MENU
お問い合わせ
お問い合わせ
contact
  1. ホーム
  2. プロポーザル
  3. プロポーザルで成功するガバメントクラウド運用管理補助委託契約の完全ガイド

プロポーザルで成功するガバメントクラウド運用管理補助委託契約の完全ガイド

プロポーザル
この記事のポイント

・運用管理補助において、ベンダーの“理解力”と“柔軟性”が重要

ガバメントクラウドの専門知識だけでなく、自庁の業務フローや運用現場への理解、突発対応にも柔軟に対応できる体制が求められます。

提案内容の“具体性”と“わかりやすさ”が採点を左右する

提案書では「実施体制」「実績」「セキュリティ対応」「SLA設計」などの項目ごとに、採点基準に沿って具体的かつ明確に記述することが、比較評価をしやすくします。

・過去の選定傾向を踏まえて、評価される提案を見極める

他自治体の選定結果や評価傾向を参考にすることで、貴庁が重点を置く観点を共有しやすくなり、より的確なパートナー選びにつながります。

デジタル社会の実現に向けて、自治体のDX推進が加速する中、ガバメントクラウド運用管理補助委託契約の重要性が高まっています。ガバメントクラウドは政府共通のクラウドサービス利用環境として、自治体業務の効率化やコスト削減、セキュリティ向上に貢献するものですが、その運用管理を適切に行うためには、信頼できる運用管理補助者との契約が不可欠です。

本記事では、自治体担当者がガバメントクラウド運用管理補助委託契約のプロポーザルを成功させるための完全ガイドをお届けします。プロポーザルの準備段階から事業者選定、契約締結、そして効果的な運用管理まで、実践的なステップとノウハウを解説します。単独利用方式と共同利用方式の選択ポイントや、評価基準の設定方法、責任分界点の明確化など、成功事例から学んだ重要なポイントを押さえ、自治体のデジタル化を確実に前進させる契約を目指しましょう。

あわせて読みたい
公募型プロポーザルとは?提案を成功に導くためのポイントを徹底解説 この記事のポイント 公募型プロポーザルの意義と特徴 価格ではなく提案内容や技術力を重視し、多様で創造的な提案を得る方式です。 成功のための重要ポイント 発注者の…
目次

ガバメントクラウド運用管理補助委託契約の基本と意義

自治体DXにおけるガバメントクラウドの位置づけ

ガバメントクラウドは、デジタル庁が推進する「デジタル社会の実現に向けた重点計画」の中核を担う基盤です。地方公共団体の情報システムの標準化・共通化を図り、行政のデジタル化を加速させる重要な役割を持っています。これまで自治体ごとに構築・運用されてきた基幹業務システムを、クラウド上で標準化することで、運用コストの削減や業務効率の向上、セキュリティレベルの強化を実現します。

具体的には、住民基本台帳、税務、福祉など17の基幹業務システムについて、2025年度末までに標準化・共通化を目指しており、この環境としてガバメントクラウドが提供されています。AWS、Google Cloud、Microsoft Azureなどの大手クラウドサービスプロバイダーのサービスを政府が一括契約し、自治体がこれを利用する形態となっています。しかし、クラウド環境の適切な運用管理には専門的な知識と経験が必要であり、多くの自治体ではこれを外部の専門事業者に委託するケースが増えています。

運用管理補助委託契約とは?

ガバメントクラウド運用管理補助委託契約とは、地方公共団体がガバメントクラウドの運用管理を補助するために、専門事業者と締結する契約です。この契約に基づき、運用管理補助者は自治体に代わってガバメントクラウド環境の監視、セキュリティ管理、障害対応、運用手順の作成など、多岐にわたる業務を担当します。

法的には、この契約はデジタル庁が定める「地方公共団体情報システムのガバメントクラウドの利用に関する基準」に準拠する必要があります。この基準では、ガバメントクラウドの提供方式、機能、利用権限、利用料、契約締結すべき相手、データの管理責任、構築可能なシステムなどが規定されています。自治体はこの基準に沿った形で運用管理補助者と契約を結ぶことになりますが、具体的な契約内容や選定方法については、各自治体の裁量に委ねられている部分も多く、プロポーザル方式による選定が有効とされています。

プロポーザル方式で業者選定を行う意義

ガバメントクラウド運用管理補助者の選定においてプロポーザル方式を採用する意義は大きく、主に以下の点が挙げられます。

第一に、技術力や専門性の適切な評価が可能になります。ガバメントクラウドの運用管理には、クラウド技術への深い理解、セキュリティ対策の専門知識、システム障害への対応能力など、単純な価格競争では評価できない要素が求められます。プロポーザル方式では、事業者の実績や技術力、提案内容を多角的に評価することができます。

第二に、自治体の特性に合わせたカスタマイズが可能になります。各自治体によって、システム構成、業務フロー、セキュリティ要件などは異なります。プロポーザル方式では、自治体の固有の課題やニーズに対して、事業者がどのようなソリューションを提案できるかを評価できます。

第三に、長期的なパートナーシップの構築につながります。ガバメントクラウドの運用は長期間にわたるため、信頼関係の構築や継続的な改善提案ができる事業者を選定することが重要です。プロポーザル方式では、単なる業務遂行能力だけでなく、コミュニケーション能力や柔軟性なども含めて総合的に評価することができます。

デジタル庁の利用基準との整合性

プロポーザルを実施する際には、デジタル庁が定める「地方公共団体情報システムのガバメントクラウドの利用に関する基準」との整合性を確保することが極めて重要です。この基準は定期的に更新されるため、最新版(執筆時点では第2.1版)を参照する必要があります。

特に注意すべき点として、基準ではガバメントクラウドの利用方式として「単独利用方式」と「共同利用方式」の2種類が規定されており、デジタル庁は後者を推奨しています。プロポーザルの要件設定においては、どちらの方式を採用するのかを明確にし、それに適した事業者を選定できるよう評価基準を設計する必要があります。

また、基準ではセキュリティ要件についても細かく規定されており、CDN(Content Delivery Network)やWAF(Web Application Firewall)などの基本的なセキュリティ機能はガバメントクラウドで提供されますが、それ以外のセキュリティ対策については自治体側で用意する必要があります。プロポーザルではこれらの追加セキュリティ対策についても事業者の提案を求め、評価することが重要です。

さらに、基準では責任分界点についても明確に定められており、インフラ層はデジタル庁、プロダクト管理はシステム開発・運用事業者というように役割が分担されています。プロポーザルにおいては、この責任分界点を理解し、運用管理補助者の責任範囲を明確に定義した上で提案を求めることが不可欠です。こうした基準との整合性を確保することで、法的リスクを回避し、スムーズなガバメントクラウド導入・運用を実現することができます。

プロポーザル作成前の準備と戦略

自治体の現状と課題の明確化

ガバメントクラウド運用管理補助委託契約のプロポーザルを成功させるためには、まず自治体自身の現状と課題を正確に把握することが不可欠です。これにより、本当に必要な運用管理補助サービスの内容を明確にし、適切な要件を設定することができます。

現状分析では、既存システムの構成と運用状況を詳細に調査します。現在利用している基幹業務システムの種類や構成、運用体制、保守契約の内容、過去の障害履歴などを整理しましょう。また、ネットワーク環境についても、帯域幅、セキュリティ対策、庁内LANとの接続方法などを確認します。

続いて、人的リソースの状況を確認します。IT担当職員の人数やスキルレベル、業務負荷などを把握し、運用管理補助者にどの程度の業務を委託するべきかを検討します。特に、庁内でのクラウド運用経験の有無は重要なポイントです。

これらの情報をもとに、現状の課題と将来的なニーズを整理します。例えば「セキュリティ監視の強化」「クラウド移行時のリスク軽減」「運用コストの削減」「職員の負担軽減」など、具体的な課題を明文化します。これらの課題に対して、ガバメントクラウド運用管理補助者にどのようなサポートを期待するかを明確にしておくことで、プロポーザルの評価基準の設計がしやすくなります。

求めるべき運用管理補助者の役割定義

自治体の現状と課題を踏まえ、ガバメントクラウド運用管理補助者に求める役割を具体的に定義していきます。一般的な運用管理補助者の役割は多岐にわたりますが、自治体の状況に応じて重点を置くべき役割を明確にすることが重要です。

まず基本的な役割として、クラウドシステムの監視が挙げられます。稼働状況の確認、リソース使用量の監視、パフォーマンスの分析など、システムが常に最適な状態で動作するよう監視します。特に、24時間365日の監視体制が必要かどうかを検討しましょう。

