滋賀県後期高齢者医療広域連合 電算処理システム …1 第1章 業務称...
TRANSCRIPT
滋賀県後期高齢者医療広域連合
電算処理システム仕様書
(保守運用)
平成 30 年 6 月
滋賀県後期高齢者医療広域連合
目次
第1章 業務名称 ...............................................................1
第2章 作業の概要 .............................................................1
2.1 背景および目的 ...........................................................1
2.2 業務の概要 ...............................................................1
2.3 システムの概要 ...........................................................1
2.3.1 本業務の範囲 ...........................................................1
2.3.2 システム全体構成図 .....................................................3
2.4 業務の範囲 ...............................................................4
2.5 保守運用時間帯および保守運用場所 .........................................4
2.6 業務履行期間(予定) .......................................................4
2.7 納入成果物 ...............................................................5
第3章 保守・運用要件 ..........................................................6
3.1 保守・運用管理の要求要件 .................................................6
3.1.1 基本要件 ...............................................................6
3.1.2保守運用定例会の運営 ....................................................6
3.2 業務要件 .................................................................6
3.2.1 運用管理業務の内容 .....................................................6
3.2.2 保守管理業務の内容 .....................................................7
第4章 運用管理業務の要求要件 ..................................................8
4.1 運用管理 .................................................................8
4.2 インシデント管理の要求要件 ..............................................10
4.3 業務報告の要求要件 ......................................................11
第5章 保守管理の要求要件 .....................................................13
5.1 ソフトウェア保守の要求要件 ..............................................13
5.2 ハードウェア保守の要求要件 ..............................................13
5.3 その他の要求要件 ........................................................14
第6章 運用体制および方法 .....................................................17
6.1 運用体制 ................................................................17
6.2 作業実施場所 ............................................................17
第7章 その他の要件 ..........................................................18
7.1 第三者への業務の委任 ....................................................18
7.2 知的財産権の帰属等 ......................................................18
7.3 機密保持 ................................................................19
7.4 情報セキュリティに関する受注者の責任 ....................................19
7.5 法令等の遵守 ............................................................20
1
第1章 業務名称
滋賀県後期高齡者医療広域連合電算処理システム保守運用業務
