SOC2について
SOC2報告書とは
SOC2レポートとは、サービス事業者(受託会社)が提供するサービスにおける情報セキュリティやプライバシーなどの内部統制状況について、監査法人または監査事務所が評価し、提出する報告書のことです。レポートは、セキュリティ、可用性、処理のインテグリティー、機密保持、プライバシーの5つのカテゴリーの中から、ユーザー視点で関連性の高いカテゴリーを選択し、その内部統制について記載します。
SOC1やSOC3との違い
| 分類 (米国公認会計士協会) | 主題 | 基準:米国公認会計士協会 | 基準:日本公認会計士協会 | 基準:国際監査・保証基準審議会 |
|---|---|---|---|---|
| SOC1 | 財務報告に係る内部統制 | AT-CSection 105・205・320 | 保証実 3402 | ISAE3402 |
| SOC2 | Trust サービス規準に係る内部統制 | AT-CSection 105・205 | 保証実 3702 | ISAE3000 |
| SOC3 | 同上 | 同上 | 同上 | 同上 |
SOC1報告書もサービス事業者(受託会社)が提供するサービスに関する内部統制について、監査法人または監査事務所が評価し、提出する報告書です。この点はSOC2と共通していますが、SOC1報告書では委託会社の財務報告に関わる範囲が対象となっているのに対し、SOC2では情報セキュリティやプライバシーなどの内部統制が対象となる点が異なります。
SOC3報告書は、SOC1やSOC2とは異なり、受託会社が自社のウェブサイトなどで広く公開できる形式の報告書です。そのため、受託会社の内部統制に関する記載は全体的な概要にとどまり、詳細な内部統制の内容や監査人の評価手続きおよび結果は含まれません。クラウドサービス事業者がSOC2報告書とともにSOC3報告書を取得し、他の基準や規格への適合状況と併せて自社のウェブサイトで公開するケースが多く見られます。
Type1とType2の違い
SOC2レポートには、監査法人(監査事務所)による評価をうける期間の違いによって、2種類のレポートがあります。
- Type1レポート
ある特定の日におけるシステムに係る内部統制が適切に整備されているかについて評価を受けたレポートです。 - Type2レポート
一定の期間にわたって、システムに係る内部統制が有効に運用されているかについて評価を受けたレポートです。
SOC2の取得目的
SOC2は、独立監査人(監査法人等)による評価に基づき、提供サービスにおける情報セキュリティ等に係る内部統制の整備の適切性や運用の有効性を報告する枠組みです。企業はSOC2レポートを通じて、情報セキュリティ等に係る内部統制を客観的に示し、ステークホルダーからの信頼を高めることができます。
主な取得目的は以下の通りです。
- 顧客や取引先に対し、提供サービスの情報セキュリティ等に係る内部統制の有効性を客観的に証明したい
- 情報セキュリティ等に係る内部統制を第三者評価により可視化・高度化したい
- ISMSやPマークに加え、より実態に即した運用ベースの評価を取得したい
- 海外企業や外資系企業との取引において、情報セキュリティの信頼性を示したい
- 自社の内部統制・セキュリティ水準を向上させ、持続的な事業成長を支える基盤を構築したい
SOC2レポートの記載内容について
記述書には以下の情報が含まれます。
- 提供される業務の種類
受託会社によって提供される業務の内容が記載されます。 - 主要なサービスコミットメント及びシステム要求事項
委託会社の顧客等に対して約束されたコミットメントと、それを達成するために必要なシステムの要求事項が記載されます。 - 業務提供に利用されるシステムの構成要素
受託会社が業務を遂行するために必要なインフラストラクチャー、ソフトウェア、人員、手続き、データについて記載されます。 - 識別されたインシデントの内容
関連するインシデントについて記載されます。 - 統制環境、リスク評価、情報と伝達、監視活動及びITへの対応
これらの項目に関する内容が記載されます。 - システムに関する内部統制
受託会社のサービスコミットメント及びシステム要求事項が満たされることについて、合理的な保証を提供するためにデザインされた関連する内部統制が記載されます。 - 相補的な委託者の内部統制
詳細は後述します。 - 相補的な再受託会社の内部統制
詳細は後述します。
| 項目 | 説明 |
| 提供される業務の種類 | 会社によって提供される業務の内容が記載されます。 |
| 主要なサービスコミットメント及びシステム要求事項 | 委託会社の顧客等に対して約束されたコミットメントと、それを達成するために必要なシステムの要求事項が記載されます。 |
| 業務提供に利用されるシステムの構成要素 | SaaS事業者が業務を遂行するために必要なインフラストラクチャー、ソフトウェア、人員、手続き、データについて記載されます。 |
| 識別されたインシデントの内容 | 関連するインシデントについて記載されます。 |
| 統制環境、リスク評価、情報と伝達、監視活動及びITへの対応 | 統制環境、リスク評価、情報と伝達、監視活動及びITへの対応に関する内容が記載されます。 |
| システムに関する内部統制 | SaaS事業者のサービスコミットメント及びシステム要求事項が満たされることについて、合理的な保証を提供するためにデザインされた関連する内部統制が記載されます。 |
| 相補的な委託者の内部統制 | SaaS事業者での内部統制は、ユーザー側が適切なアクションを取ることを前提にしており、そのユーザーサイドで対処すべき事項を記載します。 |
| 相補的な再受託会社の内部統制 | SaaS事業者での内部統制は、委託先側が適切なアクションを取ることを前提にしており、その委託先側で対処すべき事項を記載します。 |
SOC2に係る基準等
