令和8年動物医薬品検査所業務支援システム運用保守業務

令和8年動物医薬品検査所業務支援システム運用保守業務 １ 競争入札に付する事項(1) 件 名(電子入札方式対象案件)(2) 仕様・数量 仕様書による(3)(4) 納 入 場 所２ 競争入札の参加に必要な資格(1)(2)(3)(4)(5)３ 電子調達システムの利用４ ５ 契約条項を示す場所、入札説明書を交付する場所及び期間(1) 場 所(2) 期 間 から まで６ 証明書等の提出場所及び提出期限等証明書の提出場所及び提出期限は、以下のとおりとする。 (1) 提 出 場 所メール送付先：nval-kaikei@maff.go.jp(2) 提出書類等 入札説明書４に定める証明書令和8年4月1日から令和9年3月31日動物医薬品検査所納入期間(期限)〒305-8535 茨城県つくば市観音台２－１－22動物医薬品検査所会計課 用度係動物医薬品検査所会計課 用度係 令和７・８・９年度農林水産省競争参加資格(全省庁統一資格)「役務の提供等」において｢Ａ｣、｢Ｂ｣、｢Ｃ｣又は｢Ｄ｣の等級に格付けされた者であること。 本案件は、入札等を電子調達システムで行う対象案件である。なお、電子調達システムによりがたい者は、発注者に書面により申出のうえ、紙入札によることができる。 入札書の提出方法は電子調達システムによるが、電子調達システムに停電等の不具合、システム障害等やむを得ない事情によるトラブルが発生した場合は、紙入札に移行することがある。 入札金額には、納入に係る一切の諸経費を含めた総額を記載すること。 なお、落札者の決定に当たっては、入札書に記載された金額に当該金額の１０パーセントに相当する額を加算した金額(当該金額に１円未満の端数があるときは、その端数金額を切り捨てるものとする。)をもって落札価格とするので、入札者は消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった金額の１１０分の１００に相当する金額を入札書に記載すること。 電子メールによる交付を希望する場合は、メールの件名に１(1)の件名を記載し、本文に会社名、担当者名、住所、電話番号を記載の上、下記メールアドレス宛に申請すること。なお、１日経過しても返信がない場合は上記まで電話すること。 メール送付先：nval-kaikei@maff.go.jp※本案件に係る資料は以下の方法により入手することができる。 調達ポータルの「調達情報の検索」にて、必要な情報を入力又は選択し、本案件を検索のうえ、「入札説明書」をダウンロード https://www.p-portal.go.jp/令和 8 年 2 月 3 日(ただし、行政機関の休日を除く、午前９時から午後５時まで)令和8年2月19日入 札 公 告入札方法競争入札に参加できる者は、(1)から(5)までの全ての要件を満たす者とする。 〒305-8535 茨城県つくば市観音台２－１－22 電話029-811-6849令和８年度動物医薬品検査所業務支援システム運用保守業務 予算決算及び会計令(昭和22年勅令第165号。以下「予決令」という。)第70条の規定に該当しない者であること。なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。 予決令第71条の規定に該当しない者であること。 動物医薬品検査所物品の製造契約、物品の購入契約及び役務等契約指名停止措置要領に基づく指名停止を受けている期間中の者でないこと。 その他仕様書又は入札説明書に競争参加に必要な資格等が記載されている場合は、その要件を満たす者であること。 以下のとおり入札を実施します。 競争入札への参加を希望する場合は、入札説明書及び入札心得を熟知の上、参加願います。 なお、契約に当たっては、令和８年度予算が成立し本業務に係る予算示達がなされることを条件とします。 (3) 提 出 方 法 (電子入札による場合)電子調達システム上にてＰＤＦファイルを添付送信すること。 (紙入札による場合)持参、郵送(郵送の場合は提出期限必着)、電子ファイル送信(4) 提 出 期 限 (木)７ 入札執行の場所、日時及び入札書の受領期限(1) 受 領 期 限(電子調達システムによる入札)(木) から (金)までに入札金額の送信を行うこと。 (郵送による入札)(木)動物医薬品検査所会計課(持参による入札)提 出 方 法 (2)に示す日時、場所において入札する。 (2)日 時 (金)場 所８ その他(1) 契約手続きにおいて使用する言語及び通貨 日本語及び日本国通貨に限る。 (2) 入札保証金及び契約保証金 免除する。 (3) 入札の無効(4) 落札者の決定方法(5) 契約書作成の要否 要(6) 手続きにおける交渉の有無 無(7) 詳細は入札説明書による。 以上、公告します。 支出負担行為担当官動物医薬品検査所長 荻窪 恭明開札の日時、場所令和 8 年 2 月 19 日お 知 ら せ午 後 5 時 00 分午 後 0 時 00 分 農林水産省の発注事務に関する綱紀保持を目的として、農林水産省発注者綱紀保持規程(平成19年農林水産省訓令第22号)が制定されました。この規程に基づき、第三者から不当な働きかけを受けた場合は、その事実を ホームページで公表するなどの綱紀保持対策を実施しています。 詳しくは、当所のホームページ(https://www.maff.go.jp/nval/) をご覧下さい。 本公告に示した競争参加資格のない者の提出した入札及び入札に関する条件に違反した入札は無効とする。 令和 8 年 2 月 19 日令和 8 年 2 月 3 日 予決令第79条の規定に基づいて作成された予定価格の制限の範囲内で、最低価格をもって有効な入札を行った者を落札者とする。 第 １ 会 議 室提 出 方 法令和 8 年 2 月 20 日 午 後 3 時 00 分提 出 期 限提 出 先午 後 5 時 00 分 令和 8 年 2 月 19 日令和 8 年 2 月 20 日 令和８年度動物医薬品検査所業務支援システム運用保守業務調達仕様書農林水産省 動物医薬品検査所1目次１ 調達案件の概要.. 3(１)調達件名(２)調達の背景(３)目的及び期待する効果(４)本システムの概要(５)契約期間(６)作業スケジュール２ 調達案件及び関連調達案件の概要.. 5(１)調達範囲(２)調達案件及びこれと関連する調達案件(３)調達案件間の入札制限３ 本システムに求める要件.. 6４ 業務の実施内容.. 6(１)運用・保守計画書及び運用・保守実施要領の作成支援(２)クラウドサービスを運用保守する場合の前提(３)定常時対応(４)障害発生時対応(５)情報システムの現況確認支援(６)保守作業の改善提案(７)契約金額内訳及び情報資産管理標準シートの提出(８)引継ぎ(９)成果物５ 作業の実施体制・方法.. 13(１)作業実施体制(２)作業要員に求める資格等の要件(３)作業場所(４)作業の管理に関する要領６ 作業の実施に当たっての遵守事項.. 15(１)機密保持、資料の取扱い(２)個人情報(事業者情報を含む)の取扱い(３)法令等の遵守(４)標準ガイドラインの遵守(５)その他文書、標準への準拠(６)情報システム監査2(７)情報システムの保護に関する事項７ 成果物の取扱いに関する事項.. 19(１)知的財産権の帰属(２)契約不適合責任(３)検収８ 入札参加資格に関する事項.. 21(１)競争参加資格(２)公的な資格や認証等の取得(３)受注実績(４)複数事業者による共同入札(５)入札制限９ 再委託に関する事項.. 23(１)再委託の制限及び再委託を認める場合の条件(２)承認手続(３)再委託先の契約違反等１０ その他特記事項.. 23(１)前提条件等(２)入札公告期間中の資料閲覧等(３)その他１１ 附属文書.. 253１ 調達案件の概要調達件名動物医薬品検査所業務支援システムの運用保守業務調達の背景動物医薬品検査所では、医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(昭和35年法律第145 号)に基づく手続きに関する業務として行っている動物用医薬品等の承認審査および検定・検査手続きの標準処理期間を遵守した所内進捗管理や、動物医薬品検査所標準製剤等配布規程に基づき当所が配布する標準製剤等の在庫管理、申請書等情報管理等に用いる各種台帳を動物医薬品検査所業務支援システム上で運用している。2018 年 6 月には、「政府情報システムにおけるクラウドサービスの利用に係る基本方針」が決定(最終改定は、2025 年５月 27 日)された。この中で、「クラウド・バイ・デフォルトの原則」が政府方針として出されている。これらの状況を踏まえ、本システムはパブリッククラウドを利用している。農林水産省では、政府全体の動向や利用者視点に立った、あるべき農林水産行政の姿を踏まえ、2022年6月7日に閣議決定された「デジタル社会の実現に向けた重点計画」を受けて、「デジタル社会の形成に向けた農林水産省中長期計画」(2022年 10 月 5日に農林水産省行政情報化推進委員会決定)を策定した。同計画では、品質・低コスト・スピードを兼ね備えた行政サービスに向けて、 ガバメントクラウド、ガバメントソリューショ ンサービス(GSS)、ベースレジストリ等の共通機能について、農林水産省の各情報システムの状況を踏まえ、活用できるものについてはその活用を徹底するとしている。その上で、農林水産省では、クラウドの共通基盤を整備し、パブリッククラウドへの移行・運用に必要な最⼩限の共通機能を提供するとともに、情報システムの状況に応じて適切なクラウドへの移行方式を選択した上で円滑にクラウド移行できるよう支援を行っている。なお、当該共通機能を利用するパブリッククラウドをMAFFクラウドと言い、総合的な支援活動を行う組織をMAFFクラウドCoEと言う。本システムではMAFFクラウドを利用しており、本調達期間においても引き続きMAFFクラウドを利用することを前提とする。