Comments
Description
Transcript
「JASSO アンケート・フォーム機能及びメール機能の ASP サービスの
「JASSO アンケート・フォーム機能及びメール機能の ASP サービスの利用」 仕様書 1.件名 JASSO アンケート・フォーム機能及びメール機能の ASP サービスの利用 (ASP=アプリケーション・サービス・プロバイダー) 2.目的 独立行政法人日本学生支援機構(以下「機構」という。)の各業務担当部署において作成できる アンケート・フォーム機能及びメール機能を有する ASP サービスの利用を行うことにより業務の効 率化をはかる。 3.概要 機構は、奨学金貸与事業、留学生支援事業、学生生活支援事業の3事業に分かれており、約 50 の 部・課・係の組織体制で事業運営している。本部が所在するすずかけ台を始め、市谷事務所、駒場 事務所、青海事務所、全国 8 箇所の支部・オフィス、日本語教育センター2箇所の事務所が存在し ている。 今回の ASP サービスの利用により、資料請求や各種研修会・セミナー等申込の受付、アンケート 実施、メールマガジンの配信、データ管理などを容易に処理することができ、すべて各業務担当部 署で運用することを可能とする。 4.ASP サービスの利用内容 機構がインターネットを通じて ASP が保有するサーバにインストールされているアプリケーショ ンソフト(下記の 1)アンケート・フォーム機能及び 2)メール機能)を利用する。 下記 1)及び 2)の機能を利用することにより取得したデータについては、ASP が保有するデータベ ースに保存するとともに機構がダウンロードする。 また機構が保有するデータを ASP が保有するデータベースにインポートして保存する。 1) アンケート・フォーム機能 資料請求、各種研修会・セミナー申込等やアンケートの Web 入力フォームの作成・保存、アン ケート等データの保存、CSV 形式等のテキストデータによるアンケート等データのダウンロード、 機構が保有するアンケート等データのインポート。 2) メール機能 メールアドレス Web 登録フォームの作成・保存、メールアドレスデータの保存、メールアドレ ス登録者によるメールアドレスの修正・削除、各業務担当部署の ASP サービス利用者によるメー ルアドレスの更新、テキストメール及び HTML メールの文面作成、メール配信、CSV 形式等のテキ ストデータによるメールアドレスデータのダウンロード、機構が保有するメールアドレスデータ のインポート。 5.管理体制 ASP サービス利用に係る機構の管理責任部署は政策企画部広報課とし、ASP サービス利用担当者の 1 管理については各業務担当部署が行う。 6.運用体制 ASP サービスを利用する業務は各業務担当部署の責任において行い、業務内容を政策企画部広報課 に届け出る。 7.データ管理 ASP のデータベースに保存されたデータの管理は、各業務担当部署の ASP サービス利用者が行 い、必要に応じて削除または機構内データベースにダウンロードする。 8.ASP の保有するデータベースに保存するデータ件数 最大 340,000件と設定する。 (内訳〔利用部署と各最大使用レコード数〕) 1) 奨学金事業関係用: 180,000 レコード 2) 留学生支援事業関係用: 90,000 レコード 3) 学生生活支援事業関係用:40,000 レコード 4) 総務企画関係用: 合 計: 30,000 レコード 340,000 レコード データ件数は、メールアドレス件数とアンケートデータ件数の総合計数とし、資料請求、各種研 修会・セミナー申込等やアンケートの Web 入力フォーム数及びメールアドレス Web 登録フォーム数 はデータ件数に含まないものとする ※なお、ASP サービス利用期間内に利用部署の各最大使用レコード数が増加する場合がある。 9.調達仕様に備えるべき ASP サービスの情報セキュリティ対策の要求要件 本調達業務の実施にあたっては次の要求要件を満たすこと。 1) ネットワーク、サーバ環境における対策 ① ネットワーク構成 ・外部へ公開するサーバはファイアウォールにより構成していること。 ・外部からの Web アクセスを受けるネットワーク回線とメール配信に使用するネットワーク回線 を分離していること。 ・機構から ASP 管理画面への Web アクセスは SSL による暗号化を行い、機構の IP アドレスによる 制限をかけること。 ・メールアドレス登録者やアンケート登録者など外部からの Web アクセスは SSL による暗号化を 行うこと。 ・ASP のサーバからはメール配信以外の用途による外部への通信は行わないこと。 ・Web 公開しているサーバへの不正アクセスがないか監視を常時行うこと。 ・外部からのアクセスを受けるサーバでは日々において脆弱性検査を行うこと。 ② サーバ環境 ・ハードディスクはミラー構成とすること。 2 ・データベースサーバは外部からのアクセスを直接受けない仕様となっていること。 ・サーバの所在地は、本邦内とする。 ③ ウィルス対策 ・メール送信における対策として、ファイル添付のメールを送信できない仕様にすること。 ・メール受信(登録、退会)における対策として、ウィルススキャンサーバによる検査を行うこ と。 ・ウィルス定義ファイルは自動更新を行い、常時最新版を維持すること。 2) アプリケーションにおける実装 ① 認証 ・ASP 管理画面へログインする機構の ASP 利用者の管理については、利用者毎に権限を定義できる こと。 ・ログインの認証時においてはエラーチェックを行うこと。 ② パスワード管理 ・発行するパスワードの値がデータベースに保存される際には暗号化すること。 ③ 操作ログ ・Web サーバのログとは別にログインID毎の操作内容を記録すること。 ・個人情報にアクセスする操作を行った場合は、アクセス件数や検索に使用した条件などログ自 体に個人情報が残らないように記録すること。 ④ Web アプリケーションの脆弱性対策 ・入力データのチェックを行い、以下の対応を行うこと。 悪意ある文字列の入力チェックもしくは無害化 SQL インジェクションの防御 コマンドインジェクションの防御 ディレクトリトラバーサルの防御 パラメータ改ざんの防御 クロスサイトスクリプティングの防御 バッファオーバーフローの防御 セッションハイジャックの防御 クロスサイトリクエストフォージュリの防御 3) 個人情報データの取扱い ① アクセス権限 ・ ファイルとして保持される個人情報データは Web サーバから直接アクセスされないこと。 ・ アクセス権限が与えられていないIDでは、ファイルを開けないこと。 ② バックアップ ・データのバックアップは日時処理で行い、14 日間データベースサーバ等に保存すること。 4) メール送信上の対策 ① 不正中継対策 ・配信サーバは送信専用として構成し、外部からのメールを直接受信しないこと。 ・外部からのメールを受信するサーバは、配信サーバとは別に構成し、第三者によるメール中継 3 を行えない設定にすること。 ② 送信ドメイン認証技術への対応 ・送信者ドメイン認証技術として SPF(センダー・ポリシー・フレーム)に対応した設定を行うこ と。 ・受信メールについても SPF によるフィルタリングを行い、なりすましによる空メール登録を防 ぐこと。 5) システム運用 ① ASP の運用管理担当者の端末環境 ・ウィルスキャンソフトウエアを導入し、ウィルス定義ファイルの更新及び端末のフルスキャン を定期的に行うこと。 ② ID管理 ・ASP の運用担当者個人単位にIDを発行し、担当者の異動、退職時にはIDの削除を ASP の責任 者が行うこと。 ③ ログ管理 ・サーバのシステムログを記録・保管し、リアルタイムに監視を行うこと。 ④ サーバ監視 ・サーバの安定稼動を図るために、サーバの監視を行うこと。 ⑤ 時刻管理 ・サーバログの信頼性を維持するために、各サーバの時刻同期を保つこと。 6) データ削除の対応 ・ASP サービス利用終了時には ASP のサーバに保存している機構のデータを削除し、データ削除証 明書を発行すること。 ・アプリケーションプログラムが作成する一時ファイルなど、削除すべきデータの複製がある場合 についても上記と同じく確実に削除すること。 7) 情報セキュリティが侵害された場合の対処 情報セキュリティが侵害され又はそのおそれがある場合には、ASP の責任者は、速やかに機構に 報告するとともに、機構の求めに応じこれと協議を行い、合意した対応を採ること。 