世界最先端のブロードバンド環境が実現され、ICT(情報通信技術)は、経済成長に大きく寄与し、人口減少社会下の我が国経済を新たな成長のトレンドに乗せる原動力としても期待されています。そうした中、ネットワークを介してソフトウェアやICT機器の機能を提供するクラウドサービスが普及するにつれ、これまでICT投資や利用が困難であった中小企業が生産性を大幅に向上させる事例、地方公共団体が行政事務や公共サービス提供を外部委託する事例、個人情報をクラウドサービス事業者が保管する事例などが出現しています。
【注】ASP(Application Service Provider)とは、特定又は不特定ユーザが必要とする情報通信システム機能を、ネットワークを通じて提供するサービスを言う。異なる用語としてSaaS(Software as a Service)も普及しているが、ほぼASPと同一の意味で使用されている。
一方で、現在、クラウドサービス事業者によるサービス等に関する情報開示は必ずしも十分な状況とは言えず、ユーザとの間に情報の非対称性が存在しています。
このような中、総務省及び日本クラウド産業協会(ASPIC)によるASP・SaaSの普及促進が以下のように推進されてきました。
総務省とASPICが共同でASP・SaaSの課題と今後の普及促進等について調査研究を行い、報告書をとりまとめました。
前項の調査研究結果をとりまとめ具体的な施策を展開するため、総務省とASPICが合同で「ASP・SaaS普及促進協議会」を設立しました。
「ASP・SaaS普及促進協議会」の傘下の「安全・信頼性委員会」の検討成果をもとに、総務省は「ASP・SaaSの安全・信頼性に係る情報開示指針」を公表しました。
総務省では、「ASP・SaaSの情報セキュリティ対策に関する研究会」を開催し、その検討結果として「ASP・SaaSの情報セキュリティ対策に関する研究会報告書」及び「ASP・SaaSにおける情報セキュリティ対策ガイドライン」を公表しました。
総務省では、「クラウドサービス提供における情報セキュリティ対策調査検討会」を開催し、その検討結果として「クラウドサービス提供における情報セキュリティ対策に関する研究会報告書」及び「クラウドサービス提供における情報セキュリティガイドライン」を公表しました。
(http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000073.html)
マイナンバー制度の施行に伴い、マイナンバー等の特定個人情報を取扱うサービスを提供するASP・SaaS事業者に対して、安全・信頼性・特定個人情報の保護に関する不安を持つユーザが出てきています。このため、個人情報サービスを取扱うASP・SaaS事業者に対して、特段の情報開示を促進するとともに、ASP・SaaSのサービスのうち安全・信頼性・特定個人情報の保護に係る情報を適切に開示しているものに関する認定制度の導入が求められてきたことから、「ASP・SaaS普及促進協議会」の傘下の「情報開示指針高度化検討委員会」の検討成果をもとに、総務省は「ASP・SaaSの安全・信頼性に係る情報開示指針」を改定しました。
(http://www.soumu.go.jp/menu_news/s-news/01ryutsu02_02000167.html)
以上のような背景を踏まえ、ASPICはクラウドサービス情報開示認定機関(以下「認定機関とします。」として平成29年10月に「特定個人情報ASP・SaaSの安全・信頼性に係る情報開示認定制度」(以下「認定制度」とします。)を創設し、特定個人情報を取扱うASP・SaaSのサービス市場の発展に寄与することとしました。
認定制度の基本的な考え方は、以下のとおりです。
特定個人情報の取扱いに際しては、個人情報保護委員会が策定したガイドライン(※)の遵守が求められています。クラウドサービスの安心安全な利用を推進する観点から、特定個人情報ASP・SaaSの安心・信頼性に係る情報開示認定制度は、本ガイドラインに基づき開示項目が設定されているため、サービス提供事業者はガイドラインに適合したサービス内容等の情報開示を行うことにより、利用者にとって安心安全なサービスが社会に展開することを目的にしています。
「特定個人情報の適切な取扱いに関するガイドライン(事業者編)」(個人情報保護委員会:H26.12.11)
申請対象は特定個人情報を取扱うASP・SaaSのサービスであり、既に提供を開始しているものに限ります。
申請できるのは、特定又は不特定ユーザが必要とする情報通信システム機能を、ネットワークを通じて特定個人情報を取扱うサービス提供するASP・SaaS事業者です。
