官公需情報ポータルサイト

入札情報は以下の通りです。

件名	令和8年度流通木材の合法性確認システムに係る運用・保守及びクラウドサービス提供業務(PDF : 241KB)
種別	役務
入札資格	A B
公示日または更新日	2025 年 12 月 26 日
組織	林野庁
取得日	2025 年 12 月 26 日 19:08:46

入札説明書等(PDF : 250KB)調達仕様書等(PDF : 2,991KB)

公告内容

入札公告次のとおり一般競争入札に付します。

なお、本入札に係る契約締結は、当該事業に係る令和８年度予算が成立し、予算示達がなされることを条件とします。

令和７年12月26日支出負担行為担当官林野庁長官小坂善太郎◎調達機関番号 018 ◎所在地番号 13１調達内容(1) 品目分類番号 71、27(2) 購入等件名及び数量令和８年度流通木材の合法性確認システムに係る運用・保守及びクラウドサービス提供業務一式(電子入札方式対象案件)(3) 調達案件の仕様等入札説明書及び仕様書による。

(4) 履行期限令和９年３月31日(5) 納入場所林野庁林政部木材利用課(農林水産省本館７階ドアNo.本720)。

(6) 入札方法落札決定に当たっては、入札書に記載された金額に当該金額の10パーセントに相当する額を加算した金額(当該金額に１円未満の端数があるときは、その端数金額を切り捨てるものとする。)をもって落札価格とするので、入札者は消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を入札書に記載すること。

２競争参加資格(1) 予算決算及び会計令第70条の規定に該当しない者であること。

なお、未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者は、同条中、特別の理由がある場合に該当する。

(2) 予算決算及び会計令第71条の規定に該当しない者であること。

(3) 令和７・８・９年度農林水産省競争参加資格(全省庁統一資格)「役務の提供等」において「Ａ」又は「Ｂ」の等級に格付されている者であること。

(4) 下記４(5)の提出書類の提出期限の日から下記４(6)の開札の時までの間において、林野庁長官から物品の製造契約、物品の購入契約及び役務等契約指名停止等措置要領に基づく指名停止を受けている期間中でないこと。

(5) その他の競争参加資格については、入札説明書及び仕様書による。

３電子調達システム(ＧＥＰＳ)の利用本案件は、電子調達システムで入札等を行うことができる対象案件である。

４入札書の提出場所等(1) 入札書の提出方法電子入札の場合は、電子調達システムによる。

紙入札の場合は、下記４(5)に示す場所及び日時に提出する。

電子調達システムに停電等の不具合、システム障害等やむを得ない事情によるトラブルが発生した場合は、紙入札に移行することがある。

(2) 入札説明書の交付場所、契約条項を示す場所及び問合せ先〒100-8952 東京都千代田区霞が関１－２－１林野庁林政部木材利用課合法伐採木材利用推進班電話03-6744-2496(3) 入札説明書の交付方法上記交付場所のほか林野庁のウェブサイト、調達ポータル(https://www.p-portal.go.jp/pps-web-biz/UAA01/OAA0101)において無料にて交付する。

郵送又はメールによる交付を希望する場合は、上記交付場所まで電話で問い合わせること。

(4) 入札説明会実施しない。

(5) 入札書等の提出期限及び提出場所令和８年２月18日午後５時00分(ただし、郵送(一般書留又は簡易書留に限る。)による入札書の受領期限については、令和８年２月18日午後５時00分とする。

)〒100-8952 東京都千代田区霞が関１－２－１林野庁林政部林政課会計経理第１班支出負担行為第１係(電子入札による場合は、電子調達システムにより提出する。)(6) 開札の日時及び場所令和８年２月19日午前11時00分林野庁入札室(農林水産省７階ドアNo.本766)５再度入札開札の結果、予定価格の制限に達した価格の入札がないときは、直ちに再度の入札を行うこともあるため、再度入札を希望する入札者は、入札書を持参すること。

電子調達システムによる入札者は電子調達システムを開いて待機すること。

この場合に入札に参加できる者は、当初の入札に参加した者とする。

ただし、郵送による入札があった場合において、直ちに再度の入札を行うことができないときは、契約担当官等が指定する日時において、再度の入札を行う。

場所、日時、入札締切等については応札者全員にメールや電話等で通知する。

６その他(1) 入札及び契約手続において使用する言語及び通貨日本語及び日本国通貨。

(2) 入札保証金及び契約保証金免除。

(3) 入札者に要求される事項この一般競争に参加を希望する者は、入札説明書で示した競争参加に必要な証明書類を入札説明書に示した受領期限までに提出しなければならない。

入札者は、開札日の前日までの間において、支出負担行為担当官から当該証明書類に関し説明を求められた場合は、それに応じなければならない。

当該証明書類に関し説明の義務を履行しない者は落札決定の対象としない。

(4) 入札の無効本公告に示した競争参加資格のない者の入札、申請書又は資料等に虚偽の記載をした者の入札、入札に関する条件に違反した入札及び入札心得第５条の規定に違反した者の入札は無効とする。

(5) 契約書作成の要否要。

(6) 落札者の決定方法本公告に示した調達案件を履行できると支出負担行為担当官が判断した証明書類を添付して入札書を提出した入札者であって、予算決算及び会計令第79条の規定に基づいて作成された予定価格の制限の範囲内で最低価格をもって有効な入札を行った者を落札者とする。

ただし、落札者となるべき者の入札価格によっては、その者により当該契約の内容に適合した履行がなされないおそれがあると認められるとき又はその者と契約を締結することが公正な取引の秩序を乱すこととなるおそれがあって著しく不適当であると認められるときは、予定価格の制限の範囲内の価格をもって入札した他の者のうち最低の価格をもって入札した者を落札者とすることがある。

(7) 手続における交渉の有無無。

(8) 競争参加に必要な証明書類の提出場所、提出期限ほか、詳細は入札説明書による。

７ Summary(1) Official in charge of disbursement of t-he procuring entity: KOSAKA Zentaro , Dire-ctor General of Forestry Agency(2) Classification of the services to be pr-ocured: 71, 27(3) Nature and quantity of the services tobe required: Operation,Maintenance and P-rovision of Cloud service Work related tothe Legality Confirmation System for Di-stributed Wood, 1set(4) Fulfillment period: 31 March, 2027(5) Fulfillment place: As shown in the tend-er documentation(6) Qualification for participating in thetendering procedures: Suppliers eligiblefor participating in the proposed tenderare those who shall:① not come under Article 70 of the Cab-inet Order concerning the Budget, Audi-ting and Accounting. Furthermore, mino-rs, Person under Conservatorship or Pe-rson under Assistance that obtained theconsent necessary for concluding a co-ntract may be applicable under cases ofspecial reasons within the said claus-e.

② not come under Article 71 of the Cab-inet Order concerning the Budget, Audi-ting and Accounting.

③ have the Grade "A" or "B" in terms ofqualification "Provision of services"for participating in tenders by Minist-ry of Agriculture, Forestry and Fisher-ies (Single qualification for every mi-nistry and agency) in the fiscal year2025, 2026 and 2027.

④ prove not to be a period of receivingnomination stop from the contractingofficer etc.

⑤ meet the other qualification require-ments by the tender documentation.

(7) Time-limit for tender : 5:00 P.M., 18 February, 2026 (tenders submitted by mail 5:00 P.M., 18 February, 2026)(8) Contact point for notice: Wood Utilizat-ion Division, Forest Policy Planning Dep-artment, Forestry Agency, 1－2－1 Kasum-igaseki, Chiyoda-ku, Tokyo 100－8952 Japa-n. TEL 03－6744－2496

入札説明書支出負担行為担当官林野庁長官この度、下記により最低価格落札方式による一般競争入札を執行するので、希望があれば入札に参加されたい。

なお、本入札に係る契約締結は、当該業務に係る令和８年度予算が成立し、予算示達がなされることを条件とする。

記１競争入札に付する事項(１)件名令和８年度流通木材の合法性確認システムに係る運用・保守及びクラウドサービス提供業務(２)仕様仕様書のとおり(３)履行期限令和９年３月31日(４)納入場所林野庁林政部木材利用課(農林水産省本館７階ドア No本720)２競争に参加する者に必要な資格に関する事項(１)予算決算及び会計令(昭和22年勅令第165号)第70条各号のいずれかに該当する者でないこと。

なお、競争に参加する者が未成年者、被保佐人又は被補助人であって、契約締結のために必要な同意を得ている者である場合は、同条の特別の理由がある場合に該当する。

(２)予算決算及び会計令第71条の規定に該当する者でないこと。

(３)「令和７・８・９年度農林水産省競争参加資格(全省庁統一資格)」の「役務の提供等」の「Ａ」又は「Ｂ」の等級に格付けされている者であること。

(４)下記４の提出書類の提出期限の日から、下記８の開札の時までの間において林野庁長官から物品の製造契約、物品の購入契約及び役務等契約指名停止措置要領に基づく指名停止を受けている期間中でないこと。

(５)品質マネジメントシステムの規格である「JIS Q 9001」若しくは「ISO9001」(登録活動範囲が情報処理に関するものであること。)の認定を業務を遂行する組織が有しており認証が有効であること又は同等の品質管理手順及び体制が明確化された品質マネジメントシステムを有している事業者であること。

(６)情報セキュリティ実施基準である「JIS Q 27001」、「ISO/IEC27001」若しくは「ISMS」の認証を有しており認証が有効であること、一般財団法人日本情報経済社会推進協会のプライバシーマーク制度の認定を受けていること若しくは同等の個人情報保護のマネジメントシステムを確立していること又は個人情報を扱うシステムのセキュリティ体制が適切であることを第三者機関に認定された事業者であること。

(７)過去３年の間に、本システムで具備する機能を有する情報システムの運用・保守及びパブリッククラウドへの移行又は構築、さらにパブリッククラウドにおいて運用・保守を行った実績を有する者であること。

(８)応札者は以下の①又は②のいずれかの条件を満たすこと。

①クラウドサービスプロバイダーから代理店の認定を受け、かつAWSSolution Provider Program(SPP)の登録を受けていること。

加えて、本案件の関係者が、日本国内のクラウドサービスプロバイダーから日本語で契約や技術に関するサポートを受けられる商流であること。

②国内企業のディストリビュータ経由でクラウドサービスの再販が可能であること。

(９)複数の団体が本事業の履行のために組織した共同事業体(民法(明治29年法律第89号)上の組合に該当するもの。

以下同じ。

)による参加も可とする。

この場合において共同事業体は、本事業を実施すること等について業務分担及び実施体制等を明確にした、構成する各団体(以下「構成員」という。)の全てから同意を得た規約書、全構成員が交わした協定書又は全構成員間での契約締結書(又はこれに準ずる書類)(以下「規約書等」という。)を作成する必要があり、全構成員の中から代表者を選定し、代表者は本事業に係る競争入札の参加及び事業の契約手続を行うものとする。

また、代表者は、上記(１)から(４)の要件に適合している必要があり、代表者を除く他の構成員については、上記(１)、(２)及び(４)の要件に適合するとともに、「令和７・８・９年度農林水産省競争参加資格(全省庁統一資格)」の「役務の提供等」を有している必要がある。

なお、共同事業体に参加する構成員は、本入札において他の共同事業体の構成員となること又は単独で参加することはできない。

①共同事業体の結成、運営等に関する規約書等を下記６に定める提出場所へ提出期限までに提出すること。

②規約書等の作成にあたっては、事業分担及びその考え方並びに実施体制について、明確に記載すること。

(10)仕様書別紙２「情報セキュリティの確保に関する共通基本仕様」のXIに従い、Ⅱの１、Ⅱの２、Ⅲの１、Ⅳの１、Ⅵの１(５)のうちクラウドサービス提供者の資本関係、役員等の情報、Ⅵの１(６)、Ⅶに係る資料を提出すること。

なお、本業務においては、Ⅴの６、Ⅴの７、Ⅴの８、Ⅵの１(５)のクラウドサービス提供者の資本関係、役員等の情報以外、Ⅵの１(８)、Ⅷの１及びⅧの６に係る資料の提出は不要とする。

(11)その他の競争参加資格については、仕様書５(２)によるため、該当要件を満たす資料を提出すること。

３電子調達システムの利用本件は電子調達システムを利用して、入札等を電子入札方式により実施することができる対象案件である。

４競争参加に必要な書類の提出(１)競争参加者は、以下の書類を直接又は郵便(一般書留又は簡易書留に限る。)により提出しなければならない。

ア２(３)競争参加資格に係る資料１部イ２(９)に係る規約書等１部ウ２(５)から(８)及び(10)、(11)に係る資料(様式自由) １部(２)提出書類の作成に関する費用は提出者の負担とする。

(３)提出場所(紙入札による場合)〒100-8952 東京都千代田区霞が関１－２－１林野庁林政部林政課会計経理第１班支出負担行為第１係(本館７階ドアNo.本759)(電子入札による場合)電子調達システムにより提出する。

(４)提出期限令和８年２月16日午後５時00分５入札方法入札金額は、上記件名に係る代金額の上限としての総価を記載すること。

なお、落札決定に当たっては、入札書に記載された金額に該当金額の100分の10に相当する額を加算した金額をもって落札価格とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を入札書に記載すること。

６契約条項を示す場所、入札説明書を交付する場所及び日時(１)場所林野庁林政部木材利用課合法伐採木材利用推進班(本館７階ドアNo. 本720)03-6744-2496(直通)(２)日時令和７年12月26日～令和８年２月18日(ただし、行政機関の休日を除く。)午前10時00分～午後５時00分(入札説明書は、林野庁のウェブサイト、調達ポータル(https://www.p-portal.go.jp/pps-web-biz/UAA01/OAA0101)のほか上記交付場所において無料にて交付する。

郵送又はメールによる入札説明書の交付を希望する場合は、６(１)まで電話で問い合わせること。

)(３)入札説明書入札説明書には、入札書・委任状、入札心得、契約書(案)を含む。

(４)入札説明会開催しない。

７入札書の提出場所及び提出期限入札書は以下の日時までに提出すること。

(１)提出場所 (紙入札による場合)林野庁林政部林政課会計経理第１班支出負担行為第１係(本館７階ドアNo本759)(電子入札による場合)電子調達システムにより提出する。

(２)提出期限令和８年２月18日(水)午後５時00分(ただし、郵送(一般書留又は簡易書留に限る。)による入札書の受領期限については、令和８年２月18日(水)午後５時00分とする。

)８開札の場所及び日時開札は、以下の場所及び日時に実施する。

(１)場所林野庁入札室(本館７階ドアNo. 本 766)(２)日時令和８年２月19日午前11時00分９再度入札開札の結果予定価格の制限に達した価格の入札がないときは、直ちに再度の入札を行うこともあるため、再度入札を希望する場合、紙入札による入札者は入札書を持参、電子調達システムによる入札者は電子調達システムを開いて待機すること。

この場合に入札に参加できる者は、当初の入札に参加した者とする。

場所、日時、入札締切等については応札者全員にメールや電話等で通知する。

10 入札の無効本公告に示した競争参加資格のない者による入札及び入札に関する条件に違反した入札は無効とする。

11 入札保証金及び契約保証金免除する。

12 契約書作成の要否要13 落札者の決定方法本公告に示した業務を実施できると支出負担行為担当官が判断した証明書類を提出した入札者であって、予算決算及び会計令第79条に基づいて作成された予定価格の制限の範囲内で、最低価格をもって有効な入札を行った入札者を落札者とする。

ただし、落札者となるべき者の入札価格によっては、その者により当該契約の内容に適合した履行がなされないおそれがあると認められるとき又はその者と契約を締結することが公正な取引の秩序を乱すこととなるおそれがあって著しく不適当であると認められるときは、予定価格の制限の範囲内の価格をもって入札した他の者のうち最低価格をもって入札した者を落札者とすることがある。

14 入札における留意点入札書を提出する際には、２の(３)に規定する資格を得ている者に交付される「資格審査結果通知書」の写しを持参、郵送又は電子調達システムにより林野庁林政課支出負担行為第１係(本館７階ドア No.本 759)へ提出し、入札資格の確認を領すること。

これを提出しないこと等により資格が確認できない場合は、入札に参加できない場合がある。

15 その他(１)入札及び契約手続に使用する言語及び通貨日本語及び日本国通貨(２)入札者に要求される事項アこの一般競争に参加を希望する者は、入札心得、入札公告、調達における情報セキュリティ基準及びこの入札説明書並びに契約条項及び調達における情報セキュリティの確保に関する特約条項を了知の上、入札しなければならない。

イ入札者は、「責任あるサプライチェーン等における人権尊重のためのガイドライン」(令和４年９月13日ビジネスと人権に関する行動計画の実施に係る関係府省庁施策推進・連絡会議決定)を踏まえて人権尊重に取り組むよう努めること。

(３)その他の入札に関する事項については入札心得によるものとする。

1.農林水産省の発注事務に関する綱紀保持を目的として、農林水産省発注者綱紀保持規程(平成19年農林水産省訓令第22号)が制定されました。

この規程に基づき、第三者から不当な働きかけを受けた場合は、その事実をホームページで公表するなどの綱紀保持対策を実施しています。

詳しくは、当庁のホームページ(https://www.rinya.maff.go.jp/j/kouhou/cyotatu_nyusatu/attach/pdf/index-13.pdf)を御覧下さい。

2.農林水産省は、経済財政運営と改革の基本方針2020について(令和２年７月17日閣議決定)に基づき、書面・押印・対面の見直しの一環として、押印省略などに取り組んでいます。

入札心得(総則)第１条林野庁長官の所掌に属する物品の製造その他の請負契約、物品の買入れ契約、委託契約その他の契約に関する入札については、法令その他に定めるもののほか、この心得によるものとする。

(入札等)第２条入札参加者は、あらかじめ入札の公告、仕様書、契約書案及び現場等を熟知の上、入札しなければならない。

この場合において、入札の公告、公示、入札説明書、仕様書、契約書案等について疑義があるときは、入札時刻に支障を及ぼさない範囲内で関係職員の説明を求めることができる。

２入札参加者は、入札書(別紙様式第１号)を作成し、封かんの上、入札者の氏名(法人にあっては、法人名)、宛名及び入札件名を表記し、入札の公告に示した日時までに入札しなければならない。

ただし、電子調達システムによる入札参加者は、入札書提出入力画面上において入札書を作成し、公告又は指名通知書に示した日時までに提出し、入札書受付票を受理しなければならない。

３入札参加者は、入札書を一旦入札した後は、開札の前後を問わずその引換え、変更又は取消しをすることができない。

４入札参加者は、代理人によって入札する場合には、その入札前に代理人の資格を示す委任状(別紙様式第２号)を入札担当職員に提出するものとし、入札書には代理人の表示をしなければならない。

