査範囲、監査要点総合機構における重要な情報資産を選定し、その重要な情報資産を扱う情報システムを総合機構と協議のうえ、２システムを選定し監査範囲とする。 ただし、２システムの中に「共用ＬＡＮシステム」は、必ず含むものとする。 ａ マネジメント主な監査要点 監査手続(予定) 組織・体制、対策基準・対策推進計画の策定に関する整備･運用 情報セキュリティ関係規定の整備･運用 総合機構事務従事者への教育 情報セキュリティインシデントへの対処に関する整備･運用 情報セキュリティ対策の自己点検(R6 年度実施済)及び過去の情報セキュリティ監査改善指摘事項への対応状況･対応内容 情報セキュリティ対策の見直しに関する整備･運用 情報の取扱い、情報を取扱う区域の管理に関する整備･運用 外部委託(約款による外部サービス及びクラウドサービスを含む)に関する整備･運用 情報システムに係る台帳等の整備･運用 機器等の調達に係る規程の整備･運用 関係者へのインタビュー 資料の閲覧(規程・手順書・マニュアルおよび実運用に係る証跡)ｂ 情報システム主な監査要点 監査手続(予定) 重要な情報の取扱いに関する運用 情報システムのセキュリティ機能に関する整備･運用(ユーザ管理･ログ管理等) 情報セキュリティの脅威への対策に関する整備･運用 情報システム構成要素に関する整備･運用(データベース、通信回線、ネットワークセグメントの隔離等) 機器の物理的な管理 情報システムの利用に関する運用(総合機構外の利用者を含む) アプリケーション・コンテンツの作成･提供に関する運用 関係者へのインタビュー 資料の閲覧(規程・手順書・マニュアルおよび実運用に係る証跡) 必要に応じて執務室、サーバー室、データセンター【注１】の視察【注１】 視察するデータセンターの所在地は、関東に限定する5ｃ 外部委託先主な監査要点 監査手続(予定) 重要な情報の取扱いに関する整備･運用 委託先において実施させる情報セキュリティ対策の履行状況 再委託先に関する情報セキュリティ対策の措置状況・履行状況 必要に応じて関係者へのインタビュー 資料の閲覧(規程・手順書・マニュアルおよび実運用に係る証跡) 必要に応じて委託先【注２】の視察【注２】視察する委託先の所在地は、関東に限定する(２)標的型メール訓練標的型メール攻撃に対する総合機構職員の対応力および意識の向上をはかるため、標的型メールに相当するなりすましメールを作成し、総合機構が示すスケジュールに従い令和８年３月までに訓練メールの送信を行なうこと。 訓練メールは最大1,500人へ送付する。 また、Web サイトへのアクセス状況の集計等、業務を行うためのシステム環境を準備し、訓練結果の分析を行い監査報告書に記載すること。 (３)監査報告６．(１)③・④に定める「監査報告書」に基づき、必要に応じて監査報告を実施する。 監査報告が必要な場合とは、監査の結果が標準的な結果よりも悪く、理事者らに詳細な報告が必要な場合等とする。  監査報告には、統括責任者・監査人等が出席すること。  総合機構側は、情報セキュリティに関する責任者等が出席する。  監査報告の実施如何及び実施の場合の報告内容・報告時間等は別途協議する。 なお、監査報告の実施如何に関わらず、監査室及び情報化統括推進室の役職員等の主な監査関係者等が出席する監査評価会を実施し、監査報告書記載内容に関する認識合わせ等を実施すること。 ・監査評価会における出席者・報告内容・報告時間等は別途協議する。 ４ システム監査対象監査対象となる総合機構の情報システムは、「１４ 応札希望者が閲覧できる資料一覧」中の「閲覧資料２ 監査対象となる総合機構の情報システム一覧」参照のこと。 6なお、調達期間中から契約後にかけて「監査対象となる総合機構の情報システム一覧」にシステムが追加される可能性がある。 ５ 実施期間契約日から令和８年３月31日までとし、受託者が派遣する監査員が実施スケジュールに基づいて業務を行う。 受託者は6．(1)①に定める「実施計画書」の体制図に基づき監査員を派遣すること。 ６ 納入成果物及び納入期日(１) 納入成果物納入成果物を表 ６.１に示す。 ただし、納入成果物の構成、詳細については、受注後、総合機構と協議し取り決めること。 表 ６.１ 工程と成果物項番 区分 納入成果物 納入期日１ 計画書①実施計画書②情報セキュリティ管理計画書契約締結日から 2 週間以内２ 監査報告書 ③監査報告書(情報セキュリティ対策の整備・運用状況の監査)④監査報告書(標的型メール訓練)⑤各種証跡令和８年３月２０日① 実施計画書実施計画書は以下の項目を含むこと。 a. 監査対象システム情報セキュリティ対策の整備・運用状況の監査に関しては、総合機構担当者と協議の上、対象となる情報システムの一覧を業務内容単位で記載すること。 b. 使用ツール、機器一覧本業務を遂行するために使用するツール及び機器があれば、明記すること。 c. システム監査全体スケジュール総合機構担当者と協議の上、監査業務全体のスケジュールを作成すること。 d. 