はじめに
本制度は、合格したISPが、セキュリティや顧客対応などについて一定水準を満たしており、安全に、かつ安心して利用できるISPであるという目安を提供するものです。質問項目の内容について、一定水準に達することができたISPは、全て合格することができます。また、現在合格できる水準に達していないISPであれば、水準に達するよう努力していただき、業界全体のレベルアップを図ろうという目的も持っています。
- 一次審査と二次審査の役割の違いは何ですか?
提出された書類を審査するのは基本的に一次審査の役割です。二次審査は、一次審査が正当に行われたかどうかについて審査し、一次審査において判断不能な例についてのみ助言を行います。また、二次審査を行う審査委員会は、審査項目や審査基準について適正であるかどうかの見直しや改廃を行うことが主な役割です。
- 審査料金を払う上で請求書がほしいのですが、どうしたらいいですか?
必要な場合には請求書を発行します。審査申請書類を提出する団体(事務局)にご連絡ください。
- 「上位プロバイダーに業務を委託、または依存している事業者」とありますが、具体的にはどのようなことですか。
主たるシステム・機器・設備等について自社の設備ではなく他事業者に委託している場合がこれに当たります。具体的にはルータ程度のシステム機器・設備しか提供していない事業者が該当しますが、審査項目をご覧いただき、自社で回答できない部分がある場合には、該当事業者と考えられますので、こちらの説明をご覧ください。
- 設問中の各署名欄にある「担当者署名(肉筆)押印: 」の担当者とは、各項目の担当者でなくてはいけませんか?
署名押印は、各項目ごとの個別担当者によるものが望ましいです。しかしながら、全個別担当者から署名押印を得るのが困難な場合は、本書類作成者が、個別担当者への社内聞き取り調査にもとづいて、署名押印した場合でも可とします。
- システムの運用・メンテナンスを外部に委託している場合は、提出書類への署名押印は外部委託先に頼まなければいけませんか。
外部委託先の担当者の署名、押印が最も好ましいです。しかし、委託先担当者より署名押印を得ることが困難な場合には、審査項目に従って聞き取り調査を行っていただき、書類作成者の署名押印をお願いします。
- 安全・安心マークの有効期限は何年ですか。
マーク発行日より1年間有効です。有効期限満了120日前にメールにて更新のお知らせのご連絡をいたします。
- 審査項目1-1-1で「セキュリティポリシー」と「それに相当する内部規程文書」との違いは何ですか?
本審査に当たって、セキュリティとは、まずセキュリティポリシーありきという考え方に立脚しており、セキュリティポリシーがあることが必須です。但し、まだしっかりしたセキュリティポリシーがない中小のISPに対する救済措置として、それに相当する内部規程文書があればよいこととしています。現状そのようなものが何もなくてこれから作成する場合は、以下を参考に作成してください。
- 審査項目1-1-1の審査は、提出されたセキュリティポリシーについて、内容についてはどのような審査をするのですか?
以下の必要項目が明記されているかどうかを確認するものであり、内容について審査するものではありません。
- セキュリティポリシーの基本方針並びに適用範囲
- 組織と体制
- 重要情報と保護対策(情報機器廃棄時の対策を含む)
- 評価と見直し
- 法令遵守、 違反に対する対応
- 運用と教育
- 弊社ではセキュリティポリシーを社外に提出することはいけないことになっていますがどうしたらいいですか?
セキュリティポリシーが社外持ち出し禁止という措置は全く正しい運用方法です。しかしながら審査をする以上何らかの手段で提出していただかないことには審査のしようがありません。掲載してある必要項目が盛り込まれているかどうか確認させていただくための判断材料として、なんらかの形での提出をお願いします。要返却、禁複製など事務局で対応できることはご相談に応じさせていただきます。また、必要項目の存在がわかれば、その内容は問わないので、目次や記載部分抜粋の提出でも可とします。
- 弊社は外資系のためセキュリティポリシーが英語で作成されていますが、英語のままで提出してもいいですか?
