世界最先端のブロードバンド環境が実現され、ICT (情報通信技術) は、経済成長に大きく寄与し、人口減少社会下の我が国経済を新たな成長のトレンドに乗せる原動力としても期待されています。そうした中、ネットワークを介してソフトウェアやICT機器の機能を提供するクラウドサービスの活用によって、これまでICT投資や利用が困難であった中小企業が生産性を大幅に向上させる事例、地方公共団体が行政事務や公共サービス提供を外部委託する際の手段として活用する事例などが出現しています。
【注】ASP(Application Service Provider)とは、特定又は不特定ユーザが必要とする情報通信システム機能を、ネットワークを通じて提供するサービスを言う。異なる用語としてSaaS(Software as a Service)も普及しているが、ほぼASPと同一の意味で使用されている。
一方で、現在、クラウドサービス事業者によるサービス等に関する情報開示は必ずしも十分な状況とは言えず、ユーザとの間に情報の非対称性が存在しています。また、クラウドサービス事業者の安全・信頼性に対する不安を持つユーザも出てきています。このため、クラウドサービス事業者に対して情報開示を促進するとともに、クラウドサービスのサービスのうち安全・信頼性に係る情報を適切に開示しているものに関する認定制度の導入が求められていました。
このような中、総務省及び日本クラウド産業協会(以下「ASPIC」とします。)によるASP・SaaSの普及促進が以下のように推進されました。
総務省とASPICが共同でASP・SaaSの課題と今後の普及促進等について調査研究を行い、報告書をとりまとめました。
前項の調査研究結果をとりまとめ具体的な施策を展開するため、総務省とASPICが合同で「ASP・SaaS普及促進協議会」を設立しました。
「ASP・SaaS普及促進協議会」の傘下の「安全・信頼性委員会」の検討成果をもとに、総務省は「ASP・SaaSの安全・信頼性に係る情報開示指針」を公表しました。
総務省では、「ASP・SaaSの情報セキュリティ対策に関する研究会」を開催し、その検討結果として「ASP・SaaSの情報セキュリティ対策に関する研究会報告書」及び「ASP・SaaSにおける情報セキュリティ対策ガイドライン」を公表しました。
以上のような背景を踏まえ、一般財団法人マルチメディア振興センターはISO27001をベースとした「ASP・SaaSの安全・信頼性に係る情報開示認定制度」(以下「認定制度」とします。)を平成20年4月に創設し、ASP・SaaSのサービス市場の発展に寄与してまいりました。その間、ASPICは認定事務局となり、平成29年10月にはクラウドサービス情報開示認定機関(以下「認定機関」とします。)はASPICに移管されました。
認定制度の基本的な考え方は、以下のとおりです。
ユーザ、事業者、社会の3つの視点からみた本認定制度の意義は、以下のとおりです。
ASP・SaaSのサービスに係る情報開示が豊富になるとともに、情報開示項目が共通化されることで、サービス及び事業者の比較・評価・選択が容易になります。
認定によって提供するサービスの認知度が高まり、ユーザ獲得の機会が広がります。
認定制度の実施により、ASP・SaaSのサービスが産業、生活、社会システム等の経済社会活動の多くの分野に普及・定着し、安全・信頼性の高い効果的・効率的な社会情報基盤の形成が進みます。
申請対象はASP・SaaSのサービスであり、既に提供を開始しているものに限ります。
申請できるのは、特定又は不特定ユーザが必要とする情報通信システム機能を、ネットワークを通じてサービス提供するASP・SaaS事業者です。
申請および認定は、原則として独立して提供されるサービス単位とします。ただし、複数のアプリケーション・サービスや基盤 (プラットフォーム) サービスを統合して提供している場合、および同一サービスであっても、複数の安全性、信頼性等のサービスレベルを設定して提供している場合は、以下のとおりとします。
なお、サービスの提供形態については事業者により様々なケースが想定されるため、疑問の点があれば窓口までお問合せください。
(ア) 複数のアプリケーション・サービスや基盤サービスを統合して提供している場合、以下の条件をすべて充たしているときは、統合したものを一つの申請単位とすることができます。
