制度の概要

IaaS・PaaS 安全・信頼性に係る 情報開示認定制度 ~認定制度の概要~

1. 認定制度の背景と経緯

世界最先端のブロードバンド環境が実現され、ICT(情報通信技術)は、経済成長に大きく寄与するとともに、人口減少社会下の我が国経済を新たな成長のトレンドに乗せる原動力として期待されている。そうした中、ネットワークを介してソフトウェアやハードウェアの機能を提供するクラウドサービスの活用によって、これまでICT投資や利用が困難であった中小企業が生産性を大幅に向上させる事例や、地方公共団体が行政事務や公共サービス提供を外部委託するための手段として活用する事例が急速に増加しつつある。

しかしながら、クラウドサービスを提供する事業者によるサービス等に関する情報開示は必ずしも十分な状況とは言いがたく、サービス提供事業者と利用者との間に情報の非対称性が存在している。また、利用者の中には、クラウドコンピューティングの潮流の中で、サービス提供事業者の安全・信頼性に不安を持つものも出てきている。

こうした中、総務省から平成19年11月に「ASP・SaaSの安全・信頼性に係る情報開示指針」を、また、平成21年2月に「データセンターの安全・信頼性に係る情報開示指針」が公表された。さらにクラウドサービスの情報開示について、開示すべき項目等の検討を行い、新たにIaaS・PaaSを加えて、平成23年12月に「データセンターの安全・信頼性に係る情報開示指針(第2版)」の改定及び「IaaS・PaaSの安全・信頼性に係る情報開示指針」が公表された。これらの指針はいずれも事業者から提供されるサービスの安全・信頼性に係る情報開示を必須の項目と選択の項目に分け、情報開示項目を共通かつ豊富にするとともに、利用者による提供サービスの比較・選択等を容易にすることを目的としている。また、上記3つの指針、すなわち、「ASP・SaaSの安全・信頼性に係る情報開示指針」、「データセンターの安全・信頼性に係る情報開示指針」及び「IaaS・PaaSの安全・信頼性に係る情報開示指針」を合わせて「クラウドサービスの安全・信頼性に係る情報開示指針」と総称されている。

上記情報開示指針に基づいて、より多くのサービス提供事業者が実際に情報開示を行い、サービスの安全・信頼性の水準の向上が達成されることが望まれており、これを実現していくためには、提供するサービスのうち、安全・信頼性に係る情報を適切に開示しているものに対する認定制度の導入が求められている。

以上の背景を踏まえ、一般財団法人マルチメディア振興センターは、「ASP・SaaSの安全・信頼性に係る情報開示認定制度」を平成20年4月から実施しているのに加え、今般、新たに「データセンターの安全・信頼性に係る情報開示認定制度」及び「IaaS・PaaSの安全・信頼性に係る情報開示認定制度」を創設し、一般財団法人として中立的な立場から審査・認定を行うこととした。なお、これら3つの情報開示認定制度を総称して、「クラウドサービスの安全・信頼性に係る情報開示認定制度」と総称することとする。

ページの先頭に戻る

2. 認定制度の基本的な考え方

本認定制度の基本的な考え方は、以下のとおりです。

(1) IaaS・PaaSのユーザの視点に立った制度であること

(2) 発展期にあるIaaS・PaaS市場の拡大を促進する制度であること

(3) 事業者から適切に情報開示されていることを認定する制度であること

ページの先頭に戻る

3. 認定制度の意義

ユーザ、事業者、社会の3つの視点からみた本認定制度の意義は、以下のとおりです。

(1) ASP・SaaS事業者等のユーザにとっての意義

IaaS・PaaSのサービスに係る情報開示が豊富になるとともに、情報開示項目が共通化されることにより、複数のIaaS・PaaSサービス及び事業者の比較・評価等が可能になり、最適なサービス・事業者を選びやすくなります。

(2) IaaS・PaaS事業者にとっての意義

IaaS・PaaSサービスを提供する事業者にとっては、情報開示によって、ユーザによるIaaS・PaaSサービス・事業者の比較や評価等が可能になり、安全・信頼性のより高いIaaS・PaaSサービスを求める需要に応えることができるため、顧客獲得の機会の増大につながります。

(3) 社会全体としての意義

社会全体にとっては、認定制度の実施により、IaaS・PaaSのサービスが産業、生活、社会システム等の経済社会活動の多くの分野に普及・定着し、安全・信頼性の高い効果的・効率的な社会情報基盤の形成が進みます。

