共用 LAN システム 外部送信メール自動暗号化システム一式 調達仕様書

共用 LAN システム
外部送信メール自動暗号化システム一式
調達仕様書
独立行政法人 医薬品医療機器総合機構
平成 22 年 12 月
１
調達件名
共用 LAN システム 外部送信メール自動暗号化システム一式
２ 作業の概要
（１）目的
独立行政法人医薬品医療機器総合機構（以下、
「総合機構」という。
）では、役職員
等向けに共用 LAN システムを整備し、サーバ機器、及びクライアント端末等の運用を
行っているところである。共用 LAN システムにおいては、共用 LAN システム上での
通信におけるセキュリティレベルの向上のための対策を検討しており、検討の結果、
外部へのメール送信における添付ファイルに対し、強制的に暗号化を実施する必要が
あるとの判断に至ったところである。
本調達においては、共用 LAN システム上における外部への送信メール自動暗号化シ
ステム（以下、
「自動暗号化システム」という。）の調達を行う。
（２）用語の定義
用
語
共用 LAN システム
定
義
総合機構の共通的基盤システム。メールサーバや
グループウェアサーバ、クライアント端末等で構
成されている。
（３）作業内容・納入成果物
①
調達対象工程
本調達は、以下に示す事項を対象とする。
ア
設計・導入
イ
運用支援
ウ
保守（平成 26 年 12 月末まで）
②
作業内容等
本調達においては、クライアント端末における自動暗号化システム、を調達する
ものであり、具体的な作業工程、納入成果物は下表に示したとおり。ただし、納入
成果物の構成、詳細については、受注後、独立行政法人医薬品医療機器総合機構担
当者（以下、
「機構担当者」という。
）と協議し取り決めること。
１
作業内容・工程と成果物
項
番
１
工程
計画
納入成果物
納入期日
・プロジェクト実施
計画書
契約締結日
から 2 週間
以内
２
基 本 設 計 ・ ・基本設計書
詳細設計
・詳細設計書
・環境定義書
・接続仕様書
平成 23 年
3 月 25 日
３
テ ス ト 環 境 ・テスト計画書
の 構 築 ・ テ ・テスト結果報告書
・接続テスト計画書
スト
・接続テスト結果報
告書等
平成 23 年
3 月 25 日
４
導入
・導入計画書
・導入手順書
・導入作業結果報告
書
・ハードウェア製品
平成 23 年
3 月 25 日
５
教育
・教育計画書*1
・マニュアル*2
・教育用資料*3
・教育作業結果報告
書等
平成 23 年
3 月 25 日
*1～*3 については、
(ドラフト版の納品を
3 月 4 日までとし、納
入期日までに必要に応
じアップデート
を行うこと。
・運用計画書
・運用手順書
平成 23 年
3 月 25 日
６
運用
７
保守
)
SLCP-JCF2007
のアクティビティ
1.2.4 計画立案
1.6.1 プロセス開始の準備
1.6.2 システム要件定義
1.6.3 システム方式設計
1.6.4 ソフトウェア要件定義
1.6.5 ソフトウェア方式設計
1.6.6 ソフトウェア詳細設計
1.6.10 システム結合
1.6.11 システム適格性確認
テスト
1.6.13 ソフトウェア受入れ
支援
1.7.2 運用テスト
3.2.1 プロセス開始の準備
3.2.2 環境の構築
1.6.12 ハードウェア導入
3.4.1
3.4.2
定義
3.4.3
3.4.4
プロセス開始の準備
教育訓練の要求事項の
教育訓練計画の実施
教育訓練の評価
1.7.1 プロセス開始の準備
・保守計画書
平成 23 年
1.8.1 プロセス開始の準備
・保守手順書
3 月 25 日
その他
・打合せ資料
平成 23 年
1.2.6 レビュー及び評価
・議事録
3 月 25 日
なお、納入成果物については、以下の条件を満たすこと。
８
ア
文書を紙及び磁気媒体等（CD-R 又は CD-RW 等）により日本語で提供すること。
イ 紙のサイズは、日本工業規格 A 列 4 番を原則とする。図表については、必要に
応じて A 列 3 番縦書き、横書きを使用することができる。バージョンアップ時等
に差し換えが可能なようにバインダー方式とする。
ウ
磁気媒体等に保存する形式は、PDF 形式又は Microsoft Office2003 で扱える形
式とする。ただし、機構担当者が別に形式を定めて提出を求めた場合は、この限
りではない。
エ
③
紙及び磁気媒体については一部ずつ用意すること。
納入場所
独立行政法人 医薬品医療機器総合機構 情報化統括推進室
東京都千代田区霞が関 3-3-2 新霞が関ビル 10 階西側
２
（４）検収
納入成果物については、適宜、機構担当者に進捗状況の報告を行うとともに、レ
ビューを受けること。最終的な納入成果物については、
「２（３）作業内容・納入成
果物」に記載のすべてが揃っていること及びレビュー後の改訂事項等が反映されてい
ることを、機構担当者が確認し、これらが確認され次第、検収終了とする。
なお、以下についても遵守すること。
