内閣サイバーセキュリティセンター(NISC)

本文へ

文字サイズ

English

政府機関総合対策グループ

「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見公募手続(パブリックコメント)を開始しました。(終了しました)

令和4年6月15日

内閣官房内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省は、ISMAP(政府情報システムのためのセキュリティ評価制度)の枠組みにおいて、セキュリティ上のリスクの小さな業務・情報の処理に用いるSaaSに対するISMAP for Low-Impact Use(ISMAP-LIU)の仕組みを策定します。今般、関連する諸規程を作成・修正しましたので、令和4年6月15日(水)から同年7月5日(火)までの間、意見を募集します。

1.背景・趣旨

ISMAPの制度所管省庁(内閣官房内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省)は、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組み」(令和2年1月30 日サイバーセキュリティ戦略本部決定)に基づき、「政府情報システムのためのセキュリティ評価制度」(英語名:Information system Security Management and Assessment Program、以下「ISMAP」)を運用しております。

ISMAPが対象としている機密性2情報を扱う情報システムは IaaS、PaaS、SaaS と多岐にわたるところ、中でもSaaSはサービス幅が広く、用途や機能が極めて限定的なサービスや、機密性2情報の中でも比較的重要度が低い情報のみを取り扱うサービス等リスクが低いサービスもあり、それらのサービスについて現行のISMAPと一律の取扱いとした場合、過剰なセキュリティ要求となる場合も考えられます。

このため、ISMAPの枠組みをベースとして、機密性2情報を扱うSaaSのうち、セキュリティ上のリスクの小さな業務・情報の処理に用いるものに対する仕組みとしてISMAP-LIU(イスマップ・エルアイユー(英語名:ISMAP for Low-Impact Use))を策定することとしました。

今般、ISMAP-LIUにおいて用いる規程として作成した「ISMAP-LIUクラウドサービス登録規則(案)」及び既存の規程の変更箇所について、幅広い御意見を頂くべく、令和4年6月15日(水)から同年7月5日(火)までの間、意見を募集することとします。

2.パブリックコメント対象資料

  • 「ISMAP-LIUクラウドサービス登録規則(案)」のうち、従来の「ISMAPクラウドサービス登録規則」から新しく追加された箇所(第3章~第6章、第7章、第13章、様式1-2のうち対象SaaSのセキュリティに係わる情報、別紙2)
  • 「政府情報システムのためのセキュリティ評価制度(ISMAP)基本規程」のうち改定箇所(第1章、第2章、第3章、第5章、第6章)
  • 「ISMAPクラウドサービス登録規則」のうち改定箇所(第1章)
  • 「ISMAP管理基準」のうち改定箇所(第1章、第2章)
  • 「ISMAP標準監査手続」のうち改定箇所(第3章、別紙3)
  • 「「ISMAP情報セキュリティ監査ガイドライン」のうち改定箇所(第1章、第4章)

<参考資料>

意見募集の対象ではありませんが、上記意見募集対象の参考として下さい。

  • ISMAP-LIUについて(案)
  • ISMAP-LIUクラウドサービス登録規則(案)のうち内部監査に係る報告書様式及び政府機関等における影響度評価基準(様式2-3及び様式2-3別紙、別紙1)
  • ISMAP for Low-Impact Useにおける業務・情報の影響度評価ガイダンス(案)

各資料は、電子政府の総合窓口(e-Gov)https://www.e-gov.go.jp/の「パブリックコメント」欄に掲載しています。

3.パブリックコメントの詳細

意見提出方法等の詳細は、意見公募要領をご覧ください。

意見公募要領は、電子政府の総合窓口(e-Gov)https://www.e-gov.go.jp/の「パブリックコメント」欄に掲載しています。

4.パブリックコメント期間

令和4年6月15日(水曜日)~7月5日(火曜日)※

※日本時間7月5日(火曜日)23時59分まで受け付けます。

5.参考

「デジタル社会の実現に向けた重点計画」(令和4年6月7日閣議決定) 抜粋

第5 デジタル化の基本戦略

4. サイバーセキュリティ等の安全・安心の確保

① サイバーセキュリティの確保

(中略)また、政府情報システムのためのセキュリティ評価制度(ISMAP)において、セキュリティリスクの小さい業務・情報を扱うシステムが利用するクラウドサービスに対する仕組みを、令和4年(2022 年)中に策定し、当該仕組みを利用したクラウドサービスの申請受付を開始するなど、クラウド・バイ・デフォルトの拡大を推進する。

「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和2年1月30日サイバーセキュリティ戦略本部決定 令和3年9月27日一部改正) 抜粋

1 本制度の基本的な枠組み

(前略)制度の規程・基準その他の詳細については、後述する制度運営委員会及び所管省庁において決定するものとする。
(中略)

3 本制度の所管と運用体制

本制度の所管は内閣官房内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省とする。(後略)

(本発表資料のお問合せ先)

内閣官房 内閣サイバーセキュリティセンター
政府総合対策グループ参事官 中野
担当者: 坂本、丸山、花澤、荻野
電話:03-5253-2111(内線 86008~10、86030)

デジタル庁
担当参事官 松田
担当者: 迫田、三宅、三木
電話:03-6771-7528、03-6771-8273(直通)

総務省
サイバーセキュリティ統括官付参事官 梅村
担当者:廣瀬、恵本、三塩
電話:03-5253-5749(直通)

経済産業省
商務情報政策局情報経済課長 須賀
担当者: 菅野、東海林
電話:03-3501-0397(直通)

▲ このページの先頭へ