本調達では、当該政府方針に従い、MAFF クラウドを経由したクラウドサービス(AWS)上に構築された動物医薬品検査所業務支援システム用のデータベースの運用保守業務を調達することとする。目的及び期待する効果本業務は、MAFF クラウドを経由したクラウドサービス(AWS)上に構築された動物医薬品検査所業務支援システム用のデータベースの運用保守業務を行い、各種業務の進捗・在庫・情報等管理を継続的に利用できるようにすることを目的とする。4本システムの概要本システム関連業務、本システム概要及び MAFF クラウド構成イメージは次のとおりである。図 1 動物医薬品検査所業務支援システム関連業務、本システムの概要及びMAFFクラウド構成イメージ5契約期間令和８年４月１日から令和９年３月31日まで作業スケジュール作業スケジュールは次のとおり想定しているが、具体的なスケジュールについては動物医薬品検査所と協議の上決定すること。図 2 作業スケジュール２ 調達案件及び関連調達案件の概要調達範囲本調達では、MAFFクラウドを経由したクラウドサービス(AWS)上に構築されている動物医薬品検査所業務支援システム用のデータベースの運用保守業務を行うものとする。本業務にパブリッククラウドにおけるクラウドサービスの提供業務も含めることとする。動物医薬品検査所業務支援システムは、動物医薬品検査所が GSS 端末で利用するAccessからODBCにより接続し、業務データを利用するものである。本業務における基盤提供は、構築済のクラウドサービス契約を現在の運用保守事業者から契約譲渡されることを前提とする。動物医薬品検査所業務支援システムのシステム構成やライフサイクルを通じた運用業務の内容について、計画案の妥当性の確認、情報提供等の支援を行うこと。クラウドの環境の提供及びその費用は受注者の負担とすること。本調達の契約期間終了後は、ライセンス等は確実に次年度の動物医薬品検査所業務支援システムの運用保守及び基盤提供の受注者へ引き継ぐこと。調達案件及びこれと関連する調達案件調達案件及びこれと関連する調達案件の調達単位、調達の方式、実施時期等は次の図のとおりである。 4 5 6 7 8 9 10 11 12 1 2 31．運用・保守計画書、運用・保守実施要領の作成2．定常時対応3．基盤の維持、提供に係る保守作業4．障害発生時対応5．成果物(報告書)6．ソフトウェア更新及びアプリケーション保守運用保守業務区分 作業項目2026年度2026年 2027年6表１ 関連する調達案件の一覧No. 調達案件名調達の方式契約締結日 入札公告落札者決定契約期間１運用保守最低価格落札方式2026年(令和８年)４月１日2026 年(令和８年)２月2026 年(令和８年)２月2026年(令和８年)４月～2027年(令和９年)３月図 3 調達案件及びこれと関連する調達案件の調達単位、調達の方式、実施時期等調達案件間の入札制限調達案件間の入札制限はない。３ 本システムに求める要件(１) 情報セキュリティ対策クラウドアーキテクトのベストプラクティス(AWS Well-Architected Framework)及び「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル 別冊クラウド設計・開発編」に準拠すること。また、以下のセキュリティ対策要件を参照し、本システムのセキュリティ対策要件を点検すること。・ AWS/Azure設定確認リスト(別添１)・ webシステム/webアプリケーションセキュリティ要件書(別添２)４ 業務の実施内容システム名 調達案件名 調達方式 2023(R5)年度 2024(R6)年度 2025(R7)年度 2026(R8)年度 2027(R9)年度既存施設所有サーバ運用・保守業務最低価格落札方式クラウド化にかかる設計開発業務及び移行後のシステム運用保守最低価格落札方式システム運用保守最低価格落札方式改修業務 最低価格落札方式動物医薬品検査所業務支援システム運用保守設計開発運用保守改修運用保守 運用保守 運用保守7運用・保守計画及び運用・保守実施要領の作成支援受注者は、動物医薬品検査所が運用・保守計画及び運用・保守実施要領を作成するに当たり、具体的な作業内容や実施時間、実施サイクル等に関する資料作成等の支援を行うこと。 MAFFクラウド管理者(PMO) PJMOIDおよびアクセス管理組織が許可したアカウントの管理 〇管理者アカウントに対する多要素認証の利用 〇 PJMOに一任管理者アカウントに紐づく最新の連絡先の登録と定期的な見直し 〇 年度初めに実施必要最低限の管理者権限の割当て 〇 PJMOに一任グループを利用した権限の設定 〇管理者アカウントに関する復旧手段の確保 〇すべてのアカウントへのパスワードポリシーの適用 〇アクセスキー、サービスアカウントキー等の適切な管理 〇管理者アカウントと日常的に使用するアカウントの分離 〇 ユーザーの払い出しはPJMO管理アカウント・権限・認証情報の定期的な見直し 〇年度初めに実施AWSにおいて考慮すべき設定AWS サポートセンターへのアクセス設定 〇 PJMOに一任IAM Access analyzerの有効化 〇 PJMOに一任Azureにおいて考慮すべき設定Microsoft Azure サポートセンターへのアクセス設定 〇 PJMOに一任事業者への権限付与 〇 PJMOに一任ログ(アクセスログ)の記録と監視ログの有効化及び取得 △ 〇MAFFクラウド共通機能「監査ログ収集機能」で下記のログは収集。 その他のログについてはPJMOに一任。 AWS：Configの「Configsnapshot」「Confighistory」・CloudTrailの証跡ログ・VPCフローログ・GuardDutyの検出結果Azure：Microsoft Defender for Cloudの評価結果・Activity Log・VNetフローログ・AzurePolicyの評価結果ログの一元管理 △ 〇 同上ログの保護 △ 〇 同上ログの監視/通知の設定 〇 PJMOに一任ネットワークロードバランサの接続設定 〇 PJMOに一任DDoS対策 〇 PJMOに一任SSL/TLS証明書の設定・管理 〇 PJMOに一任AWSにおいて考慮すべき設定セキュリティグループの設定 ○ PJMOに一任Azureにおいて考慮すべき設定ネットワークセキュリティグループ(NSG)の設定 ○ PJMOに一任他セキュリティ全般不適切な設定を検知するサービスの導入 〇 △MAFFクラウド共通機能「不適切設定検知機能」により設定AWS：Config・Security HubAzure：Azure Policyクラウド環境内の脅威を検知するサービスの導入 〇 △MAFFクラウド共通機能「マネージド型脅威検出機能」により設定AWS：GuardDutyAzure：Microsoft Defender for Cloud攻撃対象となるネットワークポートへのアクセス制限 〇 PJMOに一任各サービスにおける不要な匿名/公開アクセスのブロック 〇 PJMOに一任各サービスにおけるデータ・通信の暗号化 〇 PJMOに一任不正プログラム対策ソフトウェアの導入 〇 IDS/IPS対策(※要否については応相談)脆弱性管理最新のOSパッチの適用確認 〇インベントリ収集機能の有効化 ○ △ MAFFクラウド共通機能「インベントリ収集機能」を有効化し、管理者アカウントで監視AWSにおいて考慮すべき設定Amazon Inspectorの有効化 ○ PJMOに一任コンテナにおける脆弱性対策 ○ ECR(基本スキャン)またはInspector(拡張スキャン)を利用Azureにおいて考慮すべき設定コンテナにおける脆弱性対策 ○Defender CSPMまたはDefender for Containersを利用※基本的にはDefender for Containersを利用(脆弱性診断の性能に差はほとんどない一方、Defender CSPMはサブスクリプション内のリソース毎に料金が発生するため、 Defender forContainersに比べコストが高くなりやすい)バックアップ各サービスのバックアップ設定 ○ PJMOに一任セキュリティ設定確認リスト(AWS/Azure)担当役割分担に関する補足Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.01 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否1 認証・認可 1.1 ユーザー認証 1.1.1 特定のユーザーや管理者のみに表⽰・実⾏を許可すべき画⾯や機能、APIでは、ユーザー認証を実施すること特定のユーザーや管理者のみにアクセスを許可したいWebシステムでは、ユーザー認証を⾏う必要があります。また、ユーザー認証が成功した後にはアクセス権限を確認する必要があります。そのため、認証済みユーザーのみがアクセス可能な箇所を明⽰しておくことが望ましいでしょう。 リスクベース認証や⼆要素認証など認証をより強固にする仕組みもあります。不特定多数がアクセスする必要がない場合には、IPアドレスなどによるアクセス制限も効果があります。 OpenIDなどIdP(ID Provider)を利⽤する場合には信頼できるプロバイダであるかを確認する必要があります。IdPを使った認証・認可を⾏う場合も他の認証・認可に関する要件を満たすものを利⽤することが望ましいです。 必須1.1.2 上記画⾯や機能に含まれる画像やファイルなどの個別のコンテンツ(⾮公開にすべきデータは直接URLで指定できる公開ディレクトリに配置しない)では、ユーザー認証を実施すること必須1.1.3 多要素認証を実施すること 多要素認証(Multi Factor Authentication: MFA)とは、例えばパスワードによる認証に加え、TOTP (Time-Based One-Time Password：時間ベースのワンタイムパスワード)やデジタル証明書など⼆つ以上の要素を利⽤した認証⽅式です。