【電子入札システム対応】令和７年度子どもの健康と環境に関する全国調査（エコチル調査）データ共有システム運用・保守業務

【電子入札システム対応】令和７年度子どもの健康と環境に関する全国調査（エコチル調査）データ共有システム運用・保守業務 入 札 公 告次のとおり一般競争入札に付します。令和７年３月３日 国立研究開発法人国立環境研究所理事長 木本 昌秀１．競争入札に付する事項(１)件 名：【電子入札システム対応】令和７年度子どもの健康と環境に関する全国調査(エコチル調査)データ共有システム運用・保守業務(２)契約期間：令和７年４月１日から令和８年３月３１日までただし、国立研究開発法人国立環境研究所が環境大臣より認可を受けた現(３)仕 様：仕様書による。(４)履行場所：仕様書による。２．競争参加資格(１)令和４・５・６年度環境省競争参加資格(全省庁統一資格)の「役務の提供等」の「情報処理」又は「ソフトウェア開発」において、「Ｂ」、「Ｃ」又は「Ｄ」の等級に格付けされている者であること。ただし、令和７・８・９年度環境省競争参加資格(全省庁統一資格)において、「役務の提供等」の「情報処理」又は「ソフトウェア開発」の資格を引き続き取得すること。(２)国立研究開発法人国立環境研究所契約事務取扱細則第５条の規定に該当しない者であること。なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者については、同条中、特別の理由がある場合に該当する。(３)国立研究開発法人国立環境研究所契約事務取扱細則第６条の規定に該当しない者であること。(４)契約者等から取引停止の措置を受けている期間中の者でないこと。(５)入札説明書において示す暴力団排除等に関する誓約事項に誓約できる者であること。(６)請負者は、データ共有システムを構成するOBiBa製品群(Opal、Rock、DataSHIELD)の構築及び運用保守の実績があること。(７)請負者は、品質マネジメントシステムの規格である「JIS Q 9001」又は｢ISO9001」の認定、および情報セキュリティ実施基準である「JIS Q 27001」、「ISO/IEC27001」又は「ISMS」の認証を有していること。(８)請負者は、個人情報保護に係る以下のいずれかの条件を満たすこと。・一般財団法人日本情報経済社会推進協会のプライバシーマーク制度の認定を受けているか、又は同等の個人情報保護のマネジメントシステムを確立していること。・個人情報を扱うシステムのセキュリティ体制が適切であることを第三者機関に認定された事業者であること。３．電子入札システムの利用本件調達は電子入札システムで行う。なお、同システムによりがたい者は紙入札方式によることができる。・https://www.ebs-cloud.fwd.ne.jp/CALS/Accepter/index.jsp?name1=06A0064006A00600４．入札説明書等の交付場所(１)入札の方法等は別途交付する入札説明書によるので、必ず参照すること。(２)交付場所〒３０５－８５０６ 茨城県つくば市小野川１６－２国立研究開発法人国立環境研究所 総務部会計課契約第一係 及び 当研究所ＨＰ上ＴＥＬ ０２９－８５０－２７７５ ＦＡＸ ０２９－８５０－２３８８(担当：林)５．入札説明書等に対する質問(１)質問書受領期限令和７年３月１０日(月)１６時００分まで(２)提出方法：電子メールによるデータ(指定様式(※))の送付とする(データ送付先:chotatsu@nies.go.jp)。なお、メールの件名を【質問の提出(令和７年度子どもの健康と環境に関する全国調査(エコチル調査)データ共有システム運用・保守業務)(担当：林)】とすること。※当研究所ＷＥＢサイトに掲載(本公告掲載先と同一 ページ)６．回答書閲覧期間及び場所令和７年３月１４日(金)１０時００分から令和７年３月２８日(金)１５時００分まで当研究所ＨＰ上(本公告掲載先と同一ページ)において閲覧可能である。ただし、質問のない場合は掲示しない。７．入札参加資格証明書類等の提出期限(１)提出期限及び提出場所令和７年３月２４日(月)１６時００分まで ４．(２)に示すとおり(２)提出方法：書面の持参又は郵送(書留郵便等の配達記録が残る方法に限り、受領期間必着とする)によるものとする。また、電子メール又は電子入札システム(同システムにより入札する者に限る。)による電子データの提出も可とする。メールの場合は、件名を【入札参加資格証明書類の提出(令和７年度子どもの健康と環境に関する全国調査(エコチル調査)データ共有システム運用・保守業務)(担当：林)】とし、chotatsu@nies.go.jp あて送信すること。８．入札及び開札の日時及び場所令和７年３月２８日(金)１５時００分国立研究開発法人国立環境研究所 研究本館Ⅱ １階 第１会議室(茨城県つくば市小野川１６－２)９．入札方法入札金額については、１．(１)の業務に関する一切の費用を含めた額とする。落札決定に当たっては、入札書に記載された金額に課税対象金額の１０％に相当する額を加算した金額(当該金額に１円未満の端数があるときは、その金額を切り捨てるものとする。)をもって落札価格とするので、入札参加者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず見積もった契約金額から課税額を除いた金額を入札書に記載する。１０．その他留意事項(１)入札及び契約手続きにおいて使用する言語及び通貨は、日本語及び日本国通貨に限る。(２)入札保証金 免除(３)契約保証金 免除(４)入札の無効 本公告に示した競争参加資格のない者がした入札及び入札に関する条件に違反した入札書は無効とする。(５)契約書作成の要否 要(６)落札者の決定方法入札書に記載されている入札書の提出方法、競争参加資格、仕様等の要求要件を全て満たし、仕様書において明らかにした性能等の要求要件のうち必須とされた項目の最低限の要求要件を全て満たし、当該入札書の入札価格が国立研究開発法人国立環境研究所契約事務取扱細則第１３条の規定に基づいて作成された予定価格の制限の範囲内で最低価格をもって有効な入札を行った入札者を落札者とする。ただし、落札者となるべき者の入札価格が調査基準価格を下回る場合は、落札決定を保留の上、低入札価格調査を実施することとし、落札者となるべき者はこの調査に応じなければならない。低入札価格調査の結果、その者により当該契約の内容に適合した履行がなされないおそれがあると認められるとき又は、その者と契約を締結することが公正な取引の秩序を乱すこととなるおそれがあって著しく不適当であると認められるときは、予定価格の制限の範囲内の価格をもって入札した他の者のうち最低の価格をもって入札した者を落札者とする。 入 札 説 明 書【電子入札システム対応】令和７年度子どもの健康と環境に関する全国調査(エコチル調査)データ共有システム運用・保守業務令和７年３月国立研究開発法人国立環境研究所当研究所の一般競争に係る入札公告(令和７年３月３日付)に基づく入札については、関係法令に定めるもののほか、この入札説明書による。１．競争入札に付する事項(１)件 名 【電子入札システム対応】令和７年度子どもの健康と環境に関する全国調査(エコチル調査)データ共有システム運用・保守業務(２)契約期間 令和７年４月１日から令和８年３月３１日まで(３)仕 様 仕様書による。(４)履行場所 仕様書による。(５)入札保証金 免除(６)契約保証金 免除２．競争参加に必要な資格(１)令和４・５・６年度環境省競争参加資格(全省庁統一資格)の「役務の提供等」の「情報処理」又は「ソフトウェア開発」において、「Ｂ」、「Ｃ」又は「Ｄ」の等級に格付けされている者であること。ただし、令和７・８・９年度環境省競争参加資格(全省庁統一資格)において、「役務の提供等」の「情報処理」又は「ソフトウェア開発」の資格を引き続き取得すること。(２)国立研究開発法人国立環境研究所契約事務取扱細則第５条の規定に該当しない者であること。なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者については、同条中、特別の理由がある場合に該当する。(３)国立研究開発法人国立環境研究所契約事務取扱細則第６条の規定に該当しない者であること。(４)契約者等から取引停止の措置を受けている期間中の者でないこと。(５)入札説明書において示す暴力団排除等に関する誓約事項に誓約できる者であること。(６)請負者は、データ共有システムを構成するOBiBa製品群(Opal、Rock、DataSHIELD)の構築及び運用保守の実績があること。(７)請負者は、品質マネジメントシステムの規格である「JIS Q 9001」又は｢ISO9001」の認定、および情報セキュリティ実施基準である「JIS Q 27001」、「ISO/IEC27001」又は「ISMS」の認証を有していること。(８)請負者は、個人情報保護に係る以下のいずれかの条件を満たすこと。・一般財団法人日本情報経済社会推進協会のプライバシーマーク制度の認定を受けているか、又は同等の個人情報保護のマネジメントシステムを確立していること。・個人情報を扱うシステムのセキュリティ体制が適切であることを第三者機関に認定された事業者であること。３．