５入札参加者又は入札参加者の代理人は、当該入札に対する他の入札参加者の代理をすることはできない。

６入札参加者は、入札時刻を過ぎたときは、入札することができない。

７入札参加者は、予算決算及び会計令(昭和22年勅令第165号)第71条第１項の規定に該当する者を、同項に定める期間入札代理人とすることができない。

８入札参加者は、暴力団排除に関する誓約事項(別紙様式第３号)について入札前に確認しなければならず、入札書の提出をもってこれに同意したものとする。

(公正な入札の確保)第３条入札参加者は、私的独占の禁止及び公正取引の確保に関する法律(昭和22年法律第54号)等に抵触する行為を行ってはならない。

２入札参加者は、入札に当たっては、競争を制限する目的で他の入札参加者と入札価格又は入札意志についていかなる相談も行わず、独自に入札価格を定めなければならない。

３入札参加者は、落札決定前に、他の入札参加者に対して入札価格を意図的に開示してはならない。

(入札の取りやめ等)第４条入札参加者が連合し、又は不穏の行動をする等の場合において、入札を公正に執行することができないと認められるときは、当該入札参加者を入札に参加させず、又は入札の執行を延期し、若しくは取りやめることがある。

(無効の入札)第５条次の各号のいずれかに該当する入札は、無効とする。

(１) 競争に参加する資格を有しない者のした入札(２) 委任状のない代理人のした入札(３) 記名のない入札(電子調達システムによる場合は、電子証明書を取得していない者のした入札)(４) 金額を訂正した入札(５) 誤字、脱字等により意思表示が不明瞭である入札(６) 同一事項の入札について、同一人が２通以上なした入札又は入札者若しくはその代理人が他の入札者の代理をした入札(７) 入札時刻に遅れてした入札(８) 暴力団排除に係る誓約事項(別紙様式第３号)について、虚偽又はこれに反する行為が認められた入札(９) その他入札に関する条件に違反した入札(再度入札)第６条開札の結果、予定価格の制限に達した価格の入札がないときは、直ちに再度の入札を行うことがある。

この場合第１回目の最低の入札価格を上回る価格で入札した者の入札は無効とする。

２前項の入札を行ってもなお落札者がない場合は、契約担当官等は当該入札を打ち切ることがある。

３第１項の入札には、前条に規定する無効の入札をした者は参加することができない。

４郵便による入札を行った者がある場合において、直ちに再度の入札を行うことができないときは、契約担当官等が指定する日時において、再度の入札を行う。

(低入札価格調査制度、調査基準価格)第７条農林水産省所管に係る製造その他の請負契約(予定価格が１千万円を超えるものに限る。)について予算決算及び会計令第85条(同令第98条において準用する場合を含む。)に規定する相手方となるべき者の申込みに係る価格によっては、その者により当該契約の内容に適合した履行がされないこととなるおそれがあると認められる場合の基準は、その者の申込みに係る価格が、契約ごとに予定価格に10分の６を乗じて得た額(調査基準価格)に満たない場合とする。

２調査基準価格に満たない価格をもって入札した者は、事後の事情聴取に協力すべきものとする。

(落札者の決定)第８条予算決算及び会計令第79条に基づいて作成された予定価格の制限の範囲内で最低価格をもって有効な入札をした入札者を落札者とする、ただし、調査基準価格に満たない価格をもって入札した者がいた場合は、入札を「保留」し、調査の上、落札者を後日決定する。

２入札を「保留」した場合は落札者を決定次第、結果を落札者及び最低価格入札者(最低価格入札者と落札者が異なった場合のみ)に通知し、他の入札者にはその旨お知らせする。

(同価格の入札)第９条落札となるべき同価格の入札者が２人以上あるときは、直ちに当該入札をした者にくじを引かせて落札者を定める。

２前項の場合において、当該入札をした者のうちくじを引かない者又は郵便による入札者で当該入札に立ち会わない者があるときは、これに代わって入札事務に関係のない職員にくじを引かせるものとする。

(契約書の提出)第10条落札者は、契約書を作成するときは、林野庁長官から交付された契約書の案に記名押印の上、落札決定の日から５日以内に林野庁長官に提出しなければならない。

ただし、林野庁長官が事情やむを得ないと認めるときは、この期間を延長することができる。

２落札者は、入札金額の内訳書を速やかに提出しなければならない。

３林野庁長官は、落札者が第１項に規定する期間内に契約書案を提出しないときは、当該落札者を契約の相手方としないことがある。

(異議の申立)第11条入札をした者は、入札後この心得、入札の公告、仕様書、契約書案及び現場等についての不明を理由として異議を申し立てることはできない。

(その他の事項)第 12 条この心得に定めるほか、入札に必要な事項は別に指示するものとする。

別紙様式第１号入札書令和年月日支出負担行為担当官林野庁長官殿住所商号又は名称代表者氏名(代理人氏名 )(復代理人氏名 )￥ただし、｢令和８年度流通木材の合法性確認システムに係る運用・保守及びクラウドサービス提供業務」の代金額上記のとおり、入札心得、入札説明書等を承諾の上、入札します。

(注)１．提出年月日は必ず記入のこと。

２．金額は円単位とし、アラビア数字をもって明記すること。

３．金額の訂正はしないこと。

４．用紙の寸法は、Ａ４判とし、縦長に使用すること。

５．再度入札を考慮して入札書は余分に用意すること。

６．括弧内は、(復)代理人が入札するときに使用すること。

７．委任状は別葉にすること。

別紙様式第２号委任状私は、を(復)代理人と定め、支出負担行為担当官林野庁長官の発注する「令和８年度流通木材の合法性確認システムに係る運用・保守及びクラウドサービス提供業務」に関し、下記の権限を委任します。

記・入札及び見積に関する一切の権限・(復代理人の選定に関する一切の権限)令和年月日住所商号又は名称代表者氏名代理人所属先住所代理人所属先・役職代理人氏名支出負担行為担当官林野庁長官殿(注)１．用紙の寸法は、Ａ４判とし、縦長に使用すること。

２．復代理人を選定する場合は、適宜括弧内を記載すること。

別紙様式第３号暴力団排除に関する誓約事項当社(個人である場合は私、団体である場合は当団体)は、下記１及び２のいずれにも該当しません。

また、将来においても該当することはありません。

この誓約が虚偽であり、又はこの誓約に反したことにより、当方が不利益を被ることとなっても、異議は一切申し立てません。

また、貴省の求めに応じ、当方の役員名簿(有価証券報告書に記載のもの。ただし、有価証券報告書を作成していない場合は、役職名、氏名及び生年月日の一覧表)を警察に提供することについて同意します。

記１契約の相手方として不適当な者(１)法人等(個人、法人又は団体をいう。)の役員等(個人である場合はその者、法人である場合は役員又は支店若しくは営業所(常時契約を締結する事務所をいう。)の代表者、団体である場合は代表者、理事等、その他経営に実質的に関与している者をいう。

)が、暴力団(暴力団員による不当な行為の防止等に関する法律(平成３年法律第77号)第２条第２号に規定する暴力団をいう。

以下同じ。

)又は暴力団員(同条第６号に規定する暴力団員をいう。

以下同じ。

)であるとき(２)役員等が、自己、自社若しくは第三者の不正の利益を図る目的、又は第三者に損害を加える目的をもって、暴力団又は暴力団員を利用するなどしているとき(３)役員等が、暴力団又は暴力団員に対して、資金等を供給し、又は便宜を供与するなど直接的あるいは積極的に暴力団の維持、運営に協力し、若しくは関与しているとき(４)役員等が、暴力団又は暴力団員であることを知りながらこれを利用するなどしているとき(５)役員等が、暴力団又は暴力団員と社会的に非難されるべき関係を有しているとき２契約の相手方として不適当な行為をする者(１)暴力的な要求行為を行う者(２)法的な責任を超えた不当な要求行為を行う者(３)取引に関して脅迫的な言動をし、又は暴力を用いる行為を行う者(４)偽計又は威力を用いて契約担当官等の業務を妨害する行為を行う者(５)その他前各号に準ずる行為を行う者上記事項について、入札書の提出をもって誓約いたします。

請負契約書(案)１件名２仕様等３契約金額４履行期間５納入期限６納入場所７検査場所８契約保証金令和８年度流通木材の合法性確認システムに係る運用・保守及びクラウドサービス提供業務別添仕様書のとおり金円(うち消費税及び地方消費税の額円消費税率10％)令和８年４月１日から令和９年３月31日まで令和９年３月31日林野庁林野庁免除支出負担行為担当官林野庁長官小坂善太郎(以下「甲」という。)(登録番号Ｔ8000012050001)と○○○○○○○○○○(以下「乙」という。)とは、令和８年度流通木材の合法性確認システムに係る運用・保守及びクラウドサービス提供業務(以下「業務」という。)について、上記各項及び次の各契約条項によって請負契約を締結し、信義に従って誠実にこれを履行するものとする。

この契約締結の証として、本書２通を作成し、当事者記名押印の上、各１通を保有する。

令和年月日甲東京都千代田区霞が関１－２－１支出負担行為担当官林野庁長官小坂善太郎乙 ○○○○○○○○○○○○○○○○○○○○○○○○○○○○○○○○○○○○○○○○○契約条項(総則)第１条乙は、仕様等に基づき、納入期限までに業務を完了し、仕様等に定める成果物を甲に納入するものとする。

２仕様等に明示されていない事項について疑義が生じた場合には、甲乙協議して定めるものとする。

ただし、軽微なものについては、甲の解釈及び指示に従うものとする。

３各契約条項と別添仕様書の内容に齟齬が生じた場合には、別添仕様書の内容を優先するものとする。

(権利義務の譲渡等)第２条乙は、この契約により生ずる権利及び義務を第三者に譲渡し、又は継承させてはならない。

(一括委任又は一括下請負の禁止)第３条乙は、業務の全部を一括して、又は主たる部分を第三者に委任し、又は請け負わせてはならない。

なお、主たる部分とは、業務における総合的企画、業務遂行管理、手法の決定、技術的判断等をいうものとする。

２乙は、効率的な履行を図るため、業務の一部を第三者に委任し、又は請け負わせること(以下「再委託」という。)を必要とするときは、あらかじめ甲の承認を得なければならない。

ただし、再委託ができる事業は、原則として契約金額に占める再委託又は再請負金額の割合(「再委託比率」という。以下同じ。)が50パーセント以内の業務とする。

３乙は、前項の再委託の承認を受けようとするときは、当該第三者の氏名又は名称、住所、再委託を行う業務の範囲、再委託の必要性及び契約金額について記載した書面を甲に提出しなければならない。

４乙は、前項の書面に記載した事項を変更する必要が生じたときは、あらかじめ甲の承認を得なければならない。

５乙は、効率的な履行を図るため、再々委託又は再々請負(再々委託又は再々請負以降の委託又は請負を含む。以下同じ。)を必要とするときは、再々委託又は再々請負の相手方の氏名又は名称、住所及び業務の範囲、必要性を記載した書面を、第２項の承認の後、速やかに甲に届け出なければならない。

６乙は、再委託の変更に伴い再々委託又は再々請負の相手方又は業務の範囲を変更する必要がある場合には、第４項の変更の承認の後、速やかに前項の書面を変更し、甲に届け出なければならない。

７甲は、前二項の書面の届け出を受けた場合において、この契約の適正な履行の確保のため必要があると認めるときは、乙に対し必要な報告を求めることができる。

８再委託する業務が委託業務を行う上で発生する事務的業務(印刷・製本、運送・保管等に類する業務)であって、再委託比率が50パーセント以内であり、かつ、再委託する金額が100万円以下である場合には、軽微な再委託として第２項から前項の規定は、適用しない。

(監督職員)第４条甲は、この契約の履行に関し甲の指定する職員(以下「監督職員」という。)を定めたときは、その氏名を乙に通知するものとする。

監督職員を変更したときも同様とする。

２監督職員は、この契約の他の条項に定める職務のほか、次に掲げる権限を有するものとする。

(１)契約の履行についての乙又は乙の管理責任者に対する指示、承諾又は協議(２)この契約及び仕様書の記載内容に関する乙の確認又は質問に対する回答(３)業務の進捗状況の確認及び履行状況の監督(検査)第５条乙は、業務を完了し成果物を納入しようとするときは、その旨を甲に通知しなければならない。

２甲又は甲が検査を行う者として定めた職員(以下「検査職員」という。)は、前項により業務完了の通知を受けたときは、その日から起算して10日以内に検査を行うものとする。

３乙又は乙の使用人等は、検査に立ち会い、検査職員の指示に従って検査に必要な措置を講じなければならない。

４検査職員は、乙又は乙の使用人等が検査に立ち会わない場合には、乙又は乙の使用人等の欠席のまま検査を行うことができる。

この場合、乙は検査の結果について異議を申し立てることができない。

５検査職員は、検査の結果不当な箇所を発見した場合には、乙に対し、相当の期間を定めて引換え又は補修を請求することができる。

この場合、乙は直ちに引換え又は補修を行い、再度検査を受けなければならない。

６検査及び納入に要する経費は、全て乙の負担とする。

(所有権等の移転)第６条この契約に基づく成果物の所有権は、前条に定める検査に合格した場合又は第９条第２項の規定により減額請求した場合において、甲が成果物の納入を認め、その引渡しを受けたときに、乙から甲に移転するものとする。

２前項の規定により成果物の所有権が甲に移転したときに、甲は乙の責めに帰すべからざる事由による成果物の滅失、毀損等の責任を負担するものとする。

３この契約に基づく成果物の著作権及び二次的著作物の著作権(著作権法第21条から第28条に定めるすべての権利を含む。)は、甲に帰属するものとする。

４乙は、甲に対して、一切の著作者人格権を行使しないものとし、また、第三者をして行使させないものとする。

５乙は、この契約に関し、著作権について第三者との間で紛争が生じた場合には、乙の責任において処理するものとする。

(契約代金の支払等)第７条乙は、仕様書に定める全ての業務を完了し、第５条に定める検査に合格したときは、所定の手続により書面をもって甲に代金支払の請求をするものとする。

２甲は、前項の適正な請求書を受理したときは、その日から起算して30日以内に代金を乙に支払わなければならない。

３乙は、甲が自己の責に帰すべき理由により、前項に規定する支払期限までに代金を支払わないときは、遅延利息として、支払期限の翌日から支払を行う日までの日数に応じ、当該未払代金額に対し、政府契約の支払遅延に対する遅延利息の率を定める告示に基づき、財務大臣が決定する率を乗じて計算した金額の支払を甲に請求することができる。

ただし、遅延の原因が天災地変等やむを得ないものであるときは遅延利息を支払う日数に計算しないものとする。

４前項の遅延利息の額が100円未満である場合及び100円未満の端数については、甲は前項の定めにかかわらず遅延利息を支払うことを要しないものとする。

(乙の履行遅延)第８条乙は、頭書の納入期限までに業務を完了し、成果物を納入できない場合には、あらかじめ甲に対し、遅延の理由及び完了見込み日時を明らかにした書面を提出し、納入期限の延長の承認を受けなければならない。

２甲は、乙が頭書の納入期限までに業務を完了し、成果物を納入できない場合には、前項に定める承認の有無にかかわらず、延滞金として、頭書の納入期限の翌日から成果物の納入の日までの日数に応じ、契約金額に対して民法(明治29年法律第89号)第404条に規定する各期における法定利率を乗じて計算した金額の支払を乙に請求することができる。

ただし、その遅延が、天災その他やむを得ない理由によるものと認められる場合には、この限りではない。

(業務の履行責任)第９条成果物が種類、品質又は数量に関して契約の内容に適合しないもの(以下「契約不適合」という。)であるときは、乙に対し成果物の修補、代替物の引渡し若しくは不足分の引渡しによる履行の追完を請求し、又は履行の追完に代え若しくは履行の追完とともに損害の賠償を請求することができる。

２前項に規定する場合において、甲が相当の期間を定めて履行の追完の催告をし、その期間内に履行の追完がないときは、甲は、契約不適合の程度に応じて代金の減額を請求することができる。

ただし、次の各号のいずれかに該当する場合は、当該催告をすることなく、直ちに代金の減額を請求することができる。

(１)履行の追完が不能であるとき。

(２)乙が履行の追完を拒絶する意思を明確に表示したとき。

(３)契約の性質又は当事者の意思表示により、特定の日時又は一定の期間内に履行をしなければ契約をした目的を達することができない場合において、乙が履行の追完をしないでその時期を経過したとき。

(４)前三号に掲げる場合のほか、甲がこの項の催告をしても履行の追完を受ける見込みがないことが明らかであるとき。

３甲が検収完了後１年以内に契約不適合(成果物の種類又は品質に関するものに限る。)を乙に通知しないときは、甲は、その不適合を理由として、履行の追完の請求、損害の賠償の請求、代金減額の請求及び契約の解除をすることができない。

４前項の規定は、検収完了時において、乙が同項の不適合を知り、若しくは重大な過失によって知らなかったとき、又は同項の不適合が乙の故意若しくは重過失に起因するときは、適用しない。

５第３項の通知は契約不適合の内容を通知することで行い、当該通知を行った後請求しようとするときは、請求する損害額の算定の根拠など請求の根拠を示して行わなければならない。

(甲の催告による解除権)第10条甲は、乙が次の各号のいずれかに該当する場合は、相当の期間を定めてその履行の催告をし、その期間内に履行がないときは、この契約の全部又は一部を解除することができる。

ただし、その期間を経過した時における債務の不履行がその契約及び取引上の社会通念に照らして軽微であるときは、この限りでない。

(１)正当な理由がなく、契約上の義務を履行せず、又は履行する見込みがないと明らかに認められるとき。

(２)第３条の規定に違反したとき。

(３)前二号に掲げる場合のほか、契約に違反し、その違反により契約の目的を達成することができないと認められるとき。

(甲の催告によらない解除権)第10条の２甲は、乙が次の各号のいずれかに該当する場合は、直ちに契約の解除をすることができる。

(１)第22条の規定に違反したとき。

(２)債務の全部の履行が不能であるとき。

(３)乙がその債務の全部の履行を拒絶する意思を明確に表示したとき。

(４)債務の一部の履行が不能である場合又は乙がその債務の一部の履行を拒絶する意思を明確に表示した場合において、残存する部分のみでは契約をした目的を達することができないとき。

(５)契約の性質又は当事者の意思表示により、特定の日時又は一定の期間内に履行をしなければ契約をした目的を達することができない場合において、乙が履行をしないでその時期を経過したとき。

(６)前各号に掲げる場合のほか、乙がその債務の履行をせず、乙が前条の催告をしても契約をした目的を達するのに足りる履行がされる見込みがないことが明らかであるとき。

２次に掲げる場合には、乙は、前条の催告をすることなく、直ちに契約の一部の解除をすることができる。

(１)債務の一部の履行が不能であるとき。

(２)乙がその債務の一部の履行を拒絶する意思を明確に表示したとき。

(甲の責めに帰すべき事由による場合)第 10 条の３債務の不履行が甲の責めに帰すべき事由によるものであるときは、甲は、前二条の規定による契約の解除をすることができない。

