保証業務実務指針 3000 実務ガイダンス第5号
情報セキュリティ等に関する受託業務の Trust に係る内部統制の 保証報告書に関するQ&A(実務ガイダンス)
2 0 2 1 年 4 月 1 4 日
改正 2 0 2 1 年 1 2 月 2 8 日
最終改正 2 0 2 2 年 1 0 月 1 3 日
日 本 公 認 会 計 士 協 会 監 査 ・ 保 証 基 準 委 員 会 (実務ガイダンス:第 22 号)
《Ⅰ 本実務ガイダンスの目的》 ............................................. 1
《Ⅱ Q&A》 ............................................................. 1
<目 次>
Q1 保証実 3702 の保証業務等における位置付けを教えてください。 .......... 1
Q2 保証実 3702 の保証業務を実施する受託会社監査人に求められる能力には、
どのようなものがありますか。 ......................................... 2
Q3 保証実 3702 は、報告書の想定利用者を限定していますが、このうち「予想
される委託会社」については、受託会社とどのような関係を想定しているので
しょうか。 ........................................................... 3
Q4 いわゆるクラウドサービスに本保証業務を提供する場合の留意点があれば
教えてください。 ..................................................... 4
Q5 米国公認会計士協会(AICPA)にて公表されている「TSP Section 100 ―2017
Trust Services Criteria for Security, Availability, Processing
Integrity, Confidentiality, and Privacy」(「Trust サービス規準」)を「規
準」とする場合、その利用方法について教えてください。 ................. 5
Q6 米国公認会計士協会(AICPA)から公表されている「Trust サービス規準」以
外の主題情報を追加する際に留意すべき事項を教えてください。また、「Trust
サービス規準」以外の規準に基づいて主題情報を評価する際に留意すべき事項
を教えてください。 ................................................... 6
Q7 受託会社がその業務の一部を外部に再委託している場合、「一体方式」と「除
外方式」の留意すべき事項を教えてください。 ........................... 7
Q8 受託会社がその業務の一部を外部に再委託している場合の取扱いとして、
「一体方式」を採用する場合の保証報告書の記載例を教えてください。 ..... 8
Q9 受託会社がその業務の一部を外部に再委託している場合の取扱いとして、
「除外方式」を採用する場合の保証報告書の記載例を教えてください。 ..... 9
- i -
Q10 保証業務実務指針 3402 と保証実 3702 を統合した報告書で提供することは可
能でしょうか。 ...................................................... 11
Q11 受託会社のシステムの記述書はどのように記載しますか。また、米国公認会
計士協会(AICPA)にて公表されている DC Section 200(Description Criteria
for a Description of a Service Organization’s System in a SOC 2®
Report)を記述規準として使用する場合の留意事項を教えてください。 .... 12
Q12 保証実 3702 第 52 項では、タイプ2の報告書の場合、「実施した運用評価手
続及び当該手続の結果」の作成が必要とされていますが、記載例はないでしょ
うか。 .............................................................. 16
Q13 報告書を継続的に発行していく場合、タイプ2を必ず発行していく必要があ
るでしょうか。タイプ1を継続的に発行していくことが可能な場合、どのよう
なケースが想定されるでしょうか。 .................................... 17
Q14 Q3に記載された、広くユーザーに配布することを前提とした配布制限がな
い報告書の記載例はないでしょうか。 .................................. 18
- ii -
《Ⅰ 本実務ガイダンスの目的》
本実務ガイダンスは、保証業務実務指針 3702「情報セキュリティ等に関する受託業
務の Trust に係る内部統制の保証報告書に関する実務指針」(以下「保証実 3702」と
いう。)の内容について、Q&A方式での具体的な解説を提供し会員の理解が深まる
ことを目的として作成した。
「Ⅱ.Q&A」については、保証実 3702 の項目と対応するように作成しているた
め、保証実 3702 と対応させながら読むことを推奨する。
本実務ガイダンスは、会員が遵守すべき基準等に該当しない。また、2022 年 10 月
13 日時点の最新情報に基づいている。
《Ⅱ Q&A》
Q1 保証実 3702 の保証業務等における位置付けを教えてください。
A1 保証実 3702「Ⅰ 本実務指針の適用範囲」に記載のとおり、保証実 3702 は米
国公認会計士協会の「SOC 2®(SOC for Service Organizations: Trust Services
Criteria)」と同等の保証業務を初めとする、受託業務の情報セキュリティ等の
Trust に係る様々なニーズに対応する保証業務を提供することを想定したもので
す。また、IT委員会実務指針第2号「Trust サービスに係る実務指針(中間報
告)」(以下「IT実2号」という。)の廃止に伴い、当該実務指針作成の背景にあ
ったITの信頼性に対する保証業務への期待を継承するものとして、保証実 3702
の名称の一部に「Trust」を用いるものであります。
- 1 -
なお、「内部統制の有効性」を主題とした保証報告書について、米国公認会計士
協会では以下のように「SOC 1®」「SOC 2®」「SOC 3®」と分類しており、日本公認
会計士協会の実務指針及び国際監査・保証業務審議会の保証業務基準との対応関
係は以下のとおりと考えられます。
分 類
基 準
(米国公認会
主 題
米国公認会計
日本公認会計
国際監査・保
計士協会)
士協会
士協会
証基準審議会
財務報告に
SSAE18(AT-C
SOC 1®
係る内部統
Section 105・
保証実 3402
ISAE3402
制
