DiditのSOC 2 Type 1認証:その対象と意味 (JA)
Diditは2026年4月9日時点で、ATOMからセキュリティ、可用性、機密性の信頼基準をカバーするSOC 2 Type 1の証明を取得しています。SOC 2 Type 1が何を証明するのか、その対象範囲、そしてベンダーのデューデリジェンスでどのように活用すべきかを説明します。.
米国企業がベンダーのセキュリティ質問票を送付する際、レビューにかかる時間を左右する一文があります。それは「SOC 2レポートをお持ちですか?」というものです。Diditはこれに対応しています。Diditは、AICPAのSOC for Service Organizationsフレームワークに基づき、独立したサービス監査人であるATOMによって発行されたSOC 2 Type 1の証明を、2026年4月9日時点で、セキュリティ、可用性、機密性の信頼基準をカバーする形で取得しています。
このガイドでは、SOC 2 Type 1が何を証明するのか、Diditの対象範囲、Type 1とType 2の違い、そしてデューデリジェンスでレポートをどのように活用するかを説明します。
主要なポイント
- DiditはSOC for Service Organizationsフレームワークに基づき、独立したサービス監査人であるATOMからSOC 2 Type 1の証明を取得しています。
- 3つの信頼サービス基準が対象範囲です:セキュリティ、可用性、機密性。
- Type 1は、ある時点でのコントロールの設計を証明します — ここでは、2026年4月9日時点です。一定期間にわたる運用効果をテストするType 2監査が計画されています。
- 監査対象はDidit Identity, Inc.であり、対象システムはDiditソフトウェアアプリケーションです。
- 完全なレポートはAICPAの規則により利用が制限されています — Diditは、正当な必要があり、NDAを締結している見込み客や顧客と共有します。ここでは言及するのみで、公開はしません。
SOC 2とは
SOC 2(System and Organization Controls 2)は、顧客データを扱うサービス組織向けに米国公認会計士協会(AICPA)が開発した証明フレームワークです。独立した監査人が、プロバイダーのコントロールを1つ以上の信頼サービス基準に対して検証し、検証内容と監査人の結論を記述したレポートを発行します。
信頼サービス基準には5つあり、プロバイダーは自社のサービスに適用されるものを選択します。
- セキュリティ — システムを不正アクセスから保護すること(すべてのSOC 2レポートに含まれる唯一の基準)。
- 可用性 — コミットされた通りにシステムが稼働し、利用可能であること。
- 機密性 — 機密情報として指定された情報が保護されていること。
- 処理の完全性 — 処理が完全、有効、正確、かつタイムリーであること。
- プライバシー — 個人情報がプロバイダーのプライバシー通知に従って取り扱われていること。
Diditのレポートは、顧客オンボーディングのクリティカルパス上にあるIDプロバイダーに最も関連性の高い、セキュリティ、可用性、機密性をカバーしています。
Type 1とType 2 — 重要な違い
SOC 2レポートを読む上で最も重要なことは、それがType 1なのかType 2なのかを正しく理解することです。なぜなら、これらは異なる事柄を証明するからです。
| Type 1 | Type 2 | |
|---|---|---|
| 証明内容 | コントロールの設計 | コントロールの運用有効性 |
| 期間 | ある時点(特定の日付時点) | 一定期間(通常3~12ヶ月) |
| 回答される質問 | 適切なコントロールが導入され、適切に設計されていますか? | これらのコントロールは、実際に一定期間にわたって効果的に運用されましたか? |
Diditの現在の証明は、2026年4月9日時点のType 1です。これは、セキュリティ、可用性、機密性に関するコントロールが導入され、適切に設計されていることを確認するものです。Type 1レポートのロゴ使用期間(12ヶ月)が終了する前に、これらのコントロールが一定期間にわたって効果的に運用されたことをテストするType 2監査が、ロードマップ上の次の監査として計画されています。Diditは現時点ではType 2を主張していません。
なぜそれが重要なのか
購入者にとって、SOC 2レポートは「このプロバイダーのコントロールは独立した監査人によって評価されているため、ゼロから始める必要はない」という略語です。これにより、個別のセキュリティ監査を、チームがすでに読み方を理解している標準的な成果物に圧縮できます。米国企業、フィンテック企業、または成熟したベンダーリスクプロセスを持つ組織にとって、SOC 2レポートの有無は、プロバイダーが調達プロセスを通過できるかどうかを決定する要因となることがよくあります。
Type 1は特に、ある時点でのコントロール環境が正しく設計されていることを購入者に伝えます。これは強力な出発点であり、Type 2が追加する運用有効性の保証への自然な前段階となります。