セキュリティ管理も重要な役割です。不正アクセスやマルウェア感染、データ漏洩などの脅威からシステムを保護するため、セキュリティポリシーの実施、脆弱性診断、インシデント対応などを担当します。自治体が保有する情報の機密性を考慮し、適切なセキュリティレベルを設定することが重要です。

運用手順の作成と活動報告も欠かせません。システムの安全かつ効率的な運用のための手順書の作成、定期的な運用報告、改善提案などを行います。特に、自治体職員でも理解しやすいドキュメント作成能力は重視すべきポイントです。

トラブルシューティングとサポートは、システム障害発生時に迅速に原因を特定し解決するための技術力と対応力が求められます。サポート窓口の設置、対応時間、エスカレーションフローなどを明確にしておくことが重要です。

これに加えて、ガバメントクラウドへの移行支援システム拡張・更新時のサポートなども重要な役割となります。自治体の状況に応じて、どの役割に重点を置くかを決定し、プロポーザルの要件に反映させましょう。

プロポーザル公募要件の策定ポイント

プロポーザルの公募要件は、適切なガバメントクラウド運用管理補助者を選定するための土台となります。以下のポイントを押さえて、効果的な公募要件を策定しましょう。

まず、業務範囲の明確化が最も重要です。前述した運用管理補助者の役割から、自治体が委託したい業務範囲を具体的に記載します。「クラウド環境の監視」という抽象的な表現ではなく、「CPUやメモリ使用率の監視、閾値超過時の自動通知と対応」など、可能な限り具体的に記述することで、事業者からより的確な提案を得ることができます。

参加資格要件の設定も慎重に行います。必要以上に厳しい資格要件を設定すると応募者が限られてしまいますが、緩すぎると不適格な事業者が参加する可能性があります。一般的には、クラウドサービスの認定資格(AWS認定ソリューションアーキテクトなど)や情報セキュリティマネジメントシステム(ISMS)認証、自治体システムの運用実績などが求められます。

提案書の構成と記載項目を明確に指定することも重要です。提案書には、運用管理体制、セキュリティ対策、障害時の対応フロー、SLA(サービスレベル契約)の内容、料金体系など、評価に必要な情報を漏れなく含めるよう指示します。また、提案書のページ数制限や様式なども指定すると、比較評価がしやすくなります。

スケジュールについても明確に示しましょう。公募開始から提案書提出期限、プレゼンテーション・質疑応答の日程、事業者決定時期、契約締結予定日、サービス開始日などを具体的に記載します。特に、プロポーザル実施から契約締結、サービス開始までの期間を十分に確保することが重要です。

最後に、質問対応の方法も明記します。公募要件に関する質問を受け付ける期間、質問方法(メール、専用フォームなど)、回答方法(個別回答、一括公開など)を指定します。質問と回答は全応募者に公開することで、情報の公平性を確保できます。

評価基準の設計と配点の考え方

プロポーザルの成否を左右する重要な要素が、評価基準の設計と配点です。適切な評価基準を設けることで、自治体のニーズに最も合致したガバメントクラウド運用管理補助者を選定することができます。

評価基準は大きく定性的評価定量的評価に分けられます。定性的評価には、提案内容の具体性や実現可能性、運用体制の充実度、セキュリティ対策の有効性などが含まれます。定量的評価には、過去の実績数、有資格者数、SLAの数値、コストなどが含まれます。バランスの取れた評価を行うために、両方の要素を適切に組み合わせることが重要です。

評価項目の例としては、以下のようなものが考えられます。

  • 基本的な運用管理能力:監視体制、障害対応フロー、運用手順書の質など
  • 技術力・専門性:クラウド技術への理解度、有資格者の配置、最新技術の活用など
  • セキュリティ対策:セキュリティポリシー、脆弱性対策、インシデント対応体制など
  • 実績・信頼性:自治体システムの運用実績、類似業務の受託実績など
  • サポート体制:サポート窓口、対応時間、エスカレーションフローなど
  • コスト:初期費用、月額費用、追加オプション費用など
  • 提案の独自性・付加価値:自治体のニーズに応じた独自の提案、追加サービスなど

配点については、自治体の優先事項に応じて重み付けを行います。例えば、セキュリティを特に重視する場合はセキュリティ対策の配点を高くし、コスト削減を優先する場合は価格の配点を高くします。一般的には、価格評価は全体の30%程度に抑え、提案内容や実績などの質的評価に70%程度の配点を割り当てることが多いです。

また、最低基準点を設けることも有効です。例えば「技術力の評価で60%未満の提案は、価格に関わらず不採用とする」といった基準を設けることで、一定レベル以上の品質を確保できます。

評価者についても検討が必要です。IT部門だけでなく、実際にシステムを利用する業務部門の担当者や、外部の専門家を評価に加えることで、多角的な視点からの評価が可能になります。評価会議の進め方や意思決定方法についても事前に決めておくことが重要です。

ガバメントクラウドの利用方式と選定への影響

単独利用方式と共同利用方式の特徴

ガバメントクラウド運用管理補助委託契約を考える上で、まず理解すべきなのが「単独利用方式」と「共同利用方式」という2つの利用方式です。これらは自治体がガバメントクラウドをどのように活用するかの基本的なアプローチを定めるものであり、運用管理補助者の選定にも大きな影響を与えます。

ガバメントクラウド単独利用方式は、地方公共団体が自らガバメントクラウドの運用管理を行うか、または単一の運用管理補助者にその役割を委託する方式です。この方式では、自治体は個別のアカウントを持ち、そのアカウント内に複数のシステムを構築・運営します。単独利用方式の最大の特徴は、自治体が主導権を持ち、独自のルールやポリシーに基づいて運用できる点にあります。

具体的なメリットとしては、自治体の特性やニーズに合わせたカスタマイズが容易である点、自治体のセキュリティポリシーを厳格に適用できる点、運用管理の細部まで自治体の意向を反映できる点などが挙げられます。一方でデメリットとしては、運用管理のノウハウやリソースを自治体内に確保する必要がある点、単独での運用となるためコスト効率が低くなる可能性がある点、他自治体との連携やデータ共有が難しくなる点などがあります。

ガバメントクラウド共同利用方式は、複数の地方公共団体が同一のガバメントクラウド運用管理補助者に委託して運用管理を行う方式です。この方式では、事業者が提供するパッケージ化されたサービスを複数の自治体が共同で利用します。共同利用方式の最大の特徴は、運用管理の効率化とコスト削減を図れる点にあります。

具体的なメリットとしては、複数自治体で運用コストを分散できるため経済的である点、専門的なクラウド運用ノウハウを持つ事業者のサービスを利用できる点、自治体の運用管理負担が大幅に軽減される点などが挙げられます。一方でデメリットとしては、自治体固有のニーズに対応しづらい場合がある点、運用ポリシーの決定において自治体の裁量が限られる点、他の自治体の影響を受ける可能性がある点などがあります。

デジタル庁は、運用管理の効率化や負担軽減の観点から、共同利用方式を推奨しています。特に小規模自治体や専門的なIT人材が不足している自治体にとっては、共同利用方式が適している場合が多いでしょう。

各利用方式に適した事業者の条件

ガバメントクラウド単独利用方式と共同利用方式では、運用管理補助者に求められる条件や能力が異なります。プロポーザルを通じて最適な事業者を選定するためには、各利用方式に適した事業者の条件を理解しておくことが重要です。

単独利用方式に適した事業者の条件としては、まずカスタマイズ能力と柔軟性が挙げられます。自治体固有のニーズや要件に対応できる柔軟なサービス提供体制を持っていることが重要です。また、自治体の業務プロセスへの理解も不可欠です。単独利用方式では自治体の業務に合わせた運用設計が求められるため、行政業務の特性を理解している事業者が適しています。

さらに、密なコミュニケーション体制も重要な条件です。単独利用方式では自治体と運用管理補助者の間で頻繁なやり取りが発生するため、コミュニケーションがスムーズに行える体制が求められます。加えて、セキュリティへの高い意識も必要です。自治体の重要情報を扱うため、セキュリティポリシーの策定・実施能力が高い事業者が望ましいといえるでしょう。

一方、共同利用方式に適した事業者の条件としては、まずスケーラビリティと標準化されたサービス提供能力が挙げられます。複数の自治体にサービスを提供するため、効率的で標準化されたサービスパッケージを持っていることが重要です。また、多数の自治体への対応実績も重視されます。様々な規模や特性を持つ自治体に対応した経験があることで、共通の課題や解決策に精通していることが期待できます。