205・320)
SSAE18(AT-C
SOC 2®
Trust サー
Section 105・
保証実 3702
ISAE3000
ビス規準に
205)
係る内部統
SSAE18(AT-C
SOC 3®
制
Section
保証実 3702
ISAE3000
105・205)
Q2 保証実 3702 の保証業務を実施する受託会社監査人に求められる能力には、ど
のようなものがありますか。
A2 本保証業務は、保証業務及び対象事項に関する十分な知識、適切な技術的研修と
経験を持った受託会社監査人によって行われる必要があります。
受託会社監査人の保証業務の実施に関連する能力と適性には、以下のような事項
が含まれ、本保証業務と同様の業務について相当の経験を有していることが必要で
す(保証実 3702 の A8 項参照)。
・ 関連する業界の知識
・ ITと情報システムの理解
・ 適用される規準の理解
・ 適用される規準に係る内部統制の適切なデザインに関連するリスクの評価の
経験
・ 適用される規準に係る内部統制の運用評価手続の立案及び実施並びにその結
果の評価の経験
すなわち、本保証業務の対象には財務報告以外の領域のシステムが含まれますが、
システム又はシステムの構成要素は受託会社や受託会社等の属する業界によって
異なるため、受託会社監査人に求められる知識としては、受託会社に関する知識に
加えて業界知識や情報技術、内部統制に及びます。
- 2 -
また、受託会社監査人は、必要とされる専門知識、業務実施のタイミング、専門
家の関与の範囲を含めて考慮した上で、本保証業務を効果的に実施できるように業
務を計画する必要があります。
なお、事務所内部又は外部の専門家の業務を利用する場合には、受託会社監査人
は専門家と同等の専門知識と技能を有している必要はありませんが、専門家の業務
がもたらす証拠の十分性及び適切性を判断するために、以下の事項を評価できるこ
とが必要です。
(1) 専門家が有する適性、能力及び客観性を判断すること。
(2) 専門家が利用する前提、手法及びデータの合理性を判断すること。
(3) 本保証業務の目的と結論に関連して、専門家の指摘事項の合理性及び重要性を
判断すること。
Q3 保証実 3702 は、報告書の想定利用者を限定していますが、このうち「予想さ
れる委託会社」については、受託会社とどのような関係を想定しているのでしょ
うか。
A3 保証実 3702 第7項(20)で、報告書の「想定利用者」を「委託会社、予想される
委託会社、受託会社監査人及び委託会社又は受託会社に係る規制当局であり、受託
会社によって提供される業務の性質、受託会社のシステムの作用、内部統制とその
限界、相補的な内部統制の作用及び適用される規準とその充足を脅かすリスクに関
する十分な知識と理解を有すると想定される者」に限定しています。
この想定利用者に含まれる「予想される委託会社」については、全ての潜在的顧
客を想定している訳ではなく、一定の関係を受託会社と構築しつつある潜在的顧客
を想定しています。
一定の関係については、客観的な指標を定義することは困難ですが、例えば、以
下のような関係と考えられます。
(1) 入札条件としてセキュリティ等に関する報告書等の提出が必要になった。
(2) 秘密保持契約を締結して詳細な内部情報のやり取りを開始した。
(3) その他、報告書の開示が有用と判断できる状況となった。
また、報告書は、監査法人又は公認会計士の作成する保証報告書のほか、「受託
会社確認書」、「受託会社のシステムに関する記述書」、さらに、タイプ2の報告書
の場合には「運用評価手続の記述」のような受託会社の詳細な内部情報も含まれま
す(保証実 3702 第7項(15)(16)参照)。
このように報告書の内容が受託会社のビジネス、システムの作用や内部統制の記
述等多岐にわたり、理解のためには十分な知識が必要であるため、報告書の提供の
可否について受託会社監査人は、受託会社において慎重に判断するよう求めること
- 3 -
が望ましいと考えられます。
なお、受託会社が一般的なマーケティング目的として配布制限のある報告書を利
用することは、上で述べた「十分な知識と理解」を有していない者への配布となる
可能性があり、不適切と思われます。
委託会社は受託会社が提供する業務の利用者であり、一般の会社組織のみならず、
パブリックセクターや個人事業主等その形態は様々であり、同様に「受託会社によ
って提供される業務の性質、受託会社のシステムの作用、内部統制とその限界、相
補的な内部統制の作用及び適用される規準とその充足を脅かすリスク」に対する知
識や理解も様々であることが想定されます。
したがって、一般的なマーケティング目的の場合は、広くユーザーに配布するこ
とを前提とした配布制限がない報告書が適切になると考えられます(Q14 参照)。
Q4 いわゆるクラウドサービスに本保証業務を提供する場合の留意点があれば教
えてください。
A4 クラウドサービスは、自由に構成可能なIT資源(例えば、ネットワーク、サー
バー、記憶装置、アプリケーション又はサービス)の共有プールが、必要に応じて、
必要なだけネットワーク経由で利用できることに特徴があります。
クラウドサービスを実現するための技術は、一般に標準化された技術だけではな
く、クラウド事業者によって開発された先進的な技術によりサービスが構築、提供
されている場合もあります。
また、クラウドサービスを利用する際のリスクは、ユーザー自らの責任になるに
もかかわらず、自らが管理できない環境上の脅威及び脆弱性により発生することが
少なくありません。これは、クラウドサービスが、クラウド事業者が管理主体とな
ってネットワーク上に様々なリソースを配置していることに起因しています。また、
これらのリソースが外国に所在し、当該国の政治体制や法律の影響下にある場合も
あります。
さらに、クラウドサービスは、例えば、以下のような多様なシステムと技術、サ
ービスの提供方法があります。
(1) クラウドのリソースの管理主体が複数存在することがある。
(2) サービスの提供方法としてのパブリック、プライベート、コミュニティ及びハ
イブリッドの構造がある。
(3) サービスの階層としての、SaaS、PaaS、IaaS 等の内容がある。
以上のようなクラウドサービスの特性を理解することが重要であり、保証業務を
実施するに当たっては、保証対象範囲の特定、必要な内部統制の特定、証拠を含む
内部統制の検証方法の選定等に留意することが必要です。
- 4 -
なお、「内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室・
総務省・経済産業省が運営する「政府情報システムのためのセキュリティ評価制度」
で定める監査基準等に基づいて実施される監査」は、保証実 3702 が対象とする業
務ではなく、また、専門業務実務指針 4400「合意された手続業務に関する実務指針」
の対象となる業務でもなく、監査事務所又は監査事務所が支配している事業体が実
