世界最先端のブロードバンド環境が実現され、ICT(情報通信技術)は、経済成長に大きく寄与するとともに、人口減少社会下の我が国経済を新たな成長のトレンドに乗せる原動力として期待されている。そうした中、ネットワークを介してソフトウェアやハードウェアの機能を提供するクラウドサービスの活用によって、これまでICT投資や利用が困難であった中小企業が生産性を大幅に向上させる事例や、地方公共団体が行政事務や公共サービス提供を外部委託するための手段として活用する事例が急速に増加しつつある。
しかしながら、クラウドサービスを提供する事業者によるサービス等に関する情報開示は必ずしも十分な状況とは言いがたく、サービス提供事業者と利用者との間に情報の非対称性が存在している。また、利用者の中には、クラウドコンピューティングの潮流の中で、サービス提供事業者の安全・信頼性に不安を持つものも出てきている。
こうした中、総務省から平成19年11月に「ASP・SaaSの安全・信頼性に係る情報開示指針」を、また、平成21年2月に「データセンターの安全・信頼性に係る情報開示指針」が公表された。さらにクラウドサービスの情報開示について、開示すべき項目等の検討を行い、新たにIaaS・PaaSを加えて、平成23年12月に「データセンターの安全・信頼性に係る情報開示指針(第2版)」の改定及び「IaaS・PaaSの安全・信頼性に係る情報開示指針」が公表された。これらの指針はいずれも事業者から提供されるサービスの安全・信頼性に係る情報開示を必須の項目と選択の項目に分け、情報開示項目を共通かつ豊富にするとともに、利用者による提供サービスの比較・選択等を容易にすることを目的としている。また、上記3つの指針、すなわち、「ASP・SaaSの安全・信頼性に係る情報開示指針」、「データセンターの安全・信頼性に係る情報開示指針」及び「IaaS・PaaSの安全・信頼性に係る情報開示指針」を合わせて「クラウドサービスの安全・信頼性に係る情報開示指針」と総称されている。
上記情報開示指針に基づいて、より多くのサービス提供事業者が実際に情報開示を行い、サービスの安全・信頼性の水準の向上が達成されることが望まれており、これを実現していくためには、提供するサービスのうち、安全・信頼性に係る情報を適切に開示しているものに対する認定制度の導入が求められている。
以上の背景を踏まえ、一般財団法人マルチメディア振興センターは、ISO27001をベースとした「ASP・SaaSの安全・信頼性に係る情報開示認定制度」を平成20年4月から実施しているのに加え、平成24年8月に「データセンターの安全・信頼性に係る情報開示認定制度」及び「IaaS・PaaSの安全・信頼性に係る情報開示認定制度」を創設し、クラウドサービス市場の発展に寄与してまいりました。この間、日本クラウド産業協会(以下「ASPIC」という。)は認定事務局となり、平成29年10月1日にはクラウドサービス情報開示認定機関(以下「認定機関」という。)はASPICに移管されました。
本情報開示認定制度の基本的な考え方は、以下のとおりです。
ユーザ、事業者、社会の3つの視点からみた本認定制度の意義は、以下のとおりです。
DCのユーザにとっては、DCサービスやDC事業者の安全・信頼性に関する開示情報が豊富になるとともに、開示項目が共通化されることにより、複数のDCサービス及び事業者の比較・評価等が可能になり、最適なサービス・事業者を選びやすくなります。特に、「ASP・SaaSの安全信頼性に係る情報開示認定制度」の認定を受けようとするASP・SaaS事業者にとっては、申請書の作成にあたってDCの情報開示項目をそのまま利用でき、独自で情報を収集する手間が省けます。
DCサービスを提供する事業者にとっては、情報開示によって、ユーザによるDCサービスや事業者の比較・評価等が可能になり、安全・信頼性のより高い認定DCサービスへの需要が高まるため、顧客獲得の機会の増大につながります。
社会全体にとっては、認定制度の実施により、DCサービスが産業、生活、社会システム等の経済社会活動の多くの分野に普及・定着し、安全・信頼性の高い効果的・効率的な社会情報基盤の形成が進みます。
申請対象はデータセンター及びデータセンターと一体的に提供されるサービス(ハウジング及びホスティング等)であり、既に提供を開始しているものに限ります。ここでいう「データセンター」とは、複数のコンピュータを設置・稼働させることを目的に設計された専用施設のことをいいます。