①
検査の結果、納入成果物の全部又は一部に不合格品を生じた場合には、受注者は
直ちに引き取り必要な修復を行った後、機構担当者の承認を得て指定した日時まで
に修正が反映されたすべての納入成果物を納入すること。なお、納入期日後の修正
等については、差し替えではなく新たに作成し提出すること。
②
納入成果物に規定されたもの以外にも、必要に応じて提出を求める場合があるの
で、作成資料等を常に管理し、最新状態に保っておくこと。
３ 情報システムの要件
（１）機能要件
外部送信メール自動暗号化システム機能要件
外部送信メール自動暗号化システム機能
①
総合機構外へのメール送信時において添付ファイルが存在する場合には、エ
ンドユーザによる添付ファイル暗号化のための作業を必要とせず、意識するこ
となく添付ファイルの自動暗号化（ZIP 形式）が出来ること。なお、サービス
方式はゲートウェイ方式とする。
②
総合機構外へのメール送信時において、添付ファイルが存在す場合には、確
実に添付ファイルの暗号化が実施可能であること。
③
メールの受信者側の環境が Windows XP、Windows Vista、Windows 7 であった
場合、特別なプラグイン等の専用ソフトウェアが不要であること。
④
暗号化方式として、暗号化 ZIP 書庫（Traditional PKWARE Encryption）
・暗
号強度：96bit に対応していること。
⑤ 複数の添付ファイルをまとめて 1 つのパスワード付き ZIP ファイルで送信可
能であること。
⑥ 添付ファイルの暗号化の際、自動でパスワードがセットされ、送信者にのみ
パスワード通知が可能であること。
パスワード管理機能
①
固定パスワードとして、宛先や送信者などの条件に応じた固定パスワードが
設定可能であること。
②
メールを送信する度にパスワードの自動生成が可能であること。
③
パスワードの強度設定（パスワード長など）が可能であること。
④
添付ファイルの暗号化の際、自動でパスワードがセットされ、送信者にのみ
パスワードの自動通知が可能であること。
⑤ パスワードの通知方法については、WEB ブラウザアクセスにより、送信者側
３
での電子メールの内容確認後に送信者の操作によって、パスワード通知メール
の送付が可能であること。
管理機能
①
アプリケーションの稼働状態や、OS 資源を常時監視し、異常を関知した場合
には管理者へメールにて通知可能であること。
監視内容としては以下のとおり。
・搭載ソフトウェア製品の稼働状況
・システムの平均負荷率
・メモリ使用量
・HDD 使用量
②
システムログの表示、メールログの記録が可能であること。
その他
①
スマートホストをプライマリ／セカンダリの 2 サーバまで設定可能であるこ
と。
②
SMTP 認証に対応していること。
③
SMTP 接続許可ネットワークを最大 5 個まで設定可能であること。
④
障害発生に備え、冗長化構成にて構築すること。
⑤
19inch 米国電子工業会（EIA)標準に準拠したラックへ搭載可能であること。
（２）帳票要件
なし
４ 規模・性能要件
（１）規模要件
対象とするクライアント端末については、1,165 台を想定すること。
（２）性能要件
1,165 名のユーザが存在する環境にて、遅延することなく処理が行えること。
５ 信頼性等要件
（１）信頼性要件
冗長化構成にて構築し、機器の障害時にメールの送信機能が使用出来ない時間を
可能な限り、1 時間以内とすること。
６ 情報セキュリティ要件
（１）情報セキュリティ対策
システムの設計・開発等に際しては、受注者は、機構担当者と調整の上、必要な対
４
策を講じること。主な対策例を下表に示す。
情報セキュリティ対策
区
分
コンピュータウイルス対策
対策の概要
コンピュータウイルス対策基準（平成 12 年 12 月 28 日
通商産業省告示 第 952 号）に準じた対策を講じること。
７ 情報システム稼動環境
（１）全体構成
システムの全体構成については、以下の「（２）ハードウェア構成」、
「（３）ソフト
ウェア構成」
、
「
（４）ネットワーク構成」を参照のこと。
（２）ハードウェア構成
障害時に備え、冗長化構成とすること。
（３）ソフトウェア構成
なし。
（４）ネットワーク構成
ネットワーク構成資料は、入札説明会時に配布する。
８
テスト要件定義
テストを計画的に実施するため、受注者は、機構担当者と調整の上、下表「テスト項
目と概要」に係るテストの実施項目を決めるとともに、テスト計画書に以下の項目を明
記し、機構担当者の承認を得てテストを行うこと。
・総合機構及び受注者のテスト実施体制と役割
・テストに係る詳細な作業及びスケジュール
・テスト環境
・テストツール
・合否判定基準 等
また、テスト計画書には、総合機構にて実施する受入テストに関する資料（受入テス
トの実施計画案、受入テストに関連する資料等）を含むこと。
なお、テスト時においても、他システムの環境に影響を与えないよう留意すること。
テスト項目と概要
No.