第2章 作業の概要 2.1 背景および目的
滋賀県後期高齢者医療広域連合(以下「広域連合」という。)では、平成 20 年 4 月の後期高齢者医療
広域連合電算処理システム(以下「標準システム」という。)の導入以降、行政事務の情報化を積極的
に推進しており、標準システムの更改においては、運用管理サーバ冗長化、ファイルサーバ冗長化の導
入を実施し、更なる標準システムの信頼性を図るとともに、セキュリティ対策の強化の一環として顔認
証による二要素認証にてユーザー管理の強化を図ることとしている。また、現行システム同様、高機能
の運用管理ツールを導入することにより、不正アクセス等のインシデント対策の強化や運用管理の更な
る安全性向上を目指すこととしている。
本業務においては、平成 31(2019)年度の次期標準システム等の本稼働に当たり、そのシステムおよ
び機器の保守運用管理業務(以下「保守運用管理業務」という。)を業務対象とするものである。
受注者は、標準システムの安定稼働に向けた運用体制の整備や運用業務の構築・維持が必須であるこ
とを十分に理解した上で、本業務に従事すること。
対象システムにおける保守運用管理業務は、故障等発生前の予防保全対策や問題対応、トラブル検出、
切り分け、解決の迅速化に向けた「安定稼働の実現」、構成情報の確実な管理や利用実態に応じたリソ
ース配分の実現等の「継続的な最適運用の実現」および有人による 24 時間 365 日のシステム監視によ
る運用保守の実現等を基本方針として実施すること。
2.2 業務の概要
本業務の運用対象システムは、下記の業務を担うものである。
(1) 標準システム保守業務
標準システムに関する機器等の保守業務
(2) 標準システム保守運用業務
標準システムの保守運用に関する管理業務
2.3 システムの概要
2.3.1 本業務の範囲
広域連合で稼働している標準システムのうち、別調達の統合専用端末および市町独自調達の端末、
プリンタ、市町庁内ネットワークを除く全標準システムが本業務の範囲である。全業務システムと
本業務の範囲を図2-1に示す。
2
図 2-1 保守の範囲
おうみ自治体ネット
WAN-R
対象
【データセンター】
対象
WAN-R
電算室市町窓口
窓口端末
窓口端末用プリンター
連携端末
L2SW F/W
F/WL3SW
庁内LAN
HUB
対象 対象外
市町等庁内ネットワーク
標準システムサーバ群
対象外
【広域連合事務室】
対象
WAN-RF/WL2SW
対象外
プリンター 業務端末
【市町等】
中間サーバ
【取りまとめ機関】
F/W
業務端末
F/W
一括転送端末
対象外
対象外
3
2.3.2 システム全体構成図
図 2-2 システム全体構成図(現行のイメージ)
窓口端末
L2SW
市区町村
FW
窓口端末 プリンタ
L2SW
ルータ
データ連携端末
Webサーバ
APサーバ
DBサーバ
帳票サーバ
データ連携端末広域端末
検証環境
取りまとめ機関
FW
ルータ
中間サーバ
WAN
(マイナンバーネットワーク
)
広域連合(事務所)
FWルータ
広域端末 プリンタ
L2SW
総合専用端末
L2SW
FW
ルータ
Webサーバ
L2SW
市区町村用DMZ
L2SW
ストレージ
内部セグメント
FC FC
ADサーバ ADサーバ帳票サーバ
DBサーバ バックアップサーバ
L2SW
運用管理端末
運用管理サーバ
ルータ
市区町村
FW
プリンタ
ルータ
データ連携端末
広域連合(データセンタ)
運用管理セグメント
L3SW
負荷分散&SSLアクセラレータ
おうみ自治体ネットワーク
一括転送端末
LG
4
2.4 業務の範囲
(1)標準システムの保守運用管理業務
① システム監視業務
有人による 24時間 365日の監視手順書などの構成管理、稼働監視(定期・随時)、稼働状況の報
告
② システム故障対応
故障の一次切り分け、ハードウェア・ソフトウェア保守担当者への連絡・調整、故障等該当担当
者への連絡、故障復旧作業の実施、故障対応状況の管理
③ システム維持管理業務
稼働環境設定変更管理、ハードウェア・ソフトウェアの資源管理、ライセンス管理
④ 技術支援
ハードウェア・ソフトウェアの脆弱性情報の提供、ハードウェア・ソフトウェアの技術に関する
質問の回答および助言
(2)標準システムの OS、ミドルウェアおよびソフトウェア等の保守運用業務
① ソフトウェア緊急保守
故障に対するソフトウェア保守の実施
② ソフトウェアのバージョンアップ
国保中央会指示による脆弱性等のソフトウェアバージョンアップ作業
③ 重大インシデント発生時の調査・復旧および技術支援
④ 国保中央会から提供される標準システムについては、国保中央会の所管のため、国保中央会の指示
に従うこと。
⑤ 平成 31年 3月末提供予定の標準システムバージョンアップ(リリース②)について、評価環境に
て動作検証後に本番環境に適用をすること。(リリース後 3ヶ月程度を目途に適用)
(3)標準システムのハードウェアおよびネットワーク機器の保守運用管理業務
① インシデント発生時の調査・復旧
② ハードウェア定期保守
ハードウェア等保守計画書の作成、定期的なハードウェア等保守点検の実施(年 1回程度)
③ ハードウェア予防保全
故障発生の兆候がある場合、事前の部品交換等の予防保全を実施
2.5 保守運用時間帯および保守運用場所
① 保守運用に係る運用時間としては、月曜日から金曜日まで(国民の祝日に関する法律に規定する休
日、1月 2日~3日および 12月 29日~31日を除く)の 8時 30分~17時 30分までは広域連合から
の連絡に受付可能なこと。なお、監視については 24時間 365日とすること。
② データセンター内の重大なハードウェア等の故障については、24時間 365日対応し、修理するこ
と。
③ 広域連合から依頼があった場合は、保守運用時間の延長や土日等、随時運用の対応が可能である
こと。
④ 保守運用場所については広域連合およびデータセンターから 2時間以内の場所とすること。ただ
し、夜間の監視についてはこの限りでない。
⑤ 保守運用場所まで専用線による監視回線を受注者で準備すること。
