官公需情報ポータルサイト

入札情報は以下の通りです。

件名	入札公告「セキュリティ要件適合評価及びラベリング制度におけるWebシステムの保守業務」に係る一般競争入札
公示日または更新日	2026 年 1 月 13 日
組織	独立行政法人情報処理推進機構
取得日	2026 年 1 月 13 日 19:06:23

入札説明書(PDF:1.2 MB)

公告内容

調達情報トップページ調達情報入札 2025年度入札公告「セキュリティ要件適合評価及びラベリング制度におけるWebシステムの保守業務」に係る一般競争入札入札公告「セキュリティ要件適合評価及びラベリング制度におけるWebシステムの保守業務」に係る一般競争入札公開日：2026年1月13日独立行政法人情報処理推進機構理事長齊藤裕次のとおり一般競争入札（総合評価落札方式）に付します。 1．競争入札に付する事項件名セキュリティ要件適合評価及びラベリング制度におけるWebシステムの保守業務調達内容等入札説明書による履行期限入札説明書による入札方法入札説明書による 2．競争参加資格予算決算及び会計令（以下「予決令」という。）第70条の規定に該当しない者であること。なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。予決令第71条の規定に該当しない者であること。令和7・8・9年度競争参加資格（全省庁統一資格）において「役務の提供等」で、「A」、「B」、「C」又は「D」の等級に格付けされ、関東・甲信越地域の資格を有する者であること。資格を有しない場合は、登記簿謄本、納税証明書、営業経歴書及び財務諸表類を提出し、参加を認められた者であること。各省各庁及び政府関係法人等から取引停止又は指名停止処分等を受けていない者（理事長が特に認める場合を含む。）であること。経営の状況又は信用度が極度に悪化していないと認められる者であり、適正な契約の履行が確保される者であること。入札説明書「6. サプライチェーン・リスクに係る確認資料の提出方法及び提出期限等」に記載の書類を提出期限までに提出し、入札前に受理されていること。 3．入札者の義務入札者は、当入札説明書及び独立行政法人情報処理推進機構入札心得を了知のうえ、入札に参加しなければならない。入札者は、当機構が交付する仕様書に基づいて提案書を作成し、これを入札書に添付して入札書等の提出期限内に提出しなければならない。また、開札日の前日までの間において当機構から当該書類に関して説明を求められた場合は、これに応じなければならない。 4．入札説明書以下から入札説明書及びその他必要書類をダウンロードして下さい。入札説明書(PDF:1.2 MB) 入札説明書(Word:344 KB) 入札書等記載例(PDF:118 KB) 評価項目一覧(Excel:48 KB) 5．入札書等の提出期間及び提出先入札書等の提出期間 2026年2月20日（金曜日）から 2026年2月24日（火曜日） 17時00分まで持参の場合の受付時間は、下記のとおりとする。月曜日から金曜日（祝祭日は除く）10時00分～17時00分（12時30分～13時30分の間は除く）郵送の場合は必着とする。入札書等の提出先〒113-6591 東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス独立行政法人情報処理推進機構セキュリティセンター技術評価部評価制度・管理グループ担当横田、白岩持参の場合は13階受付にお越しください。 6．開札の日時及び場所開札の日時 2026年3月9日(月曜日） 11時00分開札の場所〒113-6591 東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス独立行政法人情報処理推進機構 7．その他入札保証金及び契約保証金全額免除入札の無効競争入札に参加する者に必要な資格のない者による入札及び競争入札に参加する者に求められる義務に違反した入札は無効とする。落札者の決定方法独立行政法人情報処理推進機構会計規程第29条の規定に基づいて作成された予定価格の制限の範囲内で、当機構が入札説明書で指定する要求事項のうち、必須とした項目の最低限の要求をすべて満たしている提案をした入札者の中から、当機構が定める総合評価の方法をもって落札者を定めるものとする。ただし、落札者となるべき者の入札価格によっては、その者により当該契約の内容に適合した履行がなされないおそれがあると認められるとき、又はその者と契約することが公正な取引の秩序を乱すこととなるおそれがあって著しく不適当であると認められるときは、予定価格の範囲内の価格をもって入札をした他の者のうち、評価の最も高い者を落札者とすることがある。契約書の作成要。詳細は入札説明書による。質問の方法等質問書（入札説明書に記載の様式）に所定事項を記入の上、電子メールにて提出してください。受付期間については、入札説明書を確認してください。質問に対する回答に時間がかかる場合があるため、余裕をみて提出してください。お問い合わせ先入札説明書等に関する問い合わせ先独立行政法人情報処理推進機構セキュリティセンター技術評価部評価制度・管理グループ担当横田、白岩 E-mail 入札行為に関する問い合わせ先独立行政法人情報処理推進機構経営企画センター財務部契約グループ担当松田 E-mail 更新履歴 2026年1月13日入札公告を掲載

「セキュリティ要件適合評価及びラベリング制度におけるWebシステムの保守業務」に係る一般競争入札(総合評価落札方式)入札説明書2026年1月13日2 / 57目次Ⅰ．入札説明書.. 3Ⅱ．契約書(案).. 18Ⅲ．仕様書.. 27Ⅳ．入札資料作成要領及び評価手順.. 43Ⅴ．評価項目一覧.. 573 / 57Ⅰ．入札説明書独立行政法人情報処理推進機構の請負契約に係る入札公告(2026年1月13日付け公告)に基づく入札については、関係法令並びに独立行政法人情報処理推進機構会計規程及び同入札心得に定めるもののほか下記に定めるところによる。

記1．競争入札に付する事項(1) 作業の名称セキュリティ要件適合評価及びラベリング制度におけるWebシステムの保守業務(2) 作業内容等別紙仕様書のとおり。

(3) 履行期限別紙仕様書のとおり。

(4) 入札方法落札者の決定は総合評価落札方式をもって行うので、① 入札に参加を希望する者(以下「入札者」という。)は「6.(4)提出書類一覧」及び「7.(4)提出書類一覧」に記載の提出書類を提出すること。

② 上記①の提出書類のうち提案書については、入札資料作成要領に従って作成、提出すること。

③ 上記①の提出書類のうち、入札書については仕様書及び契約書案に定めるところにより、入札金額を見積るものとする。

入札金額は、「セキュリティ要件適合評価及びラベリング制度におけるWebシステムの保守業務」に関する総価とし、総価には本件業務に係る一切の費用を含むものとする。

④ 落札決定に当たっては、入札書に記載された金額に当該金額の10パーセントに相当する額を加算した金額(当該金額に1円未満の端数が生じたときは、その端数金額を切捨てるものとする。)をもって落札価格とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を入札書に記載すること。

⑤ 入札者は、提出した入札書の引き換え、変更又は取り消しをすることはできないものとする。

2．競争参加資格(1) 予算決算及び会計令(以下「予決令」という。)第70条の規定に該当しない者であること。

なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。

(2) 予決令第71条の規定に該当しない者であること。

(3) 令和7・8・9年度競争参加資格(全省庁統一資格)において「役務の提供等」で、「A」、「B」、「C」又は「D」の等級に格付けされ、関東・甲信越地域の資格を有する者であること。

資格を有しない場合は、登記簿謄本、納税証明書、営業経歴書及び財務諸表類を提出し、参加を認められた者であること。

(4) 各省各庁及び政府関係法人等から取引停止又は指名停止処分等を受けていない者(理事長が特に認める場合を含む。)であること。

(5) 経営の状況又は信用度が極度に悪化していないと認められる者であり、適正な契約の履行が確保される者であること。

(6) 「6. サプライチェーン・リスクに係る確認資料の提出方法及び提出期限等」に記載の書類を提出期限までに提出し、入札前に受理されていること。

3．入札者の義務(1) 入札者は、当入札説明書及び独立行政法人情報処理推進機構入札心得を了知のうえ、入札に参加しなければならない。

(2) 入札者は、当機構が交付する仕様書に基づいて提案書を作成し、これを入札書に添付して入札書等の提出期限内に提出しなければならない。

また、開札日の前日までの間において当機構から当該書類に関して説明を求められた場合は、これに応じなければならない。

4 / 574．入札説明会の日時及び場所(1) 入札説明会の日時2026年1月19日(月) 11時00分(2) 入札説明会の場所オンラインによる説明会とする。

入札説明会(オンライン)への参加を希望する場合は、15.(4)の担当部署まで、以下のとおり電子メールにより申し込むこと。

① 参加者のメールアドレスに会議招待メールを送信する必要があるため、2026年1月15日(木)15時00分までに申し込むこと。

② 電子メールの件名に「【セキュリティ要件適合評価及びラベリング制度におけるWebシステムの保守業務】入札説明会申込み」と明記し、入札説明会に参加する者の所属、氏名及びメールアドレスを記載の上申し込むこと。

