SAP のコンプライアンスオファリングがお客様のビジネスニーズをどのようにサポートするか
SAP はコンプライアンスを優先させることにコミットしています。この取り組みは、お客様の事業全体にわたってデータの完全性、規制の遵守、倫理的な行為を保証するための正確な基準と慣行を通じて行われます。これらの重要な領域に関するインサイトを得る方法をご確認ください。
コンプライアンス文書をオンデマンドで取得
SAP for Me カスタマーポータルは、一元化されたアクセスポイントであり、SAP のお客様は必要に応じてここから適格コンプライアンス文書をダウンロードできます。この機能は、SAP for Me の [Portfolio & Products (ポートフォリオ & 製品) ] セクションで利用可能です。
SAP Central Cloud Services レポート
SAP は新しく「SAP Central Cloud Services」という名称の SOC 1、SOC 2、および C5 レポートをリリースします。これに伴い、従来の「SAP Business Technology Platform」、「SAP Cloud Infrastructure」、および「SAP Cell and Gene Therapy Orchestration and SAP Intelligent Clinical Supply Management」(SOC 1 のみ)の各レポートは廃止されます。
ISO/IEC 42001(AI マネジメントシステム)
SAP は、AI マネジメントシステムに関する初の国際規格である ISO/IEC 42001 の認証を取得しました。これは、構造化された独立監査を受けた AI マネジメントシステムの導入が反映されたものです。
DORA 更新情報
2025 年 1 月から適用開始となった EU 規制のデジタルオペレーショナルレジリエンス法 (DORA) に伴い、SAP は世界中のお客様、パートナー、ベンダーへの影響に対処しています。貴社のコンプライアンス業務に役立つ情報をご確認ください。
SAP コンプライアンスオファリング:認定、レポート、証明書の詳細
SAP では、業界標準、コンプライアンス、および規制要件に基づいてセキュリティ基盤を構築することにより、増え続けるセキュリティの課題に常に対処しています。SAP の最新のセキュリティコンプライアンスのオファリングとレポートをご覧ください。
ISO/IEC 42001 - AI マネジメントシステム
ポリシー、リスク管理、デプロイメント、監視、および継続的改善全般の責任ある AI ガバナンスに対する監査要件が定められています。透明性、人的監視、セキュリティ、プライバシーをサポートし、お客様による規制要件対応を支援します。
ISO/IEC 27001 セキュリティマネジメントシステム
セキュリティに対するリスクベースの総合的なアプローチと、情報セキュリティを計測可能な方法で管理する包括的な実践手法を提供します。
ISO/IEC 27018 個人情報保護のための実施規範
個人特定情報 (PII) を保護するクラウドサービスプロバイダー向けのガイダンスです。パブリッククラウドで個人データを保護するための情報セキュリティ管理を推奨することで、ISO/IEC 27001 をサポートします。
ISO/IEC 27017 クラウドサービス情報セキュリティのための実施規範
クラウドサービスに関する情報セキュリティ管理のための実施規範です。クラウド固有の情報セキュリティ管理に関するガイダンスを提供することで ISO/IEC 27001 をサポートします。
サステナビリティ関連の ISO 14001 と ISO 50001
このマルチサイト認証は、SAP の環境管理システムが国際規格 ISO 14001:2015 に適合していることを裏付けるものです。この認証の付録には、SAP の環境管理システムによってカバーされるすべての認定サイトが含まれます。一部のサイトでは ISO50001:2018 認証を取得しており、エネルギー管理標準に準拠していることが示されています。
SOC 1 報告書
SAP のお客様の財務諸表を監査する監査法人に、お客様の財務報告の内部統制に関わる可能性のある SAP のクラウドソリューション管理についての情報を提供します。この SOC 1 報告書は、監査業務に関する SSAE 18 規格および ISAE 3402 規格に準拠し、監査対象となる統制の設計(タイプ I /タイプ II)および有効性(タイプ II)の詳細な説明を含みます。
SOC 2 報告書
お客様、および将来にお客様になる可能性のある組織に、セキュリティ、可用性、処理の完全性、機密性、データのプライバシーに係る内部統制システムについての情報を提供します。SOC 2 報告書は、ISAE 3000 および AT 101 の監査規格に準拠し、AICPA の Trust サービス原則に基づいています。監査対象となる統制の設計(タイプ I/ タイプ II)および有効性(タイプ II)の詳細な説明が含まれます。
ブリッジレター
