仕様書 - Pmda 独立行政法人 医薬品医療機器総合機構

セキュリティポリシー等策定支援業務
調達仕様書
独立行政法人医薬品医療機器総合機構
平成 27 年 5 月
i
１
件名
セキュリティポリシー等策定支援業務
２
実施主旨
独立行政法人医薬品医療機器総合機構（以下「PMDA」という。）は、より有効
でより安全な医薬品・医療機器をより早く国民に提供するという使命を果たすた
め、審査、安全対策及び健康被害救済の業務体制の整備に努めてきたところであ
る。第一期及び第二期における取り組みを通じて、審査の迅速化、安全対策の充
実などにより所要の目標を達成してきた。今後は、欧米に比肩できるよう、世界
第一級の審査・安全対策を担う機関を目指して、より一層体制を強化・充実して
いくことが必要である。
PMDA で扱う情報は患者や企業等からの機微性及び機密性の高いものであり、
高度なセキュリティの確保が求められる。PMDA ではこれまで「情報システム管理
利用規程」「共用 LAN システム管理利用要領」等の規程・要領類（以下、「規程
類」という。）を定めている。
現在、「厚生労働省情報セキュリティポリシー」（以下、「厚労省セキュリテ
ィポリシー」）が更改される予定であるが、PMDA においては、厚労省セキュリテ
ィポリシーの内容に則った PMDA 独自のセキュリティポリシー（以下、「PMDA セ
キュリティポリシー」という。）の策定が必要である。
また、「パーソナルデータの利活用に関する制度改正（内閣官房ＩＴ総合戦
略室）」が進められており、その中で「医療等に関する個人情報の利活用にあ
たっての取扱いルール」も見直しが行われていることから、PMDAにおいてもパ
ーソナルデータの利活用に関する制度改正を踏まえたプライバシーポリシーの
策定が必要である。
「セキュリティポリシー等策定支援業務」（以下、「本業務」という。）では、
厚労省セキュリティポリシーに則った PMDA セキュリティポリシー策定、および
パーソナルデータの利活用に関する制度改定等を踏まえた PMDA プライバシーポ
リシー策定を支援するものである。
1
３
業務の内容
（１）プロジェクト全体管理
①業務実施計画書作成
本業務の開始にあたり、目的、実施体制、役割、作業内容と作業方法、
及び作業スケジュール等を明確にした業務実施計画書を作成すること。業
務実施計画書について PMDA の承認を得たうえで作業を開始すること。
②定例会議の開催
本業務を円滑かつ効果的に遂行するため、週次または隔週等の頻度で
PMDA に対し業務の進捗状況、課題状況等の報告等を行う定例会議を設け
ること。会議終了後に議事要旨を作成し、PMDA に提出すること。
（２）PMDA セキュリティポリシー案策定等支援
①セキュリティポリシーに関する情報収集
PMDA セキュリティポリシーに規定すべき内容やレベルが、第三者から
正当な評価を得られるという根拠となるに必要なセキュリティポリシー
に関する他社事例や関連情報を収集・開示すること。
②PMDA セキュリティポリシー案策定
厚生労働省セキュリティポリシー及び（２）①の内容を踏まえ PMDA セ
キュリティポリシーの案を策定すること。厚生労働省セキュリティポリシ
ーは非公表であるが、「政府機関の情報セキュリティ対策のための統一管
理基準」及び「政府機関の情報セキュリティ対策のための統一技術基準」
に準拠しているため、必要に応じ参照すること。厚生労働省セキュリティ
ポリシーは、契約締結後、受注者が PMDA に守秘義務の誓約書を提出した
際に開示する。
③既存規程類改訂案作成
PMDA の既存の規程類について、本業務で策定する PMDA セキュリティポ
リシー案と整合しない部分が無いか調査すること。調査の結果、整合しな
い部分や漏れている部分を特定し、既存規程類の改訂案を作成すること。
（３）職員向け情報セキュリティ教育支援
①情報セキュリティ手引書案作成
