カテゴリー選択について
AICPA(米国公認会計士協会)が定める「トラストサービス基準(Trust Services Criteria / TSP Section 100)」には、以下の5つのカテゴリーが設定されています:
- セキュリティ※必須
- 可用性
- 処理のインテグリティ
- 機密保持
- プライバシー
SOC2の評価対象となるカテゴリーは、これらの中から選択しますが、「セキュリティ」はすべてのSOC2報告書において必須項目とされています。
それ以外の4つのカテゴリーについては任意選択項目ですが、「自社の都合」で自由に選べるものではありません。
あくまでも、ユーザー視点(サービス利用者のニーズ)に基づいて、重要と考えられる項目を選択する必要があります。