SOC報告書は、ユーザーに利用してもらうことを前提に構成されていますが、どこにどのような情報が載っているのかユーザーは基礎知識として、知っていた方が良いでしょう。そこで、以下に、SOC報告書にどのような内容が記載されているのか解説します。なお、ここでは、SOC1及びSOC2を対象にして説明しています。
第1部 受託会社監査人の保証報告書※1
受託会社監査人の保証報告書は、監査法人等の意見などを記載したものです。一定のひな形が定められており、実務ではそれを修正するような形で報告書が作成されます。そのため、どの監査法人等が作成する報告書も一様に見えますが、ときに普通でない意見が付されている場合がありますので、要注意です。普通でないとは、限定意見や不適正意見などを指します。このような意見だった場合は要注意で、必ず限定や不適正等になった根拠やその内容が記載されていますので、その内容について十分に確かめることが必要になります。なお、実務では事前に保証報告書を取得する前に、適切な内部統制を整備・運用する準備を行うことが通例であるため、限定意見や不適正意見などになるケースはまれです。
第2部 受託会社確認書※1
ユーザーへのサービス提供に関して、内部統制を整備し業務に適用し、有効に運用する責任は、あくまでも受託会社にあるため、その責任を果たしている旨を定型的なひな形を利用して、簡潔にまとめたものになります。必要な事項が記述書に記載されていること、リスクが識別され、リスクを低減する統制が整備されていること、整備された統制が有効に運用されていることについて、記載されます。
第3部 記述書※2
受託会社が提供しているサービスで、SOC報告書の評価対象範囲となる受託業務の説明、受託会社の会社レベルの内部統制、評価対象範囲における受託業務に係る個別の内部統制になどついて、記述されます。ISMSなどの認証では得られない情報が記載されていますので、ユーザー側は、期待しているサービスレベルを達成しているのか、具体的に整備されている内部統制の記述を見て確認することができます。
第4部 運用評価手続とその結果※2
第3部に記載された内部統制から、主要な内部統制について選定し、その運用評価手続を実施した結果について記載します(選定していない内部統制は整備状況だけ確かめられる。)。運用評価手続に際して、逸脱事項があれば、その内容も記載されます。この第4部は、特定時点の整備状況の評価を行うタイプ1の報告書には含まれません。
運用評価対象とした手続実施に際して、発見された逸脱事項は必ず記載することになっていますが、逸脱事項が発見されても、他の内部統制が有効であった場合など、全体として内部統制が有効に機能していたと判断される場合は、特に第1部で表明される意見に影響を及ぼしません。
第5部 その他の情報提供
第4部で逸脱事項が指摘された場合、その逸脱事項に対する受託会社側からの改善状況などの説明が記載されます。改善の状況が分かる前向きな情報として捉えると良いと思います。
上記のほか、将来予定されるシステムの変更など、ユーザー側に有益と思われる情報が必要に応じて提供されますが、どちらも該当事項がない場合は、第5部全体が作成されないことになります。
※1 第1部と第2部の順番は、SOC1報告書の場合となります。SOC2報告書では、SOC2 Guide上で並びが逆になります。
※2 第4部には第3部に記載される内容と同じ情報が記載されるため、重複を避け第3部の記載を一部省略し、第4部のみに記載される場合があります。