カテゴリー: 総論

投稿日:

ISMAPとの違い

 2020年から運用開始となったISMAP(政府情報システムのためのセキュリティ評価制度)という制度があります。これも監査法人が行うIT関連の業務であり、監査法人は、監査機関として、クラウドサービス事業者の内部統制について評価を行います。ただし、ISMAPの枠組みでは、「監査」と表現されていますが、日本公認会計士協会の取り扱いとしては、「その他の調査報告業務」に該当するものと考えられるとされています。
 つまり、公認会計士の業務において、監査は会計監査のように各種の監査基準や実務指針等に基づいて行われる特定の業務のみを指しているため、ISMAPを同等の業務として取り扱うことができないので、留意が必要です。また、SOC報告書は会計監査と同じレベルの保証業務となり、同様にISMAPと異なる性質の業務となります。

 ISMAPとSOC報告書や会計監査との具体的な違いを言うと、SOC報告書や会計監査では、監査人が行った手続結果に基づいて意見が表明されますが、ISMAPの報告書においては、監査人の意見が表明されない点があります。これは、ISMAPが政府向けの特定の利用者に向けての限定した報告になり、利用者側で、その報告結果に基づいて、適切なクラウドサービス事業者であるか判断することになっていますが、SOC報告書や会計監査は、複数の利用者を想定して専門家の意見を付して報告を行うため、その想定利用者と監査人の責任の範囲に大きな違いがあることによります。

SOC業務とISMAPの業務実施手順の違い

ISMAP vs SOC

 余談ですが、ISMAPクラウドサービスリストへの登録をもって、財務諸表監査への証跡とならないかという質問されることがあります。これについては、ユーザーの立場として、一定レベルの内部統制が維持されているという心証は得られますが、財務諸表監査において、評価手続の代替となるものではありません。
 これは、ISMAPの報告書は、政府向けに利用者が限定されたもので、他のユーザーへ提供されることはありませんので、クラウドサービス事業者の具体的な内部統制の状況や、監査人が実施した手続の内容などを、ISMSなどの認証と同様に確かめることができないためになります。

各略称の個別名称はこちら
投稿日:

認証制度との違い

 クラウドサービス事業者などは、ISMSやプライバシーマークなどの認証を取得していることが多いと思います。これらの認証制度は、サービス事業者が一定レベルの内部統制が維持されていることが分かりますので、どのサービス事業者を選定するのが良いかなどの判断において、有益になると思います。それでは、SOC報告書とどこが違うのでしょうか?

 ISMSなどの認証制度では、サービス事業者の業務に係る内部統制の具体的な状況はユーザー側では知ることができませんが、SOC報告書は、ユーザーに対して配布することを目的に報告書を作成していることから、その状況を知ることができます。また、その利用者は、ユーザー企業(委託会社と言う)とその企業の監査人(委託会社監査人と言う)などが想定されます。これは、例えば財務諸表監査目的で作成される報告書は、具体的に内部統制の整備・運用状況が記載されていないと、委託会社監査人等のユーザー側では情報不足で利用できないことなどが背景としてあります。

 会計監査の実務では、クライアントが外部ベンダーサービスを利用している場合、財務諸表監査目的で発行されるSOC1報告書を利用していることが通例ですが、クライアントが新規に外部サービスを利用する際に、ベンダーがISMS認証を取得しているようなので、それをもって、監査で対応してくれませんか?と言われることがあります。しかし、ISMSなどの認証では、具体的な内部統制の状況が不明なので、財務諸表監査で必要な手続が実施できないため、「無理です」と回答せざるを得ません。

 ユーザーがセキュリティに関して、そのサービス事業者の信頼性を確かめたいという時は、ユーザーのニーズに幅があると思われるため、単純に一つの境界として捉えている場合は、ISMSのような認証の方が良い場合がありますし、ユーザーが何らかの監査目的で使いたい(何らかの説明責任がある)場合は、SOC2が適しています。

 その他、ISMSとSOC2の比較についてはいろいろな見解があります。例えば、「ISMSはベストプラクティスを目的として設計されていて良い」、「SOC2は特定期間の運用テストを行うのでより高いレベルの保証が得られる」、「ISMSはセキュリティに焦点を当てているが、SOC2はそれに加え、可用性、処理のインテグリティ、機密保持、プライバシーのオプションの追加規準があり、ユーザーニーズに合わせた柔軟性がある」などが挙げられます。よって、これらの内容を踏まえて、どちらが適切なのか判断することになります。ただし、北米系企業を中心に、SOC2報告書を要求してくるユーザーも多く見受けられますので、その場合は、ユーザーニーズに応じて、SOC2を取得することになるでしょう。

各略称の個別名称はこちら
投稿日:

日本基準の変遷

 日本基準については、実務指針の管理番号が度々変更され、混乱している人もいるかもしれませんので、解説しておきたいと思います。

 日本においても米国の制度にならって、受託業務の内部統制等に関わる報告書は3つに分類され、実務指針の番号を取って、過去にSOC1に相当するレポートとして18号及び86号報告書、SOC2に相当するレポートとしてIT7号報告書、SOC3に相当するレポートとしてIT2号報告書がありました。「86号」「IT7号」「IT2号」と2桁以内の数値のためか、比較的覚えやすかったと思います。

日本基準の変遷

history

 しかし、実務指針の改訂及び実務指針の管理番号体系の整理に伴い、現状では、保証実3402、保証実3702に変更され、3分類を示す略称はありません。旧IT2号については、SysTrustとWebTrustの業務についての実務指針でしたが、SysTrustは実質としてTrustサービス規準で行うSOC3と同等の業務であるため、保証実3850(3702)に取り込むこととし、WebTrustは、旧IT2号の廃止に伴い、国際基準のISAE3000で対応しています。これについては、米国制度での取り扱いに歩調を合わせたものになっています。

 SOC1に相当する保証実3402は、国際基準と同じ番号を付しているため、ある意味混乱しなくて良いのですが、SOC2に相当するレポートは、過去IT7号として徐々に知名度を上げてきた(と思われる)ところ、その後3850(経過的に3852が存在)、3702に変更されたため、覚えにくい番号になってしまったように思います。

 これに対して、米国では、日本と同じように関連する基準名や番号の変更もありましたが、一貫としてSOC1・SOC2・SOC3の分類でブランドを築きあげてきたと思います。その結果、日本の実務でも、受託業務の内部統制に関わる報告書は、一般的名称としてSOC報告書と呼ばれることが多いと思います。

各略称の個別名称はこちら
投稿日:

SOC報告書の種類

SOC報告書は3分類

 SOC報告書には、いくつかの種類があります。保証対象や報告先によって分類が行われていますが、この分類は、米国公認会計士協会(AICPA)で定めたカテゴリー区分、SOC1、SOC2、SOC3が広く定着しています。また、米国外でも類似の制度があり、日本でも、同種の報告書が存在しています。しかし、この制度は、米国から発展した経緯もあり、SOCという略称の知名度が高いため、日本でもSOC1、SOC2、SOC3に相当する報告書として、SOCの略称が一般的に使われています。なお、SOC1、SOC2、SOC3という呼称は、米国で登録商標になっているため、厳密にいえば、米国基準に基づいて発行された報告書を指すことになります。ただし、日本基準及び国際基準とも同等の保証業務になるため、その保証レベルに差異がある訳ではありません。

対象となる内部統制

 表のとおり、SOC1は財務報告に関連する内部統制を対象としており、財務諸表監査のために利用されることを前提とした報告書になります。SOC2及びSOC3は、財務報告に関連しない領域を含む内部統制を対象としていますが、このことは、財務報告に関連する内部統制も含まれることを意味しているため、SOC2の場合、財務諸表監査でも利用できる場合があります。ただし、報告書に必要とする情報が網羅的に含まれているかどうかなど、利用できるか否かの整理が必要になります。

SOC2とSOC3の違い

 SOC2及びSOC3の保証対象はセキュリティ等5つのカテゴリーとなりますが、SOC2は想定利用者が限定されているのに対して、SOC3は不特定多数が利用できることを想定したレポートになります。また、SOC3はWebサイト上でレポートが公開されることが想定されます。
 SOC2は、何らかの監査で利用されることを想定しているほか、規制当局などへの報告用としても利用されることが想定されています。そのため、SOC1と同様に具体的な内部統制の状況や受託会社監査人の実施した手続の内容等が記載されますが、SOC3は広く一般ユーザー向けとして、理解しやすい概要情報として報告書は構成されます。実務では、SOC2報告書を作成しているサービス事業者が、それに加えてSOC3報告書を作成していることが通例です。ただし、SOC2報告書を取得していれば、その実績をもって、十分ユーザー側のニーズが満たされることも想定されるため、SOC3の報告書を発行しているケースは多くないと言えます。なお、SOC3は広告宣伝目的としては有効かと思われます。

適用基準とは?

 上記の表にある適用基準とは、各報告書に関わる実務上の指針になります。日本基準・国際基準・米国基準の3種類がありますが、日本のSOC1、SOC2及びSOC3に相当する基準は個別指針であり、一般指針である保証実3000と一緒に適用されることになります。また、日本の基準は、国際基準と整合させて作成されているため、実態として保証実3402とISAE3402、保証実3000とISAE3000は大きな相違はありません。
 各実務指針では、実務において準拠すべきガイドラインが示されていますが、それだけでは判断に迷うことがあるため、各種Q&Aも発行されています。同様に、米国でも詳しいガイドラインとして、SOC1 GuideやSOC2 Guideが発行されています。米国の各ガイドラインはかなり詳細な記述がされており、日本の実務においても、参考にしている実態があります。

各略称の個別名称はこちら
投稿日:

SOC報告書とは?