(イ) これ以外の場合は、統合したものではなく、それぞれを一つのサービスとします。ただし、各サービスの開示情報の内容(申請書Bの「申請内容」)が同じであり、かつ統合するサービスとしての利用契約があるときは、サービス単位を個別に審査します。
(ア)の②、③の条件は充たすが、①については該当しない場合等を言う。
同一サービスであっても、複数の安全性、信頼性等のサービスレベルを設定して提供しており、各サービスレベルの開示情報の内容(申請書Bの「申請内容」)が異なる場合は、それぞれを申請単位とします。
申請サービスごとに、日本語で記述された以下の書類を提出していただきます。 また、この他に申請書Aと申請書Bの電子ファイルを格納したCD-R、提出書類及び資料内訳書等が必要です。
※ 申請書類の詳細、申請書類の綴じ込み方法等については、本認定制度のサイト (https://www.aspicjapan.org/nintei/asp-nintei/) の関連ページをご参照下さい。
新規申請時や更新申請時には、申請書A (フェースシート) 、申請書B (情報開示内容の詳細) を提出していただきます。
申請書Bでは「申請内容」欄と「添付書類等」欄のそれぞれについて、以下に留意した記述が必要です。
申請者 (企業等) の実在を証明する登記事項証明書もしくはその他の申請者の実在を証明する公的書類の提出が必要です。
なお、「代表者氏名」欄に記載された方に代表権がない場合、添付資料として申請事業者に所属し、事業責任者であることを疎明できる資料の提出が必要です。
【注2】商業・法人登記簿謄本については、原本の提出を必要とするが、複数サービスを申請する場合の2サービス目以降は、写し (コピー) も可とする
(ア) 申請書Bの各項目の申請内容については、必須開示項目/選択開示項目にかかわらず、その実施水準や内容に係る開示情報を疎明するための資料の提出が必要です。ただし、申請内容が「実施なし」、「開示なし」等の場合は、疎明は不要とします。
(イ) データセンター等に外部委託している場合、外部委託先に関わる申請書Bの記述に対し、外部委託先による公表資料もしくは外部委託先の事業担当責任者の署名のある資料を提出してください。
(ウ) 疎明する資料としてウェブページを用いる場合は、URL及び日付を付したハードコピーの添付が必要です。添付資料が大量ページとなる場合、表紙、目次、および疎明に必要なページを含む抜粋資料も可とします。
申請者は、郵便書留により申請書類の送付を行うことができます。
※ 申請方法の詳細については、本認定制度のサイト(https://www.aspicjapan.org/nintei/asp-nintei/)の関連ページをご参照下さい。
申請は、随時受け付けます。
申請時には、別表1 (リンク先資料の最終ページを参照下さい。) に定める審査手数料をお支払いください。なお、この審査手数料は、認定・非認定にかかわらず、返還いたしません。
審査手数料は、情報開示認定機関から形式審査が完了した旨を通知しますので、その後1週間以内を目途に指定の銀行口座にお振込み下さい。振込みが確認でき次第、書類審査を開始します。
なお、事業者名称およびサービス名称等の変更により、認定証に変更を生じた場合は、認定証の再発行手数料をお支払いいただきます。
認定の審査対象項目は、「ASP・SaaSの安全・信頼性に係る情報開示指針」 (総務省;平成19年11月27日公表) で示されている情報開示項目に基づきますが、詳細は別紙 (審査対象項目) (https://www.aspicjapan.org/nintei/asp-nintei/data/shinsa.pdf) のとおりです。
なお、審査対象としている情報開示項目は、以下のような構成となっています。
審査対象となる情報開示項目は、「必須開示項目」 (必ず情報開示していただく項目) と「選択開示項目」 (情報の開示は任意である項目) に分かれており、以下の基準により審査します。
なお、「選択開示項目」については、これらの開示の有無により認定もしくは非認定とするものではありません。
【対策・措置などを行っていない場合に非認定とする項目】 | |
---|---|
