Assured企業評価のセキュリティ調査にご協力いただきありがとうございます。本記事では、設問SM-5〜SM-7（環境アンケート）の回答方法と判断基準についてご説明します。

📋 環境アンケート（SM-5〜7）の回答について

SM-5、SM-6、SM-7の3項目は、調査対象業務の遂行環境における、貴社の責任範囲を確認するための「環境アンケート」です。

本設問の回答に基づき、一部後続設問の回答要否が決定しますので、後述の「選択肢の判断基準」を元に回答いただくようお願いいたします。

なお、双方の環境を利用する場合、後続の設問では貴社の責任範囲におけるセキュリティ対策状況を回答してください。

💡 調査対象業務の遂行において複数種類の場所/端末/システムを利用している場合は、共通して対応・実施している選択肢のみご選択ください。

📝 SM-5：場所の判断基準

① 取引元が管理する場所で業務が完結する場合(例:取引元拠点への常駐)

⇒「取引元がセキュリティにおける責任を負う拠点のみで業務を行う」を選択してください。

② 取引元が管理する場所「以外」で業務が完結する場合

⇒「回答事業者がセキュリティにおける責任を負う拠点のみで業務を行う」を選択してください。

＜例：貴社がセキュリティにおける責任を負う場所＞

• 貴社自身が直接管理する拠点
• 貴社のグループ会社、外部委託先等が管理する拠点
• 貴社や貴社グループの規程に基づくリモートワークや在宅勤務環境

③ 取引元が管理する場所およびその他の場所での業務が発生する場合

⇒「取引元と回答事業者の双方の拠点を利用して業務を行う」を選択してください。

📝 SM-6：端末の判断基準

① 取引元が管理する端末で業務が完結する場合（例：取引元からの貸与端末）

⇒「取引元がセキュリティにおける責任を負う端末のみで業務を行う」を選択してください。

② 取引元が管理する端末「以外」で業務が完結する場合

⇒「回答事業者がセキュリティにおける責任を負う端末のみで業務を行う」を選択してください。

＜例：貴社がセキュリティにおける責任を負う端末＞

• 貴社自身が直接管理する端末
• 貴社のグループ会社、外部委託先等が管理する端末
• 貴社従業員の私用端末（BYOD）

③ 取引元が管理する端末およびその他の端末での業務が発生する場合

⇒「取引元と回答事業者の双方の端末を利用して業務を行う」を選択してください。

💡 端末には、PCやスマートフォン等の物理端末だけでなく、仮想デスクトップ（VDI）も含まれます。

📝 SM-7:システム環境の判断基準

① 取引元が管理するシステム環境で業務が完結する場合

⇒「取引元がセキュリティにおける責任を負うシステム環境のみで業務を行う」を選択してください。

② 取引元が管理するシステム環境「以外」で業務が完結する場合

⇒「回答事業者がセキュリティにおける責任を負うシステム環境のみで業務を行う」を選択してください。

＜例：貴社がセキュリティにおける責任を負うシステム環境＞

• 貴社自身が直接管理するシステム環境
• 貴社のグループ会社、外部委託先等が管理するシステム環境

③ 取引元が管理するシステム環境およびその他のシステム環境での業務が発生する場合

⇒「取引元と回答事業者の双方のシステム環境を利用して業務を行う」を選択してください。

💡 システム環境（アプリケーション、サーバ、ネットワーク等）とは、業務情報（※2）を保管または処理するシステム環境を指します。

※2: 調査対象業務において取引元から提供または預託された情報や当該業務において作成する情報を指します。

＜例：システム環境の調査スコープ判定＞

• 調査スコープとなるシステム環境：業務アプリケーション（自社開発、パッケージ、SaaS等）、ファイル保管・共有ツール（ファイルサーバ、クラウドストレージ等）、コミュニケーションツール（メールサーバ、チャットツール等）
• 調査スコープ外のシステム環境：業務情報を一切扱わないシステムやツール、貴社が開発・提供する製品またはシステム自体（※3）、工場や倉庫等の制御システム（OT/IoT環境）

※3: 原則として、貴社が開発・提供する製品またはシステム自体は調査スコープ外となります。ただし、当該製品またはシステムを貴社自身が「業務ツール」として利用して調査対象業務を遂行している場合はこれらも調査スコープとなります。

💬 お問い合わせ

ご不明な点がございましたら、事務局までお気軽にお問い合わせください。

＜Assured企業評価セキュリティ調査サポート事務局＞

support-tp@assured.jp