【政府調達】入札公告「セキュリティ要件適合評価及びラベリング制度におけるWebシステム開発（フェーズ２）及び保守業務」に係る一般競争入札

【政府調達】入札公告「セキュリティ要件適合評価及びラベリング制度におけるWebシステム開発（フェーズ２）及び保守業務」に係る一般競争入札 調達情報 トップページ 調達情報 入札 2025年度 【政府調達】入札公告「セキュリティ要件適合評価及びラベリング制度におけるWebシステム開発（フェーズ２）及び保守業務」に係る一般競争入札 【政府調達】入札公告「セキュリティ要件適合評価及びラベリング制度におけるWebシステム開発（フェーズ２）及び保守業務」に係る一般競争入札 公開日：2026年3月23日 独立行政法人情報処理推進機構理事長 齊藤 裕 次のとおり一般競争入札（総合評価落札方式）に付します。 1．競争入札に付する事項 件名 セキュリティ要件適合評価及びラベリング制度におけるWebシステム開発（フェーズ２）及び保守業務 調達内容等 入札説明書による 履行期限 入札説明書による 入札方法 入札説明書による 2．競争参加資格 予算決算及び会計令（以下「予決令」という。）第70条の規定に該当しない者であること。なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。 予決令第71条の規定に該当しない者であること。 令和7・8・9年度競争参加資格（全省庁統一資格）において「役務の提供等」で、「A」、「B」の等級に格付けされ、関東・甲信越地域の資格を有する者であること。 各省各庁及び政府関係法人等から取引停止又は指名停止処分等を受けていない者（理事長が特に認める場合を含む。）であること。 経営の状況又は信用度が極度に悪化していないと認められる者であり、適正な契約の履行が確保される者であること。 3．入札者の義務 入札者は、当入札説明書及び独立行政法人情報処理推進機構入札心得を了知のうえ、入札に参加しなければならない。 入札者は、当機構が交付する仕様書に基づいて提案書を作成し、これを入札書に添付して入札書等の提出期限内に提出しなければならない。また、開札日の前日までの間において当機構から当該書類に関して説明を求められた場合は、これに応じなければならない。 入札者は、代表者印を押印した秘密保持誓約書（入札説明書【別掲】を参照）を提出した上で、機構から本業務に係る要件定義書の貸与を受け、入札説明書7.(2)提出期限までに必ず機構に返却しなければならない。なお、要件定義書の交付期間は2026年3月23日（月曜日）から2026年5月26日（火曜日）までの10時00分から17時00分（12時30分～13時30分の間は除く）とする。貸与を希望する者は、事前に入札説明書15.(4)担当部署へ電子メールにより依頼し日時の調整を行うこと。また、交付期間終了後は、いかなる理由があっても貸与しない。 4．入札説明書 以下から入札説明書及びその他必要書類をダウンロードして下さい。 政府調達入札公告(PDF:169 KB) 入札説明書(PDF:1.3 MB) 入札説明書(Word:360 KB) 入札書等記載例(PDF:118 KB) 評価項目一覧(Excel:29 KB) 5．入札書等の提出期間及び提出先 入札書等の提出期間 2026年5月25日（月曜日）から 2026年5月26日（火曜日） 17時00分まで 持参の場合の受付時間は、下記のとおりとする。月曜日から金曜日（祝祭日は除く）10時00分～17時00分（12時30分～13時30分の間は除く）郵送の場合は必着とする。 入札書等の提出先 〒113-6591 東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス 独立行政法人情報処理推進機構 セキュリティセンター 技術評価部 評価制度・管理グループ 担当 横田、白岩 持参の場合は13階受付にお越しください。 6．開札の日時及び場所 開札の日時 2026年6月8日(月曜日） 11時00分 開札の場所 〒113-6591 東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス独立行政法人情報処理推進機構 7．その他 入札保証金及び契約保証金 全額免除 入札の無効 競争入札に参加する者に必要な資格のない者による入札及び競争入札に参加する者に求められる義務に違反した入札は無効とする。 落札者の決定方法 独立行政法人情報処理推進機構会計規程第29条の規定に基づいて作成された予定価格の制限の範囲内で、当機構が入札説明書で指定する要求事項のうち、必須とした項目の最低限の要求をすべて満たしている提案をした入札者の中から、当機構が定める総合評価の方法をもって落札者を定めるものとする。ただし、落札者となるべき者の入札価格によっては、その者により当該契約の内容に適合した履行がなされないおそれがあると認められるとき、又はその者と契約することが公正な取引の秩序を乱すこととなるおそれがあって著しく不適当であると認められるときは、予定価格の範囲内の価格をもって入札をした他の者のうち、評価の最も高い者を落札者とすることがある。 契約書の作成 要。詳細は入札説明書による。 質問の方法等 質問書（入札説明書に記載の様式）に所定事項を記入の上、電子メールにて提出してください。受付期間については、入札説明書を確認してください。質問に対する回答に時間がかかる場合があるため、余裕をみて提出してください。 お問い合わせ先 入札説明書等に関する問い合わせ先 独立行政法人情報処理推進機構 セキュリティセンター 技術評価部 評価制度・管理グループ 担当 横田、白岩 E-mail 入札行為に関する問い合わせ先 独立行政法人情報処理推進機構 経営企画センター 財務部 契約グループ 担当 小林、菊池 E-mail 更新履歴 2026年3月23日 入札公告を掲載 入札公告次のとおり一般競争入札に付します。 令和８年３月23日独立行政法人情報処理推進機構理事長 齊藤 裕◎調達機関番号 902 ◎所在地番号 13１ 調達内容⑴ 品目分類番号 71⑵ 購入等物件名及び数量 セキュリティ要件適合評価及びラベリング制度におけるWebシステム開発(フェーズ２)及び保守業務 一式⑶ 調達案件の仕様等 入札説明書による。 ⑷ 履行期間 契約締結日から令和10年３月31日まで⑸ 履行場所 仕様書による。 ⑹ 入札方法 入札金額は総価とする。 なお、落札者の決定に当たっては、入札書に記載された金額に10パーセントに相当する額を加算した金額(当該金額に１円未満の端数があるときは、その端数金額を切り捨てるものとする。)をもって落札価格とするので、入札者は消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった金額の110分の100に相当する金額を記入すること。 ２ 競争参加資格⑴ 予算決算及び会計令(以下「予決令」という。)第70条の規定に該当しない者であること。 なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別な理由がある場合に該当する。 ⑵ 予決令第71条の規定に該当しない者であること。 ⑶ 令和７・８・９年度競争参加資格(全省庁統一資格)において「役務の提供等」で、「Ａ」又は「Ｂ」の等級に格付けされ、関東・甲信越地域の資格を有する者であること。 ⑷ 各省各庁及び政府関係法人等から取引停止又は指名停止処分等を受けていない者(理事長が特に認める場合を含む。)であること。 ⑸ 経営の状況又は信用度が極度に悪化していないと認められる者であり、適正な契約の履行が確保されるものであること。 ⑹ その他 詳細は入札説明書による。 ３ 入札書の提出場所等⑴ 入札説明書等の交付期間、交付場所及び方法① 交付期間：令和８年３月23日(月)から令和８年５月26日(火)まで② 交付場所及び方法：情報処理推進機構ホームページ(https://www.ipa.go.jp/choutatsu/nyusatsu/index.html)からダウンロードする。 ⑵ 入札書等の提出場所、契約条項を示す場所、問い合わせ先〒113－6591東京都文京区本駒込２－28－８ 文京グリーンコートセンターオフィス16階 独立行政法人情報処理推進機構 セキュリティセンター技術評価部 評価制度・管理グループ 横田仁寿 電話03-5978-7538 電子メール isec-labelling-koubo@ipa.go.jp⑶ 入札説明会の日時及び場所① 令和８年４月７日(火)11時00分 オンラインによる開催② 入札説明会に参加を希望する者は、令和８年４月６日(月)15時00分までに、上記３⑵宛、電子メールにより申し込むこと。 ⑷ 入札書等の受領期限 令和８年５月26日(火) 17時00分⑸ 開札の日時及び場所① 日時 令和８年６月８日(月) 11時00分② 場所 情報処理推進機構 13階 会議室C４ その他⑴ 契約手続きにおいて使用する言語及び通貨 日本語及び日本国通貨に限る。 ⑵ 入札保証金及び契約保証金 全額免除⑶ 入札の無効 競争入札に参加する者に必要な資格のない者による入札及び競争入札に参加する者に求められる義務に違反した入札は無効とする。 ⑷ 契約書作成の要否 要⑸ 落札者の決定方法 情報処理推進機構会計規程第29条の規定に基づいて作成された予定価格の制限の範囲内で、当機構が入札説明書で指定する要求事項のうち、必須とした項目の最低限の要求をすべて満たしている提案をした入札者の中から、当機構が定める総合評価の方法をもって落札者を定めるものとする。 ⑹ 手続きにおける交渉の有無 無⑺ その他 詳細は入札説明書による。 ５ Summary⑴ Official in charge of disbursement of the procuring entity :SAITOU Yutaka, Commissioner, Information-technology PromotionAgency, Japan⑴ Classification of the products to be procured : 71⑶ Nature and quantity of the services to be required : Development(Phase 2) and Maintenance for JC-STAR Web System, 1 set. ⑷ Fulfillment period : From the date when contract is concludedthrough 31, March 2028⑸ Fulfillment place : As in the tender manual⑹ Qualifications for participation in the tendering procedures :Suppliers eligible for participating in the proposed tender arethose who shall :① Not come under Article 70 of the Cabinet Order concerning theBudget, Auditing and Accounting. Furthermore, minors, Personunder Conservatorship or Person under Assistance that obtainedthe consent necessary for concluding a contract may be applicableunder cases of special reasons within the said clause. ② Not come under Article 71 of the Cabinet Order concerning theBudget, Auditing and Accounting. ③ Have Grade A or B in "Offer of service" in the Kanto-Koshinetsuarea in terms of the qualification for participating in tendersby Single qualification for every ministry and agency in thefiscal years 2025, 2026 and 2027. ④ Not be suspended from transaction by the request of theofficials in charge of contract. ⑤ A person whose business situation or trustworthiness is deemednot to have significantly deteriorated and whose properperformance of a contract can be guaranteed. ⑥ Others : As shown in the tender documentation. ⑺ Time-limit for tender : 5:00 p.m. 26 May 2026⑻ Contact point for the notice : YOKOTA Hitoshi, Evaluation Schemeand Management Group, IT Security Technology Evaluation Department,IT Security Center, Information-technology Promotion Agency, JapanBunkyo Green Court Center Office 16F 2-28-8 Honkomagome, Bunkyo-ku, Tokyo, Japan 113-6591. TEL 03－5978－7538 E-mail isec-labelling-koubo@ipa.go.jp 「セキュリティ要件適合評価及びラベリング制度におけるWebシステム開発(フェーズ２)及び保守業務」に係る一般競争入札(総合評価落札方式)入札説明書2026年3月23日2 / 69目 次Ⅰ．