【政府調達】入札公告「サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITY ACTION管理システムの機能拡張～」に係る一般競争入札

【政府調達】入札公告「サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITY ACTION管理システムの機能拡張～」に係る一般競争入札 調達情報 トップページ 調達情報 入札 2025年度 【政府調達】入札公告「サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITY ACTION管理システムの機能拡張～」に係る一般競争入札 【政府調達】入札公告「サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITY ACTION管理システムの機能拡張～」に係る一般競争入札 公開日：2026年3月6日 独立行政法人情報処理推進機構理事長 齊藤 裕 次のとおり一般競争入札（総合評価落札方式）に付します。 1．競争入札に付する事項 件名 サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITY ACTION管理システムの機能拡張～ 調達内容等 入札説明書による 履行期限 入札説明書による 入札方法 入札説明書による 2．競争参加資格 予算決算及び会計令（以下「予決令」という。）第70条の規定に該当しない者であること。なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。 予決令第71条の規定に該当しない者であること。 令和7・8・9年度競争参加資格（全省庁統一資格）において「役務の提供等」で、「A」、「B」、「C」又は「D」の等級に格付けされ、関東・甲信越地域の資格を有する者であること。 各省各庁及び政府関係法人等から取引停止又は指名停止処分等を受けていない者（理事長が特に認める場合を含む。）であること。 経営の状況又は信用度が極度に悪化していないと認められる者であり、適正な契約の履行が確保される者であること。 過去3年以内に情報管理の不備を理由に機構から契約を解除されている者ではないこと。 3．入札者の義務 入札者は、当入札説明書及び独立行政法人情報処理推進機構入札心得を了知のうえ、入札に参加しなければならない。 入札者は、当機構が交付する仕様書に基づいて提案書を作成し、これを入札書に添付して入札書等の提出期限内に提出しなければならない。また、開札日の前日までの間において当機構から当該書類に関して説明を求められた場合は、これに応じなければならない。 入札者は、代表者印を押印した秘密保持誓約書（入札説明書【別掲】を参照）を提出した上で、機構から本業務に係る「仕様詳細資料」の貸与を受け、入札説明書6.(2)提出期限までに必ず機構に返却しなければならない。なお、「仕様詳細資料」の交付期間は2026年3月6日（金曜日）から2026年4月16日（木曜日）までの10時00分から17時00分（12時30分～13時30分の間は除く）とする。貸与を希望する者は、事前に入札説明書15.(4)担当部署へ電子メールにより依頼し日時の調整を行うこと。また、交付期間終了後は、いかなる理由があっても貸与しない。 入札者は、「仕様詳細資料」を参考に、実現内容について事前に確認した上で入札に参加しなければならない。（「仕様詳細資料」の貸与を受けない場合は、適合要件を満たさない。） 4．入札説明書 以下から入札説明書及びその他必要書類をダウンロードして下さい。 政府調達入札公告(PDF:185 KB) 入札説明書(PDF:7.1 MB) 入札説明書(Word:6.0 MB) 入札書等記載例(PDF:118 KB) 評価項目一覧(Excel:40 KB) 5．入札書等の提出期間及び提出先 入札書等の提出期間 2026年5月11日（月曜日）から 2026年5月14日（木曜日） 17時00分まで 持参の場合の受付時間は、下記のとおりとする。月曜日から金曜日（祝祭日は除く）10時00分～17時00分（12時30分～13時30分の間は除く）郵送の場合は必着とする。 入札書等の提出先 〒113-6591 東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス 独立行政法人情報処理推進機構 セキュリティセンター リスクマネジメント部 セキュリティ制度グループ 担当 儀部、江島 持参の場合は13階受付にお越しください。 6．開札の日時及び場所 開札の日時 2026年6月1日(月曜日） 11時00分 開札の場所 〒113-6591 東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス独立行政法人情報処理推進機構 7．その他 入札保証金及び契約保証金 全額免除 入札の無効 競争入札に参加する者に必要な資格のない者による入札及び競争入札に参加する者に求められる義務に違反した入札は無効とする。 落札者の決定方法 独立行政法人情報処理推進機構会計規程第29条の規定に基づいて作成された予定価格の制限の範囲内で、当機構が入札説明書で指定する要求事項のうち、必須とした項目の最低限の要求をすべて満たしている提案をした入札者の中から、当機構が定める総合評価の方法をもって落札者を定めるものとする。ただし、落札者となるべき者の入札価格によっては、その者により当該契約の内容に適合した履行がなされないおそれがあると認められるとき、又はその者と契約することが公正な取引の秩序を乱すこととなるおそれがあって著しく不適当であると認められるときは、予定価格の範囲内の価格をもって入札をした他の者のうち、評価の最も高い者を落札者とすることがある。 契約書の作成 要。詳細は入札説明書による。 質問の方法等 質問書（入札説明書に記載の様式）に所定事項を記入の上、電子メールにて提出してください。受付期間については、入札説明書を確認してください。質問に対する回答に時間がかかる場合があるため、余裕をみて提出してください。 お問い合わせ先 入札説明書等に関する問い合わせ先 独立行政法人情報処理推進機構 セキュリティセンター リスクマネジメント部 セキュリティ制度グループ 担当 儀部、江島 E-mail 入札行為に関する問い合わせ先 独立行政法人情報処理推進機構 経営企画センター 財務部 契約グループ 担当 河合 E-mail 更新履歴 2026年3月6日 入札公告を掲載 入札公告次のとおり一般競争入札に付します。 令和8年３月６日独立行政法人情報処理推進機構理事長 齊藤 裕◎調達機関番号 902 ◎所在地番号 13１ 調達内容⑴ 品目分類番号 71、27⑵ 購入等物件名及び数量 サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITY ACTION管理システムの機能拡張～一式⑶ 調達案件の仕様等 入札説明書による。 ⑷ 履行期間 契約締結日から令和９年３月31日まで⑸ 履行場所 仕様書による。 ⑹ 入札方法 入札金額は総価とする。 なお、落札者の決定に当たっては、入札書に記載された金額に10パーセントに相当する額を加算した金額(当該金額に１円未満の端数があるときは、その端数金額を切り捨てるものとする。)をもって落札価格とするので、入札者は消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった金額の110分の100に相当する金額を記入すること。 ２ 競争参加資格⑴ 予算決算及び会計令(以下「予決令」という。)第70条の規定に該当しない者であること。 なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別な理由がある場合に該当する。 ⑵ 予決令第71条の規定に該当しない者であること。 ⑶ 令和７・８・９年度競争参加資格(全省庁統一資格)において「役務の提供等」で、「Ａ」、「Ｂ」、「Ｃ」又は「Ｄ」の等級に格付けされ、関東・甲信越地域の資格を有する者であること。 ⑷ 各省各庁及び政府関係法人等から取引停止又は指名停止処分等を受けていない者(理事長が特に認める場合を含む。)であること。 ⑸ 経営の状況又は信用度が極度に悪化していないと認められる者であり、適正な契約の履行が確保されるものであること。 ⑹ 過去3年以内に情報管理の不備を理由に当機構から契約を解除されている者ではないこと。 ⑺ その他 詳細は入札説明書による。 ３ 入札書の提出場所等(1) 入札説明書等の交付期間、交付場所及び方法① 交付期間：令和８年３月６日(金)から令和８年５月14日(木)まで② 交付場所及び方法：情報処理推進機構ホームページ(https://www.ipa.go.jp/choutatsu/nyusatsu/index.html)からダウンロードする。 ⑵ 入札書等の提出場所、契約条項を示す場所、問い合わせ先〒113－6591東京都文京区本駒込２－28－８ 文京グリーンコートセンターオフィス17階独立行政法人情報処理推進機構 セキュリティセンターリスクマネジメント部 セキュリティ制度グループ 儀部、江島電話 03-5978-7530 電子メール isec-pr-cssp@ipa.go.jp⑶ 入札説明会の日時及び場所入札説明会は実施しない。 ⑷ 入札書等の受領期限 令和８年５月14日(木) 17時00分⑸ 開札の日時及び場所① 日時 令和８年６月１日(月) 11時00分② 場所 情報処理推進機構 13階会議室B４ その他⑴ 契約手続きにおいて使用する言語及び通貨 日本語及び日本国通貨に限る。 ⑵ 入札保証金及び契約保証金 全額免除⑶ 入札の無効 競争入札に参加する者に必要な資格のない者による入札及び競争入札に参加する者に求められる義務に違反した入札は無効とする。 ⑷ 契約書作成の要否 要⑸ 落札者の決定方法 情報処理推進機構会計規程第29条の規定に基づいて作成された予定価格の制限の範囲内で、当機構が入札説明書で指定する要求事項のうち、必須とした項目の最低限の要求をすべて満たしている提案をした入札者の中から、当機構が定める総合評価の方法をもって落札者を定めるものとする。 ⑹ 手続きにおける交渉の有無 無⑺ その他 詳細は入札説明書による。 ５ Summary(1)Official in charge of disbursement of the procuring entity :SAITOU Yutaka, Commissioner, Information-technology PromotionAgency, Japan(2)Classification of the products to be procured : 71, 27(3)Nature and quantity of the services to be required : Building asecurity measures evaluation system to strengthen supply chains-Functional Expansion of the SECURITY ACTION Management System-, 1set. ⑷ Fulfillment period : From the date when contract is concludedthrough 31, March 2027⑸ Fulfillment place : As in the tender manual⑹ Qualifications for participation in the tendering procedures :Suppliers eligible for participating in the proposed tender arethose who shall :① Not come under Article 70 of the Cabinet Order concerning theBudget, Auditing and Accounting. Furthermore, minors, Personunder Conservatorship or Person under Assistance that obtainedthe consent necessary for concluding a contract may be applicableunder cases of special reasons within the said clause. ② Not come under Article 71 of the Cabinet Order concerning theBudget, Auditing and Accounting. ③ Have Grade A, B, C or D in "Offer of service" in the Kanto-Koshinetsu area in terms of the qualification for participatingin tenders by Single qualification for every ministry and agencyin the fiscal years 2025, 2026 and 2027. ④ Not be suspended from transaction by the request of theofficials in charge of contract. ⑤ A person whose business situation or trustworthiness is deemednot to have significantly deteriorated and whose properperformance of a contract can be guaranteed. ⑥ A person whose contract has not been terminated by IPA due toinformation mismanagement within last three years. ⑦ Submit a document of a system to prove their ability to supplythe system concerned and meet our requirements in order to bejudged acceptable by the contracting entity; and provideexplanations on the contents of the above document by request. ⑧ Others : As shown in the tender documentation. ⑺ Time-limit for tender : 5:00 p.m. 14 May 2026⑻ Contact point for the notice : GIBU, EJIMA, Cyber Security SchemePlanning Group, Risk Management Department, IT Security(ISEC),Information-technology Promotion Agency, Japan Bunkyo Green CourtCenter Office 17F 2-28-8 Honkomagome, Bunkyo-ku, Tokyo, Japan 113-6591. TEL 03-5978-7530 E-mail isec-pr-cssp@ipa.go.jp 「サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITY ACTION管理システムの機能拡張～」に係る一般競争入札(総合評価落札方式)入札説明書2026年3月6日目 次Ⅰ．入札説明書.. 3Ⅱ．契約書(案).. 19Ⅲ．仕様書.. 29Ⅳ．入札資料作成要領及び評価手順.. 113Ⅴ．評価項目一覧.. 126Ⅰ．入札説明書独立行政法人情報処理推進機構の請負契約に係る入札公告(2026年3月6日付け公告)に基づく入札については、関係法令並びに独立行政法人情報処理推進機構会計規程及び同入札心得に定めるもののほか下記に定めるところによる。 記1. 競争入札に付する事項(1) 作業の名称 サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITY ACTION管理システムの機能拡張～(2) 作業内容等 別紙仕様書のとおり。 (3) 履行期限 別紙仕様書のとおり。 (4) 入札方法 落札者の決定は総合評価落札方式をもって行うので、① 入札に参加を希望する者(以下「入札者」という。)は「7.(4)提出書類一覧」に記載の提出書類を提出すること。 ② 上記①の提出書類のうち提案書については、入札資料作成要領に従って作成、提出すること。 ③ 上記①の提出書類のうち、入札書については仕様書及び契約書案に定めるところにより、入札金額を見積るものとする。 入札金額は、「サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITY ACTION管理システムの機能拡張～」に関する総価とし、総価には本件業務に係る一切の費用を含むものとする。 ④ 落札決定に当たっては、入札書に記載された金額に当該金額の10パーセントに相当する額を加算した金額(当該金額に1円未満の端数が生じたときは、その端数金額を切捨てるものとする。)をもって落札価格とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を入札書に記載すること。 ⑤ 入札者は、提出した入札書の引き換え、変更又は取り消しをすることはできないものとする。 2. 競争参加資格(1) 予算決算及び会計令(以下「予決令」という。)第70条の規定に該当しない者であること。 なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。 (2) 予決令第71条の規定に該当しない者であること。 (3) 令和7・8・9年度競争参加資格(全省庁統一資格)において「役務の提供等」で、「A」、「B」、「C」又は「D」の等級に格付けされ、関東・甲信越地域の資格を有する者であること。 (4) 各省各庁及び政府関係法人等から取引停止又は指名停止処分等を受けていない者(理事長が特に認める場合を含む。)であること。 (5) 経営の状況又は信用度が極度に悪化していないと認められる者であり、適正な契約の履行が確保される者であること。 (6) 過去3年以内に情報管理の不備を理由に機構から契約を解除されている者ではないこと。 3. 入札者の義務(1) 入札者は、当入札説明書及び独立行政法人情報処理推進機構入札心得を了知のうえ、入札に参加しなければならない。 (2) 入札者は、当機構が交付する仕様書に基づいて提案書を作成し、これを入札書に添付して入札書等の提出期限内に提出しなければならない。 また、開札日の前日までの間において当機構から当該書類に関して説明を求められた場合は、これに応じなければならない。 (3) 入札者は、代表者印を押印した秘密保持誓約書(別掲を参照)を提出した上で、機構から本業務に係る「仕様詳細資料」の貸与を受け、6.(2)提出期限までに必ず機構に返却しなければならない。 なお、「仕様詳細資料」の交付期間は2026年3月6日(金)から2026年4月16日(木)までの10時00分から17時00分(12時30分～13時30分の間は除く)とする。 貸与を希望する者は、事前に15.(4)担当部署へ電子メールにより依頼し日時の調整を行うこと。 また、交付期間終了後は、いかなる理由があっても貸与しない。 (4) 入札者は、「仕様詳細資料」を参考に、実現内容について事前に確認した上で入札に参加しなければならない。 (「仕様詳細資料」の貸与を受けない場合は、適合要件を満たさない。)4. 入札説明会の日時及び場所入札説明会は実施しない。 5. 入札に関する質問の受付等(1) 質問の方法質問書(様式1)に所定事項を記入の上、電子メールにより提出すること。 (2) 受付期間2026年3月6日(金)から2026年4月16日(木) 17時00分まで。 なお、質問に対する回答に時間がかかる場合があるため、余裕をみて提出すること。 (3) 担当部署15.(4)のとおり。 6. 入札参加前に提出する資料サプライチェーン・リスクに係る確認のため、次の所定事項に従い、機器等リスト(案)(以下「資料A」という。)を「仕様詳細資料」貸与時にIPAが指定したクラウド環境の電子スペースへ格納し提出すること。 なお、提出された機器等リストについて、機構がサプライチェーン・リスクに係る懸念が払拭されないと判断した場合には、当該リスクに対応するため、代替品又はリスク低減対策の提出を求めることがあるので、速やかに応じること。 また、貸与した「仕様詳細資料」に添付されている別のExcelシート(以下「資料B」という。)についてもこれらのリストと同時に提出すること(詳細については貸与する「仕様詳細資料」に記載。)。 (1) 受付期間2026年3月6日(金)から2026年4月16日(木)(2) 提出期限2026年4月16日(木) 17時00分上記期限を過ぎた機器等リスト(案)はいかなる理由があっても受け取らない。 (3) 記載内容貸与した「仕様詳細資料」の「入札説明書関連項目」に記載の方針に従うこと。 (4) 提出先15.(4)のとおり。 7. 入札書等の提出方法及び提出期限等(1) 受付期間2026年5月11日(月)から2026年5月14日(木)。 持参の場合の受付時間は、月曜日から金曜日(祝祭日は除く)の10時00分から17時00分(12時30分～13時30分の間は除く)とする。 (2) 提出期限2026年5月14日(木) 17時00分必着。 上記期限を過ぎた入札書等はいかなる理由があっても受け取らない。 (3) 提出先15.(4)のとおり。 (4) 提出書類一覧No. 提出書類 部数① 委任状(代理人に委任する場合) 様式2 1通② 入札書(封緘) 様式3 1通③ 提案書(別紙を含む) －4部(及び後述する電子ファイル)④添付資料(7種類)「Ⅳ.入札資料作成要領及び評価手順」を参照のこと－4部(及び後述する電子ファイル)⑤ 補足資料(任意) －4部(及び後述する電子ファイル)⑥ 評価項目一覧 －4部(及び後述する電子ファイル)⑦ ③～⑥の電子ファイルを格納した電子媒体1 － 1式⑧令和7・8・9年度競争参加資格(全省庁統一資格)における資格審査結果通知書の写し－ 1通⑨ 提案書受理票 様式4 1通(5) 提出方法① 入札書等提出書類を持参により提出する場合入札書を封筒に入れ封緘し、封皮に氏名(法人の場合は商号又は名称)、宛先(15.(4)の担当者名)を記載するとともに「サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITY ACTION管理システムの機能拡張～ 一般競争入札に係る入札書在中」と朱書きし、その他提出書類一式と併せ封筒に入れ封緘し、その封皮に氏名(法人の場合はその商号又は名称)、宛先(15.(4)の担当者名)を記載し、かつ、「サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITY ACTION管理システムの機能拡張～ 一般競争入札に係る提出書類一式在中」と朱書きすること。 ② 入札書等提出書類を郵便等(書留)により提出する場合二重封筒とし、表封筒に「サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITY ACTION管理システムの機能拡張～ 一般競争入札に係る提出書類一式在中」と朱書きし、中封筒の封皮には直接提出する場合と同様とすること。 (6) 提出後① 入札書等提出書類を受理した場合は、提案書受理票を入札者に交付する。 なお、受理した提案書等は評価結果に関わらず返却しない。 ② 技術審査関連資料の取扱いについて提出された技術提案資料について情報公開請求があった場合は、「独立行政法人情報処理推進機構が保有する法人文書の開示請求に対する開示決定等に係る審査基準」に基づき提案者と協議のうえ、開示・非開示を決定いたします。 1 電子媒体以外に、「仕様詳細資料」貸与時にIPAが指定したクラウド環境の電子スペースへの格納も許可する。 ただし、書類提出時までに格納が完了していること。 8. 開札の日時及び場所(1) 開札の日時2026年6月1日(月) 11時00分(2) 開札の場所東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス13階独立行政法人情報処理推進機構 会議室B(3)開札時における審査結果の開示について本調達における技術審査の結果は、開札時に技術審査に合格した応札者それぞれの技術評価の合計点を口頭にて開示します。 9. 入札の無効競争入札に参加する者に必要な資格のない者による入札及び競争入札に参加する者に求められる義務に違反した入札は無効とする。 10. 落札者の決定方法独立行政法人情報処理推進機構会計規程第29条の規定に基づいて作成された予定価格の制限の範囲内で、当機構が入札説明書で指定する要求事項のうち、必須とした項目の最低限の要求をすべて満たしている提案をした入札者の中から、当機構が定める総合評価の方法をもって落札者を定めるものとする。 ただし、落札者となるべき者の入札価格によっては、その者により当該契約の内容に適合した履行がなされないおそれがあると認められるとき、又はその者と契約することが公正な取引の秩序を乱すこととなるおそれがあって著しく不適当であると認められるときは、予定価格の範囲内の価格をもって入札をした他の者のうち、評価の最も高い者を落札者とすることがある。 11. 入札保証金及び契約保証金 全額免除12. 契約書作成の要否 要(Ⅱ．契約書(案)を参照)13. 支払の条件契約代金は、業務の完了後、当機構が適法な支払請求書を受理した日の属する月の翌月末日までに契約金額を支払うものとする。 14. 契約者の氏名並びにその所属先の名称及び所在地〒113-6591 東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス16階独立行政法人情報処理推進機構 理事長 齊藤 裕15. その他(1) 入札者は、提出した証明書等について説明を求められた場合は、自己の責任において速やかに書面をもって説明しなければならない。 (2) 契約に係る情報については、機構ウェブサイトにて機構会計規程等に基づき公表(注)するものとする。 (3) 落札者は、契約締結時までに入札内訳書及び提案書の電子データを提出するものとする。 (4) 入札説明会への参加申込み、仕様書に関する照会先、入札に関する質問の受付、入札書類の提出先〒113-6591東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス17階独立行政法人情報処理推進機構セキュリティセンター リスクマネジメント部 セキュリティ制度グループ担当：儀部、江島TEL：03-5978-7530E-mail：isec-pr-cssp@ipa.go.jpなお、直接提出する場合は、文京グリーンコートセンターオフィス13階の当機構総合受付を訪問すること。 (5) 入札行為に関する照会先独立行政法人情報処理推進機構 経営企画センター 財務部 契約グループ 担当:河合TEL：03-5978-7502E-mail：fa-bid-kt@ipa.go.jp(注) 独立行政法人の事務・事業の見直しの基本方針(平成22年12月7日閣議決定)に基づく契約に係る情報の公表について独立行政法人が行う契約については、「独立行政法人の事務・事業の見直しの基本方針」(平成２２年１２月７日閣議決定)において、独立行政法人と一定の関係を有する法人と契約をする場合には、当該法人への再就職の状況、当該法人との間の取引等の状況について情報を公開するなどの取組を進めるとされているところです。 これに基づき、以下のとおり、当機構との関係に係る情報を当機構のウェブサイトで公表することとしますので、所要の情報の当方への提供及び情報の公表に同意の上で、応札若しくは応募又は契約の締結を行っていただくよう御理解と御協力をお願いいたします。 なお、案件への応札若しくは応募又は契約の締結をもって同意されたものとみなさせていただきますので、ご了知願います。 (１)公表の対象となる契約先次のいずれにも該当する契約先① 当機構において役員を経験した者(役員経験者)が再就職していること又は課長相当職以上の職を経験した者(課長相当職以上経験者)が役員、顧問等として再就職していること② 当機構との間の取引高が、総売上高又は事業収入の３分の１以上を占めていること※ 予定価格が一定の金額を超えない契約や光熱水費の支出に係る契約等は対象外(２)公表する情報上記に該当する契約先について、契約ごとに、物品役務等の名称及び数量、契約締結日、契約先の名称、契約金額等と併せ、次に掲げる情報を公表します。 ① 当機構の役員経験者及び課長相当職以上経験者(当機構ＯＢ)の人数、職名及び当機構における最終職名② 当機構との間の取引高③ 総売上高又は事業収入に占める当機構との間の取引高の割合が、次の区分のいずれかに該当する旨３分の１以上２分の１未満、２分の１以上３分の２未満又は３分の２以上④ 一者応札又は一者応募である場合はその旨(３)当方に提供していただく情報① 契約締結日時点で在職している当機構ＯＢに係る情報(人数、現在の職名及び当機構における最終職名等)② 直近の事業年度における総売上高又は事業収入及び当機構との間の取引高(４)公表日契約締結日の翌日から起算して原則として７２日以内(4月に締結した契約については原則として93日以内)(５)実施時期平成２３年７月１日以降の一般競争入札・企画競争・公募公告に係る契約及び平成２３年７月１日以降に契約を締結した随意契約について適用します。 なお、応札若しくは応募又は契約の締結を行ったにもかかわらず情報提供等の協力をしていただけない相手方については、その名称等を公表させていただくことがあり得ますので、ご了知願います。 【別掲】2026年 月 日独立行政法人情報処理推進機構理事長 齊藤 裕 殿秘密保持誓約書当社は、「サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITYACTION管理システムの機能拡張～」に関する手続において、貴機構から貸与を許可された情報のうち、公知の情報以外(以下「秘密情報」という。)の取扱いに関しては、下記の事項を厳守することを、ここに誓約致します。 記１．秘密情報を本入札に関係する役職員以外の者に対して開示又は漏洩致しません。 ２．秘密情報は本入札のためのみに利用致します。 ３．当社が秘密情報を外部に開示又は漏洩したことにより、貴機構が損害を被った場合には、損害賠償等について真摯に対応致します。 以上(住所)(会社名)(代表者名) 印(様 式 1)2026年 月 日独立行政法人情報処理推進機構セキュリティセンター リスクマネジメント部 セキュリティ制度グループ 担当者殿質問書「サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITY ACTION 管理システムの機能拡張～」に関する質問書を提出します。 法人名所属部署名担当者名電話番号E-mail＜質問箇所について＞資料名 例) ○○書ページ 例) P○項目名 例) ○○概要質問内容備考1．質問は、本様式1 枚につき1 問とし、簡潔にまとめて記載すること。 2．質問及び回答は、IPAのホームページに公表する。 (電話等による個別回答はしない。)また、質問者自身の既得情報(特殊な技術、ノウハウ等)、個人情報に関する内容については、公表しない。 質問書枚数枚中枚目(様 式 2)2026年 月 日独立行政法人情報処理推進機構 理事長 殿所 在 地商号又は名称代表者氏名 印(又は代理人)委 任 状私は、下記の者を代理人と定め、「サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITY ACTION 管理システムの機能拡張～」の入札に関する一切の権限を委任します。 代 理 人(又は復代理人)所 在 地所属・役職名氏 名使用印鑑(様 式 3)2026年 月 日独立行政法人情報処理推進機構 理事長 殿所 在 地商号又は名称代表者氏名 印(又は代理人、復代理人氏名)印入 札 書入札金額 ￥ (税抜)(※ 下記件名に係る費用の総価を記載すること)件 名 「サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITY ACTION管理システムの機能拡張～」契約条項の内容及び貴機構入札心得を承知のうえ、入札いたします。 (様 式 4)提案書受理票(控)提案書受理番号件 名：「サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITY ACTION管理システムの機能拡張～」【入札者記載欄】提出年月日：2026年 月 日法 人 名：所 在 地： 〒担 当 者： 所属・役職名氏名TEL FAXE-Mail【ＩＰＡ担当者使用欄】No. 提出書類 部数 有無 No. 提出書類 部数 有無① 委任状(委任する場合) 1通 ② 入札書(封緘) 1通③ 提案書(別紙を含む) 4部 ④ 添付資料(7種類) 4部⑤ 補足資料(任意) 4部 ⑥ 評価項目一覧 4部⑦ ③～⑥の電子ファイルを格納した電子媒体等1式 ⑧ 資格審査結果通知書の写し1通⑨ 提案書受理票 (本紙)切り取り提案書受理番号提案書受理票2026年 月 日件 名 「サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITYACTION管理システムの機能拡張～」法人名(入札者が記載)：担当者名(入札者が記載)： 殿貴殿から提出された標記提案書を受理しました。 独立行政法人情報処理推進機構セキュリティセンター リスクマネジメント部 セキュリティ制度グループ担当者名： ㊞独 立 行 政 法 人 情 報 処 理 推 進 機 構 入 札 心 得(趣 旨)第1条 独立行政法人情報処理推進機構(以下「機構」という。)の契約に係る一般競争又は指名競争(以下「競争」という。)を行う場合において、入札者が熟知し、かつ遵守しなければならない事項は、関係法令、機構会計規程及び入札説明書に定めるもののほか、この心得に定めるものとする。 (仕様書等)第2条 入札者は、仕様書、図面、契約書案及び添付書類を熟読のうえ入札しなければならない。 2 入札者は、前項の書類について疑義があるときは、関係職員に説明を求めることができる。 3 入札者は、入札後、第1項の書類についての不明を理由として異議を申し立てることができない。 (入札保証金及び契約保証金)第3条 入札保証金及び契約保証金は、全額免除する。 (入札の方法)第4条 入札者は、別紙様式による入札書を直接又は郵便等で提出しなければならない。 (入札書の記載)第 5 条 落札決定に当たっては、入札書に記載された金額に当該金額の 10 パーセントに相当する額を加算した金額をもって落札価格とするので、入札者は消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を入札書に記載すること。 (直接入札)第6条 直接入札を行う場合は、入札書を封筒に入れ、封緘のうえ入札者の氏名を表記し、予め指定された時刻までに契約担当職員等に提出しなければならない。 この場合において、入札書とは別に提案書及び証書等の書類を添付する必要のある入札にあっては、入札書と併せてこれら書類を提出しなければならない。 2 入札者は、代理人をして入札させるときは、その委任状を持参させなければならない。 (郵便等入札)第7条 郵便等入札を行う場合には、二重封筒とし、入札書を中封筒に入れ、封緘のうえ入札者の氏名、宛先、及び入札件名を表記し、予め指定された時刻までに到着するように契約担当職員等あて書留で提出しなければならない。 この場合において、入札書とは別に提案書及び証書等の書類を添付する必要のある入札にあっては、入札書と併せてこれら書類を提出しなければならない。 2 入札者は、代理人をして入札させるときは、その委任状を同封しなければならない。 (代理人の制限)第8条 入札者又はその代理人は、当該入札に対する他の代理をすることができない。 2 入札者は、予算決算及び会計令(昭和22年勅令第165号、以下「予決令」という。)第71条第1項各号の一に該当すると認められる者を競争に参加することが出来ない期間は入札代理人とすることができない。 (条件付きの入札)第9条 予決令第72条第1項に規定する一般競争に係る資格審査の申請を行ったものは、競争に参加する者に必要な資格を有すると認められること又は指名競争の場合にあっては指名されることを条件に入札書を提出することができる。 この場合において、当該資格審査申請書の審査が開札日までに終了しないとき又は資格を有すると認められなかったとき若しくは指名されなかったときは、当該入札書は落札の対象としない。 (入札の取り止め等)第 10 条 入札参加者が連合又は不穏の行動をなす場合において、入札を公正に執行することができないと認められるときは、当該入札者を入札に参加させず又は入札の執行を延期し、若しくは取り止めることがある。 (入札の無効)第11条 次の各号の一に該当する入札は、無効とする。 (1) 競争に参加する資格を有しない者による入札(2) 指名競争入札において、指名通知を受けていない者による入札(3) 委任状を持参しない代理人による入札(4) 記名押印(外国人又は外国法人にあっては、本人又は代表者の署名をもって代えることができる。)を欠く入札(5) 金額を訂正した入札(6) 誤字、脱字等により意思表示が不明瞭である入札(7) 明らかに連合によると認められる入札(8) 同一事項の入札について他人の代理人を兼ね又は2者以上の代理をした者の入札(9) 入札者に求められる義務を満たすことを証明する必要のある入札にあっては、証明書が契約担当職員等の審査の結果採用されなかった入札(10) 入札書受領期限までに到着しない入札(11) 暴力団排除に関する誓約事項(別記)について、虚偽が認められた入札(12) その他入札に関する条件に違反した入札(開 札)第12条 開札には、入札者又は代理人を立ち会わせて行うものとする。 ただし、入札者又は代理人が立会わない場合は、入札執行事務に関係のない職員を立会わせて行うものとする。 (調査基準価格、低入札価格調査制度)第13条 工事その他の請負契約(予定価格が1千万円を超えるものに限る。)について機構会計規程細則第 26 条の 3 第 1 項に規定する相手方となるべき者の申込みに係る価格によっては、その者により当該契約の内容に適合した履行がされないこととなるおそれがあると認められる場合の基準は次の各号に定める契約の種類ごとに当該各号に定める額(以下「調査基準価格」という。)に満たない場合とする。 (1) 工事の請負契約 その者の申込みに係る価格が契約ごとに3分の2から10分の8.5の範囲で契約担当職員等の定める割合を予定価格に乗じて得た額(2) 前号以外の請負契約 その者の申込みに係る価格が10分の6を予定価格に乗じて得た額2 調査基準価格に満たない価格をもって入札(以下「低入札」という。)した者は、事後の資料提出及び契約担当職員等が指定した日時及び場所で実施するヒアリング等(以下「低入札価格調査」という。)に協力しなければならない。 