(属性要件に基づく契約解除)第11条甲は、乙が次の各号のいずれかに該当する場合は、何らの催告を要せず、この契約を解除することができる。

(１)法人等(個人、法人又は団体をいう。

)の役員等(個人である場合はその者、法人である場合は役員又は支店若しくは営業所(常時契約を締結する事務所をいう。)の代表者、団体である場合は代表者、理事等、その他経営に実質的に関与している者をいう。

以下同じ。

)が、暴力団(暴力団員による不当な行為の防止等に関する法律(平成３年法律第77号)第２条第２号に規定する暴力団をいう。

以下同じ。

)又は暴力団員(同法第２条第６号に規定する暴力団員をいう。以下同じ。)であると認められるとき。

(２)役員等が、自己、自社若しくは第三者の不正の利益を図る目的、又は第三者に損害を加える目的をもって、暴力団又は暴力団員を利用するなどしていると認められるとき。

(３)役員等が、暴力団又は暴力団員に対して、資金等を供給し、又は便宜を供与するなど直接的あるいは積極的に暴力団の維持、運営に協力し、若しくは関与していると認められるとき。

(４)役員等が、暴力団又は暴力団員であることを知りながらこれを不当に利用するなどしていると認められるとき。

(５)役員等が、暴力団又は暴力団員と社会的に非難されるべき関係を有していると認められるとき。

(行為要件に基づく契約解除)第12条甲は、乙が自ら又は第三者を利用して次の各号のいずれかに該当する行為をした場合は、何らの催告を要せず、この契約を解除することができる。

(１)暴力的な要求行為(２)法的な責任を超えた不当な要求行為(３)取引に関して脅迫的な言動をし、又は暴力を用いる行為(４)偽計又は威力を用いて契約担当官等の業務を妨害する行為(５)その他前各号に準ずる行為(表明確約)第13条乙は、前二条各号のいずれにも該当しないことを表明し、かつ、将来にわたっても該当しないことを確約するものとする。

２乙は、前二条各号のいずれかに該当する行為を行った者(以下「解除対象者」という。)を再請負人等(再請負人(再請負が数次にわたるときは、全ての再請負人を含む。)、受任者(再委任以降の全ての受任者を含む。)及び再請負人若しくは受任者が当該契約に関して個別に契約する場合の当該契約の相手方をいう。

以下同じ。

)としないことを確約するものとする。

(再請負契約等に関する契約解除)第14条乙は、契約後に再請負人等が解除対象者であることが判明したときは、直ちに当該再請負人等との契約を解除し、又は再請負人等に対し当該解除対象者(再請負人等)との契約を解除させるようにしなければならない。

２甲は、乙が再請負人等が解除対象者であることを知りながら契約し、若しくは再請負人等の契約を承認したとき、又は正当な理由がないのに前項の規定に反して当該再請負人等との契約を解除せず、若しくは再請負人等に対し当該解除対象者(再請負人等)との契約を解除させるための措置を講じないときは、この契約を解除することができる。

(損害賠償)第15条甲は、第10条、第10条の２、第11条、第12条及び前条第２項の規定によりこの契約を解除した場合は、これにより乙に生じた損害について、何ら賠償ないし補償することは要しない。

２乙は、甲が第11条、第12条及び前条第２項の規定によりこの契約を解除した場合において、甲に損害が生じたときは、その損害を賠償するものとする。

３乙がこの契約に基づく損害賠償金を甲の指定する期間内に支払わないときは、甲は、その未払代金額にその期限の翌日から支払の日まで民法第404条に規定する各期における法定利率を乗じて計算した延滞金を徴収する。

(不当介入に関する通報・報告)第16条乙は、自ら又は再請負人等が、暴力団、暴力団員、社会運動・政治運動標ぼうゴロ等の反社会的勢力から不当要求又は業務妨害等の不当介入(以下「不当介入」という。)を受けた場合は、これを拒否し、又は再請負人等をして、これを拒否させるとともに、速やかに不当介入の事実を甲に報告するとともに、警察への通報及び捜査上必要な協力を行うものとする。

(違約金)第17条甲は、乙が次の各号のいずれかに該当する場合は、違約金として、契約金額の 100 分の 10 に相当する金額の支払を乙に請求することができる。

(１)第10条及び第10条の２の規定により、この契約が解除されたとき。

(２)乙がその債務の履行を拒否し、又は、乙の責めに帰すべき事由によって乙の債務について履行不能となったとき。

２次の各号に掲げる者がこの契約を解除した場合は、前項第２号に該当するときとみなす。

(１)乙について破産手続開始の決定があった場合において、破産法(平成16年法律第75号)の規定により選任された破産管財人(２)乙について更生手続開始の決定があった場合において、会社更生法(平成14年法律第154号)の規定により選任された管財人(３)乙について再生手続開始の決定があった場合において、民事再生法(平成11年法律第225号)の規定により選任された再生債務者等３甲は、第10条及び第10条の２の規定によりこの契約を解除した場合は、これにより乙に生じる損害について、何ら賠償ないし補償することは要しないものとする。

(債権債務の相殺)第18条甲は、この契約の定めるところにより乙から甲に支払うべき債務が生じた場合には、契約金額と相殺することができる。

この場合、乙の支払うべき金額が甲の支払うべき金額を超えるときは、乙は、その超える金額を甲の指示により納入しなければならない。

(談合等の不正行為に係る解除)第 19 条甲は、この契約に関し、乙が次の各号のいずれかに該当するときは、何らの催告を要せず、契約の全部又は一部を解除することができる。

(１)公正取引委員会が、乙又は乙の代理人に対して私的独占の禁止及び公正取引の確保に関する法律(昭和22年法律第54号。以下「独占禁止法」という。)第７条若しくは第８条の２(同法第８条第１号又は第２号に該当する行為の場合に限る。)の規定による排除措置命令を行ったとき、同法第７条の２第１項(同法第８条の３において読み替えて準用する場合を含む。)の規定による課徴金納付命令を行ったとき又は同法第７条の４第７項若しくは第７条の７第３項の規定による課徴金の納付を命じない旨の通知を行ったとき。

(２)乙又は乙の代理人(乙又は乙の代理人が法人にあっては、その役員又は使用人を含む。)が刑法(明治40年法律第45号)第96条の６若しくは第198条又は独占禁止法第89条第１項若しくは第95条第１項第１号の規定による刑の容疑により公訴を提起されたとき。

２乙は、この契約に関して、乙又は乙の代理人が前項各号に該当した場合には、速やかに、当該処分等に係る関係書類を甲に提出しなければならない。

(談合等の不正行為に係る違約金)第20条乙は、この契約に関し、次の各号のいずれかに該当するときは、甲が前条により契約の全部又は一部を解除するか否かにかかわらず、契約金額の 100 分の 10 に相当する額を違約金として甲が指定する期日までに支払わなければならない。

(１)公正取引委員会が、乙又は乙の代理人に対して独占禁止法第７条又は第８条の２(同法第８条第１号又は第２号に該当する行為の場合に限る。)の規定による排除措置命令を行い、当該排除措置命令が確定したとき。

(２)公正取引委員会が、乙又は乙の代理人に対して独占禁止法第７条の２第１項(同法第８条の３において読み替えて準用する場合を含む。)の規定による課徴金納付命令を行い、当該納付命令が確定したとき。

(３)公正取引委員会が、乙又は乙の代理人に対して独占禁止法第７条の４第７項又は第７条の７第３項の規定による課徴金の納付を命じない旨の通知を行ったとき。

(４)乙又は乙の代理人(乙又は乙の代理人が法人にあっては、その役員又は使用人を含む。)に係る刑法第96条の６若しくは第198条又は独占禁止法第89条第１項若しくは第95条第１項第１号の規定による刑が確定したとき。

２乙は、前項第４号に規定する場合に該当し、かつ、次の各号のいずれかに該当する場合は、前項の契約金額の100分の10に相当する額のほか、契約金額の 100 分の５に相当する額を違約金として甲が指定する期日までに支払わなければならない。

(１)前項第２号に規定する確定した納付命令について、独占禁止法第７条の３第１項の規定の適用があるとき。

(２)前項第４号に規定する刑に係る確定判決において、乙又は乙の代理人(乙又は乙の代理人が法人にあっては、その役員又は使用人を含む。)が違反行為の首謀者であることが明らかになったとき。

(３)乙が甲に対し、独占禁止法等に抵触する行為を行っていない旨の誓約書を提出しているとき。

３乙は、契約の履行を理由として、前二項の違約金を免れることはできない。

４第１項及び第２項の規定は、甲に生じた実際の損害の額が違約金の額を超過する場合において、甲がその超過分の損害につき賠償を請求することを妨げない。

５乙が第１項及び第２項の違約金を甲の指定する期間内に支払わないときは、乙は、延滞金として当該期間を経過した日から支払をする日までの日数に応じ、民法第404条に規定する各期における法定利率を乗じて計算した額を甲に支払わなければならない。

(資料の交付等)第21条乙は、この契約の履行に当たって甲から貸し出された資料及び支給を受けた物品については、善良なる管理者の注意をもって管理するものとし、これを紛失し、又は破損させた場合には、直ちに報告の上、甲の指示に従って措置するものとする。

２乙は、この契約の履行を完了し、又は契約の解除を受けたときは、前項の規定に基づき貸し出された資料及び支給を受けた物品を直ちに甲に返還しなければならない。

(秘密の保持)第22条乙は、この契約の履行を通じて知り得た秘密に関する事項をこの契約期間にかかわらず第三者に漏らし、又は他の目的に利用してはならない。

この契約の履行に当たる乙の使用人も同様の義務を負い、この違反について乙はその責を免れない。

２乙は、この契約の履行を通じて作成した資料を転写し、又は第三者に閲覧させ、若しくは貸し出してはならない。

(紛争の解決)第23条この契約について、甲、乙協議を要するものにつき協議が調わないときにおいて、甲が定めたものに乙が不服があるときその他契約に関して甲と乙との間に紛争が生じたときは、両者の協議により選出した第三者の調停により解決を図るものとする。

２前項の規定による紛争の処理に要する一切の費用は、甲乙平等の負担とする。

３第１項の規定にかかわらず、甲又は乙は、必要があると認めるときは、同項に規定する手続き前又は手続中であっても同項の甲と乙との間の紛争について民事訴訟法(平成８年法律第109号)に基づく訴えの提起又は民事調停法(昭和26年法律第222号)に基づく調停の申立てを行うことができる。

(協議)第24条この契約に関して疑義を生じたとき、又はこの契約に定めのない事項については、甲乙協議して定めるものとする。

令和８年度流通木材の合法性確認システムに係る運用・保守及びクラウドサービス提供業務調達仕様書林野庁林政部木材利用課⽬次１．調達案件の概要.. 1(１)調達件名.. 1(２)調達の背景.. 1(３)調達目的及び調達の期待する効果.. 1(４)業務・情報システムの概要.. 1(５)契約期間.. 6(６)作業スケジュール.. 7２．調達案件及び関連調達案件.. 10(１)調達範囲.. 10(２)調達案件の一覧.. 11(３)調達案件間の入札制限.. 12３．情報システムに求める要件.. 12４．作業の実施内容.. 12(１)運用・保守の前提.. 12(２)運用・保守作業計画及び運用・保守作業実施要領の確定作業支援.. 13(３)定常時対応.. 13(４)障害発生時対応.. 15(５)情報システムの現況確認支援.. 15(６)運用・保守作業の改善提案.. 16(７)改修を伴う運用・保守作業の負担低減提案.. 17(８)運用・保守作業項目に定める作業の実施.. 17(９)サーバー証明書の調達及び更新.. 18(10)ヘルプデスク業務.. 18(11)引継.. 18(12)業務の完了.. 19(13)定例会等の実施.. 19(14)契約金額内訳及び情報資産管理標準シートの提出.. 19(15)その他.. 20(16)成果物.. 205．作業の実施体制・方法.. 24(１)作業実施体制.. 24(２)作業要員に求める資格等の要件.. 26(３)作業場所.. 27(４)作業の管理に関する要領.. 27(５)使用する言語.. 27(６)会議の体制.. 27(７)貸与条件.. 27６.作業の実施に当たっての遵守事項.. 28(１)機密保持、資料の取扱い.. 28(２)個人情報の取扱い.. 29(３)法令等の遵守.. 29(４)標準ガイドラインの遵守.. 30(５)その他文書、標準への準拠.. 31(６)情報システム監査.. 32(７)セキュリティ要件.. 32(８)情報システムの稼働環境.. 35７.成果物の取扱いに関する事項.. 35(１)知的財産権の帰属.. 35(２)契約不適合責任.. 36(３)検収.. 37８.入札参加資格に関する事項.. 37(１)競争参加資格.. 37(２)公的な資格や認証等の取得.. 38(３)受注実績等.. 38(４)複数事業者による共同入札.. 39(５)入札制限.. 39９.再委託に関する事項.. 39(１)再委託の制限及び再委託を認める場合の条件.. 39(２)承認手続.. 39(３)再委託先の契約違反等.. 4010．その他特記事項.. 40(１)前提条件等.. 40(２)入札公告期間中の資料閲覧等.. 40(３)その他.. 4111.附属文書.. 411１．調達案件の概要(１)調達件名令和８年度流通木材の合法性確認システムに係る運用・保守及びクラウドサービス提供業務(２)調達の背景林野庁林政部木材利用課(以下「担当部署」という。)では、「合法伐採木材等の流通及び利用の促進に関する法律の一部を改正する法律」(令和5年5月8日公布、令和７年４月１日施行)(以下「改正CW法」という。)に基づき、流通木材の合法性確認に係る業務の効率化と改正法施行後の新たな事業者負担の低減に資することを目的として、合法性確認のデジタル化に向けた「流通木材の合法性確認システム」(以下「本システム」という。)を令和６年度に構築し、改正CW法の施行とあわせ令和7年4月に稼働を開始した。

本システムは、合法性確認に係る大規模企業から小規模・零細企業まで多様な事業者が多層的に関わることになり、改正CW法に基づく木材流通過程における共通基盤となるシステムに位置づけられている。

本システムの稼働後、システム利用者に対し安定したシステムの運用稼働を提供するべく令和８年度における本システムの運用・保守作業及び付帯する業務を調達するものである。

(３)調達目的及び調達の期待する効果本調達は、令和８年度における本システムの円滑な運用の確保及び利用者への支援を行うことを目的とする。

(４)業務・情報システムの概要本システムの概要は次のとおりである。

ア．本システム(ア)対象業務(参考：別紙１「改正CW法概要」及び林野庁HP「クリーンウッド・ナビ」1)①改正CW法に基づく木材等の原材料情報の収集、合法性の確認、記録の作成・保存、情報の伝達、定期・年度報告に係る業務。

対象となる利用者：国内の素材生産販売事業者、木材関連事業者②提出された報告書の閲覧、ダウンロード対象となる利用者：登録実施機関、経済産業省、林野庁1 林野庁HP「クリーンウッド・ナビ」https://www. rinya.maff.go.jp/j/riyou/goho/index.htmlhttps://www. rinya.maff.go.jp/j/riyou/goho/brochure/pdf/brochure-r7-09.pdf2(イ)システムの概要本システムの利用者は、木材等の流通と併行し、合法性の確認に係る情報や書類をシステムに登録し、記録を作成、必要な情報を納品先へ伝達する。

本システムの利用は任意であることから、サプライチェーンにおいて最初にシステムを利用する者が情報を登録し、以降の利用者は、その確認と納品先への情報伝達を繰り返す。

また、合法性確認のために収集・登録した情報に加え、取引情報(製品の納品情報)や関連書類等も本システムに登録できる。

さらに本システムに登録したデータをもとに自動集計機能で国や登録実施機関への定期・年度報告の事務簡略化を図る。

本システムの業務範囲およびシステムの概要は図1, 2のとおりである。

図１流通木材の合法性確認システムの業務範囲図２流通木材の合法性確認システムの概要3イ．本システムにおいて利用する情報システム(ア)MAFFクラウド2018年６月に、「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(2018 年６月７日各府省情報化統括責任者(CIO)連絡会議決定。

以下「クラウド利用方針」という。

)が決定(最終改定は、2025年5月27日)された。

この中で、「クラウド・バイ・デフォルトの原則」が政府方針として出されている。

農林水産省では、政府全体の動向や利⽤者視点に⽴った、あるべき農林⽔産⾏政の姿を踏まえ、令和 4 年 6 月 7 日に閣議決定された「デジタル社会の実現に向けた)重点計画」を受けて、「デジタル社会の形成に向けた農林水産省中長期計画」(令和 4 年 10 月５日に農林水産省行政情報化推進委員会決定)を策定した。

同計画では、品質・低コスト・スピードを兼ね備えた行政サービスに向けて、ガバメントクラウド、ガバメントソリューションサービス(GSS)、ベースレジストリ等の共通機能について、農林水産省の各情報システムの状況を踏まえ、活用できるものについてはその活用を徹底するとしている。

その上で、農林水産省では、クラウドの共通基盤を整備し、パブリッククラウドへの移⾏・運⽤に必要な最⼩限の共通機能を提供するとともに、情報システムの状況に応じて適切なクラウドへの移行方式を選択した上で円滑にクラウド移行できるよう支援を行っている。

なお、当該共通機能を利用するパブリッククラウドをMAFFクラウドと言い、総合的な支援活動を行う組織をMAFFクラウドCoEと言う。

本システムはMAFFクラウドを利用しており、本調達期間においても引き続きMAFFクラウドを利用することを前提とする。

MAFFクラウドについて不明点等がある場合は、担当部署及びMAFFクラウドCoEと協議の上、作業を進めること。

また、クラウドサービスの提供に係る費用及び利用料は受注者の負担とする。

本業務の遂行に当たっては、「農林水産省クラウド利用ガイドライン」に基づくこと。

また、具体的な作業内容及び手順等については、「農林水産省クラウド利用ガイドラインの関係資料」を参考とすること。

なお、農林水産省クラウド利用ガイドラインが改定された場合は、最新のものを参照し、その内容に従うこと。

プラットフォームとなるMAFFクラウドの取組及び構成については図3のとおりである。

4図３ MAFFクラウドの概要(イ)MAFFクラウド連携に関わるシステム構成図図４運用環境システム構成図：MAFFクラウド連携に関わるサービス5図５テスト環境システム構成図ウ．その他システム関連情報(ア)使用サービス名一覧① ACM② Aurora③ Backup④ CloudFormation⑤ CloudTrail⑥ CloudWatch⑦ CodeBuild⑧ CodeCommit⑨ CodePipeline⑩ Config⑪ EC2⑫ ECR⑬ ECS on Fargate⑭ EFS⑮ EventBridge⑯ Flow logs6⑰ GuardDuty⑱ Inspector⑲ Internet gateway⑳ NAT gateway㉑ RDS Proxy㉒ Route 53㉓ S3㉔ S3 Glacier㉕ Secrets Manager㉖ Security Hub㉗ SES㉘ Shield㉙ SNS㉚ Systems Manager㉛ VPC㉜ WAF㉝外部ALB㉞内部NLB㉟ IAM(イ)フレームワーク名称、ソースコード行数①フロントエンド開発言語：TypeScriptフレームワーク名称：Angular想定ステップ数：37.1kstep②バックエンド開発言語：PHPフレームワーク名称：Laravel想定ステップ数：12.8kstep※想定総ステップ数(フロントエンド＋バックエンド)：49.9kstep(５)契約期間令和８年４月1日から令和９年３月31日まで7図６対象契約期間(６)作業スケジュール受注者は、後述「４作業の実施内容」に基づいて作業を実施する。

