2σ Guide

SOC2・ISMAP認証と政府調達
クラウドサービスの証明と入札実務

SOC 2は民間取引や海外取引で使われる第三者保証報告、ISMAPは日本政府のクラウド調達で制度上の意味を持つ登録制度です。両者の違い、契約・仕様書・社内体制への落とし込みを整理します。

5領域 SOC 2の主要評価観点
原則 ISMAPリスト掲載サービスから調達
10項目 FAQと実務チェック
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

SOC2・ISMAP認証と政府調達 クラウドサービスの証明と入札実務

SOC 2は民間取引や海外取引で使われる第三者保証報告、ISMAPは日本政府のクラウド調達で制度上の意味を持つ登録制度です。

動画を読み込み中…
2σ GUIDE ・ VIDEO
SOC2・ISMAP認証と政府調達 クラウドサービスの証
明と入札実務
SOC 2は民間取引や海外取引で使われる第三者保証報告、ISMAPは日本政府のクラウド調達で制度上の意味を持つ登録制度です。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • SOC2・ISMAP認証と政府調達 クラウドサービスの証明と入札実務
  • SOC 2は民間取引や海外取引で使われる第三者保証報告、ISMAPは日本政府のクラウド調達で制度上の意味を持つ登録制度です。

POINT 1

  • SOC2・ISMAP認証と政府調達の全体像
  • まず、政府クラウド調達ではISMAPを入口として確認し、SOC 2は補完的な統制証拠として読む、という大枠を押さえます。
  • 政府クラウド調達はISMAPから確認します
  • SOC 2はISMAPの代替ではありません
  • 営業表示は対象範囲を明示します

POINT 2

  • SOC2・ISMAP認証と政府調達で押さえる用語
  • SOC 2、ISMAP、ISMAP-LIU、政府調達は、似た文脈で登場しても制度の性質が異なります。
  • SOC 2とは、AICPAが整備するSOCサービス群のうち、サービス組織のシステムに係る統制を評価する保証報告の枠組みです。
  • クラウドサービス単位で評価・登録され、政府のクラウド調達におけるセキュリティ水準の確保に使われます。
  • ここで注意すべきなのは、SOC 2を「認証」と呼ぶ実務表現です。

POINT 3

  • SOC2・ISMAP認証と政府調達が重要な理由
  • 1. 政府情報システムでクラウドサービスを利用します:まずISMAP等クラウドサービスリスト掲載を確認します。
  • 2. SOC 2を補完証拠として使います:報告書の対象範囲、例外事項、利用者側統制を確認します。
  • 3. ISMAP要件を仕様書・契約書へ接続します:登録維持、変更通知、代替措置、監査協力を定めます。

POINT 4

  • SOC 2報告書を法務・監査で読む
  • 対象範囲が限定されます
  • 企業全体ではなく、特定サービス・特定システム・特定期間・特定領域に関する報告です。
  • 利用者側統制が前提になります
  • ID権限管理、MFA設定、APIキー管理、退職者アカウント削除などは利用者側の運用が重要です。

POINT 5

  • ISMAP制度を政府調達で読む
  • 1. 対象サービスと責任共有モデルを確定します:対象サービス、構成、リージョン、再委託先、クラウド基盤、データ保管場所を整理します。
  • 2. 管理基準とのギャップを埋めます:規程、手順、証跡、変更管理、脆弱性管理、インシデント対応、サプライチェーン管理を整備します。
  • 3. 登録監査機関との調整を行います:予備調査、言明書、実施結果報告書、改善計画書、申請資料を準備します。
  • 4. 変更・基準改定・顧客要求へ対応します:管理基準の改定、サービス変更、再委託先変更、インシデント、顧客監査要求に応じて継続管理します。

POINT 6

  • SOC2・ISMAP認証と政府調達の比較
  • 両者は似たラベルで語られますが、制度の性質、成果物、政府調達上の効果が異なります。
  • ISMAPは政府調達の入口、SOC 2は統制説明の共通言語です
  • 次の強調欄は、比較表から導ける実務上の結論を表します。
  • 制度名の優劣ではなく用途の違いを押さえるため重要であり、政府市場と民間・海外市場で準備すべき証拠が変わることを読み取れます。

POINT 7

  • 政府調達仕様書でSOC2・ISMAPを扱う方法
  • ISMAP要件は制度実態に合わせて書き、SOC 2は必要性・同等証明・対象範囲を整理して扱います。
  • SOC 2を政府調達仕様に入れる場合
  • 次の確認一覧は、仕様書にISMAP要件を書く前に見るべき点を表します。
  • サービス名や登録範囲がずれると要件充足の判断が不安定になるため重要であり、調達対象と登録対象の一致を読み取れます。

POINT 8

  • SOC2・ISMAP認証と政府調達の契約論点
  • 表明保証、登録変更、監査権、インシデント通知、個人情報保護を分けて設計します。
  • 表明保証
  • 登録喪失・基準改定
  • 監査権と証跡提供

