ESG開示の第三者保証｜限定保証→合理的保証への4ステップとESG版J-SOX｜SIA

サステナビリティー開示の第三者保証（アシュアランス）が、海外を中心に大きな転換点を迎えています。2025年は「ESGデータ管理がSOX対応のように標準化された年」と評する見方も出ており、開示の信頼性確保が一段階引き上げられました。

具体的には、

• ISAE 3000（国際保証業務基準）／ISSA 5000（サステナビリティ保証専用基準、2024年11月最終化、2026年12月15日以降開始期間に適用）に準拠した第三者保証の普及
• 限定保証（Limited Assurance）から合理的保証（Reasonable Assurance）への移行圧力
• データ収集・処理・開示の各段階での、トレーサビリティ・ドキュメンテーション・経営層サインオフの整備
• AIエージェント／Agentic AIによるXBRL自動タグ付けや、保証対応の効率化

といった動きが、同時に進んでいます。

ご支援先からも、

• 限定保証は受けてきたが、合理的保証への移行を経営から指示された
• 監査法人からSOXスタイルの内部統制を求められたが、何をどう整えればいいか
• ESGデータの計算ロジックや出典の追跡可能性が、現状ではどう見ても弱い
• 有報の保証範囲を、サステナビリティー情報まで拡大する場合の準備が分からない

といったご相談が、急激に増えています。

限定保証と合理的保証の違い

第三者保証には、大きく二つの水準があります。

• 限定保証（Limited Assurance）：保証提供者が、対象情報に重要な誤りがある可能性が低いという「ネガティブ・アシュアランス」を提供する水準。質問・分析的手続が中心で、深い検証は限定的
• 合理的保証（Reasonable Assurance）：財務諸表監査と同等の保証水準で、保証提供者が「重要な誤りがない」というポジティブ・アシュアランスを提供する。証拠収集、内部統制テスト、独立検証など、踏み込んだ手続が必要

両者の差は、保証提供者の検証手続の深さ、社内で求められる証拠とドキュメンテーションの厚み、結果として保証コスト・所要時間に現れます。合理的保証は、限定保証の数倍のコスト・労力が必要、というのが実感値です。

EUのCSRDでは、当初は限定保証で開始し、合理的保証への移行が予定されています（Omnibusパッケージで簡素化議論が継続中ですが、保証強化の大枠は維持される見通しです）。日本でも、SSBJ基準の適用拡大に伴い、保証水準の引き上げが段階的に問われる方向です。金融庁の2025年7月公表資料では、当初2年間は限定的保証で、保証範囲をScope1+2、ガバナンス、リスク管理に限定する設計が示されており、その後段階的に範囲拡張・水準引き上げを進める想定です。

「SOXスタイル」の内部統制とは何か

ESGデータが「SOX対応のように標準化される」とは、具体的にどういうことでしょうか。

財務領域でのJ-SOX（金融商品取引法に基づく内部統制）では、

• データの源泉から開示までの流れ（プロセス・フロー）の文書化
• 各データポイントの計算ロジックと参照ソースの追跡可能性（トレーサビリティ）
• 統制ポイント（誰が、いつ、どう確認・サインオフするか）の明示
• 例外処理・修正履歴の記録
• 経営層・取締役会レベルでの最終承認

といった枠組みが、標準化されています。COSOフレームワーク（COSO Internal Control - Integrated Framework）が、米国SOX法／日本J-SOXの双方で内部統制設計の参照モデルとして使われてきましたが、サステナビリティー分野でも、COSO自身が2023年3月にICSR（Achieving Effective Internal Control over Sustainability Reporting）を公表し、ESGデータの内部統制の参照モデルが整備されつつあります。

これと同等の枠組みを、ESGデータ（Scope1+2+3排出量、人的資本指標、ガバナンス指標など）に適用していく動きが、いま起きています。

「Excelシート単位でデータを管理し、月末に担当者がまとめて手集計する」というやり方では、合理的保証どころか、限定保証の維持も難しくなっていきます。

移行ステップの設計

合理的保証への移行を視野に入れて、限定保証から段階的に整備するステップを、次に示す。

まず、保証範囲（Scope of Assurance）の設計。最初から全項目を合理的保証にするのではなく、優先度の高い指標（Scope1+2、女性管理職比率、重大インシデント件数など）から、段階的に保証水準を上げていく設計です。

次に、データ収集・処理プロセスの可視化。各データポイントについて、源泉（一次データの所在）、収集手段、計算ロジック、検証担当者を、一覧化したマップを作ります。

さらに、内部統制ポイントの設計。データ作成→第一次検証→第二次承認→経営サインオフの流れを、社内ルールとして文書化します。

そして、証跡（エビデンス）の保管。生データ、計算過程、修正履歴、承認記録を、保証提供者の検証に耐える形で蓄積します。

ご支援した時価総額数千億円規模の上場企業では、合理的保証への移行を見据えて、2024年からESGデータマネジメントシステム（GHG算定特化型のクラウドサービス）の導入と、社内ルール文書化の二本立てで2年計画を進めました。1年目は限定保証の品質向上、2年目は重要指標の合理的保証への移行、という階段設計です。

AIエージェントの活用と限界

保証対応の負荷を軽減する手段として、AIエージェント／Agentic AIが、海外を中心に活用され始めています。

たとえば、XBRLタグの自動付与、過去開示と当期開示のクロスチェック、計算ロジックの整合性検証、検証ポイントの抽出などです。

ただし、AIで自動化できるのは「整合性チェック」までで、「真実性の確認」は人間（社内の担当者と外部の保証提供者）の責任のままです。「AIに任せたから検証は不要」という発想は、保証の信頼性そのものを毀損します。

AI活用は、担当者の業務負荷を下げ、より高度な判断作業に時間を回す手段、という位置づけが現実的です。

「保証付き開示」が標準になる時代に

サステナビリティー開示が、財務情報と同等の信頼性を求められる時代に入りつつあります。

担当者の方には、

• 自社の現在の保証範囲・保証水準を、開示書類別に棚卸しする
• 合理的保証への移行ロードマップ（3〜5年）を、保証提供者と早期に協議する
• データ収集・処理プロセスを、SOXスタイルの内部統制で再設計する
• 社内のサステナビリティー部・経理部・IR部・監査部の連携体制を整備する

ことをおすすめしています。

「形だけ保証」は、近い将来、市場から厳しく評価される時代になります。保証への対応を、自社の開示の信頼性向上の機会として、早めに動き出されることをお勧めします。

---

【ご相談窓口】 弊社（株式会社KI Strategy）では、サステナビリティー保証対応とESGデータ管理体制の伴走支援を実施しています（専門家プラットフォームSasla経由のご相談も可）。合理的保証への移行や内部統制の整備で悩まれている方は、現状の診断からお手伝いできます。