世界最先端のブロードバンド環境が実現され、ICT(情報通信技術)は、経済成長に大きく寄与するとともに、人口減少社会下の我が国経済を新たな成長のトレンドに乗せる原動力として期待されている。そうした中、ネットワークを介してソフトウェアやハードウェアの機能を提供するクラウドサービスの活用によって、これまでICT投資や利用が困難であった中小企業が生産性を大幅に向上させる事例や、地方公共団体が行政事務や公共サービス提供を外部委託するための手段として活用する事例が急速に増加しつつある。
一方で、現在、クラウドサービス事業者によるサービス等に関する情報開示は必ずしも十分な状況とは言えず、ユーザとの間に情報の非対称性が存在しています。また、クラウドサービス事業者の安全・信頼性に対する不安を持つユーザも出てきています。このため、クラウドサービス事業者に対して情報開示を促進するとともに、クラウドサービスのうち安全・信頼性に係る情報を適切に開示しているものに関する認定制度の導入が求められていました。
このような中、総務省及び日本クラウド産業協会(以下「ASPIC」とします。)は、クラウドサービスの普及促進を推進してきました。
総務省とASPICが共同で「ASP・SaaSの課題、安全・信頼性指針の策定及び情報開示認定制度を官民で検討すること等」の調査研究を行い、報告書をとりまとめました。
前項の調査研究結果をとりまとめ具体的な施策を展開するため、総務省とASPICが合同で「ASP・SaaS普及促進協議会」を設立しました。
総務省では、「ASP・SaaSの情報セキュリティ対策に関する研究会」を開催し、その検討結果として「ASP・SaaSの情報セキュリティ対策に関する研究会報告書」及び「ASP・SaaSにおける情報セキュリティ対策ガイドライン」を公表しました。
「ASP・SaaS普及促進協議会」の傘下の「安全・信頼性委員会」の検討成果をもとに、総務省は「ASP・SaaSの安全・信頼性に係る情報開示指針」を公表しました。
「ASP・SaaS普及促進協議会」の傘下の「安全・信頼性委員会」で「ASP・SaaSの安全・信頼性に係る情報開示認定制度」の検討・立案を行いました。
以上のような背景を踏まえ、財団法人マルチメディア振興センター(以下、「FMMC」とします。)はISO27001をベースとした「ASP・SaaSの安全・信頼性に係る情報開示認定制度」(以下「認定制度」とします。)を平成20年4月に創設しました。
クラウドサービス情報開示認定機関(以下「認定機関」とします。)FMMC、クラウドサービス認定制度事務局(以下「認定事務局」とします。)ASPICとして、クラウドサービス市場の発展に寄与してまいりました。
なお、平成29年10月に、認定機関はFMMCからASPICに移管され、ASPICが認定制度を一元的に運営することになりました。
総務省とASPICが連携して設立した「データセンター促進協議会」にて平成21年より検討しました。
「データセンター促進協議会」は、「ASP・SaaS普及促進協議会」と連携し、ISO27017をベースとした「データセンター」、「IaaS・PaaS」の情報開示指針を策定し(平成23年12月総務省公表)、平成24年9月「IaaS・PaaS情報開示認定制度」、「データセンター情報開示認定制度」を創設しました。
「ASP・SaaS普及促進協議会」は、認定制度高度化推進の検討を平成28年より行い、平成29年3月総務省より「特定個人情報を取扱うサービス」、「医療情報を取扱うサービス」に関する情報開示指針が公表されました。これをもとに認定機関ASPICは、平成29年10月「医療情報ASP・SaaS情報開示認定制度」、「特定個人情報ASP・SaaS情報開示認定制度」を創設しました。
クラウドサービスの進展とともにIoT(Internet of Things)が急速に注目を集めるようになり、クラウドサービス事業者によるIoTクラウドサービスの提供が増加してきました。
平成29年度、「ASP・SaaS普及促進協議会」は、クラウドサービス事業者がIoTクラウドサービスに参入する際のリスクへの対応方針を検討しました。
この対応方針を盛り込む形で、「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」の改訂が行われ総務省から公表されました。(平成30年7月31日)。
