「ISMAP-LIU登録促進のための取組み」についての見解

ISMAP-LIU制度の現状と課題をふまえて、2023年5月19日に新たな施策として公表された「ISMAP-LIU 登録促進のための取組み」について解説します。

ISMAP-LIU制度の現状と課題をふまえて、2023年5月19日に新たな施策として公表された「ISMAP-LIU 登録促進のための取組み」について解説します。

Article Posted date 20 October 2023

ハイライト

  1. ISMAP-LIUの現状の課題
  2. 「ISMAP-LIU登録促進のための取組み」の施策内容
  3. 「ISMAP-LIU登録促進のための取組み」がもたらす意義

1.ISMAP-LIUの現状の課題

2022年11月1日にISMAP制度の新たな仕組みとしてISMAP-LIU制度の運用が開始されました。この制度の詳細については、「ISMAP-LIUをどう見るか」をご参照いただくこととして割愛しますが、本資料公表時点(2023年10月20日現在)において、ISMAP-LIUクラウドサービスリストは公表されていません。2023年5月19日付でSaaS サービス事業者宛に通達された公表資料「ISMAP-LIU 登録促進のための特別措置について」によると、ISMAP-LIUの登録対象となるSaaSサービス事業者は、中小企業やスタートアップ企業も多く、ISMAP-LIU 登録のために必要となる内部統制構築には、時間面・コスト面において相応の負担が見込まれることが、課題として挙げられています。

また、申請条件の1つとして、事前に政府機関から「業務・情報の影響度評価」を入手する必要がありますが、政府機関との繋がりを持たない中小企業やスタートアップ企業が多いため、これが制度利用が進んでいない一因になっていると考えられます。

2.「ISMAP-LIU登録促進のための取組み」の施策内容

上記の課題に鑑み、SaaSサービスのISMAP-LIUへの登録促進を図ることを目的として、2023年5月19日に「ISMAP-LIU登録促進のための取組み」がデジタル庁サイト内において公表され、同日から運用が開始されました。この取組みの大きなポイントは、以下の3点です。

(1)「ISMAP-LIU相談窓口」の設置
(2)影響度評価実施機関の範囲の拡充
(3) ISMAP-LIU登録促進のための特別措置

(1)「ISMAP-LIU相談窓口」の設置

ISMAP-LIUの登録に関する質問・相談などを受け付ける「ISMAP-LIU相談窓口」がデジタル庁に設置されました。具体的な利用方法は、デジタル庁HP内に設置された相談窓口用フォームに必要事項を記入・送信すると、デジタル庁担当者から折り返し連絡が来る仕組みとなっています。

質問・相談内容として、次のような例が想定されています。

  • 自社が提供するSaaSサービスがISMAP-LIUクラウドサービスリストに登録できるかどうか教えて欲しい。
  • ISMAP-LIUクラウドサービスリスト登録を申請したいが、必要になる条件を教えて欲しい。
  • ISMAP-LIUクラウドサービスリスト登録を目指しているが、「業務・情報の影響度評価」を実施してくれるパートナー省庁が見つからないので支援して欲しい。

SaaSサービス事業者にとって、この相談窓口の設置による一番のメリットは、パートナー省庁の支援であると言えます。なお、ISMAPポータルサイトのFAQに記載のとおり、ISMAP運用支援機関では、業務・情報の影響度評価を行う政府機関等の紹介を行っていません。

今回、デジタル庁に相談窓口が設けられ、影響度評価実施機関を紹介してもらうことが可能になるため、後述する特別措置の申請およびISMAP-LIUの申請に必要な「業務・情報の影響度評価」の入手までのハードルが下がり、制度利用の促進に繋がることが期待されます。

(2)影響度評価実施機関の範囲の拡充

「ISMAP-LIU登録促進のための取組み」では、影響度評価実施機関の範囲の拡充についても発表されました。これまで、ISMAP-LIUの事前申請に必要な「業務・情報の影響度評価」の実施機関は国の行政機関のみに限定されていましたが、今般、「ISMAP-LIU登録促進のための取組み」が発表された2023年5月19日をもって、国の行政機関に加え、独立行政法人および指定法人でも恒久的に可能となりました。

SaaSサービス事業者が、すでに政府機関等との間で契約を計画している場合や契約済みの場合は、当該政府機関等に対して「業務・情報の影響度評価」を依頼し、評価結果を入手することになります。一方、「業務・情報の影響度評価」を依頼する政府機関等の当てがない場合は、「ISMAP-LIU相談窓口」へ問い合わせ、支援を受けることが推奨されています。

2023年5月19日付通達「ISMAP-LIU登録促進のための特別措置について」の2の(4)から本内容を独立させて記載しています。

(3)ISMAP-LIU登録促進のための特別措置

「ISMAP-LIU登録促進のための取組み」の一番の目玉施策として、「ISMAP-LIU登録促進のための特別措置」が設けられました。この特別措置は運用期間が限定されており、2023年5月19日~2025年3月末まで(約2年間)となっています。この運用期間をISMAP-LIU登録事業者数が安定的に増加するまでのスタートアップ期間とし、先行してISMAP-LIUへの登録に取り組む意欲があるSaaSサービス事業者にインセンティブとして特別措置を設けることにより、一定のセキュリティ水準を担保したうえでの、ISMAP-LIUへの登録促進が期待されています。

