情報セキュリティサービス審査登録

情報セキュリティサービス審査登録とは何のための制度か

情報セキュリティサービス審査登録は、経済産業省が定める「情報セキュリティサービス基準」に基づき、一定の品質を満たすセキュリティサービスを審査・公表する制度です。IPA（情報処理推進機構）が運営事務局となり、基準に適合したサービスを「情報セキュリティサービス基準適合サービスリスト」に掲載します。これは法律上の営業許可ではなく、サービス品質を第三者の目線で証明する任意の登録制度である点が特徴です。

最大の実利は政府調達です。各府省庁や独立行政法人、一部の自治体がセキュリティ業務を発注する際、このリスト掲載を入札参加の要件や評価加点とするケースが増えています。民間取引でも、発注側が委託先選定の安心材料として掲載の有無を確認する場面があります。

対象となるサービス区分

登録は会社単位ではなく「サービス単位」で行います。主な区分は次のとおりです。

• 情報セキュリティ監査サービス
• 脆弱性診断サービス（プラットフォーム診断・Webアプリケーション診断）
• デジタルフォレンジックサービス
• セキュリティ監視・運用サービス（SOC／MSS）

提供している複数サービスを登録したい場合、それぞれ別個に審査・申請が必要です。

取得の主な要件

区分ごとに基準は異なりますが、共通して問われるのは「組織・人・プロセス」の3点です。

• 品質管理体制：サービス提供手順の文書化、機密情報の取扱規程、再委託管理など
• 技術者の力量：区分に応じた資格・実務経験。たとえば脆弱性診断では診断員の経験年数や保有資格、監査では情報セキュリティ監査人(CAIS等)が評価対象になる
• 実施実績：一定件数のサービス提供実績や、サンプル成果物の提示

要件の詳細は基準書と各区分の解説書に明記されているため、申請前に必ず該当区分の最新版を確認してください。

申請の流れと費用

おおまかな流れは「基準書の確認 → 自己評価チェックリストの作成 → 申請書類・証跡の準備 → IPAへの提出 → 審査・補正対応 → リスト掲載」です。書類審査が中心で、証跡の整備状況が結果を左右します。

費用の目安は10万〜30万円程度ですが、これは社内の書類整備や技術者要件を満たすための人件費・コンサル費を含めた実務上の負担感です。審査自体の手数料体系や金額は申請時点の制度運用により異なるため、IPA公表の最新情報で確認してください。

よくある差し戻し・不適合の理由

• サービス手順や品質管理の文書が実態と一致していない、または整備が不十分
• 技術者の資格・経験が区分の要求水準に届かない
• 提出した成果物サンプルが基準の求める項目を網羅していない
• 機密情報・個人情報の管理規程が形式的で運用裏付けがない

書類の体裁ではなく「実際に基準どおり運用しているか」が見られるため、申請のために急造した規程は補正を求められやすい点に注意してください。

更新・関連制度

リスト掲載には有効期間があり、継続するには期間満了前の更新申請が必要です（おおむね2年ごと。最新の運用期間は要確認）。サービス内容や体制を変更した場合は、変更内容に応じた届出・再審査が生じることがあります。

関連して、組織全体の情報セキュリティを示す ISMS（ISO/IEC 27001）認証や、クラウドサービス向けの ISMAP は別制度ですが、発注側が併せて求めることがあります。自社の受注ターゲット（政府調達か民間か）を見極め、本登録とこれらを組み合わせるかを早めに判断するとよいでしょう。