ブリッジレターの目的は、対応する報告書の終了日からブリッジレター発行日までの空白期間の情報を提供することです。直近の SOC 調査の結論に悪影響を及ぼしかねない、統制環境での重大な変更の有無に関する情報をお客様に提供します。
PCI データセキュリティスタンダード (PCI DSS: Payment Card Industry Data Security Standard)
この世界的なデータセキュリティ規格は PCI DSS と呼ばれ、カード所有者のデータを処理、保存、伝送するあらゆるエンティティ向けに、支払カードブランド各社によって採用されています。業界全体のセキュリティに関わるベストプラクティスを反映した一般的な手順で構成されています。
Good Practice Quality Guidelines and Regulations (GxP)
GxP は、生物製剤や医薬品が安全で、それぞれの用途に見合ったものであり、製造、管理、保存、流通において品質プロセスを遵守していることを保証するために作成された品質に関するガイドラインと規制をまとめたコレクションです。
Trusted Information Security Assessment Exchange (TISAX)
TISAX は、自動車業界での情報セキュリティ評価の相互承認を可能にし、共通の評価/交換プロトコルを提供します。
以下の SAP SE の拠点は、評価対象制御領域の不適合ゼロにより、TISAX AL3(高保護要件)レベルで評価されています:ヴァルドルフ(ドイツ)、バンガロール(インド)、ブカレスト(ルーマニア)、シカゴ(アメリカ合衆国)、コロラドスプリング(アメリカ合衆国)、ニュートンスクエア(アメリカ合衆国)、ザンクト・レオン=ロート(ドイツ)、サン・ペドロ・ガルサ・ガルシア(メキシコ)、パロアルト(アメリカ合衆国)。
スコープ ID:S0R94X
アセスメント ID:AMFL1Y-1、AMFL1Y-2
欧州
Cloud Computing Compliance Controls Catalogue (C5)
C5 は、その中立性、範囲、簡潔性、およびテストの容易さによって、規制を受ける業界における内部監査と情報セキュリティ管理のための安定した基盤の認証基準として有効であることを示しました。
デジタルオペレーションレジリエンス法 (DORA)
DORA は、2025 年 1 月 17 日から施行された EU のサイバーセキュリティ規制です。この規制は、銀行、保険会社、投資会社などの金融機関の情報通信技術 (ICT) サービスにおけるセキュリティとレジリエンスを強化し、重大な業務中断が発生した場合に金融機能の維持と復旧を支援することを目的としています。DORA は、20 種類の異なる金融事業者と ICT サードパーティ・サービスプロバイダーに対する、多様なサイバーセキュリティ法的要件の調和を実現します。NIS2 要件に沿って構築されている DORA は、金融事業者に対しては優先的に適用されます(特別法優先の原則)。
EU クラウド行動規範 (EU Cloud CoC)
欧州データ保護会議が支持し、ベルギーデータ保護当局が承認した EU クラウド行動規範により、クラウドサービスプロバイダーは GDPR 要件(GDPR 第 28 条およびその関連条項)を遵守していることを実証できます。
EU データ法
EU データ法(2025 年 9 月 12 日施行)は、データのアクセスしやすさと可用性を高め、データ主導型イノベーションを促進し、データの利用機会を拡大することで、EU のデータ経済を強化し、競争力のあるデータ市場を育成することを目的としています。欧州連合 (EU) の 27 加盟国に適用される本法では、クラウドを利用するデータ処理サービスの顧客による、定められた通知期間内でのプロバイダーの切り替えが保証されています。
ネットワーク & 情報指示 (NIS2)
NIS2 は、重要インフラ (CI) プロバイダーのサイバーセキュリティフレームワークを調和させ、改善することを目的とした最新の EU 指令です。SAP は、自身が登録済み CI プロバイダーであることに加え、世界各国の重要インフラ (CI) プロバイダーにサービスを提供し、各プロバイダーによるサイバーセキュリティ規制への遵守に貢献しています。SAP はドイツの登録済み CI プロバイダーであり (KRITIS)、ドイツの管轄下にあります。SAP は、ドイツでの NIS2 指令草案の法制化の行方を注視しており、状況の進展に応じてさらなる最新情報を提供します。
スペインの国定セキュリティフレームワーク (ENS)
国定セキュリティフレームワーク (ENS) は、組織によって処理される情報と提供されるサービスを適切に保護するために必要な基本原則と最低要件から構成されています。ENS は、電子的手段により処理されるデータとサービスのアクセス、機密性、完全性、トレーサビリティ、信頼性、可用性、および保全を確保するのに役立ちます。
英国 Cyber Essentials 認証