入札心得(１)入札参加者は、仕様書及び添付書類を熟読のうえ、入札しなければならない。(２)入札参加者は、前項の書類について疑義があるときは、関係職員の説明を求めることができる。(３)入札参加者は、入札後、仕様書及び添付書類についての不明等を理由として異議を申し立てることはできない。４．電子入札システムの利用本件調達は電子入札システムで行うため、同システムの電子認証(代表者又はその委任を受けた者のＩＣカードに限る。)を取得していること。・https://www.ebs-cloud.fwd.ne.jp/CALS/Accepter/index.jsp?name1=06A0064006A00600なお、同システムによりがたい者は、紙入札方式によることができる。ただし、紙入札方式参加届(別紙１)を７．(１)に示す期間及び場所に提出すること。提出は、書面の持参若しくは郵送又は電子メールによること。５．入札及び開札の日時及び場所令和７年３月２８日(金)１５時００分国立研究開発法人国立環境研究所 研究本館Ⅱ １階 第１会議室(茨城県つくば市小野川１６－２)６．入札説明書等に対する質問(１) 入札説明書に対する質問がある場合においては、次に従い、質問書を提出すること。①提出期間：令和７年３月３日(月)から令和７年３月１０日(月)１６時００分まで。②提出場所：〒３０５－８５０６茨城県つくば市小野川１６－２国立研究開発法人国立環境研究所 総務部会計課契約第一係ＴＥＬ ０２９－８５０－２７７５ (担当：林)③提出方法：電子メールによるデータ(指定様式(※))の送付とする(データ送付先:chotatsu@nies.go.jp)。なお、メールの件名を【質問の提出(令和７年度子どもの健康と環境に関する全国調査(エコチル調査)データ共有システム運用・保守業務)(担当：林)】とすること。※当研究所ＷＥＢサイトに掲載(本公告掲載先と同一ページ)(２)(１)の質問に対する回答書は、次のとおり閲覧に供する。①期 間：令和７年３月１４日(金)１０時００分から令和７年３月２８日(金)１５時００分まで。②閲覧場所：当研究所ＷＥＢサイト(本公告掲載先と同一ページ)(３)(１)の質問がない場合、(２)については行わないものとする。７．入札参加資格証明書類等の提出(１) 入札に参加しようとする者は、本入札説明書２．(１)、(６)、(７)及び(８)の証明書類を次に従い提出すること。なお、(６)については実績を証明するものとして、契約書又は報告書等の写し等、(７)及び(８)については、認定証の写し等を添付すること。(※)※いずれも提出された書類については返却しない。①提出期限：令和７年３月２４日(月)１６時００分②提出場所：本入札説明書６．(１)②と同じ③提出方法：書面は持参、又は郵送(書留郵便等の配達記録が残る方法に限り、受領期間必着とする。)により提出する。また、電子入札システム(同システムにより入札する者に限る。)若しくは電子メール(送付先：chotatsu@nies.go.jp)による電子データの提出も可とする。メールの場合、件名を【入札参加資格証明書類の提出(令和７年度子どもの健康と環境に関する全国調査(エコチル調査)データ共有システム運用・保守業務)(担当：林)】とすること。(２)(１)のとおり提出された書類による本競争参加の可否については、次の期間までに連絡をする。①期 間：入札日及び開札の２営業日前１７時００分。８．入札及び開札(１)電子入札の場合①７．(１)①の日時までに、電子入札システムの証明書等提出画面において、２．(１)、(６)、(７)及び(８)の競争参加資格を有することを証明する書類を提出すること。②５．の日時までに、同システムに定める手続に従って入札を行うこと。通信状況によっては当該期限内に入札情報が到着しない場合があるので、時間的余裕を持って行うこと。③入札金額については、１．(１)の業務に関する一切の費用を含めた額とする。 ④落札決定に当たっては、入札書に記載された金額に課税対象金額の１０％に相当する額を加算した金額(当該金額に１円未満の端数があるときは、その金額を切り捨てるものとする)をもって落札価格とするので、入札参加者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず見積もった契約金額から課税額を除いた金額を入力するものとする。⑤同システムにより入札した場合には、本入札説明書において示す暴力団排除等に関する誓約事項に誓約したものとして取り扱うこととする。⑥入札者又は代理人等は、開札時刻に同システムの端末の前で待機しなければならない。⑦事由のいかんにかかわらず入札の引換え、変更又は取消しを行うことができない。⑧入札参加者が連合し、又は不穏の行動をなす等の場合において、入札を公正に執行することができないと認められるときは、当該入札参加者を入札に参加させず、又は入札の執行を延期し、若しくは取りやめることがある。(２)紙入札の場合①入札書(別紙２)には、入札参加者の住所、氏名を記入し、金額の記入はアラビア数字を用いて鮮明に記載すること。なお、郵送による提出の際は入札書に入札回数(第○回)を記載すること。②入札書及び入札に係る文書に使用する言語は、日本語に限るものとし、また入札金額は、日本国通貨による表示に限るものとする。③入札金額については、１．(１)の業務に関する一切の費用を含めた額とする。④落札決定に当たっては、入札書に記載された金額に課税対象金額の１０％に相当する額を加算した金額(当該金額に１円未満の端数があるときは、その金額を切り捨てるものとする)をもって落札価格とするので、入札参加者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず見積もった契約金額から課税額を除いた金額を入札書に記載するものとする。⑤入札書は、別紙の書式により作成し、封かんの上で持参又は郵送により提出するものとする。⑥入札書を持参する場合は、入札書を封かんし、入札参加者の商号又は名称、入札件名及び開札日時を記載し、入札及び開札日に入札箱に投入すること。⑦新型コロナウイルスによる感染症(ＣＯＶＩＤ－１９)の感染拡大防止のため、当面の間郵送による入札書の提出は３通まで認めることとする。入札書を郵送により提出する場合は、二重封筒とし、表封筒に入札書在中の旨を朱書し、中封筒に入札参加者の入札参加者の商号又は名称、入札件名及び開札日時並びに入札回数(○回目)を記載して書留郵便(配達証明付)により、次に従い郵送すること。提出期限：入札及び開札の前日(※)１６時００分※土・日曜日、祝祭日及び年末年始(１２月２９日から１月３日)を除く。提出場所：本入札説明書６．(１)②と同じ⑧入札参加者は、入札書を提出する際には、本入札説明書２．(１)の競争参加資格を有することを証明する書類を提出すること。⑨入札参加者は、代理人又は復代理人(以下「代理人等」という。)をして入札させるときは、その委任状(別紙３、４)を持参させなければならない。⑩入札参加者又はその代理人等は、当該入札に対する他の入札参加者の代理をすることができない。⑪開札は、入札参加者の面前で行う。ただし、入札参加者又はその代理人等が開札場所に出席しないときは、入札執行事務に関係のない職員を立会させて開札する。この場合、異議の申し立てはできない。⑫入札参加者又はその代理人等は、開札時刻後においては、開札場に入場することはできない。⑬提出済の入札書は、その事由のいかんにかかわらず引換え、変更又は取消しを行うことができない。⑭入札参加者が連合し、又は不穏の行動をなす等の場合において、入札を公正に執行することができないと認められるときは、当該入札参加者を入札に参加させず、又は入札の執行を延期し、若しくは取りやめることがある。９．入札の無効次の各号に該当する入札書は無効とする。(１)競争に参加する資格を有しない者の提出した入札書(２)紙入札において、委任状を持参しない代理人等の提出した入札書(３)紙入札において、記名を欠いた入札書(４)入札金額の記載が不明確な入札書(５)入札金額の記載を訂正した入札書(６)誤字、脱字等により意志表示が不明瞭である入札書(７)明らかに連合によると認められる入札書(８)同一事項の入札について、他の入札参加者の代理人等を兼ねた者の入札書(９)同一入札執行回について、入札参加者又はその代理人等が二通以上の入札書を提出した場合(10)その他の入札に関する条件に違反した入札書１０．落札の決定本入札説明書２の競争参加資格及び仕様書等の要求要件を全て満たし、当該入札書の入札価格が国立研究開発法人国立環境研究所契約事務取扱細則第１３条の規定に基づいて作成された予定価格の範囲内で、最低の価格をもって有効な入札を行った者を落札者とする。ただし、落札者となるべき者の入札価格が調査基準価格を下回る場合は、落札決定を保留の上、低入札価格調査を実施することとし、落札者となるべき者はこの調査に応じなければならない。低入札価格調査の結果、その者により当該契約の内容に適合した履行がなされないおそれがあると認められるとき又は、その者と契約を締結することが公正な取引の秩序を乱すこととなるおそれがあって著しく不適当であると認められるときは、予定価格の制限の範囲内の価格をもって入札した他の者のうち最低の価格をもって入札した者を落札者とする。１１．