コンプライアンス | 情報セキュリティに関する規程などの整備 |
サービス基本特性 | サービス (事業) 変更・終了に係る問合せ先 |
アプリケーション プラットフォーム サーバ・ストレージ等 |
死活監視 (ソフトウェア、機器) |
ウィルスチェック | |
記録 (ログ等) | |
セキュリティパッチ管理 | |
ネットワーク | ファイアウォール設置等 |
ID・パスワードの運用管理 | |
ユーザ認証 | |
管理者認証 | |
サービスサポート | 連絡先 |
メンテナンスなどの一時的サービス停止時の事前告知 | |
障害・災害発生時の通知 | |
【最低水準数値以下の場合に非認定とする項目】 | |
サービス基本特性 | サービス (事業) 変更・終了時の事前告知時期 |
受理した申請書類をもとに、次により審査を行い、結果を通知します。
申請者より提出された申請書類(申請書A、申請書B、申請内容を疎明する関係資料、申請者の実在を証明する公的書類等)が指定どおり提出されているかを審査します。
申請書類をもとに、「審査対象項目と審査基準」で示した審査基準に基づき書類審査を行います。
なお、申請内容に明らかに誤解に基づく記述、記入漏れ、不鮮明な記述がある場合は照会することがあります。
審査上必要があるときは、申請者に対し、その営業所、事務所その他事業場における調査の受け入れを求めることがあります。
認定にあたっては、認定機関内に設置する学識経験者及び民間有識者等により構成される認定審査委員会を開催し、あらかじめ意見を聴くことがあります。
審査終了後、認定又は非認定の結果を通知します。
なお、非認定の場合には、改善等が求められる情報開示項目等について説明を付すこととします。
認定したサービスについて、以下の情報を公表します。
認定番号、サービス名称、事業者名称、認定年月日を認定サービス一覧表の形で公表します。
申請書Bの“申請内容”欄について、申請者が記述した内容をそのまま公表します。“添付書類等”欄については公表しません。
ただし、申請者からその一部につき公表を留保したい旨の申し出があった場合、認定機関において正当な理由であると判断したときは、必要な期間、公表を留保することがあります。公表を留保する期間は、申請者の申し出に基づいて判断します。また、期間を更新する必要がある場合についても同じとします。
認定したASP・SaaSのサービスに対して、認定証及び認定マーク (図1、図2参照) を発行します。
図1. 認定証
(注) 認定番号、サービスの名称、事業者の名称、認定期間、発行日は、サンプル例示となっています。なお、認定番号の上4桁は認定サービス通番、下4桁は認定年月 (西暦) を表します。
図2. 認定マーク
(注) 認定マークはロゴと認定番号から構成されます。なお、認定番号の上4桁は認定サービス通番、下4桁は認定年月 (西暦) を表します。
認定の更新を求める場合は、認定の有効期間満了日の60日前から30日前までに手続を行い、更新審査を受ける必要があります。
認定期間内に以下に該当する変更事由が発生したときは、指定する様式により、遅滞なく届出を行ってください。
認定期間内に当該認定サービスの提供を終了したときは、指定する様式により、遅滞なく届出を行ってください。また、その際には、認定証も同時に返納していただきます。
提出された申請書類は認定の有効期間内においては、認定事務局内で保管し、次の場合に返却します。
次の資料を除く申請書類一式を申請担当者に返却します。
更新時においては、変更内容と提出された疎明資料を照合し、不要となった旧資料を返却します。
認定期間内に障害によるサービスの停止、個人情報又は企業情報の漏洩その他認定サービスの安全・信頼性を損なう恐れのある緊急事態が発生又は発覚したときは、情報開示認定機関に速やかにその旨を通知し、経過を報告していただきます。
情報開示認定機関が、認定制度の適正な運営のために必要があると判断したときは、認定サービスを提供する事業者に対して、説明及び資料の提出、調査の受入れ等を求めることがあります。
また、認定サービスを提供する事業者に対して改善その他必要な措置を要請することがあります。その場合、情報開示認定機関のウェブページ等にその旨を公表することがあります。
認定サービスを提供する事業者が、次のいずれかに該当する場合には、その認定を取り消すことがあります。