5．入札に関する質問の受付等(1) 質問の方法質問書(様式1)に所定事項を記入の上、電子メールにより提出すること。

(2) 受付期間2026年1月13日(火)から2026年2月12日(木) 17時00分まで。

なお、質問に対する回答に時間がかかる場合があるため、余裕をみて提出すること。

(3) 担当部署15.(4)のとおり6．サプライチェーン・リスクに係る確認資料の提出方法及び提出期限等サプライチェーン・リスクに係る確認のため、入札を希望する者は、次の所定事項に従い、役務リストを電子メールにより提出すること。

(1) 受付期間2026年1月13日(火)から2026年2月3日(火)(2) 提出期限2026年2月3日(火) 17時00分上記期限を過ぎた役務リストはいかなる理由があっても受け取らない。

ただし、役務リストを提出済みの者が変更等して再提出する場合は除く。

(3) 提出先15.(4)のとおり。

(4) 提出書類一覧No. 提出書類部数1役務リスト※役務実施業者、本社所在国、法人番号、役務実施場所等の情報を、予定する再々委託先業者まで含めて記載すること。

様式7(添付なし)1通(5) 提出方法15.(4)のメールアドレス宛に入札を希望する旨を連絡し、様式7(本入札説明書への添付なし)を入手すること。

様式7に入力後、同メールアドレスに送信して提出すること。

(6) 提出後の対応提出後、必要に応じてヒアリングをWeb会議若しくはメールにて実施する。

ヒアリングについては、提案内容を熟知した実施責任者等が対応すること。

IPAとの調整の結果、IPAがサプライチェーン・リスクに係る懸念が払拭されないと判断した場合には、当該リスクに対応するため、内容修正した役務リストの再提出を求めることがあるので、速やかに役務リストの変更要請に応じること。

5 / 577．入札書等の提出方法及び提出期限等(1) 受付期間2026年2月20日(金)から2026年2月24日(火)。

持参の場合の受付時間は、月曜日から金曜日(祝祭日は除く)の10時00分から17時00分(12時30分～13時30分の間は除く)とする。

(2) 提出期限2026年2月24日(火) 17時00分必着。

上記期限を過ぎた入札書等はいかなる理由があっても受け取らない。

(3) 提出先15.(4)のとおり。

(4) 提出書類一覧No. 提出書類部数① 委任状(代理人に委任する場合) 様式2 1通② 入札書(封緘) 様式3 1通③提案書(別紙「プロジェクト計画書案」を含む) －1部及び電子ファイル④ 添付資料(２種類)「Ⅳ.入札資料作成要領及び評価手順」を参照のこと様式Ａ様式Ｂ1部⑤ 補足資料(任意) － 1部⑥評価項目一覧－1部及び電子ファイル⑦ 令和7・8・9年度競争参加資格(全省庁統一資格)における資格審査結果通知書の写し【上記の資格を有しない場合】登記簿謄本(商業登記法第6条第5号から第9号までに掲げる株式会社登記簿等の謄本)、納税証明書(その3の3・「法人税」及び「消費税及地方消費税」について未納税額のない証明用)、営業経歴書(会社の沿革、組織図、従業員数等の概要、営業品目、営業実績及び営業所の所在状況を含んだ書類)及び財務諸表類(直前2年間の事業年度分に係る貸借対照表、損益計算書及び株主資本等変動計算書)の原本又は写し※登記簿謄本及び納税証明書は、発行日から3か月以内のものに限る。

－ 1通⑧ 提案書受理票様式4 1通(5) 提出方法① 入札書等提出書類を持参により提出する場合入札書を封筒に入れ封緘し、封皮に氏名(法人の場合は商号又は名称)、宛先(15.(4)の担当者名)を記載するとともに「セキュリティ要件適合評価及びラベリング制度におけるWebシステムの保守業務一般競争入札に係る入札書在中」と朱書きし、その他提出書類一式と併せ封筒に入れ封緘し、その封皮に氏名(法人の場合はその商号又は名称)、宛先(15.(4)の担当者名)を記載し、かつ、「セキュリティ要件適合評価及びラベリング制度におけるWebシステムの保守業務一般競争入札に係る提出書類一式在中」と朱書きすること。

② 入札書等提出書類を郵便等(書留)により提出する場合二重封筒とし、表封筒に「セキュリティ要件適合評価及びラベリング制度におけるWebシステムの保守業務一般競争入札に係る提出書類一式在中」と朱書きし、中封筒の封皮には直接提出する場合と同様とすること。

(6) 提出後6 / 57① 入札書等提出書類を受理した場合は、提案書受理票を入札者に交付する。

なお、受理した提案書等は評価結果に関わらず返却しない。

② 必要に応じて、ヒアリングを次の日程で実施する。

ヒアリングには実施責任者が対応すること。

以下同じ。

)であるとき(2) 役員等が、自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもって、暴力団又は暴力団員を利用するなどしているとき(3) 役員等が、暴力団又は暴力団員に対して、資金等を供給し、又は便宜を供与するなど直接的あるいは積極的に暴力団の維持、運営に協力し、若しくは関与しているとき(4) 役員等が、暴力団又は暴力団員であることを知りながらこれと社会的に非難されるべき関係を有しているとき上記事項について、入札書の提出をもって誓約します。

17 / 57(参考)予算決算及び会計令【抜粋】(一般競争に参加させることができない者)第70条契約担当官等は、売買、貸借、請負その他の契約につき会計法第二十九条の三第一項の競争(以下「一般競争」という。)に付するときは、特別の理由がある場合を除くほか、次の各号のいずれかに該当する者を参加させることができない。

一当該契約を締結する能力を有しない者二破産手続開始の決定を受けて復権を得ない者三暴力団員による不当な行為の防止等に関する法律(平成三年法律第七十七号)第三十二条第一項各号に掲げる者(一般競争に参加させないことができる者)第71条契約担当官等は、一般競争に参加しようとする者が次の各号のいずれかに該当すると認められるときは、その者について三年以内の期間を定めて一般競争に参加させないことができる。

その者を代理人、支配人その他の使用人として使用する者についても、また同様とする。

一契約の履行に当たり故意に工事、製造その他の役務を粗雑に行い、又は物件の品質若しくは数量に関して不正の行為をしたとき。

二公正な競争の執行を妨げたとき又は公正な価格を害し若しくは不正の利益を得るために連合したとき。

三落札者が契約を結ぶこと又は契約者が契約を履行することを妨げたとき。

四監督又は検査の実施に当たり職員の職務の執行を妨げたとき。

五正当な理由がなくて契約を履行しなかつたとき。

六契約により、契約の後に代価の額を確定する場合において、当該代価の請求を故意に虚偽の事実に基づき過大な額で行つたとき。

七この項(この号を除く。)の規定により一般競争に参加できないこととされている者を契約の締結又は契約の履行に当たり、代理人、支配人その他の使用人として使用したとき。

2 契約担当官等は、前項の規定に該当する者を入札代理人として使用する者を一般競争に参加させないことができる。

18 / 57Ⅱ．契約書(案)○○○○情財第○○号契約書独立行政法人情報処理推進機構(以下「甲」という。)と○○○○○(以下「乙」という。)とは、次の条項により「セキュリティ要件適合評価及びラベリング制度におけるWebシステムの保守業務」に関する請負契約を締結する。

(契約の目的)第1条甲は、別紙仕様書記載の「契約の目的」を実現するために、同仕様書及び提案書記載の「セキュリティ要件適合評価及びラベリング制度におけるWebシステムの保守業務」(以下、「請負業務」という。)の完遂を乙に注文し、乙は本契約及び関係法令の定めに従って誠実に請負業務を完遂することを請け負う。

2 乙は、本契約においては、請負業務またはその履行途中までの成果が可分であるか否かに拘わらず、請負業務が完遂されることによってのみ、甲が利益を受け、また甲の契約の目的が達成されることを、確認し了解する。

(再請負の制限)第2条乙は、請負業務の全部を第三者に請負わせてはならない。

2 乙は、請負業務の一部を第三者(以下「再請負先」という。)に請負わせようとするときは、事前に再請負先、再請負の対価、再請負作業内容その他甲所定の事項を、書面により甲に届け出なければならない。