当内容については、別途、担当部署と協議、確定することとする。

図７作業スケジュール456789101112123要件定義設計・開発引継研修プロジェクト管理運用アプリケーションプログラム保守令和８年度令和６年度令和７年度対象システム工程令和５年度流通木材の合法性確認システム要件定義等プロジェクト管理引継移行受入テスト本件の調達範囲確定開発・テスト設計研修運用保守プロジェクト管理研修引継移行引継移行運用保守プロジェクト管理研修■作業項⽬456789101112123運⽤・保守作業計画及び運⽤保守作業実施要領の確定定常時対応障害発⽣時対応情報システムの現況確認⽀援運⽤・保守作業の改善提案等改修を伴う運⽤・保守作業の負担軽減の提案等運⽤・保守作業の項⽬に定める作業の実施ヘルプデスク業務引継作業項⽬令和7年度令和８年度8表1 作業スケジュール実施時期作業内容「4 作業の実施内容」の項番定常時対応 (3)日次定常時運用業務(システム操作、運転管理・監視、稼動状況監視、ヘルプデスク提供、定期点検、不具合受付等)ア月次運用・保守作業報告書の取りまとめイ適宜ソフトウェア保守におけるソフトウェア製品の構成変更時対応ウ適宜ソフトウェアのセキュリティぜい弱性対応エ適宜パッチのリリース管理オ適宜運用・保守作業におけるシステム改善対応カ適宜運用・保守作業におけるプログラム修正時対応キ適宜運用・保守実績の未達部分結果分析ク月次定期運用・保守会議を開催ケ適宜情報システム運用継続計画の作成又は更新支援コ適宜設計書等の更新版の提出サ適宜リモートアクセス時のマネージドサービスの利用シ適宜農林水産省クラウド利用ガイドライン別紙1_共通機能_利用申請書の内容変更時対応ス適宜インベントリ情報収集のための設定作業セ適宜利用者への研修教育の実施ソ適宜セキュリティ管理タ9障害発生対応 (4)発生時障害発生時運用業務(障害検知、障害発生箇所の切り分け、関係する事業者への連絡、復旧確認、報告等)及び障害発生時保守作業(原因調査、応急措置、報告等)ア、イ、ウ年1回事前訓練エ情報システムの現況確認支援 (5)年1回情報資産管理データと情報システムの現況との突合・確認の支援ア、イ、ウ、エ適宜本システムで利用しているソフトウェア情報の提供オ適宜クラウドサービスを含めた情報システムの構成を適切に見直すための資料提供カ運用・保守作業の改善提案 (6)年１回改善提案、年間の運用・保守実績の取りまとめア適宜運用・保守作業計画、運用・保守作業実施要領に対する報告及び改善提案ア、イ、ウ、エ、オ、キ月次クラウドサービス利用実績提供カ改修を伴う運用・保守作業の負担低減提案 (7)適宜システム改修により運用・保守作業の負担軽減が見込める提案運用・保守作業項目に定める作業の実施 (8)適宜「運用・保守作業計画」、「運用・保守作業実施要領」に定める作業サーバー証明書の調達・更新 (9)適宜サーバー証明書の調達・更新の実施ヘルプデスク業務 (10)日次システム利用者である木材関連事業者等及び林野庁職員からの問い合わせに対応するヘルプデスク業務10定常作業含め作業内容の年間のスケジュールについても、担当部署と協議、確定することとする。

２．調達案件及び関連調達案件(１)調達範囲本調達では、MAFF クラウドでの本システムの運用・保守業務及び利用者への支援を行うものとする。

契約締結から速やかに、令和７年度の本システム運用・保守事業者と調整の上、引継業務を行うものとする。

本調達にパブリッククラウドにおけるクラウドサービスの提供業務も含めることとする。

また、クラウドサービスの提供に係る費用及び利用料は受注者の負担とする。

また、本システムの調達対象としては、本番運用環境だけでなく、テスト環境を含むものとする。

なお、このテスト環境は MAFF クラウドと連携するものではない。

CI/CDについては、テスト環境で確認したのち、本番環境にリリースする運用を想定している。

引継 (11)契約開始前前年度の運用・保守業者からの引継ア契約終了時(他の事業者が本システムの運用・保守を受注した場合)他の事業者(次期システム運用・保守事業者)への引継イ、ウ業務の完了 (12)すべての業務完了時業務の完了報告定例会等の実施 (13)契約後10日以内キックオフ会議の開催と議事録作成ア月１回業務の進捗状況報告の定例会と議事録作成イ、エ適宜定例会以外の会議開催と議事録作成ウ、エ契約金額内訳及び情報資産管理標準シートの提出 (14)契約締結後契約金額内訳を記載したエクセル電子データの提出ア適宜情報資産管理標準シートの提出イ11(２)調達案件の一覧調達案件及びこれと関連する調達案件の調達単位、調達の方式、実施時期等は表2のとおりである。

表 2 関連する調達案件の一覧No 調達案件名調達の方式契約締結日意見招請入札公告落札者決定契約期間1 「クリーンウッド」利用推進事業のうち流通木材の合法性確認システム構築事業(要件定義書案の作成)随意契約(企画競争)令和4年3月18日変更契約：令和4年3月30日契約済み令和4年3月から令和5年3月まで2 「クリーンウッド」利用推進事業のうち木材流通における情報伝達状況調査随意契約(企画競争)令和5年5月24日契約済み令和5年5月から令和 5 年 12 月まで3 流通木材の合法性確認システム整備の設計・開発一般競争入札(総合評価)令和6年４月16日契約済み令和6年４月から令和7年3月まで4 流通木材の合法性確認システムに係る運用・保守及びクラウドサービス提供業務一般競争入札(最低価格)令和7年4月1日契約済み令和7年4月から令和8年3月まで5 【本調達】流通木材の合法性確認システムに係る運用・保守及びクラウドサービス提供業務一般競争入札(最低価格)令和8年4月1日※１意見招請なし令和７年12月頃令和８年2月頃令和８年4月から令和９年3月まで※1：仮日程12(３)調達案件間の入札制限現時点で本調達と、前項記載の調達案件間の入札制限はない。

その他、詳細については「8(5)入札制限」も参照すること。

３．情報システムに求める要件本業務の実施に当たっては、担当部署と協議、確定の上作成する「運用・保守作業計画」及び「運用・保守作業実施要領」の各要件を満たすこと。

４．作業の実施内容作業の実施内容は、次の各号のとおりである。

また、現行システムの構成等については、令和７年度の本システム運用・保守事業者から引き継がれた資料を基に「運用・保守作業計画」、「運用・保守作業実施要領」および「インフラ基盤設計書、システム構成図、ソフトウェア」を含めた「システム構成図」として作成する。

(１)運用・保守の前提ア．受注者は、令和７年度の本システム運用・保守事業者からパブリッククラウド上に構築された情報システムの引継を受け、アカウントの契約の移管を行い、環境を維持すること。

イ．受注者は、構成管理及びパッチの適用について自動化すること。

なお、自動化とは、対象を選定し、タイミングをコントロールして適用することをいう。

ウ．受注者は、原則、メンテナンスの際にクラウドサービスプロバイダーのサービス(AWSの場合、AWS Systems Manager Session Manager・AWS Systems Manager FleetManager)を利用すること。

エ．受注者は、ソフトウェアの情報をクラウドサービスの機能(AWSの場合、ASM(AWSSystems Manager)) を利用して自動取得すること。

オ．農林水産省をエンドカスタマー(エンドユーザー)として登録していることを証明する書面を提出すること。

カ．運用時間帯の前提・制約については以下のとおりとする。

(ア)システム稼働時間：24時間、365日(障害対応を行う時間帯: 平日(農林水産省開庁日) 8:30～18:30)(イ)ヘルプデスク運営時間: 平日(農林水産省開庁日) 9:00～18:00キ．本システムでは、障害や大規模災害等として以下のような場合を想定する(ア)地震、火災、風水害等、攻撃等による直接的な基盤の損壊(イ)基盤周辺のライフライン(電力、通信等)の機能不全のよる基盤の長時間停止(ウ)マルウェア感染や不正侵入等のネットワークを介した攻撃による長時間停止ク．本システムは、復旧時間の目標値として以下を満たすこと。

ただし、基盤と利用者間のネットワーク部分に障害の原因がある場合は除外してよい。

13(ア)障害発生時：24 時間[注 1](イ)業務停止時：24 時間[注 2](ウ)大規模災害時：1 週間[注 3][注 1] 「非機能要求グレード 2018」(独立行政法人情報処理推進機構、2018 年 4月、https://www.ipa.go.jp/sec/softwareengineering/std/ent03-b.html)において「社会的影響が限定されるシステム」における指標値「A.1.2.2 業務継続性/サービス切替時間」レベル 1 の推奨値「1 営業日以内」を採用[注 2] 「非機能要求グレード 2018」(独立行政法人情報処理推進機構、2018 年 4月、https://www.ipa.go.jp/sec/softwareengineering/std/ent03-b.html)において「社会的影響が限定されるシステム」における指標値「A.1.3.2 目標復旧水準(業務停止時)/RTO(目標復旧時間)」レベル 1 の推奨値「1 営業日以内」を採用[注 3] 「非機能要求グレード 2018」(独立行政法人情報処理推進機構、2018 年 4月、https://www.ipa.go.jp/sec/softwareengineering/std/ent03-b.html)において「社会的影響が限定されるシステム」における指標値「A.1.4.1 目標復旧水準(大規模災害時)/システム再開目標」レベル 3 の推奨値「1 週間以内に再開」を採用(２)運用・保守作業計画及び運用・保守作業実施要領の確定作業支援受注者は、「運用・保守作業計画(案) 及び運用・保守作業実施要領(案)」を作成する。

それに基づき、担当部署が運用・保守作業計画及び運用・保守作業実施要領を確定するために要する支援を行うこと。

支援に当たり、担当部署と具体的な作業内容や実施時間、実施サイクル等に関し確認を行うこと。

運用・保守作業計画及び運用・保守作業実施要領を必要に応じ更新し、契約締結後 10 日以内(行政機関の休日(行政機関の休日に関する法律(昭和 63 年法律第 91 号)第１条第１項各号に掲げる日をいう。

)を除く。

)に担当部署に提出、承認を受けること。

なお、運用・保守作業計画及び運用・保守作業実施要領の記載内容は、「デジタル・ガバメント推進標準ガイドライン」(令和６年５月 31 日デジタル社会推進会議幹事会決定。以下「標準ガイドライン」という。)「第９章運用及び保守」で定義されている事項を踏まえたものとする。

(３)定常時対応ア．受注者は、定常時運用業務(システム操作、運転管理・監視、稼動状況監視、ヘルプデスク提供、定期点検、不具合受付等)を行うこと。

具体的な実施内容・手順は担当部署が定める運用・保守作業計画に基づいて行うこと。

主な監視対象としては、CPU使用率と CPU queue とプロセス情報、Apacheのログを用いたレスポンス14タイムの監視を行う。

これらを同一の時間軸でログ管理を行うことでリソース不足が発生した際に、深堀して分析ができるようにすること。

イ．受注者は、運用業務の内容や工数などの作業実績、サービスレベルの達成状況、情報システムの構成と運転状況(情報セキュリティ監視状況、情報システムのぜい弱性への対応状況を含む。)、情報システムの利用者への研修を含めたサポート、受注者内教育・訓練状況、リスク・課題の把握・対応状況について月次で運用・保守作業報告書を取りまとめ、担当部署に報告、承認を得ること。

ウ．受注者は、ソフトウェア製品の保守の実施において、ソフトウェア製品の構成に変更が生じる場合には、担当部署にその旨を報告し、変更後の環境がライセンスの許諾条件に合致するか否かの確認を受けること。

また、自動取得したソフトウェアの情報を把握し、担当部署の求めに応じて最新の構成情報の出力結果を提出すること。

エ．ソフトウェアにセキュリティのぜい弱性が見つかった場合は、受注者は対応策について計画し、担当部署の承認を得た上で対応すること。

オ．受注者は、パッチの自動適用を用いて、検証環境や品質保証環境などを用いてパッチベースラインを検証し、その後に本番環境にパッチを適用するなど、パッチのリリース管理を行うこと。

なお、パッチ適用に起因する不具合が出た際に行う切り戻しやアプリケーション修正などの対応を予め計画すること。

カ．受注者は、画面の操作性や分かり易さ等の改善の要望が生じた際、担当部署と検討を行い、軽微なプログラム修正で改善可能と判断された場合、対応を行うものとする。

キ．受注者は、保守作業でプログラムの修正を行った場合、設計書等の更新を行い、テストを行った上で本番環境へ適用すること。

改修の際に作成、更新した資料は、担当部署へ提出すること。

ク．受注者は、月間の運用・保守実績を評価し、達成状況が目標に満たない場合はその要因の分析を行うとともに、達成状況の改善に向けた対応策を提案すること。

ケ．受注者は、別途定めたSLAに基づいた運用・保守作業報告書の内容について、月例の定期運用・保守会議を開催し、その内容を報告すること。

なお、SLAの内容と乖離がある場合は、その原因分析と対応策、解決予定日を報告すること。

コ．受注者は、担当部署が、情報システム運用継続計画を作成又は更新するにあたり、情報提供等の支援を行うこと。

サ．受注者は、インフラの設定変更があった場合は設計書等の更新版(パラメータシート含む)を、担当部署に提出すること。

シ．受注者は、本システムへのリモートアクセスを行う際、原則として安全にリモートアクセスを行うことができるマネージドサービス(AWS の場合、AWS SystemsManager Session Manager・AWS Systems Manager Fleet Manager)を利用するこ15と。

ス．受注者は、「農林水産省クラウド利用ガイドライン別紙1_共通機能_利用申請書」の内容(システム構成を含む)に変更がある場合、資料を更新し、担当部署とMAFFクラウドCoEの確認を受けること。

セ．受注者は、インベントリ情報を収集するため、設定作業(AWS の場合、SystemsManager InventoryとEC2の設定)を実施すること。

なお、インベントリ収集機能はコンテナの構成管理に対応していないため、コンテナを利用しているシステムは、MAFFクラウド利用ガイドラインの記載を参考に、脆弱性対策を実施すること。

ソ．受注者は年に一回程度、利用者への教育研修を実施する。

実施内容やスケジュールを受注者が検討し、「教育研修計画」を作成して予め担当部署の承認を得て研修を実施すること。

タ．受注者はセキュリティ管理として、(AWSの場合SecurityHub)が発報したセキュリティアラートについて、対応ならびに無効化／抑制を検討するものとする。

なお、新たなルールの追加について、迅速に対応するものとする。

(４)障害発生時対応ア．受注者は、情報システムの障害発生時(又は発生が見込まれる時)には、速やかに担当部署に報告するとともに、その緊急度及び影響度を判断の上、担当部署と別途検討・確定のうえ作成する「運用・保守作業計画」および「運用・保守作業実施要領」に盛り込む障害発生時運用業務(障害検知、障害発生箇所の切り分け、関係する事業者への連絡、復旧確認、報告等)の保守要件として障害発生時保守作業(原因調査、応急措置、報告等)を行うこと。

イ．障害には、情報セキュリティインシデントを含めるものとする。

具体的な実施内容・手順は担当部署と別途検討・確定のうえ作成する「運用・保守作業計画」および「運用・保守作業実施要領」に基づいて行うこと。

ウ．受注者は、情報システムの障害に関して事象の分析(発生原因、影響度、過去の発生実績、再発可能性等)を行い、同様の事象が将来にわたって発生する可能性がある場合には、恒久的な対応策を提案すること。

エ．受注者は、災害等の発生時には、担当部署の指示を受けて、情報システム運用継続計画に基づく運用業務を実施すること。

なお、災害等の発生に備え、最低年1回(11月を予定)は事前訓練を実施すること。

オ．受注者は、生成AIを活用しているシステムにおいて、生成AIシステムのアウトプットが期待する品質を満たさなくなった場合、そこから生じる被害を最小限に食い止め、原因を特定し、改善措置を講じること。

(５)情報システムの現況確認支援16ア．受注者は、年１回(年度下期中を予定)、担当部署の指示に基づき、情報資産管理データと情報システムの現況との突合・確認(以下「現況確認」という。)を支援すること。

なお、MAFFクラウドを利用している場合、MAFFクラウドから提供されるインベントリ情報を活用することで、現況との突合確認は省略することも可とするが、インベントリ情報から収集できない製品が含まれる場合は、当該製品の構成情報の取得を行うこと。

イ．受注者は、現況確認の結果、情報資産管理データと情報システムの現況との間の差異がみられる場合は、運用・保守作業実施要領に定める変更管理方法に従い、差異を解消すること。

ウ．受注者は、現況確認の結果、ライセンス許諾条件に合致しない状況が認められる場合は、当該条件への適合可否、条件等を調査の上、担当部署に報告すること。

エ．受注者は、現況確認の結果、サポート切れのソフトウェア製品の使用が明らかとなった場合は、当該製品の更新の可否、更新した場合の影響の有無等を調査の上、担当部署に報告すること。

オ．受注者は、担当部署の求めに応じ、本システムで利用しているソフトウェアの情報を提供すること。

情報の取得に際しては、クラウドサービスの機能(AWSの場合、SSM(AWS Systems Manager))を利用して取得し、その出力結果を提供すること。

カ．受注者は、担当部署の求めに応じクラウドサービスを含めた情報システムの構成を適切に見直すための資料(AWS Cost Explorer、AWS Trusted Advisor、AWS CUR等の出力結果)を提出すること。

(６)運用・保守作業の改善提案ア．受注者は、年度末までに年間の運用・保守実績を取りまとめること。

また、担当部署の求めに応じ、年 1 回程度(10月頃を予定)運用・保守作業計画、運用・保守作業実施要領に対する報告及び改善提案を行い、担当部署の承認を得ること。

イ．担当部署は、受注者から受けた報告及び改善提案をPMO、MAFFクラウドCoEへ報告し、必要な助言、指導等を受ける。

この際、受注者は担当部署の求めに応じ、PMO、MAFFクラウドCoEへの報告に参加すること。

ウ．改善提案のうち、パブリッククラウドの運用体制については、自社による運用・保守の改善の他、MSPサービスの活用についても検討し提案すること。

改善提案に当たっては、パブリッククラウドの運用体制において、マネージドサービスプロバイダーが提供している共有型のクラウド運用・保守サービスの活用についても検討し整理することとする。

