税金Q&A 情報基盤強化設備等の範囲について | 紹介実績NO.1のビスカス 税理士紹介センター

税理士 紹介ビスカス > 税金Q&A一覧 > 情報基盤強化設備等の範囲について

税金Q&A

情報基盤強化設備等の範囲について
【Q】

1  情報基盤強化税制の適用対象資産となるサーバー用のオペレーティングシステム、データベース管理ソフトウェ ア又はファイアウォールソフトウェアについては、「国際標準化機構及び国際電気標準会議の規格15408に基づき評価及び認証」(以下 「ISO/IEC15408認証」といいます。)されたもの(以下「ISO/IEC15408認証製品」といいます。)に限ることとされています(措置法 42の11、措置法規則20の5の2①一イ・二・四)。

(注) ISO/IEC15408とは、情報セキュリティの国際標準に基づき、IT製品等が適切に設計され、その設計どおり正しく製品化されているかを検証するための評価基準を規格化したもので、その評価・認証の効力は国際相互承認協定(CCRA:Common Criteria Recognition Arrangement)加盟国間で相互承認されており、ISO/IEC15408で評価・認証された関連製品のリストは、CCRA加盟国の認証機関から公開されています。
なお、国内で認証された製品リストは、独立行政法人情報処理推進機構(以下「IPA」といいます。)のホームページに掲載されています。


2  ISO/IEC15408認証制度は、申請者(メーカー)から提出されたセキュリティ設計仕様書において具 体的に示された認証対象製品のセキュリティ機能について、具体的な設計資料(機能仕様書、詳細設計書、プログラムコード、マニュアル、テスト仕様書等)を もとにISO/IEC15408に従って設計・実装されているか、その適合性を評価・認証するものです。
したがって、ISO/IEC15408認証は、当該評価及び認証を受けた時点の仕様、プログラム等に基づき与えられていますが、ソフトウェアはバグの修 正、セキュリティパッチの適用等により日々バージョンアップが行われることが一般的であり、ISO/IEC15408認証製品についても同様にバージョン アップが行われています。このように、ISO/IEC15408認証製品についてバージョンアップが行われた場合、そのプログラムコードはISO /IEC15408認証時と厳密には一致しないこととなります。
このことから、バージョンアップ前にISO/IEC15408認証製品に該当していたソフトウェアであっても、バージョンアップ後のソフトウェアを購入した場合には、当該制度の適用対象資産に該当しないのではないかとの疑義が生じています。

(注) ISO/IEC15408認証は、更新等を必要とする制度ではないため、一度認証されたものは認証取消しがない限り継続します。


3  ソフトウェアの「バージョンアップ」について次の区分により、それぞれ次のように取り扱って差し支えないでしょうか。

(1) メンテナンス型のバージョンアップ
メンテナンス型のバージョンアップとは、セキュリティホールの強化やバグ修正等、そのソフトウェアの本来機能を補修するバージョンアップをいいます。メ ンテナンス型のバージョンアップが行われた製品であっても、実質的にISO/IEC15408認証製品とセキュリティ機能上同様の状況にあるため、本税制 上の適用対象資産に該当します。

(2) 機能変更型のバージョンアップ
機能変更型のバージョンアップとは、新しい製品機能追加のため、セキュリティ機能上、ISO/IEC15408認証製品と構造が変わるようなバージョン アップをいいます。機能変更型のバージョンアップが行われた製品は、ISO/IEC15408認証製品とはセキュリティ機能上異なるものであることから、 本税制上の適用対象資産に該当しません。ただし、新たにISO/IEC15408認証を受けた場合には当該制度の適用対象資産となります。

 なお、メンテナンス型のバージョンアップに該当するかどうかについては、既に ISO/IEC15408認証を受けた製品の申請者(メーカー)から当該製品のバージョンアップ後のセキュリティ構造がわかる書類をIPAに提出させ、 IPAにおいてその内容を確認した上で、IPAのホームページにてISO/IEC15408認証製品とセキュリティ機能上同様の状況にあると確認されたも ののリストを公表することを予定しています。


【A】

照会の事実を前提とする限り、照会意見のとおりで差し支えありません。


(理由)

1  メンテナンス型のバージョンアップ
メンテナンス型のバージョンアップは、ソフトウェアの本来機能の補修という性格からすれば、実質的にISO/IEC15408認証製品と同様のセキュリティ機能が確保された製品と認められます。
また、メンテナンス型のバージョンアップに該当するものかどうかについて、IPAが、申請者(メーカー)から提出された、バージョンアップ後のセキュリ ティ構造に関して認証された製品と同等であると宣言する書類を確認し、「ISO/IEC15408認証製品のメンテナンス型バージョンアップに該当するも の」として、IPAのホームページ上で公表することを予定しており、これにより、適用対象資産に該当するかどうかを確認することができます。
これらのことを前提とすれば、メンテナンス型のバージョンアップが行われた後の製品については、本税制上の適用対象資産に該当すると解して差し支えありません。


2  機能変更型のバージョンアップについて
機能変更型のバージョンアップが行われた製品はISO/IEC15408認証製品とはセキュリティ機能上異なるものであることから、本税制上の適用対象 資産に該当しないと解されます。ただし、新たにISO/IEC15408認証を受けた場合には当該制度の適用対象資産となります。

※2009年12月現在での情報を元に制作しております。最新または正確な情報をお求めの方は、専門家にお問い合わせください。
|
メディア掲載情報
全国の書店にて好評発売中!