3 前項に基づき、乙が請負業務の一部を再請負先に請負わせた場合においても、甲は、再請負先の行為を全て乙の行為とみなし、乙に対し本契約上の責任を問うことができる。

(責任者の選任)第3条乙は、請負業務を実施するにあたって、責任者(乙の正規従業員に限る。)を選任して甲に届け出る。

2 責任者は、請負業務の進捗状況を常に把握するとともに、各進捗状況について甲の随時の照会に応じるとともに定期的または必要に応じてこれを甲に報告するものとする。

3 乙は、第1項により選任された責任者に変更がある場合は、直ちに甲に届け出る。

(納入物件及び納入期限)第4条納入物件、納入期限及びその他納入に関する事項については、別紙仕様書のとおりとする。

(契約金額)第5条甲が本契約の対価として乙に支払うべき契約金額は、○○，○○○，○○○円(うち消費税及び地方消費税○，○○○，○○○円)とする。

(権利義務の譲渡)第6条乙は、本契約によって生じる権利又は義務を第三者に譲渡し、又は承継させてはならない。

(実地調査)第7条甲は、必要があると認めるときは、乙に対し、自ら又はその指名する第三者をして、請負業務の実施状況等について、報告又は資料を求め、若しくは事業所に臨んで実地に調査を行うことができる。

2 前項において、甲は乙に意見を述べ、補足資料の提出を求めることができる。

(検査)第8条甲は、納入物件の納入を受けた日から10日以内に、当該納入物件について別紙仕様書及び提案書に基づき検査を行い、同仕様書及び提案書に定める基準に適合しない事実を発見したときは、当該事19 / 57実の概要を書面によって遅滞なく乙に通知する。

2 前項所定の期間内に同項所定の通知が無いときは、当該期間満了日をもって当該納入物件は同項所定の検査に合格したものとみなす。

3 請負業務は、当該納入物件が本条による検査に合格した日をもって完了とする。

4 第1項及び第2項の規定は、第1項所定の通知書に記載された指摘事実に対し、乙が適切な修正等を行い甲に再納入する場合に準用する。

(契約不適合責任)第9条甲は、請負業務完了の日から1年以内に納入物件その他請負業務の成果に種類、品質又は数量に関して仕様書及び提案書の記載内容に適合しない事実(以下「契約不適合」という。)を発見したときは、相当の催告期間を定めて、甲の承認または指定した方法により、その契約不適合の修補、代品との交換又は不足分の引渡しによる履行の追完を乙に請求することができる。

但し、発見後合理的期間内に乙に通知することを条件とする。

2 前項において、乙は、前項所定の方法以外の方法による修補等を希望する場合、修補等に要する費用の多寡、甲の負担の軽重等に関わらず、甲の書面による事前の同意を得なければならない。

この場合、甲は、事情の如何を問わず同意する義務を負わない。

3 第1項において催告期間内に修補等がないときは、甲は、その選択に従い、本契約を解除し、またはその不適合の程度に応じて代金の減額を請求することができる。

ただし、次の各号のいずれかに該当する場合は、第1項に関わらず、催告なしに直ちに解除し、または代金の減額を請求することができる。

一修補等が不能であるとき。

二乙が修補等を拒絶する意思を明確に表示したとき。

三契約の性質又は当事者の意思表示により、特定の日時又は一定の期間内に修補等をしなければ契約の目的を達することができない場合において、乙が修補等をしないでその時期を経過したとき。

四前各号に掲げる場合のほか、甲が第１項所定の催告をしても修補等を受ける見込みがないことが明らかであるとき。

4 第１項で定めた催告期間内に修補等がなされる見込みがないと合理的に認められる場合、甲は、前項本文に関わらず、催告期間の満了を待たずに本契約を解除することができる。

5 前各項において、甲は、乙の責めに帰すべき事由による契約不適合によって甲が被った損害の賠償を、別途乙に請求することができる。

6 本条は、本契約終了後においても有効に存続するものとする。

(対価の支払及び遅延利息)第10条甲は、請負業務の完了後、乙から適法な支払請求書を受理した日の属する月の翌月末日までに契約金額を支払う。

なお、支払いに要する費用は甲の負担とする。

2 甲が前項の期日までに対価を支払わない場合は、その遅延期間における当該未払金額に対して、財務大臣が決定する率(政府契約の支払遅延に対する遅延利息の率(昭和24年12月12日大蔵省告示第991号))によって、遅延利息を支払うものとする。

3 乙は、請負業務の履行途中までの成果に対しては、事由の如何を問わず、何らの支払いもなされないことを確認し了解する。

(遅延損害金)第 11 条天災地変その他乙の責に帰すことができない事由による場合を除き、乙が納入期限までに納入物件の納入が終らないときは、甲は遅延損害金として、延滞日数1日につき契約金額の1,000分の1に相当する額を徴収することができる。

2 前項の規定は、納入遅延となった後に本契約が解除された場合であっても、解除の日までの日数に対して適用するものとする。

(契約の変更)第 12 条甲及び乙は、本契約の締結後、次の各号に掲げる事由が生じた場合は、甲乙合意のうえ本契約を変更することができる。

一仕様書及び提案書その他契約条件の変更(乙に帰責事由ある場合を除く。)。

二天災地変、著しい経済情勢の変動、不可抗力その他やむを得ない事由に基づく諸条件の変更。

20 / 57三税法その他法令の制定又は改廃。

四価格に影響のある技術変更提案の実施。

2 前項による本契約の変更は、納入物件、納期、契約金額その他すべての契約内容の変更の有無・内容等についての合意の成立と同時に効力を生じる。

なお、本契約の各条項のうち変更の合意がない部分は、本契約の規定内容が引き続き有効に適用される。

(契約の解除等)第13条甲は、第9条による場合の他、次の各号の一に該当するときは、催告の上、本契約の全部又は一部を解除することができる。

但し、第4号乃至第6号の場合は催告を要しない。

一乙が本契約条項に違反したとき。

二乙が天災地変その他不可抗力の原因によらないで、納入期限までに本契約の全部又は一部を履行しないか、又は納入期限までの納入が見込めないとき。

三乙が甲の指示に従わないとき、その職務執行を妨げたとき、又は談合その他不正な行為があったとき。

四乙が破産手続開始の決定を受け、その他法的整理手続が開始したこと、資産及び信用の状態が著しく低下したと認められること等により、契約の円滑な履行が困難と認められるとき。

五天災地変その他乙の責に帰すことができない事由により、納入物件を納入する見込みがないと認められるとき。

六乙が、甲が正当な理由と認める理由により、本契約の解除を申し出たとき。

2 乙は、甲がその責に帰すべき事由により、本契約上の義務に違反した場合は、相当の期間を定めて、その履行を書面で催告し、その期間内に履行がないときは、本契約を解除することができる。

3 乙の本契約違反の程度が著しく、または乙に重大な背信的言動があった場合、甲は第1項にかかわらず、催告せずに直ちに本契約を解除することができる。

4 甲は、第1項第1号乃至第4号又は前項の規定により本契約を解除する場合は、違約金として契約金額の100分の10に相当する金額(その金額に100円未満の端数があるときはその端数を切り捨てる。)を乙に請求することができる。

5 前項の規定は、甲に生じた実際の損害額が同項所定の違約金の額を超える場合において、甲がその超える部分について乙に対し次条に規定する損害賠償を請求することを妨げない。

(損害賠償)第14条乙は、乙の責に帰すべき事由によって甲又は第三者に損害を与えたときは、その被った損害を賠償するものとする。

ただし、乙の負う賠償額は、乙に故意又は重大な過失がある場合を除き、第 5条所定の契約金額を超えないものとする。

2 第11条所定の遅延損害金の有無は、前項に基づく賠償額に影響を与えないものとする。

(違約金及び損害賠償金の遅延利息)第15条乙が、第13条第4項の違約金及び前条の損害賠償金を甲が指定する期間内に支払わないときは、乙は、当該期間を経過した日から支払をする日までの日数に応じ、年3パーセントの割合で計算した金額の遅延利息を支払わなければならない。

(秘密保持及び個人情報)第16条甲及び乙は、相互に本契約の履行過程において知り得た相手方の秘密を他に漏洩せず、また本契約の履行に必要な範囲を超えて利用しない。

ただし、甲が、法令等、官公署の要求、その他公益的見地に基づいて、必要最小限の範囲で開示する場合を除く。

2 個人情報に関する取扱いについては、別添「個人情報の取扱いに関する特則」のとおりとする。

3 本条は、本契約終了後も有効に存続する。

(知的財産権)第17条請負業務の履行過程で生じた著作権(著作権法第27条及び第28条に定める権利を含む。)、発明(考案及び意匠の創作を含む。)及びノウハウを含む産業財産権(特許その他産業財産権を受ける権利を含む。)(以下「知的財産権」という。)は、乙又は国内外の第三者が従前から保有していた知的財産権を除き、第8条第3項の規定による請負業務完了の日をもって、乙から甲に自動的に移転するものとする。

