制度の概要

データセンターの安全・信頼性に係る 情報開示認定制度
~認定制度の概要~

1. 認定制度導入の背景と経緯

世界最先端のブロードバンド環境が実現され、ICT(情報通信技術)は、経済成長に大きく寄与するとともに、人口減少社会下の我が国経済を新たな成長のトレンドに乗せる原動力として期待されている。そうした中、ネットワークを介してソフトウェアやハードウェアの機能を提供するクラウドサービスの活用によって、これまでICT投資や利用が困難であった中小企業が生産性を大幅に向上させる事例や、地方公共団体が行政事務や公共サービス提供を外部委託するための手段として活用する事例が急速に増加しつつある。

しかしながら、クラウドサービスを提供する事業者によるサービス等に関する情報開示は必ずしも十分な状況とは言いがたく、サービス提供事業者と利用者との間に情報の非対称性が存在している。また、利用者の中には、クラウドコンピューティングの潮流の中で、サービス提供事業者の安全・信頼性に不安を持つものも出てきている。

こうした中、総務省から平成19年11月に「ASP・SaaSの安全・信頼性に係る情報開示指針」を、また、平成21年2月に「データセンターの安全・信頼性に係る情報開示指針」が公表された。さらにクラウドサービスの情報開示について、開示すべき項目等の検討を行い、新たにIaaS・PaaSを加えて、平成23年12月に「データセンターの安全・信頼性に係る情報開示指針(第2版)」の改定及び「IaaS・PaaSの安全・信頼性に係る情報開示指針」が公表された。これらの指針はいずれも事業者から提供されるサービスの安全・信頼性に係る情報開示を必須の項目と選択の項目に分け、情報開示項目を共通かつ豊富にするとともに、利用者による提供サービスの比較・選択等を容易にすることを目的としている。また、上記3つの指針、すなわち、「ASP・SaaSの安全・信頼性に係る情報開示指針」、「データセンターの安全・信頼性に係る情報開示指針」及び「IaaS・PaaSの安全・信頼性に係る情報開示指針」を合わせて「クラウドサービスの安全・信頼性に係る情報開示指針」と総称されている。

上記情報開示指針に基づいて、より多くのサービス提供事業者が実際に情報開示を行い、サービスの安全・信頼性の水準の向上が達成されることが望まれており、これを実現していくためには、提供するサービスのうち、安全・信頼性に係る情報を適切に開示しているものに対する認定制度の導入が求められている。

以上の背景を踏まえ、一般財団法人マルチメディア振興センターは、ISO27001をベースとした「ASP・SaaSの安全・信頼性に係る情報開示認定制度」を平成20年4月から実施しているのに加え、平成24年8月に「データセンターの安全・信頼性に係る情報開示認定制度」及び「IaaS・PaaSの安全・信頼性に係る情報開示認定制度」を創設し、クラウドサービス市場の発展に寄与してまいりました。この間、日本クラウド産業協会(以下「ASPIC」という。)は認定事務局となり、平成29年10月1日にはクラウドサービス情報開示認定機関(以下「認定機関」という。)はASPICに移管されました。

ページの先頭に戻る

2. 認定制度の基本的な考え方

本情報開示認定制度の基本的な考え方は、以下のとおりです。

(1) DCのユーザの視点に立った制度であること

  • DC についての高度な専門知識を持たないユーザでも、審査基準や審査内容が理解できること
  • ユーザによるDCサービス及び事業者の評価・選択等を容易にすること