体制図本業務を遂行するための体制を記載すること。 e. 実施工程情報セキュリティ対策の整備・運用状況の監査、標的型メール訓練の実施要領を記載すること。 7② 情報セキュリティ管理計画書「１１ 情報セキュリティ対策の実施」に記載している要件を満足すること。 ③ 監査報告書(情報セキュリティ対策の整備・運用状況の監査)a. 監査結果報告マネジメント及び監査対象システムごとの考察と推奨される対策をまとめたもの。 b. 監査概要監査概要として、以下の事項を記載すること 監査の目的 監査の基準 監査の実施内容 監査範囲・監査対象 監査基準日・監査実施期間 主な実施内容及び総合機構担当 監査人c. 監査所見監査の結果を元に、監査対象ごとに検出された改善推奨事項等を記載し、その改善推奨事項に対する一般的な対応方法、総合機構のIT環境を踏まえた対応方法、優先度を記載すること。 d. 聴取結果レポート(担当者ごと)担当者ごとの聴取結果の一覧と監査員のコメントを一覧で記載すること。 一覧には、問題点、対応優先度、改善項目、推奨する運用管理方法を含めること。 ④ 監査報告書(標的型メール訓練)a. 監査結果報告標的型メールの開封率・開封者などの傾向が視覚的に分かるレポートをまとめたもの。 b. 監査概要監査概要として、以下の事項を記載すること 監査の目的 監査の基準 監査の実施内容 監査範囲・監査対象 監査基準日・監査実施期間 監査人c. 監査所見監査の結果を元に評価を行い、改善推奨事項等があれば記載し、その改善推奨事項に対する一般的な対応方法、総合機構のIT環境を踏まえた対応方法、優先度を記載すること。 8⑤ 各種証跡監査を行った証跡となるデータはすべて納品すること。 (２) 納入品目納入品目は以下のとおりとする。 a. 計画書 光学記録媒体(CD-R、CD-RW、DVD-R 又は DVD-RW 等のことをいう、以下「CD-R等」という) 2枚(紙媒体は別途協議)b. 監査報告書 CD-R等 2枚(紙媒体は別途協議)c. 各種証跡 CD-R等 2枚※資料は電子ファイルとして加工可能なものを含む納入品目については、以下の条件を満たすこと。  文書を指定された紙又はCD-R等により日本語で提供すること。  紙のサイズは、日本産業規格A列4番を原則とする。 図表については、必要に応じてA列3番縦書き、横書きを使用することができる。  成果物は、すべて日本語で作成すること。 ただし、日本国においても、英字で表記されることが一般的な文言については、そのまま記載しても構わないものとする。  用字・用語・記述符号の表記については、「公用文作成の要領」に準拠すること。  情報処理に関する用語の表記については、日本産業規格(ＪＩＳ)の規定に準拠すること。  受託者は、指定のドキュメントをCD-R等により納品すること。 また、総合機構が要求する場合は紙媒体でも納品すること。 紙媒体の納品部数については、総合機構と協議すること。  CD-R等に保存する形式はMicrosoftWord2016、同Excel2016、同PowerPoint2016で読み込み可能な形式及びPDF形式とすること。 ただし、総合機構が他の形式による提出を求めた場合は、これに応じること。 なお、受託者側で他の形式を用いて提出したいファイルがある場合は、協議に応じるものとする。  納品したドキュメントに修正等があった場合、紙媒体については、それまでの変更内容を表示するとともに変更履歴と修正ページを、CD-R等については、それまでの変更内容及び修正後の全編を速やかに提出すること。  CD-R等は、２枚納品すること。  納品後、総合機構において改変が可能となるよう、図表等の元データも併せて納品すること。  成果物の作成に当たって、CAD等の上記以外の特別なツールを使用する場合は、総合機構の承認を得ること。 9 成果物が外部に不正に使用されたり、納品過程において改ざんされたりすることのないよう、安全な納品方法を提案し、成果物の情報セキュリティの確保に留意すること。  CD-R等により納品する場合は、不正プログラム対策ソフトウェアによる確認を行う等して、成果物に不正プログラムが混入することのないよう、適切に対処すること。  成果物の作成及び納品に当たり、内容、構成等について総合機構が指摘した場合には、指摘事項に対応すること。  報告書、計画書等の成果物の記載様式については、記載様式案を総合機構に提示すること。 総合機構は、案について受託者と協議の上、決定する。 (３) 納品場所独立行政法人 医薬品医療機器総合機構 監査室ただし、総合機構が納品場所を別途指示する場合はこの限りではない。 ７ 作業の実施体制・方法に関する事項(１) 作業実施体制受託者は、本業務に係る要員の役割分担、責任分担、体制図等を実施計画書の一部として作成し、総合機構に報告するとともに、承認を得ること。 また、受託者は、必要な要員の調達を遅滞なく実施し、要員を確定すること。 ①本業務の実施に当たり、総合機構の意図しない変更が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること。 