「政府情報システムのためのセキュリティ評価制度（ISMAP）」は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的としております。

 

　最近のクラウドサービスの中には、生成AIをサービス・機能として含むもの（以下「生成AIサービス」という。）があり、ISMAPクラウドサービスリストにおいても、生成AIサービスが登録されております。

　ISMAPは政府が求めるセキュリティ要求を満たしているクラウドサービスを評価し登録する制度であり、政府機関等において生成AIサービスを利用する際には、別途、生成AIサービスのリスク等について必要な対応を行うことが求められる旨を、ISMAP制度所管省庁より政府機関等に対し周知しております。

　ISMAPクラウドサービスリストの利活用にあたり、生成AIサービスを含む場合の取扱いについては、上記の点にご留意ください。その際、ISMAP等クラウドサービスリストにおいて、生成AIに関する情報についても掲載しておりますが、別途必要な対応の対象となるかどうか、生成AIに関する情報について改めてご確認が必要となります。

（令和8年1月9日追記）

【クラウドサービス事業者、生成AIモデル提供者向けの周知事項】

　クラウドサービス事業者が生成AIサービスをSaaSとして提供する場合には、当該SaaSは原則としてISMAP等クラウドサービスリストに登録が必要となります。これは生成AIサービスを外部連携で利用する場合においても同様です。

　なお、ISMAPに登録されていない生成AIサービスをISMAPに登録されているIaaS、PaaSを用いて提供しても、当該生成AIサービスはISMAPに登録されているサービスと同等とみなすことはできません。

　ただし、クラウドサービス事業者が、生成AIモデルを提供する事業者から生成AIモデルの提供を受け、当該生成AIモデルの扱うデータに対してセキュリティ管理機能を適用する自らの生成AI開発基盤において生成AIサービスを提供する場合（PaaSに相当）に、当該生成AI開発基盤を言明対象範囲に含めてISMAPに登録したときには、通常は当該生成AIサービスが取り扱うデータのセキュリティは、ISMAPのセキュリティ要件を満たす状態とみなされます。この場合において、クラウドサービス事業者が生成AI開発基盤を言明対象範囲に含めてISMAPの登録を行う場合には、提供される個々の生成AIモデルを言明対象範囲に含める必要はありません。また、提供される生成AIモデルは必ずしもISMAPに登録されている必要はありません。

　この場合において、生成AI特有のリスクについては、ISMAPにおける管理基準とは別に、生成AI開発基盤をISMAP言明対象範囲に含めたクラウドサービス事業者において措置を講じることが必要です。具体的な措置については、「行政の進化と革新のための生成AIの調達・利活用に係るガイドライン」の調達チェックシート等を参考にしてください。

　なお 、ISMAP登録に関する審査基準等については、「ISMAPクラウドサービス登録規則」等において定めており、詳細はISMAPポータルサイトの制度規程等をご確認下さい。

 

（参考）

• 「DeepSeek 等の生成 AI の業務利用に関する注意喚起（事務連絡）」（令和7年2月6日デジタル社会推進会議幹事会事務局）
• 行政の進化と革新のための生成 AI の調達・利活用に係るガイドライン（令和7年5月27日デジタル社会推進会議幹事会決定）