１．ISMAP-LIU（ISMAP for Low-Impact Use）とは？

(1)ISMAP（イスマップ）とは？

まず、ISMAP-LIUと類似のISMAPについて説明します。
ISMAPとは、政府情報システムのためのセキュリティ評価制度の一つです、
Information system Security Management and Assessment Programの略です。

ISMAPの認証を取得すると、「ISMAPクラウドサービスリスト」に登録され、このリストの中から原則として調達することになります。

つまり、行政や官公庁の仕事をもらいたい企業にとっては大きなメリットになります。

(2)ISMAP-LIU創設の経緯

続いて、ISMAP-LIUができた経緯について説明します。

大本のISMAPは、難易度が高く、取得までに費用・準備の期間と工数がかなりかかります。
しかし、SaaS事業者の中でも、セキュリティリスクが低くISMAPの求めるセキュリティ水準まで必要のないサービスも世の中には多く存在します。

そうなると、政府機関のSaaSサービス利用の公平性が担保できず、支障をきたしかねません。（ISMAP登録企業に不公平性が出る）その解決策として、ISMAP-LIUという新しい認証ができました。

ISMAP-LIUとはISMAP for Low-Impact Useの略であり、セキュリティリスクの低いサービスを取り扱うSaaS事業者が対象となります。

(3)ISMAP-LIUの監査概要

ISMAP-LIUの認証取得には、監査法人による監査が必要です。

ISMAP-LIUの監査の基準としては、3つの大項目があり①ガバナンス基準、②マネジメント基準、③管理策基準と呼ばれています。

1. ガバナンス基準は、経営層向けの項目
2. マネジメント基準は、管理者やリーダー向けの項目
3. 管理策基準は、現場や具体的なセキュリティ施策の項目

となっています。

これら３つに分かれた大項目をより細かくチェックリストのように要求事項としたものが約1,200項目あります。

ISMAPは約1,200項目のうちだいたい1,000項目くらいを実施しなければならないですが、ISMAP-LIUでは、100～200項目になると言われています。

2.「ISMAP」と「ISMAP-LIU」の違い

(1)対象サービスの違い

ISMAPが対象としているサービスは、「機密性2情報」になります。

機密性2情報とは、

「行政事務で取り扱う情報のうち、秘密文書に相当する機密性は要しないが、漏えいにより、国民の権利が侵害され又は行政事務の遂行に支障を及ぼすおそれがある情報」

引用：内閣官房情報セキュリティセンター
政府機関の情報セキュリティ対策のための 統一基準(第 4 版) 解説書　６ページ：機密性についての格付けの定義

です。

簡単にいうと、世の中のSaaS事業者のほとんどが「機密性2情報」になるということです。
（「機密性3情報」は、行政の秘密文書に相当する情報を取り扱うサービス。「機密性１情報」は、世の中のほとんどのSaaS事業者は該当しない。）

一方、ISMAP-LIUは、「機密性2情報」の中でも、さらにセキュリティリスクの低いサービスを取り扱うSaaS事業者が対象となります。

漏えい時のリスクが低いものや個人情報を取り扱わないもの、個人情報の中でも悪意ある二次被害に使われにくいもの（＝個人への影響がほとんどないもの）が対象になっているイメージです。

ISMAP-LIUの主な対象サービスを以下に記載します。

カテゴリ	事業例
会議・連絡	WEB会議ツール系のSaaS事業者
	連絡・問合せ・チャット・チャットボットなどの業務連絡系のSaaS事業者
人事	人事管理・採用・人員配置・力量管理などのタレントマネジメント系のSaaS事業者
	名刺管理・企業管理系のSaaS事業者
	災害時用管理ツールや安否確認サービスのSaaS事業者
	動画教育、eラーニングなどの教育ツール系のSaaS事業者
コンテンツ	映像・コンテンツなどの配信系のSaaS事業者
	WEBサイト上のコンテンツ管理ツールのSaaS事業者
	翻訳ツール系のSaaS事業者
	アンケート・調査の作成・管理ツール系のSaaS事業者
文書共有	ファイル保存・ファイル共有系のSaaS事業者

(2)監査項目の違い

ISMAPもISMAP-LIUも認証取得のためには、監査法人による監査を受ける必要があります。

監査の項目数は約1,200項目ありますが、提供するSaaSの内容により項目を「採否」することが可能です。

一般的には、採否した結果、ISMAPの場合は800～1,000項目の採用項目、ISMAP-LIUは100～200項目の採用項目になることが多いです。

内容	ISMAP	ISMAP-LIU
監査法人による監査	〇（必須）	〇（必須）
監査項目	約1,200項目　 （自社で採用した管理策すべてが対象。 非採用項目を除くと一般的に800～1,000項目ほど）	約100～200項目 （委員会が指定する項目のみ）

(3)内部監査の報告義務

監査法人による監査とは別に、大事な項目が「内部監査」です。
内部監査とは、自社もしくはコンサルティング会社等による自己チェックのようなものです。

ISMAPでは内部監査の実施は必要ですが、監査法人への報告は不要です。
一方、ISMAP-LIUは監査法人への報告が必須になります。（報告義務）

内部監査についてのよくある質問として、以下が挙げられます。
①『自社に内部監査室があるからそこでやってもらえばよい？』
ISMAP-LIUの内部監査の力量があることの証明（外部機関にて講習を受けるなど）が必要になります。

