官公需情報ポータルサイト

公告内容

- 1 -入札公告次のとおり一般競争入札に付します。

令和７年６月 30日支出負担行為担当官林野庁長官 青山 豊久◎調達機関番号 018 ◎所在地番号 13１ 調達内容(1) 品目分類番号 71、27(2) 購入等件名及び数量 令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務 一式(電子入札方式対象案件)(3) 調達案件の仕様等 入札説明書及び仕様書による。

(4) 履行期限 入札説明書及び仕様書による。

(5) 納入場所 入札説明書及び仕様書による。

(6) 入札方法 落札者の決定は総合評価落札方式をもって行うので、提案に係る性能、機- 2 -能、技術等に関する書類(以下「総合評価のための書類」という｡)を提出すること。

なお、落札決定に当たっては、入札書に記載された金額に当該金額の10パーセントに相当する額を加算した金額(当該金額に１円未満の端数があるときは、その端数金額を切り捨てるものとする。)をもって落札金額とするので、入札者は消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を入札書に記載すること。

２ 競争参加資格(1) 予算決算及び会計令第70条の規定に該当しない者であること。

なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。

(2) 予算決算及び会計令第71条の規定に該当しない者であること。

(3) 令和７・８・９年度農林水産省競争参加資- 3 -格(全省庁統一資格)「役務の提供等」において「A」または「B」の等級に格付されている者であること。

(4) 予算決算及び会計令第 73条の規定に基づき、支出負担行為担当官が定める資格を有する者であること。

(5) 下記４(5)の提出書類の提出期限の日から下記４(6)の開札の時までの間において、林野庁長官から物品の製造契約、物品の購入契約及び役務等契約指名停止等措置要領に基づく指名停止を受けている期間中でないこと。

(6) その他の競争参加資格については、入札説明書及び仕様書による。

３ 電子調達システム(ＧＥＰＳ)の利用本案件は、電子調達システムで入札等を行うことができる対象案件である。

４ 入札書の提出場所等(1) 入札書の提出方法 電子入札の場合は、電子調達システムによる。

紙入札の場合は、下記４(5)に示す場所及び日時に提出する。

電子- 4 -調達システムに停電等の不具合、システム障害等やむを得ない事情によるトラブルが発生した場合は、紙入札に移行することがある。

(2) 入札説明書の交付場所、契約条項を示す場所及び問合せ先〒100-8952 東京都千代田区霞が関1-2-1林野庁国有林野部業務課災害対策・治山・路網整備班 電話03-3502-8349(3) 入札説明書の交付方法 上記交付場所のほか林野庁のウェブサイト、調達ポータル(https://www.p-portal.go.jp/pps-web-biz/UAA01/OAA0101)において無料にて交付する。

郵送又はメールによる交付を希望する場合は、上記交付場所まで電話で問い合わせること。

(4) 入札説明会 開催しない。

(5) 入札書等の提出期限及び提出場所令和７年 8 月 20日午後５時(ただし、郵送(一般書留又は簡易書留に限る。)による入札書の受領期限については、令和７年 8 月 20日午後５時とする。

)- 5 -〒100-8952 東京都千代田区霞が関1-2-1林野庁林政部林政課会計経理第１班支出負担行為第１係(電子入札による場合は、電子調達システムにより提出する。)(6) 開札の日時及び場所令和７年８月 27 日午後２時 入札室(農林水産省７階ドアNo.本 766)５ 再度入札開札の結果、予定価格の制限に達した価格の入札がないときは、直ちに再度の入札を行うこともあるため、再度入札を希望する入札者は、入札書を持参すること。

電子調達システムによる入札者は電子調達システムを開いて待機すること。

この場合に入札に参加できる者は、当初の入札に参加した者とする。

ただし、郵送による入札があった場合において、直ちに再度の入札を行うことができないときは、契約担当官等が指定する日時において、再度の入札を行う。

場所、日時、入札締切等については応札者全員にメールや電話等で通知す- 6 -る。

６ その他(1) 入札及び契約手続において使用する言語及び通貨 日本語及び日本国通貨。

(2) 入札保証金及び契約保証金 免除。

(3) 入札者に要求される事項 この一般競争に参加を希望する者は、入札説明書で示した競争参加に必要な証明書類を令和７年８月 20日午後５時までに提出しなければならない。

入札者は、開札日の前日までの間において、支出負担行為担当官から当該証明書類に関し説明を求められた場合は、それに応じなければならない。

当該証明書類に関し説明の義務を履行しない者は落札決定の対象としない。

(4) 入札の無効 本公告に示した競争参加資格のない者の入札、申請書又は資料等に虚偽の記載をした者の入札、入札に関する条件に違反した入札及び入札心得第５条の規定に違反した者の入札は無効とする。

(5) 契約書作成の要否 要。

- 7 -(6) 落札者の決定方法 予算決算及び会計令第79条に基づいて作成された予定価格の制限の範囲内で、支出負担行為担当官が入札説明書で示す要求事項のうち必須項目の最低限の要求を全て満たしている提案をした入札者の中から、支出負担行為担当官が定める総合評価の方法をもって落札者を定めるものとする。

ただし、落札者となるべき者の入札価格によっては、その者により当該契約の内容に適合した履行がなされないおそれがあると認められるとき、又はその者と契約を締結することが公正な取引の秩序を乱すこととなるおそれがあって著しく不適当であると認められるときは、予定価格の制限の範囲内の価格をもって入札した他の者のうち評価の最も高い者を落札者とすることがある。

(7) 手続における交渉の有無 無。

(8) 競争参加に必要な証明書類の提出場所、提出期限ほか、詳細は入札説明書による。

- 8 -７ Summary(1) Official in charge of disbursement of theprocuring entity: AOYAMA Toyohisa,Director General of Forestry Agency(2) Classification of the services to beprocured: 71, 27(3) Nature and quantity of the services tobe required: System renovation and Cloudmigration of Mountain Disasters SurveySystem, １ set(4) Fulfillment period: As shown in thetender documentation(5) Fulfillment place: As shown in the tenderdocumentation(6) Qualification for participating in thetendering procedures: Suppliers eligiblefor participating in the proposed tenderare those who shall:① not come under Article 70 of theCabinet Order concerning the Budget,- 9 -Auditing and Accounting. Furthermore,minors, Person under Conservatorship orPerson under Assistance that obtainedthe consent necessary for concluding acontract may be applicable under casesof special reasons within the saidclause.

② not come under Article 71 of theCabinet Order concerning the Budget,Auditing and Accounting.

③ have the Grade "A" or "B" in terms ofqualification "Provision of services"for participating in tenders byMinistry of Agriculture, Forestry andFisheries (Single qualification forevery ministry and agency) in thefiscal year 2025, 2026 and 2027.

④ meet the qualification requirementswhich the Obligating Officer mayspecify in accordance with Article 73- 10 -of the Cabinet Order.

⑤ Prove not to be a period of receivingnomination stop from the contractingofficer etc.

⑥ meet the other qualification require-ments by the tender documentation.

(7) Time-limit for tender : 5:00 P.M., 20August 2025 (tenders submitted by mail 5:00P.M., 20 August 2025)(8) Contact point for notice: National ForestManagement Division, National ForestDepartment, Forestry Agency, 1 － 2 － 1Kasumigaseki, Chiyoda-ku, Tokyo 100-8952Japan. TEL 03－3502－8349

入 札 説 明 書支出負担行為担当官林 野 庁 長 官この度、下記により総合評価落札方式による一般競争入札を執行するので、希望があれば入札に参加されたい。

記１ 競争入札に付する事項(１)件名 令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務(２)仕様 仕様書のとおり(３)履行期限 令和8年3月31日(４)納入場所 林野庁国有林野部経業務課(農林水産省北別館8階ドアNo.北814)２ 競争に参加する者に必要な資格に関する事項(１)予算決算及び会計令(昭和22年勅令第165号)第70条各号のいずれかに該当する者でないこと。

なお、競争に参加する者が未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者である場合は、同条の特別の理由がある場合に該当する。

(２)予算決算及び会計令第71条の規定に該当する者でないこと。

(３)「令和７・８・９年度農林水産省競争参加資格(全省庁統一資格)」の「役務の提供等」の「Ａ」または「Ｂ」の等級に格付けされている者であること。

(４)下記６の提出書類の提出期限の日から、下記９の開札の時までの間において林野庁長官から物品の製造契約、物品の購入契約及び役務等契約指名停止措置要領に基づく指名停止を受けている期間中でないこと。

(５)複数の団体が本委託事業の受託のために組織した共同事業体(民法(明治29年法律第89号)上の組合に該当するもの。

以下同じ。

)による参加も可とする。

この場合において共同事業体は、本委託事業を実施すること等について業務分担及び実施体制等を明確にした、構成する各団体(以下「構成員」という。)の全てから同意を得た規約書、全構成員が交わした協定書又は全構成員間での契約締結書(又はこれに準ずる書類)(以下「規約書等」という。)を作成する必要があり、全構成員の中から代表者を選定し、代表者は本委託事業に係る競争入札の参加及び事業の委託契約手続を行うものとする。

また、代表者は、上記(１)から(４)の要件に適合している必要があり、代表者を除く他の構成員については、上記(１)、(２)及び(４)の要件に適合するとともに、「令和７・８・９年度農林水産省競争参加資格(全省庁統一資格)」の「役務の提供等」を有している必要がある。

なお、共同事業体に参加する構成員は、本入札において他の共同事業体の構成員となること又は単独で参加することはできない。

①共同事業体の結成、運営等に関する規約書等を下記６に定める提出場所へ提出期限までに提出すること。

②規約書等の作成にあたっては、事業分担及びその考え方並びに実施体制について、明確に記載すること。

(６)応札者は、応札者の資本関係・役員等の情報、本業務の実施場所、本業務の従事者(契約社員、派遣社員等の雇用形態は問わず、本業務に従事する全ての要員)の所属・専門性(保有資格、研修受講実績等)・実績(業務実績、経験年数等)及び国籍に関する情報を記載した資料を提出すること。

なお、本業務に従事する全ての要員に関する情報を記載することが困難な場合は、本業務に従事する主要な要員に関する情報を記載するとともに、本業務に従事する部門等における従事者に関する情報(○○国籍の者が△名(又は□％)等)を記載すること。

また、この場合であっても、担当部署からの要求に応じて、可能な限り要員に関する情報を提供すること。

(７)公的な資格や認証等の取得ア 応札者は、品質マネジメントシステムに係る以下のいずれかの条件を満たすこと。

・品質マネジメントシステムの規格である「JIS Q 9001」又は｢ISO9001」(登録活動範囲が情報処理に関するものであること。)の認定を、業務を遂行する組織が有しており、認証が有効であること。

・上記と同等の品質管理手順及び体制が明確化された品質マネジメントシステムを有している事業者であること(管理体制、品質マネジメントシステム運営規程、品質管理手順規定等を提示すること。)。

イ 応札者は、情報セキュリティに係る以下のいずれかの条件を満たすこと。

・情報セキュリティ実施基準である「JIS Q 27001」、「ISO/IEC27001」又は「ISMS」の認証を有しており、認証が有効であること。

・一般財団法人日本情報経済社会推進協会のプライバシーマーク制度の認定を受けているか、又は同等の個人情報保護のマネジメントシステムを確立していること。

・個人情報を扱うシステムのセキュリティ体制が適切であることを第三者機関に認定された事業者であること。

(８)受注実績ア 応札者は、GIS 機能を有する情報システムの設計・開発業務を行った実績を過去３年以内に有すること。

イ 応札者は、防災・減災に係る調査事業、システム構築の実績を過去3年以内に有すること。

ウ 応札者は以下の①又は②のいずれかの条件を満たすこと① クラウドサービスプロバイダーから代理店の認定を受け、かつ Licensing Solution Partner(LSP)の登録を受けていること。

加えて、本案件の関係者が、日本国内のクラウドサービスプロバイダーから日本語で契約や技術に関するサポートを受けられる商流であること。

② 国内企業のディストリビュータ経由でクラウドサービスの再販が可能であること。

エ 応札者は、本システムを導入予定のパブリッククラウドへの移行又は構築を行った実績を過去３年以内に有すること。

(９)入札制限本業務を直接担当する農林水産省ITテクニカルアドバイザー(旧農林水産省CIO補佐官に相当)、農林水産省全体管理組織(ＰＭＯ)支援スタッフ及び農林水産省最高情報セキュリティアドバイザーが、その現に属する事業者及びこの事業者の「財務諸表等の用語、様式及び作成方法に関する規則」(昭和38年大蔵省令第59号)第8条に規定する親会社及び子会社、同一の親会社を持つ会社並びに委託先等緊密な利害関係を有する事業者は、本書に係る業務に関して入札に参加できないものとする。

(10)作業要員に求める資格等の要件受注者は、本業務の業務遂行責任者及び担当者等の役割に応じて次に示す資格・経験を持つ人員を充て、プロジェクト全体として全ての要件を満たす作業実施体制を構築すること。

ア 受注者における遂行責任者は、情報処理技術者試験のうちプロジェクトマネージャ試験の合格者の資格を有すること。

ただし、当該資格保有者等と同等の能力を有することが経歴等において明らかな者については、これを認める場合がある(その根拠を明確に示し、林野庁の理解を得ること。)。

イ チームリーダーは、情報システムの設計・開発又はシステム基盤導入の経験年数を５年以上有すること。

また、その中でリーダクラスとしての経験を１件以上有すること。

ウ 設計・開発に関わるメンバーのうち、情報システムの設計・開発等の情報処理業務の経験年数が５年以上の者又は同等の実績を有する者を２分の１以上配置すること。

エ 設計・開発に関わるメンバーのうち、ArcGISの開発経験を有する者を2名以上配置すること。

オ 設計・開発を行う担当者には、情報処理技術者試験のうち、次に掲げる試験区分の合格者を１名以上必要な人数含むこと。

なお、同一人が全ての試験区分に合格していることを求めるものではない。

① システムアーキテクト試験② データベーススペシャリスト試験③ ネットワークスペシャリスト試験カ 設計・開発を行う担当者には、情報処理安全確保支援士の登録を受けている者又は同等の資格を有する者を含むこと。

キ パブリッククラウドを利用する情報システムの要件定義、設計開発等を担当するチームのチームリーダー及び担当メンバーは以下の資格を有するものを含めること。

① チームリーダーは、パブリッククラウドに係る全ての技術領域において提案予定のクラウドサービスプロバイダーの認定技術者としての上級資格[*1]を有する者を 1 名以上配置すること。

また、管理責任者を変更したときも同様とする。

２ 管理責任者は、この契約の履行に関し、その運営、取締りを行うほか、契約金額の変更、契約期間の変更、契約代金の請求及び受領、業務関係者に関する措置請求並びに契約の解除に係る権限を除き、この契約に基づく乙の一切の権限を行使することができる。

(業務関係者に関する措置請求)第８条 甲は、乙が業務に着手した後に乙の管理責任者又は使用人が業務の履行について著しく不適当であると認められるときは、乙に対して、その理由を明示した書面により、必要な措置をとるべきことを求めることができる。

２ 乙は前項の規定による請求があったときは、当該請求に係わる事項について決定し、その結果を請求を受けた日から10日以内に甲に通知しなければならない。

３ 乙は、監督職員がその職務の執行につき著しく不適当と認められるときは、甲に対して、その理由を明示した書面により、必要な措置をとるべきことを求めることができる。

４ 甲は前項の規定による請求があったときは、当該請求に係る事項について決定し、その結果を請求を受けた日から10日以内に乙に通知しなければならない。

(関連作業等を行う場合)第９条 甲は、乙の業務履行に支障を及ぼすおそれがある作業等を行うときは、あらかじめ乙に通知する。

5(業務内容の変更)第 10条 甲は、必要があるときは、業務内容の変更を乙に通知して、業務内容を変更することができる。

この場合において、甲は、必要があると認められるときは、履行期間若しくは契約金額を変更し、又は乙に損害を及ぼしたときは必要な費用を負担しなければならない。

(履行期間の変更方法)第 11条 履行期間の変更については、甲乙協議して定める。

ただし、協議開始の日から30日以内に協議が整わない場合には、甲が定め、乙に通知する。

２ 前項の協議開始の日については、甲が乙の意見を聴いて定め、乙に通知するものとする。

ただし、甲が履行期間の変更事由が生じた日から10日以内に協議開始の日を通知しない場合には、乙は、協議開始の日を定め、甲に通知することができる。

(契約金額の変更方法等)第 12条 契約金額の変更については、甲乙協議して定める。

ただし、協議開始の日から30日以内に協議が整わない場合には甲が定め、乙に通知する。

２ 前項の協議開始の日については、甲が乙の意見を聴いて定め、乙に通知するものとする。

ただし、甲が契約金額の変更事由が生じた日から10日以内に協議開始の日を通知しない場合には、乙は、協議開始の日を定め、甲に通知することができる。

３ この契約書の規定により、乙が増加費用を必要とした場合又は損害を受けた場合に甲が負担する必要な費用の額については、甲乙協議して定める。

(臨機の措置)第 13条 乙は、業務の履行に当たって事故が発生したとき又は事故が発生するおそれのあるときは、甲の指示を受け、又は甲乙協議して臨機の措置をとらなければならない。

ただし、緊急やむを得ない事情があるときは、乙の判断によって臨機の措置をとらなければならない。

２ 前項の場合においては、乙は、そのとった措置の内容を遅滞なく甲に通知しなければならない。

３ 甲又は監督職員は、事故防止その他業務上特に必要があると認めるときは、乙に対して臨機の措置をとることを請求することができる。

４ 乙が第１項又は前項の規定により臨機の措置をとった場合において、当該措置に要した費用のうち、契約金額の範囲内に含めることが相当でないと認められる部分については、甲がこれを負担する。

(損失負担)第 14条 乙は、業務の実施について甲に損害を与えたときは、直ちに甲に報告し、損害を賠償しなければならない。

２ 乙は、業務の実施について第三者に損害を与えたときは、直ちに甲に報告し、乙の負担において賠償するものとする。

ただし、その損害の発生が甲の責に帰すべき事由によるときにはその限度において甲の負担とする。

３ 乙は、乙の責に帰さない事由による損害については、第１項又は第２項の規定による賠償の責を負わない。

6(検査)第 15条 乙は、業務を完了しその成果品(「成果物」と同義。以下同じ。)を納入しようとする場合(成果品の納入を要しない場合にあっては、業務が終了した場合)は、その旨を甲に通知しなければならない。

２ 甲又は甲が検査を行う者として定めた職員(以下「検査職員」という。)は、前項により業務終了の通知を受けたときは、その日から起算して10日以内に検査を完了し、当該検査の結果を乙に通知しなければならない。

３ 乙又は乙の使用人は、検査に立会い、検査職員の指示に従って、検査に必要な措置を講ずるものとする。

４ 前項の場合において、乙又は乙の使用人が検査に立会わないときは、検査職員は、乙の欠席のまま検査を行うことができるものとする。

この場合において、乙は検査の結果について異議を申し立てることができない。

５ 検査職員は、検査の結果、不合格のものについては、甲は、乙に対して相当の期間を定めて完全な履行を請求し、又は履行に代え若しくは履行とともに損害の賠償を請求することができる。

６ 検査及び納入に要する経費は、すべて乙の負担とする。

(所有権及び危険負担の移転)第 15条の２ 業務成果品(「成果物」と同義。以下同じ。)の所有権は、甲が第16条に定める代金を完済したとき又は第18 条第２項の規定により減額請求した場合において、減額された代金を完済したときに、乙から甲に移転するものとする。

２ 前項の規定により業務成果品の所有権が甲に移転したときに、甲は乙の責めに帰すべからざる事由による業務成果品の滅失、毀損等の責任を負担するものとする。

(契約代金の支払)第 16条 乙は、仕様書に定める全ての業務を完了し、第 15条の検査に合格したときは、所定の手続きにより書面をもって甲に代金支払の請求をするものとする。

２ 甲は、前項の適正な請求書を受理したときは、その日から起算して30日以内(以下「約定期間」という。)に代金を乙に支払わなければならない。

ただし、受理した乙の請求書が不適当なために乙に返送した場合には、甲が返送した日から乙の適正な請求書を受理した日までの日数は、これを約定期間に算入しないものとする。

(部分払)第 16条の 2 乙は、仕様書に定める全ての業務の完了前に、乙が既に業務を完了した部分(以下「既履行部分」という。) に相応する請負代金相当額の10分の９以内の額について、次項から第６項に定めるところにより部分払を請求することができる。

ただし、この請求は当該契約期間内に１回限り行うことができるものとする。

２ 乙は、部分払を請求しようとするときは、あらかじめ、当該請求に係る既履行部分の確認を甲に請求しなければならない。

３ 甲は、前項の場合において、当該請求を受けた日から10日以内に、乙の立会いの上、仕様書に定めるところにより、同項の確認をするための検査を行い、当該確認の結果を乙に通知しなければ7ならない。

４ 前項の場合において、検査に直接要する費用は、乙の負担とする。

５ 乙は、第３項の規定による確認があったときは、部分払を請求することができる。

この場合においては、甲は、当該請求を受けた日から30日以内に部分払金を支払わなければならない。

６ 部分払金の額は、次の式により算定する。

この場合において第１項の請負代金相当額は、甲と乙とが協議して定める。

ただし、甲が第３項前段の通知をした日から10日以内に協議が整わない場合には、甲が定め、乙に通知する。

部分払金の額 ≦ 第１項の請負代金相当額 × ( ９ ／ 10 )(第三者による代理受領)第 17条 乙は、甲の承諾を得て契約代金の全部又は一部の受領につき、第三者を代理人とすることができる。

２ 甲は、前項の規定により乙が第三者を代理人とした場合において、乙の提出する支払請求書に当該第三者が乙の代理人である旨の明記がなされているときは、当該第三者に対して第 16条の規定に基づく支払をしなければならない。

３ 甲が乙の提出する支払請求書に乙の代理人として明記された者に契約代金の全部又は一部を支払ったときは、甲はその責を免れる。

(業務の履行責任)第 18条 納入された成果品が種類、品質又は数量に関して契約の内容に適合しないものであるとき(成果品の納入を要しない場合にあっては、業務が終了した時に業務の目的物が種類又は品質に関して契約の内容に適合しないとき)は(以下「契約不適合」という。)、乙に対し成果品の修補、代替物の引渡し又は不足分の引渡しによる履行の追完を請求し、又は履行の追完に代え若しくは履行の追完とともに損害の賠償を請求することができる。

２ 前項に規定する場合において、甲が相当の期間を定めて履行の追完の催告をし、その期間内に履行の追完がないときは、甲は、その不適合の程度に応じて代金の減額を請求することができる。

この場合において、紛争の処理に要する費用については、甲乙協議して特別の定めをしたものを除き、調停人の選任に係るものは甲乙折半し、その他のものは甲乙それぞれが負担する。

２ 前項の規定にかかわらず、管理責任者の業務の実施に関する紛争、乙の使用人又は乙から業務を委任され、又は請け負った者の業務の実施に関する紛争及び監督職員の業務の執行に関する紛争については、第８条第２項及び第４項の規定により乙が決定を行った後又は甲若しくは乙が決定を行わずに同条第２項及び第４項の期間が経過した後でなければ、甲又は乙は、第１項のあっせん又は調停の手続を請求することができない。

３ 第１項の規定にかかわらず、甲又は乙は、必要があると認めるときは、同項に規定する手続前又は手続中であっても同項の甲乙間の紛争について民事訴訟法(平成8 年法律第109号)に基づく訴えの提起又は民事調停法(昭和26年法律第222号)に基づく調停の申立てを行うことができる。

(補則)第 42条 この契約に定めのない事項については、必要に応じて甲乙協議して定める。

1516別紙請負契約再請負承認申請書番 号年 月 日支出負担行為担当官林野庁長官 殿(請負者)住 所氏 名令和 年 月 日付けで締結した令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務について、下記のとおり再請負したいので、請負契約書第３条の規定により承認されたく申請します。

記１ 再請負先の相手方の住所及び氏名２ 再請負の業務範囲３ 再請負の必要性４ 再請負の金額５ その他必要な事項(注)１ 申請時に再請負先及び再請負の契約金額(限度額を含む。)を特定できない事情があるときは、その理由を記載すること。

なお、再請負の承認後に再請負先及び再請負の金額が決定した場合は、当該事項をこの書式に準じて、その旨報告すること。

２ 再請負の承認後に再請負の相手方、業務の範囲又は契約金額(限度額を含む。)を変更する場合には、あらかじめ甲の承認を受けなければならない。

３ 契約の性質に応じて、適宜、様式を変更して使用すること。

令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務応札資料作成要領・応札資料作成要領・評価項目一覧(提案要求事項)及び採点表・評価手順書令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務応札資料作成要領本書は、令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務の調達に係る応札資料(評価項目一覧(提案要求事項)及び採点表(別紙１)及び提案書)の作成要領を取りまとめたものである。

１ 応札者が提出すべき資料この要領に基づき、応札者は、下表に示す資料を作成し提出する。

資料名称 資 料 内 容誓約書 仕様書に記載されている要件を遵守する旨の誓約書評価項目一覧(提案要求事項)及び採点表(別紙１)発注者が提示する評価項目について提案内容を審査するために用いる一覧表提案書仕様書に記載されている要件をどのように実現するかを説明したもの。

主な項目は以下のとおり○ 実施計画○ 担当者の経験○ 応札者の実績の詳細○ 補足資料等資格審査結果通知書(全省庁統一資格)の写し応札者が参加資格を満たしていることを証明するもの２ 誓約書の作成仕様書に記載されている要件を遵守する旨の誓約書を作成し、発注者に提出すること(様式自由)。

３ 評価項目一覧(提案要求事項)及び採点表(別紙１)の作成評価項目一覧(提案要求事項)及び採点表(別紙１)(以下、「一覧」という。)は、応札者から提出された提案書等における評価項目に係る記述について、本業務の目的・趣旨に沿い、かつ実行可能なものであるか(必須項目として評価)、また、効果的・効率的なものであるか(任意項目として評価)について審査するために用いるものである。

(１)一覧の構成一覧の構成は、下表のとおり。

事 項 概 要 説 明提案要求事項提案を要求する事項。

応札者が提出した提案書について、各提案要求項目の必須項目及び任意項目を区分し、得点配分の定義に従いその内容を評価する。

添付資料応札者が作成した提案の詳細を説明するための資料。

これ自体を、直接評価し、点数を付与することはない。

(２)提案要求事項一覧中の提案要求事項における各項目の説明は下表のとおり。

発注者が作成し提示する一覧にある「提案内容・ポイント」及び「提案書頁番号」欄に以下内容を記載すること。

項目名 項目説明・記載要領 記載者評価項目 事業内容に応じて発注者が定める 発注者評価基準 事業内容に応じて発注者が定める 発注者評価区分 必須項目と任意項目の別 発注者得点配分 各項目における最大得点 発注者提案内容・ポイント応札者が作成する提案書において記載されている提案内容及び特に伝えたい点等を簡潔に記載する。

なお、「提案内容・ポイント」欄に記述が収まらない場合は、最小限の別添表を作成して一覧とともに提出すること。

応札者提案書頁番号 応札者が作成する提案書の該当頁番号を記載すること。

応札者(３)添付資料一覧の添付資料における各項目の説明は下表のとおり。

項目名 項目説明・記載要領 記載者資料項目 事業内容に応じて発注者が定める 発注者資料内容 応札者に提案を要求する資料の内容 発注者提案の要否必ず提案すべき項目(必須)又は必ずしも提案する必要のない項目(任意)の区分評価基準とは異なり、採点対象とはしない。

発注者提案書頁番号 応札者が作成する提案書における該当頁番号を記載すること。

応札者４ 提案書の作成仕様書に記載されている要件をどのように実現するかを説明したもの。

主な項目は以下のとおり。

(１)応札者の概要(ア) 応札者の名称、所在地、代表者氏名、法人番号提案書には応札者の名称、所在地、代表者氏名及び法人番号を明記すること。

また、応札者の概要を紹介するウェブサイトのURLを記載することとし、当該ウェブサイトがない場合には、事業概要のパンフレット等の資料を1部提出すること。

併せて担当者の経験を示すこと。

(イ) 連絡先提案書に関する照会先(所属、連絡担当者、電話番号、FAX番号、電子メール等)を明記すること。

なお、至急の連絡に対応できるよう、夜間、休日の対応についても留意して記載すること。

(２)業務内容調達仕様書及び総合評価項目表(「評価項目」欄及び「評価基準」欄)に沿って作成すること。

また、提案書の記述に当たっては、調達仕様書の記載事項を踏まえて、実績・実例の列挙及び具体的かつ詳細な記述を行うこと。

(３)提案書様式(ア) 使用言語は日本語とする。

(イ) 提案書は、紙媒体で７部提出すること。

原則として用紙はＡ４版カラーにて印刷すること。

ただし、特別に大きな図面等が必要な場合には、Ａ３版にて提案書の中に折り込むこと。

(ウ) 提出物は、電子記憶媒体でも提出すること。

その際のファイル形式はPDF形式とする(これにより難い場合は発注者まで申し出ること。)。

ただし、「評価項目一覧(提案要求事項)及び採点表(別紙１)」はMicrosoft Excel形式で提出すること。

(エ) PDF形式のファイルは、特別な設定を行わずとも、両面印刷した際に応札者が意図したページ配置となるよう、適宜の中表紙、余白ページ等を挿入しておくこと。

余白ページには余白であることがわかるように、その旨記載すること。

(オ) 電子記憶媒体については、ウイルスチェックを行い、ウイルスチェックに関する情報(ウイルス対策ソフト名、定義ファイルのバージョン、チェック年月日等)を記載したラベルを添付すること。

(カ) 電子調達システムにより入札に参加する場合は、システム上で電子ファイルを提出することにより紙資料及び電子記憶媒体の提出を省略することができる。

ただし、システム上で提出できるファイルのサイズは合計で10MBが上限であることから、この上限を超える場合には紙資料及び電子記憶媒体を提出することとし、システム上にはその旨を記載した任意様式のファイルを提出すること。

