質問
事前相談の活用が推奨される具体例を教えてください。
回答
登録申請後に行われる受理確認や技術的審査の段階における指摘や手戻りの発生を避けるため、ISMAP運用支援機関では事前相談の活用を推奨しております。
前提として、ISMAPへの登録を目指すクラウドサービス事業者は、自らが提供するクラウドサービスについて、ISMAP管理基準に定められている「基本言明要件」に沿った言明を行い、監査機関の監査を受けた上で、クラウドサービス登録申請を行うこととなります。その後、申請を受理したISMAP運用支援機関は技術的審査を行いますが、その観点には、「基本言明要件が満たされていること」(ISMAPにクラウドサービス登録規則 6.1)が含まれます。ここで、基本言明要件を満たす言明を行うことはクラウドサービス事業者の責務であり、ISMAP制度における監査業務の範囲には、基本言明要件が満たされていることの確認は含まれておりません。よって、監査機関による監査が完了したという事実は、必ずしも「基本言明要件が満たされていること」を意味しません。
以上から、基本言明要件を満たしていることに疑義がある状態や、その他の不備を解消しないまま、監査を受け登録申請を行った場合には、申請後に指摘事項が生じ、監査の手戻りが発生したり、クラウドサービスリストへの登録が認められない事態となるおそれがあります。このような事態を避けるため、ISMAP運用支援機関では、申請前の事前相談を受け付けております。
特に、以下に示す例に該当する可能性がある場合には、事前相談を活用し、監査を開始する前の早期の段階で不備を解消することが望まれます。
【基本言明要件に関する指摘事項が生じる例】
- 対象外とされた統制目標について、ISMAP管理基準を限定的に解釈したこと等が原因で、除外理由として示された「合理的な適用が不可能である理由」が適切とは言えない場合(ISMAP管理基準 2.2.4 基本言明要件)
- 末尾にBが付された管理策のうち非採用とされたものについて、非採用理由として示された「合理的な適用が不可能である理由」が適切とは言えない場合(ISMA管理基準 2.2.4 基本言明要件)
※特に、8.1.2.7.PB、10.1.2.20.PB(クラウドサービス利用者側での暗号鍵の管理に関する管理策)が非採用とされている場合には、FAQ(チャット、テレビ会議等のコミュニケーションサービス等において、8.1.2.7PB、10.1.2.20PBへの対応が困難な場合の対応方針をお教えください。) に示された、例外的に非採用が認められる条件に該当するかどうかをあらかじめ検討した上で、事前相談を行うことを強く推奨します。
- 申請予定のクラウドサービスを提供する上で不可欠なシステム基盤として他のクラウドサービスを利用している場合(ISMAP管理基準 2.2.2 言明の対象範囲、2.2.4 基本言明要件)
※サービスの基盤に他のクラウドサービスを利用している場合は、当該他のクラウドサービスがISMAPクラウドサービスリストに別途登録されていることが不可欠となりますのでご留意ください。 - 個別管理策の内容を変更した事実を監査機関に正しく伝達することができずに、本来監査が必要であった管理策の監査が適切に実施されなかったために、申請後に追加の監査が必要であることが審査の際に判明した場合(ISMA管理基準 2.2.4 基本言明要件、ISMAP標準監査手続 3.4.2 統制の変更)
※統制の変更が生じた場合は、監査の対象範囲に影響する可能性があるため、FAQ(ISMAP管理基準2.2.4において、「個別管理策の内容が変更されている場合」として具体的に統制変更と想定されている事象はどのようなものでしょうか。)の内容を参照した上で、判断に迷う場合は事前相談の活用をご検討ください。
(参考)
その他、上記以外でも、クラウドサービス登録申請の準備の段階で、提出する予定の書類の記載について事前に相談することが可能です。具体的には、FAQ(クラウドサービス登録申請の準備を進めていますが、提出する書類の記載について事前に相談することは可能ですか?)をご参照ください。