⼿法については NIST Special Publication 800-63B などを参照してください。 推奨1.2 ユーザーの再認証 1.2.1 個⼈情報や機微情報を表⽰するページに遷移する際には、再認証を実施することユーザー認証はセッションにおいて最初の⼀度だけ実施するのではなく、重要な情報や機能へアクセスする際には再認証を⾏うことが望ましいでしょう。 推奨1.2.2 パスワード変更や決済処理などの重要な機能を実⾏する際には、再認証を実施すること推奨1.3 パスワード 1.3.1 ユーザー⾃⾝が設定するパスワード⽂字列は最低 8⽂字以上であること 認証を必要とするWebシステムの多くは、パスワードを本⼈確認の⼿段として認証処理を⾏います。そのためパスワードを盗聴や盗難などから守ることが重要になります。 必須1.3.2 登録可能なパスワード⽂字列の最⼤⽂字数は64⽂字以上であること パスワードを処理する関数の中には最⼤⽂字数が少ないものもあるので注意する必要があります。 必須1.3.3 パスワード⽂字列として使⽤可能な⽂字種は制限しないこと 任意の⼤⼩英字、数字、記号、空⽩、Unicode⽂字など任意の⽂字が利⽤可能である必要があります。 必須1.3.4 パスワード⽂字列の⼊⼒フォームはinput type="password"で指定すること基本的にinputタグのtype属性には「password」を指定しますが、パスワードを⼀時的に表⽰する可視化機能を実装する場合にはこの限りではありません。 必須1.3.5 ユーザーが⼊⼒したパスワード⽂字列を次画⾯以降で表⽰しないこと(hiddenフィールドなどのHTMLソース内やメールも含む)必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.02 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否1.3.6 パスワードを保存する際には、平⽂で保存せず、Webアプリケーションフレームワークなどが提供するハッシュ化とsaltを使⽤して保存する関数を使⽤すること関数が存在しない場合にはパスワードは「パスワード⽂字列＋salt(ユーザー毎に異なるランダムな⽂字列)」をハッシュ化したものとsaltのみを保存する必要があります。(saltは20⽂字以上であることが望ましい)パスワード⽂字列のハッシュ化をさらに安全にする⼿法としてストレッチングがあります。 必須1.3.7 ユーザー⾃⾝がパスワードを変更できる機能を⽤意すること 必須1.3.8 パスワードはユーザー⾃⾝に設定させることシステムが仮パスワードを発⾏する場合はランダムな⽂字列を設定し、安全な経路でユーザーに通知すること推奨1.3.9 パスワードの⼊⼒欄でペースト機能を禁⽌しないこと ⻑いパスワードをユーザーが利⽤出来るようにするためにペースト機能を禁⽌しないようにする必要があります。 推奨1.3.10 パスワード強度チェッカーを実装すること 使⽤する⽂字種や⽂字数を確認し、ユーザー⾃⾝にパスワードの強度を⽰せるようにします。またユーザーIDと同じ⽂字列や漏洩したパスワードなどのリストとの突合を⾏う必要があります。⼿法については NISTSpecial Publication 800-63B などを参照してください。 推奨1.4 アカウントロック機能について 1.4.1 認証時に無効なパスワードで10回試⾏があった場合、最低30分間はユーザーがロックアウトされた状態にすることパスワードに対する総当たり攻撃や辞書攻撃などから守るためには、試⾏速度を遅らせるアカウントロック機能の実装が有効な⼿段になります。アカウントロックの試⾏回数、ロックアウト時間については、サービスの内容に応じて調整することが必要になります。 必須1.4.2 ロックアウトは⾃動解除を基本とし、⼿動での解除は管理者のみ実施可能とすること推奨1.5 パスワードリセット機能について 1.5.1 パスワードリセットを実⾏する際にはユーザー本⼈しか受け取れない連絡先(あらかじめ登録しているメールアドレス、電話番号など)にワンタイムトークンを含むURLなどの再設定⽅法を通知すること連絡先については、事前に受け取り確認をしておくことでより安全性を⾼めることができます。 使⽤されたワンタイムトークンは破棄し、有効期限を12時間以内とし必要最低限に設定してください。 必須1.5.2 パスワードはユーザー⾃⾝に再設定させること 必須1.6 アクセス制御について 1.6.1 Web ページや機能、データをアクセス制御(認可制御)する際には認証情報・状態を元に権限があるかどうかを判別すること認証により何らかの制限を⾏う場合には、利⽤しようとしている情報や機能へのアクセス(読み込み・書き込み・実⾏など)権限を確認することでアクセス制御を⾏うことが必要になります。 画像やファイルなどのコンテンツ、APIなどの機能に対しても、全て個別にアクセス権限を設定、確認する必要があります。 これらはアクセス権限の⼀覧表に基づいて⾏います。 CDNなどを利⽤してコンテンツを配置するなどアクセス制御を⾏うことが困難な場合、予測が困難なURLを利⽤することでアクセスされにくくする⽅法もあります。 必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.03 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否1.6.2 公開ディレクトリには公開を前提としたファイルのみ配置すること 公開ディレクトリに配置したファイルは、URLを直接指定することでアクセスされる可能性があります。そのため、機微情報や設定ファイルなどの公開する必要がないファイルは、公開ディレクトリ以外に配置する必要があります。 必須1.7 アカウントの無効化機能について 1.7.1 管理者がアカウントの有効・無効を設定できること 不正にアカウントを利⽤されていた場合に、アカウントを無効化することで被害を軽減することができます。推奨2 セッション管理2.1 セッションの破棄について 2.1.1 認証済みのセッションが⼀定時間以上アイドル状態にあるときはセッションタイムアウトとし、サーバー側のセッションを破棄しログアウトすること認証を必要とするWebシステムの多くは、認証状態の管理にセッションIDを使ったセッション管理を⾏います。認証済みの状態にあるセッションを不正に利⽤されないためには、使われなくなったセッションを破棄する必要があります。セッションタイムアウトの時間については、サービスの内容やユーザー利便性に応じて設定することが必要になります。また、NIST Special Publication 800-63B などを参照してください。 必須2.1.2 ログアウト機能を⽤意し、ログアウト実⾏時にはサーバー側のセッションを破棄することログアウト機能の実⾏後にその成否をユーザーが確認できることが望ましい。 必須2.2 セッションIDについて 2.2.1 Webアプリケーションフレームワークなどが提供するセッション管理機能を使⽤することセッションIDを⽤いて認証状態を管理する場合、セッションIDの盗聴や推測、攻撃者が指定したセッションIDを使⽤させられる攻撃などから守る必要があります。 また、セッションIDは原則としてcookieにのみ格納すべきです。 必須2.2.2 セッションIDは認証成功後に発⾏すること認証前にセッションIDを発⾏する場合は、認証成功直後に新たなセッションIDを発⾏すること必須2.2.3 ログイン前に機微情報をセッションに格納する時点でセッションIDを発⾏または再⽣成すること必須2.2.4 認証済みユーザーの特定はセッションに格納した情報を元に⾏うこと 必須2.3 CSRF(クロスサイトリクエストフォージェリー)対策の実施について2.3.1 ユーザーにとって重要な処理を⾏う箇所では、ユーザー本⼈の意図したリクエストであることを確認できるようにすること正規ユーザー以外の意図により操作されては困る処理を⾏う箇所では、フォーム⽣成の際に他者が推測困難なランダムな値(トークン)をhiddenフィールドやcookie以外のヘッダーフィールド(X-CSRF-TOKENなど)に埋め込み、リクエストをPOSTメソッドで送信します。フォームデータを処理する際にトークンが正しいことを確認することで、正規ユーザーの意図したリクエストであることを確認することができます。 また、別の⽅法としてパスワード再⼊⼒による再認証を求める⽅法もあります。 cookieのSameSite属性を適切に使うことによって、CSRFのリスクを低減する効果があります。SameSite属性は⼀部の状況においては効果がないこともあるため、トークンによる確認が推奨されます。 必須3 ⼊⼒処理 3.1 パラメーターについて 3.1.1 URLにユーザーID やパスワードなどの機微情報を格納しないこと URLは、リファラー情報などにより外部に漏えいする可能性があります。そのため URLには秘密にすべき情報は格納しないようにする必要があります。 必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.04 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否3.1.2 パラメーター(クエリーストリング、エンティティボディ、cookieなどクライアントから受け渡される値)にパス名を含めないことファイル操作を⾏う機能などにおいて、URL パラメーターやフォームで指定した値でパス名を指定できるようにした場合、想定していないファイルにアクセスされてしまうなどの不正な操作を実⾏されてし まう可能性があります。 