3 低入札価格調査は、入札理由、入札価格の積算内訳、手持工事等の状況、履行体制、国及び地方公共団体等における契約の履行状況等について実施する。 (落札者の決定)第14条 一般競争入札最低価格落札方式(以下「最低価格落札方式」という。)にあっては、有効な入札を行った者のうち、予定価格の制限の範囲内で最低の価格をもって入札した者を落札者とする。 以下「独占禁止法」という。 )第 3 条又は第 8 条第 1 号の規定に違反する行為を行ったことにより、次のイからハまでのいずれかに該当することとなったときイ 独占禁止法第61条第1項に規定する排除措置命令が確定したときロ 独占禁止法第62条第1項に規定する課徴金納付命令が確定したときハ 独占禁止法第7条の4第7項又は第7条の7第3項の課徴金納付命令を命じない旨の通知があったとき二 本契約に関し、乙の独占禁止法第89条第1項又は第95条第1項第1号に規定する刑が確定したとき三 本契約に関し、乙(法人の場合にあっては、その役員又は使用人を含む。)の刑法(明治40年法律第45号)第96条の6又は第198条に規定する刑が確定したとき(談合等の不正行為に係る通知文書の写しの提出)第2条 乙は、前条第1号イからハまでのいずれかに該当することとなったときは、速やかに、次の各号の文書のいずれかの写しを甲に提出しなければならない。 一 独占禁止法第61条第1項の排除措置命令書二 独占禁止法第62条第1項の課徴金納付命令書三 独占禁止法第7条の4第7項又は第7条の7第3項の課徴金納付命令を命じない旨の通知文書(談合等の不正行為による損害の賠償)第3条 乙が、本契約に関し、第1条の各号のいずれかに該当したときは、甲が本契約を解除するか否かにかかわらず、かつ、甲が損害の発生及び損害額を立証することを要することなく、乙は、契約金額(本契約締結後、契約金額の変更があった場合には、変更後の契約金額)の100分の10に相当する金額(その金額に100円未満の端数があるときは、その端数を切り捨てた金額)を違約金として甲の指定する期間内に支払わなければならない。 2 前項の規定は、本契約による履行が完了した後も適用するものとする。 3 第1項に規定する場合において、乙が事業者団体であり、既に解散しているときは、甲は、乙の代表者であった者又は構成員であった者に違約金の支払を請求することができる。 この場合において、乙の代表者であった者及び構成員であった者は、連帯して支払わなければならない。 4 第1項の規定は、甲に生じた実際の損害額が同項に規定する違約金の金額を超える場合において、甲がその超える分について乙に対し損害賠償金を請求することを妨げるものではない。 5 乙が、第1項の違約金及び前項の損害賠償金を甲が指定する期間内に支払わないときは、乙は、当該期間を経過した日から支払をする日までの日数に応じ、年3パーセントの割合で計算した金額の遅延利息を甲に支払わなければならない。 (暴力団関与の属性要件に基づく契約解除)第4条 甲は、乙が次の各号の一に該当すると認められるときは、何らの催告を要せず、本契約を解除することができる。 一 法人等(個人、法人又は団体をいう。)が、暴力団(暴力団員による不当な行為の防止等に関する法律(平成3年法律第77号)第2条第2号に規定する暴力団をいう。 以下同じ。 )であるとき又は法人等の役員等(個人である場合はその者、法人である場合は役員又は支店若しくは営業所(常時契約を締結する事務所をいう。)の代表者、団体である場合は代表者、理事等、その他経営に実質的に関与している者をいう。 以下同じ。 )が、暴力団員(同法第2条第6号に規定する暴力団員をいう。以下同じ。)であるとき二 役員等が、自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもって、暴力団又は暴力団員を利用するなどしているとき三 役員等が、暴力団又は暴力団員に対して、資金等を供給し、又は便宜を供与するなど直接的あるいは積極的に暴力団の維持、運営に協力し、若しくは関与しているとき四 役員等が、暴力団又は暴力団員であることを知りながらこれと社会的に非難されるべき関係を有しているとき(再請負契約等に関する契約解除)第5条 乙は、本契約に関する再請負先等(再請負先(下請が数次にわたるときは、すべての再請負先を含む。)並びに自己、再請負先が当該契約に関連して第三者と何らかの個別契約を締結する場合の当該第三者をいう。 以下同じ。 )が解除対象者(前条に規定する要件に該当する者をいう。以下同じ。)であることが判明したときは、直ちに当該再請負先等との契約を解除し、又は再請負先等に対し解除対象者との契約を解除させるようにしなければならない。 2 甲は、乙が再請負先等が解除対象者であることを知りながら契約し、若しくは再請負先等の契約を承認したとき、又は正当な理由がないのに前項の規定に反して当該再請負先等との契約を解除せず、若しくは再請負先等に対し契約を解除させるための措置を講じないときは、本契約を解除することができる。 (損害賠償)第6条 甲は、第4条又は前条第2項の規定により本契約を解除した場合は、これにより乙に生じた損害について、何ら賠償ないし補償することは要しない。 2 乙は、甲が第4条又は前条第2項の規定により本契約を解除した場合において、甲に損害が生じたときは、その損害を賠償するものとする。 3 乙が、本契約に関し、第4条又は前条第2項の規定に該当したときは、甲が本契約を解除するか否かにかかわらず、かつ、甲が損害の発生及び損害額を立証することを要することなく、乙は、契約金額(本契約締結後、契約金額の変更があった場合には、変更後の契約金額)の100分の10に相当する金額(その金額に100円未満の端数があるときは、その端数を切り捨てた金額)を違約金として甲の指定する期間内に支払わなければならない。 4 前項の規定は、本契約による履行が完了した後も適用するものとする。 5 第2項に規定する場合において、乙が事業者団体であり、既に解散しているときは、甲は、乙の代表者であった者又は構成員であった者に違約金の支払を請求することができる。 この場合において、乙の代表者であった者及び構成員であった者は、連帯して支払わなければならない。 6 第3項の規定は、甲に生じた実際の損害額が同項に規定する違約金の金額を超える場合において、甲がその超える分について乙に対し損害賠償金を請求することを妨げるものではない。 7 乙が、第3項の違約金及び前項の損害賠償金を甲が指定する期間内に支払わないときは、乙は、当該期間を経過した日から支払をする日までの日数に応じ、年3パーセントの割合で計算した金額の遅延利息を甲に支払わなければならない。 (不当介入に関する通報・報告)第7条 乙は、本契約に関して、自ら又は再請負先等が、暴力団、暴力団員、暴力団関係者等の反社会的勢力から不当要求又は業務妨害等の不当介入(以下「不当介入」という。 )を受けた場合は、これを拒否し、又は再請負先等をして、これを拒否させるとともに、速やかに不当介入の事実を甲に報告するとともに警察への通報及び捜査上必要な協力を行うものとする。 本契約の締結を証するため、本契約書2通を作成し、双方記名押印の上、甲、乙それぞれ1通を保有する。 2026年○月○日甲 東京都文京区本駒込二丁目28番8号独立行政法人情報処理推進機構理事長 齊藤 裕乙 ○○県○○市○○町○丁目○番○○号株式会社○○○○○○○代表取締役 ○○ ○○(別添)個人情報の取扱いに関する特則(定義)第1条 本特則において、「個人情報」とは、業務に関する情報のうち、個人に関する情報であって、当該情報に含まれる記述、個人別に付された番号、記号その他の符号又は画像もしくは音声により当該個人を識別することのできるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できるものを含む。)をいい、秘密であるか否かを問わない。 以下各条において、「当該個人」を「情報主体」という。 (責任者の選任)第2条 乙は、個人情報を取扱う場合において、個人情報の責任者を選任して甲に届け出る。 2 乙は、第1項により選任された責任者に変更がある場合は、直ちに甲に届け出る。 (個人情報の収集)第3条 乙は、業務遂行のため自ら個人情報を収集するときは、「個人情報の保護に関する法律」その他の法令に従い、適切且つ公正な手段により収集するものとする。 (開示・提供の禁止)第4条 乙は､個人情報の開示・提供の防止に必要な措置を講じるとともに、甲の事前の書面による承諾なしに、第三者(情報主体を含む)に開示又は提供してはならない。 ただし、法令又は強制力ある官署の命令に従う場合を除く。 2 乙は、業務に従事する従業員以外の者に、個人情報を取り扱わせてはならない。 3 乙は、業務に従事する従業員のうち個人情報を取り扱う従業員に対し、その在職中及びその退職後においても個人情報を他人に開示・提供しない旨の誓約書を提出させるとともに、随時の研修・注意喚起等を実施してこれを厳正に遵守させるものとする。 (目的外使用の禁止)第5条 乙は､個人情報を業務遂行以外のいかなる目的にも使用してはならない。 (複写等の制限)第 6 条 乙は､甲の事前の書面による承諾を得ることなしに、個人情報を複写又は複製してはならない。 ただし、業務遂行上必要最小限の範囲で行う複写又は複製については、この限りではない。 (個人情報の管理)第7条 乙は､個人情報を取り扱うにあたり、本特則第4条所定の防止措置に加えて、個人情報に対する不正アクセスまたは個人情報の紛失、破壊、改ざん、漏えい等のリスクに対し、合理的な安全対策を講じなければならない。 2 乙は、前項に従って講じた措置を、遅滞なく甲に書面で報告するものとする。 これを変更した場合も同様とする。 3 甲は、乙に事前に通知の上乙の事業所に立入り、乙における個人情報の管理状況を調査することができる。 4 前三項に関して甲が別途に管理方法を指示するときは、乙は、これに従わなければならない。 5 乙は、業務に関して保管する個人情報(甲から預託を受け、或いは乙自ら収集したものを含む)について甲から開示・提供を求められ、訂正・追加・削除を求められ、或いは業務への利用の停止を求められた場合、直ちに且つ無償で、これに従わなければならない。 (返還等)第8条 乙は、甲から要請があったとき、又は業務が終了(本契約解除の場合を含む)したときは、個人情報が含まれるすべての物件(これを複写、複製したものを含む。)を直ちに甲に返還し、又は引き渡すとともに、乙のコンピュータ等に登録された個人情報のデータを消去して復元不可能な状態とし、その旨を甲に報告しなければならない。 ただし、甲から別途に指示があるときは、これに従うものとする。 2 乙は、甲の指示により個人情報が含まれる物件を廃棄するときは、個人情報が判別できないよう必要な処置を施した上で廃棄しなければならない。 (記録)第9条 乙は、個人情報の受領、管理、使用、訂正、追加、削除、開示、提供、複製、返還、消去及び廃棄についての記録を作成し、甲から要求があった場合は、当該記録を提出し、必要な報告を行うものとする。 2 乙は、前項の記録を業務の終了後5年間保存しなければならない。 (再請負)第 10 条 乙が甲の承諾を得て業務を第三者に再請負する場合は、十分な個人情報の保護水準を満たす再請負先を選定するとともに、当該再請負先との間で個人情報保護の観点から見て本特則と同等以上の内容の契約を締結しなければならない。 この場合、乙は、甲から要求を受けたときは、当該契約書面の写しを甲に提出しなければならない。 2 前項の場合といえども、再請負先の行為を乙の行為とみなし、乙は、本特則に基づき乙が負担する義務を免れない。 (事故)第11条 乙において個人情報に対する不正アクセスまたは個人情報の紛失、破壊、改ざん、漏えい等の事故が発生したときは、当該事故の発生原因の如何にかかわらず、乙は、ただちにその旨を甲に報告し、甲の指示に従って、当該事故の拡大防止や収拾・解決のために直ちに応急措置を講じるものとする。 なお、当該措置を講じた後ただちに当該事故及び応急措置の報告並びに事故再発防止策を書面により甲に提示しなければならない。 2 前項の事故が乙の本特則の違反に起因する場合において、甲が情報主体又は甲の顧客等から損害賠償請求その他の請求を受けたときは、甲は、乙に対し、その解決のために要した費用(弁護士費用を含むがこれに限定されない)を求償することができる。 なお、当該求償権の行使は、甲の乙に対する損害賠償請求権の行使を妨げるものではない。 3 第1項の事故が乙の本特則の違反に起因する場合は、本契約が解除される場合を除き、乙は、前二項のほか、当該事故の善後策として必要な措置について、甲の別途の指示に従うものとする。 以上Ⅲ．仕様書「サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITY ACTION管理システムの機能拡張～」(仕 様 書)目次1.概要.. 321.1 本システムの目的.. 321.2 用語の定義.. 341.3 対象業務の概要.. 352. 構築方針.. 362.1 アーキテクチャ.. 362.2 構築手法.. 372.3 システム設計.. 373. 構築範囲.. 373.1 作業範囲.. 373.2 環境.. 373.3 成果物.. 373.4 スケジュール.. 393.5 IPAと請負者の役割と責任.. 403.6 納入要件.. 423.7 検収要件.. 424. 業務要件(案).. 434.1 ステータス.. 434.2 公開サイト.. 464.3 内部事務サイト.. 575. 機能要件(案).. 825.1 機能要件.. 825.2 画面要件：「SECURITY ACTION管理システム」の実装に準拠.. 835.3 画面遷移(案).. 835.4 情報登録項目(案).. 1026. 非機能要件.. 1026.1 信頼性.. 1026.2 拡張性.. 1026.3 上位互換性.. 1026.4 システム中立性.. 1026.5 事業継続性.. 1026.6 規模・性能.. 1026.7 セキュリティ.. 1026.8 ユーザビリティおよびアクセシビリティ.. 1036.9 環境構築.. 1036.10 教育.. 1036.11 運用・保守.. 1037. システム稼働環境の要件.. 1047.1 稼働環境.. 1047.2 全体構成.. 1047.3 全体要件.. 1048. テスト要件.. 1058.1 テスト方針.. 1058.2 テスト計画の策定.. 1058.3 テスト結果報告.. 1058.4 テスト方法.. 1068.5 テストデータ.. 1069. プロジェクト管理に関する要件.. 1079.1 プロジェクトの体制.. 1079.2 情報管理体制.. 1089.3 スケジュール管理.. 1099.4 品質管理およびリスク管理.. 1099.5 課題管理.. 1109.6 コミュニケーション管理.. 1109.7 その他.. 110はじめに近年、サプライチェーンを通じた情報漏えい・事業継続に関するインシデントが頻発している。 その対策として、政府や重要インフラ企業のみならずその取引先に対しても適切なセキュリティ対策を課す必要がある。 しかし、発注企業にとっては、正しいセキュリティ対策が取引先でなされているか不明確であり、受注企業にとっては(特に中小企業を中心に)過度な負担につながっている。 結果として、サプライチェーン全体のセキュリティ底上げにつながっていない。 そこで、企業がより一層のセキュリティ対策を講じるための基準を提示し、対策状況を可視化するため「サプライチェーン強化に向けたセキュリティ対策評価制度」の準備を進めている。 本制度の運営主体は独立行政法人 情報処理推進機構(以下、「IPA」という。)であり、申請・登録をIPAにて実施する。 1.概要1.1 本システムの目的本制度では、サプライチェーンにおけるリスクを対象にした上で、各企業の立ち位置に応じて必要なセキュリティ対策を提示するため、複数のセキュリティ対策の段階★を設けています。 こうした段階を設けることにより、特に、限られたリソースの中で自社のリスクを踏まえてセキュリティ対策を行うことが困難な中小企業を中心に、サプライチェーンに属するすべての企業が、容易かつ適切に必要なセキュリティ対策を決定できるようになることが期待されます。 本制度の活用促進を通じて、取引先へのサイバー攻撃を起因とした不正侵入等のリスクや製品・サービスの提供が途絶えるリスクの軽減を図り、サプライチェーン全体のセキュリティ対策水準を向上させることが、本制度の目的です2。 具体的には、2社間の取引契約等において、発注元企業が、委託先企業側に適切な段階★を提示し、示された対策を促すとともに実施状況を確認することを想定しています。 本制度では、以下の3つのセキュリティ対策の段階(★)を設けることを予定しています。 3 ★3：全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として、基礎的なシステム防御策と体制整備を中心に実施する段階(専門家確認付き自己評価4) ★4：サプライチェーン企業等が標準的に目指すべきセキュリティ対策として、組織ガバナンス・取引先管理、システム防御・検知及びインシデント対応等包括的な対策を実施する段階(第三者評価5) ★56：サプライチェーン企業等が到達点として目指すべき対策として、国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施する段階(第三者評価5 above5)2 本制度は、企業のセキュリティ対策への対応状況を可視化するものであり、事業者のセキュリティ対策レベルを競わせることを目的としたもの(格付け制度等)ではありません。 3 引用元：https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html4 ★取得を希望する組織が自ら実施した評価の結果について、社内外のセキュリティ専門家による確認及び助言を経て、当該組織の評価結果として確定させることをいいます。 5 ★取得を希望する組織が自ら実施した評価の結果について、当該組織以外の組織(評価機関)による評価等を経て、評価結果として確定させることをいいます。 6 令和8年度以降、対策基準や評価スキームの具体化の検討を予定しています。 本調達では構築対象外です。 (注)上位の段階はそれ以下の段階で求められる事項を包括するため、例えば、★3を事前に取得していなければ★4を取得できないという関係とはなりません。 上記の情報セキュリティ対策の取組段階に応じて評価を受け申請する。 提出された申請はIPAにて内容を確認しその結果を登録する。 IPAが運営しているもう一つの制度である「SECURITY ACTION」では中小企業自らが、情報セキュリティ対策に取り組むことを自己宣言する制度であり、安全・安心なIT社会を実現するために創設され、その実施・推進をIPAが担っている。 「SECURITY ACTION」制度を管理するためのシステムは、SaaS「d-Gov」により構築され2026年4月1日より運用が開始される。 「サプライチェーン強化に向けたセキュリティ対策評価制度」と「SECURITY ACTION」では、実施業務に共通性がありデータ連携による効率化も可能なため、SaaS「d-Gov」にて構築された「SECURITY ACTION管理システム」を拡張し、カスタマイズして構築する方法を採用することが最も効率的で有効であると判断した。 これにより「SECURITY ACTION管理システム」で利用しているサービス部分を本システムに再利用できるだけでなく、スピーディに安全で、利便性の良いシステムを安価に構築することができる。 なお、再利用可能な機能等については、「4．業務要件(案)」以降に記載する。 本調達では2026年6月よりシステム構築を開始し、2027年1月よりシステムの運用・保守を実施する。 1.2 用語の定義表1 用語説明一覧No. 