まとめ

  • SOC2・ISMAP認証と政府調達 クラウドサービスの証
  • SOC2・ISMAP認証と政府調達の全体像:まず、政府クラウド調達ではISMAPを入口として確認し、SOC 2は補完的な統制証拠として読む、という大枠を押さえます。
  • SOC2・ISMAP認証と政府調達で押さえる用語:SOC 2、ISMAP、ISMAP-LIU、政府調達は、似た文脈で登場しても制度の性質が異なります。
  • SOC2・ISMAP認証と政府調達が重要な理由:クラウド・バイ・デフォルト、委託先管理、セキュリティ・バイ・デザインが、同じ調達プロセスの中で接続します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

SOC2・ISMAP認証と政府調達の全体像

まず、政府クラウド調達ではISMAPを入口として確認し、SOC 2は補完的な統制証拠として読む、という大枠を押さえます。

「SOC2・ISMAP認証と政府調達」を一言で整理すると、SOC 2は主に民間取引・海外取引・委託先管理で重視される第三者保証報告であり、ISMAPは日本政府のクラウドサービス調達で制度上の意味を持つ登録制度です。

政府機関等がクラウドサービスを調達する場面では、ISMAPはとくに重要です。ISMAPは、政府が求めるセキュリティ要求を満たすクラウドサービスをあらかじめ評価・登録し、政府のクラウドサービス調達におけるセキュリティ水準の確保と円滑な導入を図る制度として説明されています。

次の3つのポイント一覧は、SOC 2とISMAPを調達・契約・営業表示に落とし込むときの読み方を表します。制度名だけで判断すると対象範囲や法的意味を取り違えやすいため重要であり、各項目では「何を先に確認するか」を読み取れます。

POINT 1

政府クラウド調達はISMAPから確認します

会社単位ではなく、対象クラウドサービス、リージョン、機能、提供形態、再委託構造ごとに、ISMAP等クラウドサービスリストとの対応を確認します。

POINT 2

SOC 2はISMAPの代替ではありません

SOC 2報告書は、委託先管理、海外顧客への説明、統制成熟度の証明、ISMAP準備の基盤として有用ですが、通常はISMAP登録そのものを置き換えません。

POINT 3

営業表示は対象範囲を明示します

「SOC2取得済み」「ISMAP認証取得」といった表示は、対象サービス、対象期間、評価範囲、配布制限、登録状態を確認したうえで表現を整える必要があります。

重要SOC 2もISMAPも、事故が起きないことを保証する制度ではありません。利用者側の権限管理、ログ監視、設定確認、契約上の責任分担、インシデント対応と組み合わせることで実効性が高まります。

このページは一般的な制度説明と実務上の論点整理を目的としています。実際の案件では、調達主体、対象システム、取り扱う情報の機密性、公告・仕様書・契約書・関係ガイドラインの文言によって結論が変わる可能性があります。

Section 01

SOC2・ISMAP認証と政府調達で押さえる用語

SOC 2、ISMAP、ISMAP-LIU、政府調達は、似た文脈で登場しても制度の性質が異なります。

SOC 2とは、AICPAが整備するSOCサービス群のうち、サービス組織のシステムに係る統制を評価する保証報告の枠組みです。企業法務・委託先管理では、外部委託先が提供するサービスのセキュリティ、可用性、処理の完全性、機密保持、プライバシーに関する統制を、独立したCPA等が評価した報告書として理解するのが実務的です。

ISMAPは、Information system Security Management and Assessment Programの略称で、日本では「政府情報システムのためのセキュリティ評価制度」と説明されます。クラウドサービス単位で評価・登録され、政府のクラウド調達におけるセキュリティ水準の確保に使われます。

次の比較表は、4つの用語の制度上の位置づけを整理しています。用語の意味を混同すると、仕様書や提案書で過大な保証をしてしまうため重要であり、列ごとに「誰が何を確認する制度か」を読み取れます。

用語実務上の意味確認すべき範囲
SOC 2サービス組織の統制をTrust Services Criteria等に照らして評価する保証報告です。対象サービス、対象期間、報告書の種類、例外事項、利用者側統制、再委託先の扱いを確認します。
ISMAP政府情報システムで利用するクラウドサービスを評価・登録する制度です。リスト掲載サービス名、リージョン、機能、提供構成、再委託構造、登録範囲を確認します。
ISMAP-LIU機密性2情報を含む影響度の低い業務・情報を扱うSaaS向けに、リスクに応じた監査負担軽減を図る枠組みです。対象業務・情報のリスク、仕様書での許容有無、外部監査と内部監査の組み合わせを確認します。
政府調達国・政府機関・独立行政法人・地方公共団体等が物品、役務、システム、クラウドサービスを調達する手続です。公平性、競争性、透明性、会計法、政府調達協定、仕様書、契約条項を確認します。