必須3.1.3 パラメーター要件に基づいて、⼊⼒値の⽂字種や⽂字列⻑の検証を⾏うこと各パラメーターは、機能要件に基づいて⽂字種・⽂字列⻑・形式を定義する必要があります。⼊⼒値に想定している⽂字種や⽂字列⻑以外の値の⼊⼒を許してしまう場合、不正な操作を実⾏されてしまう可能性があります。サーバー側でパラメーターを受け取る場合、クライアント側での⼊⼒値検証の有無に関わらず、⼊⼒値の検証はサーバー側で実施する必要があります。 必須3.2 ファイルアップロードについて 3.2.1 ⼊⼒値としてファイルを受け付ける場合には、拡張⼦やファイルフォーマットなどの検証を⾏うことファイルのアップロード機能を利⽤した不正な実⾏を防ぐ必要があります。画像ファイルを扱う場合には、ヘッダー領域を不正に加⼯したファイルにも注意が必要です。 必須3.2.2 アップロード可能なファイルサイズを制限すること 圧縮ファイルを展開する場合には、解凍後のファイルサイズや、ファイルパスやシンボリックリンクを含む場合のファイルの上書きにも注意が必要です。 必須3.3 XMLを使⽤する際の処理について 3.3.1 XMLを読み込む際は、外部参照を無効にすること ⼿法についてはXML External Entity Prevention Cheat Sheetなどを参照してください。 https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html必須3.4 デシリアライズについて 3.4.1 信頼できないデータ供給元からのシリアライズされたオブジェクトを受け⼊れないことデシリアライズする場合は、シリアライズしたオブジェクトにデジタル署名などを付与し、信頼できる供給元が発⾏したデータであるかを検証してください。 必須3.5 外部リソースへのリクエスト送信について 3.5.1 他システムに接続や通信を⾏う場合は、外部からの⼊⼒によって接続先を動的に決定しないこと外部から不正なURLやIPアドレスなどが挿⼊されると、SSRF(Server-Side Request Forgery)の脆弱性になる可能性があります。外部からの⼊⼒によって接続先を指定せざるを得ない場合は、ホワイトリストを基に⼊⼒値の検証を実施するとともに、アプリケーションレイヤーだけではなくネットワークレイヤーでのアクセス制御も併⽤する必要があります。 推奨4 出⼒処理 4.1 HTMLを⽣成する際の処理について 4.1.1 HTMLとして特殊な意味を持つ⽂字( " ' &)を⽂字参照によりエスケープすること外部からの⼊⼒により不正なHTMLタグなどが挿⼊されてしまう可能性があります。「<」→「<」や「&」→「&」、「"」→「"」のようにエスケープを⾏う必要があります。スクリプトによりクライアント側でHTMLを⽣成する場合も、同等の処理が必要です。実装の際にはこれらを⾃動的に実⾏するフレームワークやライブラリを使⽤することが望ましいでしょう。また、その他にもスクリプトの埋め込みの原因となるものを作らないようにする必要があります。 XMLを⽣成する場合も同様にエスケープが必要です。 必須4.1.2 外部から⼊⼒したURLを出⼒するときは「http://」または「https://」で始まるもののみを許可すること必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.05 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否4.1.3 .要素の内容やイベントハンドラ(onmouseover=””など)を動的に⽣成しないようにすること.要素の内容やイベントハンドラは原則として動的に⽣成しないようにすべきですが、jQueryなどのAjaxライブラリを使⽤する際はその限りではありません。ライブラリについては、アップデート状況などを調べて信頼できるものを選択するようにしましょう。 必須4.1.4 任意のスタイルシートを外部サイトから取り込めないようにすること 必須4.1.5 HTMLタグの属性値を「"」で囲うこと HTMLタグ中のname=”value”で記される値(value)にユーザーの⼊⼒値を使う場合、「”」で囲わない場合、不正な属性値を追加されてしまう可能性があります。 必須4.1.6 CSSを動的に⽣成しないこと 外部からの⼊⼒により不正なCSSが挿⼊されると、ブラウザに表⽰される画⾯が変更されたり、スクリプトが埋め込まれる可能性があります。 必須4.2 JSONを⽣成する際の処理について 4.2.1 ⽂字列連結でJSON⽂字列を⽣成せず、適切なライブラリを⽤いてオブジェクトをJSONに変換すること適切なライブラリがない場合は、JSONとして特殊な意味を持つ⽂字( " \, : { } [ ] )をUnicodeエスケープする必要があります。 必須4.3 HTTPレスポンスヘッダーについて 4.3.1 HTTPレスポンスヘッダーのContent-Typeを適切に指定すること ⼀部のブラウザではコンテンツの⽂字コードやメディアタイプを誤認識させることで不正な操作が⾏える可能性があります。これを防ぐためには、HTTPレスポンスヘッダーを「Content-Type: text/html; charset=utf-8」のように、コンテンツの内容に応じたメディアタイプと⽂字コードを指定する必要があります。 必須4.3.2 HTTPレスポンスヘッダーフィールドの⽣成時に改⾏コードが⼊らないようにすることHTTPヘッダーフィールドの⽣成時にユーザーが指定した値を挿⼊できる場合、改⾏コードを⼊⼒することで不正なHTTPヘッダーやコンテンツを挿⼊されてしまう可能性があります。これを防ぐためには、HTTPヘッダーフィールドを⽣成する専⽤のライブラリなどを使うようにすることが望ましいでしょう。 必須4.4 その他の出⼒処理について 4.4.1 SQL⽂を組み⽴てる際に静的プレースホルダを使⽤すること SQL⽂の組み⽴て時に不正なSQL⽂を挿⼊されることで、SQLインジェクションを実⾏されてしまう可能性があります。これを防ぐためにはSQL⽂を動的に⽣成せず、プレースホルダを使⽤してSQL⽂を組み⽴てるようにする必要があります。 静的プレースホルダとは、JIS/ISOの規格で「準備された⽂(PreparedStatement)」と規定されているものです。 必須4.4.2 プログラム上でOSコマンドやアプリケーションなどのコマンド、シェル、eval()などによるコマンドの実⾏を呼び出して使⽤しないことコマンド実⾏時にユーザーが指定した値を挿⼊できる場合、外部から任意のコマンドを実⾏されてしまう可能性があります。コマンドを呼び出して使⽤しないことが望ましいでしょう。 必須4.4.3 リダイレクタを使⽤する場合には特定のURLのみに遷移できるようにすることリダイレクタのパラメーターに任意のURLを指定できる場合(オープンリダイレクタ)、攻撃者が指定した悪意のあるURLなどに遷移させられる可能性があります。 必須4.4.4 メールヘッダーフィールドの⽣成時に改⾏コードが⼊らないようにすることメールの送信処理にユーザーが指定した値を挿⼊できる場合、不正なコマンドなどを挿⼊されてしまう可能性があります。これを防ぐためには、不正な改⾏コードを使⽤できないメール送信専⽤のライブラリなどを使うようにすることが望ましいでしょう。 必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.06 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否4.4.5 サーバ側のテンプレートエンジンを使⽤する際に、テンプレートの変更や作成に外部から受け渡される値を使⽤しないことサーバ側のテンプレートエンジンを使⽤してテンプレートを組み⽴てる際に不正なテンプレートの構⽂を挿⼊されることで、任意のコードを実⾏される可能性があります。 外部から渡される値をテンプレートの組み⽴てに使⽤せず、レンダリングを⾏う際のデータとして使⽤する必要があります。 また、レンダリング時にはクロスサイトスクリプティングの脆弱性が存在しないか確認してください。 必須5 HTTPS 5.1 HTTPSについて 5.1.1 Webサイトを全てHTTPSで保護すること 適切にHTTPSを使うことで通信の盗聴・改ざん・なりすましから情報を守ることができます。次のような重要な情報を扱う画⾯や機能ではHTTPSで通信を⾏う必要があります。 ・⼊⼒フォームのある画⾯・⼊⼒フォームデータの送信先・重要情報が記載されている画⾯・セッションIDを送受信する画⾯HTTPSの画⾯内で読み込む画像やスクリプトなどのコンテンツについてもHTTPSで保護する必要があります。 必須5.1.2 サーバー証明書はアクセス時に警告が出ないものを使⽤すること HTTPSで提供されているWebサイトにアクセスした場合、Webブラウザから何らかの警告がでるということは、適切にHTTPSが運⽤されておらず盗聴・改ざん・なりすましから守られていません。適切なサーバー証明書を使⽤する必要があります。 必須5.1.3 TLS1.2以上のみを使⽤すること SSL2.0／3.0、TLS1.0／1.1には脆弱性があるため、無効化する必要があります。使⽤する暗号スイートは、7.2.1を参照してください。 必須5.1.4 レスポンスヘッダーにStrict-Transport-Securityを指定すること Hypertext Strict Transport Security(HSTS)を指定すると、ブラウザがHTTPSでアクセスするよう強制できます。 必須6 cookie 6.1 cookieの属性について 6.1.1 Secure属性を付けること Secure属性を付けることで、http://でのアクセスの際にはcookieを送出しないようにできます。特に認証状態に紐付けられたセッションIDを格納する場合には、Secure属性を付けることが必要です。 