2023/5/11付けで、ISMAP諸規程が改正されました。本改正は、2023/5/19に新規に施行した「ISMAP-LIU登録促進のための取組み」に密接に関係しています。
本稿では、改正された規程内容について、ISMAP-LIU登録促進のための取組みに紐づけながら解説を行います。
ISMAP-LIU登録促進のための取組み(特別措置)について詳しく知りたい方は、
「特別措置|ISMAP-LIU登録促進のための取組みとは?」をご参考ください。
ISMAP規程の改正箇所
まずは、今回改正されたISMAP規程の改正箇所をご紹介します。今回は、全部で4箇所の改正が行われました。
このうち、No.1の改正については、特別措置には関係しない修正です。(令和4年4月より、独立行政法人及び指定法人はISMAPの対象となっていること、制度立ち上げ時の特例の3項目「本規程の施行から1年以内に〜」についても、ISMAP制度の施行からすでに約3年が経過していることから、今の制度実態に合わせる形で軽微な規程修正が行われたものと考えれば良いでしょう。)
それ以外の箇所(No.2~No.4)が、ISMAP-LIU登録促進のための取組みと関係のある改正となり、大きく「外部監査、内部監査に係る報告書の緩和措置」と「業務・情報の影響度評価に係る措置」の2つに分けることができます。
登録促進のための取組みとの関係性
では、今回の改正が「ISMAP-LIU登録促進のための取組み」とどのように関係するのか、ご紹介します。取組みの全体像は以下の通りです。
このうち、今回の規程改正に関係するのは「ISMAP-LIUの申請への申請に係る措置」です。詳しく見ていきましょう。
外部監査、内部監査報告に係る措置
1つ目は、ISMAP-LIUの外部監査や内部監査に係る報告書提出に関する措置(規程改正箇所:No.2, 4)です。本措置では、特別措置期間中(令和7年3月末まで)の1度に限り、外部監査範囲を大幅に縮小すること、及び内部監査に係る報告書の提出を免除することができます。
① ISMAP-LIUで求める外部監査について、特別措置の期間内において、一 度に限り、監査対象範囲を「整備状況評価」及び「最小限度の運用状況評価」とすることを可能とします【特別措置限り】 ② ISMAP-LIUで求める内部監査に係る報告書について、特別措置の期間内において、一度に限り、内部監査に係る報告書の提出を免除可能とする仕組みを設け、外部監査に要するコスト低減及び申請準備に係る事務負担低減を図ります【特別措置限り】
本措置を制度上明確に位置づけるべく、規程改正が行われました。特にNo.2の外部監査の改正箇所に「(略)制度所管省庁が別途指定する運用状況評価により行うことを認めるものとする」とあるように、2023年5月現在において、具体的な外部監査項目は明らかにされていません。今後、続報があるものと推察されます。
ISMAP-LIUの取得をめざすSaaS事業者の方々にとっては、外部監査の監査報酬や、監査対応リソースが軽減され、また内部監査結果の報告に要する労力も小さくなるため、初回登録時の対応が一定程度緩和されると考えて良いでしょう。
業務・情報の影響度評価に係る措置
2つ目は、業務・情報の影響度評価に係る制限の撤廃(規程改正箇所:No.3)です。2022年11月にISMAP-LIUが施行してからこれまで、ISMAP-LIUの1要件である事前申請で用いる「業務・情報の影響度評価」について、国の行政機関にのみ提出が制限されており、同じくISMAP制度の適用対象である独立行政法人、指定法人は影響度評価結果を提出できませんでした。
今回の特別措置では、本制限が撤廃され、独立行政法人・指定法人においても、業務・情報の影響度評価を提出できるようになりました。
また、本措置に関しては他の措置とは異なり、特別措置の期限である令和7年3月末以降も恒久的に続く措置とされています。
③ 影響度評価実施機関の範囲を拡充しISMAP-LIU登録申請の間口を広げるため、現在国の行政機関のみに限定している影響度評価実施機関を、国の行政機関に加え、独立行政法人及び指定法人も可能とします【恒久措置】
これにより、SaaS事業者の方々にとっては、自社サービスの影響度評価を実施してもらえる政府機関の幅が広がり、ISMAP-LIUへの参入がしやすくなったといえるでしょう。
まとめ
いかがでしょうか。今回は、2023/5/11の規程改正と、2023/5/19の特別措置の関係性について、ご紹介しました。ISMAPは規程の数が多く、かつ情報が色々な規程に散りばめられ、内容がつかみにくいところがありますが、タイムリーに情報を収集し、自社への影響や関係性をいち早く掴んで対応を検討することが重要です。今後も、規程改正の動きはタイムリーに追っていこうと思います。
本サイトでは、ISMAP制度における疑問・質問はどんな内容でも受け付けております。その他、制度理解や対応に役立つコンテンツをどんどん配信しているので、是非チェックしてみてください!
執筆者
東海林 和広
株式会社 X-Regulation 取締役
大手監査法人において、ISMAP監査やクラウドサービスに対するセキュリティ監査等を多数経験