(2) 発展期にあるDC市場の拡大を促進する制度であること

  • DCのサービスを提供しようとする事業者のDC市場への参入を促進するものであること
  • 認定審査の手続きや審査基準が簡潔であること

(3) DC事業者からサービスに関して適切に情報開示されていることを認定する制度であること

  • DCサービスについての安全・信頼性に係る実施水準や状態に関する情報が、事業者から適切に開示されていることを認定するものであること

ページの先頭に戻る

3. 認定制度の意義

ユーザ、事業者、社会の3つの視点からみた本認定制度の意義は、以下のとおりです。

(1) ASP・SaaS事業者等のユーザにとっての意義

DCのユーザにとっては、DCサービスやDC事業者の安全・信頼性に関する開示情報が豊富になるとともに、開示項目が共通化されることにより、複数のDCサービス及び事業者の比較・評価等が可能になり、最適なサービス・事業者を選びやすくなります。特に、「ASP・SaaSの安全信頼性に係る情報開示認定制度」の認定を受けようとするASP・SaaS事業者にとっては、申請書の作成にあたってDCの情報開示項目をそのまま利用でき、独自で情報を収集する手間が省けます。

(2) DC事業者にとっての意義

DCサービスを提供する事業者にとっては、情報開示によって、ユーザによるDCサービスや事業者の比較・評価等が可能になり、安全・信頼性のより高い認定DCサービスへの需要が高まるため、顧客獲得の機会の増大につながります。

(3) 社会全体としての意義

社会全体にとっては、認定制度の実施により、DCサービスが産業、生活、社会システム等の経済社会活動の多くの分野に普及・定着し、安全・信頼性の高い効果的・効率的な社会情報基盤の形成が進みます。

ページの先頭に戻る

4. 認定に係る申請

(1) 申請対象

申請対象はデータセンター及びデータセンターと一体的に提供されるサービス(ハウジング及びホスティング等)であり、既に提供を開始しているものに限ります。ここでいう「データセンター」とは、複数のコンピュータを設置・稼働させることを目的に設計された専用施設のことをいいます。

なお、認定機関は、申請されたデータセンターが、上記定義の専用施設と著しく乖離していると判断される場合には、申請を却下することができることとします。

<補足>「複数のコンピュータを設置・稼働させることを目的に設計された専用施設」の要件を明示することは困難であるが、建物・設備のセキュリティの面で24時間監視体制や入退館管理を実施していない施設は、データセンターと認知しないという目安を置くことが望ましい。

(2) 申請資格

申請できるのは、「データセンター事業者」とします。ここでいうデータセンター事業者とは、「データセンターを管理・運営し又は施設の一部を賃借し、コンピュータ稼働に必要なスペース及び関連サービスを利用者に対して提供する業務を行っている事業者」のことをいう。

  1. ア. データセンター施設を借りて「ハウジング」のみを行っている事業者も申請することができます。
  2. イ. 申請者が自らユーザと契約するのであれば、データセンター業務の一部を委託する場合であっても申請することができます。
  3. ウ. 外国法人については、日本国内にデータセンターを整備し(所有、賃借等は問いません)、当該データセンターについて日本語で情報開示が行われている場合に、申請することができます。
  4. エ.「データセンターの安全・信頼性に係る情報開示認定制度運用規程」第17条(認定の取消し)によって認定を取り消したサービスは、当該取消しの日から1年以上経過している場合に申請することができます。

(3) 申請単位

申請は、原則として空間的・機能的に独立した施設として識別する「(識別名を有する)データセンター」を申請単位とします。
なお、疑問の点があれば問合せ窓口(13項参照)までお問い合わせください。

(4) 申請書類

申請データセンターごとに、日本語で記述された以下の書類を提出していただきます。また、この他に申請書Aと申請書Bの電子ファイルを格納したCD-R、提出書類及び資料内訳書等が必要です。

申請書類の詳細、申請書類の綴じ込み方法等については、本認定サイト (https://www.aspicjapan.org/nintei/dc-nintei/) の関連ページをご参照下さい。

ア.申請書A、申請書B

新規申請時や更新申請時には、申請書A(フェースシート)、申請書B(情報開示内容の詳細)を提出していただきます。
申請書Bでは「申請内容」欄と「添付書類等」欄のそれぞれについて、以下に留意した記述が必要です。
なお、申請者が、同時に複数のデータセンターを申請する場合には、申請書A(1枚)に対して、複数の申請書Bを添付する形で提出することができます。ただし、その場合、申請書Aには、申請するデータセンターの識別名をすべて記載していただきます。