加えて、コスト効率の高い運用体制も重要な条件です。共同利用のメリットを最大化するためには、効率的な運用体制によるコスト削減が不可欠です。さらに、自治体間の調整能力も求められます。複数の自治体が同一環境を利用する中で生じる要望の違いや優先順位の調整を適切に行える能力が必要です。

プロポーザルでは、これらの条件を評価基準に盛り込み、選択した利用方式に最も適した事業者を見極めることが重要です。例えば、単独利用方式を選択した場合は、カスタマイズ能力や自治体業務への理解度を重視した評価を、共同利用方式を選択した場合は、標準化されたサービス提供能力や複数自治体への対応実績を重視した評価を行うことが効果的です。

利用方式による提案評価の差異

ガバメントクラウドの利用方式によって、プロポーザルにおける提案の評価基準や重点項目は大きく異なります。自治体が選択した利用方式に合わせて、適切な評価の視点を持つことが重要です。

単独利用方式の場合の評価ポイントとしては、まず「カスタマイズの柔軟性」が挙げられます。自治体の特殊なニーズや要件にどれだけ柔軟に対応できるかを評価します。提案書やプレゼンテーションでは、過去に対応した特殊要件の事例や、自治体固有の課題に対する具体的な解決策が示されているかを確認しましょう。

次に「専任担当者の質と量」も重要です。単独利用方式では自治体専任の担当者が配置されることが多いため、その担当者のスキルレベルや経験、人数が適切かを評価します。担当者の資格や実績、対応可能な時間帯なども確認ポイントとなります。

また、「セキュリティ対策の綿密さ」も評価すべきです。自治体独自のセキュリティポリシーに対応できるか、カスタマイズされたセキュリティ監視体制を提供できるかを評価します。提案されているセキュリティ対策が自治体の要件を満たしているか、詳細に確認するとよいでしょう。

一方、共同利用方式の場合の評価ポイントとしては、「標準化されたサービスの品質」が挙げられます。複数の自治体に提供される標準サービスの内容や品質レベルが適切かを評価します。標準サービスの具体的な内容、SLA(サービスレベル契約)の数値目標などを確認しましょう。

次に「複数自治体への対応実績」も重要です。類似規模の自治体での導入実績や、自治体間の調整をどのように行ってきたかを評価します。実績数だけでなく、実際の運用での課題解決事例なども確認するとよいでしょう。

また、「スケールメリットの活用」も評価すべきです。複数自治体での共同利用によるコスト削減効果や運用効率化がどの程度見込めるかを評価します。コスト構造の透明性や、スケールメリットを活かした料金体系が提案されているかをチェックしましょう。

このように、利用方式によって評価の重点は大きく異なります。プロポーザルの評価項目や配点を設計する際には、選択した利用方式に合わせて適切な重み付けを行うことが重要です。例えば、単独利用方式であればカスタマイズ性や専任担当者の質に高い配点を、共同利用方式であれば標準サービスの品質やスケールメリットに高い配点を設定するといった工夫が有効です。

運用管理補助委託契約のプロポーザル要求仕様書の作成基本要件と必須条件の設定

プロポーザル要求仕様書は、ガバメントクラウド運用管理補助委託契約の成否を左右する重要な文書です。適切な基本要件と必須条件を設定することで、自治体のニーズに合った提案を引き出し、質の高い事業者を選定することができます。

基本要件の設定にあたっては、まず法的・制度的要件を明確にすることが重要です。デジタル庁が定める「地方公共団体情報システムのガバメントクラウドの利用に関する基準」に準拠していることを必須条件とし、関連する法令や制度(個人情報保護法、自治体のセキュリティポリシーなど)への適合も明記します。

次に技術的要件を具体的に示します。対象となるクラウドサービス(AWS、Google Cloud、Microsoft Azureなど)への対応能力、必要なクラウド資格の保有(AWS認定ソリューションアーキテクト、Google Cloud認定プロフェッショナルなど)、監視ツールやセキュリティツールの活用能力などを明記します。特に重要なのは、単なる資格保有の有無ではなく、実際の運用経験や知識レベルを評価できる条件設定です。

体制面の要件も重要です。プロジェクト管理者や技術責任者の経験・スキルレベル、サポート体制(対応時間、対応方法、担当者数など)、緊急時の連絡体制などを具体的に示します。特に重要な役割を担う責任者については、経歴書の提出を求めることも有効です。

また、実績要件も設定します。ガバメントクラウドや自治体システムの運用実績、類似規模の自治体への支援実績などを条件とします。ただし、あまりに厳しい実績要件を設定すると応募事業者が限られてしまうため、バランスを考慮することが重要です。

これらの基本要件と必須条件は、要求仕様書の冒頭部分に明確に記載し、これらを満たさない提案は評価対象外となることを明示します。また、必須条件と加点要素を区別して記載することで、評価の透明性を確保することも重要です。

運用管理業務の範囲と詳細

プロポーザル要求仕様書において、運用管理業務の範囲と詳細を明確に定義することは極めて重要です。これにより、事業者からの提案の質が向上し、自治体のニーズに合ったガバメントクラウド運用管理補助委託契約を実現することができます。

運用管理業務の範囲は、大きく分けて以下のカテゴリに整理することができます。

1. 監視業務:ガバメントクラウド環境の稼働状況、リソース使用状況、パフォーマンスなどを継続的に監視する業務です。具体的な監視項目(CPU使用率、メモリ使用率、ディスク使用率、ネットワークトラフィックなど)、監視頻度(リアルタイム、定期的など)、閾値設定と通知方法などを詳細に記載します。監視ツールの指定や監視レポートの提出頻度・形式なども明記するとよいでしょう。

2. セキュリティ管理業務:不正アクセスやマルウェア感染などからシステムを保護する業務です。セキュリティパッチの適用方法と頻度、脆弱性診断の実施方法と頻度、不正アクセス検知の方法、インシデント発生時の対応手順、セキュリティレポートの提出内容などを詳細に記載します。特に重要なのは、セキュリティインシデント発生時の初動対応と報告体制の明確化です。

3. バックアップと復旧業務:データやシステムの定期的なバックアップと、障害時の復旧を行う業務です。バックアップの種類(フルバックアップ、増分バックアップなど)と頻度、バックアップデータの保管方法と期間、復旧テストの実施方法と頻度、目標復旧時間(RTO)と目標復旧ポイント(RPO)などを明記します。

4. 障害対応業務:システム障害発生時の対応業務です。障害検知の方法、初動対応の手順、エスカレーションフロー、復旧作業の実施方法、障害報告書の作成と提出などを詳細に記載します。特に重要なのは対応時間の明示で、24時間365日対応が必要なのか、業務時間内のみの対応でよいのかを明確にします。

5. 運用支援業務:日常的な運用をサポートする業務です。定期的な運用会議の開催、運用手順書の作成と更新、運用レポートの作成と提出、問い合わせ対応などが含まれます。特に自治体職員向けの操作支援やトレーニングも重要な要素です。

6. 変更管理業務:システムの変更やアップデートを管理する業務です。変更計画の立案と承認フロー、変更作業の実施方法、変更後のテスト方法、変更履歴の管理などを記載します。

これらの業務範囲を詳細に定義することで、事業者は自治体のニーズを正確に理解し、適切な提案を行うことができます。また、SLA(サービスレベル契約)の基準となる指標や目標値も、これらの業務範囲に基づいて設定します。

セキュリティ要件の具体的な記載

ガバメントクラウドでは、住民の個人情報や自治体の重要情報を扱うため、セキュリティ要件の具体的な記載は運用管理補助委託契約の要求仕様書において特に重要な要素となります。明確で具体的なセキュリティ要件を示すことで、自治体の情報資産を適切に保護できる事業者を選定することができます。

セキュリティ要件は、以下のカテゴリに分けて記載することが効果的です。

1. 組織的セキュリティ対策:事業者の情報セキュリティ管理体制に関する要件です。情報セキュリティマネジメントシステム(ISMS)認証の取得状況、セキュリティポリシーの策定状況、セキュリティ責任者の設置、従業員のセキュリティ教育体制などを記載します。特に重要なのは、自治体のセキュリティポリシーに準拠した管理体制が整備されていることの証明を求めることです。

2. 人的セキュリティ対策:運用管理に携わる人員に関する要件です。セキュリティ資格の保有(情報セキュリティスペシャリスト、CISSP、情報セキュリティマネジメント試験など)、機密保持契約の締結、要員の身元確認方法、アクセス権限の管理方法などを記載します。特に、管理者権限を持つ人員に対しては厳格な基準を設けることが重要です。

