制度の概要

ASP・SaaS 安全・信頼性に係る 情報開示認定制度 ~認定制度の概要~

1. 認定制度の背景と経緯

世界最先端のブロードバンド環境が実現され、ICT (情報通信技術) は、経済成長に大きく寄与し、人口減少社会下の我が国経済を新たな成長のトレンドに乗せる原動力としても期待されています。そうした中、ネットワークを介してソフトウェアやICT機器の機能を提供するASP・SaaS【注】の活用によって、これまでICT投資や利用が困難であった中小企業が生産性を大幅に向上させる事例、地方公共団体が行政事務や公共サービス提供を外部委託する際の手段として活用する事例などが出現しています。

【注】ASP(Application Service Provider)とは、特定又は不特定ユーザが必要とする情報通信システム機能を、ネットワークを通じて提供するサービスを言う。異なる用語としてSaaS(Software as a Service)も普及しているが、ほぼASPと同一の意味で使用されている。

一方で、現在、ASP・SaaS事業者によるサービス等に関する情報開示は必ずしも十分な状況とは言えず、ユーザとの間に情報の非対称性が存在しています。また、ASP・SaaS事業者の安全・信頼性に対する不安を持つユーザも出てきています。このため、ASP・SaaS事業者に対して情報開示を促進するとともに、ASP・SaaSのサービスのうち安全・信頼性に係る情報を適切に開示しているものに関する認定制度の導入が求められていました。

このような中、総務省及び特定非営利活動法人ASP・SaaS・クラウド コンソーシアム(ASPIC)によるASP・SaaSの普及促進が以下のように推進されました。

(1) ASP・SaaS普及促進策に関する調査研究(平成19年4月27日)

総務省とASPICが共同でASP・SaaSの課題と今後の普及促進等について調査研究を行い、報告書をとりまとめました。
(http://www.soumu.go.jp/s-news/2007/pdf/070427_14_bt.pdf)

(2) ASP・SaaS普及促進協議会の設立(平成19年4月27日)

前項の調査研究結果をとりまとめ具体的な施策を展開するため、総務省とASPICが合同で「ASP・SaaS普及促進協議会」を設立しました。
(http://www.soumu.go.jp/s-news/2007/070427_14.html)

(3) 「ASP・SaaS安全・信頼性に係る情報開示指針」の公表(平成19年11月27日)

「ASP・SaaS普及促進協議会」の傘下の「安全・信頼性委員会」の検討成果をもとに、総務省は「ASP・SaaSの安全・信頼性に係る情報開示指針」を公表しました。
(http://www.soumu.go.jp/s-news/2007/071127_3.html)

(4) 「ASP・SaaSにおける情報セキュリティ対策ガイドライン」の策定(平成20年1月30日)

総務省では、「ASP・SaaSの情報セキュリティ対策に関する研究会」を開催し、その検討結果として「ASP・SaaSの情報セキュリティ対策に関する研究会報告書」及び「ASP・SaaSにおける情報セキュリティ対策ガイドライン」を公表しました。
(http://www.soumu.go.jp/s-news/2008/080130_3.html)

以上のような背景を踏まえ、一般財団法人マルチメディア振興センターは「ASP・SaaS安全・信頼性に係る情報開示認定制度」(以下、「認定制度」と呼びます。)を創設し、公益法人として中立的な立場から審査・認定を行い、ASP・SaaSのサービス市場の発展に寄与することとしました。

ページの先頭に戻る

2. 認定制度の基本的な考え方

認定制度の基本的な考え方は、以下のとおりです。

(1) ASP・SaaSのユーザの視点に立った制度である。

(2) 発展期にあるASP・SaaS市場の拡大を促進する制度である。

(3) 事業者から適切に情報開示されていることを認定する制度である。

(4) ASP・SaaSのサービスを認定対象とする制度である。

ページの先頭に戻る

3. 認定制度の意義

ユーザ、事業者、社会の3つの視点からみた本認定制度の意義は、以下のとおりです。

(1) ASP・SaaSのサービスを利用するユーザにとっての意義

ASP・SaaSのサービスに係る情報開示が豊富になるとともに、情報開示項目が共通化されることで、サービス及び事業者の比較・評価・選択が容易になります。

(2) ASP・SaaSのサービスを提供する事業者にとっての意義

認定によって提供するサービスの認知度が高まり、ユーザ獲得の機会が広がります。

(3) 社会全体としての意義

認定制度の実施により、ASP・SaaSのサービスが産業、生活、社会システム等の経済社会活動の多くの分野に普及・定着し、安全・信頼性の高い効果的・効率的な社会情報基盤の形成が進みます。