入札説明書.. 3Ⅱ．契約書(案).. 19Ⅲ．仕様書.. 28Ⅳ．入札資料作成要領及び評価手順.. 56Ⅴ．評価項目一覧.. 693 / 69Ⅰ．入札説明書独立行政法人情報処理推進機構の請負契約に係る入札公告(2026年3月23日付け公告)に基づく入札については、関係法令並びに独立行政法人情報処理推進機構会計規程及び同入札心得に定めるもののほか下記に定めるところによる。 記1．競争入札に付する事項(1) 作業の名称 セキュリティ要件適合評価及びラベリング制度におけるWebシステム開発(フェーズ２)及び保守業務(2) 作業内容等 別紙仕様書のとおり。 (3) 履行期限 別紙仕様書のとおり。 (4) 入札方法 落札者の決定は総合評価落札方式をもって行うので、① 入札に参加を希望する者(以下「入札者」という。)は「6.(4)提出書類一覧」及び「7.(4)提出書類一覧」に記載の提出書類を提出すること。 ② 上記①の提出書類のうち提案書については、入札資料作成要領に従って作成、提出すること。 ③ 上記①の提出書類のうち、入札書については仕様書及び契約書案に定めるところにより、入札金額を見積るものとする。 入札金額は、「セキュリティ要件適合評価及びラベリング制度におけるWebシステム開発(フェーズ２)及び保守業務」に関する総価とし、総価には本件業務に係る一切の費用を含むものとする。 ④ 落札決定に当たっては、入札書に記載された金額に当該金額の10パーセントに相当する額を加算した金額(当該金額に1円未満の端数が生じたときは、その端数金額を切捨てるものとする。)をもって落札価格とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を入札書に記載すること。 ⑤ 入札者は、提出した入札書の引き換え、変更又は取り消しをすることはできないものとする。 2．競争参加資格(1) 予算決算及び会計令(以下「予決令」という。)第70条の規定に該当しない者であること。 なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。 (2) 予決令第71条の規定に該当しない者であること。 (3) 令和7・8・9年度競争参加資格(全省庁統一資格)において「役務の提供等」で、「A」、「B」の等級に格付けされ、関東・甲信越地域の資格を有する者であること。 (4) 各省各庁及び政府関係法人等から取引停止又は指名停止処分等を受けていない者(理事長が特に認める場合を含む。)であること。 (5) 経営の状況又は信用度が極度に悪化していないと認められる者であり、適正な契約の履行が確保される者であること。 3．入札者の義務(1) 入札者は、当入札説明書及び独立行政法人情報処理推進機構入札心得を了知のうえ、入札に参加しなければならない。 (2) 入札者は、当機構が交付する仕様書に基づいて提案書を作成し、これを入札書に添付して入札書等の提出期限内に提出しなければならない。 また、開札日の前日までの間において当機構から当該書類に関して説明を求められた場合は、これに応じなければならない。 (3) 入札者は、代表者印を押印した秘密保持誓約書(別掲を参照)を提出した上で、機構から本業務に係る要件定義書の貸与を受け、7.(2)提出期限までに必ず機構に返却しなければならない。 なお、要件定義書の交付期間は2026年3月23日(月)から2026年5月26日(火)までの10時00分から4 / 6917時00分(12時30分～13時30分の間は除く)とする。 貸与を希望する者は、事前に15.(4)担当部署へ電子メールにより依頼し日時の調整を行うこと。 また、交付期間終了後は、いかなる理由があっても貸与しない。 4．入札説明会の日時及び場所(1) 入札説明会の日時2026年4月7日(火) 11時00分(2) 入札説明会の場所オンラインによる説明会とする。 入札説明会(オンライン)への参加を希望する場合は、15.(4)の担当部署まで、以下のとおり電子メールにより申し込むこと。 ① 参加者のメールアドレスに会議招待メールを送信する必要があるため、2026年4月6日(月)15時00分までに申し込むこと。 ② 電子メールの件名に「【セキュリティ要件適合評価及びラベリング制度におけるWebシステム開発(フェーズ２)及び保守業務】入札説明会申込み」と明記し、入札説明会に参加する者の所属、氏名及びメールアドレスを記載の上申し込むこと。 5．入札に関する質問の受付等(1) 質問の方法質問書(様式1)に所定事項を記入の上、電子メールにより提出すること。 (2) 受付期間2026年3月23日(月)から2026年5月7日(木) 17時00分まで。 なお、質問に対する回答に時間がかかる場合があるため、余裕をみて提出すること。 (3) 担当部署15.(4)のとおり6．サプライチェーン・リスクに係る確認資料の提出方法及び提出期限等サプライチェーン・リスクに係る確認のため、入札を希望する者は、次の所定事項に従い、役務リストを電子メールにより提出すること。 (1) 受付期間2026年3月23日(月)から2026年5月7日(木)(2) 提出期限2026年5月7日(木) 17時00分上記期限を過ぎた役務リストはいかなる理由があっても受け取らない。 ただし、役務リストを提出済みの者が変更等して再提出する場合は除く。 (3) 提出先15.(4)のとおり。 (4) 提出書類一覧No. 提出書類 部数1役務リスト※役務実施業者、本社所在国、法人番号、役務実施場所等の情報を、予定する再々委託先業者まで含めて記載すること。 様式7(添付なし)1通(5) 提出方法15.(4)のメールアドレス宛に入札を希望する旨を連絡し、様式7(本入札説明書への添付なし)を入手すること。 様式7に入力後、同メールアドレスに送信して提出すること。 (6) 提出後の対応提出後、必要に応じてヒアリングをWeb会議若しくはメールにて実施する。 ヒアリングについては、提案内容を熟知した実施責任者等が対応すること。 5 / 69IPAとの調整の結果、IPAがサプライチェーン・リスクに係る懸念が払拭されないと判断した場合には、当該リスクに対応するため、内容修正した役務リストの再提出を求めることがあるので、速やかに役務リストの変更要請に応じること。 7．入札書等の提出方法及び提出期限等(1) 受付期間2026年5月25日(月)から2026年5月26日(火)。 持参の場合の受付時間は、月曜日から金曜日(祝祭日は除く)の10時00分から17時00分(12時30分～13時30分の間は除く)とする。 (2) 提出期限2026年5月26日(火) 17時00分必着。 上記期限を過ぎた入札書等はいかなる理由があっても受け取らない。 (3) 提出先15.(4)のとおり。 (4) 提出書類一覧No. 提出書類 部数① 委任状(代理人に委任する場合) 様式2 1通② 入札書(封緘) 様式3 1通③提案書(別紙「プロジェクト計画書案」を含む) －1部及び電子ファイル④ 添付資料(２種類)「Ⅳ.入札資料作成要領及び評価手順」を参照のこと様式Ａ様式Ｂ1部⑤ 補足資料(任意) － 1部⑥評価項目一覧 －1部及び電子ファイル⑦ 令和7・8・9年度競争参加資格(全省庁統一資格)における資格審査結果通知書の写し－ 1通⑧ 提案書受理票 様式4 1通(5) 提出方法① 入札書等提出書類を持参により提出する場合入札書を封筒に入れ封緘し、封皮に氏名(法人の場合は商号又は名称)、宛先(15.(4)の担当者名)を記載するとともに「セキュリティ要件適合評価及びラベリング制度におけるWebシステム開発(フェーズ２)及び保守業務 一般競争入札に係る入札書在中」と朱書きし、その他提出書類一式と併せ封筒に入れ封緘し、その封皮に氏名(法人の場合はその商号又は名称)、宛先(15.(4)の担当者名)を記載し、かつ、「セキュリティ要件適合評価及びラベリング制度におけるWebシステム開発(フェーズ２)及び保守業務 一般競争入札に係る提出書類一式在中」と朱書きすること。 ② 入札書等提出書類を郵便等(書留)により提出する場合二重封筒とし、表封筒に「セキュリティ要件適合評価及びラベリング制度におけるWebシステム開発(フェーズ２)及び保守業務 一般競争入札に係る提出書類一式在中」と朱書きし、中封筒の封皮には直接提出する場合と同様とすること。 (6) 提出後① 入札書等提出書類を受理した場合は、提案書受理票を入札者に交付する。 なお、受理した提案書等は評価結果に関わらず返却しない。 ② 必要に応じて、ヒアリングを次の日程で実施する。 ヒアリングには実施責任者が対応すること。 以下同じ。 )であるとき(2) 役員等が、自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもって、暴力団又は暴力団員を利用するなどしているとき(3) 役員等が、暴力団又は暴力団員に対して、資金等を供給し、又は便宜を供与するなど直接的あるいは積極的に暴力団の維持、運営に協力し、若しくは関与しているとき(4) 役員等が、暴力団又は暴力団員であることを知りながらこれと社会的に非難されるべき関係を有しているとき上記事項について、入札書の提出をもって誓約します。 18 / 69(参 考)予算決算及び会計令【抜粋】(一般競争に参加させることができない者)第70条 契約担当官等は、売買、貸借、請負その他の契約につき会計法第二十九条の三第一項の競争(以下「一般競争」という。)に付するときは、特別の理由がある場合を除くほか、次の各号のいずれかに該当する者を参加させることができない。 一 当該契約を締結する能力を有しない者二 破産手続開始の決定を受けて復権を得ない者三 暴力団員による不当な行為の防止等に関する法律(平成三年法律第七十七号)第三十二条第一項各号に掲げる者(一般競争に参加させないことができる者)第71条 契約担当官等は、一般競争に参加しようとする者が次の各号のいずれかに該当すると認められるときは、その者について三年以内の期間を定めて一般競争に参加させないことができる。 その者を代理人、支配人その他の使用人として使用する者についても、また同様とする。 一 契約の履行に当たり故意に工事、製造その他の役務を粗雑に行い、又は物件の品質若しくは数量に関して不正の行為をしたとき。 二 公正な競争の執行を妨げたとき又は公正な価格を害し若しくは不正の利益を得るために連合したとき。 三 落札者が契約を結ぶこと又は契約者が契約を履行することを妨げたとき。 四 監督又は検査の実施に当たり職員の職務の執行を妨げたとき。 五 正当な理由がなくて契約を履行しなかつたとき。 六 契約により、契約の後に代価の額を確定する場合において、当該代価の請求を故意に虚偽の事実に基づき過大な額で行つたとき。 七 この項(この号を除く。)の規定により一般競争に参加できないこととされている者を契約の締結又は契約の履行に当たり、代理人、支配人その他の使用人として使用したとき。 2 契約担当官等は、前項の規定に該当する者を入札代理人として使用する者を一般競争に参加させないことができる。 19 / 69Ⅱ．契約書(案)○○○○情財第○○号契約書独立行政法人情報処理推進機構(以下「甲」という。)と○○○○○(以下「乙」という。)とは、次の条項により「セキュリティ要件適合評価及びラベリング制度におけるWebシステム開発(フェーズ２)及び保守業務」に関する請負契約を締結する。 (契約の目的)第1条 甲は、別紙仕様書記載の「契約の目的」を実現するために、同仕様書及び提案書記載の「セキュリティ要件適合評価及びラベリング制度におけるWebシステム開発(フェーズ２)及び保守業務」(以下、「請負業務」という。)の完遂を乙に注文し、乙は本契約及び関係法令の定めに従って誠実に請負業務を完遂することを請け負う。 2 乙は、本契約においては、請負業務またはその履行途中までの成果が可分であるか否かに拘わらず、請負業務が完遂されることによってのみ、甲が利益を受け、また甲の契約の目的が達成されることを、確認し了解する。 (再請負の制限)第2条 乙は、請負業務の全部を第三者に請負わせてはならない。 2 乙は、請負業務の一部を第三者(以下「再請負先」という。)に請負わせようとするときは、事前に再請負先、再請負の対価、再請負作業内容その他甲所定の事項を、書面により甲に届け出なければならない。 3 前項に基づき、乙が請負業務の一部を再請負先に請負わせた場合においても、甲は、再請負先の行為を全て乙の行為とみなし、乙に対し本契約上の責任を問うことができる。 (責任者の選任)第3条 乙は、請負業務を実施するにあたって、責任者(乙の正規従業員に限る。)を選任して甲に届け出る。 2 責任者は、請負業務の進捗状況を常に把握するとともに、各進捗状況について甲の随時の照会に応じるとともに定期的または必要に応じてこれを甲に報告するものとする。 