SOC 2、ISO 27001、GDPR:バイヤー向けに各フレームワークが実際にカバーする内容
調達担当Directorはチェックリストを持っていました。コンプライアンス行には二つの項目がありました:「SOC 2準拠」と「GDPR準拠」。評価したすべてのベンダーが両方にチェックを入れていました。Directorは安心しました。しかし法務チームがベンダーのGDPR準拠が署名済みのデータ処理契約(DPA)ではなく古いプライバシーポリシーを指していることを指摘しました。そしてITが購入しようとしている統合を除外したスコープのSOC 2であることを指摘するまで。
問題は不誠実さではありませんでした。「SOC 2準拠」と「GDPR準拠」は技術的には正確でありながら、重大なギャップを隠せる表現であることが問題でした。ベンダーはコア製品についてSOC 2認証を持ちながら、展開しようとしているAIモジュールについては持っていない場合があります。ベンダーはプライバシーポリシーを公開しているという意味ではGDPR準拠でも、あなたと法的拘束力のあるDPAを締結しているという意味ではGDPR準拠でない場合があります。
この三つのフレームワークは異なる種類の認証と法律です。互いの代替にはなりません。チェックボックスが示唆するように重複していません。そしてベンダーは持っているものを強調しながら、持っていないもののギャップを曖昧にすることがよくあります。
このガイドでは、各フレームワークが実際にカバーする内容と、ベンダーとの会話でその知識をどのように活用するかを説明します。
重要データ:中堅バイヤーのコンプライアンス状況
- SOC 2 Type 1対Type 2: Type 1はコントロールの「設計」の時点スナップショットです。Type 2は6〜12ヶ月の観察ウィンドウにわたるコントロールの「運用」を棚卸しします。Type 2はエンタープライズ調達のデフォルトです。Type 1レポートは最初の棚卸しから12ヶ月以内のベンダーで最もよく見られます。
- ISO 27001のグローバル採用: ISO調査によれば、最新版で世界に約71,549の有効なISO/IEC 27001証明書があり、英国、日本、インドが証明書数をリードしています。米国SaaSベンダー間での普及はSOC 2より低いです。
- GDPRの罰金前例: 2023年5月のMetaへの€12億の罰金(アイルランドDPC)が、EU-US間の違法なデータ移転に関する記録的な罰金です。Amazon(€7億4,600万、2021年)、Instagram(€4億500万、2022年)、TikTok(€3億4,500万、2023年)はすべて9桁を超えています。GDPRはこの三つのフレームワークの中で直接的な金銭的効力を持つ唯一のフレームワークです。
- バイヤーの需要: 規制業界のRFP(金融サービス、医療、政府)はSOC 2 Type 2を必須として扱います。エンタープライズバイヤーの相当数がISO 27001とともに要求します。GDPRのDPAはEU居住者のデータを処理するベンダーには当然の要件です。
- 侵害通知のギャップ: GDPRは72時間以内の規制当局への通知を義務付けています。SOC 2とISO 27001はインシデント対応プロセスを必要としますが、固定された顧客通知期限は設定されていません。DPAでそのタイムラインを交渉する場所です。
フレームワーク概要:実際に比較しているもの
| フレームワーク | 種類 | 内容 | 発行者 | スコープ |
|---|---|---|---|---|
| SOC 2 | 棚卸し標準 | 特定時点でのコントロールの証明 | サードパーティ棚卸し人(CPA事務所) | ベンダーのスコープ記述で定義 |
| ISO 27001 | 管理標準 | 情報セキュリティ管理システムの認証 | 認定機関 | ISMSスコープで定義 |
| GDPR | 法律 | EU居住者の個人データ処理に関する法的要件 | EU規制(DPAが施行) | EU居住者のすべての個人データに適用 |
重要な区別:SOC 2とISO 27001はベンダーがサードパーティの棚卸しまたは評価を通じて取得する任意の認証です。GDPRは法的要件です。ベンダーが認証を取得しようとしたかどうかは関係ありません。EU居住者の個人データを処理している場合、それに従う義務があります。
コンプライアンスカバレッジマップ