ページの先頭に戻る

4. 認定に係る申請

(1) 申請対象

申請対象はASP・SaaSのサービスであり、既に提供を開始しているものに限ります。

(2) 申請資格

申請できるのは、特定又は不特定ユーザが必要とする情報通信システム機能を、ネットワークを通じてサービス提供するASP・SaaS事業者です。

(3) 申請単位

申請および認定は、原則として独立して提供されるサービス単位とします。ただし、複数のアプリケーション・サービスや基盤 (プラットフォーム) サービスを統合して提供している場合、および同一サービスであっても、複数の安全性、信頼性等のサービスレベルを設定して提供している場合は、以下のとおりとします。
なお、サービスの提供形態については事業者により様々なケースが想定されるため、疑問の点があれば窓口までお問合せください。

1. 複数のサービスを統合して提供している場合

ア. 複数のアプリケーション・サービスや基盤サービスを統合して提供している場合、以下の条件をすべて充たしているときは、統合したものを一つの申請単位とすることができます。

  1. 統合するサービスの業務内容に関連性があり、かつ、別表2の「ASP・SaaS区分」(本資料の最終ページを参照下さい)の同一区分内にあること。
  2. 各サービスの開示すべき情報(申請書Bの「申請内容」)の内容が同じであり、それぞれのサービス毎に分けて記述する必要がないこと。
  3. 統合するサービスとしての利用契約があること。

イ. これ以外の場合は、統合したものではなく、それぞれを一つのサービスとします。ただし、各サービスの開示情報の内容(申請書Bの「申請内容」)が同じであり、かつ統合するサービスとしての利用契約があるときは、サービス単位を個別に審査します。

※ ア. の(2)、(3)の条件は充たすが、(1)については該当しない場合等を言う。

2. 同一サービスにおいて異なるサービスレベルで提供している場合

同一サービスであっても、複数の安全性、信頼性等のサービスレベルを設定して提供しており、各サービスレベルの開示情報の内容 (申請書Bの「申請内容」) が異なる場合は、それぞれを申請単位とします。

(4) 申請書類

申請サービスごとに、日本語で記述された以下の書類を提出していただきます。 また、この他に申請書Aと申請書Bの電子ファイルを格納したCD-R、提出書類及び資料内訳書等が必要です。

※ 申請書類の詳細、申請書類の綴じ込み方法等については、本認定制度のサイト (http://www.fmmc.or.jp/asp-nintei/) の関連ページをご参照下さい。

1. 申請書A、申請書B

新規申請時や更新申請時には、申請書A (フェースシート) 、申請書B (情報開示内容の詳細) を提出していただきます。
申請書Bでは「申請内容」欄と「添付書類等」欄のそれぞれについて、以下に留意した記述が必要です。

2. 申請書Aに関わる添付書類

申請者 (企業等) の実在を証明する登記事項証明書もしくはその他の申請者の実在を証明する公的書類、及び「代表者氏名」欄の捺印に対する印鑑証明書の提出が必要です。
なお、「代表者氏名」欄に記載された方に代表権がない場合、添付資料として申請事業者に所属し、事業責任者であることを疎明できる資料の提出が必要です。

【注1】申請者 (企業等) の実在を証明する資料の具体例
  • 法人の場合: 商業・法人登記簿謄本
  • 個人事業主の場合: 旅券、運転免許証、住民基本台帳カードその他官公署が発行した免許証、許可証又は資格証明書等 (本人の写真が貼付されたものに限る。) のうちいずれか1つの写し
  • 外国語で記載されている場合には原本及び訳文

【注2】商業・法人登記簿謄本、印鑑証明書等については、発行期日が申請日から3ヶ月以内のものとする

【注3】商業・法人登記簿謄本、印鑑証明書等については、原本の提出を必要とするが、複数サービスを申請する場合の2サービス目以降は、写し (コピー) も可とする

3. 申請書Bに関わる添付書類

(5) 送付方法

申請者は、郵便書留により申請書類の送付を行うことができます。
※ 申請方法の詳細については、本認定制度のサイト(http://www.fmmc.or.jp/asp-nintei/)の関連ページをご参照下さい。

(6) 申請受付

申請は、随時受け付けます。

(7) 審査手数料

申請時には、別表1 (本資料の最終ページを参照下さい。) に定める審査手数料をお支払いください。なお、この審査手数料は、認定・非認定にかかわらず、返還いたしません。
審査手数料は、当センターから形式審査が完了した旨を通知しますので、その後1週間以内を目途に指定の銀行口座にお振込み下さい。振込みが確認でき次第、書類審査を開始します。
なお、事業者名称およびサービス名称等の変更により、認定証に変更を生じた場合は、認定証の再発行手数料をお支払いいただきます。

