ISMAP管理基準2.2.4には、基本言明要件として、末尾にBが付された詳細管理策（X.X.X.X.B及びX.X.X.X.PB）は原則として実施すべきとありますが、チャット、テレビ会議等のコミュニケーションサービス等の中には、サービスの性質上、8.1.2.7.PBや10.1.2.20.PBで要求されているクラウドサービス利用者側での暗号鍵の管理を実現することが困難なサービスが存在します。この場合の対応方針をお教えください。

　サービスの性質上、基本言明要件（8.1.2.7.PB及び10.1.2.20.PB）を実施することが困難なサービスにおいては、基本言明要件（8.1.2.7.PB及び10.1.2.20.PB）を採用することによるサービス提供の困難性が認められ、かつ、クラウドサービス事業者内部からの不正アクセス対策を別の手段で実現することで、例外的に基本言明要件（8.1.2.7.PB及び10.1.2.20.PB）を選択しないことも考えられます。

 具体的には、以下の【条件】に該当するサービスについては、【代替策】を実施することで、基本言明要件（8.1.2.7.PB及び10.1.2.20.PB）の非採用を認める場合があります。

 【条件】

　8.1.2.7.PB及び10.1.2.20.PBを採用することでサービス提供が困難であること又は採用する必要性がないと認められること。
　なお、利用者が暗号鍵を管理する機能を提供することが、クラウドサービス事業者のコスト増加につながるということでは理由となりません。また、下記例について、基本的にIaaSが該当することは想定していません。

     具体例は以下のとおり。

例１：サービスの性質上、クラウドサービス事業者が暗号鍵を管理しなければ、サービスの主要な機能をクラウドサービス利用者に提供できないあるいは制限される場合

例２：クラウドサービス利用者が扱う情報をクラウドサービスで保存しない等、クラウドサービス利用者に対し、暗号鍵の管理機能を提供する必要性が無い場合

　　
 【代替策】

暗号鍵の管理に関するクラウドサービス事業者内部からの不正アクセス対策を別の手段で実現すること。

　8.1.2.7.PB及び10.1.2.20.PB のかわりに、①6.1.2（権限分離）、②7.2.1（従業員・契約相手へのセキュリティ）及び③9.2.3（特権的アクセス権の制限）を適切に実施し、これらの管理策が鍵管理に関するクラウドサービス事業者内部からの不正アクセス対策に有効であることを確認した上で、実効性を言明する必要があります。

  なお、クラウドサービス事業者が8.1.2.7.PB又は10.1.2.20.PBを例外的に選択しなかった場合、これらの詳細管理策が選択されていないことをISMAPクラウドサービスリストの「クラウドサービスの登録に係る特記事項」欄に表示することとします。