  1. (ア) 「申請内容」欄では、必須開示項目は全て記入して下さい。選択開示項目の記述は任意となっていますが、認定制度の趣旨を勘案し、出来る限り記述するようにしてください。
  2. (イ) 「添付書類等」欄では、必ず「申請内容」欄の記述を疎明する(裏付ける)資料名称とその中の記載個所(ページ、章節等)を記述してください。

イ.申請書Aに関わる添付書類

申請者(企業等)の実在を証明する登記事項証明書もしくはその他の申請者の実在を証明する公的書類の提出が必要です。
なお、「代表者氏名」欄に記載された方に代表権がない場合、添付資料として申請事業者に所属し、事業責任者であることを疎明できる資料の提出が必要です。

(注1)申請者(企業等)の実在を証明する資料の具体例
  • 商業・法人登記簿謄本
  • 外国語で記載されている場合には原本及び訳文

(注2)商業・法人登記簿謄本については、原本の提出を必要としますが、複数DCサービスを申請する場合の2拠点目以降は、写し(コピー)も可とします。

ウ.申請書Bに関わる添付書類

  1. (ア) 申請書Bの各項目の申請内容については、必須開示項目/選択開示項目にかかわらず、その実施水準や内容に係る開示情報を疎明するための資料の提出が必要です。ただし、申請内容が「実施なし」、「開示なし」等の場合は、疎明は不要とします。
    なお、申請者が、同時に複数のデータセンターの申請をする際に、申請内容が同一である場合には、開示情報を疎明するための資料は共通して使用することができます。
  2. (イ) データセンター施設を借りて「ハウジング」のみを行っている場合、施設借用先に関わる申請書Bの記述に対し、借用先による公表資料もしくは借用先の事業担当責任者の署名のある資料を提出してください。
  3. (ウ) 疎明する資料としてウェブページを用いる場合は、URL及び日付を付したハードコピーの添付が必要です。添付資料が大量ページとなる場合、表紙、目次、及び疎明に必要なページを含む抜粋資料も可とします。

(5) 送付方法

申請者は、郵便書留により申請書類の送付を行うことができます。

申請方法の詳細については、本認定サイト(https://www.aspicjapan.org/nintei/dc-nintei/)の関連ページをご参照下さい。

(6) 申請受付

申請は、随時受け付けます。

(7) 審査手数料

申請時には、別表1(リンク先資料の最終ページを参照下さい。)に定める審査手数料をお支払ください。なお、この審査手数料は、認定・非認定にかかわらず、返還いたしません。
審査手数料は、ASPICから形式審査が完了した旨を通知しますので、その後1週間以内を目途に指定の銀行口座にお振込みください。振込みが確認でき次第、書類審査を開始します。
なお、事業者名称およびサービス名称等の変更により、認定証に変更を生じた場合は、申請者は認定証の再発行手数料をお支払いただきます。

ページの先頭に戻る

5. 審査対象項目と審査基準

(1) 審査対象項目

認定の審査対象項目は、「データセンターの安全・信頼性に係る情報開示指針(第2版)」(総務省;平成23年12月16日公表)で示されている情報開示項目に基づきます。
なお、審査対象としている情報開示項目は、以下のような構成となっています。

ア.事業者の安全・信頼性に関する情報開示項目

  • 開示情報の時点
  • 事業所・事業
  • 人材
  • 財務状況
  • 資本関係・取引関係
  • コンプライアンス

イ.サービスの安全・信頼性に関する情報開示項目

  • ハウジング(建物・設備)
  • ハウジング(ネットワーク)
  • ハウジング(サービスの内容)
  • ハウジング(サービスサポート)
IaaS・PaaSを含めてサービスを提供している場合は以下を含める。
  • IaaS・PaaS(サービスの内容)