3 乙は、第1項により選任された責任者に変更がある場合は、直ちに甲に届け出る。 (納入物件及び納入期限)第4条 納入物件、納入期限及びその他納入に関する事項については、別紙仕様書のとおりとする。 (契約金額)第5条 甲が本契約の対価として乙に支払うべき契約金額は、金○○，○○○，○○○円(うち消費税及び地方消費税○，○○○，○○○円)とし、各々の納入物件に対する内訳は以下のとおりとする。 納入物件 契約金額(内訳)第1回納入 金○○，○○○，○○○円(うち消費税及び地方消費税○，○○○，○○○円)第2回納入 金○○，○○○，○○○円(うち消費税及び地方消費税○，○○○，○○○円)(権利義務の譲渡)第6条 乙は、本契約によって生じる権利又は義務を第三者に譲渡し、又は承継させてはならない。 (実地調査)第7条 甲は、必要があると認めるときは、乙に対し、自ら又はその指名する第三者をして、請負業務の実施状況等について、報告又は資料を求め、若しくは事業所に臨んで実地に調査を行うことができ20 / 69る。 2 前項において、甲は乙に意見を述べ、補足資料の提出を求めることができる。 (検査)第8条 甲は、各々の納入物件の納入を受けた日から10日以内に、当該納入物件について別紙仕様書及び提案書に基づき検査を行い、同仕様書及び提案書に定める基準に適合しない事実を発見したときは、当該事実の概要を書面によって遅滞なく乙に通知する。 2 各々の納入物件について、前項所定の期間内に同項所定の通知が無いときは、当該期間満了日をもって当該納入物件は同項所定の検査に合格したものとみなす。 3 請負業務は、すべての当該納入物件が本条による検査に合格した日をもって完了とする。 。 4 第1項及び第2項の規定は、第1項所定の通知書に記載された指摘事実に対し、乙が適切な修正等を行い甲に再納入する場合に準用する。 (契約不適合責任)第9条 甲は、請負業務完了の日から1年以内に各々の納入物件その他請負業務の成果に種類、品質又は数量に関して仕様書及び提案書の記載内容に適合しない事実(以下「契約不適合」という。)を発見したときは、相当の催告期間を定めて、甲の承認または指定した方法により、その契約不適合の修補、代品との交換又は不足分の引渡しによる履行の追完を乙に請求することができる。 但し、発見後合理的期間内に乙に通知することを条件とする。 2 前項において、乙は、前項所定の方法以外の方法による修補等を希望する場合、修補等に要する費用の多寡、甲の負担の軽重等に関わらず、甲の書面による事前の同意を得なければならない。 この場合、甲は、事情の如何を問わず同意する義務を負わない。 3 第1項において催告期間内に修補等がないときは、甲は、その選択に従い、本契約を解除し、またはその不適合の程度に応じて代金の減額を請求することができる。 ただし、次の各号のいずれかに該当する場合は、第1項に関わらず、催告なしに直ちに解除し、または代金の減額を請求することができる。 一 修補等が不能であるとき。 二 乙が修補等を拒絶する意思を明確に表示したとき。 三 契約の性質又は当事者の意思表示により、特定の日時又は一定の期間内に修補等をしなければ契約の目的を達することができない場合において、乙が修補等をしないでその時期を経過したとき。 四 前各号に掲げる場合のほか、甲が第１項所定の催告をしても修補等を受ける見込みがないことが明らかであるとき。 4 第１項で定めた催告期間内に修補等がなされる見込みがないと合理的に認められる場合、甲は、前項本文に関わらず、催告期間の満了を待たずに本契約を解除することができる。 5 前各項において、甲は、乙の責めに帰すべき事由による契約不適合によって甲が被った損害の賠償を、別途乙に請求することができる。 6 本条は、本契約終了後においても有効に存続するものとする。 (対価の支払及び遅延利息)第10条 甲は、第8条第2項の規定による検査の合格又は第8条第3項の規定による請負業務の完了後、乙から適法な支払請求書を受理した日の属する月の翌月末日までに契約金額を支払う。 なお、支払いに要する費用は甲の負担とする。 2 甲が前項の期日までに対価を支払わない場合は、その遅延期間における当該未払金額に対して、財務大臣が決定する率(政府契約の支払遅延に対する遅延利息の率(昭和24年12月12日大蔵省告示第991号))によって、遅延利息を支払うものとする。 3 乙は、請負業務の履行途中までの成果に対しては、事由の如何を問わず、何らの支払いもなされないことを確認し了解する。 (遅延損害金)第11条 各々の納入物件について、天災地変その他乙の責に帰すことができない事由による場合を除き、乙が納入期限までに納入物件の納入が終らないときは、甲は遅延損害金として、延滞日数1日につき契約金額の1,000分の1に相当する額を徴収することができる。 2 前項の規定は、納入遅延となった後に本契約が解除された場合であっても、解除の日までの日数に対21 / 69して適用するものとする。 (契約の変更)第 12 条 甲及び乙は、本契約の締結後、次の各号に掲げる事由が生じた場合は、甲乙合意のうえ本契約を変更することができる。 一 仕様書及び提案書その他契約条件の変更(乙に帰責事由ある場合を除く。)。 二 天災地変、著しい経済情勢の変動、不可抗力その他やむを得ない事由に基づく諸条件の変更。 三 税法その他法令の制定又は改廃。 四 価格に影響のある技術変更提案の実施。 2 前項による本契約の変更は、納入物件、納期、契約金額その他すべての契約内容の変更の有無・内容等についての合意の成立と同時に効力を生じる。 なお、本契約の各条項のうち変更の合意がない部分は、本契約の規定内容が引き続き有効に適用される。 (契約の解除等)第13条 甲は、第9条による場合の他、次の各号の一に該当するときは、催告の上、本契約の全部又は一部を解除することができる。 但し、第4号乃至第6号の場合は催告を要しない。 一 乙が本契約条項に違反したとき。 二 乙が天災地変その他不可抗力の原因によらないで、納入期限までに本契約の全部又は一部を履行しないか、又は納入期限までの納入が見込めないとき。 三 乙が甲の指示に従わないとき、その職務執行を妨げたとき、又は談合その他不正な行為があったとき。 四 乙が破産手続開始の決定を受け、その他法的整理手続が開始したこと、資産及び信用の状態が著しく低下したと認められること等により、契約の円滑な履行が困難と認められるとき。 五 天災地変その他乙の責に帰すことができない事由により、各々の納入物件を納入する見込みがないと認められるとき。 六 乙が、甲が正当な理由と認める理由により、本契約の解除を申し出たとき。 2 乙は、甲がその責に帰すべき事由により、本契約上の義務に違反した場合は、相当の期間を定めて、その履行を書面で催告し、その期間内に履行がないときは、本契約を解除することができる。 3 乙の本契約違反の程度が著しく、または乙に重大な背信的言動があった場合、甲は第1項にかかわらず、催告せずに直ちに本契約を解除することができる。 4 甲は、第1項第1号乃至第4号又は前項の規定により本契約を解除する場合は、違約金として契約金額の100分の10に相当する金額(その金額に100円未満の端数があるときはその端数を切り捨てる。)を乙に請求することができる。 5 前項の規定は、甲に生じた実際の損害額が同項所定の違約金の額を超える場合において、甲がその超える部分について乙に対し次条に規定する損害賠償を請求することを妨げない。 (損害賠償)第14条 乙は、乙の責に帰すべき事由によって甲又は第三者に損害を与えたときは、その被った損害を賠償するものとする。 ただし、乙の負う賠償額は、乙に故意又は重大な過失がある場合を除き、第 5条所定の契約金額を超えないものとする。 2 第11条所定の遅延損害金の有無は、前項に基づく賠償額に影響を与えないものとする。 (違約金及び損害賠償金の遅延利息)第15条 乙が、第13条第4項の違約金及び前条の損害賠償金を甲が指定する期間内に支払わないときは、乙は、当該期間を経過した日から支払をする日までの日数に応じ、年3パーセントの割合で計算した金額の遅延利息を支払わなければならない。 (秘密保持及び個人情報)第16条 甲及び乙は、相互に本契約の履行過程において知り得た相手方の秘密を他に漏洩せず、また本契約の履行に必要な範囲を超えて利用しない。 ただし、甲が、法令等、官公署の要求、その他公益的見地に基づいて、必要最小限の範囲で開示する場合を除く。 2 個人情報に関する取扱いについては、別添「個人情報の取扱いに関する特則」のとおりとする。 3 本条は、本契約終了後も有効に存続する。 22 / 69(知的財産権)第17条 請負業務の履行過程で生じた著作権(著作権法第27条及び第28条に定める権利を含む。)、発明(考案及び意匠の創作を含む。 )及びノウハウを含む産業財産権(特許その他産業財産権を受ける権利を含む。)(以下「知的財産権」という。)は、乙又は国内外の第三者が従前から保有していた知的財産権を除き、第8条第3項の規定による請負業務完了の日をもって、乙から甲に自動的に移転するものとする。 なお、乙は、甲の要請がある場合、登録その他の手続きに協力するものとする。 2 乙は、請負業務の成果に乙が従前から保有する知的財産権が含まれている場合は、前項に規定する移転の時に、甲に対して非独占的な実施権、使用権、第三者に対する利用許諾権(再利用許諾権を含む。)、その他一切の利用を許諾したものとみなし、第三者が従前から保有する知的財産権が含まれている場合は、同旨の法的効果を生ずべき適切な法的措置を、当該第三者との間で事前に講じておくものとする。 なお、これに要する費用は契約金額に含まれるものとする。 3 乙は、甲及び甲の許諾を受けた第三者に対し、請負業務の成果についての著作者人格権、及び著作権法第28条の権利その他“原作品の著作者／権利者”の地位に基づく権利主張は行わないものとする。 (知的財産権の紛争解決)第18条 乙は、請負業務の成果が、甲及び国内外の第三者が保有する知的財産権(公告、公開中のものを含む。)を侵害しないことを保証するとともに、侵害の恐れがある場合、又は甲からその恐れがある旨の通知を受けた場合には、当該知的財産権に関し、甲の要求する事項及びその他の必要な事項について遅滞なく調査を行い、これを速やかに甲に書面で報告しなければならない。 2 乙は、知的財産権に関して甲を当事者または関係者とする紛争が生じた場合(私的交渉、仲裁を含み、法的訴訟に限らない。)、その費用と責任において、その紛争を処理解決するものとし、甲に対し一切の負担及び損害を被らせないものとする。 3 第9条の規定は、知的財産権に関する紛争には適用しない。 また、本条は、本契約終了後も有効に存続する。 (成果の公表等)第19条 甲は、請負業務完了の日以後、請負業務の成果を公表、公開及び出版(以下「公表等」という。)することができる。 2 甲は、乙の承認を得て、請負業務完了前に、予定される成果の公表等をすることができる。 3 乙は、成果普及等のために甲が成果報告書等を作成する場合には、甲に協力する。 4 乙は、甲の書面による事前の承認を得た場合は、その承認の範囲内で請負業務の成果を公表等することができる。 この場合、乙はその具体的方法、時期、権利関係等について事前に甲と協議してその了解を得なければならない。 なお、甲の要請がある場合は、甲と共同して行う。 5 乙は、前項に従って公表等しようとする場合には、著作権表示その他法が定める権利表示と共に「独立行政法人情報処理推進機構が実施する事業の成果」である旨を、容易に視認できる場所と態様で表示しなければならない。 6 本条の規定は、本契約終了後も有効に存続する。 (協議)第20条 本契約の解釈又は本契約に定めのない事項について生じた疑義については、甲乙協議し、誠意をもって解決する。 (その他)第21条 本契約に関する訴えの第一審は、甲の所在地を管轄する地方裁判所の管轄に専属する。 特記事項(談合等の不正行為による契約の解除)第1条 甲は、次の各号のいずれかに該当したときは、契約を解除することができる。 一 本契約に関し、乙が私的独占の禁止及び公正取引の確保に関する法律(昭和 22 年法律第 54 号。 以下同じ。 )であるとき二 役員等が、自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもって、暴力団又は暴力団員を利用するなどしているとき三 役員等が、暴力団又は暴力団員に対して、資金等を供給し、又は便宜を供与するなど直接的あるいは積極的に暴力団の維持、運営に協力し、若しくは関与しているとき四 役員等が、暴力団又は暴力団員であることを知りながらこれと社会的に非難されるべき関係を有しているとき(再請負契約等に関する契約解除)第5条 乙は、本契約に関する再請負先等(再請負先(下請が数次にわたるときは、すべての再請負先を含む。)並びに自己、再請負先が当該契約に関連して第三者と何らかの個別契約を締結する場合の当該24 / 69第三者をいう。 以下同じ。 )が解除対象者(前条に規定する要件に該当する者をいう。以下同じ。)であることが判明したときは、直ちに当該再請負先等との契約を解除し、又は再請負先等に対し解除対象者との契約を解除させるようにしなければならない。 2 甲は、乙が再請負先等が解除対象者であることを知りながら契約し、若しくは再請負先等の契約を承認したとき、又は正当な理由がないのに前項の規定に反して当該再請負先等との契約を解除せず、若しくは再請負先等に対し契約を解除させるための措置を講じないときは、本契約を解除することができる。 (損害賠償)第 6 条 甲は、第 4 条又は前条第 2 項の規定により本契約を解除した場合は、これにより乙に生じた損害について、何ら賠償ないし補償することは要しない。 2 乙は、甲が第4条又は前条第2項の規定により本契約を解除した場合において、甲に損害が生じたときは、その損害を賠償するものとする。 3 乙が、本契約に関し、第4条又は前条第2項の規定に該当したときは、甲が本契約を解除するか否かにかかわらず、かつ、甲が損害の発生及び損害額を立証することを要することなく、乙は、契約金額(本契約締結後、契約金額の変更があった場合には、変更後の契約金額)の100分の10に相当する金額(その金額に 100 円未満の端数があるときは、その端数を切り捨てた金額)を違約金として甲の指定する期間内に支払わなければならない。 4 前項の規定は、本契約による履行が完了した後も適用するものとする。 5 第2項に規定する場合において、乙が事業者団体であり、既に解散しているときは、甲は、乙の代表者であった者又は構成員であった者に違約金の支払を請求することができる。 この場合において、乙の代表者であった者及び構成員であった者は、連帯して支払わなければならない。 6 第3項の規定は、甲に生じた実際の損害額が同項に規定す違約金の金額を超える場合において、甲がその超える分について乙に対し損害賠償金を請求することを妨げるものではない。 7 乙が、第3項の違約金及び前項の損害賠償金を甲が指定する期間内に支払わないときは、乙は、当該期間を経過した日から支払をする日までの日数に応じ、年 3 パーセントの割合で計算した金額の遅延利息を甲に支払わなければならない。 (不当介入に関する通報・報告)第7条 乙は、本契約に関して、自ら又は再請負先等が、暴力団、暴力団員、暴力団関係者等の反社会的勢力から不当要求又は業務妨害等の不当介入(以下「不当介入」という。)を受けた場合は、これを拒否し、又は再請負先等をして、これを拒否させるとともに、速やかに不当介入の事実を甲に報告するとともに警察への通報及び捜査上必要な協力を行うものとする。 25 / 69本契約の締結を証するため、本契約書2通を作成し、双方記名押印の上、甲、乙それぞれ1通を保有する。 20○○年○月○日甲 東京都文京区本駒込二丁目28番8号独立行政法人情報処理推進機構理事長 齊藤 裕乙 ○○県○○市○○町○丁目○番○○号株式会社○○○○○○○代表取締役 ○○ ○○26 / 69(別添)個人情報の取扱いに関する特則(定義)第1条 本特則において、「個人情報」とは、業務に関する情報のうち、個人に関する情報であって、当該情報に含まれる記述、個人別に付された番号、記号その他の符号又は画像もしくは音声により当該個人を識別することのできるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できるものを含む。)をいい、秘密であるか否かを問わない。 以下各条において、「当該個人」を「情報主体」という。 (責任者の選任)第2条 乙は、個人情報を取扱う場合において、個人情報の責任者を選任して甲に届け出る。 2 乙は、第1項により選任された責任者に変更がある場合は、直ちに甲に届け出る。 (個人情報の収集)第3条 乙は、業務遂行のため自ら個人情報を収集するときは、「個人情報の保護に関する法律」その他の法令に従い、適切且つ公正な手段により収集するものとする。 (開示・提供の禁止)第4条 乙は､個人情報の開示・提供の防止に必要な措置を講じるとともに、甲の事前の書面による承諾なしに、第三者(情報主体を含む)に開示又は提供してはならない。 ただし、法令又は強制力ある官署の命令に従う場合を除く。 2 乙は、業務に従事する従業員以外の者に、個人情報を取り扱わせてはならない。 3 乙は、業務に従事する従業員のうち個人情報を取り扱う従業員に対し、その在職中及びその退職後においても個人情報を他人に開示・提供しない旨の誓約書を提出させるとともに、随時の研修・注意喚起等を実施してこれを厳正に遵守させるものとする。 (目的外使用の禁止)第5条 乙は､個人情報を業務遂行以外のいかなる目的にも使用してはならない。 (複写等の制限)第 6 条 乙は､甲の事前の書面による承諾を得ることなしに、個人情報を複写又は複製してはならない。 ただし、業務遂行上必要最小限の範囲で行う複写又は複製については、この限りではない。 (個人情報の管理)第7条 乙は､個人情報を取り扱うにあたり、本特則第4条所定の防止措置に加えて、個人情報に対する不正アクセスまたは個人情報の紛失、破壊、改ざん、漏えい等のリスクに対し、合理的な安全対策を講じなければならない。 2 乙は、前項に従って講じた措置を、遅滞なく甲に書面で報告するものとする。 これを変更した場合も同様とする。 3 甲は、乙に事前に通知の上乙の事業所に立入り、乙における個人情報の管理状況を調査することができる。 4 前三項に関して甲が別途に管理方法を指示するときは、乙は、これに従わなければならない。 5 乙は、業務に関して保管する個人情報(甲から預託を受け、或いは乙自ら収集したものを含む)について甲から開示・提供を求められ、訂正・追加・削除を求められ、或いは業務への利用の停止を求められた場合、直ちに且つ無償で、これに従わなければならない。 (返還等)第8条 乙は、甲から要請があったとき、又は業務が終了(本契約解除の場合を含む)したときは、個人情報が含まれるすべての物件(これを複写、複製したものを含む。)を直ちに甲に返還し、又は引き渡すとともに、乙のコンピュータ等に登録された個人情報のデータを消去して復元不可能な状態とし、その旨を甲に報告しなければならない。 ただし、甲から別途に指示があるときは、これに従うものとする。 2 乙は、甲の指示により個人情報が含まれる物件を廃棄するときは、個人情報が判別できないよう必要27 / 69な処置を施した上で廃棄しなければならない。 (記録)第9条 乙は、個人情報の受領、管理、使用、訂正、追加、削除、開示、提供、複製、返還、消去及び廃棄についての記録を作成し、甲から要求があった場合は、当該記録を提出し、必要な報告を行うものとする。 2 乙は、前項の記録を業務の終了後5年間保存しなければならない。 (再請負)第10条 乙が甲の承諾を得て業務を第三者に再請負する場合は、十分な個人情報の保護水準を満たす再請負先を選定するとともに、当該再請負先との間で個人情報保護の観点から見て本特則と同等以上の内容の契約を締結しなければならない。 この場合、乙は、甲から要求を受けたときは、当該契約書面の写しを甲に提出しなければならない。 2 前項の場合といえども、再請負先の行為を乙の行為とみなし、乙は、本特則に基づき乙が負担する義務を免れない。 (事故)第11条 乙において個人情報に対する不正アクセスまたは個人情報の紛失、破壊、改ざん、漏えい等の事故が発生したときは、当該事故の発生原因の如何にかかわらず、乙は、ただちにその旨を甲に報告し、甲の指示に従って、当該事故の拡大防止や収拾・解決のために直ちに応急措置を講じるものとする。 なお、当該措置を講じた後ただちに当該事故及び応急措置の報告並びに事故再発防止策を書面により甲に提示しなければならない。 2 前項の事故が乙の本特則の違反に起因する場合において、甲が情報主体又は甲の顧客等から損害賠償請求その他の請求を受けたときは、甲は、乙に対し、その解決のために要した費用(弁護士費用を含むがこれに限定されない)を求償することができる。 なお、当該求償権の行使は、甲の乙に対する損害賠償請求権の行使を妨げるものではない。 3 第1項の事故が乙の本特則の違反に起因する場合は、本契約が解除される場合を除き、乙は、前二項のほか、当該事故の善後策として必要な措置について、甲の別途の指示に従うものとする。 以上28 / 69Ⅲ．仕様書「セキュリティ要件適合評価及びラベリング制度におけるWebシステム開発(フェーズ２)及び保守業務」仕 様 書29 / 69目次1. はじめに ・・・・・・・・・・・・・・・・・・・ 302. 開発方針 ・・・・・・・・・・・・・・・・・・・ 303. 開発範囲 ・・・・・・・・・・・・・・・・・・・ 334. 業務要件 ・・・・・・・・・・・・・・・・・・・ 375. 機能要件 ・・・・・・・・・・・・・・・・・・・ 376. 非機能要件 ・・・・・・・・・・・・・・・・・・・ 387. システムのシステム引継ぎ及び引渡しについて ・・・・・ 438. テスト要件 ・・・・・・・・・・・・・・・・・・・ 479. 保守要件 ・・・・・・・・・・・・・・・・・・・ 4810. プロジェクト管理に関する要件 ・ ・・・・・・・・・・・ 5130 / 691. はじめに独立行政法人情報処理推進機構(IPA)は、2024年8月23日に経済産業省が発表した「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づき、「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」を運用している。 JC-STARの目的は、適切なセキュリティ対策が施されたIoT製品の普及を促進し、セキュリティの向上を図ることである。 一定のセキュリティ要件を満たした IoT 製品には適合ラベルが付与され、このラベルを通じて利用者や調達者が簡単にセキュアなIoT製品を選択・購入できるようにするものである。 JC-STARは 2025年 3月 25日に運用開始した制度であり、IPA はそれに先立ち、「適合ラベルの発行」と「製品情報の適切な提供」を行うためのフェーズ 1 システムを構築した。 開発は二つのフェーズに分かれており、2025年3月25日のJC-STAR運用開始時から使用するフェーズ1システムは、限定的な機能のみが実装されたシステムである。 今後、JC-STARが普及するにつれIPAの業務負荷が高まることが想定されるため、本調達によりJC-STARの運用を効率的に行うために必要となる全ての機能を実装するフェーズ2システム(以下「本システム」という。)を構築することとする。 1.1 本システムの目的フェーズ 1 システムでは、当初予定していた機能のシステム化を一部見送った結果、ラベル発行と情報提供を中心とした機能の実装にとどまっている。 特に、フェーズ 1 システムが未実装の事務処理機能については、今後の業務増加に備えるため、システム化する必要がある。 したがって、本調達において、フェーズ 1 システムが実装するラベル発行機能と情報提供機能の強化に加えて、事務処理機能の新規開発を行う。 また、フェーズ 1 開発時には想定されていなかったガバメントクラウドへの対応が必須となったため、本システムはガバメントクラウド環境での運用に対応するとともに、ゼロトラスト等のセキュリティ要件を満たす設計・実装を行う。 1.2 用語の定義用語の定義については、要件定義書1.2を参照すること1.3 調達範囲請負者は、本調達仕様書に基づき、ガバメントクラウドの利用申請支援(3.2.4 参照)、本システムの開発(3.開発範囲 参照)及び本システムの保守(９. 保守要件 参照)を行うこと。 それぞれの具体的要求事項については、括弧内に示す章を参照すること。 なお、本調達において、請負者が開発のために独自にクラウドサービスを利用する場合には、必要なクラウドサービスの利用料を含めること。 一方、ガバメントクラウド利用料は含めないこと。 2. 開発方針本システムは今後、業務拡大に伴う機能拡張等が続くと想定されるため、継続的な価値提供実現のために、開発・運用フェーズの生産性・利便性を考慮したうえで現実的な選択肢を採用すること。 各方針の適用についてメリット・デメリットなどを踏まえた考え方を提案書に記載すること。 2.1アーキテクチャ本システムはクラウドネイティブの構成として、AWSクラウドサービスの提供機能を最大限活用するようデザインされたアーキテクチャとすること。 (1) 「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針」および「ガバメントクラウドの全般的なガイド リファレンスアーキテクチャ」に基づき、運用コスト削減や柔軟なリソースの増減等の観点からシステムのモダン化を考慮し、またセキュリティの観点からゼロトラストを考慮したクラウドネイティブとすること。 ※本システムは、ガバメントクラウドの利用を想定している。 ＜政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針＞https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a031 / 696143-ed29-4f1d-9c31-0f06fca67afc/5167e265/20230929_resources_standard_guidelines_guideline_01.pdf＜ガバメントクラウドの全般的なガイド リファレンスアーキテクチャ＞https://guide.gcas.cloud.go.jp/general/quotation-request-procurementモダン化に関しては、次のデジタル庁GCASガイド「ガバメントクラウドにおけるモダン化の定義」を参考にすること。 ＜ガバメントクラウドにおけるモダン化の定義＞https://guide.gcas.cloud.go.jp/general/modernization-definition(2) 本事業の実施においてクラウドサービスを利用する場合、経済産業省が公表する「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」に記載されている情報セキュリティ対策を行うこと。 また、以下のいずれかの要件を満たすこと。 ISMAP クラウドサービスリストまたは ISMAP-LIU クラウドサービスリスト(以下、「ISMAP 等クラウドサービスリスト」という。)に掲載されていること。 ISMAP等クラウドサービスリストに掲載される予定があり、その申請時期が明確に示されていること。 ISMAP 管理基準の管理策基準が求める対策と同等以上の水準を満たしている事が確認できる情報を提供可能なこと。 ＜クラウドサービス利用のための情報セキュリティマネジメントガイドライン＞https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudsec2013fy.pdf(3) データ項目や操作性について変更が生じる可能性があることや、リリース後の機能強化もあるため、機能変更/追加や新技術の採用が容易にでき、稼働中のサービスを停止することなくシステム公開ができるアーキテクチャを採用すること。 2.2開発方式(1) 開発に当たっては、継続的インテグレーション・継続的デリバリー(以下、「CI/CD」という。)を可能とし、必要な要素(開発環境、検証環境等)一式をその対象とすること。 (2) 統合開発環境(エディタ、コンパイラ、デバッガなどプログラミング支援機能を含む)等は、請負者が用意すること。 また品質向上のため、リポジトリ管理、プロジェクト管理の効率化を目的としたプロジェクト関係者間のコラボレーション促進機能等の提案があれば望ましい。 (3) これらの開発環境については運用・保守事業者に引き継ぐことを想定し、可能な限りクラウド提供のCI/CDパイプラインもしくはマネージドサービス等と連携してクラウド環境に構築すること。 - 申請に必要な設計資料の作成(システム構成図、ネットワーク構成、アーキテクチャ説明、セキュリティ対策一覧等)- クラウド利用料の試算(初期費用・運用費用を含む)、前提条件と計算根拠の提示- デジタル庁からの照会・指摘対応(回答案の作成、図面・試算の修正)- IPAおよびデジタル庁との事前調整のための打合せ参加- 最終申請書類の整合性確認と提出準備支援3.3 環境要件3.3.1 開発環境• 作業場所、開発機器設置場所、備品・消耗品は請負者が自ら用意し管理すること。 入退室管理や情報取り扱いについても請負者責任で実施すること。 • 要件・仕様に沿った設計・開発が実施できる環境を整備すること。 • ネットワークはセキュアなものとし、作業場所のアクセス制御を徹底すること。 3.3.2 プロジェクト管理環境• ISMAP(Information Security Management Assessment Program)に準拠したプロジェクト管理環35 / 69境を整備し、必要なセキュリティ対策を講じること。 • IPAがアクセス可能なアカウントを提供すること。 3.3.3 CI/CD環境(必要であれば)• 継続的インテグレーション(自動ビルド・テスト・コード品質チェック・セキュリティスキャン含む)• 継続的デリバリー(自動デプロイメントパイプライン、ロールバック機能含む)3.4 成果物No. 成果物 内容 形式 部数1 システム構成図、クラウドサービス利用料試算資料ガバメントクラウド利用申請 Word/PDF 一式2 要件定義書、基本設計書、詳細設計書仕様書に基づく要件定義、基本設計、詳細設計書、DB 設計書、画面設計書、ソフトウェア構成、UI/UXモックアップを含む。 Word/PDF 一式3 テスト計画書、テスト仕様書、テスト結果報告書単体テスト、結合テスト、総合テスト等の計画、仕様及び結果報告。 Word/PDF,Excel等一式4 品質計画書、品質管理報告書 品質保証責任者名、品質管理方法、品質向上状況、定量的検査結果を含む品質管理報告。 Word/PDF 一式5 ソースコード、実行プログラム、設定ファイル、プログラムステップ数開発した全プログラムのソースコード、実行プログラム。 オープンソース等利用時は公開されているソースコードも含む。 設定ファイル含む。 Git/YAML等 一式6 プロジェクト管理関連データ プロジェクト計画書、プロジェクト結果報告書等。 課題管理書Word/PDF 一式7 利用マニュアル IPA 内外の利用者向けシステム利用方法マニュアル。 Word/PDF 一式8 教育及び訓練計画書、教育及び訓練テキスト教育・訓練計画および IPA 運用管理者が使用する訓練テキスト。 Word/PDF 一式9 構築手順書、初期データ設定書、初期データセット、システム管理マニュアル、障害対応手順書システム構築・増設手順、稼働時設定データ及び設定方法、日常管理手順、障害切り分けおよびシステム動作確認手順を含む資料群。 運用保守計画書、リスク管理表Word/PDF 一式• 成果物は各納入期限(3.7.2 参照)までに提出し、作成着手前に取り決めた内容・記載レベルについてIPAの承認を得ること。 • 上記以外にも、プロジェクト進行中の報告書、議事録、課題管理票等のドキュメントも適宜 IPAに提出すること。 • 電子データ形式で納入し、納入方法・形式はIPA指定の様式に従うこと。 • 運用・保守の報告書は、月次報告に相当する情報でもダッシュボード等自動的な可視化ツールで賄える範囲はドキュメント化しないことにより、真に必要な報告事項・調整事項のみに絞ってドキュメント化し、報告書作成⼯数を削減すること。 3.5 スケジュール3.5.1 全体スケジュール・マイルストーン＜ガバメントクラウド申請支援＞2026年6月中旬～2026年8月下旬 :ガバメントクラウド利用申請支援＜開発＞2026年6月中旬 :キックオフ2026年6月下旬 :要件定義書の精査・読み合わせ36 / 692026年6月下旬～2027年1月下旬 :設計・実装・テスト2026年8月下旬 :UI/UXモックアップ完了2027年1月下旬 :脆弱性テスト2027年2月 :受入2027年2月 :第１回納品＜データ移行＞2027年3月 :データ移行＜保守＞2027年4月～2028年3月 :システム保守2028年4月 :第２回納品3.6 IPAと請負者の役割と責任工程 IPA 請負者 備考プロジェクト管理 ◎承認 ●主担当 進捗・品質・リスク管理要件定義書の精査・読み合わせ◎承認 ●主担当 リバース解説: 請負者がIPAに対し、要件定義書をどう解釈したかを説明する設計・開発(構築) ◎承認 ●主担当 技術要件・設計承認UI,UXモックアップ ◎承認 ●主担当 UI,UXの承認単体テスト ◎承認 ●主担当 テスト結果確認結合テスト ◎承認、▲支援 ●主担当 テストシナリオ確認総合テスト ◎承認、▲支援 ●主担当 業務シナリオテスト受入テスト ●主担当、◎承認 ▲支援 IPA主導で実施脆弱性テスト ●主担当、◎承認 ▲支援 外部業者によるテストデータ移行 ◎承認 ●主担当 移行計画マニュアル作成 ◎承認、▲支援 ●主担当導入 ◎承認、▲支援 ●主担当プロジェクト評価 ●主担当 ▲支援運用移行 ◎承認、▲支援 ●主担当 本番移行及び運用開始3.7 納入要件3.7.1 設置場所• ガバメントクラウドが提供するクラウドサービス上に構築すること。 • 運用・保守に際し、機能・非機能要件を満たすクラウドサービスを選定すること。 3.7.2 納入物件および納入期限納入回 納入期限(日本時間) 納入物件第1回納入 2027年2月26日(金)17:00 「3.4 成果物」に定めるもの第2回納入 2028年4月3日 (月)17:00 本業務の納品物は、保守運用実施報告書(月次報告書を取りまとめたもの)とし、電子媒体とする。 • 本調達は分割納入・分割検収方式を採用。 • 電子的にクラウド環境に納入し、納品完了後、下記住所へ連絡を行う。 3.7.3 納入場所東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス16階独立行政法人情報処理推進機構 セキュリティセンター 技術評価部3.8 検収要件納入物件は、本仕様書で定める全ての要件を満たすこと。 検収は2回に分割して実施する。 第1回、システム開発部分の検収37 / 69① 納品物：本仕様書及び要件定義書に基づき開発されたシステム一式② 検収基準：受入試験(UAT)を実施し、要件を満たすこと第2回、保守運用部分の検収① 対象範囲：システム稼働後の保守・運用業務② 検収基準：合意済みサービスレベル(SLA)を満たすこと4. 業務要件要件定義書を参照5. 機能要件要件定義書を参照5.1 画面要件現時点で想定している画面要件を以下に示す。 ユーザインターフェース• 人間中心設計に基づき、ストレスのない導線、誤操作のないUIをデザインする。 • 「DS-680.2 ウェブコンテンツガイドライン」に準拠する。 参考URLhttps://mf2apg02.marsflag.com/digital__all__customelement/clf.x?c=1768958354113&mode=__ALL__&s=rP1Jouqiz0SKEb4Ov36aJN68zPnUySfvB3OGWVJKF6ORC2QcEofybJeaQVZ2FQgIOxjEVCj9XkMLkJatoRg33Yjil7lF0tB_k_olgwsw3XlUiS7t0vx6B-R4elgKkW5JMwGH7BfsYxbL75EEIMJuXGBdo_E8vm3GbSFZbTM37El2h0MI7Xt12e1cpiY_6qlPegw4mo7h4AfaHGJOFJSWvukyCgmLAAFqeSYYH3avqAtjSXE5G6JhJEbKJMbgBPoCDKFI6OVMkxFIblghHIzqFjOQhbL_-y0JvlhxlXW33P3UNmaRXMiZAa5frdqx4wv6&v=1768958350453Webデザイン• レスポンシブデザインにして、PC、スマートフォン、タブレット端末等の異なるデバイスに対して表示内容が最適化される設計とすること。 • 対応ブラウザは、Edge、Google Chrome、Safari等の主要なブラウザとすること。 それぞれ最新バージョンが動作するものであること。 • 文字コード指定等で文字が正しく表示されること。 5.2 ラベルの仕様• URL情報を二次元コード化(モデル 2、バージョン 6、誤り訂正レベル M、１セル当たり0.28mm、プリンタ解像度360dpi)• サイズ：幅41㎜×高さ21㎜• 二次元コード、登録番号を配置ラベルイメージ上記は適合レベルが「★1」の場合の例示である。 適合レベルは、この他に 3 段階あり、発行する適合ラベルの種類は、下記も含めた 4 種類から選択できるようにすること。 二次元コード登録番号(16桁)38 / 696. 非機能要件6.1 性能・拡張性要件(1) 前提条件システムの性能目標を設定するにあたり前提となる事項は記載のとおり。 スループット要件• 同時接続ユーザー数: 200ユーザー• ピーク時処理能力: 500リクエスト/分• 申請処理能力: 100申請/日• 検索処理能力: 1,000検索/分• ファイルダウンロード: 50ダウンロード/分(2) レスポンス時間要件処理種別 目標値 最大値 測定条件画面表示 1秒以内 3秒以内 一般的な画面遷移検索処理 2秒以内 5秒以内 1,000件以下の結果ファイルアップロード 10秒以内 30秒以内 100MB以下のファイルレポート生成 30秒以内 2分以内 月次レポート程度バッチ処理 2時間以内 4時間以内 日次バッチ処理(3) 拡張性システムは、利用者等のデータ量・アクセス数の増加に備え柔軟にリソースを拡張できるよう配慮されていること。 6.2 可用性•信頼性要件(1) 稼働前提計画的なメンテナンスを除いて、原則24時間365日の稼働を前提とする。 6.2.1 可用性要件項目 目標値 備考稼働率 99.0%以上 年間ダウンタイム87.6時間以内計画停止 月1回、深夜2-4時 最大2時間二次元コード二次元コード二次元コード39 / 69障害復旧 平日日中24時間以内 深夜•休日は次営業日対応データ整合性 99.99%以上 データ整合性保証6.2.2 障害対応要件障害レベル RPO 復旧データ バックアップ頻度システム障害 直前バックアップ 最新時点 リアルタイム同期データ障害 日次バックアップ 24時間以内 日次自動バックアップ災害時 週次バックアップ 1週間以内 週次オフサイトバックアップ6.3 セキュリティ要件本システムは、セキュリティについて十分に考慮し対策を講じたシステムであり、システムのセキュアな環境の監視、維持、及び利用者が安心してシステムを利用できる環境を実現すること。 また、後述するセキュリティ対策方針、セキュリティ要件、セキュリティ対策の改善を遵守し、十分にセキュリティ対策を講じたシステムとすること。 6.3.1 セキュリティ対策方針(A) IPA が提示するセキュリティポリシーを遵守すること。 情報に対する不正アクセス、情報漏えい及び改ざんを防止するため、機密性、完全性及び可用性の観点で対策を行うこと。 (B) 「政府機関等の情報セキュリティ対策のための統一基準」等を参考にすること。 https://www.cyber.go.jp/policy/group/general/kijun.html(C) 開発作業及びシステムに影響を及ぼす可能性がある作業、物品、及びシステムに対し、事前に予測できる範囲内で適切なセキュリティ対策を行うこと。 (D) 新支援士システムを構成するソフトウェア等では十分なセキュリティ対策を講じることが困難な場合は、多層防御によりシステム全体のセキュリティを担保すること。 (E) 現在の技術で実現可能な対策を具体的な方法で行うこと。 (F) ウェブアプリケーションの構築、運用・保守に際しては、IPA が公表している「安全なウェブサイトの作り方」の最新版に従うこと。 https://www.ipa.go.jp/security/vuln/websecurity/index.html(G) TLS(SSL)通信を行うシステムの構築、運用・保守においては、「SSL/TLS暗号設定ガイドライン」に従うこと。 https://www.ipa.go.jp/security/vuln/ssl_crypt_config.html(H) 暗号化機能、電子署名機能を使用するシステムの構築、運用・保守に際しては、「電子政府推奨暗号リスト」に基づくアルゴリズム及びプロトコルを採用すること。 https://www.cryptrec.go.jp/list.html情報システムのライフサイクルを念頭においた脆弱性対策を行うこと。 (I) 「ガバメントクラウド利用システムにおけるセキュリティ対策(共通)」に対応すること。 https://guide.gcas.cloud.go.jp/general/security-techまた、ガバメントクラウド利用におけるCSPごとの詳細情報については「ガバメントクラウド利用概要」第3章「ガバナンス・セキュリティ」に対応すること。 https://guide.gcas.cloud.go.jp/general/overviewIaC とテンプレート適⽤による主要セキュリティ対策のデフォルト化と適切なセキュリティ管理をすること。 (J) ゼロトラストの考え方に基づいて全てのレイヤーでセキュリティ対策を検討し、エンド・ツー・エンドで、データの秘匿・保護を行い、動的に監視や認証等を実施すること。 6.3.2 セキュリティ要件開発及び運用・保守におけるセキュリティ要件を以下に示す。 サーバー攻撃等による様々なリスクに対抗できるセキュリティ対策を施すこと。 なお請負者が準備する開発環境等においても同等の対策を講じること。 (A) アクセス制御及び証跡(ア)本システムの実現に伴い新しく導入するクラウドサービスにおいて、アクセス制御機能を実装40 / 69し、請負者またはIPAのユーザ(開発担当者、管理者等)職責に応じた権限の付与及び制御ができること。 また、管理者アカウントに対し、多要素認証方式(AAL3 相当)、⼀般アカウントにおいても、多要素認証により主体認証情報の推測や盗難等のリスクの軽減を行うこと。 利用者の利便性を極力損なわない方式の提案であること。 (イ)運用・保守では、クラウドサービスに対するアクセス証跡(特に、特権ユーザ)を取得すること。 取得したアクセス証跡は必要に応じて参照可能であること。 (ウ)本システムの実現に伴い新しい機器を導入する必要がある場合は、各機器の時刻を基準となる機器と同期させ、アクセス証跡日時を統一すること。 (エ)管理者用ID等の特権ユーザがアクセス可能なIPアドレスを限定する等、特権ユーザの悪用に対する対策を行うこと。 (オ)請負者の作業用IDに関しても(エ)と同様の悪用に対する対策を行うとともに、所有するIDのリストとログイン履歴を定期的にIPAに報告すること。 (カ)請負者が開発のために利用する作業用PCは限定し、通常業務に使用するPCとは区別すること。 (B) 脆弱性対策(ア)調達するソフトウェア等がある場合、開発期間中にそれらについてメーカーから脆弱性に関する情報が公開されたとき、その脆弱性がもたらすリスクを分析の上、IPA に報告すること。 なお、脆弱性に関する情報は、継続的に収集する体制や仕組みが整備されていること。 (イ)脆弱性がもたらすリスクを分析した結果、対策が必要と判断されるときは、対策方法や暫定的な回避策及び対策方法等をIPAに報告し、暫定回避策がシステムに与える影響や対策の実施計画及び対策テストの必要性、対策テストの方法及び実施予定について協議の上、脆弱性対策プランを策定し迅速に対応可能な体制を構築すること。 (ウ)利用しないプロセスやサービスは停止すること。 (エ)脆弱性検査は IPAが委託した事業者が検証環境で実施する。 IPAはクラウドサービス事業者と、実施日、実施内容等について調整を行う。 検証環境へのプログラムのアップロード、クラウドサービスの設定等は請負者が実施すること。 脆弱性検査において発見された問題は、請負者とIPAで協議の上、対応内容や修正時期等を明確にして解消すること。 脆弱性検査で実施される想定内容を以下に記載する。 ・ SQL インジェクション脆弱性関連・ OS コマンドインジェクション脆弱性関連・ ディレクトリトラバーサル脆弱性関連・ セッション管理の脆弱性関連・ アクセス制御欠如と認可処理欠如の脆弱性関連・ クロスサイトスクリプティング脆弱性関連・ クロスサイトリクエストフォージェリ脆弱性関連・ メールヘッダ・HTTP ヘッダインジェクション脆弱性関連・ eval インジェクション脆弱性関連・ レースコンディション脆弱性関連・ バッファオーバーフロー脆弱性関連・ サーバーサイドリクエストフォージェリ脆弱性関連・ 権限昇格の脆弱性関連・ 認証・認可の脆弱性・ その他(クリックジャッキング脆弱性等)(C) ウイルス対策(ア)ウイルス対策ソフトウェアを導入し、ウイルスの検知及び除去を行うこと。 (イ)定期的にウイルスパターンファイル等の更新を自動的に行うこと。 (ウ)定期的にウイルスチェックを行うこと。 (エ)(ア)～(ウ)に関して、実行基盤に対し独自にウイルス対策を設定及び実行することが困難な場合、クラウドサービス等を提供する事業者において実行基盤に対し適切なウイルス対策が行われていることを確認すること。 41 / 69(オ)取り扱う業務データに対しても、業務処理を踏まえた上で、(ア)～(エ)に準じた適切なウイルス対策を行うこと。 (D) 修正プログラムの適用(ア)各ソフトウェアについて、原則として開発時にサポート対象となる最新バージョンとし、各種不具合修正用プログラムやパッチを適用すること。 (イ)発売元または提供元より入手した修正プログラム等のリリース情報に基づき、適用すべき修正プログラム等を選別し、IPAと協議の上でこれを適用すること。 (E) ファイアウォール(ア)原則として、外部からのアクセスはHTTPSのみ通過させ、外部へのアクセスは必要最小限のプロトコルを通過させるように設定すること。 また、適切なポリシー設定を行い、全ての通過パケットをチェックすること。 (F) データ改ざん対策(ア)納入前にネットワークスキャンを実施し、不要ポートの閉塞確認を行うこと。 (イ)データのアクセス権設定を適切に行うこと。 (ウ)アプリケーションプログラムへの書き込み権限を適切に管理すること。 (G) Web コンテンツ等の脆弱性予防対策(ア)潜在的な脆弱性に対し、Web アプリケーションファイアウォール等を用いて予防対策を行うこと。 (H) なりすまし等の対策(ア)ユーザのなりすましによる被害を軽減する有効な対策を施すこと。 (イ)クリックジャッキングの対策として、HTTPレスポンスヘッダに Content-Security-Policy のframe-ancestors ディレクティブを設定すること。 または、同様の効果を得られる対策を実施すること。 (I) システムの監視(ア)クラウド上の実行環境に、運用管理など基盤の操作を行う目的で接続する際、クラウド環境で確実に操作ログを取得する仕組みが担保されていること。 また、管理権限での接続には、前述の「ガバメントクラウド利用システムにおけるセキュリティ対策(共通)」(6.3.1 セキュリティ要件内セキュリティ対策方針(I)参照)に従うこと。 (イ)監視機能等を拡張する可能性を想定し、クラウド環境の監視基盤について、自社で安全に利用することが可能な範囲で、最も有用性が高いと想定される監視サービスや監視プロセスを採用すること。 定量的計測とダッシュボードにより、可視化された情報が自動で提示されること。 (J) データの保護(ア)アカウント情報やログ等の保護すべき業務データは一般利用者(その他インターネット経由の第三者)が直接アクセス可能な環境に保存しないこと。 なお、保存されたデータを暗号化する機能を備えること。 (イ)不正の防止及び発生時の影響範囲を限定できるような対策を実施すること。 なお、他のシステムと資源を共有する場合、他のシステムの影響を受けない領域でデータを管理すること。 (K) 通信の暗号化(ア)クライアントとサーバー間の通信は暗号化すること。 (L) アプリケーション・コンテンツの開発(ア)アプリケーション・コンテンツに、IPA が公表する「安全なウェブサイトの作り方」が示す不正プログラムや脆弱性が含まれないことを開発時に確認し、検出した場合は修正すること。 https://www.ipa.go.jp/security/vuln/websecurity/index.html42 / 69(イ)実行プログラムの形式以外にコンテンツを提供する手段がない限り、実行プログラムの形式でコンテンツを提供しないこと。 (ウ)提供するアプリケーション・コンテンツが真正なものであるよう、ウェブサイト改ざんの脅威への対策を施すこと。 (エ)提供するアプリケーション・コンテンツの利用時に、脆弱性が存在するバージョンのOSやソフトウェア等の利用を強制する等のセキュリティ水準を低下させる設定変更を OS やソフトウェアの利用者に要求することがないよう、アプリケーション・コンテンツの提供方式を定めて開発すること。 (オ)サービス利用にあたって必須ではない、サービス利用者その他の者に関する情報が本人の意思に反して第三者に提供される等の機能がアプリケーション・コンテンツに組み込まれることのないよう開発すること。 (M) 電子メールの対策(ア)システムから発信する電子メールには、SPF、DKIM、DMARCの送信ドメイン認証技術やS/MIME等の電子署名技術の採用によるなりすましの防止策を講ずること。 (イ)電子メールサーバーが電子メールの不正な中継を行わないように設定すること。 (ウ)インターネットを介して通信する電子メールの盗聴及び改ざんの防止のため、SMTPによる電子メールのサーバー間通信をTLS(SSL)により保護する、S/MIME等の電子メールにおける暗号化及び電子署名の技術を採用する等の対策を講ずること。 (エ)他の利用者と共用する電子メールサービスを利用する場合は、なりすました電子メールが当該電子メールサービスを利用する他の利用者から送信されない仕組みを備えること。 他の利用者と共用しない専用のIPアドレスを割り振ることが望ましい。 (N) その他情報セキュリティに関する事項(ア)請負者は、その従業員、再請負先、若しくはその他の者による意図せざる変更が加えられないための管理を徹底し、提案書に管理体制を記載すること。 (イ)請負者は、本事業に従事する者を限定すること。 本事業の実施期間中に従事者を変更等する場合は、事前にIPAに報告すること。 また、請負者はIPAから要請があった場合に、資本関係・役員の情報、本事業の実施場所、本事業の全ての従事者の所属、専門性(情報セキュリティに係る資格・研修実績等)、実績及び国籍に関する情報を提供すること。 (ウ)請負者は、本事業に係るセキュリティインシデントが発生した場合、速やかにIPAに報告を行い、対処方法を協議の上実施すること。 (エ)請負者は、IPA との秘密情報の受渡に関して、安全管理措置としてアクセス制御、暗号化、通信の保護等の適切な情報セキュリティ対策が講じられた方法を採用すること。 また、事業の過程で知り得た一切の情報について、情報取扱者以外の者に開示又は漏えいしてはならないものとする。 ただし、担当部門の承認を得た場合は、この限りではない。 なお、受渡、廃棄・抹消、及び確認方法等の秘密情報取扱に関する具体的な手順については、IPA と協議の上決定すること。 (オ)請負者は、IPA が実施する情報セキュリティ監査またはシステム監査を受け入れるとともに、指摘事項への対応を行うこと。 (カ)請負者は、情報セキュリティ対策が不十分であることが判明した場合、またはそうした状態になることが予見された場合は、必要となる改善策を提案しIPAと協議の上実施すること。 (キ)請負者は、本事業を再請負する場合は、再請負することにより生ずる脅威に対してセキュリティが十分に確保されるよう、セキュリティ対策の実施を契約等により再請負先に担保させること。 なお、再請負先におけるセキュリティの確保については、請負者の責任とする。 (ク)請負者は、本事業におけるセキュリティ対策に関して、本書に記載された要件以外で必要と考えられる措置がある場合はそれを実施すること。 6.4 セキュリティ対策の改善セキュリティ要件を満たすことができなくなった場合、またはそうした状態になることが予見された場合は、必要な改善策を提案し、IPAと協議の上で実施すること。 43 / 697. システムのシステム引継ぎ及び引渡しについて7.1 目的システム引継ぎ及び引渡しに関する要件と対応策を明確にし、円滑な引継ぎを実現することを目的とする。 