ここで注意すべきなのは、SOC 2を「認証」と呼ぶ実務表現です。一般的な営業会話では使われることがありますが、厳密には行政登録や許認可ではなく、特定のシステム記述と統制に対するアテステーション報告です。そのため、公開表示や契約書では対象範囲を丁寧に書く必要があります。

政府調達は、単なる商取引ではありません。税金を原資とするため、公平性、競争性、透明性、説明責任、セキュリティ、継続性、国際約束との整合性が問われます。クラウドサービスの安全性だけでなく、入札手続、契約責任、個人情報保護、サプライチェーンリスクを横断して検討します。

Section 02

SOC2・ISMAP認証と政府調達が重要な理由

クラウド・バイ・デフォルト、委託先管理、セキュリティ・バイ・デザインが、同じ調達プロセスの中で接続します。

政府情報システムでは、クラウドサービスの利用が標準的な選択肢となっています。クラウド利用が広がるほど、政府情報システムの安全性は政府機関内部だけでは完結せず、クラウドサービス事業者、SaaSベンダー、再委託先、データセンター、ID管理、ログ監視、暗号鍵管理、サポート運用まで広がります。

民間企業でも、個別顧客がベンダーのセキュリティを完全に監査することは現実的ではありません。SOC 2報告書は、法務部、情報セキュリティ部、内部監査部、会計監査人、リスク管理部門が共通して読める第三者保証の資料として機能します。

次の段階図は、政府調達でセキュリティ要求がどの時点で実務に入るかを表します。調達後の運用だけで対応すると手戻りが大きいため重要であり、企画から終了・移行まで一貫して確認する必要があることを読み取れます。

企画・予算要求

クラウド利用と情報分類を整理します

対象業務、取り扱う情報、利用者側統制、ISMAPまたはISMAP-LIUの要否を初期段階で検討します。

仕様書・提案評価

セキュリティ要件を検証可能にします

ISMAP等クラウドサービスリスト掲載、第三者保証報告、同等証明、監査資料の提出方法を具体化します。

契約・運用

責任分担と変更対応を条項化します

登録状態の変更、インシデント通知、再委託、ログ保全、データ返却・削除、監査協力を契約に落とし込みます。

次の判断の流れは、SOC 2とISMAPのどちらを主に見ればよいかを整理します。制度の優先順位を誤ると要件不充足や過剰要求につながるため重要であり、クラウド調達か、委託先統制の確認かを分けて読むことができます。

SOC 2とISMAPの確認順序

政府情報システムでクラウドサービスを利用します

まずISMAP等クラウドサービスリスト掲載を確認します。

対象がSaaS・PaaS・IaaSのどれかを整理します

登録サービス名、リージョン、機能、オプション、基盤クラウドとの対応を見ます。

民間・海外取引も重視
SOC 2を補完証拠として使います

報告書の対象範囲、例外事項、利用者側統制を確認します。

政府調達要件が中心
ISMAP要件を仕様書・契約書へ接続します

登録維持、変更通知、代替措置、監査協力を定めます。

Section 03

SOC 2報告書を法務・監査で読む

SOC 2は「あり・なし」ではなく、対象範囲、期間、例外事項、利用者側統制まで読む資料です。

SOC 2報告書は、サービス組織が提供するシステム・サービスに関する統制を、Trust Services Criteriaに照らして評価するものです。Security、Availability、Processing Integrity、Confidentiality、Privacyのどの領域が対象かによって、読み手が得られる保証の範囲は変わります。

次の確認表は、SOC 2報告書を契約審査や委託先管理で読むときの主要項目を表します。表紙だけで判断すると対象外サービスや例外事項を見落とすため重要であり、各行では契約書やリスク評価へ反映すべき観点を読み取れます。

確認項目法務・調達実務上の意味
対象サービス契約対象サービスとSOC 2の対象が一致しているかを確認します。親会社や別サービスの報告書では不足する場合があります。
対象期間Type 2では、どの期間の運用が評価されたか、契約開始時点とのギャップがないかを確認します。
Trust Services CriteriaSecurityのみか、Availability、Confidentiality、Privacy等も含むかを確認します。
監査人の意見無限定か、限定付きか、例外事項があるかを確認します。
例外事項統制不備、運用逸脱、証跡不足がある場合、契約上のリスク評価に直結します。
補完的利用者側統制Complementary User Entity Controlsとして、利用者側で実施すべき統制を確認します。顧客側の設定不備があれば、ベンダーの統制だけでは安全性を確保しにくくなります。
サブサービス組織Subservice Organizationsとして、再委託先、クラウド基盤、データセンターが含まれるか、除外されるかを確認します。
配布制限SOC 2は通常、限定配布の報告書です。NDA、閲覧制限、要約版の扱いを契約に反映します。

SOC 2 Type 1とType 2

一般的に、Type 1は特定時点における統制の設計・実装状況を対象とし、Type 2は一定期間にわたる統制の運用状況を対象とします。顧客企業が継続的な委託先管理の証拠として重視するのは、多くの場合Type 2です。