2.6 業務履行期間(予定) ① 2019 年(平成 31年)3月 1日~2024 年 2月 29日
ただし、国保中央会等の方針により、上記期間は変更になる場合がある。
5
2.7 納入成果物
(1)共通事項
① 受注者は、毎月 8営業日以内に保守運用業務に関する報告を行うこと。
② 成果物に使用する紙のサイズは、日本工業規格 A列 4番を原則とする。図表については、必要に
応じて、A列 3番縦書き、横書きを使用することができる。
③ 成果物の提出は、2 部用意すること。また、必要に応じて部数を増やすこと。
④ 本業務において、広域連合と受注者の認識の齟齬をなくすため、プロジェクト開始にあたり作
業内容や成果物についての用語の統一や記載する項目等について合意を得ること。
⑤ 本業務において提出する全ての成果物について、広域連合、受注者および各市町を含めた関係者
に対しても分かりやすいものとする。受注者固有の専門的な用語は極力使用しないこととし、使用
せざる得ない場合には、用語の説明を記述する等、分かりやすい、理解しやすい成果物にするこ
と。
⑥ 本業務における成果物の作成に当たり、国保中央会が配布している標準システムのドキュメント類
および機能を必要に応じ利用することは、差支えない。
⑦ 成果物に修正等がある場合は速やかに修正等を行い、当日中に再提出すること。
表 2-1 納入成果物および納入期限
提出書類 納入期限
①保守・運用体制図 初年度開始 8 営業日以内
②保守・運用役割分担表 初年度開始 8 営業日以内
③保守・運用管理業務報告書(月次) 報告対象月の翌月の 8 営業日以内
なお、本業務実施者(以下「要員」という。)の作業責任者、窓口および体制図等が変更になった
場合、適宜修正を行い、広域連合の承認を得ること。
(2)納入場所
広域連合事務所とする。
(3)成果物の受領
受注者が(1)~(2)に定める条件に従って納入したものを、広域連合が確認の上、受領する。
6
第3章 保守・運用要件
3.1 保守運用管理の要求要件
3.1.1 基本要件
(1) 安定的、効率的なシステム運用・保守管理基盤の確立
① 保守・運用管理業務の統括者を配置し、全体の管理を行うこと。
② 運転管理・監視、インシデント管理、問題管理、変更管理、構成管理、機器保守、および定期報告
を行う体系化された体制を確立すること。
③ 連絡体制を明確化し、システム管理責任者およびシステム運用主体等の関係者への連絡を円滑、
かつ迅速に行える仕組みとすること。
④ 広域連合の負荷軽減に配慮すること。
⑤ 実施手順およびルールを標準化し、運用マニュアルとして整備すること。
(2) 故障等のサポート体制の確立
① 故障等のサポートを行う窓口を一元化し、市町を含む利用者の利便性を図ること。
② 故障発生時、故障の一次切り分けを行い、必要に応じて直接市町等の現地での切り分けを行い対
応すること。
③ 標準化された実施手順に基づき利用者に状況報告を行うとともに、インシデント台帳等に記載す
ること。また、状況に応じて関連部門への共有を実施すること。
④ 情報を一元的に管理する仕組みを取入れ、サポートのノウハウ蓄積、品質の向上および効率化を
図ること。
⑤ 標準システムのメンテナンスおよび保守予定等の情報を提供する仕組みを用意し、利用者への情
報の公開と共有を図ること。
(3) モニタリングおよび継続的な改善
① 保守運用管理設計において設定した数値目標となる数値のモニタリングを行い、結果を評価し、広
域連合への報告を行うこと。
② 本番系の各サーバにおいて、毎週ディスク容量のモニタリングを行い、安定稼働に努めること。
③ システムの運用において PDCAサイクルを実施し、実施内容を継続的に評価、改善することで、長
期にわたっての安定的、効率的かつ高品質なサービスの提供を行うこと。
(4) 保守運用管理業務におけるセキュリティ管理の実施
① 「特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)」や
「滋賀県後期高齢者医療広域連合情報セキュリティ基本方針」等について保守・運用担当者に研
修を実施すること
② セキュリティイベントが発生した場合、広域連合へ報告すること。
3.1.2保守運用定例会の運営 (1) 運用全体に係る保守定例会を毎月 8営業日以内に開催し、運用状況の評価および改善提案等
を行うこと。
(2) 必要に応じて会議資料を作成すること。
(3) 責任者は定例会議を主催し、進行を行うこと。
3.2 業務要件
3.2.1 運用管理業務の内容 (3) 運転管理・監視(死活監視、性能監視、稼働状況監視、業務実施指標の証跡取得、故障の一
次対応等)
(4) 運用実績の評価と改善作業(運用実績値の取得や評価、運用実績が目標に満たない場合 の
要因分析や改善措置の検討等)
(5) システム操作(バックアップ・リストア管理、情報システムの設定変更、ウイルス対策)
7
3.2.2 保守管理業務の内容 (1) アプリケーションプログラムの保守(不具合受付、原因調査)
(2) ハードウェアの保守(不具合受付、修理または交換)
(3) ソフトウェア製品の保守(不具合受付、(ウイルス対策含む)アップデートファイルの提
供、サポート対応)
(4) データの保守(データの品質確認、バックアップ作業、異常・不整合等の検出および修正
等)
(5) 利用環境管理(ユーザ管理、端末管理)
8
第4章 運用管理業務の要求要件
4.1 運用管理
(1) 基本要件
・システムの自動立ち上げを実施すること。また、スケジューラーによって、各サーバの再
起動を実施すること。
・再起動の頻度は一週間に一度実施すること。
・標準システム全体における時刻のずれを防止するため、NTPにより すべてのサーバ・ネ
ットワーク機器および端末(広域連合・国保連合会・市町)の時刻を 1時間に一度、日
本標準時刻に同期させること。
(2) バックアップ要件
① データベース領域、帳票データ格納領域については、毎週初めにフルバックアップを実
施し、その後週末まで差分バックアップを行うこと
② データバックアップは毎日、オンライン終了後、オフライン環境で自動バックアップを