必須6.1.2 HttpOnly属性を付けること HttpOnly属性を付けることで、クライアント側のスクリプトからcookieへのアクセスを制限することができます。 必須6.1.3 Domain属性を指定しないこと セッションフィクセイションなどの攻撃に悪⽤されることがあるため、Domain属性は特に必要がない限り指定しないことが望ましいでしょう。 推奨7 その他 7.1 エラーメッセージについて 7.1.1 エラーメッセージに詳細な内容を表⽰しないこと ミドルウェアやデータベースのシステムが出⼒するエラーには、攻撃のヒントになる情報が含まれているため、エラーメッセージの詳細な内容はエラーログなどに出⼒するべきです。 必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.07 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否7.2 暗号アルゴリズムについて 7.2.1 ハッシュ関数、暗号アルゴリズムは『電⼦政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)』に記載のものを使⽤すること広く使われているハッシュ関数、疑似乱数⽣成系、暗号アルゴリズムの中には安全でないものもあります。安全なものを使⽤するためには、『電⼦政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)』や『TLS暗号設定ガイドライン』に記載されたものを使⽤する必要があります。 必須7.3 乱数について 7.3.1 鍵や秘密情報などに使⽤する乱数的性質を持つ値を必要とする場合には、暗号学的な強度を持った疑似乱数⽣成系を使⽤すること鍵や秘密情報に予測可能な乱数を⽤いると、過去に⽣成した乱数値から⽣成する乱数値が予測される可能性があるため、ハッシュ関数などを⽤いて⽣成された暗号学的な強度を持った疑似乱数⽣成系を使⽤する必要があります。 必須7.4 基盤ソフトウェアについて 7.4.1 基盤ソフトウェアはアプリケーションの稼働年限以上のものを選定すること脆弱性が発⾒された場合、修正プログラムを適⽤しないと悪⽤される可能性があります。そのため、⾔語やミドルウェア、ソフトウェアの部品などの基盤ソフトウェアは稼働期間またはサポート期間がアプリケーションの稼働期間以上のものを利⽤する必要があります。もしアプリケーションの稼働期間中に基盤ソフトウェアの保守期間が終了した場合、危険な脆弱性が残されたままになる可能性があります。 必須7.4.2 既知の脆弱性のないOSやミドルウェア、ライブラリやフレームワーク、パッケージなどのコンポーネントを使⽤すること利⽤コンポーネントにOSSが含まれる場合は、SCA(ソフトウェアコンポジション解析)ツールを導⼊し、依存関係を包括的かつ正確に把握して対策が⾏えることが望ましいでしょう。 必須7.5 ログの記録について 7.5.1 重要な処理が⾏われたらログを記録すること ログは、情報漏えいや不正アクセスなどが発⽣した際の検知や調査に役⽴つ可能性があります。認証やアカウント情報の変更などの重要な処理が実⾏された場合には、その処理の内容やクライアントのIPアドレスなどをログとして記録することが望ましいでしょう。ログに機微情報が含まれる場合にはログ⾃体の取り扱いにも注意が必要になります。 必須7.6 ユーザーへの通知について 7.6.1 重要な処理が⾏われたらユーザーに通知すること 重要な処理(パスワードの変更など、ユーザーにとって重要で取り消しが困難な処理)が⾏われたことをユーザーに通知することによって異常を早期に発⾒できる可能性があります。 推奨7.7 Access-Control-Allow-Originヘッダーについて7.7.1 Access-Control-Allow-Originヘッダーを指定する場合は、動的に⽣成せず固定値を使⽤することクロスオリジンでXMLHttpRequest (XHR)を使う場合のみこのヘッダーが必要です。不要な場合は指定する必要はありませんし、指定する場合も特定のオリジンのみを指定する事が望ましいです。 必須7.8 クリックジャッキング対策について 7.8.1 レスポンスヘッダーにX-Frame-OptionsとContent-Security-Policyヘッダーのframe-ancestors ディレクティブを指定することクリックジャッキング攻撃に悪⽤されることがあるため、X-Frame-OptionsヘッダーフィールドにDENYまたはSAMEORIGINを指定する必要があります。 Content-Security-Policyヘッダーフィールドに frame-ancestors 'none'または 'self' を指定する必要があります。 X-Frame-Options ヘッダーは主要ブラウザーでサポートされていますが標準化されていません。CSP レベル 2 仕様で frame-ancestors ディレクティブが策定され、X-Frame-Options は⾮推奨とされました。 必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.08 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否7.9 キャッシュ制御について 7.9.1 個⼈情報や機微情報を表⽰するページがキャッシュされないよう Cache-Control: no-store を指定すること個⼈情報や機密情報が含まれたページはCDNやロードバランサー、ブラウザなどのキャッシュに残ってしまうことで、権限のないユーザーが閲覧してしまう可能性があるためキャッシュ制御を適切に⾏う必要があります。 必須7.10 ブラウザのセキュリティ設定について 7.10.1 ユーザーに対して、ブラウザのセキュリティ設定の変更をさせるような指⽰をしないことユーザーのWebブラウザのセキュリティ設定などを変更した場合や、認証局の証明書をインストールさせる操作は、他のサイトにも影響します。 必須7.11 ブラウザのセキュリティ警告について 7.11.1 ユーザーに対して、ブラウザの出すセキュリティ警告を無視させるような指⽰をしないことブラウザの出す警告を通常利⽤においても無視させるよう指⽰をしていると、悪意のあるサイトで同様の指⽰をされた場合もそのような操作をしてしまう可能性が⾼まります。 必須7.12 WebSocketについて 7.12.1 Originヘッダーの値が正しいリクエスト送信元であることが確認できた場合にのみ処理を実施することWebSocketにはSOP (Same Origin Policy)という仕組みが存在しないため、Cross-Site WebSocket Hijacking(CSWSH)対策のためにOriginヘッダーを確認する必要があります。 必須7.13 HTMLについて 7.13.1 html開始タグの前にを宣⾔すること DOCTYPEで⽂書タイプをHTMLと明⽰的に宣⾔することでCSSなど別フォーマットとして解釈されることを防ぎます。 必須7.13.2 CSSファイルやJavaScriptファイルをlinkタグで指定する場合は、絶対パスを使⽤することlinkタグを使⽤してCSSファイルやJavaScriptファイルを相対パス指定した場合にRPO (Relative Path Overwrite) が起きる可能性があります。 必須8 提出物 8.1 提出物について 8.1.1 サイトマップを⽤意すること 認証や再認証、CSRF対策が必要な箇所、アクセス制御が必要なデータを明確にするためには、Webサイト全体の構成を把握し、扱うデータを把握する必要があります。そのためには上記の資料を⽤意することが望ましいでしょう。 必須8.1.2 画⾯遷移図を⽤意すること 必須8.1.3 アクセス権限⼀覧表を⽤意すること 誰にどの機能の利⽤を許可するかまとめた⼀覧表を作成することが望ましいでしょう。 必須8.1.4 コンポーネント⼀覧を⽤意すること 依存しているライブラリやフレームワーク、パッケージなどのコンポーネントに脆弱性が存在する場合がありますので、依存しているコンポーネントを把握しておく必要があります。 推奨8.1.5 上記のセキュリティ要件についてテストした結果報告書を⽤意すること ⾃社で脆弱性診断を実施する場合には「脆弱性診断⼠スキルマッププロジェクト」が公開している「Webアプリケーション脆弱性診断ガイドライン」などを参照してください。 推奨別紙２ 情報システムの経費区分経費区分 摘要1) 整備経費 情報システムの整備(新規開発、機能改修・追加、更改及びこれらに付随する環境の整備をいう。)に要する一時的な経費目的により、投資的整備と維持的整備のものに分けられる。  投資的整備国民・利用者の利便性向上・負担軽減や業務効率化、経済効果の創出、システムのスリム化などの面で積極的に効果を得ることを目的として行うもの(注１) 維持的整備外部環境の変更等により生じる障害の回避を目的として、義務的に行うもの(仕様変更を伴うが積極的に効果を得ることを目的としないもの)(注２)ア 調査研究等経費情報システムの整備に当たり、業務の設計、要件定義を行う目的で行う現状分析、プロトタイプ作成、ドキュメント作成支援、調査研究等に要する経費(最適化計画の策定に要する経費を含む。)イ 設計経費 情報システムの整備に際し、その開発に関する設計書の作成に要する経費ウ 開発経費 情報システムの整備に際し、情報システムのプログラミング、パラメータ設定等による情報システムの開発(単体テストを含む。)