次の比較表は、Type 1とType 2の使い分けを表します。新規サービスや創業初期のSaaSではType 2取得まで時間がかかるため重要であり、代替資料を組み合わせる場面を読み取れます。

種類対象実務上の使いどころ
Type 1特定時点の統制設計・実装状況です。新規サービス、リニューアル直後、Type 2取得前の初期説明に使われることがあります。
Type 2一定期間にわたる統制運用状況です。大企業、金融機関、海外顧客、継続的な委託先管理で重視されやすい資料です。

次の注意点一覧は、SOC 2報告書の限界を表します。SOC 2を万能な安全証明と誤解すると契約上の責任分担が曖昧になるため重要であり、報告書だけでは埋まらないリスクを読み取れます。

対象範囲が限定されます

企業全体ではなく、特定サービス・特定システム・特定期間・特定領域に関する報告です。

利用者側統制が前提になります

ID権限管理、MFA設定、APIキー管理、退職者アカウント削除などは利用者側の運用が重要です。

ISMAP登録ではありません

政府調達仕様でISMAP等クラウドサービスリスト掲載が求められる場合、SOC 2だけで要件充足とは通常いえません。

Section 04

ISMAP制度を政府調達で読む

ISMAPは会社全体の認証ではなく、政府が利用するクラウドサービスを調達するための制度です。

ISMAPは、政府が求めるセキュリティ要求を満たすクラウドサービスをあらかじめ評価・登録する制度です。制度運営は、国家サイバー統括室、デジタル庁、総務省、経済産業省が担い、IPAが制度運用支援および技術評価を行います。

企業法務上重要なのは、ISMAPが会社全体のセキュリティ認証ではなく、クラウドサービス単位の制度という点です。同じ会社が提供するサービスでも、リストに掲載されているサービスと、掲載されていないサービスがあり得ます。

次の手続の流れは、ISMAP対応を監査直前の書類作成ではなく、全社プロジェクトとして進める順番を表します。登録に至らないリスクや再作業を減らすため重要であり、準備・監査・登録後維持の各段階で誰が何を担うかを読み取れます。

準備

対象サービスと責任共有モデルを確定します

対象サービス、構成、リージョン、再委託先、クラウド基盤、データ保管場所を整理します。

整備

管理基準とのギャップを埋めます

規程、手順、証跡、変更管理、脆弱性管理、インシデント対応、サプライチェーン管理を整備します。

監査・申請

登録監査機関との調整を行います

予備調査、言明書、実施結果報告書、改善計画書、申請資料を準備します。

登録後

変更・基準改定・顧客要求へ対応します

管理基準の改定、サービス変更、再委託先変更、インシデント、顧客監査要求に応じて継続管理します。

ISMAP管理基準は、クラウドサービスのセキュリティ管理を評価するための基準です。JIS Q 27001、JIS Q 27002、ISO/IEC 27014等の改正を踏まえた改定案も公表されており、登録後も継続的な見直しが求められます。

次の比較一覧は、ISMAPとISMAP-LIUの使いどころを表します。影響度の低いSaaSだから常にISMAP-LIUで足りるわけではないため重要であり、対象業務・情報と調達仕様の関係を読み取れます。

枠組み主な対象実務上の確認点
ISMAP政府情報システムで利用されるクラウドサービスです。リスト掲載、登録範囲、管理基準、監査結果、変更時対応を確認します。
ISMAP-LIU機密性2情報を含む影響度の低い業務・情報を扱うSaaSサービスです。調達仕様が許容するか、対象情報のリスクが前提に合うか、外部監査と内部監査の範囲を確認します。
Section 05

SOC2・ISMAP認証と政府調達の比較

両者は似たラベルで語られますが、制度の性質、成果物、政府調達上の効果が異なります。

次の比較表は、SOC 2とISMAPの違いを調達・契約実務の観点から表します。制度の性質を取り違えると、仕様書で不正確な要件を書いたり、提案書で過大な表示をしたりするため重要であり、各行ではどちらが何を証明する資料なのかを読み取れます。

比較軸SOC 2ISMAP
制度の性質AICPAのSOCサービス群に基づくアテステーション報告です。日本政府情報システムのためのクラウドサービスセキュリティ評価・登録制度です。
主な目的外部委託先の統制状況を顧客・監査人等が確認します。政府のクラウド調達におけるセキュリティ水準確保と円滑導入を図ります。
利用場面民間企業の委託先審査、海外顧客対応、内部統制、取引先説明です。政府機関等のクラウドサービス調達、公共分野へのSaaS提供です。
対象サービス組織の特定システム・サービスです。ISMAP等クラウドサービスリストに登録されるクラウドサービスです。
成果物限定配布されることが多いSOC 2報告書です。ISMAP等クラウドサービスリストへの掲載です。
政府調達上の効果原則としてISMAP登録の代替ではありません。調達府省庁等が原則としてリスト掲載サービスから調達する制度上の意味を持ちます。
限界事故防止の絶対保証ではなく、利用者側統制が必要です。登録があっても、設定ミス、運用不備、利用者側統制不備は残ります。

