世界最先端のブロードバンド環境が実現され、ICT(情報通信技術)は、経済成長に大きく寄与するとともに、人口減少社会下の我が国経済を新たな成長のトレンドに乗せる原動力として期待されている。そうした中、ネットワークを介してソフトウェアやハードウェアの機能を提供するクラウドサービスの活用によって、これまでICT投資や利用が困難であった中小企業が生産性を大幅に向上させる事例や、地方公共団体が行政事務や公共サービス提供を外部委託するための手段として活用する事例が急速に増加しつつある。
一方で、現在、クラウドサービス事業者によるサービス等に関する情報開示は必ずしも十分な状況とは言えず、ユーザとの間に情報の非対称性が存在しています。また、クラウドサービス事業者の安全・信頼性に対する不安を持つユーザも出てきています。このため、クラウドサービス事業者に対して情報開示を促進するとともに、クラウドサービスのうち安全・信頼性に係る情報を適切に開示しているものに関する認定制度の導入が求められていました。
このような中、総務省及び日本クラウド産業協会(以下「ASPIC」とします。)は、クラウドサービスの普及促進を推進してきました。
総務省とASPICが共同でASP・SaaSの課題と今後の普及促進等について調査研究を行い、報告書をとりまとめました。
前項の調査研究結果をとりまとめ具体的な施策を展開するため、総務省とASPICが合同で「ASP・SaaS普及促進協議会」(以下「AS協」とします。)を設立しました。
総務省では、「ASP・SaaSの情報セキュリティ対策に関する研究会」を開催し、その検討結果として「ASP・SaaSの情報セキュリティ対策に関する研究会報告書」及び「ASP・SaaSにおける情報セキュリティ対策ガイドライン」を公表しました。
「ASP・SaaS普及促進協議会」の傘下の「安全・信頼性委員会」の検討成果をもとに、総務省は「ASP・SaaSの安全・信頼性に係る情報開示指針」を公表しました。
ASP・SaaS普及促進協議会」の傘下の「安全・信頼性委員会」で「ASP・SaaSの安全・信頼性に係る情報開示認定制度」の検討・立案を行いました。
以上のような背景を踏まえ、財団法人マルチメディア振興センター(以下、「FMMC」とします。)はISO27001をベースとした「ASP・SaaSの安全・信頼性に係る情報開示認定制度」(以下「認定制度」とします。)を平成20年4月に創設しました。
クラウドサービス情報開示認定機関(以下「認定機関」とします。)FMMC、クラウドサービス認定制度事務局(以下「認定事務局」とします。)ASPICとして、クラウドサービス市場の発展に寄与してまいりました。
なお、平成29年10月に、認定機関はFMMCからASPICに移管され、ASPICが認定制度を一元的に運営することになりました。
総務省とASPICが連携して設立した「データセンター促進協議会](以下「DC協」とします。)にて平成21年より検討しました。 DC協は、AS協と連携し、ISO27017をベースとした「データセンター」、「IaaS・PaaS」の情報開示指針を策定し(平成23年12月総務省公表)、平成24年9月「IaaS・PaaS情報開示認定制度」、「データセンター情報開示認定制度」を創設しました。
「ASP・SaaS普及促進協議会」は、認定制度高度化推進の検討を平成28年より行い、平成29年3月総務省より「特定個人情報を取扱うサービス」、「医療情報を取扱うサービス」に関する情報開示指針が公表されました。これをもとに認定機関ASPICは、平成29年10月「医療情報ASP・SaaS情報開示認定制度」、「特定個人情報ASP・SaaS情報開示認定制度」を創設しました。
近年はIoTが急速に注目を集めるようになり、クラウドサービス事業者によるIoTクラウドサービスの提供が増加してきました。
平成29年度、「ASP・SaaS普及促進協議会」は、クラウドサービス事業者がIoTクラウドサービスに参入する際のリスクへの対応方針を検討しました。
この対応方針を盛り込む形で、「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」の改訂が行われ総務省から公表されました。(平成30年7月31日)(参考1)
総務省は、ガイドラインの改訂をもとに、「IoTクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)」、「IoTクラウドサービスの安全・信頼性に係る情報開示指針(IaaS・PaaS編)」を公表しました。(平成30年10月26日)(参考2)
ASPICは、この2つの情報開示指針をもとに、新たに「ASP・SaaS(IoTクラウドサービス)の安全・信頼性に係る情報開示認定制度」及び「「IaaS・PaaS(IoTクラウドサービス)の安全・信頼性に係る情報開示認定制度」の2制度を創設することとしました。(平成30年12月1日)
(参考1)「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」の総務省公表資料
(参考2)IoTクラウドサービスの安全・信頼性に係る情報開示指針追加の総務省公表資料
認定制度の基本的な考え方は、以下のとおりです。
ユーザ、事業者、社会の3つの視点からみた本認定制度の意義は、以下のとおりです。
