5カテゴリーのうち、選択するカテゴリーは会社が自由に選択できるのか?
セキュリティについては必須記載項目ですが、可用性、処理のインテグリティ、機密保持、およびプライバシーは任意記載項目です。 これらの任意項目については、会社の都合で選択することはできず、あくまでもユーザー視点で選択する必要があります。つまり、ユーザーにとって重要と考えられる項目を選択しなければなりません。
また、受託会社が選択したカテゴリーに関する規準は、SOC2レポート上にすべて含まれる必要があります。(出所:保証業務実務指針 3702)
これは、TSPセクション100「2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy」(AICPA「Trustサービス規準」)において、 各Trustサービスカテゴリーにおける規準が提示されているのだが、そこに記載の基準については全てSOC2レポートに記載する必要があり、勝手に除くことはできないということを意味しております。