デジタルオペレーショナルレジリエンス法 (DORA)
SAP は、ESA(欧州監督当局)から、重要な ICT サードパーティーサービスプロバイダー (CTPP) として正式な指定を受けています。SAP は、顧客、パートナー、ベンダーへの影響にグローバルに対処しています。
2025 ~ 2026 年度 SOC & C5 パフォーマンスカレンダー
SAP では、タイムリーで透明性の高いレポートに取り組んでいます。SOC 1 報告書は、各パフォーマンス期間後 90 日以内の公開を目指しています。SOC 2 報告書は 12 カ月の監査サイクルに従い、次回のリリースは 2026 年上半期に予定されています。ご質問がある場合は、アカウントエグゼクティブまたはカスタマーサクセスパートナーが対応いたします。
ISO/IEC 42001(AI マネジメントシステム)
SAP は、AI マネジメントシステムに関する初の国際規格である ISO/IEC 42001 の認証を取得しました。これは、構造化された独立監査を受けた AI マネジメントシステムの導入が反映されたものです。
SAP のコンプライアンスオファリングがお客様のビジネスニーズをどのようにサポートするか
SAP はコンプライアンスを優先させることに取り組んでいます。この取り組みは、お客様の事業全体にわたってデータの完全性、規制の遵守、倫理的な行為を保証するための正確な基準と慣行を通じて行われます。
コンプライアンス文書をオンデマンドで取得
SAP for Me カスタマーポータルは、一元化されたアクセスポイントであり、SAP のお客様は必要に応じてここから適格コンプライアンス文書をダウンロードできます。この機能は、SAP for Me の [Portfolio & Products (ポートフォリオ & 製品) ] セクションで利用可能です。
SAP Central Cloud Services レポート
SAP は新しく「SAP Central Cloud Services」という名称の SOC 1、SOC 2、および C5 報告書をリリースします。これに伴い、従来の SAP Business Technology Platform、SAP Cloud Infrastructure、および SAP Cell and Gene Therapy Orchestration と SAP Intelligent Clinical Supply Management の各 SOC 1 報告書は廃止されます。
カナダの Controlled Goods Program(CGP:規制対象品プログラム)
SAP Canada Inc. はカナダの規制対象品プログラム (CGP) に登録しており、国家安全保障の強化とカナダの法規制遵守に全力で取り組んでいます。機密性の高い物品や技術データの取り扱いに関する厳格な要件を満たすことで、SAP はお客様が安全かつ信頼できる環境で規制対象品のプロジェクトを安心して管理できるよう支援します。
SAP グローバルコンプライアンスオファリング
SAP は、進化する課題に対応するために、グローバル標準とコンプライアンスに基づいてセキュリティ基盤を構築しています。信頼の証として、SAP の最新の認定資格、報告書、認証をご覧ください。
ISO/IEC 42001 AI マネジメントシステム
ISO 42001 は、ポリシー、リスク管理、デプロイメント、監視、および継続的改善全般の責任ある AI ガバナンスに対する監査要件を定めています。透明性、人的監視、セキュリティ、プライバシー、およびお客様による規制要件対応をサポートします。
ISO 27001 セキュリティマネジメントシステム
ISO/IEC 27001 は、セキュリティに対するリスクベースの総合的なアプローチと、情報セキュリティを計測可能な方法で管理する包括的な実践手法を定めています。
ISO 27018 個人情報保護のための実施規範
ISO/IEC 27018 では、個人を特定できる情報を保護するクラウドサービスプロバイダー向けのガイダンスを定めています。この標準は、パブリッククラウドの個人データを保護するための情報セキュリティ管理を推奨することで、ISO 27001 もサポートします。
ISO 27017 クラウドサービス情報セキュリティのための実施規範
ISO/IEC 27017 は、クラウドサービスに関する情報セキュリティ管理について定めています。この標準は、クラウド固有の情報セキュリティ管理に関するガイダンスを提供することで ISO 27001 もサポートします。
サステナビリティ関連の ISO 14001 と ISO 50001
このマルチサイト認証は、SAP の環境管理システムが国際規格 ISO 14001:2015 に適合していることを裏付けるものです。この認証の付録には、SAP の環境管理システムによってカバーされるすべての認定サイトが含まれます。一部のサイトでは ISO50001:2018 認証を取得しており、エネルギー管理標準に準拠していることが示されています。
SOC 1 報告書
SAP のお客様の財務諸表を監査する監査法人に、お客様の財務報告の内部統制に関わる可能性のある SAP のクラウドソリューション管理についての情報を提供します。この SOC 1 報告書は、監査業務に関する SSAE 18 規格および ISAE 3402 規格に準拠し、監査対象となる統制の設計(タイプ I /タイプ II)および有効性(タイプ II)の詳細な説明を含みます。