IaaS・PaaS(IoTクラウドサービス)に係る情報開示が豊富になるとともに、情報開示項目が共通化されることにより、複数のIaaS・PaaS(IoTクラウドサービス)及び事業者の比較・評価等が可能になり、最適なサービス・事業者を選びやすくなります。
IaaS・PaaS(IoTクラウドサービス)を提供する事業者にとっては、情報開示によって、ユーザによるIaaS・PaaS(IoTクラウドサービス)・事業者の比較や評価等が可能になり、安全・信頼性のより高いIaaS・PaaS(IoTクラウドサービス)を求める需要に応えることができるため、顧客獲得の機会の増大につながります。
社会全体にとっては、認定制度の実施により、IaaS・PaaS(IoTクラウドサービス)が産業、生活、社会システム等の経済社会活動の多くの分野に普及・定着し、安全・信頼性の高い効果的・効率的な社会情報基盤の形成が進みます。
申請対象はIaaS・PaaS(IoTクラウドサービス)であり、既に提供を開始しているものに限ります。ここでいう「IaaS・PaaS(IoTクラウドサービス)」とは以下をさします。
申請できるのは、「IaaS・PaaS(IoTクラウドサービス)事業者」とします。ここでいうIaaS・PaaS(IoTクラウドサービス)事業者とは、以下のいずれか(又は全部)に関するサービスを提供する事業者のことをいいます。
申請は、原則として独立して提供されるサービス単位とします。ただし、複数の基盤サービスを提供している場合は、統合したものを一つの申請単位とすることができます。
なお、サービスの提供形態については事業者により様々なケースが想定されるため、疑問の点があれば問合せ窓口(13項参照)までお問合せください。
申請サービスごとに、日本語で記述された以下の書類を提出していただきます。
また、この他に申請書Aと申請書Bの電子ファイルを格納したCD-R、提出書類及び資料内訳書等が必要です。
※申請書類の詳細、申請書類の綴じ込み方法等については、本認定制度のサイト(https://www.aspicjapan.org/nintei/ip-iot/)の関連ページをご参照ください。
新規申請時や更新申請時には、申請書A(フェースシート)、申請書B(情報開示内容の詳細)を提出していただきます。
申請書Bでは「申請内容」欄と「添付書類等」欄のそれぞれについて、以下に留意した記述が必要です。
(ア) 「申請内容」欄では、必須開示項目は全て記述してください。選択開示項目の記述は任意となっていますが、認定制度の趣旨を勘案し、出来る限り記述するようにしてください。
(イ) 「添付書類等」欄では、必ず「申請内容」欄の記述を疎明する(裏付ける)資料名称とその中の記載箇所(ページ、章節等)を記述してください。
申請者(企業等)の実在を証明する登記事項証明書もしくはその他の申請者の実在を証明する公的書類の提出が必要です。
なお、「代表者氏名」欄に記載された方に代表権がない場合、添付資料として申請事業者に所属し、事業責任者であることを疎明できる資料の提出が必要です。
【注2】商業・法人登記簿謄本については、原本の提出を必要とするが、複数サービスを申請する場合の2サービス目以降は、写し(コピー)も可とする
(ア) 申請書Bの各項目の申請内容については、必須開示項目/選択開示項目にかかわらず、その実施水準や内容に係る開示情報を疎明するための資料の提出が必要です。ただし、申請内容が「実施なし」、「開示なし」等の場合は、疎明は不要とします。
(イ) データセンター等に外部委託している場合、外部委託先に関わる申請書Bの記述に対し、外部委託先による公表資料もしくは外部委託先の事業担当責任者の署名のある資料を提出してください。
(ウ) 疎明する資料としてウェブページを用いる場合は、URL及び日付を付したハードコピーの添付が必要です。添付資料が大量ページとなる場合、表紙、目次、および疎明に必要なページを含む抜粋資料も可とします。
申請者は、郵便書留により申請書類の送付を行うことができます。
請方法の詳細については、本認定制度のサイト(https://www.aspicjapan.org/nintei/ip-iot/)の関連ページをご参照下さい。
申請は、随時受け付けます。
申請時には、別表1(リンク先資料の最終ページを参照下さい。)に定める審査手数料をお支払いください。なお、この審査手数料は、認定・非認定にかかわらず、返還いたしません。
審査手数料は、ASPICから形式審査が完了した旨を通知しますので、その後1週間以内を目途に指定の銀行口座にお振込み下さい。振込みが確認でき次第、書類審査を開始します。
なお、事業者名称およびサービス名称等の変更により、認定証に変更を生じた場合は、認定証の再発行手数料をお支払いいただきます。
認定の審査対象項目は、「IoTクラウドサービスの安全・信頼性に係る情報開示指針(IaaS・PaaS編)」(総務省;平成23年12月26日公表)で示されている情報開示項目に基づきます。
なお、審査対象としている情報開示項目は、以下のような構成となっています。
審査対象となる情報開示項目は、「必須開示項目」(必ず情報開示していただく項目)と「選択開示項目」(情報の開示は任意である項目)に分かれており、以下の基準により審査します。
