一般競争入札公告(2026年度(令和8年度)独立行政法人医薬品医療機器総合機構例規集データベースの運用支援・保守業務)
- 発注機関
- 独立行政法人医薬品医療機器総合機構
- 所在地
- 東京都 千代田区
- 公示種別
- 一般競争入札
- 公告日
- 2026年2月5日
- 納入期限
- -
- 入札開始日
- -
- 開札日
- -
元の公告ページを見る ↗
リンク先が表示されない場合は、発注機関のサイトで直接ご確認ください
添付ファイル
公告全文を表示
一般競争入札公告(2026年度(令和8年度)独立行政法人医薬品医療機器総合機構例規集データベースの運用支援・保守業務)
調達情報 一般競争入札公告(2026年度(令和8年度)独立行政法人医薬品医療機器総合機構例規集データベースの運用支援・保守業務) よく見るページに追加 本文のみ印刷する 次のとおり一般競争入札に付します。 2026年2月6日 独立行政法人 医薬品医療機器総合機構 契約担当役 平岩 勝 競争入札に付する事項 (1)件名 2026年度(令和8年度)独立行政法人医薬品医療機器総合機構例規集データベースの運用支援・保守業務 (2)契約期間 契約締結日から2027年3月31日 (運用支援・保守業務の対象期間は2026年4月1日から2027年3月31日) (2026年度予算の成立を本契約の条件とする。) (3)納品場所 独立行政法人医薬品医療機器総合機構 経営企画部 (4)入札方法 落札決定に当たっては、入札書に記載された金額に当該金額の10%に相当する額を加算した金額(当該金額に1円未満の端数があるときは、その端数金額を切り捨てた金額とする。)をもって落札価格とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を入札書に記載すること。 競争参加資格 予算決算及び会計令第70条の規定に該当しない者であること。なお、未成年者、被保佐人又は被補助者であっても、契約締結のために必要な同意を得ている者は、同条中、特別な理由がある場合に該当する。 予算決算及び会計令第71条の規定に該当しない者であること。 全省庁統一資格の一般競争参加資格において、関東・甲信越地域で、「役務の提供」で「A」、「B」、「C」又は「D」の等級に格付けされている者であること。 競争参加資格確認のための書類審査を通過した者であること。 現行関連システムの設計書等を閲覧していること。 入札説明会の日時及び場所 本調達は、本入札公告のHP掲載をもって入札説明会の開催に替えることとし、質問等がある場合は、随時受け付けることとする。 (詳細については、入札説明書「6 質問等の受付」を参照。) 入札書の提出期限及び場所 提出期限 2026年3月9日(月曜日)17時00分 厳守 提出場所 東京都千代田区霞が関3-3-2 独立行政法人 医薬品医療機器総合機構 財務管理部 契約課 (新霞が関ビル19階 西側) 開札の日時及び場所 日時 2026年3月10日(火曜日)13時30分 場所 東京都千代田区霞が関3-3-2 独立行政法人医薬品医療機器総合機構 第25会議室 (新霞が関ビル14階 西側) (注1) 開札への立ち会いについては任意とするが、立ち会いがない場合、入札説明書「12落札者の決定方法(3)」に定める再度の入札には参加は出来ないため留意すること。 (注2) 開札へ参加する場合、発熱、せき、倦怠感その他体調不良でない者(代表者、代理人問わず)が参加すること。 (注3) 会場に入る前に手指を洗うか、消毒液で消毒すること。 (注4) 会場では他者と距離をとるため席を指定する場合があり、特段の必要がない限り会場内で近距離での対面の会話をしないこと。 入札保証金及び契約保証金 全額免除する。 入札の無効 本公告に示した競争参加資格を有しない者のした入札及び入札に関する条件に違反した入札は無効とする。 契約書作成の要否 契約締結に当たっては契約書を作成するものとする。 独立行政法人の契約に係る情報の公開 別添PDFファイル[200.07KB]の内容を必ず熟読すること。 その他 入札説明書、契約書(案)及び仕様書はこちらからダウンロードすること。 入札説明書[327.48KB] 契約書(案)[238.53KB] 仕様書[953.65KB] 以上
入札説明書令和8年度 独立行政法人医薬品医療機器総合機構例規集データベースの運用支援・保守業務2026年2月独立行政法人医薬品医療機器総合機構独立行政法人医薬品医療機器総合機構(以下「機構」という。)が行う令和8年度 独立行政法人医薬品医療機器総合機構例規集データベースの運用支援・保守業務ついては、仕様書に定めるもののほか、この入札説明書によるものとする。
1 契約担当者独立行政法人医薬品医療機器総合機構 契約担当役 平岩 勝2 競争入札に関する事項(1)件名令和8年度 独立行政法人医薬品医療機器総合機構例規集データベースの運用支援・保守業務(2)契約期間契約締結日から2027年3月31日(運用支援・保守業務の対象期間は、2026年4月1日から2027年3月31日)(3)納品場所独立行政法人医薬品医療機器総合機構経営企画部3 競争参加資格(1)予算決算及び会計令第70条及び第71条に規定される次の事項に該当する者は、競争に参加する資格を有しない。
① 当該契約を締結する能力を有しない者(未成年、被保佐人又は被補助人であっても、契約締結のために必要な同意を得ている者を除く)及び破産者で復権を得ない者② 以下の各号のいずれかに該当し、かつその事実があった後2年を経過していない者(これを代理人、支配人その他の使用人として使用する者についても同じ。)ア.契約の履行に当たり故意に工事若しくは製造を粗雑にし、又は物件の品質若しくは数量に関して不正の行為をした者イ.公正な競争の執行を妨げた者又は公正な価格を害し若しくは不正の利益を得るために連合した者ウ.落札者が契約を結ぶこと又は契約者が契約を履行することを妨げた者エ.監督又は検査の実施に当たり職員の執務の執行を妨げた者オ.正当な理由がなくて契約を履行しなかった者カ.前各号のいずれかに該当する事実があった後2年を経過しない者を、契約の履行に当たり、代理人、支配人その他の使用人として使用した者(2)次の事項に該当する者は競争に参加させないことがある。① 資格審査申請書又は添付書類に虚偽の事実を記載した者② 経営の状況又は信用度が極度に悪化している者(3)全省庁統一資格の一般競争参加資格において、関東・甲信越地域で、「役務の提供等」で「A」、「B」、「C」又は「D」の等級に格付けされている者であること。
なお、競争参加資格を有しない者は、速やかに資格審査申請を行い、資格を取得する必要がある。
(4)競争参加資格確認のための書類審査を通過した者であること。
(5)機構にて現行関連システムの設計書等を閲覧し、内容を十分理解していること。
4 競争参加資格確認のための書類(1)この一般競争に参加を希望する者は、下記の時間までに次の書類を自己の負担において調製のうえ契約担当者に提出し、その確認を受けるものとする。
当該書類は契約担当者等において審査するものとし、採用しうると判断された者のみを競争参加の有資格者とする。
当該書類を審査した結果、採用不可と判断した者については契約担当者等より連絡する。
(採用しうると判断した者については連絡しない)なお、契約担当者等から当該書類について説明を求められた場合には、これに応じるものとする。
① 行政関係機関から送付された資格審査決定通知書(全省庁統一資格)の写し② 別紙様式1による証明書③ 仕様書“8.本業務を実施する上で必要となる資格に関する事項(1)要件”中、“①及び②” に掲げる条件を満たすことを証明する書類(様式任意)(2)書類の提出期限及び場所① 期限 2026年3月9日(月)12時00分② 場所 〒100-0013 東京都千代田区霞が関3-3-2 新霞が関ビル19階独立行政法人医薬品医療機器総合機構財務管理部 契約課 契約第一係 TEL 03-3506-9428※1 原則として競争参加資格確認のための書類の提出は郵便によるものとし、上記(2)の受領期限内に当機構へ到達した競争参加資格確認のための書類について有効な提出として認める。
なお、持参による提出も認めることとするが、持参する場合は、発熱、せき、倦怠感その他体調不良でない者(代表者、代理人問わず)が提出すること。
また、郵便による提出の場合の到達時刻については、記録の残る郵送方法の場合は機構に到着した時刻を追跡機能等により必要に応じて機構にて確認することとし、記録の残らない郵送方法の場合は到着時刻を提出者において証明できない場合は無効とする。
※2 電話、電信、電報による提出及び上記受領期限を過ぎた提出は認めない。
5 入札説明会の日時及び場所本調達は、入札説明会の開催に替え、質問等がある場合は随時受け付けることとする。
(詳細については、「6 質問等の受付」を参照。)6 質問等の受付(1)本入札にかかる仕様書についての質問については、以下の通りとする。
① 受付期間:2026年2月6日から2026年2月18日まで② 回 答 日:質問受付日から2026年2月25日までのいずれかの日又は複数日受付期間以降に連絡があった者等に対しては、回答の共有のみ行う。
③ 質問方法:仕様書13の窓口連絡先宛まで、メールにて行うこと。
④ 回答方法:対象者全員にBccにてメールで実施予定。
⑤ 回答対象:質問者及びその他希望者等について行う。
その他希望者については、可能な限り上記①の期間内に上記③の連絡先に希望の旨を連絡すること。
なお、期間外の質問については回答しない。
⑥ そ の 他:上記事項に記載のない点については、機構の判断により実施する。
(2)本入札にかかる業務実施体制(案)及び及び納品物(納品物がある場合に限る。以下同じ。)についての確認について下記18(8)に定める業務実施体制(再委託先及び再々委託先等を含む。以下同じ。)及び納品物の案について確認を求める場合、仕様書13の窓口連絡先宛まで、メールにて行うこと。
確認受付期間は特に設けないが、すぐに回答できない場合があることに留意すること。
なお、確認結果が落札決定後となる可能性があることに留意すること。
(3)本入札に関する仕様書以外の質問について下記19の連絡先までメールまたは電話にて行うこと。
質問受付期間は特に設けないが、すぐに回答できない場合があることに留意すること。
なお、必要に応じて質問者以外に質問内容と回答を共有する場合がある。
7 入札書の提出期限及び場所(1)期限 2026年3月9日(月)17時00分(必着)(2)場所 〒100-0013 東京都千代田区霞が関3-3-2 新霞が関ビル19階独立行政法人医薬品医療機器総合機構財務管理部 契約課 契約第一係 Tel.03-3506-9428※1 入札書の様式は、別紙様式2にて作成し、入札書のみを封筒に入れ封をし、かつその封皮に氏名 (法人の場合はその名称又は商号)、宛名(独立行政法人医薬品医療機器総合機構 契約担当役殿と記載)及び「○○月○○日開札[件名]の入札書在中」と朱書しなければならない。
なお、「4 競争参加資格確認のための書類」と別紙様式3の委任状については、入札書を入れた封筒に同封しないよう十分注意すること。
※2 入札書には総額を記載すること。
※3 落札決定に当たっては、入札書に記載された金額に当該金額の10パーセントに相当する額を加算した金額(円未満の端数切捨て)をもって落札価格とするので、入札者は、消費税等に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を記載した入札書を提出しなければならない。
※4 入札書は、紙により提出するものとする。
なお、入札者はその提出した入札書を引き換え、変更又は取り消しをすることはできない。
※5 入札書の日付は提出日を記入のこと。
※6 原則として入札書の提出は郵便によるものとし、上記(1)の受領期限内に当機構へ到達した入札書について有効な提出として認める。
なお、持参による入札も認めることとするが、持参する場合は、発熱、せき、倦怠感その他体調不良でない者(代表者、代理人問わず)が提出すること。
また、郵便による提出の場合の到達時刻については、記録の残る郵送方法の場合は機構に到着した時刻を追跡機能等により必要に応じて機構にて確認することとし、記録の残らない郵送方法の場合は到着時刻を提出者において証明できない場合は無効とする。
※7 電話、電信、電報による提出及び上記受領期限を過ぎた提出は認めない。
8 開札の日時及び場所(1)日時 2026年3月10日(火)13時30分(2)場所 東京都千代田区霞が関3-3-2独立行政法人医薬品医療機器総合機構 第25会議室(新霞が関ビル14階西側)(3)開札の実施① 開札は、入札者又はその代理人1名を立ち会わせて行う。
ただし、入札者又はその代理人が立ち会わない場合は、入札事務に関係のない職員を立ち会わせて行う。
② 入札者又はその代理人は、開札時刻後においては、開札場所に入場することはできない。
③ 入札者又はその代理人は、開札場所に入場しようとする時は、入札関係職員の求めに応じ、身分証又は入札権限に関する委任状を提示又は提出しなければならない。
※1 開札への参加については任意とするが、立ち会いがない場合、入札説明書「12落札者の決定方法(3)」に定める再度の入札には参加は出来ないため留意すること。
※2 開札へ参加する場合、発熱、せき、倦怠感その他体調不良でない者(代表者、代理人問わず)が参加すること。
※3 会場に入る前に手指を洗うか、消毒液で消毒すること。
※4 会場では他者と距離をとるため席を指定する場合があり、特段の必要がない限り会場内で近距離での対面の会話をしないこと。
9 入札の無効(1)本入札説明書に示した競争参加資格のない者、入札条件に違反した者又は入札者に求められる義務を履行しなかった者の提出した入札書は無効とする。
(2)次の各号に該当する入札書は、無効とする。
① 入札金額、入札件名、入札者の氏名(法人の場合は、その名称又は商号及び代表者氏名の記載)のない入札書。
(代理人が入札する場合は、代理人の氏名を併せて記入すること。)② 入札金額の記載が明確でない入札書③ 入札金額の記載を訂正した入札書④ 入札者の氏名(法人の場合は、その名称又は商号及び代表者の氏名)及び代理人の氏名が明確でない入札書(3)その他その意思表示が民法上無効とされる入札① 公序良俗に反する入札② 心裡留保による入札③ 虚偽表示による入札④ 錯誤による入札10 入札の延期等入札者が相連合し、又は不穏の挙動をする等の場合であって、競争入札を公正に執行することができない状態にあると認められるときは、当該入札を延期し、又はこれを取り止めることがある。
11 代理人による入札(1)代理人が入札する場合は、入札書に競争参加の氏名、名称又は商号、代理人であることの表示及び当該代理人の氏名を記入しておくとともに、入札書提出時に別紙様式3の1による委任状を提出すること。
復代理人が入札する場合は別紙様式3の2を提出すること。
なお、記載する代理人、復代理人の氏名は1名までとする。
(2)委任状の日付は、提出日を記入すること。
(3)入札者又はその代理人は、本件調達に係る入札について、他の入札者の代理人を兼ねることができない。
(4)本件調達に係る入札だけでなく、契約に関する一切の行為を委任する場合は、別紙様式3の委任状とは別に押印した委任状を提出すること。
12 落札者の決定方法(1)機構が作成した予定価格の制限の範囲内において最低価格をもって有効な入札を行った者を落札者とする。
なお、最低入札額が、機構が作成した予定価格と比較し著しく低い場合は入札額の根拠となるより詳細な積算を求めるなど調査を行い、契約の内容に適合した履行がなされないおそれや明らかなコスト割れがあると判断した際には契約しない場合がある。
(2)落札となるべき同価格の入札をした者が2人以上あるときは、直ちに当該入札者にくじを引かせ落札者を決定する。
この場合において、当該入札者のうちくじを引かない者があるときは、これに代わって入札事務に関係のない職員がくじを引き、落札者を決定する。
(3)予定価格の制限に達した価格の入札がないときは、直ちに再度の入札を行う。
なお、再度の入札の回数は最大3回とする。
13 契約金額入札書に記載された金額の100分の110に相当する金額を契約金額とする。
ただし、当該金額に1円未満の端数があるときは、その端数を切り捨てた金額を契約金額とする。
14 入札保証金全額免除する。
15 契約保証金全額免除する。
16 支払条件別添契約書(案)参照17 契約書等(1)落札者を決定したときは、遅滞なく別紙(案)により契約書を取り交わすものとする。
(2)契約担当者が契約の相手方とともに契約書に記名押印しなければ、本契約は確定しないものとする。
(3)契約の相手方は契約締結後、遅滞なく別紙様式4「秘密保持等に関する誓約書」を事業担当部署に提出するものとする。
18 入札参加者の一般的心得(1)入札参加者は、入札公告、入札説明書、仕様書、契約書(案)等を熟覧のうえ、入札しなければならない。
これについて疑義があるときは、関係職員の説明を求めることができる。
入札後、これらの不明を理由として異議を申し立てることはできない。
(2)入札者又はその代理人が当該本人であることを確認するため、身分証明書又は名刺等の提示又は提出を求めることができる。
(3)入札指定時刻に遅刻した者は、入札場所に入場することはできない。
ただし、特別な理由により指定時刻までに参集できない場合で、客観情勢の許される範囲内で定刻までに参集した他の入札参加者の了解を求め、入札開始時刻を若干遅延させることがある。
(4)入札者又はその代理人は、契約担当者等の指示によるほかは入札場所から中途退場することができない。