コンプライアンスカバレッジマップは、各フレームワークが実際に対処するリスク面に割り当てるバイヤー側の思考モデルです。SOC 2は米国の運用セキュリティコントロールをカバーし、北米の調達のベースラインです。ISO 27001は国際的な情報セキュリティ管理の姿勢をカバーし、欧州およびアジア太平洋のバイヤーへの成熟度を示します。そしてGDPR(署名されたDPAを通じて)はEUの個人データ処理をカバーし、データ所在、合法的な移転、データ主体の権利要件を含む唯一のフレームワークです。マップを使ってギャップを見つけてください:SOC 2 Type 2はあるがDPAがないベンダーはEUデータには対応していません。ISO 27001はあるがSOC 2がないベンダーは米国エンタープライズレビューで詰まるかもしれません。DPAはあるがセキュリティの証明がないベンダーは、検証されたコントロールなしに法的書類があります。自社のデータフローに合った組み合わせが必要で、ベンダーがマーケティングするものではありません。
SOC 2:カバーすることとしないこと
SOC 2の実態
SOC 2(System and Organization Controls 2)はAICPA(米国公認会計士協会)が開発した棚卸し標準です。SOC 2レポートはTrust Service Criteriaに対してベンダーのコントロールをレビューした独立したCPA事務所によって作成されます。
SOC 2レポートには二つの種類があります。
Type I: 時点評価。棚卸し人は特定の日付時点でベンダーのコントロールが適切に設計されていることを確認しました。これはスナップショットです。その日にコントロールが存在したことを伝えます。
Type II: 6〜12ヶ月をカバーする期間評価。棚卸し人はコントロールが適切に設計されているだけでなく、時間をかけて効果的に運用されていることを確認しました。これは要求すべき標準です。
5つのTrust Service Criteria
SOC 2レポートはこれらの基準の一つ以上をカバーできます。
| 基準 | カバーする内容 |
|---|---|
| セキュリティ(CC) | アクセス制御、暗号化、脆弱性管理、インシデント対応 |
| 可用性(A) | システム稼働時間、パフォーマンス監視、災害復旧 |
| 処理完全性(PI) | データ処理の完全性と正確性 |
| 機密性(C) | ベンダーのコミットメントに基づく機密情報の保護 |
| プライバシー(P) | 個人情報の収集、使用、保持、廃棄 |
ほとんどのベンダーはセキュリティと可用性のみをカバーします。 これは機密性とプライバシーの基準がベンダーが基本的なアクセス制御を超えてデータをどのように扱うかを管理するため重要です。機密性の高い顧客データ、財務データ、またはHRデータをツールに入れる場合、機密性とプライバシーの基準がスコープに含まれているかどうかを具体的に尋ねてください。完全なセキュリティレビュープロセスは、SOC 2スコープセクションの解釈方法とレポートに例外が含まれている場合の対処方法を扱っています。
SOC 2がカバーしないこと
- 特定のサードパーティ統合。 ベンダーがサードパーティのAIプロバイダー、データウェアハウス、または分析ツールを使用している場合、そのコンポーネントはSOC 2スコープから明示的に除外される場合があります。スコープセクションを読んでください。
- あなたの製品の使用方法。 SOC 2はベンダーのコントロールを棚卸しするものであり、製品をどのように設定したかを棚卸しするものではありません。弱い権限や共有設定を設定した場合、それはスコープ外です。
- 現在の状態。 14ヶ月前のSOC 2は14ヶ月前のベンダーの状態を反映します。その後の人員変更、インフラ変更、新製品機能はカバーされません。
SOC 2に基づいて尋ねる質問
- 現在のSOC 2レポートはType IですかType IIですか?
- どのTrust Service Criteriaをカバーしていますか?機密性とプライバシーは含まれていますか?
- 棚卸し期間はいつですか?現年度のレポートは進行中ですか?
- レポートのスコープセクションを確認できますか?明示的に除外されているインフラと製品は何ですか?
- レポートに例外または適格意見はありますか?
- どのサードパーティサブプロセッサーがスコープに含まれていて、除外されていますか?