検討した結果、MSPサービスの活用を運用・保守作業計画に組み込めた場合は、実際にサービス等の活用を開始すること。

エ．改善提案には、クラウドサービスプロバイダーが提供するベストプラクティス準17拠状況(AWS：Trusted Advisor)及び、検出項目の対応可否を含めること。

オ．改善提案には、システムが適切に運用されているか確認した結果及び改善点を含めること。

確認にはクラウド構成のベストプラクティス(AWS：AWS Well-Architectedフレームワークの全ての柱)を活用し、年に一度システムが適切に運用されているかチェックし、次年度の改善点を整理すること。

カ．受注者はクラウドサービス利用明細書の写し及び月額の運用サービスの費用実績(MSPサービスを利用した場合)を一覧表にとりまとめ、月次の運用・保守作業報告書の取りまとめに合わせて担当部署に提出すること。

また、担当部署の求めに応じ、クラウドサービスを含めた情報システムの構成を適切に見直すための資料(AWS Cost Explorer、AWS Trusted Advisor、AWS CUR等の出力結果)を提出すること。

なお、運用サービスの共通化とは、以下の取り組みとする。

(ア)受注者が自社で MSP サービスを提供している企業の場合はそれを利用すること。

(イ)受注者が自社でMSPサービスを提供していない企業は、運用品質の均一化と不要なコストを削減するために①外部企業が提供するMSPサービスを利用すること又は②複数の運用案件を受注することで、自社内で運用サービス(サービスデスク、監視サービス等)のShared service(シェアードサービス)に取り組み、費用を逓減すること。

クラウド利用料について、提出した実績を踏まえ、当該年度の９月末までに次年度の利用内容及び契約予定額を担当部署と協議する。

また、クラウド利用料等の実績より、クラウドサービスの稼働状況やコストの遷移から、見積の作成、不要リソースの削除検討を行うものとする。

改善提案を作成したら担当部署ならびにPMO/MAFFクラウドCoEに報告すること。

キ．担当部署は改善提案を受けて、本業務の実施内容を変更しようとする場合は「１０(1)ウ」の協議を行うものとする。

(７)改修を伴う運用・保守作業の負担低減提案受注者は、前項以外に、本システムを一部改修することにより運用・保守作業低減が見込まれる場合、その改修に係る工数と低減が見込める工数を明らかにして改修の提案を「４．(６)」の改善提案と合わせて行うこと。

(８)運用・保守作業項目に定める作業の実施受注者は、令和７年度の本システム運用・保守事業者から引き継がれた資料・情報を基に作成し担当部署と確認した「運用・保守作業計画」、「運用・保守作業実施要領」に18定める作業を行うこと。

(９)サーバー証明書の調達及び更新受注者は本システムの運用に必要なサーバー証明書を調達し、必要に応じて更新の手続きを行うこと。

なお、これらに要する費用は受注者の負担とする。

(10)ヘルプデスク業務受注者は、運用手順書に定めるユーザー(一部職員を含む木材関連事業者)からの問い合わせに対応するヘルプデスク業務を行うこと。

ヘルプデスク業務では電話受付(平日(農林水産省開庁日) 9:00～18:00、緊急対応が必要な場合は適宜対応)及びメールでの対応を可能とすること。

IP 電話の利用を認める。

ただし、当該電話は利用者が契約している電話料金で通話が可能なプランを利用して開設することとし、いわゆるナビダイヤルは認めない。

受け付けた問い合せと回答についてはQ&Aとしてまとめること。

また、貸与期間終了前であっても、必要がなくなった場合には速やかに返却すること。

28６.作業の実施に当たっての遵守事項(１)機密保持、資料の取扱いア．担当部署から農林水産省における情報セキュリティの確保に関する規則(平成27年３月31日農林水産省訓令第４号。以下「規則」という。)、「農林水産省における個人情報の適正な取扱いのための措置に関する訓令」等の説明を受けるとともに、本業務に係る情報セキュリティ要件を遵守すること。

なお、「農林水産省における情報セキュリティの確保に関する規則」は、政府機関等のサイバーセキュリティ対策のための統一基準群(以下「統一基準群」という。)に準拠することとされていることから、受注者は、統一基準群の改定を踏まえて規則が改正された場合には、本業務に関する影響分析を行うこと。

イ．本業務に係る情報セキュリティ要件は次のとおりである。

(ア)委託した業務以外の目的で利用しないこと。

(イ)業務上知り得た情報について第三者への開示や漏えいをしないこと。

(ウ)持出しを禁止すること。

(エ)受注者の責に起因する情報セキュリティインシデントが発生するなどの万一の事故があった場合に直ちに報告する義務や、損害に対する賠償等の責任を負うこと。

(オ)業務の履行中に受け取った情報の管理、業務終了後の返却又は抹消等を行い復元不可能な状態にすること。

(カ)適切な措置が講じられていることを確認するため、遵守状況の報告を求めることや、必要に応じて担当部署による実地調査が実施できること。

(キ)生成AIシステム特有のリスクケース等が発生した場合、受注者は関係するデータの提供や調査等に協力すること。

(ク)本業務の開発・運用において、ソースコード解析やソースコード生成、ソースコードの管理を行う際には、セキュリティ・バイ・デザイン(DS-200)を元に、情報セキュリティ対策の責任者を定め、開発環境や開発工程等も含めたすべてのライフサイクルに対してぬけ漏れなく情報セキュリティ対策を実行すること。

(ケ)情報システム、情報システムで取り扱うデータ等の情報資産の所有権その他の権利が受注者及びクラウドサービスプロバイダーに帰属しないこと。

(コ)クラウドサービスの利用にあたり、情報資産が漏えいすることがないよう、必要な措置を講じること。

(サ)農林水産省の情報システムにおけるクラウドサービスの契約において、農林水産省をエンドカスタマーとしてクラウドサービスの再販を行うこと。

29ウ．上記以外に、別紙２「情報セキュリティの確保に関する共通基本仕様」に基づき、作業を行うこと。

(２)個人情報の取扱いア．個人情報(生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

以下同じ。

)の取扱いに係る事項について担当部署と協議の上決定し、書面にて提出すること。

なお、以下の事項を記載すること。

(ア)個人情報の取扱いに関する責任者が情報管理責任者と異なる場合には、個人情報の取扱いに関する責任者等の管理体制(イ)個人情報の管理状況の検査に関する事項(検査時期、検査項目、検査結果において問題があった場合の対応等)イ．本業務の作業を派遣労働者に行わせる場合は、労働者派遣契約書に秘密保持義務など個人情報の適正な取扱いに関する事項を明記し、作業実施前に教育を実施し、認識を徹底させること。

なお、受注者はその旨を証明する書類を提出し、担当部署の了承を得た上で実施すること。

ウ．個人情報を複製する際には、事前に担当職員の許可を得ること。

なお、複製の実施は必要最小限とし、複製が不要となり次第、その内容が絶対に復元できないように破棄・消去を実施すること。

なお、受注者は廃棄作業が適切に行われたことを確認し、その保証をすること。

エ．受注者は、本業務を履行する上で個人情報の漏えい等安全確保の上で問題となる事案を把握した場合には、直ちに被害拡大防止等のため必要な措置を講ずるとともに、担当職員に事案が発生した旨、被害状況、復旧等の措置及び本人への対応等について直ちに報告すること。

オ．受注者は、担当部署からの指示に基づき、個人情報の取扱いに関して原則として年１回以上の実地検査を受け入れること。

なお、やむを得ない理由により実地検査の受入れが困難である場合は、書面検査を受け入れること。

また、個人情報の取扱いに係る業務を再委託する場合は、受注者(必要に応じ担当部署)は、原則として年１回以上の再委託先への実地検査を行うこととし、やむを得ない理由により実地検査の実施が困難である場合は、書面検査を行うこと。

カ．個人情報の取扱いにおいて適正な取扱いが行われなかった場合は、本業務の契約解除の措置を受けるものとする。

(３)法令等の遵守30ア．本業務の遂行に当たっては、不正アクセス行為の禁止等に関する法律(平成 11年8月13日法律第128号)、個人情報の保護に関する法律(平成15年5月30日法律第 57 号)、行政手続における特定の個人を識別するための番号の利用に関する法律(平成25年5月31日法律第27号)等、適用される法令等を遵守し履行すること。

イ．受託者は、本業務の遂行に当たり、以下の関連する環境関係法令を遵守するものとする。

(ア)エネルギーの使用の合理化及び非化石エネルギーへの転換等に関する法律(昭和54年法律49号)(イ)廃棄物の処理及び清掃に関する法律(昭和45年法律第137号)(ウ)国等による環境物品等の調達の推進等に関する法律(平成 12 年法律第 100号)(エ)プラスチックに係る資源循環の促進等に関する法律(令和３年法律第60号)(オ)労働安全衛生法(昭和47年法律第57号)(カ)地球温暖化対策の推進に関する法律 (平成10年法律第117号)ウ．環境負荷軽減に係る遵守事項受注者は、役務の提供に当たり、新たな環境負荷を与えることにならないよう、事業の最終報告時に様式を用いて、以下の取組に努めたことを、別紙３「環境負荷低減のクロスコンプライアンス実施状況報告書」として提出すること。

なお、全ての事項について「実施した／努めた」又は「左記非該当」のどちらかにチェックを入れるとともに、ア～エの各項目について、一つ以上「実施した／努めた」にチェックを入れること。

(ア)環境負荷低減に配慮したものを調達するよう努める。

(イ)エネルギーの削減の観点から、オフィスや車両・機械などの電気、燃料の使用状況の記録・保存や、不必要・非効率なエネルギー消費を行わない取組(照明、空調のこまめな管理や、ウォームビズ・クールビズの励行、燃費効率の良い機械の利用等)の実施に努める。

(ウ)廃棄物の発生抑制、適正な循環的な利用及び適正な処分に努める。

(エ)みどりの食料システム戦略の理解に努める。

(４)標準ガイドラインの遵守本業務の遂行に当たっては、「デジタル社会推進標準ガイドライン群」のうち標準ガイドライン(政府情報システムの整備及び管理に関するルールとして順守する内容を定めたドキュメント)に該当する以下のアからカに基づくこと。

また、具体的な作業内容及び手順等については、「デジタル・ガバメント推進標準ガイドライン解説書」を参考とすること。

なお、デジタル社会推進標準ガイドライン群が改定された場合は、最新31のものを参照し、その内容に従うこと。

要件の策定にあたっては、政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針記載の留意事項等を参考に、クラウドサービスの利用に適した刷新に向け、適切に作業を進めること。

ア．DS-100 デジタル・ガバメント推進標準ガイドラインイ．DS-310 政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針ウ．DS-500 行政手続におけるオンラインによる本人確認の手法に関するガイドラインエ．DS-900 Webサイト等の整備及び廃止に係るドメイン管理ガイドラインオ．DS-910 安全保障等の機微な情報等に係る政府情報システムの取扱いカ．DS-920 行政の進化と革新のための生成AIの調達・利活用に係るガイドライン(５)その他文書、標準への準拠ア．プロジェクト計画書等本業務の遂行に当たっては、担当部署が定めるプロジェクト計画書及びプロジェクト管理要領との整合を確保して行うこと。

イ．プロジェクト標準開発(保守)に当たっては、「コーディング規約(Java編)」「コーディング規約(JSP、JavaScript編)」に準拠して作業を行うこと。

ウ．アプリケーション・コンテンツの作成規程(ア)提供するアプリケーション・コンテンツに不正プログラムを含めないこと。

(イ)提供するアプリケーションにぜい弱性を含めないこと。

(ウ)実行プログラムの形式以外にコンテンツを提供する手段がない限り、実行プログラムの形式でコンテンツを提供しないこと。

(エ)電子証明書を利用するなど、提供するアプリケーション・コンテンツの改ざん等がなく真正なものであることを確認できる手段がある場合には、それをアプリケーション・コンテンツの提供先に与えること。

(オ)提供するアプリケーション・コンテンツの利用時に、ぜい弱性が存在するバージョンのＯＳやソフトウェア等の利用を強制するなどの情報セキュリティ水準を低下させる設定変更を、ＯＳやソフトウェア等の利用者に要求することがないよう、アプリケーション・コンテンツの提供方式を定めて開発すること。

(カ)サービス利用に当たって必須ではない、サービス利用者その他の者に関する情報が本人の意思に反して第三者に提供されるなどの機能がアプリケーション・コンテンツに組み込まれることがないよう開発すること。

(キ)「.go.jp」で終わるドメインを使用してアプリケーション・コンテンツを提供すること。

なお、ドメインを新規に導入する場合又はドメインを変更等する場合は、担当部署から農林水産省ドメイン管理マニュアルの説明を受けると32ともに、それに基づき必要な作業を行うこと。

(ク)詳細については、担当部署から「アプリケーション・コンテンツの作成及び提供に関する規程」の説明を受けるとともに、それに基づきアプリケーション・コンテンツの作成及び提供を行うこと。

エ．流通木材の合法性確認に関する法律及びそれらに基づく規程・通知本システムを利用する業務は、改正CW法及びそれらに基づく規程・通知に沿って行われている。

本システムのあるべき姿については現状有姿の他これらの文書による。

本システムへ変更を加える際は関連する規程・通知等から逸脱しないよう担当部署と協議を行うこと。

オ．MAFFクラウドで要件定義、新規開発、移行、改修又は運用・保守する場合本業務の遂行に当たっては、「農林水産省クラウド利用ガイドライン」に基づくこと。

また、具体的な作業内容及び手順等については、「農林水産省クラウド利用ガイドラインの関係資料」を参考とすること。

なお、農林水産省クラウド利用ガイドラインが改定された場合は、最新のものを参照し、その内容に従うこと。

カ．本業務の遂行に当たっては、「農林水産省データマネジメント・データ活用基本方針書(令和5年10月)」に基づくこと。

キ．本業務の遂行に当たっては、生成 AI を活用する場合、「デジタル社会推進標準ガイドライン DS-920 行政の進化と革新のための生成 AI の調達・利活用に係るガイドライン別紙３調達チェックシート」の基本項目を満たすこと。

本業務においては、国民等による農林水産省外利用の場合、個人情報、プライバシー、知的財産を取り扱う場合の要件についても対応すること。

行政の進化と革新のための生成AIの調達・利活用に係るガイドラインが改定された場合は、最新のものを参照し、その内容に従うこと。

(６)情報システム監査ア．本調達において整備又は管理を行う情報システムに伴うリスクとその対応状況を客観的に評価するために、担当部署が情報システム監査の実施を必要と判断した場合は、担当部署が定めた実施内容(監査内容、対象範囲、実施者等)に基づく情報システム監査を受注者は受け入れること。

(担当部署が別途選定した事業者による監査を含む)。

イ．情報システム監査で問題点の指摘又は改善案の提示を受けた場合には、対応案を担当部署と協議し、指示された期間までに是正を図ること。

(７)セキュリティ要件クラウドアーキテクトのベストプラクティス(AWS の場合 AWS Well-ArchitectedFramework)、「情報システムに係る政府調達におけるセキュリティ要件策定マニ33ュアル(SBDマニュアル)」及び同「別冊クラウド設計・開発編」に準拠すること。

AWSのSecurity Hubの各ベンチマークの「セキュリティスコア」の値(準拠率という)について、90％以上の状態を維持し、運用保守役務において「準拠率」が、100％に近づくように継続的な改善に取り組むこと。

(括弧内はSBDマニュアルにおける項番)ア．システムの可用性確保(DA-2-1)サービスの継続性を確保するため、情報システムの各業務の異常停止時間が運用継続計画書に記載の復旧目標時間を超えることのない運用を可能とし、障害時には迅速な復旧を行う方法又は機能を備えること。

イ．不正プログラムの感染防止(AT-2-1)不正プログラム(ウイルス、ワーム、ボット等)による脅威に備えるため、想定される不正プログラムの感染経路の全てにおいて感染を防止する機能を備えるとともに、新たに発見される不正プログラムに対応するために機能の更新が可能であること。

ウ．ログの蓄積・管理(AU-1-1)情報システムに対する不正行為の検知、発生原因の特定に用いるために、情報システムの利用記録、例外的事象の発生に関するログを蓄積し、本事業の期間保管するとともに、不正の検知、原因特定に有効な管理機能(ログの検索機能、ログの蓄積不能時の対処機能等)を備えること。

エ．ログの保護(AU-1-2)ログの不正な改ざんや削除を防止するため、ログに対するアクセス制御機能を備えるとともに、ログのアーカイブデータの保護(消失及び破壊や改ざん等の脅威の軽減)のための措置を含む設計とすること。

オ．時刻の正確性確保(AU-1-3)情報セキュリティインシデント発生時の原因追及や不正行為の追跡において、ログの分析等を容易にするため、システム内の機器を正確な時刻に同期する機能を備えること。

カ．主体認証(AC-1-1)情報システムによるサービスを許可された者のみに提供するため、情報システムにアクセスする主体のうち記憶の認証を行う機能として、パスワードの方式を採用すること。

キ．ライフサイクル管理(AC-2-1)主体のアクセス権を適切に管理するため、主体が用いるアカウント(識別コード、主体認証情報、権限等)を管理(登録、更新、停止、削除等)するための機能を備えること。

ク．管理者権限の保護(AC-2-3)34特権を有する管理者による不正を防止するため、管理者権限を制御する機能を備えること。

ケ．通信経路上の盗聴防止(PR-1-1)通信回線に対する盗聴行為や利用者の不注意による情報の漏えいを防止するため、通信回線を暗号化する機能を備えること。

暗号化の際に使用する暗号アルゴリズムについては、「電子政府推奨暗号リスト」を参照し決定すること。

コ．保存情報の機密性確保(PR-1-2)情報システムに蓄積された情報の窃取や漏えいを防止するため、情報へのアクセスを制限できる機能を備えること。

また、外部との接続のある情報システムにおいて保護すべき情報を利用者が直接アクセス可能な機器に保存しないこと。

サ．システムの構成管理(DA-1-1)情報セキュリティインシデントの発生要因を減らすとともに、情報セキュリティインシデントの発生時には迅速に対処するため、構築時の情報システムの構成(ハードウェア、ソフトウェア及びサービス構成に関する詳細情報)が記載された文書を提出するとともに文書どおりの構成とし、加えて情報システムに関する運用開始後の最新の構成情報及び稼働状況の管理を行う方法又は機能を備えること。

シ．調達する機器等に不正プログラム等が組み込まれることへの対策(SC-2-1)機器等の製造工程において、担当部署が意図しない変更が加えられないよう適切な措置がとられており、当該措置を継続的に実施していること。

