経済産業省より、「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(案)」に対するパブリックコメントの募集が行われています。
同ガイドライン策定の理由としては、クラウド利用に対する「『情報セキュリティ』および『事業者におけるシステム運用』が見えないことに関する不安を『見える化」する」ということにあるようで、
- 利用者におけるセキュリティリスクの共通認識の形成
- 事業者選択における基準として利用できる対策標準
- 情報セキュリティ監査による利用者と事業者の信頼関係の構築
を目的とし、クラウド利用者のためのガイドラインを策定したとのことです。
詳細には見ていませんが、JIS Q 27001のままだと、クラウドサービス利用時に不整合な部分を修正しているようです。法務的な観点からは、導入時(契約時)のチェックリスト的な利用も想定されている模様。