保証業務実務指針3000研究文書第3号
WebTrustの保証報告書等の記載に係る研究文書
2 0 2 1 年 2 月 2 日
改正 2 0 2 1 年 1 2 月 2 8 日
最終改正 2022 年 10 月 13 日
日本公認会計士協会
監査・保証基準委員会
(研究文書:第 10 号)
目 次
Ⅰ はじめに .....................................................................1
Ⅱ WebTrust の保証報告書等の記載例 ................................................1
1.認証局のための WebTrust の保証報告書(無限定適正、期間評価)の記載例 ...........1
2.認証局のための WebTrust の経営者の記述書(期間評価)の記載例 ...................5
i
《Ⅰ はじめに》
従来、WebTrust 保証業務については、カナダ勅許職業会計士協会(CPA Canada)とのライセン
ス契約に基づき実施される業務であり、IT委員会実務指針第2号「Trust サービスに係る実務指
針(中間報告)」では、日本公認会計士協会が CPA Canada とライセンス契約を締結し、業務を行
う国内監査法人が日本公認会計士協会とサブライセンスを締結することとしていた。しかし、当
該ライセンス契約は、2020 年 12 月末をもって終了したため、WebTrust 保証業務を実施する監査
法人は個別に CPA Canada とライセンス契約を締結する等の対応が必要となる。
WebTrust 保証業務において、保証報告書等を作成するに際しては、CPA Canada が報告書等の雛
型を提供しているため、それを参照して作成することになる。当該雛型については、カナダ基準、
米国基準又は国際基準(ISAE3000)で業務を実施する場合について、それぞれ提供されている。
本研究文書は、CPA Canada が公表しているひな型に関して、国際基準に基づく場合における日
本語による報告書の記載例(一部)を参考として提供するものである。なお、CPA Canada に日本
語による報告書を提出する際には、英文による翻訳も併せて添付して提出することが必要になる
ため、留意することが求められる。
本研究文書は、会員が遵守すべき基準等に該当しない。また、2021 年 12 月 28 日時点の最新情
報に基づいている。
《Ⅱ WebTrust の保証報告書等の記載例》
《1.認証局のための WebTrust の保証報告書(無限定適正、期間評価)の記載例》
独立した監査法人の認証局のための WebTrust 保証報告書
○○○○株式会社
代表取締役社長 ○○ ○○ 殿 [適切な宛先とする]
×年×月×日
○○監査法人
○○事務所
代表社員 公認会計士
○○○○
社
員 公認会計士
○○○○
(注)
範囲
当監査法人は、認証局のための WebTrust の規準 v×.×(the WebTrust Principles and
Criteria for Certification Authorities v×.×)に準拠して、×年×月×日から×年×月×
日までの期間において、付録 A に記載された○○○○株式会社の認証局(以下「CA」という。)
のサービス(場所)(以下「CA サービス」という。)に関する経営者の記述書について合理的保
証業務を行った。
経営者の記述書によれば、○○○○株式会社は CA サービスについて、下記事項を実施してい
‐1‐
た。
1.○○○○株式会社は、CA が実施するビジネス、鍵のライフサイクル管理と証明書のライフ
サイクル管理及び CA 環境の内部統制の実務を「○○○○○○認証局運用規程 Version×」及
び「証明書ポリシー Version×」[該当する場合]にて開示していた。
2.○○○○株式会社は、下記について合理的な保証を提供する有効な内部統制を維持してい
た。
・ ○○○○株式会社の認証局運用規程は、証明書ポリシーと整合していたこと[該当する場
合]。
・ ○○○○株式会社は、証明書ポリシー[該当する場合]及び認証局運用規程に準拠してサ
ービスを提供していたこと。
