サービス

Trustサービス

日本公認会計士協会(JICPA)はAICPA/CICAとの間でライセンス契約を締結し、有限責任監査法人トーマツはJICPAとサブライセンス契約を締結しているため、Trustサービスを提供することができます。 Trustサービスと総称されるSysTrust業務およびWebTrust業務は、システムの信頼性の確保についての助言業務および保証業務を提供します。

Trustサービスとは

Trustサービスとは、情報システムやオンライン環境における電子商取引等に関する内部統制に保証を与えるサービスで、米国公認会計士協会(AICPA)およびカナダ勅許会計士協会(CICA)によって開発されました。

日本公認会計士協会(JICPA)はAICPA/CICAとの間でライセンス契約を締結し、有限責任監査法人トーマツはJICPAとサブライセンス契約を締結しているため、Trustサービスを提供することができます。

Trustサービスと総称されるSysTrust業務およびWebTrust業務は、システムの信頼性の確保についての助言業務および保証業務を提供します。

SysTrust業務とWebTrust業務

SysTrust業務とWebTrust業務は、助言業務および保証業務の両方の指針としてTrustサービス原則および規準に基づいて評価を行います。原則は以下の5つで構成され、一つまたは複数の原則を対象として評価します。

 

5つの原則

■セキュリティ : システムが(物理的にも・論理的にも)未承認のアクセスから保護されているかどうか

■プライバシー : 電子商取引の結果取得された個人情報が、プライバシーポリシーに従って、取得、利用、保管、提供されているかどうか

■処理のインテグリティ : 処理が完全、正確、適時に実施され、承認されているかどうか

■可用性 : システムが約束したレベルどおりに利用可能であるかどうか

■機密保持 : 企業の機密情報がシステム上で保護されているかどうか

 

SysTrust業務は、情報システムの内部統制が、関連するTrustサービス原則と規準に基づいて、特定の期間に有効に運用されているかどうかを検証します。有効であれば、保証報告書を発行し、企業はWebサイトで報告書を公表、SysTrustシールを表示することができます。

 

WebTrust業務は、オンライン環境における電子商取引を対象とした内部統制が、コミットメントを守り、関連するTrustサービス原則と規準に基づいて、特定の期間に有効に運用されているかどうかを検証します。有効であれば、保証報告書を発行し、企業はWebサイトで報告書を公表、WebTrustシールを表示することができます。

 

WebTrustに関連するその他の業務には、例えば認証局のためのWebTrustがあり、デジタル証明書の発行者のために用意されています。

 

また、Trustサービスの他に情報システムの信頼性の確保に関するサービスとして、受託業務のセキュリティ・可用性・処理のインテグリティ・機密保持に係る内部統制の保証報告書を発行するIT委員会実務指針第7号*業務があります。IT委員会実務指針第7号のうち、該当する原則とその規準が特定期間にわたって充足されていたという合理的な保証を提供するタイプ2と呼ばれる報告書では、内部統制ごとに実施した運用評価手続とその結果が記載されることが特徴です。

 

*日本公認会計士協会 IT委員会実務指針第7号「受託業務のセキュリティ・可用性・処理のインテグリティ・機密保持に係る内部統制の保証報告書」