１．ISMAP-LIUとは？

(1)概要

ISMAP-LIUとは、政府機関等による調達リストに掲載されるために必要な認証の１つです。

簡単に言うと入札や公共のお仕事、政府機関のお仕事の受注増加のためと考えている企業が取る認証です。
ISMAP-LIUは、イスマップ-エル アイ ユーと読みます。

(2)費用

ISMAP-LIUは、費用が700〜2,000万円程度に抑えられると言われています。

（2025年まで特別措置の運用期間であり、正式に登録された企業はまだ０件のため想定値）
ISMAPの認証では、1,000〜5,000万円ほど費用が発生するケースが多かったので、それに比べると費用が抑えられています。

ISMAPやISMAP-LIUを取得していない多くの企業の代替案がISO27017（クラウドセキュリティ）の取得です。

ISO27017の取得にかかる費用が一般に200〜250万円と安く、コスト的な問題で選ばれることが多い印象です。

２．ISMAPとISMAP-LIUの違い

類似の認証にISMAP（イスマップ）があります。
政府情報システムのためのセキュリティ評価制度（ISMAP）は2020年6月に発表され、開始3年間で約50のサービスが登録されています。

しかし、ISMAPの要件を満たすためには、約1,200項目のチェック項目の対応や、人的リソースの確保、コスト圧迫（監査費用やコンサル利用の費用などトータルで1,000〜5,000万円）などが必要です。その理由で中小企業はISMAPの認証が現実的ではないと言われています。

そこで、セキュリティリスクが低いSaaS事業者に絞り、ISMAPよりも取り組みやすい認証が作られました。
それがISMAP-LIUです。

ただし、語源がISMAP-LIU（Low-Impact Use）であり、簡易版とは謳わずに、あくまでセキュリティリスクが低い事業者に対してのISMAPとなっていることから想像できますが、難易度自体は大幅に下がるわけではありません。

下記の表がISMAPとISMAP-LIUの比較表です。

内容	ISMAP	ISMAP-LIU
対象	クラウドサービス全般	SaaS事業者
政府機関等による 調達リストに掲載	◎ （ISMAP-LIU調達→〇） （ISMAP調達　　→〇）	〇 （ISMAP-LIU調達→〇） （ISMAP調達　　→×）
監査法人による監査	〇 （必要）	〇 （必要）
監査項目	約1,200項目　 （自社で採用した管理策すべてが対象。 非採用項目を除くと一般的に800項目ほど）	約100～200項目 （委員会が指定する項目のみ
事前申請	× （不必要）	〇 （必要）
内部監査の報告 （自社orコンサルが監査）	× （内部監査は必要だが、報告義務なし）	〇 （内部監査の報告が義務）
取得までかかる期間	一般的に１～３年ほど	１～２年ほど ※2025年まで特別措置の運用期間であり、正式に登録された企業はまだ０件のため想定値
コスト	1,000～5,000万円が一般的	700～2,000万円ほど ※2025年まで特別措置の運用期間であり、正式に登録された企業はまだ０件のため想定値

３．ISO27001（ISMS）やISO27017との違い

『入札や公共のお仕事、政府機関のお仕事の受注増加のため』『大手顧客との取引のため』などと聞くと、もう一つ効果の高い認証があります。

それがISO27001（ISMS）とISO27017です。

どちらも官公庁のお仕事の要件に入っていたり、大手の顧客要求に含まれていることが多い認証です。

「ISMAP-LIUは、もっと安く簡単にできるものだと思っていた」
「ISMAP-LIUよりも、もっと取り組みやすく、効果的なものはないか」
と考えている方は以下を参考にしてください。
ISO27001（ISMS）やISO27017でそのお悩みが解決できる場合が大いにあります。
【初めての人向け】今話題のISMAPとは何か？をわかりやすく説明

４．ISMAP-LIUのメリットと費用対効果

ISMAP-LIUのメリットは、2点あります。

(1)営業側面
なんと言っても、ISMAP-LIUを取得することで、政府機関等による調達リストに掲載されます。
公共のお仕事、政府機関のお仕事の受注増加につながるでしょう。