3. 物理的セキュリティ対策:施設や設備に関する要件です。事業者のデータセンターやオフィスのセキュリティ対策(入退室管理、監視カメラ、防災対策など)、リモートワーク環境のセキュリティ対策などを記載します。クラウドサービスを利用するため、データセンター自体のセキュリティはクラウド事業者に依存する部分が大きいですが、運用管理補助者のワークスペースのセキュリティも重要です。

4. 技術的セキュリティ対策:システムやネットワークに関する要件です。アクセス制御の方法(多要素認証、最小権限の原則など)、暗号化対策(保存データと通信データの暗号化)、ネットワークセキュリティ対策(ファイアウォール、IDS/IPS、WAFなど)、脆弱性管理の方法(脆弱性スキャン、パッチ管理など)、ログ管理の方法(ログの取得項目、保管期間、分析方法など)を具体的に記載します。特にガバメントクラウドでは、CDNやWAFといった基本的なセキュリティ機能は提供されますが、それ以外の追加的なセキュリティ対策についても要件を明確にすることが重要です。

5. インシデント対応要件:セキュリティインシデント発生時の対応に関する要件です。インシデント検知の方法、初動対応の手順、自治体への報告方法と報告時間(例:検知後30分以内に第一報を行うなど)、影響範囲の特定方法、原因分析と再発防止策の策定方法などを記載します。特に重要なのは、サイバー攻撃等の緊急時における対応体制と連絡フローの明確化です。

6. コンプライアンス要件:法令や規制への対応に関する要件です。個人情報保護法、番号法、自治体の個人情報保護条例などへの対応状況、監査や検査の受け入れ体制、報告義務の履行方法などを記載します。特に、個人情報や機密情報の取り扱いに関する要件は詳細に記載することが重要です。

これらのセキュリティ要件を具体的かつ詳細に記載することで、セキュリティ対策が十分な事業者を選定することができます。また、セキュリティ要件の中でも特に重要な項目については必須要件として明示し、それを満たさない提案は評価対象外とすることも検討すべきです。

SLA(サービスレベル契約)の設定方法

SLA(サービスレベル契約)は、ガバメントクラウド運用管理補助委託契約において提供されるサービスの品質を定量的に保証するための重要な取り決めです。適切なSLAを設定することで、自治体は期待通りのサービス品質を確保し、事業者は明確な目標に基づいてサービスを提供することができます。

SLAの設定にあたっては、以下の項目を明確に定義することが重要です。

1. 可用性(Availability):システムが利用可能である時間の割合を示す指標です。例えば「稼働率99.9%以上(計画停止を除く)」のように定義します。ガバメントクラウド自体の可用性はクラウド事業者に依存しますが、運用管理サービスの可用性(監視サービスの稼働率、サポート窓口の利用可能時間など)については運用管理補助者のSLAとして設定します。

2. 性能(Performance):システムの応答時間やスループットに関する指標です。例えば「バッチ処理の完了時間は○時間以内」「レポート生成の所要時間は○分以内」のように定義します。運用管理業務の性能については、「定期レポートの提出は毎月○日まで」「設定変更の完了は依頼から○営業日以内」などの指標が考えられます。

3. 障害対応時間:障害発生時の対応時間に関する指標です。重大度別に「初動対応時間」「復旧目標時間」を設定します。例えば、「重大障害(サービス停止)の場合、検知後30分以内に初動対応、4時間以内に復旧」「軽微な障害の場合、検知後4時間以内に初動対応、翌営業日中に復旧」などと定義します。

4. サポート対応時間:問い合わせや依頼への対応時間に関する指標です。優先度別に「初回回答時間」「解決目標時間」を設定します。例えば、「緊急の問い合わせは30分以内に初回回答、4時間以内に解決」「通常の問い合わせは4時間以内に初回回答、2営業日以内に解決」などと定義します。

5. セキュリティ対応:セキュリティ関連の対応に関する指標です。「重大な脆弱性の修正は24時間以内」「セキュリティパッチの適用は公開後○日以内」「セキュリティインシデントの報告は検知後○時間以内」などと定義します。

これらのSLA項目を設定する際には、以下の点に注意することが重要です。

まず、測定可能で明確な指標を設定します。曖昧な表現は避け、具体的な数値や時間で定義することで、評価の客観性を確保します。

次に、現実的かつ適切な目標値を設定します。あまりに厳しいSLAを設定すると対応コストが高くなり、結果的に委託費用が増大する可能性があります。一方、緩すぎるSLAではサービス品質が保証されません。自治体の業務特性やシステムの重要度に応じて、適切なバランスを考慮します。

SLAの測定方法と報告方法も明確にします。「月次報告書で報告」「専用ダッシュボードで常時確認可能」など、SLAの達成状況をどのように測定し、報告するかを定義します。

さらに、SLA未達時のペナルティや改善プロセスも規定します。例えば「月間可用性が目標を下回った場合、委託料の○%を減額」「SLA未達が連続した場合は改善計画書の提出を義務付ける」などと定義します。ただし、ペナルティだけでなく、継続的な改善を促す仕組みも重要です。

これらのSLA項目をプロポーザル要求仕様書に明記することで、事業者はサービス提供の目標を明確に理解し、それに基づいた提案を行うことができます。また、提案の評価においても、事業者が提示するSLAの内容や達成方法を重要な評価ポイントとすることで、高品質なサービス提供が期待できる事業者を選定することができます。

提案書の構成と評価項目

プロポーザル要求仕様書において、提案書の構成と評価項目を明確に示すことは、質の高い提案を引き出し、適切な評価を行うために極めて重要です。事業者が何をどのように提案すべきかを明確に理解できるよう、ガバメントクラウド運用管理補助委託契約の提案書の構成と評価項目を詳細に定義しましょう。

提案書の構成については、以下のような項目を指定することが一般的です。

  1. 事業者の概要:会社概要、組織体制、財務状況、事業実績など
  2. プロジェクト実施体制:プロジェクト管理者、技術責任者、運用担当者などの体制と役割、資格・経験
  3. 運用管理方針:基本的な運用管理の考え方、自治体のニーズへの対応方針
  4. 運用管理の具体的内容:監視、セキュリティ管理、バックアップ・復旧、障害対応など各業務の具体的な実施内容と方法
  5. セキュリティ対策:組織的・人的・技術的セキュリティ対策の具体的内容
  6. 障害対応体制:障害検知から復旧までの具体的なフローと体制
  7. SLA(サービスレベル契約):提案するSLAの内容と達成方法
  8. 導入・移行計画:契約締結から運用開始までのスケジュールと作業内容
  9. 教育・引継ぎ計画:自治体職員への教育や知識移転の方法
  10. 価格提案:初期費用、月額費用、オプション費用などの詳細な見積り
  11. 自治体への付加価値:追加提案や独自のノウハウの提供など

各項目については、ページ数の上限や記載すべき内容の詳細を指定することで、提案の比較がしやすくなります。例えば「提案書全体で40ページ以内とし、各項目のページ数配分は自由とする」「A4サイズ、文字サイズ11ポイント以上」などの形式要件も明記するとよいでしょう。

評価項目については、提案書の構成に対応する形で設定し、各項目の配点や評価基準を明確に示すことが重要です。以下に代表的な評価項目と配点例を示します:

  1. 事業者の適格性(10点):財務の健全性、類似業務の実績、自治体システムの運用経験
  2. 実施体制の妥当性(15点):体制の充実度、責任者・担当者の経験・資格、バックアップ体制
  3. 運用管理内容の適切性(20点):各業務内容の具体性、実現可能性、効率性
  4. セキュリティ対策の充実度(20点):セキュリティ管理体制、技術的対策の有効性、インシデント対応能力
  5. SLAの適切性(10点):SLA項目の充実度、目標値の適切性、達成・管理方法の具体性
  6. 導入・移行計画の実現性(10点):スケジュールの妥当性、リスク対策の具体性
  7. 価格の妥当性(15点):コストパフォーマンス、価格の透明性、追加コストの発生リスク

評価方法についても明記することが重要です。例えば「各評価項目を5段階評価し、配点に応じて得点化する」「価格評価は最低価格を満点とし、他の提案は比例配分する」などの方法が考えられます。また、最低基準点(例:総得点の60%未満の提案は不採用)を設けることも有効です。

提案書の提出方法や期限、質問対応の方法、プレゼンテーション・質疑応答の実施方法なども詳細に記載します。特にプレゼンテーションについては、時間配分(例:発表20分、質疑応答10分)や参加可能人数、使用機材などの条件を明確にしておくことが重要です。