(４)プレゼンテーション(ア) 応札者は、発注者に対して自らの提案内容の説明を行う。

(イ) 説明に当たっては、農林水産省の会議室等でプレゼンテーションを行うこととし、実際にプレゼンテーションを行う時間は入札締切後に発注者と別途調整する。

(ウ) プレゼンテーションに当たっては、与えられた時間を踏まえ、必要に応じて提案書とは別に要約版資料を用意するなど効率的に実施できるよう工夫する。

(５)提案書作成の留意事項(ア) 提案書を評価する者が特段の専門的知識、商品に関する一切の知識を有しなくても評価が可能な提案書を作成すること。

なお、必要に応じて用語解説などを添付すること。

(イ) 提案に当たって、特定の製品を採用する場合は、当該製品を採用する理由を提案書に記載するとともに、記載内容を証明又は補足するものとしてパンフレット、比較表等を添付すること。

(ウ) 応札者は、提案内容をより具体的・客観的に説明するための資料として添付資料を提案書に含めて提出すること。

なお、添付資料は、提案書本文と区分できるようにすること。

(エ) 発注者から連絡が取れるように、提案書には担当者の氏名及び連絡先(電話番号、メールアドレス)を明記すること。

(オ) 提案書を作成するに当たり質問等がある場合には、別紙の質問状に必要事項を記載の上、令和７年８月１日(金)午後５時までに林野庁国有林野部業務課に提出すること。

(カ) 提案書様式及び留意事項に従った提案書ではないと発注者が判断した場合には、提案書の評価を行わないことがあるので留意すること。

また、補足資料の提出、補足説明等を発注者が追加で求める場合があるので、併せて留意すること。

(キ) 提案書等の提出書類の作成及び提出に係る費用は、応札者の負担とする。

(ク) 提出された提案書等の返却はしない。

また、応札資料は、当該調達のみに使用する。

(ケ) 再委託(委託事業の一部を第三者に委任し、又は請け負わせることをいう。)を予定している場合は、軽微(事務的業務であって再委託する金額が契約金額の50％以下であり、かつ、100万円以下)なものを除き、再委託先の氏名又は名称、再委託の業務範囲、契約金額及び、再委託を行う必要性を明記すること。

ただし、原則として再委託する金額が契約金額の50％を越える場合は、再委託の承認を行わないので留意すること。

別紙質 問 状業務名：令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務社 名住 所ＴＥＬメールアドレス質問者質問に関連する文書名及び頁質問内容応札資料作成要領 別紙1令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務評価項目一覧(提案要求事項)及び採点表合計 基礎点 加点１ 調達案件の概要1調達の背景や目的についての理解度１(2)１(3)本調達の背景として、政府全体の動きとそれを踏まえた農林水産省の目的や狙い、取組の状況について正しく理解した上で、提案に臨んでいるか。

[必須]必須11-2期待する効果に対する理解１(3)１(4)現行の山地災害調査アプリケーションの要件を踏まえた上で、本業務に期待する効果の内容を正しく理解した提案ができているか。

［加点］任意10-103作業スケジュール等１(5)１(6)本業務のマイルストーン、各成果物の納入時期を記載した具体的な作業計画書の案が実施体制図と整合的に提案されているとともに、リスクマネジメントの観点等も取り入れ、作業工程を確実に実行するための工夫・手法が提案されているか。

［必須］必須11-4作業スケジュール等１(5)１(6)本業務のマイルストーンを踏まえたうえで、効率的かつ、リスクの少ない開発手法を採用し、リリースまでの具体的な工程が示されているか。

また、どのような開発プロセスを採用しているか、その理由とともに提示しているか。

[加点]任意10-10得点配分採点結果仕様書該当箇所評価基準 評価項目 No提案書頁番号提案内容・ポイント評価区分応札資料作成要領 別紙1令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務評価項目一覧(提案要求事項)及び採点表合計 基礎点 加点得点配分採点結果仕様書該当箇所評価基準 評価項目 No提案書頁番号提案内容・ポイント評価区分4 業務の実施内容5業務の実施内容についての理解度４業務内容が漏れなく提案されているか。

また、以下の資料を提出し、その提案内容が最適な構成であるかをわかりやすく説明しているか。

［必須］・クラウドサービスプロバイダ・利用するサービス名・利用するライセンス名、ライセンス数・運用・保守にかかる年間の想定費用・パブリッククラウド利用時の情報システム構成図・AWS Pricing Calculator、Azure 料金計算ツール必須11-6 設計全般(１) 4(1)設計時に遵守すべきガイドライン等について適切に理解しているか。

[必須]必須11-7 設計全般(２)4(1)(2)(3)設計について、求めている利用技術を適切に理解して提案しているか。

[加点]任意5-58設計(要件定義書)全体採用予定の技術や製品、それらの採用背景や活用方法について、採点者が大まかな構成・技術要素を確認できる程度に、具体的に提示できている。

(本項目に限り応札資料作成要領(5)(ア)の留意事項を緩和し、一定程度の技術的知見を持つ者を対象とした記述としてよい。

ただし、製品を採用する場合は関連資料を、メジャーではないと考える技術を採用する場合には十分な説明を加えること。

)[必須]必須11-9設計(要件定義書)全体本業務で、現行システムの課題を解決した次期システムとするために有効な手法や採用予定の手法などを、提案者の知見を交えて提案しており、それが本業務の要件に合致しているか。

[加点]任意3-3応札資料作成要領 別紙1令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務評価項目一覧(提案要求事項)及び採点表合計 基礎点 加点得点配分採点結果仕様書該当箇所評価基準 評価項目 No提案書頁番号提案内容・ポイント評価区分10設計(要件定義書)1.6他調達で行う後続の開発について参画する際のオーバーヘッドが大きくならないよう、開発の規約や技術面で具体的な方策が示されているか。

[加点]任意5-511設計(要件定義書)全体要求について、適切に理解して効率よく実装するための具体的な提案となっているか。

[加点]任意10-1012設計(要件定義書)2.1要件定義書の「2. 機能要件定義－2.1. 機能に関する事項－(１) 機能一覧」について、実装範囲を明示して提案しているか。

提案した実装範囲について、合理的且つシステム利用者の利便性向上に資するものが選択されているか。

[加点]任意5-513設計(要件定義書)3.8どの事業者でも運用できるよう、中立性について十分に考慮した提案となっているか。

拡張性や、稼働環境も考慮した内容となっているか。

[加点]任意10-1014設計(要件定義書)3.153.16運用・保守経費の増大を招かないよう、運用の自動化であったり、利用者や発注者が行うべき作業を適切に切り出したり、保守性の高い構成・技術等を提案しているか。

[加点]任意5-515 開発・テスト 4(4)開発・テスト・セキュリティチェックなどが自動化されたモダンな開発体制を提案しているか。

[加点]任意5-516開発・テスト受入テスト支援4(4)(5)受入テスト支援について、エンドユーザーが全国且つ遠方にいることを理解した提案となっているか。

[加点]任意5-517 追加的提案 －仕様書に定める内容以外の事項について、本調達の確実な履行や利用者の利便性等に寄与する具体的かつ効果的な提案がされているか。

［加点］任意20-20応札資料作成要領 別紙1令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務評価項目一覧(提案要求事項)及び採点表合計 基礎点 加点得点配分採点結果仕様書該当箇所評価基準 評価項目 No提案書頁番号提案内容・ポイント評価区分18作業実施の具体性－提案した業務の実施内容について、実現可能且つ具体的なものとなっており、令和８年3月31日までに確実に移行できることが示されているか。

［必須］必須11-19クラウドサービスへの理解１－以下の項目について資料を提出するともに、提案内容が最適な構成であるかを分かりやすく説明しているか。

［必須］ ・クラウドサービスプロバイダ ・利用するサービス名 ・利用するライセンス名、ライセンス数 ・パブリッククラウド利用時の情報システム構成図 ・Azure 料金計算ツール必須11-20クラウドサービスへの理解２－受注者はクラウドネイティブな、アプリケーションを実現するために、サーバレス、コンテナ、マネージドサービスを積極的に提案しているか。

また、マネージドサービスやサーバレスを活用し、クラウドの運用に係る機能を選択しているか。

［加点］任意8-821クラウドサービスへの理解３－受注者はInfrastructure as Codeを使って、システム構築に係る作業の軽減と品質の均一化に取り組んだ提案となっているか。

［加点］任意7-722クラウドサービスへの理解４－受注者は運用設計及び保守設計において、インフラを中心に専任担当者を配置するのではなくMSP(マネージドサービスプロバイダ)等を活用した効果的な提案を行い、運用コストを抑えた内容となっているか。

［加点］任意7-7応札資料作成要領 別紙1令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務評価項目一覧(提案要求事項)及び採点表合計 基礎点 加点得点配分採点結果仕様書該当箇所評価基準 評価項目 No提案書頁番号提案内容・ポイント評価区分5 本業務の実施体制等23 実施体制１５(1)５(2) 本業務の実施体制、役割分担、要員配置計画について具体的かつ的確な提案がされ、他の評価項目で示されている内容が確実に実行できる体制となっているか。

配置予定の技術者は要件に係る資格を保持しており、その証明を提示しているか。

有効期限が定められている資格についてはその有効性を確認できる資料を提示しているか。

［必須］必須11-24 実施体制２５(1)５(2)本業務の実施において、仕様書に定める実施体制を上回る以下の資格を有しているメンバーが配置されているか。

［加点］・ＧＩＳ上級技術者・地理情報標準認定資格任意7-725 実施体制３５(1)５(2) 過去５年以内に、中央省庁(外局含む)が発注したGIS機能を有する情報システムの設計・開発の構築業務に従事した実績を有するメンバーが配置されているか。

［加点］任意10-1026 実施体制４５(1)５(2)現行システムからUI/UXを向上させるために特に必要な体制をとっており、その体制の有効性を示す実績や作例を提示しているか。

［加点］任意5-5応札資料作成要領 別紙1令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務評価項目一覧(提案要求事項)及び採点表合計 基礎点 加点得点配分採点結果仕様書該当箇所評価基準 評価項目 No提案書頁番号提案内容・ポイント評価区分6 作業の実施に当たっての遵守事項27機密保持、資料の取扱い等６(1)６(2)別紙２ Ⅺ本業務おける遵守事項について正しく理解した上で提案に臨んているか。

また、証明資料を提出しているか。

[必須]必須11-8 成果物の取扱いに関する事項28 契約不適合責任 8(2)本業務における契約不適合について理解し、検収完了後の対応について適切に理解しているか。

[必須]必須11-9 入札参加資格に関する事項29公的な資格や認証等の取得9要件に係る証明書類が提示されているか。

[必須]必須11-30公的な資格や認証等の取得－Microsoft コンピテンシーを取得しているか。

[複数取得していたら加点](Cloud Platformは基本、Application DevelopmentとApplication Integrationを取得していた場合に追加の加点とする)任意5-531 受注実績 9(3) 本業務の実施において、類似業務の実績等参考となる事業の受注実績があるか。

またその具体的な類似性を説明する資料を提示しているか。

［必須］必須11-32 受注実績 ８(3) 適切な類似業務の実績が示されておりそれが優れているか。

［加点］任意10-10応札資料作成要領 別紙1令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務評価項目一覧(提案要求事項)及び採点表合計 基礎点 加点得点配分採点結果仕様書該当箇所評価基準 評価項目 No提案書頁番号提案内容・ポイント評価区分その他33ワーク・ライフ・バランス等の推進－ 任意10-10ワーク・ライフ・バランスを推進する企業として、以下((１)～(３))の法令に基づく認定を受けているか(１)女性の職業生活における活躍の推進に関する法律(以下「女性活躍推進法」という。)に基づく認定・プラチナえるぼし１０点 ※１・えるぼし３段階目８点 ※２・えるぼし２段階目６点 ※２・えるぼし１段階目４点 ※２・行動計画２点 ※３※１ 女性活躍推進法第１２条の規定に基づく認定。

※２ 女性活躍推進法第９条の規定に基づく認定。

なお、労働時間等の働き方に係る基準は満たすことが必要。

※３ 常時雇用する労働者の数が１００人以下の事業主に限る(計画期間が満了していない女性活躍推進法第８条の規定に基づく一般事業主行動計画を策定している場合のみ)。

応札資料作成要領 別紙1令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務評価項目一覧(提案要求事項)及び採点表合計 基礎点 加点得点配分採点結果仕様書該当箇所評価基準 評価項目 No提案書頁番号提案内容・ポイント評価区分(３)青少年の雇用の促進等に関する法律に基づく認定・ユースエール認定企業 ８点(４点)※12 (１)～(３)のうち複数の認定等に該当する場合は、最も配点の高い区分による加点を行う。

(２)次世代育成支援対策推進法(以下「次世代法」という。)に基づく認定・プラチナくるみん認定企業 １０点 ※４・くるみん認定企業(令和７年４月１日以後の基準) ８点 ※５・くるみん認定企業(令和４年４月１日～令和７年３月３１日までの基準) ７点 ※６・トライくるみん認定企業(令和７年４月１日以後の基準) ７点 ※７・くるみん認定企業(平成２９年４月１日～令和４年３月３１日までの基準) ６点 ※８・トライくるみん認定企業(令和４年４月１日～令和７年３月３１日までの基準) ５点 ※９・くるみん認定企業(平成２９年３月３１日までの基準) ４点 ※10・行動計画(令和７年４月１日以後の基準) ２点 ※３、※11※４ 次世代法第１５条の２の規定に基づく認定※５ 次世代法第１３条の規定に基づく認定のうち、次世代育成支援対策推進法施行規則の一部を改正する省令(令和６年厚生労働省令第１４６号。以下「令和６年改正省令」という。)による改正後の次世代育成支援対策推進法施行規則(以下「新施行規則」という。)第４条第１項第１号及び第２号に掲げる基準による認定※６ 次世代法第１３条の規定に基づく認定のうち、令和６年改正省令による改正前の次世代育成支援対策推進法施行規則第４条第１項第１号及び第２号又は令和６年改正省令附則第２条第２項の規定によりなお従前の例によることとされた令和６年改正省令による改正前の次世代育成支援対策推進法施行規則第４条第１項第１号及び第２号に掲げる基準による認定(ただし、※８及び※10の認定を除く。)※７ 次世代法第１３条の規定に基づく認定のうち、新施行規則第４条第１項第３号及び第４号に掲げる基準による認定※８ 次世代法第１３条の規定に基づく認定のうち、次世代育成支援対策推進法施行規則の一部を改正する省令(令和３年厚生労働省令第１８５号。以下「令和３年改正省令」という。)による改正前の次世代育成支援対策推進法施行規則第４条又は令和３年改正省令附則第２条第２項の規定によりなお従前の例によることとされた令和３年改正省令による改正前の次世代育成支援対策推進法施行規則第４条に掲げる基準による認定(ただし、※10の認定を除く。)※９ 次世代法第１３条の規定に基づく認定のうち、令和６年改正省令による改正前の次世代育成支援対策推進法施行規則第４条第１項第３号及び第４号又は令和６年改正省令附則第２条第２項の規定によりなお従前の例によることとされた令和６年改正省令による改正前の次世代育成支援対策推進法施行規則第４条第１項第３号及び第４号に掲げる基準による認定※10 次世代法第１３条の規定に基づく認定のうち、次世代育成支援対策推進法施行規則等の一部を改正する省令(平成２９年厚生労働省令第３１号。

以下「平成２９年改正省令」という。

)による改正前の次世代育成支援対策推進法施行規則第４条又は平成２９年改正省令附則第２条第３項に掲げる基準による認定※11 次世代法第１２条の規定に基づく一般事業主行動計画のうち、育児休業、介護休業等育児又は家族介護を行う労働者の福祉に関する法律及び次世代育成支援対策推進法の一部を改正する法律(令和６年法律第４２号)による改正後の次世代法第１２条第５項の規定に基づき令和７年４月１日以後に策定又は変更を行ったもの応札資料作成要領 別紙1令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務評価項目一覧(提案要求事項)及び採点表合計 基礎点 加点得点配分採点結果仕様書該当箇所評価基準 評価項目 No提案書頁番号提案内容・ポイント評価区分34マイナンバーカードの利活用等に関する指標－ 任意6-635賃上げの実施を表明した企業等－ 任意10-1036デジタル・スタートアップー 任意10-10賃上げを実施する企業として、以下の(１)又は(２)の表明をしているか。

(1)大企業に該当する場合は、事業年度(又は暦年)において、対前年度(又は対前年)比で給与等受給者一人当たりの平均受給額を３％以上増加させる旨を従業員に表明していること(2)中小企業等に該当する場合は、事業年度(又は暦年)において、対前年度(又は対前年)比で給与総額を1.5％以上増加させる旨を従業員に表明していることなお、賃上げ対象の事業年度(又は暦年)が以下に該当する場合に加点対象となる。

① 契約を行う予定の会計年度に開始する事業年度② 契約を行う予定の暦年次の要件を全て満たす事業者であること①中小企業基本法(昭和 38 年法律第154 号)第２条第１項に規定する中小企業者 (みなし大企業を除くであること②設立から 10 年未満であること(調達する案件の内容・性質等を踏まえ、設立から 15 年未満とすることも可能)③情報システムに関連した先進技術やアイデアをもって 当該事業に主体的に取り組み、今回の調達を実績として今後事業拡大 することが期待できる事業者であること①電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律(平成14年法律第153号)第17条第1項第4号、5号若しくは6号に該当する事業者であって、同条第4項に規定する取決めを地方公共団体情報システム機構と締結した者又は同法第29条第１項に規定する総務大臣の認定を受けたものとみなされた事業者 認定事業者 ２点 ※１ 上記のうち、複数の規定に該当する場合も、１点とすること。

②官民データ活用推進基本法第10条第2項に規定する電子情報処理組織を使用して入札に参加する事業者であって、公的個人認証法第3条第1項に定める署名用電子証明書又は第22条に定める利用者証明用電子証明書を用いて入札に参加する事業者 電子入札事業者 ４点③上記①及び②のいずれも該当する事業者 ６点応札資料作成要領 別紙1令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務評価項目一覧(提案要求事項)及び採点表合計 基礎点 加点得点配分採点結果仕様書該当箇所評価基準 評価項目 No提案書頁番号提案内容・ポイント評価区分37財務省から「賃上げ基準に達していない者」として通知があった者－ - -12 - -12合計 200 12 188採点 000財務省から「賃上げ基準に達していない者」として通知があった者について、減点始期から１年間、本評価項目の加点割合に20％加算した割合により計算した点数を減点する。

応札資料作成要領 別紙1令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務評価項目一覧(提案要求事項)及び採点表合計 基礎点 加点得点配分採点結果仕様書該当箇所評価基準 評価項目 No提案書頁番号提案内容・ポイント評価区分資料項目提出の要否ワーク・ライフ・バランス等任意マイナンバーカードの利活用任意賃上げの実施を表明した企業等任意デジタル・スタートアップ任意(別添)デジタル・スタートアップとしての要件の 全てを満たす事業者であることの説明書(別添)「賃上げの実施を表明した企業等に対する加点措置について」に基づく「従業員への賃金引上げ計画の表明書」(様式１の１又は１の２)①認定事業者に該当するか、提出された公的個人認証法に基づく大臣認定等の写しにより確認②電子入札事業者に該当するかどうかを確認 (アからウまでの要件を満たしているのか調達担当)が確認を行う。

) ア 政府電子調達システム(GEPS)を利用したか。

イ 技術等提案書にマイナンバーカドの電子署名が付されていることを確認。

ウ 委任方法を確認。

(マイナンバーカドを利用して法人から個へ電子委任する方法(本格運用)と9から始から始まる 11 桁の資格番号払出しを受け、登録行う方法(暫定運用)) ・本格運用の場合：電子的に委任等していることから、 委任状の確認は不要。

・暫定運用の場合：政府電子調達入札システム(GEPS)の操作画面で、事業者情報の代表者氏名が、委任状で委任されている者になっているのか確認。

③上記①及び②のいずれも該当する事業者女性活躍推進等の基準適合認定通知書等(写し可)資料内容評価項目一覧(添付資料)(別添)賃上げの実施を表明した企業等に対する加点措置について１ 趣旨「コロナ克服・新時代開拓のための経済対策」(令和３年11月19日閣議決定)及び「緊急提言～未来を切り拓く「新しい資本主義」とその起動に向けて～」(令和３年11月８日新しい資本主義実現会議)を受けて、政府において賃上げを行う企業から優先的に調達を行うため、令和４年４月１日以降に契約するものから、総合評価落札方式の評価項目に賃上げに関する項目を設け、賃上げの実施を表明した企業等に対して加点措置を行います。

なお、本措置は、以下の通知等に基づき、全省的に取り組むものです。

○「総合評価落札方式における賃上げを実施する企業に対する加点措置について」(令和３年12月17日付け財計第4803号財務大臣通知)○「「総合評価落札方式における賃上げを実施する企業に対する加点措置について」(令和３年12月 17日付け財計第4803号)第２(１)及び(２)に定める率について」(令和３年12月17日付け財計第4804号財務大臣通知)２ 措置の内容(１)国の調達において、応札者が給与等受給者一人当たりの平均受給額を対前年度(又は対前年)(※)に比べ一定の増加率(大企業の場合３％、中小企業等の場合1.5％)以上とする旨を「従業員への賃金引上げ計画の表明書」(様式１の１又は１の２)により表明した場合に加点します。

(２)発注者は、契約の相手方の事業年度等終了後に、契約の相手方が(１)により表明した賃上げが実行されているか確認します。

このため、契約の相手方になった場合には、発注者の指示に従い、「従業員への賃金引上げ実績整理表」(様式２の１又は２の２)及び「法人事業概況説明書」等の提出が必要になります。

(３)(２)の確認の結果、(１)により表明した賃上げが実行されていない場合、本制度の趣旨を意図的に逸脱していると認められる場合又は発注者が指示する資料の提出がない場合は、当該事実判明後、全省庁における総合評価落札方式による調達において、１年間、所定の点数を減点します。

※ 企業の決算期(事業年度又は暦年)により、対前年度又は対前年を判断してください。

(様式１の１) 【大企業用】従業員への賃金引上げ計画の表明書当社は、○年度(令和○年○月○日から令和○年○月○日までの当社事業年度)(又は○年(令和○年１月１日から令和○年12月31日))において、給与等受給者一人当たりの平均受給額を対前年度(又は対前年)増加率３％以上とすることを表明いたします。

年 月 日株式会社○○○○(住所を記載)代表者氏名 ○○ ○○上記の内容について、我々従業員は、○年○月○日に、○○○という方法によって、代表者から説明を受けました。

年 月 日株式会社○○○○従業員代表 氏名 ○○ ○○ 印給与又は経理担当者 氏名 ○○ ○○ 印(留意事項)１ この「従業員への賃金引上げ計画の表明書」は大企業用(様式１の１)と中小企業等用(様式１の２)で異なります。

貴社がどちらに該当するかは、以下により御判断いただき、いずれかの用紙をご利用ください。

大 企 業：中小企業等以外の者をいう。

中小企業：法人税法第66条第２項又は第３項に該当する者をいう。

ただし、同条第５項に該当する者は除く。

２ 貴社の事業年度により賃上げを表明し、契約の相手方となった場合には、貴社が作成する「法人事業概況説明書」を用いて賃上げ実績を確認させていただきますので、発注者の指示に従い、当該書類の写しをご提出いただくことを予めご承知ください。

なお、法人事業概況説明書を作成しない事業者の場合は、税務申告のために作成する類似の書類(事業活動収支計算書)等の賃金支払額を確認できる書類を提出していただきます。

３ 暦年により賃上げを表明し、契約の相手方となった場合には、貴社が作成する「給与所得の源泉徴収票等の法定調書合計表」を用いて賃上げ実績を確認させていただきますので、発注者の指示に従い、当該資料の写しをご提出いただくことを予めご承知ください。

４ 発注者において上記２若しくは３の提出を確認し、貴社が表明書に記載した賃上げを実行していないと認められる場合、本制度の趣旨を意図的に逸脱していると認められる場合又は上記２若しくは３の提出がない場合は、当該事実が判明した以降の総合評価落札方式による入札に参加する場合、技術点又は評価点を減点するものとします。

５ 上記４による減点措置は、減点措置開始日から１年間、総合評価落札方式による入札に参加する場合に実施します。

なお、減点措置の開始時期は、減点事由の判明の時期により異なるため、減点事由を確認した発注者から適宜の方法で通知します。

(様式１の２) 【中小企業等用】従業員への賃金引上げ計画の表明書当社は、○年度(令和○年○月○日から令和○年○月○日までの当社事業年度)(又は○年(令和○年１月１日から令和○年12月31日))において、給与総額を対前年度(又は対前年)増加率1.5％以上とすることを表明いたします。

年 月 日株式会社○○○○(住所を記載)代表者氏名 ○○ ○○上記の内容について、我々従業員は、○年○月○日に、○○○という方法によって、代表者から説明を受けました。

年 月 日株式会社○○○○従業員代表 氏名 ○○ ○○ 印給与又は経理担当者 氏名 ○○ ○○ 印(留意事項)１ この「従業員への賃金引上げ計画の表明書」は大企業用(様式１の１)と中小企業等用(様式１の２)で異なります。

貴社がどちらに該当するかは、以下により御判断いただき、いずれかの用紙をご利用ください。

大 企 業：中小企業等以外の者をいう。

中小企業：法人税法第66条第２項又は第３項に該当する者をいう。

ただし、同条第５項に該当する者は除く。

２ 貴社の事業年度により賃上げを表明し、契約の相手方となった場合には、貴社が作成する「法人事業概況説明書」を用いて賃上げ実績を確認させていただきますので、発注者の指示に従い、当該資料の写しをご提出いただくことを予めご承知ください。

なお、法人事業概況説明書を作成しない事業者の場合は、税務申告のために作成する類似の書類(事業活動収支計算書)等の賃金支払額を確認できる書類を提出していただきます。

３ 暦年により賃上げを表明し、契約の相手方となった場合には、貴社が作成する「給与所得の源泉徴収票等の法定調書合計表」を用いて賃上げ実績を確認させていただきますので、発注者の指示に従い、当該資料の写しをご提出いただくことを予めご承知ください。

４ 発注者において上記２若しくは３の提出を確認し、貴社が表明書に記載した賃上げを実行していないと認められる場合、本制度の趣旨を意図的に逸脱していると認められる場合又は上記２若しくは３の提出がない場合は、当該事実が判明した以降の総合評価落札方式による入札に参加する場合、技術点又は評価点を減点するものとします。

５ 上記４による減点措置は、減点措置開始日から１年間、総合評価落札方式による入札に参加する場合に実施します。

なお、減点措置の開始時期は、減点事由の判明の時期により異なるため、減点事由を確認した発注者から適宜の方法で通知します。

(様式２の１) 【大企業用】従業員への賃金引上げ実績整理表１ 賃上げ実績前年(度)の給与等平均受給額①当年(度)の給与等平均受給額②賃上げ率(②／①－１)×100賃上げ基準達成状況％％達成／未達成２ 使用した書類□ 法人事業概況説明書【算出方法】「「10主要科目」の(労務費＋役員報酬＋従業員給料)」÷「「４期末従業員等の状況」の計欄」で算出した金額を前年度と比較する□ 給与所得の源泉徴収票等の法定調書の合計表【算出方法】「「１給与所得の源泉徴収票合計表」の「支払金額」」÷「人員」で算出した金額を前年と比較する(注)使用した書類の左欄の□に「✓」を付してください。

年 月 日株式会社〇〇〇〇(住所を記載)代表者氏名 〇〇 〇〇(留意事項)前年(度)分と当年(度)分の「法人事業概況説明書」又は「給与所得の源泉徴収票等の法定調書合計表」の写しを添付してください。

(様式２の２) 【中小企業等用】従業員への賃金引上げ実績整理表１ 賃上げ実績前年(度)の給与総額 ①当年(度)の給与総額 ②賃上げ率(②／①－１)×100賃上げ基準達成状況％％達成／未達成２ 使用した書類□ 法人事業概況説明書【算出方法】「「10主要科目」の(労務費＋役員報酬＋従業員給料)」で算出した給与総額を前年度と比較する□ 給与所得の源泉徴収票等の法定調書の合計表【算出方法】「「１給与所得の源泉徴収票合計表」の「支払金額」」で算出した給与総額を前年と比較する(注)使用した書類の左欄の□に「✓」を付してください。

年 月 日株式会社〇〇〇〇(住所を記載)代表者氏名 〇〇 〇〇(留意事項)前年(度)分と当年(度)分の「法人事業概況説明書」又は「給与所得の源泉徴収票等の法定調書合計表」の写しを添付してください。

(別紙１)デジタル・スタートアップとしての要件の全てを満たす事業者であることの説明書令和 年 月 日殿住所商号又は名称代表者氏名令和○年○月○日△△より入札公告のあった入札件名「××」に関し、デジタル・スタートアップとしての要件の全てを満たす事業者であることを、以下のとおり説明します。

①中小企業基本法(昭和38年法律第154号)第２条第１項に規定する中小企業者(みなし大企業を除く)である。

中小企業基本法(昭和38年法律第154号)第２条第１項第＿号に規定する中小企業者である。

資本金：＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿円従業員数：＿＿＿＿＿＿＿＿＿＿＿＿＿＿人②設立から10年未満である。

設立年月日：＿＿＿＿年＿＿月＿＿日 【※１】③情報システムに関連した先進技術やアイデアをもって当該事業に主体的に取り組み、今回の調達を実績として今後事業拡大することが期待できる事業者である。

【注２】【※１】入札公告の日において10年未満であることを証明する資料を併せて提出すること。

【※２】どのような技術をもって当該事業に主体的に取り組もうとしているのか、今回の調達を受注した場合、今後の事業拡大にどのようにつながるのかについて、経営理念や社会課題(政策課題)への取組状況にも触れながら説明すること。

なお、J-startupに選定されている者、SBIR制度の特定新技術補助金等の各省各庁におけるスタートアップ支援の補助金を受けている者、株式会社産業革新投資機構の支援対象事業者又は当該支援対象事業者の出資先事業者等、他の国及び自治体等における事業においてスタートアップと認められている者は、その旨を確認できる資料を提出することにより上記説明を簡素化又は省略することができるものとする。

応札資料作成要領 別紙2評 価 手 順 書本書は、令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務の調達に係る評価手順を取りまとめたものである。