また、当該措置の実施状況を証明する資料を提出すること。

ス．構築時のぜい弱性対策(AT-3-1)情報システムを構成するソフトウェア及びハードウェアのぜい弱性を悪用した不正を防止するため、開発時及び構築時にぜい弱性の有無を確認の上、運用上対処が必要なぜい弱性は修正の上で納入すること。

セ．運用時のぜい弱性対策(AT-3-2)運用開始後、新たに発見されるぜい弱性を悪用した不正を防止するため、情報システムを構成するソフトウェア及びハードウェアの更新を行う方法(手順等)を備えること。

ソ．委託先において不正プログラム等が組み込まれることへの対策(SC-1-1)情報システムの構築において、担当部署が意図しない変更や機密情報の窃取等が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること。

当該品質保証体制を証明する書類(例えば、品質保証体制責任者や各担当者がアクセス可能な範囲等を示した管理体制図)を提出すること。

本調達に係る業務の遂行における情報セキュリティ対策の履行状況を確認するために、担当部署が情報セキュリティ監査の実施を必要と判断した場合は、受注者は情報セキュリティ監査を受け入れること。

また、役務内容を一部再委託する場合は、再委託される35ことにより生ずる脅威に対して、情報セキュリティを確保すること。

(８)情報システムの稼働環境システムの稼働環境については、以下を満たすこと。

なお、詳細については資料閲覧にて「農林水産省クラウド利用ガイドライン及び関係資料」を参照すること。

本業務の実施において、農林水産省クラウド利用ガイドラインの改定があった場合は最新版を参照すること。

資料閲覧の際には別紙４「守秘義務に関する誓約書」の提出が必要となる。

ア．MAFFクラウドにて選定しているクラウドサービスプロバイダーを利用すること。

なお、2025 年度利用しているクラウドサービスプロバイダーは Amazon WebServicesである。

イ．MAFF クラウドで利用するクラウドサービスは、政府情報システムのためのセキュリティ評価制度(ISMAP)のISMAPクラウドサービスリストに登録されている。

MAFFクラウド共通機能については利用を前提とし、詳細についてはMAFFクラウドCoEと協議の上決定する。

ウ．MAFF クラウドを利用する情報システム構築においては、クラウドサービスプロバイダーが提供するサービスを活用することを基本とするが、提供サービス以外に必要な機能に関しては、MAFF クラウドにて選定しているクラウドサービスプロバイダー上に独自にシステム構築を行う。

７.成果物の取扱いに関する事項(１)知的財産権の帰属ア．本業務における成果物の原著作権及び二次的著作物の著作権(著作権法第21条から第28条に定める全ての権利を含む。)は、受注者が本調達の実施の従前から権利を保有していた等の明確な理由によりあらかじめ提案書等にて権利譲渡不可能と示されたもの以外は、全て農林水産省に帰属するものとする。

イ．受注者又は第三者に帰属する知的財産権を用いて成果物を作成(情報システムの構築等を含む。

)する場合、当該知的財産権の利用における制約等を担当部署に説明するとともに、WEBサイトのコンテンツ利用規約にその内容を記載する等によりシステム利用者が意図せず知的財産権を侵害することがないよう、必要な措置を講じること。

ウ．農林水産省は、成果物について、第三者に権利が帰属する場合を除き、自由に複製し、改変等し、及びそれらの利用を第三者に許諾することができるとともに、任意に開示できるものとする。

また、受注者は、成果物について、自由に複製し、改変等し、及びこれらの利用を第三者に許諾すること(以下「複製等」という。)ができるものとする。

ただし、成果物に第三者の権利が帰属するときや、複製等によ36り農林水産省がその業務を遂行する上で支障が生じるおそれがある旨を契約締結時までに通知したときは、この限りでないものとし、この場合には、複製等ができる範囲やその方法等について協議するものとする。

エ．納品される成果物に第三者が権利を有する著作物(以下「既存著作物等」という。)が含まれる場合には、受注者は、当該既存著作物等の使用に必要な費用の負担及び使用許諾契約等に関わる一切の手続を行うこと。

この場合、本業務の受注者は、当該既存著作物の内容について事前に農林水産省の承認を得ることとし、農林水産省は、既存著作物等について当該許諾条件の範囲で使用するものとする。

なお、本仕様に基づく作業に関し、第三者との間に著作権に係る権利侵害の紛争の原因が専ら農林水産省の責めに帰す場合を除き、受注者の責任及び負担において一切を処理すること。

この場合、農林水産省は係る紛争等の事実を知ったときは、受注者に通知し、必要な範囲で訴訟上の防衛を受注者に委ねる等の協力措置を講じるものとする。

オ．本調達に係る成果物の権利(著作権法第 21 条から第 28 条に定める全ての権利を含む。)及び所有権は、検収に合格した成果物の引渡しを受けたとき受注者から農林水産省に移転するものとする。

カ．受注者は農林水産省に対し、一切の著作者人格権を行使しないものとし、また、第三者をして行使させないものとする。

キ．受注者は使用する画像、デザイン、表現等に関して他者の著作権を侵害する行為に十分配慮し、これを行わないこと。

ク．生成AIを活用したシステムを構築・運用する場合、生成AIで作成したアウトプットや本業務で作成した生成AI向けの指示文については、農林水産省に権利が帰属するものとする。

(２)契約不適合責任ア．農林水産省は検収(「検査」と同義。以下同じ。)完了後、成果物について調達仕様書との不一致(バグも含む。以下「契約不適合」という。)が発見された場合、受注者に対して当該契約不適合の修正等の履行の追完(以下「追完」という。)を請求することができる。

この場合において、受注者は、当該追完を行うものとする。

〇現行制度は、①事業者に合法伐採木材等の利用の努力義務を課すとともに、②合法性の確認等を確実に行う木材関連事業者を第三者機関が登録すること等により、合法伐採木材等の流通及び利用を促進。

〇しかしながら、登録木材関連事業者により合法性が確認された木材量は、我が国の木材総需要量の約４割等の状況。

〇 G7関連会合やAPEC林業担当大臣会合等で違法伐採の根絶に向けた取組が課題として取り上げられるなど、更なる取組の強化が必要。

２．法律の概要〇国内市場における木材流通の最初の段階での対応が重要であることから、川上・水際の木材関連事業者に対し、素材生産販売事業者又は外国の木材輸出事業者から木材等の譲受け等をする場合に、①原材料情報の収集、合法性の確認、②記録の作成・保存、③情報の伝達を義務付け(第６条～第８条)。

(１)川上・水際の木材関連事業者による合法性の確認等の義務付け(２)素材生産販売事業者による情報提供の義務付け(３)小売事業者の木材関連事業者への追加(４)その他の措置〇 (１)及び(２)に関し、主務大臣による指導・助言、勧告、公表、命令、命令違反の場合の罰則等を措置(第10条、第11条、第45条等)。

〇木材関連事業者が(１)のほか、合法伐採木材等の利用を確保するために取り組むべき措置として、違法伐採に係る木材等を利用しないようにするための措置等を明確化(第13条)。

〇一定規模以上の川上・水際の木材関連事業者に対する定期報告の義務付け、関係行政機関の長等に対する協力要請を措置(第12条、第41条)。

〇合法性の確認等の情報が消費者まで伝わるよう、小売事業者を木材関連事業者に追加し、登録を受けることができるよう措置(第２条第４項)。

〇 (１)で義務付けられる合法性の確認等が円滑に行われるよう、素材生産販売事業者に対し、当該木材関連事業者からの求めに応じ、伐採届等の情報提供を行うことを義務付け(第９条)。

令和７年４月１日施行川上の木材関連事業者(原木市場、製材工場等)素材生産販売事業者(立木の伐採、販売等)消費者合法伐採木材等の利用に努める義務木材輸出事業者水際の木材関連事業者(輸入事業者)事業者小売事業者他の木材関連事業者家具工場、製紙工場、建築業者等(２)木材関連事業者の求めに応じ、情報提供を義務化(３)小売事業者を木材関連事業者に追加※ が改正部分(１)合法性の確認等を義務化合法伐採木材等の利用を確保するために取り組むべき措置を確実に行う者を登録【別紙１】】(別紙２)- 1 -情報セキュリティの確保に関する共通基本仕様Ⅰ 情報セキュリティポリシーの遵守１受託者は、担当部署から農林水産省における情報セキュリティの確保に関する規則(平成27 年農林水産省訓令第４号。以下「規則」という。)等の説明を受けるとともに、本業務に係る情報セキュリティ要件を遵守すること。

なお、規則は、政府機関等のサイバーセキュリティ対策のための統一基準群(以下「統一基準群」という。)に準拠することとされていることから、受託者は、統一基準群の改定を踏まえて規則が改正された場合には、本業務に関する影響分析を行うこと。

２受託者は、規則と同等の情報セキュリティ管理体制を整備していること。

３受託者は、本業務の従事者に対して、規則と同等の情報セキュリティ対策の教育を実施していること。

Ⅱ 応札者に関する情報の提供１応札者は、応札者の資本関係・役員等の情報、本業務の実施場所、本業務の従事者(契約社員、派遣社員等の雇用形態は問わず、本業務に従事する全ての要員)の所属・専門性(保有資格、研修受講実績等)・実績(業務実績、経験年数等)及び国籍に関する情報を記載した資料を提出すること。

なお、本業務に従事する全ての要員に関する情報を記載することが困難な場合は、本業務に従事する主要な要員に関する情報を記載するとともに、本業務に従事する部門等における従事者に関する情報(○○国籍の者が△名(又は□％)等)を記載すること。

また、この場合であっても、担当部署からの要求に応じて、可能な限り要員に関する情報を提供すること。

２応札者は、本業務を実施する部署、体制等の情報セキュリティ水準を証明する以下のいずれかの証明書等の写しを提出すること。

(提出時点で有効期限が切れていないこと。)(１)ISO/IEC27001等の国際規格とそれに基づく認証の証明書等(２)プライバシーマーク又はそれと同等の認証の証明書等(３)独立行政法人情報処理推進機構(IPA)が公開する「情報セキュリティ対策ベンチマーク」を利用した自己評価を行い、その評価結果において、全項目に係る平均値が４に達し、かつ各評価項目の成熟度が２以上であることが確認できる確認書Ⅲ 業務の実施における情報セキュリティの確保１受託者は、本業務の実施に当たって、以下の措置を講ずること。

なお、応札者は、以下の措置を講ずることを証明する資料を提出すること。

(１)本業務上知り得た情報(公知の情報を除く。)については、契約期間中はもとより契約終了後においても、第三者に開示し、又は本業務以外の目的で利用しないこと。

(別紙２)- 2 -(２)本業務に従事した要員が異動、退職等をした後においても有効な守秘義務契約を締結すること。

(３)本業務に係る情報を適切に取り扱うことが可能となるよう、情報セキュリティ対策の実施内容及び管理体制を整備すること。

なお、本業務実施中及び実施後において検証が可能となるよう、必要なログの取得や作業履歴の記録等を行う実施内容及び管理体制とすること。

(４)本業務において、個人情報又は農林水産省における要機密情報を取り扱う場合は、当該情報(複製を含む。以下同じ。)を国内において取り扱うものとし、当該情報の国外への送信・保存や当該情報への国外からのアクセスを行わないこと。

(５)農林水産省が情報セキュリティ監査の実施を必要と判断した場合は、農林水産省又は農林水産省が選定した事業者による立入調査等の情報セキュリティ監査(サイバーセキュリティ基本法(平成 26 年法律第 104 号)第 26 条第１項第２号に基づく監査等を含む。

以下同じ。

)を受け入れること。

また、担当部署からの要求があった場合は、受託者が自ら実施した内部監査及び外部監査の結果を報告すること。

(６)本業務において、要安定情報を取り扱うなど、担当部署が可用性を確保する必要があると認めた場合は、サービスレベルの保証を行うこと。

(７)本業務において、第三者に情報が漏えいするなどの情報セキュリティインシデントが発生した場合は、担当部署に対し、速やかに電話、口頭等で報告するとともに、報告書を提出すること。

また、農林水産省の指示に従い、事態の収拾、被害の拡大防止、復旧、再発防止等に全力を挙げること。

なお、これらに要する費用の全ては受託者が負担すること。

２受託者は、委託期間を通じて以下の措置を講ずること。

(１)情報の適正な取扱いのため、取り扱う情報の格付等に応じ、以下に掲げる措置を全て含む情報セキュリティ対策を実施すること。

また、実施が不十分の場合、農林水産省と協議の上、必要な改善策を立案し、速やかに実施するなど、適切に対処すること。

ア情報セキュリティインシデント等への対処能力の確立・維持イ情報へアクセスする主体の識別とアクセスの制御ウログの取得・監視エ情報を取り扱う機器等の物理的保護オ情報を取り扱う要員への周知と統制カセキュリティ脅威に対処するための資産管理・リスク評価キ取り扱う情報及び当該情報を取り扱うシステムの完全性の保護クセキュリティ対策の検証・評価・見直し(２)本業務における情報セキュリティ対策の履行状況を定期的に報告すること。

(３)本業務において情報セキュリティインシデントの発生、情報の目的外使用等を認知した場合、直ちに委託事業の一時中断等、必要な措置を含む対処を実施すること。

(４)私物(本業務の従事者個人の所有物等、受託者管理外のものをいう。)の機器等を本業務に用いないこと。

(別紙２)- 3 -(５)本業務において取り扱う情報が本業務上不要となった場合、担当部署の指示に従い返却又は復元できないよう抹消し、その結果を担当部署に書面で報告すること。

３受託者は、委託期間の終了に際して以下の措置を講ずること。

(１)本業務の実施期間を通じてセキュリティ対策が適切に実施されたことを書面等により報告すること。

(２)成果物等を電磁的記録媒体により納品する場合には、不正プログラム対策ソフトウェアによる確認を行うなどして、成果物に不正プログラムが混入することのないよう、適切に対処するとともに、確認結果(確認日時、不正プログラム対策ソフトウェアの製品名、定義ファイルのバージョン等)を成果物等に記載又は添付すること。

(３)本業務において取り扱われた情報を、担当部署の指示に従い返却又は復元できないよう抹消し、その結果を担当部署に書面で報告すること。

４受託者は、情報セキュリティの観点から調達仕様書で求める要件以外に必要となる措置がある場合には、担当部署に報告し、協議の上、対策を講ずること。

Ⅳ 情報システムにおける情報セキュリティの確保１受託者は、本業務において情報システムに関する業務を行う場合には、以下の措置を講ずること。

なお、応札者は、以下の措置を講ずることを証明する資料を提出すること。

(１)本業務の各工程において、農林水産省の意図しない情報システムに関する変更や機密情報の窃取等が行われないことを保証する管理が、一貫した品質保証体制の下でなされていること(例えば、品質保証体制の責任者や各担当者がアクセス可能な範囲等を示した管理体制図、第三者機関による品質保証体制を証明する書類等を提出すること。)。

(２)本業務において、農林水産省の意図しない変更が行われるなどの不正が見つかったときに、追跡調査や立入調査等、農林水産省と連携して原因を調査し、排除するための手順及び体制(例えば、システムの操作ログや作業履歴等を記録し、担当部署から要求された場合には提出するなど)を整備していること。

２受託者は、本業務において情報システムの運用管理機能又は設計・開発に係る企画・要件定義を行う場合には、以下の措置を実施すること。

(１)情報システム運用時のセキュリティ監視等の運用管理機能を明確化し、情報システム運用時に情報セキュリティ確保のために必要となる管理機能や監視のために必要な機能を本業務の成果物へ適切に反映するために、以下を含む措置を実施すること。

ア情報システム運用時に情報セキュリティ確保のために必要となる管理機能を本業務の成果物に明記すること。

イ情報セキュリティインシデントの発生を監視する必要がある場合、監視のために必要な機能について、以下を例とする機能を本業務の成果物に明記すること。

(ア)農林水産省外と通信回線で接続している箇所における外部からの不正アクセスやサ(別紙２)- 4 -ービス不能攻撃を監視する機能(イ)不正プログラム感染や踏み台に利用されること等による農林水産省外への不正な通信を監視する機能(ウ)端末等の農林水産省内ネットワークの末端に位置する機器及びサーバ装置において不正プログラムの挙動を監視する機能(エ)農林水産省内通信回線への端末の接続を監視する機能(オ)端末への外部電磁的記録媒体の挿入を監視する機能(カ)サーバ装置等の機器の動作を監視する機能(キ)ネットワークセグメント間の通信を監視する機能(２)開発する情報システムに関連する脆(ぜい)弱性への対策が実施されるよう、以下を含む対策を本業務の成果物に明記すること。

ア既知の脆(ぜい)弱性が存在するソフトウェアや機能モジュールを情報システムの構成要素としないこと。

イ開発時に情報システムに脆(ぜい)弱性が混入されることを防ぐためのセキュリティ実装方針を定めること。

ウセキュリティ侵害につながる脆(ぜい)弱性が情報システムに存在することが発覚した場合に修正が施されること。

エソフトウェアのサポート期間又はサポート打ち切り計画に関する情報を提供すること。

(３)開発する情報システムに意図しない不正なプログラム等が組み込まれないよう、以下を全て含む対策を本業務の成果物に明記すること。

ア情報システムで利用する機器等を調達する場合は、意図しない不正なプログラム等が組み込まれていないことを確認すること。

イアプリケーション・コンテンツの開発時に意図しない不正なプログラム等が混入されることを防ぐための対策を講ずること。

ウ情報システムの構築を委託する場合は、委託先において農林水産省が意図しない変更が加えられないための管理体制を求めること。

(４)要安定情報を取り扱う情報システムを構築する場合は、許容される停止時間を踏まえて、情報システムを構成する要素ごとに、以下を全て含むセキュリティ要件を定め、本業務の成果物に明記すること。

ア端末、サーバ装置及び通信回線装置等の冗長化に関する要件イ端末、サーバ装置及び通信回線装置並びに取り扱われる情報に関するバックアップの要件ウ情報システムを中断することのできる時間を含めた復旧に関する要件(５)開発する情報システムのネットワーク構成について、以下を全て含む要件を定め、本業務の成果物に明記すること。

アインターネットやインターネットに接点を有する情報システム(クラウドサービスを含(別紙２)- 5 -む。

)から分離することの要否の判断及びインターネットから分離するとした場合に、分離を確実にするための要件イ端末、サーバ装置及び通信回線装置上で利用するソフトウェアを実行するために必要な通信要件ウインターネット上のクラウドサービス等のサービスを利用する場合の通信経路全般のネットワーク構成に関する要件エ農林水産省外通信回線を経由して機器等に対してリモートメンテナンスすることの要否の判断とリモートメンテナンスすることとした場合の要件３受託者は、本業務において情報システムの構築を行う場合には、以下の事項を含む措置を適切に実施すること。