- 保証業務実務指針3702「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」(以下、「保証業務実務指針 3702」)
- 保証業務実務指針3000 「監査及びレビュー業務以外の保証業務に関する実務指針」(以下、「保証業務実務指針 3000 」)
- DC Section 200(Description Criteria for a Description of a Service Organization’s System in a SOC 2 ® Report)
SOC2に関するその他ご質問事項
- 5カテゴリーについて
-
- セキュリティ(Security)
組織は、情報やそれを格納するシステムを保護するために、不正アクセスや情報漏洩を防ぐ適切なセキュリティ対策を実施する必要があります。具体的には、認証・認可によるアクセス制御の実装、保存・転送するデータの暗号化、物理アクセスの制御、ネットワークセキュリティの実装などが求められます。 - 可用性(Availability)
組織は、顧客に提供する製品・サービスが合意した通りに操作・使用できるよう、運用・モニタリングのための対策を実施する必要があります。具体的には、システムの冗長性の確保、システムの監視とアラート、データバックアップの実施、災害復旧プランの策定・実施、サービスレベルアグリーメント(SLA)の設定などが求められます。 - 処理のインテグリティ(Processing Integrity)
組織が行うシステム処理は、完全で正当、正確かつ適時に実施され、かつ承認されている必要があります。そのために、データの検証や整合性チェック、データの改ざん防止対策、データの履歴とトレーサビリティの確保、データ処理の監視とエラーハンドリングなどを実装する必要があります。 - 機密保持(Confidentiality)
組織は、営業秘密や知的財産などの情報を収集・生成から廃棄まで保護する必要があります。そのために、適切なアクセス制御の実装、データの分類とラベリング、データ転送時の保護、安全なデータの破棄、データアクセスのモニタリングなどの対策を実施する必要があります。 - プライバシー(Privacy)
組織が扱う個人情報が、適切に収集、利用、保持、開示および廃棄される必要があります。そのために、プライバシーポリシーの策定と公開、個人情報を収集する際の同意の取得、適切な範囲での情報の共有と第三者提供、権利に基づく削除要求への対応などの対策を実施し、個人情報の保護に努める必要があります。
- セキュリティ(Security)
- 5カテゴリーのうち、選択するカテゴリーは会社が自由に選択できるのか?
-
セキュリティについては必須記載項目ですが、可用性、処理のインテグリティ、機密保持、およびプライバシーは任意記載項目です。これらの任意項目については、会社の都合で選択することはできず、あくまでもユーザー視点で選択する必要があります。つまり、ユーザーにとって重要と考えられる項目を選択しなければなりません。
また、受託会社が選択したカテゴリーに関する規準は、SOC2レポート上にすべて含まれる必要があります。(出所:保証業務実務指針 3702)
これは、TSPセクション100「2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy」(AICPA「Trustサービス規準」)において、各Trustサービスカテゴリーにおける規準が提示されているのだが、そこに記載の基準については全てSOC2レポートに記載する必要があり、勝手に除くことはできないということを意味しております。 - 相補的な内部統制
-
SOC2報告書を利用する際には、留意すべき事項の一つとして「相補的な内部統制」があります。相補的な内部統制とは、日本公認会計士協会の実務指針において「受託業務をデザインする段階で、委託会社において整備されることを受託会社が想定する内部統制であり、受託会社のシステムに関する記述書において、統制目的の達成に必要な内部統制として識別され、記載されるもの」と定義されています。
つまり、受託会社(ベンダー)は、委託会社(ユーザー)側が適切なアクションを取ることを前提に業務を行います。例えば、クラウドサービスにアクセスする人が、ユーザー側で適切に承認された人に限定されている必要があります。このアクセス権の管理はユーザー側で行う内部統制であり、そのような統制は「相補的な内部統制」としてSOCレポート上で示され、ユーザーの責任として注意喚起がなされます。
同様に、「再受託会社の相補的な内部統制」も存在します。再受託会社とは、SOC報告書を提供するサービス事業者(受託会社)が、一部のシステムについて外部のサービスを利用している場合、その外部サービスを提供する事業者です。再受託会社の内部統制は、サービス事業者(受託会社)の管理下にないことがあるため、統制目的の達成に必要な内部統制については、注意喚起のためSOC2報告書上に記載されます。実務上は、AWSが再受託会社として取り扱われることが多く、AWSにおける内部統制が再受託会社の相補的な内部統制として記載されているケースが多く見受けられます。 - 再受託会社の扱い_除外方式とは?
-
受託会社が受託業務の一部を再委託する場合における、受託会社の内部統制の保証報告書上での再受託会社の提供する業務の取扱いについて除外方式と一体方式という2種類の方法があります。除外方式が採用されているケースが多く見受けられますので、ここでは除外方式についてご説明します。
除外方式では、SOC2報告書に再受託会社に再委託している業務の内容が記載されますが、再受託会社の内部統制は、SOC2報告書及び監査法人(監査事務所)の検証の範囲から除かれます。ただし、SOC2報告書及び監査法人(監査事務所)の検証の範囲には、再受託会社の内部統制の有効性をモニタリングする受託会社の内部統制が含まれることには留意が必要です。(保証業務実務指針 3702)