再度入札開札した場合において、入札参加者の入札のうち予定価格の制限に達した価格の入札が無いときは、直ちに再度の入札を行う。なお、再度入札の回数は原則として２回を限度とする。ただし、郵便による入札を行い、開札当日に入札参加者又はその代理人等が開札場所に出席しない場合においては、入札書の提出数以降の再度入札による入札に参加できないため注意すること。１２．同価格の入札が２人以上ある場合の落札者の決定(１)落札者となるべき同価格の入札をした者が２人以上あるときは、電子入札システムによる電子くじにより落札者を決定する。電子入札システムにより入札を行う場合は、入札時に任意の３桁の数字を入力すること。紙入札による場合は、入札書(別紙２)の記載欄に任意の３桁の数字を記載すること。なお、入力された数字は乱数処理により変換された数字により落札者を決定するため、指定した数字が直接判定に用いられるものではない。 (２)前項の場合において、数字の指定を行わない者があるときは、職員が任意の数字を入力する。１３．落札内訳書の提出(１)落札者は、落札者の決定後すみやかに落札額に応じた内訳書を提出すること。なお、内訳書は、可能な限り詳細に記載すること。(２)内訳書の様式は自由とする。(３)内訳書は返却しない。１４．契約書等の提出(１)契約書を作成する場合においては、落札者は、契約担当者等から交付された契約書の案(別紙５)に記名押印し、速やかにこれを契約担当者等に提出しなければならない。(２)契約書及び契約に係る文書に使用する言語及び通貨は、日本語及び日本国通貨による。(３)契約担当者等が契約の相手方とともに契約書に記名押印しなければ、本契約は確定しないものとする。１５．契約者の氏名国立研究開発法人国立環境研究所 理事長 木本 昌秀１６．入札結果及び契約情報の公表について① 入札結果の公表落札者が決定したときは、その入札結果(落札者を含めた入札者全員の商号又は名称及び入札価格)について、開札場において発表するとともに電子入札システムにおいて公表する予定である。② 契約情報の公表契約を締結したときは、後日当該契約情報を当法人のＨＰにおいて公表する。独立行政法人が行う契約については、「独立行政法人の事務・事業の見直しの基本方針(平成２２年１２月７日閣議決定)」において、独立行政法人と一定の関係を有する法人と契約をする場合には、当該法人への再就職の状況、当該法人との間の取引等の状況について、情報を公開する等の取組を進めることとされている。これに基づき、以下のとおり、当法人との関係に係る情報を当法人のＨＰで公表することとするので、所要の情報の当法人への提供及び情報の公表に同意の上で、応札若しくは応募又は契約の締結を行っていただくようお願いする。なお、応札若しくは応募又は契約の締結をもって、同意されたものとみなすこととする。1) 公表の対象となる契約先次のいずれにも該当する契約先ア．当法人において役員を経験した者が再就職をしていること又は課長相当職以上の職を経験した者が役員、顧問等として再就職していることイ．当法人との間の取引高が、総売上高又は事業収入の３分の１以上を占めていること2) 公表する情報上記に該当する契約先との契約(予定価格が一定の金額を超えない契約や光熱水料の支出に係る契約等は対象外)について、契約ごとに、物品・役務等の名称及び数量、契約締結日、契約先の名称、契約金額等と併せ、次に掲げる情報を公表する。ア．前記②1)アに該当する再就職者の人数、職名及び当法人における最終職名イ．当法人との間の取引高ウ．総売上高又は事業収入に占める当法人との間の取引高の割合が、次の区分のいずれかに該当する旨・３分の１以上２分の１未満・２分の１以上３分の２未満・３分の２以上エ．一者応札又は一者応募である場合はその旨3) 提供を求める情報ア．契約締結時点における前記②1)アに該当する再就職者に係る情報(人数、職名及び当法人における最終職名)イ．直近の事業年度における総売上高又は事業収入及び当法人との間の取引高4) 公表の時期契約締結日の翌日から起算して原則７２日以内(４月中に締結した契約については原則９３日以内)１７．電子入札システムの操作及び障害発生時の問合せ先電子入札システム ポータルサイトアドレス：https://www.nies.go.jp/osirase/chotatsu/kokoku/e-bidding/index.htmlヘルプデスク 0570-021-777(受付時間：平日9:00～12:00及び13:00～17:30)Email:sys-e-cydeenasphelp.rx@ml.hitachi-systems.com(別紙１)年 月 日紙入札方式参加届国立研究開発法人国立環境研究所理事長 殿住 所商号又は名称代表者名下記入札案件について、紙入札方式での参加をいたします。件名： 令和７年度子どもの健康と環境に関する全国調査(エコチル調査)データ共有システム運用・保守業務担当者等連絡先部署名 ：担当者名：責任者名：ＴＥＬ ：E-mail ：(別紙２)入 札 書金 円電子くじに入力する数字(任意の３桁)：件名 令和７年度子どもの健康と環境に関する全国調査(エコチル調査)データ共有システム運用・保守業務上記金額をもって貴所入札説明書承諾のうえ入札します。御採用のうえは確実に履行いたします。なお、入札説明書別紙６の暴力団排除等に関する誓約事項に誓約します。年 月 日住 所商号又は名称代 表 者 名国立研究開発法人国立環境研究所 理事長 殿担当者等連絡先部署名 ：担当者名：責任者名：ＴＥＬ ：E-mail ：＜記入例＞入 札 書金 円※仕様書で示す業務内容及び業務契約期間に係る一切の費用を記載(電子入札システムでは入力)すること。電子くじに入力する数字(任意の３桁)：件名 令和７年度子どもの健康と環境に関する全国調査(エコチル調査)データ共有システム運用・保守業務上記金額をもって貴所入札説明書承諾のうえ入札します。御採用のうえは確実に履行いたします。なお、入札説明書別紙６の暴力団排除等に関する誓約事項に誓約します。××年××月××日住 所 ○○県○○市○○１－２－３商号又は名称 株 式 会 社 △ △ △ △代 表 者 名 代表取締役 □ □ □ □＜(復)代理人 ◎ ◎ ◎ ◎ ＞※代理人又は復代理人が入札する際は、代表者に代わり代理人又は復代理人が記名すること国立研究開発法人国立環境研究所 理事長 殿担当者等連絡先部署名 ：担当者名：責任者名：ＴＥＬ ：E-mail ：(別紙３)年 月 日委 任 状国立研究開発法人国立環境研究所 理事長 殿住 所商号又は名称代 表 者 名今般、私は、 を代理人と定め、令和７年３月３日付け公示された国立研究開発法人国立環境研究所の「令和７年度子どもの健康と環境に関する全国調査(エコチル調査)データ共有システム運用・保守業務」に関し、下記の権限を委任いたします。受任者：住 所商号又は名称役職・氏名記1.本入札に係る一切の権限2.1.の事項に係る復代理人を選任すること担当者等連絡先部署名 ：担当者名：責任者名：ＴＥＬ ：E-mail ：(別紙４)年 月 日委 任 状国立研究開発法人国立環境研究所 理事長 殿住 所商号又は名称氏 名今般、私は、 を復代理人と定め、令和７年３月３日付け公示された国立研究開発法人国立環境研究所の「令和７年度子どもの健康と環境に関する全国調査(エコチル調査)データ共有システム運用・保守業務」に関し、下記の権限を委任いたします。受任者：住 所商号又は名称役職・氏名記1.本入札に係る一切の権限担当者等連絡先部署名 ：担当者名：責任者名：ＴＥＬ ：E-mail ：(別紙５)契 約 書(案)国立研究開発法人国立環境研究所 理事長 木本 昌秀(以下「甲」という。)と、(以下「乙」という。 )とは、次の条項により契約を締結する。１．件 名 令和７年度子どもの健康と環境に関する全国調査(エコチル調査)データ共有システム運用・保守業務２．契約金額 総額 金 円(うち消費税額及び地方消費税額 円)３．契約期間 自 令和７年４月１日 至 令和８年３月３１日ただし、国立研究開発法人国立環境研究所が環境大臣より認可を受けた現在の中長期計画は、令和７年度までの期間である。よって、環境大臣より、独立行政法人通則法(平成１１年法律第１０３号)第３５条の５による次期中長期計画の認可を受けることを停止条件とする旨の条項を定めた契約書を落札者と締結する。４．契約保証金 免除５．契約履行の場所及び業務内容 別添仕様書のとおり(信義誠実の原則)第１条 甲乙両者は、信義を重んじ誠実に本契約を履行しなければならない。(権利義務の譲渡等)第２条 乙は、本契約によって生じる権利又は義務の全部若しくは一部を、甲の承諾を得た場合を除き第三者に譲渡し、又は承継させてはならない。ただし、信用保証協会及び中小企業信用保険法施行令(昭和２５年政令第３５０号)第１条の３に規定する金融機関に対して売掛債権を譲渡する場合にあっては、この限りでない。(義務の履行)第３条 乙は、別添仕様書に基づき、頭書の金額をもって頭書の期間中に義務を完全に履行しなければならない。(再委託等の禁止)第４条 乙は、業務の処理を第三者(再委託等先が乙の子会社(会社法(平成１７年法律第８６号)第２条第３号に規定する子会社をいう。)である場合も含む。以下同じ。)に委託し又は請け負わせてはならない。但し、再委託等承認申請書(別紙)を甲に提出し、甲の承認を得たときは、この限りではない。