落札方式及び評価の手続は以下のとおり。

１ 落札方式及び得点配分(１)落札方式次の要件を全て満たしている者のうち数値の最も高い者を落札者とする。

○ 入札価格が予定価格の範囲内であること。

○ 「評価項目一覧」に記載される要件のうち必須とされた項目を全て満たしていること。

(２)総合評価点の計算総合評価点 ＝ 技術点 ÷ 入札価格技術点＝基礎点＋加点(３)得点配分技術点に関し、必須項目及び任意項目の配分を12点及び188点とする。

技術点(必須項目)技術点(任意項目)12点188点２ 技術点の加点方法(１)技術点の構成技術点は、基礎点と加点に分かれており、基礎点は評価項目のうちの必須項目、加点は評価項目のうちの任意項目となっている。

(２)基礎点基礎点は、評価項目のうちの必須項目にのみ設定されている。

基礎点は、要件を満たしているか否かを判断するため、満たしていれば満点、満たしていなければ０点のいずれかとなる。

なお、満たしていない項目が一つでもあれば、不合格となる。

(３)加点加点は、評価項目のうちの任意項目に設定されている。

加点は、評価基準に照らしその充足度に応じて点数が付されるため、基礎点と異なり様々な点数となる。

なお、賃上げの実施を表明したものの賃上げを実行していない等により、財務省から「賃上げ基準に達していない者」として通知があった者は、減点対象期間において、所定の点数を減点する３ 評価の手続(１)一次評価まず、以下の事項について評価を行う。

○ 誓約書が提出されているか。

○ 「評価項目一覧(提案要求事項)」で評価区分欄が必須とされている項目に対して提案書頁番号欄に頁番号が記載されているか。

○ 「評価項目一覧(添付資料)」で提案の要否欄が必須とされている項目に対して提案書頁番号欄に頁番号が記載されているか。

(２)二次評価一次評価で合格した提案書に対し、「評価項目一覧(提案要求事項)及び採点表」に記載している評価基準に基づき採点を行う。

なお、複数の評価者のうち１人でも「評価項目一覧」に記載される要件のうち必須とされた項目を満たしていないと判断した場合には、不合格とする。

また、複数の評価者がいる場合の技術点の算出方法は、各評価者の評価結果(点数)を合計し、それを平均して技術点を算出する。

(３)総合評価点の算出上記(２)により算出した技術点を入札価格で除して得た数値をもって、総合評価点を算出する。

令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務調達仕様書林 野 庁2目次１ 調達案件の概要.. 4(１) 調達件名.. 4(２) 調達の背景.. 4(３) 調達目的及び調達の期待する効果.. 4(４) 業務・情報システムの概要.. 5(５) 契約期間.. 8(６) 作業スケジュール.. 8２ 調達案件及び関連調達案件.. 9(１) 調達範囲.. 9(２) 調達案件の一覧.. 9(３) 調達案件間の入札制限.. 10３ 情報システムに求める要件.. 10４ 作業の実施内容.. 10(１) 設計・開発実施計画書等の作成.. 10(２) 要件定義内容の調整・確定.. 10(３) 設計.. 10(４) 開発・テスト.. 13(５) 受入テスト支援.. 13(６) 情報システムの移行.. 13(７) 運用・保守計画及び運用・保守実施要領の作成支援.. 14(８) クラウドサービスを運用保守する場合の前提.. 14(９) クラウドサービスを利用している際のクラウド及びアプリケーションの定常時対応.. 14(１０) 障害発生時対応.. 15(１１) 情報システムの現況確認支援.. 16(１２) クラウドサービスを利用している際の運用・保守作業の改善提案.. 16(１３) 引継ぎ.. 17(１４) 定例会等の実施.. 17(１５) 契約金額内訳及び情報資産管理標準シートの提出.. 18(１６) 成果物の作成.. 19５ 作業の実施体制・方法.. 22(１) 作業実施体制.. 22(２) 作業要員に求める資格等の要件.. 23(３) 作業場所.. 24(４) 作業の管理に関する要領.. 25６ 作業の実施に当たっての遵守事項.. 25(１) 機密保持、資料の取扱い.. 25(２) 個人情報の取扱い.. 26(３) 関係法令の遵守.. 26(４) 環境負荷低減に係る遵守事項.. 27(５) 標準ガイドラインの遵守.. 27(６) その他文書、標準への準拠.. 27(７) 情報システム監査.. 28(８) セキュリティ要件.. 283７ クラウドサービス利用時の情報システムの保護に関する事項.. 29(１) クラウドサービスの利用にフォーカスした情報システムの保護要件.. 29８ 成果物の取扱いに関する事項.. 29(１) 知的財産権の帰属.. 29(２) 契約不適合責任.. 30(３) 検収.. 31９ 入札参加資格に関する事項.. 31(１) 競争参加資格.. 31(２) 公的な資格や認証等の取得.. 32(３) 受注実績等.. 32(４) 複数事業者による共同入札.. 32(５) 入札制限.. 33１０ 再委託に関する事項.. 33(１) 再委託の制限及び再委託を認める場合の条件.. 33(２) 承認手続.. 33(３) 再委託先の契約違反等.. 34１１ その他特記事項.. 34(１) 前提条件等.. 34(２) 入札公告期間中の資料閲覧等.. 34(３) その他.. 35１２ 附属文書.. 35(１) 別紙１ 要件定義書.. 35(２) 別紙２ 情報セキュリティの確保に関する共通基本仕様.. 354１ 調達案件の概要(１) 調達件名令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務(２) 調達の背景林野庁では、農林水産省防災業務計画に基づく「被害状況把握・報告」並びに「被害状況の把握と二次災害の未然防止」に迅速に対応するため、現地等で取得した被害データをオンラインにより共有可能とした山地災害調査アプリケーションをArcGIS onlineを活用して構築し、令和4年度より運用を開始している。

山地災害調査アプリケーションは、オフライン環境下においても GIS 上で現場-事務所間のリアルタイムに写真や位置情報等を共有・管理できるツールであり、現在においては、山地災害の概況把握調査に活用されている。

一方、近年、気候変動に伴う降雨の形態変化により、豪雨記録の相次ぐ更新、線状降水帯の形成による豪雨発生が頻発しており、今後も降水量、流量、洪水発生頻度の急増が近い将来見込まれる状況であり、また、南海トラフ巨大地震の発生リスクが高まっている中において、山地災害のみならず林道・治山施設の被災状況の把握が求められている。

山地災害調査アプリケーションは、上記の特性を活かし施設の被災状況や施設点検調査の際に、写真や点検結果を位置情報とともにGIS上で管理し業務を大幅に効率化できる性能を有しているところであるが、当該性能を活用するため、 施設情報の GIS データ化等に伴うデータ容量増加や要機密情報を扱うためのセキュリティ強化の対応等が必要となっており、ArcGIS onlineで活用している既存システムとの連携を考慮してArcGIS Enterprise活用した次期システムの構築を実施する必要がある。

運用基盤の選定について、2018年6月には、「政府情報システムにおけるクラウドサービスの利用に係る基本方針」が決定(2023年9月29日最終改定)された。

この中で、「クラウド・バイ・デフォルトの原則」が政府方針として出されている。

また、農林水産省では、政府全体の動向や利用者視点に立った、あるべき農林水産行政の姿を踏まえて、令和 4 年 6 月 7 日に閣議決定された「デジタル社会の実現に向けた)重点計画」を受けて、「デジタル社会の形成に向けた農林水産省中長期計画」(令和 4 年 10月５日に農林水産省行政情報化推進委員会決定)を策定した。

情報システムのクラウド化の推進に当たっては、共通基盤となる農林水産省クラウド(以下「MAFF クラウド」という。)を利用することを前提としたパブリッククラウドへの移行を進めることとしている。

MAFFクラウドでは、パブリッククラウドへの移⾏・運⽤に必要な最⼩限の共通機能を提供するとともに、パブリッククラウドへの移⾏・運⽤等の⼀連の⼯程における、PMO によるPJMOへの総合的な⽀援活動を実施する。

なお、総合的な技術支援を行う組織をMAFFクラウドCoEという。

これらの状況を踏まえ、本システムはMAFFクラウドを利用することを前提とする。

(３) 調達目的及び調達の期待する効果5激甚・広域化する自然災害発生に伴い早期の被害状況把握が重要な中、位置情報を付した被害状況のデータ収集や約６万７千箇所ある治山・林道施設の点検などを効率的に実施するため、ArcGIS EnterpriseやMAFFクラウドを活用したシステム構成を実現する。

これにより、これまで職員が現地で施設状況写真撮影し、図面に撮影位置を記入したり、状況を野帳(紙)にメモし、事務所に戻って資料整理を行っていた一連の業務を、当該システムを活用し、効率化・省力化することが期待できる。

また、ArcGIS Enterpriseの高度な拡張性を活かし、将来的に更なる業務効率化の取組も期待できる。

本調達では、次期システムのクラウド化に係る設計・開発業務及び開発後のシステムの試験運用を行うものとする。

また、本業務にパブリッククラウドにおけるクラウドサービスの提供業務も含めることとする。

なお、クラウドサービスの提供に係る費用及び利用料は受注者の負担とする。

また、本業務で必要となる以下のArcGIS Enterpriseのライセンス費用は受注者の負担として、本調達の費用に含めるものとする。

・ArcGIS Enterprise Standard ：１ライセンス・ArcGIS Enterprise professional ユーザータイプ(本庁用) ：１ライセンス・ArcGIS Enterprise Creator ユーザータイプ(森林管理局用) ：２ライセンス(４) 業務・情報システムの概要山地災害調査アプリケーションのクラウド移行及び改修業務改修業務の概要は次のとおりである。

ア MS Azure上にArcGIS Enterprise環境を構築MS Azure上にArcGIS Enterprise環境を構築し、現行のArcGIS onlineで実現しているシステムとのデータ連携を図る。

その際、MAFFクラウドを利用することとする。

※将来的に国有林地理情報高度化システムとのデータ連携を視野にMS Azure上に構築するものイ ArcGIS Enterprise側に施設情報等管理アプリを構築ArcGIS Enterprise側に施設情報等管理アプリを構築し、災害調査カルテ、施設点検カルテ等ArcGIS online側で取得した情報をArcGIS Enterprise側に保管・整理し、また、GIS上で利用するための編集を可能とする。

また、効率的な治山施設点検に資するよう、令和6年度治山技術等推進調査事業でArcGIS online 上に整備している治山台帳情報を施設情報等管理アプリに移行する。

また、本調達においても施設情報等管理アプリに治山台帳情報を整備することとし、整備数は10,000件とする。

ウ 現行の山地災害調査アプリケーション(ArcGIS online)について、令和6年度山地災害調査アプリケーション保守管理業務と同等程度のプログラムの修正とヘルプデスク対応を実施する。

6図 1 山地災害調査アプリケーション(現行：ArcGIS Online)の概要図 2 令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務の概要①スマートフォン等GPS取得による位置情報取得、搭載カメラによる画像取得調査カルテ方式による情報収集タップ式による簡単操作地上調査 ヘリコプター調査ヘリコプター調査結果閲覧林道の地上調査山地災害調査アプリケーション(現行)災害時におけるヘリ調査・地上調査及び治山・林道施設点検を迅速に行えて、現場ー森林管理局署等ー本庁とのリアルタイムな情報共有が可能なアプリケーション。

オフライン環境でも利用可能。

その際、内容について調整すべき事項があれば、担当部署、関係部署と調整の上、結果に基づき要件定義書の修正を行うこと。

要件の調整内容は、担当部署及び関係するステークホルダーに提示し、合意形成を図りつつ進めること。

(３) 設計ア 受注者は、「別紙１ 要件定義書」の機能要件及び非機能要件を満たすための基調達案件名(予定名) 調達方式令和6年度山地災害調査アプリケーション保守管理業務随意契約令和6年度山地災害調査アプリケーション改修業務一般競争入札(最低価格落札方式)令和6年度治山技術等推進調査一般競争入札(総合評価)令和7年度山地災害調査アプリケーション保守管理業務一般競争入札(最低価格落札方式)次期令和６年度(補正予算)山地災害調査アプリケーションのクラウド移行及び改修業務一般競争入札(総合評価)次期令和8年度山地災害調査アプリケーション保守管理業務一般競争入札(最低価格落札方式)2026年度(R8)2026年度(R8)山地災害調査アプリケーションプラットフォーム改革工程表2025年度(R7) 2024年度(R6)2024年度(R6) 2025年度(R7)設計・開発 ﾃｽﾄ等 次期システム用開発▼プラットフォーム利用開始現行システム運用用開発保守管理保守管理保守管理改修改修改修11本設計及び詳細設計を行い、成果物について担当部署の承認を得ること。

なお、基本設計にはリリース方式設計(IaC、インフラテストの自動化、CI/CDパイプライン化等)を必ず含めること。

イ 受注者は、情報システムの移行の方法、環境、ツール、段取り等を記載した移行計画書を作成し、担当部署の承認を得ること。

ウ 受注者は、運用設計及び保守設計を行い、定常時における月次の作業内容、その想定スケジュール、障害発生時における作業内容等を取りまとめた運用計画及び保守作業計画の案を作成し、担当部署の確認を受けること。

エ 受注者は、「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針」の 1.6 クラウドサービスのスマートな利用によるメリット(マネージドサービス活用によるコスト削減、サーバレスによるセキュリティ向上とセキュリティ対策コストの削減、IaCによる構築の3項目)に適合する設計を行うこと。

適合しない設計を行う場合は、合理的な理由の詳細を農林水産省 PMO 及び担当部署に説明し、承認を得た上で適合しない設計を採用すること。

また、設計書等に検討の過程を記載すること。

合理的な理由とは、例えば「IaC による構築(Azure の場合 AzureResource Manager)が対応していないサービスを使用するために、IaC による構築を行わない」等、真にやむを得ない場合を指す。

なお、IaCで構築しても運用役務において、マネージメントコンソールなどを用いた手動変更を行うと IaC にて管理をしていない変更(ドリフト)が発生するため、IaC を用いた運用ができる運用設計ならびに運用体制ついて、検討し導入すること。

オ 受注者は特にインフラの運用設計及び保守設計において、MSP(マネージドサービスプロバイダ)サービス等を活用した設計とすることで運用コストの低減に努めること。

なお、MSPサービスの利用とは、以下の定義のいずれかを指す。

① 受注者が自社でMSPサービスを提供している企業の場合はそれを利用すること。

② 受注者が自社でMSPサービスを提供できない企業は、運用品質の均一化と不要なコストを削減するために外部企業が提供する MSP サービスを利用すること。

カ 受注者は、MAFF クラウドを利用する場合、プロジェクト開始後、速やかにMAFF クラウド CoE にシステム構成案を提出し、レビューを受けること。

またレビューで受けた指摘内容を、運用計画書及び保守計画書の案に反映すること。

キ 受注者は、運用設計及び保守設計においてクラウドサービスの責任共有モデルを理解し、クラウドサービスプロバイダー、運用事業者と保守事業者の責任範囲に重複がないように役割分担を定義すること。

ク 受注者は、運用計画書及び保守計画書の案を作成した結果を踏まえ、設定についてはパラメーターシートを作成し、担当部署に提出すること。

12ケ 本システムの管理者及び関係者が速やかに状況を把握できるよう、クラウドの機能を用いて定量的に計測すること。

また、ダッシュボードにより、可視化された仕組みが自動で提供される仕組みを構築すること。

コ 受注者は、設計に際し現行システムで採用しているソフトウェア製品を引き続き採用しようとする場合には、設計した構成がソフトウェア製品のライセンスの許諾条件に合致するか否かの確認を行い、担当部署の承認を受けること。

サ 受注者は、設計に際し現行システムで採用しているミドルウェアを最新版にアップデートしたうえでの継続利用を提案することができる。

ただし、設計した構成がソフトウェア製品のライセンスの許諾条件に合致するか否かの確認を行い、担当部署が継続利用を検討するために、継続利用する場合のリスクや、システム全体のライフサイクルコストを正確に見積もった資料を提示し、担当部署の許可を得なければならない。

現行システムで利用しているミドルウェアについては、要件定義書3.12 ②ソフトウェア構成を確認すること。

シ 受注者は、サポート期限が本契約期間内に終了するソフトウェアの利用を提案する場合は、後続のソフトウェアの調達及びバージョンアップ作業も本契約の業務として行うこと。

ス 受注者は、クラウドサービス事業者との契約について、第三者にクラウド環境及び契約を引き継ぐことが可能なサービスを選定し、第三者にクラウド環境を引き継ぐことが可能な契約を行うこと。

セ 農林水産省は、デジタル庁が整備する「ガバメントソリューションサービス」(以下「GSS」という。)を利用している。

受注者は、設計、構築にあたり、GSS や農林水産省に申請が必要な場合は、定められた様式で申請書等を作成し提出すること。

なお、GSSのDNSに設定を行う場合は、デジタル庁GSS担当が定めたDNS設定規則を担当部署から受領して、その内容に基づいて申請書を作成し、担当部署を通じて申請すること。

ソ 受注者は、農林水産省クラウド利用ガイドライン別紙 1_共通機能_利用申請書を作成し、担当部署とMAFF クラウド CoEの承認を受けること。

プロジェクト期間中に利用申請書の内容が変更になった場合は、更新内容について、担当部署と MAFF クラウドCoEへ説明し、承認を受けること。

タ 受注者は、インベントリ情報を収集するため、設定作業(Azure：インベントリ収集用Log Analyticsの作成、仮想マシンとAzure Automationの設定)を実施すること。

※インベントリ情報とは、情報システムの資産の一覧を指す。

一覧には CPU の型番やメモリの容量、IP アドレスや設定情報、OS やソフトウェア情報、資産のある場所といった情報。

チ 受注者は、パブリッククラウドを利用する場合は、ガバメント・クラウドのリファレンスアーキテクチャーを参照し、準拠したアーキテクチャーをデザインすること。

なお、リ13ファレンスアーキテクチャーに完全適合することで、効率性が失われる場合には、各ブロックに完全適合する必要はないが、その理由をPJMOに説明すること(４) 開発・テストア 受注者は、開発に当たり、アプリケーションプログラムの開発又は保守を効率的に実施するため、プログラミング等のルールを定めた開発標準(標準コーディング規約、セキュアコーディング規約、データやデータ項目の命名規約等)を定め、担当部署の確認を受けること。

イ 受注者は、開発に当たり、情報セキュリティ確保のためのルール遵守や成果物の確認方法(例えば、標準コーディング規約遵守の確認、ソースコードの検査、現場での抜き打ち調査等についての実施主体、手順、方法等)を定め、担当部署の確認を受けること。

ウ 受注者は、単体テスト、結合テスト及び総合テストについて、テスト体制、テスト環境、作業内容、作業スケジュール、テストシナリオ、合否判定基準等を記載したテスト計画書を作成し、担当部署の承認を得ること。

エ 受注者は、設計工程の成果物及びテスト計画書に基づき、アプリケーションプログラムの開発、テストを行うこと。

オ 受注者は、テスト計画書に基づき、各テストの実施状況と実施結果について担当部署に報告すること。

その際、セキュリティ関連のテストの実施結果が確認できるようにすること。

カ 受注者は、本調達にて開発したプログラム一式を成果物として提出すること。

(５) 受入テスト支援ア 受注者は、担当部署が受入テストのテスト計画書を作成するに当たり、情報提供等の支援を行うこと。

イ 受注者は、担当部署が受入テストを実施するに当たり、環境整備、運用等の支援を行うこと。

ウ 受注者は、担当部署の指示に基づき、担当部署以外の情報システム利用者のテスト実施も含めて、テスト計画書作成の支援を行うこと。

(６) 情報システムの移行ア 受注者は、担当部署の移行判定を受けて、移行計画書に基づく移行作業を行うこと。

イ 受注者は、データ移行に当たり、新規情報システムのデータ構造を明示し、保有・管理するデータの変換、移行要領の策定、例外データ等の処理方法等に関する手順書を作成し、担当部署の承認を得ること。

ウ 受注者は、上記手順書に従い、データを変換・移行した後は、移行後のデータだけでなく、例外データ等についても確認を行い、データの信頼性の確保を図ること。

14(７) 運用・保守計画及び運用・保守実施要領の作成支援受注者は、担当部署が運用・保守計画及び運用・保守実施要領を作成するに当たり、具体的な作業内容や実施時間、実施サイクル等に関する資料作成等の支援を行うこと。

なお、運用・保守計画及び運用・保守実施要領の記載内容は、デジタル・ガバメント推進標準ガイドライン「第９章 運用及び保守」で定義されている事項を踏まえたものとする。

(８) クラウドサービスを運用保守する場合の前提ア 受注者は、構成管理及びパッチの適用について自動化すること。

なお、自動化とは、対象を選定し、タイミングをコントロールして適用することをいう。

イ 受注者は、原則、メンテナンスの際に踏み台サーバを独自で構築せず、クラウドサービスプロバイダーのサービス(Azureの場合、Azure Bastion )を利用すること。

ウ 受注者は、ソフトウェアの情報をクラウドサービスの機能(Azure の場合 AzureAutomationの Inventory) を利用して自動取得すること。

(９) クラウドサービスを利用している際のクラウド及びアプリケーションの定常時対応ア 受注者は、「別紙１ 要件定義書」の運用・保守要件に示す定常時運用業務(システム操作、運転管理・監視、稼動状況監視、サービスデスク提供、定期点検、不具合受付等)を行うこと。

具体的な実施内容・手順は担当部署が定める運用・保守計画に基づいて行うこと。

イ 受注者は、運用・保守計画及び運用・保守実施要領に基づき、運用業務の内容や工数などの作業実績状況、サービスレベルの達成状況、情報システムの構成と運転状況(情報セキュリティ監視状況、情報システムのぜい弱性への対応状況を含む。)、情報システムの利用者サポート、教育・訓練状況、リスク・課題の把握・対応状況について月次で運用・保守作業報告書を取りまとめること。

ウ 受注者は、ソフトウェア製品の保守の実施において、ソフトウェア製品の構成に変更が生じる場合には、担当部署にその旨を報告し、変更後の環境がライセンスの許諾条件に合致するか否かの確認を受けること。

また、自動取得したソフトウェアの情報を把握し、担当部署の求めに応じて最新の構成情報の出力結果を提出すること。

エ ソフトウェアにセキュリティのぜい弱性が見つかった場合は、対応策について計画し、承認を得た上で対応すること。

オ 受注者は、パッチの自動適用を用いて、検証環境や品質保証環境などを用いてパッチベースラインを検証し、その後に本番環境にパッチを適用するなど、パッチのリリース管理を行うこと。

なお、パッチ適用に起因する不具合が出た際に行う切り戻しやアプリケーション修正などの対応を予め計画すること。

カ 受注者は、保守作業でプログラムの修正を行った場合、設計書等の更新を行い、テストを行った上で本番環境へ適用すること。

改修の際に作成、更新した資料は、担当部署へ提出すること。

15キ セキュリティ管理として、(Azureの場合Azure policy)が発報したセキュリティアラートについて、対応ならびに無効化／抑制を検討するものとする。

なお、新たなルールの追加について、迅速に対応するものとする。

ク 受注者は、月間の運用・保守実績を評価し、達成状況が目標に満たない場合はその要因の分析を行うとともに、達成状況の改善に向けた対応策を提案すること。

ケ 受注者は、運用・保守作業報告書の内容について、月例の定期運用・保守会議に出席し、その内容を報告すること。

コ 受注者は、担当部署が、情報システム運用継続計画を作成又は更新するにあたり、情報提供等の支援を行うこと。

サ 受注者は、インフラの設定変更があった場合は設計書等の更新版(パラメータシート含む)を、担当部署に提出すること。

シ 受注者は、農林水産省クラウド利用ガイドライン別紙 1_共通機能_利用申請書の内容(システム構成を含む)に変更がある場合、資料を更新し、担当部署と MAFF クラウドCoEの確認を受けること。

ス 受注者は、インベントリ情報を収集するため、設定作業(Azure の場合、インベントリ収集用Log Analyticsの作成、仮想マシンとAzure Automationの設定)を実施すること。

なお、インベントリ収集機能はコンテナの構成管理に対応していないため、コンテナを利用しているシステムは、MAFF クラウド利用ガイドラインの記載を参考に、脆弱性対策を実施すること。

(１０) 障害発生時対応ア 受注者は、情報システムの障害発生時(又は発生が見込まれる時)には、速やかに担当部署に報告するとともに、その緊急度及び影響度を判断の上、「別紙１ 要件定義書」の運用要件に示す障害発生時運用業務(障害検知、障害発生箇所の切り分け、関係する事業者への連絡、復旧確認、報告等)及び、「別紙１ 要件定義書」の保守要件に示す障害発生時保守作業(原因調査、応急措置、報告等)を行うこと。

イ 障害には、情報セキュリティインシデントを含めるものとする。

具体的な実施内容・手順は担当部署が定める運用・保守計画及び運用・保守実施要領に基づいて行うこと。

ウ 受注者は、情報システムの障害に関して事象の分析(発生原因、影響度、過去の発生実績、再発可能性等)を行い、同様の事象が将来にわたって発生する可能性がある場合には、恒久的な対応策を提案すること。

エ 受注者は、災害等の発生時には、担当部署の指示を受けて、情報システム運用継続計画に基づく運用業務を実施すること。

なお、災害等の発生に備え、最低年 1 回は事前訓練を実施すること。

16(１１) 情報システムの現況確認支援ア 受注者は、年１回、担当部署の指示に基づき、情報資産管理データと情報システムの現況との突合・確認(以下「現況確認」という。)を支援すること。

なお、MAFF クラウドを利用している場合、MAFF クラウドから提供されるインベントリ情報を活用することで、現況との突合確認は省略することも可とするが、インベントリ情報から収集できない製品が含まれる場合は、当該製品の構成情報の取得を行うこと。

イ 受注者は、現況確認の結果、情報資産管理データと情報システムの現況との間の差異がみられる場合は、運用実施要領に定める変更管理方法に従い、差異を解消すること。

ウ 受注者は、現況確認の結果、ライセンス許諾条件に合致しない状況が認められる場合は、当該条件への適合可否、条件等を調査の上担当部署に報告すること。

エ 受注者は、現況確認の結果、サポート切れのソフトウェア製品の使用が明らかとなった場合は、当該製品の更新の可否、更新した場合の影響の有無等を調査の上担当部署に報告すること。

(１２) クラウドサービスを利用している際の運用・保守作業の改善提案ア 受注者は、年度末までに年間の運用・保守実績を取りまとめるとともに、必要に応じて運用・保守計画、運用・保守実施要領に対する改善提案を行うこと。

なお、上記の改善提案に当たっては、パブリッククラウドの運用体制において、マネージドサービスプロバイダーが提供している共有型のクラウド運用・保守サービスの活用についても検討し整理することとする。

検討した結果、MSP サービスの活用を運用・保守計画に組み込めた場合は、実際にサービス等の活用を開始すること。

イ 上記の改善提案に当たっては、クラウドサービスプロバイダーが提供する ベストプラクティス準拠状況を定期的に調査Azure の場合、Azure Advisor)し、検出項目の対応可否を検討し、担当部署の承認の上、対応すること。

ウ クラウド構成のベストプラクティス(Azure の場合、Microsoft Azure Well-ArchitectedFramework(信頼性・オペレーショナル エクセレンス))を活用し、年に 1 度システムが適切に運用されているかチェックし、次年度の改善点を整理すること。

エ 受注者は、クラウドサービスの利用実績について、利用明細書の写し及び月額の運用サービスの費用実績(MSPサービスを利用した場合)を一覧表にとりまとめ、年度末に担当部署に提出すること。

また、MSP サービスを利用した場合等の運用サービスの共通化の効果を定量で説明すること。

オ 受注者は、担当部署の求めに応じ、クラウドサービスを含めた情報システムの構成を適切に見直すための資料(AWS Cost Explorer、AWS Trusted Advisor、AWS CUR、Azure Cost Management等の出力結果)を提出すること。

カ 運用サービスの共通化とは、以下の取組とする。

17① 受注者が自社でMSPサービスを提供している企業の場合はそれを利用すること。

② 受注者が自社で MSP サービスを提供していない企業は、運用品質の均一化と不要なコストを削減するためにi) 外部企業が提供するMSPサービスを利用すること、又はii) 複数の運用案件を受注することで、自社内で運用サービス(サービスデスク、監視サービス等)のShared service(シェアードサービス)に取り組み、費用を逓減すること。

キ クラウド利用料について、提出した実績を踏まえ、当該年度の３月末までに次年度の利用内容及び契約予定額を担当部署と協議する。

また、クラウド利用料等の実績より、クラウドサービスの稼働状況やコストの遷移から、見積の作成、不要リソースの削除検討を行うものとする。

ク 改善提案を作成したら担当部署ならびにPMO／MAFFクラウドCoEに報告すること。

(１３) 引継ぎア 受注者は、設計・開発の設計書、作業経緯、残存課題等を文書化し、運用事業者及び保守事業者に対して確実な引継ぎを行うこと。

イ 受注者は、他の運用事業者が本情報システムの運用を受注した場合には、次期運用事業者に対し、作業経緯、残存課題等についての引継ぎを行うこと。

ウ 受注者は、次年度の山地災害調査アプリケーション保守管理業務事業者に対し、システムの運用等を行うクラウド環境を原則としてそのまま引継ぐこと。

そのため、引継ぎに際しては、必要に応じて次年度の山地災害調査アプリケーション保守管理業務事業者との間で書面による契約等を行い、管理者権限の引き渡し等、クラウド環境の引継ぎを適切に行うこと。

なお、利用するクラウドサービスによっては、クラウドサービスプロバイダーとの契約についても、あらかじめ、第三者にクラウド環境を引き継ぐことが可能な形としておく必要があるため、利用するクラウドサービスを選定する際には、クラウド環境の引継ぎに遺漏がないよう、クラウドサービスプロバイダーとの契約内容や引継ぎ手順等を引継書として纏めておくこと。

(１４) 定例会等の実施ア 受注者は、定例会を毎月開催するとともに、業務の進捗状況を作業実施要領に基づき報告すること。

イ 担当部署から要請があった場合、又は、受注者が必要と判断した場合、必要資料を作成の上、定例会とは別に会議を開催すること。

ウ 受注者は、会議終了後、3 日以内(行政機関の休日(行政機関の休日に関する法律(昭和 63 年法律第 91 号)第１条第１項各号に掲げる日をいう。

)を除く。

)に議事録を作成し、担当部署の承認を得ること。

18(１５) 契約金額内訳及び情報資産管理標準シートの提出ア 受注者は、標準ガイドライン「別紙２ 情報システムの経費区分」に基づき区分等した契約金額の内訳が記載されたエクセルの電子データを契約締結後速やかに提出すること。