行うこと。
③ LTO 媒体へのバックアップを実施すること。また、LTO は、業務用(正ボリューム)、
バックアップ用(副ボリューム)の 2 面以上を持たせること。
④ 標準システムのバージョンアップ等の前後においては、システム領域およびデータ領域
のフルバックアップを行うこと。バックアップデータは、ストレージだけでなく、必ず
LTOに保存すること。
⑤ ログデータ等のバックアップについてはデータの種類・バックアップ周期・保存方法
および保存年月等について広域連合と協議の上で実施すること。
(3) リストア要件
1. 故障発生時等においては、故障状況に応じて最も信頼のおけるバックアップを利用し、
迅速に直近のシステム状態まで復旧すること。
2. データベース領域のリストアについては、ジャーナルファイルを使用して、極力、故
障時直前までの復旧を実施すること。
(4) 運用監視の要求要件
標準システムを構成するサーバ機器・ネットワーク機器およびデータ連携端末、回線等に
ついて、稼働状況、リソース状況を把握し、異常を検知するために行うシステム監視作業に
関する一連の業務である。以下に要求要件を記載する。
1. 各サーバ、ネットワーク機器の稼働状態を業務運用に支障が出ないように常時監視する
こと。
2. サーバ、ネットワーク機器の稼働状況を毎日の目視点検で異常の無い事を確認するこ
と。
3. 各サーバの監視は、監視端末において実施し、監視項目は次のとおりとすること。
① ネットワーク監視
・各サーバ、ネットワーク機器のネットワーク状況を監視すること。
② パフォーマンス監視
・各サーバにおいて、CPU 、メモリ、ディスク使用率などを監視すること。
③ プロセス・サービス監視
・各サーバにおいて、標準システムの稼働上必要なプロセス・サービス状態を監視する
こと。
④ ログ監視
・各サーバにおいて、標準システムの稼働上必要なログ状態を監視すること。
⑤ ジョブ監視
・各サーバで、標準システムの稼働上必要なジョブ実行状況を監視すること。
・夜間のジョブ実行状況を作業実施者間で引き継ぐこと。
9
⑥ ウイルス監視
・各サーバおよび全端末において、ウイルスを監視すること。
・運用管理サーバで各サーバおよび全端末のウイルスパターンの状況を確認すること。
・ウイルス対策は、パターンファイルの更新を含め、自動化すること。
・ウイルス対策ソフトウェアを集中管理し、監視対象機器の設定情報、ウイルスチェッ
ク用定義ファイル、ウイルスチェックパターンファイル(以下「パターンファイル」
という。)の更新状況およびウイルスの被害状況の有無を確認すること。
・ウイルス対策ソフトウェアは常駐状況を監視すること。
・運用管理サーバより、ウイルス対策ポリシーおよびパターンファイルの更新を一括して
設定すること。ただし、広域連合から依頼のあった場合は、個々の環境において、
設定内容の変更を行うこと。
・ウイルスが具体的にどこで検出・駆除されたか監視すること。
・ウイルス検出時は、広域連合に電話で迅速に報告し、実施手順書に従い、駆除・削除
または、ファイル拡張子を変更するといった機能を複数選んで処理すること。
・ウイルススキャンの実施間隔は、1日に 1 回以上とすること。なお、ウイルススキャン
時刻については広域連合と協議の上、定めること。
・スキャンエンジンの更新の確認間隔は、広域連合と協議の上、定めること。
・ウイルス対策として、ウイルススキャン時刻等およびセキュリティポリシーを定期的に
見直すこと。
・市町の庁内ネットワークにおいて、NAT環境の場合はパターンファイルの更新時には考
慮すること。
(5) 総合監視ソフトウェアの設定要件
① 監視項目を監視管理端末から複数のモニタで統合的に監視することとするが、1台のモ
ニタは 65インチ以上とし、重要な監視メニューを表示すること。また、複数のモニタ
については受注者で準備すること。
② 故障などのシステム異常時には、広域連合のシステム管理者へ通知すること。
③ 統合監視ソフトウェアを用いて、故障発生の早期発見を実現すること。また、必要に応
じて広域連合のシステム管理者に通知すること。
④ 故障によって、オンライン業務に支障が発生した場合、利用者および広域連合への通知
を行うこと。
⑤ 異常を検知した場合、フィルタリング等により分類し、必要に応じて、インシデントと
して自動的に記録すること。
⑥ 監視内容、設定および閾値等の調整を行う必要がある場合、広域連合の承認を得て実施
すること。また、広域連合からの監視内容、設定および閾値の変更要望についても検討
し、調整を行うこと
稼働統計の要求要件
各サーバの稼働統計情報の収集は、運用管理サーバ、運用管理端末から実施し、次に示
す情報を取得すること。
① リソース情報
② パフォーマンス情報
・CPU使用率
・ディスク I/O
・ディスク使用率
・メモリ使用率
③ Webアクセス情報
・Webアクセス数
④ プロセス・サービス情報
・サービス稼働状況
10
⑤ システム情報
・ハードウェアステータス
⑥ ログ情報
・OSログ
・イベントログ
標準システムログ
・Webサーバのアクセスログ
・Webアプリケーションサーバのログ
・DBサーバのアクセスログ
・ADサーバのアクセスログ
① バッチジョブ監視
・ジョブネットログ
② バッチジョブ監視
・通信ログ
・各サーバ、ネットワーク機器から取得した稼働統計情報を基に、毎月実施する保守定例会
に稼働統計資料を作成し、広域連合に報告すること。
・ハードウェア故障等による、縮退運転時が行われた場合、保守担当者と稼働統計情報を
基に協議し、予防保全の実施を行うこと。予防保全が必要な場合、広域連合に報告し、そ
の対応策について協議すること。
(6) 媒体等の管理
・標準システムでの保守運用業務においては、特定個人情報を含む個人情報等の取扱いは発
生しないが、保守運用業務で USBメモリ等を使用する場合は広域連合から許可のある電磁
記録媒体を使用すること。
4.2 インシデント管理の要求要件
(1) インシデント管理の要求要件
① 標準システムで異常を検知した場合、広域連合に連絡を行うこと。また、対応内容