ページの先頭に戻る

5. 審査対象項目と審査基準

(1) 審査対象項目

認定の審査対象項目は、「ASP・SaaSの安全・信頼性に係る情報開示指針」 (総務省;平成19年11月27日公表) で示されている情報開示項目に基づきますが、詳細は別紙 (審査対象項目) (http://www.fmmc.or.jp/asp-nintei/data/shinsa.pdf) のとおりです。
なお、審査対象としている情報開示項目は、以下のような構成となっています。

1. 事業者の安全・信頼性に関する情報開示項目

2. サービスの安全・信頼性に関する情報開示項目

(2) 審査基準

審査対象となる情報開示項目は、「必須開示項目」 (必ず情報開示していただく項目) と「選択開示項目」 (情報の開示は任意である項目) に分かれており、以下の基準により審査します。
なお、「選択開示項目」については、これらの開示の有無により認定もしくは非認定とするものではありません。

  1. 「必須開示項目」の全てについて適切な情報開示を行っており、かつ「必須開示項目」の中で特にユーザにとって重要な「一定の要件を考慮すべき項目」 (下表を参照) の全てについて一定の要件を満たす場合 (対策・措置等を行っている場合、最低水準数値以上の場合) は認定する。
  2. 1の基準に適合しない場合は非認定とする。
表 一定の要件を考慮すべき項目の内容
【対策・措置などを行っていない場合に非認定とする項目】
コンプライアンス 情報セキュリティに関する規程などの整備
サービス基本特性 サービス (事業) 変更・終了に係る問合せ先
アプリケーション
プラットフォーム
サーバ・ストレージ等
死活監視 (ソフトウェア、機器)
ウィルスチェック
記録 (ログ等)
セキュリティパッチ管理
ネットワーク ファイアウォール設置等
ID・パスワードの運用管理
ユーザ認証
管理者認証
サービスサポート 連絡先
メンテナンスなどの一時的サービス停止時の事前告知
障害・災害発生時の通知
【最低水準数値以下の場合に非認定とする項目】
サービス基本特性 サービス (事業) 変更・終了時の事前告知時期

ページの先頭に戻る

6. 認定に係る審査手順

受理した申請書類をもとに、次により審査を行い、結果を通知します。

1. 形式審査

申請者より提出された申請書類 (申請書A、申請書B、申請内容を疎明する関係資料、申請者の実在を証明する公的書類等) が指定どおり提出されているかを審査します。

2. 書類審査

申請書類をもとに、「審査対象項目と審査基準」で示した審査基準に基づき書類審査を行います。
なお、申請内容に明らかに誤解に基づく記述、記入漏れ、不鮮明な記述がある場合は照会することがあります。

3. 調査

審査上必要があるときは、申請者に対し、その営業所、事務所その他事業場における調査の受け入れを求めることがあります。

4. 認定審査委員会

認定にあたっては、当センター内に設置する学識経験者及び民間有識者等により構成される認定審査委員会を開催し、あらかじめ意見を聴くことがあります。

5. 審査結果の通知

審査終了後、認定又は非認定の結果を通知します。 なお、非認定の場合には、改善等が求められる情報開示項目等について説明を付すこととします。

ページの先頭に戻る

7. 認定サービスの公表

認定したサービスについて、以下の情報を公表します。

1. 認定サービスの基本内容

認定番号、サービス名称、事業者名称、認定年月日を認定サービス一覧表の形で公表します。

2. 認定サービスの開示内容

申請書Bの "申請内容" 欄については、申請者が記述した内容を公表します。
ただし、申請者からその一部につき公表を留保したい旨の申し出があった場合、認定機関において正当な理由であると判断したときは、必要な期間、公表を留保することがあります。