(2)信頼獲得
ISMAP-LIUを取得することで、顧客からの信頼も得ることができます。

ISMAP-LIUの監査は、会社のマネジメント、ガバナンスのチェックのみならず、提供しているサービスのセキュリティチェックや仕組みのチェックもあるため、認証を取得すること自体が信用に繋がります。

５．どんな企業が取得しているのか？

ISMAP-LIU自体、新しく施行されたものであるため、2023年現在取得企業数は0件です。

※現在は、2025年まで特別措置の運用期間中です。一定の手続きを踏むとまず「特別措置サービスリスト」に登録されます。具体的な手順はこのコラムの次項にて記載しています。

ただし、ISMAP-LIUは登録できる企業を制限しているため、「自社は取得対象なのか」の判別はできます。
▼対象業務　※一例

カテゴリ	事業例
会議・連絡	WEB会議ツール系のSaaS事業者
	連絡・問合せ・チャット・チャットボットなどの業務連絡系のSaaS事業者
人事	人事管理・採用・人員配置・力量管理などのタレントマネジメント系のSaaS事業者
	名刺管理・企業管理系のSaaS事業者
	災害時用管理ツールや安否確認サービスのSaaS事業者
	動画教育、eラーニングなどの教育ツール系のSaaS事業者
コンテンツ	映像・コンテンツなどの配信系のSaaS事業者
	WEBサイト上のコンテンツ管理ツールのSaaS事業者
	翻訳ツール系のSaaS事業者
	アンケート・調査の作成・管理ツール系のSaaS事業者
文書共有	ファイル保存・ファイル共有系のSaaS事業者

６．ISMAP-LIUの取得までの流れ、取得までの期間

ISMAP-LIUを取得するまでは、早くても1〜2年かかります。

ただし、2025年3月末までは特別な緩和措置があります。
それがISMAP-LIUの「事前申請」による「特別サービスリスト」への登録です。

これはISMAP-LIU独自の制度になります。
簡単に言うと、莫大なお金のかかる監査法人の監査を受けなくても政府機関等による調達リストの一種である「特別サービスリスト」に掲載されるものです。

ただし、“緩和措置”ということだけあって、のちにISMAP-LIUの本登録が必要です。

つまり、2025年3月末までには、監査法人の監査を受けてISMAP-LIUの本登録を行う意志のある企業のみ行った方がよいです。

７．ISMAP-LIU取得の第１ステップ：「事前申請」と「特別措置サービスリストへの登録」の方法を解説

まずは、2025年3月末までの緩和措置を使いましょう。
登録までのステップの山場です。

ただし、やることはたくさんあります。

(1)統制・整備・運用

ISMAP-LIUの要求項目を満たすために、統制、整備、運用をしていきます。

ISMAP-LIUでは、ISMAP要求の約1,200項目のうち、重要な150〜200項目が対象になると言われています。
それをルール化・文書化・現場に落とし込み運用、記録（ログ）の収集をしていきます。

(2)政府機関等へ影響度評価の依頼

政府機関等へ影響度評価の依頼というのは、ISMAP-LIU独自の必要項目です。
“監査法人の監査を受けない”という緩和措置の代替事項と思ってください。

経済産業省、デジタル庁など、政府機関等へ「影響度評価」というものを作って依頼することが必要です。
「影響度評価」のフォーマットや申請書は、以下の公式サイトからダウンロードできます。
ＩＳＭＡＰ – 政府情報システムのためのセキュリティ評価制度

