お知らせ

「上位プロバイダー」に業務を委託、または依存している事業者に関する
「安全・安心マーク審査基準」について

インターネット接続サービス安全・安心マーク推進協議会

以下は、「インターネット接続サービスの提供において、主たるシステム・機器・設備等について特定のインターネット接続サービス事業者(以下「上位プロバイダー」という。)に 業務を委託、または依存しているインターネット接続サービス事業者(以下「事業者」という。)」に係わる「安全・安心マークの審査基準」について規定したものである。
具体的には「ルータ」程度のシステム・機器・設備しか提供していない事業者などがこれらに含まれる。

1.基本原則

  • このような事業者向けの新たな審査項目は設けない。
  • 別に示す必須条項を規定した『業務提携契約書」の締結を義務付けて添付することを義務づける。
  • 上位プロバイダーと事業者にともに関連する審査項目については、上位プロバイダーに関しては「覚書」(誓約書)として一括して確認・保証させるものとする。

2.基本要件-審査対象として最低限以下を満たさなければならない。

  1. 上位プロバイダーが『既に安全・安心マークを許諾』されていること。
  2. 当当該事業者のシステムのセキュリティについては上位プロバイダーがその運用・管理を行っている場合には、そのセキュリティ対策について責任をもつものとし、審査項目「2-1-1」の「セキュリティ診断報告書」を当該事業者へ提供するものとする。
  3. 「障害発生時の連絡体制」については、上位プロバイダーと当該事業者を横断した「体制」の整備と当該文書の提出を義務付ける。
  4. 当該事業者は、利用者に対して少なくとも以下を提供していばければならない。
    1. 利用者と直接契約を締結している。
    2. 前項に対応する『契約約款』があり、かつ利用者が随時閲覧可能であること。
    3. 利用者に対して『ヘルプデスク・サービス』を設置して、トータルに責任をもって対応する一次対応窓口サービス/サポートを提供していること。
    4. 利用者が、当該事業者のサービスが特定の上位プロバイダーのサービスを利用しているサービスであることを明確に理解できる措置を講じていること。
      具体的には、『サービス名称』などに一次プロバイダーのサービス名称が明確に示されていることなどが必要である。
  5. 上位プロバイダーとの間で『業務提携契約』、またはそれに相当する契約が締結されており、当該契約には、少なくとも以下が明確に規定されていること。
    1. 上記第(4)項に示された要件を、当該事業者が満たすべきことの規定。
      すなわち、
      • 利用者との直接契約の締結
      • 『契約約款』があり、かつ利用者が随時閲覧可能
      • 『ヘルプデスク・サービス』など、一次対応窓口サービス/サポートの提供
      • 当該事業者のサービスが特定の上位プロバイダーのサービスを利用しているサービスであることを明確に理解できる措置
    2. サービス提供における上位プロバイダーと当該事業者との責任分界点が、「機器ネットワーク図」などで明確に規定されていること。
    3. 障害発生時など緊急に利用者に通知すべき事態が発生した場合の当該事業者と上位プロバイダーの役割分担と責任の範囲が明確に規定されていること。
      特に、利用者対応責任が明確に規定されていること。
    4. 利用者がサービスを解約する場合に、当該事業者との手続以外の手続や期間を必要としないことの規定。
    5. 利用料金について、当該事業者が直接課金・請求していること。
  6. Webサーバによる情報提供などを上位プロバイダーに業務を委託、または依存している場合には、利用者が少なくとも「1クリック以内」に当該事業者のトップページを閲覧可能となっていること。

[注1]したがって、事業者が2社以上の上位プロバイダーのサービスを提供している場合には、それぞれ別個のサービスとして上記を満たしていなければならない。

[注2]上記を満たさないサービスについては「安全・安心マーク」の許諾対象とはならない。

[注3]また同じ意味から、「販売委託」など、利用者が直接上位プロバイダーに接続してサービスを利用する場合も「安全・安心マーク」の許諾対象とはならない。

3.審査基準

(1)審査の原則

事業者と上位プロバイダーのサービスを『一体のサービス』として審査する。

(2)「審査回答書」の記入の原則

  1. 原則として当該事業者が責任を負担すべき範囲ならびに立場で『審査回答書』に「記載」あるいは「署名押印」ないしは指定された「書類・資料」などを添付するものとする。
    上位プロバイダーも同時に責任を負担すべき事項については、上位プロバイダーは回答書には直接記載ないしは署名押印せず、別途示すような添付資料として提出するものとする。
  2. 「上位プロバイダーが責任を負担すべき事項」については、
    • 事業者は、別途、当該上位プロバイダーに対して関連する書面・資料などの提供を要請し、
    • 他の添付資料とは別個に『上位プロバイダー関連添付資料』として『回答書』の末尾に添付しなければならない。
  3. 「上位プロバイダーに提供を要請すべき文書・資料など」のうち、以下のものは必須である。
    すなわち、『業務提携契約書』または相当する契約書などに加えて
    1. 前述の通りの「セキュリティ対策診断結果報告書」
    2. 前述の通りの「障害発生時の当該事業者までも含めた連絡体制」文書
    3. 原則として別紙のような文面による覚書または相当する文書

以上

[別紙]

  • 上位プロバイダーに委託または依存している事業者に関する「安全・安心マーク審査基準」についての回答書[PDF版WORD版
  • 下記の覚書につきましては、こちらよりダウンロードしてご使用下さい。[PDF版WORD版

(事業者)社殿

当社(上位プロバイダー)は、(事業者)社と共同で提供する「xxx」サービスについて当社がそのサービスについての管理運用に関して責任を有する事項に関して、別途提出する「セキュリティ対策診断結果報告書」および「障害発生時の事業者までも含めた連絡体制」の他に、以下について確認し、既に許諾されている「安全・安心マーク」の審査基準に合致しているものであることを保証する。

具体的には、以下の審査項目である。

2-1-2 「施設への立ち入り権限の限定されている」
2-1-3 「管理者権限を持ったアクセスは限定されている」
2-2 「セキュリティ対策の見直しが定期的に行われている」
2-3 「システムのメンテナンスについて、管理基準が確立されており、それに基づき作業が行われている」
3-1-2 「障害発生時の対応責任者が定められている」
3-1-3 「基幹システム機器の設置場所に、消火、防火設備が整っている」
3-1-4 「基幹システム機器の設置場所が、水害などに起因する水の浸入による被害を受けないようになっている」
3-1-5 「システムのバックアップデータは適切にとられている」
3-1-6 「バックアップからの復旧手順が定められている」
3-1-8 停電が発生した場合、必要な電源が確保されている」
3-2 「障害発生時のマニュアルなどの書類が適切に策定されている
3-3-1 「障害発生についてその内容や障害時間を顧客にアナウンスしている」
3-3-2 「障害発生のアナウンスの責任者が適切に定められている」

      年   月   日

(上位プロバイダー)社 情報管理責任者 署名・押印