施するその他の調査報告業務に該当するものと考えられます。
Q5 米国公認会計士協会(AICPA)にて公表されている「TSP Section 100 ―2017
Trust Services Criteria for Security, Availability, Processing Integrity,
Confidentiality, and Privacy」(「Trust サービス規準」)を「規準」とする場
合、その利用方法について教えてください。
A5 AIPCA が公表している Trust サービス規準については、その参考訳として、IT
委員会研究資料第 10 号「セキュリティ、可用性、処理のインテグリティ、機密保
持及びプライバシーに関する Trust サービス規準」が公表されています。しかし、
当該参考訳については、Trust サービス規準についての理解を支援するものであり、
当該 Trust サービス規準を「規準」として使用する場合は、米国公認会計士協会
(AICPA)にて公表されている最新版の「Trust サービス規準」の原文を利用してく
ださい。
保証業務の対象となるカテゴリーは、当該受託会社の経営者によって選択される
カテゴリーであり、それは単一のカテゴリーを対象とする場合と複数のカテゴリー
を対象とする場合が想定されます。受託会社の経営者は、その想定利用者からの要
請や提供するサービスに関係する契約内容等を勘案して、適切なカテゴリーを選択
する必要があります。
また、記載されている規準は対象とするカテゴリーを達成するために必要な評価
の要件であり、カテゴリーに対応して列挙されている規準のうち、一部のみを選択
又は除外して用いることは想定されていません。そのため、受託会社の経営者によ
って選択されたカテゴリーに対応して記載されている規準については、その全てを
評価の対象としなければなりません。ただし、対象となる情報システムの仕様等に
より、ある規準に関連する内部統制が受託会社において必要ない、又は該当しない
という可能性は考えられます。この場合、記述書には、カテゴリーに対応する全て
の規準を記載した上で、内部統制が受託会社において必要ない、又は該当しない理
由について明確にすることが必要です。
- 5 -
Q6 米国公認会計士協会(AICPA)から公表されている「Trust サービス規準」以外
の主題情報を追加する際に留意すべき事項を教えてください。また、「Trust サ
ービス規準」以外の規準に基づいて主題情報を評価する際に留意すべき事項を教
えてください。
A6 受託会社監査人は、受託会社からの要請に基づいて、「Trust サービス規準」に追
加して、状況によっては、「Trust サービス規準」以外の規準に基づいて、例えば、
規制当局の要求事項や業界団体の自主規制等の遵守に関して、保証実 3702 に準拠
して業務を実施することができます。
(1) 「Trust サービス規準」以外の主題情報を追加する際の留意事項
この場合、受託会社監査人は、「Trust サービス規準」と、受託会社から追加さ
れた主題情報に関する説明、受託会社のシステムに関する記述書の記述の追加及
び関連する内部統制等に関する受託会社監査人の業務の遂行上必要な情報を入
手する必要があります。
当該情報には以下のものが含まれます。
① 追加した主題情報に関する受託会社のシステムに関する記述書の補足
② 追加した主題情報の評価又は測定と表示に利用する規準の説明
③ 規準が内部統制に関係する場合、当該規準に対応する内部統制の説明
④ 追加した主題情報に対する経営者の確認書
また、受託会社監査人は、追加された主題情報に対して、保証実 3702 に準拠
して当該事項を検証する必要があります。さらに、保証報告書には、範囲及び意
見に関する記述は区分して記載し、タイプ2の報告書の場合、追加された主題情
報について受託会社監査人が実施した追加の検証手続及びその結果についても
報告書に区分して記載します。
(2) 「Trust サービス規準」以外の規準に基づいて主題情報を評価する際の留意事
項
保証実 3702 は、「Trust サービス規準」以外の規準に基づいて主題情報を評価
する場合も想定しています。なお、情報セキュリティ等のIT関連の保証業務に
係る個別指針であるため、一般指針の保証業務実務指針 3000「監査及びレビュー
業務以外の保証業務に関する実務指針」(以下「保証実 3000」という。)と同時に
適用されます。
情報セキュリティ等に関する主題情報について、「Trust サービス規準」以外の
規準に基づいて評価するに際しては、保証業務の実施者は、主題情報を評価する
ための規準が、保証実 3000 第 24 項に基づいて、保証業務の前提条件が満たされ
ているかどうか、主題情報の適切性や規準の適合性及び利用可能性などを判断す
る必要があります。
- 6 -
Q7 受託会社がその業務の一部を外部に再委託している場合、「一体方式」と「除
外方式」の留意すべき事項を教えてください。
A7 受託会社が受託している業務を、再委託している場合の取扱いには、「一体方式」
と「除外方式」の二つの方式があります。
受託会社は、「一体方式」と「除外方式」のいずれかの方法を選択することになり
ます。受託会社のシステムに関する記述書には、再受託会社の業務に関して一体方
式と除外方式のいずれにおいても、再受託会社の実施する業務について適切に記載
されている必要があります(保証実 3702 第 19 項(4)参照)。
(1) 一体方式と除外方式の選択
一体方式と除外方式の選択は、任意ですが、再受託会社の内部統制の有効性を
モニタリングする受託会社の内部統制が十分に機能している場合、再受託会社の
内部統制の保証報告書を入手して検討するような場合には、除外方式が適してい
ます。
(2) 一体方式の留意点
一体方式が採用される場合、保証実 3702 の要求事項は再受託会社に対しても
適用されます。これには、保証実 3702 第 11 項(2)①から⑥までに記載されてい
る事項(例えば、システムに関する記述書、受託会社確認書、受託会社確認書に
対する合理的基礎、経営者確認書等)について、受託会社のみならず再受託会社
の合意を得ることが含まれます。再受託会社で手続を実施する場合には、受託会
社、再受託会社及び受託会社監査人の間での調整とコミュニケーションが必要で
す。一体方式は、再受託会社の合意が不可欠なため、一体方式の利用は、一般的
に、受託会社と再受託会社の間に資本関係がある、又は受託会社と再受託会社の
間の契約において手続の実施が規定されている場合のみ可能であるとされてい
ます(保証実 3702 の A5 項参照)。
(3) 除外方式の留意点
・ 受託会社の内部統制のデザインで予定された再受託会社の内部統制の有効性
をモニタリングする受託会社の内部統制には、受託会社で行われる再受託会社
の業務に対する継続的な評価、受託会社の内部監査部門による定期的な再受託
会社の内部統制の有効性検証等が含まれます。
・ 除外方式では、受託会社のシステムに関する記述書及び受託会社監査人の業