3.○○○○株式会社は、下記について合理的な保証を提供する有効な内部統制を維持してい
た。
・ ○○○○株式会社が管理する鍵と証明書のインテグリティが確立され、そのライフサイ
クルを通じて保護されていたこと。
・ ○○○○株式会社が管理する加入者鍵及び加入者証明書のインテグリティが確立され、
そのライフサイクルを通じて保護されていたこと。
・ 加入者の情報は、(○○○○株式会社が行う登録業務のため)適切に認証されていたこと。
・ 下位 CA の証明書申請は正確で、認証され、承認されていたこと。
4.○○○○株式会社は、下記について合理的な保証を提供する有効な内部統制を維持してい
た。
・ CA システム及びデータへの論理的、物理的アクセスは、承認された個人に制限されてい
たこと。
・ 鍵と証明書の管理に関する運用の継続性が維持されていたこと。
・ CA システムのインテグリティを維持するため、CA システムの開発、保守及び運用が適切
に承認され、実施されていたこと。
[外部の登録局を利用している場合]○○○○株式会社は、○○○○株式会社のビジネス実務
において開示された特定の加入者登録活動のため外部の登録局を利用している。当監査法人の
手続は、これらの外部の登録局により実施される内部統制を含んでいない。
○○○○株式会社は、CA の鍵を寄託せず、加入者鍵の生成サービス及び証明書の一時停止サ
ービスを提供しない[提供していないサービスのみ記載]。したがって、当監査法人の手続は、そ
れらの規準に関連する内部統制を含んでいない。
認証局の責任
○○○○株式会社の経営者の責任は、認証局のための WebTrust の規準 v×.×に準拠して、経
営者の記述書を適正に作成すること及び記述書に記載されたサービスを提供することにある。
職業倫理、独立性及び品質管理
当監査法人は、誠実性、客観性、職業的専門家としての能力及び正当な注意、秘密保持並びに
‐2‐
職業的専門家としての行動に関する基本原則を基礎とする国際会計士倫理基準審議会の職業会
計士のための国際倫理規程(国際独立性基準を含む。)(国際倫理規程)の独立性及びその他の職
業倫理に関する規定を遵守した。また、当監査法人は、国際品質管理基準の第1号を適用してお
り、したがって、職業倫理に関する規定、職業的専門家としての基準及び適用される法令等の要
求事項の遵守に関して文書化した方針と手続を含む、包括的な品質管理システムを保持してい
る。
業務実施者の責任
当監査法人の責任は、当監査法人の実施した手続に基づいて経営者の記述書に対して意見を
表明することにある。
当監査法人は、国際監査・保証基準審議会が公表した国際保証業務基準 3000「過去財務情報
の監査又はレビュー以外の保証業務」に準拠して業務を実施した。当該指針は、当監査法人に、
全ての重要な点において、経営者の記述書が適正に表示されているかどうかについて、合理的
な保証を得るための手続を計画し実施することを求めている。したがって、手続には、(1)○○
○○株式会社の鍵と証明書のライフサイクル管理のビジネス実務及び鍵と証明書のインテグリ
ティ、加入者と信頼者情報の認証と機密保持、鍵と証明書のライフサイクル管理に係る運用の
継続性、システムインテグリティの開発、保守、及び運用に関する内部統制を理解すること、
(2) ○○○○株式会社が開示した鍵と証明書のライフサイクル管理のビジネス実務に従って実
施された取引を試査によりテストすること、(3)内部統制の運用評価手続を実施し評価するこ
と、(4)当監査法人が状況に応じて必要と認めたその他の手続を実施することを含んでいる。
当監査法人は、意見表明の基礎となる十分かつ適切な証拠を入手したと判断している。
内部統制の相対的有効性
○○○○株式会社の CA サービスにおける特定の内部統制の相対的な有効性と重要性、及び加
入者と信頼者の内部統制リスクの評価に与える影響は、内部統制との相互作用、及び個々の加
入者と信頼者の所在場所において現れるその他の要因に依存している。当監査法人は個別の加
入者と信頼者の所在場所における内部統制の有効性を評価するための手続を実施していない。
内部統制の限界
内部統制の性質や固有の限界のため、先に述べた規準に適合するための○○○○株式会社の
