内閣サイバーセキュリティセンター（NISC）とデジタル庁、総務省、経済産業省は11月1日、政府情報システムのためのセキュリティ評価制度（ISMAP）において新制度「ISMAP-LIU」（ISMAP for Low-Impact Use）の運用を開始したと発表しました。ISMAPのポータルサイトにてクラウドサービス事業者を対象とした登録の事前申請を受け付けています。

ISMAP-LIUはリスクの小さな業務・情報の処理に用いるSaaSを対象にした新制度です。用途や機能が限定的だったり、重要度の低い情報のみを取り扱ったりするSaaSの場合、従来のISMAPではセキュリティ要求が過剰になる場合があるため、新制度を創設しました。ISMAP-LIUについては、7月5日まで意見公募を実施、25の組織などから意見が寄せられました。

ISMAPのポータルサイトでは意見公募を踏まえて策定された「ISMAP-LIUクラウドサービス登録規則」などが公表されるともに、サービスの事前申請の受け付けが始まりました。ISMAP-LIUでは、サービス登録申請の前に、そのサービスがISMAP-LIUに該当するかを確認する「事前申請」というプロセスが追加されています。

SaaSで提供する業務のうち何がISMAP-LIUの対象と認められるかについては、「実施する業務や情報の内容によって個別に判断されるものであり、画一的な定義を示すことは困難」と示されていますが、代表的な業務については「ISMAP-LIUにおける業務・情報の影響度評価ガイダンス」において例示されています。