務の範囲には、再受託会社の適用される規準及び関連する内部統制の有効性を
モニタリングする受託会社の内部統制が含まれるため、当該内部統制が有効に
機能していない場合には、受託会社監査人の意見が除外事項付意見となる可能
性があります。受託会社は、モニタリング活動の結果として、再受託会社の内
- 7 -
部統制が有効でないと判断した場合には、是正を促すことになります。
(4) 方式の変更
再受託会社に対する取扱いについて、方式(一体方式、除外方式)の変更は、
保証業務の範囲の変更になるため、慎重な対応が必要になります。受託会社が受
託会社監査人による再受託会社へのアクセスについて再受託会社の合意を得ら
れない場合に、受託会社から一体方式から除外方式への変更の要請を受ける場合
があります。受託会社監査人は、その変更に対する正当な理由があるかどうかを
確かめなければなりません(保証実 3702 第 12 項及び A13 項参照)。
Q8 受託会社がその業務の一部を外部に再委託している場合の取扱いとして、「一
体方式」を採用する場合の保証報告書の記載例を教えてください。
A8 一体方式とは、受託会社が受託業務の一部を再委託する場合において、受託会社
のシステムに関する記述書に再受託会社に再委託している業務の内容が記載され、
かつ、再受託会社の適用される規準及び関連する内部統制が受託会社のシステムに
関する記述書及び受託会社監査人の業務の範囲に含まれる方式です(保証実 3702
第7項(4)参照)。
一体方式の場合の保証報告書の記載は、以下のようになります。なお、委託会社
で実施が想定される相補的な内部統制が有効に運用されている(又は適用されてい
る)場合を条件として意見区分に記載している例示です。
(範囲区分の記載例)
受託会社は、{受託業務の種類又は名称}の運用について、×××株式会社(以
下、再受託会社)を利用している。適用される規準に基づいて、受託会社のサ
ービスコミットメント及びシステム要求事項を充足する内部統制のうち、再受
託会社の運用するシステム要素に関する記述は、受託会社の記述書に含まれて
いる(保証実 3702 第 51 項(3)⑥参照)。
(意見区分の記載例-タイプ2の報告書の場合)
当監査法人が意見形成において使用した規準は、××頁の受託会社確認書及
び××頁の再受託会社確認書に記載されている。
当監査法人の意見は次のとおりである。
① 記述書は、対象期間にわたってデザインされ業務に適用されている[受託業
務の種類又は名称]システムを、全ての重要な点において記述規準に基づいて
表示している。
② 記述書に記載された受託会社及び再受託会社の内部統制は、その内部統制
が対象期間にわたって有効に運用されており、委託会社が受託会社の内部統
- 8 -
制のデザインで想定した相補的な内部統制を対象期間にわたって有効に運用
していたならば、適用される規準に基づいて受託会社のサービスコミットメ
ント及びシステム要求事項を充足するという合理的な保証を提供するよう
に、対象期間にわたって、全ての重要な点において適切にデザインされてい
る。
③ 記述書に記載された受託会社及び再受託会社の内部統制は、委託会社が受
託会社の内部統制のデザインで想定した相補的な内部統制を対象期間にわた
って有効に運用していたならば、適用される規準に基づいて受託会社のサー
ビスコミットメント及びシステム要求事項を充足するという合理的な保証を
提供するように、対象期間にわたって、全ての重要な点において有効に運用
されている。
(意見区分の記載例-タイプ1の報告書の場合)
① 記述書は、××年×月×日現在においてデザインされ業務に適用されてい
る[受託業務の種類又は名称]システムを、全ての重要な点において記述規準
に基づいて表示している。
② 記述書に記載された受託会社及び再受託会社の内部統制は、その内部統制
が××年×月×日現在において有効に運用されており、委託会社が受託会社
の内部統制のデザインで想定した相補的な内部統制を××年×月×日現在に
おいて適用していたならば、適用される規準に基づいて受託会社のサービス
コミットメント及びシステム要求事項を充足するという合理的な保証を提供
するように、××年×月×日現在において、全ての重要な点において適切に
デザインされている。
Q9 受託会社がその業務の一部を外部に再委託している場合の取扱いとして、「除
外方式」を採用する場合の保証報告書の記載例を教えてください。
A9 除外方式とは、受託会社が受託業務の一部を再委託する場合において、受託会社
のシステムに関する記述書に再受託会社に再委託している業務の内容が記載され
るが、再受託会社の適用される規準及び関連する内部統制は、受託会社のシステム
に関する記述書及び受託会社監査人の業務の範囲から除かれる方式です。受託会社
のシステムに関する記述書及び受託会社監査人の業務の範囲には、再受託会社の適
用される規準及び関連する内部統制の有効性をモニタリングする受託会社の内部
統制が含まれます。これには、受託会社が再受託会社の内部統制の保証報告書を入
手して検討することが含まれることがあります(保証実 3702 第7項(17)参照)。
除外方式の場合、受託会社のシステムに関する記述書には、再受託会社の機能が
- 9 -
特定されていることが必要ですが、記述書に、再受託会社の具体的なプロセスや内
部統制について記載する必要はありません(保証実 3702 の A22 項参照)。
除外方式の場合の保証報告書の記載は、以下のようになります。なお、委託会社
等で実施が想定される相補的な内部統制が有効に運用されている(又は適用されて
いる)場合を条件として意見区分に記載している例示です。
(範囲区分の記載例)
受託会社は、{受託業務の種類又は名称}の運用について、×××株式会社(以
下、再受託会社)を利用している。記述書には、再受託会社の内部統制が有効
に運用されている場合のみ、適用される規準に基づいて受託会社のサービスコ
ミットメント及びシステム要求事項を充足することが記載されているが、記述
書には、適用される規準に基づいて受託会社のサービスコミットメント及びシ
ステム要求事項を充足する内部統制の導入、運用について記載していない。当
監査法人は、当該再受託会社の内部統制のデザインの適切性や運用状況の有効
性を評価していない。(保証実 3702 第 51 項(3)⑥参照)
(意見区分の記載例-タイプ2の報告書の場合)
当監査法人が意見形成において使用した規準は、××頁の受託会社確認書に
記載されている。
当監査法人の意見は次のとおりである。
① 記述書は、対象期間にわたってデザインされ業務に適用されている[受託業
務の種類又は名称]システムを、全ての重要な点において記述規準に基づいて
表示している。
② 記述書に記載された受託会社の内部統制は、その内部統制が対象期間にわ
たって有効に運用されており、委託会社及び除外方式の再受託会社が受託会
社の内部統制のデザインで想定した相補的な内部統制を対象期間にわたって