次の強調欄は、比較表から導ける実務上の結論を表します。制度名の優劣ではなく用途の違いを押さえるため重要であり、政府市場と民間・海外市場で準備すべき証拠が変わることを読み取れます。

ISMAPは政府調達の入口、SOC 2は統制説明の共通言語です

政府向けクラウドサービスではISMAP等クラウドサービスリスト掲載を中心に確認します。一方、海外顧客や民間大企業にはSOC 2 Type 2報告書が強い説明資料になる場合があります。

Section 06

政府調達仕様書でSOC2・ISMAPを扱う方法

ISMAP要件は制度実態に合わせて書き、SOC 2は必要性・同等証明・対象範囲を整理して扱います。

政府調達では、調達府省庁等が原則としてISMAP等クラウドサービスリストに掲載されたクラウドサービスから調達するものとされています。そのため、仕様書では「会社がISMAP認証を取得していること」ではなく、「利用するクラウドサービスがISMAP等クラウドサービスリストに掲載されていること」と表現するほうが制度実態に即します。

次の確認一覧は、仕様書にISMAP要件を書く前に見るべき点を表します。サービス名や登録範囲がずれると要件充足の判断が不安定になるため重要であり、調達対象と登録対象の一致を読み取れます。

1

クラウドサービス該当性

SaaS、PaaS、IaaS、ホスティング、保守運用、開発委託、ネットワークサービスのどれに該当するかを整理します。

入口確認
2

登録サービスとの一致

ISMAP登録されているサービス名と、提案・契約対象のサービス名、リージョン、機能、オプションが一致するかを確認します。

範囲確認
3

再委託・基盤クラウド

再委託先や基盤クラウドが登録対象に含まれるか、利用者側統制として残る事項がないかを確認します。

責任分担

SOC 2を政府調達仕様に入れる場合

政府調達仕様書にSOC 2を記載すること自体が常に不適切というわけではありません。ISMAP登録済みクラウドサービスの上に構築されるアプリケーションや運用サービス、海外SaaS、BPO、再委託先の統制を確認する場面では、補完的な証拠として有用なことがあります。

ただし、SOC 2を必須要件として記載する場合には、競争性、公平性、調達目的との関連性、同等証明の許容、国内外事業者への影響を検討します。特定の海外制度だけを機械的に必須化すると、必要性や相当性が問われる可能性があります。

仕様書SOC 2を求める場合でも、「同等の第三者保証報告または統制証拠を認める」など、調達目的に沿った検証可能な書き方にすることが実務的です。

仕様書の参考表現としては、「本調達において利用するクラウドサービスは、契約締結時点および利用開始時点において、ISMAP等クラウドサービスリストに掲載されているサービスであること。ただし、対象範囲、サービス名、リージョン、提供機能、再委託先、データ保管場所が本調達仕様と整合していることを、受注者が資料により示すこと。」という形が考えられます。

Section 07

SOC2・ISMAP認証と政府調達の契約論点

表明保証、登録変更、監査権、インシデント通知、個人情報保護を分けて設計します。

クラウドベンダーが政府調達または政府関連案件に参加する場合、対象サービスがISMAP等クラウドサービスリストに掲載されていること、登録状態に重大な変更が生じた場合に通知すること、SOC 2報告書の対象範囲が提案内容と整合することなどを求められることがあります。

次の論点一覧は、契約書に落とし込む主要項目を表します。単に「保証する」と書くと制度変更やサービス変更のリスクを吸収できないため重要であり、事実保証、努力義務、通知義務、是正義務、解除権を分けて読むことができます。

REPRESENTATION

表明保証

対象サービス、登録状態、SOC 2報告書の対象期間、評価範囲、内部規程の整備状況を、事実として保証できる範囲に限定します。

CHANGE

登録喪失・基準改定

リスト削除、登録範囲変更、重大例外事項、データ保管場所変更、再委託先変更が起きた場合の通知・是正・代替措置を定めます。

AUDIT

監査権と証跡提供

ISMAP登録情報、SOC 2報告書、ISO認証書、脆弱性診断概要、監査質問票、オンライン説明会を組み合わせます。

INCIDENT

インシデント通知

初報期限、続報頻度、影響範囲、ログ保全、原因分析、再委託先事故、対外公表前の調整、費用負担を定めます。

次の表は、登録変更や事故が起きた場合に契約で想定すべきイベントを表します。発生後に協議を始めると移行・解除・損害賠償で争いになりやすいため重要であり、通知内容と対応策を事前に分ける必要があることを読み取れます。

イベント契約で定める内容
ISMAP等クラウドサービスリストからの削除通知期限、影響範囲、代替サービス、契約解除、移行支援を定めます。
登録範囲・サービス構成の変更対象機能、リージョン、データ保管場所、再委託先変更の説明資料を求めます。
SOC 2報告書の限定意見・例外事項例外事項の内容、顧客影響、是正計画、再発防止、次回報告の方法を定めます。
重大脆弱性・情報漏えいログ保全、初報、続報、暫定措置、恒久措置、個人情報保護委員会等への対応を整理します。