PMDA セキュリティポリシー、既存規程類改訂案及び Privacy Impact
Assessment：プライバシー影響評価（以下「PIA」という。）実施手順案
2
（過去に実施した際の手順案「７.応札者の条件（７）記載」）に基づき、
PMDA 職員が留意すべき情報セキュリティ対策や PIA 実施方法等について
記載した、PMDA 職員向けの情報セキュリティ手引書案を作成すること。
②情報セキュリティ教育資料案作成
PMDA が PMDA 職員に向けて実施する情報セキュリティ関連教育に使用す
るための、情報セキュリティ教育資料案を作成すること。
情報セキュリティ教育資料案について、PMDA の情報セキュリティ関連
教育を行う担当者に説明すること。
（４）プライバシーポリシー案策定等支援
①プライバシーポリシーに関する情報収集
PMDA プライバシーポリシーに規定すべき内容やレベルが、第三者から
正当な評価を得られるという根拠となるに必要な他社事例や関連情報、な
らびにパーソナルデータの利活用に関する制度改正に関する情報を収集・
開示すること。
②PMDA プライバシーポリシー案策定
パーソナルデータの利活用に関する制度改正、JISQ15001（個人情報保
護マネジメントシステム）・OECD プライバシー８原則、及び（４）①の内
容を踏まえに準拠した PMDA セキュリティポリシーの案を策定すること。
③既存規程類改訂案作成
PMDA の既存の規程類について、本業務で策定する PMDA プライバシーポ
リシー案と整合しない部分が無いか調査すること。調査の結果、整合しな
い部分や漏れている部分を特定し、既存規程類の改訂案を作成すること。
４
業務期間
契約締結の日から平成 27 年 12 月 21 日まで。
５
納品物（成果物）及び提出期限
本業務の成果として以下を納品すること。なお内容等については、PMDA 担当者
と事前に協議を行うこと、また、電子媒体の形式等については、PMDA 担当者が指
定する様式とすること。
（１）業務実施計画書
･･････
1式
3
契約締結後 2 週間以内まで
（２）PMDA セキュリティポリシー案
･･････
1式
必要な事例や関連情報を添付する。
提出期限：平成 27 年 9 月 30 日まで
（３）PMDA プライバシーポリシー案
･･････
1式
必要な事例や関連情報を添付する。
提出期限：平成 27 年 9 月 30 日まで
（４）既存規程類改訂案
･･････
1式
提出期限：平成 27 年 11 月 30 日まで
（５）情報セキュリティ手引書案
･･････
1式
提出期限：平成 27 年 11 月 30 日まで
（６）情報セキュリティ教育資料案
･･････
1式
提出期限：平成 27 年 11 月 30 日まで
（７）上記を格納した電子媒体
･･････
2式
提出期限：平成 27 年 11 月 30 日まで
６
納品物（成果物）の提出場所及び方法
（１）提出場所
〒100－0013 東京都千代田区霞が関 3-3-2 新霞が関ビル 10 階
独立行政法人医薬品医療機器総合機構 情報化統括推進室
電話：03－3506－9485
（２）提出方法
提出期限までに提出場所へ持参すること。
７
応札者の条件
（１）応札者は、法人格を持つ事業体とする。さらに、消費税及び地方消費税に
ついて、納付期限を過ぎた未納税額がないこと。
（２）以下に掲げる事項に該当する事業者は応札者となれない。
4
ア．現に PMDA において CIO 補佐である者が従事している事業者でないこと。ま
た、その者が過去 2 年間において従事した実績のある事業者等。
イ．本調達仕様書の作成に直接関与した事業者等
ウ．本調達仕様書の作成業務における工程管理支援業者
エ．ア～ウの親会社及び子会社（「財務諸表等の用語、様式及び作成方法に関す
る規則」（昭和 38 年大蔵省令第 59 号）第 8 条に規定する親会社及び子会社を
