ISMAP-LIUとは
ISMAPは管理策が非常に多くかつ内容も細かいため、監査・審査等にかかる工数および監査にかかる費用が膨大となります。これらの要因から、制度の浸透が不十分であり、執筆時点での登録サービス数は48、その中でもGoogleやMicrosoft、国内企業でもソフトバンクやNTTグループなどが複数サービスで登録しているなど、登録サービスはまだ少なく、特に一般的なSaaSの登録はごく少数となっています。
こうした状況を鑑みて、2022年11月1日に、ISMAPの簡易版と言えるISMAP-LIU(ISMAP for Low-Impact Use)という枠組みが新たに設けられました。これはISMAPが対象とするクラウドサービスのうち、セキュリティリスクの小さな業務・情報の処理に用いるSaaSに適用されます。
ISMAP-LIUに登録する場合は、まずISMAP-LIUの対象に該当するかについて、事前申請を行う必要があります。
ISMAPーLIUの対象サービス
では、 「ISMAP-LIU の対象である=セキュリティリスクが小さい」ということを、どのように決めるのでしょうか。
「ISMAP-LIUクラウドサービス登録規則」では、ISMAP-LIU の該当性について以下のように定められています。
- ① 業務・情報の影響度評価ガイダンスで公表する対象業務一覧の業務に該当すること
- ② 業務・情報の影響度評価結果が低位であること
このうち①の一覧については、ISMAPポータルサイト内、「ISMAP-LIU業務・情報の影響度評価ガイダンス」より確認できます。例えば以下のようなものが挙げられています。
| 対象業務 | 想定サービス例 |
|---|---|
| 公表を前提とした政策・制度の立案・調整過程等で民間と連携して作業する業務 | Web 会議サービス ファイル共有サービス |
| 政府機関等職員の業務上の役職・氏名等情報を扱う業務 | 人事管理サービス タレントマネジメントサービス 採用管理サービス |
| 名刺情報等の一般に広く提供する範囲の情報、公開情報の配信に伴う配信先等管理情報を扱う業務 | クラウド型名刺管理サービス クラウド型映像・コンテンツ等配信サービス |
| 災害時等に組織構成員の被災状況確認等を行う業務 | 安否確認サービス |
この一覧は、制度運用の中で、拡充を含め見直すものとされています。ISMAP-LIUでの登録を検討している業務・サービスが一覧に該当しない場合でも事前申請は可能です。この場合、一旦「要検討業務」として扱われ、影響度が低位であると判断されれば、今後一覧に追加されていく形となります。
②については、①の一覧に該当するか否かに関わらず、実際に導入を検討している政府機関等が影響度評価を行う必要があり、事業者側は評価に必要な情報を提供します。つまり、実際に政府機関等が導入を検討している、という状況でなければ、ISMAP-LIUでの登録はできないということになります。また、①の一覧に該当する場合は、1つの政府機関等の影響度評価結果で対応可能ですが、「要検討業務」の場合は2つ以上の政府機関等の影響度評価結果が必要となり、更にハードルが上がります。
ISMAPとISMAPーLIUの違い
ISMAP-LIUでの登録についても、事前申請以外については、全体的な流れはISMAPと変わりません。ただし、ISMAP-LIUは、外部監査工数の削減が目的の1つとなっており、監査機関による監査については、ISMAP基準より項目が削減されます。そのため、監査にかかる費用もISMAPよりは削減できます。どの程度の費用削減が可能化については監査機関である監査法人に確認してください。
| 要求事項区分 | ISMAP-LIUにおける外部監査 | |
|---|---|---|
| 3章 | ガバナンス基準 | 全管理策が対象。 |
| 4章 | マネジメント基準 | 全管理策が対象。 |
| 5章~18章 | 管理策基準 | クラウドサービスの基盤・構成に深刻な影響を与え、重大な事故につながるリスクに関連する管理策を中心に監査。400項目程度 |
一方で、4章等で求められる内部監査について、ISMAPでは外部監査の中で関連規程・記録を提示するのみでしたが、ISMAP-LIUではIPAに対して監査結果を規定様式で提出する必要があります。3桁レベルでの結果提出にはなりますが、全項目に対して網羅的に監査を実施し、検出された事項に対する影響度評価・改善計画および改善状況を含めて対応することが求められるため、ISMAPと同等以上の品質での内部監査を行わなければなりません。
当社では、内部監査を含めた支援を行うことが可能です。
ISMAP支援につきましてのご相談・お見積もりは無料です。お気軽にお問い合わせ下さい。
ISMAP-LIU 登録促進のための特別措置
2024年現在、ISMAP-LIUの枠組みが出来て一定期間が経過していますが、現状ではISMAP-LIUのクラウドサービスリストに登録している企業はまだありません。
その理由としては以下のようなものが考えられます。
- ・ISMAP-LIUでもやはり大幅な工数が必要となること
- ・そもそもISMAP-LIUに該当するためのハードル(特に政府機関等による影響度評価を受けること)が高い
- ・事前申請を行っても、申請結果が出るのに時間がかかる(特に「要検討業務」の場合、半期ごとにまとめて判断されるため、非常に時間がかかる場合があります)
所管官庁側としても登録を促進したい意図があり、2023年5月19日より、「ISMAP-LIU 登録促進のための特別措置」が開始されました(2025年3月末日まで)。
特別措置を適用するメリットとしては以下が挙げられています。
- ① 期間中一度に限り、外部監査の対象範囲を「整備状況評価」及び「最小限度の運用状況評価」とすることが可能
- ② 期間中一度に限り、内部監査に係る報告書の提出を免除可能
これらにより、外部監査のコスト低減、および申請準備に関する事務負担の低減が図られています。
ただし、この特別措置の適用にあたっても要件があり、少なくとも通常のISMAP-LIUと同様、政府機関等による影響度評価は必要となるため、依然としてハードルは高いままであると考えられます。
ISMAP・ISMAP-LIU登録に向けた対応
以上のように、ISMAP・ISMAP-LIU登録に向けては非常に多くの課題に対応していく必要があります。当社では、マネジメントシステムの構築段階から最終的な登録まで、包括的にサポートしています。
サポートプランは、基本的には下記のような流れとなります。
-
▼
- 現状確認・ヒアリング
- ISMAP管理基準の要求事項をベースにヒアリングをおこないます。ISMSを取得している場合は、既存のISMSの運用状況や対応事項も確認します。
-
1
- GAP分析・課題の特定
- プロジェクト開始時点におけるISMAP管理基準要求事項の未対応項目を課題として特定します。
-
2
- アクションプランの提示
- 洗い出した課題への対応案をご提示します。
-
3
- 課題対応
- 規程・様式類の改訂等、可能な部分については当社側主導で対応を支援します。
-
4
- 対応状況の確認
- 課題対応状況の確認、および対応にお困りの部分については随時アドバイスいたします。
-
5
- 監査
- 課題管理、および可能な部分については証跡収集等を支援します。
-
6
- 審査
- 申請書類作成・IPAとのやり取りについて支援します。
-
7
- 登録
- 審査に通るとISMAP / ISMAP-LIUに登録されます。
サービスに関するお問い合わせは、下記の【お問い合わせフォーム】よりお気軽にお送りください。
ISMAP登録支援に関するご質問・ご相談・お見積もりは無料です。
