レオンテクノロジーは、お客様がセキュリティで「困った！」という時に、真っ先に声をかけてもらえる存在でありたいと考えています。実際に日々の運用や対策の中で、お客様から多種多様なご質問をいただきます。

今回は「ISMS認証は取得しているが、政府案件のためにISMAPも検討したい。両者は何が違うのか？」という疑問や、「最新の制度改正を踏まえた効率的なステップアップ方法」に関するご相談内容に対してのご回答内容についてご紹介します。

今回のご相談内容

クラウドサービスを展開されている企業様より、次のようなご相談をいただきました。

自社のセキュリティ体制を証明するためにISMS（JIS Q 27001）を取得・運用していますが、政府案件への入札を機にISMAPの登録も検討し始めました。
ISMSを持っている場合、ISMAPと何が違うのでしょうか？また、ISMSを取得しているメリットはありますか？

結論：ISMSは「組織の体制」、ISMAPは「政府調達の基準」

ISMSは「組織の情報セキュリティ管理体制」を自律的に構築するための国際基準であるのに対し、ISMAPは「日本政府が調達するクラウドサービスの安全性」を客観的に評価・登録する制度です。

ISMSは組織全体の信頼性を高める「基礎」となりますが、政府機関からクラウドサービスを調達する際は、原則としてISMAPのリストに登録されていることが条件となります。

 

専門家が解説する「ISMSとISMAP」4つのポイント

1. 制度の関係性：ISMSはISMAPの「土台」

ISMAPは、ISMS（JIS Q 27001）を土台としています。
ISMSが『何をすべきか』という枠組みを示すのに対し、ISMAPではその具体的な実施手順であるJIS Q 27002（実施基準）や、経営層の関与を示すJIS Q 27014（ガバナンス）の考え方も深く取り入れられています。
これが、ISMAPがISMSよりも『具体的で、より厳格な基準』と言われる理由の一つです。

 

2. SaaS事業者に適した「ISMAP-LIU」という選択肢

すべてのクラウドサービスに一律に厳しい基準が課されるわけではありません。
リスクの小さな業務（スケジュール管理や教育など10業務）に用いるSaaSであれば、ISMAP-LIU（エルアイユー）2025年（令和7年）4月1日からは、LIU特有の「事前申請」が廃止されるなど、登録プロセスの簡素化が図られています。

3. ISMS取得企業への「監査負担の軽減」

ISMS認証を取得していることは、ISMAP登録において直接的なメリットになります。
最新の制度改善により、ISMS認証を取得していれば、ISMAPの「マネジメント基準」の更新監査において複数年を軸とした監査サイクルを取り入れることが可能になりました。
これにより、毎年の外部監査の対象となる管理策の数を削減でき、コストや対応工数の縮減が期待できます。

4. 制度全体の「軽量化・迅速化」の動向

「ISMAPは非常に重い」というこれまでの課題を解決するため、抜本的な見直しが進んでいます。

• 管理策の削減
1,163項目あった詳細管理策を、322項目まで大幅に削減する改定案が公表されています（令和9年3月目処に改定予定）。
• 審査期間の短縮
申請から登録まで「概ね5ヶ月以内」というモデル審査期間が設定され、以前よりも計画的な登録が可能になっています。

■まとめ：自社の戦略に合わせた最適なルート選択を

• ISMSは組織のセキュリティ意識を高め、民間を含めた汎用的な信頼を得るために有効です。
• ISMAPは政府・官公庁案件への参入に必須となる、より高レベルで具体的な登録制度です。

すでにISMSを運用されている企業様であれば、その資産を活かしつつ、緩和措置やISMAP-LIUなどの「最新の効率的なルート」を選択することで、よりスムーズに政府案件への切符を手にすることができます。

個別のケースでアドバイスが必要な場合は、お気軽にレオンテクノロジーにご相談ください！
>>>お問い合わせはこちら

■さらに詳しく知りたい方へ（外部参考サイト）

• ISMS（情報セキュリティマネジメントシステム）とは – ISMS-AC
日本におけるISMS適合性評価制度を運用する認定機関（情報マネジメントシステム認定センター）の公式サイトです。
ISMSの基礎知識や、国際規格JIS Q 27001の概要、認証を取得している組織の検索など、ISMSの基本から実務的な情報まで網羅されています。

• ISMAPポータルサイト
ISMAP制度の公式ポータルサイトです。
政府が安全性を認めた「ISMAPクラウドサービスリスト」の閲覧ができるほか、「制度の基本規程」「最新の改正動向」「事業者向けのFAQ」などが掲載されている制度の総合窓口です。

• ISMAP-LIUについて – デジタル庁
デジタル庁による、リスクの低いSaaS向けの枠組み「ISMAP-LIU」の特設ページです。2025年4月からの「事前申請の廃止」といった最新の制度改正内容や、対象となる10の業務範囲、SaaS事業者が受けることができる具体的なメリットについて詳しく解説されています。