テスト項目
1
単体・結合テスト
テスト概要
ソフトウェアをほかのソフトウェアと結合する前
に単体でその完全性を評価する。また、それらの結
合テスト・評価を行う。
2
機能テスト
アプリケーションの各機能が実行するタスクが、
５
No.
テスト項目
テスト概要
仕様書・ユーザガイド・要求仕様書・設計文書に違
反する動作をしていないかを確認する。
（TOFT：Task-Oriented Functional Test）
3
システムレベルテスト
システム全体を通して動作させ、正常に機能する
かを確認する。
4
現実のユーザレベルテ
スト
5
フェイルオーバーテス
ト
6
信頼性テスト
ユーザがプログラムに対して行うであろうことを
予測してテストする。
システムレベルのエラー処理やリカバリプロセス
をテストする。
システムが一定時間の間連続で操作可能かをテス
トする。
7
ユーティリティ、ツー
システムに付属するもののテスト、インストール
ル、その他付属品のテス
／アンインストールテスト、インストーラのテスト、
ト
README やアイコンの確認、インストールした機能が
正常に動作するかをテストする。
９ 移行要件定義
（１）移行に係る要件
なし。
（２）教育に係る要件
システムの保有する各種マニュアル類について、本業務の影響箇所を抽出の上、改
訂を行うとともに、運用手順に係る教育・研修を機構担当者等に行うこと。
１０ 運用要件定義
（１）データ管理要件
なし。
１１ 保守要件定義
（１）ソフトウェア保守要件
①
ソフトウェア保守業者への要求事項
ア 関連ソフトウェアに関する修正パッチ（セキュリティ含む。
）等が公開され
た場合、
導入の必要性を機構担当者と協議する。適用する際は、十分検証の上、
周知後に適用すること。
イ 不具合が発見された場合は、速やかに対応すること。
ウ
修正パッチの適用は、夜間若しくは休日等の利用者の利用時間外に実施する
こと。
②
保守費用の考え方
６
ア
年間保守料にはソフトウェアのアップデート（修正パッチの提供と更新処
理）を含むこと（更新データの費用が別払いとならないこと。）。
③
保守期間
保守契約日から平成 26 年 12 月末までとする。
（２）ハードウェア保守要件
①
ハードウェア保守業者への要求事項
ア 関連ハードウェアに関する修正パッチ（セキュリティ含む。
）等が公開され
た場合、
導入の必要性を機構担当者と協議する。適用する際は、十分検証の上、
周知後に適用すること。
イ 不具合が発見された場合は、速やかに対応すること。
ウ
修正パッチの適用は、夜間または休日等の利用者の利用時間外に実施するこ
と。
エ
電話による Q&A 対応/問題解決支援も含むこと。
②
保守費用の考え方
ア
年間保守料にはハードウェアのアップデート（修正パッチの提供と更新処
理）を含むこと（更新データの費用が別払いとならないこと。）。
③ 保守期間
ア 保守契約日から平成 26 年 12 月末までとする。
イ サービス対応時間は平日 9 時から 17 時とする。
１２ 作業の体制及び方法
（１）作業体制
受注者は、業務受託後、総合機構に対して作業体制（受注者側の体制図とそれぞれ
の役割の詳細）を事業計画書と併せて報告し、承認を得て業務を進めること。
（２）導入
システムの導入作業は、以下の事項を遵守して行うこと。
①
受注者は「８ テスト要件定義」に定める要件についてテストを行った後、機構
担当者が指定する日時及び設置場所で、導入作業を行い、本番稼働を問題なく迎え
られるようにすること。
②
本調達で行った開発等作業の詳細な内容及びシステム運用の変更点について、検
収終了後、速やかに当システムの保守・運用を担当する者に引継ぎを行えるように
すること。
（３）瑕疵責任
本業務の瑕疵担保責任の範囲・期間等の瑕疵への対応については、契約に基づき規
定するものとする。
７
１３ 特記事項
（１）基本事項
受注者は、次に掲げる事項を遵守すること。
①
本業務の遂行に当たり、業務の継続を第一に考え、善良な管理者の注意義務をもっ
て誠実に行うこと。
②