ページの先頭に戻る

8. 認定証・認定マークの発行・使用

認定したASP・SaaSのサービスに対して、認定証及び認定マーク (図1、図2参照) を発行します。

認定証

図1. 認定証

(注) 認定番号、サービスの名称、事業者の名称、認定期間、発行日は、サンプル例示となっています。なお、認定番号の上4桁は認定サービス通番、下4桁は認定年月 (西暦) を表します。

ninteimark

図2. 認定マーク

(注) 認定マークはロゴと認定番号から構成されます。なお、認定番号の上4桁は認定サービス通番、下4桁は認定年月 (西暦) を表します。

9. 認定の更新及び変更の届出

(1) 認定の更新

認定の更新を求める場合は、認定の有効期間満了日の60日前から30日前までに手続を行い、更新審査を受ける必要があります。

(2) 変更の届出

認定期間内に以下に該当する変更事由が発生したときは、指定する様式により、遅滞なく届出を行ってください。

(3) サービス終了の届出

認定期間内に当該認定サービスの提供を終了したときは、指定する様式により、遅滞なく届出を行ってください。また、その際には、認定証も同時に返納していただきます。

ページの先頭に戻る

10. 申請書類の返却

提出された申請書類は認定の有効期間内においては、認定事務局内で保管し、次の場合に返却します。

(1) 返却する場合

(2) 返却する申請書類

次の資料を除く申請書類一式を申請担当者に返却します。

(3) 更新時の返却資料

更新時においては、変更内容と提出された疎明資料を照合し、不要となった旧資料を返却します。

ページの先頭に戻る

11. 認定の取消し等

(1) 事業者の通知・報告

認定期間内に障害によるサービスの停止、個人情報又は企業情報の漏洩その他認定サービスの安全・信頼性を損なう恐れのある緊急事態が発生又は発覚したときは、当センターに速やかにその旨を通知し、経過を報告していただきます。

(2) 事業者への調査及び改善要請

当センターが、認定制度の適正な運営のために必要があると判断したときは、認定サービスを提供する事業者に対して、説明及び資料の提出、調査の受入れ等を求めることがあります。
また、認定サービスを提供する事業者に対して改善その他必要な措置を要請することがあります。その場合、当センターのウェブページ等にその旨を公表することがあります。

(3) 認定の取消し

認定サービスを提供する事業者が、次のいずれかに該当する場合には、その認定を取り消すことがあります。

  1. 審査基準に適合しなくなったと認められるとき
  2. 不正の手段により認定を受けたことが明らかになったとき
  3. 認定サービス以外のASP・SaaSのサービスに認定マークを使用したとき
  4. 認定サービスと認定サービス以外のASP・SaaSのサービスとを明確に区分せずに認定マークを使用したとき
  5. 電磁的方法により認定マークを使用する場合に、当センターが指定するURL (http://www.fmmc.or.jp/asp-nintei/) にリンクを設置しなかったとき
  6. 認定マークの使用に際して、色を変更したり、一部のみを掲載したとき
  7. 申請の記載内容に変更があったにもかかわらず、正当な理由なく届出をしなかったとき
  8. 正当な理由なく、緊急事態の通知・報告を遵守しなかったとき
  9. 正当な理由なく、当センターの求める調査に応じない場合又は当該調査に虚偽の説明又は資料の提出をしたとき
  10. 正当な理由なく、改善の要請に従わないとき
  11. 不法行為及び法令違反行為を行ったとき
  12. 認定サービスに係る事業譲渡、又は認定サービスを提供する事業者の合併、分割もしくは相続があった場合において、サービスの認定時の提供体制に変動が生じ、サービスの維持継続に疑義が生じたとき

ページの先頭に戻る

12. 守秘義務及び免責

(1) 守秘義務

センター、認定審査委員会を構成する有識者及び認定事務の委託を受けた者 (以下「センター等」という。) は、認定制度に関連して知り得た事業者に係る非公知の情報 (以下「秘密情報」という。) を、当該事業者の事前の承諾なく第三者に開示せず、認定制度の運営に必要な目的以外に使用しないものとします。

ここで、秘密情報には、以下に掲げる情報を含まないものとします。

  1. 事業者から知得する以前に自己が所有していたもの
  2. 事業者から知得した後に、自己の責によらず公知公用となったもの
  3. 正当な権限を有する第三者から、合法的な手段により秘密保持の義務を伴わずに知得したもの
  4. センター等が独自に創作したもの

なお、センター等は、上述のような守秘義務を負いますが、法律に基づく強制処分又は裁判所の命令が執行された場合は、当該処分又は命令に定められた範囲において秘密保持の義務を負わないものとします。

(2) 免責

センター等は、認定制度の運営に関して直接又は間接に生じた事業者又は第三者の損害について、その内容、態様の如何にかかわらず一切の責任を負わないものとします。ただし、センター等の故意又は重過失による場合はこの限りではありません。
また、認定サービスに関し、事業者と第三者との間で紛争を生じた場合は、当事者が自己の費用と責任において解決するものとし、センター等は一切の責任を負わないものとします。