なお、乙は、甲の要請がある場合、登録その他の手続きに協力するものとする。

21 / 572 乙は、請負業務の成果に乙が従前から保有する知的財産権が含まれている場合は、前項に規定する移転の時に、甲に対して非独占的な実施権、使用権、第三者に対する利用許諾権(再利用許諾権を含む。)、その他一切の利用を許諾したものとみなし、第三者が従前から保有する知的財産権が含まれている場合は、同旨の法的効果を生ずべき適切な法的措置を、当該第三者との間で事前に講じておくものとする。

なお、これに要する費用は契約金額に含まれるものとする。

3 乙は、甲及び甲の許諾を受けた第三者に対し、請負業務の成果についての著作者人格権、及び著作権法第28条の権利その他“原作品の著作者／権利者”の地位に基づく権利主張は行わないものとする。

(知的財産権の紛争解決)第18条乙は、請負業務の成果が、甲及び国内外の第三者が保有する知的財産権(公告、公開中のものを含む。)を侵害しないことを保証するとともに、侵害の恐れがある場合、又は甲からその恐れがある旨の通知を受けた場合には、当該知的財産権に関し、甲の要求する事項及びその他の必要な事項について遅滞なく調査を行い、これを速やかに甲に書面で報告しなければならない。

2 乙は、知的財産権に関して甲を当事者または関係者とする紛争が生じた場合(私的交渉、仲裁を含み、法的訴訟に限らない。)、その費用と責任において、その紛争を処理解決するものとし、甲に対し一切の負担及び損害を被らせないものとする。

3 第9条の規定は、知的財産権に関する紛争には適用しない。

また、本条は、本契約終了後も有効に存続する。

(成果の公表等)第19条甲は、請負業務完了の日以後、請負業務の成果を公表、公開及び出版(以下「公表等」という。)することができる。

2 甲は、乙の承認を得て、請負業務完了前に、予定される成果の公表等をすることができる。

3 乙は、成果普及等のために甲が成果報告書等を作成する場合には、甲に協力する。

4 乙は、甲の書面による事前の承認を得た場合は、その承認の範囲内で請負業務の成果を公表等することができる。

この場合、乙はその具体的方法、時期、権利関係等について事前に甲と協議してその了解を得なければならない。

なお、甲の要請がある場合は、甲と共同して行う。

5 乙は、前項に従って公表等しようとする場合には、著作権表示その他法が定める権利表示と共に「独立行政法人情報処理推進機構が実施する事業の成果」である旨を、容易に視認できる場所と態様で表示しなければならない。

6 本条の規定は、本契約終了後も有効に存続する。

(協議)第20条本契約の解釈又は本契約に定めのない事項について生じた疑義については、甲乙協議し、誠意をもって解決する。

(その他)第21条本契約に関する訴えの第一審は、甲の所在地を管轄する地方裁判所の管轄に専属する。

特記事項(談合等の不正行為による契約の解除)第1条甲は、次の各号のいずれかに該当したときは、契約を解除することができる。

一本契約に関し、乙が私的独占の禁止及び公正取引の確保に関する法律(昭和 22 年法律第 54 号。

以下同じ。

)であるとき二役員等が、自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもって、暴力団又は暴力団員を利用するなどしているとき三役員等が、暴力団又は暴力団員に対して、資金等を供給し、又は便宜を供与するなど直接的あるいは積極的に暴力団の維持、運営に協力し、若しくは関与しているとき四役員等が、暴力団又は暴力団員であることを知りながらこれと社会的に非難されるべき関係を有しているとき(再請負契約等に関する契約解除)第5条乙は、本契約に関する再請負先等(再請負先(下請が数次にわたるときは、すべての再請負先を含む。)並びに自己、再請負先が当該契約に関連して第三者と何らかの個別契約を締結する場合の当該第三者をいう。

以下同じ。

)が解除対象者(前条に規定する要件に該当する者をいう。以下同じ。)であることが判明したときは、直ちに当該再請負先等との契約を解除し、又は再請負先等に対し解除対象者との契約を解除させるようにしなければならない。

2 甲は、乙が再請負先等が解除対象者であることを知りながら契約し、若しくは再請負先等の契約を承認したとき、又は正当な理由がないのに前項の規定に反して当該再請負先等との契約を解除せず、若しくは再請負先等に対し契約を解除させるための措置を講じないときは、本契約を解除することができる。

23 / 57(損害賠償)第 6 条甲は、第 4 条又は前条第 2 項の規定により本契約を解除した場合は、これにより乙に生じた損害について、何ら賠償ないし補償することは要しない。

2 乙は、甲が第4条又は前条第2項の規定により本契約を解除した場合において、甲に損害が生じたときは、その損害を賠償するものとする。

3 乙が、本契約に関し、第4条又は前条第2項の規定に該当したときは、甲が本契約を解除するか否かにかかわらず、かつ、甲が損害の発生及び損害額を立証することを要することなく、乙は、契約金額(本契約締結後、契約金額の変更があった場合には、変更後の契約金額)の100分の10に相当する金額(その金額に 100 円未満の端数があるときは、その端数を切り捨てた金額)を違約金として甲の指定する期間内に支払わなければならない。

4 前項の規定は、本契約による履行が完了した後も適用するものとする。

5 第2項に規定する場合において、乙が事業者団体であり、既に解散しているときは、甲は、乙の代表者であった者又は構成員であった者に違約金の支払を請求することができる。

この場合において、乙の代表者であった者及び構成員であった者は、連帯して支払わなければならない。

6 第3項の規定は、甲に生じた実際の損害額が同項に規定す違約金の金額を超える場合において、甲がその超える分について乙に対し損害賠償金を請求することを妨げるものではない。

7 乙が、第3項の違約金及び前項の損害賠償金を甲が指定する期間内に支払わないときは、乙は、当該期間を経過した日から支払をする日までの日数に応じ、年 3 パーセントの割合で計算した金額の遅延利息を甲に支払わなければならない。

(不当介入に関する通報・報告)第7条乙は、本契約に関して、自ら又は再請負先等が、暴力団、暴力団員、暴力団関係者等の反社会的勢力から不当要求又は業務妨害等の不当介入(以下「不当介入」という。)を受けた場合は、これを拒否し、又は再請負先等をして、これを拒否させるとともに、速やかに不当介入の事実を甲に報告するとともに警察への通報及び捜査上必要な協力を行うものとする。

24 / 57本契約の締結を証するため、本契約書2通を作成し、双方記名押印の上、甲、乙それぞれ1通を保有する。

20○○年○月○日甲東京都文京区本駒込二丁目28番8号独立行政法人情報処理推進機構理事長齊藤裕乙 ○○県○○市○○町○丁目○番○○号株式会社○○○○○○○代表取締役 ○○ ○○25 / 57(別添)個人情報の取扱いに関する特則(定義)第1条本特則において、「個人情報」とは、業務に関する情報のうち、個人に関する情報であって、当該情報に含まれる記述、個人別に付された番号、記号その他の符号又は画像もしくは音声により当該個人を識別することのできるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できるものを含む。)をいい、秘密であるか否かを問わない。

以下各条において、「当該個人」を「情報主体」という。

(責任者の選任)第2条乙は、個人情報を取扱う場合において、個人情報の責任者を選任して甲に届け出る。

2 乙は、第1項により選任された責任者に変更がある場合は、直ちに甲に届け出る。

(個人情報の収集)第3条乙は、業務遂行のため自ら個人情報を収集するときは、「個人情報の保護に関する法律」その他の法令に従い、適切且つ公正な手段により収集するものとする。

(開示・提供の禁止)第4条乙は､個人情報の開示・提供の防止に必要な措置を講じるとともに、甲の事前の書面による承諾なしに、第三者(情報主体を含む)に開示又は提供してはならない。

ただし、法令又は強制力ある官署の命令に従う場合を除く。

2 乙は、業務に従事する従業員以外の者に、個人情報を取り扱わせてはならない。

3 乙は、業務に従事する従業員のうち個人情報を取り扱う従業員に対し、その在職中及びその退職後においても個人情報を他人に開示・提供しない旨の誓約書を提出させるとともに、随時の研修・注意喚起等を実施してこれを厳正に遵守させるものとする。