また、事故責任の範囲と補償範囲を機構に提案すること。 8) 情報セキュリティ対策の履行状況の確認等に関する事項の通知 情報セキュリティ対策の履行状況を確認するために、機構は、ASP に対して以下の報告を求める 場合がある。 ・1)~7)の各項において求める情報セキュリティ対策の実績 ・ASP に取り扱わせる機構の情報の秘密保持等に係る管理状況 9) 情報セキュリティ監査の実施 情報セキュリティ対策の履行状況を確認するために、機構は、ASP に対して、随時に、情報セキ ュリティ監査を実施することができるものとする。 10.調達仕様に備えるべき技術的要件 技術的要件は、下記の 1)~3)とし、すべて必須の要求要件である。 4 1) アンケート・フォーム機能 ・各業務担当部署において、それぞれの ASP 利用担当者がID・パスワードにてログインして作 業が行えること。 アンケート・フォーム機能を利用し、アンケート作成、資料請求、各種研修会やセミナー等の参 加申込の受付、留学生からの留学情報提供、ご意見・ご要望など情報収集等を行う。 【基本設定】 ・期間開始日及び終了日の設定 ・複数回の回答の自由選択(可能・上書き) ・回答終了時メッセージの設定 ・回答者への返信メールタイトル・本文・署名作成機能 ・作成者メールアドレスの設定 ・作成者メールアドレスの通知有無 【アンケートの設問設定】 ・設問タイプ a. 文字入力(自由記述欄:文字数設定可能に) b.リスト単一選択 c.リスト複数選択 d.ラジオボタン e.チェックボックス f.メールアドレス 【データ管理】 ・アンケート毎に取得したデータをASPの保有するデータベースサーバに保存できること。 ・保存されたデータは CSV 形式等のテキストデータによりダウンロードできること。 ・機構が保有するデータをASPの保有するデータベースサーバにインポートできること。 2) メール機能 ・各業務担当部署において、それぞれID・パスワードにてログインして作業が行えること。 メール機能を利用し、JASSO メールマガジン配信希望者メールアドレス登録及びメールマガジン 配信、留学生のメールアドレス登録及びメール配信、学校事務担当者の事務連絡用メールアドレ スの登録及びメール配信等を行う。 【配信基本性能】 ・配信性能は、1時間あたり 12 万通以上とする。 ・エラーメールについては、配信遅延や不達を防ぐために自動的に送信しないこと。 【配信方法】 ・承認機能を有し、予め登録した承認管理者の承認がなければ配信できないこと。 ・予約配信機能を有し、配信日時が設定できること。 【データ管理】 ・取得したメールアドレス等のデータをASPの保有するデータベースサーバに保存できる こと。 5 ・保存されたデータは CSV 形式等のテキストデータによりダウンロードできること。 ・機構が保有するデータをASPの保有するデータベースサーバにインポートできること。 【レポート機能】 ・レポート機能を有し、ASP の保有するデータベースサーバに保存しているメールアドレス数、 アンケートデータ数、メール配信履歴を確認できること。 【効果測定機能】 ・メール本文中の URL に受信者がいつクリックしたかどうかをカウントし、効果測定ができる こと。 ・HTML メールについては受信者のメール開封有無を確認できること。 【その他】 ・空メール機能を有すること。 3) 独自ドメイン ・空メール登録用アドレス、クリックカウント URL を機構指定のドメインに変更すること。 ・登録フォーム URL を機構指定のドメインへ変更し、SSL を設定すること。 11.ASP サービスの利用料金の要求要件 1) 初期費用 初期費用は、ASP サービス利用開始に必要な経費とする。 支払は、ASP サービス利用開始に必要な準備業務が完了した後、機構にその旨の報告を行い、 機構が検査を経て正当な請求書を受理した日から30日以内に支払うものとする。 2) 月次費用 ASP サービス利用期間中に発生する利用月の費用とする。 ただし、フォーム数、メールの配信頻度・配信数に制限はないものとする。 ASP サービス 利用月の月次費用の支払は、ASP サービス利用月の業務が適正に実施されてい ることを機構が確認した上で、正当な請求書を受理した日から30日以内に支払うものとする。 