認定機関、認定審査委員会を構成する有識者及び認定事務の委託を受けた者 (以下「認定機関等」という。) は、認定制度に関連して知り得た事業者に係る非公知の情報 (以下「秘密情報」という。) を、当該事業者の事前の承諾なく第三者に開示せず、認定制度の運営に必要な目的以外に使用しないものとします。
ここで、秘密情報には、以下に掲げる情報を含まないものとします。
なお、認定機関等は、上述のような守秘義務を負いますが、法律に基づく強制処分又は裁判所の命令が執行された場合は、当該処分又は命令に定められた範囲において秘密保持の義務を負わないものとします。
認定機関等は、認定制度の運営に関して直接又は間接に生じた事業者又は第三者の損害について、その内容、態様の如何にかかわらず一切の責任を負わないものとします。ただし、認定機関等の故意又は重過失による場合はこの限りではありません。
また、認定サービスに関し、事業者と第三者との間で紛争を生じた場合は、当事者が自己の費用と責任において解決するものとし、認定機関等は一切の責任を負わないものとします。
問合せ窓口は、次のとおりです。
1. 審査手数料 <新規申請費用> | 1サービスにつき209,000円 (消費税込み) (内訳)審査手数料(税別)190,000円+消費税(10%)19,000円 |
---|---|
2. 更新審査手数料 <2年ごとに更新する際の費用> |
1サービスにつき104,500円(消費税込み) (内訳)更新審査手数料(税別)95,000円+消費税(10%)9,500円 |
3. 認定証再発行手数料 | 1サービスにつき10,450円(消費税込み) (内訳)更新審査手数料(税別)9,500円+消費税(10%)950円 |
ASP・SaaS 区分 | 概要 | 業務対象 | サービス例 | |
---|---|---|---|---|
アプリケーション・サービス | 社会・業界特化系 | 業界・業種特有の業務や社会活動を支える業務を対象とするアプリケーション | 農林・水産・鉱業、建設、製造、ライフライン、交通・物流、卸・小売・飲食店、金融・保険・リース、不動産、情報通信・メディア、教育・学習、観光・娯楽・宿泊、医療・福祉・保健、環境、防災・治安、行政・公務などの分野 | 電子入札、緊急連絡網、介護業務支援、不動産情報管理、小売店経営支援サービス、上下水道料金管理、港湾物流業務処理、バス等車両運行管理、地図情報配信サービス、健康管理支援サービス、電気設備遠隔監視、災害情報システム管理、治験業務支援、産業廃棄物管理サービスなど |
基幹業務系 | 企業などのコア・バリュー(中核的価値)に直接かかわるアプリケーション | R&D、調達、製造、営業、マーケティング、販売・流通、在庫管理、アフターサービス、財務、会計、人事・研修、資産管理、その他 | 統合業務パッケージ(ERP)、営業支援(SFA)、顧客関係管理(CRM)、サプライチェーンマネージメント(SCM)、製品ライフサイクル管理(PLM)、電子商取引(EC)、電子データ交換(EDI)、ビジネスインテリジェンス(BI)サービス等 | |
支援業務系 | 企業などのコア・バリュー創出を円滑化するためのアプリケーション | 社内メール、スケジュール管理、文書管理、Web会議、ブログ・SNS,Webコンテンツ管理、ナレッジ共有、セキュリティ管理、その他 | グループウェア、施設予約管理、文書・ナレッジ管理、ビデオ会議、ワークフロー管理、SNS、ログ収集・監査サービスなど | |
基盤サービス | システム・ネットワーク基盤サービス | アプリケーションのASP・SaaS化に必要な付加機能やネットワークの監視・アクセス制御などの機能を提供するサービス | 検索、認証、決済・課金、位置情報、暗号化、ネットワーク監視、Webフィルタリング、アクセスログ収集・管理、暗号化、その他 | |
開発・実行基盤サービス | アプリケーション、システムなどの開発・実行環境を提供するサービス | OS、ミドルウェア、開発キット、その他 |
(注1) 本表の記載内容は、今後の市場動向等により変更する場合がある。
(注2) ASPIC,「ASP・SaaS白書2009/2010」の「図表Ⅰ 2-5 ASP・SaaSの体系図」を基に作成