(5)初度入札で無効となった者又は再度入札において辞退した者は、その後の入札に参加できない。
(6)初度入札に参加しなかった者は、再度入札に参加できない。
(7)入札参加者は、その提出した入札書を引換え、変更又は取消しをすることができない。
(8)入札参加者は、機構に対して入札書の提出前に業務実施体制及び納品物の案について機構に確認を求めることができる。
サプライチェーンリスク上の懸念が機構より示された場合は、入札参加者は業務実施体制及び納品物を変更すること。
確認受付期間は特に設けないが、すぐに回答できない場合があり、確認結果が落札決定後となる可能性があることに留意すること。
(9)落札決定後、落札者が契約担当者の指示に従わず、速やかに契約手続きに入らない場合は、落札の決定を取り消すことができる。
この場合において、機構に損害を与えたときは、落札金額の100分の5に相当する金額を違約金として請求することができる。
(10)落札決定後、落札者の業務実施体制及び納品物について、サプライチェーンリスク上の懸念が機構より示された場合は、落札者は速やかに業務実施体制及び納品物を変更すること。
この場合において、機構は契約金額等の変更を認めない。
19 入札説明書に関する照会先〒100-0013 東京都千代田区霞が関3-3-2 新霞が関ビル19階独立行政法人医薬品医療機器総合機構財務管理部契約課 川満 拓TEL 03-3506-9428メールアドレス chotatsu-keiyaku●pmda.go.jp※迷惑メール防止対策のため、●を半角のアットマークにしてください。
別紙様式1証明書当社は、次の事項には該当しません。
1 当該契約を締結する能力を有しない者(未成年、被保佐人又は被補助人であっても、契約締結のために必要な同意を得ている者を除く)及び破産者で復権を得ない者2 次の各号の一に該当した事実があった後2年間を経過していない者(これを代理人、支配人その他の使用人として使用する者についても同じ。)(1) 契約の履行に当たり故意に工事若しくは製造を粗雑にし、又は物件の品質若しくは数量に関して不正の行為をした者(2) 公正な競争の執行を妨げた者又は公正な価格を害し若しくは不正の利益を得るために連合した者(3) 落札者が契約を結ぶこと又は契約者が契約を履行することを妨げた者(4) 監督又は検査の実施に当たり職員の執務の執行を妨げた者(5) 正当な理由がなくて契約を履行しなかった者(6) 前各号の一に該当する事実があった後2年を経過しない者を、契約の履行に当たり、代理人、支配人その他の使用人として使用した者3 経営の状況又は信用度が極度に悪化している者年 月 日住 所会社名代表者担当者連絡先(メールアドレス)@独立行政法人医薬品医療機器総合機構契 約 担 当 役 殿別紙様式2入札書(第 回)1 件 名 令和8年度 独立行政法人医薬品医療機器総合機構例規集データベースの運用支援・保守業務2 金 額 金 円(税抜)3 契約条件契約書、仕様書その他一切貴殿の指示のとおりとする。
上記のとおり入札いたします。
年 月 日住 所会社名代表者代理人氏名独立行政法人医薬品医療機器総合機構契 約 担 当 役 殿別紙様式3の1委任状私は下記の者を代理人と定め、下記の行為を行う権限を委任します。
記1 委任する行為「令和8年度 独立行政法人医薬品医療機器総合機構例規集データベースの運用支援・保守業務」の入札に係る入札書の提出に関する一切の行為2 委任する期日年 月 日 ~ 年 月 日年 月 日住 所会社名代表者代 理 人 住 所所属(役職名)代 理 人 氏 名独立行政法人医薬品医療機器総合機構契 約 担 当 役 殿別紙様式3の2委任状私は下記の者を復代理人と定め、下記の行為を行う権限を委任します。
記1 委任する行為「令和8年度 独立行政法人医薬品医療機器総合機構例規集データベースの運用支援・保守業務」の入札に係る入札書の提出に関する一切の行為2 委任する期日年 月 日 ~ 年 月 日年 月 日住 所会社名代表者代 理 人 住 所所属(役職名)代 理 人 氏 名復 代 理人住所所属(役職名)復 代 理人氏名独立行政法人医薬品医療機器総合機構契 約 担 当 役 殿別紙様式4独立行政法人 医薬品医療機器総合機構 御中秘密保持等に関する誓約書貴機構から委託された○○○○業務(以下「本件業務」という。)を受託者である○○○○株式会社(以下「弊社」という。)が実施するにあたり、次の事項を遵守することを誓約いたします。
記1. 弊社は、本件業務遂行のために必要な者(次頁に記載する者をいう。以下同じ。)以外は本件業務に従事させません。
ただし、本件業務遂行期間中に追加、変更する場合、貴機構に届け出、了承を受けるものとします。
2. 弊社は、媒体および手段を問わずに貴機構から開示もしくは提供された貴機構の秘密情報(以下「本件秘密情報」という。)を、本件業務遂行のために必要な者を除く第三者に対して開示いたしません。
ただし、以下のものについては秘密情報に含みません。
(1) 弊社が貴機構より開示を受けた時点で既に公知であったもの(2) 弊社が貴機構より開示を受けた時点で既に所有していたもの(3) 弊社が貴機構より開示を受けた後に弊社の責によらずに公知となったもの(4) 弊社が正当な権限を有する第三者から守秘義務を負わずに適法に入手したもの(5) 法令または裁判所の命令により開示を義務づけられたもの3. 弊社は、本件業務遂行のために必要な者がそれ以外の者に秘密情報を開示しないよう、厳正な措置を講じます。
4. 弊社は、本件秘密情報を本件業務のみを目的として使用するものとし、他の目的には一切使用いたしません。
5. 弊社は、貴機構の書面による事前の承諾なしに、本件業務遂行のため必要な最小限度の範囲を超えて本件秘密情報を複写または複製いたしません。
6. 弊社は、貴機構から要請がある場合または本件業務終了後は直ちに本件秘密情報を貴機構に返還し、または秘密保持上問題のない方法により処分いたします。
7. 弊社が本誓約書の内容に違反したことにより本件秘密情報が漏洩し、貴機構に損害が発生した場合には、貴機構に対しその損害を賠償いたします。
なお、賠償額については、貴機構と弊社にて別途協議して定めるものとします。
8. 本誓約書は、本件業務終了後も本件秘密情報が秘密性を失う日まで有効に存続する事を確認します。
以上○○○○年○○月○○日東京都○○区○○町○-○-○○○○○株式会社 代表取締役○○○○ ○○ ○○ 代表者印○本件業務遂行のために必要な者本件業務遂行のために必要な者は以下の者である。
記○○○○株式会社○○○○事業部 ○○ ○○○○○○事業部 △△ △△○○○○事業部 □□ □□
令和8年度独立行政法人医薬品医療機器総合機構例規集データベースの運用支援・保守業務調達仕様書令和8年2月独立行政法人 医薬品医療機器総合機構目次1 調達案件の概要に関する事項.. 1(1) 調達件名.. 1(2) 用語の定義.. 1(3) 調達の背景.. 2(4) 目的及び期待する効果.. 2(5) 業務・情報システムの概要.. 2(6) SLAの締結.. 4(7) 作業スケジュール.. 42 調達案件及び関連調達案件の調達単位、調達の方式等に関する事項.. 53 作業の実施内容に関する事項.. 5(1) 作業の内容.. 5(2) システム資産簿登録に係る作業.. 9(3) 成果物の範囲、納品期日等.. 104 満たすべき要件に関する事項.. 145 作業の実施体制・方法に関する事項.. 14(1) 作業実施体制.. 14(2) 管理体制.. 14(3) 作業要員に求める資格等の要件.. 15(4) 作業場所.. 15(5) 作業の管理に関する要領.. 156 作業の実施に当たっての遵守事項.. 15(1) 基本事項.. 15(2) 機密保持、資料の取扱い.. 16(3) 遵守する法令等.. 177 成果物の取扱いに関する事項.. 17(1) 知的財産権の帰属.. 17(2) 契約不適合責任.. 18(3) 検収.. 198 本業務を実施する上で必要となる資格に関する事項.. 19(1) 要件.. 199 情報セキュリティの履行状況の確認に関する事項.. 1910 再委託に関する事項.. 2011 その他特記事項.. 22(1) 環境への配慮.. 22(2) その他.. 2212 附属文書.. 22(1) 別紙.. 22(2) 事業者が閲覧できる資料一覧.. 2213 窓口連絡先.. 2311 調達案件の概要に関する事項(1) 調達件名令和8年度 独立行政法人医薬品医療機器総合機構例規集データベースの運用支援・保守業務(2) 用語の定義表 1.1 用語の定義用語 概要基本法令等 別紙「保存例規一覧表」に記載のある基本法令、中期目標・中期計画・年度計画及び業務方法書をいう。
規程 次の2つの区分において制定されたものを総称していう。
ア 「規程」 独立行政法人医薬品医療機器総合機構の組織及び業務の方法、手続、運営等に関する基本事項について定めたものイ 「規則」 前号の「規程」と同等のもので、労働基準法(昭和22年法律第49号)第89条の規定により定める就業規則細則 業務方法書若しくは規程の定めを実施するために必要な事項又は業務方法書若しくは規程に委任された事項を定めるものをいう。
要領 具体的要件を処理するために取扱いの細則を定めるものをいう。
達 独立行政法人医薬品医療機器総合機構の業務に関する通達等で、規程、細則若しくは要領の委任に基づいて個別的事項を具体的に定めるもの又は委任に基づかないが重要な具体的事項を定めるものであってこれに準ずるものをいう。
旧法 次の3つの法令(以下「旧法」という。)を収録する。
但し、これらの法令は体系によるブラウズには表示されず、また、検索対象にもならない。
保存例規で参照されているリンクのみから表示することが可能である。
表示する場合、全文のみを表示し、引用条文のように左フレームに章立てを表示しない。
(ア)医薬品副作用被害救済・研究振興調査機構法(イ)医薬品副作用被害救済・研究振興調査機構法施行令(ウ)医薬品副作用被害救済・研究振興調査機構法施行規則2(3) 調達の背景例規集データベースは、独立行政法人医薬品医療機器総合機構(以下「PMDA」という。)の業務に関連する法令、内部規程等(以下「規程等」という。)をデータベース化し、PMDAの役職員が内部用ホームページから閲覧、検索等ができるとともに、外部の者がPMDAホームページから閲覧、検索できることを目的に平成17年度に構築したものである。
データベースに搭載されたデータは規程等の制定、改廃に併せて定期的に更新をしている。
例規集データベースを利用せずに、①国民、役職員への周知や②諸規程の制定・改廃の際に行う引用や表記、上位・類似の諸規程との整合性の確認は可能である。
但し、例規集データベースを利用しない場合、利便性、迅速性に欠け、各部が行う所管する諸規程の制定、改廃案の作成時における利便性低下はもとより、経営企画部における諸規程の審査等に必要な時間の増加が見込まれる。
例規集データベースを利用しないで諸規程の制定・改廃の作業を行うことは、PMDAの業務遂行に影響を与えかねない。
このため、例規集データベースを利用することが最適であると考える。
(4) 目的及び期待する効果令和8年度に行われる関係法令の改正や規程等の新規制定、改正について反映させることを目的としてデータベースを更新し、併せて当システムの保守を行うことを目的とする。
(5) 業務・情報システムの概要①例規集データベースの改修ア.新規制定された規程等のデータの追加(a)PMDAが提出する電子媒体の規程等(本文の他、別表、様式、別紙等を含む。)をシステム要件定義書(別紙7)に沿った形に加工し、データを追加する。
(b)例規集データベースに搭載された例規(以下「保存例規」という。)と総務省がWebにて提供する法令データ提供システムに搭載された法令等(以下「外部参照例規」という。)が引用されているところはリンク表示する。
イ.改正された規程等のデータの改修(a)PMDAが提出する電子媒体(又は紙媒体)の一部改正原義文や新旧対照表を基にデータを改修する。
(b)保存例規と外部参照例規が引用されているところはリンク表示する。
(c)一部改正の履歴を追加表示するとともに、改正の原義文及び新旧対照表をPDF で掲載する。
(d)既存のデータとPMDAが提出する電子媒体(又は紙媒体)に矛盾が無いか確認し、不整合がある場合は、PMDAに連絡する。
ウ.廃止された規程等のデータの改修3(a)PMDAが指定するデータベースに搭載された規程等をシステム要件定義書に沿った形に加工し、データを改修する。
(b)保存例規と外部参照例規が引用されているところはリンク表示する。
(c)一部改正の履歴を追加表示するとともに、改正の原義文及び新旧対照表をPDF で掲載する。
エ.例規集データベースの運用環境更新総合機構が指定する日時において、PMDAの指定する担当者の立ち会いのもと、運用環境の更新を実施する。
オ.上記アからエに掲げる事項の他、本業務を実施するために必要な事項改修依頼を行ってから概ね1ヶ月以内にデータベース反映作業を完了させること。
なお、データベースの改修は年度を通じて2ヶ月に1回程度を予定しており、最大で6回までとする。
1回毎に30~35件、計200件程度の例規を改修する作業量を想定している。
②予防保守業務OS、ミドルウェアのパッチ/アップデート情報の適用管理を行い、障害復旧対応又はシステム管理者からの依頼に伴う、OS、ミドルウェアのパッチ/アップデートの適用の必要がある場合、適用に係る業務アプリケーションの影響範囲について、PMDA担当者に報告し、パッチ/アップデートによる業務アプリケーションに及ぼす影響の事前評価と適用作業(オフライン適用)を実施すること。
なお、WSUS上でのWindowsセキュリティパッチの承認作業については、PMDA担当者が実施するため、事前評価の上適用対象について情報提供すること。
③TLS対応業務現在、例規集データベースはHTTPSとなっているが、サーバ証明書は有効期限までに都度更新する計画としている。
そのため、本調達において、TLS対応を継続して行うために必要な作業等を行うこと。
必要な作業としては、IISへのサーバ証明書登録、その後の稼働確認、統合基盤環境への適用等を想定している。
なお、TLS対応を行うために必要となるサーバ証明書の購入も併せて本調達内で行うこととなるが、企業認証型証明書とすること。
④Fessバージョンアップに係る環境設定、プログラム改修等対応例規集DBでは検索エンジンとしてFessを利用しているが、Windows Server OSのアップデートと併せてFessについてもバージョンアップをする方向で、現在別環境において構築中である。
APIを連携しており、結果をJSON形式で受け取って処理しているが、Fessのバージョンアップにより返り値の構造が変更となった関係で、現状API連携の結果を適切に処理できていない状況であるため、環境設定やプログラム改修等を行い、別環境において問題なく検索できるよう対応すること。
4⑤その他上記①から④に掲げる事項の他、例規集データベースシステムに係る基盤や障害、仕様に関する各種問合せ対応等の支援をすること。
(6) SLAの締結運用業務については、受注者とPMDAとの間で協議の上、SLA(Service LevelAgreement)を締結する。
サービスレベル評価項目と要求水準については、別紙1「SLA項目」を参照すること。
ただし、サービスレベル評価項目と要求水準については、必要に応じて協議の上、見直すこととする。
(7) 作業スケジュール運用業務の対象期間は、令和8年4月1日から令和9年3月31日とする。
ア 受注者は、契約締結日から運用業務の開始までに本情報システムの運用業務を実施するための準備を実施し、必要な情報についてPMDA(または前受注者)より引継ぎを受けること。
イ 本業務に係る想定スケジュールの概要は、別紙2「作業スケジュール」のとおりとする。
なお、このスケジュールはあくまで想定のスケジュールであり、詳細な実施スケジュールは受注者が検討の上、実施計画書に記載すること。
52 調達案件及び関連調達案件の調達単位、調達の方式等に関する事項関連する調達案件は特にない。
3 作業の実施内容に関する事項(1) 作業の内容受注者は、本見積資料書に記載された作業内容や各要件(別紙3「業務要件」等)を参照の上、以下に関し必要な作業を実施すること。
① 準備作業の内容ア 運用準備作業・受注者は、契約後2週間以内に運用準備作業に関する実施計画書(運用準備作業)を作成し、PMDAの承認を受けること。
・受注者は、運用準備作業が完了した後、作業完了報告書を作成し、PMDAの承認を受けること。
イ 実施計画書の作成受注者は、契約開始日から令和8年4月1日(予定)の運用業務の開始までに、PMDAの指示に基づき体制図、作業内容、作業体制、作業分担、スケジュール、文書管理要領、変更管理要領、WBS及びWBSの項目ごとの工数等を記載した実施計画書及び「9 (1)情報セキュリティ対策の実施」に記載している要件を満足する情報セキュリティ管理計画書を作成し、PMDAの承認を受けること。
② 運用に係る作業の内容ア 中長期的又は年度ごとの運用・保守作業計画の確定支援受注者は、PMDAが中長期又は年度ごとの運用・保守作業計画を確定するに当たり、情報システムの構成やライフサイクルを通じた運用業務及び保守作業の内容について、計画案の妥当性に関する意見提示、情報提供等の支援を行うこと。
イ 定常時対応(ア)受注者は、別紙3「業務要件」の「運用業務の範囲定義」に示す運用業務(システム操作、運転管理・監視、稼動状況監視、サービスデスク提供等)を行うこと。
具体的な実施内容・手順は実施計画書等に基づいて行うこと。