ページの先頭に戻る

4. 認定に係る申請

(1) 申請対象

申請対象はIaaS・PaaSのサービスであり、既に提供を開始しているものに限ります。ここでいう「IaaS・PaaS」とは以下をさします。

(2) 申請資格

申請できるのは、「IaaS・PaaS事業者」とします。ここでいうIaaS・PaaS事業者とは、以下のいずれか(又は全部)に関するサービスを提供する事業者のことをいいます。

(3) 申請単位

申請は、原則として独立して提供されるサービス単位とします。ただし、複数の基盤サービスを提供している場合は、統合したものを一つの申請単位とすることができます。
なお、サービスの提供形態については事業者により様々なケースが想定されるため、疑問の点があれば問合せ窓口(13項参照)までお問合せください。

(4) 申請書類

申請サービスごとに、日本語で記述された以下の書類を提出していただきます。
また、この他に申請書Aと申請書Bの電子ファイルを格納したCD-R、提出書類及び資料内訳書等が必要です。

※申請書類の詳細、申請書類の綴じ込み方法等については、本認定制度のサイト (http://www.fmmc.or.jp/ip-nintei/) の関連ページをご参照下さい。

ア.申請書A、申請書B

新規申請時や更新申請時には、申請書A(フェースシート)、申請書B(情報開示内容の詳細)を提出していただきます。
申請書Bでは「申請内容」欄と「添付書類等」欄のそれぞれについて、以下に留意した記述が必要です。

イ.申請書Aに関わる添付書類

申請者(企業等)の実在を証明する登記事項証明書もしくはその他の申請者の実在を証明する公的書類、及び「代表者氏名」欄の捺印に対する印鑑証明書の提出が必要です。
なお、「代表者氏名」欄に記載された方に代表権がない場合、添付資料として申請事業者に所属し、事業責任者であることを疎明できる資料の提出が必要です。

(注1)申請者(企業等)の実在を証明する資料の具体例
  • 法人の場合: 商業・法人登記簿謄本
  • 個人事業主の場合: 旅券、運転免許証、住民基本台帳カードその他官公署が発行した免許証、許可証又は資格証明書等(本人の写真が貼付されたものに限る。)のうちいずれか1つの写し
  • 外国語で記載されている場合には原本及び訳文

(注2)商業・法人登記簿謄本、印鑑証明書等については、発行期日が申請日から3ヶ月以内のものとします。

(注3)商業・法人登記簿謄本、印鑑証明書等については、原本の提出を必要としますが、複数サービスを申請する場合の2サービス目以降は、写し(コピー)も可とします。

ウ.申請書Bに関わる添付書類

(5) 送付方法

申請者は、郵便書留により申請書類の送付を行うことができます。
※申請方法の詳細については、本認定制度のサイト(http://www.fmmc.or.jp/ip-nintei/)の関連ページをご参照下さい。

(6) 申請受付

申請は、随時受け付けます。

(7) 審査手数料

申請時には、別表1(本資料の最終ページを参照ください。)に定める審査手数料をお支払いください。なお、この審査手数料は、認定・非認定にかかわらず、返還いたしません。
審査手数料は、当財団から形式審査が完了した旨を通知しますので、その後1週間以内を目途に指定の銀行口座にお振込みください。振込みが確認でき次第、書類審査を開始します。
なお、事業者名称およびサービス名称等の変更により、認定証に変更を生じた場合は、認定証の再発行手数料をお支払いただきます。

ページの先頭に戻る

5. 審査対象項目と審査基準

(1) 審査対象項目

認定の審査対象項目は、「IaaS・PaaSの安全・信頼性に係る情報開示指針」(総務省;平成23年12月16日公表)で示されている情報開示項目に基づきます。
なお、審査対象としている情報開示項目は、以下のような構成となっています。

ア.事業者の安全・信頼性に関する情報開示項目

イ.サービスの安全・信頼性に関する情報開示項目

※IaaS・PaaSのサービス提供時における使用データセンター毎に記載

(2) 審査基準

審査対象となる情報開示項目は、「必須開示項目」(必ず情報開示していただく項目)と「選択開示項目」(情報の開示は任意である項目)に分かれており、以下の基準により審査します。
なお、「選択開示項目」については、これらの開示の有無により認定もしくは非認定とするものではありません。

