ASP・SaaS安全・信頼性に係る情報開示認定制度 (マルチメディア振興センター)
こんにちは、丸山満彦です。財団法人マルチメディア振興センターが実施している「ASP・SaaS安全・信頼性に係る情報開示認定制度」についての備忘録です。。。
認定制度の基本的な考え方は
=====
(1)ASP・SaaSのユーザの視点に立った制度である。
ASP・SaaS についての高度な専門知識を持たないユーザでも、審査基準や審査内容が理解できます。
ユーザによるASP・SaaSのサービス及び事業者の評価・選択等が容易になります。
(2)発展期にあるASP・SaaS市場の拡大を促進する制度である。
ユーザによるASP・SaaSサービス及び事業者への信頼性が高まります。
ASP・SaaSのサービスを提供しようとする中小企業等の市場への参入促進につながります。
(3)事業者から適切に情報開示されていることを認定する制度である。
安全・信頼性に係る実施水準や状態に関する情報が、ASP・SaaSのサービスを提供する事業者から適切に開示されていることを認定する制度であり、安全・信頼性に係る実施水準や状態を認定するものではありません。
(4)ASP・SaaSのサービスを認定対象とする制度である。
安全・信頼性に係る情報開示が適切に行われているASP・SaaSのサービスを対象として認定する制度であり、事業者の経営状況等を認定するものではありません。
=====
信頼性、安全性、セキュリティの水準を保証するのではなく、情報開示についての認定(水準が高くない保証=レビュー?)というのがよいですね。。。
ちなみに金額は新規10万円、更新4万円(いずれも消費税込)
=====
(別表1)認定に係る手数料
1. 審査手数料<新規申請費用> 1サービスにつき10万円(消費税込み)
2. 更新審査手数料 <1年ごとに更新する際の費用> 1サービスにつき4万円(消費税込み)
=====
非常に安いです。。。
■ ASP・SaaS安全・信頼性に係る情報開示認定制度
●ASP・SaaS安全・信頼性に係る情報開示認定制度とは
=====
(1)審査対象項目
認定の審査対象項目は、「ASP・SaaSの安全・信頼性に係る情報開示指針」(総務省;平成19年11月27日公表)で示されている情報開示項目に基づきますが、詳細は別紙(審査対象項目)(http://www.fmmc.or.jp/asp-nintei/data/shinsa.pdf)のとおりです。
なお、審査対象としている情報開示項目は、以下のような構成となっています。
1. 事業者の安全・信頼性に関する情報開示項目
・開示情報の時点
・事業所・事業
・人材
・財務状況
・資本関係・取引関係
・コンプライアンス
2. サービスの安全・信頼性に関する情報開示項目
・サービス基本特性
・アプリケーション、プラットフォーム、サーバ・ストレージ等
・ネットワーク
・ハウジング(サーバ設置場所)
・サービスサポート
=====
ちなみに、認定のためには、以下の要件が必要だそうです。。。
=====
【対策・措置などを行っていない場合に非認定とする項目】
表 一定の要件を考慮すべき項目の内容
表 一定の要件を考慮すべき項目の内容
【対策・措置などを行っていない場合に非認定とする項目】
・コンプライアンス
・・情報セキュリティに関する規程などの整備
・サービス基本特性
・・サービス(事業)変更・終了に係る問合せ先
・アプリケーション、プラットフォーム、サーバ・ストレージ等
・・死活監視(ソフトウェア、機器)
・・ウィルスチェック
・・記録(ログ等)
・・セキュリティパッチ管理
・ネットワーク
・・ ファイアウォール設置等
・・ID・パスワードの運用管理
・・ユーザ認証
・・管理者認証
・サービスサポート
・・連絡先
・・メンテナンスなどの一時的サービス停止時の事前告知
・・障害・災害発生時の通知
【最低水準数値以下の場合に非認定とする項目】
・サービス基本特性
・・サービス(事業)変更・終了時の事前告知時期
=====
たとえば認定されているサービスは次のページにあります。
2010.01.18現在で82サービスありますね。。。
●認定サービス一覧
開示されている情報は次の通りとなります。。。
・ウイングアークテクノロジーズ株式会社
・・帳票SaaS
新規10万円であればほとんど書面チェック(書いているかいないかとかちょっとみるというレベルで明らかに間違っていないか)ということで実態の中身までは確認していないのですかね。。。
開示することが重要ということですかね。。。
Comments
丸山 様
夏井です。
この審査基準には適法性審査という観点が欠如していますね。
例えば,個人情報保護法22条との関係では,SaaSまたはASPの事業者が,その受託業務に関して,業務委託者からの監督に服する意思があり,その監督権が行使されるときには当該SaaS等のシステムのroot権限を委託者に与えることが可能であるかどうかが審査基準になるべきです。そうでなければ,委託者は受託者に対して「必要かつ適切な監督」を行うことができません。そして,もしそのような監督権に服することができないというのであれば,個人データを一切含まない業務だけを受注することを前提とするシステムであるかどうかが審査基準に含まれていなければならないことになるでしょう。
同じことは,営業秘密等の機密情報全般について妥当することだと理解しています。
結論として,この審査基準は,現状のままでは,適法性の審査基準としては全く役に立たないものですし,これに基づく認証も全く無意味なものだと評価するしかないだろうと思います。したがって,仮にこの審査基準に基づく認証が与えられてたとしても,「そのシステムによる業務処理が適法なものだ」という点に関しては全く何も評価されていないことになります。つまり,「システムの適法性に関しては何も担保していないし,何も保証するもではない」ということを明確にした上で,この審査業務を遂行するのがよいと思います。
Posted by: 夏井高人 | 2010.01.20 21:59
夏井先生、コメントありがとうございます。
保証(会計監査も含めて)や適合証明ということに意味を持たせるためには、クライテリアが目的適合していなければなりません。
安全なサイトであることを証明してほしいと思っても、その証明のためのクラテリアの内容がその要件をみたしていなければ(妥当性)、どれほど正確に適合証明をしても意味がありませんよね。。。
そういう意味でクライテリアは非常に重要です。。。
会計監査ではクライテリアが「一般に公正妥当と認められている」ことが監査報告書にも書かれていますよね。。。
Posted by: 丸山満彦 | 2010.01.22 22:30