いう。以下同じ。）
オ．ア～ウと同一の親会社を持つ事業者
カ．ア～ウから委託を受けるなど緊密な利害関係を有する事業者
（３）「個人情報の保護に関する法律」(平成 15 年 5 月 30 日法律第 57 号)を遵
守し､個人情報の適切な管理能力を有している事業者であること｡
（４）「政府機関の情報セキュリティ対策のための統一基準群」および「府省庁
対策基準策定のためのガイドライン」について十分な知識を有し、それらの
策定・改訂・適用を主たる業務とするプロジェクトに従事した経験を有する
事業者であること。
（５）経済産業省による平成２６年度「システム監査企業台帳」および平成２６
年度「情報セキュリティ監査企業台帳」に登録されている事業者であること。
（６）本業務の実施にあたる業務責任者または担当者のいずれかにて、経済産業
省情報処理技術者試験のうち次に示す試験、または CISSP- Certified
Information Systems Security Professional に合格し、資格を有している
者を計 1 名以上配置すること。
ア
システム監査技術者試験
（旧制度による同等の試験を含む）
イ
情報セキュリティスペシャリスト （旧制度による同等の試験を含む）
（７）過去 3 年間以内に公的機関において PIA を実施した実績を有し、当該業務
の経験を有する者を体制に加えること。
（８）以下の資格等を有していること。
ア
品質管理体制について ISO9001：2000 の認証を取得している者であるこ
と。
イ
プライバシーマーク付与認定を取得、または情報セキュリティ体制につ
いて ISO27001 の認証を取得している者であること。
5
（９）企画案プレゼンテーションには、本業務に従事する者が参加すること。
（10）過去の実績において、契約者側の了承のない納期違反がないこと。
（11）全省庁統一資格の一般競争参加資格において、関東・甲信越地域で、「役
務の提供等」で「A」、「B」、又は「C」の等級に格付けされている者である
こと。
（12）入札事項等の説明を受けた者であること。
８ 知的財産等
知的財産の帰属は、以下のとおり。
（１）本件に係り作成・変更・更新されるドキュメント類及びプログラムの著作権
（著作権法第 21 条から第 28 条に定めるすべての権利を含む）は、受注者が本
件のシステム開発の従前より権利を保有していた等の明確な理由により、あら
かじめ書面にて権利譲渡不可能と示されたもの以外、PMDA が所有する等現有資
産を移行等して発生した権利含めてすべて PMDA に帰属するものとする。
（２）本件に係り発生した権利については、受注者は著作権人格権を行使しないも
のとする。
（３）本件に係り発生した権利については、今後、二次的著作物が作成された場合
等であっても、受注者は原著作物の著作権者としての権利を行使しないものと
する。
（４）本件に係り作成・変更・修正されるドキュメント類及びプログラム等に第三
者が権利を有する著作物が含まれる場合、受注者は当該著作物の使用に必要な
費用負担や使用許諾契約に係る一切の手続きを行うこと。この場合は事前に
PMDA へ報告し、承認を得ること。
（５）本件に係り第三者との間に著作権に係る権利侵害の紛争が生じた場合には、
当該紛争の原因が専ら PMDA の責めに帰す場合を除き、受注者の責任、負担にお
いて一切を処理すること。この場合、PMDA は係る紛争の事実を知ったときは、
受注者に通知し、必要な範囲で訴訟上の防衛を受注者にゆだねる等の協力措置
を講ずる。
なお、受注者の著作又は一般に公開されている著作について、引用する場合
は出典を明示するとともに、受注者の責任において著作者等の承認を得るもの
とし、PMDA に提出する際は、その旨併せて報告するものとする。
6
９ 再委託
受注者は、受注業務の全部又は主要部分を第三者に再委託することはできない。