(監督職員)※再委託等の取り扱いについては、仕様書及び「契約における再委託等の取扱いについて」(当研究所ＨＰに掲載)を参照すること。掲載先：https://www.nies.go.jp/osirase/chotatsu/saiitaku.pdf第５条 甲は、乙の業務実施について、自己に代って監督又は指示する監督職員を選定することができる。２ 監督職員は、本契約書及び仕様書に定められた事項の範囲内において業務の施行に立会い、又は必要な指示を与えることができる。(業務の報告等)第６条 甲は、必要と認めたときは、乙に対して業務の実施状況について報告を受け、又は説明を求める等の措置をとることができる。２ 乙は、甲が前項の報告を依頼し、又は書類の提出を求めたときはすみやかにこれに応じるものとする。(業務内容の変更)第７条 甲は、業務の実績数量が仕様書上の予定数量に満たない等、必要がある場合には、業務の内容を変更することができる。この場合において、契約金額又は契約期間を変更するときは、甲乙協議して書面によりこれを定めるものとする。(契約の解除)第８条 甲は、次の各号の一に該当するときは、催告することなくこの契約の全部又は一部を解除することができる。一 乙の責に帰する事由により、乙がこの契約の全部又は一部を履行する見込みがないと認められるとき。二 乙が第４条、第１７条又は第１８条の規定に違反したとき。三 乙又はその使用人が甲の行う監督及び検査に際し不正行為を行い、又は監督者等の職務の執行を妨げたとき。四 履行期限内に成果品の提出がなかったとき。２ 甲は、乙が次の各号の一に該当すると認められるときは、催告することなくこの契約を解除することができる。一 法人等(個人、法人又は団体をいう。)の役員等(個人である場合はその者、法人である場合は役員又は支店若しくは営業所(常時契約を締結する事務所をいう。)の代表者、団体である場合は代表者、理事等、その他経営に実質的に関与している者をいう。)が、暴力団(暴力団員による不当な行為の防止等に関する法律(平成３年法律第７７号)第２条第２号に規定する暴力団をいう。以下同じ)又は暴力団員(同法第２条第６号に規定する暴力団員をいう。以下同じ。)であるとき二 役員等が、自己、自社若しくは第三者の不正の利益を図る目的、又は第三者に損害を加える目的をもって、暴力団又は暴力団員を利用するなどしているとき三 役員等が、暴力団又は暴力団員に対して、資金等を供給し、又は便宜を供与するなど直接的あるいは積極的に暴力団の維持、運営に協力し、若しくは関与しているとき四 役員等が、暴力団又は暴力団員であることを知りながらこれを不当に利用するなどしているとき五 役員等が、暴力団又は暴力団員と社会的に非難されるべき関係を有しているとき３ 甲は、乙が自ら又は第三者を利用して次の各号の一に該当する行為をした場合は、催告することなくこの契約を解除することができる。一 暴力的な要求行為二 法的な責任を超えた不当な要求行為三 取引に関して脅迫的な言動をし、又は暴力を用いる行為四 偽計又は威力を用いて甲等の業務を妨害する行為五 その他前各号に準ずる行為４ 甲は、前三項の規定により、この契約の全部又は一部を解除した場合は、既に乙に支払った契約金額の全部又は一部を乙に返還させることができる。(再受任者等に関する契約解除)第９条 乙は、契約後に再受任者等(再受任者、及び乙又は再受任者が当該契約に関して個別に契約する場合の当該契約の相手方をいう。以下同じ。)が第８条第２項及び第３項の一に該当する者(以下「解除対象者」という。)であることが判明したときは、直ちに当該再受任者等との契約を解除し、又は再受任者等に対し契約を解除させるようにしなければならない。２ 甲は、乙が再受任者等が解除対象者であることを知りながら契約し、若しくは再受任者等の契約を承認したとき、又は正当な理由がないのに前項の規定に反して当該再受任者等との契約を解除せず、若しくは再受任者等に対し契約を解除させるための措置を講じないときは、催告することなくこの契約を解除することができる。(違約金)第 10 条 次に掲げる場合のいずれかに該当したときは、乙は、甲の請求に基づき、契約金額の１００分の１０に相当する金額を違約金として甲の指定する期間内に支払わなければならない。一 甲が第８条又は第９条第２項の規定により契約の全部又は一部を解除したとき。二 乙について破産手続開始の決定があった場合において、破産法(平成１６年法律第７５号)の規定により選任された破産管財人が契約を解除したとき。三 乙について更生手続開始の決定があった場合において、会社更生法(平成１４年法律第１５４号)の規定により選任された管財人が契約を解除したとき。 四 乙について再生手続開始の決定があった場合において、民事再生法(平成１１年法律第２２５号)の規定により選任された再生債務者等が契約を解除したとき。五 この契約に関し、乙が私的独占の禁止及び公正取引の確保に関する法律(昭和２２年法律第５４号。以下「独占禁止法」という。)第３条の規定に違反し、又は乙が構成事業者である事業者団体が独占禁止法第８条第１号の規定に違反したことにより、公正取引委員会が乙に対し、独占禁止法第７条の２第１項(独占禁止法第８条の３において準用する場合を含む。)の規定に基づく課徴金の納付命令(以下「納付命令」という。)を行い、当該納付命令が確定したとき(確定した当該納付命令が独占禁止法第６３条第２項の規定により取り消された場合を含む。)。六 この契約に関し、乙が独占禁止法第３条の規定に違反し、又は乙が構成事業者である事業者団体が独占禁止法第８条第１号の規定に違反したことにより、公正取引委員会が乙又は当該事業者団体(以下「乙等」という。)に対し、独占禁止法第７条若しくは第８条の２の規定に基づく排除措置命令(以下「排除措置命令」という。)を行い、当該排除措置命令が確定したとき。七 この契約以外の乙の取引行為に関して、乙が独占禁止法第３条の規定に違反し、又は乙が構成事業者である事業者団体が独占禁止法第８条第１号の規定に違反したことにより、公正取引委員会が、乙等に対し、納付命令又は排除措置命令を行い、これらの命令が確定した場合において、これらの命令に乙等に独占禁止法第３条又は第８条第１号の規定に違反する行為があったとされた期間及び当該違反する行為の対象となった取引分野が示され、この契約が、当該期間(これらの命令に係る事件について、公正取引委員会が乙に対し納付命令を行い、これが確定したときは、当該納付命令における課徴金の計算の基礎である当該違反する行為の実行期間を除く。)に入札(見積書の提出を含む。)が行われたものであり、かつ、当該取引分野に該当するものであるとき。八 この契約に関し、乙(法人にあっては、その役員又は使用人を含む。)の刑法(明治４０年法律第４５号)第９６条の６又は独占禁止法第８９条第１項若しくは第９５条第１項第１号に規定する刑が確定したとき。２ 前項の規定は、甲に生じた実際の損害の額が違約金の額を超える場合において、甲がその超える分の損害を損害金として請求することを妨げない。(報告)第11条 乙は、作業終了後すみやかに甲に作業終了の報告をしなければならない。(検査)第12条 甲は、前条の報告があったときは、当該届出を受理した日から１０日以内に検査を行わなければならない。(契約金の支払)第13条 甲は、前条に定める検査に合格した後、乙から適法な請求書を受理した日から６０日以内に契約金を支払うものとする。(損害賠償)第14条 甲は、第８条又は第９条第２項の規定によりこの契約を解除した場合は、これにより乙に生じた損害について、何ら賠償ないし補償することは要しない。(担保責任)第 15 条 甲は、乙が本契約履行後に提出した成果品について１年以内に契約の内容に適合しないものであることを発見したときは、契約不適合である旨を乙に通知し、修補又は既に支払った契約金額の一部を返還させることができるものとする。(延滞金)第 16 条 乙は、第８条第４項の規定による契約金額の返還又は第１０条の規定による違約金等の支払いを甲の指定する期間内に行わないときは、当該期間を経過した日から支払いをする日までの日数に応じ、民法(明治２９年法律第８９号)第４０４条で定める法定利率で計算した額の延滞金を甲に支払わなければならない。(守秘義務)第 17 条 甲及び乙は、この契約の履行に際し、知り得た相手方の秘密を第三者に漏らし、又は利用してはならない。(個人情報の取扱い)第 18 条 乙は、甲から預託を受けた個人情報(生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号により当該個人を識別できるもの(当該情報のみでは識別できないが、他の情報と容易に照会することができ、それにより当該個人を識別できるものを含む。)をいう。以下同じ。)について、善良な管理者の注意をもって取扱う義務を負わなければならない。２ 乙は次の各号に掲げる行為をしてはならない。ただし、事前に甲の承認を受けた場合は、この限りではない。(１)甲から預託を受けた個人情報を第三者(再委託等する場合における再委託等先を含む。)に預託若しくは提供又はその内容を知らせること。(２)甲から預託を受けた個人情報を本契約の目的の範囲を超えて使用、複製、又は改変すること。３ 乙は、甲から預託を受けた個人情報の漏洩、滅失、毀損の防止その他の個人情報の適切な管理のために必要な措置を講じなければならない。