ASPIC クラウドサービスの安全・信頼性に係る情報開示認定制度

(総務省情報開示指針に基づく) クラウドサービスの安全・信頼性に係る情報開示認定制度

クラウドサービスの適切な情報開示で利用者も安心 クラウドサービス情報開示認定機関 一般社団法人 日本クラウド産業協会(略称:ASPIC)

認定サービス一覧

NEWSお知らせ

もっと見る

ABOUTクラウドサービスの安全・信頼性に係る情報開示認定制度とは

情報開示認定制度は、クラウドサービス事業者が安全・信頼性に係る情報を適切に開示している事を第3者が認定し、同一フォーマットで公開することにより、クラウドサービス利用者のサービス比較、評価、選択を支援し安全性向上を目指す制度です。

詳しくはこちら

CERTIFICATION SERVICE認定サービス一覧

どの様なサービスやクラウド事業者が情報開示認定を取得しているか、すぐに確認して頂けます。

一覧を見る

NINTEISEIDO情報開示認定制度の種類と概要

情報開示認定制度は、H20年、総務省とASPICにより合同で推進してきたASP・SaaS推進協議会で、総務省公表の情報開示指針を基に、クラウドサービスの情報開示認定制度の検討を行い、創設を行ったものです。当初、情報開示認定機関はマルチメディア振興センター(FMMC) 、認定事務局はASPICが行っていました。H28年、FMMCからASPICへ認定機関業務の移管が行われ、ASPICが、認定機関、認定事務局を担い、情報開示認定制度の推進を行っています。
クラウドサービスの安全・信頼性に係る情報開示認定には下記の8種類があります。
利用・提供するクラウドサービスの用途に合った認定制度を選択下さい。