監視の作業にあたっては適宜メーリングリストを作成し、アラートの発報先として利用すること。
(イ)受注者は、別紙4「システム運用管理基準」を参照の上、以下の内容について月次で運用報告を取りまとめ、PMDAに報告すること。
A)運用期間・報告日・イベントの概況等の基本状況6B)作業実績等の運用状況 (WBS単位の作用内容、工数等)C)情報システムの稼働業務状況D)問合せ管理運用状況(サービスデスク稼働状況) (別紙4参照)E)インシデント管理状況 (別紙4参照)F)問題管理状況(別紙4参照)G)変更管理状況 (別紙4参照)H)バックアップ取得状況(別紙4参照)I)情報セキュリティ管理状況(情報セキュリティ遵守状況)(別紙4参照)J)脆弱性管理(別紙4参照)K)アクセス権管理状況(特権(高権限ID)管理状況)(別紙4参照)L)システムリソース状況 (キャパシティ管理、可用性管理)(別紙4参照)M)サービスレベル達成状況 (別紙4参照)N)データ外部保管状況O)情報システムの定期点検状況(別紙5「情報セキュリティ対策の運用要件」参照)P)教育・訓練状況Q)リスク課題の把握・対応状況(ウ)受注者は、月間の運用実績を評価し、達成状況がSLA要求水準を満たさない場合はその要因の分析を行うとともに、達成状況の改善に向けた対応策を提案すること。
(エ)受注者は、運用作業報告書の内容について、月例の定期運用会議を開催し、その内容を報告すること。
(オ)受注者は、ソフトウェア製品の保守の実施において、ソフトウェア製品の構成に変更が生じる場合には、PMDAにその旨を報告し、変更後の環境がライセンスの許諾条件に合致するか否かの確認を受けること。
ウ 情報システムの現況確認支援(ア)受注者は、年1回、PMDAの指示に基づき、システム資産簿と情報システムの現況との突合・確認(以下「現況確認」という。)を支援すること。
(イ)受注者は、現況確認の結果、システム資産簿と情報システムの現況との間の差異がみられる場合は、運用実施要領に定める変更管理方法に従い、差異を解消すること。
(ウ)受注者は、現況確認の結果、ライセンス許諾条件に合致しない状況が認められる場合は、当該条件への適合可否、条件等を調査の上PMDAに報告すること。
(エ)受注者は、現況確認の結果、サポート切れのソフトウェア製品の使用が明らかとなった場合は、当該製品の更新の可否、更新した場合の影響の有無等を調査の上PMDAに報告すること。
エ 運用作業の改善提案7受注者は、年度末までに年間の運用実績を取りまとめるとともに、必要に応じて中長期運用・保守作業計画、運用計画、運用実施要領に対する改善提案を行うこと。
③ 保守に係る作業の内容ア 中長期又は年度ごとの運用・保守作業計画の確定支援受注者は、PMDAが中長期又は年度ごとの運用・保守作業計画を確定するに当たり、情報システムの構成やライフサイクルを通じた運用業務及び保守作業の内容について、計画案の妥当性の確認、情報提供等の支援を行うこと。
イ 定常時対応(ア)受注者は、別紙3「業務要件」の「保守業務の範囲定義」に示す保守業務(不具合受付等)及び定期点検(サーバ等のヘルスチェック)を行うこと。
具体的な実施内容・手順は実施計画書等に基づいて行うこと。
(イ) 受注者は、定期点検(サーバ等のヘルスチェック)の結果について、速やかにPMDAへ報告すること。
またシステム設定値等の差異がみられる場合は、PMDAへ報告の上、変更管理方法に従い、差異を解消すること。
(ウ)受注者は、保守作業計画及び保守実施要領に基づき、保守作業の内容や工数などの作業実績状況(情報システムの脆弱性への対応状況を含む。)、サービスレベルの達成状況、情報システムの定期点検状況、リスク・課題の把握・対応状況について月次で保守作業報告書を取りまとめること。
(エ)受注者は、月間の保守実績を評価し、達成状況が目標に満たない場合はその要因の分析を行うとともに、達成状況の改善に向けた対応策を提案すること。
(オ)受注者は、保守作業報告書の内容について、月例の定期運用会議を開催し、その内容を報告すること。
ウ 情報システムの現況確認支援(ア)受注者は、年1回、PMDAの指示に基づき、システム資産簿と情報システムの現況との突合・確認(以下「現況確認」という。)を支援すること。
(イ)受注者は、年1回、PMDAの指示に基づき、情報システム台帳(セキュリティ要件に係る事項)の作成・更新を支援すること。
エ 保守作業の改善提案受注者は、年度末までに年間の保守実績を取りまとめるとともに、必要に応じて中長期保守・保守作業計画、保守計画、保守実施要領に対する改善提案を行うこと。
8④ インシデント発生時及び大規模災害発生時の対応(ア)受注者は、インシデントについて、発生日、内容、対応状況等と記録・整理すること。
(イ)受注者は、インシデント発生時の1次切り分け業務(検知、発生箇所の特定及び運用・保守に関係する事業者との連携による原因調査)を速やかに行うこと。
(ウ)受注者は、情報システムの障害等インシデント発生時(又は発生が見込まれる時)には、速やかにPMDAに報告するとともに、その緊急度及び影響度を判断の上、別紙4「システム運用管理基準 4.2インシデント管理」に示す「インシデント報告書(ひな型)」を参照の上、インシデント発生時運用業務(検知、障害発生箇所及び原因調査、応急措置、復旧確認、報告等)を行うこと。
なお、インシデントには、情報セキュリティインシデントを含めるものとする。
具体的な実施内容・手順は情報システムごとのインシデント管理プロセス手順書に基づいて行うこと。
(インシデント管理プロセス手順書がない場合は、作成すること) また、情報セキュリティインシデントの場合は、「PMDA情報セキュリティインシデント対処手順書」を参照の上、インシデント発生対応を実施のこと。
(エ)受注者は、情報システムのインシデントに関して事象の分析(発生原因、影響度、過去の発生実績、再発可能性等)を行い、同様の事象が将来にわたって発生する可能性がある場合には、恒久的な対応策を提案及び対応策の実施をすること。
(オ)受注者は、運用業務に従事する要員に対して、年1回以上のセキュリティの定期教育を実施すること。
また、新たに要員が参画する場合は、参画時にセキュリティ教育を実施すること(カ)受注者は、大規模災害等の発災時には、PMDAの指示を受けて、必要な対応を実施すること。
また定常時においても、運用継続計画(情報システム用BCP)を参照し、PMDAと協議の上、大規模災害時の手順書見直し・整備等の必要な対応を実施すること。
⑤ 作業報告ア 作業工数実績の報告受注者は、本業務で実施WBSの各項目単位の作業内容とその工数について、月次でPMDAに報告すること。
報告の様式等に関しては、業務開始時にPMDAと協議し決定すること。
⑥ 引継ぎア 本システムの更改時9受注者は、PMDAが本システムの更改を行う際には、次期の情報システムにおける要件定義支援事業者及び設計・開発事業者等に対し、作業経緯、残存課題等に関する情報提供及び質疑応答等の協力を行うこと。
イ 現行運用事業者からの引継ぎ受注者は、現行運用事業者から令和8年4月1日からの運用に必要な事項の引継ぎとして、運用監視作業エリアの引継、サービスデスクの引継、システム資源及びデータの引継を受け、現行事業者から提供される資料(運用作業の計画書や報告書、運用設計書及び運用手順書等の一覧)を基に自主的に業務習熟を行うこと。
現行運用事業者からの引継作業は受注者の負担と責任において実施すること。
ウ 次期運用事業者への引継ぎ受注者は、本調達に係る契約期間終了後、受注者と異なる事業者が本情報システムの運用業務を受注した場合には、次期運用事業者に対し、作業経緯、残存課題等下記項目についての引継ぎを行うこと。
⑦ 手順書の新規作成・更新運用、保守等に係る各種手順書について、実態と齟齬がある場合は随時新規作成・更新等を行い実態に即したかたちとなるようにすること。
新規作成・更新のいずれの場合も内容についてPMDAと協議の上で決定し、成果物についてPMDAの承認を得ること。
(2) システム資産簿登録に係る作業ア PMDAにおいては、システム構成情報を一元管理するシステム資産簿を作成している。
受注者は、本システムで利用する機器、ソフトウェア、ネットワーク等の構成情報をPMDAへ報告し、一元管理するシステム資産簿の管理情報について常に最新の状態を保つこと。
なお、以下に示す事項以外に管理が必要と考えられる事項があればPMDAと協議の上、合わせて管理すること。
イ 受注者は対象システムに更新等が発生した場合、下記のシステム構成情報に関し、PMDAが指定するシステム資産簿登録用シートを、PMDAが指示する時期に提出すること。
10(ア) IT機器管理簿(イ) 導入ソフトウェア一覧(ソフトウェアの名称、版数、パッチ適用状況、ソフトウェアの搭載機器、ライセンス数、サポート期間等)(ウ) 資産収集情報詳細(エ) ハードウェアサポート期限(オ) ソフトウェアサポート期限(カ) ソフトウェアライセンス(キ) ソフトウェア名称(ク) その他PMDAが指定する項目<補足>○PMDAの資産台帳・管理簿(システム台帳)は下記の項目で更新する。
・情報システム名 ・管理課室 ・当該情報システムセキュリティ責任者の氏名及び連絡先 ・システム構成 ・機器の名称 ・型番 ・数量 ・脆弱性/アップデート公開情報 ・アップデート適用履歴 ・機器の設置場所 ・サポート期間 ・接続する機構外通信回線の種別 ・取り扱う情報の格付及び取扱制限に関する事項 ・当該情報システムの設計/開発、運用/保守に関する事項○PMDAのネットワーク機器ソフトウェア資産台帳を下記の項目で更新する。
・ネットワーク機器名 ・ソフトウェア名 ・バージョン ・脆弱性/アップデート公開情報 ・アップデート適用履歴 ・外部との通信内容 ・設定シートパス名 ・その他のサポート状況・リスク ・確認頻度 ・最終確認日ウ 受注者は、本システムを構成する機器・ソフトウェアの変更、業務アプリケーションの変更、仕様書、設計書等の本システムにかかる各種ドキュメントの変更について、変更理由、変更内容、影響範囲、対応状況、責任者、対応者等と記録し、一元管理を行うこと。
(3) 成果物の範囲、納品期日等① 成果物作業工程別の納入成果物を表 3.1に示す。
ただし、納入成果物の構成、詳細については、受注後、PMDAと協議し取り決めること。
表 3.1 工程と成果物項番工程 納入成果物 納入期日1 計画 ・実施計画書(3(1)① イに記載)(注2)・情報セキュリティ管理計画書(「9 (1)情報セキュリティ契約締結日から2週間以内(※必要に応じて随時提出)11項番工程 納入成果物 納入期日対策の実施」に記載している要件を満足する)(注3)2 基本設計・詳細設計 ・基本設計書・詳細設計書・環境定義書令和9年3月12日(※毎回の改修時および機構の求めに応じて提出)(※外部電磁的記録媒体での納品は納入期日のみ、その他は電子ファイルでの提出可)3 製造・テスト ・テスト計画書・テスト仕様書・テスト結果報告書(テストエビデンス)令和9年3月12日(※毎回の改修時および機構の求めに応じて提出)(※外部電磁的記録媒体での納品は納入期日のみ、その他は電子ファイルでの提出可)4 導入 ・導入計画書・導入手順書・導入作業結果報告書・ソースコード令和9年3月12日(※毎回の改修時および機構の求めに応じて提出)(※外部電磁的記録媒体での納品は納入期日のみ、その他は電子ファイルでの提出可)5 教育 ・操作マニュアル・バックアップ/リストア手順書・保守業務作業手順書令和9年3月12日(※毎回の改修時および機構の求めに応じて提出)(※外部電磁的記録媒体での納品は納入期日のみ、その他は電子ファイルでの提出可)6 移行 ・移行計画書・移行手順書・移行プログラム及びツール・移行リハーサル実施要領・移行リハーサル結果報告書・本番移行実施要領・移行実施結果報告書移行開始まで7 運用 ・運用計画書・運用手順書・運用引継計画書・運用引継完了報告書引継ぎ開始まで12項番工程 納入成果物 納入期日8 保守 ・保守計画書・保守手順書・保守引継計画書・保守引継完了報告書引継ぎ開始まで9 その他 ・打合せ資料・議事録・例規集データベースの改修作業報告書令和9年3月12日(※必要に応じて随時提出)(※外部電磁的記録媒体での納品は納入期日のみ、その他は電子ファイルでの提出可)なお、納入成果物については、以下の条件を満たすこと。
注1 納入成果物の作成にあたっては、SLCP-JCF2013(共通フレーム2013)を参考とすること。
注2 実施計画書には、プロジェクト目標、体制図(責任者・契約担当・再委託の有無を含む)、SLA、作業内容、作業体制、作業分担(PMDAとの役割分担を含む)、年間スケジュール、文書管理要領、変更管理・課題管理要領、工程管理・WBS工程管理要領、工数管理、納入成果物、障害時の緊急連絡方法、提案事項等を記載注3 情報セキュリティ管理計画書には、ISMS等認証取得、情報管理に関するルール(社内規程明示等)、情報管理体制、情報セキュリティインシデント対処方法、PMDA情報の取扱い(目的外使用・意図しない変更を防止する方法を含む)、メンバーのスキル・資格・国籍等、自主点検の実施、業務環境のセキュリティ、レポート体制、再委託による履行保証措置、緊急連絡方法、教育・研修の実施等を記載注4 システム運用上、運用支援要員の行うべき業務内容及び操作手順に関するマニュアルとし、全対象システムについて次の内容を盛り込んだものとする。
(ア)ジョブ一覧、(イ)起動・停止手順、(ウ)バックアップ手順、(エ)リカバリ手順、(オ)障害監視手順、(カ)障害対応手順、(キ)ログ確認手順、(ク)性能監視手順、(ケ)設定変更手順、(コ)ユーザ管理手順、(サ)マスタの更新及びそれに伴うデータ修正手順、(シ) (ア)~(サ)の他、本業務の適切な履行のために運用支援要員が準拠すべき内容を網羅した手順書等注5 システム運用上の業務プロセスを定めた「業務フロー及び手順書」とし、次のシステム運用業務について作成・更新するものとする。
(ア)問合せ管理プロセス (イ)インシデント管理プロセス (ウ)変更管理プロセス (エ)リリース管理プロセス (オ)構成管理プロセス (カ)問題管理プロセス (キ)各定期点検プロセス (ク)リスク管理プロセス (ケ)課題管理プロセス (コ)情報セキュリティ管理プロセス。
② 納品方法表 3.1の納入成果物を含む全ての納入成果物を令和9年3月12日までに納品すること。
9520 研究支援・推進部 企画調整課 独立行政法人医薬品医療機器総合機構レギュラトリーサイエンス研究利益相反管理規程 23規程第18号 2011/10/4 2023/2/24 規程第2号9530 研究管理部 独立行政法人医薬品医療機器総合機構レギュラトリーサイエンス研究支援委員会運営要領 23要領第10号 2011/10/4 2025/8/27 要領第3号 改正9550 研究支援・推進部 企画調整課 独立行政法人医薬品医療機器総合機構競争的研究資金等の取扱いに関する規程 25規程第11号 2012/6/21 2023/7/3 規程第7号9551研究支援・推進部(旧レギュラトリーサイエンス推進部)企画調整課(旧企画課) 独立行政法人医薬品医療機器総合機構職員等の競争的研究資金等の運営・管理に関する行動規範 2017/3/19552研究支援・推進部(旧レギュラトリーサイエンス推進部)企画調整課(旧企画課) 独立行政法人医薬品医療機器総合機構における競争的研究資金等不正使用防止計画 2017/3/1 2023/7/69590 研究支援・推進部 企画調整課 研究活動における不正行為への対応に関する規程 規程第5号 2019/6/20 2023/7/3 規程第7号9610 研究管理部 独立行政法人医薬品医療機器総合機構倫理審査委員会運営要領 要領第2号 2023/2/23 2025/8/27 要領第5号 改正9620 研究管理部 独立行政法人医薬品医療機器総合機構RS戦略会議設置運営要領 要領第1号 2024/6/199630 RS統括部 レギュラトリーサイエンスに係る横断プロジェクト実施要領 要領第3号 2024/6/219640 研究管理部 独立行政法人医薬品医療機器総合機構における科学研究費助成事業-科研費-の研究実施規程 規程第10号 2024/9/19監査 10000 10010 監査室 独立行政法人医薬品医療機器総合機構監事監査規程 16規程第8号 2004/4/1 2015/3/31 27規程第8号10020 監査室 独立行政法人医薬品医療機器総合機構内部監査規程 17規程第9号 2005/2/16廃止規程等11000 11010 研究振興部 独立行政法人医薬品医療機器総合機構研究開発振興業務関係業務方法書 2004/4/1 2005/3/31体系名 体系ID 例規ID 担当 課 例規名 例規番号 制定日 最新改正日 最新改正例規番号 備考11020 研究振興部 独立行政法人医薬品医療機器総合機構希少疾病用医薬品等開発振興業務実施細則 16細則第11号 2004/4/1 2005/3/31 17細則第11号11030 研究振興部 独立行政法人医薬品医療機器総合機構基礎的研究評価委員会設置運営要領 16要領第6号 2004/6/9 2005/3/31 17要領第7号11040 研究振興部 独立行政法人医薬品医療機器総合機構実用化研究評価委員会設置運営要領 16要領第7号 2004/6/9 2005/3/31 17要領第7号11050 研究振興部 独立行政法人医薬品医療機器総合機構成果管理委員の委嘱に関する要領 16要領第9号 2004/7/29 2005/3/31 17要領第7号11060 総務部 総務課 派遣研究員就業規則 16規程第12号 2004/4/1 2005/3/31 17規程第18号11070 研究振興部 研究振興業務に係る研究評価実施要領 16要領第10号 2004/7/9 2005/3/31 17要領第7号11080 研究振興部 基礎的研究業務に係る研究評価実施要領 16要領第11号 2004/8/19 2005/3/31 17要領第7号11090 企画調整部 企画課 独立行政法人医薬品医療機器総合機構情報セキュリティ規程 17規程第1号 2005/2/2 2007/6/26 19規程第15号11100 審査業務部 企画管理課 独立行政法人医薬品医療機器総合機構治験推進地域ネットワーク事業助成業務実施要領 16要領第13号 2004/10/14 2008/5/26 20要領第4号11110 審査業務部 企画管理課 独立行政法人医薬品医療機器総合機構治験推進地域ネットワーク事業採択・評価委員会運営要領 16要領第14号 2004/10/14 2008/5/26 20要領第4号11120 審査業務部 企画管理課 独立行政法人医薬品医療機器総合機構ベンチャー企業支援相談収納事務実施細則 21細則第2号 2009/1/26 2010/3/26 22細則第2号11130 信頼性保証部 独立行政法人医薬品医療機器総合機構医療機器GLP評価委員会運営要領 17要領第33号 2005/11/18 2016/4/21 26要領第6号11140 信頼性保証部 独立行政法人医薬品医療機器総合機構医薬品GLP評価委員会運営要領 22要領第4号 2010/4/1 2016/4/21 26要領第6号11150 信頼性保証部 独立行政法人医薬品医療機器総合機構における医薬品及び医療機器GLP評価委員会設置運営要領 26要領第6号 2014/4/21 2014/11/25 26要領第20号11160 信頼性保証部独立行政法人医薬品医療機器総合機構における医薬品及び医療機器GLP評価委員会の実施に関する達26達第4号 2014/4/21 2014/11/25 26達第12号11170 医療機器審査第一部 新医療用具等承認審査実施要領 17要領第18号 2005/3/31 2014/11/14 26要領第18号11180 医療機器審査第一部 後発医療用具承認審査実施要領 17要領第19号 2005/3/31 2014/11/14 26要領第18号11190 科学委員会事務本部 科学委員会事務本部相談役の委嘱に関する達 26達第3号 2014/4/11 2016/4/13 28達第6号11200レギュラトリーサイエンス推進部推進課 顧問