(2) 審査基準

審査対象となる情報開示項目は、「必須開示項目」(必ず情報開示していただく項目)と「選択開示項目」(情報の開示は任意である項目)に分かれており、以下の基準により審査します。
なお、「選択開示項目」については、これらの開示の有無により認定もしくは非認定とするものではありません。

  1. ア.「必須開示項目」の全てについて適切な情報開示を行っており、かつ「必須開示項目」の中で特にユーザーにとって重要な「一定の要件を考慮すべき項目」(下表を参照)の全てについて一定の要件を満たす場合(対策・措置等を行っている場合)は認定する。
  2. イ. 上記ア項の基準に適合しない場合は非認定とする。
図表 一定の要件を考慮すべき項目の一覧
1.対策・措置などを行っていない場合に非認定とする項目
コンプライアンス 情報セキュリティに関する規程等の整備
ハウジング
(サービスの内容)
サービス (事業) 変更・終了に係る問合せ先
ハウジング
(サービスサポート)
サポート範囲・手段
<連絡手段(電話/FAX、電子メール等)>
メンテナンス等の一時的サービス停止時の事前告知
障害・災害発生時の通知

ページの先頭に戻る

6. 認定に係る審査手順

受理した申請書類をもとに、次により審査を行い、結果を通知します。

(1) 形式審査

申請者より提出された申請書類(申請書A、申請書B、申請内容を疎明する関係資料、申請者の実在を証明する公的書類等)が指定どおり提出されているかを審査します。

(2) 書類審査

申請書類をもとに、「審査対象項目と審査基準」で示した審査基準に基づき書類審査を行います。
なお、申請内容に明らかに誤解に基づく記述、記入漏れ、不明確な記述がある場合は照会することがあります。

(3) 調査

審査上必要があるときは、申請者に対し、その営業所、事務所その他事業場における調査の受け入れを求めることがあります。

(4) 認定審査委員会

認定にあたっては、ASPIC内に設置する学識経験者及び民間有識者等により構成される認定審査委員会を開催し、あらかじめ意見を聴くことがあります。

(5) 審査結果の通知

審査終了後、認定又は非認定の結果を、通知します。
なお、非認定の場合には、改善等が求められる情報開示項目等について説明を付すこととします。

ページの先頭に戻る

7. 認定サービスの公表

認定したサービスについて、以下の情報を公表(認定機関の認定サイト)します。

(1) 認定サービスの基本内容

認定番号、データセンター名称、事業者名称、認定年月日を認定データセンター一覧の形で公表します。

(2) 認定サービスの開示内容

申請書Bの "申請内容" 欄については、申請者が記述した内容を公表します。
ただし、申請者からその一部につき公表を留保したい旨の申出があった場合、認定機関において正当な理由であると判断したときは、必要な期間、公表を留保することがあります。

  1. ア.「必須開示項目」及び「選択開示項目」は、申請者が既述した内容をそのまま公表します。
  2. イ. 添付資料に関わる内容及び資料名については一切公表しません。
  3. ウ. 公表を留保する期間は、申請者の申し出に基づいて判断します。また、期間を更新する必要がある場合についても同じとします。

ページの先頭に戻る

8. 認定証・認定マークの発行・使用

認定した個別のデータセンターに対して、認定証及び認定マーク(図1、図2参照)を発行します。

  1. ア. 認定証及び認定マークの有効期間は、認定日より2年間とします。
  2. イ. 認定サービスを提供する事業者は、認定期間中、認定マークをウェブページ、広告媒体、取引書類等に表示することができます。有効期間経過後は、速やかに使用を中止しなければなりません。
  3. ウ. 認定マークの使用に関しては、「データセンターの安全・信頼性に係る情報開示認定制度運用規程」第10条(認定マークの使用)に従っていただきます。
認定証

図1 認定証(サンプル)

(注) 認定番号、サービスの名称、事業者の名称、認定期間、発行日は、サンプル例示となっています。

ninteimark

図2 認定マーク(サンプル)