(目的外使用の禁止)第5条乙は､個人情報を業務遂行以外のいかなる目的にも使用してはならない。

(複写等の制限)第 6 条乙は､甲の事前の書面による承諾を得ることなしに、個人情報を複写又は複製してはならない。

ただし、業務遂行上必要最小限の範囲で行う複写又は複製については、この限りではない。

(個人情報の管理)第7条乙は､個人情報を取り扱うにあたり、本特則第4条所定の防止措置に加えて、個人情報に対する不正アクセスまたは個人情報の紛失、破壊、改ざん、漏えい等のリスクに対し、合理的な安全対策を講じなければならない。

2 乙は、前項に従って講じた措置を、遅滞なく甲に書面で報告するものとする。

これを変更した場合も同様とする。

3 甲は、乙に事前に通知の上乙の事業所に立入り、乙における個人情報の管理状況を調査することができる。

4 前三項に関して甲が別途に管理方法を指示するときは、乙は、これに従わなければならない。

5 乙は、業務に関して保管する個人情報(甲から預託を受け、或いは乙自ら収集したものを含む)について甲から開示・提供を求められ、訂正・追加・削除を求められ、或いは業務への利用の停止を求められた場合、直ちに且つ無償で、これに従わなければならない。

(返還等)第8条乙は、甲から要請があったとき、又は業務が終了(本契約解除の場合を含む)したときは、個人情報が含まれるすべての物件(これを複写、複製したものを含む。)を直ちに甲に返還し、又は引き渡すとともに、乙のコンピュータ等に登録された個人情報のデータを消去して復元不可能な状態とし、その旨を甲に報告しなければならない。

ただし、甲から別途に指示があるときは、これに従うものとする。

2 乙は、甲の指示により個人情報が含まれる物件を廃棄するときは、個人情報が判別できないよう必要26 / 57な処置を施した上で廃棄しなければならない。

(記録)第9条乙は、個人情報の受領、管理、使用、訂正、追加、削除、開示、提供、複製、返還、消去及び廃棄についての記録を作成し、甲から要求があった場合は、当該記録を提出し、必要な報告を行うものとする。

2 乙は、前項の記録を業務の終了後5年間保存しなければならない。

(再請負)第10条乙が甲の承諾を得て業務を第三者に再請負する場合は、十分な個人情報の保護水準を満たす再請負先を選定するとともに、当該再請負先との間で個人情報保護の観点から見て本特則と同等以上の内容の契約を締結しなければならない。

この場合、乙は、甲から要求を受けたときは、当該契約書面の写しを甲に提出しなければならない。

2 前項の場合といえども、再請負先の行為を乙の行為とみなし、乙は、本特則に基づき乙が負担する義務を免れない。

(事故)第11条乙において個人情報に対する不正アクセスまたは個人情報の紛失、破壊、改ざん、漏えい等の事故が発生したときは、当該事故の発生原因の如何にかかわらず、乙は、ただちにその旨を甲に報告し、甲の指示に従って、当該事故の拡大防止や収拾・解決のために直ちに応急措置を講じるものとする。

なお、当該措置を講じた後ただちに当該事故及び応急措置の報告並びに事故再発防止策を書面により甲に提示しなければならない。

2 前項の事故が乙の本特則の違反に起因する場合において、甲が情報主体又は甲の顧客等から損害賠償請求その他の請求を受けたときは、甲は、乙に対し、その解決のために要した費用(弁護士費用を含むがこれに限定されない)を求償することができる。

なお、当該求償権の行使は、甲の乙に対する損害賠償請求権の行使を妨げるものではない。

3 第1項の事故が乙の本特則の違反に起因する場合は、本契約が解除される場合を除き、乙は、前二項のほか、当該事故の善後策として必要な措置について、甲の別途の指示に従うものとする。

以上27 / 57Ⅲ．仕様書「セキュリティ要件適合評価及びラベリング制度におけるWebシステムの保守業務」(仕様書)28 / 571. 件名セキュリティ要件適合評価及びラベリング制度におけるWebシステムの保守業務2. 背景・目的独立行政法人情報処理推進機構(IPA)は、2024 年 8 月 23 日に経済産業省が発表した「IoT 製品に対するセキュリティ適合性評価制度構築方針」に基づき、2025年3月25日から「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」を運用している。

JC-STARの目的は、適切なセキュリティ対策が施された IoT 製品の普及を促進し、セキュリティの向上を図ることである。

一定のセキュリティ要件を満たした IoT 製品には適合ラベルが付与され、このラベルを通じて利用者や調達者が簡単にセキュアなIoT製品を選択・購入できるようにするものである。

本調達により、JC-STARの運用に用いているWebシステムの保守業務を実施する。

3. 保守業務3.1.業務概要本システムの安定稼働、セキュリティ確保、および性能維持のための保守業務を実施する。

契約期間：契約締結日～ 2027年3月31日本システム引継ぎ期間：契約締結日～ 2026年3月31日(保守業務現行請負者からの引継ぎ)本システム保守期間：2026年4月1日～ 2027年3月31日4. 保守業務要件請負者は、本システムに関する問い合わせ対応や保守対応等を行うために必要な体制を準備し、作業を実施するものとする。

また、これらの対応は、国家サイバー統括室(NCO)が定める「政府機関等のサイバーセキュリティ対策のための統一基準群」に準拠し、適切なセキュリティ対策を講じることとする。

4.1.本システムの概要(1) 適合ラベルの新規発行・ IPA業務関係者は、適合ラベル発行申請をメールで受け付け、申請情報を確認のうえ本システムに登録する。

・ IPA業務関係者は、自己適合宣言の申請の場合は、申請者からのチェックリストの確認を行ったうえで適合ラベルを発行する。

第三者認証の申請の場合は、評価機関からの適合評価報告書を審査したうえで適合ラベルを発行する。

・適合ラベル発行では、当該製品の専用ページの「URL」や「登録番号」、QRコードを自動作成し、QRコードの付いた適合ラベルをPDF形式で出力する。

※このQRコードには、上記専用ページのURLが埋め込まれている。

・ IPA業務関係者は、申請者にPDF形式の適合ラベルを付与する。

・年間最大400件程度の申請を想定する。

(2) 適合ラベル取得製品の公開・利用者は、適合ラベルの QR コードを読み込むことで、本システムにある最新の登録情報を反映した、当該IoT製品の製品概要や、最新の適合ラベルの状態、セキュリティ情報を確認できる。

(3) 適合ラベル取得製品に対する登録情報の変更、及び変更情報の公開29 / 57・ IPA業務関係者は、登録情報の変更申請において、当該登録情報の変更を実施する。

・本システムに登録した変更情報は、QRコードで閲覧する際の当該情報に反映される。

業務およびシステムの全体概要イメージは図 1 を参照されたい。

表 1 には、本システムを利用する関係者の一覧を示している。

図 1 全体概要図表1 利用者区分利用者説明ログイン対象利用者規模等IoT製品開発者・販売事業者IoT 製品を開発・販売する事業者のこと。

適合ラベルの取得/更新/取下げ申請や、登録情報の変更等の申請を行う。

× 200社程度利用者適合ラベル取得製品情報の閲覧者、主にIoT製品の購入予定者・使用者を想定。

当該IoT製品の適合ラベル情報、申請者情報、セキュリティ情報の確認を行う。

× コンテンツの参照は 200万PV/月以内とするIPA関係者申請者からの申請受付け、一定水準のセキュリティ要件に適合した IoT 製品に対して適合ラベルの付与/更新/取消等を行う者。

・業務を行うIPA職員。

・業務管理を行うIPA職員。

・システムの管理を行うIPAの職員。

◎ 10名程度ログイン対象 ◎:本システム ×：ログインなし4.2.業務・調達要件4.2.1. 調達要件本調達では、表 2 に示すクラウドサービスを利用する。

本調達には保守期間中のこれらクラウドサービスの利用料を含むこと。

なお、請負者は、2026年3月31日までに保守業務現行請負者からAWSアカウントの引継ぎ(譲渡)を受け、当該AWSアカウントに関連付けられたリソース(データ、環境設定等を含む。)を継続して提供すること。