を報告書として対応完了から 1営業日以内に広域連合に提出すること。
② 監視業務において、検知した異常の他に、広域連合および市町からの問合せについ
ても、標準システム側の故障の有無を確認し、原因の切り分け、必要に応じて現地
で対応すること。また、対応状況について広域連合および市町のシステム管理責任
者等に報告すること。
③ 監視業務と連携し、異常を検知した場合、インシデントとして記録し、分類して管
理すること。
④ 故障種別(利用者からの問合せ、監視による異常検知および変更要求等)、登録
者、記録日時、管理責任者、期限、緊急度、優先順位、現在のステータスおよびク
ローズ日時等を管理し、常に最新の状態を把握すること。
⑤ 記録されたインシデントは、優先度およびカテゴリの分類を行った上で、既存のイ
ンシデント、問題において、類似するものを検索する等の分類・照合を行うこと。
⑥ 調査・診断の結果、恒久的な対策が必要な場合、広域連合へ報告すること。
⑦ 故障発生時、可能な限り迅速に対応し、システムを復旧すること。
⑧ 故障の原因、復旧作業および再発防止策等を広域連合に報告すること。以下の項目
を報告内容とし、その他必要と考えられる項目についても報告すること。
・発生状況(発生日時、回復時間、故障時間、影響拠点、故障概要)
・故障対応状況(故障原因、故障機器、対処内容、現在の状況)
11
・故障の原因とその対応策
・再発防止策
⑨ 保守によりシステムを一時停止するときは、作業を実施する 1ヶ月以上前に連絡す
ること。
(2) 問題管理の要求要件
インシデントの管理としては、原因究明と対策および再発防止策の策定を目的とした一連
の業務である。以下に示す業務内容を実施すること。
① 問題管理においては、問題(インシデントを発生させている未知の根本原因)もし
くは既知のエラー(問題の根本原因が判明した状態)を識別し、別途管理するこ
と。
② カテゴリ(ハードウェア、ソフトウェア、回線等)、登録者、記録日時、管理責任
者、期限、緊 急度、優先順位、現在のステータスおよびクローズ日時等を管理
し、常に最新の状態が把握できる仕組みとすること。
③ 問題の調査と診断を行うこと。必要に応じて、広域連合およびシステム利用者への
協力依頼を要請すること。また、市町側に対応要員を派遣する必要がある場合
は、市町側システム 管理責任者との調整および手配を行うこと。ただし、広域連
合にも連絡すること。
④ 根本原因が判明した問題は、既知のエラーとして管理し、ハードウェアの交換、ま
たは、プログラムの修正が必要となる場合は、変更要求を申請すること。また、
回避策および恒久的解決策については、類似問題が発生した場合に参照できるこ
と。
⑤ 標準システムのプログラムエラー等による根本的に解決できない場合、広域連合の
了承を得た上で、一時的な対応を実施すること。
⑥ 一連の故障対応を取りまとめ、内容を資料として残し、定期的に問題発生の統計を
取り、発生の傾向を分析して、広域連合に報告すること。
(3) 技術的支援の要求要件
標準システムにおいて問題等が発生した場合、以下の要件を満たすこと。
① 広域連合における組織内においても支援を行うこと。
② 他組織との連携が可能であること。
③ 問題発生時に技術サポートが可能であること。なお、広域連合が「緊急」と判断する事
態の場合は、24時間対応が可能とすること。
④ 問題発生時に技術対応以外の助言が可能であること。
4.3 業務報告の要求要件
保守運用管理業務における全般的な状況について、広域連合へ報告を行う業務である。以下に示
す業務内容を実施すること。
(1) 運用管理報告書の要求要件
広域連合に対して、保守運用管理要領に基づき、以下の実施状況を運用管理報告書として
定期的に報告すること。
① 監視状況
② インシデント管理・故障窓口運用状況
③ 問題管理状況
④ 変更管理状況
⑤ リソース管理状況
⑥ 稼働統計
⑦ 定期的に監視情報を整理、分析し、広域連合に監視結果について報告し、監視項目や
設定基準値などの評価について協議すること。
⑧ 広域連合から、報告依頼があった際は、必要な情報を整理、分析し、結果を可能な限り
速やかに報告すること。
(2) 保守管理報告書の要求要件
保守運用管理要領に基づき、ソフトウェアおよびハードウェアの保守実施状況を保守管理
12
報告書として定期的に提出すること。
13
第5章 保守管理の要求要件
5.1 ソフトウェア保守の要求要件 (1) 変更管理業務
標準システムとして調達された内容(システム構成、ソフトウェア、ミドルウェアのバー
ジョン等)の変更要求を管理し、変更に起因して発生する故障等がサービス品質に与える
影響を最小限にすることを目的とする一連の業務である。以下に示す業務内容を実施する
こと。
① 標準システムに使用しているミドルウェア等における最新版のパッチを入手し、パッ
チの適用要否を検証環境で検証すること。また、広域連合に適用要否について判断基
準を示す報告書を提出すること。
② 標準システムで定期的に選定する Windows Server のセキュリティパッチの適用要否を
検証環境で検証すること。また、広域連合に適用要否について判断基準を示す報告書
を提出すること。
③ Windowsセキュリティパッチについて、標準システムに接続している全ての窓口端末
(市町独自調達分含む)およびデータ連携端末についても、検証環境で検証した後に適
用すること。
変更管理では以下の項目を管理し、変更履歴を保持できる仕組みとすること。
① カテゴリ
② 発行者・管理者
③ 記録日時・期限
④ 分類(軽微な変更、重大な変更、緊急変更)
⑤ 変更計画の内容
⑥ レビューの有無・レビュー担当者・レビュー内容
⑦ ステータス
⑧ クローズ日時
(2) パッチの提供に関する情報および脆弱性情報の収集
標準システムにおいて使用している OS・ミドルウェア等について、ソフトウェアベンダ
からのパッチ(不具合修正を目的とするパッチ、脆弱性対策を目的とするセキュリティ
パッチの両方を含む。)の提供情報および脆弱性に関する情報を継続的に収集すること。
(3) 重大インシデント発生時の調査および復旧および技術支援
