ソフトウェア協会（SAJ）として政策要望をとりまとめました

2022年9月12日

当協会では以下の通り要望をとりまとめ、2022年8月25日に、日本IT団体連盟へ政策要望を提出しました。

要望項目一覧

１．ジャパンクラウドへの支援
２．スタートアップ支援
３．API連携における自由なデータ流通の促進
４．ISMAP-LIUの項目見直し
５．中小企業向けクラウドサービスに対するセキュリティ強化の推進
６．ソフトウェア製品・サービスのJIS認証推進とその促進のための補助金の創設及び調達基準への採用
７．政府セキュリティ組織の統合
８．地域の活性化を図る技術の循環システム
９．中小及び事業部門におけるプラスセキュリティ人材教育のさらなる加速
10．年末調整のデジタル化
11．インボイス制度について
12．全てのワーキング世代に対するベビーシッター制度の利用促進
13．IT導入補助金によるクラウドの一層の普及促進
14．中小企業のデジタル化に有効な伴走型支援に関わる補助事業の新設
15．ゼロトラストセキュリティのより広範で網羅性ある強化の推進

要望概要

１．ジャパンクラウドへの支援

国家安全保障上の観点から、我が国のデータ主権を確保するため、国民のデータを国内事業者が国内のデーターセンターで保管することが望ましいため、国産クラウド事業者の育成・支援を要望する。

２．スタートアップ支援

公共調達において現在ベンダーロックインがかなり進行しており、中小のソフトウェアベンダーやベンチャー企業の新規参入の障壁となっている。DMPは英国で実際に導入され中小ソフトウェアベンダーの参入を飛躍的に高めることが出来た実績があるため、その早期導入はスタートアップ企業への大きな支援となるため、公共調達におけるデジタルマーケットプレイス（DMP）の早期導入を要望する。

３．API連携における自由なデータ流通の促進

金融機関をはじめとする事業者のシステムのAPI開放はその利用者の利便性を飛躍的に高め社会のDX化の促進にとって極めて有益である。英国など海外ではAPIへの課金を原則禁止しているガイドラインを公表しているところもあることから、わが国でもAPIを開放する事業者によるAPI連携する事業者への課金を規制することを要望する。

４．ISMAP-LIUの項目見直し

ISMAP-LIUの審査において、外部監査の省略だけでなく、審査項目自身も簡素化し、中小事業者でも対応可能なように実質的に申請事業者の負担を軽減することを要望する。

５．中小企業向けクラウドサービスに対するセキュリティ強化の推進

エンドユーザーへの直接支援ではなく、中小企業がDX推進において最も信頼を寄せるSaaSサービス提供事業者の基盤セキュリティ強化を支援し、積極的にセキュリティ強化を行ったSaaSベンダーに対して、セキュアクラウドサービス認定をする事で、間接的に中小企業のセキュリティを強化する事を推進いただきたい。また、クラウドの信頼性を評価する外形標準として中小企業でも登録できるようなISMAPの新しい制度の導入を合わせて提案する。すでにCSP（Cloud Service Provider）が保持しているISMSやISO/IEC27017、CSゴールドマーク,FedRAMP、SOC2/3などの既存認証との差分認証を制度として追加し、既に認証を取得しているCSPはISMAPとの差分のみの監査を行い、登録を行えるようにしていただきたい。

６．ソフトウェア製品・サービスのJIS認証推進とその促進のための補助金の創設及び調達基準への採用

・JIS認証のセキュリティ評価としてISMAP-LIUの仕組みを取り入れ、政府の基盤インフラに連携する場合の標準規格としていただきたい。
・JIS認証を取得する企業に対する補助金を創設していただきたい。
・当該認証を取得した製品は製品内容もセキュリティ的にも安心・安全な製品として政府や自治体の調達基準として企業規模の大小にかかわらず採用していただきたい。

７．政府セキュリティ組織の統合

ウクライナ危機を契機としてサイバー攻撃が頻発しており、政府や重要インフラのセキュリティをこれまで以上に強化する必要性が喫緊の課題として高まっており、各省庁が個別に管理しているセキュリティ対策やセキュリティのための情報収集を統合して行うことにより、政府のセキュリティ対策を統合的に管理できる組織の整備を行っていただきたい。

８．地域の活性化を図る技術の循環システム

デジタル庁が行う自治体システム構築の際、地方のSIerから技術者を集め、新しいクラウドネイティブなシステム構築をおこない、そのノウハウを地元に持って帰る。また東京のSIerは地方へ人を出し、地域の活性化を図る循環システムを作っていただきたい。