に要する経費エ 据付調整経費ハードウェアやラックの搬入・据付け、ネットワークケーブルの敷設等、情報システムの物理的な稼働環境の整備に要する経費オ テスト経費 開発する情報システムの結合テスト、総合テスト及び受入テストに要する経費カ 移行経費 情報システムのシステム移行及びデータ移行に要する経費キ 廃棄経費 情報システムの廃止及び更改に伴う、ハードウェアやラック、ネットワークケーブル等の撤去及び廃棄に要する経費ク プロジェクト管理支援経費情報システムの整備に伴うプロジェクト管理支援事業者に要する経費ケ 施設整備等経費情報システムを構成するハードウェアを設置する施設、データ等を保管する施設又は運用事業者等が運用・保守等を行うために駐在する施設の整備、改修等に要する経費コ ハードウェア買取経費情報システムを構成するハードウェアの買取りに要する経費サ ソフトウェア買取経費情報システムを構成するソフトウェア製品のライセンスの買取り又は更新に要する経費シ サービス利用料情報システムの整備に当たって、ASP、SaaS、PaaS、ホスティングサービスなど、国の行政機関以外の者が提供するサービスの利用に要する経費及び国の行政機関以外の者が提供するサービスの利用開始に要する経費ス その他整備経費アからシまでのいずれにも該当しない情報システムの整備に要する経費2) 運用等経費 情報システムの運用、保守等に要する経常的な経費経費区分 摘要ア システム運用経費情報システムの正常な稼働を保持するために行うハードウェアの状態ファイルの管理、アプリケーションの設定等の管理、障害に対する予防等の措置など、仕様変更や構成変更を伴わない情報システムの技術的及び管理的業務の実施に要する経費イ 業務運用支援経費情報システムの稼働に当たって、業務実施部門が行う業務(データ作成(Webサイトやeラーニングのコンテンツ作成等)、データ受付・登録等)の運用支援に要する経費ウ 操作研修等経費情報システムの利用に当たって、当該情報システム部門の担当者又は情報システムの利用者に対する操作研修等(教材作成・更新を含む。)に要する経費エ ヘルプデスク経費職員等の情報システム利用者からの問合せに対応するために行う業務に要する経費オ コールセンター経費国民や事業者等の情報システム利用者からの問合せに対応するために行う業務に要する経費カ アプリケーション保守経費開発した情報システムについて、障害や技術革新等の外部環境の変化に対して情報システムの機能を仕様どおり正常な状態に保つために行うアプリケーションプログラムの改修、設定変更等に要する経費キ ハードウェア保守経費情報システムを構成するハードウェアについて、障害や技術革新等の外部環境の変化に対して情報システムの機能を仕様どおり正常な状態に保つために行う業務に要する経費ク ソフトウェア保守経費情報システムを構成するソフトウェア製品について、障害や技術革新等の外部環境の変化に対して情報システムの機能を仕様どおり正常な状態に保つために行う業務に要する経費ケ 監査経費 情報システムについて、システム監査又は情報セキュリティ監査の実施に要する経費コ 情報セキュリティ検査経費情報システムについて、ペネトレーションテスト、脆弱性診断等の情報セキュリティ検査・診断の実施に要する経費サ ハードウェア借料情報システムを構成するハードウェアについて、その使用に要する借料シ ソフトウェア借料情報システムを構成するソフトウェア製品について、その使用に要する借料ス サービス利用料情報システムの稼働又は利用に当たって、ASP、SaaS、PaaS、ホスティングサービスなど、国の行政機関以外の者が提供するサービスの利用に要する経費セ 通信回線料 情報システムを構成するネットワークにおいて必要となる通信回線の利用に要する経費ソ 施設利用等経費情報システムを構成するハードウェアを設置する施設、データ等を保管する施設又は運用事業者等が運用・保守等を行うために駐在する施設の利用等に要する経費タ その他運用等経費アからソまでのいずれにも該当しない情報システムの運用等に要する経費3) その他経費 国の行政機関以外の情報システムに関係する経費及びデジタル・ガバメントの推進のための体制整備に要する経費(1) 情報システム振興等経費地方公共団体、独立行政法人等に対する情報システムの整備・運用に関する助成金、補助金、交付金等の経費経費区分 摘要ア 地方公共団体情報システム関係経費地方公共団体に対する情報システムの整備・運用に関する補助金、交付金等の経費イ 独立行政法人等情報システム関係経費独立行政法人、国立大学法人(大学共同利用機関法人を含む。)、特殊法人、公益法人等に対する情報システムの整備・運用に関する助成金、補助金、交付金(法人の運営に関する経費は除く。)等の経費(2) デジタル・ガバメントの推進のための体制整備関係経費高度デジタル人材の登用に要する経費、ＰＭＯの支援スタッフ等に要する経費、内部職員の育成に要する経費等、デジタル・ガバメントの推進のための体制整備に要する経費(注１)以下の例による。・ 紙による行政手続のオンライン化による国民の利便性向上に有効なもの・ ワンストップ化による国民の来訪回数の低減など国民の負担軽減に有効なもの・ 行政事務の自動化又は時間短縮などに有効なもの・ 運用等経費など将来の経費削減に有効なもの(注２)以下の例による。 ・ 法令改正等により現行の仕様のままでは法令等に違反する状態になることを避けるために行うもの・ 災害発生等の情報収集及び人々の避難等の行動につなげるなど国民の身体への悪影響又は経済的損失を回避するためのもの・ サイバー攻撃による基盤となる情報システムの停止などを回避するためのもの・ 重要インフラの停止など社会混乱を回避するためのもの・ パソコンやネットワークの更新など行政事務の停止を回避するためのもの別紙３ 調達仕様書に盛り込むべき情報資産管理標準シートの提出等に関する作業内容調達を行うときは、調達内容に応じ、少なくとも次の１．及び２．に定める作業内容を調達仕様書に盛り込むものとする。また、３．に掲げる項目については、必要に応じて、適宜様式を定めた上で適時に内容を記載することを調達仕様書に盛り込むものとする。契約金額内訳「別紙２ 情報システムの経費区分」に基づき区分等した契約金額の内訳が記載されたエクセルの電子データを契約締結後速やかに提出すること。情報資産管理標準シートの提出情報資産管理標準シートを、デジタル庁から作業依頼のある時期(原則毎年度末)に、提出すること。その他1) ハードウェアの管理情報システムを構成するハードウェアの製品名、型番、ハードウェア分類、契約形態、保守期限等2) ソフトウェアの管理情報システムを構成するソフトウェア製品の名称(エディションを含む。)、バージョン、ソフトウェア分類、契約形態、ライセンス形態、サポート期限等3) 回線の管理情報システムを構成する回線の回線種別、回線サービス名、事業者名、使用期間、ネットワーク帯域等4) 外部サービスの管理情報システムを構成するクラウドサービス等の外部サービスの外部サービス利用形態、使用期間等5) 施設の管理情報システムを構成するハードウェア等が設置され、又は情報システムの運用業務等に用いる区域を有する施設の施設形態、所在地、耐久性、ラック数、各区域に関する情報等6) 公開ドメインの管理情報システムが利用する公開ドメインの名称、ＤＮＳ名、有効期限等7) 取扱情報の管理情報システムが取り扱う情報について、データ・マスタ名、個人情報の有無、格付等8) 情報セキュリティ要件の管理情報システムの情報セキュリティ要件9) 指標の管理情報システムの運用及び保守の間、把握すべきＫＰＩ注記)名、ＫＰＩ分類、計画値等の案注記)ＫＰＩ(Key Performance Indicator)とは、目標・戦略を実現するために設定した具体的な業務プロセスをモニタリングするために設定される指標(業績評価指標：Performance Indicators)のうち、特に重要なものをいう。10) 各データの変更管理情報システムの運用及び保守において、上記の各項目についてその内容に変更が生じる作業をしたときは、当該変更を行った項目11) 作業実績等の管理情報システムの運用及び保守中に取りまとめた作業実績、リスク、課題及び障害事由12) スケジュールや工数等の管理役務を伴う調達案件については、ＰＪＭＯの求めに応じ、スケジュールや工数等の計画値及び実績値(別紙３)- 1 -情報セキュリティの確保に関する共通基本仕様Ⅰ 情報セキュリティポリシーの遵守１ 受託者は、担当部署から農林水産省における情報セキュリティの確保に関する規則(平成27 年農林水産省訓令第４号。以下「規則」という。)等の説明を受けるとともに、本業務に係る情報セキュリティ要件を遵守すること。なお、規則は、政府機関等のサイバーセキュリティ対策のための統一基準群(以下「統一基準群」という。)に準拠することとされていることから、受託者は、統一基準群の改定を踏まえて規則が改正された場合には、本業務に関する影響分析を行うこと。２ 受託者は、規則と同等の情報セキュリティ管理体制を整備していること。３ 受託者は、本業務の従事者に対して、規則と同等の情報セキュリティ対策の教育を実施していること。Ⅱ 応札者に関する情報の提供１ 応札者は、応札者の資本関係・役員等の情報、本業務の実施場所、本業務の従事者(契約社員、派遣社員等の雇用形態は問わず、本業務に従事する全ての要員)の所属・専門性(保有資格、研修受講実績等)・実績(業務実績、経験年数等)及び国籍に関する情報を記載した資料を提出すること。なお、本業務に従事する全ての要員に関する情報を記載することが困難な場合は、本業務に従事する主要な要員に関する情報を記載するとともに、本業務に従事する部門等における従事者に関する情報(○○国籍の者が△名(又は□％)等)を記載すること。また、この場合であっても、担当部署からの要求に応じて、可能な限り要員に関する情報を提供すること。２ 応札者は、本業務を実施する部署、体制等の情報セキュリティ水準を証明する以下のいずれかの証明書等の写しを提出すること。(提出時点で有効期限が切れていないこと。)