取引先の第三者認証を公開情報で確認する方法 — 証跡の残し方まで
更新: 2026-07-10
確認できる情報源は大きく2種類
1つ目は「公的な登録名簿」です。ISMS認証(ISMS-AC)・プライバシーマーク(JIPDEC)・ISMAP(ISMAPポータル)は、いずれも運営主体が公開の検索ページを提供しており、登録番号・登録範囲・日付まで確認できます。第三者が運営する名簿での確認は、確認手段として強い部類です。
2つ目は「企業自身の公開情報」です。企業サイトのセキュリティページや Trust Center、プレスリリースには、SOC 2 報告書の取得状況などが記載されることがあります。ただしこれらは各社の自己申告であり、第三者名簿での確認とは性質が異なります。SOC 2 のような監査レポートは公開名簿が存在せず、報告書自体も通常は NDA のもとで開示されるため、公開情報では「記載があること」までしか確認できません。
確認結果は「区別して」記録する
稟議や監査対応で確認結果を使うときに大切なのは、「どの情報源で・いつ・何が確認できたか」を区別して残すことです。公的名簿で確認できたのか、企業サイトの記載を見たのか、それとも公開情報からは確認できなかったのか — この区別が曖昧なまま「取得済み」とだけ記録すると、後から検証できない資料になります。
また「公開情報から確認できなかった」ことは「取得していない」ことの証明ではありません。名簿の表記揺れや、そもそも公開名簿のない認証(SOC 2 等)もあるためです。確認できなかった場合は、その旨と、ベンダーへ直接確認が必要である旨を記録するのが誠実な残し方です。
証跡としては、確認先のURL・確認日・確認できた登録番号や有効期限を残します。スクリーンショットよりも、後から誰でも同じ場所を再確認できる形(URLと日付)が検証可能性の点で有利です。
この確認作業を自動化する
uratori は、この「公的名簿と企業公式サイトの照会 → 証跡URL・取得日つきの記録」を自動で行うツールです。判定は5区分(公式確認/公開記載=自己申告/要ベンダー確認/公開情報では未確認/失効・取消)で、確認できなかったものを「未取得」と断定しない設計にしています。登録不要・無料で試せます。