申請および認定は、原則として独立して提供されるサービス単位とします。ただし、複数のアプリケーション・サービスや基盤(プラットフォーム)サービスを統合して提供している場合、および同一サービスであっても、複数の安全性、信頼性等のサービスレベルを設定して提供している場合は、以下のとおりとします。
なお、サービスの提供形態については事業者により様々なケースが想定されるため、疑問の点があれば窓口までお問合せください。
(ア) 複数のアプリケーション・サービスや基盤サービスを統合して提供している場合、以下の条件をすべて充たしているときは、統合したものを一つの申請単位とすることができます。
(イ) これ以外の場合は、統合したものではなく、それぞれを一つのサービスとします。ただし、各サービスの開示情報の内容(申請書Bの「申請内容」)が同じであり、かつ統合するサービスとしての利用契約があるときは、サービス単位を個別に審査します。
(ア)の②、③の条件は充たすが、①については該当しない場合等を言う。
同一サービスであっても、複数の安全性、信頼性等のサービスレベルを設定して提供しており、各サービスレベルの開示情報の内容(申請書Bの「申請内容」)が異なる場合は、それぞれを申請単位とします。
申請サービスごとに、日本語で記述された以下の書類を提出していただきます。
また、この他に申請書Aと申請書Bの電子ファイルを格納したCD-R、提出書類及び資料内訳書等が必要です。
申請書類の詳細、申請書類の綴じ込み方法等については、本認定制度のサイト(https://www.aspicjapan.org/nintei/tokuko-nintei/)の関連ページをご参照下さい。
新規申請時や更新申請時には、申請書A(フェースシート)、申請書B(情報開示内容の詳細)を提出していただきます。
申請書Bでは「申請内容」欄と「添付書類等」欄のそれぞれについて、以下に留意した記述が必要です。
申請者(企業等)の実在を証明する登記事項証明書もしくはその他の申請者の実在を証明する公的書類の提出が必要です。
なお、「代表者氏名」欄に記載された方に代表権がない場合、添付資料として申請事業者に所属し、事業責任者であることを疎明できる資料の提出が必要です。
【注2】商業・法人登記簿謄本については、原本の提出を必要とするが、複数サービスを申請する場合の2サービス目以降は、写し(コピー)も可とする
(ア) 申請書Bの各項目の申請内容については、必須開示項目/選択開示項目にかかわらず、その実施水準や内容に係る開示情報を疎明するための資料の提出が必要です。ただし、申請内容が「実施なし」、「開示なし」等の場合は、疎明は不要とします。
(イ) データセンター等に外部委託している場合、外部委託先に関わる申請書Bの記述に対し、外部委託先による公表資料もしくは外部委託先の事業担当責任者の署名のある資料を提出してください。
(ウ) 疎明する資料としてウェブページを用いる場合は、URL及び日付を付したハードコピーの添付が必要です。添付資料が大量ページとなる場合、表紙、目次、および疎明に必要なページを含む抜粋資料も可とします。
申請者は、郵便書留により申請書類の送付を行うことができます。
請方法の詳細については、本認定制度のサイト(https://www.aspicjapan.org/nintei/tokuko-nintei/)の関連ページをご参照下さい。
申請は、随時受け付けます。
申請時には、別表1(リンク先資料の最終ページを参照下さい。)に定める審査手数料をお支払いください。なお、この審査手数料は、認定・非認定にかかわらず、返還いたしません。
審査手数料は、ASPICから形式審査が完了した旨を通知しますので、その後1週間以内を目途に指定の銀行口座にお振込み下さい。振込みが確認でき次第、書類審査を開始します。
なお、事業者名称およびサービス名称等の変更により、認定証に変更を生じた場合は、認定証の再発行手数料をお支払いいただきます。
認定の審査対象項目は、「ASP・SaaS(特定個人情報取扱いサービス)の安全・信頼性に係る情報開示指針」(総務省;平成29年3月31日公表)で示されている情報開示項目に基づいています。
なお、審査対象としている情報開示項目は、以下のような構成となっています。
審査対象となる情報開示項目は、「必須開示項目」(必ず情報開示していただく項目)と「選択開示項目」(情報の開示は任意である項目)に分かれており、以下の基準により審査します。
なお、「選択開示項目」については、これらの開示の有無により認定もしくは非認定とするものではありません。
【対策・措置などを行っていない場合に非認定とする項目】 | |