能力に影響を及ぼす可能性がある。例えば、内部統制により誤謬又は不正、システムや情報への
未承認のアクセス、社内及び外部のポリシーや要求への遵守性違反を防止、発見、修正すること
ができないことがある。また、当監査法人の発見事項に基づく結論から将来を予測することは、
変更が生ずることにより、その結論の妥当性を失うリスクがある。
意見
当監査法人は、経営者の記述書が、認証局のための WebTrust の規準 v×.×に基づいて、×年
×月×日から×年×月×日までの期間において、全ての重要な点において適正に表示されてい
‐3‐
るものと認める。
この保証報告書は、認証局のための WebTrust の規準 v×.×が対象としている範囲を超えて、
○○○○株式会社の CA サービスの品質について何ら表明するものではない。また、いかなる顧
客の意図する目的に対する○○○○株式会社の CA サービスの適合性についても何ら表明するも
のではない。
WebTrust シールの使用
○○○○株式会社の認証局のための WebTrust シールの使用は、この保証報告書の内容を象徴
的に表示しているが、この保証報告書の変更又は追加的な保証を提供することを意図したもの
ではなく、そのような解釈をすべきではない。
以 上
(注)受託会社監査人が電子署名を行う場合には、保証報告書にその氏名を表示すると考えられる。
対象 CA
Root CAs
CA# CA名
OV SSL Issuing CAs
CA# CA名
EV SSL Issuing CAs
CA# CA名
Private Trust Issuing CAs
CA# CA名
Non-EV Code Signing Issuing CAs
CA# CA名
EV Code Signing Issuing CAs
CA# CA名
Secure Email (S/MIME) CAs
CA# CA名
Document Signing CAs
CA# CA名
Adobe CAs
CA# CA名
Timestamp CAs
CA# CA名
付録 A
‐4‐
Other CAs
CA# CA名
対象 CA の識別情報
発 行 者
サ ブ ジ (cid:18679) ク ト
シ リ ア ル 番 号
キ (cid:18688) ア ル ゴ リ ズ ム
キ (cid:18688) サ イ ズ
ダ イ ジ (cid:18679) ス ト ア ル ゴ リ ズ ム
有 効 期 限 の 開 始
有 効 期 限 の 終 了
拇 印
サ ブ ジ (cid:18679) ク ト キ (cid:18688) 識 別 子
№
1
《2.認証局のための WebTrust の経営者の記述書(期間評価)の記載例》
経営者の記述書
以 上
×年×月×日
○○○○株式会社
代表取締役○○○○
○○担当取締役○○○○
[適切な責任者とする]
当社は、付録 A に記載された認証局(以下「CA」という。)を運営し、次の認証局サービス(以
下「CA サービス」という。)を提供している。
・ 加入者の登録
・ 証明書更新
・ 証明書の再生成
・ 証明書の発行
・ 証明書の配送
・ 証明書の失効
・ 証明書の一時停止
‐5‐
・ 証明書の審査
・ 加入者鍵の生成と管理
・ 下位 CA の(相互)認証
当社の経営者は、当社の Web サイトで公開している CA ビジネス実務の開示、CA ビジネス実務
管理、CA 環境の内部統制、CA 鍵ライフサイクル管理の内部統制、加入者鍵ライフサイクル管理
の内部統制、証明書ライフサイクル管理の内部統制、及び下位 CA の証明書ライフサイクル管理
の内部統制を含む当社の CA の運用について、有効な内部統制を確立し、維持することに責任が
ある。これらの内部統制はモニタリングの仕組みを含んでおり、識別された欠陥を修正するた
めの行動が取られる。
内部統制には誤謬及び内部統制の迂回又は無視を含む固有の限界がある。従って、有効な内
部統制といえども、当社の CA の運用について合理的な保証を提供するものでしかない。さらに、
状況の変化により、内部統制の有効性は時間とともに変化する場合がある。
当社の経営者は、当社の CA(場所)の運用に関するビジネス実務の開示と内部統制を評価し
た。その評価に基づく当社の経営者の意見では、当社は、認証局のための WebTrust の規準 v×.