なお、人件費については人件費単価ごとに工数を提示すること。

再委託先がある場合は再委託先の法人番号と再委託金額を提示すること。

最大何次請負、再委託総額、累計契約額(前年度まで)、年度契約金額を提示すること。

イ 受注者は、農林水産省が定める時期に、情報資産管理標準シートを提出すること。

ウ 受注者は、標準ガイドライン「別紙３ 調達仕様書に盛り込むべき情報資産管理標準シートの提出等に関する作業」に基づき担当部署から情報資産管理標準シートの作成を依頼された場合、次に掲げる事項について記載した様式について、担当部署が定める時期に、提出すること。

(ア) ハードウェアの管理情報システムを構成するハードウェアの製品名、型番、ハードウェア分類、契約形態、保守期限等(イ) ソフトウェアの管理情報システムを構成するソフトウェア製品の名称(エディションを含む。)、バージョン、ソフトウェア分類、契約形態、ライセンス形態、サポート期限等(ウ) 回線の管理情報システムを構成する回線の回線種別、回線サービス名、事業者名、使用期間、ネットワーク帯域等(エ) 外部サービスの管理情報システムを構成するクラウドコンピューティングサービス等の外部サービスの外部サービス利用形態、使用期間等(オ) 施設の管理情報システムを構成するハードウェア等が設置され、又は情報システムの運用業務等に用いる区域を有する施設の施設形態、所在地、耐久性、ラック数、各区域に関する情報等(カ) 公開ドメインの管理情報システムが利用する公開ドメインの名称、ＤＮＳ名、有効期限等(キ) 取扱情報の管理情報システムが取り扱う情報について、データ・マスタ名、個人情報の有無、格付等(ク) 情報セキュリティ要件の管理情報システムの情報セキュリティ要件(ケ) 指標の管理19情報システムの運用及び保守の間、把握すべきＫＰＩ名、ＫＰＩの分類、計画値等の案(コ) 各データの変更管理情報システムの運用及び保守において、上記各項目についてその内容に変更が生じる作業をしたときは、当該変更を行った項目(サ) 作業実績等の管理情報システムの運用及び保守中に取りまとめた作業実績、リスク、課題及び障害事由(シ) スケジュールや工数の管理スケジュールや工数等の計画値及び実績値(１６) 成果物の作成ア 成果物名本業務の成果物を以下に示す。

表 ２ 成果物一覧No. 成果物名 内容及び納品数量納品期日1 設計・開発実施計画書 １ 契約提携後10日以内、次工程移行前2 設計・開発実施要領 １ 〃3 設計・開発実施要領に基づく管理資料 １ 〃4 開発標準(標準コーディング規約等) １ 履行期限内5 設計書 １ 〃6 ソースコード一式 １ 〃7 ノンプログラミングによる画面生成等プロトタイピング用のツール等を使用する場合、設計書やソースコード一式の生成等に使用される設定情報その他の必要な情報一式１ 〃8 実行プログラム一式 １ 〃9 外部サービスを利用する場合、当該サービスに係る設定情報その他の必要な情報一式１ 〃10 テスト計画書 １ 次工程移行前11 テスト仕様書 １ 次工程移行前12 単体テスト結果報告書 １ 履行期限内13 結合テスト結果報告書 １ 履行期限内20No. 成果物名 内容及び納品数量納品期日14 総合テスト結果報告書 １ 〃15 脆弱性検査結果報告書 １ 〃16 テストデータ １ 〃17 移行計画書 １ 次工程移行前18 移行結果報告書 １ 履行期限内19 操作手順書(一般利用者向け及び情報システム管理者向け)１ 〃20 研修用資料 １ 研修実施前21 要件定義書の改定案 １ 履行期限内22 契約金額内訳 １ 契約締結後5日以内23 情報資産管理標準シート １ 〃24 情報セキュリティ管理計画書 １ 策定時25 運用・保守計画書及び運用・保守実施要領の案1 試験運用前26 運用・保守報告書 1 履行期限内27 障害報告書 1 履行期限内28 引継ぎ資料 １ 履行期限内29 農林水産省クラウド利用ガイドライン別紙1_共通機能_利用申請書・システム構成図・IaCで構築した際に作成された定義ファイル(Azure Resource Manager)・パッチ適用設定ファイル(Azure AutomationUpdate Management)※サーバレス構成の場合は、クラウドのセキュリティ実施対応状況(例 AWSの場合、ECRスキャンの結果、Fargeteのプラットフォームバージョン等 、Azureの場合、Defender CSPMまたはDefender for Containersによるコンテナスキャン結果等、システム構成に合わせて必要なファイルを納品すること。)１ 次工程移行前30 クラウドサービスの利用実績 １ 履行期限内21No. 成果物名 内容及び納品数量納品期日31 クラウドサービスの機能を利用したソフトウェア情報等の出力結果(コンテナ環境の場合は除く)及びパラメータシート１ 履行期限内32 クラウド環境一式(管理者権限等のアカウント情報を含むこと。なお、アカウント情報については、必要な情報を記載した「アカウント情報一覧」を準備した上で、担当部署が指定する方法で納品すること。)１ 履行期限内イ 成果物の納品方法・ 成果物は、全て日本語で作成すること。

ただし、日本国内においても英字で表記されることが一般的な文言については、そのまま記載しても構わないものとする。

・ 用字・用語・記述符号の表記については、「公用文作成の考え方(令和4年1月11日内閣官房長官通知)」を参考にすること。

・ 情報処理に関する用語の表記については、日本産業規格(JIS)の規定を参考にすること。

・ 作成した成果物は担当部署が指定したサーバへ納品(例：PrimeDrive又はSharePoint 等)すること。

なお、納品の際は、検収が終了したファイル一式を時点がわかるような形式(例：zip 等)で提出すること。

・ サーバ納品について、Microsoft Office又はPDFのファイル形式で作成すること。

・ 納品後、林野庁において改変が可能となるよう、図表等の元データも併せて納品すること。

・ 成果物の作成に当たって、特別なツールを使用する場合は、担当職員の承認を得ること。

・ 成果物が外部に不正に使用されたり、納品過程において改ざんされたりすることのないよう、安全な納品方法を提案し、成果物の情報セキュリティの確保に留意すること。

・ 不正プログラム対策ソフトウェアによる確認を行うなどして、成果物に不正プログラムが混入することのないよう、適切に対処すること。

・ 成果物については、設計・開発実施計画書で計画した時期に担当部署の承認を得ること。

ウ 成果物の納品場所原則として、成果物は次の場所において引渡しを行うこと。

ただし、林野庁担当者が納22品場所を別途指示する場合はこの限りではない。

〒100－8952東京都千代田区霞が関1-2-1林野庁国有林野部業務課５ 作業の実施体制・方法(１) 作業実施体制本業務の推進体制及び本業務受注者に求める作業実施体制は次の図及び表のとおりである。

なお、受注者内の人員構成については想定であり、受注者決定後に協議の上、見直しを行う。

また、受注者の情報セキュリティ対策の管理体制については、作業実施体制とは別に作成すること。

図 ７ 本業務の推進体制及び本業務受注者に求める作業実施体制表 ３ 本業務における組織等の役割組織等 本業務における役割PJMO(担当部署) 林野庁国有林野部業務課山地災害調査アプリケーションの管理組織として、本業務の進捗等を管理する。

本業務受注者 本業務を実施する。

令和7年度山地災害調査アプリケーション保守管理業務の受注者担当部署を通じて、現行システムの情報提供に係る支援を行う。

PMO 農林水産省の全体管理組織。

クラウド利用を含む情報システムに関する担当部署からの問い合わせを受け、対応、助言・指導等を 本業務受注者山地災害調査アプリケーション関係者・関連事業者PMOMAFFクラウドCoE広報評価情報管理室連絡・相談林野庁(情報システム利用者)PJMO国有林野部業務課業務遂行責任者 品質管理者情報管理責任者業務担当者チームリーダー令和7年度山地災害調査アプリケーション保守管理業務の受注者23組織等 本業務における役割行う。

MAFFクラウドCoE 担当部署・受注者に対してパブリッククラウド全般及びMAFFクラウド利用に係る技術的な支援を行う。

表 ４ 本業務受注者に求める作業実施体制の役割組織等 本業務における役割業務遂行責任者  本業務全体を統括し、必要な意思決定を行う。

また、各関連する組織・部門とのコミュニケーション窓口を担う。

 原則として全ての進捗会議及び品質評価会議に出席する。

チームリーダ 本業務に関する設計・開発において作業状況の監視・監督を担うとともに、チーム間の調整を図る。

品質管理者 本業務全体において所定の品質を確保するため、監視・管理を担う。

情報管理責任者 本業務の情報取扱い全てに関する監督を担う。

業務担当者 本業務の実務を担当ｓる。

(２) 作業要員に求める資格等の要件調達する作業内容 資格等 1 ＩＴスキル標準 2における職種設計・開発 ・ 情報処理技術者試験－プロジェクトマネージャ試験－システムアーキテクト試験－ネットワークスペシャリスト試験－データベーススペシャリスト試験・ 情報処理安全確保支援士・ プロジェクトマネジメント・ ＩＴスペシャリスト・ アプリケーションスペシャリスト・ ソフトウェアディベロップメント受注者は、本業務の遂行責任者及び担当者等の役割に応じて次に示すスキル・経験を持つ人員を充て、プロジェクト全体として全ての要件を満たす作業実施体制とすること。

ア 受注者における遂行責任者は、情報処理技術者試験のうちプロジェクトマネージャ試験の合格者の資格を有すること。

ただし、当該資格保有者等と同等の能力を有することが経歴等において明らかな者については、これを認める場合がある(その根拠を明確に示し、林野庁の理解を得ること。)。

イ チームリーダは、情報システムの設計・開発又はシステム基盤導入の経験年数を５年以上有すること。

また、その中でリーダクラスとしての経験を１件以上有すること。

ウ 設計・開発に関わるメンバのうち、情報システムの設計・開発等の情報処理業務の24経験年数が５年以上の者又は同等の実績を有する者を２分の１以上配置すること。

エ 設計・開発に関わるメンバのうち、ArcGIS の開発経験を有する者を 2 名以上配置すること。

オ 設計・開発を行う担当者には、情報処理技術者試験のうち、次に掲げる試験区分の合格者を１名以上必要な人数含むこと。

なお、同一人が全ての試験区分に合格していることを求めるものではない。

(ア) システムアーキテクト試験(イ) データベーススペシャリスト試験(ウ) ネットワークスペシャリスト試験カ 設計・開発を行う担当者には、情報処理安全確保支援士の登録を受けている者又は同等の資格を有する者を含むこと。

キ パブリッククラウドを利用する情報システムの要件定義、設計開発等を担当するチームのチームリーダー及び担当メンバーは以下の資格を有するものを含めること。

① チームリーダーは、パブリッククラウドに係る全ての技術領域において提案予定のクラウドサービスプロバイダーの認定技術者としての上級資格[*1]を有する者を 1 名以上配置すること。

なお、チームリーダーの資格は全体リーダーまたはパブリッククラウド上での情報システム構築期間中に専任でチームリーダーを支援する要員が保有していることでも可とする。

ただし、成果物に第三者の権利が帰属するときや、複製等により林野庁がその業務を遂行する上で支障が生じるおそれがある旨を契約締結時までに通知したときは、この限りでないものとし、この場合には、複製等ができる範囲やその方法等について協議するものとする。

エ 納品される成果物に第三者が権利を有する著作物(以下「既存著作物等」という。)が含まれる場合には、受注者は、当該既存著作物等の使用に必要な費用の負担及び使用許諾契約等に関わる一切の手続を行うこと。

この場合、本業務の受注者は、当該既存著作物の内容について事前に林野庁の承認を得ることとし、林野庁は、既存著作物等について当該許諾条件の範囲で使用するものとする。

なお、本仕様に基づく作業に関し、第三者との間に著作権に係る権利侵害の紛争の原因が専ら林野庁の責めに帰す場合を除き、受注者の責任及び負担において一切を処理すること。

この場合、林野庁は係る紛争等の事実を知ったときは、受注者に通知し、必要な範囲で訴訟上の防衛を受注者に委ねる等の協力措置を講じるものとする。

オ 本調達に係る成果物の権利(著作権法第 21 条から第 28 条に定める全ての権利を含む。)及び所有権は、検収に合格した成果物の引渡しを受けたとき受注者から林野庁に移転するものとする。

カ 受注者は林野庁に対し、一切の著作者人格権を行使しないものとし、また、第三者をして行使させないものとする。

キ 受注者は使用する画像、デザイン、表現等に関して他者の著作権を侵害する行為に十分配慮し、これを行わないこと。

(２) 契約不適合責任ア 林野庁は検収(「検査」と同義。以下同じ。)完了後、成果物についてシステム仕様書との不一致(バグも含む。以下「契約不適合」という。)が発見された場合、受注者に対して当該契約不適合の修正等の履行の追完(以下「追完」という。)を請求することができ、受注者は、当該追完を行うものとすること。

ただし、林野庁が追完の方法についても請求した場合であって、林野庁に不相当な負担を課するものでないときは、受注者は林野庁が請求した方法と異なる方法による追完を行うことができること。

イ 前記アの場合において、追完の請求にも関わらず相当の期間内に追完がなされないときは、農林水産省は、その不適合の程度に応じて支払うべき金額の減額を請求することができる。

ウ 前期イの規定にかかわらず、次に掲げる場合には、農林水産省は、相当の期間の31経過を待つことなく、直ちに支払うべき金額の減額を請求することができる。

(ア)追完が不能であるとき。

(イ)受注者が追完を拒絶する意思を明確に表示したとき。

(ウ)特定の日時又は一定の期間内に履行をしなければ本調達の目的を達することができない場合において、受注者が追完をしないでその時期を経過したとき。

(エ)(ア)から(ウ)までに掲げる場合のほか、農林水産省が追完の請求をしても追完を受ける見込みがないことが明らかであるとき。

エ 林野庁は、当該契約不適合(受注者の責めに帰すべき事由により生じたものに限る。)により損害を被った場合、受注者に対して損害賠償を請求することができること。

オ 当該契約不適合について、追完の請求にもかかわらず相当期間内に追完がなされない場合又は追完の見込みがない場合で、当該契約不適合により本契約の目的を達することができないときは、林野庁は本契約の全部又は一部を解除することができること。

カ 前記アからオまでの規定にかかわらず、成果物の種類又は品質に関して契約不適合がある場合であって、林野庁が検収完了後１年以内に当該契約不適合について通知しないときは、林野庁は、本仕様書に定める契約不適合責任に係る請求をすることができない。

ただし、検収完了時において受注者が当該契約不適合を知り、若しくは重過失により知らなかったとき、又は当該契約不適合が受注者の故意若しくは重過失に起因するときはこの限りでない。

キ 前記アからオまでの規定にかかわらず、契約不適合が林野庁の提供した資料等又は林野庁の与えた指示によって生じたときは適用しないこと。

ただし、受注者がその資料等又は指示が不適当であることを知りながら告げなかったときはこの限りでない。

(３) 検収ア 本業務の受注者は、成果物等について、納品期日までに林野庁に内容の説明を実施して検収を受けること。

イ 検収の結果、成果物等に不備又は誤り等が見つかった場合には、直ちに必要な修正、改修、交換等を行い、変更点について林野庁に説明を行った上で、指定された日時までに再度納品すること。

９ 入札参加資格に関する事項(１) 競争参加資格ア 予算決算及び会計令第70条の規定に該当しない者であること。

なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。

イ 公告日において令和７・８・９年度全省庁統一資格の「役務の提供等」の「A」又は「B」の等級に格付けされ、競争参加資格を有する者であること。

32ウ 応札資料の提出期限の日から、開札の時までの間において林野庁長官から物品の製造契約、物品の購入契約及び役務等契約指名停止措置要領に基づく指名停止を受けている期間中でないこと。

(２) 公的な資格や認証等の取得ア 応札者は、品質マネジメントシステムに係る以下のいずれかの条件を満たすこと。

(ア) 品質マネジメントシステムの規格である「JIS Q 9001」又は｢ISO9001」(登録活動範囲が情報処理に関するものであること。)の認定を、業務を遂行する組織が有しており、認証が有効であること。

(イ) 上記と同等の品質管理手順及び体制が明確化された品質マネジメントシステムを有している事業者であること(管理体制、品質マネジメントシステム運営規程、品質管理手順規定等を提示すること。)。

イ 応札者は、情報セキュリティに係る以下のいずれかの条件を満たすこと。

(ア) 情報セキュリティ実施基準である「JIS Q 27001」、「ISO/IEC27001」又は「ISMS」の認証を有しており、認証が有効であること。

(イ) 一般財団法人日本情報経済社会推進協会のプライバシーマーク制度の認定を受けているか、又は同等の個人情報保護のマネジメントシステムを確立していること。

(ウ) 個人情報を扱うシステムのセキュリティ体制が適切であることを第三者機関に認定された事業者であること。

(３) 受注実績等ア 応札者は、ＧＩＳ機能を有する情報システムの設計・開発を行った実績を過去３年以内に有すること。

イ 応札者は、防災・減災に係る調査事業、システム構築の実績を過去3年以内に有すること。

ウ 応札者は以下の①又は②のいずれかの条件を満たすこと。

① クラウドサービスプロバイダーから代理店の認定を受け、かつ LicensingSolution Partner (LSP)の登録を受けていること。

加えて、本案件の関係者が、日本国内のクラウドサービスプロバイダーから日本語で契約や技術に関するサポートを受けられる商流であること。

② 国内企業のディストリビュータ経由でクラウドサービスの再販が可能であること。

エ 応札者は、本システムで導入予定のパブリッククラウドへの移行又は構築を行った実績を過去３年以内に有すること。

(４) 複数事業者による共同入札33ア 複数の事業者が共同入札する場合、その中から全体の意思決定、運営管理等に責任を持つ共同入札の代表者を定めるとともに、本代表者が本調達に対する入札を行うこと。

イ 共同入札を構成する事業者間においては、その結成、運営等について協定を締結し、業務の遂行に当たっては、代表者を中心に、各事業者が協力して行うこと。

事業者間の調整事項、トラブル等の発生に際しては、その当事者となる当該事業者間で解決すること。

また、解散後の契約不適合責任に関しても協定の内容に含めること。

ウ 共同入札を構成する全ての事業者は、本入札への単独提案又は他の共同入札への参加を行っていないこと。

エ 共同事業体の代表者は、品質マネジメントシステム及び情報セキュリティに係る要件について満たすこと。

その他の入札参加要件については、共同事業体を構成する事業者のいずれかにおいて満たすこと。

(５) 入札制限ア 本業務を直接担当する農林水産省ITテクニカルアドバイザー(旧農林水産省CIO補佐官に相当)、農林水産省全体管理組織(ＰＭＯ)支援スタッフ及び農林水産省最高情報セキュリティアドバイザーが、その現に属する事業者及びこの事業者の「財務諸表等の用語、様式及び作成方法に関する規則」 (昭和38年大蔵省令第59号)第8条に規定する親会社及び子会社、同一の親会社を持つ会社並びに委託先等緊密な利害関係を有する事業者は、本書に係る業務に関して入札に参加できないものとする。

１０ 再委託に関する事項(１) 再委託の制限及び再委託を認める場合の条件ア 本業務の受注者は、業務を一括して又は主たる部分を再委託してはならない。

イ 受注者における遂行責任者を再委託先事業者の社員や契約社員とすることはできない。

ウ 受注者は再委託先の行為について一切の責任を負うものとする。

エ 再委託先における情報セキュリティの確保については受注者の責任とする。

オ 再委託を行う場合、再委託先が「９(５)入札制限」に示す要件を満たすこと。

(２) 承認手続ア 本業務の実施の一部を合理的な理由及び必要性により再委託する場合には、あらかじめ再委託の相手方の商号又は名称及び住所並びに再委託を行う業務の範囲、再委託の必要性及び契約金額等について記載した別添の再委託承認申請書を林野庁に提出し、あらかじめ承認を得ること。

34イ 前項による再委託の相手方の変更等を行う必要が生じた場合も、前項と同様に再委託に関する書面を林野庁に提出し、承認を得ること。

ウ 再委託の相手方が更に委託を行うなど複数の段階で再委託が行われる場合(以下「再々委託」という。)には、当該再々委託の相手方の商号又は名称及び住所並びに再々委託を行う業務の範囲を書面で報告すること。

(３) 再委託先の契約違反等再委託先において、本調達仕様書の遵守事項に定める事項に関する義務違反又は義務を怠った場合には、受注者が一切の責任を負うとともに、林野庁は、当該再委託先への再委託の中止を請求することができる。

１１ その他特記事項(１) 前提条件等ア 本調達仕様書と契約書の内容に齟齬が生じた場合には、本調達仕様書の内容が優先する。

イ 本業務受注後に調達仕様書(別添要件定義書を含む。)の内容の一部について変更を行おうとする場合、その変更の内容、理由等を明記した書面をもって林野庁に申し入れを行うこと。

双方の協議において、その変更内容が軽微(委託料、納期に影響を及ぼさない)かつ許容できると判断された場合は、変更の内容、理由等を明記した書面に双方が確認することによって変更を確定する。

ウ 本業務に使用する言語(会話によるコミュニケーションを含む。)は日本語、数字は算用数字、単位は原則としてメートル法とすること。

(２) 入札公告期間中の資料閲覧等本業務の実施に参考となる過去の類似業務の報告書等に関する資料については、林野庁内にて閲覧可能とする。

なお、資料の閲覧に当たっては、必ず事前に担当部署まで連絡の上、閲覧日時を調整すること。

ア 資料閲覧場所東京都千代田区霞が関 1-2-1 林野庁国有林野部業務課(北別館８階ドア番号 814)イ 閲覧期間及び時間(ア) 令和７年６月３0日から令和７年８月20日まで(イ) 行政機関の休日を除く日の10時から17時まで。

(12時から13時を除く。)ウ 閲覧手続最大３名まで。

応札希望者の商号、連絡先、閲覧希望者氏名を別記様式「閲覧申込書」に記載の上、閲覧希望日の２日前までに提出すること。

また、閲覧日当日までに別記様式「守秘義務に関する誓約書」に記載の上、提出すること。

35エ 閲覧時の注意閲覧にて知り得た内容については、提案書の作成以外には使用しないこと。

また、本調達に関与しない者等に情報が漏えいしないように留意すること。

閲覧資料の複写等による閲覧内容の記録は行わないこと。

なお、MAFF クラウドを利用する場合は、資料閲覧時に守秘義務に関する誓約書を提出した事業者に、以下のカの(エ)の資料についてデータで提供することは可能であるため、必要に応じて申し出ること。

オ 連絡先林野庁国有林野部業務課 電話03-6744－2325(直通)カ 事業者が閲覧できる資料閲覧に供する資料の例を次に示す。

(ア) プロジェクト計画書(イ) 遵守すべき各府省独自の規定類a 農林水産省における情報セキュリティの確保に関する規則b 農林水産省における個人情報の適正な取扱いのための措置に関する訓令(ウ) 現行の情報システムの情報システム設計書、操作マニュアル(エ) 農林水産省クラウド利用ガイドライン及び関係資料(オ) 関連する他の情報システムの操作マニュアル、設計書、各種プロジェクト標準(カ) 過去の検討資料等(３) その他ア MAFF クラウドについて不明点等がある場合は、担当部署及びMAFF クラウド CoEと協議の上、作業を進めること。

イ MAFF クラウド CoE からクラウドのシステム構成について、改善点の指摘を受けた場合に協議の上、対応を行うこと。

また、指導・監査において、クラウド環境の確認が必要と判断された際には、MAFF クラウドCoEからの要請に基づき、リードオンリーのIAMユーザーを払い出すこと。

ウ 本仕様書について疑義等がある場合は、応札希望者は質問書により質問すること。

なお、本システムのサービス提供時間、運用時間、システム障害時の対応については以下のとおりである。

ア サービス提供時間本サービスは計画停止を除き、24時間365日サービスを提供できること。

利用者ごとのサービス提供時間帯は「表５ サービスの利用者数及び情報システムの利用者数(想定)」に記載の通り。

イ 運用時間5運用・保守業者の運用時間は平日(土日及び祝日、年末年始を除く)の9時から17時までとする。

ただし、システムの監視は24時間365日行うこと。

夜間や休日におけるシステム障害時の連絡体制については、運用時間と同等の体制を維持することは求めないが、障害の重要性に応じた機動的な体制を提案すること。

ウ システム障害時の対応システム障害時は復旧を優先し、一次対応を速やかに実施すること。

障害の原因究明・恒久的対策は、原則としてシステム復旧後、翌開庁日の運用時間内にシステム保守として実施すること。

(3) ヘルプデスク業務ヘルプデスク業務における問合せ対応の受付時間を下表に示す。

表 8 ヘルプデスク業務の問合せ対応時間項番問い合わせ方法受付時間 回答時間 補足1 電話 開庁日9:00~17:00 開庁日9:00~17:002 メール 24時間365日 同上3 Webフォーム 同上 同上回答はメールにて実施する。

回答メールの内容は林野庁業務課と協議して定める。

業務の実施等本システムにおける業務の実施場所に関する要件について、以下に示す。

表 9 利用者の業務の実施場所項番 場所名 実施体制 実施業務 所在地1 全国林野庁、局、署等森林土木業務に関する管理業務を行う。

2各委託契約事業者拠点委託契約事業者災害・施設点検に関する業務を行う。

業務観点で管理すべき指標本サービスに係る達成度評価指標(KPI：Key Performance Indicator)を下表に示す。

なお、本サービスの利用動向を踏まえ、必要に応じて更にKPIを追加または変更する場合がある。

KPIの追加または変更により「2.4.(8) モニタリング対象データ一覧」および「3.16.(5) 主な運用作業一覧」に変更があった場合は、対応範囲を林野庁業務課と協議の上で決定、対応すること。

表 10 達成度評価指標(KPI：Key Performance Indicator)項番 指標の種類 指標名 計算式 単位 目標値 計測方法 計測周期1情報システム効果指標ユーザ満足度システム利用者の利便性に関する満足度％ R7：50%職員を対象としたアンケートを実施する年１回2業務効果指標システムを活用して処理する業務時間2023年度を基準としたシステムを活用して処理する業務時間％ 100%職員を対象としたアンケートを実施する年１回3業務処理時間の削減災害一件当たりの削減時間「現行業務処理時間」－「業務・サービス改革実時間 １時間職員を対象としたアンケー年１回6項番 指標の種類 指標名 計算式 単位 目標値 計測方法 計測周期施後の業務処理時間」 トを実施する4業務処理時間の削減施設点検一件当たりの削減時間「現行業務処理時間」－「業務・サービス改革実施後の業務処理時間」時間 １時間職員を対象としたアンケートを実施する年１回7情報システム化の範囲(1) 情報システム化の範囲本調達の範囲は、下図の赤枠部分に示す範囲である。

図 3 業務概要図(サンプル)ポータル【 ArcGIS Enterprise 】ArcGIS Data Store ArcGIS ServerPortal for ArcGISポータル【 ArcGIS Online 】山地災害調査アプリ山地災害調査アプリ(施設情報の保管、高度な分析)※MAFFクラウドを活用ポータル間データ連携▶ArcGIS Enterprise 上に治山施設の位置情報や整備情報(治山台帳)を登録8業務の継続の方針等システムの継続に関しては「3.9継続性に関する事項」に記載する対策を講じること。

本システムでは障害によるシステム停止時にも最低限継続すべき業務はないため、本章は特に定めない。

情報セキュリティ対策の方針等本システムの情報セキュリティ対策に係る具体的な要件は、「3.10 情報セキュリティに関する事項」を参照すること。

(1) 情報セキュリティ対策の基本的な考え方表 11 システムで扱う情報の特徴項番 主な情報情報の機密性その他(情報の完全性、可用性等)情報の取扱いで考慮すべき関連法令補足特徴格付の区分特徴格付の区分1災害調査結果を分析・加工した情報情報漏えい等が発生した場合、一定程度の社会的批判を受けるおそれがある。

機密性２情報－ － －2施設点検結果を分析・加工した情報情報漏えい等が発生した場合、一定程度の社会的批判を受けるおそれがある。

機密性２情報－ － －3 災害調査結果 写真や位置情報等機密性１情報－ － －4 施設点検結果 写真や位置情報等機密性１情報－ － －5 治山台帳情報施工事業者や施工金額の情報を有しており、情報漏えい等が発生した場合、一定程度の社会的批判を受けるおそれがある。

機密性２情報2. 機能要件定義機能に関する事項(1) 機能一覧本調達で要求する主要な機能を下表に示す。

詳細な機能構成は、要件定義工程にて林野庁業務課と協議の上決定すること。

表 12 機能一覧項番機能ID 機能分類 機能名機能概要処理方式利用者区分現状の機能との差異該当業務補足入力処理出力1 AA0010 現地調査ヘリコプター調査○ ○ -ｵﾝﾗｲﾝ 職員 差異無業務ID：A00012 AA0020 現地調査 地上調査○ ○ -ｵﾝﾗｲﾝ職員委託業者差異無 業務ID：A00029項番機能ID 機能分類 機能名機能概要処理方式利用者区分現状の機能との差異該当業務補足入力処理出力3 AA0030 現地調査山地災害調査カルテ○ ○ -ｵﾝﾗｲﾝ職員委託業者差異無 業務ID：A00034 AA0040 施設点検治山施設点検カルテ○ ○ -ｵﾝﾗｲﾝ職員委託業者差異無 業務ID：A00045 AA0050 現地調査林道調査調査カルテ○ ○ -ｵﾝﾗｲﾝ職員委託業者差異無 業務ID：A0 ｵﾝﾗｲﾝ0056 AA0060 施設点検林道施設点検カルテ○ ○ -ｵﾝﾗｲﾝ職員委託業者差異無 業務ID：A00067 AA0070結果閲覧サイトデータの確認- ○ ○ｵﾝﾗｲﾝ職員 差異無 業務ID：A00078 AA0080結果閲覧サイトデータの編集- ○ ○ｵﾝﾗｲﾝ職員 差異無 業務ID：A00089 AA0090結果閲覧サイト各種カルテのレポート出力- ○ ○ｵﾝﾗｲﾝ職員 差異無 業務ID：A000910 AA0100結果閲覧サイト災害定期報告用フォーム- ○ ○ｵﾝﾗｲﾝ職員 差異無 業務ID：A001011 AA0110被害情報の分析施設等の被災前後の比較- ○ ○ｵﾝﾗｲﾝ職員 新規 業務ID：A001112 AA0120施設情報の分析グラフの可視化- ○ ○ｵﾝﾗｲﾝ職員 新規 業務ID：A001213 AA0130調査情報の保管・整理。