有効に運用していたならば、適用される規準に基づいて受託会社のサービス
コミットメント及びシステム要求事項を充足するという合理的な保証を提供
するように、対象期間にわたって、全ての重要な点において適切にデザイン
されている。
③ 記述書に記載された受託会社の内部統制は、委託会社及び除外方式の再受
託会社の受託会社の内部統制のデザインで想定した相補的な内部統制が対象
期間にわたって有効に運用されていれば、適用される規準に基づいて受託会
社のサービスコミットメント及びシステム要求事項を充足するという合理的
な保証を提供するように、対象期間にわたって、全ての重要な点において有
効に運用されている。
- 10 -
(意見区分の記載例-タイプ1の報告書の場合)
① 記述書は、××年×月×日現在においてデザインされ業務に適用されてい
る[受託業務の種類又は名称]システムを、全ての重要な点において記述規準
に基づいて表示している。
② 記述書に記載された受託会社の内部統制は、その内部統制が××年×月×
日現在において有効に運用されており、委託会社及び除外方式の再受託会社
が受託会社の内部統制のデザインで想定した相補的な内部統制を××年×月
×日現在において適用していたならば、適用される規準に基づいて受託会社
のサービスコミットメント及びシステム要求事項を充足するという合理的な
保証を提供するように、××年×月×日現在において、全ての重要な点にお
いて適切にデザインされている。
Q10 保証業務実務指針 3402 と保証実 3702 を統合した報告書で提供することは可
能でしょうか。
A10 本保証業務は、保証業務実務指針 3402「受託業務に係る内部統制の保証報告書
に関する実務指針」(以下「保証実 3402」という。)が対象とする保証業務を取り扱
うものではありません。保証実 3402 は、委託会社の財務報告に関連する業務を提
供する受託会社の内部統制の評価を実施し報告するものです。これに対し、保証実
3702 はその第1項に記載のとおり、委託会社へ提供する情報セキュリティ等受託
業務の Trust に係る内部統制を検証し報告する保証業務です。
また、保証報告書の利用者は、保証実 3402 が「委託会社とその監査人」を想定
しているのに対して、保証実 3702 第7項(20)「想定利用者」では、「委託会社、予
想される委託会社、委託会社監査人及び委託会社又は受託会社に係る規制当局」を
利用者としており、利用者の範囲も異なります。
両者は異なる観点から検証を実施するもので、それぞれ個別に契約されるべきも
のです。また、クライアントから同時に両方の業務を依頼された場合であっても、
利用者の範囲が異なるため、保証報告書は別々に作成されなければなりません。
ただし、業務の同時提供が禁じられているわけではありません。また、双方の業
務に共通の証拠を入手して利用できるときには、業務を効率的に実施できることが
あります。
- 11 -
Q11 受託会社のシステムの記述書はどのように記載しますか。また、米国公認会計
士協会(AICPA)にて公表されている DC Section 200(Description Criteria for
a Description of a Service Organization’s System in a SOC 2® Report)を
記述規準として使用する場合の留意事項を教えてください。
A11 受託会社のシステムの記述書は、保証実 3702 第7項(13)で、「「受託会社のシス
テム」(又は「システム」)-受託会社監査人の保証報告書が対象とする業務を委託
会社に提供するために、受託会社がデザインし業務に適用するために特定されたイ
ンフラ、ソフトウェア、人員、手続、データの五つの重要な構成要素を総称してい
う。受託会社のシステムに関する記述書には、対象とする業務、記述書が対象とす
る期間(又はタイプ1の報告書の場合は基準日)、適用される規準、関連する内部
統制についての記述が含まれる。」とされています。
システムの記述書には、システムの内部統制を含む広範囲かつ複雑な内容が記載
されるため、想定される利用者の利便性を考慮して、フロー図、内部統制と規準の
チャートや業務の流れをストーリー的なまとめ方をするなど、受託会社の創意工夫
が求められていますが、米国公認会計士協会(AICPA)にて公表されている DC
Section 200 ( Description Criteria for a Description of a Service
Organization’s System in a SOC 2® Report)を記述規準として使用する場合の
留意事項として概要を示すと、以下のようになります。
(1) 提供される業務の種類
受託会社により提供される業務の種類の例としては、以下のようなものがありま
す。
① 顧客サポート
② 医療費支払事務の管理及び処理
③ エンタープライズITアウトソーシング業務
④ マネージドセキュリティ
⑤ 金融テクノロジー(FinTech)サービス
(2) 主要なサービスコミットメント及びシステム要求事項
内部統制のシステムは、Trust サービス規準を使用し、企業がその業務目的及
び下位目的を達成する能力という観点から評価されます。受託会社が委託会社に
業務を提供する場合、その目的及び下位目的は、主として以下に関係します。
① 業務の提供に使用されるシステムに関して委託会社に対して行うサービス
コミットメントの充足、及び、そうしたコミットメントの充足に必要なシステ
ム要求事項
② システムによる業務の提供に関する法令の遵守
③ 受託会社がシステムに関して有するその他の目的の達成
- 12 -
これらは、受託会社のサービスコミットメント及びシステム要求事項と呼ばれ、
記述書に記載されます。
サービスコミットメントには、委託会社及びその他(委託会社の顧客等)に対
して約束されたコミットメントのうち、記述書で取り上げられる単一又は複数の
Trust サービスカテゴリーに関係するものが含まれます。また、顧客との契約、
サービス品質保証(SLA)又は公開されたポリシー(例えば、プライバシーポリシ
ー)を通じてなど、多くの方法により委託会社に伝達されます。
システム要求事項は、顧客に対する組織のコミットメントを充足し、又は、関
連する法令若しくはビジネス若しくは業界団体などの産業別のガイドラインを
満たすかなど、システムがどのように機能するかについての仕様となります。
ただし、サービスコミットメントの全て開示する必要はなく、開示する必要が
あるのは広範な報告書利用者に関連性のあるもの(すなわち主要なサービスコミ
ットメント)のみになります。例えば、記述書で可用性が取り上げられている場
合、受託会社は同一のシステム可用性に関するコミットメントをその大多数の委
託会社に対して作成できます。委託会社の大半に共通する可用性に関するコミッ
トメントについての情報は、広範な報告書利用者に関連性のある可能性が高いた
め、受託会社の経営者は記述書において主要な可用性に関するコミットメントを
