コラム
SOCレポートとは:目的や種類、確認するメリットについて解説
クラウドサービスの導入を検討する際、「どのサービスが本当に安全なの?」「信頼できるサービスを使いたい」といった点は誰もが気になるポイントです。そんなときの判断基準の一助となるのが、SOCレポートです。
アウトソーシングサービスにおいて、ITサービス事業者(受託会社)が提供するサービスに係る内部統制と、その評価結果をまとめた報告書であるSOCレポートは、サービス利用者(委託会社)にとってそのサービスを利用する際の重要な情報源となります。ただし、SOCレポートにも種類やタイプがあるため、適したものを活用しなければなりません。
この記事では、SOCレポートの目的や種類・確認するメリットについて解説します。クラウドサービスの導入を検討されている方にとって、選定の際の一助となれば幸いです。
目次
- 1 SOCとは
- 2 SOCレポートとは
- 3 SOCレポートの種類
- (1)SOC1レポート
- (2)SOC2レポート
- (3)SOC3レポート
- (4)SOCレポートはType1とType2に分けられる
- 4 SOCレポートを確認する目的
- (1)受託会社が提供するサービスの信頼性を確認するため
- (2)受託会社の運営状況やリスク管理を把握するため
- 5 SOCレポートを確認するメリット
- (1)監査対応業務の負荷を軽減できる
- (2)受託会社と委託会社の間で認識齟齬を防げる
- (3)サービス導入前にセキュリティリスクを評価できる
- 6 SOCレポートを確認する際の注意点
- (1)レポートの種類・タイプは正しいか
- (2)SOCレポートの保証範囲はどこまでか
- (3)SOCレポート単体のみではなく他の情報と組み合わせて判断する
- 7 まとめ
1. SOCとは
SOC(System and Organization Controls)は、米国公認会計士協会(AICPA)が制定した内部統制に関する保証報告書の基準の一つです。
近年、企業活動におけるITの重要性が高まるにつれ、会計監査においてもITサービスやシステムの内部統制が重要視されるようになりました。そこで、ITサービス事業者における内部統制の有効性を評価し、保証するための制度としてSOCが設けられたのです。
SOCには以下の3つの枠組みがあります。
- • SOC1
- ITサービス事業者側(受託会社側)で整備・運用されている内部統制について、その有効性を評価する枠組みです。対象となる内部統制は、サービス利用者側(委託会社側)の財務報告に係る内部統制であり、たとえば、財務会計システムやその周辺システム(販売管理システム、在庫管理システム、給与計算システム、ERPなど)が含まれます。
- • SOC2
- 情報システムのセキュリティや可用性・処理の完全性・機密性、プライバシーに関して、信頼に足るサービス基準を満たしているかどうかを評価する枠組みです。SOC1は財務報告に係る内部統制の一部として利用することを想定していますが、SOC2は財務報告に係る内部統制には必ずしも直結せず、非財務領域を含む情報セキュリティ全般に渡っての評価となります。よって、強固なセキュリティを備えた情報システムを使用したいお客様にとっては、SOC1よりもSOC2の内容の方が重要になります。
- • SOC3
- SOC2の内容を要約したもので、一般のお客様やステークホルダーに向けて公開するものです。SOC2がセキュリティやプライバシーなどについて詳細に記載されているのに対し、SOC3は概要のみとなっています。
SOCは、財務報告に係る内部統制の監査や財務諸表監査目的はもちろんのこと、その他の目的にも広く活用されています。
2. SOCレポートとは
SOCレポートとは、受託会社(サービス提供組織)のサービス品質や安全性の管理状況を、第三者の監査人(受託会社監査人)がSOCの基準に従って評価し、その評価結果をまとめた報告書です。
SOCレポートは、受託会社が顧客や取引先に対して、情報システムや業務プロセスの安全性と信頼性を示す証拠として提供されます。これらの評価により、受託会社がコンプライアンスを遵守し、リスクを適切に管理していることが示されます。
3. SOCレポートの種類
米国公認会計士協会(AICPA)が定めた基準に基づいて作成されたSOCレポートは、以下の3つの枠組みで構成されています。
- • SOC1レポート
- • SOC2レポート
- • SOC3レポート
なお、日本においても米国公認会計士協会(AICPA)が定めた基準と整合した各種基準や指針が整備されています。
また、SOC1・SOC2レポートに関しては、目的や評価対象となる期間によってさらにType1とType2に分けられています。
(1)SOC1レポート
SOC1レポートは、米国公認会計士協会(AICPA)が定めた基準(SSAE18)に従って作成されるもので、企業の財務報告に係る内部統制に影響を与える可能性のある業務プロセスに焦点を当てたレポートです。
これは、アウトソーシング事業者を利用する企業が安心してサービスを使えるように、提供するサービスについての財務報告に係る内部統制を評価し、その結果をレポートとしてまとめたものです。サービス提供事業者(受託会社)がSOC1レポートを取得するには、受託会社自身が独立した第三者である監査法人に評価を依頼しなければなりません。