なお、認定機関は、申請されたデータセンターが、上記定義の専用施設と著しく乖離していると判断される場合には、申請を却下することができることとします。
<補足>「複数のコンピュータを設置・稼働させることを目的に設計された専用施設」の要件を明示することは困難であるが、建物・設備のセキュリティの面で24時間監視体制や入退館管理を実施していない施設は、データセンターと認知しないという目安を置くことが望ましい。
申請できるのは、「データセンター事業者」とします。ここでいうデータセンター事業者とは、「データセンターを管理・運営し又は施設の一部を賃借し、コンピュータ稼働に必要なスペース及び関連サービスを利用者に対して提供する業務を行っている事業者」のことをいう。
申請は、原則として空間的・機能的に独立した施設として識別する「(識別名を有する)データセンター」を申請単位とします。
なお、疑問の点があれば問合せ窓口(13項参照)までお問い合わせください。
申請データセンターごとに、日本語で記述された以下の書類を提出していただきます。また、この他に申請書Aと申請書Bの電子ファイルを格納したCD-R、提出書類及び資料内訳書等が必要です。
申請書類の詳細、申請書類の綴じ込み方法等については、本認定サイト (https://www.aspicjapan.org/nintei/dc-nintei/) の関連ページをご参照下さい。
新規申請時や更新申請時には、申請書A(フェースシート)、申請書B(情報開示内容の詳細)を提出していただきます。
申請書Bでは「申請内容」欄と「添付書類等」欄のそれぞれについて、以下に留意した記述が必要です。
なお、申請者が、同時に複数のデータセンターを申請する場合には、申請書A(1枚)に対して、複数の申請書Bを添付する形で提出することができます。ただし、その場合、申請書Aには、申請するデータセンターの識別名をすべて記載していただきます。
申請者(企業等)の実在を証明する登記事項証明書もしくはその他の申請者の実在を証明する公的書類の提出が必要です。
なお、「代表者氏名」欄に記載された方に代表権がない場合、添付資料として申請事業者に所属し、事業責任者であることを疎明できる資料の提出が必要です。
(注2)商業・法人登記簿謄本については、原本の提出を必要としますが、複数DCサービスを申請する場合の2拠点目以降は、写し(コピー)も可とします。
申請者は、郵便書留により申請書類の送付を行うことができます。
申請方法の詳細については、本認定サイト(https://www.aspicjapan.org/nintei/dc-nintei/)の関連ページをご参照下さい。
申請は、随時受け付けます。
申請時には、別表1(リンク先資料の最終ページを参照下さい。)に定める審査手数料をお支払ください。なお、この審査手数料は、認定・非認定にかかわらず、返還いたしません。
審査手数料は、ASPICから形式審査が完了した旨を通知しますので、その後1週間以内を目途に指定の銀行口座にお振込みください。振込みが確認でき次第、書類審査を開始します。
なお、事業者名称およびサービス名称等の変更により、認定証に変更を生じた場合は、申請者は認定証の再発行手数料をお支払いただきます。
認定の審査対象項目は、「データセンターの安全・信頼性に係る情報開示指針(第2版)」(総務省;平成23年12月16日公表)で示されている情報開示項目に基づきます。
なお、審査対象としている情報開示項目は、以下のような構成となっています。
審査対象となる情報開示項目は、「必須開示項目」(必ず情報開示していただく項目)と「選択開示項目」(情報の開示は任意である項目)に分かれており、以下の基準により審査します。
なお、「選択開示項目」については、これらの開示の有無により認定もしくは非認定とするものではありません。
1.対策・措置などを行っていない場合に非認定とする項目 | |
---|---|
コンプライアンス | 情報セキュリティに関する規程等の整備 |
ハウジング (サービスの内容) |
サービス (事業) 変更・終了に係る問合せ先 |
ハウジング (サービスサポート) |
サポート範囲・手段 <連絡手段(電話/FAX、電子メール等)> |
メンテナンス等の一時的サービス停止時の事前告知 | |