  1. ア.「必須開示項目」の全てについて適切な情報開示を行っており、かつ「必須開示項目」の中で特にユーザーにとって重要な「一定の要件を考慮すべき項目」(下表を参照)の全てについて一定の要件を満たす場合(対策・措置等を行っている場合)は認定する。
  2. イ. 上記ア項の基準に適合しない場合は非認定とする。
図表 一定の要件を考慮すべき項目の内容
【対策・措置などを行っていない場合に非認定とする項目】
コンプライアンス
(文書類)
情報セキュリティに関する規程などの整備
サービス基本特性
(サービスの変更・終了)
サービス(事業)変更・終了に係る問合せ先
サービスサポート
(サービス窓口(苦情受付))
連絡先、連絡手段(電話/FAX、電子メール等)
サービスサポート
(サービス通知・報告)
メンテナンス等の一時的サービス停止時の事前告知
障害・災害発生時の通知

ページの先頭に戻る

6. 認定に係る審査手順

受理した申請書類をもとに、次により審査を行い、結果を通知します。

(1)形式審査

申請者より提出された申請書類(申請書A、申請書B、申請内容を疎明する関係資料、申請者の実在を証明する公的書類等)が指定どおり提出されているかを審査します。

(2)書類審査

申請書類をもとに、「審査対象項目と審査基準」で示した審査基準に基づき書類審査を行います。
なお、申請内容に明らかに誤解に基づく記述、記入漏れ、不明確な記述がある場合は照会することがあります。

(3)調査

審査上必要があるときは、申請者に対し、その営業所、事務所その他事業場における調査の受け入れを求めることがあります。

(4)認定審査委員会

認定にあたっては、当財団内に設置する学識経験者及び民間有識者等により構成される認定審査委員会を開催し、あらかじめ意見を聴くことがあります。

(5)審査結果の通知

審査終了後、認定又は非認定の結果を通知します。なお、非認定の場合には、改善等が求められる情報開示項目等について説明を付すこととします。

ページの先頭に戻る

7. 認定サービスの公表

認定したサービスについて、以下の情報を公表(認定機関の認定サイト)します。

(1)認定サービスの基本内容

認定番号、サービス名称、事業者名称、認定年月日を認定IaaS・PaaS一覧の形で公表します。

(2)認定サービスの開示内容

申請書Bの“申請内容”欄については、申請者が記述した内容を公表します。
ただし、申請者からその一部につき公表を留保したい旨の申し出があった場合、認定機関において正当な理由であると判断したときは、必要な期間、公表を留保することがあります。

ページの先頭に戻る

8. 認定証・認定マークの発行・使用

認定したIaaS・PaaSのサービスに対して、認定証及び認定マーク (図1、図2参照) を発行します。

認定証

図1 認定証(サンプル)

(注)認定番号、サービスの名称、事業者の名称、認定期間、発行日は、サンプル例示となっています。

ninteimark

図2 認定マーク(サンプル)

(注)認定マークはロゴと認定番号から構成されます。なお、認定番号のIPは識別子、続く上4桁は認定サービス通番、下4桁は認定年月(西暦)を表します。

9. 認定の更新及び変更の届出

(1) 認定の更新

(2) 変更の届出

認定期間内に以下に該当する変更事由が発生したときは、指定する様式により、遅滞なく届出を行ってください。

(3) サービス終了の届出

認定期間内に当該認定サービスの提供を終了したときは、指定する様式により、遅滞なく届出を行ってください。また、その際には、認定証も同時に返納していただきます。

ページの先頭に戻る

10. 申請書類の返却

提出された申請書類は認定の有効期間内においては、認定事務局内で保管し、次の場合に返却します。

(1) 返却する場合

(2) 返却する申請書類

次の資料を除く申請書類一式を申請担当者に返却します。

(3) 更新時の返却資料

更新時においては、変更内容と提出された疎明資料を照合し、不要となった旧資料を返却します。

ページの先頭に戻る

11. 認定の取消し等

(1) 事業者の通知・報告

(2) 事業者への調査及び改善要請

ア. 認定機関等が、認定制度の適正な運営のために必要があると判断したときは、認定サービスを提供する事業者に対して、説明及び資料の提出、調査の受入れ等を求めることがあります。
また、認定サービスを提供する事業者に対して改善その他必要な措置を要請することがあります。その場合、当財団のウェブページ等にその旨を公表することがあります。