(科学委員会担当)の委嘱に関する達 27達第7号 2015/10/28 2016/4/13 28達第7号11210医療情報活⽤推進室 医療機器の不具合評価体制に関する検討会設置運営要領 19要領第2号 2007/2/13 2016/4/18 28要領第3号11220 医療情報活用推進室独立行政法人医薬品医療機器総合機構電子診療情報等の安全対策への活用に関する検討会設置運営要領21要領第8号 2009/6/12 2016/4/18 28要領第2号11230 安全第一部 リスクコミュニケーション推進課 くすり・医療機器相談QA検討会設置運営要領 18要領第14号 2006/10/4 2016/5/11 28要領第4号11240 審査マネジメント部 審査企画課 独立行政法人医薬品医療機器総合機構審査等業務進行管理委員会設置運営要領 17要領第2号 2005/1/20 2016/10/28 28要領第16号11250 医療情報活用推進室独立行政法人医薬品医療機器総合機構トラッキング医療機器のデータ収集評価システム構築に関する検討会設置運営要領19要領第11号 2007/10/30 2017/8/29 29要領第11号11260 医療情報活用推進室 トラッキング医療機器のデータ収集評価システムに関する観察研究モニタリング委員会設置運営要領 27要領第8号 2015/4/1 2017/8/29 29要領第11号11270 医療情報活用部 医療情報データベース基盤整備事業実施要領 23要領第3号 2011/4/21 2018/3/30 30要領第5号11280 医療情報活用部独立行政法人医薬品医療機器総合機構における医療情報データベースシステムの安全管理に関する細則26細則第11号 2014/7/11 2018/3/30 30細則第11号11290 医療情報活用部 医療情報データベース地域連携コーディネート業務実施要領 24要領第24号 2012/12/27 2018/3/30 30要領第5号11300 医療情報活用部 複数施設統合データ処理センター運用管理細則 26細則12号 2014/7/11 2018/3/30 30細則第11号11310 医療情報活用部 複数施設統合データ処理センター利用細則 26細則第13号 2014/7/11 2018/3/30 30細則第11号11320 医療情報活用部独立行政法人医薬品医療機器総合機構における医療情報データベースに保存された医療情報の利活用者に対する教育研修実施細則26細則第14号 2014/7/11 2018/3/30 30細則第11号11330 医療情報活用部 医療情報データベースの利活用に関する有識者会議設置運営要領 24要領第23号 2012/12/25 2018/3/30 30要領第5号11340 医療情報活用部 薬剤疫学研究等の実施に関するガイドライン作成検討会設置運営要領 24要領第18号 2012/9/24 2018/4/6 30要領第6号11350 企画調整部 企画課 独立行政法人医薬品医療機器総合機構人事・組織運営有識者会議設置規程 23規程第1号 2011/1/5 2018/7/25 30規程第15号11360 企画調整部 企画課 独立行政法人医薬品医療機器総合機構組織運営マネジメント会議設置運営要領 21要領第5号 2009/4/15 2018/7/25 30要領第8号体系名 体系ID 例規ID 担当 課 例規名 例規番号 制定日 最新改正日 最新改正例規番号 備考11370 企画調整部 企画課 独立行政法人医薬品医療機器総合機構改革本部設置運営要領 17要領第26号 2005/10/7 2018/7/25 30要領第8号11380 研究支援・推進部 企画調整課 独立行政法人医薬品医療機器総合機構レギュラトリーサイエンス研究有識者会議設置規程 23規程第8号 2011/4/20 2018/7/25 30規程第15号11390 監査室 独立行政法人医薬品医療機器総合機構業務適正化調査委員会設置規程 22規程第10号 2010/9/13 2018/7/25 30規程第15号11400 安全第二部 独立行政法人医薬品医療機器総合機構副作用検討会設置運営要領 17要領第34号 2005/12/22 2018/9/28 30要領第9号11410 企画調整部 企画課 独立行政法人医薬品医療機器総合機構行動基準についての達 18達第1号 2006/1/26 2018/10/17 30達第4号11420 総務部 人事課 上席審議役及び審議役の職務分掌についての達 16達第3号 2004/7/6 2019/12/9 達第3号11430国際部 国際企画調整課 独立行政法人医薬品医療機器総合機構海外規制当局等派遣規程 28規程第15号 2016/6/24 2019/12/25 規程第12号11440国際部 国際企画調整課 独立行政法人医薬品医療機器総合機構海外規制当局等派遣規程実施細則 28細則第11号 2016/6/24 2019/12/25 細則第11号11450 信頼性保証部 独立行政法人医薬品医療機器総合機構GLP適合性調査の調査専門委員の委嘱に関する要領 17要領第24号 2005/7/14 2020/3/31 要領第6号11460医薬品品質管理部(旧品質管理部)GMP適合性調査等の調査専門委員の委嘱に関する要領 26要領第4号 2014/3/31 2020/3/31 要領第6号11470医療機器品質管理・安全対策部(旧安全第一部)医療機器安全課 再生医療等製品患者登録システムに関する検討会設置運営要領 27要領第23号 2015/8/20 2018/12/3 30要領第10号11480医療機器品質管理・安全対策部(旧安全第一部)医療機器安全課 独立行政法人医薬品医療機器総合機構医療機器不具合検討会設置運営要領 18要領第2号 2006/3/14 2020/6/19 要領第8号11490医療機器品質管理・安全対策部(旧安全第一部)医療機器安全課 独立行政法人医薬品医療機器総合機構再生医療等製品不具合検討会設置運営要領 26要領第25号 2014/11/25 2020/6/19 要領第9号11500 財務管理部 財務企画課 独立行政法人医薬品医療機器総合機構財務管理委員会設置運営要領 18要領第3号 2006/3/23 2021/1/20 要領第13号11510 情報化統括推進室 独立行政法人医薬品医療機器総合機構セキュアメール管理利用規程 18規程第8号 2006/6/12 2021/3/31 規程第11号11520 情報化統括推進室審査等業務における独立行政法人医薬品医療機器総合機構と申請企業等との間の電子メールの利用に関する要領18要領第13号 2006/6/22 2021/3/31 要領第9号11530 研究支援・推進部 企画調整課 独立行政法人医薬品医療機器総合機構レギュラトリーサイエンス研究選定委員会設置運営要領 24要領第2号 2012/1/31 2021/4/1 要領第8号11540 総務部 研修課 独立行政法人医薬品医療機器総合機構アカデミア研修実施細則 28細則第4号 2016/3/29 2021/3/31 細則第10号11550 研究支援・推進部 企画調整課 独立行政法人医薬品医療機器総合機構レギュラトリーサイエンス研究利益相反管理規程実施細則 30細則第5号 2018/3/28 2023/2/24 細則第4号11560 研究支援・推進部 企画調整課 独立行政法人医薬品医療機器総合機構倫理審査委員会作業部会設置運営要領 26要領第7号 2014/6/13 2023/3/20 要領第4号11570 研究支援・推進部 企画調整課 独立行政法人医薬品医療機器総合機構における倫理審査の取扱いに関する規程 26規程第12号 2014/6/13 2023/2/24 規程第1号11580 経営企画部(旧企画調整部) リスク管理・法務支援課 独立行政法人医薬品医療機器総合機構新型インフルエンザ対策本部運営要領 21要領第7号 2009/4/28 2024/7/3 要領第8号11590 研究支援・推進部 企画調整課 ホライゾン・スキャニング実施要領 要領第5号 2019/9/19 2024/6/21 要領第4号11600 研究支援・推進部 企画調整課 独立行政法人医薬品医療機器総合機構レギュラトリーサイエンス推進会議設置運営要領 28要領第11号 2016/8/16 2024/6/19 要領第2号11610研究支援・推進部
(旧科学委員会事務本部)科学委員会専門部会規程 24規程第27号 2012/7/26 2024/6/25 規程第3号11620 経営企画部(旧企画調整部) リスク管理・法務支援課 独立行政法人医薬品医療機器総合機構新型コロナウイルス感染症対策本部設置運営要領 要領第2号 2020/2/28 2024/7/3 要領第9号別紙1 「SLA(Service Level Agreement)項目」指標の種類 指標名 計算式 単位 目標値 計測方法 計測周期問い合わせへの一次回答一次回答の応答時間応答時刻ー問い合わせ受付時刻<1 営業日の件数/問い合わせ件数% 100% 問い合わせ一覧表に受付と応答日時の記録毎月セキュリティ対策セキュリティ事故発生件数セキュリティ事故発生件数件 0件 セキュリティ対策ソフトウェアおよび人手により検知されたセキュリティ事故(防御されたものは除く)の発生件数の集計毎月ヘルプデスク業務サービス提供時間9:00~18:00 のサービスを提供できなかった日数/営業日数×100% 0% 勤務実績の提出 毎月HP 公開作業の期日HP 公開予定日に公開したしたHPの件数/公開したしたHPの件数×100% 100% HP 公開予定日と HP 公開日の比較都度障害対応初動対応の開始異常の発見から 1 営業日以内に初動対応を行った障害件数/障害件数×100% 100% 障害発見日時と初動対応開始日時の障害報告書への記録毎月障害発生の連絡異常の発見から 1 時間以内に PMDA に連絡した障害件数/障害件数×100% 100% 障害発見日時と障害発生連絡日時の障害報告書への記録毎月障害報告書の提出期限期限までに提出した障害報告書の件数/障害報告書の件数×100% 100% 提出期日と報告日の比較都度システム稼働システム稼働率(計画サービス時間ー計画外サービス停止時間)/計画サービス時間×100※1分未満のサービス停止時間は切り捨て。
なお、共用 LAN 基盤起因のサービス停止を除く% 99.9% サービス停止開始・終了日時の記録毎月別紙2 「作業スケジュール」No. タスク名2026年 2027年4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月1 計画1.1 プロジェクト実施計画作成2 運用支援業務2.1 検証環境作成2.2 運用・保守作業2.3 定期運用報告3 データベース改修作業4 TLS対応5 Fess対応別紙3 「業務要件」業務の時期・時間の定義実施時期・期間 実施・提供時間 補⾜通年令和8年4⽉1⽇〜令和9年3⽉31⽇※業務を⾏う⽇(平⽇)とは、本仕様書で別途定められている業務の他は、⾏政機関の休⽇(「⾏政機関の休⽇に関する法律」(昭和63年法律第91号)第1条第1項に掲げる⽇をいう。
)を除く⽇とする。
9:30〜18:15※12:00〜13:00は休憩時間とする。
ただし、本仕様書で別途定めるものの他、緊急作業及び本業務を実施するために必要な作業がある場合は、この限りではない。
運用業務の範囲定義No 名称 内容 受託者の役割1 【システム監視 -稼動監視】なし。
2 【システム監視 -ログ監視】なし。
3 【システム監視 -情報セキュリティ監視】なし。
4 【システム設定・操作 - ジョブ管理】なし。
5 【システム設定・操作 - 容量・能力管理】本システムの性能を計測する指標(CPU 負荷、メモリ使用量、ディスク使用量など)を PMDA と協議の上で確定し、指標データを常時収集し、閾値を超えるなどの異常を発見した場合は障害対応についてPMDAに提案し、PMDAの了解の下、当該作業を実施すること。
6 【ヘルプデスク業務 - 問い合わせ対応】PMDA執務室内において、ヘルプデスク業務の時間は、PMDA営業日の9時30分から18時15分までとする。
一般的な例規集DBの操作方法に関する問い合わせ対応等を実施すること。
なお、問合せは電子メールの他、電話、もしくは直接口頭によるものとするが、それらの内容は定例打ち合わせの際に記録を提出すること。
7 【運用管理】 なし。
8 【ユーザー管理】 なし。
9 【サービスレベル管理】別紙1 「SLA(Service Level Agreement)項目」参照運用業務については、受託者とPMDAとの間で協議の上、SLANo 名称 内容 受託者の役割(Service Level Agreement)を締結する。
サービスレベル評価項目と要求水準については、別紙1「SLA項目」を参照すること。
ただし、サービスレベル評価項目と要求水準については、協議の上、見直すこととする。
10 【バックアップ/リカバリ】重大な障害が発生し、復旧が必要になる場合に備え、運用手順としてバックアップ並びにリカバリ計画及び手順を確立し、それに基づき実行すること。
バックアップデータのリカバリを行う必要があると考えられる場合には、PMDAの判断に従いリカバリ手順に沿って作業すること。
11 【各種データ管理】例規集データベースの改修時はファイル単位でバックアップを管理できる設計とする事。
また、任意のタイミングで仮想化管理ツールを使用してのバックアップ(スナップショット)を実施する事を想定している。
バックアップ/リストアの手順書に準拠し、実施すること。
12 【データベース運用支援】データベースの性能劣化を防止するため、テーブル再構成やインデックス再構成等の性能劣化防止作業を計画し、PMDAの承認を得た上で定期的に実施すること。
13 【その他】 運用・保守業務で使用しているドキュメント(資産管理簿、実施計画書、運用マニュアル等)を管理すること。
また修正・改定の必要がある場合には、PMDAのレビューを受けて修正・改定を実施すること。
保守業務の範囲定義No 名称 内容 受託者の役割1 【システム設定・操作 - 設定変更】ハードウェア、OS、ミドルウェア等を正常に稼動させるために設定の変更が必要となる場合には PMDA に提案し、PMDA の了解の下、当該作業を実施すること。
2 【ソフトウェア保守 -ソフトウェア更新】ハードウェア、OS、ミドルウェア等のセキュリティパッチ類について、パッチ/アップデートによる業務アプリケーションに及ぼす影響の事前評価と適用作業を実施すること。
3 【ハードウェア保守】 なし。
4 【不具合修正、軽微な改修】「(5)業務・情報システムの概要」の「①例規集データベースの改修」にある内容について改修等作業を実施すること。
5【システム設定・操作 - 設定変更】外部公開をしているサービスについて、TLS サーバ証明書を新規に購入し、サーバに適用すること。
別紙4システム運用管理基準2020年12月独立行政法人 医薬品医療機器総合機構【資料の見方】 システム運用業務を「13の領域」に分けている。
それぞれの業務プロセスは、標準化対象外。
各情報システムの体制・特性・リスク等により、最適なプロセスを設計し、運用する。