契約金額の 10％を超える業務を再委託する場合は、事前に再委託する業務、再委託
先等を PMDA に報告し承認を受けること。受注者は、機密保持、知的財産権等に関し
て本仕様書が定める受注者の責務を再委託先業者も負うよう、必要な処置を実施し、
PMDA に報告し、承認を受けること。
なお、第三者に再委託する場合は、その最終的な責任を受注者が負うこと。
10 機密保持
本業務を実施する上で必要とされる機密保持に係る条件は、以下のとおり。
（１）受注者は、受注業務の実施の過程で PMDA が開示した情報（公知の情報を除
く。以下同じ。）、他の受注者が提示した情報及び受注者が作成した情報を、
本受注業務の目的以外に使用又は第三者に開示若しくは漏洩してはならない
ものとし、そのために必要な措置を講ずること。
（２）受注者は、本受注業務を実施するにあたり、PMDA から入手した資料等につい
ては管理台帳等により適切に管理し、かつ、以下の事項に従うこと。
・複製しないこと。
・用務に必要がなくなり次第、速やかに PMDA に返却すること。
・受注業務完了後、上記①に記載される情報を削除又は返却し、受注者におい
て該当情報を保持しないことを誓約する旨の書類を PMDA へ提出すること。
（３）「独立行政法人 医薬品医療機器総合機構 情報システム管理利用規程」の第
52 条に従うこと。
（４）「秘密保持等に関する誓約書」を別途提出し、これを遵守しなければならな
い。
（５）機密保持の期間は、当該情報が公知の情報になるまでの期間とする。
11 遵守事項
本業務を実施するにあたっての遵守事項は、以下のとおり。
7
（１）受注者は、「政府機関の情報セキュリティ対策のための統一基準（第 4 版）」
（2009 年 2 月 3 日、情報セキュリティ政策会議決定）に定めるほか、PMDA が定
める情報セキュリティの規定を遵守すること。
（２）受注業務の実施において、システムへのアクセス方法やシステムの外部接続
方式を調査する等の目的で、機構にて運用稼働しているシステムの設計書等を
参照する必要がある場合は、作業方法などについて PMDA の指示に従い、秘密保
持契約を締結するなどした上で、作業すること。作業場所は、PMDA 内とする。
（３）PMDA へ提示する電子ファイルは事前にウイルスチェック等を行い、悪意のあ
るソフトウェア等が混入していないことを確認すること。
（４）民法、刑法、著作権法、不正アクセス禁止法、個人情報保護法等の関連法規
を遵守することはもとより、下記の PMDA 内規程を遵守すること。
・独立行政法人 医薬品医療機器総合機構 情報システム管理利用規程
・独立行政法人 医薬品医療機器総合機構 個人情報管理規程
（５）受注者は、本業務において取り扱う情報の漏洩、改ざん、滅失等が発生する
ことを防止する観点から、情報の適正な保護・管理対策を実施するとともに、
これらの実施状況について、PMDA が定期若しくは不定期の検査を行う場合にお
いてこれに応じること。万一、情報の漏洩、改ざん、滅失等が発生した場合に
実施すべき事項及び手順等を明確にするとともに、事前に PMDA 担当者に提出
すること。また、そのような事態が発生した場合は、PMDA 担当者へ報告すると
ともに、当該手順等に基づき可及的速やかに修復すること。
12 作業場所
受注業務の作業場所は、PMDA 内、又は PMDA の指示する場所で作業すること。PMDA
内での作業においては、必要な規定の手続を実施し承認を得ること。
13 環境への配慮
環境への負荷を低減するため、以下に準拠すること。
本件に係る納入成果物については、「国等による環境物品等の調達の推進等に関
する法律（グリーン購入法）」（平成 15 年 7 月 16 日法律第 119 号）に基づいた
製品を可能な限り導入すること。
8
14 その他
PMDA 全体管理組織（PMO）が担当課に対して指導、助言等を行った場合には、受
