情報セキュリティサービス基準適合認定

情報セキュリティサービス基準適合認定とは

経済産業省が定めた「情報セキュリティサービス基準」に、自社が提供するサービスが適合していることを審査・確認し、IPA（情報処理推進機構）が公開する「情報セキュリティサービス審査登録簿（台帳）」に登録する制度です。一般的な営業許可とは異なり、これがなければ事業を行えないという業法上の許認可ではありません。あくまで「品質が一定水準を満たすことを国が確認した」という証明であり、登録の有無に関わらずサービス提供自体は可能です。

最大の実利は政府調達にあります。政府機関等のサイバーセキュリティ対策のための統一基準群や各府省庁の調達仕様書では、セキュリティサービスの調達にあたり本台帳の登録サービスを推奨・要件化する動きが広がっています。官公庁・自治体・独立行政法人向けにサービスを売り込みたい事業者にとって、登録は入札参加の実質的な前提になりつつあります。

対象となるサービス類型

登録は会社単位ではなく「サービス単位」で行われます。対象は次の4類型で、提供するサービスごとに申請します。

• 情報セキュリティ監査サービス
• 脆弱性診断サービス（プラットフォーム診断・Webアプリケーション診断など）
• デジタルフォレンジックサービス
• セキュリティ監視・運用サービス（SOC/MSS）

自社サービスがどの類型に該当するか、複数類型にまたがるかをまず整理することが出発点になります。

取得の必須要件

審査では、基準書に定められたサービス類型ごとの要求事項への適合性が問われます。難易度がhardとされるのは、書類を整えるだけでなく、実態としての品質管理体制が求められるためです。主な観点は以下です。

• 従事者の資格・技術力：情報処理安全確保支援士、公認情報システム監査人（CISA）、CISSP など、類型に応じた有資格者の配置
• 実施体制と品質管理：作業手順書、報告書フォーマット、第三者レビュー、機密情報の取扱い規程の整備
• 情報管理体制：ISMS（ISO/IEC 27001）認証や、それに準ずる情報セキュリティ管理の運用実績
• サービス品質を担保する内部プロセスが文書化され、かつ実際に運用されていること

申請の流れと費用

申請費用そのものは無料です。IPA が公開する基準・申請様式に基づき、自己適合宣言の形で必要書類（適合状況を示すチェックリスト、体制図、資格証憑、サービス仕様書など）を作成し、IPA へ提出します。提出書類の確認を経て、適合が認められれば台帳に登録・公開されます。

無料とはいえ、隠れたコストはあります。要件を満たすための有資格者の確保・育成、ISMS 認証の取得・維持、社内規程や手順書の整備にかかる人件費・コンサル費用が実質的な負担となります。

よくある差し戻し理由

• 自己宣言の根拠書類が不足している（資格保有を示す証憑、手順書の実物がない）
• サービス仕様書の記載が基準書の要求事項と対応づけられていない
• 体制図や品質管理プロセスが「規程はあるが運用実績が示せない」状態
• 該当しないサービス類型で申請している、または類型の選択が実態と合っていない

関連する制度・更新時の注意

土台として ISMS（ISO/IEC 27001）認証を先に取得しておくと、情報管理体制の要件を満たしやすくなります。プライバシーマークは個人情報保護が主眼で本制度の直接要件ではありませんが、信頼性の補強にはなります。

登録には有効期間があり、期間満了時には更新申請が必要です。基準書は脅威動向に応じて改定されるため、改定時には新基準への適合を再確認しなければなりません。提供サービスの内容変更、体制・有資格者の異動があった場合も、登録内容との整合を保つために変更の届出・見直しが求められます。まずは自社サービスがどの類型に当たるかを特定し、最新の基準書と申請様式を IPA のサイトで確認するところから着手してください。