Diditがどのように役立つか
認知された証明書で、質問票に対応。 DiditのSOC 2 Type 1レポート — 監査対象はDidit Identity, Inc.、対象システムはDiditソフトウェアアプリケーション、監査人はATOM(情報セキュリティおよびプライバシー) — は、米国のセキュリティ質問票のSOC 2に関する項目に直接回答します。セキュリティ、可用性、機密性がすべて対象範囲に含まれるため、オンボーディングの依存関係においてほとんどのレビュー担当者が重視する基準をカバーしています。
正直な範囲で、誇張なし。 Diditの証明はType 1です。私たちはType 1であると明言しています。Type 2監査は、更新カレンダーに計画され、日付が設定されています(Type 1レポートのロゴ使用期間が終了する2027年4月9日までに発行される必要があります)。購入者は、主張された内容とレポートの内容との間にギャップを発見することはありません。
適切な方法で共有。 完全なSOC 2 Type 1レポートは、AICPAの規則により利用が制限されています。Diditは、正当な必要があり、NDAを締結している見込み客や顧客と共有します。これはSOC 2レポートの標準的で期待される取り扱いです。セキュリティおよびコンプライアンスハブが、リクエストの出発点となります。
単独ではなく、スタックの一部。 SOC 2 Type 1は、DiditのISO/IEC 27001:2022認証(認証番号 ES144068、2027年6月3日まで有効)、iBeta Level 1 PAD生体認証アンチスプーフィング(360回の試行で攻撃成功率0%)、およびスペイン政府サンドボックスの結論である「Diditのリモート検証は対面基準を超える」というものと並んで存在します。これらが一体となって、デューデリジェンスチームに複数の独立した保証ラインを提供します。
詳細:デューデリジェンスでDiditのSOC 2レポートを読み解く方法
NDAの下でチームがレポートをレビューする際に確認すべき要素は以下の通りです。
- レポートの種類 — Type 1(コントロールの設計)。計画されているType 2に注意してください。
- 時点 — 2026年4月9日。
- 信頼サービス基準 — セキュリティ、可用性、機密性。
- 監査対象エンティティ — Didit Identity, Inc.
- 対象システム — Diditソフトウェアアプリケーション。
- 監査人 — AICPA SOC for Service Organizationsフレームワークに基づいた独立したサービス監査人であるATOM。
SOC 2レポートと配布可能なISO 27001認証を組み合わせることで、完全な情報セキュリティ状況を把握できます。ISO 27001は認証された管理システムを証明し、SOC 2は独立して検証されたコントロールが信頼基準に適合していることを証明します。
ユースケース
- SOC 2レポートがベンダーレビューをクリアするための必須条件となる米国企業の調達。
- オンボーディングの依存関係のセキュリティと可用性を評価するフィンテックおよび決済購入者。
- プロバイダーのコントロールを自社のフレームワークにマッピングするセキュリティおよびGRCチーム。
- 独立した認知された保証が必要なベンダーファイルをまとめるコンプライアンス担当者。
よくある質問
DiditはSOC 2 Type 1ですか、それともType 2ですか?
Type 1です。レポートは、2026年4月9日現在のセキュリティ、可用性、機密性に関するコントロールの設計を証明しています。一定期間にわたる運用有効性をテストするType 2監査が計画されています。
レポートはどの信頼サービス基準をカバーしていますか?
セキュリティ、可用性、機密性 — オンボーディング経路にあるIDプロバイダーに最も関連性の高い3つの基準です。
Diditを監査したのは誰ですか?
AICPA SOC for Service Organizationsフレームワークに基づいた独立したサービス監査人であるATOMです。
レポートのコピーを入手できますか?
完全なSOC 2 Type 1レポートは、AICPAの規則により利用が制限されています。Diditは、正当な必要があり、NDAを締結している見込み客や顧客と共有します。リクエストはセキュリティおよびコンプライアンスハブから始めてください。
SOC 2 Type 2レポートはいつ入手可能になりますか?
Type 2監査は計画されており、Type 1レポートのロゴ使用期間(12ヶ月)が終了する前(2027年4月9日まで)に発行される予定です。
始めませんか?
Diditの完全な証明スタックはセキュリティおよびコンプライアンスハブで、レポートがカバーする検証サービスはID検証製品ページで、透明性の高いチェックごとの価格は価格ページでご確認ください。準備ができましたら、無料で開始してください — SOC 2 Type 1認証プラットフォームで、毎月500回の無料KYCチェックをご利用いただけます。