４ 乙は、甲から預託を受けた個人情報について、作業終了、又は解除をした後に速やかに甲にその媒体を返還するとともに、乙が保存している当該個人情報について、復元不可能な状態に消去し、その旨を甲に通知しなければならない。ただし、甲が別に指示したときは、その指示によるものとする。５ 乙は、預託を受けた個人情報の取扱いに係る業務を第三者に再委託等してはならない。 目標復旧時間 稼働率目標補足平常時 大規模災害等の発災時 平常時1 ３営業日以内 数か月以内 99.0%障害発生から修理完了までの平均時間(修理時間の和÷故障回数)77. 情報セキュリティ(1) 情報セキュリティ対策の基本的な考え方情報セキュリティ対策の基本的な考え方を表2-7-1に示す。表2-7-1 情報セキュリティ対策の基本的な考え方No. 主な情報情報の機密性その他(情報の完全性、可用性等)考慮すべき関連法令特徴 区分 特徴 区分1 共有データ漏えい、流出しても本人が特定される可能性は低いが、調査の信頼性への影響が大きい。機密性2情報改ざんにより、正しい解析結果が得られなくなる。完全性2情報個人情報保護法2 アカウント情報機密性2情報改ざんされると、データ共有システムにログインできなくなる。可用性2情報個人情報保護法8第３章 機能要件定義本システムにて実現すべき機能については、本要件定義書の「１．データ共有機能」、「2．セキュリティ管理機能」に記載の要件を参照のうえ、実現することとする。また、これら機能を利用するために必要な「端末・周辺機器等」に求められる機能要件を実装することとする。図3-0-1に機能概要図を示す。また図3-0-2にシステム構成図を示す。図3-0-1 機能概要図9図3-0-2 システム構成図10本システムを利用するユーザの属性について、表3-0-1に示す。表3-0-1 ユーザの属性と役割No. ユーザ 属性と役割1 エコチル調査非関係者 共有データを用いて解析を行う。2 コアセンター事業全体を運営・管理する。共有データの更新、管理を行う。3 事務局業者 事業の運営業務を行う。各システムの属性と役割について、表3-0-2に示す。表3-0-2 システムの属性と役割No システム名 属性と役割1 データ管理サーバインターネット経由での Web アクセスに対応し、共有データ、ユーザの管理を行うもの。OBiBa製品群のOpal とDataSHIELDを実装し、エコチル調査非関係者から送られてきた解析コードに対して、解析結果のみを提示するよう制御を行う。2 解析サーバエコチル調査非関係者から送られてきた解析コードを用いて実際に解析を行う。111. データ共有機能(1) 機能に関する事項① 機能一覧データ共有システムで使用する機能はOBiBa製品群のうち、Opal、DataSHIELD、Rock の3製品を実装することで使用できる機能とする。表3-1-1にそれぞれの主な機能を示す。表3-1-1 機能一覧No. 製品名 機能 内容1OpalデータインポートCSV、SPSS、SAS、Stataファイル及び、SQLデータベースからデータをインポートする。2 データエクスポートCSV、SPSS、SAS、Stataファイル及び、SQLデータベースにデータをエクスポートする。3 リソース管理Rock、DataSHIELDサーバセッションへのアクセスを管理することで、これらのリソースへの負荷を管理する。4 ユーザ管理データ共有システムにアクセス可能なユーザ、及び各ユーザのアクセス権限を管理する。5 ユーザ認証機能各ユーザからのアクセスに対し、ユーザ名/パスワード、及びワンタイムパスコード(Microsoft Authenticator)による認証を行う。6 DataSHIELD データ保護機能解析コードに対し、個々のデータを公開することなく、解析結果のみを提供する。7 Rock 解析機能 R言語を用いた解析コードに基づき解析を行う。(2) 情報・データに関する事項① データ一覧本機能で使用するデータについては、表3-1-2に示す。表3-1-2 データ一覧No. データ名 補足1 利用者アカウント情報 データ共有システムの利用者アカウント情報。2 共有データエコチル調査参加者によって提供された全体調査データ、詳細調査データ、化学分析データ、疾患情報登録調査データ、その他の研究に用いられる情報等であって、承認された研究計画に合わせて必要なデータ項目のみに加工されたデータ。122. セキュリティ管理機能以下の条件を考慮し、セキュリティ管理要件を作成すること。詳細の要求レベルについては、「別紙2クラウドサービスレベル一覧」を参照することとする。(1) データ共有システム 「データ共有システム」は、インターネットゲートウェイを持ち公開される。アクセスの際には所有物による多要素認証が求められる。 共有データ※、利用者アカウント情報が保存される。※エコチル調査の参加者から収集された全体調査データ、詳細調査データ、化学分析データ、疾患情報登録調査データ、その他の研究に用いられる情報等であって、承認された研究計画に合わせて必要なデータ項目のみに加工されたデータをいう。なお、共有データには、氏名、生年月日、住所(居住地を特定できる番地)等の個人を容易に特定できる情報や、解析には不要と考えられる一部のデータは含まれない。13第４章 非機能要件定義1. ユーザビリティ及びアクセシビリティに関する事項ユーザビリティ及びアクセシビリティについてはOBiBa製品群の仕様に従うこととする。2. システム方式に関する事項(1) 情報システムの構成に関する全体の方針ハードウェア(クラウドサービス)、ソフトウェア、ネットワーク等の情報システムの構成に関する全体の方針(システムアーキテクチャ、設計方針等)を表4-2-1に示す。表4-2-1 情報システムの構成に関する全体の方針No. 全体方針の分類 全体方針1 システムアーキテクチャシステムアーキテクチャは、特に定めないが、各要件を考慮して最適なものを選択すること。2 設計方針等システムを構成する各コンポーネント(ソフトウェアの機能を特定単位で分割したまとまり)間の疎結合、再利用性の確保を基本とする。3 ソフトウェア採用方針• 主となる機能を提供するソフトウェアとしてはOBiBaの製品である、Opal、DataSHIELD、Rockを採用する。• その他については広く市場に流通し、利用実績を十分に有するソフトウェア製品(ミドルウェア、Webサーバ、Webアプリ、認証システム等を含む)を活用する。なお、ソフトウェア製品は有償か無償かを問わない。• アプリケーションプログラムの動作、性能等に支障を来たさない範囲において、可能な限りオープンソースソフトウェア(OSS)製品の活用を図る。ただし、導入するOSS 製品は契約期間内においてサポートが継続されること、もしくはサポートが切れた場合にはサポートの引継ぎやソフトウェアの入れ替えを実施することとし、サポート切れが予想されるものの使用は避けること。• 導入予定のソフトウェアについて、NIESでライセンスを保有している場合には、既存ライセンスを有効活用すること。また、政府機関向けライセンス等での調達を行い、可能な限り安価な契約形態とすること。現行エコチルシステムのライセンスID は、NIESへ閲覧申込書を提出したうえで閲覧により開示する。 • ソフトウェアライセンスは、必要数を本業務請負者の責任において、調達すること。導入するソフトウェアは、バージョン等を指定したもの以外、原則、最新のバージョンであり、かつ本業務請負者の導入等に十分な実績があること。14• 導入したソフトウェアのバージョンが製造元によるサポート終了となる場合には、サポート切れとなる期間が発生しないようNIESと協議のうえバージョンアップを実施すること。• ソフトウェアのライセンスに係る利用者はNIESとし、所有権についても契約当初よりNIESとする、もしくは賃貸借期間満了時には譲渡可能である等、極力NIESに帰属する契約とすること。4データ共有システム利用環境利用者が使用する端末として、PCを想定する。5 システム基盤の方針本ネットワークシステムを構成するハードウェア(クラウドサービス)・ソフトウェアは、システムリソースの有効利用や運用負荷の軽減、システム全体として、消費電力の削減等の環境への配慮を目的として、仮想化環境・クラウド環境の採用、柔軟な拡張性を持ちつつ安定した稼働を実現するストレージの設定等、最適な技術を適切に導入する。(2) 開発手法システムの開発手法は本システムの開発に最適なものを選択することとする。ただし、OBiBa製品群を除くソフトウェアや機能モジュールに既知の脆弱性が存在する場合は本システムの構成要素としないこととする。3. 規模に関する事項(1) データ量・処理件数本システムで取り扱うデータ量、処理件数については、検証段階において NIES 担当者と協議することとする。(2) 利用者数本システムの利用者数については表2-2-1を参照することとする。4. 性能に関する事項データ共有システムの性能について本業務の遂行状況を踏まえ、必要に応じて NIES 担当者と協議することとする。155. 信頼性に関する事項(1) 可用性要件本システムにおいて、可用性に係る指標とその目標値を表4-5-1に示す。