ＳＭＡＰ登録・更新申請に係る監査費用（以下「監査費用」という。）が高
額であること等の理由により、ＩＳＭＡＰへの申請を断念し、又は、登録後
に撤退する事業者が存在している。また、複数のクラウドサービスを組み合
わせて構築するマルチクラウド構成については、ベンダーロックイン（ソフ
トウェアの機能改修等、情報システムを使い続けるために必要な作業を、そ
れを導入した事業者以外が実施することができないために、特定のシステム
ベンダーを利用し続けなくてはならない状態をいう。）対策として期待がさ
れるが、実質的に禁止されているとの誤認から、事業者が政府機関等に提案
しにくいとの声がある。その結果、政府機関等のクラウドサービスの選択肢
が広がらず、国民が享受する行政サービス等の質の低下につながるおそれが
ある。
以上の基本的考え方に基づき、以下の措置を講ずるべきである。
＜実施事項＞
a 内閣官房（内閣サイバーセキュリティセンター）、デジタル庁、総務省及
び経済産業省は、政府が求めるセキュリティ要求を満たしているクラウド
サービスを予め評価・登録することにより、政府が調達するクラウドサー
ビスにおけるセキュリティ水準の確保を図り、政府機関等におけるクラウ
ドサービスの円滑な導入を目的とする、ＩＳＭＡＰについて、ＩＳＭＡＰ
監査機関リストに登録されている監査機関（以下「監査機関」という。）
が実施する監査に係る項目が約 1,200 項目と多数に上ることによって、事
業者による監査費用が高額となり、登録までの期間も長期化しているとの
指摘を踏まえ、必要なサイバーセキュリティ水準の確保を前提に、スター
トアップ等の事業者の監査負担を軽減し、参入促進等を図る観点から、政
府機関等にとって特に必要な管理基準を明確化するとともに、国際標準化
機構（ＩＳＯ）/国際電気標準会議（ＩＥＣ）27000 シリーズ等、他の認証
制度を取得している場合には、該当の認証制度を活用し、監査項目を削減
するなど、監査負担を軽減する方向で、
「ＩＳＭＡＰ管理基準」
（令和２年
６月３日ＩＳＭＡＰ運営委員会）等を改訂する。
b 経済産業省は、内閣官房、デジタル庁及び総務省と連携し、クラウドサ
ービスに対する監査を行う監査機関が少ない（令和６年 11 月末現在で５
法人）結果、監査費用が高額となっているなどの指摘があることを踏まえ、
スタートアップ等の事業者の負担軽減を図るため、監査機関への登録要件
を検証し、監査法人の新規参入を促すとともに、登録に必要な監査機関の
資格要件を見直し監査法人以外の法人も参入可能とする方向で、「ＩＳＭ
ＡＰ監査機関登録規則」（令和２年６月３日ＩＳＭＡＰ運営委員会）を改

144