(１)ISO/IEC27001等の国際規格とそれに基づく認証の証明書等(２)プライバシーマーク又はそれと同等の認証の証明書等(３)独立行政法人情報処理推進機構(IPA)が公開する「情報セキュリティ対策ベンチマーク」を利用した自己評価を行い、その評価結果において、全項目に係る平均値が４に達し、かつ各評価項目の成熟度が２以上であることが確認できる確認書Ⅲ 業務の実施における情報セキュリティの確保１ 受託者は、本業務の実施に当たって、以下の措置を講ずること。なお、応札者は、以下の措置を講ずることを証明する資料を提出すること。(１)本業務上知り得た情報(公知の情報を除く。)については、契約期間中はもとより契約終了後においても、第三者に開示し、又は本業務以外の目的で利用しないこと。(別紙３)- 2 -(２)本業務に従事した要員が異動、退職等をした後においても有効な守秘義務契約を締結すること。(３)本業務に係る情報を適切に取り扱うことが可能となるよう、情報セキュリティ対策の実施内容及び管理体制を整備すること。なお、本業務実施中及び実施後において検証が可能となるよう、必要なログの取得や作業履歴の記録等を行う実施内容及び管理体制とすること。(４)本業務において、個人情報又は農林水産省における要機密情報を取り扱う場合は、当該情報(複製を含む。以下同じ。)を国内において取り扱うものとし、当該情報の国外への送信・保存や当該情報への国外からのアクセスを行わないこと。 (５)農林水産省が情報セキュリティ監査の実施を必要と判断した場合は、農林水産省又は農林水産省が選定した事業者による立入調査等の情報セキュリティ監査(サイバーセキュリティ基本法(平成 26 年法律第 104 号)第 26 条第１項第２号に基づく監査等を含む。以下同じ。)を受け入れること。また、担当部署からの要求があった場合は、受託者が自ら実施した内部監査及び外部監査の結果を報告すること。(６)本業務において、要安定情報を取り扱うなど、担当部署が可用性を確保する必要があると認めた場合は、サービスレベルの保証を行うこと。(７)本業務において、第三者に情報が漏えいするなどの情報セキュリティインシデントが発生した場合は、担当部署に対し、速やかに電話、口頭等で報告するとともに、報告書を提出すること。また、農林水産省の指示に従い、事態の収拾、被害の拡大防止、復旧、再発防止等に全力を挙げること。なお、これらに要する費用の全ては受託者が負担すること。２ 受託者は、委託期間を通じて以下の措置を講ずること。(１)情報の適正な取扱いのため、取り扱う情報の格付等に応じ、以下に掲げる措置を全て含む情報セキュリティ対策を実施すること。また、実施が不十分の場合、農林水産省と協議の上、必要な改善策を立案し、速やかに実施するなど、適切に対処すること。ア 情報セキュリティインシデント等への対処能力の確立・維持イ 情報へアクセスする主体の識別とアクセスの制御ウ ログの取得・監視エ 情報を取り扱う機器等の物理的保護オ 情報を取り扱う要員への周知と統制カ セキュリティ脅威に対処するための資産管理・リスク評価キ 取り扱う情報及び当該情報を取り扱うシステムの完全性の保護ク セキュリティ対策の検証・評価・見直し(２)本業務における情報セキュリティ対策の履行状況を定期的に報告すること。(３)本業務において情報セキュリティインシデントの発生、情報の目的外使用等を認知した場合、直ちに委託事業の一時中断等、必要な措置を含む対処を実施すること。(４)私物(本業務の従事者個人の所有物等、受託者管理外のものをいう。)の機器等を本業務に用いないこと。(別紙３)- 3 -(５)本業務において取り扱う情報が本業務上不要となった場合、担当部署の指示に従い返却又は復元できないよう抹消し、その結果を担当部署に書面で報告すること。３ 受託者は、委託期間の終了に際して以下の措置を講ずること。(１)本業務の実施期間を通じてセキュリティ対策が適切に実施されたことを書面等により報告すること。(２)成果物等を電磁的記録媒体により納品する場合には、不正プログラム対策ソフトウェアによる確認を行うなどして、成果物に不正プログラムが混入することのないよう、適切に対処するとともに、確認結果(確認日時、不正プログラム対策ソフトウェアの製品名、定義ファイルのバージョン等)を成果物等に記載又は添付すること。(３)本業務において取り扱われた情報を、担当部署の指示に従い返却又は復元できないよう抹消し、その結果を担当部署に書面で報告すること。４ 受託者は、情報セキュリティの観点から調達仕様書で求める要件以外に必要となる措置がある場合には、担当部署に報告し、協議の上、対策を講ずること。Ⅳ 情報システムにおける情報セキュリティの確保１ 受託者は、本業務において情報システムに関する業務を行う場合には、以下の措置を講ずること。なお、応札者は、以下の措置を講ずることを証明する資料を提出すること。(１)本業務の各工程において、農林水産省の意図しない情報システムに関する変更や機密情報の窃取等が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること(例えば、品質保証体制の責任者や各担当者がアクセス可能な範囲等を示した管理体制図、第三者機関による品質保証体制を証明する書類等を提出すること。)。(２)本業務において、農林水産省の意図しない変更が行われるなどの不正が見つかったときに、追跡調査や立入調査等、農林水産省と連携して原因を調査し、排除するための手順及び体制(例えば、システムの操作ログや作業履歴等を記録し、担当部署から要求された場合には提出するなど)を整備していること。２ 受託者は、本業務において情報システムの運用管理機能又は設計・開発に係る企画・要件定義を行う場合には、以下の措置を実施すること。(１)情報システム運用時のセキュリティ監視等の運用管理機能を明確化し、情報システム運用時に情報セキュリティ確保のために必要となる管理機能や監視のために必要な機能を本業務の成果物へ適切に反映するために、以下を含む措置を実施すること。ア 情報システム運用時に情報セキュリティ確保のために必要となる管理機能を本業務の成果物に明記すること。イ 情報セキュリティインシデントの発生を監視する必要がある場合、監視のために必要な機能について、以下を例とする機能を本業務の成果物に明記すること。(ア)農林水産省外と通信回線で接続している箇所における外部からの不正アクセスやサ(別紙３)- 4 -ービス不能攻撃を監視する機能(イ)不正プログラム感染や踏み台に利用されること等による農林水産省外への不正な通信を監視する機能(ウ)端末等の農林水産省内ネットワークの末端に位置する機器及びサーバ装置において不正プログラムの挙動を監視する機能(エ)農林水産省内通信回線への端末の接続を監視する機能(オ)端末への外部電磁的記録媒体の挿入を監視する機能(カ)サーバ装置等の機器の動作を監視する機能(キ)ネットワークセグメント間の通信を監視する機能(２)開発する情報システムに関連する脆(ぜい)弱性への対策が実施されるよう、以下を含む対策を本業務の成果物に明記すること。ア 既知の脆(ぜい)弱性が存在するソフトウェアや機能モジュールを情報システムの構成要素としないこと。イ 開発時に情報システムに脆(ぜい)弱性が混入されることを防ぐためのセキュリティ実装方針を定めること。ウ セキュリティ侵害につながる脆(ぜい)弱性が情報システムに存在することが発覚した場合に修正が施されること。エ ソフトウェアのサポート期間又はサポート打ち切り計画に関する情報を提供すること。(３)開発する情報システムに意図しない不正なプログラム等が組み込まれないよう、以下を全て含む対策を本業務の成果物に明記すること。ア 情報システムで利用する機器等を調達する場合は、意図しない不正なプログラム等が組み込まれていないことを確認すること。 イ アプリケーション・コンテンツの開発時に意図しない不正なプログラム等が混入されることを防ぐための対策を講ずること。ウ 情報システムの構築を委託する場合は、委託先において農林水産省が意図しない変更が加えられないための管理体制を求めること。(４)要安定情報を取り扱う情報システムを構築する場合は、許容される停止時間を踏まえて、情報システムを構成する要素ごとに、以下を全て含むセキュリティ要件を定め、本業務の成果物に明記すること。ア 端末、サーバ装置及び通信回線装置等の冗長化に関する要件イ 端末、サーバ装置及び通信回線装置並びに取り扱われる情報に関するバックアップの要件ウ 情報システムを中断することのできる時間を含めた復旧に関する要件(５)開発する情報システムのネットワーク構成について、以下を全て含む要件を定め、本業務の成果物に明記すること。ア インターネットやインターネットに接点を有する情報システム(クラウドサービスを含(別紙３)- 5 -む。)から分離することの要否の判断及びインターネットから分離するとした場合に、分離を確実にするための要件イ 端末、サーバ装置及び通信回線装置上で利用するソフトウェアを実行するために必要な通信要件ウ インターネット上のクラウドサービス等のサービスを利用する場合の通信経路全般のネットワーク構成に関する要件エ 農林水産省外通信回線を経由して機器等に対してリモートメンテナンスすることの要否の判断とリモートメンテナンスすることとした場合の要件３ 受託者は、本業務において情報システムの構築を行う場合には、以下の事項を含む措置を適切に実施すること。(１)情報システムのセキュリティ要件の適切な実装ア 主体認証機能イ アクセス制御機能ウ 権限管理機能エ 識別コード・主体認証情報の付与管理オ ログの取得・管理カ 暗号化機能・電子署名機能キ 暗号化・電子署名に係る管理ク 監視機能ケ ソフトウェアに関する脆(ぜい)弱性等対策コ 不正プログラム対策サ サービス不能攻撃対策シ 標的型攻撃対策ス 動的なアクセス制御セ アプリケーション・コンテンツのセキュリティソ 政府ドメイン名(go.jp)の使用タ 不正なウェブサイトへの誘導防止チ 農林水産省外のアプリケーション・コンテンツの告知(２)監視機能及び監視のための復号・再暗号化監視のために必要な機能について、２(１)イの各項目を例として必要な機能を設けること。 