日本公認会計士協会 保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」の改正
こんにちは、丸山満彦です。
日本公認会計士協会が、情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書の発行業務について、海外団体が公表している特定の規準を利用する場合は、日本公認会計士協会の参考翻訳ではなく海外団体の原文を適用する必要があることを明らかにするために、改訂を行い、公表していますね。。。2022.07.25にドラフトが公開され、意見募集を行い、2022.10.19に公開されたということですね。。。
なお、「保証業務実務指針3850号」は、「保証業務実務指針3702号」に、「IT委員会研究報告第55号」は、「保証業務実務指針3000実務ガイダンス第5号」に番号が変更されています。。。
[PDF] 前文
保証業務実務指針3702号 | 保証業務実務指針3000実務ガイダンス第5号 | |
新旧対比表 | [PDF] | [PDF] |
本文 | [PDF] | [PDF] |
昔、 WebTrustとか、SysTrustと言われていたに情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証業務ですが、その際の判断基準、いわゆるクライテリア (Criteria) について、日本公認会計士協会の参考翻訳ではなく、原文を使えということで、当たり前の話といえば、当たり前の話です。旧実務指針3850の「付録5 受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の評価のための規準」が削除したことにより、報告書の例示も付録5を使ったものから、AICPAの規準を使ったものに変更されていますね。。。
カナダと米国で始まった、Trust業務ですが、最初はPKIによる電子署名等のための(運用も含めた)システムの保証(WebTrust for CA)から始まり、ウェブシステムの機密性等の保証やプライバシー保護の領域に拡大し(WebTrust)、一般的なシステムにも拡大し(SysTrust)、全体を合わせてTrust業務として整理されたが、やっぱり残っているのは、WebTrust for CAの領域なんですかね。。。今は、カナダの公認会計士協会 (Chartered Professional Accountants Canada; CPA Canada) [wikipedia] によって維持されていますね。。。
一時、日本の公認会計士協会もTrust Serviceのシールの発行を行なっていた時期もありましたが、それも今は行なっていませんね。。。
GMOのGrobalSignがWebTrustの監査を受けていますが、Trust Service Sealはつけていませんね。。。
Sealを使っている例としては......
● LawTrust
関連
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.07.26 日本公認会計士協会 保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」(IT委員会実務指針第9号)とそのQ&A(IT委員会研究報告第55号)の改訂案
・2022.06.10 日本公認会計士協会 保証業務に関する解説動画
・2020.12.26 日本公認会計士協会がTrust規準以外の情報セキュリティ監査ができるように基準を変えるようですよ(公開草案を公表しています)
« IPA 「NSA 商用国家安全保障アルゴリズムスイート2.0」「NSA 商用国家安全保障アルゴリズムスイート2.0及び量子コンピュータに関するFAQ」の和訳 (2022.10.12) | Main | 欧州データ保護委員会 EDPB 意見募集 GDPRに基づく個人データ漏えい通知に関するガイドライン9/2022 »
Comments