ISMAP-LIUの知見や1,200項目の要求事項の把握が必要になるため、かなりの勉強時間と労力がかかります。

②『監査法人に頼めないの？』
ISMAP-LIUのルール上、ISMAP-LIUの審査をしてくれる監査法人（5つの団体）に頼むことは禁止されております。（公平性の担保）
結果として自社で行うか、コンサルティング会社に依頼する２択になるので注意が必要です。

③『適当にやって書類を出せば、監査通るんじゃないの？』
ISMAP-LIUの内部監査は、重要項目のひとつであり、かなり細かく見られます。

具体的には、内部監査の計画書、内部監査チェックリスト、内部監査の報告書、是正処置報告書は必ず見られます。

毎年これらの書類を作成する必要があるので、仮に自社だけで進めた場合、社内工数がかかる工程です。

「内部監査はプロのコンサルに任せる」という企業も、近年では一般的になってきました。

内容	ISMAP	ISMAP-LIU
内部監査の報告 （自社orコンサルが監査）	×（内部監査は必要だが、報告義務なし）	〇（内部監査の報告が義務）

(4)ISMAP-LIU取得にかかる期間

ISMAP-LIUの取得には、約1〜2年かかると言われています。

「言われている」と表現している理由は、2025年まで特別措置の運用期間であり、正式に登録された企業はまだ0件のため、約1~2年になるだろうという推定値であるからです。

ただし、あくまで一般論であり、社内のセキュリティ体制が整っていない場合はさらに期間がかかります。

内容	ISMAP	ISMAP-LIU
取得までにかかる期間	一般的に1~3年ほど	1~2年ほど ※2025年まで特別措置の運用期間であり、正式に登録された企業はまだ０件のため想定値

(5)ISMAP-LIU取得にかかる費用

ISMAP-LIU取得にかかる費用は、1,000～3,000万円/年ほどかかります。

詳しくは、こちらのコラムに解説しております。

3.ISMAP-LIUの「事前申請」について

(1)「事前申請」について

ISMAP-LIUは、2023年にできたばかりの新しい規格です。

そのため、2025年3月末までは緩和措置があり、それが「事前申請」による特別サービスリストへの登録です。

これはISMAP-LIU独自の制度としてできました。

初年度は、数千万円ほどかかる監査法人の監査を受けなくても政府機関等による調達リスト（＝特別サービスリスト）に掲載されるという緩和措置です。

ただし、「緩和措置」と呼ばれるだけあって、のちにISMAP-LIUの本登録が必須になります。

2025年3月以降の約1年以内に、監査法人による監査を受ける意思のある企業のみ使った方がよいので注意です。

(2)「特別措置サービスリストへの登録」について

ISMAP-LIUの具体的な「事前申請」や「事前申請による特別サービスリストへの登録」についてのスケジュールや、やり方はこちらのコラムを参照してください。
詳しく記載しております。

4.ISMAP-LIU取得をコンサルへ依頼すると効率的

自力でISMAPやISMAP-LIUの取得を目指す場合も、コンサルを導入して目指す場合も、取り組む活動自体は変わりません。

ただし、ISMAP自体がとても手間のかかる認証のため、コンサルを入れないと頓挫したり、予定通りに進まない企業も多いです。

これはISMAP-LIUを目指す場合でも同様です。

ISMAP-LIUのコンサルを導入した場合の大きなメリットは、以下の３つです。

1. 担当者への負担を軽減できる
2. 専門的なアドバイスがもらえる
3. 他社事例を参考にできる

(1)担当者への負担を軽減できる

ISMAP-LIUは、要求事項が100～200項目に抑えられると言われています。

ただし、ISMAP-LIUの事前申請に必要なドキュメント作成や申込みの手順、内部監査などやるべきことはかなり多いため、専任担当が数名いてもまわしきれないことがあります。

コンサルに頼れるところは頼り、自力でしかできない活動にリソース（時間と人数）を割くことが必要でしょう。

(2)専門的なアドバイスがもらえる

ISMAP-LIUの要求事項は、抽象的にかかれている項目もあり、「具体的に自分の会社だとどういう活動をすればよいか」「具体的にどんなドキュメントを作れば監査に通るのか」が分からなくなることが多いです。

さらに、ISMAPやISMAP-LIUについては、書籍やWEB上での情報も出回っておらず、勉強しようとしてもどこで勉強すればよいのか迷います。

専門的なアドバイスやレビューがあるとスピードも安心感も違います。

コンサルに頼るメリットの１つと言えるでしょう。

(3)他社事例を参考にできる

前述したとおり、ISMAPやISMAP-LIUは書籍やWEB上での情報も出回っていないため、問題に差し掛かったときに解決策を勉強したり、情報を探すことが難しいです。

そのため、一番の近道が他社事例です。

身近にISMAPやISMAP-LIUの事務局を経験した方がおり、かつ頼れる状態であればよいのですが、実際はそう簡単にはいきません。

そんな場合に、コンサルタントを雇い、コンサルから他社事例を収集することでうまく解決できるケースが多々あります。

多額のお金を払ってでも、他社事例を収集する価値はあります。

5.まとめ

ISMAPの必要事項が約800～1,000項目程度（全数は約1,200項目）に対し、ISMAP-LIUの必要項目は100~200項目程度になることが多く、ISMAPよりも取り組みやすい規格です。

セキュリティリスクの低いサービスを取り扱うSaaS事業者が対象にとなり、個人情報を取り扱わないサービスや、個人情報の中でも悪意ある二次被害に使われにくくいもの（＝個人への影響がほとんどないもの）が主に対象になっています。

ISMAP-LIUは、2025年まで特別措置の運用期間であり、正式に登録された企業はまだ０件です。

想定としては、費用は1,000～3,000万円、取得まで1~2年かかると言われています。