2021-05-11 第204回国会 参議院 総務委員会 第13号
ガバメントクラウドにつきましては、政府情報システムのためのセキュリティ評価制度でありますISMAPに登録されたサービスのうち、データセンターの物理的所在地が日本国内であることや、不正アクセス防止やデータ暗号化などによって最新かつ最高レベルの情報セキュリティーが確保できるものを選定することとしておりまして、セキュリティーに万全を期すこととしております。
ガバメントクラウドにつきましては、政府情報システムのためのセキュリティ評価制度でありますISMAPに登録されたサービスのうち、データセンターの物理的所在地が日本国内であることや、不正アクセス防止やデータ暗号化などによって最新かつ最高レベルの情報セキュリティーが確保できるものを選定することとしておりまして、セキュリティーに万全を期すこととしております。
このガバメントクラウドのセキュリティー対策でございますけれども、政府情報システムのためのセキュリティ評価制度というのがございます、ISMAPというのがありますが、このISMAPに登録されたサービスから調達をするということを原則としまして、それらのサービスのうち、不正アクセス防止やデータ暗号化などにおきまして最新かつ最高レベルの情報セキュリティーが確保できること、クラウド事業者間でシステム移設を可能とするための
標準準拠システムを構築する予定のガバメントクラウドにつきましては、ISMAPという政府情報システムのためのセキュリティ評価制度がございます。
○国務大臣(平井卓也君) 今我々が検討しておりますガバメントクラウドに関しては、政府情報システムのためのセキュリティ評価制度であるISMAPに登録されたサービスから調達することをまず原則としています。
政府は、資料一お配りしたとおり、このセキュリティー評価制度のISMAPをつくりまして、セキュリティー要件を満たしているクラウドサービスをあらかじめ評価、登録するという対策を講じられて、三月十二日にこの一のような安全性の評価を受けた十のクラウドサービスのリストを公表されています。何と十のうち六つのサービスはアメリカということで、他国のものであります。
○矢田わか子君 ISMAP、世界的にも注目されている評価制度であります。しっかりとこれも信頼性高めて、育てていかなければいけないというふうに思います。
○国務大臣(平井卓也君) 政府としては、情報システムの調達でクラウドサービスの導入を第一に検討するクラウド・バイ・デフォルト原則を踏まえて、安全で利便性の高いクラウドサービスの導入を加速化するため、政府情報システムのためのセキュリティ評価制度、ISMAPを立ち上げたところでございます。
ガバメントクラウドは、政府各省のシステムですとか、あるいは自治体のシステムですとか、そういうのを載せていくものとして用意するものでございますけれども、ガバメントクラウドにつきましては、政府情報システムのためのセキュリティ評価制度であるISMAPに登録されたサービスから調達することを原則とし、データセンターの物理的所在地を日本国内とし、情報資産について合意を得ない限り日本国外への持ち出しを行わないことや
御質問のあったISMAP、政府情報システムのセキュリティ評価制度でございますけれども、クラウド・バイ・デフォルト原則を踏まえまして、クラウドサービスの導入を加速するという、このために、国際レベルでの管理基準に基づいて、第三者による監査のプロセスを経て安全性が評価されたクラウドサービスを登録する制度ということになっております。
ISMAPの話を少ししたいんですが、表を今日はお配りしていますので、ちょっと済みません、大量のデータがあってですね。一ページのいわゆる上段というところを見てほしいんですが、これが、ちょっと分かりにくいんですけど、ISMAP管理基準の全体像ということであります。
ISMAPというふうに呼んでいますが、それに登録されたサービスから調達するということを原則にする、そして、データセンターの物理的所在地を日本国内とする、そして、情報資産につきまして、合意を得ない限り日本国外への持ち出しは行わないこと、さらに、一切の紛争は日本の裁判所が管轄するとともに、契約の解釈が日本法に基づくものであること、これを契約等により担保できることなどを選定基準とすることを考えているところでございます
ガバメントクラウドについては、その安全性については、政府情報システムのためのセキュリティ評価制度であるISMAPに登録されたサービスから調達することを原則とし、不正アクセス防止やデータ暗号化などにおいて最新かつ最高レベルの情報セキュリティーが確保できることや、データセンターの物理的所在地が日本国内であることなどを選定基準とすることを考えています。
クラウドサービスの選定基準としては、政府情報システムのためのセキュリティ評価制度であるISMAPに登録されたサービスから調達することを原則とし、不正アクセス防止やデータ暗号化などにおいて、最新かつ最高レベルの情報セキュリティーが確保できること、データセンターを国内に置くことを含め、契約から開発、運用、廃棄に至るまで、国によってしっかりと統制できることなどを検討しております。
セキュリティーの観点で申し上げたいと思うんですが、内閣委員会でも再三やってまいりましたが、ISMAP、これは政府情報システムのためのセキュリティ評価制度でございますが、クラウドサービス事業者に対しては、サーバー設置場所は別に日本国内に限るわけじゃなくて、国外でも構いませんよという話なんですね。その上で、国以下のリージョン情報として公開している。
○時澤政府参考人 法的な担保というよりも、そのようなものを目指してということでございまして、例えば、政府によるクラウドセキュリティー評価というのがございます、ISMAP、これの評価、登録を受けたクラウドサービスを使うということとか、あと、所管の、国内とかというのもありますけれども、先ほど申し上げましたように、データをそれぞれ論理的に分離するということで、分散管理をするということで高い機密性を確保する
ISMAPの評価、登録を受けるために、クラウドサービスプロバイダーはサーバーを国内に置く必要がありますでしょうか、伺います。
ISMAP、政府情報システムのためのセキュリティー評価制度でございますが、クラウドサービスの登録申請を行う際に、申請を行ったクラウドサービス事業者に対して、利用者が選択できるサーバーの設置場所であるリージョンを明らかにするように求めております。 このISMAPの中で、リージョンを国内に限定するということは義務づけてはおりません。
○時澤政府参考人 先ほども申し上げましたように、ガバメントクラウドにつきましては、ISMAPの評価、登録を受けたクラウドサービスを活用するということでございますが、委員御指摘のような、地方公共団体がISMAPに対応していないクラウドサービス事業提供者により提供されるクラウドを利用して構築を希望するシステム、これがどのようなものであるかということを、まずは自治体と対話をして見極めていく必要があると考えております
政府といたしましては、情報システムの調達で、クラウドサービスの導入を第一に検討するクラウド・バイ・デフォルトの原則というのを踏まえまして、安全で利便性の高いクラウドサービスの導入を加速するため、政府情報システムのためのセキュリティー評価、先ほど先生がおっしゃいましたISMAPを立ち上げております。
○濱村委員 ISMAP、必要性はよく分かります。 一方で、大きな監査法人にちゃんと認証、登録の手続をサポートしていただかなきゃいけないというようなこともあったりします。ですので、なかなか、クラウドサービスを提供しているベンダーからすれば、これは経営判断に大きく影響してきます。