5カテゴリーと規準の関係性
AICPA(米国公認会計士協会)が定める「トラストサービス基準(Trust Services Criteria / TSP Section 100)」には以下の5つのカテゴリーが設定されています。
セキュリティ(Security)
組織は、情報やそれを格納するシステムを保護するために、不正アクセスや情報漏洩を防ぐ適切なセキュリティ対策を実施する必要があります。具体的には、認証・認可によるアクセス制御の実装、保存・転送するデータの暗号化、物理アクセスの制御、ネットワークセキュリティの実装などが求められます。
可用性(Availability)
組織は、顧客に提供する製品・サービスが合意した通りに操作・使用できるよう、運用・モニタリングのための対策を実施する必要があります。具体的には、システムの冗長性の確保、システムの監視とアラート、データバックアップの実施、災害復旧プランの策定・実施、サービスレベルアグリーメント(SLA)の設定などが求められます。
処理のインテグリティ(Processing Integrity)
組織が行うシステム処理は、完全で正当、正確かつ適時に実施され、かつ承認されている必要があります。そのために、データの検証や整合性チェック、データの改ざん防止対策、データの履歴とトレーサビリティの確保、データ処理の監視とエラーハンドリングなどを実装する必要があります。
機密保持(Confidentiality)
組織は、営業秘密や知的財産などの情報を収集・生成から廃棄まで保護する必要があります。そのために、適切なアクセス制御の実装、データの分類とラベリング、データ転送時の保護、安全なデータの破棄、データアクセスのモニタリングなどの対策を実施する必要があります。
プライバシー(Privacy)
組織が扱う個人情報が、適切に収集、利用、保持、開示および廃棄される必要があります。そのために、プライバシーポリシーの策定と公開、個人情報を収集する際の同意の取得、適切な範囲での情報の共有と第三者提供、権利に基づく削除要求への対応などの対策を実施し、個人情報の保護に努める必要があります。
共通基準(Common Criteria)との関係
どのカテゴリーを選択しようとも、共通統制基準(Common Criteria:CC1~CC9)を満たす内部統制の構築及び運用が必要です。 特に「セキュリティ」カテゴリーは必須であり、このカテゴリーの評価には、共通基準の充足が求められます。一方、他の4つのカテゴリー(可用性、処理のインテグリティ、機密保持、プライバシー)を追加で評価対象とする場合は、共通統制基準(CC1〜CC9)に加えて、それぞれのカテゴリーに固有の追加基準を満たす必要があります。
たとえば、可用性を対象とする場合は、共通基準に加え、可用性に関する追加基準の統制も構築・運用されていることが求められます。
トラストサービス基準の構成
Trustサービス基準は、以下の2つの基準群で構成されます:
- 共通基準(Common Criteria:CC1〜CC9)
すべてのカテゴリーに共通して適用される基準 - カテゴリー別追加基準
可用性(A1)、処理のインテグリティ(PI1)、機密保持(C1)、プライバシー(P1〜P9)など、各カテゴリーに特有の基準
たとえば、CC6(論理的アクセス制御)は、セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーの全カテゴリーにおいて関連する統制として扱われます。
(図で示すと以下のようになる)
■ 適用除外の扱いについて
トラストサービス基準の定めによれば、選択したカテゴリーに関連するすべての基準に対応しなければならないとされています。
ただし、例外的に「業務の特性上、特定の基準が適用できない」場合には、その旨をシステム記述書に明記することが求められます(記述基準に準拠した対応)。
(Trust サービス規準抜粋)
8.業務実施者は、Trust サービスのカテゴリー(セキュリティ、可用性、処理のインテグリティ、機密保持又はプライバシー)を、単独で若しくは一つ又は複数の他の Trust サービスのカテゴリーと組み合わせて報告することができる。業務の対象となるカテゴリーについては、通常は、そのカテゴリーに係る全ての規準に対処する必要がある。しかし、業務の範囲があるシステムに関する報告であり、受託会社が提供するサービスに特定の規準が関連しない場合のような限られた状況において、一つ又は複数の規準を業務に適用できない可能性がある。そのような状況においては、一つ又は複数の規準に対処する必要はない。例えば、受託会社のシステムのプライバシーに関して報告する場合、規準 P3.1「パーソナル・インフォメーションは、プライバシーに関する組織の目的に沿って収集される。」は、データ主体(本人)からパーソナル・インフォメーションを直接に収集しない受託会社には適用されない。さらに、共通規準は、業務範囲に含まれている Trust サービスのカテゴリーを問わず、適用しなくてはならない。