AWSアカウントの引継ぎ(譲渡)を受ける際には、保守業務現行請負者(譲渡元)からの情報取得、メールアドレス変更、支払方法変更等の作業を行うこと。

引継ぎ(譲渡)に関する利用料負担については、必要に応じてIPAと協議すること。

30 / 57表2 クラウドサービス一覧カテゴリサービス/項目詳細仕様コンピューティングEC2 アプリケーションサーバ・Laravel + Backpack実行環境・t3a.large(2 vCPU / 8GB)×2(冗長化)・Amazon Linux 2データベース RDS Aurora ・PostgreSQL 16.3・Aurora Serverless v2(0.5～4 ACU 自動スケール)・マルチAZ、ストレージ自動拡張・Performance Insights・拡張モニタリング有効ストレージ S3 ・公開用/非公開用バケット分離・バージョニング・ライフサイクルポリシー・アクセス制御(バケットポリシー/IAM)・必要時KMS暗号化CDN CloudFront ・HTTPS強制、キャッシュ最適化(TTL設定等)・S3/ALBをOrigin・WAF導入検討・カスタムドメインとSSL連携DNS Route 53 ・独自ドメイン管理、ホストゾーン・A/AAAA/CNAME/ALIASレコード・フェイルオーバー/ヘルスチェック設定可能ロードバランサALB ・SSL終端(ALBに証明書)・ターゲットグループ(EC2)・ヘルスチェック・HTTP→HTTPSリダイレクト、HTTP/2対応監視 CloudWatch ・メトリクス収集(CPU/Mem/IO/Network/DB接続等)・ログ収集(NGINX/アプリ等)・アラーム、ダッシュボード、ログ保存設定バックアップ AWS Backup ・RDS/EBS/S3等の自動バックアップスケジュール・保持ポリシー(例：RDS 保持7日・週次スナップショット)・ライフサイクル管理セキュリティ IAM ・最小権限ポリシー、ロール設計・MFA強制・パスワードポリシー(複雑性・90日更新)・サービスロール管理CloudTrail ・API操作記録・ログ保存先S3・ログ整合性検証、監査用保管期間の設定運用管理 AWS SystemsManager・Parameter Storeで環境変数/設定管理(KMS暗号化可)・Run Command/Session Manager利用アカウント管理アカウント分離・運用・本番/開発を別アカウントで管理・IPA専用アカウントで構築・譲渡可能・リソース確保時期の目安(開発開始1ヶ月前等)31 / 574.2.2. 要求サービスレベル本システムに関して、表3および表4のサービスレベルの確保し保守を実施することとする。

なお、セキュリティテストについて追加費用が必要な場合は、2回分の費用を含めること。

表3 本システムのサービスレベルサービス時間 ⚫ 計画停止日を除く、24時間365日サービス稼働率 ⚫ 99%以上システム障害時の復旧 ⚫ 目標復旧レベル(RLO):全業務の再開(性能は通常より低い水準を許容する)⚫ 目標復旧時間(RTO):24時間程度⚫ 目標復旧時点(RPO): 直前バックアップからの復旧災害／大規模障害時 ⚫ 目標復旧レベル(RLO):全業務の再開(性能は通常より低い水準を許容する)⚫ 目標復旧時間(RTO):個別調整⚫ 目標復旧時点(RPO): 日次バックアップからの復旧応答時間 ⚫ 概ね3秒以内(検索結果の表示等のオンライン処理に係るレスポンスタイム)⚫ 概ね0.1 秒以内(上記以外の画面遷移に係るレスポンスタイム)補足：サービス稼働率 (%) = (年間稼働時間 - 年間停止時間) / 年間稼働時間 × 100表4 請負者(クラウドサービス事業者含む)によるサポートに関するサービスレベルサービス提供時間帯(通常) ⚫ 原則として土日、祝日、年末年始等を除く 9:30～18:15とするが、請負者の営業時間を考慮した上で定めることとするサービス提供時間帯(障害およびセキュリティインシデント発生時)⚫ 原則として24 時間 365 日とする問合せに対する 1 次回答時間⚫ IPAからの問い合わせについては、一日以内の回答とする。

なお、緊急時については、その限りではない。

アプリケーション起因の障害復旧(暫定対応含)時間⚫ 24時間以内軽微なシステム改修における不具合件数⚫ 0 件を目標とする本番作業における人的障害 ⚫ 0 件を目標とする(人的障害とは、操作ミス、設定ミス、プログラムミス等を指す)⚫ 対策：ダブルチェック体制、作業手順書の整備、担当者への定期的な教育訓練メンテナンス時間毎週月曜2:00-7:00 に対応4.2.3. 保守要件請負者は、本システムに関する問い合わせ対応や保守対応等を行うために必要な体制を準備し作業を実施するものとする。

(1) 障害対応と環境メンテナンスシステムの維持に必要なメンテナンス(ソフトウェアのアップデート、無影響確認、セキュリティ対策機器の設定見直し等、その他サービスレベルの維持または向上に必要な作業)及び障害への対応を行うこと。

ソフトウェアのアップデート対応前には、どのような体制、頻度で実施するか、及び影響の有無について、事前にIPAに資料を送付し説明を実施すること。

なお、システム32 / 57の停止を伴うメンテナンスを実施する場合は、原則二週間前までにIPAへ連絡すること。

(2) システム監視と障害、セキュリティインシデントの報告システムの運用状況を監視し、障害や不正アクセス等の検知及び対応が行われていると認識している。

アプリケーション障害やシステムダウン、セキュリティインシデント等の、利用者に与える影響が大きく緊急性が高い事象については、クラウドサービス事業者と密に連携し、検知後速やかにIPAにエスカレーションが行われるよう体制を構築すること。

(3) IPAからの問合せ対応IPAからの問合せに対応すること。

時間帯は、土日、祝日、年末年始等を除く通常の営業日の9:30から 18:15 を原則とするが、請負者の営業時間を考慮した上で別途定めることとする。

なお、IPA検出のインシデント対応依頼(利用者からの通報等による)等、緊急性の高い案件については、上述の時間帯外に実施する可能性がある。

緊急時の対応および連絡先については、協議の上で決定する。

主な問い合わせは下記のものを想定する。

⚫ システムの利用方法に関する質問⚫ エラー等の事象確認と対応⚫ システム稼働状況の確認⚫ 設定変更にて対応可能な軽微な修正⚫ 機能拡張・対応方針の相談(なお、標準機能を活用することを基本とした回答を求める)⚫ IPAから指摘・要望による、WEBページのコンテンツや表示の変更等の実施⚫ 不正操作等の疑義によるログ確認等⚫ クラウドサービス事業者との調整⚫ IPA検出のインシデント対応依頼(利用者からの通報等による)⚫ セキュリティインシデント対応依頼等を追加(4) バックアップ・リカバリ・バックアップは最低限として日次で行い、取得後3世代の保管を実施すること。

・バックアップ取得方法については、完全復旧、部分復旧ができるようにする。

・システム更新の際には別途バックアップを実施すること。

・リカバリについては、手順を事前に用意し、リカバリ後正しくデータをリカバリできたかを検証できるようにする。

(5) 教育・研修システムアップデート等により操作が変わった場合、IPAに対して教育を行うこと。

(6) 操作マニュアルのメンテナンスシステムアップデート等により操作マニュアルの記載内容に変更が生じた場合に改版すること。

(7) システム改修業務要件の変更等に伴う、軽微なシステム改修を実施する体制を整えること。

具体的には、HTMLの項目追加や変更、管理画面の修正、データ入力における最大値の変更など、3人日程度の軽微な改修を月1回行う。

ただし、状況により、IPAと協議のうえ、改修内容や実施タイミングを変更することがある。

(8) 保守期間における役割分担保守期間における役割分担については、表5示す通りとする。

表5 保守期間における役割分担分類項目内容 IPA 請負者33 / 57管理インシデント管理異常または中断、劣化させる事象の発生から訂正までの管理過去実績の調査・解決策の情報収集、対応策の決定△ ◎問題管理インシデントが問題(障害)であった場合の具体的な訂正△ ◎変更管理システムの変更 △ ◎リリース管理ソフトウェアリリース △ ◎構成管理システムへの変更に関する履歴等の管理 △ ◎定期報告システム稼働状況や保守作業等の定期報告 △ ◎セキュリティテスト対応IPA主導のセキュリティテスト ◎ ◎製品ハードウェア製品クラウドサービス基盤の提供と保守 △ ◎ソフトウェア製品クラウドサービスで提供されるソフトウェアの更新とセキュリティ対応、カスタム開発部分の保証△ ◎システム監視クラウドサービスの監視、アラート対応、IPAへの報告△ ◎点検クラウド設定の定期的な見直し △ ◎更新作業クラウドサービス △ ◎業務要件の変更等に伴う軽微なシステム改修 △ ◎設定変更クラウド設定変更、カスタム開発部分の設定変更 △ ◎バージョン管理クラウドサービス、カスタム開発部分のバージョン管理△ ◎システム改修軽微な改修(クラウド設定変更を含む)、別途協議による大規模改修△ ◎教育利用者教育(内部)業務実施者、業務管理者、システム管理者向け操作マニュアルの作成及びメンテナンス△ ◎業務運用と利用者支援ユーザ管理利用者IDの追加、削除、更新等 ◎ ○マスターメンテ業務データ管理 ◎ ○問合せ対応利用者からの質問への回答 ◎ ○ログ分析システムが出力するログのエラー検知、分析等 △ ◎問題の解決障害対応障害発生時の連絡、原因調査、復旧作業 △ ◎障害原因調査障害原因の切り分け、責任範囲の特定 △ ◎不具合補修クラウドサービス、カスタム開発部分の不具合修正 ◎ ◎△：承認または確認 ◎：主担当 ○：一部担当4.3.情報セキュリティ対策要件保守におけるセキュリティ要件を以下に示す。

