取引先の第三者認証を公開情報で確認する方法 — 証跡の残し方まで

更新: 2026-07-10

確認できる情報源は大きく2種類

1つ目は「公的な登録名簿」です。ISMS認証(ISMS-AC)・プライバシーマーク(JIPDEC)・ISMAP(ISMAPポータル)は、いずれも運営主体が公開の検索ページを提供しており、登録番号・登録範囲・日付まで確認できます。第三者が運営する名簿での確認は、確認手段として強い部類です。

2つ目は「企業自身の公開情報」です。企業サイトのセキュリティページや Trust Center、プレスリリースには、SOC 2 報告書の取得状況などが記載されることがあります。ただしこれらは各社の自己申告であり、第三者名簿での確認とは性質が異なります。SOC 2 のような監査レポートは公開名簿が存在せず、報告書自体も通常は NDA のもとで開示されるため、公開情報では「記載があること」までしか確認できません。

確認結果は「区別して」記録する

稟議や監査対応で確認結果を使うときに大切なのは、「どの情報源で・いつ・何が確認できたか」を区別して残すことです。公的名簿で確認できたのか、企業サイトの記載を見たのか、それとも公開情報からは確認できなかったのか — この区別が曖昧なまま「取得済み」とだけ記録すると、後から検証できない資料になります。

また「公開情報から確認できなかった」ことは「取得していない」ことの証明ではありません。名簿の表記揺れや、そもそも公開名簿のない認証(SOC 2 等)もあるためです。確認できなかった場合は、その旨と、ベンダーへ直接確認が必要である旨を記録するのが誠実な残し方です。

証跡としては、確認先のURL・確認日・確認できた登録番号や有効期限を残します。スクリーンショットよりも、後から誰でも同じ場所を再確認できる形(URLと日付)が検証可能性の点で有利です。

この確認作業を自動化する

uratori は、この「公的名簿と企業公式サイトの照会 → 証跡URL・取得日つきの記録」を自動で行うツールです。判定は5区分(公式確認/公開記載=自己申告/要ベンダー確認/公開情報では未確認/失効・取消)で、確認できなかったものを「未取得」と断定しない設計にしています。登録不要・無料で試せます。

出典・一次情報

取引先の認証を、証跡つきで調べる

uratori は、公的名簿と企業公式サイトの照会を自動化し、判定5区分+証跡URL+取得日で記録します。登録不要・無料で試せます。

無料でスポット調査を試す

本記事は各制度の公式公開情報に基づく一般的な解説であり、個別の取引判断・法的助言を行うものではありません。制度の最新の詳細は出典(公式サイト)をご確認ください。