クラウドサービス安全性認定

この認定制度の位置づけ

「クラウドサービス安全性認定」は、単一の法律に基づく許可ではなく、クラウドの安全性を第三者の基準に照らして示すための複数の制度の総称として使われる言葉です。経済産業省が所管する根拠としては「情報セキュリティサービス基準」があり、これはセキュリティサービス（情報セキュリティ監査、脆弱性診断、デジタルフォレンジック、セキュリティ監視・運用）の提供者を対象に、その品質や提供体制が基準に適合しているかを審査し、適合サービスリストに登録する仕組みです。

注意すべきは、政府調達向けの ISMAP（政府情報システムのためのセキュリティ評価制度）とは目的も審査主体も異なる点です。自社がどの制度を求められているのか（民間取引での信頼性確保なのか、官公庁案件の入札要件なのか）を最初に切り分けないと、準備が無駄になります。

対象となる事業者

• セキュリティ関連サービスを外部提供し、その品質を公的基準で裏付けたい事業者
• 自社クラウド／SaaS の安全性を顧客や取引先に示す必要があるクラウド提供者
• 大企業・官公庁との取引で、セキュリティ体制の客観的な証明を求められている事業者

取得の主な要件

要件は対象とする制度ごとに異なりますが、共通して問われるのは「体制」と「証跡」です。

• サービス提供体制、技術者の力量・経験、品質管理の仕組み
• 情報の管理体制（多くの場合 ISMS（ISO/IEC 27001）等の前提認証が事実上の土台になる）
• 基準で定められた管理策の文書化と運用記録

具体的な審査項目は所管庁・審査機関が定める基準によって変わるため、申請前に必ず最新の公式基準を確認してください。

申請の流れ

1. 自社が適合すべき制度・基準の特定 2. 基準とのギャップ分析（自己点検） 3. 不足する体制・文書の整備 4. 申請書類の作成・提出 5. 審査機関による書面・実地審査 6. 適合判定・登録／認定、リストへの掲載

very_hard とされるのは、文書整備と体制構築に数か月〜年単位を要し、審査が厳格なためです。

費用の内訳

目安の30万〜150万円は、主に審査料・登録料と準備工数の幅を反映しています。

• 審査・登録にかかる直接費用
• 体制整備・文書作成のための内部工数や外部コンサル費
• 前提となる ISMS 等の認証取得費（別途発生する場合あり）

ISMAP 相当の評価に進む場合は費用が一桁上がることもあります。

つまずきやすい点

• 制度の取り違え（情報セキュリティサービス基準・ISMAP・ISO/IEC 27017・27001・ASPIC の混同）
• ISMS など前提となる認証が未取得のまま申請
• 運用記録・証跡の不足で「文書はあるが運用実態を示せない」状態

関連する認証

ISMS（ISO/IEC 27001）、クラウド向けの ISO/IEC 27017、プライバシーマーク、政府調達向けの ISMAP が併存・補完する関係にあります。まず自社の目的に合う制度を一つ特定し、その公式基準と最新の手引きを確認することが、最初に取るべき行動です。