① 個人情報の漏えいなど重大インシデント発生時、広域連合から標準システムにお
けるログ情報やディスク、ファイルシステム等の調査を求められた場合、リモート
やオンサイトでの調査を実施し、調査結果を広域連合に報告すること。
② 緊急時は口頭での報告を許可するが、後日書面にて広域連合に報告すること。
③ インシデントの原因が究明され対策が実施された場合、標準システムの復旧作業を
実施すること。ただし、原因の特定が不明な場合や対策に時間がかかる場合は広
域連合の指示に従い仮復旧を実施すること。
④ 重大インシデントの原因が、受注者の責任による場合は受注者が経費を含め責任を
もってその対策にあたること。
5.2 ハードウェア保守の要求要件 標準システムを構成する機器およびネットワーク機器等を維持するために、必要に応じ
て、保守点検作業を行う一連の業務である。以下に示す業務内容を実施すること。
(1) 「保守実施計画」の作成
① 標準システム等の安定稼働に必要となる機器の点検、交換作業を定義し、実施計画
を作成すること。また、実施計画は、広域連合の承認を得ること。
② 作業を実施するに当たり、広域連合などと作業日程、作業内容および依頼事項等
14
の調整を行うこと。
③ 機器等の点検、交換およびソフトウェア保守等の作業を行い、実施後に必要に応じ
て、標準システムとしての疎通確認テストを行うこと。
④ 作業完了後、広域連合等に作業完了連絡を行い、引渡しを行うこと。
⑤ 保守点検作業の記録を残し、管理すること。
【留意事項】
保守に必要な部品・消耗品等について、広域連合と協議の上保管管理すること。
(2) 構成管理
標準システムとして調達された内容の変更、または、移設に応じて、構成情報を最新に維
持管理する一連の業務である。以下に示す業務内容を実施すること。
① 標準システムで使用するハードウェア、ソフトウェアおよびネットワーク機器とす
る。
② 構成情報および設定情報等の構成管理情報を更新し、最新の構成を維持管理するこ
と。設定情報等は紙媒体などによる台帳管理を行い、定期的にシステム領域のバッ
クアップデータの齟齬がないか確かめること。
【構成管理の項目】
① ホスト(コンピュータ)名
② OS に関する情報(OS、バージョンおよび IPアドレス等)
③ ハードウェア情報(CPU、メモリ、物理ディスク、論理ディスクおよび MACアドレス
等)
④ インストールされているソフトウェアおよびバージョン
⑤ インストールされているソフトウェアのプロダクト ID
⑥ インストールされているセキュリティパッチ
⑦ メーカー名・型番・シリアル番号
⑧ 接続機器
5.3 その他の要求要件
(1) 利用者管理
① ユーザ ID、二要素認証データ等の作成、変更、削除等の作業については、広域連合から
の指示に従い行うこと。
② ユーザ IDの追加または削除の際に、システムの利用を承認された者またはシステムを
利用する資格を有する者にのみユーザ IDが付与されていること。また、不適切なアク
セス権限の設定がないこと等を点検するためのリストをユーザが作成できるよう支援す
ること。
③ 臨時登録するユーザが発生した場合は、広域連合の指示に従い登録・削除を行い、ユー
ザ管理簿を広域連合と共有すること。
(2) システム運用支援
① 市町からの問い合わせについて、広域連合から提供する市町担当者管理簿を利用して直
接対応すること。
② 市町側での故障による通信不具合に対して、上記の市町担当者管理簿を使用して直接対
応して故障個所の切り分けを実施すること。
③ 市町側での故障時に、電話による切り分けが不可能な場合は、必ず現地へ行き原因を追
究すること。
④ 市町独自調達端末にて再セットアップが必要となった場合は、セットアップマニュアル
を基に実施すること。
⑤ 市町側の故障にて同一フロア内におけるケーブル不良が原因の場合、出来る限り対応す
ること。
⑥ 標準システムで使用している電磁記録媒体に故障が発生した場合、予備機を現地に持参
し、正常動作することを確認すること。
⑦ 市町のポリシー変更に伴い、広域連合の電磁記録媒体が利用できなくなった場合は、そ
15
の都度該当の市町資産の電磁記録媒体を本システムに登録し、運用できるようにするこ
と。
⑧ 故障対応により、市町側でのネットワーク機器に対して設定変更等が発生する場合は、
市町へ説明を行い、設定変更に対する資料を広域連合および該当の市町へ提出するこ
と。
⑨ 二要素認証に伴うユーザ管理は全て対応すること。また、人事異動に伴うユーザ管理に
対しては、着任日に標準システムが利用できるようにすること。
⑩ プリンタの印字位置の調整については電話等の対応とするが、市町側にて印字位置の調
整が困難な場合は現地作業で対応すること。
⑪ 広域連合および市町の計画停電対応を実施すること。
(3) ネットワーク運用支援
① 窓口端末等にて業務処理の遅延等が発生した場合は、情報通信基盤であるおうみ自治体
ネットワークを含め、切り分けを実施すること。また、切り分けを実施する場合は主管
である滋賀県と調整し連携すること。
② 標準システムネットワーク、庁内ネットワーク、情報通信基盤ネットワークの切り分け
が電話対応にて困難な場合は現地での切り分けを実施すること。
③ 市町等の冗長化したネットワーク機器にて故障が発生した場合は、情報通信基盤である
おうみ自治体ネットワークの主管である滋賀県へ報告すること。また、機器故障の復旧
後も同様に滋賀県へ報告すること。
④ データセンター内のネットワーク機器の故障時における機器交換は、標準システムの運
用停止時間帯(20時~7時)に実施すること。
⑤ 「おうみ自治体ネットワーク(びわ湖情報ハイウェイ)」が、平成 30年度に再構築を
予定しており、順次切替を行う予定とされていることから、保守運用期間中に設定変更
が必要になる場合は対応すること。ただし、新たな機器等の手配が必要な場合の調達は
範囲外とする。
(4) データベース運用支援
① データベースの性能劣化を防止するため、広域連合の指示に従い、テーブル再作成やイ
ンデックス再作成等の作業を行う。
(5) セキュリティ監査対応支援