特別措置の適用を受ける場合には、必要書類を用意して申請を行い、以下の要件を満たしていることが審査されます。

【適用要件】

  1. 特別措置を適用しようとするSaaSサービスについて、特別措置の運用期間中に ISMAP-LIUへの登録申請(事前申請を含む)が提出される予定であること
  2. 特別措置を適用しようとするSaaSサービスについて、政府機関等が実施した「業務・情報の影響度評価結果」が「低位」であること
  3. ISMAP管理基準のうち、ガバナンス基準およびマネジメント基準におけるすべての基準、管理策基準における統制目標および末尾にBが付された詳細管理策を満たしていることが言明されていること
  4. 特別措置の適用にあたって、登録申請の意思および言明内容についての誓約書が提出されていること

図1 特別措置申請フロー

「ISMAP-LIU登録促進のための取組み」についての見解-1

※「ISMAP-LIU 登録促進のための特別措置」についての公表資料を基にKPMG作成

なお、特別措置の申請には、監査機関による実施結果報告書の添付は必要ありません。申請書類の詳細については、デジタル庁の「ISMAP-LIU登録促進のための取組み」ページの連絡先への問合せが必要です。

審査によって特別措置の適用が認められたSaaSサービスは、特別措置サービスリストに掲載されるうえ、ISMAP-LIUの本申請時にもメリットが発生することになります。

特別措置サービスリスト

特別措置の適用が認められた際のメリットの1つが、「特別措置サービスリスト」への登録です。このリストに登録されることによって、ISMAP-LIU登録申請前にSaaSサービスが政府機関の調達候補になるため、先行者利益を得られる可能性があります。

サービスリストは政府機関等限りの取扱いとされ、対外公表はされませんが、次のような情報が掲載予定となっています。

  • SaaSサービス名称
  • 事業者名称
  • ISMAP管理基準への適合状況
  • 他の第三者認証 等の取得状況
  • ISMAP-LIUへの事前申請予定時期 等

特別措置期間におけるISMAP-LIU申請時のインセンティブ

特別措置が認められたSaaSサービスは、ISMAP-LIU登録申請の際にも2つのインセンティブがあります。

1つ目は、ISMAP-LIUで求める内部監査に係る報告書の提出が免除可能となることです。これにより、SaaSサービス事業者の申請準備に係る事務負担低減が期待されます。

2つ目は、監査対象範囲を「整備状況評価」および「最小限度の運用状況評価」とできることです。これにより、外部監査に係るコスト低減が期待できます。「最小限度の運用状況評価」の具体的な運用状況評価項目については、現在、ISMAP運営委員会において検討中です。

これら2つのインセンティブは、「特別措置の期間内に一度に限り」という制限が付いているため、特別措置の適用が決定してから、2025年3月末までに実施される最初のISMAP-LIU登録申請の際に適用されることになります。また、いずれの措置も、あくまでも「可能とする」ものであり、実施または報告することを妨げるものではありません。

図2 モデルスケジュール

「ISMAP-LIU登録促進のための取組み」についての見解-2

※ISMAP-LIU関連の公表資料を基にKPMG作成

3.「ISMAP-LIU登録促進のための取組み」がもたらす意義

ISMAP-LIUの普及促進として、デジタル庁に設置された相談窓口は大きな意味を持つと考えられます。ISMAP-LIUを検討するクラウドサービス事業者にとって主な課題となるのが、「自社のクラウドサービスはISMAP-LIUに該当するのか」「実際の入札がISMAP-LIUで実施されるか」「影響度評価はどこに、どのように依頼したらいいのか」といった点です。今回設置された相談窓口に、これらの課題を相談することができるようになり、「通常のISMAPとするか」または「ISMAP-LIUとするか」の判断を迷っているクラウドサービス事業者にとって大きな支援になると考えます。ISMAP-LIU自体が制度として始まったばかりであり、制度として柔らかい部分が多く、また不明瞭な点があることを考えると、このような窓口を積極的に利用して自社が持つ課題を一つひとつ解決していくことが、効率的なISMAPリスト登録につながります。

また、特別措置サービスリストの適用は監査機関の監査を受けずに申請可能としていることは画期的な施策だと思われます。これはすでに言明書を作成済みのクラウドサービス事業者にとって、時間とコストにプラスの影響をもたらします。ISMAP・ISMAP-LIUに関わらず、リスト登録に向けての課題の1つに監査機関の確保が挙げられますが、本施策の利用により、特別措置サービスリストへの登録申請については監査機関を確保することなく申請可能となります。これは、監査機関の順番待ちによりリスト登録の遅れを防ぐことができます。ただし、本施策は初回申請時に適用される特例であり、その後令和7年(2025年)3月までに正式な申請をおこなう必要があります。制度上の手続でいえば、令和7年(2025年3月)に申請をおこなうためには、監査実施結果報告書を令和7年(2025年)2月には入手する必要があります。その場合の監査対象期間は、令和6年(2024年)10月から12月頃が想定されます。少なくとも、この期間での監査の実施が必要となるため、本施策を利用する場合においても、監査機関の選定は早めに開始し、令和7年(2025年)3月の申請に必要な監査の実施が可能かということも合わせて検討することが重要となる点に留意する必要があります。

執筆者

有限責任 あずさ監査法人
Digital Innovation & Assurance統轄事業部 Digital Advisory事業部
パートナー 山口 達也
テクニカル・ディレクター 鈴木 雅之

関連リンク
ISMAP-LIUをどう見るか

お問合せ

ISMAP

ISMAP(イスマップ)とは

ISMAP(イスマップ)とは

ISMAP(イスマップ)とは、昨年、内閣官房(内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室)・総務省・経済産業省が所管して発足した政府情報システムのためのセキュリティ評価制度のことです。
 
コンピューターとネットワークの接続

ISMAP監査支援

ISMAP監査支援

ISMAPクラウドサービスリストへ登録された、もしくはこれから登録を目指す企業に、ISMAP監査基準に基づく監査を提供し、ガバナンス・マネジメント・セキュリティ対策状況を確認します。