12.教育支援について ASP サービス利用期間内に機構の役職員に対する下記の教育支援を行うこと。 1) 機構のシステム管理者及びシステム運用担当者に対し、操作に関する実地研修(50 名)を市谷 事務所内で2回行うこと。 2) 操作マニュアルを印刷媒体で、100 部提出すること。 なお、上記1)及び2)の教育支援に係る経費の支払は、業務が完了されたことを機構が確認 した上で、正当な請求書を受理した日から30日以内に支払うものとする。 13.保守体制について ASP サービス利用期間中は、瑕疵があった場合、無償にて障害の対応を行うこと。また、速やかに 復旧作業に対応できるよう体制(サポート体制)を整えること。 14.障害について 6 1) 障害対応サービス 障害等発生した場合、速やかに本機構へ通報すること。また復旧までの対応を示し、具体的な運 用方法を提示し、回復作業を行うこと。 2) 障害の際、データ復旧はすべてバックアップデータで対応できること。 3) システム内の機能や取扱いデータは、その機能やデータの利用権限をもつIDの発行を受けた ASPの運用担当者のみが利用可能であること。 4) 障害時受付 24時間365日、電話またはメールで受付対応すること。 5) サポートデスク 運用に関する操作、運用、技術に関する問合せを平日(国民の祝日に関する法律第3条に規定 する休日及び 12 月 29 日~1 月 3 日の年末年始を除く月曜~金曜)10 時~18 時まで電話またはメ ールで受付対応すること。 15.提案書の提出 前記9.~14.について、ASPサービスの仕様に係る提案書を入札前の指定した期日までに提出す ること。 提案書は、以下の様式例を参考に一問一答形式で提出すること。 <様式例> 項番 9.1)① 仕様要件 提案内容 外部へ公開するサーバはファイアウォ ・・・・・・・・・・・・・・・・・・・・・。 ールにより構成していること。 (具体的に記入すること) 機構からASP管理画面へのWebアク ・・・・・・・・・・・・・・・・・・・・・。 セスはSSLによる暗号化を行う。 (具体的に記入すること) 提案書の内容について、必要に応じて個別のヒアリングを行うことがある。 16.守秘義務 請負業者は、本件の業務の実施により、知り得た情報(個人情報・業務情報)を ASP サービス利 用期間中か否かに関わらず、日本学生支援機構の承諾なしに、第三者に提供・開示又は漏洩しては ならない。但し、既に公開されている情報及び公知となった情報については、この限りではない。 17.応募資格 1) 本業務仕様書のすべてに示す業務の実施が可能な者であること。 実施が可能な者であるかどうかは、前記 15. 提案書の提出により、機構内に設置する技術審査 委員会が判断する。 2) 国の競争参加資格(全省庁統一資格)において、平成 22 年、23 年、24 年度に「役務の提供等」 の資格 A、B または C を有する者であること。 3) 独立行政法人日本学生支援機構から役務の提供等に係る取引停止の措置を受けている期間中の 者でないこと。 4) 情報セキュリティマネジメントシステム『ISO27001(ISMS)』の認証者であること。 7 5) 財団法人マルチメディア振興センター『ASP・SaaS安全・信頼性に係る情報開示認定制 度』の認定を取得していること。 6) 『プライバシーマーク』の取得者であること。 18.担当部署 独立行政法人日本学生支援機構 東京都新宿区市谷本村町10―7 政策企画部広報課 担当:河窪、藤井 19.ASPサービス利用期間 平成24年2月1日~平成27年3月31日 ※原則、24時間365日の運用とする。 20.その他 1) ASPサービスのシステムは入札時点で製品化されていること。 2) 本仕様書は、システムに備えるべき最低限の要求要件を示しているため、個々の要求要件は、同 時に実現されなければならない。従って、個々の要求要件は満たすが実装しない、同時に利用でき ない、実運用では保証できないといったシステムは認められない。 3) ASPの保有するアプリケーションソフトについて、使用許諾ライセンスに違反するときや関係法 令に違反すると認められたときには要件を満たしていないと判断する。 以上 8