(１)情報システムのセキュリティ要件の適切な実装ア主体認証機能イアクセス制御機能ウ権限管理機能エ識別コード・主体認証情報の付与管理オログの取得・管理カ暗号化機能・電子署名機能キ暗号化・電子署名に係る管理ク監視機能ケソフトウェアに関する脆(ぜい)弱性等対策コ不正プログラム対策ササービス不能攻撃対策シ標的型攻撃対策ス動的なアクセス制御セアプリケーション・コンテンツのセキュリティソ政府ドメイン名(go.jp)の使用タ不正なウェブサイトへの誘導防止チ農林水産省外のアプリケーション・コンテンツの告知(２)監視機能及び監視のための復号・再暗号化監視のために必要な機能について、２(１)イの各項目を例として必要な機能を設けること。

また、不正な変更が発見された場合に、農林水産省と受託者が連携して原因を調査・排除できる体制を整備していること。

３機器等の設置時や保守時に、情報セキュリティの確保に必要なサポートを行うこと。

４利用マニュアル・ガイダンスが適切に整備された機器等を採用すること。

５脆(ぜい)弱性検査等のテストが実施されている機器等を採用し、そのテストの結果が確認できること。

６ ISO/IEC 15408 に基づく認証を取得している機器等を採用することが望ましい。

なお、当該認証を取得している場合は、証明書等の写しを提出すること。

(提出時点で有効期限が切れていないこと。)７情報システムを構成するソフトウェアについては、運用中にサポートが終了しないよう、サポート期間が十分に確保されたものを選定し、可能な限り最新版を採用するとともに、ソフトウェアの種類、バージョン及びサポート期限について報告すること。

なお、サポート期限が事前に公表されていない場合は、情報システムのライフサイクルを踏まえ、販売からの経過年数や後継ソフトウェアの有無等を考慮して選定すること。

８機器等の納品時に、以下の事項を書面で報告すること。

(１)調達仕様書に指定されているセキュリティ要件の実装状況(セキュリティ要件に係る試験(別紙２)- 14 -の実施手順及び結果)(２)機器等に不正プログラムが混入していないこと(最新の定義ファイル等を適用した不正プログラム対策ソフトウェア等によるスキャン結果、内部監査等により不正な変更が加えられていないことを確認した結果等)Ⅸ 管轄裁判所及び準拠法１本業務に係る全ての契約(クラウドサービスを含む。以下同じ。)に関して訴訟の必要が生じた場合の専属的な合意管轄裁判所は、国内の裁判所とすること。

２本業務に係る全ての契約の成立、効力、履行及び解釈に関する準拠法は、日本法とすること。

Ⅹ 業務の再委託における情報セキュリティの確保１受託者は、本業務の一部を再委託(再委託先の事業者が受託した事業の一部を別の事業者に委託する再々委託等、多段階の委託を含む。以下同じ。)する場合には、受託者が上記Ⅱの１、Ⅱの２、Ⅲの１及びⅣの１において提出することとしている資料等と同等の再委託先に関する資料等並びに再委託対象とする業務の範囲及び再委託の必要性を記載した申請書を提出し、農林水産省の許可を得ること。

２受託者は、本業務に係る再委託先の行為について全責任を負うものとする。

また、再委託先に対して、受託者と同等の義務を負わせるものとし、再委託先との契約においてその旨を定めること。

なお、情報セキュリティ監査については、受託者による再委託先への監査のほか、農林水産省又は農林水産省が選定した事業者による再委託先への立入調査等の監査を受け入れるものとすること。

３受託者は、担当部署からの要求があった場合は、再委託先における情報セキュリティ対策の履行状況を報告すること。

Ⅺ 資料等の提出上記Ⅱの１、Ⅱの２、Ⅲの１、Ⅳの１、Ⅴの６、Ⅴの７、Ⅴの８、Ⅵの１(５)、Ⅵの１(６)、Ⅵの１(８)、Ⅷの１及びⅧの６において提出することとしている資料等については、最低価格落札方式にあっては入札公告及び入札説明書に定める証明書等の提出場所及び提出期限に従って提出し、総合評価落札方式及び企画競争方式にあっては提案書等の評価のための書類に添付して提出すること。

Ⅻ 変更手続受託者は、上記Ⅱ、Ⅲ、Ⅳ、Ⅴ、Ⅵ、Ⅶ、Ⅷ及びⅩに関して、農林水産省に提示した内容を変更しようとする場合には、変更する事項、理由等を記載した申請書を提出し、農林水産省の許可を得ること。

【別紙３】様式環境負荷低減のクロスコンプライアンス実施状況報告書以下のア～カの取組について、実施状況を報告します。

ア環境負荷低減に配慮したものを調達するよう努める。

具体的な事項実施した／努めた左記非該当・対象となる物品の輸送に当たり、燃料消費を少なくするよう検討する(もしくはそのような工夫を行っている配送業者と連携する)。

☐ ☐・対象となる物品の輸送に当たり、燃費効率の向上や温室効果ガスの過度な排出を防ぐ観点から、輸送車両の保守点検を適切に実施している。

☐ ☐・農林水産物や加工食品を使用する場合には、農薬等を適正に使用して(農薬の使用基準等を遵守して)作られたものを調達することに努めている。

☐ ☐・事務用品を使用する場合には、詰め替えや再利用可能なものを調達することに努めている。

☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )イエネルギーの削減の観点から、オフィスや車両・機械などの電気、燃料の使用状況の記録・保存や、不必要・非効率なエネルギー消費を行わない取組(照明、空調のこまめな管理や、ウォームビズ・クールビズの励行、燃費効率の良い機械の利用等)の実施に努める。

具体的な事項実施した／努めた左記非該当・事業実施時に消費する電気・ガス・ガソリン等のエネルギーについて、帳簿への記載や伝票の保存等により、使用量・使用料金の記録に努めている。

☐ ☐・事業実施時に使用するオフィスや車両・機械等について、不要な照明の消灯やエンジン停止に努めている。

☐ ☐・事業実施時に使用するオフィスや車両・機械等について、基準となる室温を決めたり、必要以上の冷暖房、保温を行わない等、適切な温度管理に努めている。

☐ ☐・事業実施時に使用する車両・機械等が効果的に機能を発揮できるよう、定期的な点検や破損があった場合は補修等に努めている。

☐ ☐・夏期のクールビズや冬期のウォームビズの実施に努めている。

☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )ウ臭気や害虫の発生源となるものについて適正な管理や処分に努める。

具体的な事項実施した／努めた左記非該当・臭気が発生する可能性がある機械・設備(食品残さの処理や堆肥製造等)を使用する場合、周辺環境に影響を与えないよう定期的に点検を行う。

☐ ☐・臭気や害虫発生の原因となる生ごみの削減や、適切な廃棄などに努めている。

☐ ☐・食品保管を行う等の場合、清潔な環境を維持するため、定期的に清掃を行うことに努めている。

☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )エ廃棄物の発生抑制、適正な循環的な利用及び適正な処分に努める。

具体的な事項実施した／努めた左記非該当・事業実施時に使用する資材について、プラスチック資材から紙などの環境負荷が少ない資材に変更することを検討する。

☐ ☐・資源のリサイクルに努めている(リサイクル事業者に委託することも可)。

☐ ☐・事業実施時に使用するプラスチック資材を処分する場合に法令に従って適切に実施している。

☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )オ工事等を実施する場合は、生物多様性に配慮した事業実施に努める。

具体的な事項実施した／努めた左記非該当・近隣の生物種に影響を与えるような、水質汚濁が発生しないよう努めている。

☐ ☐・近隣の生物種に影響を与えるような、大気汚染が発生しないよう努めている。

☐ ☐・施工にあたり使用する機械や車両について、排気ガスの規制に関連する法令等に適合したものを使用する。

☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )カみどり戦略の理解に努めるとともに、機械等を扱う場合は、機械の適切な整備及び管理並びに作業安全に努める。

具体的な事項実施した／努めた左記非該当・「環境負荷低減のクロスコンプライアンスチェックシート解説書－民間事業者・自治体等編－」にある記載内容を了知し、関係する事項について取り組むよう努める。

☐ ☐・事業者として独自の環境方針やビジョンなどの策定している、もしくは、策定を検討する。

☐ ☐・従業員等の向けの環境や持続性確保に係る研修などを行っている、もしくは、実施を検討する。

☐ ☐・作業現場における、作業安全のためのルールや手順などをマニュアル等に整理する。

また、定期的な研修などを実施するように努めている。

☐ ☐・資機材や作業機械・設備が異常な動作などを起こさないよう、定期的な点検や補修などに努めている。

☐ ☐・作業現場における作業空間内の工具や資材の整理などを行い、安全に作業を行えるスペースを確保する。

☐ ☐・労災保険等の補償措置を備えるよう努めている。

☐ ☐・その他( )・上記で「実施した／努めた」に一つもチェックが入らず(全て「左記非該当」)、その他の取組も行っていない場合は、その理由( )別紙４令和８年度流通木材の合法性確認システムに係る運用・保守及びクラウドサービス提供業務再委託承認申請書番号年月日支出負担行為担当官林野庁長官殿(請負者)住所氏名令和年月日付け契約の令和８年度流通木材の合法性確認システムに係る運用・保守及びクラウドサービス提供業務に係る請負事業について、下記のとおり再委託したいので、請負契約書第３条の規定により承認されたく申請します。

記１再委託先の相手方の住所及び氏名２再委託の業務範囲３再委託の必要性４再委託の金額５その他必要な事項(注)１．申請時に再委託先及び再委託の契約金額(限度額を含む。)を特定できない事情がある場合には、その理由を記載すること。

調達仕様書(別紙５)林野庁木材利用課課長宛守秘義務に関する誓約書「令和８年度流通木材の合法性確認システムに係る運用・保守及びクラウドサービス提供業務」に係る資料閲覧に当たり、下記の事項を厳守することを誓約します。

記１農林水産省の情報セキュリティに関する規程等を遵守し、農林水産省が開示した情報(公知の情報を除く。)を見積書作成の目的以外に使用又は第三者に開示若しくは漏えいすることのないよう、必要な措置を講じます。

２閲覧資料については、複製及び撮影を行いません。

３本件に係る作業期間中及び終了後に関わらず、守秘義務を負います。

４上記１～３に反して、情報を本件の目的以外に使用又は第三者に開示若しくは漏えいした場合、法的な責任を負うものであることを確認し、これにより農林水産省が被った一切の損害を賠償します。

また、その際には秘密保持に関する農林水産省の監査を受けることとし、誠実に対応します。

令和年月日住所会社名代表者名調達仕様書(別紙６)令和８年度流通木材の合法性確認システムに係る運用・保守及びクラウドサービス提供業務閲覧申込書申込日：令和年月日１会社名：２住所：３担当者名：４電話番号：５ E-mailアドレス：６閲覧日時：令和年月日時７閲覧者氏名１：(２名まで)２：(別紙７)事業者名：日付：令和年月日№ 資料名頁仕様書の該当記載内容1 2 3 4 5 6 7 8 91011121314151617181920質問内容Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.01 / 8 ページ項⽬⾒出し要件備考必須可否1 認証・認可 1.1 ユーザー認証 1.1.1 特定のユーザーや管理者のみに表⽰・実⾏を許可すべき画⾯や機能、APIでは、ユーザー認証を実施すること特定のユーザーや管理者のみにアクセスを許可したいWebシステムでは、ユーザー認証を⾏う必要があります。

また、ユーザー認証が成功した後にはアクセス権限を確認する必要があります。

そのため、認証済みユーザーのみがアクセス可能な箇所を明⽰しておくことが望ましいでしょう。

リスクベース認証や⼆要素認証など認証をより強固にする仕組みもあります。

不特定多数がアクセスする必要がない場合には、IPアドレスなどによるアクセス制限も効果があります。

OpenIDなどIdP(ID Provider)を利⽤する場合には信頼できるプロバイダであるかを確認する必要があります。

IdPを使った認証・認可を⾏う場合も他の認証・認可に関する要件を満たすものを利⽤することが望ましいです。

必須1.1.2 上記画⾯や機能に含まれる画像やファイルなどの個別のコンテンツ(⾮公開にすべきデータは直接URLで指定できる公開ディレクトリに配置しない)では、ユーザー認証を実施すること必須1.1.3 多要素認証を実施すること多要素認証(Multi Factor Authentication: MFA)とは、例えばパスワードによる認証に加え、TOTP (Time-Based One-Time Password：時間ベースのワンタイムパスワード)やデジタル証明書など⼆つ以上の要素を利⽤した認証⽅式です。

⼿法については NIST Special Publication 800-63B などを参照してください。

推奨1.2 ユーザーの再認証 1.2.1 個⼈情報や機微情報を表⽰するページに遷移する際には、再認証を実施することユーザー認証はセッションにおいて最初の⼀度だけ実施するのではなく、重要な情報や機能へアクセスする際には再認証を⾏うことが望ましいでしょう。

推奨1.2.2 パスワード変更や決済処理などの重要な機能を実⾏する際には、再認証を実施すること推奨1.3 パスワード 1.3.1 ユーザー⾃⾝が設定するパスワード⽂字列は最低 8⽂字以上であること認証を必要とするWebシステムの多くは、パスワードを本⼈確認の⼿段として認証処理を⾏います。

そのためパスワードを盗聴や盗難などから守ることが重要になります。

必須1.3.2 登録可能なパスワード⽂字列の最⼤⽂字数は64⽂字以上であることパスワードを処理する関数の中には最⼤⽂字数が少ないものもあるので注意する必要があります。

必須1.3.3 パスワード⽂字列として使⽤可能な⽂字種は制限しないこと任意の⼤⼩英字、数字、記号、空⽩、Unicode⽂字など任意の⽂字が利⽤可能である必要があります。

必須1.3.4 パスワード⽂字列の⼊⼒フォームはinput type="password"で指定すること基本的にinputタグのtype属性には「password」を指定しますが、パスワードを⼀時的に表⽰する可視化機能を実装する場合にはこの限りではありません。

必須1.3.5 ユーザーが⼊⼒したパスワード⽂字列を次画⾯以降で表⽰しないこと(hiddenフィールドなどのHTMLソース内やメールも含む)必須【別添】Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.02 / 8 ページ項⽬⾒出し要件備考必須可否1.3.6 パスワードを保存する際には、平⽂で保存せず、Webアプリケーションフレームワークなどが提供するハッシュ化とsaltを使⽤して保存する関数を使⽤すること関数が存在しない場合にはパスワードは「パスワード⽂字列＋salt(ユーザー毎に異なるランダムな⽂字列)」をハッシュ化したものとsaltのみを保存する必要があります。

(saltは20⽂字以上であることが望ましい)パスワード⽂字列のハッシュ化をさらに安全にする⼿法としてストレッチングがあります。

必須1.3.7 ユーザー⾃⾝がパスワードを変更できる機能を⽤意すること必須1.3.8 パスワードはユーザー⾃⾝に設定させることシステムが仮パスワードを発⾏する場合はランダムな⽂字列を設定し、安全な経路でユーザーに通知すること推奨1.3.9 パスワードの⼊⼒欄でペースト機能を禁⽌しないこと⻑いパスワードをユーザーが利⽤出来るようにするためにペースト機能を禁⽌しないようにする必要があります。

推奨1.3.10 パスワード強度チェッカーを実装すること使⽤する⽂字種や⽂字数を確認し、ユーザー⾃⾝にパスワードの強度を⽰せるようにします。

またユーザーIDと同じ⽂字列や漏洩したパスワードなどのリストとの突合を⾏う必要があります。

⼿法については NISTSpecial Publication 800-63B などを参照してください。

推奨1.4 アカウントロック機能について 1.4.1 認証時に無効なパスワードで10回試⾏があった場合、最低30分間はユーザーがロックアウトされた状態にすることパスワードに対する総当たり攻撃や辞書攻撃などから守るためには、試⾏速度を遅らせるアカウントロック機能の実装が有効な⼿段になります。

アカウントロックの試⾏回数、ロックアウト時間については、サービスの内容に応じて調整することが必要になります。

必須1.4.2 ロックアウトは⾃動解除を基本とし、⼿動での解除は管理者のみ実施可能とすること推奨1.5 パスワードリセット機能について 1.5.1 パスワードリセットを実⾏する際にはユーザー本⼈しか受け取れない連絡先(あらかじめ登録しているメールアドレス、電話番号など)にワンタイムトークンを含むURLなどの再設定⽅法を通知すること連絡先については、事前に受け取り確認をしておくことでより安全性を⾼めることができます。

使⽤されたワンタイムトークンは破棄し、有効期限を12時間以内とし必要最低限に設定してください。

必須1.5.2 パスワードはユーザー⾃⾝に再設定させること必須1.6 アクセス制御について 1.6.1 Web ページや機能、データをアクセス制御(認可制御)する際には認証情報・状態を元に権限があるかどうかを判別すること認証により何らかの制限を⾏う場合には、利⽤しようとしている情報や機能へのアクセス(読み込み・書き込み・実⾏など)権限を確認することでアクセス制御を⾏うことが必要になります。

画像やファイルなどのコンテンツ、APIなどの機能に対しても、全て個別にアクセス権限を設定、確認する必要があります。

これらはアクセス権限の⼀覧表に基づいて⾏います。

CDNなどを利⽤してコンテンツを配置するなどアクセス制御を⾏うことが困難な場合、予測が困難なURLを利⽤することでアクセスされにくくする⽅法もあります。

必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.03 / 8 ページ項⽬⾒出し要件備考必須可否1.6.2 公開ディレクトリには公開を前提としたファイルのみ配置すること公開ディレクトリに配置したファイルは、URLを直接指定することでアクセスされる可能性があります。

そのため、機微情報や設定ファイルなどの公開する必要がないファイルは、公開ディレクトリ以外に配置する必要があります。

必須1.7 アカウントの無効化機能について 1.7.1 管理者がアカウントの有効・無効を設定できること不正にアカウントを利⽤されていた場合に、アカウントを無効化することで被害を軽減することができます。

推奨2 セッション管理2.1 セッションの破棄について 2.1.1 認証済みのセッションが⼀定時間以上アイドル状態にあるときはセッションタイムアウトとし、サーバー側のセッションを破棄しログアウトすること認証を必要とするWebシステムの多くは、認証状態の管理にセッションIDを使ったセッション管理を⾏います。

認証済みの状態にあるセッションを不正に利⽤されないためには、使われなくなったセッションを破棄する必要があります。

セッションタイムアウトの時間については、サービスの内容やユーザー利便性に応じて設定することが必要になります。

また、NIST Special Publication 800-63B などを参照してください。

必須2.1.2 ログアウト機能を⽤意し、ログアウト実⾏時にはサーバー側のセッションを破棄することログアウト機能の実⾏後にその成否をユーザーが確認できることが望ましい。

必須2.2 セッションIDについて 2.2.1 Webアプリケーションフレームワークなどが提供するセッション管理機能を使⽤することセッションIDを⽤いて認証状態を管理する場合、セッションIDの盗聴や推測、攻撃者が指定したセッションIDを使⽤させられる攻撃などから守る必要があります。