総務省は、ガイドラインの改訂をもとに、「IoTクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)」、「IoTクラウドサービスの安全・信頼性に係る情報開示指針(IaaS・PaaS編)」を公表しました。(平成30年10月26日)
ASPICは、この2つの情報開示指針をもとに、新たに「ASP・SaaS(IoTクラウドサービス)の安全・信頼性に係る情報開示認定制度」及び「「IaaS・PaaS(IoTクラウドサービス)の安全・信頼性に係る情報開示認定制度」の2制度を創設することとしました。(平成30年12月1日)
近年、IoTとともにAIが急速に注目を集めるようになり、クラウドサービス事業者によるAIを活用したクラウドサービスの提供が増加してきました。令和2年度、「ASP・SaaS普及促進協議会」は、クラウドサービス事業者がAIクラウドサービスの開発及び提供の際に留意すべき事項を検討しました。
この対応方針を盛り込む形で、「AIを用いたクラウドサービスに関するガイドブック」が策定され総務省から公表されました。(令和4年2月15日)
https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000305.html
総務省は、ガイドブックとともに、「AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)」を公表しました。(令和4年2月15日)
https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000306.html
ASPICは、この情報開示指針をもとに、この度新たに「ASP・SaaS(AIクラウドサービス)の安全・信頼
性に係る情報開示認定制度」を創設することとしました。(令和4年4月1日)
認定制度の基本的な考え方は、以下のとおりです。
ユーザ、事業者、社会の3つの視点からみた本認定制度の意義は、以下のとおりです。
AIクラウドサービスに係る情報開示が豊富になるとともに、情報開示項目が共通化されることで、サービス及び事業者の比較・評価・選択が容易になります。
認定によって提供するサービスの認知度が高まり、ユーザ獲得の機会が広がります。
認定制度の実施により、AIクラウドサービスが産業、生活、社会システム等の経済社会活動の多くの分野に普及・定着し、安全・信頼性の高い効果的・効率的な社会情報基盤の形成が進みます。
申請対象はAIを活用したASP・SaaSであり、既に提供を開始しているものに限ります。
申請できるのは、特定又は不特定ユーザが必要とする情報通信システム機能を、ネットワークを通じてサービス提供するクラウドサービス事業者です。
申請および認定は、原則として独立して提供されるサービス単位とします。ただし、複数のアプリケーション・サービスや基盤(プラットフォーム)サービスを統合して提供している場合、および同一サービスであっても、複数の安全性、信頼性等のサービスレベルを設定して提供している場合は、以下のとおりとします。
なお、サービスの提供形態については事業者により様々なケースが想定されるため、疑問の点があれば窓口までお問合せください。
(ア) 複数のアプリケーション・サービスや基盤サービスを統合して提供している場合、以下の条件をすべて充たしているときは、統合したものを一つの申請単位とすることができます。
(イ) これ以外の場合は、統合したものではなく、それぞれを一つのサービスとします。ただし、各サービスの開示情報の内容(申請書Bの「申請内容」)が同じであり、かつ統合するサービスとしての利用契約があるときは、サービス単位を個別に審査します。
(ア)の②、③の条件は充たすが、①については該当しない場合等を言う。
同一サービスであっても、複数の安全性、信頼性等のサービスレベルを設定して提供しており、各サービスレベルの開示情報の内容(申請書Bの「申請内容」)が異なる場合は、それぞれを申請単位とします。
申請サービスごとに、日本語で記述された以下の書類を提出していただきます。
また、この他に申請書Aと申請書Bの電子ファイルを格納したCD-R、提出書類及び資料内訳書等が必要です。
申請書類の詳細、申請書類の綴じ込み方法等については、本認定制度のサイト(https://www.aspicjapan.org/nintei/ai-nintei/)の関連ページをご参照下さい。
