クラウドサインが「ISMAP」に登録—その制度概要と意義

2021.12.24更新

政府情報システムのためのセキュリティ評価制度であるISMAPの認定リストに、電子契約クラウドサインが登録されました。本記事をお読みいただくことで、この制度の詳細とともに、クラウドサインがISMAPに登録されたことの意義が分かります。

ISMAP（イスマップ）とは？—政府調達の円滑化を目的としたクラウドサービスセキュリティ評価制度

クラウドサービスを選定する際に、情報セキュリティ面の安全性を確認する客観的評価制度として注目されはじめているのが、政府基準に基づくクラウドサービスセキュリティ評価制度「ISMAP（イスマップ）」 です。

その正式な定義について、政府が運営するISMAPポータルサイトより以下引用します。

政府情報システムのためのセキュリティ評価制度（Information system Security Management and Assessment Program: 通称、ISMAP（イスマップ））は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。
本制度は、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」（令和2年1月30日サイバーセキュリティ戦略本部決定）に基づき、内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省が運営しています。

ISMAP運営委員会を構成する委員は、上記所管省庁のほか、

情報セキュリティ監査
クラウドコンピューティング
情報セキュリティ

の専門家から成りますが、公平・中立性を担保するため氏名等は非公表です。登録を申請するクラウドサービス事業者は、このISMAP運営委員会が定めた評価基準に基づいたセキュリティ対策の実施状況について、審査を受けることになります。

ISMAP制度概要　https://www.nisc.go.jp/active/general/ismap.html

クラウドサインが電子契約SaaSとして初のISMAPクラウドサービスリスト登録

この審査を受け、評価基準を満たすことが確認されたクラウドサービスは「ISMAPクラウドサービスリスト」に掲載されます。各省庁・自治体等は、情報セキュリティ面での安全性が確認済みであるこのリスト掲載サービスの中から、利用するクラウドサービスを選定することとなります。

そしてこの度、弁護士ドットコム株式会社が提供するWeb完結型クラウド契約サービスクラウドサインは、約6ヶ月にわたる評価の結果、政府が求めるセキュリティ要求を満たしているサービスであると認められ、2021年12月20日付でこのISMAPクラウドサービスリストに登録されました。

クラウドサインが電子契約SaaSとして初のISMAPクラウドサービスリスト登録　https://www.ismap.go.jp/csm?id=cloud_service_list

クラウドサインは2021年2月、産業競争力強化法に基づくグレーゾーン解消制度を利用することで、所管する各大臣より、国との契約書・請書・その他これに準ずる書面・検査調書・見積書等においても適法に利用できることにつき、回答書を受領しています（関連記事：国・地方公共団体ともクラウドサイン可能に—グレーゾーン解消制度による電子署名法・契約事務取扱規則の適法性確認）。

さらに12月初旬には、地方自治体の情報セキュリティを担保するための行政専用ネットワーク網LGWAN（エルジーワン）にも対応。各自治体で定められた情報セキュリティポリシーやネットワークの安全性確保の観点等により、契約書をインターネット上に保存できないといった課題にいち早く対応し、セキュアな環境でクラウドサインをお使いいただける環境を構築しています。（関連記事：「クラウドサイン」が総合行政ネットワークLGWAN-ASPへ対応。地方自治体へ電子契約の普及を加速）

すでにクラウドサインを採用いただいている地方自治体いらっしゃる中、今回のISMAP登録により、より多くの行政機関への導入が促進される ことが期待できます。

国や地方自治体との契約をきっかけとしたクラウド型電子署名サービスのDXインフラ化

報道等にも見られるとおり、目下デジタル庁のリーダーシップのもと、行政サービスのクラウドネイティブ化が一気呵成に推し進められています。

▼＜独自＞クラウド利用基準改定へ　行政サービス安全性強化（産経新聞）

重点計画で政府はサイバーセキュリティーの確保を明記した上で、デジタル庁と内閣サイバーセキュリティセンター（ＮＩＳＣ）が連携し、システムをインターネット上で共同管理するクラウドの利用拡大を見据えて政府統一基準を改定することを盛り込む。国のシステムでクラウドの利用を第一に考える「クラウド・バイ・デフォルト」原則を徹底することも明記する。

こうして行政システムのクラウド一本化が進むにつれ、国・地方自治体と民間とが電子契約を締結する場面において、ISMAPクラウドサービスリストに登録された電子署名サービスを利用することが求められることになります。

従来の当事者署名型の電子契約サービス利用を前提としていた時代は、国・地方自治体から見た契約の相手方となる民間側にも、電子証明書や認証に必要な機器の準備等、手間とコスト負担を強いられてきました。一方、クラウドサインであれば当事者署名型で民間側が負担していたコストは発生せず、受け入れられやすい官民電子契約のインフラが実現 できます。結果として、行政と民間双方のDXが促進されることとなります。

また、このリストに登録されたクラウドサービスは、いわば国からお墨付きを得たクラウドサービスであるという観点から、民間企業におけるクラウドサービス選定・スクリーニング基準としても注目されています。

クラウドサインがISMAPに登録されたことにより、政府のセキュリティ基準を満たしているサービスとして、これまで以上に安心してご利用いただけるものと考えています。

（橋詰）