ISMAPとは — 政府調達で使われるクラウドサービスの登録制度
更新: 2026-07-10
ISMAPの概要
ISMAP(Information system Security Management and Assessment Program)は、政府が求めるセキュリティ要求を満たすクラウドサービスをあらかじめ評価・登録することで、政府機関等のクラウドサービス調達におけるセキュリティ水準の確保を図る制度です。2020年(令和2年)6月に運用が開始されました。NISC・デジタル庁・総務省・経済産業省が所管し、IPA(情報処理推進機構)が制度運用の技術支援を行っています。
登録されたサービスは「ISMAPクラウドサービスリスト」として公開されており、誰でも確認できます。
ISMAP-LIUとの違い
ISMAP-LIU(ISMAP for Low-Impact Use)は、機密性2以下の情報を扱う、リスクの小さな業務・情報の処理に用いる SaaS を対象とした仕組みで、2022年11月に運用が開始されました。通常の ISMAP と比べて評価項目や監査手続きが調整されています。リストは通常の ISMAP クラウドサービスリストとは別に公開されています。
取引先確認での読み方
ISMAP の登録は「クラウドサービス単位」です。同じ事業者でも、登録されているのは特定のサービスであり、その事業者の全サービスが対象になるわけではありません。リストではサービス名・登録番号を確認できるため、利用を検討しているサービス名と登録名の対応を確認するのが確実です。
民間企業同士の取引で ISMAP 登録が必須になるわけではありませんが、政府調達水準の評価を受けたサービスであることの参考情報として使われることがあります。