このように、提案書の構成と評価項目を詳細に定義することで、事業者は自治体のニーズに沿った具体的な提案を行うことができ、自治体は客観的かつ公平な評価を行うことができます。評価の透明性を確保するためにも、評価項目と配点はプロポーザル公告時に公開することが望ましいでしょう。

また、提案書だけでなく、プレゼンテーションの評価項目も設定することが効果的です。プレゼンテーションでは、「説明の分かりやすさ」「質疑応答の的確さ」「コミュニケーション能力」などを評価することで、提案書だけでは見えない事業者の実力や相性を判断することができます。ガバメントクラウドの運用管理は長期的な協力関係が必要となるため、こうした相性の要素も選定において重要な要素となります。

あわせて読みたい
参加入札資格の基礎知識と効率的な取得方法|外部委託活用で業務負担を軽減 この記事のポイント 参加入札資格取得の複雑さ公共入札参加には様々な資格が必要で、その取得手続きは複雑です。完全統一資格や地方自治体ごとの資格など、種類も多岐に…

事業者評価の重要ポイントと選定基準

技術力・実績の評価方法

ガバメントクラウド運用管理補助委託契約において、事業者の技術力と実績は最も重要な評価ポイントの一つです。適切な評価方法を用いることで、単なる「言葉」ではなく、真の技術力と実績を持つ事業者を見極めることができます。

技術力の評価においては、まず公的資格や認定の保有状況を確認します。AWS認定ソリューションアーキテクト、Google Cloud認定プロフェッショナル、Microsoft Azure認定資格などのクラウド関連資格、情報処理安全確保支援士(登録セキスペ)、CISSPなどのセキュリティ関連資格の取得状況は、基本的な技術力の指標となります。ただし、資格だけでは実務能力を完全に測れないため、これを基礎評価の一部として位置づけます。

より重要なのは、具体的な技術的対応能力の評価です。これには、技術的な設問やケーススタディを用いた評価が効果的です。例えば、「ガバメントクラウド環境でのリソース監視の具体的な方法」「セキュリティインシデント発生時の対応手順」などの実践的な質問に対する回答内容から、実際の技術力を評価します。プレゼンテーションや質疑応答の場で、想定外の技術的質問を投げかけ、その場での対応力を見ることも有効です。

実績の評価においては、単なる「案件数」ではなく、類似性と成功度を重視します。特に重要なのは、自治体システムの運用管理実績、ガバメントクラウドの運用管理実績、類似規模・複雑性のプロジェクト経験などです。実績を評価する際は、具体的なプロジェクト内容、担当した役割、成果、発生した課題とその解決方法などを詳細に確認することが重要です。可能であれば、過去の顧客(特に自治体)からの評価や満足度も参考にするとよいでしょう。

また、技術力と実績を客観的に評価するために、第三者評価や実績証明を求めることも効果的です。情報セキュリティマネジメントシステム(ISMS)認証、プライバシーマーク、クラウドセキュリティアライアンス(CSA)のSTAR認証などの第三者認証の取得状況は、組織としての技術力と管理能力を示す重要な指標となります。また、過去のプロジェクトの完了証明書や顧客からの推薦状なども、実績を裏付ける有効な資料です。

評価にあたっては、これらの要素をバランスよく組み合わせ、総合的に判断することが重要です。例えば、資格保有(10点)、技術的対応能力(30点)、類似プロジェクト実績(30点)、第三者認証(10点)などのように、配点を設定して客観的な評価を行うことができます。ただし、数値化できない要素(コミュニケーション能力や組織文化との相性など)も考慮して、最終的な判断を行うことが大切です。

運用体制と人員配置の確認

ガバメントクラウド運用管理補助委託契約の成否は、事業者が提供する運用体制と人員配置に大きく依存します。プロポーザルにおいては、単なる「体制図」だけでなく、実効性のある運用体制と適切な人員配置が提案されているかを確認することが重要です。

運用体制の評価においては、まず組織構造と責任分担の明確さを確認します。プロジェクト管理者、技術責任者、運用担当者、セキュリティ責任者などの役割と責任が明確に定義されているか、指揮命令系統や報告ラインが適切に設計されているかを評価します。特に重要なのは、自治体との窓口となる担当者の位置づけと権限です。窓口担当者に適切な判断権限が与えられていないと、迅速な対応が困難になる可能性があります。

次に、人員の質と量を評価します。提案されている人員の経歴、資格、経験年数などを確認し、業務遂行に必要な能力を有しているかを判断します。特に重要なのは、キーパーソン(プロジェクト管理者、技術責任者など)の能力と経験です。また、全体の人員数が業務量に対して適切かどうか、繁忙期や緊急時の増員体制が考慮されているかも確認します。人員の専任・兼任の状況も重要で、特にキーパーソンは可能な限り専任であることが望ましいです。

バックアップ体制も重要な評価ポイントです。担当者の休暇や病気、退職などの際に業務が滞らないよう、適切なバックアップ要員が配置されているかを確認します。特に重要なのは、キーパーソンのバックアップ体制です。また、夜間・休日の対応体制や、災害時の代替要員確保の方法なども評価します。

教育・研修体制も見逃せないポイントです。クラウド技術やセキュリティ対策は日々進化するため、担当者のスキルを継続的に向上させる仕組みが重要です。定期的な研修の実施計画、資格取得の支援体制、ナレッジ共有の仕組みなどを確認します。また、新しい担当者が加わった際の教育方法や、自治体職員への技術移転の方法も評価ポイントとなります。

評価においては、提案書の記載内容だけでなく、プレゼンテーションや質疑応答での確認も重要です。例えば、「担当者の異動や退職時の引継ぎ方法」「緊急時の増員体制の具体的な発動条件と手順」などについて質問し、回答の具体性や現実性を評価することで、提案の実効性を判断できます。また、可能であれば、実際に担当予定の主要メンバーをプレゼンテーションに参加させ、直接対話することも有効です。

運用体制と人員配置は、契約期間中に変更される可能性もあるため、変更時の手続きや承認プロセスについても確認しておくことが重要です。特にキーパーソンの交代については、自治体の承認を必要とする条項を契約に含めることも検討すべきでしょう。

セキュリティ対策の充実度

ガバメントクラウドでは住民情報など重要なデータを扱うため、ガバメントクラウド運用管理補助委託契約においてセキュリティ対策の充実度は最重要評価ポイントの一つです。形式的なセキュリティ対策ではなく、実効性のある対策が提案されているかを慎重に評価する必要があります。

セキュリティ対策の評価においては、まず総合的なセキュリティ管理体制を確認します。情報セキュリティポリシーの整備状況、セキュリティ管理組織の構成、セキュリティ責任者の権限と位置づけ、定期的なセキュリティ監査の実施体制などを評価します。特に重要なのは、ガバメントクラウド特有のセキュリティリスクを理解し、それに対応した管理体制が構築されているかどうかです。

次に、アクセス制御と認証管理の充実度を評価します。特権アカウント(管理者権限)の管理方法、多要素認証の導入、アクセス権限の定期的な見直しプロセス、パスワードポリシーなどが適切に設計されているかを確認します。特に重要なのは、「最小権限の原則」に基づいたアクセス権限の設計と、特権アカウントの厳格な管理です。ガバメントクラウドへのアクセスには、IPアドレス制限や専用線接続の利用なども含めた多層的な対策が望ましいでしょう。

データ保護対策も重要な評価ポイントです。保存データの暗号化、通信データの暗号化(SSL/TLS)、バックアップデータの保護、データ消去の方法など、データのライフサイクル全体にわたるセキュリティ対策を確認します。特に注目すべきは、個人情報や機密情報の取り扱い方法です。データの分類基準と、分類に応じた保護措置が明確に定義されているかを評価します。

脆弱性管理と更新プログラム適用の方法も重視します。定期的な脆弱性スキャンの実施計画、セキュリティパッチの適用判断基準と手順、緊急パッチへの対応フローなどを確認します。特に重要なのは、新たな脆弱性情報を常に収集し、迅速に対応できる体制が整っているかどうかです。CVE(Common Vulnerabilities and Exposures)情報などの脆弱性情報の監視方法と、その情報に基づく対応プロセスの具体性を評価します。

インシデント対応能力も見逃せないポイントです。セキュリティインシデントの検知方法、初動対応の手順、エスカレーションフロー、被害拡大防止措置、原因分析と再発防止策の策定方法などを確認します。特に重要なのは、インシデント対応の訓練や演習の実施状況です。机上の計画だけでなく、実際にインシデント対応を経験しているか、定期的な訓練を通じて対応能力を維持・向上させているかを評価します。

