top of page

SaaS事業者必見!ISMAP-LIU登録促進のための特別措置の有効期間が明確に

更新日:4月11日

ISMAP-LIU 特別措置

 2023年5月に施行された「ISMAP-LIU登録促進のための取組み(特別措置)」。ISMAP制度所管であるデジタル庁への相談窓口の設置や、特別措置サービスリストの策定等、ISMAP-LIUへのSaaS登録を促進すべく、様々な仕組みが導入されています。(詳細はこちら

 中でも注目されているのが、ISMAP-LIUに申請予定のSaaSが、初回の外部監査対象範囲を大幅に縮小できる措置です。本措置は、特別措置の期限である令和7年3月末までにISMAP-LIUに申請を行うサービスに適用できます。しかし、その要件である「令和7年3月末までの申請」の定義が明確化されておらず、場合によっては、令和5年末頃からISMAP-LIU対応をスタートしないと期限に間に合わない恐れがありました。

 今般、上記「申請」の定義が明文化されました。これにより、より多くのSaaS事業者が特別措置のインセンティブを享受できることに加え、特別措置を踏まえたISMAP-LIUへの登録スケジュールをより具体的に描くことができるようになりました。本稿では、明確化された適用要件のポイントを解説します。






これまでの特別措置の適用要件

 まず、特別措置を適用することによって、外部監査対象範囲がどの程度縮減するのか、見ていきましょう。


(4)特別措置におけるインセンティブ措置の内容 特別措置におけるインセンティブの内容は、次のとおりとします。 ①ISMAP-LIUで求める外部監査について、特別措置の期間内において、一度に限り、監査対象範囲を「整備状況評価」及び「最小限度の運用状況評価」とすることを可能とします【特別措置限り】 ②ISMAP-LIUで求める内部監査に係る報告書について、特別措置の期間内において、一度に限り、内部監査に係る報告書の提出を免除可能とする仕組みを設け、外部監査に要するコスト低減及び申請準備に係る事務負担低減を図ります【特別措置限り】(後略)

 特別措置期間中の1度に限り、外部監査範囲を大幅に縮減することが可能です。(説明の都合上省略していますが、内部監査結果の報告書提出についても同様に、特別措置期間中の1度に限り、提出が免除されます。)

 次に、上記措置の適用要件を見てみましょう。ISMAP基本規程とデジタル庁のHPそれぞれで、以下のように定められています。



ISMAP-LIU


 ISMAP基本規程上は、令和7年3月31日までに「登録又は更新の申請」が要件であるのに対し、デジタル庁のHPでは、令和7年3月末にISMAP-LIUへの「登録申請(事前申請を含む)が提出」とあり、一見すると、令和7年3月末時点でISMAP-LIUへの本申請まで必要なのか、事前申請までで良いのか、判断しにくい状況です。

 仮に、令和7年3月末にISMAP-LIUへの本申請を終えようと思うと、事前申請や外部監査(任意のプレ監査含む)を同日までに終える必要が生じることに加え、ISMAP-LIUに耐え得るセキュリティ対策の構築や強化を行う期間も加味すると、場合によっては令和5年12月現在から動き出す必要が生じる可能性もあり、上記措置を適用するには非常に厳しいスケジュールとなっています。



明確化された特別措置の適用要件

 では、上記の適用要件がどのように明確化されたのでしょうか。具体的には、デジタル庁HPの留意点欄に、以下が追加されました。


「ISMAP-LIU登録促進のための特別措置について」に関する留意事項 「2 特別措置の枠組み(2)適用要件」における「特別措置を適用しようとするSaaSサービスについて、特別措置の運用期間中にISMAP-LIUへの登録申請(事前申請を含む)が提出される予定であること」​は、ISMAP-LIUの事前申請に関する提出書類を本特別措置の運用期間の令和7年(2025年)3月末までにデジタル庁担当宛へ提出することを適用要件とするものです。 ※原則、本特別措置の運用期間の令和7年(2025年)3月末までにISMAP-LIUクラウドサービス登録規則の第8章(サービス登録に関する申請)を求めますが、例外として、事前申請段階でも特別措置を適用可能とします。

 もちろん、早めの対応が望ましいのは変わりませんが、今後、令和7年3月末までに特別措置の適用要件として求められるステータスは「事前申請」であることが明確になったため、SaaS事業者は、余裕をもってISMAP-LIUへの対応準備(セキュリティ対策の構築、外部監査対応、等)を進めることができます。


ISMAP-LIU 特別措置の適用要件の明確化


 特別措置では、特別措置サービスリストに自身のサービスが掲載されることで、ISMAPやISMAP-LIU同様、SaaS調達時に政府機関等からリストが参照されることに加え、ISMAP-LIUへの申請に向けて、初回の外部監査範囲をISMAP-LIUよりさらに大幅削減できる点において、ISMAP対応の費用面やリソース面で苦しむSaaS事業者にとって、非常に有益な措置です。特別措置の期限である令和7年3月末を1つのマイルストーンとして設定し、徐々に自社のセキュリティ対策状況をISMAP-LIUの要件に適合させ、特別措置・ISMAP-LIUへの適合を行っていく過程の中で着実に成長していくことが可能です。




まとめ

 いかがでしょうか。今回は、ISMAP-LIUの準備措置に位置する「特別措置」について、明確化された適用要件についてご紹介しました。費用面やリソース面の都合で、即座にISMAP-LIUへの申請対応を行うことが困難なSaaS事業者の方も、ぜひ、特別措置を活用したISMAP-LIUへの申請に踏み切ってみませんか。

 本サイトでは、ISMAP制度における疑問・質問はどんな内容でも受け付けております。その他、制度理解や対応に役立つコンテンツをどんどん配信しているので、是非チェックしてみてください!

 

執筆者

東海林 和広

  • 株式会社 X-Regulation 取締役

  • 大手監査法人において、ISMAP監査やクラウドサービスに対するセキュリティ監査等を多数経験

 

Comments


​お役立ち資料

Coming Soon

ISMAP無料相談 X-Regulation

X-Regulationでは、元ISMAP監査人が、
確実かつ効率的なISMAP・ISMAP-LIU登録を実現します。

bottom of page