(注) 認定マークはロゴと認定番号から構成されます。なお、認定番号のDCは識別子、続く数字の上4桁は認定サービス通番、下4桁は認定年月(西暦)を表します。

9. 認定の更新及び変更の届出

(1) 認定の更新

  1. ア. 認定の更新を求める場合は、認定の有効期間満了日の60日前から30日前までに手続を行い、更新審査を受ける必要がある。
  2. イ. 更新申請の際には、新規申請時と同じ種類の申請書類を提出する。
  3. ウ. 更新時の審査は、新規申請時点から変更のあった項目を対象とする。
  4. エ. 更新時には、別表に定める更新手数料が発生する。
  5. オ.「事業者名称」「事業者の代表者氏名」および「事業者の住所」が変更になった場合、事業者の「商業・法人登記簿謄本」の再提出をしてください。
  6. カ. 申請書Bの記載内容に変更がある場合は、当該箇所の変更を証明できる疎明資料を添付してください。
  7. キ. 更新手続き後、認定の有効期間内に変更内容を疎明する資料の補正あるいは変更処理ができないときは、更新できない場合があります。
  8. ク. 申請諸Bの記載内容には変更がないものの、当初に添付した疎明資料に変更があった場合、期間限定資料や改版がなされた資料がある場合は、最新版の疎明資料を提出してください。

(2) 変更の届出

認定期間内に以下に該当する変更事由が発生したときは、指定する様式により、遅滞なく届出を行ってください。

  1. ア. 申請書の記述内容の変更
  2. イ. 登記事項証明書その他の申請者の実在を証明する公的書類の記載内容の変更
  3. ウ. その他、ASPICが指定する書類の記述内容の変更

(3) サービス終了の届出

認定期間内に当該認定サービスの提供を終了したときは、指定する様式により、遅滞なく届出を行ってください。また、その際には、認定証も同時に返納していただきます。

ページの先頭に戻る

10. 申請書類の返却

提出された申請書類は認定の有効期間内においては、認定事務局内で保管し、次の場合に返却します。

(1) 返却する場合

  1. ア. 非認定となったとき
  2. イ. 更新せず、認定の有効期間が終了したとき
  3. ウ. 運用規定第17条に基づき、認定が取り消されたとき

(2) 返却する申請書類

次の資料を除く申請書類一式を申請担当者に返却します。

  1. ア. 申請書A
  2. イ. 認定サービスとして公開された申請情報

(3) 更新時の返却資料

更新時においては、変更内容と提出された疎明資料を照合し、不要となった旧資料を返却します。

ページの先頭に戻る

11. 認定の取消し等

(1) 事業者の通知・報告

  1. ア. 認定期間内に障害によるサービスの停止、個人情報又は企業情報の漏洩その他認定サービスの安全・信頼性を損なう恐れのある緊急事態が発生又は発覚したときは、ASPICに速やかにその旨を通知し、経過を報告していただきます。「障害によるサービスの停止」は、大規模な性能劣化または何らかの障害により、事業者がサービス停止と判断したものを指します。
  2. イ. メンテナンスの事前告知の通知時期が、申請書の「メンテナンス等の一時的サービス停止時の事前告知」で開示した時期よりも短い場合には、「認定サービスの安全・信頼性を損なう恐れのある緊急事態」に該当すると考えられ、通知・報告が求められます。

(2) 事業者への調査及び改善要請

  1. ア. 認定機関等が、認定制度の適正な運営のために必要があると判断したときは、認定サービスを提供する事業者に対して、説明及び資料の提出、調査の受入れ等を求めることがあります。また、認定サービスを提供する事業者に対して改善その他必要な措置を要請することがあります。その場合、ASPICのウェブページ等にその旨を公表することがあります。

(3) 事業承継等による認定効力喪失

  1. ア. 認定データセンターに係る事業の譲渡があったとき、又は認定データセンターを提供する事業者について合併、分割(認定データセンターに係る事業を承継させるものに限る。)もしくは相続があっとたきは、認定の効力が失われます。