システム運用の標準化(要件)は、システム運用者(委託先)から当機構への報告書式(情報提供も含む)を統一し、各システムの運用状況を定期的に収集して、全体状況の把握と情報共有等を可能とすることにある。
当資料においては「標準化」のタイトル等にて報告を記載している。
標準化(要件)は、「報告書式を統一する領域」と「報告内容を統一(書式任意)」の2 タイプに分かれる。
「報告書式を統一する領域」は、インシデント管理、変更管理、構成管理、脆弱性管理、アクセス権管理の領域となっている。
改訂履歴改定日 改定理由2018年6月8 日 初版発行2018年7月20日 情報セキュリティ遵守状況報告内容を追記2018年9月10日 脆弱性管理を追記2019年8月15日2. システム運用管理業務の概要に「【参考】システム運用管理業務の全体像」を追加4.5構成管理 最新情報をPMDAに報告する標準書式を定義4.9脆弱性管理 管理状況を報告するPMDA標準書式を定義2019年12月20 日 4.7 バックアップと回復管理 バックアップデータの保管方法を追加2020年12月10 日4.6 運行管理 ログ取得・保存、イベント検知対応の報告を標準化4.9 脆弱性管理 管理要件を追加4.10 アクセス管理 アカウント管理要件の追加、アカウント台帳作成と棚卸を標準化項目に追記1.はじめに1.1 目的独立行政法人医薬品医療機器総合PMDA(Pharmaceuticals and Medical Devices Agency)(以下、「PMDA」という。)が調達し、又は、開発した情報システムの運用管理を確実かつ円滑に行い、利用者が要求するサービス品質を、安定的、継続的かつ効率的に提供するために、情報システムの運用管理に関する業務内容を明確化・標準化するために定めるものである。
1.2 対象範囲PMDAが調達し、又は開発・構築した全ての情報システムの運用保守を担当する組織(情報システムの運用保守業務を外部委託する場合における委託先事業者を含む)に適用する。
1.3 適用の考え方システム運用管理業務は、既に開発・構築しサービスイン(本番稼動)している情報システムの運用・保守業務の実行と管理に係る業務を対象とする。
情報システムの運用・保守を外部委託する場合は、本資料をもとに委託先事業者において、当該情報システムの種類・規模・用途を踏まえた適切な運用手順を策定のうえ、運用サービスを提供するものとする。
1.4 用語の定義本基準で使用する用語は情報システムの「ITIL(IT Infrastructure Library)」のガイドラインを踏まえた運用プロセス定義に準拠するものとする。
1.5 準拠および関連文書上位規程 : 「情報セキュリティポリシー」関連文書 : 「情報システム管理利用規程」2.システム運用管理業務の概要PMDA においては情報システムの運用保守を外部委託している状況を踏まえ、運用管理に必要なプロセスのあるべき姿から主要なプロセスを運用管理業務として選定し、以下の13の管理業務について、明確化・標準化を行う。
管理業務 概要問合せ管理(サービスデスク)システムの利用者からの問合せ窓口として、利用者からの各種問合せについて一括受付することにより 問合せに対する早期回答、障害対応への早期エスカレーションを図るとともに、ユーザからの要望を適切に吸い上げる。
インシデント管理 問い合わせに含まれるインシデント、あるいはハードウェア、アプリケーションなどからのインシデント発生の警告/報告を受け、サービスの中断を最小限に抑えながら、可能な限り迅速に通常サービスを回復するよう努める。
問題管理(再発防止策)障害(インシデント)の根本的な原因となっている不具合が、ビジネスに与える悪影響を最小化するため、問題を分析し抜本的解決策や回避策を立案する。
変更管理(課題管理)情報システムに対する変更の許可と実装を確実に行うための管理をいう。
本番環境に対する変更要求を適正な基準で評価・承認を行い、標準化された変更方法、手順が実施されることを確実にする。
・アプリケーション・システムのアカウント・サーバのOSアカウント・DBMSアカウント・運用支援システムのアカウント・各種特権アカウント 等キャパシティ管理 サービス提供に必要となるシステム資源の利用状況の測定・監視を実施し、現在の業務要求(既存の提供サービス量)と将来の業務要求(要求される提供サービス量)とを把握した上で、システム資源がコスト効率よく供給されるように調整・改善策の立案を行う。
可用性管理 ITインフラストラクチャーを整備し、それをサポートするITサービス部門の能力を最適化させることで、ビジネス部門に対して、費用対効果が高いITサービスを持続して提供する。
可用性管理の活動は、既存のITサービスの可用性を日常的に監視・管理する「リアクティブ」なプロセスと、リスク分析や可用性計画の策定や可用性設計基準などの作成を行う「プロアクティブ」なプロセスに分けられる。
サービスレベル管理 「サービスレベル合意書」で定める各種サービスレベル値の達成、維持作業として、管理項目に対する実績データの収集、分析、評価、及び改善策を策定する。
また、運用管理業務における報告データを収集、管理し、月次にユーザへの報告を実施する。
【参考】システム運用管理業務の全体像3.運用管理業務の基本プロセス(運用管理業務プロセスのPDCAマネジメントサイクル)他のマネジメント・システムと同様に、運用管理業務プロセスも手順書等を策定して終わりではなく、実際に手順書等に準拠した運用を実施し、定期的に又はシステムの変更やメンバーの入れ替わりなどに合わせて都度、管理プロセスを見直し、必要に応じて改善・是正を行う必要がある。
そのために、運用管理業務プロセスに、個別管理基準の「策定(Plan)」、「実施(Do)」、「点検・監査(Check)」、「評価と改善(Act)」の4つの基本プロセスからなるPDCAマネジメントサイクルを導入し、継続的改善を実施することが重要である。
各基本プロセスの概要は、以下のとおりである。
(1) 個別管理基準の策定 (Plan)各運用管理業務の実施方針、実施範囲、管理プロセス、業務の管理指標等を含めた管理基準書ならびに管理手順を定める。
(2) 個別管理業務の実施 (Do)各運用管理業務の実作業を行うとともに、業務遂行に必要な関連情報の蓄積、実績情報の収集保管、およびに評価指標の実績測定を行う。
(3) 個別管理業務の点検・監査 (Check)各運用管理業務に対し、個別運用管理基準に遵守した運用がなされているか定期的に点検・監査を行い、その結果を分析・評価する。
(4) 個別運用管理業務の評価と改善 (Act)各運用管理業務に対する評価指標に対する実績管理を行うと共に、品質向上に向けた改善計画を立案し、改善実施を行う。
(1) 個別管理基準の策定(Plan)(2) 個別管理業務の実施(Do)(3) 個別管理業務の点検・監査(Check)(4) 個別運用管理業務の評価と改善(Act)・定期的に実施・各運用管理基準に従い、定常業務として実施・各管理プロセスの導入時、見直し時に実施・定期的に実施4.システム運用管理業務の明確化・標準化4.1 問合せ管理(1) 目的ユーザ及び各業務プロセスオーナからの問合せや依頼に対する受付窓口を一元化することで、各業務の利用ユーザの業務効率性を向上させる。
(2) 業務の概要問合せ対応では、問合せの受付、クローズ、一次回答、管理プロセスの評価・改善の一連のプロセスを実施する。
(3) 管理対象本番システム環境で稼動している全てのシステムに係る以下の問合せについて対応する。
アプリケーション仕様、操作、機能、内容に関する問合せ ハードウェア/ソフトウェアに関する問合せ 要望 アプリケーション修繕に対する依頼 その他の依頼作業(4) 業務の管理指標&標準化問合せ対応業務を評価するための評価指標として以下を定義し、定期的(月次)報告を行う。
①問合せ発生件数(日次集計・月次集計を含む)②問合せ区分別件数③問合せ一次回答期限遵守率④問合せ完了率(一定期間経過後(10営業日経過後)の完了率)※報告内容は、各システムの状況に応じて変更しても構わない。
【補足】問合せにより「システム障害」「セキュリティインシデント」が発覚した場合は、該当問合せは一次回答にてクローズとし、その後は「インシデント管理」にて対応する。
問合せにより「変更」実施が必要となった場合は、対応予定日を回答することでクローズとし、その後は「変更管理(課題管理)」にて対応する。
4.2 インシデント管理(1) 目的インシデント管理は、ユーザからの問合せ・連絡、あるいはオペレータや監視システム等によるインシデントの検知を受け、ITサービスの中断を最小限に抑えながら、可能な限り迅速に正常なサービスを回復することを目的とする。
(2) 業務の概要①インシデントの定義インシデントとは、ユーザや監視システム等の検知により判明したハードウェアやソフトウェアに関する一般的な障害(システム・ダウン、バグによるアプリケーションの機能停止等)だけでなく、ユーザが日常の操作手順によってITサービスを利用する上で支障がある事象は全てインシデントに包含される。
【注】このインシデントには、情報セキュリティインシデント(不正アクセス・マルウェア検知等)を含む。
また、まだITサービスに影響を与えていない構成アイテムの障害もインシデントとして扱う。
例えば、(i) 二重化されたデータベース・システムの一方がダウンした場合で、まだサービス自体が正常に稼働している場合、(ii) 本番環境のバックアップを検証環境にリストアできない場合、これらをインシデントとして扱う。
②インシデント管理の主な活動インシデント管理は、インシデントの 4 つのライフサイクル(発見-判別-回復-解決)の内、発見-判別-回復(解決)までをカバーする。
(再発防止については、次節の「問題管理」で扱う。)インシデント管理のプロセスでは、主に次の活動を実施する。
・インシデントの検知・インシデントの記録・インシデントの通知・インシデントの分類・インシデントの優先度付け・インシデントの初期診断・エスカレーション・インシデントの調査と診断・復旧(解決)策の実施・インシデントのクローズ(3) 管理対象本番システム環境で稼動している全てのシステムのインシデントを管理対象とする。
(4) 業務の管理指標インシデント管理の管理業務を評価するための評価指標として以下を定義し、定期的(月次)報告を行う。
① 当月インシデント発生件数(総件数、障害ランク別・原因別・システム別件数・解決責任部門別)② 優先度又は緊急度毎に分類されたインシデントの解決までに要した時間(平均時間)③ ステータス(記録済み、対応中、クローズ済み等)毎のインシデントの内訳④ 長期間(発生から1カ月以上)未解決のインシデントの件数と理由および業務影響⑤ 新規に発生したインシデントの件数とその傾向⑥ ユーザのトレーニングなど、ITテクノロジーに関連しないで解決されたインシデントの件数⑦ 解決に要したコスト⑧ インシデント発生件数の削減率(対前年比)(5) 標準化インシデント管理は、PMDA標準書式を適用する。
①インシデント発生(判明)時インシデントごとに個票を起票する。
この個票は「PMDA標準書式」を使用する。
※添付「インシデント報告書(ひな型)」を使用する。
また「インシデント一覧記載要領」を参照し、対応すること。
※各情報システムの状況等によって、一部改修して使用しても構わない。
ただし、必須項目の変更・削除は認めない。
②定期的(月次)報告時インシデントごとの個票を集計表に転記のうえ報告する。
この集計表は「PMDA 標準書式」を使用する。
※添付「インシデント一覧」を使用する。
4.3 問題管理(再発防止策)(1) 目的サービスの信頼性を維持・向上するためには、システムの利用・運用上発生した問題(障害を引き起こす根本的な原因)を確実に解決し、同一障害・類似障害の再発防止のための是正を実施することを目的とする。
(2) 業務の概要本番サービスに影響を与えた障害を分析し、それらの共通の根本原因を取り除く是正策を実施するまでの一連のプロセスを管理する。
問題管理(再発防止)では、以下を実施する。
・問題の傾向分析と課題点の抽出・是正策の検討・是正策の実施(3) 管理対象本番システム環境で稼動している全てのシステムの問題を管理対象とする。
(4) 業務の管理指標&標準化問題管理(再発防止)業務を評価するための評価指標として以下を定義し、定期的(月次)報告を行う。
① 再発防止策が策定された問題件数(総件数、障害ランク別・原因別・システム別件数・解決責任部門別)② ステータス(記録済み、対応中、クローズ済み等)毎の再発防止策の内訳③ 再発防止に要したコスト④ 長期間(策定から1カ月以上)未実施の再発防止策件数と理由⑤ 再発防止の実施率(対前年比)※報告内容は、各システムの状況に応じて変更しても構わない。
4.4 変更管理(1) 目的サービスの信頼性を維持・向上するためには、システムに対する変更について、その妥当性を検証し、変更によるユーザへの影響を最小限にすることが重要である。
変更管理プロセスは、システムに対する変更を一元的に管理することを目的とする。
(2) 業務の概要変更管理では、変更の申請から変更内容の審査、変更の承認または却下、変更の実施、変更実施結果の報告までの一連のプロセスを管理する。
緊急の場合、対応を優先し所定のプロセスを適宜省略することを可能とするが、事後的に対応できるものについては、事後速やかに対応することとする。
(3) 管理対象システム運用者(委託先)が運用し本番サービスを提供するシステムの全て又はその一部に対して影響を与える全ての変更を管理対象とする。
本番環境 構成要素(主な要素)ハードウェア CPU、DASD・DISK、サーバ、ワークステーション、周辺装置システム・ソフトウェア OS、サブシステム、サーバ及びワークステーションOSミドルウェア DBMS、ネットワークOSアプリケーション・ソフトウェア ソース、モジュール、シェル、JCLネットワーク・ハードウェア スイッチ、ルータ、ブリッジネットワーク・サービス 基幹ネットワーク、LAN、インターネット 等データ データベース及びファイル内のデータ(に対する直接修正)(4) 業務の管理指標変更管理業務を評価するための評価指標として以下を定義する。
① 変更実施件数(総件数、領域別・原因別・システム別件数・解決責任部門別)② 変更の実装が失敗した件数③ 変更のバックログの件数④ 予定期間でクローズされなかった変更の件数⑤ 変更が原因で発生した変更の件数⑥ 緊急の変更の件数(5) 標準化変更管理は、PMDA標準書式を適用する。
①変更案件発生時課題管理表に記入し、変更管理のステイタス(未着手(対応予定日記入)~着手(対応中)~完了)を管理する。
※課題管理表の書式は、各情報システムの任意とする。
②変更実施着手時変更の着手ごとに個票を起票する。
この個票は「PMDA標準書式」を使用する。
※添付「変更作業申請書(ひな型)」を使用する。
※各情報システムの状況等によって、一部改修して使用しても構わない。
ただし、PMDA側の確認・承認欄の削除は認めない。
※個票は、「単純な定常作業」に関しては使用しなくても良い。
「単純な定常作業」は、各システムにて定義する。
ただし、定期的(月次)報告には、記載する。
※個票は委託先にて保管し、監査等にて提示要求があった場合は、速やかに提示できるよう対応する③定期的(月次)報告時変更実施ごとの個票を集計表に転記のうえ報告する。
この集計表は「PMDA 標準書式」を使用する。
※添付「変更作業一覧」を使用する。
また「変更作業一覧記載要領」を参照し、対応すること。
※「単純な定常作業」に関しては、「変更作業一覧」の「変更申請」欄及び「完了確認」欄に関する内容を記入し、報告する。
4.5 構成管理(1) 目的システムの構成要素(構成情報)を正確に把握し、常に最新状態にあることを保証する事で、他の運用管理プロセス(障害管理や変更管理等)に対して必要な構成情報を提供できるようにする。
(2) 業務の概要構成管理では、ITサービス開始時より構成情報を一元管理し、他の運用管理プロセスから最新の構成情報を参照可能にする。
本管理プロセスの開始前に、立案した計画に沿って対象とするITサービスやITコンポーネントの範囲、詳細度のポリシーを策定し、開始時のベースラインを把握する。
次に、構成情報の収集と分類を行った上で構成情報を参照可能な状態に維持する。
本管理プロセスの開始後は、変更管理プロセスと連携し、構成情報が常に最新状態として維持されるようにコントロールを行う。
また、定期的に構成情報の点検を行うことにより、課題や問題点を洗い出し、評価・改善を行う。
(3) 管理対象構成管理が対象とする構成情報は以下の通りとする。
カテゴリー 管理対象の種類システム運用管理 各種管理プロセス定義書、手順書、依頼書、CI一覧システム運用・ハードウェア、ネットワーク・ハードウェアの一覧、構成図・ネットワーク・サービス (WAN、インターネット等)の一覧、構成図・システム運用各種手順書(障害対応手順書等)システム保守・システム・ソフトウェア、ミドルウェアの一覧、構成図・アプリケーション・ソフトウェア(ライブラリ、データ、環境設定情報)ハウジング環境設備 (空調設備、電源設備、配線室、配線、管理室)の一覧、構成図アプリケーション保守・設計ドキュメント、プログラムソース・アプリケーション保守用各種手順書(定型作業手順書等)(4) 業務の管理指標構成管理業務を評価するための評価指標として以下を定義する。
① 承認されていない構成の件数② 不正確な構成情報が原因で失敗した変更及び発生した障害の件数③ CI(管理対象の項目数)の正確さ率・構成アイテムの管理情報と実態(H/W、S/W、M/W、機器)との整合性の確認(5) 標準化○PMDA では、「システム資産簿」を作成してシステムのインベントリ情報を一元管理している。
