サイバーセキュリティサービス届出

この届出・登録の位置づけ

サイバーセキュリティサービスの提供そのものに、原則として国の許可や免許は必要ありません。脆弱性診断やインシデント対応を始めるだけなら、特別な行政手続きなく事業を開始できます。ここで「届出」と呼ばれるものの実体は、主に経済産業省が所管する任意の登録制度（情報セキュリティサービス基準適合サービスリストへの審査登録）と、提供形態によって発生する電気通信事業の届出の二つに整理して考える必要があります。混同すると手続きを誤るため、自社サービスがどちらに該当するかを最初に切り分けてください。

対象となるサービスと制度

経済産業省・IPAが運用する審査登録制度の対象は、おおむね次の4区分です。

• 脆弱性診断サービス（Webアプリ・プラットフォーム診断）
• デジタルフォレンジックサービス
• セキュリティ監視・運用サービス（SOC、マネージドセキュリティ）
• 情報セキュリティ監査サービス

このリストに登録されると、官公庁の調達やISMAP関連の取引で「基準を満たす事業者」として評価されやすくなります。登録は義務ではありませんが、公共・大企業向けに営業するなら実質的な信頼の前提になりつつあります。

主な要件

審査登録では、事業者ではなく「サービス単位」で基準適合を審査します。求められるのは概ね以下です。

• サービス提供体制と品質管理プロセスの整備
• 診断・監視を担う技術者の保有資格や実績（登録セキスペ等が評価対象になり得る）
• 守秘義務・情報管理体制（取得した脆弱性情報の取扱いルール）
• 作業範囲・再委託・賠償に関する契約面の整備

なお、SOCのように通信を媒介・監視する形態では、別途「電気通信事業の届出」が必要になる場合があります。該当可否は提供方式により異なるため、総務省の判断基準で確認してください。

手続きの流れと費用

審査登録は、審査登録機関に申請書類とサービス仕様を提出し、基準適合審査を経て登録される流れです。費用は審査登録機関や区分により異なるため、必ず最新の料金表を確認してください。電気通信事業の届出自体に手数料はかかりません。費用の中心は、書類・規程整備や体制構築にかかる社内コスト、必要に応じた専門家への委託費用です。

つまずきやすい点

• サービス仕様書・作業手順書の記載が抽象的で、基準への適合を示せない
• 技術者の力量を客観的に裏付ける資料が不足している
• 情報管理規程はあるが、診断で得た脆弱性情報の取扱いが明文化されていない
• SOC型なのに電気通信事業の届出を見落としている

関連手続きと更新

不正アクセス禁止法・刑法（不正指令電磁的記録等）に抵触しない契約・同意取得の設計、個人情報を扱う場合のプライバシーマークやISMSの取得は、登録の有無にかかわらず実務上ほぼ必須です。審査登録は有効期間があり、更新審査が必要です。サービス内容や体制を変更した際は、登録範囲との齟齬が生じないよう、変更手続きの要否を審査登録機関へ早めに確認してください。