新規申請時や更新申請時には、申請書A(フェースシート)、申請書B(情報開示内容の詳細)を提出していただきます。
申請書Bでは「申請内容」欄と「添付書類等」欄のそれぞれについて、以下に留意した記述が必要です。
申請者(企業等)の実在を証明する登記事項証明書もしくはその他の申請者の実在を証明する公的書類、の提出が必要です。
なお、「代表者氏名」欄に記載された方に代表権がない場合、添付資料として申請事業者に所属し、事業責任者であることを疎明できる資料の提出が必要です。
【注2】商業・法人登記簿謄本については、原本の提出を必要とするが、複数サービスを申請する場合の2サービス目以降は、写し(コピー)も可とする
(ア) 申請書Bの各項目の申請内容については、必須開示項目/選択開示項目にかかわらず、その実施水準や内容に係る開示情報を疎明するための資料の提出が必要です。ただし、申請内容が「実施なし」、「開示なし」等の場合は、疎明は不要とします。
(イ) データセンター等に外部委託している場合、外部委託先に関わる申請書Bの記述に対し、外部委託先による公表資料もしくは外部委託先の事業担当責任者の署名のある資料を提出してください。
(ウ) 疎明する資料としてウェブページを用いる場合は、URL及び日付を付したハードコピーの添付が必要です。添付資料が大量ページとなる場合、表紙、目次、および疎明に必要なページを含む抜粋資料も可とします。
申請者は、郵便書留により申請書類の送付を行うことができます。
申請方法の詳細については、本認定制度のサイト(https://www.aspicjapan.org/nintei/ai-nintei/)の関連ページをご参照下さい。
申請は、随時受け付けます。
申請時には、別表1(リンク先資料の最終ページを参照下さい。)に定める審査手数料をお支払いください。なお、この審査手数料は、認定・非認定にかかわらず、返還いたしません。 審査手数料は、認定機関から形式審査が完了した旨を通知しますので、その後1週間以内を目途に指定の銀行口座にお振込み下さい。振込みが確認でき次第、書類審査を開始します。 なお、事業者名称およびサービス名称等の変更により、認定証に変更を生じた場合は、認定証の再発行手数料をお支払いいただきます。
認定の審査対象項目は、「AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)(総務省;令和4年2月15日公表)で示されている情報開示項目に基づきます。
なお、審査対象としている情報開示項目は、以下のような構成となっています。
審査対象となる情報開示項目は、「必須開示項目」(必ず情報開示していただく項目)と「選択開示項目」(情報の開示は任意である項目)に分かれており、以下の基準により審査します。
なお、「選択開示項目」については、これらの開示の有無により認定もしくは非認定とするものではありません。
【対策・措置などを行っていない場合に非認定とする項目】 | |
---|---|
コンプライアンス | 情報セキュリティに関する規程等の整備 |
アプリケーション、 プラットフォーム、 サーバ・ストレージ等 |
死活監視 |
ウィルス対策 | |
管理者権限の運用管理 | |
ID・パスワードの運用管理 | |
記録(ログ等) | |
セキュリティパッチ管理 | |
ネットワーク | ファイアウォール |
ユーザ認証 | |
サービス窓口 (苦情受付・問合せ) |
連絡先 |
メンテナンス等の一時的サービス停止時の事前告知 | |
障害・災害発生時の通知 | |
【最低水準数値以下の場合に非認定とする項目】 | |
サービスの基本特性 | サービス(事業)変更・終了時等の事前告知 |
受理した申請書類をもとに、次により審査を行い、結果を通知します。
申請者より提出された申請書類(申請書A、申請書B、申請内容を疎明する関係資料、申請者の実在を証明する公的書類等)が指定どおり提出されているかを審査します。
申請書類をもとに、「審査対象項目と審査基準」で示した審査基準に基づき書類審査を行います。
なお、申請内容に明らかに誤解に基づく記述、記入漏れ、不鮮明な記述がある場合は照会することがあります。
審査上必要があるときは、申請者に対し、その営業所、事務所その他事業場における調査の受け入れを求めることがあります。