標準システムに対するセキュリティ監査において、広域連合から以下に示す指示があった
場合は、それに従って対応する。
① セキュリティ監査に必要とされる資料の提示
② 監査人によるヒアリングへの対応
③ 監査人による視察における立会い
④ 監査人が監査に使用する IDの割り当ておよび監査実施後のその無効化
⑤ 監査人が実施する監査作業に必要なシステムの設定変更および監査実施後の復旧
(6) 遵守規定等
① 本業務の実施に当たり、受注者は、国保中央会資料等を参考に標準システムの機能お
よびそのハードウェア・ソフトウェア構成やネットワーク環境についての理解に努める
こと。
② 受注者は、広域連合および各市町担当者等と連携して、作業を遂行するが、市町担当
者との調整も行うこと。
③ 受注者に対する、広域連合からの具体的な指示、質問への回答、報告、申出および協
議等は、原則として全て書面または記録が残せる形式で行うので、全て保管、記録して
おくこと。
④ 緊急上やむを得ない場合は、口頭で行うことができることとする。その場合は、事後
において、必ず書面または記録が残せる形式に記載し交付するので、全て保管、記録
しておくこと。
⑤ 受注者は、要員の身元、規律の維持、風紀および安全衛生等の人事・労務管理につい
て責任を負うこととし、労働基準法(昭和 22 年法律第 49 号)その他関係諸法規を遵
守すること。これらの要員の人事・労務管理を含め、本業務を実施する要員の責めに起
16
因する事件、事故等が発生した場合、一切の責任は、受注者が負うこと。
⑥ 受注者は、庁舎管理、事故防止、機密の保持および文書漏えいに防止等の見地から、要
員の氏名、現在の所属、連絡先電話番号の必要事項を記載した名簿をあらかじめ広域
連合に提出の上、承認を得ること。
⑦ 広域連合は、受注者が本業務を履行する上で必要な関係書類を随時貸与する。ただ
し、貸与された書類は、広域連合から請求があった場合および履行期間終了後に広域
連合に 返還すること。
⑧ 受注者は作業に際して必要な都度、広域連合に状況を報告し相談しながら問題に当た
ること。
17
第6章 運用体制および方法
6.1 運用体制
(1) 運用体制と役割
受注者と関連業者間の運用体制と役割の分担を年度ごとに作成すること。
なお、関連業者が複数いる場合は、各業者の関係を分かりやすく提示すること。また、責任
分界点については可能な範囲ででき得る限り明確にし、また責任分界点に関して不明確な事態
が発生した時は、広域連合が中心に立ち、関係業者間において共同で対処すること。
受注者は運用業者として、広域連合のほか関連業者と一体となって相互に協力しつつ本業務
を適切に行わなくてはならない。
また、運用要員を変更する場合は、変更する1ヶ月前までに交代する後任者の報告を行い、
広域連合の了承を得ること。
なお、運用要員の交代の際には、事前に広域連合の承認を得た後に、本業務に支障を来たさ
ない様に十分な訓練を行った後、後任者に引き継ぎを行い、広域連合に引継ぎ経過を報告する
こと。
(2) 責任者の業務実績・資格要件
以下に示す実績・資格を有する者を責任者として配置すること。
① 責任者として本システムと同等規模以上の標準システム機器更新を実施し、且つ機器更
新後に保守運用管理支援業務の責任者として 5年以上の経験を有すること。
② 「滋賀県後期高齡者医療広域連合電算処理システム仕様書(構築編)」の全体管理業務の
実施状況を把握していること。
③ 後期高齢者医療制度の概要を作業開始前に理解すること。
(3) 作業者の業務実績・資格要件
以下に示す実績・資格を有する作業者を配した作業体制とすること。
① 作業者として本システムと同等規模以上の標準システム機器更新を実施し、かつ機器更
新後に標準システムの運用管理支援業務作業者として 5年以上の経験を有すること。
② 後期高齢者医療制度の概要を作業開始前に理解すること。
6.2 作業実施場所
(1) 作業場所と作業体制
① 本業務の保守運用対象となる作業場所は、受注者で準備すること。運用要員は原則として
常駐することとするが、常駐人数、時間帯等については提案をベースとし広域連合と協議
の上で決定する。
② トラブルや Q&A等の受付業務など、受注者で準備した場所と同一とし、受注者の負担に
より用意する、入退室管理、端末等の盗難防止策等について広域連合が求める要件を満
たす場所で実施すること。
(2) 作業環境
受注者が作業を実施するための作業環境に係る要件は、以下のとおりとする。
① 作業を実施する上で広域連合が用意する環境の使用に当たって、十分な注意を払い、適
正に使用すること。 また受注者は、これらを本業務以外の目的に使用しないこと。
② この際の情報セキュリティに関しては、受注者が責任を負うこと。
18
第7章 その他の要件
7.1 第三者への業務の委任 (3) 受注者が、本業務の全部または一部を第三者に委任し、または請け負わせること(以
下、「業務の委任等」という。)を原則として禁止するものとする。ただし、受注者が、本
業務の一部について、あらかじめ業務の委任等の相手方の商号または名称、住所、業務の委
任等をする理由、業務の委任等の予定金額、業務の委任等をする業務の範囲、業務の委任
等の相手方に係る業務の履行能力等および業務の委任等に係る履行体制図について提案時
に記載し、広域連合が承認した場合はこの限りでない。
(4) 受注者は、業務の委任等の相手方が行った作業について全責任を負うものとする。また、
受注者は業務の委任等の相手方に対して、本仕様書「7.2 知的財産権の帰属等」、「7.3
機密保持」、「7.4 情報セキュリティに関する受注者の責任」を含め、本業務の受注者と
同等の義務を負わせるものとし、業務の委任等の相手方との契約においてその旨を定める
ものとする。
(5) 受注者は、業務の委任等の相手方に対して、定期的または必要に応じて、作業の進捗状況
および情報セキュリティ対策の履行状況について報告を行わせるなど、適正な履行の確保に
努めるものとする。また、受注者は、広域連合が本業務の適正な履行の確保のために必要
があると認める時は、その履行状況について広域連合に対し報告するものとする。