個人情報保護法との関係

クラウドサービス利用では、個人情報保護法上の委託、第三者提供、安全管理措置、外国にある第三者への提供、漏えい等報告が問題になります。SOC 2やISMAPがあっても、個人情報保護法上の利用目的、委託先管理、外国移転、本人対応、社内規程整備の検討が自動的に完了するわけではありません。

Section 08

調達主体とベンダーのチェックリスト

調達側は要件の客観性、ベンダー側は市場戦略と証跡整備を確認します。

調達主体側の確認

次の一覧は、政府機関、地方公共団体、独立行政法人、公共分野の発注者、政府案件のプライムベンダーが見るべき確認項目を表します。入口確認から契約後監督までつながっているため重要であり、仕様書作成前後で確認すべき観点を読み取れます。

段階確認項目
入口確認調達対象がクラウドサービスか、ISMAP等クラウドサービスリスト掲載があるか、ISMAP-LIUで足りる業務・情報かを確認します。
仕様書・入札条件ISMAP要件を制度実態に即して記載し、SOC 2を求める場合は必要性と同等証明を整理します。
契約条項登録状態の維持・変更通知、監査報告の閲覧、インシデント報告、再委託、データ返却・削除を定めます。
運用・監督登録状態の定期確認、利用者側統制、ログ監視、権限管理、監査報告書の例外事項レビューを行います。

ベンダー側の優先順位

次の比較一覧は、SaaS企業、クラウドサービス事業者、SIer、プライムベンダー、再委託先が、SOC 2とISMAPをどう使い分けるかを表します。市場ごとに求められる証跡が異なるため重要であり、自社が先に投資すべき制度対応を読み取れます。

事業戦略優先度の考え方
中央省庁・政府機関向けクラウドサービスを直接販売したいISMAPまたは対象に応じたISMAP-LIUを優先検討します。
地方公共団体・公共分野向けSaaSを拡大したい調達仕様により異なりますが、ISMAPの有無は強い説明材料になります。
外資系・海外大企業向けにSaaSを販売したいSOC 2 Type 2の需要が高い場合があります。
国内大企業の委託先審査に対応したいISO/IEC 27001、ISO/IEC 27017、SOC 2、セキュリティ説明資料を組み合わせます。
政府案件の下請・再委託先になるプライムベンダーの要求、対象クラウドサービスの位置づけ、情報分類を確認します。

営業表示では、「SOC2認証取得」「ISMAP認証取得」「政府基準準拠」「官公庁利用可能」「最高水準のセキュリティ」「ISMAP相当」といった表現を慎重に確認します。安全な表現は、対象サービス、時点、対象範囲、閲覧条件を明示する形です。

Section 09

仕様書・契約書の参考文例

実際の案件では、公告、仕様書、契約書式、対象サービス、情報分類に合わせて修正します。

以下は、検討を始めるための一般的な文例です。個別案件では調達主体の規程、仕様書、契約書式、対象情報、関係ガイドラインで結論が変わるため、弁護士等の専門家を含めて確認する必要があります。

ISMAP要件受注者は、本業務で利用するクラウドサービスについて、契約締結時点および本サービス利用開始時点において、ISMAP等クラウドサービスリストに掲載されていることを示す資料を発注者に提出します。提出資料には、サービス名、対象範囲、リージョン、提供機能、利用予定構成との対応関係を含めます。
登録変更受注者は、ISMAP等クラウドサービスリストへの掲載状態、登録範囲、登録内容またはこれに準ずる重要事項に変更が生じた場合、または変更が見込まれる場合、速やかに発注者へ通知し、影響範囲、暫定措置、恒久対応、代替案および実施予定時期を記載した報告書を提出します。
SOC 2受注者が本業務に関連するSOC 2報告書を保有する場合、秘密保持義務、配布制限、第三者の権利保護およびセキュリティ上の制約に従い、発注者が合理的に必要とする範囲で当該報告書または要約を閲覧できるようにします。
事故通知受注者は、情報漏えい、情報の滅失・毀損、不正アクセス、マルウェア感染、重大脆弱性の悪用、サービス停止、認証情報の漏えいその他発注者の情報資産に重大な影響を及ぼすおそれのある事象を認識した場合、速やかに初報を行います。
再委託受注者は、重要な再委託先またはサブサービス組織を利用する場合、名称、役割、取り扱う情報、所在国、セキュリティ管理策、監査・認証の状況、変更時の通知方法を説明します。
利用者側統制発注者および受注者は、責任共有モデルに基づき、それぞれが実施するセキュリティ管理策を別紙で定めます。発注者側の管理策には、アカウント管理、多要素認証、権限付与、ログ確認、端末管理、データ分類、APIキー管理、退職者アカウント削除を含めます。
Section 10