セキュリティ監視と監査の体制も評価します。リアルタイムの監視体制、ログ管理の方法(取得項目、保存期間、分析方法など)、定期的なセキュリティ監査の実施計画などを確認します。特に重要なのは、不正アクセスや異常な振る舞いを検知する能力です。高度な監視ツールの導入状況や、監視担当者の経験・スキルを評価します。

評価においては、第三者認証(ISMS認証、プライバシーマークなど)の取得状況も参考にしますが、それだけでなく、具体的な対策内容の説明を求め、その実効性を判断することが重要です。セキュリティ対策は「何を行うか」だけでなく「どのように行うか」の具体性が重要であり、曖昧な説明や一般論に終始する提案は低評価とすべきでしょう。

障害対応とBCP対策の評価

ガバメントクラウドは自治体の基幹業務を支える重要なインフラであるため、ガバメントクラウド運用管理補助委託契約においては、システム障害への対応能力とBCP(Business Continuity Plan:事業継続計画)対策の充実度が非常に重要な評価ポイントとなります。

障害対応の評価においては、まず障害検知と初動対応の体制を確認します。24時間365日の監視体制の有無、監視ツールの種類と機能、アラート設定の閾値と通知方法、初動対応の時間と手順などを具体的に評価します。特に重要なのは、障害の重大度に応じた対応フローが明確に定義されているかどうかです。例えば、「サービス停止」「パフォーマンス低下」「警告レベルの異常」などの重大度分類と、それぞれに対する対応手順が具体的に示されているか確認します。

次に、エスカレーションと連絡体制を評価します。障害発生時の連絡フロー(誰が、誰に、どのタイミングで連絡するか)、自治体への報告基準と方法、外部ベンダーや関係機関との連携方法などを確認します。特に重要なのは、夜間・休日の連絡体制です。担当者不在時でも確実に連絡が取れる仕組みが整備されているかを評価します。

障害原因の特定と復旧措置の能力も重視します。障害発生時の原因特定の方法、復旧作業の手順、復旧作業中の影響最小化の方策などを確認します。特に注目すべきは、過去の障害対応事例の具体的な説明です。「どのような障害が発生し、どのように原因を特定し、どのような復旧措置を行ったか」という具体的な事例を通じて、実際の対応能力を評価します。

障害報告と再発防止の取り組みも評価します。障害報告書の作成手順と内容、原因分析の方法、再発防止策の立案と実施のフロー、水平展開(類似システムへの予防措置)の考え方などを確認します。特に重要なのは、単なる「報告」にとどまらず、実効性のある再発防止策を立案・実施できる能力です。過去の障害から学び、継続的に改善する仕組みが整備されているかを評価します。

BCP対策の評価においては、災害時の対応計画を確認します。大規模災害(地震、台風、洪水など)やサイバー攻撃発生時の対応計画、代替手段の整備状況、業務継続優先度の設定、目標復旧時間(RTO)と目標復旧ポイント(RPO)の設定などを評価します。特に重要なのは、ガバメントクラウド特有のリスク(例:デジタル庁やクラウド事業者側の障害)に対する対策が考慮されているかどうかです。

バックアップと復旧テストの実施状況も重視します。バックアップの種類と頻度、バックアップデータの保管場所と方法、定期的な復旧テストの実施計画などを確認します。特に注目すべきは、復旧テストの具体的な内容と結果です。机上の計画だけでなく、実際にテストを実施し、その結果を分析・改善しているかを評価します。

事業継続のための体制と資源も評価します。災害時の指揮命令系統、代替オフィスの整備状況、リモートワーク環境の整備状況、必要な機材や通信手段の確保状況などを確認します。特に重要なのは、人的リソースの確保です。災害時に必要な要員をどのように確保するか、安否確認の方法や参集基準などが具体的に計画されているかを評価します。

評価においては、提案内容の具体性と実現可能性を重視します。美辞麗句だけの計画ではなく、自治体の実情や予算に合わせた現実的な対策が提案されているかを判断することが重要です。また、計画だけでなく、定期的な訓練や見直しの仕組みが組み込まれているかも重要なポイントです。災害対応は「計画」よりも「実行力」が問われるため、過去の災害対応実績や訓練実績も参考にするとよいでしょう。

コスト評価の適切なバランス

ガバメントクラウド運用管理補助委託契約のプロポーザルにおいて、コスト評価は重要な要素ですが、単純な「最低価格」での選定は適切ではありません。コストと品質のバランスを考慮し、総合的な「価値」を評価することが重要です。

コスト評価においては、まずコストの透明性と明確性確認します。初期費用、月額費用、オプション費用などの内訳が明確であるか、追加費用が発生する条件が明示されているか、値上げの条件や上限が明確であるかなどを評価します。特に重要なのは、「隠れコスト」がないことです。例えば、標準機能とオプション機能の区分が明確でない場合、後から「それはオプションです」と追加費用を請求されるリスクがあります。そうした事態を避けるためにも、標準サービスの範囲と追加費用が発生するケースを明確に確認することが重要です。

次に、コストと提供サービスの対応関係を評価します。提示された価格が、提供されるサービスの内容や品質に見合ったものであるかを判断します。例えば、監視項目数や監視頻度、サポート対応時間、セキュリティ対策の充実度などと、コストの関係を分析します。特に注意すべきは、低価格を実現するために重要なサービスや品質が犠牲になっていないかという点です。必要な品質を確保するための最低限のコストを理解し、それを下回る提案には警戒が必要です。

長期的なコスト効率も重要な評価ポイントです。初期費用と運用費用のバランス、スケールメリットの活かし方、将来的な拡張や変更時のコスト影響などを考慮します。特に重要なのは、契約期間全体(3年間や5年間など)のトータルコストです。初期費用が安くても運用費用が高い場合や、基本料金は安くても追加費用が多く発生する可能性がある場合などは、長期的には割高になる可能性があります。

コスト削減提案の具体性と実現可能性も評価します。運用の効率化、自動化の導入、共同利用によるスケールメリットなど、コスト削減につながる具体的な提案を評価します。特に注目すべきは、単なる「安さ」ではなく、「効率化」による適正コスト化の提案です。効率化によるコスト削減は、通常、サービス品質を維持しながら実現できるため、単純な「人件費削減」よりも優れたアプローチといえます。

コスト評価においては、「価格点」と「技術点」のバランスも重要です。一般的には、価格評価の配分を全体の30%程度に抑え、技術評価に70%程度の配分を割り当てることが多いです。これにより、単に安いだけの提案ではなく、コストパフォーマンスに優れた提案を選定することができます。

価格評価の方法としては、最低価格提案を満点(例:30点)とし、他の提案は以下のような計算式で点数化する方法が一般的です:

価格点 = 配点(30点)×(最低提案価格 ÷ 当該提案価格)

ただし、極端な低価格提案については、実現可能性や隠れたリスクを慎重に評価する必要があります。必要に応じて、「最低制限価格」を設定し、それを下回る提案は失格とする方法も検討すべきでしょう。

最終的なコスト評価では、単なる「価格の安さ」ではなく、「投資対効果」の観点から判断することが重要です。提案された価格で、どれだけの価値(サービス品質、安全性、業務効率化など)が得られるかを総合的に評価し、最適な提案を選択しましょう。特に、ガバメントクラウドは自治体の重要な基幹システムを支えるインフラであり、障害や事故による潜在的なリスクコストも考慮した上で、適正なコストバランスを判断することが肝要です。

責任分界点と契約上の注意点

三者間(自治体・デジタル庁・事業者)の責任範囲

ガバメントクラウド運用管理補助委託契約の特徴の一つは、自治体、デジタル庁、運用管理補助者(事業者)という三者が関わる複雑な構造にあります。契約を成功させるためには、この三者間の責任範囲を明確に理解し、契約書に適切に反映させることが不可欠です。

まず、デジタル庁の責任範囲を理解することが重要です。デジタル庁は基本的に「ガバメントクラウド環境の提供者」として位置づけられます。具体的には、クラウドインフラストラクチャ(AWS、Google Cloud、Microsoft Azureなど)の調達・契約、基本的なセキュリティ機能(CDN、WAFなど)の提供、ガバメントクラウド利用に関する基準の策定などが、デジタル庁の責任範囲となります。また、ガバメントクラウド全体のアーキテクチャや、標準準拠システムの仕様の策定・更新なども、デジタル庁が担当します。