９．中小及び事業部門におけるプラスセキュリティ人材教育のさらなる加速

セキュリティ人材の不足は既に社会的共通認識であり、事業分門におけるプラスセキュリティ人材教育もすでにいくつかの施策が行われ、具体的な成果が現れてきている。また、スタートアップを含む中小企業においては攻めと守りのITを、すべて一人の技術者が賄わなければならない一人情シスという状況がある。その結果、セキュリティまで手が回らない状況がなかなか改善されず、事業目的の達成を優先するがあまりにセキュリティ事故によって事業継続性を棄損しかねない環境も変わっていない。
プラスセキュリティ人材に求める能力や、なぜ必要なのかという課題設定にはまだまだばらつきがあり、普及推進には更なる取り組みが必要である。しかし、非セキュリティ人材に情報安全確保支援士のようなセキュリティ専門人材と同じ能力を求めるのではなく、事業部門の戦略上必要なリスク低減策の一つとしてセキュリティを位置づけ、Product Lead Growthやカスタマーサクセスに直結する事業継続性のToolとしてセキュリティを位置づけ、彼らに解る言葉で、企業のリスク管理体制の中で自然に必要とされるセキュリティを語る事が出来るようになる教育コンテンツの開発と普及を要望する。

10．年末調整のデジタル化

社会全体としての生産性を抜本的に向上させ、社会的コストの最小化を図るために、年末調整は確定申告の「簡易版」であると明確に位置付け、年末調整業務の業務プロセスの根底から見直す「デジタル化」を進めていただきたい。

11．インボイス制度について

1) 非登録事業者もデジタルデータで「区分記載請求書」を発行できるようにしていただきたい。
2) IT導入補助金による一過性の支援ではなく、デジタルインボイスの受領に対するインセンティブの提供をしていただきたい。＜キャッシュレス・ポイント還元事業では、買い手にポイント還元というインセンティブを提供することによって、買い手から売り手に対し、キャッシュレス払いを受け付けるプレッシャーをかける効果があり、これがキャッシュレスの推進につながったと考え、デジタルインボイスにおいても、デジタルインボイスを受信する側にインセンティブを提供する（たとえば仕入税額控除を1%上乗せできるなど）ことによって、受領側からデジタルインボイスを積極的に活用しようという動きが生まれることが期待できるのではないか。＞

12．全てのワーキング世代に対するベビーシッター制度の利用促進

すべてのワーキング世代を対象に利用補助制度が使えるようにしていただきたい。また補助券利用システムの不具合によって生じている不要な業務をなくせるように、システム改修並びにAPI連携を進め、ベビーシッター予約システムと補助券利用手続きを連動させることにより、抜本的に利便性を高めていただきたい。

13．IT導入補助金によるクラウドの一層の普及促進

IT導入補助金のクラウド使用料補助対象期間を２年分からさらに拡大（３年分以上）していただきたい。

14．中小企業のデジタル化に有効な伴走型支援に関わる補助事業の新設

DXレポートにもある、「ベンダーとの共創」や「IT人材の育成」につながる補助事業の実施により、中小企業においても、デジタル化からDXに向けての一歩を踏み出す支援策を検討いただきたい。
具体的な支援策例
(1)アジャイルに最適なノーコードツールの認定制度
ノーコードツールベンダーが申請し、公的な認定やお墨付きを付与し、ユーザーが選びやすい環境を作る。
(2)ノーコード／ローコードが学べる研修制度の充実
公的機関での研修、ビジネススクール、各ベンダーが実施する研修等への補助や、受講する社会人への受講料の補助の実施。
(3)"次世代デジタル化応援隊”事業の実施
前回の問題点をクリアにするため、支援者（専門家）は、有資格者であることに加え、登録に際しては厳しい審査を設ける。

15．ゼロトラストセキュリティのより広範で網羅性ある強化の推進

ゼロトラストセキュリティは、新しい時代のITアーキテクチャーに対応するセキュリティの概念としてすでに一般化し、セキュリティレベルの強化の施策として非常に強力である。しかしながら、ゼロトラストは考え方の道筋であり、単独の技術のみで実現されるものではない。ID管理に依存するIT資産へのアクセスの整備だけでなく、脅威インテリジェンスによる動的リソースの常態監視と対処、軽視されがちなネットワーク機器を含む脆弱性対策の義務化や緩和策の認知向上、クラウド環境の責任共有モデルにおけるユーザー責任領域の対策の徹底など、バランスの取れた取り組みが必要である。また、重要社会インフラや工場設備、電子カルテ等医療機器を含むOT環境はクローズドネットワークであるという特殊性と安全第一を優先する厳格な運用によって、その信頼性を担保してきた。しかしながら稼働状況のVPN・RDP（Remote Desktop Protocol）経由でのリモートによる監視、センサーデータの活用などIT/OT環境の相互接続は生産性向上のためには不可避の状況となり、事業継続性の上でのOTセキュリティの強化は喫緊の課題である。そこで、機密性、完全性よりも可用性を優先するOT環境の特徴、レガシーな環境がある事、脆弱性を即座に修正が出来ない事を前提にした現実レベルの緩和策を含んだゼロトラスト時代の新たなセキュリティガイドラインの普及促進を要望する。

お問い合わせ

一般社団法人ソフトウェア協会(SAJ）
事務局　戸島　お問い合わせフォーム