SOC2・ISMAP認証と政府調達のFAQ

制度の違い、表示、調達要件、個人情報保護との関係を一般情報として整理します。

Q1. SOC 2があればISMAPは不要ですか。

一般的には、不要とはいえません。SOC 2はAICPAのSOCサービス群に基づく保証報告であり、ISMAPは日本政府情報システムのクラウド調達のための評価・登録制度です。政府調達仕様でISMAP等クラウドサービスリスト掲載が求められている場合、SOC 2報告書は補完資料になり得ますが、通常はISMAP登録の代替にはなりません。具体的な要件充足性は、仕様書や登録範囲を確認したうえで弁護士等の専門家へ相談する必要があります。

Q2. ISMAP登録があればSOC 2は不要ですか。

一般的には、必ずしも不要ではありません。政府調達上はISMAPが中心になりますが、民間大企業、海外顧客、監査法人、投資家、金融機関、グローバル取引先がSOC 2報告書を求めることがあります。対象市場や契約相手によって結論が変わるため、具体的な対応は資料を整理したうえで専門家へ相談する必要があります。

Q3. ISMAP登録済みなら情報漏えいは起きませんか。

一般的には、起きないとはいえません。ISMAPはクラウドサービスのセキュリティ管理を評価・登録する制度ですが、事故防止を絶対に保証する制度ではありません。利用者側の設定ミス、権限管理不備、認証情報漏えい、APIキー流出、端末感染、再委託先不備、未知の脆弱性などで結論は変わる可能性があります。

Q4. SOC 2 Type 2報告書があれば委託先監督は不要ですか。

一般的には、不要ではありません。SOC 2報告書は委託先管理の重要な証拠ですが、顧客側は報告書の対象範囲、例外事項、補完的利用者側統制を読み、自社の利用状況に合わせてリスク評価を行う必要があります。具体的な監督方法は、契約内容や情報の機密性によって変わります。

Q5. 「SOC2認証取得」と表示してよいですか。

一般的には、慎重に検討する必要があります。実務上は「SOC2認証」という表現が広く使われますが、厳密にはSOC 2は報告書であり、行政登録や一般的な認証制度とは異なります。対象サービス、対象期間、報告書の種類、閲覧条件を明示し、顧客が会社全体・全サービスに及ぶ保証と誤解しないよう確認する必要があります。

Q6. 政府調達でSOC 2を必須要件にできますか。

一般的には、案件によって判断が変わります。調達目的との関連性、競争性、公平性、同等証明の可否、対象業務、情報分類を検討する必要があります。SOC 2を求める場合でも、同等の第三者保証報告または統制証拠を認める設計が実務的な場合があります。

Q7. ISMAP-LIUはISMAPの簡易版だから安全性が低いのですか。

一般的には、単純にそうはいえません。ISMAP-LIUは、低リスク業務・情報を扱うSaaSを対象に、リスクに応じて外部監査負担を軽減する枠組みです。重要なのは、対象業務・情報がISMAP-LIUの前提に合うか、調達仕様がISMAP-LIUを許容しているかを確認することです。

Q8. 親会社がSOC 2を持っていれば子会社サービスにも使えますか。

一般的には、報告書の対象範囲によります。SOC 2は特定のサービス組織・システム・対象期間・評価範囲に関する報告書です。親会社の報告書が子会社サービス、別リージョン、別プロダクト、別運用体制を含まない場合、顧客説明としては不十分になる可能性があります。

Q9. クラウド基盤がISMAP登録済みなら、その上のSaaSもISMAP登録済みですか。

一般的には、自動的にはそうなりません。基盤クラウドのISMAP登録と、その上で提供されるSaaSの登録は別問題です。SaaSが政府調達で利用される場合、そのSaaS自体の位置づけ、構成、責任分担、利用する基盤、再委託先、取り扱う情報を確認する必要があります。

Q10. SOC 2やISMAPがあれば個人情報保護法対応は完了ですか。

一般的には、完了ではありません。個人情報保護法上の利用目的、委託先監督、第三者提供、外国移転、安全管理措置、漏えい等報告、本人対応は別途検討が必要です。クラウドサービス提供事業者が個人データを取り扱うかどうかによっても評価が変わります。

Section 11

企業法務専門職ごとの実務視点

SOC 2とISMAPは、法務、セキュリティ、監査、プライバシー、経営が同じ言葉で扱うテーマです。

次の役割一覧は、SOC 2・ISMAP対応に関与する専門職と部門の主な役割を表します。セキュリティ担当者だけに任せると契約、証跡、監査、営業表示、予算判断が分断されるため重要であり、どの論点を誰が持つかを読み取れます。

部門・専門職主な役割
法務・企業内弁護士契約条項、表示審査、責任範囲、再委託、個人情報、政府調達要件を整理します。
外部弁護士政府調達、行政契約、個人情報、サイバーセキュリティ、国際取引、SaaS契約を横断して確認します。
公認会計士・内部監査担当SOC 2やISMAPの統制証跡を、内部統制、監査証拠、リスク評価、是正計画の観点から確認します。
個人情報保護・プライバシー担当クラウド事業者が個人データを取り扱うか、外国移転があるか、委託先監督が必要かを検討します。
経営者・取締役ISMAPやSOC 2を、市場参入、信用、事業継続、危機管理、ガバナンスへの投資として判断します。