治山台帳情報の整備施設情報管理アプリ〇 〇 〇ｵﾝﾗｲﾝ職員 新規 業務ID：A0013受託者は、「表12 機能一覧」を踏まえ、具体的な機能及びその実装の方法(機能の単位、画面構成・遷移等を含む。)等について、提案するシステム方式等に応じて適切なものを提案すること。

その際には、現行システムの実装方法(機能の単位、画面構成・遷移等を含む。)を単純に踏襲するのではなく、現時点で広く使われている技術を前提として、ユーザビリティや開発効率性の観点から優れた方法を選択するよう留意すること。

より適切な他の手段により実質的に想定機能の一部又は全部を代替可能な場合(外部サービスの利用、ノンプログラミングによる画面生成等プロトタイピング用のツール等を採用する場合など、既存の機能・サービスで置き換えることが可能な場合を含む。)には、当該代替可能な機能と当該手段を示すこと。

また、想定機能は、受託者が提案する方法で実質的に代替可能であることを客観的かつ具体的に確認できる提案となっていること。

(2) 技術検証技術検証の対象については、本システムとして独自に構築した部分の性能や複雑なサービス連携を中心とし、クラウドサービスの標準機能自体の単純な機能検証等は含めないこと。

10(3) 機能の主な追加・変更点本システムでは下表の観点での機能見直しを行う予定である。

表 13 機能の主な追加・変更点項番 変更区分 主な観点 説明 メリット１ 新規追加 施設情報等の保管・整理・災害調査カルテ、施設点検カルテ等ArcGIS online側で取得した情報をArcGIS Enterprise側に保管・整理する。

・治山施設の位置や整備状況をArcGIS Enterprise側に搭載する・施設情報のGISデータ化等に伴うデータ容量増加や要機密性情報を扱うためのセキュリティ強化に資する。

・施設点検作業や業務計画策定作業の省力化が期待できる２ 新規追加 施設等の被災前後の比較の追加時点の異なる航空写真等を重層し、施設等の被災前後の比較を可能とする。

災害情報の分析が向上する。

３ 新規追加 グラフの可視化の追加位置情報に紐づく数値情報を集計し、グラフ等で可視化し、事業計画等に活用できる機能を追加する。

災害情報の分析が向上する。

(4) 今後の機能追加を踏まえた構成本調達で要求する機能ではないが、将来追加が必要となる機能を下表に示す。

これらの機能追加を想定した構成とすること。

なお、拡張性については、「3.6拡張性に関する事項」も参照すること。

表 14 将来追加する必要のある機能一覧項番 機能分類 機能名 概要1 災害情報の分析災害申請資料作成の効率化LiDAR 等の測量データをアプリに取り込み災害申請資料作成の効率化する。

(5) 機能構成概念図本サービスの機能構成概念図を以下に示す。

なお、図の記載内容が過度に複雑化することを避けるため、下図では機能分類に着目し、各機能の位置関係と情報フローに焦点を当てて表現することとしている。

図 4 機能構成概念図例11画面に関する事項前述の「2.1機能に関する事項」を実現するために必要な画面については、本システムの受託者の提案を踏まえ、設計時点で決定する。

画面レイアウト等の設計に当たっては、予めワイヤーフレーム(画面の完成イメージを線や枠で表現したもの)などを作成し、林野庁業務課の了承を得た上で設計を行うこと。

(1) 画面一覧本サービスの画面一覧を下表に示す。

なお、個別具体のユーザーインタフェースとして実装する際の画面構成、画面レイアウト、画面タイトル等のラベル、画面遷移等の詳細は基本設計工程で定める。

本要件定義書では画面設計に当たっての基本的な方針を定めている。

表 15 画面一覧(抜粋)項番 画面ID 画面名 画面概要 該当機能 補足1 AA1AM001 トップ画面 選択画面 -2 AA1AM002 山地災害調査山地災害調査の結果閲覧画面機能ID: A0007～123 AA1AM003 林道調査 林道調査の結果閲覧画面 機能ID: A0007～124 AA1AM003施設等情報管理施設情報等管理の確認画面 機能ID: A0007～12(2) 画面イメージ本サービスの基本的・代表的な画面イメージを下図に示す。

紙面スペースの制約上、一部を抜粋したものとしているが、全体像については、調達仕様書に基づく資料閲覧を行う際に確認することが可能である。

なお、以下に示す表示イメージは、デザインプロトタイプとして作成したものである。

個別具体のユーザーインタフェースとして実装する際の画面構成、画面レイアウト、画面タイトル等のラベル等については、本サービスの設計・開発段階で行う UX 開発において改めて設計を行う。

また、画面表示イメージに表現されている内容は、デザインを明確にする観点から便宜的に当てはめたものである。

図 5 項番2～4画面イメージ12(3) 画面遷移の基本的考え方基本的・代表的な画面遷移として、トップ画面遷移図を以下に記載する。

(4) 画面設計ポリシー画面設計における要件を以下に示す。

ア UXデザインUXデザインについては、以下の要件を満たすこと。

加えて「3.1ユーザビリティ及びアクセシビリティに関する事項」の要件も考慮すること。

 本サービス想定利用者の目的を満足する観点から、本サービスを構成する機能、コンテンツの設計に当たっては、適切なユーザー調査によって利用者の要件を把握すること。

 本サービスに係るUXデザインは、UXに影響を及ぼす要素を5階層によって把握するUX5階層モデルの考え方を導入する。

本サービスのWebサイト及びWebアプリケーションについて、本サービスの目的を基底として、体系的かつ一貫性のあるUXを確保できるようにすること。

イ 画面の表示画面の表示に関して、利用者に正しく内容を伝達するために、以下の要件を満たすこと。

 画面の表示にはHTMLを利用し、Webブラウザ上で正常に表示されることを確認すること。

 画面の表示で使用するWebブラウザには追加でプラグイン等のインストールを必要としないこと。

 Webブラウザのバージョンの更新があった際は、基本的には更新前のバージョンへの対応を保ちつつ、更新後のバージョンに対応させること。

やむを得ず、双方のバージョンへの対応が困難な場合は、対応を優先するバージョンは林野庁業務課が判断を行うものとする。

 利用者が他に起動しているWebブラウザの動作に干渉しないように配慮すること。

 Webブラウザや利用端末の要件については、「3.11.情報システム稼働環境に関する事図 6 画面遷移図(戻る)ArcGIS onlineログイン画面［ﾛｸﾞｲﾝ］［ﾛｸﾞｱｳﾄ］トップ画面(画面ID：AA1AM001)［ﾒﾆｭｰA］ 結果閲覧サイト【山地災害調査］(画面ID：AA1AM002)［ﾒﾆｭｰB］結果閲覧サイト【林道調査】(画面ID：AA1AM003)〇新規追加ArcGIS Enterpriseログイン画面［ﾛｸﾞｲﾝ］［ﾛｸﾞｱｳﾄ］施設情報等管理サイト(画面ID：AA1AM004)13項」の「(7)利用端末の要件」を参照すること。

ウ 入力負荷の軽減画面での入力操作は以下の要件を満たすこと。

 画面での入力操作は、業務特性に応じて、入力負荷の軽減及び誤操作防止等に配慮すること。

 日付を入力する項目については可能な限りカレンダーから日付を選択できること。

エ 誤操作の防止利用者認証情報を取り扱う重要性を考慮し、誤操作によるデータの消失や誤った情報の登録等を防止する為、以下の要件を満たすこと。

 Webブラウザ自体が備えている「戻る」、「更新」等のボタンを押下しても、二重登録などの不具合が発生しないこと。

 Webブラウザで表示する画面内のボタンを連続で押下しても、二重登録などの不具合が発生しないこと。

 検索処理中に再度の検索実行が行われないこと。

(検索処理中は検索実行ボタンを非活性化する等)オ メニューメニューについては、以下の要件を満たすこと。

 各画面の上部に統一的な操作メニューを表示し、他の画面への遷移を可能とすること。

 現在の画面のメニュー体系における位置を階層的に表示し、他の画面への遷移を可能とすること。

 利用用途(一般利用、システム管理等)、利用者(承認者、担当者等)により操作可能な画面が異なるため、権限設定に応じたメニュー表示を可能とすること。

帳票に関する事項本システムの帳票に関する要件を「表16 帳票一覧」「図7 帳票イメージ」に示す。

なお、法定帳票以外の帳票については、代替手段を積極的に提案して帳票の削減を提案すること。

(1) 帳票一覧原則として、各帳票間で基本レイアウトの統一を図ること。

なお、帳票の実装方式については、現時点で広く使われている技術を前提として、ユーザビリティや開発効率性の観点から優れた方法を選択するよう特に留意すること。

表 16 帳票一覧項番 帳票ID 帳票概要 入出力形式 該当機能 補足1 AX01 現地調査の結果 Microsoft word 機能ID: A0007～122 AX02 施設点検の結果 Microsoft word 機能ID: A0007～1214(2) 帳票イメージ本サービスの基本的・代表的な帳票イメージを下図に示す。

データに関する事項(１) データ容量本システムに搭載する現時点で想定するデータ容量を以下に示す。

表 17 データ容量(想定)No 種類 登録先(想定) データ容量(GB) 備考1フィーチャレイヤーArcGIS Enterprise 1.4治山施設、林道の位置情報及び属性情報等2 タイルレイヤー ArcGIS Enterprise 0.4 全国林小班タイル3 画像 Azure ４.640治山台帳、施設点検情報のデータ(２)モニタリング対象データ一覧「1.5.業務観点で管理すべき指標」に記載したプロジェクトの目標について、実績値を適時に確認するデータとして、現時点の案を示す。

図 7 帳票イメージ調査日番号 橋梁名路線名部材名〇〇点検票写真写真主桁、横桁、床版、下部構造、支承部、路面、排水施設、防護柵、その他主桁、横桁、床版、下部構造、支承部、路面、排水施設、防護柵、その他メモ部材名メモ林道施設点検位置図森林管理局名路線名署等名都道府県名 市町村名林道の種類及び区分 路線区分 専用林道or併用林道 林道or軽車道or森林鉄道orその他青：橋梁紫：トンネル等黄：その他位置図通行管理の状況 調査日 門扉orﾁｪｰﾝorﾛｰﾌﾟor開放縮尺：1/50,000 or 20,000 or 5,000１３２４５調査日番号 橋梁名路線名部材名〇〇点検票写真写真主桁、横桁、床版、下部構造、支承部、路面、排水施設、防護柵、その他主桁、横桁、床版、下部構造、支承部、路面、排水施設、防護柵、その他メモ部材名メモ15表 18 モニタリング対象データ一覧(想定)No. データ名 分析軸となる項目 目的1 各サイトの閲覧数サイト種別など 各サイトの使用頻度およびその特徴が把握できること2 各サイト毎の作業時間ログ各サイト毎の作業時間 各サイト毎の作業時間およびその特徴が把握できること3 各カルテの生成回数 カルテの種別など カルテの使用状況およびその特徴が把握できること16外部インタフェースに関する事項本システムの外部インタフェースに関する要件を以下に示す。

なお、一部のインタフェースは機能要件の変更に合わせて修正が必要になることが想定される。

新たに追加となった機能への対応を含め、外部インタフェースの修正が必要になる場合については、設計工程で林野庁業務課と協議の上で対応すること。

なお、インタフェースについては API 連携を原則とし、旧来型のインタフェースについてはAPI化を積極的に提案すること。

(1) 外部インタフェース一覧本サービスは、下表に示す他の情報システム等と連携する。

なお、外部インタフェース一覧における記載内容は現在の想定である。

設計工程において、連携先システム担当と調整の上、決定すること。

表 19 外部インタフェース一覧(想定)項番外部インタフェース名外部インタフェース概要相手先システム送受信区分送受信データ種別送受信タイミング送受信の条件補足プロトコル文字コード1レイヤーリストEADASが保有する地理情報の取得環境アセスメントデータベース(EADAS)受信 APIリアルタイムHTTPS UTF-83. 非機能要件定義ユーザビリティ及びアクセシビリティに関する事項(1) 情報システムの利用者の種類、特性本システムの利用者の種類、特性について、下表に示す。

表 20 情報システムの利用者の種類、特性項番 利用者区分 利用者の種類 利用イメージ 特性1 林野庁職員 内部利用者本システムのアプリケーションを用いて、山地災害や施設点検調査を実施、管理等を行う。

利用者については、毎年一定数入替わることから、分かりやすいユーザーインタフェースを考慮する必要がある2委託契約(施設点検)事業者外部利用者本システムのアプリケーションを用いて、山地災害や施設点検調査を実施、管理等を行う。

利用者については、毎年一定数入替わることから、分かりやすいユーザーインタフェースを考慮する必要がある(2) ユーザビリティ要件「表26 情報システムの利用者の種類、特性」に示す役割・業務内容に基づき、各利用者の特性を十分に留意する。

また、利用者が想定する流れに沿った操作手順、画面遷移、画面レイアウト、帳票レイアウト等とする。

17表 21 ユーザビリティ要件項番 ユーザビリティ分類 ユーザビリティ要件1画面の構成(直感・シンプル) 利用者が何をすればよいか直感的に理解できるデザインにすること。

 無駄な情報、デザイン、機能を排したシンプルでわかりやすい画面にすること。

2画面の構成(フォント及び文字サイズ) 十分な視認性のあるフォント及び文字サイズを使用すること。

 画面サイズや位置を変更できること。

 一度に膨大な情報を提示して利用者を圧倒しないようにすること。

3画面の構成(マルチデバイス対応) スマートフォン、タブレット端末により本サービスを利用する利用者を想定し、これら端末の特性を考慮した画面にすること。

 レスポンシブデザインにより、PC、タブレット端末、スマートフォン等の利用環境を問わず、同一の情報をグリッドレイアウト等の適切なレイアウトにより表示できるようにすること。

4画面の構成(表示/非表示) 情報の優先順位をつけ、重要度の低い情報、特定の利用者層に対して提示する情報は、利用者が必要に応じて表示/非表示を切替え可能とする等の工夫をすること。

5画面の構成(クリックやチェックができる箇所) 画面上でクリックやチェックができる箇所とできない箇所の区別を明確にすること。

 タップ操作が可能なタブレット端末やスマートフォンの場合は、タップ操作の結果(どの部分をタップしたのか)を適切にレスポンスできること。

6 画面遷移 利用者が次の処理を想像しやすい画面遷移とすること。

 無駄な画面遷移を排除し、シンプルな操作とすること。

7画面表示・操作の一貫性(統一) 機能、用語、レイアウト、操作方法は統一すること。

8画面表示・操作の一貫性(視認性) 必須入力項目と任意入力項目の表示方法を変えるなど各項目の重要度を利用者が認識できるようにすること。

 見やすさを考慮し、画面のフォントサイズを決定すること。

 画面ごとに異なるフォントを使わないこと。

9操作方法のわかりやすさ 無駄な手順を省き、使いやすく、利用者が効率的に作業できるようにすること。

 利用者が操作しやすい手順にするため、画面上の情報項目を上から下へ、左から右へ流れる順番に配置すること。

 利用者の操作を軽減できるよう、画面の初期表示時、入力項目、選択項目等に適切な既定値を設定すること10操作方法のわかりやすさ(操作説明) 原則としてマニュアルを参照しなくても操作できるようにすること。

11操作方法のわかりやすさ(Tabキー) Tab キー等による画面上のフォーカスの移動順序について、利用者が操作しやすい順序となるようにすること。

12操作方法のわかりやすさ(画面遷移) 利用者が同じ情報の入力や操作を何度も行う必要がないよう、画面が遷移しても情報がその後の手順に反映されるようにすること。

 利用者の手間を軽減するため、利用者の手順に即した画面遷移に留意し、可能な限り不要な画面遷移を行わないようにすること。

13操作方法のわかりやすさ(マルチデバイス対応) スマートフォン、タブレット端末等の狭い表示領域、タッチインタフェースでも効率的に作業できる操作性を実現すること。

14指示や状態のわかりやすさ ユーザーインタフェース及び UX に関する一般的に使われているデザイントレンドを取り入れ、アイコン・図表のグラフィック表現を適切に適用すること。

 本サービスが処理している内容や状況を、利用者が把握できるようにすること。

15指示や状態のわかりやすさ(外部ドメインへの遷移) ドメインを異にする他の Web サイトへの遷移を行う際は、離脱メッセージを表示する等、利用者が認識できるようにすること。

16 メッセージ出力 利用者に分かりやすいメッセージとすること。

 必要に応じて、登録・変更・削除等の操作を行う場合には、確認画面等で表示し、利用者の注意を促すこと。

 処理時間がかかる操作では、処理中であることが分かるようにすること。

18項番 ユーザビリティ分類 ユーザビリティ要件17メッセージ出力(次の操作) 指示メッセージは、次操作が具体的にイメージできるようなメッセージ出力を行うこと。

18 エラーの防止と処理  利用者が操作や入力を間違えないデザインや案内を提供すること。

19エラーの防止と処理(エラー防止) 利用者の誤操作を想定し、入力チェック機能によりエラーを防止すること。

 入力値が選択できる場合には、プルダウンメニュー等を活用し、極力キーボード入力操作をなくすこと。

20エラーの防止と処理(エラーメッセージ) エラーメッセージは、その内容が分かりやすく表示されるとともに、利用者が何をすればよいかを示すこと。

21エラーの防止と処理(エラー表示と解決策) 入力内容の形式に問題がある項目については、利用者がその都度該当項目を容易に見つけることができるようにすること。

 エラーが発生した時は、利用者が迷わずに問題解決できるよう、操作の続行に必要な選択肢を利用者が適切に理解できるようわかりやすく提示すること。

 入力内容の形式に問題がある項目については、それを強調表示する等、利用者がその都度その該当項目を容易に見つけられるようにする。

22エラーの防止と処理(確認画面) 必要に応じて、登録、更新、削除等の処理の前に確認画面を用意し、利用者が行った操作や入力のやり直し、取り消しがその都度できるようにすること。

 重要な処理については、事前に注意喚起し、利用者の確認を促すこと。

23エラーの防止と処理(画面遷移) 入出力の過誤があった場合、次の画面へ遷移しないこと。

24エラーの防止と処理(情報保持) タブレット端末等、屋外での使用を考慮し、電波受信状況の悪い場所においても操作不能とならないよう工夫すること。

25 ヘルプ 利用者が必要とする際に、ヘルプ情報やマニュアル等を容易に参照できるようにする。

 ヘルプ情報やマニュアル等についても、利用者が必要な情報を容易に検索できるようにする。

26デザイナーによるUI/UX検討 本システムで開発するスマホアプリの UI/UX 検討に当たっては、利用者の利用動機に着目し、サービスデザイン思考の観点から検討を行うこと。

 UI/UX 検討に当たっては、民間スマホアプリ等の経験を有する専門の UI/UX デザイナーを体制に組み入れること。

27画面遷移、操作ログ等の分析 運用・保守工程において継続的に UI/UX の改善を検討できるよう、利用者の画面遷移、操作ログ等を分析できる仕組みを整備すること。

(3) アクセシビリティ要件アクセシビリティに関する要件を下表に示す。

表 22 アクセシビリティ要件項番アクセシビリティ分類アクセシビリティ要件1 基準等への準拠 広く国民に利用され公益性の高い情報システムであるため、日本産業規格JIS X8341 シリーズ、「みんなの公共サイト運用モデル」(総務省)に準拠し、以下を前提とすること。

https://www.soumu.go.jp/main_sosiki/joho_tsusin/b_free/guideline.html JIS X 8341-3:2016「高齢者・障害者等配慮設計指針－情報通信における機器，ソフトウェア及びサービス－第 3 部：Web コンテンツ」の適合レベルAAに準拠することを目標とする。

また、レベルAAAのうち、以下の達成基準についても可能な範囲で適用すること。

 2.1.3 キーボード(例外なし)の達成基準 2.3.2 3回のせん(閃)光の達成基準 2.4.8 現在位置の達成基準 3.2.5 要求による状況の変化の達成基準19 注記：本仕様書における「準拠」という表記は、情報通信アクセス協議会Webアクセシビリティ基盤委員会「Webコンテンツの JIS X 8341-3:2016対応度表記ガイドライン(令和3年4月版)」で定められた表記による。

 また、スマートフォン等での操作を行うユーザーが増えていることを踏まえ「Web Content Accessibility Guidelines (WCAG) 2.1」で追加された達成基準についても、可能な範囲で適用すること。

 1.3.4 表示の向き(レベルAA) 2.5.1 ポインタのジェスチャ(レベルA) 2.5.2 ポインタのキャンセル(レベルA) 2.5.4 動きによる起動(レベルA) 4.1.3 ステータスメッセージ(レベルAA) デジタル庁が整備する「ウェブアクセシビリティ導入ガイドブック」を参考にすること。

2指示や状態の分かりやすさ 色の違いを識別しにくい利用者(視覚障がいのかた等)を考慮し、利用者への情報伝達や操作指示を促す手段はメッセージを表示する等とし、可能な限り色のみで判断するようなものは用いないこと。

ただし、業務の利用用途から、画面色での振り分けを行うことを予定していることから、適用範囲及び配色については林野庁業務課及び関係省庁と協議し、決定すること。

 Web ブラウザ等の音声読み上げ機能を活用し、視覚障がいの方でも問題なく利用可能なUIとすること。

3マルチデバイス対応 解像度の低い機種、画面サイズの小さい機種でも、業務継続が可能なUIとすること。

 OS の設定でフォントサイズ・表示サイズをそれぞれ最大とした場合でも、業務継続が可能な UI とすること。

 スタイルシートを利用しないユーザーと利用するユーザーにおいて得られる情報に差(表示されない文字や画像がある等)がないこと。

レイアウトにおいても大きな差がないことが望ましい。

システム方式に関する事項(1) システム方式についての全体方針システム方式についての全体方針を下表に示す。

本システムはクラウドネイティブの構成として、「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針(以下、「クラウド方針」という。

)」に準拠し、クラウドサービスの提供機能を最大限活用するようデザインされたアーキテクチャとすること。

特に、信頼性、拡張性(スケーラビリティ)、継続性等の向上に寄与するクラウドサービスと構成を選定すること。

使用する IaaS/PaaS はガバメントクラウドを原則とし、SaaS についても積極的に活用すること。

表 23 システム方式についての全体方針項番 観点 全体方針1 システムアーキテクチャ 本システムのシステムアーキテクチャはクラウドサービス上に用意されるWebアプリケーションから構成される。

Webアプリケーションは利用者の端末に追加的なソフトウェアのインストール等を行うことなく、一般に利用されている Web ブラウザで処理を行うものとする。

 本システムや業務機能等の特性を十分に検討し、クラウドサービスプロバイダが提供するリファレンスアーキテクチャに準拠した形でPaaS、SaaS、IaaS 等の最適なサービスを採用し、システムを構築する。

 クラウドサービスプロバイダが提供するマネージドサービスを最大限活用することを基本とし、アプリケーションプログラムの作り込み20を削減できる設計とする。

特にデータベース、認証、セキュリティ機能や運用管理機能はクラウドサービスが提供する機能を最大限活用すること。

 クラウドサービスが責任共有モデルとして提供されている前提を踏まえ、クラウドサービスを利用するに当たって必要となる考慮事項について検討を行い、安全かつ効率的にシステムを構築する。

 予防的統制と発見的統制を実施すること。

また、クラウドサービスを利用するために作成する各種アカウントについては、ガバナンスやセキュリティに係るポリシーを設定の上で、権限管理を確実に行うこと。

管理者アカウントについては、多要素認証を必須とすること。

多要素認証はハードウェア方式を原則とするが、ソフトウェア方式も許容する。

ハードウェア方式の場合は対応するワンタイムパスワード用のデバイスを利用システム側で調達すること。

 リソース使用量の変動等に柔軟に対応するとともに、コスト削減を図るため、民間クラウドサービスの利用を原則とする。

 全体構成及び利用するクラウドサービスについては、受託者において移行、引き継ぎ、確実なサービス提供等について問題が生じないことをクラウドサービスプロバイダに応札前に確認し、本調達の要件を踏まえ、確認結果と合わせて適切なものを提案する。

2アプリケーションプログラムの設計方針 マイクロサービスアーキテクチャ、API、クラウドネイティブ、クラウドサービスのマネージドサービスのみによる構成等、モダン技術を前提として構築する。

 クライアントサーバ方式、専用端末のシンクライアント(VDI)等の旧来技術は、高コスト化の要因となるため採用しないこと。

 原則としてバッチ処理を採用せず、リアルタイム処理を基本とすること。

バッチ処理が必要となる場合は、その理由について林野庁業務課の承認を得た上で採用すること。

 情報システムを構成する各コンポーネント(ソフトウェアの機能を特定単位で分割したまとまり)間の疎結合、再利用性の確保を基本とする。

 システムが取り扱うデータの保管・管理に際して、データの容量、更新頻度、保存期間等を考慮し最適なストレージサービスを選定の上、利用する。

またデータの保管・管理方針が変更となった際に、ストレージサービス間でのデータの移行が容易となるよう設計上考慮する。

3ソフトウェア製品の活用方針 SaaS については、開発量削減の観点から幅広く優先的に、その利用を検討すること。

ただし、ニーズにマッチしているか、開発量削減に貢献するか、セキュリティ対策は十分か、費用対効果は十分に得られるか等を慎重に考慮すること。

 ソフトウェア製品については、広く市場に流通し、利用実績を十分に有するものを活用する。

広く市場に流通し、利用実績を十分に有するソフトウェア製品を活用する。

 アプリケーションプログラムの動作、性能等に支障を来たさない範囲において、可能な限りオープンソースソフトウェア(OSS)製品(ソースコードが無償で公開され、改良や再配布を行うことが誰に対しても許可されているソフトウェア製品)の活用を図る。

ただし、それらの OSS 製品のサポートが確実に継続されていることを確認しなければならない。

 ノンプログラミングによる画面生成等プロトタイピング用のツール等を利用することにより、システムライフサイクルコストの削減等が見込める場合には、積極的に採用を検討する。

(2) クラウドサービスの選定、利用に関する要件21ア 本システムで用いるクラウドサービスは、MS Azure(東京リージョン)とすこと。

イ 要機密情報を取り扱うクラウドサービスの選定、利用に関しては、「政府機関等のサイバーセキュリティ対策のための統一基準 (令和5年度版)」の「4.2.1 クラウドサービスの選定(要機密情報を取り扱う場合)」「4.2.2 クラウドサービスの利用(要機密情報を取り扱う場合)」の内容を遵守すること。

ウ 情報資産を管理するデータセンタの設置場所に関しては、国内であることを基本とする。

また、いずれのソフトウェアについても、原則として最新バージョンを適用する。

クラウドサービス外に準備するソフトウェアを下表に示す。

表 33 ソフトウェア一覧項番 ソフトウェア分類 ソフトウェア名 ソフトウェア要件1 ミドルウェア：Webサーバー Portal for ArcGIS プロセッサ：4コアメモリ/RAM：8GB以上ディスク容量：2TB以上2 ミドルウェア：アプリケーションサーバーArcGIS Server メモリ/RAM：8GB以上3 ミドルウェア：DBサーバー ArcGIS Data Store メモリ/RAM：8GB以上37項番 ソフトウェア分類 ソフトウェア名 ソフトウェア要件4ミドルウェア：DBサーバー PostgreSQL プロセッサ：4コアメモリ/RAM：16GB以上ディスク容量：20GB以上5アプリケーション ArcGIS Pro プロセッサ：2コアメモリ/RAM：8GB以上ディスク容量：32GB以上拡張及び更新や事業者間での引継ぎが妨げられることがないよう十分に配慮すること。

(4) ネットワーク構成ネットワーク構成は「(1)システム構成」を参照すること。

(5) 利用端末の要件本システムの運用開始時点で動作保証の対象とするPC・スマートフォン・OS・ブラウザの考え方について、以下に示す。

ア 本システムの運用開始時点で動作保証の対象とするPC・スマートフォン・OSの機種やバージョンを下表に示す。

表 34 動作保証対象とする利用端末項番 端末 OS バージョン1 PC Windows 10/11イ 本システムの運用開始時点で動作保証の対象とするブラウザは以下とする。

 PC(Mac OS/Windows) の場合：Microsoft Edge/Mozilla Firefox/GoogleChrome/Safariの最新バージョンテストに関する事項本システムのテストに関する要件を下表に示す。

なお、品質管理の観点から必要に応じて林野庁業務課が指定する専門チームがテストに参加することもあるため、受け入れること。

また、テストデータやテストに関連する情報の提供にも協力すること。

また、情報システムを構成するソフトウェア及びハードウェアの脆弱性を悪用した不正を防止するため、開発時及び構築時に脆弱性の有無を確認の上、運用上対処が必要な脆弱性は修正の上で納入すること。

表 35 テスト要件項番 分類 要件1テスト工程の定義 本システムでは調達仕様書に記載の通り、以下のテストを実施する。

(1) 単体テスト(2) 結合テスト(3) 総合テスト(4) 受入テスト38項番 分類 要件2 テスト環境 本番環境に加え、テストを実施するための環境(開発環境・検証環境等)を整備すること。

 テスト環境については、連携先機関と接続して行う外部連動テストが実施可能な環境として整備するほか、同時並行的な開発に対応できるように複数のテスト環境を整備すること。

 開発スケジュールを踏まえ、効率化を考え、各環境を流用するなど検討すること。

3テスト計画書 各テスト工程の開始時に、以下の内容を定義したテスト計画書を作成し、林野庁業務課の承認を得ること。

 テスト体制 テスト環境 作業内容 作業スケジュール テストシナリオの概要 テスト結果に係る定性・定量評価の方法(テスト密度、バグ検出密度等) 合否判定基準 受託者は、本業務を実施する各過程においてテスト計画書の内容に変更が生じる場合、変更箇所及び内容について林野庁業務課の承認を得ることを条件として、テスト計画書を適切に更新すること。

