ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜17:00

ISMS(ISO27001)認証お役立ちコラム

ISMAP-LIUとは?ISMAPとの違いについても解説

スタッフ写真
スタッフ写真

2023年11月2日

ISMAP-LIUとは?ISMAPとの違いについても解説

ISMAP-LIUとは、政府機関等による調達リスト登録のための認証です。ISMAP for Low-Impact Useの略であり、セキュリティリスクの低いサービスを取り扱うSaaS事業者が対象となります。
類似のISMAPの必要事項が約800〜1,000項目程度(全数は約1,300項目)に対し、ISMAP-LIUの必要項目は100〜200項目程度になることが多く、ISMAPよりも取り組みやすい規格です。

1.ISMAP-LIU(ISMAP for Low-Impact Use)とは?

(1)ISMAP(イスマップ)とは?

まず、ISMAP-LIUと類似のISMAPについて説明します。
ISMAPとは、政府情報システムのためのセキュリティ評価制度の一つです、
Information system Security Management and Assessment Programの略です。

ISMAPの認証を取得すると、「ISMAPクラウドサービスリスト」に登録され、このリストの中から原則として調達することになります。

つまり、行政や官公庁の仕事をもらいたい企業にとっては大きなメリットになります。

(2)ISMAP-LIU創設の経緯

続いて、ISMAP-LIUができた経緯について説明します。

大本のISMAPは、難易度が高く、取得までに費用・準備の期間と工数がかなりかかります。
しかし、SaaS事業者の中でも、セキュリティリスクが低くISMAPの求めるセキュリティ水準まで必要のないサービスも世の中には多く存在します。

そうなると、政府機関のSaaSサービス利用の公平性が担保できず、支障をきたしかねません。(ISMAP登録企業に不公平性が出る)その解決策として、ISMAP-LIUという新しい認証ができました。

ISMAP-LIUとはISMAP for Low-Impact Useの略であり、セキュリティリスクの低いサービスを取り扱うSaaS事業者が対象となります。

(3)ISMAP-LIUの監査概要

ISMAP-LIUの認証取得には、監査法人による監査が必要です。

ISMAP-LIUの監査の基準としては、3つの大項目があり①ガバナンス基準、②マネジメント基準、③管理策基準と呼ばれています。

  1. ガバナンス基準は、経営層向けの項目
  2. マネジメント基準は、管理者やリーダー向けの項目
  3. 管理策基準は、現場や具体的なセキュリティ施策の項目

となっています。

これら3つに分かれた大項目をより細かくチェックリストのように要求事項としたものが約1,300項目あります。

ISMAPは約1,300項目のうちだいたい1,000項目くらいを実施しなければならないですが、ISMAP-LIUでは、100~200項目になると言われています。

ISMAP×ISMAP-LIU_完全攻略ガイド

ISMAP×ISMAP-LIU_完全攻略ガイド

2.「ISMAP」と「ISMAP-LIU」の違い

(1)対象サービスの違い

ISMAPが対象としているサービスは、「機密性2情報」になります。

機密性2情報とは、

「行政事務で取り扱う情報のうち、秘密文書に相当する機密性は要しないが、漏えいにより、国民の権利が侵害され又は行政事務の遂行に支障を及ぼすおそれがある情報」

引用:内閣官房情報セキュリティセンター
政府機関の情報セキュリティ対策のための 統一基準(第 4 版) 解説書 6ページ:機密性についての格付けの定義

です。

簡単にいうと、世の中のSaaS事業者のほとんどが「機密性2情報」になるということです。
(「機密性3情報」は、行政の秘密文書に相当する情報を取り扱うサービス。「機密性1情報」は、世の中のほとんどのSaaS事業者は該当しない。)

一方、ISMAP-LIUは、「機密性2情報」の中でも、さらにセキュリティリスクの低いサービスを取り扱うSaaS事業者が対象となります。

漏えい時のリスクが低いものや個人情報を取り扱わないもの、個人情報の中でも悪意ある二次被害に使われにくいもの(=個人への影響がほとんどないもの)が対象になっているイメージです。