各システムのインベントリ情報を各システムの実装状況を反映した最新状況に更新するとともに、「システム資産簿」を最新の状況に保つため、最新のインベントリ情報をPMDA標準書式「システム資産簿登録用シート」を使用して、PMDAへ報告する。
4.6 運行管理(1) 目的運行管理の目的は、開発部門より引き継いだ業務アプリケーション・システムを、あらかじめ定められた運行計画に基づき、定められた手順に従ってシステム運用を行うことにより、システム運用の品質の維持・向上を図ることにある。
(2) 業務の概要運用引継ぎから、システムのスケジュール計画、稼働監視、オペレーションなど一連の運行を管理する。
以下のサブプロセスから構成される。
① 運用引継ぎ② 運用スケジュールの計画・管理③ オペレーション実施④ 稼動監視と障害対応(一次対応)⑤ セキュリティ監視(対象イベントの検知への対応)⑥ ジョブ実行管理⑦ 帳票管理⑧ 報告管理(3) 管理対象本番システム環境で稼動している全ての情報システムの運行を管理対象とする。
(4) 業務の管理指標運行管理業務を評価するための評価指標として以下を定義する。
① 重要バッチ処理終了時間遵守率② 重要帳票の配布時間遵守率③ システムの運行業務に起因した障害の発生件数・プログラム・JCL等の本番移送のミス、ジョブのスケジュール誤り、操作ミス、監視項目の見落とし/発見遅延、等。
④ 非定型依頼業務の実施件数と正常終了率(5) 標準化○情報システムの運行状況を報告する(月次)(書式任意)情報システムの稼働状況に加えて、以下の項目の報告を必須とする。
・情報システム及びネットワーク内で発生するイベント(事象)の記録である「ログ」の取得・保存のプロセスの状況を監視し、報告する。
・情報システムの稼働により発生する各種検知メッセージへの対処を記録し、報告する。
4.7 バックアップと回復管理(1) 目的障害発生時等において、速やかに正確な回復処置が行えるようにバックアップの取得・リストアの手順を明確にし、安定したサービスの提供を図る。
(2) 業務の概要アプリケーションオーナーとのサービスレベルまたは管理目標の合意に基づき、システムの回復要件(*)に見合ったバックアップ・リストア方針を定め、バックアップ対象の選定、手順の明確化を実施する。
日常運用においては、バックアップ取得、バックアップ媒体の保管を行う。
また、定期的に、バックアップ・リストア実績報告を行い、バックアップ・リストアにおける体制、役割、手順の見直しを図る。
(*)業務の優先度を勘案して有事の際に稼動させるシステムのサービスレベルを定めて、データのバックアップと復旧方法を決定する。
RLO (Recovery Level Objective):どの範囲、レベルで業務を継続するかRTO (Recovery Time Objective):いつまでにシステムを復旧するかRPO (Recovery Point Objective):どの時点にデータが戻るか(3) 管理対象本番システム環境で稼動している全てのシステムのバックアップとリストアを管理対象とする。
本基準の適用システムに関するOS、データベース、テーブル類、ユーザデータなどのバックアップ計画、バックアップ取得、バックアップ媒体の保管、リストア実施および定期的な実績報告の手続きを対象とする。
各情報システムを構成するサーバや通信回線装置等については、運用状態を復元するために必要な重要な設計書や設定情報等のバックアップについても適切な場所に保管する。
(4) バックアップデータの保管方法要保全情報(完全性2)又は要安定情報(可用性2)である電磁的記録若しくは重要な設計書は、バックアップを取得する。
① データベースやファイルサーバのバックアップは、インターネットに接点を有する情報システムに接続しないディスク装置、テープライブラリ装置等に保存する。
② 一般継続重要業務で使用するシステムについては、大規模災害やテロ等による設備・機器の破損を想定し、情報システムの復元に必要な電磁的記録についてはLTO等の可搬記憶媒体による遠隔地保管を行う。
③ バックアップの取得方法、頻度、世代等は各システムの方式設計、運用要件に応じて定める。
(5) 業務の管理指標バックアップと回復管理業務を評価するための評価指標として以下を定義する。
① 当月で計画された定期バックアップの内、バックアップに失敗した件数と理由。
② 当月実施されたリストア件数と内訳(障害対応、調査目的、帳票再作成・出力等)。
③ 当月実施されたリストアの内、リストアに失敗した件数と理由。
(6) 標準化○定期的なバックアップが取得されていることを報告する(月次)(書式任意)○PMDAでは、「リストアの机上訓練」を定期的に実施することを推奨している。
各情報システムにおいては、必要に応じて定期的な訓練実施を行い、結果報告を行う。
4.8 情報セキュリティ管理(1) 目的情報セキュリティ管理は、「情報セキュリティ対策の運用要件」に定める情報セキュリティ対策の運用要件に則り、情報システムのセキュリティを維持・管理し、情報資産を適切に保護することを目的とする。
(2) 業務の概要情報セキュリティ管理プロセスは、PMDAのリスク管理活動の一環として、ITサービス及びサービスマネジメント活動における全ての情報のセキュリティを、首尾一貫した方針に基づき効果的に管理する。
具体的には、「情報セキュリティ対策の運用要件」に則って、適切にセキュリティ管理策が導入され、維持されていることを確実にするために、情報セキュリティ管理計画の維持・管理を行う。
合わせて、情報セキュリティ対策が適切に運用されているかを定期的に点検するとともに、コンプライアンス等の観点からのシステム監査の実施対応をおこなう。
(3) 管理対象ITサービス及びサービスマネジメント活動における全ての情報セキュリティの管理を対象とする。
(4) 業務の管理指標情報セキュリティ管理業務を評価するための評価指標として以下を定義する。
① 情報セキュリティ違反・事件・事故の発生件数とその内容② 発生した情報セキュリティ違反・事件・事故への対策の実施状況③ 情報セキュリティ監査(内部・外部)及び自己点検で検出された不適合の件数④ 前回の情報セキュリティ監査及び自己点検で検出された不適合の是正状況(5) 標準化〇情報セキュリティ遵守状況の報告・情報セキュリティを遵守していることを定期的(月次)にて報告する※報告内容の詳細は後述の【補足説明】を参照・委託先における自己点検を定期的(年2回程度)に実施し、点検結果を報告する。
(点検内容は委託先の任意とするが、各情報システムの運用保守業務に携わる要員等が自らの役割に応じて実施すべき対策事項を実際に実施しているか否かを確認するだけではなく、運用保守のプロジェクト体制全体の情報セキュリティ水準を確認する内容とすること。)【補足説明】情報セキュリティ遵守状況の報告は、以下の内容を確認し、報告すること① 情報の目的外利用の禁止② 情報セキュリティ対策の実施および管理体制(プロジェクト計画書記載内容の遵守)※委託先において実施するセキュリティ研修や委託先の情報セキュリティポリシー遵守のため取組み内容を含む※責任者による情報セキュリティの履行状況の確認を含む③ 体制変更の場合の速やかな報告④ 体制に記載された者以外が委託業務にアクセスできない(していない)ことの確認⑤ ※発生した場合は、すぐに検知でき、報告される⑥ 要員の所属・専門性(資格や研修実績)・実績および国籍に関する情報提供※変更があれば、その都度情報提供される。
⑦ 秘密保持契約(誓約書)の提出(要員全員が提出)※委託業務を離れた者の一定期間の機密遵守を含む※体制変更があった場合の追加提出も含む⑧ 情報セキュリティインシデントへの対処方法の明確化され、要員に周知されている⑨ 再委託がある場合は、上記内容を再委託先においても遵守していることが確認されている4.9 脆弱性管理(1) 目的サーバ装置、端末及び通信回線装置上で利用するソフトウェア(含むファームウェア)やアプリケーションに関連する脆弱性情報の収集とその影響評価に基づく適切な対策を実施するための標準的管理要件を定め、脆弱性によりもたらされる情報セキュリティの脅威について迅速かつ適切に対処することを目的とする。
(2) 業務の概要脆弱性管理では、システム構成を把握したうえで、管理対象とするソフトウェアのバージョン等の確認から、脆弱性情報の収集、影響評価と対策の要否判定、脆弱性対策計画の策定、脆弱性対策の実施、結果の確認、対策の実施状況のモニタリングまでの一連のプロセスを管理する。
①管理対象ソフトウェアの把握 (管理すべきソフトウェアを特定)②管理対象ソフトウェアの脆弱性対策の状況確認②脆弱性情報の収集と識別(当該脆弱性が管理対象ソフトウェアに該当するかの確認)③影響・リスクの評価と対応要否の判断及び記録④脆弱性対策計画の策定と承認(変更管理手続きに拠る)⑤脆弱性対策の検証 (検証環境での稼動確認)⑥脆弱性対策の実施⑦脆弱性対策の記録・報告⑧脆弱性対策の実施状況のモニタリングと継続的改善(3) 管理の対象本番システム環境で稼動しているサーバ装置、端末及び通信回線装置上で利用するソフトウェアやアプリケーションに関する全ての脆弱性を管理対象とする。
(4) 業務の管理指標脆弱性管理業務を評価するための評価指標として以下を定義する。
① 管理対象プロダクツ、バージョンに該当する脆弱性情報件数(通常/緊急)② 脆弱性対策の評価件数(対策要、対策不要)③ 対策計画の策定・実施状況(セキュリティパッチ適用、またはその代替策)/予定・実績・定期報告=脆弱性管理の実施報告・変更管理=システム変更作業報告(セキュリティパッチ適用状況報告を含む)④ 実施可能な脆弱性対策を実施しなかったことによる情報セキュリティインシデントが1件も発生しないこと。
(5) 脆弱性管理の要件脆弱性対策について、以下の管理を行う。
① 対象プロダクト・バージョンの把握・各情報システムにおいて管理対象とするプロダクトとバージョンを特定するとともに脆弱性情報の収集及びパッチの取得方法を(事前に)整備する。
② 脆弱性情報の収集及び対策の要否判断・管理対象のプロダクトに係る脆弱性情報の公開状況を定期的に収集する。
・収集した脆弱性情報をもとに影響・緊急度、対策の必要性、情報システムへ与える影響・リスクを考慮し、対策の要否を判断する。
③ 脆弱性対策計画の策定と実施・対策が必要と判断した場合は、セキュリティパッチの適用計画、または、その代替策(回避方法)の実施計画を策定する。
・対策が情報システムに与える影響について事前検証を行った上、実施する。
対策が情報システムの構成変更を伴う場合は、「4.4変更管理」に拠るものとする。
・対策計画の策定及び実施状況の管理(6) 標準化① 管理状況についてはPMDA標準書式を使用する。
・管理対象とするソフトウェアのプロダクトとバージョンについては、各情報システムの設計書等のソフトウェア関連項目を基に、「脆弱性管理対象ソフトウェア一覧」を使用し管理する。
・管理対象とするソフトウェアの脆弱性の有無、対策の要否、対策の実施概要については、「脆弱性対策管理簿」を使用し管理する。
② 定期的(月次)報告・各情報システムにおける管理対象とするプロダクト・バージョンについて内容に更新があった際は、「脆弱性管理対象ソフトウェア一覧」を使用し速やかに報告する。
・脆弱性対策の要否及び対策の実施状況について、「脆弱性対策管理簿」を使用し、定時(月次)で報告する。
※「脆弱性対策管理簿」の作成にあたっては「脆弱性対策管理簿記載要領」を参照すること。
参考 脆弱性情報収集時の参考URL一覧 (「IPA 脆弱性対策の効果的な進め方(実践編)」より)種別 URL脆弱性関連情報データベース■国内・JVN (Japan Vulnerability Notes)https://jvn.jp/・脆弱性対策情報データベース JVN iPediahttps://jvndb.jvn.jp/■海外・NVD(National Vulnerability Database)https://nvd.nist.gov/・Vulnerability Notes Databasehttps://www.kb.cert.org/vuls/・Metasploit (攻撃情報あり)https://www.metasploit.com/・Exploit Database (攻撃情報あり)https://www.exploit-db.com/ニュースサイト ■国内・CNET ニュース:セキュリティhttps://japan.cnet.com/news/sec/・ITmedia エンタープライズ セキュリティhttp://www.itmedia.co.jp/enterprise/subtop/security/index.html・ITpro セキュリティhttps://tech.nikkeibp.co.jp/genre/security/■海外・ComputerWorld Security (米国中心)https://www.computerworld.com/category/security/・The Register Security (英国・欧州中心)https://www.theregister.co.uk/security/注意喚起サイト■国内・IPA:重要なセキュリティ情報一覧https://www.ipa.go.jp/security/announce/alert.html・JPCERT/CC 注意喚起https://www.jpcert.or.jp/at/2018.html・警察庁:警察庁セキュリティポータルサイトhttps://www.npa.go.jp/cyberpolice/■海外・米国:US-CERThttps://www.us-cert.gov/ncas・米国:ICS-CERThttps://ics-cert.us-cert.gov/製品ベンダー■定例アップデート・マイクロソフト セキュリティ更新プログラム ガイドhttps://portal.msrc.microsoft.com/ja-jp/security-guidance・オラクル Critical Patch Update と Security Alertshttps://www.oracle.com/technetwork/jp/topics/security/alerts-082677-ja.html■クライアント製品など・Apple セキュリティアップデートhttps://support.apple.com/ja-jp/HT201222・Adobe セキュリティ速報およびセキュリティ情報https://helpx.adobe.com/jp/security.html・Mozilla サポートの検索https://support.mozilla.org/ja/■サーバ、ネットワーク製品など・シスコ – セキュリティアドバイザリhttps://www.cisco.com/c/ja_jp/support/docs/csa/psirt-index.html・HP - サポートホームhttps://support.hp.com/jp-ja・日立 –セキュリティ情報https://www.hitachi.co.jp/hirt/security/index.html・富士通 - セキュリティ情報https://www.fujitsu.com/jp/support/security/https://www.fujitsu.com/jp/products/software/resources/condition/security/・NEC - NEC 製品セキュリティ情報https://jpn.nec.com/security-info/・IBM – IBM Supporthttps://www.ibm.com/support/home/?lnk=ushpv18hcwh1&lnk2=support・Red Hat – Red Hat Product Erratahttps://access.redhat.com/errata/#/■セキュリティ製品など・シマンテック –セキュリティアップデートhttps://www.symantec.com/ja/jp/security_response/securityupdates/list.jsp?fid=security_advisory■オープンソースなど・Apache Foundationhttps://httpd.apache.org/ (Apache HTTPサーバ)https://tomcat.apache.org/(Apache Tomcat)https://struts.apache.org/(Apache Struts)・ISC (Internet Systems Consortium)https://www.isc.org/downloads/bind/ (BIND)https://www.isc.org/downloads/dhcp/ (DHCP)・OpenSSLhttps://www.openssl.org/4.10 アクセス権管理(1) 目的システムを利用するユーザ・アカウントを保護するため、及び、なりすましによる不正ログインの可能性を低減するために、ユーザ・アカウントを役割権限別に分類した上で管理方法を取決めてセキュリティレベルを維持する。
(2) 業務の概要システムを利用するサーバ OS、ミドルウェア、アプリケーション・ソフトウェア、及びネットワーク機器のアカウントを対象にアクセス権の管理を行う。
(3) 管理対象本番システム環境での全てのアカウント(社外の取引先等に提供しているアカウントを含む)のアクセス権を管理対象とする。
