2023年5月に施行された「ISMAP-LIU登録促進のための取組み（特別措置）」。ISMAP制度所管であるデジタル庁への相談窓口の設置や、特別措置サービスリストの策定等、ISMAP-LIUへのSaaS登録を促進すべく、様々な仕組みが導入されています。（詳細はこちら）

　中でも注目されているのが、ISMAP-LIUに申請予定のSaaSが、初回の外部監査対象範囲を大幅に縮小できる措置です。本措置は、特別措置の期限である令和７年3月末までにISMAP-LIUに申請を行うサービスに適用できます。しかし、その要件である「令和７年３月末までの申請」の定義が明確化されておらず、場合によっては、令和５年末頃からISMAP-LIU対応をスタートしないと期限に間に合わない恐れがありました。

　今般、上記「申請」の定義が明文化されました。これにより、より多くのSaaS事業者が特別措置のインセンティブを享受できることに加え、特別措置を踏まえたISMAP-LIUへの登録スケジュールをより具体的に描くことができるようになりました。本稿では、明確化された適用要件のポイントを解説します。

これまでの特別措置の適用要件

　まず、特別措置を適用することによって、外部監査対象範囲がどの程度縮減するのか、見ていきましょう。

　特別措置期間中の１度に限り、外部監査範囲を大幅に縮減することが可能です。（説明の都合上省略していますが、内部監査結果の報告書提出についても同様に、特別措置期間中の１度に限り、提出が免除されます。）

　次に、上記措置の適用要件を見てみましょう。ISMAP基本規程とデジタル庁のHPそれぞれで、以下のように定められています。

　ISMAP基本規程上は、令和７年３月３１日までに「登録又は更新の申請」が要件であるのに対し、デジタル庁のHPでは、令和７年３月末にISMAP-LIUへの「登録申請（事前申請を含む）が提出」とあり、一見すると、令和７年３月末時点でISMAP-LIUへの本申請まで必要なのか、事前申請までで良いのか、判断しにくい状況です。

　仮に、令和７年３月末にISMAP-LIUへの本申請を終えようと思うと、事前申請や外部監査（任意のプレ監査含む）を同日までに終える必要が生じることに加え、ISMAP-LIUに耐え得るセキュリティ対策の構築や強化を行う期間も加味すると、場合によっては令和５年１２月現在から動き出す必要が生じる可能性もあり、上記措置を適用するには非常に厳しいスケジュールとなっています。

明確化された特別措置の適用要件

　では、上記の適用要件がどのように明確化されたのでしょうか。具体的には、デジタル庁HPの留意点欄に、以下が追加されました。

　もちろん、早めの対応が望ましいのは変わりませんが、今後、令和７年３月末までに特別措置の適用要件として求められるステータスは「事前申請」であることが明確になったため、SaaS事業者は、余裕をもってISMAP-LIUへの対応準備（セキュリティ対策の構築、外部監査対応、等）を進めることができます。

　特別措置では、特別措置サービスリストに自身のサービスが掲載されることで、ISMAPやISMAP-LIU同様、SaaS調達時に政府機関等からリストが参照されることに加え、ISMAP-LIUへの申請に向けて、初回の外部監査範囲をISMAP-LIUよりさらに大幅削減できる点において、ISMAP対応の費用面やリソース面で苦しむSaaS事業者にとって、非常に有益な措置です。特別措置の期限である令和７年３月末を１つのマイルストーンとして設定し、徐々に自社のセキュリティ対策状況をISMAP-LIUの要件に適合させ、特別措置・ISMAP-LIUへの適合を行っていく過程の中で着実に成長していくことが可能です。

まとめ

　いかがでしょうか。今回は、ISMAP-LIUの準備措置に位置する「特別措置」について、明確化された適用要件についてご紹介しました。費用面やリソース面の都合で、即座にISMAP-LIUへの申請対応を行うことが困難なSaaS事業者の方も、ぜひ、特別措置を活用したISMAP-LIUへの申請に踏み切ってみませんか。

　本サイトでは、ISMAP制度における疑問・質問はどんな内容でも受け付けております。その他、制度理解や対応に役立つコンテンツをどんどん配信しているので、是非チェックしてみてください！

執筆者

東海林 和広

• 株式会社 X-Regulation 取締役

• 大手監査法人において、ISMAP監査やクラウドサービスに対するセキュリティ監査等を多数経験