注者もその方針に従うこと。
15
落札者決定方法
落札者の決定は、企画段階で作成した企画提案書を利用し､一般競争入札(総
合評価落札方式)により、総合評価点の最も高い者を落札者とする｡
なお、技術の評価に当たっては、機構に設置する一般競争入札（総合評価落
札方式）選定委員会にて評価を行い、入札プロセスの中立性、公正性等を確保
するため、PMDA CIO 補佐に意見を聴くものとする。
（１）予定価格
競争入札につき公表しない｡
（２）評価の配点
評価にあたっては、120 点の範囲内で採点を行い、価格評価による得点（以
下「価格点」という。）と技術評価による得点（以下「技術点」とい。）に
区分し、配点を 1：2 とする。
総合評価点 ＝ 価格点（40 点満点） ＋ 技術点（80 点満点）
（３）価格評価の方法
価格点は、入札価格を予定価格で除して得た値を 1 から減じて得た値に入
札価格に対する得点配分を乗じて、小数第三位以下を切り捨てたものとする。
価格点 ＝ （1 － 入札価格 ÷ 予定価格）× 40 点
（４）技術点評価基準
ア．評価項目
①【課題理解】・・・20 点
PMDA の業務、関連する制度及び計画並びに関連システム等に関して十
分に理解し、PMDA のシステム及び取り扱うデータの種別や特性等、並び
に、セキュリティ上特に留意すべき点及び必要な対策等を的確に捉えた上
で提案されているか。
②【具体性】・・・20 点
9
PMDA の考えに基づき本業務の実施手順や実施方法について具体的で有
効な実施方策が提案されているか。
③【管理能力】・・・10 点
本業務の実施にあたっての作業スケジュール、プロジェクト管理方法等
について、本業務を円滑に実施するための具体的で有効な方策が提案され
ているか。
④【実績】・・・10 点
応札者は情報セキュリティに係る調査業務及び情報セキュリティ関連
コンサルティング業務の受託実績を豊富に有しているか。
⑤【体制】・・・20 点
本業務の実施にあたっての業務責任者及び担当者が十分な専門性、類似
業務の実績、保有資格を有しているか。政府の情報セキュリティに係る検
討動向等の情報を収集可能な体制となっているか。
イ．評価点
①評価項目毎に設定する範囲の点数（1 社毎に 20 点以内）で評価を行う。
②各項目には基礎点（5 点又は 10 点）を設定し、各項目の合計（40 点）を基
準点とする。
③採点結果が基準点に達しなければ、当該事業の確実な遂行が危ぶまれる可能
性があるため、不合格とする。
（５）選定方法
ア．価格入札を実施。入札価格が予定価格を上回った者はその時点で失格とな
り、プレゼンテーションに進めない。ただし、入札をした全ての者の入札価
格が予定価格を上回った場合は、その場で再度入札を実施する場合がある。
イ．入札価格が予定価格の範囲内であった参加者は、技術審査として、企画提
案書に基づきプレゼンテーションを行う。
ウ．参加者は各委員から質疑を受ける。
エ．各委員は、上記イ及びウの結果を審議する。
オ．審査終了後､各委員は参加者の技術点数を投票用紙に記入し、投票する｡
10
カ．PMDA は各参加者が入札した価格と PMDA 設定の予定価格により、各参加者の
価格点を決定する｡
キ．PMDA は、上記オとカの合計点を算出し、最高点を得た参加者を選定する。結
果については速やかに参加者全員に通知する。
ク．最高点を得た者が入札に際し著しく低い価格の入札があった場合には、PMDA
が調査を実施し、契約の履行ができないと認められる場合には、その者と契約
を結ばず、次点の者と契約を結ぶこととする。また、次点の者についても同様
とする。
（６）一般競争入札(総合評価落札方式)の手続の全体フロー
ア．入札説明会
５月２７日（金）（参加必須）
↓
イ．企画案提出〆切
６月５日（金） 12 時（正午）まで
↓
ウ．入札、開札・プレゼンテーション