また、セッションIDは原則としてcookieにのみ格納すべきです。

必須2.2.2 セッションIDは認証成功後に発⾏すること認証前にセッションIDを発⾏する場合は、認証成功直後に新たなセッションIDを発⾏すること必須2.2.3 ログイン前に機微情報をセッションに格納する時点でセッションIDを発⾏または再⽣成すること必須2.2.4 認証済みユーザーの特定はセッションに格納した情報を元に⾏うこと必須2.3 CSRF(クロスサイトリクエストフォージェリー)対策の実施について2.3.1 ユーザーにとって重要な処理を⾏う箇所では、ユーザー本⼈の意図したリクエストであることを確認できるようにすること正規ユーザー以外の意図により操作されては困る処理を⾏う箇所では、フォーム⽣成の際に他者が推測困難なランダムな値(トークン)をhiddenフィールドやcookie以外のヘッダーフィールド(X-CSRF-TOKENなど)に埋め込み、リクエストをPOSTメソッドで送信します。

フォームデータを処理する際にトークンが正しいことを確認することで、正規ユーザーの意図したリクエストであることを確認することができます。

また、別の⽅法としてパスワード再⼊⼒による再認証を求める⽅法もあります。

cookieのSameSite属性を適切に使うことによって、CSRFのリスクを低減する効果があります。

SameSite属性は⼀部の状況においては効果がないこともあるため、トークンによる確認が推奨されます。

必須3 ⼊⼒処理 3.1 パラメーターについて 3.1.1 URLにユーザーID やパスワードなどの機微情報を格納しないこと URLは、リファラー情報などにより外部に漏えいする可能性があります。

そのため URLには秘密にすべき情報は格納しないようにする必要があります。

必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.04 / 8 ページ項⽬⾒出し要件備考必須可否3.1.2 パラメーター(クエリーストリング、エンティティボディ、cookieなどクライアントから受け渡される値)にパス名を含めないことファイル操作を⾏う機能などにおいて、URL パラメーターやフォームで指定した値でパス名を指定できるようにした場合、想定していないファイルにアクセスされてしまうなどの不正な操作を実⾏されてしまう可能性があります。

必須3.1.3 パラメーター要件に基づいて、⼊⼒値の⽂字種や⽂字列⻑の検証を⾏うこと各パラメーターは、機能要件に基づいて⽂字種・⽂字列⻑・形式を定義する必要があります。

⼊⼒値に想定している⽂字種や⽂字列⻑以外の値の⼊⼒を許してしまう場合、不正な操作を実⾏されてしまう可能性があります。

サーバー側でパラメーターを受け取る場合、クライアント側での⼊⼒値検証の有無に関わらず、⼊⼒値の検証はサーバー側で実施する必要があります。

必須3.2 ファイルアップロードについて 3.2.1 ⼊⼒値としてファイルを受け付ける場合には、拡張⼦やファイルフォーマットなどの検証を⾏うことファイルのアップロード機能を利⽤した不正な実⾏を防ぐ必要があります。

画像ファイルを扱う場合には、ヘッダー領域を不正に加⼯したファイルにも注意が必要です。

必須3.2.2 アップロード可能なファイルサイズを制限すること圧縮ファイルを展開する場合には、解凍後のファイルサイズや、ファイルパスやシンボリックリンクを含む場合のファイルの上書きにも注意が必要です。

必須3.3 XMLを使⽤する際の処理について 3.3.1 XMLを読み込む際は、外部参照を無効にすること⼿法についてはXML External Entity Prevention Cheat Sheetなどを参照してください。

https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html必須3.4 デシリアライズについて 3.4.1 信頼できないデータ供給元からのシリアライズされたオブジェクトを受け⼊れないことデシリアライズする場合は、シリアライズしたオブジェクトにデジタル署名などを付与し、信頼できる供給元が発⾏したデータであるかを検証してください。

必須3.5 外部リソースへのリクエスト送信について 3.5.1 他システムに接続や通信を⾏う場合は、外部からの⼊⼒によって接続先を動的に決定しないこと外部から不正なURLやIPアドレスなどが挿⼊されると、SSRF(Server-Side Request Forgery)の脆弱性になる可能性があります。

外部からの⼊⼒によって接続先を指定せざるを得ない場合は、ホワイトリストを基に⼊⼒値の検証を実施するとともに、アプリケーションレイヤーだけではなくネットワークレイヤーでのアクセス制御も併⽤する必要があります。

推奨4 出⼒処理 4.1 HTMLを⽣成する際の処理について 4.1.1 HTMLとして特殊な意味を持つ⽂字( " ' &)を⽂字参照によりエスケープすること外部からの⼊⼒により不正なHTMLタグなどが挿⼊されてしまう可能性があります。

「<」→「<」や「&」→「&」、「"」→「"」のようにエスケープを⾏う必要があります。

スクリプトによりクライアント側でHTMLを⽣成する場合も、同等の処理が必要です。

実装の際にはこれらを⾃動的に実⾏するフレームワークやライブラリを使⽤することが望ましいでしょう。

また、その他にもスクリプトの埋め込みの原因となるものを作らないようにする必要があります。

XMLを⽣成する場合も同様にエスケープが必要です。

必須4.1.2 外部から⼊⼒したURLを出⼒するときは「http://」または「https://」で始まるもののみを許可すること必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.05 / 8 ページ項⽬⾒出し要件備考必須可否4.1.3 .要素の内容やイベントハンドラ(onmouseover=””など)を動的に⽣成しないようにすること.要素の内容やイベントハンドラは原則として動的に⽣成しないようにすべきですが、jQueryなどのAjaxライブラリを使⽤する際はその限りではありません。

ライブラリについては、アップデート状況などを調べて信頼できるものを選択するようにしましょう。

必須4.1.4 任意のスタイルシートを外部サイトから取り込めないようにすること必須4.1.5 HTMLタグの属性値を「"」で囲うこと HTMLタグ中のname=”value”で記される値(value)にユーザーの⼊⼒値を使う場合、「”」で囲わない場合、不正な属性値を追加されてしまう可能性があります。

必須4.1.6 CSSを動的に⽣成しないこと外部からの⼊⼒により不正なCSSが挿⼊されると、ブラウザに表⽰される画⾯が変更されたり、スクリプトが埋め込まれる可能性があります。

必須4.2 JSONを⽣成する際の処理について 4.2.1 ⽂字列連結でJSON⽂字列を⽣成せず、適切なライブラリを⽤いてオブジェクトをJSONに変換すること適切なライブラリがない場合は、JSONとして特殊な意味を持つ⽂字( " \, : { } [ ] )をUnicodeエスケープする必要があります。

必須4.3 HTTPレスポンスヘッダーについて 4.3.1 HTTPレスポンスヘッダーのContent-Typeを適切に指定すること⼀部のブラウザではコンテンツの⽂字コードやメディアタイプを誤認識させることで不正な操作が⾏える可能性があります。

これを防ぐためには、HTTPレスポンスヘッダーを「Content-Type: text/html; charset=utf-8」のように、コンテンツの内容に応じたメディアタイプと⽂字コードを指定する必要があります。

必須4.3.2 HTTPレスポンスヘッダーフィールドの⽣成時に改⾏コードが⼊らないようにすることHTTPヘッダーフィールドの⽣成時にユーザーが指定した値を挿⼊できる場合、改⾏コードを⼊⼒することで不正なHTTPヘッダーやコンテンツを挿⼊されてしまう可能性があります。

これを防ぐためには、HTTPヘッダーフィールドを⽣成する専⽤のライブラリなどを使うようにすることが望ましいでしょう。

必須4.4 その他の出⼒処理について 4.4.1 SQL⽂を組み⽴てる際に静的プレースホルダを使⽤すること SQL⽂の組み⽴て時に不正なSQL⽂を挿⼊されることで、SQLインジェクションを実⾏されてしまう可能性があります。

これを防ぐためにはSQL⽂を動的に⽣成せず、プレースホルダを使⽤してSQL⽂を組み⽴てるようにする必要があります。

静的プレースホルダとは、JIS/ISOの規格で「準備された⽂(PreparedStatement)」と規定されているものです。

必須4.4.2 プログラム上でOSコマンドやアプリケーションなどのコマンド、シェル、eval()などによるコマンドの実⾏を呼び出して使⽤しないことコマンド実⾏時にユーザーが指定した値を挿⼊できる場合、外部から任意のコマンドを実⾏されてしまう可能性があります。

コマンドを呼び出して使⽤しないことが望ましいでしょう。

必須4.4.3 リダイレクタを使⽤する場合には特定のURLのみに遷移できるようにすることリダイレクタのパラメーターに任意のURLを指定できる場合(オープンリダイレクタ)、攻撃者が指定した悪意のあるURLなどに遷移させられる可能性があります。

必須4.4.4 メールヘッダーフィールドの⽣成時に改⾏コードが⼊らないようにすることメールの送信処理にユーザーが指定した値を挿⼊できる場合、不正なコマンドなどを挿⼊されてしまう可能性があります。

これを防ぐためには、不正な改⾏コードを使⽤できないメール送信専⽤のライブラリなどを使うようにすることが望ましいでしょう。

必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.06 / 8 ページ項⽬⾒出し要件備考必須可否4.4.5 サーバ側のテンプレートエンジンを使⽤する際に、テンプレートの変更や作成に外部から受け渡される値を使⽤しないことサーバ側のテンプレートエンジンを使⽤してテンプレートを組み⽴てる際に不正なテンプレートの構⽂を挿⼊されることで、任意のコードを実⾏される可能性があります。

外部から渡される値をテンプレートの組み⽴てに使⽤せず、レンダリングを⾏う際のデータとして使⽤する必要があります。

また、レンダリング時にはクロスサイトスクリプティングの脆弱性が存在しないか確認してください。

必須5 HTTPS 5.1 HTTPSについて 5.1.1 Webサイトを全てHTTPSで保護すること適切にHTTPSを使うことで通信の盗聴・改ざん・なりすましから情報を守ることができます。

次のような重要な情報を扱う画⾯や機能ではHTTPSで通信を⾏う必要があります。

・⼊⼒フォームのある画⾯・⼊⼒フォームデータの送信先・重要情報が記載されている画⾯・セッションIDを送受信する画⾯HTTPSの画⾯内で読み込む画像やスクリプトなどのコンテンツについてもHTTPSで保護する必要があります。

必須5.1.2 サーバー証明書はアクセス時に警告が出ないものを使⽤すること HTTPSで提供されているWebサイトにアクセスした場合、Webブラウザから何らかの警告がでるということは、適切にHTTPSが運⽤されておらず盗聴・改ざん・なりすましから守られていません。

適切なサーバー証明書を使⽤する必要があります。

必須5.1.3 TLS1.2以上のみを使⽤すること SSL2.0／3.0、TLS1.0／1.1には脆弱性があるため、無効化する必要があります。

使⽤する暗号スイートは、7.2.1を参照してください。

必須5.1.4 レスポンスヘッダーにStrict-Transport-Securityを指定すること Hypertext Strict Transport Security(HSTS)を指定すると、ブラウザがHTTPSでアクセスするよう強制できます。

必須6 cookie 6.1 cookieの属性について 6.1.1 Secure属性を付けること Secure属性を付けることで、http://でのアクセスの際にはcookieを送出しないようにできます。

特に認証状態に紐付けられたセッションIDを格納する場合には、Secure属性を付けることが必要です。

必須6.1.2 HttpOnly属性を付けること HttpOnly属性を付けることで、クライアント側のスクリプトからcookieへのアクセスを制限することができます。

必須6.1.3 Domain属性を指定しないことセッションフィクセイションなどの攻撃に悪⽤されることがあるため、Domain属性は特に必要がない限り指定しないことが望ましいでしょう。

推奨7 その他 7.1 エラーメッセージについて 7.1.1 エラーメッセージに詳細な内容を表⽰しないことミドルウェアやデータベースのシステムが出⼒するエラーには、攻撃のヒントになる情報が含まれているため、エラーメッセージの詳細な内容はエラーログなどに出⼒するべきです。

必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.07 / 8 ページ項⽬⾒出し要件備考必須可否7.2 暗号アルゴリズムについて 7.2.1 ハッシュ関数、暗号アルゴリズムは『電⼦政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)』に記載のものを使⽤すること広く使われているハッシュ関数、疑似乱数⽣成系、暗号アルゴリズムの中には安全でないものもあります。

安全なものを使⽤するためには、『電⼦政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)』や『TLS暗号設定ガイドライン』に記載されたものを使⽤する必要があります。

必須7.3 乱数について 7.3.1 鍵や秘密情報などに使⽤する乱数的性質を持つ値を必要とする場合には、暗号学的な強度を持った疑似乱数⽣成系を使⽤すること鍵や秘密情報に予測可能な乱数を⽤いると、過去に⽣成した乱数値から⽣成する乱数値が予測される可能性があるため、ハッシュ関数などを⽤いて⽣成された暗号学的な強度を持った疑似乱数⽣成系を使⽤する必要があります。

必須7.4 基盤ソフトウェアについて 7.4.1 基盤ソフトウェアはアプリケーションの稼働年限以上のものを選定すること脆弱性が発⾒された場合、修正プログラムを適⽤しないと悪⽤される可能性があります。

そのため、⾔語やミドルウェア、ソフトウェアの部品などの基盤ソフトウェアは稼働期間またはサポート期間がアプリケーションの稼働期間以上のものを利⽤する必要があります。

もしアプリケーションの稼働期間中に基盤ソフトウェアの保守期間が終了した場合、危険な脆弱性が残されたままになる可能性があります。

必須7.4.2 既知の脆弱性のないOSやミドルウェア、ライブラリやフレームワーク、パッケージなどのコンポーネントを使⽤すること利⽤コンポーネントにOSSが含まれる場合は、SCA(ソフトウェアコンポジション解析)ツールを導⼊し、依存関係を包括的かつ正確に把握して対策が⾏えることが望ましいでしょう。

必須7.5 ログの記録について 7.5.1 重要な処理が⾏われたらログを記録することログは、情報漏えいや不正アクセスなどが発⽣した際の検知や調査に役⽴つ可能性があります。

認証やアカウント情報の変更などの重要な処理が実⾏された場合には、その処理の内容やクライアントのIPアドレスなどをログとして記録することが望ましいでしょう。

ログに機微情報が含まれる場合にはログ⾃体の取り扱いにも注意が必要になります。

必須7.6 ユーザーへの通知について 7.6.1 重要な処理が⾏われたらユーザーに通知すること重要な処理(パスワードの変更など、ユーザーにとって重要で取り消しが困難な処理)が⾏われたことをユーザーに通知することによって異常を早期に発⾒できる可能性があります。

推奨7.7 Access-Control-Allow-Originヘッダーについて7.7.1 Access-Control-Allow-Originヘッダーを指定する場合は、動的に⽣成せず固定値を使⽤することクロスオリジンでXMLHttpRequest (XHR)を使う場合のみこのヘッダーが必要です。

不要な場合は指定する必要はありませんし、指定する場合も特定のオリジンのみを指定する事が望ましいです。

必須7.8 クリックジャッキング対策について 7.8.1 レスポンスヘッダーにX-Frame-OptionsとContent-Security-Policyヘッダーのframe-ancestors ディレクティブを指定することクリックジャッキング攻撃に悪⽤されることがあるため、X-Frame-OptionsヘッダーフィールドにDENYまたはSAMEORIGINを指定する必要があります。

Content-Security-Policyヘッダーフィールドに frame-ancestors 'none'または 'self' を指定する必要があります。

X-Frame-Options ヘッダーは主要ブラウザーでサポートされていますが標準化されていません。

CSP レベル 2 仕様で frame-ancestors ディレクティブが策定され、X-Frame-Options は⾮推奨とされました。

必須Webシステム／Webアプリケーションセキュリティ要件書 Ver.4.08 / 8 ページ項⽬⾒出し要件備考必須可否7.9 キャッシュ制御について 7.9.1 個⼈情報や機微情報を表⽰するページがキャッシュされないよう Cache-Control: no-store を指定すること個⼈情報や機密情報が含まれたページはCDNやロードバランサー、ブラウザなどのキャッシュに残ってしまうことで、権限のないユーザーが閲覧してしまう可能性があるためキャッシュ制御を適切に⾏う必要があります。

必須7.10 ブラウザのセキュリティ設定について 7.10.1 ユーザーに対して、ブラウザのセキュリティ設定の変更をさせるような指⽰をしないことユーザーのWebブラウザのセキュリティ設定などを変更した場合や、認証局の証明書をインストールさせる操作は、他のサイトにも影響します。

必須7.11 ブラウザのセキュリティ警告について 7.11.1 ユーザーに対して、ブラウザの出すセキュリティ警告を無視させるような指⽰をしないことブラウザの出す警告を通常利⽤においても無視させるよう指⽰をしていると、悪意のあるサイトで同様の指⽰をされた場合もそのような操作をしてしまう可能性が⾼まります。

必須7.12 WebSocketについて 7.12.1 Originヘッダーの値が正しいリクエスト送信元であることが確認できた場合にのみ処理を実施することWebSocketにはSOP (Same Origin Policy)という仕組みが存在しないため、Cross-Site WebSocket Hijacking(CSWSH)対策のためにOriginヘッダーを確認する必要があります。

必須7.13 HTMLについて 7.13.1 html開始タグの前にを宣⾔すること DOCTYPEで⽂書タイプをHTMLと明⽰的に宣⾔することでCSSなど別フォーマットとして解釈されることを防ぎます。

必須7.13.2 CSSファイルやJavaScriptファイルをlinkタグで指定する場合は、絶対パスを使⽤することlinkタグを使⽤してCSSファイルやJavaScriptファイルを相対パス指定した場合にRPO (Relative Path Overwrite) が起きる可能性があります。

必須8 提出物 8.1 提出物について 8.1.1 サイトマップを⽤意すること認証や再認証、CSRF対策が必要な箇所、アクセス制御が必要なデータを明確にするためには、Webサイト全体の構成を把握し、扱うデータを把握する必要があります。

そのためには上記の資料を⽤意することが望ましいでしょう。

必須8.1.2 画⾯遷移図を⽤意すること必須8.1.3 アクセス権限⼀覧表を⽤意すること誰にどの機能の利⽤を許可するかまとめた⼀覧表を作成することが望ましいでしょう。

必須8.1.4 コンポーネント⼀覧を⽤意すること依存しているライブラリやフレームワーク、パッケージなどのコンポーネントに脆弱性が存在する場合がありますので、依存しているコンポーネントを把握しておく必要があります。

推奨8.1.5 上記のセキュリティ要件についてテストした結果報告書を⽤意すること⾃社で脆弱性診断を実施する場合には「脆弱性診断⼠スキルマッププロジェクト」が公開している「Webアプリケーション脆弱性診断ガイドライン」などを参照してください。

推奨