次に、自治体の責任範囲を明確にします。自治体は「ガバメントクラウド環境の利用者」として、主に以下の責任を負います:

  • ガバメントクラウド上に構築するシステムの要件定義・設計
  • 運用管理補助者の選定と契約
  • 自治体固有のセキュリティポリシーの策定
  • ユーザー管理(職員のアカウント管理など)
  • データの整合性と正確性の確保
  • システム利用に関する職員教育

そして、運用管理補助者(事業者)の責任範囲は、契約内容によって変動しますが、一般的には以下のような業務が含まれます:

  • ガバメントクラウド環境の監視と管理
  • パフォーマンス最適化と容量管理
  • セキュリティ対策の実施と監視
  • バックアップと復旧の管理
  • 障害対応とトラブルシューティング
  • システム変更・更新の支援
  • 運用レポートの作成と提出

これらの責任範囲を理解した上で、特に注意すべき責任分界点について、契約書に明確に記載することが重要です。以下のような点が、特に明確化すべき責任分界点となります:

1. インフラレイヤーとアプリケーションレイヤーの境界:デジタル庁が提供するクラウドインフラストラクチャと、その上で動作するアプリケーションの境界を明確にします。一般的に、仮想マシン、ストレージ、ネットワークなどのインフラ部分はデジタル庁の責任範囲、アプリケーションの設定や運用は自治体もしくは運用管理補助者の責任範囲となります。

2. セキュリティ対策の分担:基本的なセキュリティ機能(CDN、WAFなど)はデジタル庁が提供しますが、それ以外のセキュリティ対策(ログ監視、脆弱性診断、セキュリティパッチ適用など)については、運用管理補助者の責任範囲となることが多いです。また、自治体固有のセキュリティポリシーの策定は自治体の責任であり、その実装は運用管理補助者が担当するという分担になります。

3. 障害対応の役割分担:インフラレベルの障害(クラウドサービス自体の障害)はデジタル庁を通じてクラウド事業者が対応し、アプリケーションレベルの障害は運用管理補助者が対応するという役割分担が一般的です。ただし、障害の切り分け(インフラ障害かアプリケーション障害かの判断)は運用管理補助者が行うことが多いため、その責任と手順を明確にすることが重要です。

4. データ管理の責任:データの整合性、正確性、バックアップなどの責任分担を明確にします。一般的に、データ入力の正確性は自治体の責任、データのバックアップと復旧は運用管理補助者の責任となりますが、重要なデータについては自治体側でも検証や確認を行うプロセスを設けることが望ましいでしょう。

これらの責任分界点を契約書に明確に記載することで、三者間での責任の所在が曖昧になることを防ぎ、問題発生時の迅速な対応と解決を可能にします。また、定期的な三者間の調整会議を設けることで、責任分界点に関する認識のずれを防ぎ、スムーズな連携を図ることも重要です。

トラブル時の対応フローと責任所在

ガバメントクラウド運用管理補助委託契約において、トラブル発生時の対応フローと責任所在を明確にすることは、迅速な問題解決と被害の最小化のために極めて重要です。契約段階でこれらを詳細に定義しておくことで、実際のトラブル発生時に混乱なく対応することが可能になります。

トラブル対応フローの設計においては、まずトラブルの種類と重大度に応じた分類を行うことが基本です。一般的には、以下のような分類が考えられます:

  • 重大障害:システム全体が停止する、または主要機能が利用できない状態
  • 重要障害:一部の機能が利用できない、またはパフォーマンスが著しく低下している状態
  • 軽微な障害:システムは利用可能だが、一部機能に不具合がある状態
  • セキュリティインシデント:不正アクセス、データ漏洩、マルウェア感染などのセキュリティ上の問題

各分類に対して、初動対応の手順と責任者を明確に定義します。特に重要なのは、「誰が」「何を」「いつまでに」行うかを具体的に規定することです。例えば、

  • 運用管理補助者は障害検知後30分以内に初期調査を開始し、1時間以内に自治体担当者に第一報を行う
  • 重大障害の場合、運用管理補助者は2時間以内に原因の切り分けを行い、復旧の見込みを自治体に報告する
  • セキュリティインシデントの場合、運用管理補助者は検知後直ちに自治体のセキュリティ責任者に通報し、暫定的な被害拡大防止措置を講じる

エスカレーションと報告のフローも明確に定義することが重要です。誰から誰へ、どのタイミングで、どのような手段で報告・連絡するかを規定します。特に重要なのは、自治体内での報告ライン(担当者→部門責任者→CIO/CISO→首長など)と、外部への報告(デジタル庁、総務省、個人情報保護委員会など)の基準と手順です。また、夜間・休日の連絡体制や、担当者不在時のバックアップ連絡先も明確にしておくべきでしょう。

トラブル対応における各主体の役割と責任を明確に定義することも重要です。

  • 運用管理補助者の役割:障害の検知と初動対応、原因の切り分け、復旧作業の実施、報告書の作成など
  • 自治体の役割:運用管理補助者からの報告の受領と判断、庁内への情報共有、住民への告知判断、デジタル庁への報告など
  • デジタル庁の役割:インフラレベルの障害対応、クラウド事業者との連携、他自治体への情報展開など

これらのトラブル対応フローと責任所在を契約書に明記することで、実際のトラブル発生時に「誰が何をすべきか」をめぐる混乱を防ぎ、迅速かつ効果的な対応が可能になります。また、定期的な訓練や机上演習を通じて、このフローを関係者全員が理解し、実践できるようにしておくことも重要です。

契約書作成時の重要条項と留意点

ガバメントクラウド運用管理補助委託契約の契約書を作成する際には、通常の業務委託契約に加えて、クラウドサービスやガバメントクラウド特有の事情を反映した条項が必要です。以下に、特に重要な条項と留意点を解説します。

1. 定義条項:契約書で使用される専門用語や略語の定義を明確にします。特に「ガバメントクラウド」「運用管理補助」「SLA」「インシデント」などの重要な用語については、関係者間で認識の相違が生じないよう、具体的に定義することが重要です。また、デジタル庁が定める「地方公共団体情報システムのガバメントクラウドの利用に関する基準」など、参照される外部文書も明記します。

2. 業務範囲条項:運用管理補助者が提供するサービスの範囲を詳細に規定します。「監視」「セキュリティ管理」「バックアップ・復旧」など主要な業務カテゴリごとに、具体的な作業内容、頻度、方法などを記載します。特に重要なのは、標準サービスとオプションサービスの区分を明確にすることです。これにより、追加費用の発生条件を明確にし、後のトラブルを防ぎます。

3. SLA(サービスレベル契約)条項:提供されるサービスの品質基準を定量的に規定します。可用性、性能、障害対応時間、サポート対応時間などの指標と目標値、測定方法、報告方法、未達成時のペナルティなどを具体的に記載します。特に重要なのは、SLA項目ごとの優先順位や重み付けを明確にすることです。全ての項目を同等に扱うのではなく、自治体にとって特に重要な項目(例:重大障害の復旧時間)に重点を置いた設計とすることが望ましいでしょう。

4. セキュリティ条項:情報セキュリティに関する要件と責任を規定します。セキュリティポリシーの遵守、情報資産の分類と取扱い、アクセス制御、暗号化、セキュリティ監視、インシデント対応、セキュリティ監査などについて具体的に記載します。特に重要なのは、セキュリティインシデント発生時の報告義務と対応プロセスを明確に定めることです。また、自治体のセキュリティポリシーの変更があった場合の対応方法についても規定しておくとよいでしょう。

5. データの取扱い条項:自治体のデータの所有権、利用権、保護義務などを規定します。特に重要なのは、運用管理補助者がデータにアクセスできる条件と範囲、データのバックアップと保存期間、契約終了時のデータ返却・消去の方法と証明などです。また、個人情報の取扱いについては、個人情報保護法と自治体の個人情報保護条例の両方に準拠することを明記し、漏洩時の責任と対応についても具体的に規定します。

6. 知的財産権条項:システム運用過程で発生する知的財産の帰属と利用権を規定します。運用管理補助者が作成するドキュメント、スクリプト、設定情報などの知的成果物について、その所有権や利用権を明確にします。また、運用管理補助者が提供するツールやソフトウェアのライセンス条件についても確認し、契約終了後の扱いを明記することが重要です。

7. 責任分界と賠償責任条項:各主体(自治体、デジタル庁、運用管理補助者)の責任範囲と、損害発生時の賠償責任を規定します。特に重要なのは、責任範囲の境界が曖昧になりがちなケース(例:複合的障害、外部要因による障害など)での責任の考え方を明確にすることです。また、賠償責任の上限(例:月額委託料の○倍まで)や除外事項(不可抗力など)についても明記します。