SOC 2 報告書
セキュリティ、可用性、処理の完全性、機密性、データのプライバシーの統制システムに関連する情報をお客様に提供します。SOC 2 報告書は、ISAE 3000 および AT 101 の監査規格に準拠し、AICPA の Trust サービス原則に基づいています。監査対象となる統制の設計(タイプ I/ タイプ II)および有効性(タイプ II)の詳細な説明が含まれます。
ブリッジレター
ブリッジレターは、最新の SOC 報告書の終了日からブリッジレターの発行日までに確認された、統制環境に対する重大な変更をすべてお客様に通知します。
PCI データセキュリティスタンダード (PCI DSS: Payment Card Industry Data Security Standard)
この世界的なデータセキュリティ規格は、カード所有者のデータを処理、保存、伝送するあらゆるエンティティ向けに、決済カードブランド各社によって採用されています。PCI DSS は、業界全体のセキュリティに関わるベストプラクティスを反映した手順で構成されています。
Good Practice (GxP) 品質ガイドラインと規制
生物製剤や医薬品が安全で、それぞれの用途に見合ったものであり、製造、管理、保存、流通において品質プロセスを遵守していることを保証するために作成されたガイドラインと規制をまとめたコレクションです。
Trusted Information Security Assessment Exchange (TISAX)
TISAX は、自動車業界での情報セキュリティ評価の相互承認を可能にし、共通の評価/交換プロトコルを定めています。
以下の SAP の拠点は、評価対象制御領域の不適合ゼロにより、TISAX AL3(高保護要件)として評価されています:ザンクト・レオン=ロート、ヴァルドルフ(以上ドイツ)、バンガロール(インド)、サン・ペドロ・ガルサ・ガルシア(メキシコ)、ブカレスト(ルーマニア)、シカゴ、コロラドスプリング、ニュートンスクエア、パロアルト(以上アメリカ合衆国)。
以下の検索条件で TISAX 評価を検索してください。
スコープ ID:S0R94X
アセスメント ID:AMFL1Y-1、AMFL1Y-2
アクセシビリティ
SAP はご要望に応じて、Voluntary Product Accessibility Template に基づき、当社製品が米国リハビリテーション法第 508 条、WCAG 2.2、および EN 301 549 規格に準拠しているかに関する情報を提供いたします。
クラウドセキュリティアライアンス (CSA)
クラウドセキュリティアライアンスは、クラウドコンピューティングのセキュリティに関するベストプラクティスの策定と推進を行う非営利団体で、SAP デプロイメントにフォーカスしたガイダンスを提供します。
倫理とコンプライアンス
SAP は、最高水準の倫理ビジネスプラクティスを推進しています。SAP は、関係のあるすべてのグローバル市場において、誠実に、法の精神と文言の両方に従いながら事業を展開しています。
SAP 地域別コンプライアンスオファリング
カナダ
カナダのクラウドコンプライアンス
SAP のクラウドサービスは、カナダ政府によって Protected B/Medium Integrity/Medium Availability (PBMM) セキュリティ管理プロファイルに基づいたアセスメントを受けています。また、カナダ向け SAP Sovereign Cloud については、Protected B High Value Asset (PBHVA) オーバーレイに対するアセスメントを完了しています。さらに、SAP Canada Inc. はカナダの規制に従い、カナダ規制対象品プログラム (CGP) の登録認定を受けています。お客様は公開 CGP レジストリを通じて SAP の登録状況を確認できるほか、登録証の写しやカナダサイバーセキュリティセンター (CCCS) によるクラウド評価サマリーレポートを請求することが可能です。
FedRAMP (Federal Risk and Authorization Management Program)
行政機関にとって、どの IT プロジェクトにおいてもセキュリティが最優先事項です。FedRAMP は、クラウド製品やクラウドサービスを対象とするセキュリティ評価、認証、継続的監視に関わる標準化されたアプローチになります。
EU
Cloud Computing Compliance Controls Catalogue (C5)
C5 は、その中立性、範囲、簡潔性、およびテストの容易さによって、規制を受ける業界における内部監査と情報セキュリティ管理のための安定した基盤の認証基準として有効であることを示しました。
EU
ネットワーク&情報指示 (NIS2)
NIS2 は、重要インフラ (CI) プロバイダーのサイバーセキュリティフレームワークを調和させ、改善することを目的とした最新の EU 指令です。SAP は、自身が登録済み CI プロバイダーであることに加え、各プロバイダーが世界各国のサイバーセキュリティ規制に遵守できるようサポートしています。SAP はドイツの登録済み CI プロバイダー (KRITIS) であり、ドイツの管轄下にあります。SAP は、ドイツでの NIS2 指令草案の法制化の行方を注視しており、状況の進展に応じてさらなる最新情報を提供します。