用語 定義1. サプライチェーン強化に向けたセキュリティ対策評価制度システム本プロジェクトにて、拡張構築されるシステムの総称。 本書で「本システム」と記載している場合は、サプライチェーン強化に向けたセキュリティ対策評価制度システムを指す。 2. サプライチェーン強化に向けたセキュリティ対策評価制度サプライチェーンを通じた情報漏えい・事業継続に関するインシデントが頻発しており、その対策として企業がより一層のセキュリティ対策を講じるための基準を提示し、対策状況を可視化するための制度。 73. SECURITYACTION管理システム前プロジェクトにて構築された「SECURITY ACTION」制度の申請受付システムのこと。 4. SECURITY ACTION自己宣言制度中小企業自らが、情報セキュリティ対策に取り組むことを自己宣言する制度であり、取り組み目標に応じてSECURITY ACTION「一つ星」「二つ星」を宣言することができる。 85. SaaS(Softwareas a Service)利用者に、特定の業務系のアプリケーション、コミュニケーション等の機能、運用管理系の機能、構築系の機能、セキュリティ系の機能等がサービスとして提供されるもの。 6. d-Gov SECURITY ACTION管理システムが利用しているSaaS。 案件ごとに要件が異なる行政の実務を、専用環境×カスタマイズで安全・迅速にデジタル化。 現場の運用に合わせてWebサイトプラットフォームを提供できる。 本プロジェクトでも「d-Gov」を拡張して、システム構築を行う。 7. GビズID デジタル庁発行の事業者向けID。 GビズIDは、すべての事業者を対象とした共通認証システム。 9アカウントを作成すると、複数の行政サービスにログインでき業務上の電子届出や申請に使用できる。 本システムでもログインにて利用する。 8. 申請・登録事業者 本システムにて申請・登録を行った事業者のこと。 9. IPA職員 IPA事務担当者のこと。 10. IPA管理者 システムを管理する者のこと。 11. 登録事業者ID サプライチェーン強化に向けたセキュリティ対策評価制度にて、申請・登録を行った事業者に発行される固有の文字列。 12. 一般利用者 本システムで構築されるサイトを利用する者全てのこと。 ただし、管理するIPA を除く。 7 https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html8 https://www.ipa.go.jp/security/security-action/9 https://gbiz-id.go.jp/top/1.3 対象業務の概要「本システム」の対象業務範囲を以下に示す。 図1 システム概要「サプライチェーン強化に向けたセキュリティ対策評価制度」の申請・登録事業者の申請・登録・参照・更新・変更・削除および検索を提供できるようにSaaS「d-Gov」への必要なカスタマイズを実施する事で、以下の事を実現する。 ・ 事業者が自ら申請・登録などの各種申請を行える。 ・ サイト利用者に、登録事業者やセキュリティ専門家、評価機関などの情報検索を提供する。 ・ IPA事務局業務の管理業務効率化をはかる。 ・ 必要に応じて「SECURITY ACTION管理システム」の軽微な変更も実施する。 なお、「SECURITY ACTION管理システム」の調達に関する入札関連資料は、IPAのWebサイトから入手できる。 ・ 案件名：【政府調達】入札公告「SECURITY ACTION管理システムの構築」に係る一般競争入札1010 https://www.ipa.go.jp/choutatsu/nyusatsu/2025/nl10bi000000isu9-att/nyusatsu20250704.pdf2. 構築方針本プロジェクトでは、「SECURITY ACTION管理システム」にて利用しているSaaS「d-Gov」を利用した拡張による構築である。 拡張の概要としては、「SECURITY ACTION管理システム」が動作する別環境を作成し、名称等を「サプライチェーン強化に向けたセキュリティ対策評価制度システム」用に変更し、必要に応じて微修正を行う。 また、「ステータス管理機能」や「セキュリティ専門家・評価機関・技術検証事業者登録管理機能」を追加する。 なお、本システムでは外部組織との「API連携機能」は不要である。 その上で、「SECURITY ACTION管理システム」構築時にも示した方針を以下の「2.1」から「2.3」にそれぞれ示す。 もちろん、本システムでも満たすべき方針である。 図2 各システムイメージ2.1 アーキテクチャ(1) 「政府機関等のサイバーセキュリティ対策のための統一基準群(令和7年度版)11」および「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針12」に基づき、クラウド・バイ・デフォルト原則に基づいた検討を行った結果、構築量削減の観点やそれに伴うコスト削減、短期間での安全な立ち上げの観点から、本システムの構築において、SaaS利用を原則とし、必要最低限のカスタマイズでのサービス実現を目指すものとする。 (2) クラウドサービス(SaaS)の利用については、「ISMAP クラウドサービスリスト13」又は「ISMAP-LIUクラウドサービスリスト14」(以下、「ISMAP等クラウドサービスリスト」という。)に登録されたものを利用することを原則とする。 ISMAP 等クラウドサービスリストに未登録である場合は、以下のいずれかの条件を満たすサービスを採用すること。  現在申請中でISMAPクラウドサービスリストに掲載される予定があり、その申請時期が明確に示されていること。  「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針12」の「3.1クラウドサービスの選択」で示されている、政府機関等に求められている条件に対応していること。 (3) 原則として準拠法については日本法とし、クラウドサービスの利用契約に関連して生じる一切の紛争は、日本の地方裁判所を専属的合意管轄裁判所とするクラウドサービスを選択すること。 11 https://www.cyber.go.jp/policy/group/general/kijun.html12 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/a612d406/20250619_resources_standard_guidelines_guideline_08.pdf13 https://www.ismap.go.jp/csm?id=cloud_service_list14 https://www.ismap.go.jp/csm?id=cloud_service_list_liu2.2 構築手法(1) 構築手法は定義しないものとする。 機能により最適な構築手法を提案の上、IPA と協議し、決定すること。 (2) いずれの手法であっても、実装した機能の仕様のドキュメント(要件確認書、カスタマイズ設計書)を整備すること。 ドキュメント形式は問わないが、SaaS利用のための設定内容やカスタマイズ部分の仕様および詳細、プロジェクト管理やテスト工程で実施した内容等を網羅するものとし、後の運用保守事業者などが俯瞰して仕様を把握できるようなものであること。 2.3 システム設計(1) 本システムは、クラウドサービスのSaaS利用を原則とし、SaaSの提供サービス・機能を最大限活用するようにすること。 特に、構築量削減、費用対効果、信頼性、拡張性等に寄与するクラウドサービスを選定すること。 ① 実行基盤、監視(ハードウェアの稼働、性能、エラー)など、クラウドサービスを最大限に活用することで、業務機能に注力する。 ② セキュリティ対策についても、提案書にて示すこと。 ③ 監視は本仕様書に記載されている機能を有し、必要に応じて順次拡大できる仕組みとする。 3. 構築範囲3.1 作業範囲(1) 本書で記述する要件を満たすシステム構築に係る、要件確認、カスタマイズ設計、設定等の工程における作業、システムテスト等の各種テスト、IPA受入テスト支援や脆弱性診断対応、IPA担当者への教育・訓練、環境構築、初期データセットアップ等の作業(2) プロジェクト管理、課題管理、リスク管理等のプロジェクト推進に関する作業(3) 成果物およびプロジェクト管理に関する課題管理票、議事録等のドキュメント作成に関する作業(4) 2027年1月から3月末までの運用・保守業務(5) ベンダー引き継ぎなどに関する作業3.2 環境(1) システム構築および運用・保守に必要な作業場所、機器設置場所及び備品・消耗品を自ら用意すること。 (2) 作業場所の入退室管理、作業場所内での機器、情報の取り扱い等については、請負者が責任を持って管理すること。 (3) 要件および仕様に沿った設計・構築及び運用・保守が実施できること。 (4) 利用者にとって使い易いシステムを構築するために、可能な範囲でIPAとコミュニケーションを取りながらフィードバックを行い、確認しながら進める中ででた改善に迅速に対応できること。 (5) プロジェクト管理や運用・保守では必要に応じて、JIRA、Backlog、Redmineなどのクラウドサービスを利用した管理ツールを用いてもよい。 (IPAが利用できるアカウントも用意すること。)3.3 成果物本プロジェクトにおける成果物は以下のとおり。 なお、成果物は3.6(3)の納入期限までに提出すること。 (1) システム構築における成果物① 各成果物は、該当成果物の作成作業に着手する前に記載内容、記載レベルについてIPAの承認を得ること。 システム構築成果物の一覧を「表2 システム構築成果物一覧」に示す。 ② 下記に示す構築成果物以外のドキュメント(プロジェクト進行に伴う報告書、議事録、課題管理票、連絡票等)についても、適宜IPAに提出すること。 ③ 電子データにてIPAに納入すること。 納入方法や形式等についてはIPAが指定する様式とすること。 表2 システム構築成果物一覧No 成果物 内容 部数1 プロジェクト計画書本件を確実に実施するための、体制、プロジェクト計画、品質管理計画、セキュリティ計画等についてまとめたもの。 1式2 要件確認書発注仕様書に基づいた本システムが稼動するに足る要件および仕様に関する情報。 1式3テスト実施計画書テスト結果報告書・本プロジェクトで実施されるテストの関連、目的、方法を含む計画書。 なお、テスト実施計画書の作成範囲やテスト項目の粒度等についてはIPAと協議の上決定すること。 ・本計画書に基づき実施したテスト結果を記載した資料。 テストとは、「システムテスト」、IPAが主担当とする「受入れテスト」、「各種接続・連携テスト」、「脆弱性診断」を指す。 1式4カスタマイズ設計書カスタマイズした部分の設計書。 使用方法や設定ファイル等も含む。 1式5 利用マニュアルシステム機能の利用方法を説明した利用マニュアル。 一般利用者(IPA外、IPA内)向け利用マニュアル。 1式6構築手順書システム設定書初期データシステム管理マニュアル障害対応手順書運用保守引継ぎ資料・IPA管理者向け。 ・障害時にシステムを復旧(再構築)や、システムを増設する手順を示す資料(構築手順書)。 ・システムを稼動させる際に設定しておくべきデータの内容および設定方法を示す資料(システム設定書(初期データ設定書))。 ・稼動時に設定したデータセット。 (初期データ)IPA管理者が日常的な業務遂行や、システムの設定変更を行うための資料。 (システム管理マニュアル)・障害発生時の切り分け手順を含む資料(障害対応手順書)。 障害対応手順書には、切り分け手順、障害対応後のシステム動作確認手順を含む。 1式(2) 運用・保守における成果物① 運用・保守における提出物運用・保守を行うにあたって、仕様書や別紙「仕様詳細資料」の内容を反映した運用計画書を運用開始前までに作成し、IPAから承認を得ること。 保守・運用支援に関する対応実績をまとめた月次報告書を提出すること。 月次報告書の記載内容・様式は、上記運用計画書の作成と同時期にIPAの容認を得ること。 月次報告書の提出期日は、各月末日から 5 営業日以内とし、IPAから承認を得ること。 ただし、2027年 3 月分の月次報告については、2027年3月31日に、納入物件である保守運用実施報告書として納入するものとする。 月次報告書には、以下の内容を記載すること。 A) 運用・保守作業の実施状況:「表3 保守成果物一覧」においてIPA報告を必要とするものについて、実施した保守作業の内容、状況、および結果の概要を統計データとともに報告すること。 B) 「5 情報セキュリティ対策要件」:「5．」に規定する報告・連絡事項について報告すること。 C) その他報告・連絡事項:上記以外に報告・連絡が必要な事項があれば、報告すること。 表3 運用・保守成果物一覧カテゴリ 成果物 随時報告 月次報告サービスレベル管理15サービスレベルレポート、可用性レポート、性能レポート、セキュリティレポート必要インシデント管理インシデント記録、インシデント分析レポート、根本原因分析レポート必要概要のみ課題管理課題記録、問題分析レポート、恒久対策実施報告書必要変更管理変更要求書、変更計画書、変更実施報告書、テスト結果報告書、リリース計画書、リリースノート、リリース検証報告書変更時概要のみ構成管理 構成管理台帳、構成変更履歴 変更時 概要のみセキュリティ管理セキュリティテスト結果報告書、脆弱性診断報告書、侵入テスト報告書、セキュリティ監査報告書実施時概要のみハードウェア/ソフトウェア保守保守作業報告書、バージョンアップ計画書、バージョンアップ実施報告書実施毎概要のみ監視・点検 監視レポート、点検レポート 異常発見時 概要のみドキュメント管理操作マニュアル(内部向け)、保守手順書、障害対応手順書適宜―その他問合せ対応記録、ログ分析レポート、障害対応記録、障害原因調査報告書、不具合修正報告書、ユーザ管理記録、マスターメンテナンス記録、定例会の議事録障害発生時など概要のみ② 運用・保守における納入物件運用・保守業務の納品物は、保守運用実施報告書(月次報告書を取りまとめたもの)とする。 3.4 スケジュール本プロジェクトのスケジュールを以下に示す。 図3 スケジュール15 サービスレベル目標の達成状況: 「6.11(1)」に定めるサービスレベルの状況・指標に対する遵守率を明記すること。 達成状況を示す具体的な数値データを含めること。 サービスレベル未達成時の分析と対策: 「6.11(1)」のサービスレベル目標が未達成の場合、その原因分析と改善策を具体的に記述すること。 システム構築については、2026年3月にSaaS「d-Gov」にて完成予定の「SECURITY ACTION管理システム」を基に流用できる部分は流用し、不足している部分について設定およびカスタマイズを実施する。 「SECURITY ACTION管理システム」は、2026年4月1日より先行して運用を開始している。 翌年度以降は、効率的に運用するため一括で運用・保守を調達する。 そのため、本プロジェクトでは、2027年1月から3月までの運用・保守も調達を行う。 3.5 IPAと請負者の役割と責任本プロジェクトにおける役割と責任について各フェーズことに示す。 (1) システム構築における役割分担システム構築における役割分担を以下に示す。 表4 構築時における役割分担凡例；●：主担当、▲：支援・参加、◎：承認担当工程IPA本システムの請負者プロジェクト管理 ◎、● ●要件確認 ◎、● ●設計・設定・カスタマイズ(構築) ◎ ●システムテスト ◎ ●受入れテスト ◎、● ▲、(*1)、(*2)各種接続・連携テスト ◎、● ▲、(*1)、(*2)脆弱性診断 ◎、● ▲、(*1)、(*2)マニュアル作成 ◎、▲ ●導入 ◎、▲ ●プロジェクト評価 ● ▲(*1)：本システムの請負者が主導的に調整等を実施し、発生する問題や課題に対して原因究明および解決に主導的に実施すること。 (*2)：IPAの支援を行うこと。 また、IPAの指示に従い作業を実施すること。 (2) 運用・保守における役割分担運用・保守における役割分担を以下に示す。 表5 運用・保守における役割分担凡例；●：主担当、▲：支援・参加、◎：承認分類 項目 内容 IPA請負者16管理インシデント管理異常または中断、劣化させる事象の発生から訂正までの管理過去実績の調査・解決策の情報収集、対応策の決定◎ ●問題管理インシデントが問題(障害)であった場合の具体的な訂正◎ ●変更管理 システムの変更 ◎ ●リリース管理 本番環境へのリリース ◎ ●構成管理 システムへの変更に関する履歴等の管理 ◎ ●定期報告システム稼働状況や保守・運用支援作業等の定期報告◎ ●セキュリティテスト対応IPAが求めるセキュリティテスト実施にあたっての対応▲ ●製品保証ハードウェア製品 クラウドサービス基盤の提供と保守 ◎ ●ソフトウェア製品クラウドサービスで提供されるソフトウェアの更新とセキュリティ対応、カスタム部分の保証◎●システム保証監視クラウドサービスの監視、アラート対応、IPAへの報告◎●点検 クラウド設定の定期的な見直し ◎ ●バージョンアップ(更新作業)セキュリティパッチ等のテスト及びクラウドサービス及びカスタム部分の更新作業17▲ ●設定変更 クラウド設定変更、カスタム開発部分の設定変更 ◎ ●バージョン管理クラウドサービス、カスタム開発部分のバージョン管理◎ ●システム改修必要に応じ、軽微な改修(クラウド設定変更)作業を実施◎ ●教育利用者教育(外部)監査機関、クラウドサービス事業者向けの操作マニュアルの作成及びメンテナンス◎ ●利用者教育(内部)業務実施者、業務管理者、システム管理者向け操作マニュアルの作成及びメンテナンス◎ ●業務運用と利用者支援ユーザ管理 利用者IDの追加、削除、更新等 ● ▲マスターメンテ 業務データ管理 ● ▲問合せ対応 利用者からの質問への回答 ● ▲ログ分析 システムが出力するログのエラー検知、分析等 ◎ ●問題の解決障害対応 システム障害の復旧作業等 ◎ ●障害原因調査 システム障害の原因追求と問題点の切り分け ◎ ●不具合補修クラウドサービス、カスタム開発部分の不具合修正18▲ ●16 クラウドサービス事業者を含む17 請負者が構築業者と異なる場合、IPAが構築業者と請負者を連携させ修正作業を実施18 請負者が構築業者と異なる場合、契約不適合責任に基づき、IPAが構築業者と請負者を連携させ修正作業を実施3.6 納入要件(1) システム設置場所原則として、「SECURITY ACTION管理システム」が構築されているSaaS「d-Gov」による機能拡張による構築ではあるため要件を満たしているが、要件は以下のとおり。 ① クラウドベンダ等が提供するクラウドサービス上に構築すること。 また、情報資産は指示しない限り日本国内に保管されること。 ② 本システムの運用および保証に際し、各種要件(機能および非機能要件等)が満たされるクラウドサービスを選定すること。 (2) 納入物件「3.3(1)」および「3.3(2)②」に示した成果物及び納品物を納入すること。 (3) 納入期限全ての納入物件の納入期限は、2027年3月31日(水)とする。 (4) 納入方法・場所納品物は、IPA が指定したクラウド環境等に格納すること。 また、納品完了後に下記に連絡すること。  〒113-6591東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス17階独立行政法人 情報処理推進機構セキュリティセンター リスクマネジメント部 セキュリティ制度グループ 担当：儀部、江島 TEL：03-5978-7530 e-Mail：isec-pr-cssp@ipa.go.jp3.7 検収要件構築および運用・保守の検収条件は以下のとおり。 (1) システム構築における検収本仕様書の条件、項目を満たすか否かにつき確認を行う。 ① SaaS「d-Gov」利用環境およびドキュメントについては、原則として公開を前提とした整備が行われていること。 ② SaaS「d-Gov」利用環境および関連するソフトウェア、システム、成果が対応可能な製品等については、それらを特定する名称やバージョンについて明確にされていること。 (2) 運用・保守における検収「3.3(2)②」に示した納入物件について確認を行う。 また、品質についても本仕様書で示された目的を満たすに十分か否かを基準に判断する。 4. 業務要件(案)本システムのシステムフローは、大分類として「公開サイト」、「内部事務サイト」に分類できる。 「内部事務トップ画面」の「システム管理」ボタン押下で「システム管理画面」に遷移する。 (1) ≪ユーザー追加≫「内部事務サイト」を利用する職員に対して、「システム管理者」、「データ変更者」または「システム利用者」の権限を付与して、本システムを利用できるようにする。 登録に必要な情報は、「職員氏名」、「ID(メールアドレスを想定)」、「初期パスワード(可能であればシステムで自動生成)」、「システム利用権限」の4項目。 「システム管理画面」の「ユーザー追加」ボタンを押下して、「ユーザ情報入力画面」に遷移する。 上記の4項目を入力して、「確認する」ボタンを押下。 「ユーザー情報確認画面」に遷移するので、登録内容に間違いがないか確認して、「登録する」ボタンを押下する。 「ユーザー登録完了画面」に遷移して作業終了。 (2) ≪ユーザー情報変更≫：「SECURITY ACTION管理システム」実装機能を流用「内部事務サイト」を利用する職員の登録情報を変更する。 登録変更できる情報は、「職員氏名」、「ID(メールアドレスを想定)」、「パスワード(可能であればシステムで自動生成)」、「システム利用権限」の4項目。 なお、パスワードについては、「内部事務サイト」ユーザーがパスワード忘れをした場合に、強制的に初期化するものである。 「システム管理画面」で、「ユーザー一覧」から変更が必要なユーザーを選択し、「ユーザー情報変更」ボタンを押下する。 「ユーザー情報変更画面」に遷移するので、上記の4項目のうち変更が必要な情報を入力して、「確認する」ボタンを押下。 「ユーザー情報変更確認画面」に遷移するので、登録内容に間違いがないか確認して、「変更する」ボタンを押下する。 「ユーザー情報変更完了画面」に遷移して作業終了。 (3) ≪ユーザー削除≫：「SECURITY ACTION管理システム」実装機能を流用「内部事務サイト」を利用する職員の登録情報を削除する。 「内部事務サイト」を利用する職員の権限を削除する。 「システム管理画面」で、「ユーザー一覧」から削除するユーザーを選択し、「ユーザー削除」ボタンを押下する。 「ユーザ削除画面」に遷移するので、削除するユーザー情報を確認の上、「確認する」ボタンを押下。 「ユーザー削除確認画面」に遷移するので間違いがないか確認して、「削除する」ボタンを押下する。 「ユーザー削除完了画面」に遷移して作業終了。 (4) ≪システムログ等閲覧≫：「SECURITY ACTION管理システム」実装機能を流用本システムにて閲覧できる「システムログ等」を「システム管理者」が確認できる。 なお、閲覧できる内容については、SaaSにより異なるため閲覧できるログ等の情報と検索できる条件については、提案書にて提案すること。 その上で請負者と IPA で協議し、IPA の承認を得て確定すること。 なお、検索結果については、CSVでダウンロードできること。 「システム管理画面」の「システムログ等閲覧」ボタンを押下して、「システムログ等閲覧画面」に遷移する。 閲覧できるログ等の一覧が表示されるので必要なログ種類を選択し、「検索条件入力」ボタンを押下する。 「ログ検索条件入力画面」に遷移するので「ログ検索条件」を入力して、「検索する」ボタンを押下する。 「ログ検索結果画面」に遷移するので、必要に応じてして「ダウンロードする」ボタンを押して検索結果をCSVにてダウンロードして作業終了。 4.3.3 パスワード変更：「SECURITY ACTION管理システム」実装機能を流用「内部事務サイト」を利用する職員すべてが利用できる機能。 本人による「パスワード変更」を行える。 「内部事務トップ画面」の「パスワード変更」ボタン押下で「パスワード変更画面」に遷移する。 「現在のパスワード」に現在のパスワードを入力し、「新しいパスワード」および「新しいパスワード(確認)」の2か所に新しいパスワードを入力して、「確認する」ボタンを押下する。 「パスワード変更確認画面」に遷移するので、「変更する」ボタンを押下して「パスワード変更完了画面」に遷移して作業完了。 4.3.4 お知らせ管理：「SECURITY ACTION管理システム」実装機能を流用「内部事務サイト」を利用する職員すべてが利用できる機能。 「公開サイト」の「公開サイトトップ画面」に一覧が表示され、各「お知らせ」を選択すると詳細が表示される。 これらのお知らせについて管理する機能。 「内部事務サイト」を利用する職員すべてが利用できる。 「内部事務トップ画面」の「お知らせ管理」ボタン押下で「お知らせ管理画面」に遷移する。 (1) ≪お知らせ登録≫「お知らせ管理画面」の「お知らせ登録」ボタンを押下すると「お知らせ登録画面」に遷移する。 一覧に表示する「表題」と個別表示での「詳細」について入力し「確認する」ボタンを押下する。 「お知らせ登録確認画面」に遷移するので、内容を確認して問題なければ「登録する」ボタンを押下すると、「お知らせ登録完了画面」に遷移して作業完了。 (2) ≪お知らせ修正≫：「SECURITY ACTION管理システム」実装機能を流用「お知らせ管理画面」の「お知らせ一覧」から該当のお知らせを選択して、「お知らせ修正」ボタンを押下すると「お知らせ修正画面」に遷移する。 「表題」と個別表示での「詳細」について変更箇所を変更して「確認する」ボタンを押下する。 「お知らせ変更確認画面」に遷移するので、内容を確認して問題なければ「修正する」ボタンを押下すると、「お知らせ修正完了画面」に遷移して作業完了。 (3) ≪お知らせ削除≫：「SECURITY ACTION管理システム」実装機能を流用「お知らせ管理画面」の「お知らせ一覧」から該当のお知らせを選択して、「お知らせ削除」ボタンを押下すると「お知らせ削除画面」に遷移する。 削除内容を確認して「削除する」ボタンを押下すると、「お知らせ削除完了画面」に遷移して作業完了。 4.3.5 サプライチェーン強化に向けたセキュリティ対策評価制度申請・登録事業者管理：「SECURITYACTION管理システム」実装機能を一部流用本機能は内容ごとに利用できるユーザーが異なる。 「公開サイト」にて、申請・登録事業者が登録した内容について管理する機能。 「内部事務トップ画面」の「サプライチェーン強化に向けたセキュリティ対策評価制度申請・登録事業者管理」ボタン押下で「サプライチェーン強化に向けたセキュリティ対策評価制度申請・登録事業者管理画面」に遷移する。 (1) ≪申請・登録事業者情報閲覧≫全てのユーザーが利用できる機能。 「サプライチェーン強化に向けたセキュリティ対策評価制度申請・登録事業者管理画面」の下記検索条件に入力し、「検索する」ボタンを押下すると「サプライチェーン強化に向けたセキュリティ対策評価制度申請・登録事業者検索結果画面」に遷移する。 (参考)検索条件・事業者名/屋号・事業者名/屋号(カナ)・法人番号/個人事業主番号・申請・登録ID・取り組み段階(三つ星／四つ星)・ステータス・都道府県・期間で検索(有効期限または評価日、申請日、登録日)検索結果の一覧と件数を表示する。 一覧から該当の宣言事業者等を選択し「申請・登録情報閲覧」ボタンを押下する。 「申請・登録情報閲覧画面」に遷移するので、内容を確認する。 なお、「ダウンロードする」ボタン押下でCSVファイルにて出力できる。 (2) ≪申請・登録情報変更(申請・登録者変更を除く)≫「システム管理者」と「データ変更者」のみ利用できる機能。 なお、申請・登録者の変更は別機能とする。 「サプライチェーン強化に向けたセキュリティ対策評価制度申請・登録事業者管理画面」の下記検索条件に入力し、「検索する」ボタンを押下すると「サプライチェーン強化に向けたセキュリティ対策評価制度申請・登録事業者検索結果画面」に遷移する。 (参考)検索条件・事業者名/屋号・事業者名/屋号(カナ)・法人番号/個人事業主番号・申請・登録ID・取り組み段階(三つ星／四つ星)・ステータス・都道府県・期間で検索(有効期限または評価日、申請日、登録日)検索結果の一覧と件数を表示する。 一覧から該当の申請・登録事業者等を選択し「申請・登録情報変更」ボタンを押下する。 「申請・登録情報変更画面」に遷移するので、必要部分を変更する。 ただし、GビズIDから取得した法人情報についてはIPA側では再取得できないが、「GビズID登録内容」部分の情報についても手動による変更は必要なため、書きかえられること。 (それに伴うテーブル定義は、5.4 情報登録項目にて示す。)別の住所を利用したい場合は、「別の住所を登録する」にチェックを入れると、住所項目が入力できるようになる。 住所を手入力する際は「郵便番号」に7桁の郵便番号を入力して、「住所変換」ボタン押下で、郵便番号に紐づいた住所が呼び出される。 複数の住所がある場合は選択するためのウインドウが開くので選ぶ。 「セキュリティ専門家」、「評価機関」、「技術検証事業者」を変更した場合はその選択時に、該当者が「評価日」おいて、有資格者であったかのチェックが実施され、対象外であった場合は「変更中止画面」に遷移する。 そうでない場合は必要な項目を全て記入する。 「証書」の差替えが必要な場合は、「証書のアップロード」ボタンを押下し、「証書アップロード画面」に遷移する。 申請・登録事業者が、外部評価者より受領した「証書」を選択し、「アップロード」ボタンを押下すると「証書」がDBに格納される。 アップロード完了後、「申請・登録情報変更画面」に戻るので、入力に問題が無ければ、「変更内容を確認する」ボタンを押下して「申請・登録情報確認画面」に遷移するので申請内容確認後、「申請・登録情報登録」ボタン押下で「申請・登録情報変更完了画面」に遷移して作業終了。 (3) ≪宣言情報変更(申請・登録者変更)≫「システム管理者」と「データ変更者」のみ利用できる機能。 申請・登録者の変更は「内部事務サイト」での作業のみでは完結しない。 「サプライチェーン強化に向けたセキュリティ対策評価制度申請・登録事業者管理画面」の下記検索条件に入力し、「検索する」ボタンを押下すると「サプライチェーン強化に向けたセキュリティ対策評価制度申請・登録事業者検索結果画面」に遷移する。 (参考)検索条件・事業者名/屋号・事業者名/屋号(カナ)・法人番号/個人事業主番号・申請・登録ID・取り組み段階(三つ星／四つ星)・ステータス・都道府県・期間で検索(有効期限または評価日、申請日、登録日)検索結果の一覧と件数を表示する。 一覧から該当の申請・登録事業者等を選択し「申請・登録者変更」ボタンを押下する。 「申請・登録者変更画面」に遷移するので、申請・登録者変更に必要な部分のみ変更する。 (表7 取得情報(案)の「user」部分のみ)GビズIDから取得した法人情報についてはIPA側では再取得できないが、「申請・登録者変更」作業のため「GビズID登録内容」部分の情報について手動による変更が必要なため、書きかえられること。 「検索結果データ出力」ボタンを押下して検索結果をCSVファイルとしてダウンロードする。 (参考)検索条件・事業者名/屋号・事業者名/屋号(カナ)・法人番号/個人事業主番号・申請・登録ID・取り組み段階(三つ星／四つ星)・ステータス・都道府県・期間で検索(有効期限または評価日、申請日、登録日)4.3.6 セキュリティ専門家、評価機関、技術検証事業者管理「内部事務サイト」を利用する職員すべてが利用できる機能。 「公開サイト」にて、検索や選択・表示されるセキュリティ専門家、評価機関、技術検証事業者の登録や内容について管理する機能。 「内部事務トップ画面」の「セキュリティ専門家、評価機関、技術検証事業者管理」ボタン押下で「セキュリティ専門家、評価機関、技術検証事業者管理画面」に遷移する。 (1) ≪セキュリティ専門家、評価機関、技術検証事業者管理情報閲覧≫「セキュリティ専門家、評価機関、技術検証事業者管理画面」で下記検索条件を入力し、「検索する」ボタンを押下すると「セキュリティ専門家、評価機関、技術検証事業者検索結果画面」に遷移する。 (参考)検索条件 セキュリティ専門家の場合➢ 氏名➢ 氏名(カナ)➢ 法人番号/個人事業主番号➢ セキュリティ専門家ID➢ 都道府県➢ 期間で検索(有効期限または認定日、取消日、登録日) 評価機関、技術検証事業者の場合➢ 事業者名➢ 事業者名(カナ)➢ 法人番号➢ 評価機関ID、技術検証事業者ID➢ 都道府県➢ 期間で検索(有効期限または認定日、取消日、登録日)検索結果の一覧と件数を表示する。 一覧から該当の申請・登録事業者等を選択し「セキュリティ専門家、評価機関、技術検証事業者情報閲覧」ボタンを押下する。 「申請・登録情報閲覧画面」に遷移するので、内容を確認する。 なお、「ダウンロードする」ボタン押下でCSVファイルにて出力できる。 (2) ≪セキュリティ専門家、評価機関、技術検証事業者個別登録≫「内部事務サイト」を利用する職員すべてが利用できる機能。 「セキュリティ専門家、評価機関、技術検証事業者管理画面」にて、セキュリティ専門家、評価機関、技術検証事業者のうち登録したいものの「新規登録」ボタンを押下するとそれぞれの「新規登録入力画面」に遷移する。 それぞれで登録する項目(案)は、以下のとおり。 表9 セキュリティ専門家登録情報(案)scope パラメータ名 データ型(最大文字数)説明Internalidinternal_ID String (本システム画面には非表示)アカウント管理番号・内部的なID を返却・整数値(Sub 範囲1～2,147,483,647)ProID professional_ID String(11) セキュリティ専門家IDprofile user_last_nm String(64) 氏名(姓)user_first_nm String(64) 氏名(名)user_last_nm_kana String(64) 氏名フリガナ(姓)user_first_nm_kana String(64) 氏名フリガナ(名)user_post_code String(7) 連絡先郵便番号(ハイフンは含まない)user_prefecture_name String(2) 連絡先住所(都道府県)※JIS X 0401 都道府県コードuser_address1 String(64) 連絡先住所(市区町村)user_address2 String(300) 連絡先住所(番地等)user_address3 String(64) (任意項目)連絡先住所(マンション名等)user_tel_no_contact String(11) (任意項目)連絡先電話番号(ハイフンは含まない)email String(255) 連絡先メールアドレスinfo certification_date String(8) 認定日(yyyyMMdd)(専門家として認定された日、この日以降検索で表示される)update_date String(8) 更新日(yyyyMMdd)(更新した日付)expiration_date String(8) 有効期限(yyyyMMdd)(認定日または更新日から計算できる場合は不要)cancellation_date String(8) 取消日(yyyyMMdd)(何らかの理由で取り消された場合の日付)Cancellation_reason String(300) 取消理由work_date String(25) 作業日時(ISO8601 形式の日本標準時"YYYY-MM-DDThh:mm:ss+09:00")(IPA職員が作業した日時)IPA_email String(255) IPA作業者ID表10 評価機関登録情報(案)scope パラメータ名 データ型(最大文字数)説明Internalidinternal_ID String (本システム画面には非表示)アカウント管理番号・内部的なID を返却・整数値(Sub 範囲1～2,147,483,647)AssessID assessment_ID String(11) 評価機関IDprofile corporate_number String(13) 法人番号name String(150) 法人名prefecture_name String(2) 本店所在地(都道府県)※JIS X 0401 都道府県コードaddress1 String(64) 本店所在地(市区町村)address2 String(300) 本店所在地(番地等)rep_last_nm String(64) 代表者名(姓)rep_first_nm String(64) 代表者名(名)rep_last_nm_kana String(64) 代表者名フリガナ(姓)rep_first_nm_kana String(64) 代表者名フリガナ(名)Company_URL String(300) 法人サイトURLuser user_last_nm String(64) 担当者氏名(姓)user_first_nm String(64) 担当者氏名(名)user_last_nm_kana String(64) 担当者氏名フリガナ(姓)user_first_nm_kana String(64) 担当者氏名フリガナ(名)email String(255) 担当者メールアドレスinfo certification_date String(8) 認定日(yyyyMMdd)(専門家として認定された日、この日以降検索で表示される)update_date String(8) 更新日(yyyyMMdd)(更新した日付)expiration_date String(8) 有効期限(yyyyMMdd)(認定日または更新日から計算できる場合は不要)cancellation_date String(8) 取消日(yyyyMMdd)(何らかの理由で取り消された場合の日付)Cancellation_reason String(300) 取消理由work_date String(25) 作業日時(ISO8601 形式の日本標準時"YYYY-MM-DDThh:mm:ss+09:00")(IPA職員が作業した日時)IPA_email String(255) IPA作業者ID表11 技術検証事業者登録情報(案)scope パラメータ名 データ型(最大文字数)説明Internalidinternal_ID String (本システム画面には非表示)アカウント管理番号・内部的なID を返却・整数値(Sub 範囲1～2,147,483,647)TechID technical_ID String(11) 評価機関IDprofile corporate_number String(13) 法人番号name String(150) 法人名prefecture_name String(2) 本店所在地(都道府県)※JIS X 0401 都道府県コードaddress1 String(64) 本店所在地(市区町村)address2 String(300) 本店所在地(番地等)rep_last_nm String(64) 代表者名(姓)rep_first_nm String(64) 代表者名(名)rep_last_nm_kana String(64) 代表者名フリガナ(姓)rep_first_nm_kana String(64) 代表者名フリガナ(名)professional_ID String(11) 登録評価機関ID(事業者と紐づけになる評価機関ID)(このセルは複数登録可能)user user_last_nm String(64) 担当者氏名(姓)user_first_nm String(64) 担当者氏名(名)user_last_nm_kana String(64) 担当者氏名フリガナ(姓)user_first_nm_kana String(64) 担当者氏名フリガナ(名)email String(255) 担当者メールアドレスinfo certification_date String(8) 認定日(yyyyMMdd)(専門家として認定された日、この日以降検索で表示される)update_date String(8) 更新日(yyyyMMdd)(更新した日付)expiration_date String(8) 有効期限(yyyyMMdd)(認定日または更新日から計算できる場合は不要)cancellation_date String(8) 取消日(yyyyMMdd)(何らかの理由で取り消された場合の日付)Cancellation_reason String(300) 取消理由work_date String(25) 作業日時(ISO8601 形式の日本標準時"YYYY-MM-DDThh:mm:ss+09:00")(IPA職員が作業した日時)IPA_email String(255) IPA作業者ID(3) ≪セキュリティ専門家、評価機関、技術検証事業者一括登録≫「内部事務サイト」を利用する職員すべてが利用できる機能。 