サイバー攻撃等による様々なリスクに対抗するため、最新の「政府機関等のサイバーセキュリティ対策のための統一基準群」に準拠したセキュリティ対策を講じること。

具体的には、アクセス制御、脆弱性対策、マルウェア対策、セキュリティパッチの適用、データ改ざん・漏えい防止、セキュリティ診断の実施等が求められる。

また、クラウドサービスを利用する場合は、クラウドサービス事業者も同等のセキュリティ要件を満たすことを請負者が確認すること。

IPAの情報セキュリティポリシーの遵守も必須とする。

セキュリティインシデント発生時は IPA と連携し迅速な対応を行うこと。

これらのセキュリティ対策費用(是正処置を含む)は、保守費用に含むものとする。

(1) アクセス制御① 請負者の作業用 ID に関して悪用に対する対策を行うとともに、所有する ID のリストとログイン履歴を定期的にIPAに報告すること。

② 請負者が保守のために利用する作業用 PC は限定し、通常業務に使用する PC とは区別する34 / 57こと。

③ 不正認証の試みや不正アクセスを請負者またはクラウドサービス事業者が認知した場合、適切な対策を講じること。

④ アクセス権の最小権限付与を徹底すること。

⑤ 定期的なアクセス権の見直しを実施すること。

⑥ 不正アクセス検知システムを導入し、ログ監視を強化すること。

(2) 脆弱性対策① 請負者は、本システムの脆弱性対策について、クラウドサービス事業者との責任分担を明確にし、システム全体を通して対策が漏れなく行われることを確実にすること。

② 請負者は、クラウドサービス事業者やその他機関がもたらす脆弱性に関する情報を複数個所から入手の上把握し、その脆弱性がもたらすリスクを分析の上、IPAに報告すること。

③ 請負者は、脆弱性がもたらすリスクを分析した結果、対策が必要と判断されるときは、対策方法や暫定的な回避策及び対策方法等を IPA に報告し、暫定回避策がシステムに与える影響や対策の実施計画及び対策テストの必要性、対策テストの方法及び実施予定について協議の上、脆弱性対策プランを策定し迅速に対応可能な体制を構築すること。

④ 利用しないプロセスやサービスは停止すること。

⑤ 脆弱性対策の優先順位付けと実施期限を明確にする。

(3) マルウェア対策① 最新のマルウェア対策が行われること。

② 請負者またはクラウドサービス事業者がマルウェアを検知した場合、適切な対策を講じること。

(4) 修正プログラムの適用① 請負者は、クラウドサービス部分の修正プログラムの適用について、クラウドサービス事業者との責任分担を明確にすること。

② 請負者は、本システムに導入されているソフトウェアについて、原則としてサポート対象となる最新バージョンとし、各種不具合修正用プログラムやパッチを適用すること。

③ 請負者は、発売元または提供元より入手した修正プログラム等のリリース情報に基づき、適用すべき修正プログラム等を選別し、IPAと協議の上でこれを適用すること。

④ パッチ適用手順を文書化し、テスト環境での検証を実施すること。

(5) データ改ざん・漏えい防止① データのアクセス権設定を適切に行うこと。

② アプリケーションプログラムへの書き込み権限を適切に管理すること。

③ 請負者またはクラウドサービス事業者がデータ改ざん・漏えいを検知した場合、適切な対策を講じること。

(6) インシデント対応の手順化① インシデント対応手順書を作成し、訓練を実施すること。

② 24時間365日対応可能な連絡体制を構築すること。

③ 緊急連絡先を明記すること。

④ インシデント発生時の情報共有範囲と方法を規定し手順書に明記すること。

⑤ フォレンジック調査の実施体制を明記し確保すること。

(7) その他情報セキュリティに関する事項① 請負者は、その従業員、再請負先、若しくはその他の者による意図せざる変更が加えられないための管理を徹底すること。

② 請負者は、本事業に従事する者を限定すること。

本事業の実施期間中に従事者を変更等する場合は、事前に IPA に報告すること。

また、請負者は IPA から要請があった場合に、資本関係・役員の情報、本事業の実施場所、本事業の全ての従事者の所属、専門性(情報セキュリティに係る資格・研修実績等)、実績及び国籍に関する情報を提供すること。

35 / 57③ 請負者は、本事業に係るセキュリティインシデントが発生した場合、速やかに IPA に報告を行い、対処方法を協議のうえ実施すること。

④ 請負者は、IPAとの秘密情報の受渡に関して、安全管理措置が講じられた方法を採用すること。

なお、受渡、廃棄・抹消、及び確認方法等の秘密情報取扱に関する具体的な手順については、IPAと協議の上決定する。

⑤ 請負者は、IPA が実施する情報セキュリティ監査またはシステム監査を受け入れるとともに、指摘事項への対応を行うこと。

⑥ 請負者は、情報セキュリティ対策が不十分であることが判明した場合、またはそうした状態になることが予見された場合は、必要となる改善策を提案し IPA と協議の上実施すること。

⑦ 請負者は、本事業を再請負する場合は、再請負することにより生ずる脅威に対してセキュリティが十分に確保されるよう、セキュリティ対策の実施を契約等により再請負先に担保させること。

なお、再請負先におけるセキュリティの確保については、請負者の責任とする。

⑧ 請負者は、本事業におけるセキュリティ対策に関して、本書に記載された要件以外で必要と考えられる措置がある場合はそれを実施すること。

⑨ 是正処置を含むセキュリティ対策費用は、保守費用に含まれるものとする。

4.4.セキュリティ対策の改善セキュリティ要件を満たすことができなくなった場合、またはそうした状態になることが予見された場合は、必要な改善策を提案し、IPAと協議の上で実施すること。

4.5.報告要件請負者は、保守・運用支援に関する対応実績をまとめた月次報告書を提出すること(原則メールベース、必要に応じて対面で打ち合わせを実施)。

月次報告書の記載内容・様式は、あらかじめIPAの容認を得ること。

月次果報告書の提出期日は、各月末日から5営業日以内とし、IPAから承認を得ること。

ただし、2027年3月分の月次報告については、納入物件である保守運用実施報告書に含めて納入すること。

 保守作業の実施状況: 「表 6 保守成果物一覧」において IPA 報告を必要とするものについては、実施した保守作業の内容、状況、および結果を詳細に報告すること。

 報告・連絡事項 (4.3 関係): 4.2.3 項に規定する報告・連絡事項について報告すること。

 その他の報告・連絡事項: 上記以外に報告・連絡が必要な事項があれば、すべて報告すること。

表6 保守成果物一覧カテゴリ成果物随時報告月次報告サービスレベル管理サービスレベルレポート(月次/四半期/年次)、可用性レポート、性能レポート、セキュリティレポート― 必要インシデント管理インシデント記録、インシデント分析レポート、根本原因分析レポートインシデント発生時概要のみ問題管理問題記録、問題分析レポート、恒久対策実施報告書問題発生時概要のみ変更管理変更要求書、変更計画書、変更実施報告書、テスト結果報告書変更時概要のみリリース管理リリース計画書、リリースノート、リリース検証報告書(システム改修を含む)リリース時概要のみ構成管理構成管理台帳、構成変更履歴変更時概要のみセキュリティ管理セキュリティテスト結果報告書、脆弱性診断報告書、侵入テスト報告書、セキュリティ監査報告書実施時概要のみ36 / 57ハードウェア/ソフトウェア保守保守作業報告書、バージョンアップ計画書、バージョンアップ実施報告書実施毎概要のみ監視・点検監視レポート、点検レポート異常発見時概要のみドキュメント管理操作マニュアル(内部向け)、保守手順書、障害対応手順書変更時概要のみ教育・トレーニング教育資料、トレーニング実施記録 ― 概要のみその他定期報告書、問合せ対応記録、ログ分析レポート、障害対応記録、障害原因調査報告書、不具合修正報告書、ユーザ管理記録、マスターメンテナンス記録、定例会の議事録／議事メモ適時概要のみ4.6.体制要件プロジェクト体制(1) 組織またはプロジェクトメンバーは、以下の要素技術に関して理解ができ、保守が可能であること。

