P マークとか ISO とか SOC とか FISC とかのお仕事をしていると、案外自分も周りも分かってない、というのが分かってきた。例えば「P マーク持ってる」は価値があっても「SOC1 もってる」はそれだけじゃ価値があるかどうかは分からない (けど、まぁ価値はたぶんあるんだろう) とか。「FISC 持ってる」はよく意味が分からない、とか。

この手のコンプライアンスとかの基準を理解するのに Certification / Report / Declaration という三つの単語は便利だと思うので紹介。

Certification (認証)

ISO とか PCI DSS とかは「～の認証 (Certification) を受ける」となる。

認証を受けるには団体 (企業) が一定の基準を満たしたうえで監査機関から評価を受けて「客観的に見て確かに基準を満たしているね」と評価してもらう必要がある。

認証のありがたみは「客観的に見て一定の基準を満たしている」と分かる点である。

ただし、一定基準を満たしていれば認証されるので、基準をスレスレで達した場合と基準を余裕で満たしている場合の区別がつかない。監査の時だけ表面を整える、なんてひどい会社の話もチラホラきく。また、監査機関に依頼する関係でもらうにはお金を払う必要がある。

個人で言うと「英検2級を持っている」に近い。

Report (報告)

SOC シリーズはこれにあたり、「SOC1 の報告書 (Report) を書いてもらった」などという。

なんらかの要求に対してどのように対応しているのか、対応が十分か否かなどを監査機関から客観的に評価してもらい、報告書を書いてもらう。

これのありがたみも認証と同じく客観的な点であるが、「客観的に見てどの程度のレベルに達しているか」分かるものである。

監査機関に書いてもらう関係で有料なためまずないとは思うが、あくまで報告書であるため、レベルが大変に低い場合「ひどい状況でした」というレポートが出てくる。監査機関はそうならないためにある程度助言などはしてくれるとはいえ。

個人で言うと「TOEIC のスコア持ってます」に近いか。

Declaration (宣言)

FISC 安全対策基準はこれになる。「FISC 安全対策基準に弊社は準拠している」などという。広義には CSA STAR の Level 1 (セルフアセスメント段階) もこれにあたるだろうか。

ガイドラインなどへの準拠度合いについて、自己監査を行い報告する。

自己監査であるため無料なのは強み。

ただし、第三者機関によるものではないため、効果のほどはその団体の信用度に左右される。ただ、そういった資料に従って取引相手は判断を下すため少なくとも嘘はつけない。

個人で言うと (嘘だとバレたらかなりまずい状況下で)「わたしは英語ができます」と言っているようなものである。

雑なまとめ