認定にあたっては、認定機関内に設置する学識経験者及び民間有識者等により構成される認定審査委員会を開催し、あらかじめ意見を聴くことがあります。
審査終了後、認定又は非認定の結果を通知します。
なお、非認定の場合には、改善等が求められる情報開示項目等について説明を付すこととします。
認定したサービスについて、以下の情報を公表します。
認定番号、サービス名称、事業者名称、認定年月日を認定サービス一覧表の形で公表します。
申請書Bの“申請内容”欄については、申請者が記述した内容を公表します。
ただし、申請者からその一部につき公表を留保したい旨の申し出があった場合、認定機関において正当な理由であると判断したときは、必要な期間、公表を留保することがあります。
認定したASP・SaaS(AIクラウドサービス)に対して、認定証及び認定マーク(図1、図2参照)を発行します。
図1. 認定証
(注) 認定番号、サービスの名称、事業者の名称、認定期間、発行日は、サンプル例示となっています。
図2. 認定マーク
(注) 認定マークはロゴと認定番号から構成されます。なお、認定番号のAIは識別子、上4桁は認定サービス通番、下4桁は認定年月(西暦)を表します。
認定の更新を求める場合は、認定の有効期間満了日の60日前から30日前までに手続を行い、更新審査を受ける必要があります。
認定期間内に以下に該当する変更事由が発生したときは、指定する様式により、遅滞なく届出を行ってください。
認定期間内に当該認定サービスの提供を終了したときは、指定する様式により、遅滞なく届出を行ってください。また、その際には、認定証も同時に返納していただきます。
提出された申請書類は認定の有効期間内においては、認定事務局内で保管し、次の場合に返却します。
次の資料を除く申請書類一式を申請担当者に返却します。
更新時においては、変更内容と提出された疎明資料を照合し、不要となった旧資料を返却します。
認定期間内に障害によるサービスの停止、個人情報又は企業情報の漏洩その他認定サービスの安全・信頼性を損なう恐れのある緊急事態が発生又は発覚したときは、認定機関に速やかにその旨を通知し、経過を報告していただきます。
認定機関が、認定制度の適正な運営のために必要があると判断したときは、認定サービスを提供する事業者に対して、説明及び資料の提出、調査の受入れ等を求めることがあります。
また、認定サービスを提供する事業者に対して改善その他必要な措置を要請することがあります。その場合、認定機関のウェブページ等にその旨を公表することがあります。
認定サービスを提供する事業者が、次のいずれかに該当する場合には、その認定を取り消すことがあります。
認定機関、認定審査委員会を構成する有識者及び認定事務の委託を受けた者(以下「認定機関等」という。)は、認定制度に関連して知り得た事業者に係る非公知の情報(以下「秘密情報」という。)を、当該事業者の事前の承諾なく第三者に開示せず、認定制度の運営に必要な目的以外に使用しないものとします。
ここで、秘密情報には、以下に掲げる情報を含まないものとします。
なお、認定機関等は、上述のような守秘義務を負いますが、法律に基づく強制処分又は裁判所の命令が執行された場合は、当該処分又は命令に定められた範囲において秘密保持の義務を負わないものとします。
認定機関等は、認定制度の運営に関して直接又は間接に生じた事業者又は第三者の損害について、その内容、態様の如何にかかわらず一切の責任を負わないものとします。ただし、認定機関等の故意又は重過失による場合はこの限りではありません。
また、認定サービスに関し、事業者と第三者との間で紛争を生じた場合は、当事者が自己の費用と責任において解決するものとし、認定機関等は一切の責任を負わないものとします。
問合せ窓口は、次のとおりです。
1. 審査手数料 <新規申請費用> | 1サービスにつき209,000円 (消費税込み) (内訳)審査手数料(税別)190,000円+消費税(10%)19,000円 |
---|---|
2. 更新審査手数料 <2年ごとに更新する際の費用> |
1サービスにつき104,500円(消費税込み) (内訳)更新審査手数料(税別)95,000円+消費税(10%)9,500円 |
3. 認定証再発行手数料 | 1サービスにつき10,450円(消費税込み) (内訳)更新審査手数料(税別)9,500円+消費税(10%)950円 |