本番環境 アクセス権管理の対象システム・ソフトウェア OSユーザIDミドルウェア DBMSユーザID、ジョブスケジューラ・ユーザID、他アプリケーション・ソフトウェア アプリケーション・ユーザIDネットワーク機器 各ネットワーク機器の管理者用ID(4) 業務の管理指標アクセス権管理業務を評価するための評価指標として以下を定義する。
① 期間内に発生したユーザID登録・変更・削除の件数② 特権(高権限)ユーザID別の貸出し件数と用途③ アカウントおよびアクセス権の定期棚卸しで、発見された不備項目④ 不適切/不正なアクセス権限の設定によって発生したインシデントの件数⑤ アクセス権限の再設定が必要となったインシデントの件数⑥ 間違ったアクセス権限の設定によって提供不能になったサービスの件数⑦ 間違ったアクセス権限の設定によって生じた不正アクセスの件数(5) アカウント管理の要件・【アカウント(ID)の付与】①情報システムを利用する許可を得た主体に対してのみ、識別コード及び主体認証情報を付与(発行、更新及び変更を含む)する。
②識別コードの付与に当たっては、.単一の情報システムにおいて、ある主体に付与した識別コードを別の主体に対して付与することを禁止する③主体以外の者が識別コード又は主体認証情報を設定する場合に、主体へ安全な方法で主体認証情報を配布する。
④識別コード及び知識による主体認証情報を付与された主体に対し、初期設定の主体認証情報を速やかに変更するよう、促す。
⑤知識による主体認証方式を用いる場合には、他の情報システムで利用している主体認証情報を設定しないよう主体に注意を促す。
⑥情報システムを利用する主体ごとに識別コードを個別に付与する。
ただし、判断の下やむを得ず共用識別コード(共有 ID)を付与する必要がある場合には、利用者を特定できる仕組みを設けた上で、共用識別コードの取扱いに関するルールを定め、そのルールに従って利用者に付与する。
⑤主体認証情報の不正な利用を防止するために、主体が情報システムを利用する必要がなくなった場合には、当該主体の識別コードを無効にする。
・【特権 IDと使用者の限定】①使用者限定の保証・パスワードの堅牢性できだけ長い桁数、推測困難かつ記憶が容易となる工夫・パスワードの厳正管理業務で使用する必要がある者しか知ることができないようにするパスワード情報へのアクセス制限ID使用者の離任時はパスワード変更を必須②利用時の承認と記録・特権IDを利用して作業を行った結果の記録 (特権 ID使用管理簿の記載)・利用状況のモニタリングサーバのログイン・ログアウトログの出力リストと特権 ID 使用管理簿の作業実績に記載されている日時を照合し、記載されている日時から逸脱する時間帯のログデータがないことをチェック※工数の許す範囲で、重要サーバに絞り、無作為に抽出した数件のログインに該当する作業のチェック等工夫する(6) 標準化・全てのアカウント(ID)について、以下の管理を行う。
①アカウント(ID)管理台帳の作成ID管理台帳を基に IDの新規・変更・削減の状況について、定期(月次)報告する。
②定期(月次)報告ID管理台帳を基に IDの新規・変更・削減の状況について、定期(月次)報告する。
③ID棚卸し全てのIDの棚卸しを以下の手順を参考にし、定期的(最低1回/年)に実施し、報告を行う。
(棚卸し手順)a. 登録ID抽出リスト出力b. ID管理台帳突合c. 棚卸しリスト作成d. ID使用者の確認、権限の妥当性の検証e. 不要ID(初期登録(ビルドイン)IDを含む)削除と不適切権限の修正f. ID管理台帳更新g. 棚卸実施報告書の作成※アカウント(ID)管理用資料は、「参考資料_ID 管理用各書式ひな型」を参考に各情報システムにおいて適宜定める。
・特権IDについて、以下の管理を行う。
①特権ID台帳の作成※添付「特権ID管理台帳」を使用する。
※各情報システムの状況等によって、一部改修して使用しても構わない。
ただし、項目の削除は認めない。
※監査等にて提示要求があった場合は、速やかに提示できるよう保管する②特権ID(システムID)使用管理簿の作成(またはログ抽出)※添付「特権ID使用管理簿」を使用する。
各情報システムの状況等によって、一部改修して使用しても構わない。
ただし、項目の削除は認めない。
※ログイン・ログアウトのログ(または画面コピー)を必ず保管(または添付)し、監査等にて提示要求があった場合は、速やかに提示できるよう保管する③定期(月次)報告特権ID(システムID)台帳ならびに特権ID(システムID)使用状況を、定期(月次)報告する。
(ログまたは画面コピーは、月次報告不要)④特権ID棚卸し特権IDの棚卸しを定期的(年2回程度)に実施し、報告を行う。
(報告書式任意)棚卸し点検内容は以下の通り○台帳は、本当に使用する者を登録しているか?(体制図と一致しているか?)・体制から外れた者が削除されずに残っていないか?・使用予定がない者が登録されていないか?○台帳と使用管理簿の相関は一致しているか?○使用管理簿とログ(または画面コピー)保管の相関は一致しているか?4.11 キャパシティ管理(1) 目的キャパシティ管理の目的は、ビジネスが必要とするときに、必要なキャパシティを適正なコストで提供することである。
すなわち、① ビジネスの需要に対する供給ビジネスの変化に合わせて、ITサービスの対応にもスピードが要求される。
キャパシティ管理は、現在から将来にわたるビジネス需要・要件に合わせて、ITインフラストラクチャーのキャパシティを最大限に活用できるようにすることを目的とする。
② キャパシティに対するコスト一方、必要以上のキャパシティを確保すると購入や運用のための費用が膨らみ、ビジネスの観点からコストを正当化できない。
キャパシティを最適化し、費用対効果が高いITサービスを提供することもキャパシティ管理の目的である(2) 業務の概要このプロセスは、次の3つのサブプロセスから構成される。
① ビジネスキャパシティ管理ITサービスに対する将来のビジネス需要・要件を収集・検討し、それによって、ITサービスのキャパシティを確実に実装させるための計画の立案、予算化、構築がタイムリーに実施されるようにする。
② サービスキャパシティ管理実際のサービスの利用と稼働のパターン、山と谷を理解して、運用中のITサービスのパフォーマンスを監視し、それによって、SLAの目標値を達成し、ITサービスを要求どおりに機能させる。
③ コンポーネントキャパシティ管理ITインフラストラクチャーの個々のコンポーネントのパフォーマンスとキャパシティ、使用状況を監視し、それによって、SLAの目標値を達成・維持するために、コンポーネントの利用を最適化する。
(3) 管理対象本基準の適用システムにおけるハードウェア、ソフトウェア、ネットワーク、アプリケーション、及び人的リソースを対象とする。
(4) 業務の管理指標キャパシティ管理業務を評価するための評価指標として以下を定義する。
① CPU、ディスク、メモリ、ネットワーク容量などの閾値に対する需要の割合② ITサービスのパフォーマンス不足に起因するSLA違反やインシデントの発生件数③ ITコンポーネントのパフォーマンス不足に起因するSLA違反やインシデントの発生件数④ 正規の購入計画に含まれていなかった、パフォーマンスの問題解決のために急きょ行った購入の数又は金額4.12 可用性管理(1) 目的可用性管理の目的は、ビジネス部門に対して、費用対効果が高いITサービスを持続して提供することであり、そのためにITインフラストラクチャーを整備し、それをサポートするITサービス部門の能力を最適化させる。
(2) 業務の概要可用性管理の活動は大きく、1)可用性要件の把握、2)可用性の設計、及び3)可用性の改善活動の3つに分けられる。
具体的には、以下の可用性管理の3要素の目標値を設定し、設定した可用性のレベルを達成・維持・向上させることである。
① 可用性可用性とは、ITサービスが必要なときに使用できる割合のことで、一般的には稼働率という指標を用いて表される。
稼働率(%)=(サービス提供時間-停止時間)÷サービス提供時間② 信頼性提供されるITサービスにおける、不具合の発生しにくさ/故障しずらさを表す。
平均故障間隔=(使用可能な時間-総停止時間)÷(サービス中断の回数-1)③ 保守性ITサービスが停止又は品質低下した際に、いかに早く復旧できるかを示す指標。
平均修理時間=修理時間の合計÷サービス中断の回数可用性について極めて重要なことは、ユーザの求めるシステムの可用性レベルをどのように達成するかについて、システム設計時に真剣に検討し、システム構築時に実現し、システムの運用において継続的に改善することである。
(3) 管理対象本基準の適用システムにおけるハードウェア、ソフトウェア、ネットワーク、及びアプリケーションを対象とする。
(4) 業務の管理指標可用性管理業務を評価するための評価指標として以下を定義する。
① 可用性の割合② 平均故障間隔③ 平均修理時間④ サービスの中断回数⑤ 定期的なリスク分析、及びレビューの完了の件数4.13 サービスレベル管理(1) 目的ユーザニーズを満足する適正なサービスレベルおよび管理指標を設定し、これを実績管理することにより質の高いサービスの提供を図る。
(2) 業務の概要サービスレベルおよび各個別管理業務での管理指標の実績データを定期的に把握し、サービスレベル指標と実績の差異や傾向を継続的に分析することにより、改善策を立案し実施する。
(3) 管理対象IT 部門が提供する全ての IT サービスに関するサービスレベルおよび各個別管理業務での管理指標を管理対象とする。
(4) 業務の管理指標サービスレベル管理業務を評価するための評価指標として以下を定義する。
①「サービスレベル合意書」の各サービスレベル項目の達成率②各個別管理業務での管理指標の達成率(5) 標準化サービスレベル管理業務を定期的(月次)に報告する。
①「サービスレベル合意書」の各サービスレベル項目の達成率②各個別管理業務での管理指標の達成率以上別紙5 情報セキュリティ対策の運用要件情報システムの運用・保守の業務遂行にあたっては、調達・構築時に決定した情報セキュリティ要件が適切に運用されるように、人的な運用体制を整備するとともに、機器等のパラメータが正しく設定されていることの定期的な確認、運用・保守に係る作業記録の管理等を確実に実施すること。
対策区分 対策方針 対策要件 運用要件 定期点検侵害対策(AT:Attack)通信回線対策(AT-1)通信経路の分離(AT-1-1)不正の防止及び発生時の影響範囲を限定するため、外部との通信を行うサーバ装置及び通信回線装置のネットワークと、内部のサーバ装置、端末等のネットワークを通信回線上で分離すること。
ネットワーク構成情報と実際の設定を照合し、所定の要件通りに設定されていることを定期的に確認すること。
セキュリティヘルスチェック(構成管理資料の原本と実際の設定状況を目視にて突合せチェックすることにより各種セキュリティ設定の不正変更の有無をチェックする)と合わせて実施し報告すること。
不正通信の遮断(AT-1-2)通信に不正プログラムが含まれていることを検知したときに、その通信をネットワークから遮断すること。
通信のなりすまし防止 (AT-1-3)通信回線を介した不正を防止するため、不正アクセス及び許可されていない通信プロトコルを通信回線上にて遮断する機能について、有効に機能していることを定期的に確認すること。
セキュリティヘルスチェック(構成管理資料の原本と実際の設定状況を目視にて突合せチェックすることにより各種セキュリティ設定の不正変更の有無をチェックする)と合わせて実施し報告すること。
サービス不能化の防止 (AT-1-4)サービス不能攻撃を受けているかを監視できるよう、稼動中か否かの状態把握や、システムの構成要素に対する負荷を定量的(CPU使用率、プロセス数、ディスクI/O量、ネットワークトラフィック量等)に把握すること。
監視方法はシステムの特性に応じて適切な方法を選択すること。
不正プログラム対策(AT-2)不正プログラムの感染防止 (AT-2-1)不正プログラム対策ソフトウェア等に係るアプリケーション及び不正プログラム定義ファイル等について、これを常に最新の状態に維持すること。
不正プログラム対策ソフトウェア等により定期的に全てのファイルに対して、不正プログラムの検査を実施すること。
不正プログラム対策の管理 (AT-2-2)不正プログラム対策ソフトウェア等の定義ファイルの更新状況を把握し、不正プログラム対策ソフトウェア等が常に有効に機能するよう必要な対処を行うこと。
対策区分 対策方針 対策要件 運用要件 定期点検セキュリティホール対策(AT-3)運用時の脆弱性対策 (AT-3-2)情報システムを構成するソフトウェア及びハードウェアのバージョン等を把握して、製品ベンダや脆弱性情報提供サイト等を通じて脆弱性の有無及び対策の状況を定期的に確認すること。
脆弱性情報を確認した場合は情報システムへの影響を考慮した上でセキュリティパッチの適用等必要な対策を実施すること。
対策が適用されるまでの間にセキュリティ侵害が懸念される場合には、当該情報システムの停止やネットワーク環境の見直し等情報セキュリティを確保するための運用面での対策を講ずること。
脆弱性対策の実施状況は、月次で報告すること。
不正監視・追跡(AU:Audit)ログ管理(AU-1)ログの蓄積・管理(AU-1-1)情報システムにおいて、情報システムが正しく利用されていることの検証及び不正侵入、不正操作等がなされていないことの検証を行うために必要なログ(システムへのログオンや資源へのアクセスのロギング等)を取得すること。
ログが所定の要件通り、取得・蓄積されていることを確認すること。
(年1回以上)ログの保護 (AU-1-2)取得・蓄積されたログが不正な改ざんや削除が行われないようログの格納ファイルのアクセス権を制限する等必要な対策を講じること。
取得・蓄積されたログが不正な改ざんや削除が行われていなことを確認すること。
(年1回以上)時刻の正確性確保(AU-1-3)システム内の機器の時刻同期の状況を確認すること。
不正監視(AU-2)侵入検知 (AU-2-1)不正行為に迅速に対処するため、通信回線を介して所属するPMDA外と送受信される通信内容を監視し、不正アクセスや不正侵入を検知した場合は通信の遮断等必要な対処を行うこと。
アクセス・利用制限(AC:Access)主体認証(AC-1)主体認証 (AC-1-1)主体認証情報(ID、パスワード)は不正に読み取りできないよう保護すること。
アカウント管理(AC-2)ライフサイクル管理 (AC-2-1)主体が用いるアカウント(識別コード、主体認証情報、権限等)は、主体の担当業務に必要な範囲において設定すること。
また、アカウント管理(登録、更新、停止、削除等)の作業内容は記録し、証跡を保管すること。
アカウント棚卸を定期的に実施し、不要なアカウントを削除すること。
アカウント棚卸を定期的(年1回以上)に実施すること。
アクセス権管理(AC-2-2)主体が用いるアカウント(識別コード、主体認証情報、権限等)は、主体の担当業務に必要な範囲において設定すること。
また、アカウント管理(登録、更新、停止、削除等)の作業内容は記録し、証跡を保管すること。
権限の再検証を定期的に実施し、不要な権限を削除すること。
ユーザーIDの棚卸と合わせて実施すること。
対策区分 対策方針 対策要件 運用要件 定期点検管理者権限の保護(AC-2-3)システム特権を付与されたアカウント及び使用者を特定し、アカウントの使用状況を記録し、アカウントの不正使用がないことを定常的に確認すること。
管理状況を「特権ID台帳」及び「特権ID使用管理簿」により、月次で報告すること。
データ保護(PR:Protect)機密性・完全性の確保(PR-1)通信経路上の盗聴防止 (PR-1-1)通信回線に対する盗聴行為による情報の漏えいを防止するため、通信回線を暗号化する機能について、有効に機能していることを定期的に確認すること。
セキュリティヘルスチェック(各種セキュリティ設定の不正変更の有無、および不正操作の痕跡の有無の確認)と合わせて実施し報告すること。
保存情報の機密性確保 (PR-1-2)情報システムに蓄積された情報の窃取や漏えいを防止するため、情報へのアクセスを制限すること。
構成情報と実際の設定を照合し、所定の要件通りに設定されていることを定期的に確認すること。
また、業務データへのアクセス権限の付与状況を点検し、不要なアクセス権限が付与されていないことを確認すること。
ユーザーIDの棚卸と合わせて実施すること。
業務データへのアクセス管理情報の格付の見直し及び再決定が行われた際や、当該情報システムに係る職員等の異動や職制変更等が生じた際には、情報に対するアクセス制御の設定や職務に応じて与えられている情報システム上の権限が適切に変更されていることを確認すること。
ユーザーIDの棚卸と合わせて実施すること。
受託者によるアクセス受託者は受託した業務以外の情報へアクセスしないこと。
情報セキュリティ遵守状況は月次で報告すること。
物理対策(PH:Physical)情報窃取・侵入対策(PH-1)情報の物理的保護(PH-1-1)受託者の管理区域において、受託者がPMDAより提供された情報を格納する機器は、情報の漏えいを防止するため、物理的な手段による情報窃取行為を防止・検知するための機能を備えること。
情報セキュリティ遵守状況は月次で報告すること。
侵入の物理的対策(PH-1-2)受託者の管理区域において、受託者がPMDAより提供された情報を格納する機器は、物理的な手段によるセキュリティ侵害に対抗するため、外部からの侵入対策が講じられた場所に設置すること。
情報セキュリティ遵守状況は月次で報告すること。