また、不正な変更が発見された場合に、農林水産省と受託者が連携して原因を調査・排除できる体制を整備していること。３ 機器等の設置時や保守時に、情報セキュリティの確保に必要なサポートを行うこと。４ 利用マニュアル・ガイダンスが適切に整備された機器等を採用すること。５ 脆(ぜい)弱性検査等のテストが実施されている機器等を採用し、そのテストの結果が確認できること。６ ISO/IEC 15408 に基づく認証を取得している機器等を採用することが望ましい。なお、当該認証を取得している場合は、証明書等の写しを提出すること。(提出時点で有効期限が切れていないこと。)７ 情報システムを構成するソフトウェアについては、運用中にサポートが終了しないよう、サポート期間が十分に確保されたものを選定し、可能な限り最新版を採用するとともに、ソフトウェアの種類、バージョン及びサポート期限について報告すること。なお、サポート期限が事前に公表されていない場合は、情報システムのライフサイクルを踏まえ、販売からの経過年数や後継ソフトウェアの有無等を考慮して選定すること。８ 機器等の納品時に、以下の事項を書面で報告すること。(１)調達仕様書に指定されているセキュリティ要件の実装状況(セキュリティ要件に係る試験(別紙３)- 14 -の実施手順及び結果)(２)機器等に不正プログラムが混入していないこと(最新の定義ファイル等を適用した不正プログラム対策ソフトウェア等によるスキャン結果、内部監査等により不正な変更が加えられていないことを確認した結果等)Ⅸ 管轄裁判所及び準拠法１ 本業務に係る全ての契約(クラウドサービスを含む。以下同じ。)に関して訴訟の必要が生じた場合の専属的な合意管轄裁判所は、国内の裁判所とすること。２ 本業務に係る全ての契約の成立、効力、履行及び解釈に関する準拠法は、日本法とすること。Ⅹ 業務の再委託における情報セキュリティの確保１ 受託者は、本業務の一部を再委託(再委託先の事業者が受託した事業の一部を別の事業者に委託する再々委託等、多段階の委託を含む。以下同じ。)する場合には、受託者が上記Ⅱの１、Ⅱの２、Ⅲの１及びⅣの１において提出することとしている資料等と同等の再委託先に関する資料等並びに再委託対象とする業務の範囲及び再委託の必要性を記載した申請書を提出し、農林水産省の許可を得ること。２ 受託者は、本業務に係る再委託先の行為について全責任を負うものとする。また、再委託先に対して、受託者と同等の義務を負わせるものとし、再委託先との契約においてその旨を定めること。なお、情報セキュリティ監査については、受託者による再委託先への監査のほか、農林水産省又は農林水産省が選定した事業者による再委託先への立入調査等の監査を受け入れるものとすること。３ 受託者は、担当部署からの要求があった場合は、再委託先における情報セキュリティ対策の履行状況を報告すること。Ⅺ 資料等の提出上記Ⅱの１、Ⅱの２、Ⅲの１、Ⅳの１、Ⅴの６、Ⅴの７、Ⅴの８、Ⅵの１(５)、Ⅵの１(６)、Ⅵの１(８)、Ⅷの１及びⅧの６において提出することとしている資料等については、最低価格落札方式にあっては入札公告及び入札説明書に定める証明書等の提出場所及び提出期限に従って提出し、総合評価落札方式及び企画競争方式にあっては提案書等の評価のための書類に添付して提出すること。Ⅻ 変更手続受託者は、上記Ⅱ、Ⅲ、Ⅳ、Ⅴ、Ⅵ、Ⅶ、Ⅷ及びⅩに関して、農林水産省に提示した内容を変更しようとする場合には、変更する事項、理由等を記載した申請書を提出し、農林水産省の許可を得ること。別紙４環境負荷低減のクロスコンプライアンス実施状況報告書以下のア～カの取組について、実施状況を報告します。ア 環境負荷低減に配慮したものを調達するよう努める。具体的な事項実施した／努めた左記非該当・対象となる物品の輸送に当たり、燃料消費を少なくするよう検討する(もしくはそのような工夫を行っている配送業者と連携する)。☐ ☐・対象となる物品の輸送に当たり、燃費効率の向上や温室効果ガスの過度な排出を防ぐ観点から、輸送車両の保守点検を適切に実施している。☐ ☐・農林水産物や加工食品を使用する場合には、農薬等を適正に使用して(農薬の使用基準等を遵守して)作られたものを調達することに努めている。☐ ☐・事務用品を使用する場合には、詰め替えや再利用可能なものを調達することに努めている。☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )イ エネルギーの削減の観点から、オフィスや車両・機械などの電気、燃料の使用状況の記録・保存や、不必要・非効率なエネルギー消費を行わない取組(照明、空調のこまめな管理や、ウォームビズ・クールビズの励行、燃費効率の良い機械の利用等)の実施に努める。具体的な事項実施した／努めた左記非該当・事業実施時に消費する電気・ガス・ガソリン等のエネルギーについて、帳簿への記載や伝票の保存等により、使用量・使用料金の記録に努めている。☐ ☐・事業実施時に使用するオフィスや車両・機械等について、不要な照明の消灯やエンジン停止に努めている。☐ ☐・事業実施時に使用するオフィスや車両・機械等について、基準となる室温を決めたり、必要以上の冷暖房、保温を行わない等、適切な温度管理に努めている。☐ ☐・事業実施時に使用する車両・機械等が効果的に機能を発揮できるよう、定期的な点検や破損があった場合は補修等に努めている。☐ ☐・夏期のクールビズや冬期のウォームビズの実施に努めている。☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )ウ 廃棄物の発生抑制、適正な循環的な利用及び適正な処分に努める。具体的な事項実施した／努めた左記非該当・事業実施時に使用する資材について、プラスチック資材から紙などの環境負荷が少ない資材に変更することを検討する。☐ ☐・資源のリサイクルに努めている(リサイクル事業者に委託することも可)。☐ ☐・事業実施時に使用するプラスチック資材を処分する場合に法令に従って適切に実施している。 ☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )エ みどり戦略の理解に努めるとともに、機械等を扱う場合は、機械の適切な整備及び管理並びに作業安全に努める。具体的な事項実施した／努めた左記非該当・「環境負荷低減のクロスコンプライアンスチェックシート解説書 －民間事業者・自治体等編－」にある記載内容を了知し、関係する事項について取り組むよう努める。☐ ☐・事業者として独自の環境方針やビジョンなどの策定している、もしくは、策定を検討する。☐ ☐・従業員等向けの環境や持続性確保に係る研修などを行っている、もしくは、実施を検討する。☐ ☐・作業現場における、作業安全のためのルールや手順などをマニュアル等に整理する。また、定期的な研修などを実施するように努めている。☐ ☐・資機材や作業機械・設備が異常な動作などを起こさないよう、定期的な点検や補修などに努めている。☐ ☐・作業現場における作業空間内の工具や資材の整理などを行い、安全に作業を行えるスペースを確保する。☐ ☐・労災保険等の補償措置を備えるよう努めている。☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )機密性２情報1(別記様式１)閲覧申込書「動物医薬品検査所業務支援システム運用保守業務及び改修業務」に係る資料を閲覧したいので、下記日程で資料閲覧を申し込みます。希望日 時間第一希望 月 日( )第二希望 月 日( )第三希望 月 日( )【記入方法】・第１希望から第３希望まで記入してください。・閲覧を希望する最も早い日の３営業日前までに動物医薬品検査所 企画連絡室 担当宛にメールで提出してください。提出先：動物医薬品検査所 企画連絡室e-mail: atsushi_yamamoto450@maff.go.jp・動物医薬品検査所から、最も早い閲覧希望日の前日の12時までに閲覧日時をご連絡いたします。・閲覧希望時間は下表の①～③の中から選択して記入してください。時間① 10 時～12 時② 13 時15 分～15 時15 分③ 15 時30 分～17 時30 分連絡先会社名：部署名：氏名：TEL：E-MAIL：機密性２情報2(別記様式２)守秘義務に関する誓約書動物医薬品検査所長 殿(以下「弊社」という。)は、このたび、農林水産省動物医薬品検査所(以下「貴所」という。)の行う「動物医薬品検査所業務支援システム運用保守業務及び改修業務」の入札等(以下「本入札等」という。)に関する資料を閲覧に関し、以下の事項を誓約します。第１条(守秘義務の誓約)弊社は、貴所の許可なくして、社外はもちろん貴所職員で本件に直接関与していない者に対しても、本入札等に関し弊社が知り得たすべての事項・情報を開示、漏洩し、若しくは自ら使用しないことを約束します。第２条(資料複写の禁止等)弊社は、守秘義務を厳守するため、貴所より本入札等に関し、開示された資料一切の複写をしないことを約束し、貴所より返還要求された場合、これらの資料及びコピー並びにそれらに関する資料の一切を直ちに返還することを約束します。第３条(入札等後の守秘義務について)弊社は、貴所において本入札等が行われた後といえども、第１条記載の事項・情報を開示、漏洩若しくは使用しないことを約束します。第４条(守秘義務違反後の処置)弊社は、貴所と約束した守秘義務に反した場合は、貴所が行う合法的処置を受けることを約束します。令和 年 月 日住 所会社名代表者機密性２情報3(別記様式３)質問書質問者会社名、所属：質問者氏名：質問者(連絡先)電話：電子メール：No 質問者記入欄 動物医薬品検査所記入欄 備 考質問日 目次 質問事項 回答日 回答内容１２