障害・災害発生時の通知 |
受理した申請書類をもとに、次により審査を行い、結果を通知します。
申請者より提出された申請書類(申請書A、申請書B、申請内容を疎明する関係資料、申請者の実在を証明する公的書類等)が指定どおり提出されているかを審査します。
申請書類をもとに、「審査対象項目と審査基準」で示した審査基準に基づき書類審査を行います。
なお、申請内容に明らかに誤解に基づく記述、記入漏れ、不明確な記述がある場合は照会することがあります。
審査上必要があるときは、申請者に対し、その営業所、事務所その他事業場における調査の受け入れを求めることがあります。
認定にあたっては、ASPIC内に設置する学識経験者及び民間有識者等により構成される認定審査委員会を開催し、あらかじめ意見を聴くことがあります。
審査終了後、認定又は非認定の結果を、通知します。
なお、非認定の場合には、改善等が求められる情報開示項目等について説明を付すこととします。
認定したサービスについて、以下の情報を公表(認定機関の認定サイト)します。
認定番号、データセンター名称、事業者名称、認定年月日を認定データセンター一覧の形で公表します。
申請書Bの "申請内容" 欄については、申請者が記述した内容を公表します。
ただし、申請者からその一部につき公表を留保したい旨の申出があった場合、認定機関において正当な理由であると判断したときは、必要な期間、公表を留保することがあります。
認定した個別のデータセンターに対して、認定証及び認定マーク(図1、図2参照)を発行します。
図1 認定証(サンプル)
(注) 認定番号、サービスの名称、事業者の名称、認定期間、発行日は、サンプル例示となっています。
図2 認定マーク(サンプル)
(注) 認定マークはロゴと認定番号から構成されます。なお、認定番号のDCは識別子、続く数字の上4桁は認定サービス通番、下4桁は認定年月(西暦)を表します。
認定期間内に以下に該当する変更事由が発生したときは、指定する様式により、遅滞なく届出を行ってください。
認定期間内に当該認定サービスの提供を終了したときは、指定する様式により、遅滞なく届出を行ってください。また、その際には、認定証も同時に返納していただきます。
提出された申請書類は認定の有効期間内においては、認定事務局内で保管し、次の場合に返却します。
次の資料を除く申請書類一式を申請担当者に返却します。
更新時においては、変更内容と提出された疎明資料を照合し、不要となった旧資料を返却します。
認定サービスを提供する事業者が、次のいずれかに該当する場合には、その認定を取り消すことがあります。
認定機関、認定審査委員会を構成する有識者及び認定事務の委託を受けた者(以下「認定機関等」という。)は、認定制度に関連して知り得た事業者に係る非公知の情報(以下「秘密情報」という。)を、当該事業者の事前の承諾なく第三者に開示せず、認定制度の運営に必要な目的以外に使用しないものとします。
ここで、秘密情報には、以下に掲げる情報を含まないものとします。
なお、認定機関等は、上述のような守秘義務を負いますが、法律に基づく強制処分又は裁判所の命令が執行された場合は、当該処分又は命令に定められた範囲において秘密保持の義務を負わないものとします。
認定機関等は、認定制度の運営に関して直接又は間接に生じた事業者又は第三者の損害について、その内容、態様の如何にかかわらず一切の責任を負わないものとする。ただし、認定機関等の故意又は重過失による場合はこの限りではありません。
また、認定サービスに関し、事業者と第三者との間で紛争を生じた場合は、当事者が自己の費用と責任において解決するものとし、認定機関等は一切の責任を負わないものとします。
問合せ窓口は、次のとおりです。
1. 審査手数料 <新規申請費用> | 1サービスにつき209,000円 (消費税込み) (内訳)審査手数料(税別)190,000円+消費税(10%)19,000円 |
---|---|
2. 更新審査手数料 <2年ごとに更新する際の費用> |
1サービスにつき104,500円(消費税込み) (内訳)更新審査手数料(税別)95,000円+消費税(10%)9,500円 |
3. 認定証再発行手数料 | 1サービスにつき10,450円(消費税込み) (内訳)更新審査手数料(税別)9,500円+消費税(10%)950円 |