記述することになると考えられます。また、開示する必要がある主要なシステム
要求事項とは、記述書で取り上げられる単一又は複数の Trust サービス規準のカ
テゴリーに関連性があり、広範な報告書利用者にとって関連性がある可能性が高
い要求事項となります。
(3) システムの構成要素
システムの構成要素については、
① インフラストラクチャー
インフラストラクチャー構成要素に関する開示には、受託会社が業務を提供
する上で使用する物理環境及び関連構築物、IT並びに関連ハードウェア(例
えば、施設、サーバー、ストレージ、環境モニタリング機器、データ保存機器
及び媒体、モバイル機器、社内ネットワーク並びに接続された外部通信ネット
ワーク)を含む、IT環境全体をサポートする物理的又は仮想的リソースの集
成等の事項が含まれます。
② ソフトウェア
ソフトウェア構成要素に関する開示には、アプリケーションプログラム、そ
うしたアプリケーションプログラムをサポートするITシステムソフトウェ
ア(オペレーションシステム、ミドルウェア及びユーティリティ)、使用される
データベースの種類、外部接続するウェブ・アプリケーションの内容、及び社
内で開発されたアプリケーションの内容(使用されているアプリケーションが、
- 13 -
モバイル・アプリケーションかデスクトップ及びラップトップ・アプリケーシ
ョンのいずれかについての詳細を含む。)等の事項が含まれます。
③ 人員
人員構成要素に関する開示には、システムのガバナンス、管理、運用、セキ
ュリティ、使用に関与する要員(ビジネスユニットの要員、開発者、運用担当
者、委託会社の要員、ベンダー要員、及び管理者)が含まれます。
④ 手続
受託会社により実施される自動化された及び手作業による手続に関する開
示には、主として業務の提供を通じた手続に関連します。それらには、適宜、
業務活動が開始、承認、実施及び伝達される手続、並びに作成される報告その
他の情報が含まれます。
⑤ データ
データ構成要素に関する開示には、システムで使用されるデータの種類、取
引の流れ、ファイル、データベース、表及びシステムにより使用又は処理され
た出力が含まれます。
(4) 識別されたインシデントの開示
インシデントを開示するかどうかを決定する際には判断が必要となります。し
かし、記述されているシステムに関連する限りにおいて、以下の事項を検討する
ことは、そうした決定を下す上で有益である場合があります。
・ インシデントが、一つ以上の内部統制が適切にデザインされていなかった、
又は有効に運用されなかったことによって生じたかどうか。
・ インシデントの結果、受託会社の一つ以上のサービスコミットメント及びシ
ステム要求事項の充足における重大な不備が生じたかどうか。
・ サイバーセキュリティ関連法規制により、インシデントの公表が必要か(又
は必要となる可能性が高いか)どうか。
・ インシデントが受託会社の財政状態又は業務に重大な影響を与えたかどうか、
及び財務諸表の作成にあたり必要な開示事項に重大な影響を与えたかどうか。
・ インシデントが法規制機関による制裁につながったかどうか。
・ インシデントが受託会社による重要市場からの撤退又は重要契約の解消につ
ながったかどうか。
(5) 適用される Trust サービス規準及び関連する内部統制
適用される Trust サービス規準は、セキュリティ、可用性、処理のインテグリ
ティ、機密保持及びプライバシーの五つのカテゴリーの評価のための規準のうち、
受託会社の経営者によって選択された規準になります。記述書は、統制環境、リ
スク評価、統制活動、情報と伝達、モニタリング活動等、記述書の対象となる適
用される Trust サービス規準についての情報を含んでいる場合には、この規準に
- 14 -
基づいて表示されていることになります。例えば、記述書が可用性を取り上げて
いる場合、経営者は、Trust サービス規準内の共通規準及び可用性に関する追加
的な Trust サービス規準に対応するために実施している内部統制についての情
報を提供すると考えられます。
(6) 委託会社の相補的な内部統制
委託会社の相補的な内部統制は、受託会社の経営者が、システムのデザインに
おいて、委託会社により実施されると仮定している内部統制であって、受託会社
のサービスコミットメント及びシステム要求事項が充足されることについて合
理的な保証を提供するために、受託会社における内部統制と組み合わせて必要な
ものです。委託会社の相補的な内部統制が、網羅的かつ正確に記述されており、
受託会社によるサービスコミットメント及びシステム要求事項の充足にとって
関連性がある場合、記述書はこの規準に基づいて表示されていることになります
が、特定の当事者のみに関連する事項など、他の報告書の利用者の誤解が生じる
可能性を考慮する必要があります。
(7) 再受託会社により提供される業務
受託会社の経営者が一体方式を選択する場合、再受託会社のインフラストラク
チャー、ソフトウェア、人員、手続及びデータの関連する側面は受託会社のシス
テムの一部とみなされ、受託会社のシステムの記述書に含まれます。関連する側
面は受託会社のシステムの一部とみなされるものの、システムの再受託会社に責
任に帰すべき部分は記述書で個別に特定されると考えられます。
受託会社の経営者が除外方式を選択する場合に、再受託会社により提供される
業務についての情報を入手し、再受託会社により提供される業務に係る手続の実
施を希望する委託会社又はビジネス・パートナーにとって、再受託会社の身元に
ついての情報が有益となる可能性がある場合は、こうした情報を開示することが
検討される場合があります。
(8) 適用される Trust サービス規準のうち、システムに関連しない特定の規準及び
それが関連しない理由
適用される Trust サービス規準の一つ以上が記述されるシステムに関連しな
い場合、受託会社の管理者は記述書に、そうした規準が関連しない理由について
の説明を含めます。例えば、適用される Trust サービス規準が受託会社により提
供される業務に適用されない場合、その基準は関連しない可能性があります。
(9) 受託会社のシステム及び内部統制に対する重要な変更
開示されるべき重要な変更は、広範な報告書利用者にとって関連する可能性が
高い変更で構成されます。そうした変更の開示には、変更が生じた日付や変更の
前後でシステムにどのような変更が生じたのか等の適切な水準の詳細が含まれ
ることが想定されます。
- 15 -
Q12 保証実 3702 第 52 項では、タイプ2の報告書の場合、「実施した運用評価手続
及び当該手続の結果」の作成が必要とされていますが、記載例はないでしょうか。
A12 記載例として、以下のような「実施した運用評価手続及び当該手続の結果」が想
定されます。ただし、受託会社監査人が個々の業務で必要と判断して実施した運用
評価手続とその結果を記載するものであり、以下に記載した「実施した運用評価手