 AWS EC2、S3、RDS、IAM、CloudWatch、CLI/SDKを用いた運用連携 AWSのShield、WAF、CloudFrontの運用連携(2) 組織またはプロジェクトメンバーは、WEBシステムの保守経験を有するメンバーを2名以上含むこと。

なお、政府機関向けWebシステム、または大規模ユーザ向けWebシステムの保守経験を有することが望ましい(セキュリティ要件の高いシステム、高負荷・高可用性への対応経験があれば尚可)。

(3) プロジェクト体制図を作成し、プロジェクトメンバーの主担当作業、所有資格、保有スキル、関与度合い等を記載すること。

(4) プロジェクトメンバーや担当作業に変更が生じる場合、その旨をIPAに報告すること。

(5) プロジェクトマネージャーとして、情報処理の促進に関する法律に基づき実施される情報処理技術者試験の以下の何れかの区分に合格し、3 年以上の実務経験を有している者を配置すること。

 プロジェクトマネージャ試験 ITストラテジスト試験 システムアーキテクト試験或いは、上記と同等以上の資格、若しくは同等以上と認められる実績を有する者を配置すること。

(6) セキュリティ管理者として、情報セキュリティに関する知識及び技能を有する者を配置すること。

また、当該項目への提案内容により不合格となることはない。

提案書ページ番号【入札者が記載する欄】作成した提案書における該当ページ番号を記載する。

該当する提案書の頁が存在しない場合には空欄とする。

評価者は、本欄に記載されたページを各提案要求事項に係る提案記述の開始ページとして採点を行う。

プロジェクト計画書案については、別紙における該当ページ番号を記載すること。

遵守確認欄【入札者が記載する欄】評価区分が「遵守確認事項」の場合に、入札者は、遵守確認事項を実現・遵守可能である場合は○を、実現・遵守不可能な場合(実現・遵守の範囲等について限定、確認及び調整等が必要な場合等を含む)には×を記載する。

配点構成及び審査基準評価区分が「提案要求事項(必須)」または「提案要求事項(任意)」の評価項目に対して、どのような基準で採点するかを示している。

51 / 57第5章評価手順5.1 落札方式次の要件を共に満たしている者のうち、「5.2① 総合評価点の計算」によって得られた数値の最も高い者を落札者とする。

① 入札価格が予定価格の制限の範囲内であること。

②「Ⅴ．評価項目一覧」の遵守確認事項及び評価区分の必須項目を全て満たしていること。

5.2 総合評価点の計算①総合評価点の計算総合評価点＝技術点＋価格点技術点＝基礎点＋加点価格点＝価格点の配分 × ( 1 －入札価格 ÷ 予定価格)※価格点は小数点第2位以下を切り捨てとする。

②得点配分技術点：508点価格点：254点5.3 技術審査5.3.1 一次評価一次評価として、「Ⅴ．評価項目一覧」の各事項について、次の要件を全て満たしているか審査を行う。

一次評価で合格した提案書について、次の「5.3.2 二次評価」を行う。

① 「遵守事項/必須要件」欄の全てに「○」が記入されていること。

② 「提案書該当ページ」欄に提案書のページ番号が記入されていること。

③ 「提案書該当項番」欄に提案書の項番が記入されていること。

5.3.2 二次評価上記の「5.3.1 一次評価」で合格した提案を対象として、「Ｖ．評価項目一覧」で示す、評価項目、提案分類に基づき、技術審査を行う。

なお、ヒアリングを実施した場合には、ヒアリングより得られた評価を加味するものとする。

評価にあたっては、複数の審査員が各項目を評価し、各審査員の評価結果(得点)の平均値(小数点第2位以下切捨て)をもって技術点とする。

5.3.2.1 基礎点評価提案内容が、必須要件事項を満たしている場合に基礎点を付与し、そうでない場合は0点とする。

一つでも必須要件事項を満たしていないと評価(0点)した場合は、その入札者を不合格とし、価格点の評価は行わない。

5.3.2.2 加点評価提案要求事項(任意)に対し、評価項目の内容を満たした場合のみ加点を付与する。

ただし、「4 ワーク･ライフ・バランス等の推進に関する指標」については、下表の評価基準に基づき加点を付与する。

複数の認定等が該当する場合は、最も配点が高い区分により加点を付与する。

52 / 57認定等の区分項目別得点女性活躍推進法に基づく認定(えるぼし認定企業・プラチナえるぼし認定企業)等プラチナえるぼし(※1) 18えるぼし3段階目(※2) 14えるぼし2段階目(※2) 12えるぼし1段階目(※2) 8行動計画策定(※3) 4次世代法に基づく認定(くるみん認定企業・トライくるみん認定企業・プラチナくるみん認定企業)等プラチナくるみん(※4) 18くるみん(令和7年4月1日以後の基準)(※5)14くるみん(令和4年4月1日～令和7年3月31日までの基準)(※6)12トライくるみん(令和7年4月1日以後の基準)(※7)12くるみん(平成29年4月1日～令和4年3月31日までの基準)(※8)8トライくるみん(令和4年4月1日～令和7年3月31日までの基準)(※9)8くるみん(平成29年3月31日までの基準)(※10)6行動計画(令和7年4月1日以後の基準)(※3、※11)4若者雇用促進法に基づく認定(ユースエール認定企業) 16※1 女性活躍推進法第12条の規定に基づく認定※2 女性活躍推進法第9条の規定に基づく認定なお、労働時間等の働き方に係る基準は満たすことが必要。

※3 常時雇用する労働者の数が100人以下の事業主に限る(計画期間が満了していない行動計画を策定している場合のみ)。

※4 次世代法第15条の2の規定に基づく認定※5 次世代法第13条の規定に基づく認定のうち、次世代育成支援対策推進法施行規則の一部を改正する省令(令和６年厚生労働省令第146号。以下「令和６年改正省令」という。)による改正後の次世代育成支援対策推進法施行規則(以下「新施行規則」という。)第４条第１項第１号及び第２号に掲げる基準による認定※6 次世代法第13条の規定に基づく認定のうち、令和６年改正省令による改正前の次世代育成支援対策推進法施行規則第４条第１項第１号及び第２号又は令和６年改正省令附則第２条第２項の規定によりなお従前の例によることとされた令和６年改正省令による改正前の次世代育成支援対策推進法施行規則第４条第１項第１号及び第２号に掲げる基準による認定(ただし、※8及び※10の認定を除く。)※7 次世代法第13条の規定に基づく認定のうち、新施行規則第４条第１項第３号及び第４号に掲げる基準による認定※8 次世代法第13条の規定に基づく認定のうち、次世代育成支援対策推進法施行規則の一部を改正する省令(令和３年厚生労働省令第185号。以下「令和３年改正省令」という。)による改正前の次世代育成支援対策推進法施行規則第４条又は令和３年改正省令附則第２条第２項の規定によりなお従前の例によることとされた令和３年改正省令による改正前の次世代育成支援対策推進法施行規則第４条に掲げる基準による認定(ただし、※10の認定を除く。)※9 次世代法第13条の規定に基づく認定のうち、令和６年改正省令による改正前の次世代育成支援対策推進法施行規則第４条第１項第３号及び第４号又は令和６年改正省令附則第２条53 / 57第２項の規定によりなお従前の例によることとされた令和６年改正省令による改正前の次世代育成支援対策推進法施行規則第４条第１項第３号及び第４号に掲げる基準による認定※10 次世代法第13条の規定に基づく認定のうち、次世代育成支援対策推進法施行規則等の一部を改正する省令(平成29年厚生労働省令第31号。

以下「平成29年改正省令」という。

)による改正前の次世代育成支援対策推進法施行規則第４条又は平成29年改正省令附則第２条第３項に掲げる基準による認定※11 次世代法第12条の規定に基づく一般事業主行動計画のうち、育児休業、介護休業等育児又は家族介護を行う労働者の福祉に関する法律及び次世代育成支援対策推進法の一部を改正する法律(令和６年法律第42号)による改正後の次世代法第12条第５項の規定に基づき令和７年４月１日以後に策定又は変更を行ったもの54 / 57【様式-Ａ】個人情報保護体制について本様式は、個人情報の取扱いに関して御社が講じている保護措置について確認することを目的としております。

お手数ですが、最初に「ご回答者連絡先」を記入し、以下の設問に回答(はい、いいえのいずれかを〇で囲みください。)の上、必要事項の追加記入をお願い致します。

余白を縦横に伸縮してご記入ください。

ご回答者連絡先組織名部署名氏名連絡先電話番号メールアドレスＱ１．個人情報保護に係るプライバシーポリシー・規程・マニュアルはございますか。