原則として日本語でお願いしたいところですが、英文しかない場合にはそれでも結構です。但し、以下の項目の記載場所に何らかの印をつけていただけますようお願いします。
- セキュリティポリシーの基本方針並びに適用範囲
- 組織と体制
- 重要情報と保護対策(情報機器廃棄時の対策を含む)
- 評価と見直し
- 法令遵守、 違反に対する対応
- 運用と教育
- 審査項目1-1-2の監査報告書には何が書かれていることが必要ですか?
監査が行われたことと、実行された日付を確認します。日付は審査書類提出日より1年以内でなければなりません。また、別途掲げてある「監査項目」に記載の項目が網羅されていることを確認します。
- この審査に向けて新たにセキュリティポリシーを作成したばかりなので、監査をまだ行っていませんが、その場合の扱いはどうなりますか?
本審査に向けて新たにセキュリティポリシーなどを作成した場合は、監査の経験を持たない場合が多いと考えられます。よって今年度は必須ではなく推奨項目となっていますので、5点の加点が出来ないだけです。次年度においては監査報告書の提出は必須項目となりますので、ご了承下さい。
- 審査項目1-1-4にある責任者とは社長ですか?
代表取締役、あるいはその部門の部門長相当の方であることが、のぞましい責任者と言えます。
- 審査項目1-2-1の啓発活動とは具体的にどのようなものでしょうか。また、その範囲はどこまで及びますか
会員の情報にアクセスができる場合や、ユーザー対応の仕事などについた場合には、個人情報の保護に対する知識や対応が必要になります。また、セキュリティなどの最小限の知識なども知る必要があります。関連するセミナーへの参加や、先輩の指導などで啓発をしてください。それが必要な範囲は、当該システムに携わる部門となります。啓発すべきところが会社全体である必要はありません。
- 審査項目2-1-1の「セキュリティ対策診断結果報告書」とはどのようなものですか。
セキュリティチェックのツールを利用し、審査項目中の「2-1-1 インターネット接続サービスを提供するために使用されている、主な、DNSサーバ、メールサーバ、Webサーバ、認証サーバ、ルータについて診断をしていただき、そのレポートを提出してください。診断項目については、審査項目のセキュリティ診断項目を参照してください。セキュリティ診断に用いるツールについても同様にWebにて推奨ツールをご紹介していますので、ご参照ください。
診断された結果について、ツールによって表現は異なりますが、2010年2月8日付けで新たに変更されましたので、2-1-1 セキュリティ診断について 審査変更点を参照いただき、提出をしてください。特に「申請書提出の注意点」の対応をお願いいたします。- 審査項目2-2-1の定期的な診断とはツールによる診断チェックのことですか。
セキュリティホールは日々新しいものが出てきています。また、対策方法も変わる場合があるので、都度見直しをすることが必要です。日々新しいセキュリティ情報を収集して対策をしてください。診断方法は特にセキュリティチェックツールによるものでなくても良いですが、その時々に応じた方策で対応をしてください。セキュリティ診断ツールを利用すると確認にもなるので、よいと思います。しかし、そのツールも定期的なバージョンアップが必要です。この項目は、担当者の報告をもって判断いたします。
- 審査項目2-3-1の「システムのメンテナンス管理基準書」に記載するのはハードの管理基準ですか。
ハードウェア、ソフトウェア、およびバックアップの管理基準があることが望ましいです。ハードウェアについては、無停電電源、空調、予備機器、その他の動作確認、交換時期などの基準が確立され、ソフトウェアについてはパッチを当てて、バージョンアップをする基準について記載されていることが望ましいです。
- 審査項目3-1-1 障害発生時における連絡体制とありますが、連絡体制図には個人を特定する携帯番号が記述されています。これを提出しないといけませんか。
障害発生時に円滑に連絡が出来る体制かどうかを判断するもので、フローチャートのように表示されているのが望ましいですが、部署、氏名を残して電話番号の部分だけ、塗りつぶしによる提出でもかまいません。
- 審査項目3-1-3 に消火、防火設備とありますが、ハロンガス噴出装置などの設備のことですか。
事業規模により様々であるので、設備の存在が確認できれば内容については問いません。大規模事業者の場合には、ハロンガス設備などの対策、小規模事業者の場合には、消化器の設置などということになろうかと思います。それぞれの事業規模にあった者を設置した上で、その設備内容を記入してください。
- 審査項目3-1-4 の水害や地震対策は具体的に何をすればいいのですか?