営業資料と契約書の整合性は、とくに重要です。営業資料で「ISMAP対応」「SOC2認証済み」と書き、契約書でより広い保証をしてしまうと、実際の対象範囲との違いが後日問題になる可能性があります。

Section 12

SOC2・ISMAP導入ロードマップと結論

両制度を別々に進めるのではなく、統制・証跡・表示・契約を統合して設計します。

SOC 2導入ロードマップ

  1. 対象サービスと対象システムを決めます。
  2. Trust Services Criteriaの対象領域を決めます。
  3. 現行統制と証跡を棚卸しします。
  4. ポリシー、手順、責任者、証跡保存方法を整備します。
  5. アクセス管理、変更管理、脆弱性管理、インシデント対応、ベンダー管理を実装します。
  6. 監査人とスコープ・期間・報告書利用方法を調整します。
  7. Type 1またはType 2の審査を受けます。
  8. 報告書の配布制限、顧客説明、営業表示を法務レビューします。
  9. 例外事項があれば是正計画を作成します。
  10. 次年度以降の継続監査に備えます。

ISMAP導入ロードマップ

  1. 政府市場戦略と対象サービスを確定します。
  2. ISMAPとISMAP-LIUのどちらが適切かを検討します。
  3. ISMAP管理基準とのギャップ分析を行います。
  4. 登録監査機関との予備的相談を行います。
  5. 規程、手順、体制、証跡、運用実績を整備します。
  6. 再委託先、クラウド基盤、データ保管場所、運用拠点を整理します。
  7. 内部監査・是正を実施します。
  8. 言明書、実施結果報告書、改善計画書等を準備します。
  9. 登録申請を行います。
  10. 登録後も、基準改定、サービス変更、インシデント、顧客要求に応じて維持管理します。

次の統合方針一覧は、SOC 2とISMAPを同時に扱うときの設計方針を表します。規程、証跡、監査対応、担当者、経営報告が重複しやすいため重要であり、制度別対応を共通の統制管理へまとめる視点を読み取れます。

A

統制マップを統一します

ISMAP管理基準、Trust Services Criteria、ISO/IEC 27001、ISO/IEC 27017、個人情報保護法、社内規程を対応表にします。

統制
B

証跡管理を一元化します

証跡の保存場所、所有者、更新頻度、レビュー方法をそろえ、監査ごとに作り直さない運用にします。

証跡
C

営業表示を法務承認制にします

対象サービス、対象期間、登録範囲、報告書閲覧条件を確認し、過大な保証に見えない表現へ整えます。

表示

結論として、SOC2・ISMAP認証と政府調達の本質は、クラウドサービスの安全性をどのように証明し、調達手続にどのように組み込み、契約責任へどのように落とし込むかにあります。ISMAPは日本政府のクラウド調達で制度的な意味を持ち、SOC 2は顧客や監査人に統制態勢を説明する共通言語として機能します。

どちらも万能ではありません。利用者側統制、契約設計、運用監視、インシデント対応、再委託先管理、個人情報保護、サプライチェーンリスク管理と組み合わせて初めて実効性が高まります。企業法務の観点では、取得済みというラベルではなく、対象範囲と法的意味を確認し、仕様書・提案書・契約書・営業資料の表現を一致させることが重要です。

Reference

参考資料・信頼できる情報源

制度の一次情報、公的資料、SOC報告に関する基準資料を中心に整理しています。

ISMAP・政府クラウド調達

  • ISMAPポータル「ISMAP概要」
  • ISMAPポータル「ISMAP管理基準」
  • ISMAPポータル「ISMAP管理基準の改定案を公表しました」
  • ISMAPポータル「クラウドサービス事業者の各種申請手続」
  • デジタル庁「ISMAP-LIU」
  • デジタル庁「デジタル社会推進標準ガイドライン」
  • 国家サイバー統括室「政府機関等のサイバーセキュリティ対策のための統一基準群」
  • 国家サイバー統括室「セキュリティ・バイ・デザイン導入指南書」

SOC 2・Trust Services Criteria

  • AICPA & CIMA “System and Organization Controls ― SOC Suite of Services”
  • AICPA & CIMA “2017 Trust Services Criteria, With Revised Points of Focus ― 2022”
  • AICPA & CIMA “Description Criteria for a Description of a Service Organization’s System in a SOC 2 Report”
  • AICPA & CIMA “SOC 3”

政府調達・個人情報保護

  • 財務省「政府調達手続に関する制度の概要」
  • 外務省「WTO政府調達協定」
  • 個人情報保護委員会FAQ「クラウドサービスの利用は、第三者提供又は委託に該当しますか。」