ISMAP-LIUの主な対象サービスを以下に記載します。

カテゴリ事業例
会議・連絡WEB会議ツール系のSaaS事業者
連絡・問合せ・チャット・チャットボットなどの業務連絡系のSaaS事業者
人事人事管理・採用・人員配置・力量管理などのタレントマネジメント系のSaaS事業者
名刺管理・企業管理系のSaaS事業者
災害時用管理ツールや安否確認サービスのSaaS事業者
動画教育、eラーニングなどの教育ツール系のSaaS事業者
コンテンツ映像・コンテンツなどの配信系のSaaS事業者
WEBサイト上のコンテンツ管理ツールのSaaS事業者
翻訳ツール系のSaaS事業者
アンケート・調査の作成・管理ツール系のSaaS事業者
文書共有ファイル保存・ファイル共有系のSaaS事業者

(2)監査項目の違い

ISMAPもISMAP-LIUも認証取得のためには、監査法人による監査を受ける必要があります。

監査の項目数は約1,300項目ありますが、提供するSaaSの内容により項目を「採否」することが可能です。

一般的には、採否した結果、ISMAPの場合は800~1,000項目の採用項目、ISMAP-LIUは100~200項目の採用項目になることが多いです。

内容ISMAPISMAP-LIU
監査法人による監査〇(必須)
〇(必須)
監査項目約1,200項目 
(自社で採用した管理策すべてが対象。
非採用項目を除くと一般的に800~1,000項目ほど)
約100~200項目
(委員会が指定する項目のみ)

(3)内部監査の報告義務

監査法人による監査とは別に、大事な項目が「内部監査」です。
内部監査とは、自社もしくはコンサルティング会社等による自己チェックのようなものです。

ISMAPでは内部監査の実施は必要ですが、監査法人への報告は不要です。
一方、ISMAP-LIUは監査法人への報告が必須になります。(報告義務)

内部監査についてのよくある質問として、以下が挙げられます。
①『自社に内部監査室があるからそこでやってもらえばよい?』
ISMAP-LIUの内部監査の力量があることの証明(外部機関にて講習を受けるなど)が必要になります。

ISMAP-LIUの知見や1,300項目の要求事項の把握が必要になるため、かなりの勉強時間と労力がかかります。

②『監査法人に頼めないの?』
ISMAP-LIUのルール上、ISMAP-LIUの審査をしてくれる監査法人(5つの団体)に頼むことは禁止されております。(公平性の担保)
結果として自社で行うか、コンサルティング会社に依頼する2択になるので注意が必要です。

③『適当にやって書類を出せば、監査通るんじゃないの?』
ISMAP-LIUの内部監査は、重要項目のひとつであり、かなり細かく見られます。

具体的には、内部監査の計画書、内部監査チェックリスト、内部監査の報告書、是正処置報告書は必ず見られます。

毎年これらの書類を作成する必要があるので、仮に自社だけで進めた場合、社内工数がかかる工程です。

「内部監査はプロのコンサルに任せる」という企業も、近年では一般的になってきました。

内容ISMAPISMAP-LIU
内部監査の報告
(自社orコンサルが監査)
×(内部監査は必要だが、報告義務なし)
〇(内部監査の報告が義務)

(4)ISMAP-LIU取得にかかる期間

ISMAP-LIUの取得には、約1〜2年かかると言われています。

「言われている」と表現している理由は、2025年まで特別措置の運用期間であり、正式に登録された企業はまだ0件のため、約1~2年になるだろうという推定値であるからです。

ただし、あくまで一般論であり、社内のセキュリティ体制が整っていない場合はさらに期間がかかります。

内容ISMAPISMAP-LIU
取得までにかかる期間
一般的に1~3年ほど
1~2年ほど
※2025年まで特別措置の運用期間であり、正式に登録された企業はまだ0件のため想定値