危険信号:
- Type IIと同等として提示されたType Iレポート
- 現在の棚卸しが進行中でない12ヶ月以上前のレポート
- 購入する特定の製品またはモジュールを除外するスコープ
- NDA下でのレポートの共有拒否
ISO 27001:カバーすることとしないこと
ISO 27001の実態
ISO 27001は国際標準化機構(ISO)によって公開・維持されている情報セキュリティ管理システム(ISMS)の国際標準です。認証は、ベンダーがポリシー、プロセス、人員、技術をカバーする情報セキュリティリスクを管理するための文書化された体系的なアプローチを実装したことを意味します。
SOC 2が定義された基準に対して特定のコントロールを棚卸しするのとは異なり、ISO 27001は情報セキュリティのための管理「システム」の存在と運用を認証します。この標準には二つの主要なコンポーネントがあります。
- 主要条項: ISMSの要件(リスク評価、リーダーシップのコミットメント、計画、運用、評価、改善)
- 付属書Aのコントロール: 物理的セキュリティ、アクセス管理、暗号化、サプライヤー関係、インシデント管理などをカバーする93のコントロールカテゴリ
ISO 27001がカバーしないこと
- データプライバシー。 ISO 27001はセキュリティ標準であり、プライバシー標準ではありません。データ主体の権利、データ保持の制限、または個人データの処理に対する同意要件に特に対処していません。プライバシーにはGDPRまたは同等のものが必要です。
- 特定の技術的成果。 ISO 27001認証は管理システムが存在することを意味します。特定の技術的コントロールが存在することを認証するものではありません。ベンダーはそれらのコントロールがISMS内で文書化・管理されていれば、比較的弱い技術的コントロールでISO 27001認証を得ることができます。
- 製品のアーキテクチャ。 ISMSスコープは限定的で、製品インフラではなく企業ITシステムをカバーする場合があります。スコープが使用する特定のシステムをカバーしているか確認してください。
ISO 27001に基づいて尋ねる質問
- ISO 27001認証のスコープは何ですか?本番製品環境を含んでいますか?
- どの認証機関が証明書を発行し、いつ発行しましたか?
- 次のサーベイランス棚卸しはいつですか?
- ISMSは私たちの使用ケースに関連する付属書Aのコントロール(特にアクセス管理、暗号化、サプライヤー関係)をカバーしていますか?
- サードパーティサブプロセッサーのサプライヤー情報セキュリティリスクをどのように管理していますか?
ISO 27001とSOC 2の関係: 多くのベンダーは両方を取得します。ISO 27001は国際的な認知度が高く、SOC 2は米国市場への浸透率が高いです。ISO 27001はあるがSOC 2がないベンダーは、地域や業界によっては適切な場合があります。SOC 2はあるがISO 27001がないベンダーは標準的な米国中堅プロファイルです。AI機能を持つツールについては、どちらの標準もモデルトレーニングに関する追加のデータ処理の質問を完全にカバーしていません。そのためAI機能を持つSaaS評価でこのレビューに別の層が加わります。
GDPR:カバーすることとしないこと
GDPRの実態
General Data Protection Regulationは、EU居住者の個人データの収集、処理、保管を管理するEUの法律です。完全なGDPR規制テキストはEUR-Lexで公開されており、組織の所在地に関わらず、EU居住者の個人データを処理するすべての組織に適用されます。
SaaSバイヤーにとって、GDPRの関連性は二つの形で現れます。
あなたはデータ管理者です。 どの個人データが収集されるか、なぜ収集されるかを決定します。SaaSツールがEU居住者の個人データをあなたに代わって収集または処理する場合、ベンダーとのデータ処理契約(DPA)が必要です。
ベンダーはデータ処理者です。 あなたの指示に基づいて個人データを処理します。DPAはデータの処理条件を管理します。
DPA:実際に重要な文書
署名されたDPAなしの「GDPR準拠」は法的に無意味です。DPAは以下を確立する契約です。
- ベンダーがあなたに代わって処理する個人データ
- 処理の目的と手段
- データセキュリティ、侵害通知、サブプロセッサー管理に関するベンダーの義務
- 国境を越えたデータ移転のメカニズム(標準契約条項または同等のもの)
- データ主体の権利とベンダーによるサポート方法
- 契約終了時のデータの削除と返還
DPAチェックリスト(15項目):
