情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和7年度春期 午前Ⅱ 問11: “政府情報システムのためのセキュリティ評価制度（ISMAP）”の説明はどれか。

問題本文

“政府情報システムのためのセキュリティ評価制度（ISMAP）”の説明はどれか。

選択肢

• ア.個人情報の取扱いについて政府が求める保護措置を講じる体制を整備している事業者などを評価して，適合を示すマークを付与し，個人情報を取り扱う政府情報システムの運用について，当該マークを付与された者への委託を認める制度
• イ.個人データを海外に移転する際に，移転先の国の政府が定めた情報システムのセキュリティ基準を評価して，日本が求めるセキュリティ水準が確保されている場合には，本人の同意なく移転できるとする制度
• ウ.政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価，登録することによって，政府のクラウドサービス調達におけるセキュリティ水準の確保を図る制度
• エ.プライベートクラウドの情報セキュリティ全般に関するマネジメントシステムの規格にパブリッククラウドサービスに特化した管理策を追加した国際規格を基準にして，政府情報システムにおける情報セキュリティ管理体制を評価する制度

正解

ウ. 政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価，登録することによって，政府のクラウドサービス調達におけるセキュリティ水準の確保を図る制度

解説

ISMAPは、政府が求めるセキュリティ要求を満たすクラウドサービスをあらかじめ評価・登録し、各府省がその登録簿から調達することで政府情報システムのセキュリティ水準を確保する制度。ウが正解。実務では民間クラウド事業者にとってISMAP登録が政府調達への参入要件となり、利用側は個別評価の負担を軽減できる。

選択肢ごとの解説

• ア.個人情報保護のマーク付与制度(プライバシーマーク等)の説明であり、ISMAPではない。
• イ.個人データの越境移転に関する説明で、クラウド調達の評価制度であるISMAPとは別物。
• ウ.政府要求を満たすクラウドを事前評価・登録し調達に用いる、ISMAPの定義どおりで正解。
• エ.特定のISMS国際規格を基準とする評価という説明で、ISMAPの仕組みとは一致しない。