なお、ここで示す可用性の目標値は、セキュリティを維持した状態で対象サービスを利用者に提供するために必要な機能、機器一式を含めた系全体として達成すること。ただし、クラウドサービスに起因する障害等については年間停止時間に含めないこととする。表4-5-1 可用性に関する目標値No. 設定対象 指標名 目標値1サービスを利用できる確率(計画サービス時間－停止時間)/計画サービス時間サービス稼働率 99.0%以上2 サービスを提供する時間帯 サービス時間24時間365日(計画停止・定期保守を除く)3定期的な保守停止に関する事前連絡確認計画停止予定通知有基本的に14日前にNIES担当者へ通知4プログラムや、システム環境の各種設定データの預託等の措置の有無突然のサービス提供停止に対する対処有クラウドサービスを使用しているアプリケーションのプログラム・設定項目の預託措置について可能(クラウドサービスのプログラム・設定 に関する預託は除く)5災害発生時のシステム復旧サポート体制ディザスタリカバリ有代替となる別地域のデータセンターを利用したシステム再構築が可能(2) 可用性に係る対策a 利用者が継続してデータ共有システムにアクセスできるよう、将来的にアプリケーションサーバをクラスタ構成とし、負荷分散及び障害発生時の縮退運転が可能となる構成とすること。b 機器が故障した場合、サポートとの連携をとり対処すること。16(3) 完全性要件a 機器の故障やサービスの停止に起因するデータの滅失や改変を防止する対策を講ずること。b 異常な入力や処理を検出し、データの滅失や改変を防止する対策を講ずること。c 処理の結果を検証可能とするため、ログ等の証跡を残すこと。d データの複製や移動を行う際に、データが毀損しないよう、保護すること。e データの複製や移動を行う際にその内容が毀損した場合でも、毀損したデータ及び毀損していないデータを特定するための措置を行うこと。f 自然災害や障害など本システムの脅威に対して、格納する全てのデータの正確性及び完全性を維持し、保存されるシステムとすること。g 全てのデータの正確性及び完全性を維持するため、必要に応じて、差分バックアップ(日次、週次など)とフルバックアップ(稼動開始前、週次など)の定期的な組み合わせによりバックアップ・リストアを実施し、障害発生時点に復旧できるシステムとすること。また、その他必要な措置を講ずること。なお、バックアップの保管期間はデータの種別毎に、バックアップ方式(フルバックアップ・差分バックアップ)等とともに検討し、NIESと協議のうえ決定し、運用・保守に関する引継ぎ資料に明記すること。6. 拡張性に関する事項(1) 性能の拡張性利用者や地方拠点数、本システムで包括して運用する個別システム数の増減に対し、本システムの基本的な構成を見直すことなく柔軟な対応ができることとしている。拡張作業を行う場合に、稼働中のシステムに極力影響を与えることのないようにすること。7. 上位互換性に関する事項a クライアント機器及びデータ共有システムを構成するサーバのOSのバージョンアップに備え、ＯＳの特定バージョンに依存する機能が判明している場合は、その利用を最低限とすること。b 実行環境等のバージョンアップの際、必要な調査及び作業を実施することで、バージョンアップに対応可能な情報システムとすること。8. 中立性に関する事項a 本システムの構築方法として、独自開発を提案する場合は、特定の事業者に偏ることがないように特定の製品や技術に依存しない技術で、信頼性の高いソフトウェアを選定することとする。b データ移行の際、円滑なデータ移行が可能なシステム構成であることとする。c 本業務実施時に作成するドキュメント類は、第三者にも分かりやすく作成することとする。d 提供するハードウェア(クラウドサービス)、ソフトウェア等は、規格化されているインタフェースを利用して接続又はデータの入出力が可能であることとする。e システム更改の際に、データ移行の妨げとなることや、特定の装置や情報システムに依存することを防止するため、原則として情報システム内のデータ形式は XML、json、CSV等の標準的な形式で取り出すことができるものとすることとする。f 特定の事業者や製品に依存することなく、他者に引き継ぐことが可能なシステム構成であることとする。179. 継続性に関する事項(1) 継続性に係る目標値障害発生時の継続性に係る指標とその目標値を表4-9-1に示す。 なお、ここで示す継続性の目標値は、セキュリティを維持した状態で対象サービスを利用者に提供するために必要な機能、機器一式を含めた系全体として達成することとする。表4-9-1 継続性に関する目標値(障害発生時)No. 設定対象 指標名 目標値 補足1 データ共有システム サービスダウン発生時の目標復旧時間 ３営業日以内 性能：100%(2) 継続性に係る対策a 障害時には迅速な復旧を行う方法または機能を備え、サービスを継続すること。b 利用するクラウドサービスで提供される仮想サーバ等の可用性に係る SLA に留意し、各構成要素について適切に冗長化等を行うこととする。c データの正確性及び完全性を維持するため、日次バックアップを実施し、障害発生時点に復旧できるシステムとすること。また、その他必要な措置を講ずること。なお、バックアップの保管期間はデータの種別毎に、バックアップ方式(フルバックアップ・差分バックアップ)等とともに検討し、NIESと協議のうえ決定すること。d バックアップの取得は自動化し、成否について運用管理者へ通知する機能を具備すること。なお、自動化されたバックアップ処理についても運用管理者により手動でバックアップの取得が可能であること。e バックアップの取得については、クラウドサービスプロバイダから提供されるバックアップサービスを利用して差し支えない。ただし、適用するサービスの種類、同時被災しないことを前提としたバックアップサイトの場所、バックアップデータの取得時期及び保持期間(世代管理を含む)や自動化の程度等については、対象とするデータの性質等に応じて、業務に影響を与えず、かつコスト対効果が高いものを適宜選定すること。f 収集したバックアップデータは速やかにリカバリーができる仕組みにすること。また、リカバリー手順をまとめ、事前にリカバリーが正常に処理されることを確認することとする。g データベースに格納する全てのデータはCSV等の形式で定期的に出力することとし、バックアップとは別領域に保管する仕組みを備えることとする。h 利用するクラウドサービスの提供が終了される場合でも、請負者の責任において本調達の契約期間を通じてシステムを継続すること。1810. 情報セキュリティに関する事項(1) 情報セキュリティに係る要件本システムにおける情報セキュリティ要件を表4-10-1に示す。表4-10-1 情報セキュリティ対策要件No. 情報セキュリティ対策 対策に係る要件1 通信経路の分離不正の防止及び発生時の影響範囲を限定するため、情報の管理ポリシーが異なる外部と通信を行う電子計算機及び内部のみと通信を行う電子計算機を通信回線上で分離すること。2 不正通信の遮断通信回線を介した不正を防止するため、不正アクセス及び許可されていない通信プロトコルを通信回線上にて遮断する機能を備えること。認証や許可を受けた正規のユーザおよびデバイスのみがデータ管理サーバにアクセスできること。3 通信のなりすまし防止認証が必要な画面、個人情報を取り扱う画面においては、情報システムのなりすましを防止するために、サーバの認証機能を備えること。サーバへの管理者権限でのアクセスは管理専用の特定端末(システム管理者(運用・保守業者を含む) )からに限定し、通常端末(システム利用者)からは管理者権限でのサーバアクセスはできない構造とすること。4 サービス不能化の防止サービスの継続性を確保するため、構成機器が備えるサービス停止の脅威の軽減に有効な機能を活用して情報システムを構築すること。5 マルウェアの感染防止マルウェア(ウィルス、ワーム、ボット等)による脅威に備えるため、マルウェアの感染を防止するEDR機能等を備えるとともに、新たに発見されるマルウェアに対応するために機能の更新が可能であること。更に未知の脅威に対しても被害を防止または最小限に留める機能を備えること。6 構築時の脆弱性対策情報システムを構成するソフトウェア及びハードウェア(クラウドサービス)の脆弱性を悪用した不正を防止するため、開発時及び構築時に脆弱性の有無を確認の上、運用上対処が必要な脆弱性は修正の上で納入すること。OBiBa製品群については対応が可能な範囲に限るものとする。7 運用時の脆弱性対策運用開始後、新たに発見される脆弱性を悪用した不正を防止するため、情報システムを構成するソフトウェア及びハードウェア(クラウドサービス)の更新を行う方法(手順等)を備えること。また、情報システム全体の更新漏れを防止するため、更新状況を管理すること。8 証跡の蓄積・管理情報システムに対する不正の検知、発生原因の特定に用いるために、情報システムの利用記録、例外的事象の発生に関する証跡を蓄積し、NIES と協議のうえ一定期間保管すること。9 時刻の正確性確保不正行為の追跡や情報セキュリティ侵害時において証跡の解析等を容易にするため、システム内の機器を正確な時刻に同期する機能を備えること。