- DPAは署名された独立した文書(プライバシーポリシーだけでない)
- スコープは処理される個人データを正確に定義している
- 処理目的は実際の使用ケースと一致している
- サブプロセッサーリストは最新で、変更の通知が提供されている
- セキュリティ対策が具体的に記述されている
- 侵害通知タイムラインは72時間以内
- データ主体の権利プロセスが文書化されている(削除、アクセス、ポータビリティ)
- 国境を越えた移転メカニズムが指定されている(SCC、適切性決定、またはその他)
- 契約終了後のデータ削除タイムラインが定義されている(30日以内が標準)
- データ返還オプションが利用可能
- ベンダーがあなたの指示を超えた目的でのデータ使用がないことを確認
- AIトレーニングへのデータ使用に関するベンダーの権利が明示的に対処されている
- 棚卸し権が指定されている
- GDPR違反に対する賠償責任が定義されている
- DPAはEU法または同等の基準によって管轄される
GDPRがカバーしないこと
- EU域外のデータ主体。 GDPRはUS、オーストラリア、その他の非EU個人のデータをカバーしません。他の規制が適用される場合があります(カリフォルニアのCCPA、ブラジルのLGPDなど)が、GDPRは特にEU居住者をカバーします。欧州データ保護委員会のガイダンスは、特定のデータフローにGDPRが適用されるかどうか不確かな組織のための領域的スコープの権威ある解釈を提供しています。
- 匿名化データ。 完全に匿名化されたデータ(再識別が不可能な場合)はGDPRの範囲外です。仮名化データ(キーによる再識別が可能な場合)は依然として範囲内です。
- B2B連絡先データ。 多くの管轄区域では、企業の(個人消費者ではなく)ビジネス連絡先情報はGDPRの個人データ定義の外にあります。これは争いがあり、管轄区域によって異なります。
GDPRに基づいて尋ねる質問
- 主契約に署名する前に標準DPAのコピーを受け取れますか?
- サブプロセッサーの現在のリストはありますか?サブプロセッサーが変更される際にどのように通知されますか?
- 国境を越えたデータ移転に使用するメカニズムは何ですか(SCC、適切性決定)?
- データ主体の権利リクエスト(削除、アクセス、ポータビリティ)への対応プロセスは何ですか?
- 侵害通知のコミットメントは何で、GDPRの72時間基準と比べてどうですか?
- AI機能がスコープに入っている場合、顧客データはトレーニングに使用されますか?オプトアウトはありますか?それはDPAに記載されていますか?
- [特定の製品モジュール]のみを使用する場合、どの個人データが処理されますか?
危険信号:
- ベンダーがプライバシーポリシーをDPAとして提示する
- DPAにオプトアウトなしで顧客データをモデルトレーニングに使用する権利が含まれている
- サブプロセッサーリストが維持されていないか6ヶ月以上古い
- 侵害通知コミットメントが72時間を超える
- 国境を越えた移転のメカニズムが指定されていない
フレームワーク比較表
| 質問 | SOC 2の回答 | ISO 27001の回答 | GDPRの回答 |
|---|---|---|---|
| ベンダーにセキュリティコントロールはありますか? | はい(Type II、セキュリティ基準の場合) | はい(付属書Aのコントロールフレームワーク) | いいえ(セキュリティは要件だが棚卸しはされていない) |
| データは適切な機密性で扱われますか? | 部分的(機密性基準がスコープに入っている場合) | 部分的(付属書Aのコントロール) | はい(DPAがこれを管理する) |
| プライバシーの権利は保護されますか? | 部分的(プライバシー基準がスコープに入っている場合) | いいえ | はい(データ主体の権利) |
| EU個人データに適用されますか? | いいえ(任意、地理的に中立) | いいえ(任意、地理的に中立) | はい(EUデータには必須) |
| スコープは検証可能ですか? | はい(レポートに記載) | はい(証明書スコープに記載) | はい(DPAに記載) |
| 侵害通知に対処していますか? | 部分的(インシデント対応コントロール) | 部分的(インシデント管理) | はい(72時間通知) |
ベンダーとの会話でこれを活用する方法
言ってはいけないこと: 「SOC 2とGDPRに準拠していますか?」
代わりに尋ねること:
- 「現在のSOC 2 Type IIレポートのスコープセクションとTrust Service Criteriaを確認できますか?」
