ISMAPの基本的な枠組み
クラウドサービス事業者からの申請をISMAP運用支援機関が審査し、ISMAP 運営委員会が総合的に登録の是非を判断し、登録の決定が行われたクラウドサービスがISMAP、ISMAP-LIUの クラウドサービスリストに登録されます。
クラウドサービス事業者がISMAPクラウドサービスリストへ登録するためには、事前にISMAP監査機関リストに掲載された監査機関の監査を受ける必要があります。
【図表2 ISMAP制度の基本的な枠組みの整理】
(参考資料:ISMAPポータル(https://www.ismap.go.jp/csm?id=csm_ismap_index) ISMAPの概要 2024/4/9閲覧)
ISMAP登録に必要な統制の整備
クラウドサービス事業者はISMAPの登録のために、自社でISMAP管理基準に沿った統制を整備・運用する必要があります。
その後ISMAP監査機関リストに記載の監査機関にて言明書を提示して、監査を依頼し、監査機関が監査を実行します。
監査の結果、発見事項がなかった場合、監査結果を添えて申請・審査を受けます。
審査の結果問題がない場合、ISMAPの認定がされ、ISMAPポータルのリストに掲載されます。
(ISMAP運用支援機関から審査期間に指摘があった場合に、再度、追加、再評価をする場合があります。)
【図表3 ISMAP認定のための監査の流れ】
(*1)追加監査:申請の受理や審査の改定でクラウドサービス事業者への管理策採否変更に伴う対応に係る監査
(*2)再監査:ISMAP クラウドサービス登録規則の第13条で求められている監査