3月末の期限切れをもって廃止されたIT投資促進税制に代わり「情報基盤強化税制」が創設された。同税制は「情報セキュリティ強化と国際競争力強化の観点から、高度な情報セキュリティが確保された情報システム投資を促進し、情報基盤を強化すること」(総務省の資料)が目的という。対象資産には、「ISO/IEC15408」に基づいて評価・認証されたものという要件があるが、これはどのようなものなのか。
国際標準「ISO/IEC15408」とは、情報セキュリティの国際基準に基づき、IT製品等が適切に設計され、その設計どおり正しく製品化されていることを検証するための基準を規格化したものである。セキュリティ評価・認証の経験を積んだ欧米6ヵ国7機関で構成されるCCプロジェクトによって開発された共通基準(CC:Common Criteria)が基になっている。
このセキュリティ評価基準に基づいて評価・認証した認証製品を、アメリカ・イギリス・ドイツ・フランスなど10ヵ国間で承認している。日本は2003年10月に認証国に加盟した。認証国以外に、イタリア・スペイン・イスラエル・インドなど12ヵ国が認証製品を受け入れている。こうしたことから、この国際基準が情報基盤強化税制における「高度な情報セキュリティの確保」を担保するための要件となったのである。
ちなみに、情報基盤強化税制の対象となる投資は、ISO/IEC15408に基づいて評価・認証された、1)OS及びこれと同時に設置されるサーバー、2)データベース管理ソフトウェア及びこれと同時に設置されるアプリケーションソフトウェア、3)ファイアーウォール(1)または2)と同時に取得されるものに限る)である。ISO/IEC15408評価・認証製品のうち、対象関連製品のリストは以下から見られる。
1)OSの一覧
http://www.ipa.go.jp/security/jisec/ccra-cr-os4.html
2)データベース管理ソフトウェアの一覧
http://www.ipa.go.jp/security/jisec/ccra-cr-db4.html
3)ファイアーウォールの一覧
http://www.ipa.go.jp/security/jisec/ccra-cr-fw4.html