補足

ISMAP以外のクラウドセキュリティ認証等

クラウドサービスがISMAP等クラウドサービスリストに登録されていない場合、各府省においてその対応を検討する必要がある。その際、クラウドサービスの情報セキュリティ機能の実態を利用者が個別に詳細に調査することは困難である。そのため、ISMAP管理基準に基づくセキュリティ対策状況の確認に加え、第三者による認証や各クラウドサービスの提供している監査報告書を利用することが重要である。以下のいずれかの認証制度の認証を取得し、又は監査フレームワークに対応していることが推奨される。

認証制度

(1) ISO/IEC 27017による認証取得

https://isms.jp/isms-cls/lst/ind/index.html

(2) JASAクラウドセキュリティ推進協議会CSゴールドマーク

https://jcispa.jasa.jp/cs_mark_co/cs_mark_co/

(3) 米国　FedRAMP

https://marketplace.fedramp.gov/#/products?status=Compliant

監査フレームワーク

(1) 日本公認会計士協会　保証業務実務指針3850

「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報　告書に関する実務指針」

(2) AICPA　SOC2/SOC3

別紙　附則

附則（令和４年９月30日デジタル社会推進会議幹事会決定）