私が担当する顧客企業のうちの日本企業1社にて、SaaS利用審査基準の見直しを支援しております。そのことについて、皆様のご意見を賜りたく、投稿しました。

その企業では、各組織から様々なSaaSの利用が情報セキュリティ部門に申請されてきます。情報セキュリティ部門では、用途と自社のセキュリティ・ポリシー、そしてプロバイダーからのアンケート回答やSOC2レポートから、そのSaaSの利用を許可するか審査をします。

しかし、その申請の数が多く、十分に審査をすることができていません。SOC2レポートをプロバイダーから入手しても、中身を読み込むことまで手が回らないことがよくあります。適切に審査できる能力を持った担当者は1名で体制の継続性に不安があります。

そこで、次のように審査基準を単純化し、審査の省力化し審査の難易度を下げようと考えております。具体的には、以下いずれかの基準を満たせば、例外なく利用を許可しようと考えています。

1. ISMAPまたはFedRAMPによって認定されている。
2. 1年以内に発行された最新のSOC3レポートにて、監査人の意見にネガティブな見解がないか、ネガティブな意見をSOC2レポートで具体的に確認し、自社のポリシーと用途から問題ないことが確認できる。
3. CASBのスコアリング・サービスにて、非常に高いレベル（たとえばNetskopeならExcellent）である。
4. 最高機密に分類されるデータを保持させない場合、ISO/IEC 27001および27017（個人情報を扱う場合は27018も）の認証を3年以内に受けている。
5. 最高機密に分類されるデータを保持させない場合、CASBのスコアリング・サービスにて、高いレベル（たとえばNetskopeならHigh）である。
6. 機密性の低いデータを保持する場合、CASBのスコアリング・サービスにて、中程度のレベル（たとえばNetskopeならMedium）である。
7. 完全性や可用性については、4～6の機密性を読み替える。

そこで質問です。

1. 貴社または貴社の顧客でも同様の課題を抱えている場合、上記の基準での審査へ移行すること賛同できますか？またその理由は何でしょうか？
2. 貴社または貴社の顧客で同様の基準で運用されている場合、どのような課題がありますでしょうか？
3. いずれにも当てはまらない方、私の考えについてどのようにお考えになりますか？

以上、感想でもかまいませんので、何等かコメントいただけると、うれしいです。