６月１５日（月）１５時～
↓
エ．総合点の算出、審査結果の発表
６月１５日（月）１８時以降
↓
オ．
16
契約締結
企画案の提出について
（１）企画提案書の様式
A4 版（縦横いずれでも構わない。）にて作成すること。枚数は評価の対象
としないが 50 枚以内程度に留め、内容は日本語にて簡潔に記すこと。
（２）企画提案書作成に当たっての留意事項
企画提案書を作成するに当たっては、15（４）アに沿って具体的に言及す
ること。また、会社概要と概算見積額を別途添付すること。なお、実際の業
務において企画提案書の内容と齟齬が生じることは原則認めない。入札価格
が概算見積額を上回らないこと。
（３）提出場所および方法
11
ア．提出場所
〒100－0013 東京都千代田区霞が関 3-3-2 新霞が関ビル 10 階
独立行政法人医薬品医療機器総合機構 情報化統括推進室
電話：03－3506－9485／ＦＡＸ：03－3506－9461
イ．提出方法
郵送での提出も可とするが、提出期限までに到達しなかった申込書は無効
とする。土曜日、日曜日及び休日の受付は行わない。
（４）提案書の無効
提出書類について、関係書類に示された条件に適合しない場合は無効とす
ることがある。
・記載等の記載に違反した者
・参加資格が無い者
・虚偽の内容を記載した者
・審査や評価の公平さに影響を与える行為をした者
（５）提出部数
企画提案書 紙媒体 25 部、CD-R 2 部
（６）提出期限
平成２７年６月５日（金） 12 時（正午）までに提出すること。
17 留意事項
（１）本業務を遂行するために PMDA に対する資料要求､要望等がある場合は､原則
文書にて行うこと。
（２）本業務を実施するにあたり必要な情報は､PMDA と委託業者との間で秘密保持
に関する契約を行うこととする｡
（３）本業務を遂行する上で､PMDA の役職員等へのヒアリングが必要な場合は､必用
最小限に留め､効率よく実施すること｡
（４）本仕様書に掲げられている事項の他､本業務を遂行するために必用な事項は
PMDA 担当者と協議の上､実施すること｡
12
（５）本業務における提出物等の公表にあたっては､支援業者名も併せて公表する
こととする｡
（６）本業務を遂行する上で発生した書面（電子媒体を含む)、その他、類似の派生
物（企画等の構想も含む)は、一切の著作権、所有権及び使用権を PMDA に帰属
するものとする｡
また、成果物の著作人格権は行使しないことを契約書にて締結することとす
る。
（７）企画案プレゼンテーションにおいて、PMDA 又は PMDA 以外の国、地方公共団
体、独立行政法人における規制当局で調達仕様書案作成・要件定義・設計・開
発のいずれかの業務を請け負った実績について説明をすること。
（８）応札にあたっては、必ず入札説明会に参加した上で、最低限、以下の書類の
内容を熟知しておくこととする。
ア．独立行政法人医薬品医療機器総合機構パンフレット
イ．独立行政法人医薬品医療機器総合機構法
ウ．独立行政法人医薬品医療機器総合機構 審査等業務及び安全対策業務関係業
務方法書
エ．独立行政法人医薬品医療機器総合機構 救済業務関係業務方法書
オ．独立行政法人医薬品医療機器総合機構 平成 21 事業年度業務報告
カ．独立行政法人医薬品医療機器総合機構 平成 22 事業年度業務報告
キ．独立行政法人医薬品医療機器総合機構 平成 23 事業年度業務報告
ク．独立行政法人医薬品医療機器総合機構 平成 24 事業年度業務報告
ケ．独立行政法人医薬品医療機器総合機構 平成 25 事業年度業務報告
コ．独立行政法人医薬品医療機器総合機構業務・システム最適化計画
※ 上記アからコについては総合機構ホームページに掲載されている。
18
窓口連絡先
独立行政法人
医薬品医療機器総合機構
情報化統括推進室
中村
裕哉
電話：03 (3506) 9485
Email：[email protected]
13