10 侵入検知 不正行為に迅速に対処するため、通信回線を介して送受信さ19れる通信内容を監視し、不正アクセスや不正侵入を検知及び通知する機能を備えること。また、サーバ装置の状態の監視等によって、不正アクセスや不正侵入に対する情報を収集し、分析結果を報告すること。11 内部不正検知内部の管理者及び利用者による不正行為に迅速に対処するため、ログ等を定期的に分析するなど、内部不正を検知する仕組みを備えること。12 ライフサイクル管理主体のアクセス権を適格に管理するため、主体が用いるアカウント(識別コード、主体認証情報、権限等)を管理(登録、更新、停止、削除等)するための機能を備えること。また所有物による認証情報の登録、更新は組織単位で管理できるものとし、組織の管理者権限においては当該組織以外の所有物による認証情報の登録、更新は行えないこと。13 通信経路上の盗聴防止機密性の高い情報(ユーザ ID、パスワード及び個人情報等)における通信においては、通信回線に対する盗聴行為や利用者の不注意による情報の漏えいを防止するため、通信内容を暗号化する機能を備えること。14 保存情報の機密性確保情報システムに蓄積された情報の搾取や漏えいを防止するため、NIES と協議のうえ、共有データをシステム利用研究者(エコチル調査非関係者)が直接アクセス可能な環境に保存しない措置を施すこと。 15 システムの構成管理障害・事故等の発生要因を減らすとともに、障害・事故等の発生時には迅速に対処するため、構築時の情報システムの構成(ハードウェア、ソフトウェア及びサービス構成に関する詳細情報)が記載された文書を提出するとともに文書どおりの構成とし、加えて情報システムに関する運用開始後の最新の構成情報及び稼働状況の管理を行う方法を備えること。16 システムの可用性確保サービスの継続性を確保するため、障害時には迅速な復旧を行う方法または機能を備えること。ただし、1 年間で数日程度の停止は許容できるものとする。目標値については「第４章非機能要件」を参照。20(2) 情報セキュリティに係る対策a 請負業務の工程ごとに、本業務で実施した情報セキュリティ対策を報告すること。b 本業務におけるシステム構築完了後、運用・保守開始前までに、第三者(請負者における本プロジェクトの実施部門以外の部門を含む。)による脆弱性診断等のセキュリティ検査を受けること。構築した本システム(基盤・インフラ、Webアプリ等)に対するセキュリティ検査を実施すること。 また、「国立研究開発法人国立環境研究所情報セキュリティポリシー」に準拠していること。「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」に定める事項について、遵守確認の結果を提案書とともに提示すること。ISMAPクラウドサービスリストに業務開始時点で登録されていること。(3) ネットワーク構成本システムは、エコチル調査で収集したデータが保存されていることから、十分なセキュリティへの配慮が必要である。また、今後の利用拡大を見据え、高い拡張性及び信頼性が求められる。そのため、システムについては、必要十分な拡張性を確保するとともに、冗長化構成等による障害対策が将来的に出来る構成にすることが必須である。これを踏まえ、本業務請負者においてネットワーク構成を検討の上、提案することとする。22(4) 施設・設備要件施設・設備(クラウドサービス)要件を表4-11-2、表4-11-3に示す。表4-11-2 施設・設備要件No. 形態 施設・設備要件1 クラウドサービス• ISO/IEC 27018「PII 処理者としてパブリッククラウドにおいて PII を保護するための実践の規範」、総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」に準拠していることとする。• ISMAP(政府情報システムのためのセキュリティ評価制度)のISMAPクラウドサービスリストに登録されていることとする。• 契約の準拠法は日本の法律であること。また、管轄裁判所を日本国内の裁判所とすることとする。• 適用するサービスについて、SLAを締結できることとする。• 国内に複数のデータセンターを有していることとする。表4-11-3 サービスメニュー要件No. サービス区分 サービス項目1監 視死活監視2 プロセス監視3 リソース監視4 ログ監視5 ネットワーク機器監視6 仮想基盤監視、サーバ容量監視2312. テストに関する事項(1) テストに関する要件本書で定義された要件を満たすことを、後述するテストの工程ごとに検証することとする。また、構築した各システム及び設定については、正常動作することを確認することとする。テスト手法及び品質検証の手法として、過去の類似のネットワークシステムの運用案件において、使用実績を有する手法を適用すること。テストの実施において、効率性や品質の向上に寄与するツールがあれば、NIESと協議のうえ利用することとする。a テスト計画書の作成b テスト仕様書の作成c テストの実施d テスト結果報告書の作成(2) テストの工程、目的、内容安定かつ確実な本ネットワークシステムの運用にあたり、十分なテストを実施する必要がある場合、その概要を表 4-12-1 に示す。各テストにおいて、テスト仕様書に沿ったテストの結果について定量・定性的に分析した結果を得ること。既製のソフトウェアを使用するため、OBiBa製品群の単体テストについては省略可能とする。また、テストデータについては適切なものを作成することとする。表4-12-1 テストの工程、目的、内容No. テストの種類 テストの目的、内容 テスト環境1 結合テスト複数のモジュールを組み合わせてシステムが正しく連携し合い、不具合なく動作するか確認、検証する。開発環境2 総合テストシステムが全体をとして要求された機能や性能を満たしているか検証する。開発環境3 受入テスト請負者が構築したシステムが要求された機能や性能を満たしているかＮＩＥＳにおいて検証する。本番環境2413. 引継ぎに関する事項(1) 引継ぎ事項本業務請負者は、契約期間の終了後、運用・保守事業者等に対して、システムの再構築に必要な情報一式、及び運用・保守作業計画書等の提供・引継ぎ及び質疑応答等の協力を行うこととする。 引継ぎ内容について表4-13-1に示す。表4-13-1 引継ぎ内容No. 引継ぎ元 引継ぎ先 引継ぎ内容1 本業務請負者 運用・保守事業者システムの再構築に必要な情報一式、及び運用・保守作業計画書等14. 教育に関する事項コアセンター及び事務局業務請負者が行う業務の範囲において、既存の OBiBa 製品群のマニュアル(英語を含む)等で不足がある場合は、ＮＩＥＳ担当者と協議の上、手順書の作成や教育を行うこととする。15. 運用に関する事項以下の項目について運用・保守フェーズでの実施内容を検討し、必要に応じて適宜改善することとする。(1) ドキュメント管理本業務では関連資料、要件、設計資料、マニュアル等のドキュメント類について、ドキュメント管理計画書を作成のうえ、NIESの承認を受けて、それに応じた対応を行うこととする。(2) セキュリティ管理a 情報セキュリティ上の問題となる事象について監視を行い、報告及び改善提案等を行うこと。b システムの情報セキュリティの維持・強化を行うこと。OS等に必要なパッチを当てること。c ハードウェア(クラウドサービス)、ミドルウェア及び各種業務システムへアクセスするための、ログインID及びパスワードに関して管理すること。25(3) 稼働状況管理a システムは原則として24時間365日の稼動とし、メンテナンス等でやむを得ずサービスを停止する場合には、停止までに十分な期間を確保したうえでコアセンターにあらかじめ連絡すること。b サーバ、ネットワーク、ソフトウェアなどの稼動状況の把握等を行うこと。c 運用手順書に従って、稼動監視を実施すること。また、運用において、適宜見直し・改善を行うこと。d 各種業務システムの死活監視を行うこと。その他監視対象に応じて、必要と考えられる項目についても適宜、追加すること。e 監視情報については、キャパシティ情報(ディスク・メモリ・ＣＰＵ)、アクセス状況、セキュリティ状況報告などの情報を整理・分析し、定期的(月次定例会等)に報告すること。(4) 構成管理請負者は、事前に NIES の認証を受けた手順で構成管理を行うこととする。また、構成管理情報は適宜更新し、更新履歴を記録することとする。(5) データ管理a 運用手順書に基づき、データのバックアップ及びリストアを実施すること。b バックアップ及びリストアの状況を把握し、管理すること。また、NIESより開示要求があった場合は管理情報を提供すること。c 収集された全てのデータはデータセンター内でデータの完全性が確保されること。必要に応じて、差分バックアップ(日次、週次など)とフルバックアップ(稼動開始前、週次など)の定期的な組み合わせによりバックアップ・リストアが実施されること。d システム運用期間中のデータ増加分を考慮したデータ管理を行うこと。(6) ログ管理a システムから出力するログを取得し、定期的に分析すること。b 「国立環境研究所情報セキュリティポリシー」に基づいて、適切なツールを利用するなどして、ログを分析のうえ、速やかにセキュリティインシデントの予兆や痕跡を取得し、対策を講じること。 