なお、ここでいうアウトソーシング事業者とは、企業内の一部の業務を外部に委託する際の委託先パートナー企業を指します。
企業が業務を外部委託する際は、アウトソーシング事業者内の内部管理が不十分であることや外部からのサイバー攻撃・情報漏洩などにより、財務報告の信頼性が脅かされるリスクが外部委託先側でも発生する可能性があり、これらのリスクが適切にコントロールされているかを評価することが重要です。そのため、適切な事業者を選ぶ際にも、財務報告に係る内部統制を評価するSOC1レポートが役に立ちます。
(2)SOC2レポート
SOC2レポートは、サービス提供事業者(受託会社)が提供するサービスについてのセキュリティ体制やプライバシー関連などを評価したレポートとなっています。
評価対象は受託会社が提供するサービスについての以下5つの項目(トラストサービス規準)に係る内部統制です。
- • セキュリティ
- • 可用性
- • 処理のインテグリティ(完全性)
- • 機密保持
- • プライバシー
SOC1レポートとSOC2レポートは、いずれもサービス提供事業者の内部統制の評価に関する報告書ですが、以下のとおり、評価する対象や目的が異なります。
- • SOC1レポート:財務報告に関する内部統制の有効性を保証するレポート(財務的な影響を重視)
- • SOC2レポート:セキュリティや可用性など、財務報告に関連しない領域(非財務領域)も含む5つのトラストサービス規準に係る内部統制の有効性を保証するレポート
SOC2レポートを確認することにより、サービス提供事業者のセキュリティや可用性など、より広範な非財務的な側面に関する内部統制の整備・運用状況を把握できるようになります。
(3)SOC3レポート
SOC3レポートは、SOC2レポートの概要をまとめたもので、詳細な内部統制の記述や監査人の評価手続などは記載されず、より簡潔で技術的な詳細を含まない形式で提供されます。
また、利用者の制限がないという特徴があります。そのため、要点が簡潔にまとめられた形式であることから、技術的な専門知識を持たない読者でも理解しやすい内容となっており、サービス提供事業者が自身のWebサイトで公開したり、マーケティング目的で使用したりするケースも多く見られます。
なお、SOC2レポートを発行しているサービス提供事業者が、必ずしもSOC3レポートを取得しているとは限らないため、レポートの利用を予定している場合には留意が必要です。
(4)SOCレポートはType1とType2に分けられる
SOC1・SOC2レポートに関しては、さらにType1・Type2の2種類に分類されます。
Type1とType2の違いは下表のとおりです。
Type1とType2の大きな違いは評価範囲にあります。Type1は特定の時点での内部統制の整備状況を評価します。一方、Type2は一定期間にわたる内部統制の整備および運用状況の有効性を評価します。
SOCレポートの利用目的に応じて、どちらのSOCレポートが必要なのか、また、具体的な評価の時点、評価期間を事前に確認しましょう。
4. SOCレポートを確認する目的
SOCレポートを確認する目的は、主に以下の2つです。
- • 受託会社の提供するサービスの信頼性を確認するため
- • 受託会社の運営状況やリスク管理を把握するため
サービスを導入する前に、信頼性や運営状況を確認することは、サービス利用後のリスク低減につながります。
(1)受託会社が提供するサービスの信頼性を確認するため
SOCレポートを確認する目的の一つは、受託会社が提供するサービスの信頼性を、委託会社が確認することです。これは、企業が提供するサービスが安定して、期待通りの品質で提供されることを把握するためにあります。
SOCレポートに示されている評価は、お客様やその他の関係者が企業のサービスを信頼し、安心して利用できることを保証する役割を果たします。
(2)受託会社の運営状況やリスク管理を把握するため
SOCレポートを確認するもう一つの目的は、受託会社の運営状況やリスク管理を、委託会社が把握することです。
SOCレポートは、受託会社の内部統制の整備・運用状況について事前に把握可能です。財務報告の信頼性に関するリスクや情報漏洩、サイバー攻撃といったセキュリティリスクへの対応水準を予め把握することができるため、受託会社を選択する際に参考とすることができます。
5. SOCレポートを確認するメリット
SOCレポートを確認するメリットは、主に3つです。
- • 監査対応業務の負荷を軽減できる
- • 受託会社と委託会社の間で認識齟齬を防げる
- • サービス導入前にセキュリティリスクを評価できる
(1)監査対応業務の負荷を軽減できる
SOCレポートの利用により、監査対応にかかる負荷を軽減できます。
たとえば、複数のアウトソーシングサービスを利用している場合、従来の監査では、利用している複数のサービス提供事業者宛に個別に監査に必要となる情報を依頼し、入手した上で個別に評価する必要がありました。しかし、SOCレポートがあれば、監査に必要となる個別の情報依頼が不要となるため、負荷の軽減につながります。
なお、SOCレポートは、会計監査だけでなく、情報セキュリティ対策の有効性評価といった個別のテーマ監査での証跡としても広く活用されています。
(2)受託会社と委託会社の間で認識齟齬を防げる
SOCレポートは、受託会社と委託会社の間での認識齟齬を防ぐためにも役立ちます。