また、当該品質保証体制が書類等で確認できること。 ②本業務に関連する資料等に総合機構の意図しない変更が行われるなどの不正が見つかった時(不正が行われていると疑わしい時も含む)に、追跡調査や立入検査等、総合機構と受託者が連携して原因を調査・排除できる体制を整備していること。 また、当該体制が書類等で確認できること。 ③当該管理体制を確認する際の参照情報として、資本関係・役員等の情報、本業務の実施場所、本業務従事者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供を行うこと。 具体的な情報提供内容については総合機構と協議の上、決定するものとする。 ④受託者は、総合機構側やその他関連事業者を含めた全体の体制・役割を示した上で、プロジェクトの推進体制及び本件受託者に求める作業実施体制を総合機構と協議の上定めること。 また、受託者の情報セキュリティ対策の管理体制については、作業実施体制とは別に作成すること。 ⑤受託者は、インシデント発生時などの連絡体制図を総合機構と協議の上定めること。 10(２) 作業要員に求める資格等の要件受託者は、統括責任者(業務全体を統括する責任者)、監査人(業務完了まで継続して事業の実施を行える者であって、業務の実施にあたっての責任者)、監査補助者(監査人の配下に属する者であって、個々の業務を行う者)、アドバイザー(業務の品質を管理する者)からなる、監査チームを編成すること。 監査チームには、監査に関する知識・技能(監査理論全般、監査実務)、情報セキュリティ技術に関する知識・技能を有する専門家、すなわち「別紙１ 監査人の資格要件」に記載された資格を有する専門家が2人以上含まれていること、並びに、監査の効率と品質の保持のため次のいずれかの実績(実務経験)を有する専門家が1人以上含まれていること。 a.情報セキュリティ監査b.情報セキュリティに関するコンサルティング監査チーム各者の氏名、所属部署及び連絡先とともに、各者の経歴、専門分野、各種保有資格等について、契約締結後5日以内に総合機構に提出し、了承を得ること。 本監査業務の開始後、適切な業務が実施できないと総合機構が判断した場合には、受託者は、監査チーム体制を変更すること。 なお、受託者は、体制を変更する際は、監査業務の遂行に影響がでないようにするとともに、変更に要した費用については、自らが負担すること。 (３) 作業方法① 実施計画書契約締結後、実施計画書(6．納入成果物及び納入期日(１)納入成果物 ① 実施計画書 参照)を提示し、作業体制や役割分担について総合機構に対して報告し、承認を得て業務を進めること。 また、契約締結以降に変更が発生した場合には、そのつど速やかに変更後の実施計画書を提出すること。 ② 会議について月次会議を開催し、総合機構に対し、進捗状況や障害、課題の状況等の報告を行うとともに、必要に応じて状況を説明するための資料等の作成及び会議での説明を行うこと。 業務の進め方について改善事項がある場合は月次会議の場で総合機構に提案し、総合機構の了承を得た上で変更する事とする。 本件の受託者が出席する会議においては、会議が開催される都度、本件の受託者が議事録の作成を行い、全出席者に内容の確認行った上で、3営業日以内に総合機構に議事録を提出すること。 (４) 作業の管理に関する要領総合機構が管理するエリアからの情報の持ち出しは原則許可しない。 持ち出しが必要な場合は事前に総合機構に対し、持ち出し目的、対象情報の範囲、情報利用端末、情11報の利用者等に関し申請を行うこと。 また受託者は、持ち出した情報を台帳等により管理すること。 さらに受託者は、持ち出した情報は使用後に確実に消去し、そのエビデンスを提出すること。 (５) 作業場所総合機構にて作業を実施する必要がある場合、総合機構の承認した総合機構内所定の場所で作業すること。 総合機構内での作業においては、必要な規定の手続を実施し承認を得ること。 ただし、問合わせ対応業務等総合機構内での作業を必ずしも必要としない業務を実施する場所は、総合機構の承認した、受託者の用意した施設内(日本国内に限る。)とする。 必要に応じて総合機構担当者は現地確認を実施できることとする。 作業場所やその他必要となる環境については、受託者の責任において確保すること。 なお、3.閲覧期間の後半は閲覧場所を確保できなくなるおそれがあるので、早めに閲覧希望日時を申し出ること。 (2) 閲覧前に総合機構の提示する様式にて秘密保持誓約書を作成し、総合機構に提出すること。 (3) 一回あたりの閲覧時間は1時間程度とする。 閲覧回数は原則制限しない。 (4) 閲覧時に個々の内容に関する質問に応じることはできない。 5. 閲覧連絡先独立行政法人 医薬品医療機器総合機構 監査室電話：03-3506-9488E-mail: kansashitsu●pmda.go.jp迷惑メール防止対策をしているため●を半角のアットマークに置き換えること。