7.2 内容(1) 技術的要件A. システム構成・アーキテクチャ情報引継ぎ項目 詳細内容 対象書類システム構成図 ・システム構成・ネットワーク構成図・ロードバランサー・CDN構成構成図一式Excel管理台帳ソフトウェア構成 ・OS、ミドルウェア、フレームワーク・バージョン情報・依存関係・カスタマイズ内容ソフトウェア台帳設定ファイル一式データフロー・処理フロー ・業務処理の流れ・データ連携仕様・バッチ処理スケジュールフロー図処理仕様書B. データベース・データ管理情報引継ぎ項目 詳細内容 対象書類データベーススキーマ ・テーブル定義・ER図・インデックス設計・パーティション設計DB設計書DDLスクリプトデータディクショナリ ・テーブル・カラム定義・業務的意味・制約事項・データ品質ルールデータ辞書制約一覧データ移行・変換ロジック ・フェーズ1からの移行手順・整合性チェック方法移行手順書変換スクリプトC. 運用・保守技術情報引継ぎ項目 詳細内容 対象書類システム保守マニュアル ・日常運用手順・定期メンテナンス手順・監視設定・アラート設定運用手順書設定ファイル障害対応手順書 ・障害レベル別対応手順・エスカレーション手順・復旧手順・ロールバック手順障害対応マニュアル手順書一式バックアップ/リストア手順 ・バックアップ取得方法・リストア手順・災害復旧手順BCP手順書復旧スクリプト(2) セキュリティ・コンプライアンス要件A. セキュリティ情報引継ぎ項目 詳細内容 対象書類セキュリティポリシー・基準 ・適用セキュリティ基準 セキュリティ設計書リスク管理台44 / 69・セキュリティ設計思想・リスク評価結果帳アクセス制御情報 ・IAMユーザー・ロール・ポリシー・アプリケーション権限設計・多要素認証設定権限設計書アカウント一覧セキュリティ対策実施状況 ・WAF、Shield、GuardDuty設定・暗号化設定(保存時・転送時)・ログ収集・監視設定セキュリティ設定書監視設定一覧脆弱性管理情報 ・過去の脆弱性診断結果・対応履歴・未対応事項・定期診断スケジュール脆弱性管理台帳診断報告書B. コンプライアンス情報引継ぎ項目 詳細内容 対象書類監査証跡・記録 ・セキュリティ監査結果・内部監査記録・改善対応履歴 監査報告書対応履歴(3) 業務・運用要件A. 業務プロセス・ノウハウ引継ぎ項目 詳細内容 対象書類システム操作ノウハウ ・管理画面操作方法・データ投入・修正手順・レポート作成方法操作マニュアルFAQ集トラブル対応ノウハウ ・過去のトラブル事例・対応方法・回避策・ユーザー対応方法トラブル事例集対応パターン集B. ステークホルダー管理引継ぎ項目 詳細内容 対象書類関係者・連絡先情報 ・IPA担当者情報・クラウドベンダー窓口・関連システム担当者連絡先一覧エスカレーション表外部ベンダー関係 ・サードパーティ製品ベンダー・保守契約・ライセンス契約・SLA・契約条件契約関係一覧SLA一覧(4) 契約・法務要件A. 契約・ライセンス情報引継ぎ項目 詳細内容 対象書類ソフトウェアライセンス ・商用ライセンス一覧・オープンソースライセンス・ライセンス期限・更新時期ライセンス管理台帳クラウドサービス契約 ・AWS契約情報・サービスレベル合意・課金・請求体系クラウド契約書請求明細45 / 69保守・サポート契約 ・ベンダーサポート契約・保守範囲・除外事項・契約期間・更新条件保守契約一覧B. 責任範囲・移管事項引継ぎ項目 詳細内容 対象書類責任範囲の明確化 ・引継ぎ前後の責任分界点・障害対応責任・エスカレーション・変更管理責任責任分担表RACI表費用負担の明確化 ・引継ぎ作業費用・移行期間中の費用負担・追加作業費用の取り扱い費用負担合意書C. AWS・クラウド関連移管引継ぎ項目 詳細内容 対象書類AWSアカウント譲渡 ・アカウント所有権移転・関連付けリソース移管・請求先変更手続きアカウント移管計画書移管完了証明書DNS・ドメイン移管 ・ドメイン管理権移転・DNS設定移管・SSL証明書移管ドメイン移管手順書第三者調整 ・IPA、引継先、AWSとの三者調整・移管スケジュール調整・技術的制約事項の確認三者調整議事録移管合意書(5) その他・補完要件A. 知識・ノウハウ移転引継ぎ項目 詳細内容 対象書類設計思想・アーキテクチャ背景 ・技術選定理由・設計上の制約・トレードオフ・将来拡張性の考慮事項設計思想書技術選定理由書運用改善履歴 ・過去の改善取り組み・効果測定結果・今後の改善課題改善履歴課題管理台帳B. 移行・検証環境引継ぎ項目 詳細内容 対象書類検証環境の提供 ・後任者向け検証環境・テストデータ・シナリオ・動作確認手順検証環境手順書テストシナリオ段階的移行計画 ・段階的な責任移転計画・並行運用期間の設定・完全移行の判定基準移行計画書判定基準書7.3 システム引継ぎ及び引渡し計画(1)準備段階項目 内容体制の確立 •システム引継ぎ及び引渡しはプロジェクトマネージャー(PM)を選任、システム引継ぎ及び引渡し全体の責任者とし必要なメンバーをアサイン•窓口を一本化「システムシステム引継ぎ及び引渡し計画書」の作成計画書の作成と承認取得•「システムシステム引継ぎ及び引渡し計画書」を作成46 / 69•保守終了の3ヶ月前までにIPAの承認を得る計画書の記載内容•システム引継ぎ及び引渡し対象範囲(システム、ドキュメント、データ、アカウントなど)•システム引継ぎ及び引渡しスケジュール(各タスクの開始日、終了日、担当者)•システム引継ぎ及び引渡し方法(ドキュメント提供、説明会、トレーニング、OJTなど)•システム引継ぎ及び引渡し体制(双方の担当者、役割分担、連絡先)•システム引継ぎ及び引渡し資料一覧•システム引継ぎ及び引渡し完了基準•リスクと対策(システム引継ぎ及び引渡し遅延、情報不足、担当者不在など)•その他、特記事項テスト環境の準備 •必要に応じて、引継ぎ者がシステムを操作し、動作確認を行うためのテスト環境を調整(2)実施段階項目 内容 実施方法・条件ドキュメントの提供• 準備したドキュメントを、引継ぎ者に提供• 電子ファイルでの提供を基本とし、必要に応じて印刷物も提供計画書に基づく説明会の開催 • システム概要、構成、機能、運用方法などについて、引継ぎ及び引渡し者向けに説明会を開催• 質疑応答の時間を設け、疑問点を解消複数回実施トレーニングの実施•引継ぎ及び引渡し者の担当者に対し、システムの操作方法、保守方法に関するトレーニングを実施•ハンズオン形式でのトレーニングも検討実機・テスト環境使用OJT (On-the-JobTraining)• 必要に応じて、一定期間、引継ぎ及び引渡し者の担当者と一緒に作業を行い、 実務を通じて引継ぎを行う引継ぎ期間中問い合わせ対応 •引継ぎ及び引渡し期間中および引継ぎ後一定期間は、引継ぎ者からの問い合わせに対応•問い合わせ窓口を設置し、迅速に対応引継ぎ完了後も一定期間継続AWS アカウントの引継ぎ• IPA、引継ぎ及び引渡し者及びクラウドサービス事業者(AWS)と十分な事前調整を行う•AWS アカウントに関連付けられたリソース(データ、環境設定等を含む。)について引継ぎ及び引渡し者に対して引き継ぐことを仕様書4.11.(3)③に基づき実施事前調整必須(3)確認段階項目 内容 実施条件・提出先完了確認• 事前に定めた引継ぎ及び引渡し完了基準に基づき、すべての引継ぎ及び引渡し作業が完了したことを確認•引継ぎ者から、引継ぎ完了の承認を得る完了基準に基づく確認完了報告書の作成• 引継ぎ作業の内容、結果、完了確認などをまとめた引継ぎ完了報告書を作成し、IPAに提出IPA提出7.4 その他引継ぎ及び引渡し計画は、IPAと協議の上、柔軟に変更・調整すること。 引継ぎ及び引渡し期間中は、IPAとのコミュニケーションを密にし、進捗状況を共有すること。 引継ぎ及び引渡しに関する課題やリスクが発生した場合は、速やかにIPAに報告し、対応策を協議する47 / 69こと。 8.テスト要件8.1 テスト方針(1) 機能要件及び非機能要件を担保するためのテストを行うこと。 また、IPA の承認を受け円滑にテストを実施すること。 (2) 下記のテストを実施すること。 また、IPA による受入テストの支援を実施すること。 各テストの方針について提案書に記載すること。 ・詳細設計に基づく単体テスト(SaaS、パッケージ製品等を利用した場合は変更を加えた範囲)・基本設計に基づく結合テスト・本書及び提案書に基づくシステムテスト・本書及び提案書に基づく受入れテスト支援(3) 受入れテストに併せてIPAが契約した外部業者に実施させる脆弱性テストについて、以下のとおり対応すること。 ・当該テストで発見された問題は原則としてすべて解消するものとする。 例外がある場合は、影響範囲等を確認したうえで当機構と協議のうえ対応方針を決定するものとする。 ・脆弱性テストの実施に際しては、実施日、実施内容等についてクラウドサービス事業者と調整を行うこと。 ・脆弱性テストの想定実施内容クロスサイトスクリプティング 、SQL インジェクション 、セッション管理 、認証機能の安全性 、ファイル拡張子診断 、OSコマンドインジェクション診断 、ディレクトリトラバーサル診断 、権限昇格診断 、パラメータ書き換え診断 、その他Webアプリケーション固有の問題の診断(4) Edge、Chrome、Safari等の主要なブラウザの最新バージョンにおいて動作確認を行うこと。 (5) テストにおいて重大な不具合等が発生した場合には、速やかにIPAに報告を行い、不具合原因を取り除き、テスト項目が全て合格するよう努めること。 8.2 テスト計画の策定(1) テスト方針、品質指標、開始及び終了条件、テスト実施体制、テスト方法(利用するツール等を含む)、テストデータ、テスト環境、テスト運営方法等を含むテスト実施計画書を作成し、IPAの承認を得ること。 (2) 単体テスト、結合テスト、システムテスト及び受入テストのうち、どのテストにおいてどの程度までテスト実施計画書を作成するかについては、IPAと協議の上決定すること。 (3) テスト担当者が情報システムの操作等について十分習熟していない場合は、システム操作説明書等を用いてテストを行うこと。 8.3 テスト結果報告(1) テスト結果報告として、テストの実施後にテスト結果報告書を作成し、IPAの了承を得ること。 8.4 テスト方法8.4.1 システムテスト(1) システムテストは、本番稼動環境と等価である環境において行うものとする。 (2) システムテストでは、設置や設定したソフトウェア等の正常稼働および開発したアプリケーションが本書に基づいた機能要件および非機能要件を担保することを目的としたテストを実施すること。 (3) システムテストに伴って発生する、ソフトウェアの設定変更作業を行うこと。 (4) システムテストに伴って発生するアプリケーションの修正や設定変更等の作業を行うこと。 また、テスト終了時にシステムテスト報告書を作成すること。 (5) システムテスト工程で発見された不具合等については、システムテスト工程完了時までに対応を完了すること。 (6) 可能な限り本番データに近いテストデータの利用、正常系のみならず異常系のテストデータの利用、新旧システムの運用結果の比較による妥当性確認等を行うこと。 48 / 698.4.2 受入れテスト、脆弱性テスト(1) 受入れテストは本番稼動環境において行うものとする。 (2) 受入れテスト実施の際は、事前に実施方法を示した上、各設定に関する証跡の提示を行うこと。 (3) 受入テストは IPA がテスト仕様書を作成し、これに基づいて実施する。 請負者は、IPA の作業支援を行うこと。 (4) IPA が契約した外部業者が実施する脆弱性テストの実施に協力すると共に、脆弱性テストにおいて発見された問題に対して解消すること。 (5) 受入れテストの結果、納品物件の全部または一部に不合格が生じたときは、直ちに必要な修復を行うこと。 (6) テスト実施結果を取りまとめる作業に協力すること。 (7) テスト時に使用した一時ファイル等の不要な資産は、テスト終了後に請負者が削除すること。 また、設定等を見直し、システムの稼働が可能な状態とすること。 8.5 テストデータ(1) テストで使用するデータが存在するときは、各テスト計画書に使用するデータの種類等を記載し、使用したテストデータをテスト結果とともに納入すること。 (2) テスト終了時には、テスト時に使用した不要なデータ、ユーザ ID 等が存在しない状態であること。 (3) テスト終了時には、テスト時に使用した不要なプロセスおよびサービス等は、運用開始までに完全に停止すること。 9．保守要件運用及び保守要件を以下に記載する。 9.1障害対応と環境メンテナンスシステムの維持に必要なメンテナンス(ソフトウェアのアップデート、無影響確認、セキュリティ対策機器の設定見直し等)、及び障害への対応を行うこと。 なお、セキュリティインシデントやシステム障害等が発生した際に原因の特定や影響範囲の調査が確実に行えるよう、システムログについては取得する種類や保管期限等を適切に定めた上で運用すること。 9.2バックアップ運用 各種クラウドリソースの保護として適切な方法を採用し、障害発生時の復旧作業に支障がない管理体制を確保すること。  ファイル単位のバックアップを行う場合には、世代管理や多重化、変更管理を行うこと。  アクセス権限バックアップしたデータの保管場所にはアクセス権限を付与し、管理者以外がアクセスできないようにすること。  データの隔地保管バックアップとして永久増分と重複排除を積極的に活用し、ISMAP管理基準が求める暗号化を行った上で、国内の別リージョンに隔地保管すること。  バックアップツールバックアップ対象、頻度、バックアップデータへのアクセス権限及び保存期間といったバックアップポリシーを一元的に管理できる機能を持った、クラウドサービスプロバイダが提供するバックアップサービスを利用すること。 