本業務に従事する要員は、機構担当者と円滑なコミュニケーションを行う能力と
意思を有していること。
③
本業務の履行場所を他の目的のために使用しないこと。
④
本業務に従事する要員は、履行場所での所定の名札の着用等、従事に関する所定
の規則に従うこと。
⑤
要員の資質、規律保持、風紀及び衛生・健康に関すること等の人事管理並びに要
員の責めに起因して発生した火災・盗難等不祥事が発生した場合の一切の責任を負
うこと。
⑥
受注者は、本業務の履行に際し、機構担当者からの質問、検査及び資料の提示等
の指示に応じること。また、修正及び改善要求があった場合には、別途協議の場を
設けて対応すること。
⑦
次回の本業務調達に向けた現状調査、機構担当者が依頼する技術的支援に対する
回答、助言を行うこと。
⑧
本業務においては、業務終了後の運用等を、受注者によらずこれを行うことが可
能となるよう詳細にドキュメント類の整備を行うこと。
（２）各業者との役割分担等
システム設計・開発等を複数業者が連携(再委託を含めて)して実施する等の場合は、
参画する各業者の役割分担等を明示すること。
（３）入札制限
情報システムの調達の公平性を確保するために、以下に示す事業者は本調達に参加
できない。
①
総合機構ＣＩＯ補佐が現に属する、又は過去２年間に属していた事業者等
②
各工程の調達仕様書の作成に直接関与した事業者等
③
設計・開発等の工程管理支援業者等
④
①～③の親会社及び子会社（
「財務諸表等の用語、様式及び作成方法に関する規則」
（昭和３８年大蔵省令第５９号）第８条に規定する親会社及び子会社をいう。以下同
じ
。）
⑤
①～③と同一の親会社を持つ事業者
⑥
①～③から委託を受けるなど緊密な利害関係を有する事業者
（４）応札条件
応札希望者は、以下の資格等を有していること。
①
品質管理体制について ISO9001 の認証を取得している者であること。
②
ISO/IEC27001 認証(国際標準)または JISQ27001 認証(日本工業標準)のいずれかを
取得していること。
８
③
プライバシーマーク付与認定を取得していること。
（５）知的財産等
知的財産の帰属は、以下のとおり。
①
本件に係り作成・変更・更新されるドキュメント類及びプログラムの著作権（著
作権法第 21 条から第 28 条に定めるすべての権利を含む。
）は、受注者が本件のシス
テム開発の従前より権利を保有していた等の明確な理由により、あらかじめ書面に
て権利譲渡不可能と示されたもの以外、総合機構が所有する等現有資産を移行等し
て発生した権利含めてすべて総合機構に帰属するものとする。
②
本件に係り発生した権利については、受注者は著作者人格権を行使しないものと
する。
③
本件に係り発生した権利については、今後、二次的著作物が作成された場合等で
あっても、受注者は原著作物の著作権者としての権利を行使しないものとする。
④
本件に係り作成・変更・修正されるドキュメント類及びプログラム等に第三者が
権利を有する著作物が含まれる場合、受注者は当該著作物の使用に必要な費用負担
や使用許諾契約に係る一切の手続きを行うこと。この場合は事前に総合機構へ報告
し、承認を得ること。
⑤
本件に係り第三者との間に著作権に係る権利侵害の紛争が生じた場合には、当該
紛争の原因が専ら総合機構の責めに帰す場合を除き、受注者の責任、負担において
一切を処理すること。この場合、総合機構は係る紛争の事実を知ったときは、受注
者に通知し、必要な範囲で訴訟上の防衛を受注者にゆだねる等の協力措置を講ずる。
なお、受注者の著作又は一般に公開されている著作について、引用する場合は出典
を明示するとともに、受注者の責任において著作者等の承認を得るものとし、総合
機構に提出する際は、その旨併せて報告するものとする。
（６）再委託
受注者は、受注業務の全部又は主要部分を第三者に再委託することはできない。受
注業務の一部を再委託する場合は、事前に再委託する業務、再委託先等を総合機構に
報告し、承認を受けること。受注者は、機密保持、知的財産権等に関して本仕様書が
