内閣官房(内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室)・総務省・経済産業省は、政府情報システムのためのセキュリティ評価制度における各種基準(案)について、令和2年3月27日(金)から同年4月26日(日)までの間、意見を募集することとします。
1 概要
平成30 年6月に、政府は「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(平成 30 年6月7日 各府省情報化統括責任者(CIO)連絡会議決定)を定め、クラウド・バイ・デフォルト原則を掲げる一方で、「未来投資戦略2018」(平成30年6月15日閣議決定)、及び「サイバーセキュリティ戦略」(平成30年7月27日閣議決定)において、クラウドサービスの安全性評価に関する検討の必要性が位置付けられました。
これを受け、同年8月から令和元年12月にかけて、総務省と経済産業省が事務局となり、「クラウドサービスの安全性評価に関する検討会」を開催し、令和2年1月にはパブリックコメントを経たとりまとめが行われました。
また、これらの閣議決定等を踏まえ、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和2年1月30日サイバーセキュリティ戦略本部決定)において、本制度の(1)基本的枠組み、(2)各政府機関等における利用の考え方、(3)所管と運用体制が決定されました。
今般、内閣官房(内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室)・総務省・経済産業省が所管となった同制度を「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program(略称ISMAP:イスマップ))」と称し、当該制度で用いる各種基準について幅広い御意見をいただくべく、令和2年3月27日(金)から同年4月26日(日)までの間、意見を募集することとします。
2 意見募集要領
(1) 意見募集対象
・「政府情報システムのためのセキュリティ評価制度(ISMAP)基本規程(案)」(
別添1
)
・「クラウドサービス登録申請者に対する要求事項(案)」(「ISMAPクラウドサービス登録規則(案)」第3章部分)(
別添2
)
・「ISMAP管理基準(案)」(
別添3
)
・「監査機関登録申請者に対する要求事項(案)」(「ISMAP監査機関登録規則(案)」第3章部分)(
別添4
)
・「ISMAP情報セキュリティ監査ガイドライン(案)」(
別添5
)
(2) 意見提出期限
令和2年4月26日(日)※日本時間4月27日(月)0時00分まで受け付けます。
(郵送の場合は令和2年4月26日(日)必着とします。)
詳細につきましては、意見公募要領(
別添6
)をご覧ください。
なお、意見募集対象及び、意見募集要領については、総務省ホームページ(
https://www.soumu.go.jp)の「報道資料」欄に3月27日(金)15時を目途に掲載するほか、電子政府の総合窓口[e−Gov](
https://www.e-gov.go.jp)の「パブリックコメント」欄に掲載するとともに、連絡先窓口において閲覧に供するとともに配布します。
3 参考
「デジタル・ガバメント実行計画」(令和元年12月20日閣議決定) 抜粋
3 デジタル・ガバメントの実現のための基盤の整備
3.3 行政機関におけるクラウドサービス利用の徹底
(2)クラウドサービスの安全性評価
クラウドサービスの導入に当たっては、情報セキュリティ対策が十分に行われているサービスを調達する必要があることから、政府がクラウドサービスを導入する際の安全性評価基準及び安全性評価の監査を活用した評価の仕組みの導入に向けて、総務省及び経済産業省が連携し、クラウドサービスの安全性評価に関する検討会を設置して検討を進めている。内閣官房、総務省及び経済産業省は、2020 年度(令和2年度)内に、全政府機関において、上記の仕組みを活用して安全性が評価されたクラウドサービス の利用を開始できるよう、引き続き、環境整備等について検討を進める。
「クラウドサービスの安全性評価に関する検討会 とりまとめ」(令和2年1月クラウドサービスの安全性評価に関する検討会) 抜粋
3.今後の進め方と課題
3.1.制度立ち上げまでの今後の検討の進め方とスケジュール
各種基準は今後WGにおいて議論した上で、WGとしての案をとりまとめると共に、制度所管機関において最終的な決定を行うものとする。その際、CSPへの要求事項となる管理基準を中心とした主要な基準については、事前にパブリックコメントを行う。
(中略)
各種基準については、できる限り早急に検討を進め、本年度内にはパブリックコメントを実施するとともに、速やかな制度の立ち上げを行う。
「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和2年1月30日サイバーセキュリティ戦略本部決定) 抜粋
1 本制度の基本的な枠組み
(前略)制度の規程・基準その他の詳細については、後述する制度運営委員会及び所管省庁において決定するものとする。
(中略)
3 本制度の所管と運用体制
本制度の所管は内閣官房(内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室)・総務省・経済産業省とする。(後略)