続及び当該手続の結果」は保証実 3702 に基づく業務の全てに共通して該当するも
のではなく、個々の業務ごとに必要な運用評価手続を立案し、その実施結果を記載
することとなります。
<タイプ2の報告書の「実施した運用評価手続及び当該手続の結果」記載例>
「CC1.1 COSO 原則1:組織は、誠実性と倫理観に対するコミットメントを表明する。」
運用評価手続の結 果
例 外 事 項 な し。
抽出した新規雇用 者 55 人のうち2人 は、規範と基準に 署名していなかっ た。
に関する共通規準
規準
内部統制
実施した運用評価手続
COSO CC1.1 原則1:組織 は、誠実性と 倫理観に対す るコミットメ ントを表明す る。
XYZ 社は、行動規範 と倫理基準を文書化 しており、これらは 該当する場合に、査 閲、更新され、毎 年、取締役会及び上 級経営者によって承 認される。
契約者を含む職員 は、その雇用時に行 動規範と倫理基準を 通読し、受け入れ、 その後、毎年その年 を通じて正式に再確 認することが求めら れる。
サービスプロバイダ ー及びビジネス・パ ートナーとの間で、 サービスプロバイダ
XYZ 社の行動規範と倫 理基準を閲覧し、その 規範と基準が、受託会 社の誠実さと倫理的価 値に対するコミットメ ントを概説し、その規 範と基準が検証期間内 の取締役会及び上級経 営者により更新され、 承認されていることを 確認した。 抽出した新規契約者を 含む新規雇用者につい て、その規範と基準に ついて署名を閲覧し、 抽出した各雇用者がそ の規範と基準を認知し ていることを確認し た。 抽出した契約者を含む 現在の人員について、 その規範と基準につい て署名を閲覧し、抽出 した各人員がその規範 と基準を年次で認知し ていることを確認し た。 抽出したサービスプロ バイダー及びビジネ ス・パートナーとの契 約について閲覧し、契
- 16 -
ー及びビジネス・パ ートナーの明確に定 義された用語、条件 及び責任を含む契約 が確立している。
経営者は、お客様や 従業員の苦情をモニ ターし、第三者の管 理している匿名の倫 理ホットラインを使 用することで、行動 規範と倫理基準の遵 守をモニターしてい る。 XYZ 社の行動規範に は、行動規範に違反 する人員に対する制 裁措置が含まれてい る。 制裁方針は、行動規 範に違反した人員に 適用される。
新規雇用者は、雇用 の前に、最低でも信 用、犯罪、薬物及び 雇用のチェックを含 む規制審査データベ ースで検証される。
約の条件、サービスプ ロバイダー及びビジネ ス・パートナーの責任 など、XYZ 社の要件を 示していることを確認 した。 XYZ 社のウェブサイト を閲覧し、提供されて いるホットライン電話 番号をテストし、第三 者が管理している匿名 のホットラインが利用 可能であることを確認 した。
XYZ 社の行動規範を閲 覧し、行動規範に違反 した人員に対する制裁 措置が含まれることを 確認した。 抽出した第三者の管理 するホットラインを通 じて記録されたお客様 と従業員の苦情につい て、関連文書を閲覧し、 行動規範に違反した者 が方針に従って処分さ れていることを確認し た。 抽出した新規雇用者に ついて、バックグラウ ンドチェックを検査 し、抽出した人員が、 XYZ 社に採用される前 に、信用、犯罪、薬物 及び雇用調査を含むバ ックグラウンドチェッ クが問題なく完了して いることを確認した。
例 外 事 項 な し。
例 外 事 項 な し。
Q13 報告書を継続的に発行していく場合、タイプ2を必ず発行していく必要がある
でしょうか。タイプ1を継続的に発行していくことが可能な場合、どのようなケ
ースが想定されるでしょうか。
A13 同一の対象に対して継続的に報告書を発行していく場合、当初はタイプ1を発行
したとしても、内部統制の継続的な実施を担保するためにタイプ2に移行していく
のが一般的です。
一方で、保証の対象の技術的要素や環境・サービスレベル・統制などが頻繁に変
化する可能性が有る場合には、業務の実施及び報告書の発行タイミングを柔軟に扱
- 17 -
えることから、一定期間タイプ1を継続的に発行していくことにも一定のニーズが
あると考えます。その場合には、報告書がタイプ1であることとともに、統制が継
続的に行われていることを受託会社の内部監査や他のモニタリングの取組などと
合わせて利用者に伝えることが有用です。しかしながら、上記の様な状況や受託会
社や想定利用者とのコミュニケーションなどが無いにもかかわらず、タイプ1を継
続的に発行し続けることは不適切と考えられます。
また、社会的に第三者が保証すること自体のニーズが増加していることも鑑みる
と、継続を前提としない形でのタイプ1の報告書を発行することも想定されます。
例えば、短期的なサービスを対象とする場合、委託会社からは求められていないも
のの、自社のサービスの管理状況について、第三者の保証を受けることを品質管理
の取組とする場合などが挙げられます。
Q14 Q3に記載された、広くユーザーに配布することを前提とした配布制限がない
報告書の記載例はないでしょうか。
A14 保証実 3702 の公表に伴い、IT実2号が廃止されていますが、IT実2号に準
拠して実施していた Systrust 保証業務については、保証実 3702 に準拠して業務を
実施することが考えられます。以下においては、広くユーザーに配布することを前
提とした配布制限がない報告書を例示しています。
(経営者の記述書(期間評価)の記載例(付録A及びBはイメージとして作成されてい
る。))
経営者の記述書
受託会社名:○○○○株式会社
当社は、○○○受託業務のシステム(以下「システム」という。)において、××
年1月1日から××年 12 月 31 日までの期間(以下「対象期間」という。)にわた
り、セキュリティ、可用性、機密保持及びプライバシーに関連する当社のサービス
コミットメント及びシステム要求事項を充足するための合理的な保証を提供する有
効な内部統制をデザインし、導入し、運用し、維持する責任を有しています。シス
テムの範囲についての説明は付録Aに示され、当該経営者の記述書に含まれるシス
テムの側面を特定しています。
当社は、米国公認会計士協会「受託業務のセキュリティ、可用性、処理のインテ
- 18 -
グリティ、機密保持及びプライバシーに係る内部統制の評価のための Trust サービ
ス規準」(Trust Services Criteria for Security, Availability, Processing
Integrity, Confidentiality, and Privacy)のうち、セキュリティ、可用性、機密
保持、プライバシーの Trust サービス規準(以下「適用される規準」という。)に基
づいて、対象期間にわたり、当社のサービスコミットメント及びシステム要求事項
を充足するための合理的な保証を提供するシステムの内部統制の有効性の評価を行
いました。適用される規準が対象となるシステムについての当社の目的は、その適