(3)エントリー申請

無事に、政府機関等から「影響度評価」のOKが出た場合、「ISMAP-LIUの事前申請」のエントリー申請に進みます。

こちらの申請書類フォーマットも、以下の公式サイトからダウンロードできます。
ＩＳＭＡＰ – 政府情報システムのためのセキュリティ評価制度

(4)文書審査

申請書をもとに審査されます。

※ポイント：内部監査の報告義務
ISMAPと違い、ISMAP-LIUの事前申請には「内部監査の報告」が必須になりました。

エントリー申請や文書審査の前に、
1)自社で内部監査を行い、内部監査の報告書を作成する。　※内部監査員の力量を示すものも準備が必要
2)専門のコンサルタントに依頼し、内部監査をやってもらい、内部監査の報告書を作成してもらう
のどちらかが必要になります。

さらに、ISMAP-LIU取得後も、内部監査の報告は3年に一度の頻度で行わなければならず、内部監査関連書類（計画書、報告書、調書、監査証跡（チェックリスト等））は3年間保管が必要です。

最低でもISMAP-LIUの採用項目（100～200項目）を3年で分割してすべてチェックする必要があるということです。

チェックリストを上からなぞるだけの内部監査だと突破は難しく、内部監査の経験と力量がかなり必要です。ほとんどの中小企業だと自社では難しいのではないでしょうか。

また、ISMAP-LIUの監査ができる監査法人（５団体）には公平性の観点から「事前申請に必要な内部監査の実施」が禁止されていますので、自社実施またはコンサル会社に頼むことになります。

参考：ISMAP-LIUの監査ができる監査法人（５団体）
・EY新日本有限責任監査法人
・有限責任監査法人トーマツ
・有限責任あずさ監査法人
・PwCあらた有限責任監査法人
・三優監査法人

(5)特別措置サービスリストに登録

合格が出れば、「特別措置サービスリスト」へ登録されます。

８．ISMAP-LIU取得の第２ステップ：「本登録」の方法を解説

続いては本登録です。

“緩和措置”である「特別措置サービスリストへの登録」は、2025年3月末までです。
つまり、ISMAP-LIU本登録に向けても進めなければなりません。
（監査法人に莫大なお金を払い、監査してもらうことが必須になります。）

ISMAP-LIU本登録の流れについては、ISMAPと同じです。
流れはこちらのコラムをご覧下さい。
【初めての人向け】今話題のISMAPとは何か？をわかりやすく説明

９．ISMAP-LIUにかかるトータルコスト、費用の相場

ISMAP-LIU取得にかかる費用は大きく２つあります。

①監査機関・・・監査費用
＝ISMAP-LIU取得の第２ステップ：「本登録」の際に必要

②コンサルティング・・・コンサル費用
＝以下２つどちらにも必要

• ISMAP-LIU取得の第１ステップ：「事前申請」と「特別措置サービスリストへの登録」
• ISMAP-LIU取得の第２ステップ：「本登録」

規模にもよりますが、①＋②で、700～2,000万円程度はかかると言われています。

ただし、2025年まで特別措置の運用期間であり、正式に登録された企業はまだ０件のため想定値です。

本家のISMAPでは、1,000～5,000万円程度かかることが一般的なので、それに比べるとコストダウンできそうです。

「ISMAP-LIUでもこんなにかかるの！？」と思った方は多いのではないでしょうか？

そのような方への代替案がISO27001（ISMS）とISO27017です。

規模にもよりますが、トータルコストでも200～250万円で取得できることが一般的です。

ISO27001(ISMS)、ISO27017の取得について詳しくは下記コラムに記載しております。ご参考にしてください。
ISMSの取得について：ISMS取得の流れガイド｜審査の内容やPマークとの違いも解説
ISO27017の取得について：ISO27017：クラウドセキュリティ認証取得の手順やポイントを解説

まとめ

ISMAP-LIU（イスマップ-エル・アイ・ユー）とは、政府情報システムのためのセキュリティ評価制度です。

ISMAP-LIUの取得は、緩和されたと言われつつもまだまだハードルが高く、ISMAPやISMAP-LIUと比較すると難易度が低いISO27001（ISMS）やISO27017で代替できるケースが非常に多いです。
どの規格を取得するのかお悩みの方は、ぜひ一度認証パートナーにご相談ください。