8. 再委託条項:運用管理補助業務の再委託に関する条件と手続きを規定します。再委託の可否、事前承認の要否、再委託先の要件、再委託先の管理責任などを明確にします。特に重要なのは、再委託先に対するセキュリティ要件の適用と監督方法です。再委託先も自治体のセキュリティポリシーに準拠することを義務付け、定期的な監査や報告を求める条項を設けるとよいでしょう。

9. 契約変更・終了条項:契約内容の変更手続き、契約の更新条件、解約条件、契約終了時の対応などを規定します。特に重要なのは、法令改正や技術的変化に伴う変更の取扱いと、契約終了時の引継ぎ支援の内容と期間です。引継ぎ支援については、具体的な作業内容、期間、費用負担を明記し、スムーズな移行が可能となるよう配慮します。

10. 監査と報告条項:運用管理状況の監査と報告に関する要件を規定します。定期報告の内容と頻度、監査の種類と頻度、監査結果の報告方法などを具体的に記載します。特に重要なのは、自治体による立入監査や第三者監査の権利と条件を明確にすることです。また、重大なインシデントや法令違反が発覚した場合の特別監査の権利についても規定しておくとよいでしょう。

これらの重要条項を適切に盛り込むことで、自治体と運用管理補助者の双方が権利と義務を明確に理解し、円滑な協力関係を構築することができます。また、契約書の作成過程では、法務部門や外部の専門家(弁護士など)の協力を得ることで、法的リスクを軽減し、より実効性の高い契約書を作成することができます。

プロポーザル後の効果的な運用管理の実現

キックオフと初期設定の重要性

ガバメントクラウド運用管理補助委託契約の締結後、スムーズな運用開始とその後の効果的な運用管理を実現するためには、キックオフと初期設定のフェーズが極めて重要です。この段階での取り組みが、その後の運用品質と協力関係の基盤となります。

キックオフミーティングの実施は、プロジェクトの成功に向けた第一歩です。ここでは以下のポイントを押さえることが重要です。

  • プロジェクトの目標と成功基準の共有:単なる「システム運用」ではなく、「住民サービスの向上」「業務効率化」「セキュリティ強化」など、自治体が達成したい具体的な目標と、その成功を測る基準を関係者全員で共有します。
  • プロジェクト体制の確認:自治体側と運用管理補助者側の責任者、担当者、連絡窓口などの役割と連絡先を確認し、組織図としてドキュメント化します。特に重要なのは、日常的な連絡窓口と緊急時の連絡体制を明確に区別することです。
  • コミュニケーション計画の策定:定例会議の頻度と参加者、報告書の提出タイミングと内容、問題発生時のエスカレーションフローなど、コミュニケーションの基本ルールを定めます。また、利用するコミュニケーションツール(メール、チャット、Web会議ツールなど)も確認します。
  • プロジェクトスケジュールの確認:初期設定、移行作業、本番稼働、初期安定化期間、定常運用開始などの主要マイルストーンとスケジュールを確認し、関係者間で認識を合わせます。特に、並行して進行する他のプロジェクトとの依存関係や影響も考慮することが重要です。

キックオフミーティングでは、形式的な進行にとどまらず、率直な意見交換や質疑応答の時間を十分に確保することが重要です。これにより、潜在的な課題や懸念点を早期に発見し、対策を講じることができます。

初期設定と環境構築は、安定した運用基盤を確立するための重要なステップです。以下のポイントに留意して進めることが重要です。

  • アクセス権限の設定:運用管理補助者に付与するガバメントクラウド環境へのアクセス権限を適切に設定します。最小権限の原則に基づき、業務に必要最小限の権限のみを付与することがセキュリティ上重要です。また、特権アカウント(管理者権限)の管理プロセスを明確に定めます。
  • 監視環境の構築:システムの稼働状況、リソース使用量、セキュリティイベントなどを監視するための環境を構築します。監視項目、閾値、アラート方法などを明確に定義し、テスト確認を行います。自治体側でも監視状況を確認できるダッシュボードの設置も検討すべきです。
  • バックアップと復旧の設定:データやシステム設定のバックアップスケジュール、保存期間、復旧手順などを設定し、テスト復旧を実施して有効性を確認します。特に重要なのは、バックアップの自動化と定期的な復旧テストの仕組みを確立することです。
  • セキュリティ対策の実装:ファイアウォール設定、脆弱性スキャン、ログ分析などのセキュリティ対策を実装します。特に、デジタル庁が提供する基本的なセキュリティ機能(CDN、WAFなど)と、運用管理補助者が追加で提供するセキュリティ対策の連携を確認することが重要です。
  • 運用手順書の整備:日常運用、定期メンテナンス、障害対応、セキュリティインシデント対応などの運用手順書を整備します。手順書は単なる技術マニュアルではなく、自治体と運用管理補助者の役割分担や連携プロセスも明確に記載することが重要です。

これらの初期設定作業は、運用管理補助者だけでなく、自治体の担当者も積極的に関わり、内容を理解することが重要です。特に、重要な設定やパラメータについては、自治体側での確認と承認のプロセスを設けることが望ましいでしょう。

初期トレーニングと知識の共有も、効果的な運用管理の実現に不可欠です。以下のような取り組みが効果的です。

  • 自治体職員向けトレーニング:システム概要、基本操作、管理コンソールの利用方法、報告書の見方、障害時の連絡方法など、自治体職員が理解しておくべき内容についてのトレーニングを実施します。
  • 運用管理補助者向けトレーニング:自治体の業務フロー、システムの利用状況、過去の障害履歴、セキュリティポリシーなど、自治体固有の情報や要件についてのトレーニングを実施します。
  • ナレッジベースの構築:FAQ、トラブルシューティングガイド、設定変更履歴などの情報を蓄積・共有するためのナレッジベースを構築します。これにより、人員交代があっても知識の継続性を確保できます。

トレーニングは一方的な説明ではなく、実機を使ったハンズオンセッションや、質疑応答の時間を十分に設けることで、実践的な理解を促進することが重要です。

初期運用期間の設定も効果的な取り組みです。本格的な運用開始前に、1~3か月程度の「初期運用期間」を設け、以下のような活動を行うことで、運用の安定化を図ります:

  • 段階的な運用移行:一部のシステムや機能から運用を開始し、問題がないことを確認しながら段階的に対象を拡大していきます。
  • 頻繁なレビューと調整:週次や隔週でのレビュー会議を開催し、発生した問題や課題、改善点などを協議して迅速に対応します。
  • 運用プロセスの微調整:実際の運用を通じて明らかになった非効率なプロセスや手順の改善を行います。
  • 監視項目や閾値の最適化:初期設定した監視項目や閾値が適切か評価し、必要に応じて調整します。特に、誤検知(フォールスポジティブ)や見逃し(フォールスネガティブ)の削減が重要です。

初期運用期間は、形式的な「試運転」ではなく、本番環境での実運用を通じて、運用プロセスと体制を最適化するための重要な期間として位置づけることが大切です。

キックオフと初期設定を丁寧に行うことで、その後の運用品質が大きく向上し、自治体と運用管理補助者の信頼関係も強化されます。この段階での投資は、長期的な運用コストの削減や問題発生リスクの低減につながる重要な取り組みといえるでしょう。

まとめ

ガバメントクラウドの運用管理補助業務に関するプロポーザルは、専門用語や高度な技術要件が並び、最初はハードルが高く感じられるかもしれません。しかし、基本的な構成と評価ポイントを押さえ、誠実かつ具体的な提案を心がければ、初めてでも十分にチャンスはあります。

本記事では、実際の公募事例をもとに、プロポーザルの作成に必要な知識や考え方、押さえておくべきポイントを整理してきました。特に、SLA設計やセキュリティ対応、運用体制の具体性は評価に直結する部分です。自治体のニーズを丁寧に読み解き、自社の強みを的確に伝えることが、採択への第一歩となります。

※本記事にはAIが活用されています。編集者が確認・編集し、可能な限り正確で最新の情報を提供するよう努めておりますが、AIの特性上、情報の完全性、正確性、最新性、有用性等について保証するものではありません。本記事の内容に基づいて行動を取る場合は、読者ご自身の責任で行っていただくようお願いいたします。本記事の内容に関するご質問、ご意見、または訂正すべき点がございましたら、お手数ですがお問い合わせいただけますと幸いです。

プロポーザル

関連記事

目次