2020年3月27日
経済産業省・内閣官房(内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室)・総務省は、政府情報システムのためのセキュリティ評価制度における各種基準(案)について、令和2年3月27日(金曜日)から同年4月26日(日曜日)までの間、意見を募集することとしました。
1.背景・趣旨
平成30 年6月に、政府は「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(平成30年6月7日 各府省情報化統括責任者(CIO)連絡会議決定)を定め、クラウド・バイ・デフォルト原則を掲げる一方で、「未来投資戦略2018」(平成30年6月15日閣議決定)、及び「サイバーセキュリティ戦略」(平成30年7月27日閣議決定)において、クラウドサービスの安全性評価に関する検討の必要性が位置付けられました。
これを受け、同年8月から令和元年12月にかけて、経済産業省と総務省が事務局となり、「クラウドサービスの安全性評価に関する検討会」を開催し、令和2年1月にはパブリックコメントを経たとりまとめが行われました。
また、これらの閣議決定等を踏まえ、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和2年1月30日サイバーセキュリティ戦略本部決定)において、本制度の①基本的枠組み、②各政府機関等における利用の考え方、③所管と運用体制が決定されました。
今般、内閣官房(内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室)・総務省・経済産業省が所管となった同制度を「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program(略称ISMAP:イスマップ))」と称し、当該制度で用いる各種基準について幅広い御意見をいただくべく、令和2年3月27日(金曜日)から同年4月26日(日曜日)までの間、意見を募集することとしました。
2.パブリックコメント対象資料
- 「政府情報システムのためのセキュリティ評価制度(ISMAP)基本規程(案)」(別添1)(PDF形式:229KB)
- 「クラウドサービス登録申請者に対する要求事項(案)」(「ISMAPクラウドサービス登録規則(案)」第3章部分)(別添2)(PDF形式:224KB)
- 「ISMAP管理基準(案)」(別添3)(PDF形式:2,768KB)
- 「監査機関登録申請者に対する要求事項(案)」(「ISMAP監査機関登録規則(案)」第3章部分)(別添4)(PDF形式:216KB)
- 「ISMAP情報セキュリティ監査ガイドライン(案)」(別添5)(PDF形式:311KB)
3.パブリックコメントの詳細
意見提出方法等の詳細は、意見募集要領(別添6)を御覧ください。
4.パブリックコメント期間
令和2年3月27日(金曜日)~4月26日(日曜日)※
※日本時間4月27日(月曜日)0時00分まで受け付けます。
5.参考
「デジタル・ガバメント実行計画」(令和元年12月20日閣議決定)抜粋
3 デジタル・ガバメントの実現のための基盤の整備
3.3 行政機関におけるクラウドサービス利用の徹底
(2)クラウドサービスの安全性評価
クラウドサービスの導入に当たっては、情報セキュリティ対策が十分に行われているサービスを調達する必要があることから、政府がクラウドサービスを導入する際の安全性評価基準及び安全性評価の監査を活用した評価の仕組みの導入に向けて、総務省及び経済産業省が連携し、クラウドサービスの安全性評価に関する検討会を設置して検討を進めている。内閣官房、総務省及び経済産業省は、2020 年度(令和2年度)内に、全政府機関において、上記の仕組みを活用して安全性が評価されたクラウドサービス の利用を開始できるよう、引き続き、環境整備等について検討を進める。
「クラウドサービスの安全性評価に関する検討会 とりまとめ」(令和2年1月クラウドサービスの安全性評価に関する検討会)抜粋
3.今後の進め方と課題
3.1.制度立ち上げまでの今後の検討の進め方とスケジュール
各種基準は今後WGにおいて議論した上で、WGとしての案をとりまとめると共に、制度所管機関において最終的な決定を行うものとする。その際、CSへの要求事項となる管理基準を中心とした主要な基準については、事前にパブリックコメントを行う。
(中略)
各種基準については、できる限り早急に検討を進め、本年度内にはパブリックコメントを実施するとともに、速やかな制度の立ち上げを行う。
「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和2年1月30日サイバーセキュリティ戦略本部決定)抜粋
1 本制度の基本的な枠組み
(前略)制度の規程・基準その他の詳細については、後述する制度運営委員会及び所管省庁において決定するものとする。
(中略)
3 本制度の所管と運用体制
本制度の所管は内閣官房(内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室)・総務省・経済産業省とする。(後略)
担当
-
経済産業省 商務情報政策局 情報経済課長 松田
担当者:関根、庄司、佐藤電話:03-3501-1511(内線 3961~3)
03-3501-0397(直通)
03‐3501-6639(FAX) -
内閣官房 内閣サイバーセキュリティセンター
政府総合対策グループ参事官 一ノ瀬
担当者:坂本、川崎、石黒
電話:03-6205-4125(直通)
-
内閣官房 情報通信技術(IT)総合戦略室
内閣参事官 尾原
担当者:安藤、田上
電話:03‐3581-3489(直通) -
総務省 サイバーセキュリティ統括官室 大森
担当者:相川、安井、中村
電話:03-5253-5749(直通)
ダウンロード(Adobeサイトへ)