- 「ISO 27001スコープは本番製品環境をカバーしていますか?」
- 「主契約に署名する前にDPAを受け取れますか?サブプロセッサーに記載されているものとAIプロバイダーはありますか?」
これらの質問はコンプライアンスのパフォーマンスが隠す情報を表面化します。真のコンプライアンスを持つベンダーは直接答えます。パフォーマンスのベンダーはマーケティング言語で答えます。この情報を収集したら、ベンダーデューデリジェンスチェックリストは契約に署名する前にコンプライアンスの発見を完全なリスク評価に統合する方法を示しています。そして交渉の時が来たら、SaaS契約の危険信号は署名後にデータ権利を保護するDPAと賠償責任条項を扱っています。
Reworkのコンプライアンスへのアプローチ:自社の姿勢とトラッキング
Reworkはコンプライアンスをマーケティングの主張ではなく、開示された成果物として扱います。セキュリティ姿勢のスコープをrework.com/pricingで公開し、現在の証明書、DPA、サブプロセッサーリストを署名後ではなく署名前にNDA下で見込み客に提供します。顧客データはAI機能のトレーニングには使用されず、そのコミットメントはプライバシーポリシーに埋め込まれるのではなくDPAに書かれています。EU居住者の個人データを処理するバイヤーに対しては、移転メカニズムとして標準契約条項に署名し、サブプロセッサーの変更通知にコミットします。
別に、Rework Work Ops($6/ユーザー/月〜)は、中堅企業の多くのお客様が自社のベンダーコンプライアンスインベントリを「追跡」するために使用するツールです。スタック内のすべてのSaaSのSOC 2レポート日、ISO 27001の更新ウィンドウ、DPAバージョン、サブプロセッサーリスト、次のサーベイランス棚卸しの軽量なレジスタです。これをバラバラなスプレッドシートで管理する代わりに、調達担当者とITリードはWork Opsのボードと自動化された確認日を使用して、SOC 2レポートの期限切れやサブプロセッサーの変更が次の更新時の驚きではなくタスクとして表面化されるようにします。
FAQ
バイヤー向けSOC 2、ISO 27001、GDPRについてよくある質問
SOC 2 Type 1とType 2の違いは何ですか?
Type 1は特定の日付時点でベンダーのコントロールが適切に「設計」されていたことの時点証明です。本質的にスナップショットです。Type 2は時間をかけてコントロールが「設計・効果的に運用」されていたことの観察期間証明(通常6〜12ヶ月)です。Type 2はエンタープライズ調達のデフォルトです。Type 1は最初の棚卸しから1年以内のベンダーのブリッジレポートとしてのみ許容されます。
SOC 2があればISO 27001は必要ですか?
ほとんどの米国中堅バイヤーの場合、不要です。SOC 2 Type 2は米国調達で同じ実際の基盤をカバーします。ISO 27001は欧州やアジア太平洋のエンタープライズに販売する場合、規制された国際業界で運用する場合、または時点コントロールではなく形式化された管理システム(ISMS)を実証する必要がある場合に意味を持ちます。多くのベンダーは市場カバレッジのために両方を取得しますが、US専用バイヤーの内部姿勢には通常強力なSOC 2 Type 2で十分です。
米国のみのバイヤーにGDPR準拠は必要ですか?
GDPRは組織の所在地に関わらず、EU居住者の個人データを処理する場所に適用されます。EU顧客、EU居住ユーザー、追跡されるEUウェブサイト訪問者がいない米国のみのビジネスは限定的な露出を持ちます。しかしEU顧客、製品のEUベースのユーザー、またはSaaSツールにデータがあるEU従業員がいる場合、GDPRが適用され、そのデータに触れるすべてのベンダーとのDPAが必要です。米国サーバーからEU居住者にマーケティングするなどの領域的スコープの境界事例については弁護士に確認してください。
ベンダーのSOC 2が本物かどうかをどのように確認しますか?
1ページの証明書レターではなく、NDA下で完全なレポートを要求します。4つのことを検証します:(1) 棚卸し人が認可されたCPA事務所であること(AICPAのPCPSリストで確認)、(2) レポートがType 2で棚卸し期間が過去12ヶ月以内に終了していること、(3) スコープセクションが購入する製品とインフラを明示的に記載していること、(4) 「例外」または「テスト結果」セクションを読むこと。複数のコントロール例外があり修正の記述がないレポートは、見出しが「重大な欠陥なし」と言っていても危険信号です。
データ所在について何を尋ねるべきですか?
