ISMAP管理基準のうち管理策基準において、統制目標とされる管理策（3桁管理策）は、原則として全て実施しなければならないことが定められています。他方、詳細管理策（4桁管理策）についてはクラウドサービス事業者による選択制とされています。統制目標に対する詳細管理策の選択について、基本的な考え方を教えてください。また、このことは、統制目標に対して、1つの詳細管理策を選択すればよいことを意味するのでしょうか。

　ISMAPでは以下のステップで統制目標、詳細管理策の選択を行うことを想定しています。

１．クラウドサービス事業者は、言明の対象とするクラウドサービスに関するセキュリティリスク（実装構造、運用環境及びサービスの性質などに照らし想定されるリスク）を特定し、分析します。
２．リスク分析を踏まえ、提供するサービスに必要な統制目標（３桁管理策）を全て選択します。なお、統制目標（３桁管理策）は、適用不可能な理由を合理的に説明できる場合のみ、非選択とすることが可能です。
３．選択した統制目標を実現するための手段としての詳細管理策（４桁管理策）を選択します。想定したリスクについて、詳細管理策（４桁管理策）の具体的対策としての個別管理策を実施した際に、実際に受容可能な水準までリスクが低減されるか、という観点に基づき必要な詳細管理策を選択する必要があります。

　これらのステップについて、物理的な建物を例としたリスク分析、統制目標の選択、詳細管理策の選択のイメージを以下に記載します。

　ISMAP管理基準に基づいた「統制目標、詳細管理策の選択イメージ」はこちら
　（イメージ図のPDFファイルがダウンロードされます）

　したがって、詳細管理策は、統制目標とされる管理策に対して１つ選択すればよいことを意味するものではありません。統制目標とされる管理策に対して、リスク分析に基づく判断により、１つの詳細管理策の選択で統制目標を達成できる場合もあれば、全ての詳細管理策の選択が必要となる場合もあります。

　なお、詳細管理策の選択数が多いことをもって審査上有利になることはありません。

　審査にあたっては、選択された詳細管理策によってリスクが受容可能な水準まで低減され、統制目標を達成できることが合理的に説明できることを確認するため、言明書に記載いただいた「非採用理由」を基に、クラウドサービス事業者に対して確認を行う場合があります。
　この確認の結果、選択された詳細管理策によって統制目標を達成できることを合理的に説明できない場合には、詳細管理策の再選択等のご対応をいただく場合もあります。

　このため、事前相談等を活用し、詳細管理策の再選択等による手戻りが発生することのないよう準備をお願いいたします。

　言明書における非採用理由の記載方法については、FAQ「ISMAP管理基準2.2.4において、言明において対象外とする管理策が存在する場合には、選択しない理由を記載することが要求されておりますが、詳細管理策ごとに記載する必要があるのでしょうか。」を参照ください。