×(the WebTrust Principles and Criteria for Certification Authorities v×.×)に準拠
して、×年×月×日から×年×月×日までの期間において、CA サービスの提供に関して、下記
の事項を実施した。
1.当社の CA が実施するビジネス、鍵のライフサイクル管理と証明書のライフサイクル管理及
び CA 環境の内部統制の実務を当社の Web サイトにおける「○○○○○○認証局運用規程
Version×」及び「証明書ポリシーVersion×」[該当する場合]にて開示していた。
2.下記について合理的な保証を提供する有効な内部統制を維持していた。
・ 当社の(各 CA の)証明書ポリシーと認証局運用規程が整合していたこと。
・ 当社は、(各 CA の)証明書ポリシー[該当する場合]及び認証局運用規程に準拠してサー
ビスを提供していたこと。
3.下記について合理的な保証を提供する有効な内部統制を維持していた。
・ 当社が管理する鍵と証明書のインテグリティが確立され、そのライフサイクルを通じて
保護されていたこと。
・ 当社が管理する加入者鍵と加入者証明書のインテグリティが確立され、そのライフサイ
クルを通じて保護されていたこと。
・ 加入者の情報は、(当社が行う登録業務のため)適切に認証されていたこと。
・ 下位 CA の証明書申請は正確で、認証され、承認されていたこと。
4.下記について合理的な保証を提供する有効な内部統制を維持していた。
・ CA システムとデータへの論理的、物理的アクセスは、承認された個人に制限されていた
こと。
・ 鍵と証明書の管理に関する運用の継続性が維持されていたこと。
・ CA システムのインテグリティを維持するため、CA システムの開発、保守及び運用が適切
に承認され、実施されていたこと。
当社が準拠した認証局のための WebTrust の規準 v×.×には、以下が含まれる。
‐6‐
CA ビジネス実務の開示
・ 認証局運用規程(CPS)
・ 証明書ポリシー(該当する場合)
CA のビジネス実務管理
・ 証明書ポリシー管理(該当する場合)
・ 認証局運用規程の管理
・ CP 及び CPS の一貫性(該当する場合)
CA 環境の内部統制
・ セキュリティ管理
・ 資産の分類と管理
・ 人員のセキュリティ
・ 物理的・環境的セキュリティ
・ 運用管理
・ システムアクセス管理
・ システム開発と保守
・ ビジネス継続性の管理
・ モニタリングと遵守
・ 監査ログの取得
CA 鍵ライフサイクル管理の内部統制
・ CA 鍵の生成
・ CA 鍵のストレージ、バックアップと復旧
・ CA 公開鍵の配送
・ CA 鍵の使用法
・ CA 鍵の保存及び破壊
・ CA 鍵の危殆化
・ CA の暗号化ハードウェアライフサイクルの管理
・ CA 鍵の寄託(該当する場合)
加入者鍵ライフサイクル管理の内部統制
・ CA が提供する加入者鍵生成サービス(サポートされている場合)
・ CA が提供する鍵保存及び復旧サービス(サポートされている場合)
・ IC カードライフサイクル管理(サポートされている場合)
・ 加入者鍵管理の要件
証明書ライフサイクル管理の内部統制
・ 加入者の登録
・ 証明書更新(サポートされている場合)
・ 証明書の再生成
・ 証明書の発行
・ 証明書の配送
‐7‐
・ 証明書の失効
・ 証明書の一時停止(サポートされている場合)
・ 証明書の審査
下位 CA の証明書ライフサイクル管理の内部統制
・ 下位 CA 証明書ライフサイクル管理
当社は、CA の鍵を寄託せず、加入者鍵の生成サービス及び証明書の一時停止サービスを提供
しない[提供していないサービスのみ記載]。したがって、当社の記述書には、それらの規準に関
連する内部統制を含んでいない。
対象 CA
Root CAs
CA# CA名
OV SSL Issuing CAs
CA# CA名
EV SSL Issuing CAs
CA# CA名
Private Trust Issuing CAs
CA# CA名
Non-EV Code Signing Issuing CAs
CA# CA名
EV Code Signing Issuing CAs
CA# CA名
Secure Email (S/MIME) CAs
CA# CA名
Document Signing CAs
CA# CA名
Adobe CAs
CA# CA名
Timestamp CAs
CA# CA名
Other CAs
CA# CA名
対象 CA の識別情報
付録 A
‐8‐
発 行 者
サ ブ ジ (cid:18679) ク ト
シ リ ア ル 番 号
キ (cid:18688) ア ル ゴ リ ズ ム
キ (cid:18688) サ イ ズ
ダ イ ジ (cid:18679) ス ト ア ル ゴ リ ズ ム
有 効 期 限 の 開 始
有 効 期 限 の 終 了
拇 印
サ ブ ジ (cid:18679) ク ト キ (cid:18688) 識 別 子
№
1
以 上
以 上
・ 本研究文書(2022 年 10 月 13 日改正)は、次の公表物の公表に伴う修正を反映している。
- 保証業務実務指針(序)「保証業務実務指針及び専門業務実務指針並びに関連する公表物の
体系及び用語」(2022 年7月 21 日公表)
‐9‐