(4) 認定の取消し

認定サービスを提供する事業者が、次のいずれかに該当する場合には、その認定を取り消すことがあります。

  1. ア. 審査基準に適合しなくなったと認められるとき
  2. イ. 不正の手段により認定を受けたことが明らかになったとき
  3. ウ. 認定サービス以外のサービスに認定マークを使用したとき
  4. エ. 認定サービスとそれ以外のサービスとを明確に区分せずに認定マークを使用したとき
  5. オ. 認定マークの使用に際して、色を変更したり、一部のみを掲載したとき
  6. カ. 申請の記載内容に変更があったにもかかわらず、正当な理由なく届出をしなかったとき
  7. キ. 正当な理由なく、緊急事態の通知・報告を遵守しなかったとき
  8. ク. 正当な理由なく、ASPICの求める調査に応じない場合又は当該調査に虚偽の説明又は資料の提出をしたとき
  9. ケ. 正当な理由なく、改善の要請に従わないとき
  10. コ. 不法行為及び法令違反行為を行ったとき

ページの先頭に戻る

12. 守秘義務及び免責

(1) 守秘義務

認定機関、認定審査委員会を構成する有識者及び認定事務の委託を受けた者(以下「認定機関等」という。)は、認定制度に関連して知り得た事業者に係る非公知の情報(以下「秘密情報」という。)を、当該事業者の事前の承諾なく第三者に開示せず、認定制度の運営に必要な目的以外に使用しないものとします。

ここで、秘密情報には、以下に掲げる情報を含まないものとします。

  1. ア. 事業者から知得する以前に自己が所有していたもの
  2. イ. 事業者から知得した後に、自己の責によらず公知公用となったもの
  3. ウ. 正当な権限を有する第三者から、合法的な手段により秘密保持の義務を伴わずに知得したもの
  4. エ. 認定機関等が独自に創作したもの

なお、認定機関等は、上述のような守秘義務を負いますが、法律に基づく強制処分又は裁判所の命令が執行された場合は、当該処分又は命令に定められた範囲において秘密保持の義務を負わないものとします。

(2) 免責

認定機関等は、認定制度の運営に関して直接又は間接に生じた事業者又は第三者の損害について、その内容、態様の如何にかかわらず一切の責任を負わないものとする。ただし、認定機関等の故意又は重過失による場合はこの限りではありません。
また、認定サービスに関し、事業者と第三者との間で紛争を生じた場合は、当事者が自己の費用と責任において解決するものとし、認定機関等は一切の責任を負わないものとします。

ページの先頭に戻る

13. 問合せ窓口

問合せ窓口は、次のとおりです。

名称
一般社団法人日本クラウド産業協会(ASPIC)
クラウドサービス安全・信頼性情報開示認定制度事務局
受付時間
9:30~17:00 (土日、祝祭日を除く)
メールアドレス
aspic_atmark_cloud-nintei.org
(スパムメール防止のため、@を「 _atmark_ 」と表示しています。
メールをお送りになる際には、「 _atmark_ 」を@に直してください。)
ホームページ
https://www.aspicjapan.org/nintei/dc-nintei/
電話
03-6662-6854
ファックス
03-6662-6347
住所
東京都品川区西五反田7-3-1 たつみビル2F (〒141-0031)

(別表1) 認定に係る手数料

1. 審査手数料 <新規申請費用> 1サービスにつき209,000円 (消費税込み)
(内訳)審査手数料(税別)190,000円+消費税(10%)19,000円
2. 更新審査手数料
<2年ごとに更新する際の費用>
1サービスにつき104,500円(消費税込み)
(内訳)更新審査手数料(税別)95,000円+消費税(10%)9,500円
3. 認定証再発行手数料 1サービスにつき10,450円(消費税込み)
(内訳)更新審査手数料(税別)9,500円+消費税(10%)950円

ページの先頭に戻る

ページの先頭に戻る