Cyber Essentials は、組織が一般的なサイバー脅威から自身を保護することを支援する、英国政府によって制定されたサイバーセキュリティ認証制度です。Cyber Essentials には以下の認証レベルがあります。
(レベル 1)Cyber Essentials:質問事項に各組織が記入したものを、独立した認証機関が審査・評価する自己評価プロセス。
(レベル 2)Cyber Essentials Plus:独立した認証機関による、対象となる IT システムに対する技術的監査。
アジア太平洋地域および日本 (APJ)
Cloud Security Assessment (IRAP-CSA)
オーストラリア政府の Cloud Security Assessment and Authorisation Framework(クラウドセキュリティ評価および承認フレームワーク)では、組織のサイバーセキュリティチーム、クラウドアーキテクト、ビジネス担当者が共同でリスク評価を実施し、SAP クラウドサービスを安全に使用するための手段が定義されています。
Cybersecurity Classified Protection Scheme (CCPS)
CCPS は、サイバーセキュリティ強化のために、中華人民共和国サイバーセキュリティ法 (CCSL) 第 21 条で義務付けられている中国の地域規制セキュリティ認証です。これは、中国本土でホストされるすべてのシステムやネットワークに対する CCPS 基準セキュリティ要件に基づくセキュリティ設計、評価、監査、認証、更新、および継続的監視を標準化する全国規模のセキュリティプログラムです。中国本土内のシステムやネットワークを所有、運用、実行する組織は、CCPS に準拠することが法的に義務付けられています。
政府情報システムのためのセキュリティ評価制度 (ISMAP)
ISMAP は、日本政府が求めるセキュリティ要件を満たすクラウドサービスを政府が評価および登録するための、情報システムセキュリティ管理・評価プログラムです。このプログラムは、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組み」に基づいています。
韓国金融安全保障研究所
特定の SAP ソリューションは、2024 韓国クラウドサービスプロバイダー (CSP) 安全評価プログラム(別称:電子金融取引 (RSEFT) 監督規制委任評価)を完了しました。韓国の金融分野は、さまざまなサイバーセキュリティ基準や規制を遵守することが求められています。韓国金融安全保障研究所 (Korea Financial Security Institute) が実施した委任評価をクリアしたため、韓国国内の金融機関は、金融会社を対象としたセキュリティ対策準拠という条件下で、これらの SAP ソリューションをデータ処理および保管用に活用できるようになりました。
北米
カナダのサイバーセキュリティクラウドコンプライアンス・センター
カナダ政府のクラウドサービスプロバイダーセキュリティ・アセスメントプロセスは、クラウドサービスプロバイダーが標準化アセスメントを受ける際に、セキュリティ評価・承認担当のリスクオーナーに情報を知らせる手段を提供します。SAP クラウドサービスは、Protected B/Medium/Medium 制御プロファイル (Cloud Medium) に基づいて評価されました。
FedRAMP (Federal Risk and Authorization Management Program)
行政機関にとって、どの IT プロジェクトにおいてもセキュリティが最優先事項です。FedRAMP (Federal Risk and Authorization Management Program) は、クラウド製品やクラウドサービスを対象とするセキュリティ評価、認証、継続的監視に関わる標準化されたアプローチになります。
SAP ソフトウェアのアクセシビリティ
SAP はご要望に応じて、VPAT(R) に基づき、当社製品が米国リハビリテーション法第 508 条、WCAG 2.2、および EN 301 549 規格に準拠しているかに関する情報を提供いたします。SAP のアクセシビリティ開発ポリシーに関する詳細情報もご覧いただけます。
クラウドセキュリティアライアンス (CSA)
CSA (Cloud Security Alliance) は、クラウドコンピューティングのセキュリティに関するベストプラクティスの策定と推進を行う非営利団体で、SAP デプロイメントにフォーカスしたガイダンスを提供します。
倫理とコンプライアンス
SAP は、最高水準の倫理ビジネスプラクティスを推進しています。SAP は、関係のあるすべてのグローバル市場において、誠実に、法の精神と文言の両方に従いながら事業を展開しています。
コンプライアンスに関するリソース
SAP の倫理とコンプライアンス
SAP は、自らのグローバル倫理とビジネス行動規範に従って正しい方法で事業を展開することで、社会と経済の発展にプラスの影響を及ぼし、世界各地の教育、正義、民主主義、繁栄、発展、健康を推進しています。