 情報セキュリティの観点から必要なテストがある場合には、テスト項目及びテスト方法を定め、これに基づいてテストを実施し、その実施記録を保存すること。

 受託者は、テストに係る管理要領を共通化し、各テスト工程において、原則として同一の管理要領を適用するようにすること。

各テスト工程に応じて部分的に異なる管理要領の適用を必要とする場合は、その適用差分のみ「テスト計画書」に記載すること。

 機能一覧を基準として欠陥の相対的な発生確率と欠陥顕在化時の相対的な影響度について、それぞれ高・中・低の3 段階で評価することにより、本サービスの品質リスクを分析し、その結果を踏まえてテストケースの数や質に変化をつけるリスク・ベース・テストを適用すること。

4テスト仕様書 本システムの各テスト工程の開始前に、テストシナリオ、テスト項目等を記載したテスト仕様書を作成すること。

 各テスト工程のテスト項目は、設計書等の記述内容を網羅的に確認できるよう作成すること。

 各テスト工程に応じたテスト技法を適用すること。

 テスト項目は、品質を確保するために十分なテスト項目を定義すること。

また、テスト計画の策定時に定めた定性・定量評価方法を満たすよう作成すること。

 受託者においてレビューを徹底し、上記要件を満たしたテスト仕様書となっているかを確認すること。

5テストの実施 作成したテスト項目に基づきテストを実施すること。

 テストを実施する際は証跡を取得すること。

証跡の納品対象については別途林野庁業務課と協議の上決定すること。

 受託者は証跡等に代表されるテストの成果物のレビューを徹底し、テスト項目に基づきテストを実施しているか確認する。

想定外のテスト結果となった場合は、システムの欠陥であるか、想定結果が誤りであるか等、原因を明らかにした上で必要な対応を行うこと。

 欠陥を検知した場合は、その原因を明らかにした上で、原因を解消すること。

 検知した欠陥について修正を行った場合は、修正対象機能について回帰テストを実施すること。

 林野庁業務課において、再テストが必要と判断した場合、受託者は再テストの計画を作成し、林野庁業務課の承認を得た上で、定められた期限内に再テストを実施すること。

また、類似バグを抽出するため、必要に応じて強化テストを実施すること。

6テストデータ 総合テスト及び受入テストにおいて実データを使用する必要がある場合は、実データの取得申請を条件として、実データの使用を許可する。

なお、疑似データの作成に当たり、実データの匿名化、符号化等を行う場合は受託者の作業とする。

 取得した実データは、適切に保管・管理すること。

39項番 分類 要件 受入テストにおいて作成したテストデータは、システム切替え実施前までに、検証環境等のデータも含め削除すること。

 機密性の高いデータ項目や個人情報に係るデータ項目は、マスキングした上で使用すること。

7対応状況の報告 テストの進捗としては、テスト実施済項目数や信頼度成長曲線等の定量的なメトリクスの推移を示すことにより、テスト進捗状況、不具合検出状況及び不具合対応状況を報告すること。

 受託者は、林野庁業務課からのテストの進捗状況や品質等に対する指摘に対し確実に修正すること。

 結合テスト・総合テストでの報告書には、ソースコードメトリクスを取得し、テスト結果及び品質指標とともに、林野庁業務課に報告すること。

 受託者は、各テスト工程に応じたテスト計画内容について林野庁業務課に説明し、各テスト工程における最初のテスト開始予定日の遅くとも1 週間前までに林野庁業務課の承認を得ること。

8テスト完了報告書 各テスト工程の完了に当たっては、テスト完了報告書を作成し、林野庁業務課の承認を得ること。

また、完了に当たっては以下をすべて満たすこと。

 すべてのテスト項目が完了していること。

 テスト結果について、定性評価及び定量評価(テスト密度、バグ検出密度等)により評価を行うこと。

 テストで発生したすべての障害が、当該テスト工程内で解消されていること。

 外的要因等により次工程への申し送り事項が発生した場合は、対応方針、対応時期等を明確にした上で、林野庁業務課の承認を得ること。

9テストの自動化 各テスト項目のうち、反復的にテストを実施するものについては、自動化することを原則とする。

そのために、必要となるテストツールについては、新規に作成するか、既存のツールを活用すること。

 UIのテスト、受入テスト等、テストの自動化に馴染まないものについては、自動化対象外とする。

ただし、自動化対象外とすることについて、林野庁業務課の承認を得ること。

10将来時点の仕様変更 OSS を適用する部分を除き、将来時点の仕様変更への対応を柔軟にする観点から、テスト駆動開発、ソースコードに対する静的解析及びリファクタリングにより、クラスや関数構造をシンプルに保つこと。

11構築時の脆弱性対策 ネガティブテスト、ファジング、フォルト・インジェクション等の障害注入テスト手法を活用し、エラー処理や例外処理に係る脆弱性に対処すること。

 品質保証、フォレンジック及びインシデント・レスポンスの観点から、問題原因を把握するために必要な例外情報をログに出力するようにすること。

 設計・開発段階の早期からセキュリティを検証すること。

(1) 単体テスト単体テストは、本サービスにおける最小の実装構成要素(関数、メソッド等)に着目し、ソースコードの確からしさを確認することを目的とするコードベースの単体テストと、UI を含む単機能のテストにより構成する。

現時点で想定する単体テストの要件を以下に示す。

ア 本サービスにおける最小の実装構成要素の動作を検証するために必要となるテストコードを作成し、コードベースの単体テストを実行すること。

また、テストコードは、テスト対象とする実装構成要素に関するソースコードを記述する前に記述するようにすること。

イ 単体テストの結果は、必要に応じて数値的指標等(ステップ数あたりの試験項目数、試験消化率等)をもって報告すること。

以下に示す事項については、あらかじめ林野庁業務課に提示すること。

 単体テストのスケジュール テスト環境(テストを実施するハードウェア、ソフトウェアの構成、テストツール等)40の概要 合否判定基準 等ウ 単体テスト実施時は、テスト結果を検証するための証跡を採取すること。

エ 単体テストは、原則として開発環境において実施すること。

(2) 結合テスト結合テストは、本サービスの構成要素(アプリケーション機能、ソフトウェア、ハードウェア等)に着目し、各要素の連動又は協調動作に関する設計の欠陥を検出することを目的として行う。

現時点で想定する総合テストの要件を以下に示す。

ア 総合テストの観点として下表を想定する。

表 37 総合テストの主なテスト観点項番 テスト種別 概要1業務運用テスト・ 業務の実施手順や業務で取り扱うデータを基に様々なシナリオ・データのバリエーションを作成し、情報システムを用いて業務、機能を確認する。

・ シナリオ・データには、日常的に実施する業務や日常的に取り扱うデータだけではなく、月次や年次等の特定のタイミングでしか発生しない業務やイレギュラデータも含めること。

・ ユーザーの誤操作や予期しない現象を契機としたシステム障害が発生しないことを確認することを目的として異常系のテストケースも含めること。

2ユーザビリティ/アクセシビリティテスト利用者にとっての主観的な利用品質を計測する。

現時点で想定するユーザビリティ/アクセシビリティテストの要件を以下に示す。

 ユーザビリティ/アクセシビリティテストの計画に当たっては、以下の内容を総合テスト計画書に記載すること。

 テスト目標 実施場所及び実施時期 具体的なテスト内容 UXメトリクス タスクシナリオの開始基準・終了基準 ユーザビリティ/アクセシビリティテスト実施報告書の構成 本サービスを対象としたユーザビリティ/アクセシビリティテストに必要となる実施施設や実施環境は、原則として受託者が手配すること。

当該施設を利用するに当たって利用料金が発生する場合、受託者は、当該施設の利用料を本業務に伴う設計・開発に係る経費に含めること。

 ユーザビリティ/アクセシビリティテストの実施担当者を受託者において選定することとして差し支えないが、当該実施担当者は、調達仕様書「5.2.作業要員に求める資格等の要件」に示す要件を満たす者であること ユーザビリティ/アクセシビリティテストの被験者、人数及び選定方法は、林野庁業務課との協議により定めること。

ユーザビリティ/アクセシビリティテストの被験者は、最終ユーザーだけでなく、管理者である職員もテスト対象とすること。

 ユーザビリティ/アクセシビリティテストにおいてどのようなユーザー補助手段(マニュアル、ヘルプ等)を用意できるか整理すること。

 受託者は、本業務において実施する各ユーザビリティ/アクセシビリティテストについて、客観的な評価を行うため、必要に応じて簡易な映像記録を制作することが望ましい。

3性能・拡張性テストユーザー数、データ量、リクエスト数、レスポンス等の性能要件を情報システムが満たしているか検証する。

検証に当たっては、現在の想定だけではなく、今後の予想される増加量も含めて確認する。

42項番 テスト種別 概要短時間で情報システムに重い負荷をかけ、情報システムが処理量や長時間稼働等のシステム限界に関する性能や拡張の要件を満たしているか確認する。

4可用性(障害)テスト疑似的に障害を発生させる等の方法により、本サービスのコンポーネントに障害が発生した場合に、どの程度許容して安定動作するか検証する。

また、システム障害及びエラー発生時の回復機能等が適切に動作することを確認する。

5 完全性テスト疑似的に障害を発生させる等の方法により、本サービスのコンポーネントに障害が発生した場合に、データの減失や改変がないことを検証する。

また、操作ログやアクセスログ等のシステムログが出力されることを検証すること。

6互換性検証テスト更改開発の前後で、同様の手順で業務が実施できるよう、現行システム・次期システムが提供する業務についてメインの機能・動作及び、入出力の同値を保証できているか確認する。

現時点で想定する互換性検証テストの要件を以下に示す。

 互換性検証テストは以下2点の環境を構築・準備の上、実施すること。

 本調達開始時点における環境を再現した環境 本調達における必要な改修等を実施後の環境 互換性検証テストの例として以下を想定している。

また、職員によるテストが必要な場合はその旨、申し出ること。

 ソフトウェアのバージョンアップに伴う互換性 旧システムから新システム移行にともない、関連部分(外部ツール等)の互換性 機能改修に伴う影響の確認(デグレードの有無の確認) 使用するテストデータは、本番環境から取得したマスク済みのデータを使用すること。

なお、マスク済みデータは、林野庁業務課及び各事業者と調整の上、取得すること。

7セキュリティテスト不正侵入やWeb特有の攻撃への対策、データベースへの不正アクセスなどに対する対策、データの持ち出しに対する対策、マルウェア(ウィルス)対策等のセキュリティ要件を満たしているか脆弱性検査、インシデントレスポンステスト等を実施し確認する。

8運用・保守テスト運用・保守作業全般を通して、運用・保守事業者が円滑に日々の業務を実施できることを確認する。

また、運用・保守における正常時、異常時の運用に関する動作を確認し、特に異常時の対応として、エラーメッセージやログ等を基に、運用・保守事業者が業務を行えることを確認すること。

イ 総合テストに用いるテストデータには、本番運用を想定した疑似データを作成して使用すること。

ウ キーワード駆動テストの適用により、総合テストの効率化を図ること。

エ システム停止に伴うシステムバックアップやシステム停止、リストア、システム起動等については、受託者が主体的に実施すること。

オ 総合テスト実施時は、テスト結果を検証するための証跡を採取すること。

カ 総合テストは、原則として検証環境または本番環境において実施すること。

(4) 受入テスト43受入テストは、要件に対するアプリケーションの充足性確認を目的として行い、林野庁業務課は構築された情報システムが要件定義書に記載した事項を適切に実現しているか、構築された情報システムを用いて実際のサービス・業務を正しく実施できるかといった観点でテストを実施する。

受入テストに用いるテストデータには、本サービスが原則として公開情報を取扱うことを踏まえ、可能な限り本番環境に近い複製データを使用する。

ただし、受入テストの目的を担保可能であることを条件に、疑似データを使用することも可能とする。

受託者は調達仕様書にある通り以下の支援を行うこと。

ア 受託者は、林野庁業務課が実施する受入テスト計画書作成作業を支援するために、受入テスト計画書(案)を作成すること。

林野庁業務課は受入テスト計画書(案)を基にして受入テスト計画書を作成する。

なお、受入テストの実施期間は十分に確保したスケジュールとすること。

イ 受託者は、林野庁業務課が実施する受入テスト仕様書作成作業を支援するために、テスト項目、使用するテストデータ、合格判定基準等を示した受入テスト仕様書(案)を作成すること。

林野庁業務課は受入テスト仕様書(案)を基にして受入テスト仕様書を作成する。

ウ 受託者は、林野庁業務課及びプロジェクト関係者が受入テスト計画書及び受入テスト仕様書に基づき実施する受入テストの実施支援を行う。

エ 受入テストは、原則として検証環境または本番環境において実施すること。

受入テストの実施に当たり、必要に応じて本システムの運転スケジュール、環境設定、テストデータ等の変更を行うこと。

オ 受入テストの実施に当たり、林野庁業務課からの質問に対する問合せ対応を行うこと。

カ 受入テストで発生したすべての障害が解消されている、または問題を特定した上で対応策について林野庁業務課の承認を得ていること。

引継ぎに関する事項受注者は、他の事業者が本システムの次期の運用等を受注した場合には、次期運用事業者に対し、引継を行うこと。

現時点で想定する引継ぎ要件を以下に示す。

(1) 引継ぎ計画書の作成本システムの関連事業者に対する引継ぎの開始前に、本システムの引継ぎに係る引継ぎ対象、引継ぎ体制、引継ぎ内容、引継ぎ方法、引継ぎスケジュール、理解度確認方法、完了条件等を記載した「引継ぎ計画書」を作成し、林野庁業務課の承認を得ること。

(2) 引継ぎ方法ア 受託者は、「引継ぎ計画書」に従い、十分な時間的余裕を持って、必要な運用引継ぎを行うこと。

その際は、引継ぎ対象者の理解度を確認し、必要な場合には、「引継ぎ計画書」に記載したスケジュール等の変更を行うこと。

44イ 本サービスは、その保守や将来の拡張等の業務を他事業者に引き継ぐことが可能であること(引き継ぎのために必要となる各種ドキュメントを整備する等)。

第三者による保守性を向上させるため、成果物等は標準的に利用されているドキュメント作成ソフトウェアを用い、編集可能な形式で納品すること。

ウ ドキュメントには設計結果のみを記載するのではなく、設計根拠等も明示し、検討経緯を可視化すること。

エ 並行稼働期間中(引継ぎ期間中)における当該システムの運用・保守事業者からの問合わせにも対応すること。

オ 期間内に引継ぎが完了しない場合は、原則として受託者の責任と負担において引継ぎを完了すること。

(3) 引継ぎ対象本システムの引継ぎ対象を下表に示す。

なお、引継ぎに際しては林野庁業務課の指示に基づき書面又は電子媒体で行うこと。

表 38 本システムの引継ぎ対象項番 引継ぎ先 引継ぎ内容 引継ぎ手順 補足1本システムの運用・保守等事業者(令和８年度４月1日に調達予定) ソースコード(テスト・構成管理・環境構築等に利用するコード含む) 開発環境に必要となる各種ツール 各種設計書・ドキュメント類 運用課題(管理簿) 仕様課題(管理簿) インシデント状況(管理簿) 連携業務アプリケーション対応状況(管理簿) ヘルプデスク作業 各種運用・保守作業 その他成果物一式 (クラウドサービスの管理に必要なアカウントや鍵情報、またIaC(Infrastructure as Code)に基づくシステム構築・管理等に係る構成管理ファイル等情報を漏れなく含む)受託者は、引継ぎ計画書の内容に基づいて、引継ぎ作業を行う。

(4) クラウドサービスを利用する場合の引継ぎ本システムでは、本調達の契約期間終了後も、クラウドサービスの契約期間終了前に契約の延長又は他の引継ぎ先事業者(運用・保守事業者を想定)への引継ぎ等を行うことで、クラウドサービスをそのまま継続利用することを想定している。

引継ぎに際しては、必要に応じて引継ぎ先事業者及びクラウドサービスプロバイダとの間で書面による契約等を行い、しかるべく管理者権限の引渡し等を行うこと。

45(5) 引継ぎ結果報告書の作成引継ぎ作業の完了時に、本システムの、他事業者等への引継作業の実施結果について記載した「引継ぎ結果報告書」を作成し、林野庁業務課へ報告を行うこと。

(6) 前任事業者からの引継作業受託者は、本業務を実施するために必要な情報について、引継元である前任の運用・保守事業者からの引継ぎを受けること。

引継ぎ完了後は、受託者が引継ぎ完了報告書(確認者、確認日時、完了条件の適合性等を記載)を作成し、林野庁業務課の承認を得ること。

46教育に関する事項(1) 教育計画の策定教育訓練の対象者、スケジュール、実施内容、実施方法(集合研修、テキスト配布等)、教材等に関する教育訓練実施計画書を作成し、林野庁業務課からの承認を得ること。

(2) 教育対象者本システムの教育対象者を下表に示す。

詳細は本システムの開発時点で決定する。

表 39 教育対象者項番 教育対象者 教育内容 教育対象者数1 林野庁職員 山地災害調査アプリケーション全体に共通する使用方法 500人程度(3) 教育の実施時期教育訓練の実施スケジュールについては、林野庁業務課を介した調整により、受講対象者と事前に調整した上で確定すること。

ただし、遅くとも本サービス運用開始の 4 週間前までに教育を完了し、本サービスを利用した業務開始前までに十分な習熟期間を確保できるようにすること。

(4) 教育の方法教育訓練の実施方法は、主に講義形式又はマニュアル配布を想定している。

以下に、各教育訓練方法についての要件を示す。

ア 講義における講師は、受託者が実施すること。

イ 講義に必要な教材については、受託者が準備すること。

必要な機材(プロジェクタ等)は、林野庁業務課と協議の上、必要に応じて受託者が準備すること。

ウ 講義会場及びWeb会議環境は、林野庁業務課側で準備するものとする。

詳細については林野庁業務課と協議の上、決定とする。

エ 講義は録画を行い、必要に応じて、掲載等を行うこと。

また、録画データは納品の上、林野庁業務課が再利用することを妨げないこと。

オ 講義開催日数は、１回(１日×１回)を想定している。

講義開催時間は、概ね２時間とすること。

カ 講義参加予定人数分の教育教材を用意すること。

なお、必ずしも紙媒体で教材を準備する必要はなく、受講者が確認しやすい形態であれば電子データを配布する形でも構わない。

キ 講義終了後、15分程度の質疑応答の時間を設けること。

ク 講義では受講者がシステム操作を実体験できるようにすること。

ただし、本番環境以外に研修用の環境を構築するなどし、本番稼動に影響を与えずに研修を実施できるよう林野庁業務課と調整すること。

47ケ 講義、マニュアルに関するアンケート用紙を作成の上、講義後に受講者に回答を依頼すること。

なお、アンケート内容は事前に林野庁業務課と調整すること。

(5) 教材の作成上記の教育対象者に対して、操作マニュアル、教育資料(システムの概要資料、操作動画、FAQ等を想定)を作成すること。

詳細は教育実施計画書の策定時に、林野庁業務課と協議の上決定する。

教育資料の概要を下表に示す。

表 40 教育資料の概要項番 教材 教材の概要 対象者 補足１操作動画 情報システムの操作方法について動画に取りまとめたもの林野庁職員ア 教育資料の作成に当たっては、情報システムやスマートフォンの操作に不慣れな者でも分かりやすいような構成、内容とすること。

イ 利用者向けの操作マニュアル等については、サービスデザイン思考、UI/UX等の観点から、民間スマートフォンアプリ等の経験を有する専門のUI/UXデザイナーを体制に組み入れること。

ウ 教育資料については、林野庁業務課のレビューを経て承認を得ること。

(6) 教育訓練実施結果報告教育訓練の実施結果を教育訓練実施結果報告書にて林野庁業務課に報告し、承認を得ること。

運用に関する事項現時点で想定する運用要件を以下に示す。

(1) 運用・保守計画運用・保守の設計で検討した内容を踏まえて、以下の要件が含まれる形で運用・保守計画書及び運用・保守実施要領の確定版を作成すること。

48表 41 運用・保守計画書の記載内容項番 項目 補足1 作業概要 ・ 監視、運用・保守作業の対象範囲、管理対象、作業概要等を記載する。

2 作業体制に関する事項・ 運用・保守業務を実施するための体制について、管理体制図、本件受託者の要員(責任者、作業者、役割分担)、連絡手段等について記載し、全体的な運用管理体制を明確にすること。

3 スケジュールに関する事項・ プロジェクト計画書及び調達仕様書に基づき、運用・保守を行う上で基本とする作業内容、関係するほかの作業工程、そのスケジュール等について記載すること。

・ 日次、週次、月次等の定型的な業務について、作業内容を記載すること。

また複数回発生した非定型業務の報告及びその定形業務化(手順書の作成等)の提案を含めること。

・ 年次の作業内容には、運用業務の中で発生した運用上の課題、作業量の多い作業等について整理報告し、その改善(例えば自動化等)の提案を行う作業、情報システム運用継続計画の見直し作業、運用・保守計画書の見直し作業を含めること。

4 成果物に関する事項・ 運用・保守業務にて納品する成果物の内容、担当者、納品期限、納品方法、納品部数等について記載する。

5運用・保守形態、運用・保守環境等・ 運用において採用する運用形態(オンサイト、リモート等)、運用環境(本番環境、検証環境、研修環境等の有無)等を記載する。

こと。

6 管理対象 受託者は本業務で開発する山地災害調査アプリケーション及びドキュメントについて保守を行うこと。

7 クラウドサービスの利用 運用作業、運用手順及び運用管理用のソフトウェアも含め、可能な限り統一化を図るとともに、自動化された機能及びクラウドサービスが提供する機能等を利用し、運用に係る役務を可能な限り効率化すること。

 利用しているクラウドサービスの機能や性能等に変更が発生した場合、受託者側でクラウドサービスの変更に伴う開発中システムへの影響を確認し、システムの改修が必要な場合は、原則対応すること。

ただし、改修規模が大きい又は影響範囲が広い場合は林野庁業務課と協議の上対応を検討・実施すること。

8 サービスレベル 運用・保守業務で達成目標とするサービスレベル項目及びサービスレベルを林野庁業務課が協議の上、決定すること。

 運用におけるリソース使用状況に基づき､毎年のリソース計画を策定する。

月間の運用実績を評価し、達成状況が目標に満たない場合はその要因の分析を行うとともに、サービスレベル達成状況の改善に向けた対応策を提案すること。

9 その他 上記に掲げる事項のほか、運用・保守を行う上での前提条件、時間、予算、品質等の制約条件等について記載する。

49表 42 運用・保守実施要領の記載内容項番 項目 補足1コミュニケーション管理・ 運用・保守業務を実施する上で必要となるコミュニケーション手段について、会議体(会議体 名称、開催目的、開催スケジュール、出席者、報告内容等)、インシデント発生時 の報告ルート等について記載し、効率的かつ円滑なコミュニケーションを実現すること。

2 体制管理 ・ 運用・保守に携わる事業者における作業体制の管理手法等について記載する。

3 作業管理 ・ 運用・保守作業及びその品質の管理手法等について記載する。

4 リスク管理 運用・保守における作業を阻害する可能性のあるリスクを適切に管理するため、リスク認識の手法、リスクの管理手法、顕在時の対応手順等について記載すること。

5 課題管理 運用・保守において解決すべき問題について、発生時の対応手順、管理手法等について記載すること。

6 システム構成管理 運用・保守における情報システムの構成(ハードウェア、ソフトウェア製品、アプリケーションプログラム、ネットワーク、外部サービス、施設・区域、公開ドメイン等)の管理手法等について記載すること。

7 変更管理 運用・保守により発生する変更内容について、管理対象、変更手順、管理手法等について記載すること。

8 情報セキュリティ対策 運用・保守における情報漏えい対策等について記載すること。

(2) 運用・保守準備運用・保守に当たって、以下の準備作業の実施等を行うこと。

ア 監視設定運用業務を効率的に実施するため、監視、アラートについて、システムの特性、各種アラート発生時の重要度に応じたチューニング(マッチング文字列、閾値、アラート検知結果の重要度など)を行い、定量的な計測に基づいて監視を行うこと。

また、アラートの通知先、通知手段等は林野庁業務課と協議の上、決定すること。

イ バックアップサービスサービスの故障復旧に必要なデータのバックアップを定期的に取得すること。

また、故障復旧時における必要なデータのリストア作業の手順、役割分担等を事前に決定し、故障発生時には実施すること。

ウ 運用・保守手順書運用・保守実施要領及び運用・保守計画書に基づき、運用・保守手順書を作成すること。

(3) システム稼働要件本システムの本番稼動に係る要件は「1.3業務実施の時期・時間」を参照すること50(4) 主な運用作業一覧現時点で想定する主な運用作業の一覧について、以下に示す。

以下の内容を基に、本システムの設計及び開発時に、運用・保守計画書、運用・保守設計書及び運用・保守マニュアルの案を作成すること。

表 43 主な運用作業一覧項番運用作業の分類主な運用作業の内容1 パッチ適用 保守におけるパッチ適用要否の判断結果に基づき、パッチを適用の上、適用後の稼働確認を行う。

2ログ管理業務 操作ログやアクセスログ等のシステムログ、例外事象の発生に関するログを取得すること。

 ログ解析機能の活用を前提として、適切なキャパシティ管理を行うこと。

キャパシティの改善が必要と判断された場合、キャパシティ改善提案を行うこと。

 収集したログを一元的に管理し、不正侵入や不正行為の有無の点検・分析を効率的に実施すること。

3ジョブ管理業務 ジョブの登録・更新、ジョブの起動スケジュール(カレンダー)を登録し、ジョブの実施結果を確認、報告する。

 林野庁業務課が必要性を認めた際は、林野庁業務課の指示に従い、ジョブの手動実行を行う。

4システム監視 サービスの運用状況を監視し、障害の発生またはその兆候を検知するとともに、障害を検知した際には重要性等で分類した上で、メールなどにより自動で通知する仕組みを構築すること。

監視には、例として以下のものがある。

ジョブ監視、死活監視、性能監視、リソース監視、障害監視、ログ監視(監視対象のログを監視し、特定の文字列パターンと一致した場合に障害とする方式)、セキュリティ監視、クラウドの構成監視(クラウドサービスを構成する要素を監視する方式)、外形監視(当該システムを利用するユーザーと同じ方法でアクセスし正常に動作しているか監視する方式)等 各種監視結果を定期的に集計・分析し、監視方法や閾値、通知の見直し等が必要な場合は、林野庁業務課の承認を得た上でこれに係る設計を行い、対応を実施すること。

※システムサイジングについても定期的に分析を行い、林野庁業務課の承認を得た上で見直すこと。

5 問題管理 本サービスに対し、重大な影響を与えるインシデントや将来的に重大なインシデントに発展する可能性がある問題について影響評価を行った上で、緊急度及び優先度を定め、根本原因の調査及び解決策の立案を行うこと。

6 変更管理 課題管理機能の活用を前提として、適切な変更管理を実施すること。

 構成要素を追加、変更又は廃棄する場合は、変更依頼書を起票すること。

7リリース管理 林野庁業務課とリリース作業の日程、作業内容、依頼事項等の調整を行い、実施の計画をリリース計画書に記載すること。

 リリースを実施した際、リリースに関する情報を「リリース管理台帳」にて管理すること。

 「リリース管理台帳」には以下の項目を管理し、履歴を確認することとし、その管理が必要な項目についても管理する仕組みとすること。

 実施計画の内容 リリーステストの実施有無及び結果 リリース時期 各種レビューの実施有無及び結果 リリース内容 リリース計画書については、リリース予定日より十分な期間を確保の上、前もって林野庁業務課の承認をもって提出すること。

なお、緊急なリリースを要する場合は林野庁業務課と協議すること。

8システム構成管理 本システムに係る全ての構成品目について、適切な構成管理を実施すること。

 システム構成管理対象を特定し、管理レベルを定めること。

なお、システム構成管51項番運用作業の分類主な運用作業の内容理対象は、本システムを構成するクラウドサービス、ソフトウェア製品、ソフトウェアのバージョン、アプリケーションプログラム、通信回線、公開ドメインのほか、本システムの運用・保守に係る全ての文書及びデータとすること。

ただし、本システムの外部から提供を受けるものであり、運用・保守において変更を行わないものは、システム構成管理の対象外とする。

 システム構成管理対象の変更について、変更履歴を追跡可能であること。

 本番環境・検証環境の維持管理を行うこと。

 本システムのアプリケーションはCIツールで管理すること。

9バックアップ システムバックアップ、データバックアップを取得すること。

 必要に応じてシステムリストア、データリストアを実施すること。

10 業務支援 林野庁業務課の指示に基づき、利用者の利用状況のデータを集計し、林野庁業務課に定期的に報告すること。

 必要に応じて、データベースやディレクトリ等に施されるアクセス制御の設定変更を実施すること。

 運用に必要な端末は受託者が用意すること。

 ヘルプデスク担当者からの問合せ、またはサービスデスクからの問合せに対するFAQ を作成すること。

11 障害対応 障害発生時は、発生から解決までの一連の作業(受付、問題判別、業者間調整、調査解析、修復方法の検討、障害原因アプリケーションの再設計・製造・試験、再発防止・品質向上作業、報告書作成・報告実施、アプリケーション保守環境反映)を行うこと。

 本システムの連携先システムにおいて障害が発生し、業務影響が発生した場合においても、連携先システム担当が実施する原因調査､代替策、解決策の検討及び処置を必要に応じて支援すること。

 システム障害と想定される連絡を受け付けた際、別途、林野庁業務課より指示する担当者へ速やかにエスカレーションすること。

 府省内担当者との応答内容の記録を残すこと。

12ヘルプデスク業務 本サービスの利用方法に関する問合せの受付からクローズまでを一元管理するヘルプデスクを設け、本サービス利用者からの問合せを受け付けること。

 問い合わせの要件は以下に示す。

 受付時間・方法：「1.3業務実施の時期・時間」に記載 平均処理時間：1時間/件 平均応答速度：３営業日/件 一年の問い合わせ想定量：10件 ヘルプデスク担当者のスケジューリング等の運営を適切に行うこと。

