提出前チェックリスト
提出前チェック:共有責任モデル(委託先管理)
最終更新: 2026-02-06
### このページの目的
自社の責任範囲を不必要に広げず、堂々と「対象外」と答えるための理論武装です。
### チェックリスト
#### A. 責任範囲の理解
- [ ] **物理セキュリティは対象外としているか?**
- 「入退室管理ログ」などを聞かれた際、「クラウド利用のため事業者(AWS)準拠」と答えていますか?
- [ ] **OSパッチの適用責任は把握しているか?**
- EC2などのIaaSなら自社責任、RDSやLambdaならAWS責任です。
#### B. ベンダー管理
- [ ] **利用しているクラウドサービスの認証状況を知っているか?**
- AWSが持っているISO27001やSOC2レポートの場所を知っていますか?
---
### 「No」の時の言い訳
- **Q. 委託先の監査をしていますか?**
- A. 「実地監査は行っていませんが、第三者監査報告書(SOC2)を入手・確認することで代替しています。」
この記事について
想定読者
BtoB SaaSの開発・運用担当者、情報システム部門
記事の目的
監査人や取引先への回答作成時間を短縮し、抜け漏れのない回答を作成する
根拠・参照情報
- •IPA 安全なウェブサイトの作り方
最終更新日
2026-02-06
免責事項: 本記事は監査対応における判断支援を目的としており、法的・監査上の最終判断を保証するものではありません。 最終的な意思決定は、必ず関連規格(PCI DSS, SOC2等)の公式文書や、貴社の法務・監査部門の判断を参照してください。