(5)ISMAP-LIU取得にかかる費用

ISMAP-LIU取得にかかる費用は、700~2,000万円/年ほどかかります。

詳しくは、こちらのコラムに解説しております。
ISMAP-LIUにかかる費用と費用対効果を解説

3.ISMAP-LIUの「事前申請」について

(1)「事前申請」について

ISMAP-LIUは、2023年にできたばかりの新しい規格です。

そのため、2025年3月末までは緩和措置があり、それが「事前申請」による特別サービスリストへの登録です。

これはISMAP-LIU独自の制度としてできました。

初年度は、数千万円ほどかかる監査法人の監査を受けなくても政府機関等による調達リスト(=特別サービスリスト)に掲載されるという緩和措置です。

ただし、「緩和措置」と呼ばれるだけあって、のちにISMAP-LIUの本登録が必須になります。

2025年3月以降の約1年以内に、監査法人による監査を受ける意思のある企業のみ使った方がよいので注意です。

(2)「特別措置サービスリストへの登録」について

ISMAP-LIUの具体的な「事前申請」や「事前申請による特別サービスリストへの登録」についてのスケジュールや、やり方はこちらのコラムを参照してください。
詳しく記載しております。
ISMAP-LIUにかかる費用と費用対効果を解説

4.ISMAP-LIU取得をコンサルへ依頼すると効率的


ISMSのコンサルティング

自力でISMAPやISMAP-LIUの取得を目指す場合も、コンサルを導入して目指す場合も、取り組む活動自体は変わりません。

ただし、ISMAP自体がとても手間のかかる認証のため、コンサルを入れないと頓挫したり、予定通りに進まない企業も多いです。

これはISMAP-LIUを目指す場合でも同様です。

ISMAP-LIUのコンサルを導入した場合の大きなメリットは、以下の3つです。

  1. 担当者への負担を軽減できる
  2. 専門的なアドバイスがもらえる
  3. 他社事例を参考にできる

(1)担当者への負担を軽減できる

ISMAP-LIUは、要求事項が100~200項目に抑えられると言われています。

ただし、ISMAP-LIUの事前申請に必要なドキュメント作成や申込みの手順、内部監査などやるべきことはかなり多いため、専任担当が数名いてもまわしきれないことがあります。

コンサルに頼れるところは頼り、自力でしかできない活動にリソース(時間と人数)を割くことが必要でしょう。

(2)専門的なアドバイスがもらえる

ISMAP-LIUの要求事項は、抽象的にかかれている項目もあり、「具体的に自分の会社だとどういう活動をすればよいか」「具体的にどんなドキュメントを作れば監査に通るのか」が分からなくなることが多いです。

さらに、ISMAPやISMAP-LIUについては、書籍やWEB上での情報も出回っておらず、勉強しようとしてもどこで勉強すればよいのか迷います。

専門的なアドバイスやレビューがあるとスピードも安心感も違います。

コンサルに頼るメリットの1つと言えるでしょう。

(3)他社事例を参考にできる

前述したとおり、ISMAPやISMAP-LIUは書籍やWEB上での情報も出回っていないため、問題に差し掛かったときに解決策を勉強したり、情報を探すことが難しいです。

そのため、一番の近道が他社事例です。

身近にISMAPやISMAP-LIUの事務局を経験した方がおり、かつ頼れる状態であればよいのですが、実際はそう簡単にはいきません。

そんな場合に、コンサルタントを雇い、コンサルから他社事例を収集することでうまく解決できるケースが多々あります。

多額のお金を払ってでも、他社事例を収集する価値はあります。

ISMAP×ISMAP-LIU_完全攻略ガイド

ISMAP×ISMAP-LIU_完全攻略ガイド

5.まとめ

ISMAPの必要事項が約800~1,000項目程度(全数は約1,300項目)に対し、ISMAP-LIUの必要項目は100~200項目程度になることが多く、ISMAPよりも取り組みやすい規格です。

セキュリティリスクの低いサービスを取り扱うSaaS事業者が対象にとなり、個人情報を取り扱わないサービスや、個人情報の中でも悪意ある二次被害に使われにくくいもの(=個人への影響がほとんどないもの)が主に対象になっています。

ISMAP-LIUは、2025年まで特別措置の運用期間であり、正式に登録された企業はまだ0件です。

想定としては、費用は700~2,000万円、取得まで1~2年かかると言われています。

ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。
コンサルタント写真
ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜17:00

認証パートナーのサービスご説明資料

新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。

資料の内容

  • ・当社のサポート内容
  • ・規格の概要
  • ・取得までに必要な審査費用

ISMS(ISO27001)認証パートナー
サービスのご案内認証パートナーロゴ

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。