 ヘルプデスク担当者による対応手順、サービスレベル等を統一するため、ヘルプデスク運用マニュアルを作成し、林野庁業務課の承認を得ること。

 ヘルプデスク運営の中でFAQ は適宜追加、更新等、メンテナンスを行うこと。

 受け付けた問合せは、質問、インシデント、サービス要求、作業依頼等に分類した上で、対応日時、問合せ元、内容、回答状況等とともに記録すること。

なお、具体的な運用方法については、本サービスの設計開始以降に改めて検討する。

 問い合わせ記録は受付件数、問い合わせ者情報、問い合わせ内容、回率、回答に要した期間、回答内容等を適切な粒度で整理した上で、定期的に問題発生状況を分析し、必要な対応を行うこと。

 運用･保守の計画及び実施状況について、林野庁業務課の定める報告様式に従って取りまとめ、林野庁業務課に報告を行うこと。

(原則、月次での報告)13設計・開発事業者による報告・問合せ対応 問合せに関する調査完了後、ヘルプデスクへの回答を行うこと。

 その他、適宜、林野庁業務課と必要に応じて密に連携を図り、ヘルプデスクの円滑な運営に資すること。

14インシデント管理 情報セキュリティインシデントが発生した場合は、「運用・保守実施要領」等に定めた手順に従ってインシデント対応を行うこと。

対応に当たっては、林野庁業務52項番運用作業の分類主な運用作業の内容課、関係事業者と適宜調整の上で対応を行うこと。

15バージョンアップ対応 保守におけるバージョンアップ対応要否の判断結果に基づき、バージョンアップ対応を実施し、稼働後の動作確認を行うこと。

16大規模災害等対応訓練 大規模災害等への対応訓練を行うこと。

 大規模災害対応訓練シナリオ見直し本番運用・保守の計画で定義されている訓練シナリオ・手順書を適宜見直し、必要に応じて、設計・開発事業者に確認を依頼すること。

訓練シナリオ・手順書を変更した場合は、林野庁業務課の承認を得ること。

 大規模災害対応訓練の実施受託者は、大規模災害発生時から復旧に係る作業について、林野庁業務課及び関係する事業者が迅速かつ適切に作業を実施できるよう、年に1 回、訓練シナリオ・手順書に基づき、訓練を実施すること。

実施に当たっては、主に連絡ルートの確認を実施し、結果を「大規模災害等対応訓練完了報告書(本番運用開始後)」に記載し、林野庁業務課に報告すること。

なお、訓練への参加は、受託者と林野庁業務課のみとし、他事業者や外部連携システムは対象外とする。

 情報漏洩への対応訓練を行うこと。

 情報漏洩対応訓練の実施受託者は、情報漏洩等に係る情報セキュリティインシデント対応について、林野庁業務課及び関係する事業者が迅速かつ適切に作業を実施できるよう、年に1 回、訓練シナリオ・手順書に基づき、訓練を実施すること。

実施に当たっては、主に連絡ルートの確認を実施し、結果を「情報漏洩等対応訓練完了報告書(本番運用開始後)」に記載し、林野庁業務課に報告すること。

なお、訓練への参加は、受託者と林野庁業務課のみとし、他事業者や外部連携システムは対象外とする。

17 運用改善 受託者は、システムの状況を林野庁業務課が定期的に把握できるように仕組みを整えること。

 プロジェクトの目標とする指標、システムの利用者の利用状況 クラウドのリソース等、システムの利用状況・コストの発生状況 システムの利用状況については、少なくとも以下の項目および「2.4.(8) モニタリング対象データ一覧」に記載した項目を実施し、利用状況の分析とその後の改善策に資する項目を含めること。

 運用管理・保守業務の作業別の所要時間 自動化や効率化が可能と思われる作業の洗い出し システム及び運用・保守業務の改善提案 アイドリングなどの無駄／過剰なリソースを発見し、コスト削減につながる仕組みを整え、アドバイスも指摘すること 受託者は、システムの利用拡大や利便性向上のため、実績に基づいた定量的なデータや利用者からの問合せ内容等を分析し、多くの利用者が操作方法に迷う部分や誤操作を誘発する部分を把握した上でシステムの改善策を検討すること。

また林野庁業務課と協議の上、システムの改善を実施すること。

18サービスオペレーション支援 本サービスが動作するに当たり、必要となるデータベースの各種マスタ情報を維持管理すること。

また、マスタ情報管理のための GUI を具備しないマスタ情報の場合、変更依頼を前提として情報の登録、検索、更新、削除のための SQL を作成し、これを実行すること。

 計画停止、保守作業、障害対応等により利用者への影響が生じる場合、本サービスの Web サイトにお知らせを掲載するなどの方法により周知連絡を行うこと。

 作業影響を生じる範囲について、不測の運用障害を回避する観点から、メンテナンス機能を利用してサービス閉塞・閉塞解除運用を実施すること。

 アプリケーションの障害を防ぐため、システムメンテナンスの一環として、サーバを定期的に再起動する。

再起動後はサービスの動作確認等を行い、問題が無いことを確認すること。

再起動のタイミングは林野庁業務課と協議の上、決定すること。

53項番運用作業の分類主な運用作業の内容19情報セキュリティ監査 林野庁業務課が情報セキュリティ監査を実施する場合がある。

その際はセキュリティ監査事業者との調整・ヒアリングへの協力を行うこと。

20アカウント管理 アカウントの利用状況の棚卸を実施すること。

実施するタイミングは、年1回程度を想定しているが、具体的な時期については林野庁業務課と協議の上、決定すること。

21 その他業務  サーバ証明書の更新、ドメインの管理等を行うこと。

なお、以下の各管理については、クラウドサービスで可能な限り実現することとし、自動化を図ること。

運用管理、死活監視、稼働状況監視、セキュリティ監視、ジョブ管理、バックアップ管理、ログ管理(送受信ログ等の保存)、ウィルスパターン更新管理、セキュリティパッチ更新管理、依頼作業対応、構成管理、文書管理、アカウント管理、データ管理、障害対応、定例報告保守に関する事項受託者は、運用・保守計画書及び運用・保守実施要領に基づき以下の作業を適切に実施すること。

(1) 保守業務の実施保守業務として以下を実施すること。

ア 問合せの受付時間は、「1.3業務実施の時期・時間」に記載の通りとする。

ただし、林野庁業務課が緊急かつ業務に支障を来すと判断した場合はこの限りではない。

イ 受け付けた問い合わせをインシデントとして管理し、インシデントのクローズまで、対応を継続すること。

ウ 障害について対応したときは、障害報告書を作成し、林野庁業務課に報告すること。

(2) 保守設計保守設計として以下を実施すること。

ア 役割分担の整理役割分担を行う際に以下の点に留意すること。

 保守業務の設計に際し、受託者の責任範囲及びクラウドサービスを含めた関連事業者間の役割分担を整理すること。

 新システムがクラウドサービス上で稼働することを踏まえ、各業者間の役割分担を考慮した上で、保守設計を行うこと。

イ クラウドサービスの利用クラウドサービスを利用する際に以下の点に留意すること。

 保守設計を実施する上で、クラウドサービスの標準機能を可能な限り活用すること。

 クラウドサービスによる自動化等により、省力化を実施すること。

 運用・保守実施要領、運用・保守計画書及び運用・保守手順書については、クラウドサービスが提供する各サービスを活用することにより、作業のみならずドキュメント類についても効率的に作成すること。

 利用するクラウドサービスにおいて、提供サービスの仕様上必要となるアップデートパ54ッチの適用やメンテナンス等の対応に際して、システムへの影響度に鑑み、林野庁業務課と協議の上対応を行うこと。

または、自動適用を行う等の対応が可能となるよう、必要な仕組み(検知、適用、等)を準備すること。

(3) アプリケーションの保守アプリケーションの保守として以下を実施すること。

ア インシデント管理運用管理・監視等作業におけるインシデント管理と適切な連携を図ること。

イ 是正保守アプリケーションに起因した障害発生時、監査指摘事項への対応時等、アプリケーションの是正が必要な場合に、是正保守を行うこと。

ウ 適応保守OS、ブラウザ、ミドルウェア等のバージョンアップ対応等、利用環境の変更への対応が必要な場合、アプリケーションに係る適応保守を行うこと。

エ 予防保守本サービスのアプリケーションに潜在的な問題が発見され、当該問題除去を目的とした変更が必要な場合又はアプリケーションコンポーネントについて新たに脆弱性が報告された場合に、予防保守を行うこと。

オ 改善措置上記イ～エに伴う改善措置を実施する際には以下の点に留意すること。

 国民等の利用者に影響がある保守作業を実施する場合は、アプリケーション保守の実施効果、現在及び将来の利用者に対する影響の分析を行うこと。

 アプリケーションに係る機能性、信頼性、使用性、効率性、保守性、移植性等の改善が必要な場合に、対処を行うこと。

 Web 解析結果に基づき、本サービスのユーザーインタフェースについて、ユーザビリティ又は UX に関する課題を識別した場合、課題解決に資する是正保守、予防保守を行うこと。

 Web サーバ、データベース等について、「表 57主な運用作業一覧 17運用改善」の結果を踏まえ、必要に応じて稼働環境の改善等に伴う設定変更を実施すること。

カ 根本原因の分析根本原因を分析する際に以下の点に留意すること。

 是正保守及び予防保守の実施に当たり、障害、監査指摘、潜在する問題等に係る根本原因の分析を行うこと。

キ 検証修正したアプリケーションを本番環境へ展開(デブロイ)する前に、修正が適切に実施されているか否かについて検証環境において検証すること。

ク 文章の修正アプリケーション保守に伴い、ドキュメント(設計書、マニュアル等)の修正を要する55場合は、速やかに修正を行うこと。

なお、改修等に伴い画面等に発生する変更が軽微な場合は、ドキュメントの更新方針等について別途林野庁業務課と協議すること。

(4) クラウドサービスの保守クラウドサービスの保守として以下を実施すること。

ア 利用しているクラウドサービスにおいて脆弱性及び不具合が確認された場合は、その対応について林野庁業務課と協議し、パッチ適用要否を判断すること。

イ クラウドサービスにおいてバージョンアップ等の情報が公開された場合には、バージョンアップに伴う影響調査を実施した上で、林野庁業務課と協議し、適用等の可否を決定すること。

なお、実施することとなったバージョンアップに伴う機器・サービス等の停止は計画停止に準ずるものとして扱う。

また、バージョンアップに起因して改修が必要な場合には、対応について別途林野庁業務課と協議すること。

ウ クラウドサービスで利用している環境の最新化や更新は、原則としてIaC(Infrastructure as Code)を活用しコードを変更し、変更後のコードを実行することにより実施すること。

エ 修正パッチ適用やバージョンアップ等を行う場合には、事前に検証環境において本サービスの運用に影響が生じないことを十分に検証し、環境更新の事前評価を実施すること。

(5) ソフトウェア保守ソフトウェアの保守として以下を実施すること。

ア ソフトウェア最新化本サービスを構成する全てのソフトウェアについて、製品不具合や情報セキュリティに関する脆弱性を修正するため、林野庁業務課と協議の上、ソフトウェア実行環境の形態に応じてソフトウェアを最新化すること。

イ 修正プログラム修正プログラム適用の際は以下の点に留意すること。

 情報セキュリティや安定稼働の観点から緊急性が高いと考えられる修正プログラムについては、緊急適用を計画すること。

緊急性が低い修正プログラムについては、定期保守作業の中での適用を計画すること。

 使用しているクラウドサービスの内容に変更が発生する際には、クラウドサービスより提供する情報を元にシステムへの影響範囲を調査の上、修正プログラムの適用可否を林野庁業務課へ報告すること。

適用が必要と判断された場合、クラウドサービスより提供されるソフトウェアに対する修正プログラムの適用作業を実施すること。

ウ 検証・デプロイ検証・デプロイを行う際は以下の点に留意すること。

 ソフトウェア保守に当たっては、事前に検証環境において本サービスの運用に影響が生じないことを十分に検証すること。

 ソフトウェア保守に伴い、本サービスの安定稼働に影響が生じる事態が予測される場合、林野庁業務課の指示に基づいてデプロイ実施の是非を判断すること。

56エ 設計書への反映ソフトウェア保守によりソフトウェア構成に変更が生じた場合、設計書等へ変更内容を反映すること。

オ 保守条件保守条件は、「製品の導入や使用方法」、「製品の互換性や相互操作性」、「製品資料の解釈」、「構成サンプルの提供」、「修正策の情報提供」、「製品プログラム、製品コードに起因する障害」等の保守が提供されることを想定しているが、最終的な保守条件は、林野庁業務課と調整の上、保守設計において決定すること。

(6) 保守実績の評価及び改善保守実績の評価及び改善として以下を実施すること。

ア 本サービスの運営に関わる関係者間で本サービスの保守に係る情報や問題認識を共有し、保守業務の品質を継続的に維持・向上させること。

イ 本システムが使用するアプリケーション、クラウドサービス、ソフトウェア等の保守実施状況について、日々の保守業務の中で収集する定量的な管理指標を定め、林野庁業務課と合意すること。

ウ ログ解析機能等を活用し、指標値の収集、評価及び管理を効率的に行うこと。

エ 管理指標の達成状況を評価し、未達の場合は原因分析を行い、改善措置を検討すること。

また、必要に応じ、監視のために暗号化された通信データの復号化や、復号されたデータの再暗号化のための機能を設けること。

(３)情報セキュリティの観点に基づくソフトウェアの選定情報システムを構成するソフトウェアについては、運用中にサポートが終了しないよう可能な限り最新版を選定し、利用するソフトウェアの種類、バージョン及びサポート期限に係る情報を農林水産省に提供すること。

(別添２)- 6 -ただし、サポート期限が公表されていないソフトウェアについては、情報システムのライフサイクルを踏まえ、ソフトウェアの発売等からの経過年数や後継となるソフトウェアの有無等を考慮して選定すること。

(４)情報セキュリティの観点に基づく試験の実施ア ソフトウェアの開発及び試験を行う場合は、運用中の情報システムとの分離イ 試験項目及び試験方法の決定並びにこれに基づいた試験の実施ウ 試験の実施記録の作成・保存(５)情報システムの開発環境及び開発工程における情報セキュリティ対策ア 変更管理、アクセス制御、バックアップの取得等、ソースコードの不正な変更・消去を防止するための管理イ 調達仕様書等に規定されたセキュリティ実装方針の適切な実施ウ セキュリティ機能の適切な実装、セキュリティ実装方針に従った実装が行われていることを確認するための設計レビュー及びソースコードレビューの範囲及び方法の決定並びにこれに基づいたレビューの実施エ オフショア開発を実施する場合の試験データに実データを使用することの禁止(６)政府共通利用型システムの利用における情報セキュリティ対策ガバメントソリューションサービス(ＧＳＳ)等、政府共通利用型システムが提供するセキュリティ機能を利用する情報システムを構築する場合は、政府共通利用型システム管理機関が定める運用管理規程等に基づき、政府共通利用型システムの情報セキュリティ水準を低下させることがないように、適切なセキュリティ要件を実装すること。

４ 受託者は、本業務において情報システムの運用・保守を行う場合には、以下の事項を含む措置を適切に実施すること。

(１)情報システムに実装されたセキュリティ機能が適切に運用されるよう、以下の事項を適切に実施すること。

ア 情報システムの運用環境に課せられるべき条件の整備イ 情報システムのセキュリティ監視を行う場合の監視手順や連絡方法ウ 情報システムの保守における情報セキュリティ対策エ 運用中の情報システムに脆(ぜい)弱性が存在することが判明した場合の情報セキュリティ対策オ 利用するソフトウェアのサポート期限等の定期的な情報収集及び報告カ 「デジタル・ガバメント推進標準ガイドライン」(デジタル社会推進会議幹事会決定。最終改定：2024 年 5 月 31 日)の「別紙３ 調達仕様書に盛り込むべき情報資産管理標準シートの提出等に関する作業内容」に基づく情報資産管理を行うために必要な事項を記載した情報資産管理標準シートの提出キ アプリケーション・コンテンツの利用者に使用を求めるソフトウェアのバージョンのサポート終了時における、サポートを継続しているバージョンでの動作検証及び当該バージ(別添２)- 7 -ョンで正常に動作させるためのアプリケーション・コンテンツ等の修正(２)情報システムの運用保守段階へ移行する前に、移行手順及び移行環境に関して、以下を含む情報セキュリティ対策を行うこと。

ア 情報セキュリティに関わる運用保守体制の整備イ 運用保守要員へのセキュリティ機能の利用方法等に関わる教育の実施ウ 情報セキュリティインシデント(可能性がある事象を含む。以下同じ。)を認知した際の対処方法の確立(３)情報システムのセキュリティ監視を行う場合には、以下の内容を全て含む監視手順を定め、適切に監視運用すること。

ア 監視するイベントの種類や重要度イ 監視体制ウ 監視状況の報告手順や重要度に応じた報告手段エ 情報セキュリティインシデントの可能性がある事象を認知した場合の報告手順オ 監視運用における情報の取扱い(機密性の確保)(４) 情報システムで不要となった識別コードや過剰なアクセス権限等の付与がないか定期的に見直しを行うこと。

(５) 情報システムにおいて定期的に脆(ぜい)弱性対策の状況を確認すること。

(６)情報システムに脆(ぜい)弱性が存在することを発見した場合には、速やかに担当部署に報告し、本業務における運用・保守要件に従って脆(ぜい)弱性の対策を行うこと。

(７)要安定情報を取り扱う情報システムについて、以下の内容を全て含む運用を行うこと。

ア 情報システムの各構成要素及び取り扱われる情報に関する適切なバックアップの取得及びバックアップ要件の確認による見直しイ 情報システムの構成や設定の変更等が行われた際及び少なくとも年１回の頻度で定期的に、情報システムが停止した際の復旧手順の確認による見直し(８)ガバメントソリューションサービス(ＧＳＳ)等、本業務の調達範囲外の政府共通利用型システムが提供するセキュリティ機能を利用する情報システムを運用する場合は、政府共通利用型システム管理機関との責任分界に応じた運用管理体制の下、政府共通利用型システム管理機関が定める運用管理規程等に従い、政府共通利用型システムの情報セキュリティ水準を低下させることのないよう、適切に情報システムを運用すること。

(９)不正な行為及び意図しない情報システムへのアクセス等の事象が発生した際に追跡できるように、運用・保守に係る作業についての記録を管理し、運用・保守によって機器の構成や設定情報等に変更があった場合は、情報セキュリティ対策が適切であるか確認し、必要に応じて見直すこと。

５ 受託者は、本業務において情報システムの更改又は廃棄を行う場合には、当該情報システムに保存されている情報について、以下の措置を適切に講ずること。

(１)情報システム更改時の情報の移行作業における情報セキュリティ対策(別添２)- 8 -(２)情報システム廃棄時の不要な情報の抹消Ⅴ 情報システムの一部の機能を提供するサービスに関する情報セキュリティの確保応札者は、要機密情報を取り扱う情報システムの一部の機能を提供するサービス(クラウドサービスを除くものとし、以下「業務委託サービス」という。)に関する業務を実施する場合は、業務委託サービス毎に以下の措置を講ずること。

１ 業務委託サービスの中断時や終了時に円滑に業務を移行できるよう、取り扱う情報の可用性に応じ、以下を例としたセキュリティ対策を実施すること。

(１)業務委託サービス中断時の復旧要件(２)業務委託サービス終了または変更の際の事前告知の方法・期限及びデータ移行方法２ 業務委託サービスを提供する情報処理設備が収容されているデータセンターが設置されている独立した地域(リージョン)が国内であること。

３ 業務委託サービスの契約に定める準拠法が国内法のみであること。

４ ペネトレーションテストや脆(ぜい)弱性診断等の第三者による検査の実施状況と受入に関する情報が開示されていること。

５ 業務委託サービスの利用を通じて農林水産省が取り扱う情報について、目的外利用を禁止すること。

６ 業務委託サービスの提供に当たり、業務委託サービスの提供者若しくはその従業員、再委託先又はその他の者によって、農林水産省の意図しない変更や機密情報の窃取等が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること(例えば、品質保証体制の責任者や各担当者がアクセス可能な範囲等を示した管理体制図、第三者機関による品質保証体制を証明する書類等を提出すること)。

７ 業務委託サービスの提供者の資本関係、役員等の情報、業務委託サービスの提供が行われる施設等の場所、業務委託サービス提供に従事する者(契約社員、派遣社員等の雇用形態は問わず、本業務に従事する全ての要員)の所属、専門性(情報セキュリティに係る資格、研修実績等)、実績及び国籍に関する情報を記載した資料を提出すること。

８ 業務委託サービスの提供者の情報セキュリティ水準を証明する、Ⅱの２で掲げる証明書等または同等以上の国際規格等の証明書の写しを提出すること。

９ 情報セキュリティインシデントへの対処方法を確立していること。

10 情報セキュリティ対策その他の契約の履行状況を確認できること。

11 情報セキュリティ対策の履行が不十分な場合の対処方法を確立していること。

12 業務委託サービスの提供者との情報の受渡し方法や委託業務終了時の情報の廃棄方法等を含む情報の取扱手順について業務委託サービスの提供者と合意し、定められた手順により情報を取り扱うこと。

Ⅵ クラウドサービスに関する情報セキュリティの確保(別添２)- 9 -応札者は、本業務において、クラウドサービス上で要機密情報を取り扱う場合は、当該クラウドサービスごとに以下の措置を講ずること。

また、当該クラウドサービスの活用が本業務の再委託に該当する場合は、当該クラウドサービスに対して、Ⅹの措置を講ずること。

１ サービス条件(１)クラウドサービスを提供する情報処理設備が収容されているデータセンターについて、設置されている独立した地域(リージョン)が国内であること。

(２)クラウドサービスの契約に定める準拠法が国内法のみであること。

(３)クラウドサービス終了時に情報を確実に抹消することが可能であること。

(４)本業務において要求されるサービス品質を満たすクラウドサービスであること。

(５)クラウドサービス提供者の資本関係、役員等の情報、クラウドサービス提供に従事する者(契約社員、派遣社員等の雇用形態は問わず、本業務に従事する全ての要員)のうち農林水産省の情報又は農林水産省が利用するクラウドサービスの環境に影響を及ぼす可能性のある者の所属、専門性(情報セキュリティに係る資格、研修実績等)、実績及び国籍に関する情報を記載した資料を提出すること。

(６)ペネトレーションテストや脆(ぜい)弱性診断等の第三者による検査の実施状況と受入に関する情報が開示されていること。

(７)原則として、ISMAP クラウドサービスリスト又は ISMAP-LIU クラウドサービスリスト(以下「ISMAPクラウドサービスリスト等」という。)に登録されているクラウドサービスであること。

(８)ISMAPクラウドサービスリスト等に登録されていないクラウドサービスの場合は、ISMAPの管理基準に従い、ガバナンス基準及びマネジメント基準における全ての基準、管理策基準における統制目標(３桁の番号で表現される項目)及び末尾にＢが付された詳細管理策(４桁の番号で表現される項目)を原則として全て満たしていることを証明する資料を提出し、農林水産省の承認を得ること。

２ クラウドサービスのセキュリティ要件(１)クラウドサービスについて、以下の要件を満たしていること。

ア クラウドサービス提供者が提供する主体認証情報の管理機能が農林水産省の要求事項を満たすこと。

イ クラウドサービス上に保存する情報やクラウドサービスの機能に対してアクセス制御できること。

ウ クラウドサービス利用者によるクラウドサービスに多大な影響を与える操作が特定されていること。

エ クラウドサービス内及び通信経路全般における暗号化が行われていること。

オ クラウドサービス上に他ベンダが提供するソフトウェア等を導入する場合、ソフトウェアのクラウドサービス上におけるライセンス規定に違反していないこと。

カ クラウドサービスのリソース設定を変更するユーティリティプログラムを使用する場合、その機能を確認していること。

(別添２)- 10 -キ 暗号鍵管理機能をクラウドサービス提供者が提供する場合、鍵管理手順、鍵の種類の情報及び鍵の生成から廃棄に至るまでのライフサイクルにおける情報をクラウドサービス提供者から入手し、またリスク評価を実施していること。

ク 利用するクラウドサービスのネットワーク基盤が他のネットワークと分離されていること。

ケ クラウドサービス提供者が提供するバックアップ機能を利用する場合、農林水産省の要求事項を満たすこと。

(２)クラウドサービスで利用するアカウント管理に関して、以下のセキュリティ機能要件を満たしていること。

ア クラウドサービス提供者が付与し、又はクラウドサービス利用者が登録する識別コードの作成から廃棄に至るまでのライフサイクルにおける管理イ クラウドサービスを利用する情報システムの管理者権限を保有するクラウドサービス利用者に対する、強固な認証技術による認証ウ クラウドサービス提供者が提供する主体認証情報の管理機能について、農林水産省の要求事項を満たすための措置の実施(３)クラウドサービスで利用するアクセス制御に関して、以下のセキュリティ機能要件を満たしていること。

ア クラウドサービス上に保存する情報やクラウドサービスの機能に対する適切なアクセス制御イ インターネット等の農林水産省外通信回線から農林水産省内通信回線を経由せずにクラウドサービス上に構築した情報システムにログインすることを認める場合の適切なセキュリティ対策(４)クラウドサービスで利用する権限管理に関して、以下のセキュリティ機能要件を満たしていること。

ア クラウドサービス利用者によるクラウドサービスに多大な影響を与える誤操作の抑制イ クラウドサービスのリソース設定を変更するユーティリティプログラムを使用する場合の利用者の制限(５)クラウドサービスで利用するログの管理に関して、以下のセキュリティ機能要件を満たしていること。

ア クラウドサービスが正しく利用されていることの検証及び不正侵入、不正操作等がなされていないことの検証を行うために必要なログの管理(６)クラウドサービスで利用する暗号化に関して、以下のセキュリティ機能要件を満たしていること。

ア クラウドサービス内及び通信経路全般における暗号化の適切な実施イ 情報システムで利用する暗号化方式の遵守度合いに係る法令や農林水産省訓令等の関連する規則の確認ウ 暗号化に用いる鍵の保管場所等の管理に関する要件(別添２)- 11 -エ クラウドサービスで利用する暗号鍵に関する生成から廃棄に至るまでのライフサイクルにおける適切な管理(７)クラウドサービスを利用する際の設計・設定時の誤り防止に関して、以下のセキュリティ要件を満たしていること。

ア クラウドサービス上で構成される仮想マシンに対する適切なセキュリティ対策イ クラウドサービス提供者へのセキュリティを保つための開発手順等の情報の要求とその活用ウ クラウドサービス提供者への設計、設定、構築等における知見等の情報の要求とその活用エ クラウドサービスの設定の誤りを見いだすための対策(８)クラウドサービス運用時の監視等に関して、以下の運用管理機能要件を満たしていること。

ア クラウドサービス上に構成された情報システムのネットワーク設計におけるセキュリティ要件の異なるネットワーク間の通信の監視イ 利用するクラウドサービス上の情報システムが利用するデータ容量や稼働性能についての監視と将来の予測ウ クラウドサービス内における時刻同期の方法エ 利用するクラウドサービスの不正利用の監視(９)クラウドサービス上で要安定情報を取り扱う場合は、その可用性を考慮した設計となっていること。

(10)クラウドサービスにおいて、不測の事態に対してサービスの復旧を行うために必要なバックアップの確実な実施を含む、情報セキュリティインシデントが発生した際の復旧に関する対策要件が策定されていること。

３ クラウドサービスを利用した情報システムクラウドサービスを利用した情報システムについて、以下の措置を講ずること。

(１)導入・構築時の対策ア クラウドサービスで利用するサービスごとの情報セキュリティ水準の維持に関する手順について、以下の内容を全て含む実施手順を整備すること。

(ア)クラウドサービス利用のための責任分界点を意識した利用手順(イ)クラウドサービス利用者が行う可能性がある重要操作の手順イ 情報システムの運用・監視中に発生したクラウドサービスの利用に係る情報セキュリティインシデントを認知した際の対処手順について、以下の内容を全て含む実施手順を整備すること。

(ア)クラウドサービス提供者との責任分界点を意識した責任範囲の整理(イ)クラウドサービスのサービスごとの情報セキュリティインシデント対処に関する事項(ウ)クラウドサービスに係る情報セキュリティインシデント発生時の連絡体制ウ クラウドサービスが停止し、又は利用できなくなった際の復旧手順を実施手順として整(別添２)- 12 -備すること。

なお、要安定情報を取り扱う場合は十分な可用性を担保した手順とすること。

(２)運用・保守時の対策ア クラウドサービスの利用に関して、以下の内容を全て含む情報セキュリティ対策を実施すること。

(ア)クラウドサービス提供者に対する定期的なサービスの提供状態の確認(イ)クラウドサービス上で利用するＩＴ資産の適切な管理イ クラウドサービスで利用するアカウントの管理、アクセス制御、管理権限に関して、以下の内容を全て含む情報セキュリティ対策を実施すること。

(ア)管理者権限をクラウドサービス利用者へ割り当てる場合のアクセス管理と操作の確実な記録(イ)クラウドサービス利用者に割り当てたアクセス権限に対する定期的な確認による見直しウ クラウドサービスで利用する機能に対する脆(ぜい)弱性対策を実施すること。

エ クラウドサービスを運用する際の設定変更に関して、以下の内容を全て含む情報セキュリティ対策を実施すること。

(ア)クラウドサービスのリソース設定を変更するユーティリティプログラムを使用する場合の利用者の制限(イ)クラウドサービスの設定を変更する場合の設定の誤りを防止するための対策(ウ)クラウドサービス利用者が行う可能性のある重要操作に対する監督者の指導の下での実施オ クラウドサービスを運用する際の監視に関して、以下の内容を全て含む対策を実施すること。

(ア)クラウドサービスの不正利用の監視(イ)クラウドサービスで利用しているデータ容量、性能等の監視カ クラウドサービスを運用する際の可用性に関して、以下の内容を全て含む情報セキュリティ対策を実施すること。

(ア)不測の事態に際してサービスの復旧を行うために必要なバックアップの確実な実施(イ)要安定情報をクラウドサービスで取り扱う場合の十分な可用性の担保、復旧に係る定期的な訓練の実施(ウ)クラウドサービス提供者からの仕様内容の変更通知に関する内容確認と復旧手順の確認キ クラウドサービスで利用する暗号鍵に関して、暗号鍵の生成から廃棄に至るまでのライフサイクルにおける適切な管理の実施を含む情報セキュリティ対策の実施(３)更改・廃棄時の対策ア クラウドサービスの利用終了に際して、以下の内容を全て含む情報セキュリティ対策(別添２)- 13 -を実施すること。

