「政府情報システムのためのセキュリティ評価制度（ISMAP）」の運用を開始しました

1．背景・趣旨

平成30年6月に、政府は「政府情報システムにおけるクラウドサービスの利用に係る基本方針」（平成30年6月7日 各府省情報化統括責任者（CIO）連絡会議決定）を定め、クラウド・バイ・デフォルト原則を掲げる一方で、「未来投資戦略2018」（平成30年6月15日閣議決定）、及び「サイバーセキュリティ戦略」（平成30年7月27日閣議決定）において、クラウドサービスの安全性評価に関する検討の必要性が位置付けられました。

これを受け、同年8月から令和元年12月にかけて、経済産業省と総務省が事務局となり、「クラウドサービスの安全性評価に関する検討会」を開催し、令和2年1月にはパブリックコメントを経たとりまとめが行われました。

また、これらの閣議決定等を踏まえ、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」（令和2年1月30日サイバーセキュリティ戦略本部決定）において、本制度の①基本的枠組み、②各政府機関等における利用の考え方、③所管と運用体制が決定されました。

今般、基本的枠組みを受け、令和2年5月25日に本制度の最高意思決定機関として有識者と制度所管省庁（内閣官房（内閣サイバーセキュリティセンター・情報通信技術（IT）総合戦略室）・総務省・経済産業省）を構成員としたISMAP運営委員会を設置するとともに、同年5月26日に第1回ISMAP運営委員会を開催し、委員会において制度に関する各種規程等が決定され、ISMAPの運用を開始しました。

併せて、今回の運用開始に先立ち、令和2年3月27日から実施していた「政府情報システムのためのセキュリティ評価制度（ISMAP）における各種基準（案）」に対する意見募集の結果も公表します。

2．制度の概要

本制度は、情報セキュリティ監査の枠組みを活用した評価プロセスに基づいて、本制度で定められた基準に基づいたセキュリティ対策を実施していることが確認されたクラウドサービスを、本制度が公表するクラウドサービスリストに登録するものです。

また、本制度における監査を行うことができる監査機関についても、あらかじめ本制度で定める監査機関に対する要求事項を満たすことが確認され、本制度が公表する監査機関リストに登録とするものとしています。

本制度により、各政府機関等が、一定の情報セキュリティ対策の実施が確認されたクラウドサービスを効率的に調達することが可能となることが期待されます。

3. 意見募集の結果

• 「政府情報システムのためのセキュリティ評価制度（ISMAP）における 各種基準（案）」に対する意見募集の結果

4．資料

今般決定した制度の概要や各種規程等については、独立行政法人情報処理推進機構（IPA）のHP内に専用ページを設けておりますので、そちらから御参照ください。

• 「政府情報システムのためのセキュリティ評価制度（ISMAP）」HP
• 「政府情報システムのためのセキュリティ評価制度（ISMAP）運営委員会の基本方針」

5．参考

• 「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」（令和2年1月30日サイバーセキュリティ戦略本部決定）

関連資料

• パブリックコメントでの御意見に対する考え方（PDF形式：838KB）
• 【別紙】パブリックコメントでの御意見に対する考え方（PDF形式：571KB）

担当

• 経済産業省
  商務情報政策局情報経済課長 松田
  担当者：関根、庄司、佐藤

  電話：03-3501-1511（内線 3961～3）
  03-3501-0397（直通）
  03-3501-6639（FAX）

• 内閣官房 内閣サイバーセキュリティセンター
  政府機関総合対策グループ参事官 一ノ瀬
  担当者：坂本、川崎、石黒
  電話：03-6205-4125（直通）

• 内閣官房 情報通信技術（IT）総合戦略室
  内閣参事官 尾原
  担当者：安藤、田上
  電話：03‐3581-3489（直通）

• 総務省
  サイバーセキュリティ統括官室参事官 大森
  担当者：相川、佐々木（弘）、中村
  電話：03-5253-5749（直通）