本稿では、ISMAPに登録されてから更新を行う前の一連の流れについて、分かりやすく解説します。
ISMAP登録から更新までの規程上の定め
まずは「更新期限」について見てみましょう。ISMAP基本規程の3.5に、以下のように定められています。
3.5 登録の更新 3.4で認められた登録の有効期限は、登録の対象となった監査の対象期間の末日の翌日から1年4ヶ月後までとする。クラウドサービス事業者は、登録の有効期限までに、登録の更新を申請しなければならない。なお、登録の更新の申請を行った日から当該申請に対する登録の更新の判断がISMAP運営委員会でなされるまでは、有効期限以降も引き続き登録を有効とする。 登録の更新に係る一連の要求・手続については、本章の規定を準用する。 【出典】ISMAP基本規程
監査対象期間の末日から1年4か月以内に更新申請を出す必要があります。この1年4か月という期間は、以下の3つから構成されています(※1)。
監査対象期間(3か月~1年間)
監査結果(=実施結果報告書)の提出〆切(3か月)
申請書類の準備(1か月)
基本的な考え方としては、前回監査の対象期間末日から1年間継続して統制を運用し、その運用が問題なかったかを監査し、更新申請をする、と考えておけば良いでしょう。対象期間を1年間より短く設定することも可能ですが、例えば、SOC2等の他の制度と対象期間を一致させるといった特別な目的がない限りは、1年単位で対象期間をとるのが一般的です。
(※1)各種期日は、以下で定められています。
2.2.5 監査の対象となる期間 言明内容のうち、監査対象となる期間を記載する。監査の対象期間は最大1年とし、次の登録申請を行う際の監査対象期間は、前回の監査対象期間の末日の翌日とすることで、期間の隙間なく監査が行われなければならない。監査の対象期間を1年より短くする場合においては、3ヶ月の最低運用期間を経る必要がある。【出典】ISMAP管理基準3.2 申請者は、言明書に記載の監査対象期間の末日から3ヵ月以内を作成日とする実施結果報告書を監査機関から入手しなければならない。4.2 申請者は、実施結果報告書の日付から1ヵ月以内に申請を行わなければならない。 【出典】ISMAPクラウドサービス登録規則
つぎに、「登録日」について見てみましょう。登録日とは、制度審査を終えて実際にサービスリストに掲載された日付を指します。ISMAP制度の審査は、申請が受理されてから最大で6か月かかるので(※2)、どうしてもトレンドマイクロ(株)のように、「登録日」と「更新期限」が近く見えてしまうというわけですね。
(※2)ISMAPクラウドサービス登録規則に定められています。
6.3 ISMAP運営委員会は、ISMAP 運用支援機関が申請を受理した日から原則として6 カ月以内に、ISMAP 運用支援機関からの報告内容及び申合せの運用状況を踏まえて、総合的に登録の是非を判断する。【出典】ISMAPクラウドサービス登録規則
よくあるケース
前述した制度規程に則って行動していると、登録決定がされ、自社のサービスがISMAPクラウドサービスリストに掲載される前に、次の監査・申請対応を行う必要が出てくるケースが多いです。
実際に、初回登録~更新申請までを線表に起こしてみると、以下のようなフローとなります。
上図の黄色★印と茶色★印の時点関係を見ていただくと、審査の過程で、書類不備の修正や質疑対応が長引くことによって、審査結果(登録)が分かるタイミングが遅くなることが分かります。一方で、ISMAPの監査対象期間は切れ目なく続いていくことが求められるため、場合によっては、自社サービスの登録を待たずして、次の外部監査の契約や準備を行うことが必要となります。できるだけ審査の期間を短縮するために、申請する様式に必要十分な情報を掲載し、書類不備や質疑対応を削減することが重要です。
まとめ
いかがでしょうか。ISMAPは、審査に時間を要する一方で、毎年更新が必要な制度のため、審査結果を待たずして次年度の対応準備を進める必要があります。これからISMAP登録を検討される事業者様は、登録後のロードマップ等も意識されるとよろしいのではないでしょうか。
本サイトでは、ISMAP制度における疑問・質問はどんな内容でも受け付けております。その他、制度理解や対応に役立つコンテンツをどんどん配信しているので、是非チェックしてみてください!
Commentaires