---|---|
コンプライアンス | 特定個人情報の適正な取扱いを確保するための責任者の有無 |
特定個人情報の適正な取扱いを確保するための組織体制の有無 | |
特定個人情報の取扱いについて定めた取扱規程の有無 | |
従業員に対するセキュリティ教育実施に関する取組みの有無 | |
従業員に対する守秘義務対応の有無 | |
委託先との守秘義務対応の有無 | |
情報セキュリティに関する規程などの有無 | |
サービス基本特性 | 利用者への告知時期 |
情報の削除又は廃棄の証明書等の提供 | |
アプリケーション、 プラットフォーム、 サーバ・ストレージ等 |
死活監視(ソフトウェア、機器)の有無 |
ウィルス対策の有無 | |
利用事務単位への対応の有無 | |
管理者権限の登録・登録削除の手順の有無 | |
利用者のIDやパスワードの運用管理方法の規程の有無 | |
記録(ログ等)取得の有無 | |
ログへの改ざん防止措置の有無 | |
パッチ管理の有無 | |
ネットワーク | ファイアウォール設置等の有無 |
ユーザ認証の有無 | |
サービスサポート | 申請者の連絡先の有無 |
利用者への告知時期 | |
障害発生時通知の有無 | |
【最低水準数値以下の場合に非認定とする項目】 | |
サービス基本特性 | サービス(事業)変更・終了時の事前告知時期 |
受理した申請書類をもとに、次により審査を行い、結果を通知します。
申請者より提出された申請書類(申請書A、申請書B、申請内容を疎明する関係資料、申請者の実在を証明する公的書類等)が指定どおり提出されているかを審査します。
申請書類をもとに、「審査対象項目と審査基準」で示した審査基準に基づき書類審査を行います。
なお、申請内容に明らかに誤解に基づく記述、記入漏れ、不鮮明な記述がある場合は照会することがあります。
審査上必要があるときは、申請者に対し、その営業所、事務所その他事業場における調査の受け入れを求めることがあります。
認定にあたっては、情報開示認定機関内に設置する学識経験者及び民間有識者等により構成される認定審査委員会を開催し、あらかじめ意見を聴くことがあります。
審査終了後、認定又は非認定の結果を通知します。
なお、非認定の場合には、改善等が求められる情報開示項目等について説明を付すこととします。
認定した特定個人情報ASP・SaaSサービスについて、以下の情報を公表します。
認定番号、サービス名称、事業者名称、認定年月日を認定サービス一覧表の形で公表します。
申請書Bの"申請内容"欄については、申請者が記述した内容を公表します。
ただし、申請者からその一部につき公表を留保したい旨の申し出があった場合、認定機関において正当な理由であると判断したときは、必要な期間、公表を留保することがあります。
認定した特定個人情報ASP・SaaSサービスに対して、認定証及び認定マーク(図1、図2参照)を発行します。
図1. 認定証
(注) 認定番号、サービスの名称、事業者の名称、認定期間、発行日は、サンプル例示となっています。なお、認定番号は「特個」の識別子に上4桁は認定サービス通番、下4桁は認定年月(西暦)を表します。
図2. 認定マーク
(注) 認定マークはロゴと認定番号から構成されます。なお、認定番号は「特個」の識別子に上4桁は認定サービス通番、下4桁は認定年月(西暦)を表します。
認定の更新を求める場合は、認定の有効期間満了日の60日前から30日前までに手続を行い、更新審査を受ける必要があります。
認定期間内に以下に該当する変更事由が発生したときは、指定する様式により、遅滞なく届出を行ってください。
認定期間内に当該認定サービスの提供を終了したときは、指定する様式により、遅滞なく届出を行ってください。また、その際には、認定証も同時に返納していただきます。
提出された申請書類は認定の有効期間内においては、認定事務局内で保管し、次の場合に返却します。
次の資料を除く申請書類一式を申請担当者に返却します。
更新時においては、変更内容と提出された疎明資料を照合し、不要となった旧資料を返却します。
認定期間内に障害によるサービスの停止、個人情報又は企業情報の漏洩その他認定サービスの安全・信頼性を損なう恐れのある緊急事態が発生又は発覚したときは、ASPICに速やかにその旨を通知し、経過を報告していただきます。
情報開示認定機関が、認定制度の適正な運営のために必要があると判断したときは、認定サービスを提供する事業者に対して、説明及び資料の提出、調査の受入れ等を求めることがあります。
また、認定サービスを提供する事業者に対して改善その他必要な措置を要請することがあります。その場合、ASPICのウェブページ等にその旨を公表することがあります。