事業規模や地域的特殊要素などにより要因は様々であるので、具体的なものを示すことはいたしません。それぞれに事業規模や地域的特性にあった対策を施した上で署名押印してください。
- 審査項目3-1-5 の適切なバックアップの基準はありますか。
事業規模により様々であるので、バックアップの頻度や量については問いません。通常の運用に適した頻度で行ってください。ここの項目の場合は、バックアップを行っているということを署名押印により確認できればよいものとします。
- 審査項目3-1-6 のバックアップからの復旧手順書に重要な項目が記載され、外部に出せない場合は、どうしたらよいですか。
外部に出せない部分(パスワード等)を塗りつぶして提出をしてください。万が一の時に円滑に復旧が出来るかどうかを判断するものになります。
- 審査項目3-1-6トラブル時の復旧を外部に委託しています。その場合はどうしたらよいですか。
全委託の場合には、発生から復旧までの御社の手順書を作成して提出してください。たとえば、発生→委託先連絡→その他作業等、連絡体制と同じになる場合が多いかもしれませんが、対応をお願いします。また、一部委託の場合には、自社の手順書と先の形の文書を提出してください。
- 審査項目3-1-7の物理的に離れた場所とは、同じビルの同じフロアにある一室で、パーティーションで区切られたぐらいでも良いのですか。
物理的に離れているのは、他のビル内であるのが一番望ましいですが、同じビル内であっても別室であることが必要です。また同室の耐火金庫の中に入っているので安全という意見もございますが、温度によって変形するような事例もあげられています。また保管場所記載欄には、別とわかるところまで記載してください。
- 審査項目3-1-7物理的に離れた場所に保管しているのですが、基幹システム設置場所を他社データセンターを使用しています。そのデータセンターが住所非公開となっており、この回答書に記載することが出来ません。どうしたらよいでしょうか。
セキュリティ上、データセンターの住所非公開は最近よく聞かれるところです。しかし物理的に離れた場所を判断するため、必要となりますので、具体的な住所は記載せず、利用しているデータセンターの会社名の記載でも結構です。
- 審査項目3-1-8停電用の電源とは自家発電装置でないといけませんか。
事業規模により様々であるので、停電時用電源の存在が特定できれば内容については問いません。小規模事業者は無停電電源でもかまいませんが、記入にあたっては具体的に容量や台数などをご記入下さい。
例:5kVA 無停電電源3機 など
- 審査項目3-3-1~はWebページを記載することになっていますが、該当箇所の記載だけでよいですか。
プロバイダーが利用者に対して案内をしているかどうかの判断と同時に利用者がわかりやすいかどうかも審査の対象になります。ですので、Webのトップページからその該当ページまでを選択する項目も含めてご記入ください。
例:安全・安心マークのページのセキュリティ診断項目をご案内する場合。
- 審査項目4-1-2 の契約時に契約約款を閲覧して申し込みが出来るかどうかとは、具体的にどういうことですか。
入会時に契約約款を読み、同意して入っていただくのを基準としています。Web入会が出来るところは、契約約款を読むことを促し、「同意する」ボタンを選択しないと入会が出来ないような手順にするのが望ましいです。Webを拝見して判断します。またWeb入会ではなく対面で申込書を書いていただく場合には、約款を承認して申し込む旨の記述がわかる書類(契約申込書)を添付してください。
- 4-2-2 でトップページから退会方法案内までの手順を記入するように指定されていますが、最低限の手順というものがありますか。
退会・契約解除の方法がWebで案内されている場合、そのページへのアクセスが、基本的にトップページから5クリック以内で行われていることがのぞましいです。そのページが実際の退会・契約解除申し込みページである必要はないが、退会するにはどうしたらいいか記載されているページまで5クリック以内で到達させてください。5クリック以上でもわかりやすい内容であればかまいませんが、わかりやすいかどうかは主観による判断となります。書面でのみ案内している場合は、その書面の提出が必要です。
- 審査項目4-2-2ユーザーが退会する際に、Webでの対応は行っていないのですが。
Webで退会手続きが出来ない場合でも利用者が退会をしたいと思ったときに事業者に連絡をする必要があるかと思います。その場合に、どう事業者に連絡をするかという手続きを書いて対応をしてください。たとえば、「退会したい場合は、退会に必要な書面が必要となるので、TEL:**-****-****もしくはe-mail***@***.**.**でご連絡ください。必要書類をお送りします」というような文言をWebのわかるところに記載し、利用者にご案内ください。回答書にはそのURLをお書きください。
- 審査項目4-2-3 の禁止行為、違反者に対する措置が約款に記載されている場合は、約款をもう一度提出するのですか。
約款に禁止行為、違反者に対する措置等が記載されている場合は、その条項を回答書に記載していただければ結構です。ここでの約款の提出は必要ありません。
- 審査項目4-3-1 にある「容易に行える」とは具体的にどんなことを指しますか。
会員がサービスを変更したい時に、変更の仕方をわかりやすくご案内をしているか等を確認します。容易かどうかの基準については曖昧ですが、初めてホームページを訪れた人がすぐ見つけられるかどうか、審査員が見てわかりやすいかどうかを検証します。判断しにくい場合は、二次審査での判断とします。
- 審査項目4-3-2変更後のサービス内容が契約者に適用される期日を明示とありますが、確定日そのものが書いていなければならないですか?
