ISMAPとISMAP-LIUの違いとは？制度比較と判断基準を解説

ISMAPとISMAP-LIUの違いは、対象システムの影響度と求められるセキュリティ水準です。

ISMAPとISMAP-LIUは、政府や自治体がクラウドサービスを利用する際のセキュリティ評価制度です。 しかし実務では、「どちらを選ぶべきなのか」「民間企業でも関係があるのか」といった疑問を持つ担当者も多いのではないでしょうか。

結論から言えば、扱う情報の機密性とシステムの影響範囲によって、ISMAPとISMAP-LIUのどちらを採用すべきかが変わります。

ISMAP制度の基本的な仕組みについては ISMAPの解説記事 でも詳しく解説しています。

本記事では、ISMAPとISMAP-LIUの違いを整理しながら、民間企業がクラウド構成を検討する際の実務判断のポイントを解説します。

ISMAPとISMAP-LIUの違い

ISMAP（Information system Security Management and Assessment Program）は、政府情報システム向けにクラウドサービスのセキュリティを評価・登録する制度です。

ISMAP制度の詳細な仕組みについては ISMAPとは？の記事 で解説しています。

一方、ISMAP-LIU（Low Impact Use）は、比較的影響度の低い業務システム向けに設計された軽量版の制度です。

両制度の違いを整理すると、次のようになります。

このように、両制度の違いは扱う情報の機密性とシステム影響度にあります。

民間企業がISMAPとISMAP-LIUを意識すべき理由

ISMAPは政府向け制度ですが、民間企業でも無関係ではありません。

特に次のようなケースでは、ISMAP基準を意識したクラウド設計が求められることがあります。

• 自治体・公共案件に関わるシステム
• 公共データを扱うサービス
• 将来的に政府案件へ参入する可能性がある場合

こうした場合、ISMAP登録クラウドや国内要件を満たすインフラ構成を検討することが重要になります。

実務判断のポイント（どちらを選ぶべきか）

ISMAPとISMAP-LIUの選択は、主に次の観点で判断します。

• 扱う情報の機密性
• システム停止時の影響範囲
• 将来的な公共案件の可能性

例えば、機密性の高いデータを扱う基幹システムや公共案件では、通常のISMAP登録クラウドを前提とするケースが多くなります。

一方で、情報共有ツールや一般業務システムなど影響度の低い用途では、ISMAP-LIUでも十分な場合があります。

国内クラウドを選択するという考え方

ISMAP対応を前提としたクラウド構成では、データ主権や国内法への対応も重要な検討ポイントになります。

例えば、国内クラウド基盤として提供されているさくらのクラウドはISMAP登録サービスであり、政府・自治体システムにも採用されています。

民間企業においても、公共案件や高いガバナンス要件が求められるシステムでは、こうした国内完結型クラウドを選択するケースも増えています。

ISMAP登録では「言明対象範囲」の確認も重要です。 詳しくは ISMAPの言明対象範囲の解説 をご覧ください。

まとめ｜制度の違いより「用途判断」が重要

ISMAPとISMAP-LIUは、どちらが優れているという制度ではありません。

重要なのは、扱う情報の機密性やシステムの影響度に応じて適切な制度を選択することです。

民間企業でも、公共案件や高いセキュリティ要求を前提とする場合は、ISMAP基準を意識したクラウド構成を検討することが重要になります。

よくある質問（FAQ）

ISMAPとISMAP-LIUの違いは何ですか？

ISMAPは政府システム向けの厳格なセキュリティ評価制度で、ISMAP-LIUは影響度の低いシステム向けに設計された軽量版制度です。

民間企業でもISMAPを意識する必要がありますか？

自治体案件や公共データを扱うシステムでは、ISMAP基準を前提としたクラウド構成が求められることがあります。

ISMAP-LIUでも公共案件に対応できますか？

扱う情報の機密性やシステム影響度によります。重要システムでは通常のISMAP登録サービスが求められるケースが多くなります。

ISMAPとISMAP-LIUはどちらを選べばよいですか？

扱う情報の機密性とシステムの影響度によって判断します。基幹システムや公共案件など影響度が高い場合はISMAP、一般業務や情報共有用途ではISMAP-LIUが適しているケースが多くなります。