3つの具体的な質問をします:(1) 顧客データはどの地理的地域に保管されており、特定のリージョン(EU限定、US限定など)に契約上制限できますか?(2) バックアップはどこに保管され、バックアップは地域の境界を越えますか?(3) 国境を越えたフローを管理する移転メカニズム(標準契約条項、適切性決定、Data Privacy Framework)は何で、DPAに記載されていますか?これらに書面で答えられないベンダーは規制対象データに触れるべきではありません。
SaaSベンダーがサブプロセッサーを使用している場合はどうすればいいですか?
各サブプロセッサーはあなたのデータにアクセスできるサプライチェーン内の別のベンダーです。DPAに3つのことを要求します:(1) 各サブプロセッサーが提供するサービスとともに、最新の維持された公開サブプロセッサーリスト、(2) サブプロセッサーが追加または変更されたときの事前通知(理想的には30日以上)、異議を申し立てる機会を与える、(3) フローダウン義務、つまりベンダーがあなたから受け入れた同じデータ保護条件をサブプロセッサーに課さなければならない。製品がAI機能を追加した後にのみ現れることが多いAI/MLサブプロセッサーには特別な注意を払ってください。
SOC 2レポートはどのくらいの期間有効ですか?
正式な有効期限はありませんが、エンタープライズバイヤーは一般に12ヶ月以上古いレポートを期限切れとして扱います。ベンダーの棚卸し期間は過去1年以内に終了し、新しい棚卸しが進行中またはスケジュールされているべきです。最後の棚卸し期間の終了と次のレポートの発行の間で評価している場合は「ブリッジレター」(ギャップレターとも呼ばれる)を要求してください。これはコントロールに重大な変更がなかったことを確認するベンダーの管理レターです。
データ処理契約(DPA)とは何で、なぜ「GDPR準拠」よりも重要なのですか?
DPAはベンダーを「プライバシーポリシーを持つ会社」から「あなたの指示に基づいて行動する法的に拘束されたデータ処理者」に変える署名された契約です。DPAは彼らが処理するデータ、目的、セキュリティ、サブプロセッサー、移転メカニズム、侵害通知タイミング、終了時の対応を定義します。署名されたDPAなしでは、「GDPR準拠」はマーケティング言語であり法的効力はありません。規制当局の棚卸しでは、「あなた」(管理者)が賠償責任を負い、ベンダーではありません。
関連ガイド
- 中堅バイヤーが実際に確認すべきセキュリティとコンプライアンスレビュー:このフレームワークのコンテキストが可能にする5層レビュープロセス
- 中堅バイヤー向け事前購入ベンダーデューデリジェンスチェックリスト:コンプライアンスレビューが広いデューデリジェンスフレームワークにどう位置づけられるか
- SaaS契約の危険信号:自動更新、使用量上限、解約条項:署名後のデータ権利に影響する契約条項
- AI機能を持つSaaS評価:本物とマーケティングの違い:AI機能がGDPRとデータ処理の質問を拡張する方法
- 部門のAIガバナンスポリシー:ベンダー側のコンプライアンス要件を補完する内部ポリシー
- AI準備評価テンプレート:AIのSaaSを展開する前に組織自身のデータ処理準備を評価する方法
Head of Enterprise Solutions
On this page
- フレームワーク概要:実際に比較しているもの
- コンプライアンスカバレッジマップ
- SOC 2:カバーすることとしないこと
- SOC 2の実態
- 5つのTrust Service Criteria
- SOC 2がカバーしないこと
- SOC 2に基づいて尋ねる質問
- ISO 27001:カバーすることとしないこと
- ISO 27001の実態
- ISO 27001がカバーしないこと
- ISO 27001に基づいて尋ねる質問
- GDPR:カバーすることとしないこと
- GDPRの実態
- DPA:実際に重要な文書
- GDPRがカバーしないこと
- GDPRに基づいて尋ねる質問
- フレームワーク比較表
- ベンダーとの会話でこれを活用する方法
- Reworkのコンプライアンスへのアプローチ:自社の姿勢とトラッキング
- FAQ
- 関連ガイド