なお、「選択開示項目」については、これらの開示の有無により認定もしくは非認定とするものではありません。
【対策・措置などを行っていない場合に非認定とする項目】 | |
---|---|
コンプライアンス(文書類) | 情報セキュリティに関する規程等の整備 |
システム運用 (システム基盤運用、セキュリティ等) |
IoT機器認証 |
サービスサポート (サービス窓口(苦情受付・問合せ)) |
連絡先 |
サービスサポート (サービス通知・報告) |
メンテナンス等の一時的サービス停止時の事前告知 |
障害・災害発生時の通知 |
受理した申請書類をもとに、次により審査を行い、結果を通知します。
申請者より提出された申請書類(申請書A、申請書B、申請内容を疎明する関係資料、申請者の実在を証明する公的書類等)が指定どおり提出されているかを審査します。
申請書類をもとに、「審査対象項目と審査基準」で示した審査基準に基づき書類審査を行います。
なお、申請内容に明らかに誤解に基づく記述、記入漏れ、不鮮明な記述がある場合は照会することがあります。
審査上必要があるときは、申請者に対し、その営業所、事務所その他事業場における調査の受け入れを求めることがあります。
認定にあたっては、情報開示認定機関内に設置する学識経験者及び民間有識者等により構成される認定審査委員会を開催し、あらかじめ意見を聴くことがあります。
審査終了後、認定又は非認定の結果を通知します。
なお、非認定の場合には、改善等が求められる情報開示項目等について説明を付すこととします。
認定した特定個人情報ASP・SaaSサービスについて、以下の情報を公表します。
認定番号、サービス名称、事業者名称、認定年月日を認定IaaS・PaaS(IoTクラウドサービス)一覧の形で公表します。
申請書Bの"申請内容"欄については、申請者が記述した内容を公表します。
ただし、申請者からその一部につき公表を留保したい旨の申し出があった場合、認定機関において正当な理由であると判断したときは、必要な期間、公表を留保することがあります。
認定した個別のIaaS・PaaS(IoTクラウドサービス)に対して、認定証及び認定マーク(図1、図2参照)を発行します。
図1. 認定証
(注) 認定番号、サービスの名称、事業者の名称、認定期間、発行日は、サンプル例示となっています。なお、認定番号は「特個」の識別子に上4桁は認定サービス通番、下4桁は認定年月(西暦)を表します。
図2. 認定マーク
(注) 認定マークはロゴと認定番号から構成されます。なお、認定番号のIP-IoTは識別子、続く上4桁は認定サービス通番、下4桁は認定年月(西暦)を表します。
認定期間内に以下に該当する変更事由が発生したときは、指定する様式により、遅滞なく届出を行ってください。
認定期間内に当該認定サービスの提供を終了したときは、指定する様式により、遅滞なく届出を行ってください。また、その際には、認定証も同時に返納していただきます。
提出された申請書類は認定の有効期間内においては、認定事務局内で保管し、次の場合に返却します。
次の資料を除く申請書類一式を申請担当者に返却します。
更新時においては、変更内容と提出された疎明資料を照合し、不要となった旧資料を返却します。
認定サービスを提供する事業者が、次のいずれかに該当する場合には、その認定を取り消すことがあります。
認定機関、認定審査委員会を構成する有識者及び認定事務の委託を受けた者(以下「認定機関等」という。)は、認定制度に関連して知り得た事業者に係る非公知の情報(以下「秘密情報」という。)を、当該事業者の事前の承諾なく第三者に開示せず、認定制度の運営に必要な目的以外に使用しないものとします。
ここで、秘密情報には、以下に掲げる情報を含まないものとします。
なお、情報開示認定機関等は、上述のような守秘義務を負いますが、法律に基づく強制処分又は裁判所の命令が執行された場合は、当該処分又は命令に定められた範囲において秘密保持の義務を負わないものとします。
認定機関等は、認定制度の運営に関して直接又は間接に生じた事業者又は第三者の損害について、その内容、態様の如何にかかわらず一切の責任を負わないものとします。ただし、認定機関等の故意又は重過失による場合はこの限りではありません。
また、認定サービスに関し、事業者と第三者との間で紛争を生じた場合は、当事者が自己の費用と責任において解決するものとし、認定機関等は一切の責任を負わないものとします。
問合せ窓口は、次のとおりです。
1. 審査手数料 <新規申請費用> | 1サービスにつき209,000円 (消費税込み) (内訳)審査手数料(税別)190,000円+消費税(10%)19,000円 |
---|---|
2. 更新審査手数料 <2年ごとに更新する際の費用> |
1サービスにつき104,500円(消費税込み) (内訳)更新審査手数料(税別)95,000円+消費税(10%)9,500円 |
3. 認定証再発行手数料 | 1サービスにつき10,450円(消費税込み) (内訳)更新審査手数料(税別)9,500円+消費税(10%)950円 |
なお、すでにIaaS・PaaS情報開示認定を取得しているサービスが新たにIaaS・PaaS(IoTクラウドサービス)の認定取得を希望する場合は、更新審査手数料と同額といたします。