認定サービスを提供する事業者が、次のいずれかに該当する場合には、その認定を取り消すことがあります。
情報開示認定機関、認定審査委員会を構成する有識者及び認定事務の委託を受けた者(以下「情報開示認定機関等」という。)は、認定制度に関連して知り得た事業者に係る非公知の情報(以下「秘密情報」という。)を、当該事業者の事前の承諾なく第三者に開示せず、認定制度の運営に必要な目的以外に使用しないものとします。
ここで、秘密情報には、以下に掲げる情報を含まないものとします。
なお、情報開示認定機関等は、上述のような守秘義務を負いますが、法律に基づく強制処分又は裁判所の命令が執行された場合は、当該処分又は命令に定められた範囲において秘密保持の義務を負わないものとします。
情報開示認定機関等は、認定制度の運営に関して直接又は間接に生じた事業者又は第三者の損害について、その内容、態様の如何にかかわらず一切の責任を負わないものとします。ただし、情報開示認定機関等の故意又は重過失による場合はこの限りではありません。
また、認定サービスに関し、事業者と第三者との間で紛争を生じた場合は、当事者が自己の費用と責任において解決するものとし、情報開示認定機関等は一切の責任を負わないものとします。
問合せ窓口は、次のとおりです。
1. 審査手数料 <新規申請費用> | 1サービスにつき209,000円 (消費税込み) (内訳)審査手数料(税別)190,000円+消費税(10%)19,000円 |
---|---|
2. 更新審査手数料 <2年ごとに更新する際の費用> |
1サービスにつき104,500円(消費税込み) (内訳)更新審査手数料(税別)95,000円+消費税(10%)9,500円 |
3. 認定証再発行手数料 | 1サービスにつき10,450円(消費税込み) (内訳)更新審査手数料(税別)9,500円+消費税(10%)950円 |
なお、すでにASP・SaaS情報開示認定を取得しているサービスが新たに特定個人情報ASP・SaaSの認定取得を希望する場合は、更新審査手数料と同額といたします。
ASP・SaaS 区分 | 概要 | 業務対象 | サービス例 | |
---|---|---|---|---|
アプリケーション・サービス | 社会・業界特化系 | 業界・業種特有の業務や社会活動を支える業務を対象とするアプリケーション | 農林・水産・鉱業、建設、製造、ライフライン、交通・物流、卸・小売・飲食店、金融・保険・リース、不動産、情報通信・メディア、教育・学習、観光・娯楽・宿泊、医療・福祉・保健、環境、防災・治安、行政・公務などの分野 | 電子入札、緊急連絡網、介護業務支援、不動産情報管理、小売店経営支援サービス、上下水道料金管理、港湾物流業務処理、バス等車両運行管理、地図情報配信サービス、健康管理支援サービス、電気設備遠隔監視、災害情報システム管理、治験業務支援、産業廃棄物管理サービスなど |
基幹業務系 | 企業などのコア・バリュー(中核的価値)に直接かかわるアプリケーション | R&D、調達、製造、営業、マーケティング、販売・流通、在庫管理、アフターサービス、財務、会計、人事・研修、資産管理、その他 | 統合業務パッケージ(ERP)、営業支援(SFA)、顧客関係管理(CRM)、サプライチェーンマネージメント(SCM)、製品ライフサイクル管理(PLM)、電子商取引(EC)、電子データ交換(EDI)、ビジネスインテリジェンス(BI)サービス等 | |
支援業務系 | 企業などのコア・バリュー創出を円滑化するためのアプリケーション | 社内メール、スケジュール管理、文書管理、Web会議、ブログ・SNS,Webコンテンツ管理、ナレッジ共有、セキュリティ管理、その他 | グループウェア、施設予約管理、文書・ナレッジ管理、ビデオ会議、ワークフロー管理、SNS、ログ収集・監査サービスなど | |
基盤サービス | システム・ネットワーク基盤サービス | アプリケーションのASP・SaaS化に必要な付加機能やネットワークの監視・アクセス制御などの機能を提供するサービス | 検索、認証、決済・課金、位置情報、暗号化、ネットワーク監視、Webフィルタリング、アクセスログ収集・管理、暗号化、その他 | |
開発・実行基盤サービス | アプリケーション、システムなどの開発・実行環境を提供するサービス | OS、ミドルウェア、開発キット、その他 |
(注1) 本表の記載内容は、今後の市場動向等により変更する場合がある。
(注2) ASPIC,「ASP・SaaS白書2009/2010」の「図表Ⅰ 2-5 ASP・SaaSの体系図」を基に作成