情報セキュリティサービス基準に適合するか否かの審査・判定は、審査機関である特定⾮営利活動法⼈⽇本セキュリティ監査協会(以下、JASAという。)がその責任において実施しますが、審査・判定にはリスクがあります。

登録事業者のサービスを利用する際には、下記に示すリスクがあることを理解し、利用者は自己の責任においてサービスの利用をお願いします。登録事業者のサービスを利用して、万一利用者および第三者に損害が生じた場合であっても、審査機関(JASA)は一切の責任を負わないことをご了承ください。

[審査・判定のリスク]

1. 事業者から提出された文書の文面を真実として信頼して、文面上要件を満たしていれば登録する。
 文面に記載された事実が存在するかは審査を行っていない。

  • 事業者が虚偽の申請をした場合に、見抜けないリスクがある。
  • 事業者が審査・判定時点で情報セキュリティサービス基準の要件を満たしていても、利用者向けにサービス提供する際にミス等が生じるリスクがある。
  • 不測の事態が発生し、事業者が予定したサービスが提供できないリスクがある。

2. 事業者には提出文書の信頼を確保するための牽制として、モニタリングを行う。

  • モニタリング対象はサンプルであり、リスクのある事業者がモニタリング対象から外れるリスクがある。
  • モニタリングは事前に通知し、面談及び資料により精査するが、時間等の制約で虚偽等を発見できないリスクがある。

3. 審査時点の判定であり、その後、登録期間中に要件を満たさない恐れがある。

  • 事業者が要件を満たさなくなっても、登録取下げの申請をしないリスクがある。