EU
デジタルオペレーションレジリエンス法 (DORA)
SAP は、2025 年 11 月 17 日に、欧州監督当局 (ESA) から重要な ICT サードパーティーサービスプロバイダー (CTPP) として正式な指定を受けました。この指定は、金融セクターのデジタルインフラをサポートする上で SAP が果たす重要な役割を評価するものです。CTPP として、SAP は ESA による直接的な監視の対象となり、オペレーショナルレジリエンスとリスク管理を強化しています。この指定により、金融サービスのお客様に対する透明性と信頼性が強化され、金融業界に ICT サービスを提供する上で SAP が最高水準のセキュリティと継続性を満たしていることが示されます。
EU
EU クラウド行動規範
欧州データ保護会議が支持し、ベルギーデータ保護当局が承認した EU クラウド行動規範により、クラウドサービスプロバイダーは GDPR 第 28 条およびその関連条項を遵守していることを実証できます。
EU
EU データ法
EU データ法(2025 年 9 月 12 日施行)は、データのアクセスしやすさと可用性を高め、データ主導型イノベーションを促進し、データの利用機会を拡大することで、EU のデータ経済を強化し、競争力のあるデータ市場を育成することを目的としています。EU の 27 加盟国に適用される本法では、クラウドを利用するデータ処理サービスの顧客による、定められた通知期間内でのプロバイダーの切り替えが保証されています。
EU
EU 人工知能法(EU AI 法)
EU AI 法は、人工知能テクノロジーの開発と利用による健康、安全、基本的権利に対する潜在的なリスクに対処するために策定された包括的な新しい法律です。
スペイン
スペインの国定セキュリティフレームワーク (ENS)
国定セキュリティフレームワークは、組織によって処理される情報と提供されるサービスを適切に保護するために必要な基本原則と最低要件から構成されています。ENS は、電子的手段により処理されるデータとサービスのアクセス、機密性、完全性、トレーサビリティ、信頼性、可用性、および保全を確保するのに役立ちます。
イギリス
英国 Cyber Essentials 認証
Cyber Essentials は、組織が一般的なサイバー脅威から自身を保護することを支援する、英国政府によって制定されたサイバーセキュリティ認証プログラムです。認証には以下の 2 つのレベルがあります。
- Cyber Essentials(レベル 1)は、質問事項に各組織が記入した自己評価を、独立した認証機関が審査します。
- Cyber Essentials Plus(レベル 2)は、独立した認証機関による、対象となる IT システムの技術的監査です。
オーストラリア
Cloud Security Assessment (IRAP-CSA)
オーストラリア政府の Cloud Security Assessment and Authorisation Framework(クラウドセキュリティ評価および承認フレームワーク)では、組織のサイバーセキュリティチーム、クラウドアーキテクト、ビジネス担当者が共同でリスク評価を実施し、SAP クラウドサービスを安全に使用するための手段が定義されています。
中国
Cybersecurity Classified Protection Scheme (CCPS)
中国本土でシステムまたはネットワークを所有、運用、稼動するすべての組織は、中国サイバーセキュリティ法第 21 条で義務付けられている地域の規制サイバーセキュリティ認証である CCPS を遵守することが法律で義務付けられています。これは、中国本土でホストされるシステムやネットワークに対する、CCPS 基準セキュリティ要件に基づくセキュリティ設計、評価、監査、認証、更新、および継続的監視を標準化する全国規模のセキュリティプログラムです。
日本
政府情報システムのためのセキュリティ評価制度 (ISMAP)
ISMAP は、日本政府が求めるセキュリティ要件を満たすクラウドサービスを政府が評価および登録するための、情報システムセキュリティ管理・評価プログラムです。このプログラムは、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組み」に基づいています。
韓国
韓国金融安全保障研究所
特定の SAP ソリューションは、2024 年の電子金融取引監督規制 (RSEFT) 委任評価を完了しました。韓国の金融セクターは、さまざまなサイバーセキュリティ基準や規制を遵守することが求められています。委任評価をクリアした韓国国内の金融機関は、適切なセキュリティ対策への準拠という条件下で、SAP ソリューションをデータ処理および保管用に活用することができます。
コンプライアンスに関するリソース
SAP の倫理とコンプライアンス
SAP は、自らのグローバル倫理とビジネス行動規範に従って正しい方法で事業を展開することで、社会と経済の発展にプラスの影響を及ぼし、世界各地の教育、正義、民主主義、繁栄、発展、健康を推進しています。