(6) 受注者は、広域連合が承認した業務の委任等の内容について変更しようとする時は、変更
する事項および理由等について記載した申請書を提出し、広域連合の承認を得るものとす
る。
7.2 知的財産権の帰属等
(1) 本業務の作業により作成する成果物に関し、著作権法(昭和 45 年法律第 48 号)第 21
条、第 23条、第 26条の 3、第 27条および第 28条に定める権利を含む全ての著作権を広域
連合に譲渡し、広域連合は独占的に使用するものとする。なお、受注者は広域連合に対し、
一切の著作者人格権を行使しないものとし、第三者をして行使させないものとする。また、
受注者が本業務の納入成果物に係る著作権を自ら使用し、または第三者をして使用させる場
合、広域連合と別途協議するものとする。
(2) 成果物に第三者が権利を有する著作物が含まれている時は、広域連合が特に使用を指示
した場合を除き、受注者は当該著作物の使用に関して費用の負担を含む一切の手続を行うも
のとする。
なお、この時、受注者は当該著作権者の使用許諾条件につき、広域連合の了承を得るも
のとする。
(3) 本業務の作業に関し、第三者との間で著作権に係る権利侵害の紛争等が生じた場合、当
該紛争の原因が専ら広域連合の責めに帰す場合を除き、受注者は自らの負担と責任において
一切を処理するものとする。
なお、広域連合は紛争等の事実を知った時は、速やかに受注者に通知するものとする。
19
7.3 機密保持 (1) 受注者は、本業務に係る作業を実施するに当たり、広域連合から取得した資料(電子媒体、
文書、図面等の形態を問わない。)を含め業務上知り得た情報を、第三者に開示または本業
務に係る作業以外の目的で利用しないものとする。
(2) ただし、次の①から⑤のいずれかに該当する情報は、除くものとする。
① 広域連合から取得した時点で、既に公知であるもの
② 広域連合から取得後、受注者の責によらず公知となったもの
③ 法令等に基づき開示されるもの
④ 広域連合から秘密でないと指定されたもの
⑤ 第三者への開示または本業務に係る作業以外の目的で利用することにつき、事前に広域
連合に協議の上、承認を得たもの
(3) 受注者は、広域連合の許可なく、取り扱う情報を指定された場所から持ち出し、あるいは
複製しないものとする。
(4) 受注者は、本業務に係る作業に関与した受注者の所属職員が異動した後においても、機密が
保持される措置を講じるものとする。
(5) 受注者は、本業務に係る検収後、受注者の事業所内部に保有されている本業務に係る広域連
合に関する情報を、裁断等の物理的破壊、消磁その他復元不可能な方法により、速やかに抹
消するとともに、広域連合から貸与されたものについては、履行期間終了後 1 週間以内に広
域連合に返却するものとする。
7.4 情報セキュリティに関する受注者の責任
(1) 情報セキュリティを確保するための体制の整備
受注者は、受注者組織全体のセキュリティを確保するとともに、広域連合から求められた当
該業務の実施において情報セキュリティを確保するための体制を整備すること。
(2) 受注者、受注作業実施場所、および受注業務従事者に関する情報提供
受注者は、広域連合からの求めがあった場合に、受注者の資本関係・役員等の情報、受注
作業の実施場所に関する情報、受注業務の従事者の所属、専門性(情報セキュリティに係る
資格・研修実績等)・実績に関する情報を提供すること。
(3) 情報セキュリティが侵害された場合の対処
① 本業務の遂行において、定期的に情報セキュリティ対策の履行状況を報告するとと
もに、情報セキュリティが侵害されまたはその恐れがある場合には、直ちに広域連合
に報告すること。
② 情報セキュリティが侵害されまたはその恐れがある事象が本業務に係る作業中およ
び覚書に定める瑕疵担保責任の期間中に発生し、かつその事象が受注者における情報
セキュリティ上の問題に起因する場合は、受注者の責任および負担において次の各
事項を速やかに実施すること。
③ 情報セキュリティ侵害の内容および影響範囲を調査の上、当該情報セキュリティ侵害
への対応策を立案し、広域連合の承認を得た上で実施すること。
④ 発生した事態の具体的内容、原因および実施した対応策等について報告書を作成し、
広 域連合へ提出して承認を得ること。
⑤ 再発防止対策を立案し、広域連合の承認を得た上で実施すること。
⑥ 上記のほか、発生した情報セキュリティ侵害について、広域連合の指示に基づく措置
を実施すること。
20
(4) 情報セキュリティ監査の実施
① 本業務の遂行における情報セキュリティ対策の履行状況を確認するために、広域連
合が情報セキュリティ監査の実施を必要と判断した場合は、広域連合がその実施内
容(監査内容、対象範囲、実施等)を定めて、情報セキュリティ監査を行う(広域
連合が選定した事業者による監査を含む。)。
② また、受注者は自ら実施した外部監査についても広域連合へ報告すること。
(5) セキュリティ対策の改善
受注者は、本業務における情報セキュリティ対策の履行状況について広域連合が改善を
求めた場合には、広域連合と協議の上、必要な改善策を立案して速やかに実施するものと
する。
7.5 法令等の遵守
(1) 受注者は、民法(明治 29年法律第 89号)、刑法(明治 40年法律第 45号)、著作権法、不
正アクセス行為の禁止等に関する法律(平成 11年法律第 128号)等の関係法規を遵守する
こと。
(2) 受注者は、行政手続における特定の個人を識別するための番号の利用等に関する法律
(平成 25年法律第 27号)等の関係法規を遵守すること。
(3) 特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)等
を遵守し、個人情報を適正に取扱うこと。
(4) 受注者は、「滋賀県後期高齢者医療広域連合個人情報保護条例」および「滋賀県後期高
齢者医療広域連合情報セキュリティ基本方針」を遵守すること。
(5) 受注者は、個人情報の保護に関する法律(平成 15年法律第 57号)および受注者が定めた
個人情報保護に関するガイドライン等を遵守し、個人情報を適正に取扱うこと。