REQUEST申請を希望されるクラウドサービス事業者様

BLOGASPIC情報開示認定制度ブログ

もっと見る

ACTIVITIESASPIC活動へのお勧めリンク

FAQよくある質問

窓口に寄せられるよくある質問です。ご不明な点がございましたら、お気軽にこちらからお問い合わせ下さい。

利用者様向け
Q開示情報にはどのような内容が含まれていますか?
A
総務省が制定したクラウドサービスに関する情報開示指針に準拠しています。情報開示項目は、クラウドサービス利用者がサービスの比較・評価・選択に利用いただけるよう、サービス提供事業者情報、サービス機能、料金体系、情報セキュリティ対策、システム信頼性、サービスサポート、サービス継続性の視点から選定されています。
Qクラウドサービス情報開示認定機関のASPICとはどの様な団体ですか?
A
一般社団法人 日本クラウド産業協会(東京都品川区西五反田7-3-1 たつみビル2F、会長:河合輝欣)(呼称:ASPIC)は、会員企業数1000社を超えるクラウドサービス事業者の団体です。25年にわたり、クラウドサービスに関する各種活動を行ってきました。
詳しくは、ASPICホームページ(https://aspicjapan.org)をご参照下さい。
Q情報開示認定制度と総務省の関係は?
A
各種のクラウドサービスに関するガイドラインとこれらに基づく情報開示指針の策定までが総務省の役割です。ASPICは、ガイドラインと情報開示指針の策定において、平成19年に総務省とASPICが合同で設立した「ASP・SaaS普及促進協議会」(会長:国立研究開発法人情報通信研究機構 理事長 徳田英幸)及び平成21年に総務省とASPIC連携で設立した「ASP・SaaSデータセンター促進協議会」(会長:慶應義塾大学教授 村井 純)を通じて主体的に関わっております。
情報開示認定制度は、民間の認定制度として総務省指導の下2008年4月から、16年に渡り継続する制度です。
Q情報開示認定制度は、クラウドサービスのセキュリティレベルを保証していますか?また、ISOやISMAP認証制度との違いは何ですか?
A
情報開示認定制度は、ASPICが申請された開示情報を裏付ける添付資料と突合し事実関係を疎明・認定するものです。セキュリティ強度やレベルを保証するものではなく、開示情報から利用者に判断いただくことをねらいとしています。ただし、最低限の信頼性に関する項目(「必須/選択」欄の「必須◎」)ついては、実施レベルを認定しております。ISOやISMAP等の認証制度は、一般に監査項目(管理策等)などの実施状況は公開しておりません。具体的な監査実施状況などは個別に協議して開示して貰う必要があります。
Q信頼性に関わる情報を開示すると、かえってセキュリティ上まずいのではないでしょうか?
A
クラウドサービス事業者から申請された開示情報は、審査の過程で公開しても問題ないかどうかをASPICがチェック致します。例えば、あるセキュリティ対策項目については、実施しているか否かのみ開示して、対応製品名やサービス名などは公開しないようにお願いしております。
Q海外で同様の認定制度はありますか
A
疎明資料を基に開示情報について第3者がチェックする制度は、ASPIC情報開示認定制度以外見当たりません。
チェックリストを公開する方法は、米国Cloud Security Alliance (CSA)※のSTAR(Security Trust Assurance and Risk)プログラムにおいて、自己評価(Self-Assessment)のレベルで実施されております。
しかし、開示している情報は、それを裏付ける資料によって疎明することは行われておりません。
https://cloudsecurityalliance.org/star
申請事業者様向け
Q複数のアプリケーションサービスを提供しているが、申請は別々となるのか。
A
申請はサービス単位であるため、基本的には別々となります。ただし、複数のサービスを統合して提供している場合などは、1サービスとしての申請も可能です。その際は、複数サービスで同じ基盤(データセンター、IaaS/PaaS)を使用していること等が条件となります。(詳しくは、「認定制度の概要」の「4.認定に係る申請 (3)申請単位」を参照下さい。)
Q認定審査手数料の扱いは?例えば審査が不合格となった場合、審査手数料は返金されるか?
A
審査手数料は、審査が不合格(非認定)となっても返金致しません。審査期間中に不備が指摘され、修正申請書を提出し再審査する場合は、改めて審査手数料を支払う必要はありません。(詳しくは、「認定制度の概要」の「4.認定に係る申請 (4)審査手数料」を参照下さい。)
Q認定マークは、取得した事業者が自由に使っていいのか。
A
はい。ホームページ、パンフレット、名刺などでご活用下さい。ただし、認定マークの使用に際して、色を変更したり、一部のみを掲載しないで下さい。また、認定の更新をしなかった場合などで、認定の取り消しとなった場合は、速やかに認定マークの表示を取止めて下さい。
Q申請書類は審査終了後に返却されるのか。
A
申請書類一式は、審査終了後も返却されません。ASPICで保管致します。認定の更新をしなかった場合などで、認定の取り消しとなった場合は、過去の更新分も含めて申請資料一式を返却致します。
Q認定制度において機密保持についてはどのようになっているのか。
A
「認定制度の概要」の「12.守秘義務及び免責」を参照下さい。通常は、こちらの規定により申請資料一式を提出いただき、ASPICで厳重に保管します。ASPICクラウドサービス情報開示認定機関事務局員以外はアクセスできません。どうしても、機密保持契約の締結が必要な場合、個別に契約締結することも可能ですので、クラウドサービス情報開示認定機関事務局までご相談下さい。
Q申請を行ってから認定までどの程度の期間がかかるのか。
A
新規申請の場合は、申請書受領後、書類審査、認定審査委員会を経て認定となります。通常、書類審査は1ヶ月程度で終了しますが、認定審査委員会は2~3ヶ月に1度の開催となっています。従って、申請から認定までは、最短1ヶ月程度の場合もありますが、3ヶ月程度かかる場合もあります。
Q認定更新の手続きはどのように行うのか?
A
認定有効期間2年間です。有効期間満了日の4ヶ月前にクラウドサービス情報開示認定機関事務局から認定更新のご案内を差し上げます。更新申請書は認定期間満了日の60~30日前までに提出いただき、審査後、満了日までに新たな認定証を発行致します。
Q認定更新時期より前に開示情報を変更したい場合、変更は可能か?
A
「変更届出」の手続きにより変更が可能です。変更届出は、随時受け付けています。
変更届出時の審査手数料は、無料です。
Q申請書類は何を揃えるのか
A
申請書類の種類と様式についてはこちらを確認ください。
Q添付書類は何を揃えればよいか
A
記載した項目については、記載内容を疎明する添付書類が必要となります。添付書類の例については、認定制度サイトの「申請書Bの記入例」を参照ください。
Q添付書類はコピーしたものでよいか。
A
はい。電子提出の場合pdf形式でご提出下さい。紙提出の場合も基本はコピーで結構ですが、会社の登記謄本については原本をご提出下さい。なお、ホームページを添付書類とする場合、URLの記述でなく、関連ページをpd形式または印刷して提出してください。
Qサービス開始前の申請は可能か。
A
サービス開始日と同一日に申請はできますが、サービス開始前の申請はできません。
Q更新申請の場合、変更がない項目の添付資料も用意が必要か。
A
更新申請は前回の申請書を基に変更があった部分の記載を変更し、添付資料は変更があったもののみ提出してください。
QすでにASP・SaaSの認定を取得しているが、このサービスを医療ASP・SaaSの認定に切り替えることはできるのか。
A
すでにASP・SaaSの認定を取得しているサービスについては医療情報ASP・SaaSまたは特定個人情報ASP・SaaSの認定に切り替えることは可能です。この場合、手続きは新規と同様の申請となりますが、審査手数料は更新時の金額で、申請可能です。
Q申請にあたっての不明点は相談できるのか。
A
はい、可能です。認定サイトにあるお問い合わせ窓口」にご連絡ください。
Q申請書Bを作成する際に参考となるものはあるのか。
A
認定制度サイトからダウンロードできる「申請書作成の手引き」と「申請書Bの記入例」を参考としてください。「申請書作成の手引き」では、申請書Bの全開示項目の説明があります。「申請書Bの記入例」には、開示項目の記入例のほかに各項目ごとの添付書類の例も記載されています。
Q「必須項目」と「一定の要件を考慮すべき項目」の違いは何か。
A
「必須項目」は記載していなければ非認定となる項目ですが、記載内容については、特に要件はありません。「一定の要件を考慮すべき項目」は、記載内容が一定の要件を充たすことが要求される項目です。、例えば、対策の実施の有/無を問う項目の場合、「必須項目」では、「無し」と記載していても非認定にはなりませんが、「一定の要件を考慮すべき項目」では、記載内容が「有り」でなければ非認定となります。
Q「一定の要件を考慮すべき項目」で、ある数値レベル以上が要求される項目にはどういうものがあるのか
A
稼働率実績値は「必須項目」と成っています。まだ、実績値がない場合は「目標値」であることを明記し、目標値を記載ください。
Qデータセンターに関する情報がパンフレット等に記載がなく記載できない場合はどうすればよいか。
A
必須項目については記載いただく必要があるので、データーセンターの担当者に確認していただくようお願いします。
Q複数のデータセンターを利用している場合の記載方法について
A
データセンターを複数利用している場合は、両方の情報を記載ください。具体的には該当する項目の同じ欄に、①●●DC ②△△DCと併記してください。

もっと見る