ページの先頭に戻る

13. 問合せ窓口

問合せ窓口は、次のとおりです。

1. 名称
クラウドサービス安全・信頼性情報開示認定事務局
2. 受付時間
9:30〜17:00 (土日、祝祭日を除く)
3. メールアドレス
btr-ojoufj_atmark_fmmc.or.jp
(スパムメール防止のため、@を「 _atmark_ 」と表示しています。
メールをお送りになる際には、「 _atmark_ 」を@に直してください。)
4. ホームページ
http://www.fmmc.or.jp/asp-nintei/
5. 電話
03-6662-6854
6. ファックス
03-6662-6347
7. 住所
東京都品川区西五反田7-3-1 たつみビル2F (〒141-0031)

認定制度の運用に伴う事務は、特定非営利活動法人ASP・SaaS・クラウド コンソーシアム (ASPIC) に委託しています。

(別表1) 認定に係る手数料

1. 審査手数料 <新規申請費用> 1サービスにつき205,200円 (消費税込み)
2. 更新審査手数料 <2年ごとに更新する際の費用> 1サービスにつき102,600円 (消費税込み)
3. 認定証再発行手数料 1サービスにつき10,260円 (消費税込み)

(別表2) ASP・SaaS の区分

ASP・SaaS 区分 概要 業務対象 サービス例
アプリケーション・サービス 基幹業務系 企業などのコア・バリュー (中核的価値) に直接かかわるアプリケーション R&D、調達、製造、営業、マーケティング、販売・流通、在庫管理、アフターサービス、財務、会計、人事・研修、資産管理、その他 統合業務パッケージ (ERP) 、営業支援 (SFA) 、顧客関係管理 (CRM) 、サプライチェーンマネージメント (SCM) 、製品ライフサイクル管理 (PLM) 、電子商取引 (EC) 、電子データ交換 (EDI) 、ビジネスインテリジェンス (BI) サービス等
支援業務系 企業などのコア・バリュー創出を円滑化するためのアプリケーション 社内メール、スケジュール管理、文書管理、Web会議、ブログ・SNS,Webコンテンツ管理、ナレッジ共有、セキュリティ管理、その他 グループウェア、施設予約管理、文書・ナレッジ管理、ビデオ会議、ワークフロー管理、SNS、ログ収集・監査サービスなど
社会・業界特化系 業界・業種特有の業務や社会活動を支える業務を対象とするアプリケーション 農林・水産・鉱業、建設、製造、ライフライン、交通・物流、卸・小売・飲食店、金融・保険・リース、不動産、情報通信・メディア、教育・学習、観光・娯楽・宿泊、医療・福祉・保健、環境、防災・治安、行政・公務などの分野 電子入札、緊急連絡網、介護業務支援、不動産情報管理、小売店経営支援サービスなど
基盤サービス システム・ネットワーク基盤サービス アプリケーションのASP・SaaS化に必要な付加機能やネットワークの監視・アクセス制御などの機能を提供するサービス 検索、認証、決済・課金、位置情報、暗号化、ネットワーク監視、Webフィルタリング、アクセスログ収集・管理、暗号化、その他
開発・実行基盤サービス アプリケーション、システムなどの開発・実行環境を提供するサービス OS、ミドルウェア、開発キット、その他

(注1) 本表の記載内容は、今後の市場動向等により変更する場合がある。
(注2) ASPIC,「ASP・SaaS白書2009/2010」の「図表Ⅰ 2-5 ASP・SaaSの体系図」を基に作成

改定内容履歴

平成27年7月
認定証の画像を差替えました。
平成26年2月
平成26年4月1日の消費税率の引き上げに伴う「審査手数料(新規申請費用)」、「更新審査手数料(2年ごとに更新する際の費用)」及び「認定証再発行手数料」の改定料金を追記しました。
平成24年8月
問合せ窓口名称を変更しました。
認定証再発行時の手数料の金額を追加しました。
平成24年4月
財団法人を一般財団法人に変更しました。
平成24年2月
4項(7)の審査手数料の項目が重複するために削除しました。また、認定証再発行時の手数料の項目を追加しました。
9項(1)(2)(3)の審査手数料の項目が重複するために削除しました。
平成23年7月
11項の認定の取消しについて事業承継に係る記述をまとめました。
平成23年4月
8項の有効期間の変更および認定証の画像を差替えました。
別表1の審査手数料および有効期間を変更しました
平成22年6月
認定証の画像を差替え
平成21年11月
4項、9項、別紙2の記載内容を追加しました。
平成21年6月
7項の記載内容を追加しました。
平成21年2月
構成・記載内容を変更しました。

ページの先頭に戻る