予兆や痕跡が取得された場合には速やかにNIESに報告のうえ、対策方針について承認を求めること。c ログのバックアップを実施し、常にバックアップできていることを確認すること。d NIESからログに関する開示要求があった場合、迅速に対応すること。e ログ管理にかかわる情報セキュリティ管理策については、「情報セキュリティ管理基準」(平成28年経済産業省告示第37号)の情報セキュリティ管理基準参照表を利用して、情報セキュリティ管理基準の該当箇所を参照すること。(7) サポート対応コアセンター及び事務局業務請負業者からのシステムに関する問い合わせに対応し、必要に応じてサポートを行うこととする。26(8) 障害対応a システムダウンを含む機器等の障害、異常等を検知した場合は、速やかに復旧を行うこと。復旧後の動作確認を実施すること。b 障害の原因、復旧作業及び再発防止策等、その他必要と考えられる項目についてNIESに報告すること。c 障害対応は、平日(月曜日～金曜日)の9:00～17:30に行うとこととするが、緊急性や優先度の高い障害であるとNIESが判断した場合には、曜日や時間に関わらず、速やかに復旧作業を行うこと。d 障害とはならないが、システム稼動開始後に不具合が生じた場合は、緊急性と優先度を考慮して対応すること。(9) ソフトウェアの更新OBiBa 製品群(ライブラリ含む)など本システムを構成するパッケージのアップデートについては、更新情報を入手し次第、NIES 担当者と更新時期・方法について協議することとする。緊急性が高い更新については協議のうえ、速やかに実施することとする。また、更新情報のある OS 及びウイルス対策ソフト、アプリケーション、マニュアル等について、リリース計画を策定することとする。NIES と協議し承認を得た後、計画にそって、本番環境へのリリースを実行することとする。なお、SaaSサービスを利用する場合に、個別に協議することができない対象については、サービス提供者のメンテナンス計画を事前にNIESに提供したうえで適用することを可とする。バージョンアップに係る別途費用は想定していないため、一般的に可能な限り、本業務期間において、有償のバージョンアップが発生することを事前に予見できない製品は用いないシステム構成とすることとする。本業務期間において、有償のバージョンアップが発生する製品を用いる場合には本契約に含めることとする。16. 保守に関する事項以下の項目について運用・保守フェーズでの実施内容を検討することとする。(1) ハードウェア及びソフトウェアの保守a 本システムの正常な稼動を担保するため、提供するハードウェア機器(仮想マシンを含む)の保守業務を実施すること。b 契約期間内において、ハードウェア(クラウドサービス)及びソフトウェア製造者に対してサポートが受けられる体制を確保すること。c クライアント端末については、保守の対象外とする。別紙2 クラウドサービスレベル一覧No. 種別 サービスレベル項目例 規定内容 測定単位 要求レベル1 サービス時間サービスを提供する時間帯(設備やネットワーク等の点検／保守のための計画停止時間の記述を含む)時間帯 24時間365日(計画停止／定期保守を除く)定期的な保守停止に関する事前連絡確認 有(事前通知のタイミング／方法の記述を含む)基本的に14日前に通知有 クラウドサービスを使用しているアプリケーショ ンのプログラム・設定項目の預託措置について可能(クラウドサービスのプラグラム・設定に関する預託は除く)サービスを利用できる確率(計画サービス時間－停止時間)÷計画サー ビス時間×100有代替となる別リージョンを利用したシステム再構築が可能7 平均復旧時間(MTTR)障害発生から修理完了までの平均時間(修理時間の和÷故障回数)時間 3営業日以内8 目標復旧時間(RTO)障害発生後のサービス提供の再開に関して設定された目標時間時間 3営業日以内9 目標復旧レベル(RLO)障害発生から復旧した際のサービスの復旧レベル% 100%(直近のバックアップ取得時を100%とする)10 障害発生件数1年間に発生した障害件数、かつ1年間に発生した対応に長時間(1日以上)要した障害件数回 3回以内有・クラウドサービス基盤に対する脆弱性診断・脆弱性情報の収集/分析/管理・不正アクセスとマルウェアのモニタリング・ログ/イベントの相関分析有 NIES担当者にメールにて通知13 障害通知時間異常検出後に指定された連絡先に通知するまでの時間時間 3日以内(祝日、年末年始休暇等は除く)14 障害監視間隔障害インシデントを収集／集計する時間間隔時間(分) データ共有システムの設計に対応15サービス提供状況の報告方法／間隔サービス提供状況を報告する方法／時間間隔時間 3日以内(祝日、年末年始休暇等は除く)利用者に提供可能なログの種類 有(アクセスログ、操作ログ、エラーログ等)セキュリティ(不正アクセス)ログ／バックアップ取得結果ログを利用者の要望に応じて提供17 応答時間 処理の応答時間 時間(秒) データ共有システムの設計に対応18 遅延 処理の応答時間の遅延継続時間 時間(分) データ共有システムの設計に対応19 バッチ処理時間 バッチ処理(一括処理)の応答時間 時間(分) 8時間以下(データ共有システムの設計に対応)20 カスタマイズ性カスタマイズ(変更)が可能な事項／範囲／ 仕様等の条件とカスタマイズに必要な情報有無 有計画停止予定通知 有無4 サービス稼働率ディザスタリカバリ3突然のサービス提供停止に対する対処 可用性2プログラムや、システム環境の各種設定データの預託等の措置の有無有無稼働率(%)災害発生時のシステム復旧サポート体制 有無システム監視基準(監視内容／監視・通知基準)の設定に基づく監視有無信頼性12 障害通知プロセス障害発生時の連絡プロセス(通知先／方法／経路)有無1699.0%以上5拡張性有無性能ログの取得11 システム監視基準1 / 3別紙2 クラウドサービスレベル一覧No. 種別 サービスレベル項目例 規定内容 測定単位 要求レベル21 外部接続性既存システムや他のクラウド・コンピューティング・サービス等の外部のシステムとの接続仕様有無 無 有利用者5人(データ共有システムの設計に対応)データ共有システムの設計に対応契約全体に対するクラウドリソースの上限値は個別に変更可能24サービス提供時間帯(障害対応)障害対応時の問合せ対応を実施する時間帯時間帯 平日9:00～17:00(メール/電話)25サービス提供時間帯(一般問合せ)一般問合せ時の問合せ対応業務を実施する時間帯時間帯 平日9:00～17:00(メール/電話)有 データ共有システムの設計に対応(日次で、作業前後の差分のみバックアップ し、週次でフルバックアップを取る。 遠隔地のデータセンタに保管。アクセス権はシステム管理者のみに制限。復旧／利用者への公開の方法は別途規定)27バックアップデータを取得するタイミング(RPO)バックアップデータをとり、データを保証する時点時間 データ共有システムの設計に対応28バックアップデータの保存期間データをバックアップした媒体を保管する期限時間 データ共有システムの設計に対応有サービス設備内の情報資産は削除(データ削除時は保守SEが代行作業にてデータ削除可能)30 バックアップ世代数 保証する世代数 世代数 2世代以上有 データを暗号化有マルチテナント(複数ドメイン／プロジェクト)でのディスク共有は不可。もしくは、エビデンスを提出するなどで担保できる場合に限り、マルチテナントにおいても他契約のユーザと情報が共有されないセキュリティ対策が施されていることでも可とする。 有パスワード+証明書認証等、多要素認証を提供利用者のデータにアクセスできる利用者が限定 されていること有利用者組織にて規定しているアクセス制限と同様な制約が実現できていることドメイン、プロジェクト単位でリソースの操作制限が可能。ユーザ・グループの単位でシステム操作に関する権限の組み合わせが、プリセットロールとして定義可能。 38セキュリティインシデント発生時のトレーサビリティIDの付与単位、IDをログ検索に利用できるか、ログの保存期間は適切な期間が確保されており、利用者の必要に応じて、受容可能に期間内に提供されるか設定状況 開示要求の際はIaaSへのAPI操作ログを提示39 ウイルススキャン ウイルススキャンの頻度 頻度日次。もしくは、エビデンスを提出するなどで担保できる場合に限り、ウイルスに感染しない仕組みを有していることでも可とする。 有 データ共有システムの設計に対応41 データの外部保存方針データ保存地の各種法制度の下におけるデータ取扱い及び利用に関する制約条件を把握しているか把握状況 日本の法制度に遵守40二次記憶媒体の安全性対策バックアップメディア等では、常に暗号化した状態で保管していること、廃棄の際にはデータの完全な抹消を実施し、また検証していること、USBポートを無効化しデータの吸い出しの制限等の対策を講じていること有無36マルチテナント下でのセキュリティ対策異なる利用企業間の情報隔離、障害等の影響の局所化有無有無37 情報取扱者の制限有無／設定状況34アプリケーションに関する第三者評価不正な侵入、操作、データ取得等への対策に ついて、第三者の客観的な評価を得ていること有無／実施状況セキュリティ35 情報取扱い環境提供者側でのデータ取扱環境が適切に確保されていること3 / 3