用される規準に関連するサービスコミットメントとシステム要求事項に組み込まれ
ています。適用される規準に関連する主要なサービスコミットメントとシステム要
求事項は、付録Bに記載しています。
内部統制には誤謬及び内部統制の迂回又は無視を含む固有の限界があります。こ
れらの固有の限界から、受託会社は、そのサービスコミットメントとシステム要求
事項を充足することについて、絶対的ではなく、合理的な保証を提供するものでし
かありません。
当社は、適用される規準に基づいて、対象期間にわたり、当社のサービスコミッ
トメントとシステム要求事項を充足するための合理的な保証を提供するシステムの
内部統制が有効であったことを確認しました。
付録A
○○○受託業務のシステムの範囲についての記述書
提供サービスの概要
○○株式会社(以下、当社)は、日本国内で○○○サービスを提供しています。
当社は××年に創立され、○○○ユーザーに当該サービスを提供しています。
・・・・・
インフラストラクチャー
・・・・・
ソフトウェア
・・・・・
- 19 -
人員
・・・・・
手続
・・・・・
データ
・・・・・
付録B
主要なサービスコミットメント及びシステム要求事項
当社は、○○○サービスの目的を満たすために、業務に関連するプロセスと手順
をデザインします。これらの目的は、当社が委託会社に対して行うサービスコミッ
トメント、〇〇〇サービスの提供に関する法規制、及び当社がサービスに対して構
築した、財務、運用、コンプライアンスなどのシステム要件に基づいています。
・・・・・
委託会社に対するセキュリティコミットメントは、サービスレベルアグリーメン
ト(SLA)及びその他の契約、並びにウェブサイトで提供されるサービス概要として
文書化され、伝達されます。セキュリティコミットメントは標準化されており、以
下が含まれますが、これらに限定されません。
・・・・・
(独立受託会社監査人の保証報告書(無限定適正、期間評価)の記載例)
独立受託会社監査法人の保証報告書
××年×月×日
○○○○株式会社(受託会社) 御中
○○監査法人
[○○事務所]
- 20 -
代 表 社 員 業 務 執 行 社 員
公認会計士
○○○○
業 務 執 行 社 員 公認会計士
○○○○
(注)
範囲
当監査法人は、米国公認会計士協会「受託業務のセキュリティ、可用性、処理の
インテグリティ、機密保持及びプライバシーに係る内部統制の評価のための Trust
サ ー ビ ス 規 準 」( Trust Services Criteria for Security, Availability,
Processing Integrity, Confidentiality, and Privacy)のうち、セキュリティ、
可用性、機密保持、プライバシーの Trust サービス規準(以下「適用される規準」
という。)に基づいて、××年×月×日から××年×月×日までの期間(以下「対象
期間」という。)にわたり、○○○○株式会社のサービスコミットメント及びシステ
ム要求事項を充足するための合理的な保証を提供する○○○受託業務のシステム
(以下「システム」という。)の内部統制が有効であったことについて記載された経
営者の記述書(以下「経営者の記述書」という。)について保証業務を行った。
受託会社の責任
受託会社の責任は、受託会社のサービスコミットメント及びシステム要求事項を
充足するという合理的な保証を提供するために、そのサービスコミットメント及び
システム要求事項、並びにシステムの内部統制をデザインし、業務へ適用し、更に
有効に運用することにある。また、システムの内部統制の有効性について、添付さ
れる経営者の記述書を作成する責任がある。経営者の記述書の作成に際しては、受
託会社は、経営者の記述書において、適用する規準を選択及び識別し、システムの
内部統制の有効性の評価を実施することにより、経営者の記述書の合理的な基礎を
得る責任がある。
職業倫理、独立性及び品質管理
当監査法人は、日本公認会計士協会の公表する倫理規則及びその他の職業倫理に
関する規定を遵守して業務を実施した。当該規則及び規定は、誠実性、客観性、職
業的専門家としての能力及び正当な注意、守秘義務並びに職業的専門家としての行
動の原則、並びに独立性に関する規定を提供している。また、当監査法人は、日本
公認会計士協会が公表した品質管理基準報告書第1号「監査事務所における品質管
理」に準拠して、職業的専門家としての基準及び適用される法令等の遵守に関する
方針及び手続並びに品質管理システムを整備及び運用して業務を実施した。
- 21 -
受託会社監査人の責任
当監査法人の責任は、実施した手続に基づき、適用される規準に基づいて、対象
期間にわたり、○○○○株式会社のサービスのコミットメント及びシステム要求事
項を充足するための合理的な保証を提供するシステムの内部統制が、有効であった
かについての経営者の記述書に対して意見を表明することにある。
当監査法人は、日本公認会計士協会が公表した保証業務実務指針 3702「情報セキ
ュリティ等に関する受託業務の Trust に係る内部統制の保証報告書に関する実務指
針」に準拠して業務を実施した。当該指針は、当監査法人に、全ての重要な点にお
いて、経営者の記述書が適正に表示されているかどうかについて、合理的な保証を
得るための手続を計画し実施することを求めている。
したがって、手続には、(1)システム及び受託会社のサービスコミットメント及び
システム要求事項を理解し、(2)内適用される規準に基づいて、受託会社のサービス
コミットメント及びシステム要求事項を充足するための内部統制が有効でないリス
クを評価し、(3)システムの内部統制が、適用される規準に基づいて受託会社のサー
ビスコミットメント及びシステム要求事項を充足するのに有効であったかどうかに
ついての証拠を得るための手順を実施し、(4)当監査法人が必要と認めたその他の手
続を実施したことを含んでいる。
当監査法人は、意見表明の基礎となる十分かつ適切な証拠を入手したと判断して
いる。
受託会社の内部統制の限界
内部統制には誤謬及び内部統制の迂回又は無視を含む固有の限界がある。これら
の固有の限界から、内部統制は、必ずしも適用される規準に基づいてサービスコミ
ットメント及びシステム要求事項を充足し、合理的な保証を提供するように運用さ
れない可能性がある。また、内部統制のデザインの適切性及び運用状況の有効性の
評価に基づき将来を予測することには、受託会社の内部統制が不適切になる又は機
能しなくなるというリスクが伴う。
意見
当監査法人は、上記の経営者の記述書が、適用される規準に基づいて、対象期間
にわたり、○○○○株式会社のサービスコミットメント及びシステム要求事項を充
足するための合理的な保証を提供するシステムの内部統制が有効であったことを、
全ての重要な点において適正に表示しているものと認める。
以 上
- 22 -
(注)受託会社監査人が電子署名を行う場合には、保証報告書にその氏名を表示すると
考えられる。
以 上
- 23 -