9.3システム監視システムの運用状況を監視し、障害や不正アクセス等の検知及び対応を行うこと。 サービスの運用状況を監視し、障害の発生またはその兆候を検知するとともに、障害を検知した際には重要性等で分類した上で、メールなどにより自動で通知する仕組みを構築すること。 監視には、例として以下のものがある。 49 / 69 ジョブ監視、死活監視、性能監視、リソース監視、障害監視、ログ監視(監視対象のログを監視し、特定の文字列パターンと一致した場合に障害とする方式)、セキュリティ監視、クラウドの構成監視(クラウドサービスを構成する要素を監視する方式)、外形監視(当該システムを利用するユーザと同じ方法でアクセスし正常に動作しているか監視する方式)等 各種監視結果を定期的に集計・分析し、監視方法や閾値、通知の見直し等が必要な場合は、IPAの承認を得た上でこれに係る設計を行い、対応を実施すること。 ※オートスケーリングについても定期的に分析を行い、IPAの承認を得た上で見直すこと。  監視対象を可視化し、それを確認することで随時改善できる運⽤設計にすること。 9.4セキュリティ対策状況の定期報告障害対応結果、及びセキュリティ対策状況については、定期的にIPAに報告すること。 ただし、アプリケーション障害やシステムダウン、セキュリティインシデント等の利用者に与える影響が大きく緊急性が高い事象については、検知後速やかにIPAにエスカレーションすること。 全量ログ保管、分析、インシデント対応等のセキュリティ対策を⾃動化すること。 9.5 IPAからの問合せ対応IPAからの問合せ(システムの利用方法や稼働状況の確認等を想定)に対応すること。 時間帯は、土日、祝日、年末年始等を除く通常の営業日の9:30から18:15を原則とする。 ただし障害発生時の対応はこの限りではなく、「表２」(2.5要求サービスレベル参照)を参照のこと。 9.6操作マニュアルのメンテナンスシステムアップデート等により操作マニュアルの記載内容に変更が生じた場合に改版すること。 ただし、操作マニュアルを作成せずに代替方法で新支援士システムの操作方法を利用者に示している場合には、その代替方法に対して適切な対応を行うこと。 クラウドサービスが提供する各サービスのマニュアル/説明資料を活用することにより、マニュアルについて効率的に作成すること。 9.7本稼働直後の対応本稼働直後、システムを安定運用できていると IPA が判断するまでの期間は、請負者は速やかに問題対応できる体制を整え、定例会に加えて臨時の会議を開催することが望ましい。 9.8ガバメントクラウドサービスに関する運用・保守本システムはガバメントクラウドサービスを利用して運用されるため、以下の取り組みを行うこと。  運用期間中において利用予定範囲を超過することがないよう、システムの縮退を検討するために必要となる情報収集等の仕組み(クラウドサービスの課金状況やリソースの利用量の監視、一定の閾値を超えた場合のアラート処理等)を設けること。  クラウドサービスのマネージドサービスを効果的に活用し、運用コスト削減を継続的に図ること。 原則としてサーバーレスとの構成を取ることとするが、インスタンスを利用してサーバーを立てる場合は、サーバーのスペック等を適切な範囲に調整してコスト削減を継続的に図ること。 また、当該項目への提案内容により不合格となることはない。 提案書ページ番号【入札者が記載する欄】作成した提案書における該当ページ番号を記載する。 該当する提案書の頁が存在しない場合には空欄とする。 評価者は、本欄に記載されたページを各提案要求事項に係る提案記述の開始ページとして採点を行う。 プロジェクト計画書案については、別紙における該当ページ番号を記載すること。 遵守確認欄 【入札者が記載する欄】評価区分が「遵守確認事項」の場合に、入札者は、遵守確認事項を実現・遵守可能である場合は○を、実現・遵守不可能な場合(実現・遵守の範囲等について限定、確認及び調整等が必要な場合等を含む)には×を記載する。 配点構成及び審査基準 評価区分が「提案要求事項(必須)」または「提案要求事項(任意)」の評価項目に対して、どのような基準で採点するかを示している。 63 / 69第5章 評価手順5.1 落札方式次の要件を共に満たしている者のうち、「5.2① 総合評価点の計算」によって得られた数値の最も高い者を落札者とする。 ① 入札価格が予定価格の制限の範囲内であること。 ②「Ⅴ．評価項目一覧」の遵守確認事項及び評価区分の必須項目を全て満たしていること。 5.2 総合評価点の計算①総合評価点の計算総合評価点 ＝ 技術点 ＋ 価格点技術点＝ 基礎点 ＋ 加点価格点＝ 価格点の配分 × ( 1 － 入札価格 ÷ 予定価格)※価格点は小数点第2位以下を切り捨てとする。 ②得点配分技術点：578点価格点：289点5.3 技術審査5.3.1 一次評価一次評価として、「Ⅴ．評価項目一覧」の各事項について、次の要件を全て満たしているか審査を行う。 一次評価で合格した提案書について、次の「5.3.2 二次評価」を行う。 ① 「遵守事項/必須要件」欄の全てに「○」が記入されていること。 ② 「提案書該当ページ」欄に提案書のページ番号が記入されていること。 ③ 「提案書該当項番」欄に提案書の項番が記入されていること。 5.3.2 二次評価上記の「5.3.1 一次評価」で合格した提案を対象として、「Ｖ．評価項目一覧」で示す、評価項目、提案分類に基づき、技術審査を行う。 なお、ヒアリングを実施した場合には、ヒアリングより得られた評価を加味するものとする。 評価にあたっては、複数の審査員が各項目を評価し、各審査員の評価結果(得点)の平均値(小数点第2位以下切捨て)をもって技術点とする。 5.3.2.1 基礎点評価提案内容が、必須要件事項を満たしている場合に基礎点を付与し、そうでない場合は0点とする。 一つでも必須要件事項を満たしていないと評価(0点)した場合は、その入札者を不合格とし、価格点の評価は行わない。 5.3.2.2 加点評価提案要求事項(任意)に対し、評価項目の内容を満たした場合のみ加点を付与する。 ただし、「4 ワーク･ライフ・バランス等の推進に関する指標」については、下表の評価基準に基づき加点を付与する。 複数の認定等が該当する場合は、最も配点が高い区分により加点を付与する。 64 / 69認定等の区分 項目別得点女性活躍推進法に基づく認定(えるぼし認定企業・プラチナえるぼし認定企業)等プラチナえるぼし(※1) 18えるぼし3段階目(※2) 14えるぼし2段階目(※2) 12えるぼし1段階目(※2) 8行動計画策定(※3) 4次世代法に基づく認定(くるみん認定企業・トライくるみん認定企業・プラチナくるみん認定企業)等プラチナくるみん(※4) 18くるみん(令和7年4月1日以後の基準)(※5)14くるみん(令和4年4月1日～令和7年3月31日までの基準)(※6)12トライくるみん(令和7年4月1日以後の基準)(※7)12くるみん(平成29年4月1日～令和4年3月31日までの基準)(※8)8トライくるみん(令和4年4月1日～令和7年3月31日までの基準)(※9)8くるみん(平成29年3月31日までの基準)(※10)6行動計画(令和7年4月1日以後の基準)(※3、※11)4若者雇用促進法に基づく認定(ユースエール認定企業) 16※1 女性活躍推進法第12条の規定に基づく認定※2 女性活躍推進法第9条の規定に基づく認定なお、労働時間等の働き方に係る基準は満たすことが必要。 ※3 常時雇用する労働者の数が100人以下の事業主に限る(計画期間が満了していない行動計画を策定している場合のみ)。 ※4 次世代法第15条の2の規定に基づく認定※5 次世代法第13条の規定に基づく認定のうち、次世代育成支援対策推進法施行規則の一部を改正する省令(令和６年厚生労働省令第146号。以下「令和６年改正省令」という。)による改正後の次世代育成支援対策推進法施行規則(以下「新施行規則」という。)第４条第１項第１号及び第２号に掲げる基準による認定※6 次世代法第13条の規定に基づく認定のうち、令和６年改正省令による改正前の次世代育成支援対策推進法施行規則第４条第１項第１号及び第２号又は令和６年改正省令附則第２条第２項の規定によりなお従前の例によることとされた令和６年改正省令による改正前の次世代育成支援対策推進法施行規則第４条第１項第１号及び第２号に掲げる基準による認定(ただし、※8及び※10の認定を除く。)※7 次世代法第13条の規定に基づく認定のうち、新施行規則第４条第１項第３号及び第４号に掲げる基準による認定※8 次世代法第13条の規定に基づく認定のうち、次世代育成支援対策推進法施行規則の一部を改正する省令(令和３年厚生労働省令第185号。以下「令和３年改正省令」という。)による改正前の次世代育成支援対策推進法施行規則第４条又は令和３年改正省令附則第２条第２項の規定によりなお従前の例によることとされた令和３年改正省令による改正前の次世代育成支援対策推進法施行規則第４条に掲げる基準による認定(ただし、※10の認定を除く。)※9 次世代法第13条の規定に基づく認定のうち、令和６年改正省令による改正前の次世代育成支援対策推進法施行規則第４条第１項第３号及び第４号又は令和６年改正省令附則第２条65 / 69第２項の規定によりなお従前の例によることとされた令和６年改正省令による改正前の次世代育成支援対策推進法施行規則第４条第１項第３号及び第４号に掲げる基準による認定※10 次世代法第13条の規定に基づく認定のうち、次世代育成支援対策推進法施行規則等の一部を改正する省令(平成29年厚生労働省令第31号。 以下「平成29年改正省令」という。 )による改正前の次世代育成支援対策推進法施行規則第４条又は平成29年改正省令附則第２条第３項に掲げる基準による認定※11 次世代法第12条の規定に基づく一般事業主行動計画のうち、育児休業、介護休業等育児又は家族介護を行う労働者の福祉に関する法律及び次世代育成支援対策推進法の一部を改正する法律(令和６年法律第42号)による改正後の次世代法第12条第５項の規定に基づき令和７年４月１日以後に策定又は変更を行ったもの66 / 69【様式-Ａ】個人情報保護体制について本様式は、個人情報の取扱いに関して御社が講じている保護措置について確認することを目的としております。 お手数ですが、最初に「ご回答者連絡先」を記入し、以下の設問に回答(はい、いいえのいずれかを〇で囲みください。)の上、必要事項の追加記入をお願い致します。 余白を縦横に伸縮してご記入ください。 ご回答者連絡先組織名部署名氏名連絡先電話番号メールアドレスＱ１．個人情報保護に係るプライバシーポリシー・規程・マニュアルはございますか。 【 は い ・ いいえ 】「は い」を○で囲んだ方は、以下の事項を記入してください。 以下に名称、作成年月日、作成の参考にした業界ガイドライン(名称・作成機関名)を記入してください。 【個人情報保護に関するプライバシーポリシー・規程・マニュアル】Ｑ２．個人情報保護に係る組織内体制はありますか。 【 は い ・ いいえ 】「は い」を○で囲んだ方は、以下の事項を記入してください。 以下に担当部門、役職名、役割、担当業務範囲を記入してください。 【個人情報保護に係る組織内体制】67 / 69Ｑ３．個人情報を取扱う従事者(派遣職員、アルバイトを含む)への教育・研修を実施しておりますか。 【 は い ・ いいえ 】「は い」を○で囲んだ方は、以下の事項を記入してください。 以下に実施部門、開催時期・年間回数、対象者、使用テキストを記入してください。 【個人情報保護に係る従事者への教育・研修体制】Ｑ４．個人情報保護に係る監査規程はありますか。 【 は い ・ いいえ 】「は い」を○で囲んだ方は、以下の事項を記入してください。 以下に監査規程(名称、制定年月日)を記入してください。 また、すでに監査の実績がある場合は、直近の監査実施日を記入してください。 【個人情報保護に係る監査規程・直近の監査実施日】Ｑ５．情報処理システムの安全対策はありますか。 【 は い ・ いいえ 】「は い」を○で囲んだ方は、以下の事項を記入してください。 【情報処理システムの安全対策】「いいえ」と回答した設問に対して、このたびのＩＰＡからの個人情報を取扱う業務を実施する上でご検討されている保護措置の案があれば以下にご記入ください。 形式は自由です。 余白を縦横に伸縮してご記入ください。 【今回の個人情報を取扱う業務でご検討されている保護措置案】Ｑ６．認定団体からプライバシーマークを付与されておりますか。 【 は い ・ いいえ 】「は い」を○で囲んだ方は、以下の事項を記入(上書き)してください。 認定番号：○○○○○○○有効期間：○○○○年○○月○○日 ～ ○○○○年○○月○○日68 / 69【様式－Ｂ】年 月 日[法人名][責任者役職・氏名]情報セキュリティ対策ベンチマーク確認書情報セキュリティ対策ベンチマークを実施し、下記の評価結果に相違ないことを確認します。 記1.確認日時令和 年 月 日 【実際に確認を行った日時】2. 確認対象【情報セキュリティ対策ベンチマークの確認を行った範囲について記載(例、本件業務を請け負われる部署を含む組織体等の名称)】3. 情報セキュリティ対策ベンチマーク実施責任者【情報セキュリティ対策ベンチマークによる確認を実施した者。 】4. 確認結果全項目に係る平均値：なお、ベンチマーク実施出力結果を別紙として添付します。 69 / 69Ⅴ．評価項目一覧別紙参照