「セキュリティ専門家、評価機関、技術検証事業者管理画面」にて、セキュリティ専門家、評価機関、技術検証事業者のうち登録したいものの「新規一括登録」ボタンを押下するとそれぞれの「新規登録データアップロード画面」に遷移する。 「新規登録データアップロード画面」にて、登録情報の入ったCSVファイルを選択し。 「新規一括登録」ボタンを押下するとデータのアップロードとデータの簡易チェックが実行される。 簡易チェックの結果、全てのデータに問題が無ければ、「登録確認画面」へ進み、全てのデータがエラーの場合は、「登録中止画面」へと遷移する。 一部のデータがエラーの場合は、エラー部分を個別に修正して登録するか、一旦、「登録中止」としてやり直すか選択できる。 全てのデータに問題が無ければ、「登録確認画面」へ進み、登録内容に問題が無ければ、「登録する」を押下して登録完了。 一部のデータがエラーの場合は、エラーデータを選択して、「個別修正画面」に遷移して個別に修正して登録する。 登録後、他のデータも修正する場合は、他のデータ選択して「個別修正画面」に遷移して修正する。 修正が無ければ「登録確認画面」へ遷移する。 (4) ≪セキュリティ専門家、評価機関、技術検証事業者個別修正≫「内部事務サイト」を利用する職員すべてが利用できる機能。 「セキュリティ専門家、評価機関、技術検証事業者管理画面」にて、セキュリティ専門家、評価機関、技術検証事業者のうち登録したいものの「セキュリティ専門家、評価機関、技術検証事業者情報変更」ボタンを押下すると「セキュリティ専門家、評価機関、技術検証事業者情報変更画面」に遷移する。 変更情報を入力し、システムにて「有効期限」等をチェックし、問題が無ければ「修正登録をする」ボタンを押下して、修正登録完了となる。 有効期限に問題がある場合は、「変更中止」となる。 (5) ≪セキュリティ専門家、評価機関、技術検証事業者削除≫全てのユーザーが利用できる機能。 「セキュリティ専門家、評価機関、技術検証事業者管理画面」の下記検索条件に入力し、「検索する」ボタンを押下すると「セキュリティ専門家、評価機関、技術検証事業者検索結果画面」に遷移する。 (参考)検索条件 セキュリティ専門家の場合➢ 氏名➢ 氏名(カナ)➢ 法人番号/個人事業主番号➢ セキュリティ専門家ID➢ 都道府県➢ 期間で検索(有効期限または認定日、取消日、登録日) 評価機関、技術検証事業者の場合➢ 事業者名➢ 事業者名(カナ)➢ 法人番号➢ 評価機関ID、技術検証事業者ID➢ 都道府県➢ 期間で検索(有効期限または認定日、取消日、登録日)検索結果の一覧と件数を表示する。 一覧から該当のセキュリティ専門家、評価機関、技術検証事業者等を選択し「登録削除」ボタンを押下する。 「削除理由記入画面」に遷移するので、削除理由を入力する。 内容を確認して「削除を実行する(本当によろしいですか？)」ボタンを押下すると、「登録削除完了画面」に遷移して作業完了。 (6) ≪検索結果データ出力≫全てのユーザーが利用できる機能。 「セキュリティ専門家、評価機関、技術検証事業者管理画面」の下記検索条件に入力し、「検索する」ボタンを押下すると「セキュリティ専門家、評価機関、技術検証事業者検索結果画面」に遷移する。 「検索結果データ出力」ボタンを押下して検索結果をCSVファイルとしてダウンロードする。 (参考)検索条件 セキュリティ専門家の場合➢ 氏名➢ 氏名(カナ)➢ 法人番号/個人事業主番号➢ セキュリティ専門家ID➢ 都道府県➢ 期間で検索(有効期限または認定日、取消日、登録日) 評価機関、技術検証事業者の場合➢ 事業者名➢ 事業者名(カナ)➢ 法人番号➢ 評価機関ID、技術検証事業者ID➢ 都道府県➢ 期間で検索(有効期限または認定日、取消日、登録日)4.3.7 ひな型メール管理：「SECURITY ACTION管理システム」実装機能を流用全てのユーザーが利用できる機能。 「公開サイト」にて、宣言事業者が「新規申請」、「登録内容変更」、「宣言ステップアップ」、「自己宣言ID削除」が完了した時に送信されるメールのひな型について、その「件名」と「メール本文」を修正する機能。 「内部事務サイト」を利用する職員すべてが利用できる。 「内部事務トップ画面」の「ひな型メール管理」ボタン押下で「ひな型メール管理画面」に遷移する。 登録されているひな型メールの一覧から該当のメールを選択して、「修正」ボタンを押下する。 「ひな型メール修正画面」に遷移するので、「件名」や「メール本文」を修正し、「修正内容を確認する」ボタンを押下すると、「ひな型メール修正内容確認画面」に遷移する。 修正内容を確認して問題なければ、「修正登録」ボタンを押下して、「ひな型メール修正完了画面」に遷移して作業完了。 5. 機能要件(案)5.1 機能要件現時点で想定している機能を以下に示す。 5.1.1 一般利用者および申請・登録事業者が利用する機能の実装(1) 各種検索 登録事業者の検索 セキュリティ専門家の検索 評価機関の検索(2) SCS評価制度申請受付 GビズIDでのログオン連携 GビズIDに登録されている情報取得のためのAPI連携 三つ星及び四つ星の新規申請および更新申請の受付 申請・登録IDの発行と通知メール(3) SCS評価制度申請・登録情報の確認・変更・削除 GビズIDでのログオン連携 申請・登録状況(ステータス確認)、取組段階(三つ星／四つ星)、申請・登録 ID、有効期限の確認 申請・登録情報の変更 三つ星から四つ星へのステップアック申請・登録 申請・登録IDの削除 ロゴマークのダウンロード5.1.2 IPAのシステム管理者が利用する機能の実装利用においては、ユーザ認証を行うこと。 (1) システム監視(稼働状況監視、障害監視、ログ監視)(2) ユーザー登録、変更(3) IPA側ユーザーパスワード変更(4) WEBアクセス分析5.1.3 IPAのシステム管理者、データ変更者が利用する機能の実装利用においては、ユーザ認証を行うこと。 (1) 申請・登録事業者の情報確認、変更、削除(2) 郵便番号/住所変換APIとの連携5.1.4 IPAのシステム管理者、データ変更者及び担当職員が利用する機能の実装利用においては、ユーザ認証を行うこと。 (1) 申請・登録事業者情報の検索、データ集計、ファイル出力、ステータス変更(2) セキュリティ専門家の情報登録(一括登録、個別登録)、情報確認、変更、削除(3) 評価機関の情報登録、情報確認、変更、削除(4) 技術検証事業者の情報登録、情報確認、変更、削除(5) 各種情報の検索および検索結果のファイル出力(CSV)(6) 公開サイトに表示するお知らせの登録、変更、削除(7) メールひな型のメールヘッダと本文の編集5.2 画面要件：「SECURITY ACTION管理システム」の実装に準拠現時点で想定している画面要件を以下に示す。 (1) ユーザインターフェース・人間中心設計に基づき、ストレスのない導線、誤操作のないUIをデザインする。 ・「DS-670.1 ユーザビリティガイドライン20」、「DS-680.1 ウェブサイトガイドライン21」及び「DS-680.2 ウェブコンテンツガイドライン22」に準拠する。 (2) Webデザイン・レスポンシブデザインにして、PC、スマートフォン、タブレット端末等の異なるデバイスに対して表示内容が最適化される設計とすること。 ・対応ブラウザは、Edge、Google Chrome、Safari等の主要なブラウザ。 それぞれ最新バージョンが動作するものであること。 ・文字コード指定等で文字が正しく表示されること。 5.3 画面遷移(案)現時点で想定している画面遷移(案)を以下に示す。 5.3.1 SCS評価制度登録事業者検索ほかログイン不要で利用可能な「SCS 評価制度登録事業者検索」、「お知らせ閲覧」、「利用者マニュアル表示」、「外部サイト遷移」の画面遷移図は以下の通り。 20 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/ae97c671/20250930_usability_guidelines.pdf21 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/cbd5b6f6/20250930_website_guidelines.pdf22 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/a02f877e/20250930_web_content_guidelines.pdf5.3.2 セキュリティ専門家、評価機関検索同様にログイン不要で利用可能な「セキュリティ専門家検索」、「評価機関検索」の画面遷移図は以下の通り。 5.3.3 新規申請・ログイン①：「SECURITY ACTION管理システム」実装機能を流用「新規申請・ログイン」ボタン押下から「事業者情報・申請入力」画面までの画面遷移図は以下の通り。 なお、更新申請時は、「申請・登録者マイページ」の「更新登録」ボタンを押すことで、新規申請時の5.3.3以降の流れと変わらないため記載を省略した。 5.3.4 新規申請・ログイン②「事業者情報・申請入力」画面から「申請完了」画面までの画面遷移図は以下の通り。 5.3.5 申請・登録者マイページ：「SECURITY ACTION管理システム」実装機能を流用「新規申請・ログイン」ボタン押下から「申請・登録者マイページ」画面までの画面遷移図は以下の通り。 5.3.6 申請内容変更「申請・登録者マイページ」ボタン押下から「変更申請完了」画面までの画面遷移図は以下の通り。 5.3.7 登録内容変更「申請・登録者マイページ」ボタン押下から「登録変更完了」画面までの画面遷移図は以下の通り。 5.3.8 登録ステップアップ「申請・登録者マイページ」ボタン押下から「ステップアップ完了」画面までの画面遷移図は以下の通り。 5.3.9 申請・登録ID削除：「SECURITY ACTION管理システム」実装機能を流用「申請・登録者マイページ」ボタン押下から「削除完了」画面までの画面遷移図は以下の通り。 5.3.10 ログイン・運用者マニュアル：「SECURITY ACTION管理システム」実装機能を流用「内部事務サイト」の「ログイン」から「内部事務サイトトップ」画面までの画面遷移図と「運用者マニュアルへの遷移は以下の通り。5.3.11 システム管理・ユーザー情報管理：「SECURITY ACTION管理システム」実装機能を流用「内部事務サイト」の「内部事務サイトトップ」から「ユーザー登録完了」、「ユーザー情報変更完了」、「ユーザー削除完了」画面までの画面遷移図は以下の通り。 5.3.12 システムログ等閲覧：「SECURITY ACTION管理システム」実装機能を流用「内部事務サイト」の「内部事務サイトトップ」から「ログ検索結果」画面、「CSVファイルダウンロード」までの画面遷移図は以下の通り。 5.3.13 パスワード変更：「SECURITY ACTION管理システム」実装機能を流用「内部事務サイト」の「内部事務サイトトップ」から「パスワード変更完了」画面までの画面遷移図は以下の通り。 5.3.14 お知らせ管理：「SECURITY ACTION管理システム」実装機能を流用「内部事務サイト」の「内部事務サイトトップ」から「お知らせ登録完了」、「お知らせ修正完了」、「お知らせ削除完了」画面までの画面遷移図は以下の通り。 5.3.15 申請・登録情報閲覧：「SECURITY ACTION管理システム」実装機能を流用「内部事務サイト」の「内部事務サイトトップ」から「申請・登録情報閲覧」画面までの画面遷移図は以下の通り。 5.3.16 申請・登録情報変更「内部事務サイト」の「内部事務サイトトップ」から「申請・登録情報変更完了」画面までの画面遷移図は以下の通り。 5.3.17 申請・登録者変更「内部事務サイト」の「内部事務サイトトップ」から「申請・登録者変更完了」画面までの画面遷移図は以下の通り。 (本画面遷移では、「内部事務サイト」側作業と「公開サイト側」作業の両方が実施されて完結する。)「内部事務サイト側」「公開サイト側」5.3.18 申請・登録削除「内部事務サイト」の「内部事務サイトトップ」から「申請・登録削除完了」画面までの画面遷移図は以下の通り。 5.3.19 申請・登録取消「内部事務サイト」の「内部事務サイトトップ」から「申請・登録取消完了」画面までの画面遷移図は以下の通り。 5.3.20 ステータス変更「内部事務サイト」の「内部事務サイトトップ」から「ステータス変更完了」画面までの画面遷移図は以下の通り。 5.3.21 検索結果データ出力：「SECURITY ACTION管理システム」実装機能を流用「内部事務サイト」の「内部事務サイトトップ」から「申請・登録事業者検索結果」画面、「CSVファイルダウンロード」までの画面遷移図は以下の通り。 5.3.22 セキュリティ専門家、評価機関、技術検証事業者情報閲覧「内部事務サイト」の「内部事務サイトトップ」から「セキュリティ専門家閲覧」、「評価機関閲覧」、「技術検証事業者閲覧」画面までの画面遷移図は以下の通り。 「セキュリティ専門家閲覧」「評価機関閲覧」「技術検証事業者閲覧」5.3.23 セキュリティ専門家、評価機関、技術検証事業者新規登録(個別)「内部事務サイト」の「内部事務サイトトップ」から「セキュリティ専門家入力完了」、「評価機関入力完了」、「技術検証事業者入力完了」画面までの画面遷移図は以下の通り。 「セキュリティ専門家入力完了」「評価機関入力完了」「技術検証事業者入力完了」5.3.24 セキュリティ専門家、評価機関、技術検証事業者新規登録(一括)「内部事務サイト」の「内部事務サイトトップ」から「セキュリティ専門家登録完了」、「評価機関登録完了」、「技術検証事業者登録完了」画面までの画面遷移図は以下の通り。 「セキュリティ専門家登録完了」「評価機関登録完了」「技術検証事業者登録完了」5.3.25 セキュリティ専門家、評価機関、技術検証事業者修正「内部事務サイト」の「内部事務サイトトップ」から「セキュリティ専門家修正登録完了」、「評価機関修正登録完了」、「技術検証事業者修正登録完了」画面までの画面遷移図は以下の通り。 「セキュリティ専門家修正登録完了」「評価機関修正登録完了」「技術検証事業者修正登録完了」5.3.26 セキュリティ専門家、評価機関、技術検証事業者削除「内部事務サイト」の「内部事務サイトトップ」から「セキュリティ専門家登録削除完了」、「評価機関登録削除完了」、「技術検証事業者登録削除完了」画面までの画面遷移図は以下の通り。 「セキュリティ専門家登録削除完了」「評価機関登録削除完了」「技術検証事業者登録削除完了」5.3.27 セキュリティ専門家、評価機関、技術検証事業者 検索結果データ出力「内部事務サイト」の「内部事務サイトトップ」から「セキュリティ専門家 検索結果データ出力」、「評価機関 検索結果データ出力」、「技術検証事業者 検索結果データ出力」画面までの画面遷移図は以下の通り。 「セキュリティ専門家 検索結果データ出力」「評価機関 検索結果データ出力」「技術検証事業者 検索結果データ出力」5.3.28 ひな型メール管理：「SECURITY ACTION管理システム」実装機能を流用「内部事務サイト」の「内部事務サイトトップ」から「ひな型メール修正完了」画面までの画面遷移図は以下の通り。 5.4 情報登録項目(案)別紙「仕様詳細資料」に記載。 6. 非機能要件現時点で想定される非機能要件を記載する。 詳細は要件確認にて IPA と協議し、IPA 承認を得て確定すること。 6.1 信頼性別紙「仕様詳細資料」に記載。 6.2 拡張性別紙「仕様詳細資料」に記載。 6.3 上位互換性別紙「仕様詳細資料」に記載。 6.4 システム中立性別紙「仕様詳細資料」に記載。 6.5 事業継続性別紙「仕様詳細資料」に記載。 6.6 規模・性能別紙「仕様詳細資料」に記載。 6.7 セキュリティセキュリティについて十分に考慮し対策を講じたSaaSであること。 SaaSのセキュアな環境の監視、維持、及び利用者が安心してSaaSを利用できる環境を実現すること。 (1) セキュリティ対策方針別紙「仕様詳細資料」に記載。 (2) セキュリティ要件別紙「仕様詳細資料」に記載(3) セキュリティ対策の改善別紙「仕様詳細資料」に記載。 6.8 ユーザビリティおよびアクセシビリティ別紙「仕様詳細資料」に記載。 6.9 環境構築別紙「仕様詳細資料」に記載。 6.10 教育IPA職員向け簡易操作マニュアル等を提供すること。 6.11 運用・保守運用・保守について本調達では、2027年1月4日(月)から2027年3月31日(水)までのSaaS「d-Gov」の利用料を含む。 なお、過去の構築業者または運用・保守業者と請負者が異なる場合は、1か月を目途に引継ぎ作業を請負者の責任のもと完了すること。 請負者は、SaaS「d-Gov」に関する問合せ対応や保守対応等を行うために必要な体制を準備し作業を実施するものとする。 (1) サービスレベル目標別紙「仕様詳細資料」に記載。 (2) 運用・保守業務システムが円滑に運用できるように以下の点について対応すること。 ① 障害対応と環境メンテナンスシステムの維持に必要なメンテナンス(ソフトウェアのアップデート、無影響確認、セキュリティ対策機器の設定見直し等、その他サービスレベルの維持または向上に必要な作業)、及び障害への対応を行うこと。 ソフトウェアのアップデート対応前には、どのような体制、頻度で実施するか、及び影響の有無について、事前にIPAに説明を実施すること。 なお、システムの停止を伴うメンテナンスを実施する場合は、原則二週間前までにIPAへ連絡すること。 ② システム監視と障害、セキュリティインシデントの報告請負者において、システムの運用状況を監視し、障害や不正アクセス等の検知及び対応が行われていると認識している。 アプリケーション障害やシステムダウン、セキュリティインシデント等の利用者に与える影響が大きく緊急性が高い事象については、クラウドサービス事業者と密に連携し、土日、祝日、年末年始等を除く通常の営業日の9:30から17:30においては検知後30分以内に速やかにIPAにエスカレーションが行われるよう、体制を構築すること。 上述の時間帯外における対応は、適宜IPAと協議する。 ③ IPAからの問合せ対応IPAからの問合せに対応すること。 問合せは原則的に電子メール等で実施されることを想定するが、後述の緊急時は電子メール等に加え、電話連絡に対応すること。 時間帯は、土日、祝日、年末年始等を除く通常の営業日の 9:30 から17:30 を原則とするが、請負者の営業時間を考慮した上で別途定めることとし、日本語によるコミュニケーションを提供すること。 