利用者が変更していつからサービスが開始され、課金されるのかをきちんと知らせて料金トラブルがないようにすることが大切だと考えます。出来れば、メールまたは、書面にて「○年○月○日より適用」とご案内するのがいいかと思いますが、ホームページや書面で、「このサービスを変更した場合には、申し出から5営業日に適用とされます。」等とはっきりと記述がしてあれば、良いこととしています。その場合は、サービス毎に記述が望ましいです。
- 審査項目5-1-1 について、弊社はメールのみでしかサポートをしていませんが、それではだめですか。
だめです。メールと電話など、最低二つは用意して下さい。
- 審査項目5-1-2 の適切な電話回線数とは、具体的にユーザー数に対する準備回線数などの割合が決まっていますか。
事業規模や、サポート担当の熟練度、サポートシステムの組み方などにより、話中度は変わってくるので、単純な回線数の割合などで判断することができません。よって回線数については問わないで、事業者の判断で、通常時に適切数が用意されていると宣言してもらうことで可とします。
- 審査項目5-1-4会社の代表電話とサポート用の電話は分けていますが、代表電話番号はWeb掲載されていません。どうしたら良いでしょうか。
代表電話番号が記述されている、会社案内、名刺などを添付してください。そちらとサポート用の電話番号が違うことが判断できれば結構です。
- 一人一台の携帯電話を社内で使っており、部署毎の電話番号はありますが、基本的に会社代表電話番号はありません。どうしたら良いでしょうか。
部署毎の電話番号が掲載されているところがあれば、そちらを記述し、代表電話番号がないことを添えて回答書に記述してください。部署毎の電話番号の記載がない場合、名刺等を添付してください。
- 審査項目5-1-5ユーザー対応の履歴は提出しなければいけませんか。ユーザーの個人情報が載っているので提出を控えたいです。
ユーザー対応履歴の存在を、担当者の宣言により確認させていただければそれで結構です。履歴の一部などを添付していただければ、より明確に存在確認ができるので望ましいですが、ユーザー対応履歴には、ユーザー情報などの個人情報が付加されている場合が多いので提出は必須ではありません。また、その個人情報部分だけを塗りつぶしての提出でも結構です。
- 審査項目6-1-1, 6-2-1, 6-2-2 にある利用者へ提供する情報は、自社オリジナルのものでなくてはいけませんか?
いいえ、他社が作った情報にリンク許可を取って、リンクしていてもかまいません。ただし、6-1-1については、基礎的なセキュリティ情報、6-2-1、6-2-2については、最新の情報が掲載されていることが必須となります。リンクをする場合には、定期的にそのリンク先が有効かどうかチェックをしてください。
- 審査項目7-1-1~7-1-3までは点数制ですが、どんな基準になりますか。
基準については、公表はしておりません。ただし、電気通信事業における個人情報保護指針により、最低でもこの部分は重要とされているものを列挙しました。これが網羅されている場合には得点となり、それ以上の対応をされている場合には、加点としています。(最高点5点で0点の場合には不合格とする)