受託会社と委託会社で契約を交わす際に、それぞれの責任範囲や情報セキュリティ対策などの内容が曖昧となることもあり、認識齟齬やトラブルが生じやすいという課題がありました。しかし、SOCレポートには内部統制に関する情報が詳細に記載されており、これを契約条件に取り入れることで、セキュリティやプライバシーの取り扱いに関する要件を明確にすることが可能です。
契約での要件が明確であれば、双方が同じ基準や期待に基づいてサービスを提供・受け入れられるようになり、期待ギャップが解消されることにより、ビジネスパートナーとして良い関係構築につなげることができます。
(3)サービス導入前にセキュリティリスクを評価できる
SOCレポートは、サービス導入前にセキュリティリスクを評価できます。レポートには、受託会社のセキュリティ対策や内部統制の詳細が記載されています。そのため、レポートを確認することで、受託会社がどのようにセキュリティリスクを管理しているのかを事前に把握できるのです。
サービス導入前に受託会社のセキュリティリスク管理の取り組みや強化点を把握し、信頼性の高いサービス提供企業を選定することは、自社のセキュリティ強化にもつながります。
6. SOCレポートを確認する際の注意点
SOCレポートを確認する際の注意点を、3つ紹介します。
- • レポートの種類・タイプは正しいか
- • SOCレポートの保証範囲はどこまでか
- • SOCレポート単体のみではなく他の情報と組み合わせて判断する
これらの注意点を意識してレポートを確認することで、自社に適したサービス提供事業者を選べるようになります。
(1)レポートの種類・タイプは正しいか
SOCレポートは、先述したように種類やタイプが分かれます。そのため、自社のニーズ(判断に必要なもの)に適したレポートであることを確認しなければなりません。
SOCレポートの中でも、SOC1レポートとSOC2レポートは目的や評価項目が異なります。財務報告に係る内部統制に関する業務はSOC1レポート、情報システムのセキュリティや可用性などのトラストサービス規準への準拠はSOC2レポートといった具体的な内容を確認しましょう。
また、それぞれのレポートには2つのタイプがあります。評価基準日一時点における保証がType1、一定の評価期間を保証するのがType2です。
加えて、具体的なレポートの評価時点や評価期間、レポート発行時期も合わせて確認し、自社でレポートを利用するに当たって、目的が達成できるかを確認しましょう。
(2)SOCレポートの保証範囲はどこまでか
SOCレポートはサービス単位で区切られて発行されることが多いため、利用を検討しているサービスが、レポートの保証範囲内に含まれているかを確認することが重要です。
事業者が提供するサービスについて、SOC2のType2を取得している企業は、セキュリティや可用性などの5つのトラストサービス規準に基づいたシステム運用がされていることが保証されており、財務報告に関連しない領域(非財務領域)を含む広範な内部統制が保証されることとなります。そのため、SOC2 type2レポートを取得しているかは、サービスのセキュリティ水準を判断する一つの材料になるのです。
しかし、利用を検討しているサービスについて保証範囲を確認していない場合、自社のニーズに合った保証内容が含まれていない恐れがあります。サービスを利用する際は、SOCレポートの種類やタイプと合わせて、対象サービスが保証範囲に含まれているか、必要な評価項目が含まれているかを確認しましょう。
(3)SOCレポート単体のみではなく他の情報と組み合わせて判断する
SOCレポートはサービス選定の参考となりますが、総合的な判断には他の情報も考慮しましょう。
たとえば、SOC2レポートはセキュリティや可用性など5つの要素を評価しますが、トラブル時の対応や運用体制はレポートに含まれない場合もあります。
自社の要件に合ったサービスを選ぶために、様々な情報を組み合わせて検討することが大切です。
7. まとめ
クラウドサービスの安全性や信頼性を確認する際に重要なのがSOCです。SOCレポートは、アウトソーシングサービスにおける受託会社の内部統制と評価結果をまとめた報告書であり、適切なサービス提供事業者を選ぶ際の情報源となります。種類やタイプによって異なるSOCレポートは、ニーズに合わせて必要なものを選びましょう。
なお、SOCレポートはサービスを利用する判断材料の一つとなりますが、実際に利用する際には、レポート単体のみではなく、他の情報も含めて総合的に判断するようにしてください。
みずぐち公認会計士・税理士事務所(https://www.mizuguchi-cpa.com/)
代表 公認会計士 税理士 システム監査技術者
水口 祐介
システムエンジニアとして、インフラ構築からアプリ開発の全領域の開発プロセス経験を有し、PwC Japan有限責任監査法人在籍時には、システム監査人としてシステム開発のプロジェクトリスク評価や情報セキュリティ管理態勢支援業務などに従事。その後、公認会計士として上場・非上場企業に対する会計監査、内部統制アドバイザリー業務を提供。2023年9月に公認会計士・税理士事務所を設立し、システム導入やそのリスク評価、業務プロセスの見える化、会計異常データ分析サービス、経理業務効率化など、会計・業務プロセス・ITの領域をカバーするトータルサービスを提供している。
関連ページ
関連コラム