(3) 事業承継等による認定効力喪失

ア. 認定した当該サービスに係る事業の譲渡があったとき、又は認定した当該サービスを提供する事業者について合併、分割(当該サービスに係る事業を承継させるものに限る。)もしくは相続があったときは、認定の効力が失われます。

(4) 認定の取消し

認定サービスを提供する事業者が、次のいずれかに該当する場合には、その認定を取り消すことがあります。

  1. ア. 審査基準に適合しなくなったと認められるとき
  2. イ. 不正の手段により認定を受けたことが明らかになったとき
  3. ウ. 認定サービス以外のサービスに認定マークを使用したとき
  4. エ. 認定サービスと認定サービス以外のサービスとを明確に区分せずに認定マークを使用したとき
  5. オ. 認定マークの使用に際して、色を変更したり、一部のみを掲載したとき
  6. カ. 申請の記載内容に変更があったにもかかわらず、正当な理由なく届出をしなかったとき
  7. キ. 正当な理由なく、緊急事態の通知・報告を遵守しなかったとき
  8. ク. 正当な理由なく、当財団の求める調査に応じない場合又は当該調査に虚偽の説明又は資料の提出をしたとき
  9. ケ. 正当な理由なく、改善の要請に従わないとき
  10. コ. 不法行為及び法令違反行為を行ったとき

ページの先頭に戻る

12. 守秘義務及び免責

(1) 守秘義務

認定機関、認定審査委員会を構成する有識者及び認定事務の委託を受けた者(以下「認定機関等」という。)は、認定制度に関連して知り得た事業者に係る非公知の情報(以下「秘密情報」という。)を、当該事業者の事前の承諾なく第三者に開示せず、認定制度の運営に必要な目的以外に使用しないものとします。

ここで、秘密情報には、以下に掲げる情報を含まないものとします。

  1. ア. 事業者から知得する以前に自己が所有していたもの
  2. イ. 事業者から知得した後に、自己の責によらず公知公用となったもの
  3. ウ. 正当な権限を有する第三者から、合法的な手段により秘密保持の義務を伴わずに知得したもの
  4. エ. 認定機関等が独自に創作したもの

なお、認定機関等は、上述のような守秘義務を負いますが、法律に基づく強制処分又は裁判所の命令が執行された場合は、当該処分又は命令に定められた範囲において秘密保持の義務を負わないものとします。

(2) 免責

認定機関等は、認定制度の運営に関して直接又は間接に生じた事業者又は第三者の損害について、その内容、態様の如何にかかわらず一切の責任を負わないものとします。ただし、認定機関等の故意又は重過失による場合はこの限りではありません。
また、認定サービスに関し、事業者と第三者との間で紛争を生じた場合は、当事者が自己の費用と責任において解決するものとし、認定機関等は一切の責任を負わないものとします。

ページの先頭に戻る

13. 問合せ窓口

問合せ窓口は、次のとおりです。

1. 名称
クラウドサービス安全・信頼性情報開示認定制度事務局
2. 受付時間
9:30〜17:00 (土日、祝祭日を除く)
3. メールアドレス
btr-ojoufj_atmark_fmmc.or.jp
(スパムメール防止のため、@を「 _atmark_ 」と表示しています。
メールをお送りになる際には、「 _atmark_ 」を@に直してください。)
4. ホームページ
http://www.fmmc.or.jp/ip-nintei/
5. 電話
03-6662-6854
6. ファックス
03-6662-6347
7. 住所
東京都品川区西五反田7-3-1 たつみビル2F (〒141-0031)

認定制度の運用に伴う事務は、特定非営利活動法人 ASP・SaaS・クラウド コンソーシアム(ASPIC)に委託しています。

(別表1) 認定に係る手数料

1. 審査手数料 <新規申請費用> 1サービスにつき205,200円 (消費税込み)
2. 更新審査手数料 <2年ごとに更新する際の費用> 1サービスにつき102,600円 (消費税込み)
3. 認定証再発行手数料 1サービスにつき10,260円 (消費税込み)

改定内容履歴

平成27年7月
認定証の画像を差替えました。
平成26年2月
平成26年4月1日の消費税率の引き上げに伴う「審査手数料(新規申請費用)」、「更新審査手数料(2年ごとに更新する際の費用)」及び「認定証再発行手数料」の改定料金を追記しました。
平成24年8月
「IaaS・PaaSの安全・信頼性に係る情報開示認定制度」(本制度)を制定、運用を開始しました。

ページの先頭に戻る