保証業務全般に言えることですが、特定の内部統制を評価するには、一定の物差しが必要となり、その評価の物差しとして、SOC2及びSOC3報告書では、Trustサービス規準が利用されています。このTrustサービス規準は、セキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーのカテゴリーから構成されていますが、すべてのカテゴリーに基づいて評価する必要はなく、受託会社が、ユーザー側のニーズなどを踏まえて、どのカテゴリーが適切か選択することになります。なお、セキュリティの規準は、共通規準となっており、必ず選択されるカテゴリーとなります。
Trustサービス規準
補足ですが、ユーザーのいろいろなニーズに対応するため、Trustサービス規準に、他の規制や業界団体で利用されている規準などを加えて一緒に評価することも可能です。この種のレポートは米国ではSOC2+と呼ばれています。
また、SOC2報告書では、報告書に含まれる記述書の記載方法について定めた、記述規準というものが別途あります。この規準で報告書に記載される内容について一定の方針が定められているため、受託会社がどのような内容を記載すれば良いのか手助けになりますし、受託会社監査人が、適切に記述書が表示されているか判断する際に役立ちます。
Trustサービス規準と記述規準については、原文は英語になりますが、その日本語訳が日本公認会計士協会(JICPA)から公表されています。Trustサービス規準はこちら※。記述規準はこちら※。
※Trustサービス規準および記述規準については、2022年にガイダンスの一部(Trustサービス規準の着眼点および記述規準の実施ガイダンス)が更新されています。なお、規準そのものは修正されていません。JICPAの日本語訳は、当該更新について対応していません。