(ア)クラウドサービスで取り扱った情報の廃棄(イ)暗号化消去が行えない場合の基盤となる物理機器の廃棄(ウ)作成されたクラウドサービス利用者アカウントの削除(エ)利用したクラウドサービスにおける管理者アカウントの削除又は返却(オ)クラウドサービス利用者アカウント以外の特殊なアカウントの削除と関連情報の廃棄Ⅶ Webシステム／Webアプリケーションに関する情報セキュリティの確保受託者は、本業務において、Web システム／Web アプリケーションを開発、利用または運用等を行う場合、別紙「Web システム／Web アプリケーションセキュリティ要件書 Ver.4.0」の各項目について、対応可、対応不可あるいは対象外等の対応方針を記載した資料を提出すること。

Ⅷ 機器等に関する情報セキュリティの確保受託者は、本業務において、農林水産省にサーバ装置、端末、通信回線装置、複合機、特定用途機器、外部電磁的記録媒体、ソフトウェア等(以下「機器等」という。)を納品、賃貸借等をする場合には、以下の措置を講ずること。

１ 納入する機器等の製造工程において、農林水産省が意図しない変更が加えられないよう適切な措置がとられており、当該措置を継続的に実施していること。

また、当該措置の実施状況を証明する資料を提出すること。

２ 機器等に対して不正な変更があった場合に識別できる構成管理体制を確立していること。

リスクベース認証や⼆要素認証など認証をより強固にする仕組みもあります。

不特定多数がアクセスする必要がない場合には、IPアドレスなどによるアクセス制限も効果があります。

OpenIDなどIdP(ID Provider)を利⽤する場合には信頼できるプロバイダであるかを確認する必要があります。

IdPを使った認証・認可を⾏う場合も他の認証・認可に関する要件を満たすものを利⽤することが望ましいです。

必須1.1.2 上記画⾯や機能に含まれる画像やファイルなどの個別のコンテンツ(⾮公開にすべきデータは直接URLで指定できる公開ディレクトリに配置しない)では、ユーザー認証を実施すること必須1.1.3 多要素認証を実施すること 多要素認証(Multi Factor Authentication: MFA)とは、例えばパスワードによる認証に加え、TOTP (Time-Based One-Time Password：時間ベースのワンタイムパスワード)やデジタル証明書など⼆つ以上の要素を利⽤した認証⽅式です。

⼿法については NIST Special Publication 800-63B などを参照してください。

推奨1.2 ユーザーの再認証 1.2.1 個⼈情報や機微情報を表⽰するページに遷移する際には、再認証を実施することユーザー認証はセッションにおいて最初の⼀度だけ実施するのではなく、重要な情報や機能へアクセスする際には再認証を⾏うことが望ましいでしょう。

推奨1.2.2 パスワード変更や決済処理などの重要な機能を実⾏する際には、再認証を実施すること推奨1.3 パスワード 1.3.1 ユーザー⾃⾝が設定するパスワード⽂字列は最低 8⽂字以上であること 認証を必要とするWebシステムの多くは、パスワードを本⼈確認の⼿段として認証処理を⾏います。

そのためパスワードを盗聴や盗難などから守ることが重要になります。

必須1.3.2 登録可能なパスワード⽂字列の最⼤⽂字数は64⽂字以上であること パスワードを処理する関数の中には最⼤⽂字数が少ないものもあるので注意する必要があります。

必須1.3.3 パスワード⽂字列として使⽤可能な⽂字種は制限しないこと 任意の⼤⼩英字、数字、記号、空⽩、Unicode⽂字など任意の⽂字が利⽤可能である必要があります。

必須1.3.4 パスワード⽂字列の⼊⼒フォームはinput type="password"で指定すること基本的にinputタグのtype属性には「password」を指定しますが、パスワードを⼀時的に表⽰する可視化機能を実装する場合にはこの限りではありません。

必須1.3.5 ユーザーが⼊⼒したパスワード⽂字列を次画⾯以降で表⽰しないこと(hiddenフィールドなどのHTMLソース内やメールも含む)必須別紙３Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.02 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否1.3.6 パスワードを保存する際には、平⽂で保存せず、Webアプリケーションフレームワークなどが提供するハッシュ化とsaltを使⽤して保存する関数を使⽤すること関数が存在しない場合にはパスワードは「パスワード⽂字列＋salt(ユーザー毎に異なるランダムな⽂字列)」をハッシュ化したものとsaltのみを保存する必要があります。

(saltは20⽂字以上であることが望ましい)パスワード⽂字列のハッシュ化をさらに安全にする⼿法としてストレッチングがあります。

必須1.3.7 ユーザー⾃⾝がパスワードを変更できる機能を⽤意すること 必須1.3.8 パスワードはユーザー⾃⾝に設定させることシステムが仮パスワードを発⾏する場合はランダムな⽂字列を設定し、安全な経路でユーザーに通知すること推奨1.3.9 パスワードの⼊⼒欄でペースト機能を禁⽌しないこと ⻑いパスワードをユーザーが利⽤出来るようにするためにペースト機能を禁⽌しないようにする必要があります。

推奨1.3.10 パスワード強度チェッカーを実装すること 使⽤する⽂字種や⽂字数を確認し、ユーザー⾃⾝にパスワードの強度を⽰せるようにします。

またユーザーIDと同じ⽂字列や漏洩したパスワードなどのリストとの突合を⾏う必要があります。

⼿法については NISTSpecial Publication 800-63B などを参照してください。

推奨1.4 アカウントロック機能について 1.4.1 認証時に無効なパスワードで10回試⾏があった場合、最低30分間はユーザーがロックアウトされた状態にすることパスワードに対する総当たり攻撃や辞書攻撃などから守るためには、試⾏速度を遅らせるアカウントロック機能の実装が有効な⼿段になります。

アカウントロックの試⾏回数、ロックアウト時間については、サービスの内容に応じて調整することが必要になります。

必須1.4.2 ロックアウトは⾃動解除を基本とし、⼿動での解除は管理者のみ実施可能とすること推奨1.5 パスワードリセット機能について 1.5.1 パスワードリセットを実⾏する際にはユーザー本⼈しか受け取れない連絡先(あらかじめ登録しているメールアドレス、電話番号など)にワンタイムトークンを含むURLなどの再設定⽅法を通知すること連絡先については、事前に受け取り確認をしておくことでより安全性を⾼めることができます。

使⽤されたワンタイムトークンは破棄し、有効期限を12時間以内とし必要最低限に設定してください。

必須1.5.2 パスワードはユーザー⾃⾝に再設定させること 必須1.6 アクセス制御について 1.6.1 Web ページや機能、データをアクセス制御(認可制御)する際には認証情報・状態を元に権限があるかどうかを判別すること認証により何らかの制限を⾏う場合には、利⽤しようとしている情報や機能へのアクセス(読み込み・書き込み・実⾏など)権限を確認することでアクセス制御を⾏うことが必要になります。

画像やファイルなどのコンテンツ、APIなどの機能に対しても、全て個別にアクセス権限を設定、確認する必要があります。

これらはアクセス権限の⼀覧表に基づいて⾏います。

CDNなどを利⽤してコンテンツを配置するなどアクセス制御を⾏うことが困難な場合、予測が困難なURLを利⽤することでアクセスされにくくする⽅法もあります。

必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.03 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否1.6.2 公開ディレクトリには公開を前提としたファイルのみ配置すること 公開ディレクトリに配置したファイルは、URLを直接指定することでアクセスされる可能性があります。

そのため、機微情報や設定ファイルなどの公開する必要がないファイルは、公開ディレクトリ以外に配置する必要があります。

必須1.7 アカウントの無効化機能について 1.7.1 管理者がアカウントの有効・無効を設定できること 不正にアカウントを利⽤されていた場合に、アカウントを無効化することで被害を軽減することができます。

推奨2 セッション管理2.1 セッションの破棄について 2.1.1 認証済みのセッションが⼀定時間以上アイドル状態にあるときはセッションタイムアウトとし、サーバー側のセッションを破棄しログアウトすること認証を必要とするWebシステムの多くは、認証状態の管理にセッションIDを使ったセッション管理を⾏います。

認証済みの状態にあるセッションを不正に利⽤されないためには、使われなくなったセッションを破棄する必要があります。

セッションタイムアウトの時間については、サービスの内容やユーザー利便性に応じて設定することが必要になります。

また、NIST Special Publication 800-63B などを参照してください。

必須2.1.2 ログアウト機能を⽤意し、ログアウト実⾏時にはサーバー側のセッションを破棄することログアウト機能の実⾏後にその成否をユーザーが確認できることが望ましい。

必須2.2 セッションIDについて 2.2.1 Webアプリケーションフレームワークなどが提供するセッション管理機能を使⽤することセッションIDを⽤いて認証状態を管理する場合、セッションIDの盗聴や推測、攻撃者が指定したセッションIDを使⽤させられる攻撃などから守る必要があります。

また、セッションIDは原則としてcookieにのみ格納すべきです。

必須2.2.2 セッションIDは認証成功後に発⾏すること認証前にセッションIDを発⾏する場合は、認証成功直後に新たなセッションIDを発⾏すること必須2.2.3 ログイン前に機微情報をセッションに格納する時点でセッションIDを発⾏または再⽣成すること必須2.2.4 認証済みユーザーの特定はセッションに格納した情報を元に⾏うこと 必須2.3 CSRF(クロスサイトリクエストフォージェリー)対策の実施について2.3.1 ユーザーにとって重要な処理を⾏う箇所では、ユーザー本⼈の意図したリクエストであることを確認できるようにすること正規ユーザー以外の意図により操作されては困る処理を⾏う箇所では、フォーム⽣成の際に他者が推測困難なランダムな値(トークン)をhiddenフィールドやcookie以外のヘッダーフィールド(X-CSRF-TOKENなど)に埋め込み、リクエストをPOSTメソッドで送信します。

フォームデータを処理する際にトークンが正しいことを確認することで、正規ユーザーの意図したリクエストであることを確認することができます。

また、別の⽅法としてパスワード再⼊⼒による再認証を求める⽅法もあります。

cookieのSameSite属性を適切に使うことによって、CSRFのリスクを低減する効果があります。

SameSite属性は⼀部の状況においては効果がないこともあるため、トークンによる確認が推奨されます。

必須3 ⼊⼒処理 3.1 パラメーターについて 3.1.1 URLにユーザーID やパスワードなどの機微情報を格納しないこと URLは、リファラー情報などにより外部に漏えいする可能性があります。

そのため URLには秘密にすべき情報は格納しないようにする必要があります。

必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.04 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否3.1.2 パラメーター(クエリーストリング、エンティティボディ、cookieなどクライアントから受け渡される値)にパス名を含めないことファイル操作を⾏う機能などにおいて、URL パラメーターやフォームで指定した値でパス名を指定できるようにした場合、想定していないファイルにアクセスされてしまうなどの不正な操作を実⾏されてし まう可能性があります。

必須3.1.3 パラメーター要件に基づいて、⼊⼒値の⽂字種や⽂字列⻑の検証を⾏うこと各パラメーターは、機能要件に基づいて⽂字種・⽂字列⻑・形式を定義する必要があります。

⼊⼒値に想定している⽂字種や⽂字列⻑以外の値の⼊⼒を許してしまう場合、不正な操作を実⾏されてしまう可能性があります。

サーバー側でパラメーターを受け取る場合、クライアント側での⼊⼒値検証の有無に関わらず、⼊⼒値の検証はサーバー側で実施する必要があります。

必須3.2 ファイルアップロードについて 3.2.1 ⼊⼒値としてファイルを受け付ける場合には、拡張⼦やファイルフォーマットなどの検証を⾏うことファイルのアップロード機能を利⽤した不正な実⾏を防ぐ必要があります。

画像ファイルを扱う場合には、ヘッダー領域を不正に加⼯したファイルにも注意が必要です。

必須3.2.2 アップロード可能なファイルサイズを制限すること 圧縮ファイルを展開する場合には、解凍後のファイルサイズや、ファイルパスやシンボリックリンクを含む場合のファイルの上書きにも注意が必要です。

必須3.3 XMLを使⽤する際の処理について 3.3.1 XMLを読み込む際は、外部参照を無効にすること ⼿法についてはXML External Entity Prevention Cheat Sheetなどを参照してください。

https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html必須3.4 デシリアライズについて 3.4.1 信頼できないデータ供給元からのシリアライズされたオブジェクトを受け⼊れないことデシリアライズする場合は、シリアライズしたオブジェクトにデジタル署名などを付与し、信頼できる供給元が発⾏したデータであるかを検証してください。

必須3.5 外部リソースへのリクエスト送信について 3.5.1 他システムに接続や通信を⾏う場合は、外部からの⼊⼒によって接続先を動的に決定しないこと外部から不正なURLやIPアドレスなどが挿⼊されると、SSRF(Server-Side Request Forgery)の脆弱性になる可能性があります。

外部からの⼊⼒によって接続先を指定せざるを得ない場合は、ホワイトリストを基に⼊⼒値の検証を実施するとともに、アプリケーションレイヤーだけではなくネットワークレイヤーでのアクセス制御も併⽤する必要があります。

推奨4 出⼒処理 4.1 HTMLを⽣成する際の処理について 4.1.1 HTMLとして特殊な意味を持つ⽂字( " ' &)を⽂字参照によりエスケープすること外部からの⼊⼒により不正なHTMLタグなどが挿⼊されてしまう可能性があります。

「<」→「<」や「&」→「&」、「"」→「"」のようにエスケープを⾏う必要があります。

スクリプトによりクライアント側でHTMLを⽣成する場合も、同等の処理が必要です。

実装の際にはこれらを⾃動的に実⾏するフレームワークやライブラリを使⽤することが望ましいでしょう。

また、その他にもスクリプトの埋め込みの原因となるものを作らないようにする必要があります。

XMLを⽣成する場合も同様にエスケープが必要です。

必須4.1.2 外部から⼊⼒したURLを出⼒するときは「http://」または「https://」で始まるもののみを許可すること必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.05 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否4.1.3 .要素の内容やイベントハンドラ(onmouseover=””など)を動的に⽣成しないようにすること.要素の内容やイベントハンドラは原則として動的に⽣成しないようにすべきですが、jQueryなどのAjaxライブラリを使⽤する際はその限りではありません。

ライブラリについては、アップデート状況などを調べて信頼できるものを選択するようにしましょう。

必須4.1.4 任意のスタイルシートを外部サイトから取り込めないようにすること 必須4.1.5 HTMLタグの属性値を「"」で囲うこと HTMLタグ中のname=”value”で記される値(value)にユーザーの⼊⼒値を使う場合、「”」で囲わない場合、不正な属性値を追加されてしまう可能性があります。

必須4.1.6 CSSを動的に⽣成しないこと 外部からの⼊⼒により不正なCSSが挿⼊されると、ブラウザに表⽰される画⾯が変更されたり、スクリプトが埋め込まれる可能性があります。

必須4.2 JSONを⽣成する際の処理について 4.2.1 ⽂字列連結でJSON⽂字列を⽣成せず、適切なライブラリを⽤いてオブジェクトをJSONに変換すること適切なライブラリがない場合は、JSONとして特殊な意味を持つ⽂字( " \, : { } [ ] )をUnicodeエスケープする必要があります。

必須4.3 HTTPレスポンスヘッダーについて 4.3.1 HTTPレスポンスヘッダーのContent-Typeを適切に指定すること ⼀部のブラウザではコンテンツの⽂字コードやメディアタイプを誤認識させることで不正な操作が⾏える可能性があります。

これを防ぐためには、HTTPレスポンスヘッダーを「Content-Type: text/html; charset=utf-8」のように、コンテンツの内容に応じたメディアタイプと⽂字コードを指定する必要があります。

必須4.3.2 HTTPレスポンスヘッダーフィールドの⽣成時に改⾏コードが⼊らないようにすることHTTPヘッダーフィールドの⽣成時にユーザーが指定した値を挿⼊できる場合、改⾏コードを⼊⼒することで不正なHTTPヘッダーやコンテンツを挿⼊されてしまう可能性があります。

これを防ぐためには、HTTPヘッダーフィールドを⽣成する専⽤のライブラリなどを使うようにすることが望ましいでしょう。

必須4.4 その他の出⼒処理について 4.4.1 SQL⽂を組み⽴てる際に静的プレースホルダを使⽤すること SQL⽂の組み⽴て時に不正なSQL⽂を挿⼊されることで、SQLインジェクションを実⾏されてしまう可能性があります。

これを防ぐためにはSQL⽂を動的に⽣成せず、プレースホルダを使⽤してSQL⽂を組み⽴てるようにする必要があります。

静的プレースホルダとは、JIS/ISOの規格で「準備された⽂(PreparedStatement)」と規定されているものです。

必須4.4.2 プログラム上でOSコマンドやアプリケーションなどのコマンド、シェル、eval()などによるコマンドの実⾏を呼び出して使⽤しないことコマンド実⾏時にユーザーが指定した値を挿⼊できる場合、外部から任意のコマンドを実⾏されてしまう可能性があります。

コマンドを呼び出して使⽤しないことが望ましいでしょう。

必須4.4.3 リダイレクタを使⽤する場合には特定のURLのみに遷移できるようにすることリダイレクタのパラメーターに任意のURLを指定できる場合(オープンリダイレクタ)、攻撃者が指定した悪意のあるURLなどに遷移させられる可能性があります。

必須4.4.4 メールヘッダーフィールドの⽣成時に改⾏コードが⼊らないようにすることメールの送信処理にユーザーが指定した値を挿⼊できる場合、不正なコマンドなどを挿⼊されてしまう可能性があります。

これを防ぐためには、不正な改⾏コードを使⽤できないメール送信専⽤のライブラリなどを使うようにすることが望ましいでしょう。

必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.06 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否4.4.5 サーバ側のテンプレートエンジンを使⽤する際に、テンプレートの変更や作成に外部から受け渡される値を使⽤しないことサーバ側のテンプレートエンジンを使⽤してテンプレートを組み⽴てる際に不正なテンプレートの構⽂を挿⼊されることで、任意のコードを実⾏される可能性があります。

外部から渡される値をテンプレートの組み⽴てに使⽤せず、レンダリングを⾏う際のデータとして使⽤する必要があります。

また、レンダリング時にはクロスサイトスクリプティングの脆弱性が存在しないか確認してください。

必須5 HTTPS 5.1 HTTPSについて 5.1.1 Webサイトを全てHTTPSで保護すること 適切にHTTPSを使うことで通信の盗聴・改ざん・なりすましから情報を守ることができます。

次のような重要な情報を扱う画⾯や機能ではHTTPSで通信を⾏う必要があります。

・⼊⼒フォームのある画⾯・⼊⼒フォームデータの送信先・重要情報が記載されている画⾯・セッションIDを送受信する画⾯HTTPSの画⾯内で読み込む画像やスクリプトなどのコンテンツについてもHTTPSで保護する必要があります。

必須5.1.2 サーバー証明書はアクセス時に警告が出ないものを使⽤すること HTTPSで提供されているWebサイトにアクセスした場合、Webブラウザから何らかの警告がでるということは、適切にHTTPSが運⽤されておらず盗聴・改ざん・なりすましから守られていません。

適切なサーバー証明書を使⽤する必要があります。

必須5.1.3 TLS1.2以上のみを使⽤すること SSL2.0／3.0、TLS1.0／1.1には脆弱性があるため、無効化する必要があります。

使⽤する暗号スイートは、7.2.1を参照してください。

必須5.1.4 レスポンスヘッダーにStrict-Transport-Securityを指定すること Hypertext Strict Transport Security(HSTS)を指定すると、ブラウザがHTTPSでアクセスするよう強制できます。

必須6 cookie 6.1 cookieの属性について 6.1.1 Secure属性を付けること Secure属性を付けることで、http://でのアクセスの際にはcookieを送出しないようにできます。

特に認証状態に紐付けられたセッションIDを格納する場合には、Secure属性を付けることが必要です。

必須6.1.2 HttpOnly属性を付けること HttpOnly属性を付けることで、クライアント側のスクリプトからcookieへのアクセスを制限することができます。

必須6.1.3 Domain属性を指定しないこと セッションフィクセイションなどの攻撃に悪⽤されることがあるため、Domain属性は特に必要がない限り指定しないことが望ましいでしょう。

推奨7 その他 7.1 エラーメッセージについて 7.1.1 エラーメッセージに詳細な内容を表⽰しないこと ミドルウェアやデータベースのシステムが出⼒するエラーには、攻撃のヒントになる情報が含まれているため、エラーメッセージの詳細な内容はエラーログなどに出⼒するべきです。

必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.07 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否7.2 暗号アルゴリズムについて 7.2.1 ハッシュ関数、暗号アルゴリズムは『電⼦政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)』に記載のものを使⽤すること広く使われているハッシュ関数、疑似乱数⽣成系、暗号アルゴリズムの中には安全でないものもあります。

安全なものを使⽤するためには、『電⼦政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)』や『TLS暗号設定ガイドライン』に記載されたものを使⽤する必要があります。

必須7.3 乱数について 7.3.1 鍵や秘密情報などに使⽤する乱数的性質を持つ値を必要とする場合には、暗号学的な強度を持った疑似乱数⽣成系を使⽤すること鍵や秘密情報に予測可能な乱数を⽤いると、過去に⽣成した乱数値から⽣成する乱数値が予測される可能性があるため、ハッシュ関数などを⽤いて⽣成された暗号学的な強度を持った疑似乱数⽣成系を使⽤する必要があります。

必須7.4 基盤ソフトウェアについて 7.4.1 基盤ソフトウェアはアプリケーションの稼働年限以上のものを選定すること脆弱性が発⾒された場合、修正プログラムを適⽤しないと悪⽤される可能性があります。

そのため、⾔語やミドルウェア、ソフトウェアの部品などの基盤ソフトウェアは稼働期間またはサポート期間がアプリケーションの稼働期間以上のものを利⽤する必要があります。

もしアプリケーションの稼働期間中に基盤ソフトウェアの保守期間が終了した場合、危険な脆弱性が残されたままになる可能性があります。

必須7.4.2 既知の脆弱性のないOSやミドルウェア、ライブラリやフレームワーク、パッケージなどのコンポーネントを使⽤すること利⽤コンポーネントにOSSが含まれる場合は、SCA(ソフトウェアコンポジション解析)ツールを導⼊し、依存関係を包括的かつ正確に把握して対策が⾏えることが望ましいでしょう。

必須7.5 ログの記録について 7.5.1 重要な処理が⾏われたらログを記録すること ログは、情報漏えいや不正アクセスなどが発⽣した際の検知や調査に役⽴つ可能性があります。

認証やアカウント情報の変更などの重要な処理が実⾏された場合には、その処理の内容やクライアントのIPアドレスなどをログとして記録することが望ましいでしょう。

ログに機微情報が含まれる場合にはログ⾃体の取り扱いにも注意が必要になります。

必須7.6 ユーザーへの通知について 7.6.1 重要な処理が⾏われたらユーザーに通知すること 重要な処理(パスワードの変更など、ユーザーにとって重要で取り消しが困難な処理)が⾏われたことをユーザーに通知することによって異常を早期に発⾒できる可能性があります。

推奨7.7 Access-Control-Allow-Originヘッダーについて7.7.1 Access-Control-Allow-Originヘッダーを指定する場合は、動的に⽣成せず固定値を使⽤することクロスオリジンでXMLHttpRequest (XHR)を使う場合のみこのヘッダーが必要です。

不要な場合は指定する必要はありませんし、指定する場合も特定のオリジンのみを指定する事が望ましいです。

必須7.8 クリックジャッキング対策について 7.8.1 レスポンスヘッダーにX-Frame-OptionsとContent-Security-Policyヘッダーのframe-ancestors ディレクティブを指定することクリックジャッキング攻撃に悪⽤されることがあるため、X-Frame-OptionsヘッダーフィールドにDENYまたはSAMEORIGINを指定する必要があります。

Content-Security-Policyヘッダーフィールドに frame-ancestors 'none'または 'self' を指定する必要があります。

X-Frame-Options ヘッダーは主要ブラウザーでサポートされていますが標準化されていません。

CSP レベル 2 仕様で frame-ancestors ディレクティブが策定され、X-Frame-Options は⾮推奨とされました。

必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.08 / 8 ページ項⽬ ⾒出し 要件 備考 必須可否7.9 キャッシュ制御について 7.9.1 個⼈情報や機微情報を表⽰するページがキャッシュされないよう Cache-Control: no-store を指定すること個⼈情報や機密情報が含まれたページはCDNやロードバランサー、ブラウザなどのキャッシュに残ってしまうことで、権限のないユーザーが閲覧してしまう可能性があるためキャッシュ制御を適切に⾏う必要があります。

必須7.10 ブラウザのセキュリティ設定について 7.10.1 ユーザーに対して、ブラウザのセキュリティ設定の変更をさせるような指⽰をしないことユーザーのWebブラウザのセキュリティ設定などを変更した場合や、認証局の証明書をインストールさせる操作は、他のサイトにも影響します。

必須7.11 ブラウザのセキュリティ警告について 7.11.1 ユーザーに対して、ブラウザの出すセキュリティ警告を無視させるような指⽰をしないことブラウザの出す警告を通常利⽤においても無視させるよう指⽰をしていると、悪意のあるサイトで同様の指⽰をされた場合もそのような操作をしてしまう可能性が⾼まります。

必須7.12 WebSocketについて 7.12.1 Originヘッダーの値が正しいリクエスト送信元であることが確認できた場合にのみ処理を実施することWebSocketにはSOP (Same Origin Policy)という仕組みが存在しないため、Cross-Site WebSocket Hijacking(CSWSH)対策のためにOriginヘッダーを確認する必要があります。

必須7.13 HTMLについて 7.13.1 html開始タグの前にを宣⾔すること DOCTYPEで⽂書タイプをHTMLと明⽰的に宣⾔することでCSSなど別フォーマットとして解釈されることを防ぎます。

必須7.13.2 CSSファイルやJavaScriptファイルをlinkタグで指定する場合は、絶対パスを使⽤することlinkタグを使⽤してCSSファイルやJavaScriptファイルを相対パス指定した場合にRPO (Relative Path Overwrite) が起きる可能性があります。

必須8 提出物 8.1 提出物について 8.1.1 サイトマップを⽤意すること 認証や再認証、CSRF対策が必要な箇所、アクセス制御が必要なデータを明確にするためには、Webサイト全体の構成を把握し、扱うデータを把握する必要があります。

そのためには上記の資料を⽤意することが望ましいでしょう。

必須8.1.2 画⾯遷移図を⽤意すること 必須8.1.3 アクセス権限⼀覧表を⽤意すること 誰にどの機能の利⽤を許可するかまとめた⼀覧表を作成することが望ましいでしょう。

必須8.1.4 コンポーネント⼀覧を⽤意すること 依存しているライブラリやフレームワーク、パッケージなどのコンポーネントに脆弱性が存在する場合がありますので、依存しているコンポーネントを把握しておく必要があります。

推奨8.1.5 上記のセキュリティ要件についてテストした結果報告書を⽤意すること ⾃社で脆弱性診断を実施する場合には「脆弱性診断⼠スキルマッププロジェクト」が公開している「Webアプリケーション脆弱性診断ガイドライン」などを参照してください。

推奨AWS/Azure設定確認リスト 凡例：〇：責任者、△：サポートMAFFクラウド管理者(PMO) PJMOIDおよびアクセス管理組織が許可したアカウントの管理 〇管理者アカウントに対する多要素認証の利用 △ 〇 多要素認証を設定していない限りあらゆるAWS/Azureリソースの操作が出来ないよう設定管理者アカウントに紐づく最新の連絡先の登録と定期的な見直し △ 〇 年度末に実施必要最低限の管理者権限の割当て △ 〇AWS：Configを利用して実施Azure：Azure Policyを利用して実施グループを利用した権限の設定 〇管理者アカウントに関する復旧手段の確保 〇すべてのアカウントへのパスワードポリシーの適用 △ 〇AWS：Configを利用して実施Azure：Azure Policyを利用して実施アクセスキー、サービスアカウントキー等の適切な管理 〇管理者アカウントと日常的に使用するアカウントの分離 〇 ユーザーの払い出しはPJMO管理アカウント・権限・認証情報の定期的な見直し 〇 年度末に実施AWSにおいて考慮すべき設定AWS サポートセンターへのアクセス設定 〇IAMに保存されているサーバ証明書の管理 〇IAM Access analyzerの有効化 〇Azureにおいて考慮すべき設定Microsoft Azure サポートセンターへのアクセス設定 〇Azure App Serviceに保存されているサーバ証明書の管理 〇ログの記録と監視ログの有効化及び取得 △ 〇 MAFFクラウド管理者側で有効化の為の手順を作成し、PJMOに配布ログの一元管理 △ 〇ログの保護 △ 〇 管理者アカウントで保管ログの監視/通知の設定 △ 〇AWS：アクセスログなどは管理者アカウント側でGuardDutyを用いて対応。

Azure：アクセスログなどは管理アカウント側でMicrosoft Defender for Cloudを用いて対応。

そのほかのログについてはPJMOに一任。

ネットワークロードバランサの接続設定 〇仮想マシン最新のOSパッチの適用確認 〇不正プログラム対策ソフトウェアの導入 〇攻撃対象となるネットワークポートへのアクセス制限 〇ストレージ匿名/公開アクセスの禁止 △ 〇 不適切設定を有効化し、管理者アカウントで監視ストレージアクセスの通信設定 △ 〇 不適切設定を有効化し、管理者アカウントで監視AWSにおいて考慮すべき設定Amazon RDSの暗号化 △ 〇 不適切設定を有効化し、管理者アカウントで監視MFA Deleteの有効化 △ 〇 不適切設定を有効化し、管理者アカウントで監視Amazon EBSの暗号化 △ 〇 不適切設定を有効化し、管理者アカウントで監視Azureにおいて考慮すべき設定Azure Databaseの暗号化 △ 〇 不適切設定を有効化し、管理者アカウントで監視MFA Deleteの有効化 △ 〇 不適切設定を有効化し、管理者アカウントで監視Azure Disk Storageの暗号化 △ 〇 不適切設定を有効化し、管理者アカウントで監視【PaaS/IaaS】基本的な設定すべきセキュリティ対策(AWS/Azure)担当役割分担に関する補足別紙４