入退室管理の履行 PMDAが管理するサーバ室、事務室等の管理区域への入退出については、PMDA入退室管理規程を遵守すること。
対策区分 対策方針 対策要件 運用要件 定期点検PMDAの管理区域内での作業は、原則として、PMDA職員の立会いのもとで行うこと。
障害対策(事業継続対応)(DA:Damage)構成管理(DA-1)システムの構成管理 (DA-1-1)情報セキュリティインシデントの発生要因を減らすとともに、情報セキュリティインシデントの発生時には迅速に対処するため、情報システムの構成(ハードウェア、ソフトウェア及びサービス構成に関する詳細情報)が記載された文書を実際のシステム構成と合致するように維持・管理すること。
変更作業時の構成管理資料の更新については、「変更作業一覧」により、月次で報告すること。
可用性確保(DA-2)システムの可用性確保 (DA-2-1)情報のバックアップの取得システム及びデータの保全が確実に実施されるため、システム及びデータのバックアップが所定の要件通りに取得されていることを定期的に確認すること。
また、回復手順について机上訓練を実施し、バックアップや回復手順が適切に機能することを確認する。
バックアップの実施状況は、月次で報告すること。
バックアップによるリストア等回復手順については、机上訓練を年1回以上実施すること。
サプライチェーン・リスク対策(SC:SupplyChain)情報システムの構築等の外部委託における対策(SC-1)委託先において不正プログラム等が組み込まれることへの対策(SC-1-1)情報システムの運用保守において、PMDAが意図しない変更や機密情報の窃取等が行われないことを保証するため、構成管理・変更管理を適切に実施すること。
変更管理の状況は「変更作業一覧」により、月次で報告すること。
別紙6 主要ソフトウェア一覧説明 主要ソフトウェア一覧例規集データベースで使用する例規情報の保存のためMicrosoft SQLserver StandardEdition例規集データベース検索機能のためFess例規集データベースの実行のためMicrosoft .NET Framework例規集データベースの実行のためActivePerlPDFファイルの閲覧のためAdobe Reader※バージョン等の詳細については、資料閲覧時に公開する設計書等を参照すること1例規集システム要件定義書1.目的独立行政法人医薬品医療機器総合機構(以下「機構」という。)における、関係法令、規程類及びその他通知などをデータベース化し、Microsoft社(以下「MS」という。)のMicrosoft Edgeを使用して、データベース化された例規集を閲覧、検索できるようにする。
2.保存する例規データベースに保存する例規(以下「保存例規」という。)は下記の(1)から(6)までとする。
(1)基本法令等別紙「保存例規一覧表」に記載のある基本法令、中期目標・中期計画・年度計画及び業務方法書をいう。
(2)規程次の2つの区分において制定されたものを総称していう。
ア 「規程」 機構の組織及び業務の方法、手続、運営等に関する基本事項について定めたものイ 「規則」 前号の「規程」と同等のもので、労働基準法(昭和 22 年法律第 49 号)第89条の規定により定める就業規則(3)細則業務方法書若しくは規程の定めを実施するために必要な事項又は業務方法書若しくは規程に委任された事項を定めるものをいう。
(4)要領具体的要件を処理するために取扱いの細則を定めるものをいう。
(5)達機構の業務に関する通達等で、規程、細則若しくは要領の委任に基づいて個別的事項を具体的に定めるもの又は委任に基づかないが重要な具体的事項を定めるものであってこれに準別紙72ずるものをいう。
(6)旧法次の3つの法令(以下「旧法」という。)を収録する。
但し、これらの法令は体系によるブラウズには表示されず、また、検索対象にもならない。
保存例規で参照されているリンクのみから表示することが可能である。
表示する場合、全文のみを表示し、引用条文のように左フレームに章立てを表示しない。
(ア)医薬品副作用被害救済・研究振興調査機構法(イ)医薬品副作用被害救済・研究振興調査機構法施行令(ウ)医薬品副作用被害救済・研究振興調査機構法施行規則3.保存例規が参照する外部例規総務省がWebにて提供する法令データ提供システムに搭載された法令等(以下「外部参照例規」という。)が保存例規の法文中で言及されている場合、当該箇所をリンク表示する。
例)医薬品の安全性に関する非臨床試験の実施に関する省令などが外部参照例規である。
決定事項)・旧法はリンク先を持たない。
4.保存例規の分類保存例規は、次の(1)から(8)までの項目で分類される。
(1)体系(ア)基本法令(イ)中期目標・中期計画・年度計画(ウ)業務方法書・実施細則等(救済業務関係)(エ)業務方法書・実施細則等(審査等業務・安全対策業務)(オ)組織(カ)人事・給与(キ)リスク管理(ク)文書・情報管理(ケ)会計(コ)研修・図書(サ)研究(シ)監査3(ス)廃止規程等決定事項)・旧法は体系上に含まない。
そのため、体系上からの参照および体系上への参照もできない。
・現行の保存例規を廃止し、廃止規程(旧法)へと変更する場合は、新規に廃止規程として例規IDを払出し、廃止規程への登録を行う。
(2)例規種別(ア)基本法令(イ)中期目標(ウ)中期計画(エ)年度計画(オ)業務方法書(カ)規程(キ)細則(ク)要領(ケ)達(3)担当部課例規毎に担当部、担当課を決定する。
但し、担当部、担当課はブランクでもよい。
ブランクの場合、検索時は担当部、担当課をそれぞれ指定しない時のみ対象となる。
また、担当部、担当課はそれぞれ複数でもよい。
複数の場合、検索時はどちらかに該当すれば対象となる。
(4)例規名(5)制定日(6)改正日留意事項)・改正日のない例規もある。
(7)例規番号例規番号は「番号+例規種別+号」の組合せとし、番号と号は算用数字であり、種別は規程、細則、要領、達、のいずれかである。
留意事項)・基本法令等は例規番号がないので、検索時、例規番号が指定されない時のみ検索対象と4なる。
・なお、例規番号が無い場合は“-”で検索対象となる。
(8)例規構造題名、前文・目次、本則、附則、別表、様式、別紙、参考(前文・目次と別紙は、HTML形式での表現が容易な書式のみである。)決定事項)・本開発では、別添、別記は別紙として分類する。
5.保存例規の版及び表示形式(1)基本法令等改修時点における直近の版を収録する。
また、Web ページから入手できる HTML 書式で収録する。
HTML化されていないPDF等がリンクとして含まれている部分は、個別に対応を協議する。
(2)基本法令等以外の保存例規(ア)当初制定の法文PDFでのみ保存し、リンク表示とする。
(イ)改正毎の原義文PDFでのみ保存し、リンク表示とする。
(ウ)現行の法文別表は全てHTML化する。
但し、HTML化が困難か不可能な場合、体裁を変えてHTML化し、本来の体裁を PDF と MS-WORD 形式(MS-WORD 形式によりがたい場合は、MS-EXCEL形式とする。)で保存し、リンクにより表示可能とする。
体裁を変える場合は、事前に協議をする。
体裁に変更がなければ、PDF、MS-WORD、MS-EXCEL 形式は保存しない。
様式は全てPDFとMS-WORD形式(MS-WORD形式によりがたい場合は、MS-EXCEL形式とする。)で保存し、リンクにより表示可能とする。
原本が MS-WORD またはMS-EXCEL形式の場合は原本の形式で保存する。
ただし、MS-EXCELはセルの線が表示されない形に加工する。
原本がそれ以外の形式の場合、原則としてMS-WORD形式に変換する。
決定事項)・印刷モードは設けない。
・HTMLでの表示では、インデントを正確に反映して、法文を表示する。
56.画面レイアウト(1)ブラウズ(2)検索(3)検索結果メニューバー目次(以下「目次フレームという。」条一覧(以下「条一覧フレームという。」検索条件(以下「検索条件フレームという。」メニューバー目次(以下「目次フレームという。」条一覧(以下「条一覧フレームという。」本文(以下「本文フレームという。」6(4)引用条文(5)メモ登録タイトル条一覧(以下「引用例規条一覧フレームという。」本文(以下「引用例規本文フレームという。」メニューバー検索結果(以下「検索結果フレームという。」検索条件(以下「検索条件フレームという。」7メモ登録画面(6)メモ一覧(例規)ウィンドウ操作メニューフレームメモ一覧フレーム(7)メモ一覧(全体)8メニューフレームメモ一覧フレーム(8)旧法表示旧法表示97.画面(1)初期画面ブラウズモードとする。
(ア)メニューバー公開用:体系ツリー表示、検索内部用:体系ツリー表示、検索、メモ一覧(イ)目次フレーム体系別による例規名のツリー表示(ウ)条一覧フレームブランク表示(エ)本文フレームインフォメーションを表示(2)全文表示画面(ア)メニューバー公開用:体系ツリー表示、検索内部用:体系ツリー表示、検索、メモ一覧(イ)目次フレーム体系別による例規名のツリー表示(ウ)条一覧フレーム目次フレームで選択された例規の条題のツリー表示(エ)本文フレーム公開用:目次フレームで選択された例規の全文表示内部用:「メモ」ボタン、「メモ一覧」ボタン、「印刷」ボタン、目次フレームで選択された例規の全文表示決定事項)・「印刷」ボタンは、本文フレームに表示されたHTMLについて、本システムを参照しているパソコンに接続されたプリンタへ出力する機能とする。
(3)逐条表示画面(ア)メニューバー公開用:体系ツリー表示、検索内部用:体系ツリー表示、検索、メモ一覧(イ)目次フレーム体系別による例規名のツリー表示(ウ)条一覧フレーム10選択された例規の条題のツリー表示(エ)本文フレーム公開用:条一覧フレームで選択された条文表示内部用:「メモ」ボタン、「印刷」ボタン、条一覧フレームで選択された条文表示決定事項)・「印刷」ボタンは、本文フレームに表示されたHTMLについて、本システムを参照しているパソコンに接続されたプリンタへ出力する機能とする。
(4)検索画面(ア)メニューバー公開用:体系ツリー表示、検索内部用:体系ツリー表示、検索、メモ一覧(イ)目次フレーム体系別による例規名のツリー表示(ウ)条一覧フレーム選択された例規の条題のツリー表示(エ)検索条件フレーム検索フォーム表示(5)検索結果画面(ア)メニューバー公開用:体系ツリー表示、検索内部用:体系ツリー表示、検索、メモ一覧(イ)検索結果フレーム検索条件に合致した例規名とキーワードを含む例規名と条題のツリー表示(ウ)検索条件フレーム検索フォーム表示(6)引用条文画面(ア)タイトル引用条文の例規名+制定日+法律番号(イ)引用例規条一覧フレーム引用例規の条題のツリー表示(ウ)引用例規本文フレーム引用例規の全文表示11(7)メモ登録別ウィンドウを開き、メモ入力フォームを表示する。
留意事項)・本機能は内部用でのみ実装する。
(8)メモ一覧(例規)別ウィンドウを開き、該当する例規のメモ一覧を表示する。
本画面上でメモの編集および削除も行うことができる。
留意事項)・本機能は内部用でのみ実装する。
(9)メモ一覧(全体)別ウィンドウを開き、全例規のメモ一覧を表示する。
本画面上でメモの編集および削除も行うことができる。
留意事項)・本機能は内部用でのみ実装する。
(10)旧法表示別ウィンドウを開き、旧法を表示する。
留意事項)・旧法は静的に作成された1枚のHTMLとする。
決定事項)・目次フレームで表示する最小のレベルは、例規名である。
・目次フレームで表示する例規名では、原則として例規名の「独立行政法人医薬品医療機器総合機構」を除いた略称を表示する。
・保存例規が言及されている場合、常にリンク表示する。
・保存例規の場合、前文・目次、本則条文、附則条文、別表、様式、別紙単位でリンク表示する。
・改正履歴は、個別に条一覧フレームに表示しない。
128.検索(1)検索フォーム(ア)上部検索結果の表示方法を選択できる。
・体系または公布日による昇順、降順・表示件数(イ)中央部検索条件フォーム(ウ)下部検索実行、クリアボタンを配置し、検索実行で検索を実行し、クリアで検索条件を全てクリアする。
(2)検索条件フォーム体系、例規種別、担当部、担当課、例規名、制定日、改正日、例規番号、例規構造、キーワードを検索条件に指定できる。
(3)検索結果表示検索条件に合致する保存例規名と該当条文のリンクが検索結果フレームにリスト表示される。
表示方法は、上部で指定された方法に従う。
(4)検索結果リンクへのジャンプ検索結果フレームに表示されたリンクがクリックされれば、新規の引用条文ウィンドウを開き、当該例規をそこに表示する。
条がクリックされた場合、その条が引用例規本文フレームのトップに表示される。
ANDまたはORでヒットしたキーワードは、強調表示する。
決定事項)・キーワード以外の検索条件が複数指定された場合、AND条件とする。
・複数のキーワード検索が指定された場合、キーワードの AND 検索、キーワードの OR検索を指定できる。
・キーワードのNOT検索は実装しない。
・キーワード及びそれ以外の検索条件が指定された場合、キーワード以外の検索条件に合致し、且つ、キーワード検索条件に合致する例規が検索結果となる。
・現行の法文のみが全文検索の対象である。
・当初制定法文、原義文は全文検索の対象外である。
但し、当初制定法文に改正がなければ、全文検索の対象である。
13・別表は全てHTML化するので、全文検索の対象とする。
・様式はHTML形式ではないので、全文検索の対象外とする。
・体系、例規種別、担当部、担当課、制定日、改正日、例規番号は例規構造の選択はプルダウンメニュー形式とする。
・担当部は例規集の担当部を指定する他、「指定しない」を選択できる。
「指定しない」を選択することにより、全ての担当部が対象となる。
・担当部が指定された場合、その担当部に属する課が担当課のプルダウンメニューの選択項目となる。
そして、「指定しない」も選択可能となる。
「指定しない」を選択することにより、指定された担当部に属する全ての担当課が対象となる。
・例規名は文字入力形式とし、部分一致とする。
・例規番号は、十の位、一の位のプルダウンメニュー、例規種別のプルダウンメニュー、号を入力するテキストボックスで指定する。
・キーワードはFESSを使用して検索する。
・キーワードを入力しないで検索した場合、検索結果は例規名のみとなる。
・キーワードを入力した場合、キーワードを含んだ条文単位で検索結果を表示する。
・キーワードを入力できる入力欄を3つ設ける。
・1つの入力欄には複数のキーワードを空白で区切って入力でき、1つの入力欄の複数のキーワードはOR条件とする。
・3つの入力欄はAND条件とする。
・個別の条文毎に、入力されたキーワード条件に合致するかどうか判断する。
・旧法は検索の対象としない。
9.リンク表示法文を表示する際、保存例規と外部参照例規が言及されている箇所はリンク表示する。
(1)保存例規名のみ目次フレームの例規名リンクがクリックされれば、条一覧フレームにその例規の条題を表示し、本文フレームに全文を表示する。
本文フレーム、検索結果、引用例規本文フレームの例規名リンクがクリックされれば、新規の引用条文ウィンドウを開き、当該例規をそこに表示する。
決定事項)・旧法は静的なHTMLとする。
(2)保存例規名と条番号(附則、別表、様式、別紙もある。)のセット条一覧フレームの条番号のリンクがクリックされれば、本文フレームのトップに当該条文を表示する。
14本文フレーム、検索結果、引用例規本文フレームの例規名+条番号リンクがクリックされれば、新規の引用条文ウィンドウを開き、当該条番号の条文(または別表)をその引用例規本文フレームのトップに表示する。
決定事項)・旧法へのリンクは、条へのリンクはない。
(3)外部参照例規名当該外部参照例規を検索できる所掌行政機関の玄関Webページ(ポータルサイト)を別ウィンドウに表示する。
リンクをクリックすることにより、当該外部参照例規を表示する必要はない。
Webサイト:http://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0100/(4)PDF、MS-WORD、MS-EXCELPDF、MS-WORDまたはMS-EXCELがリンク先であれば、リンクをクリックすることにより、当該PDF、MS-WORDまたはMS-EXCELファイルのダウンロードが開始される。
決定事項)・独立行政法人通則法はリンク先を持たない。
・医薬品医療機器法はリンク先を持たない。
・旧法はリンク先を持たない。
10.メモ(1)メモの入力保存例規単位でメモを入力できることする。
本文フレーム内に設置された「メモ」ボタンをクリックすると、メモ入力用のポップアップウィンドウが起動する。
入力時にはメモ単位に「削除パスワード」を設定し、各メモに付随する「削除パスワード」および「管理者パスワード」でのみ削除を可能とする。
(2)パスワードのコード形態パスワードは以下の形態とする。
管理者 : 8桁の半角数字担当者の削除パスワード:4~8桁の半角英数字(3)メモ一覧(ア)メモ一覧(例規)15該当例規に付随するメモの一覧を表示する。
一覧の表示項目は以下の通り。
各メモは、一覧上で編集・削除することができる。
(イ)メモ一覧(全体)全ての例規を対象としたメモの一覧を表示する。
各メモは、一覧上で編集・削除することができる。
留意事項)・全文検索の対象外とする。
11.ヘルプ機能納品物件である操作マニュアルをPDF化し、ダウンロードできるようにし、PDFには目次を付ける。
12.データベース更新法令等の追加、改正、廃止などにより、データベースに登録した内容を変更する必要が発生した場合、別途作業にてデータベースを更新する。
以上