定める受注者の責務を再委託先業者も負うよう、必要な処置を実施し、総合機構に報
告し、承認を受けること。
なお、第三者に再委託する場合は、その最終的な責任を受注者が負うこと。
（７）機密保持
本業務を実施する上で必要とされる機密保持に係る条件は、以下のとおり。
①
受注者は、
受注業務の実施の過程で総合機構が開示した情報（公知の情報を除く。
以下同じ。
）
、他の受注者が提示した情報及び受注者が作成した情報を、本受注業務
の目的以外に使用又は第三者に開示若しくは漏洩してはならないものとし、そのた
めに必要な措置を講ずること。
②
受注者は、本受注業務を実施するにあたり、総合機構から入手した資料等につい
ては管理台帳等により適切に管理し、かつ、以下の事項に従うこと。
・複製しないこと。
９
・用務に必要がなくなり次第、速やかに総合機構に返却すること。
・受注業務完了後、上記①に記載される情報を削除又は返却し、受注者において
該当情報を保持しないことを誓約する旨の書類を総合機構へ提出すること。
③
応札希望者についても上記①及び②に準ずること。
④
「独立行政法人 医薬品医療機器総合機構 情報システム管理利用規程」の第 52
条に従うこと。
⑤
「秘密保持等に関する誓約書」を別途提出し、これを遵守しなければならない。
⑥
機密保持の期間は、当該情報が公知の情報になるまでの期間とする。
（８）遵守事項
本業務を実施するにあたっての遵守事項は、以下のとおり。
①
受注者は、
「政府機関の情報セキュリティ対策のための統一基準（第 4 版
）」
（2009
年 2 月 3 日、情報セキュリティ政策会議決定）に定めるほか、総合機構が定める情
報セキュリティの規定を遵守すること。
②
受注業務の実施において、現行システムの設計書等を参照する必要がある場合は、
作業方法などについて総合機構の指示に従い、秘密保持契約を締結するなどした上
で、作業すること。作業場所は、総合機構内とする。
③
総合機構へ提示する電子ファイルは事前にウイルスチェック等を行い、悪意のあ
るソフトウェア等が混入していないことを確認すること。
④
民法、刑法、著作権法、不正アクセス禁止法、個人情報保護法等の関連法規を遵
守することはもとより、下記の総合機構内規程を遵守すること。
・独立行政法人 医薬品医療機器総合機構 情報システム管理利用規程
・独立行政法人 医薬品医療機器総合機構 個人情報管理規程
⑤
受注者は、本業務において取り扱う情報の漏洩、改ざん、滅失等が発生すること
を防止する観点から、情報の適正な保護・管理対策を実施するとともに、これらの
実施状況について、総合機構が定期若しくは不定期の検査を行う場合においてこれ
に応じること。万一、情報の漏洩、改ざん、滅失等が発生した場合に実施すべき事
項及び手順等を明確にするとともに、事前に機構担当者に提出すること。また、そ
のような事態が発生した場合は、機構担当者へ報告するとともに、当該手順等に基
づき可及的速やかに修復すること。
（９）作業場所
受注業務の作業場所は、総合機構内、又は日本国内で総合機構の承認した場所で作
業すること。
総合機構内での作業においては、必要な規定の手続を実施し承認を得ること。
（１０）環境への配慮
環境への負荷を低減するため、以下に準拠すること。
①
本件に係る納入成果物については、
「国等による環境物品等の調達の推進等に関す
る法律（グリーン購入法）
」
（平成 15 年 7 月 16 日法律第 119 号）に基づいた製品を
可能な限り導入すること。
②
導入する機器等がある場合は、性能や機能の低下を招かない範囲で、消費電力節
１０
減、発熱対策、騒音対策等の環境配慮を行うこと。
（１１）その他
総合機構全体管理組織
（ＰＭＯ）が担当課に対して指導、助言等を行った場合には、
受注者もその方針に従うこと。
１４
窓口連絡先
独立行政法人 医薬品医療機器総合機構 情報化統括推進室
今尾 一隆
電話：03(3506)9485
Email：[email protected]
飛知和 康史
電話：03(3506)9485
Email：[email protected]
１１