なお、IPA検出のインシデント対応依頼(利用者からの通報等による)等、緊急性の高い案件については、上述の時間帯外に実施する可能性がある。 緊急時の対応および連絡先については、協議の上で決定する。 主な問合せは下記のものを想定する。  システムの利用方法に関する質問 エラー等の事象確認と対応 システム稼働状況の確認 設定変更にて対応可能な軽微な修正 機能拡張・対応方針の相談(なお、標準機能を活用することを基本とした回答を求める) IPAから指摘・要望による、WEBページのコンテンツや表示の変更等の実施 不正操作等の疑義によるログ確認等 クラウドサービス事業者との調整 IPA検出のインシデント対応依頼(利用者からの通報等による) セキュリティインシデント対応依頼等(3) 引継関連作業契約締結日以降、本件の請負者は、前任の請負者から遅滞や遺漏なく、本件に係る業務内容、及び設計・構築・運用・保守に関する情報と開発環境の引継ぎを受けること。 SaaS「d-Gov」サービスのアカウントの引継ぎ(譲渡)を受ける場合は、前任の請負者からの情報取得、メールアドレス変更、支払方法変更等の作業を行うこと。 また、業務引継ぎにあたっての工数は保守工数に含まないため、必要に応じ見積に含めること。 本件の契約期間終了に際しては、後任の請負者に対して、本件に係る業務内容、及び設計・構築・運用・保守に関する情報の引継ぎを行うこと。 上記に関連する運用マニュアルを必要に応じて作成するとともに、既存の運用マニュアルを含め、適宜の更新を行うこと。 (4) 運用・保守における役割分担運用・保守における役割分担については、3.5(2)に示した通りとする。 7. システム稼働環境の要件7.1 稼働環境請負者は、可能な範囲で SaaS「d-Gov」のソフトウェア及びハードウェアとネットワークの構成ならびにクラウドベンダ候補を提案書に記載すること。 7.2 全体構成(1) SaaS「d-Gov」を構成するハードウェア(サーバ関連機器、ネットワーク機器等)とソフトウェア(構築プログラムを除く)ならびにネットワークについて、請負者は可能な範囲でシステム構成の妥当性や、必要となるネットワーク機器構成及びネットワーク構成を提案書に記載すること。 (2) 全体構成は、IPAと協議し、IPA承認を得て確定すること。 7.3 全体要件本プロジェクトでは、「SECURITY ACTION管理システム」にて利用しているSaaS「d-Gov」を利用した拡張による構築であるが、「SECURITY ACTION管理システム」構築時にも示した要件を以下にそれぞれ示す。 もちろん、本システムでも満たすべき要件である。 利用するSaaSは以下の要件を満たしていること。 (1) 公開サイトはレスポンシブウェブデザインとし、PC、スマートフォン、タブレット端末等の異なるデバイスに対して表示内容が最適化される設計とすること。 (2) 「6.8.2(1)」に対応すること。 (JIS X 8341-3:2016「高齢者・障害者等配慮設計指針－情報通信における機器、ソフトウェア及びサービス－第3部：ウェブコンテンツ」の適合レベルAAに準拠すること。)(3) 外部からの不正アクセス、情報漏洩、データ改ざん、コンピュータウイルス感染等を防止するため、IPAの「安全なウェブサイトの作り方23」の最新版等を参考に、脆弱性対策を実施すること。 (4) 最新の「政府機関等のサイバーセキュリティ対策のための統一基準群24」に則ったセキュリティ対策を実施すること。 23 https://www.ipa.go.jp/security/vuln/websecurity/about.html24 https://www.cyber.go.jp/policy/group/general/kijun.html8. テスト要件8.1 テスト方針(1) 機能要件及び非機能要件を担保するためのテストを行うこと。 また、IPA の承認を受け円滑にテストを実施すること。 (2) 下記のテストを実施すること。 また、IPA による受入テストの支援を実施すること。 各テストの方針について提案書に記載すること。 ・本書及び提案書に基づくシステムテスト・本書及び提案書に基づく受入れテスト支援(3) IPA が受入れテスト期間中に実施するセキュリティテスト(ウェブアプリケーションのセキュリティテストを含む)において、発見された問題を解消すること。 また、セキュリティテストの実施に際し、実施日、実施内容等についてクラウドサービス事業者と調整を行うこと。 (4) IPA が受入れテストに併せて IPA が契約した外部業者に実施させる脆弱性診断について発見された問題に対して解消すること。 脆弱性診断と同等のテストを総合テストで実施することが望ましい。 脆弱性診断で実施される想定内容を以下に記載する。 なお、脆弱性診断については、「政府情報システムにおける脆弱性診断導入ガイドライン25」を参考に対応すること。 ① ウェブアプリケーション診断② ソースコード診断③ プラットフォーム診断④ 脆弱性診断(外部公開等)⑤ 脆弱性診断(その他)⑥ ペネトレーションテスト⑦ TLPT(脅威ベースのペネトレーションテスト)上記のうち、②は、請負者が実施していれば不要であり、③から⑤は、利用しているクラウドサービスがISMAP登録済みであれば不要である。 ⑥、⑦については、クラウド基盤の場合は実施不可能と判断する。 (5) Edge、Chrome、Safari等の主要なブラウザの最新バージョンにおいて動作確認を行うこと。 (6) テストにおいて重大な不具合等が発生した場合には、速やかにIPAに報告を行い、不具合原因を取り除き、テスト項目が全て合格するよう努めること。 8.2 テスト計画の策定(1) テスト方針、品質指標、開始及び終了条件、テスト実施体制、テスト方法(利用するツール等を含む)、テストデータ、テスト環境、テスト運営方法等を含むテスト実施計画書を作成し、IPAの承認を得ること。 (2) テスト実施計画書の作成範囲やテスト項目の粒度等についてはIPAと協議の上決定すること。 8.3 テスト結果報告テスト結果報告として、テストの実施後にテスト結果報告書を作成し、IPAの了承を得ること。 25https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/b08708cd/20240131_resources_standard_guidelines_guidelines_05.pdf8.4 テスト方法(1) システムテスト① システムテストは、本番稼動環境と等価である環境において行うものとする。 ② システムテストは、カスタマイズや設定した SaaS 環境およびソフトウェアモジュール等の正常稼働および、本書等に基づいた機能要件および非機能要件を担保するためのテストを実施する。 ③ 「SECURITY ACTION管理システム」とは、安全に分離されている認識であるが、必要に応じて既存機能への想定外の影響を及ぼしていないか確認のための(ノンデグレーション)テストの実施すること。 ④ システムテストに伴って発生する、SaaS 環境およびソフトウェアモジュール等の設定変更作業を行うこと。 ⑤ システムテストに伴って発生する SaaS 環境およびソフトウェアモジュール等の修正や設定変更等の作業を行うこと。 また、テスト終了時にシステムテスト報告書を作成すること。 ⑥ システムテスト工程で発見された不具合等については、システムテスト工程完了時までに対応を完了すること。 (2) 受入れテスト、脆弱性診断① 受入れテストは本番稼動環境において行うものとする。 ② 受入れテスト実施の際は、事前に実施方法を示した上、各設定に関する証跡の提示を行うこと。 ③ テスト実施計画書の作成範囲やテスト項目の粒度等についてはIPAと協議の上決定し、これに基づいて実施する。 請負者は、IPA の作業支援を行うこと。 ④ IPA が契約した外部業者が実施する脆弱性診断の実施に協力するとともに、脆弱性診断において発見された問題に対して解消すること。 ⑤ 受入れテストの結果、納品物件の全部または一部に不合格が生じたときは、直ちに必要な修復を行うこと。 ⑥ テスト実施結果を取りまとめる作業に協力すること。 ⑦ テスト時に使用した一時ファイル等の不要な資産は、テスト終了後に請負者が削除すること。 また、設定等を見直し、システムの稼働が可能な状態とすること。 8.5 テストデータ(1) テストで使用するデータが存在するときは、各テスト実施計画書に使用するデータの種類等を記載し、使用したテストデータをテスト結果とともに納入すること。 (2) テスト終了時には、テスト時に使用した不要なデータ、ユーザID等が存在しない状態であること。 (3) テスト終了時には、テスト時に使用した不要なプロセスおよびサービス等は、運用開始までに完全に停止すること。 9. プロジェクト管理に関する要件9.1 プロジェクトの体制(1) 本委託業務の実施に当たって速やかに実施体制を構築し、事前にIPAの了解を得た上で、実施体制表を提出すること。 (2) 実施体制表には、プロジェクトマネージャー、個人情報取扱責任者を各1名ずつ選任するとともに、各作業の責任者、担当の区別を行い、氏名、所属、担当業務、指揮命令系統及び連絡先を記載すること。 (3) 請負者は、プロジェクトメンバーにプロジェクトの運営経験・能力を有する者がいること。 (4) 請負者は、本システムの特性に類似するシステムの構築経験を有し、システムの安定した運用実績を有すること。 (5) 請負者は、SaaS「d-Gov」もしくは類似の案件によるクラウドサービス提供に関する業務経験を有していること。 (6) 請負者は、SaaS「d-Gov」で利用しているクラウドサービスの認定資格取得者が在籍していること。 (7) 請負者は、以下の資格を有していること。 またはそれと同等の管理等を実施していることを示せること。 ① ISMS若しくはISO/IEC27001(情報セキュリティマネジメントシステム)② ISO/IEC270017(クラウドセキュリティ)(8) プロジェクトマネージャーは、経済産業大臣が認定する情報処理技術者(プロジェクトマネージャ)、プロジェクトマネジメント・スペシャリスト(日本プロジェクトマネジメント協会認定資格)または、米国PMI認定のPMP(Project Management Professional)のいずれかの資格を有し実務経験を有すること。 若しくはこれらと同等の技術水準を満たすことを業務経験等から証明できる者を1名以上含めること。 (9) プロジェクトマネージャーは、官公庁・独立行政法人での構築経験を有しているもしくは、官公庁・独立行政法人の類似の構築案件のプロジェクトマネージャーを経験していること。 (10)官公庁等向けにSaaSを構築、導入した実績・経験を有し、本業務遂行を確実とする履行体制(品質管理体制、支援体制を含む)を確保していること。 (11)業務従事者の中に最新のウェブアクセシビリティJIS規格(JIS X 8341－3:2016)に関する専門的な知識・知見を有する者を含めること。 (12)プロジェクトメンバーに、SaaS「d-Gov」を用いたWebシステム構築、導入支援、運用の実施経験を充分に持つ経験者がいること。 (13)プロジェクトメンバーに変更が生じる場合、その旨をIPA担当者に報告し、承認を得ること。 また、交代する際には現状より能力、技術力、経験等の質を落としてはならない。 (14)情報セキュリティ対策の観点から、情報処理技術者試験の情報処理安全確保支援士試験の合格者またはそれと同等以上の資格等を有し、実務経験を有する要員が含まれることが望ましい。 (15)本業務に従事する者は、日本語での会話及び読み書きが可能で、IPA 役職員と十分な意思疎通が図れること。 (16)本業務をいかなる方法をもってするかを問わず、一括して他者に再委託してはならない(実態が一括して再委託に該当するものは禁止とする)。 ただしこれは再委託を制限するものではない。 (17)運用・保守業務においては、以下のことを遵守すること。 ① 「6.11 運用・保守」に記載された運用・保守を実現できる体制を構築すること。 ② 土日、祝日、年末年始等を除く通常の業務稼働日の9:30から17:30を対応の原則とするが、必要に応じて時間外の対応を実施すること。 ③ 以下のスキルを有する者を含めること。 A) 情報システムおよびネットワークの一次トラブルシューティングに関する業務の実績を有すること。 B) 情報システムのセキュリティ対策に関する実績を有すること。 C) AWSを用いたWebシステムの運用・保守実績を有すること。 D) AWS の認定資格取得者またはそれと同等以上の資格等を有し、実務経験を有する要員が含まれることが望ましい。 E) SaaS「d-Gov」によるクラウドサービス提供に関する業務経験を有していること。 F) 「GビズID」を活用したWebサイトを運用した実績を有すること。 G) 以下の要素技術に関して理解ができ、運用・保守が可能であること。  AWS EKS、S3、ELB、IAM、RDS Auroraを用いた運用連携 AWSのGuard Duty、WAF、CloudFrontの運用連携H) SaaS「d-Gov」の特性に類似するシステムの安定した運用実績を有すること。 9.2 情報管理体制(1) 情報管理体制情報管理体制について、以下に記載する事項を遵守すること。 ① 請負者は本業務で知り得た情報を適切に管理するため、次の履行体制を確保し、IPA に対し「情報セキュリティを確保するための体制を定めた書面(情報管理体制図」」及び「情報取扱者名簿」(氏名、個人住所、生年月日、所属部署、役職等が記載されたもの)を契約前に提出し、IPAの同意を得ること。 (住所、生年月日については、必ずしも契約前に提出することを要しないが、その場合であっても IPA から求められた場合は速やかに提出すること。)なお、情報取扱者名簿は、業務の遂行のため最低限必要な範囲で情報取扱者を掲載すること。 また、IPAとの契約に違反する行為を求められた場合にこれを拒む権利を実効性をもって法的に保障されない者を情報取扱者としてはならない。 (確保すべき履行体制)契約を履行する一環として契約相手方が収集、整理、作成等した一切の情報が、IPAが保護を要さないと確認するまでは、情報取扱者名簿に記載のある者以外に伝達又は漏えいされないことを保証する履行体制を有していること。 IPAが個別に承認した場合を除き、請負者以外の者(請負者に係る親会社、地域統括会社、ブランド・ライセンサー、フランチャイザー、コンサルタント、その他請負者に対して指導、監督、業務支援、助言、監督等を行う者を含む一切の請負者以外の者)に対して伝達または漏えいされないことを保証する履行体制を有していること。 ② ①の情報セキュリティを確保するための体制を定めた書面又は情報取扱者名簿に変更がある場合は、予めIPAへ届出を行い、同意を得なければならない。 ③ 本業務で知り得た一切の情報について、情報取扱者以外の者に開示又は漏えいしてはならないものとする。 ただし、IPAの承認を得た場合は、この限りではない。 ④ 情報セキュリティ対策が不十分であることが判明した場合、またはそうした状態になることが予見された場合は、必要となる改善策を提案しIPAと調整し、適切に対処すること。 ⑤ 請負者は、その従業員、再請負先、若しくはその他の者による意図せざる変更が加えられないための管理を徹底し、プロジェクト計画書に管理体制を記載すること。 ⑥ 請負者は、本事業に従事する者を限定すること。 本事業の実施期間中に従事者を変更等する場合は、事前にIPAに報告すること。 また、請負者はIPAから要請があった場合に、資本関係・役員の情報、本事業の実施場所、本事業の全ての従事者の所属、専門性(情報セキュリティに係る資格・研修実績等)、実績及び国籍に関する情報を提供すること。 ⑦ 請負者は秘密情報や個人情報の取り扱いに留意し、適切に管理を行うこと。 また、情報漏えい防止対策や情報の暗号化、脆弱性への対応など適切に情報セキュリティ対策を実施すること。 ⑧ 請負者は、本事業に係るセキュリティインシデントが発生した場合、速やかにIPA に報告を行い、対処方法を協議のうえ実施すること。 ⑨ 請負者は、IPA との秘密情報の受渡に関して、安全管理措置が講じられた方法を採用すること。 なお、受渡、廃棄・抹消、及び確認方法等の秘密情報取扱に関する具体的な手順については、IPAと協議の上決定する。 ⑩ 請負者は、IPAが実施する情報セキュリティ監査またはシステム監査を受け入れるとともに、指摘事項への対応を行うこと。 ⑪ 請負者は、本事業を再請負する場合は、再請負することにより生ずる脅威に対してセキュリティが十分に確保されるよう、セキュリティ対策の実施を契約等により再請負先に担保させること。 なお、再請負先におけるセキュリティの確保については、請負者の責任とする。 ⑫ 請負者は、本事業におけるセキュリティ対策に関して、本書に記載された要件以外で必要と考えられる措置がある場合はそれを実施すること。 ⑬ 本業務の実施においてクラウドサービスを利用する場合、経済産業省が公表する「クラウドサービス利用のための情報セキュリティマネジメントガイドライン26」に記載されている情報セキュリティ対策を行うこと。 また、「ISMAPクラウドサービスリスト27」又は「ISMAP-LIUクラウドサービスリスト28」(以下、「ISMAP等クラウドサービスリスト」という。)に登録されたものを利用することを原則とする。 ISMAP 等クラウドサービスリストに未登録である場合は、以下のいずれかの条件を満たすサービスを採用すること。  現在申請中で ISMAP クラウドサービスリストに掲載される予定があり、その申請時期が明確に示されていること。  「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針29」の「3.1 クラウドサービスの選択」で示されている、政府機関等に求められている条件に対応していること。 (2) 履行完了後の情報の取扱い① 本業務完了又は本契約が解除その他の理由により終了した場合、IPA が提供した秘密情報や個人情報等の提供した資料は、IPA との間で合意した安全な方法により廃棄/抹消し、廃棄報告書を提出すること。 なお、廃棄報告書は、代表者名で作成し、廃棄の対象物、日時及び手段を含めること。 ② 業務日誌を始めとする経理処理に関する資料については適切に保管すること。 (3) 業務従事者の経歴業務従事者の経歴(氏名、所属、役職、学歴、職歴、業務経験、研修実績その他の経歴、専門的知識その他の知見、母語及び外国語能力、国籍等がわかる資料)を提出すること。 ※経歴提出のない業務従事者の人件費は計上不可。 9.3 スケジュール管理(1) 作業工程ごとに必要な成果物、作業タスクを明確にすること。 (2) 作業タスクごとの、内容、担当者、期間、成果物、レビュー方法、リスク、開始・終了条件及び進捗計測基準を明確にすること。 (3) プロジェクトの進捗状況を定期的に報告し、IPAの承認を得ること。 (4) 全体予定から3日以上計画に遅れが生じた場合は、原因を調査し要員追加や担当者変更等の体制見直しも考慮した改善策を提示し、IPAの承認を得た上で実施すること。 (5) プロジェクトメンバーや担当作業に変更が生じる場合、その旨をリスク分析結果とともにIPAに報告し、承認を得ること。 (6) 定期的に進捗状況報告書を作成の上、作業状況を報告すること。 9.4 品質管理およびリスク管理(1) 品質の検証や改善のため、品質計画および品質評価基準を作成しプロジェクト計画書に記載すること。 (2) 品質評価計画の立案、検証及び品質改善策の検討と実施を管理する体制を確保すること。 (3) 品質確保に関する各種取り組みが手順通り実施されていることを確認し、IPAへ報告すること。 (4) 各種テスト等の完了時には、品質および工程について、IPAの承認を得ること。 (5) プロジェクトの遂行に影響を与えるリスクをプロジェクト開始時に識別し、その発生要因や発生確率、影響度および管理方法等について具体的な分析を行うこと。 (6) 分析結果を記載した報告書等によりIPAへ報告すること。 26 https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudsec2013fy.pdf27 https://www.ismap.go.jp/csm?id=cloud_service_list28 https://www.ismap.go.jp/csm?id=cloud_service_list_liu29 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/a612d406/20250619_resources_standard_guidelines_guideline_08.pdf9.5 課題管理プロジェクトで発生した各種課題を管理するため、次の要件を満たす課題管理を実施すること。 (1) 課題の内容、発見者、発生日、優先度、解決予定日、担当者、対応状況、対応策、対応結果及び解決日等の情報を一元的に管理すること。 (2) 課題対応状況を監視し、解決を促す仕組みを構築し、対応策を含めIPAへ報告すること。 (3) 課題発生時には、速やかにIPAに報告し対応策を検討すること。 9.6 コミュニケーション管理本業務に関する全ての参画者が円滑かつ効率的なコミュニケーションを可能とするため、次の要件を満たすコミュニケーション管理を実施すること。 (1) プロジェクトで実施すべき会議について、内容、出席者、開催頻度、提示情報および必要フォーム等を提案すること。 (2) IPA に提出する報告フォームは、現状、計画との差異、今後の予測および対応策等が盛り込まれていることとし、状況把握および各種判断を容易に行えるものを実現すること。 (3) プロジェクトにおけるコミュニケーションを円滑に行うため、プロジェクト関連情報の作成、収集、配布、共有及び蓄積等の一連のプロセスに関するルールを策定すること。 (4) 進捗管理を始めとした情報共有において、すべてメールでのやり取りを行うことは煩雑さや見落としの要因となるため、IPA へ提案の上、セキュリティに配慮した適切なコミュニケーションツールの利用などを検討すること。 コミュニケーションツールの利用が難しい場合はメールでのコミュニケーションルールを策定し、認識齟齬の無いコミュニケーションを実施すること。 (5) 作業工程ごとにおける各種作業に関する打合せ、成果物等のレビューのほか、進捗・課題等に関する報告を定期的に(2 週間に 1 回以上)行うオンライン会議を開催すること。 対面会議の場合はIPAにて行うが、来構する際にかかる旅費等の費用は請負者にて負担すること。 (6) 会議をオンラインで行う際には、使用についてIPAに確認のうえ、オンライン会議ツールを請負者にて用意すること。 また、セキュリティ対策に充分留意すること。 (7) 会議、報告会等については、会議の内容、対象者及び開催頻度等を明確にすること。 なお、会議の開催頻度等は、各作業工程の状況等を鑑みて、IPAと協議の上、必要に応じて変更すること。 (8) 各会議において議事録を作成し、会議開催後２営業日以内にIPAに提出し承認を得ること。 9.7 その他密にコミュニケーションしながらプロダクトのビジョンを共有して構築を進めるために、円滑で齟齬の無いコミュニケーションが行える方法及びルールを提示し、コミュニケーション管理や PJ 管理ツールの導入をする場合はその費用を提案に含めること。 以上【様式5】情報取扱者名簿(しめい)氏名 個人住所 生年月日 所属部署 役職パスポート番号及び国籍(※４)情報管理責任者(※１) Ａ情報取扱管理者(※２)ＢＣ業務従事者(※３)ＤＥ再委託先 Ｆ(※１)受託事業者としての情報取扱の全ての責任を有する者。 必ず明記すること。 (※２)本委託業務の遂行にあたって主に保護すべき情報を取り扱う者ではないが、本委託業務の進捗状況などの管理を行うもので、保護すべき情報を取り扱う可能性のある者。 (※３)本委託業務の遂行にあたって保護すべき情報を取り扱う可能性のある者。 (※４)日本国籍を有する者及び法務大臣から永住の許可を受けた者(入管特例法の「特別永住者」を除く。)以外の者は、パスポート番号等及び国籍を記載。 (※５)個人住所、生年月日については、必ずしも契約前に提出することを要しないが、その場合であっても担当部門から求められた場合は速やかに提出すること。 【様式6】情報管理体制図(例)【情報管理体制図に記載すべき事項】・ 本委託業務の遂行にあたって保護すべき情報を取り扱う全ての者。 (再委託先も含む。)・ 委託業務の遂行のため最低限必要な範囲で情報取扱者を設定し記載すること。 再委託先業務従事者情報取扱管理者情報管理責任者AB(進捗状況管理)DC(経費情報管理)EF情報取扱者Ⅳ．入札資料作成要領及び評価手順「サプライチェーン強化に向けたセキュリティ対策評価制度システムの構築～SECURITY ACTION管理システムの機能拡張～」入札資料作成要領及び評価手順目 次第1章 入札者が提出すべき資料等1.1 入札者が提出すべき資料1.2 留意事項第2章 提案書の作成要領及び説明2.1 提案書の構成及び記載事項2.2 プロジェクト計画書案の作成方法2.3 提案書様式2.4 留意事項第3章 添付資料の作成要領3.1 個人情報保護体制についての記入方法3.2 情報セキュリティ対策ベンチマーク確認書の記入方法第4章 評価項目一覧の構成と記載要領第5章 評価手順5.1 落札方式5.2 総合評価点の計算5.3 技術審査5.3.1 一次評価5.3.2 二次評価5.3.2.1 基礎点評価5.3.2.2 加点評価第1章 入札者が提出すべき資料等1.1 入札者が提出すべき資料入札者は、独立行政法人 情報処理推進機構(以下「機構」という。)が提示する資料を受け、下表に示す資料を作成し、機構へ提示する。 [入札者が機構に提示する資料]資料名称 資料内容①委任状②入札書詳しくは入札説明書を参照のこと。 ③提案書仕様書に記述された要求仕様をどのように実現するかを説明したもの。 主な項目は以下のとおり。 ・全体方針・情報システムの機能等に関する要件の実現方策・設計に係る要件の実現方策・稼働環境等の要件に対する適合性・運用・保守業務の要件・情報セキュリティ対策要件・実施体制および情報管理体制・納入関連・ワーク・ライフ・バランス等の推進に関する指標別紙：「プロジェクト計画書案」にて作業の体制及び管理方法などについて記載すること。 ④添付資料 以下の資料を添付すること。 ・「個人情報保護体制について」・「情報セキュリティ対策ベンチマーク確認書」・情報取扱者名簿・情報セキュリティを確保するための体制を定めた書面(情報管理体制図)・情報管理に対する社内規則等(社内規則がない場合は代わりとなるもの。)(様式任意)・仕様詳細資料にて提出するよう指示した「資料A」(詳細は仕様詳細資料参照)・仕様詳細資料にて提出するよう指示した「資料B」(詳細は仕様詳細資料参照)⑤補足資料(任意提出)入札者が作成した提案の詳細を説明するための資料。 補足資料に記載されている内容は、直接評価されて点数が付与されることはない。 例：担当者略歴、会社としての実績、実施条件等※ワーク・ライフ・バランス等の推進に関する項目を提案書に含める場合は、認定通知書等の写しを添付すること。 ⑥評価項目一覧 Ⅴ．評価項目一覧にて提示している、本件に係る提案をどのような観点・基準で評価するかを取りまとめた表。 ⑦納税証明書⑧登記簿謄本等⑨提案書受理票詳しくは入札説明書を参照のこと。 1.2 留意事項① 提案書について、目次構成は「Ⅴ.評価項目一覧」の構成と同一とすること。 ② 評価項目一覧の提出にあたっては、「提案書該当ページ」欄に該当する提案書のページ番号が記入されていること、「提案書該当項番」欄に該当する提案書の項番が記入されていること、及び「必須要件」欄に記入漏れがないこと。 第2章 提案書の作成要領及び説明2.1 提案書の構成及び記載事項次表に、「Ⅴ.評価項目一覧」から[提案書の目次]の大項目を抜粋したもの及び求められる提案要求事項の概要を示す。 提案書は、当該「提案書の目次」に従い、提案要求内容を十分に咀嚼した上で実現可能な内容を記述すること。 なお、目次及び要求事項の詳細は、「Ⅴ評価項目一覧」を参照すること。 [提案書目次]提案書目次項番大項目 提案要求事項の概要説明1 全体方針 「Ⅲ．仕様書」の3.構築範囲に対応する、業務の請負範囲等について記載する。 2 構築方針の考え方 「Ⅲ．仕様書」の2.構築方針に対する、本システムへの勧考え方について記載する。 3 情報システムの機能等に関する要件の実現方策「Ⅲ．仕様書」の4.～7.に対応する、情報システムの機能要件、非機能要件、稼働環境等に対する実現方策について記載する。 4 構築プロセスに関する要件の実現方策「Ⅲ．仕様書」の8.に対応する、テスト要件に対する実現方策ついて記載する。 5 プロジェクト管理に関する要件の実現方策「Ⅲ．仕様書」の9.に対応する、プロジェクト管理要件に対する実現方策について記載する。 6ワーク・ライフ・バランス等の推進に関する指標ワーク・ライフ・バランス等の推進に関する認定又は行動計画の策定状況。 ※本項目を提案書に含める場合は、認定通知書等の写しを添付すること。 別紙 プロジェクト計画書案本件を確実に実施するための、体制、要員、工程計画、工程管理計画、品質保証計画、セキュリティ計画などについて「プロジェクト計画書案」としてまとめたもの。 詳細は、2.2プロジェクト計画書案の作成方法を参照のこと。 注)この提案書別紙は、採点の対象となる。 2.2 プロジェクト計画書案の作成方法PMBOK等に基づいたプロジェクト計画書案を作成の上、提案書の別紙として提出すること。 また、当該項目への提案内容により不合格となることはない。 提案書ページ番号【入札者が記載する欄】作成した提案書における該当ページ番号を記載する。 該当する提案書の頁が存在しない場合には空欄とする。 評価者は、本欄に記載されたページを各提案要求事項に係る提案記述の開始ページとして採点を行う。 プロジェクト計画書案については、別紙における該当ページ番号を記載すること。 遵守確認欄 【入札者が記載する欄】評価区分が「遵守確認事項」の場合に、入札者は、遵守確認事項を実現・遵守可能である場合は○を、実現・遵守不可能な場合(実現・遵守の範囲等について限定、確認及び調整等が必要な場合等を含む)には×を記載する。 配点構成及び審査基準 評価区分が「提案要求事項(必須)」または「提案要求事項(任意)」の評価項目に対して、どのような基準で採点するかを示している。 第5章 評価手順5.1 落札方式次の要件を共に満たしている者のうち、「5.2① 総合評価点の計算」によって得られた数値の最も高い者を落札者とする。 ① 入札価格が予定価格の制限の範囲内であること。 ②「Ⅴ．評価項目一覧」の遵守確認事項及び評価区分の必須項目を全て満たしていること。 5.2 総合評価点の計算① 総合評価点の計算総合評価点 ＝ 技術点 ＋ 価格点技術点＝ 基礎点 ＋ 加点価格点＝ 価格点の配分 × ( 1 － 入札価格 ÷ 予定価格)※価格点は小数点第2位以下を切り捨てとする。 ②得点配分技術点205点価格点102点5.3 技術審査5.3.1 一次評価一次評価として、「Ⅴ．評価項目一覧」の各事項について、次の要件を全て満たしているか審査を行う。 一次評価で合格した提案書について、次の「5.3.2 二次評価」を行う。 ① 「遵守確認事項」欄の全てに「○」が記入されていること。 ② 「提案書該当ページ」欄に提案書のページ番号が記入されていること。 ③ 「提案書該当項番」欄に提案書の項番が記入されていること。 5.3.2 二次評価上記の「5.3.1 一次評価」で合格した提案を対象として、「Ｖ．評価項目一覧」で示す、評価項目、提案分類に基づき、技術審査を行う。 なお、ヒアリングを実施した場合には、ヒアリングより得られた評価を加味するものとする。 評価にあたっては、複数審査員の評価の平均によって各項目を評価し、評価に応じた得点の合計をもって技術点とする。 5.3.2.1 基礎点評価提案内容が、必須要件事項を満たしている場合に基礎点を付与し、そうでない場合は0点とする。 一つでも必須要件事項を満たしていないと評価(0点)した場合は、その入札者を不合格とし、価格点の評価は行わない。 5.3.2.2 加点評価提案要求事項(任意)に対し、評価項目の内容を満たした場合のみ加点を付与する。 ただし、「4 ワーク･ライフ・バランス等の推進に関する指標」については、下表の評価基準に基づき加点を付与する。 複数の認定等が該当する場合は、最も配点が高い区分により加点を付与する。 認定等の区分 項目別得点女性活躍推進法に基づく認定(えるぼし認定企業・プラチナえるぼし認定企業)等プラチナえるぼし(※1) 6えるぼし3段階目(※2) 5えるぼし2段階目(※2) 4えるぼし1段階目(※2) 3行動計画策定(※3) 1次世代法に基づく認定(くるみん認定企業・トライくるみん認定企業・プラチナくるみん認定企業)等プラチナくるみん(※4) 6くるみん(令和7年4月1日以後の基準)(※5)5くるみん(令和4年4月1日～令和7年3月31日までの基準)(※6)4トライくるみん(令和7年4月1日以後の基準)(※7)4くるみん(平成29年4月1日～令和4年3月31日までの基準)(※8)3トライくるみん(令和4年4月1日～令和7年3月31日までの基準)(※9)3くるみん(平成29年3月31日までの基準)(※10)2行動計画(令和7年4月1日以後の基準)(※3、※11)1若者雇用促進法に基づく認定(ユースエール認定企業) 4※1 女性活躍推進法第12条の規定に基づく認定※2 女性活躍推進法第9条の規定に基づく認定なお、労働時間等の働き方に係る基準は満たすことが必要。 ※3 常時雇用する労働者の数が100人以下の事業主に限る(計画期間が満了していない行動計画を策定している場合のみ)。 ※4 次世代法第15条の2の規定に基づく認定※5 次世代法第13条の規定に基づく認定のうち、次世代育成支援対策推進法施行規則の一部を改正する省令(令和６年厚生労働省令第146号。以下「令和６年改正省令」という。)による改正後の次世代育成支援対策推進法施行規則(以下「新施行規則」という。)第４条第１項第１号及び第２号に掲げる基準による認定※6 次世代法第13条の規定に基づく認定のうち、令和６年改正省令による改正前の次世代育成支援対策推進法施行規則第４条第１項第１号及び第２号又は令和６年改正省令附則第２条第２項の規定によりなお従前の例によることとされた令和６年改正省令による改正前の次世代育成支援対策推進法施行規則第４条第１項第１号及び第２号に掲げる基準による認定(ただし、※8及び※10の認定を除く。)※7 次世代法第13条の規定に基づく認定のうち、新施行規則第４条第１項第３号及び第４号に掲げる基準による認定※8 次世代法第13条の規定に基づく認定のうち、次世代育成支援対策推進法施行規則の一部を改正する省令(令和３年厚生労働省令第185号。以下「令和３年改正省令」という。)による改正前の次世代育成支援対策推進法施行規則第４条又は令和３年改正省令附則第２条第２項の規定によりなお従前の例によることとされた令和３年改正省令による改正前の次世代育成支援対策推進法施行規則第４条に掲げる基準による認定(ただし、※10の認定を除く。)※9 次世代法第13条の規定に基づく認定のうち、令和６年改正省令による改正前の次世代育成支援対策推進法施行規則第４条第１項第３号及び第４号又は令和６年改正省令附則第２条第２項の規定によりなお従前の例によることとされた令和６年改正省令による改正前の次世代育成支援対策推進法施行規則第４条第１項第３号及び第４号に掲げる基準による認定※10 次世代法第13条の規定に基づく認定のうち、次世代育成支援対策推進法施行規則等の一部を改正する省令(平成29年厚生労働省令第31号。 以下「平成29年改正省令」という。 )による改正前の次世代育成支援対策推進法施行規則第４条又は平成29年改正省令附則第２条第３項に掲げる基準による認定※11 次世代法第12条の規定に基づく一般事業主行動計画のうち、育児休業、介護休業等育児又は家族介護を行う労働者の福祉に関する法律及び次世代育成支援対策推進法の一部を改正する法律(令和６年法律第42号)による改正後の次世代法第12条第５項の規定に基づき令和７年４月１日以後に策定又は変更を行ったもの【様式-Ａ】個人情報保護体制について本様式は、個人情報の取扱いに関して御社が講じている保護措置について確認することを目的としております。 お手数ですが、最初に「ご回答者連絡先」を記入し、以下の設問に回答(はい、いいえのいずれかを〇で囲みください。)の上、必要事項の追加記入をお願い致します。 余白を縦横に伸縮してご記入ください。 ご回答者連絡先組織名部署名氏名連絡先電話番号メールアドレスＱ１．個人情報保護に係るプライバシーポリシー・規程・マニュアルはございますか。 【 は い ・ いいえ 】「は い」を○で囲んだ方は、以下の事項を記入してください。 以下に名称、作成年月日、作成の参考にした業界ガイドライン(名称・作成機関名)を記入してください。 【個人情報保護に関するプライバシーポリシー・規程・マニュアル】Ｑ２．個人情報保護に係る組織内体制はありますか。 【 は い ・ いいえ 】「は い」を○で囲んだ方は、以下の事項を記入してください。 以下に担当部門、役職名、役割、担当業務範囲を記入してください。 【個人情報保護に係る組織内体制】Ｑ３．個人情報を取扱う従事者(派遣職員、アルバイトを含む)への教育・研修を実施しておりますか。 【 は い ・ いいえ 】「は い」を○で囲んだ方は、以下の事項を記入してください。 以下に実施部門、開催時期・年間回数、対象者、使用テキストを記入してください。 【個人情報保護に係る従事者への教育・研修体制】Ｑ４．個人情報保護に係る監査規程はありますか。 【 は い ・ いいえ 】「は い」を○で囲んだ方は、以下の事項を記入してください。 以下に監査規程(名称、制定年月日)を記入してください。 また、すでに監査の実績がある場合は、直近の監査実施日を記入してください。 【個人情報保護に係る監査規程・直近の監査実施日】Ｑ５．情報処理システムの安全対策はありますか。 【 は い ・ いいえ 】「は い」を○で囲んだ方は、以下の事項を記入してください。 【情報処理システムの安全対策】「いいえ」と回答した設問に対して、このたびのＩＰＡからの個人情報を取扱う業務を実施する上でご検討されている保護措置の案があれば以下にご記入ください。 形式は自由です。 余白を縦横に伸縮してご記入ください。 【今回の個人情報を取扱う業務でご検討されている保護措置案】Ｑ６．認定団体からプライバシーマークを付与されておりますか。 【 は い ・ いいえ 】「は い」を○で囲んだ方は、以下の事項を記入(上書き)してください。 認定番号：○○○○○○○有効期間：○○○○年○○月○○日 ～ ○○○○年○○月○○日【様式－Ｂ】令和 年 月 日[法人名][責任者役職・氏名]情報セキュリティ対策ベンチマーク確認書情報セキュリティ対策ベンチマークを実施し、下記の評価結果に相違ないことを確認します。 記1.確認日時令和 年 月 日 【実際に確認を行った日時】2. 確認対象【情報セキュリティ対策ベンチマークの確認を行った範囲について記載(例、本件業務を請け負われる部署を含む組織体等の名称)】3. 情報セキュリティ対策ベンチマーク実施責任者【情報セキュリティ対策ベンチマークによる確認を実施した者。 】4. 確認結果全項目に係る平均値：なお、ベンチマーク実施出力結果を別紙として添付します。 Ⅴ．評価項目一覧「評価項目一覧」を参照のこと。