 SOC報告書は、企業や個人等にサービスを提供している事業者の業務が、有効な内部統制のもと行われているかどうか、知ることができる報告書になります。例えば、ユーザーがあるクラウドサービスを利用したいと考えた時に、そのクラウドサービス事業者が、SOC2報告書を提供していれば、それを入手することで、具体的な内部統制の状況について、知ることができます。

 SOCは、System and Organization Controlsの略となります。過去は、ユーザーから業務を受託しサービスを提供する「受託会社」のことを示す、Service Organization Controlsの略としてSOCだったのですが、より広い概念が含まれる略語に変更されています。Systemの用語が含まれている通り、SOC報告書は、ITの要素が多く含まれることが多いです。そのため、公認会計士の業務として、違和感があるかも知れませんが、昨今の監査法人では、会計士以外のITスペシャリストが数多く所属するほか、ITスキルを保持する会計士も増えています。独立性の保持や品質管理機能を有する監査法人は、内部統制の評価を行う第三者機関として、最も適切な組織とも言えるでしょう。

 下図では、財務諸表監査で利用されるSOC1報告書の関係当事者について説明をしています。クラウドサービスなどを利用している会社(委託会社)の財務諸表監査において、そのサービス事業者(受託会社)が提供するシステムの評価が必要になることが良くあります。委託会社及びその監査人は、受託会社へシステム評価の協力を依頼して、直接サービス事業者へ監査に行くケースも考えられますが、委託会社と受託会社に資本関係がある場合などを除いて、通常は、難しいことが考えられます。そこで、受託会社の監査人(監査法人等)に、保証業務として、このSOC報告書を発行してもらえると、委託会社及びその監査人はその報告書を監査に利用することができます。

 クラウドサービスなどは、多くのユーザーが利用していると想定されますが、そのSOC報告書をユーザーが共通利用できるため、費用対効果の観点から有益となります。なお、SOC2報告書やSOC3報告書でも同様の関係図が描かれますが、対象となる内部統制や想定する報告書の利用者が異なってきますので別の解説(こちら)を参照してください。

SOC1報告書の関係図

Scheme

 このSOC報告書ですが、残念ですが、すべてのクラウドサービス事業者や受託業務を提供している事業者がSOC報告書を提供しているものではありません。理由としては、SOC報告書のユーザーニーズが多くない場合、費用対効果が見込まれないためと思われます。

 もともと、米国でスタートした制度であるため、米国では広く普及していますが、日本ではまだ認知度は高いとは言えません。会計士業界の中でも、制度の内容を熟知している人は多くありません。ですが、昨今では、オンプレミスの従来型のシステムから、クラウドサービスの利用へどんどん変化しており、企業は外部サービスの利用の機会が増加しています。よって、監査上のニーズも高まることが想定され、また、具体的な内部統制の状況を情報提供するSOC報告書は、ベンダー選定プロセスの判断要素としても、有益な情報源になるものと思います。

※SOCは、もともと当該制度の発祥の地である米国での呼称ですが、日本でもこの呼び名が定着している現状があるため、日本及び国際基準での同種の報告書制度も含めて、この呼称を用いて解説しています。

各略称の個別名称はこちら
投稿日:

略称の個別名称

略称個別名称など
JICPA日本公認会計士協会
AICPA米国公認会計士協会
ISAE3000国際保証業務基準(International Standard on Assurance Engagements)3000 「過去財務情報の監査又はレビュー以外の保証業務(Assurance Engagements Other than Audits or Reviews of Historical Financial Information)」
ISAE3402国際保証業務基準(International Standard on Assurance Engagements)3402「受託会社の内部統制に関する保証報告書(Assurance Reports on Controls at a Service Organization)」
SOCSystem and Organization Controls の略。過去は、Service Organization Controlsの略とされていたが、その時よりも広い観念となっています。
SOC1 GuideReporting on an Examination of Controls at a Service Organization Relevant to User Entities Internal Control Over Financial Reporting (SOC 1®)
SOC2 GuideSOC 2® Reporting on an Examination of Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy
SSAE16(旧)米国保証業務基準書第16号(Statement on Standards for Attestation Engagements No.16)
SSAE18/21米国保証業務基準書第18号21号(Statement on Standards for Attestation Engagements No.18/21)
保証実 3000保証業務実務指針 3000「監査及びレビュー業務以外の保証業務に関する実務指針」
保証実 3402保証業務実務指針 3402「受託業務に係る内部統制の保証報告書に関する実務指針」
保証実 3850(旧)保証業務実務指針 3850「情報セキュリティ等に関する受託業務のTrust に係る内部統制の保証報告書に関する実務指針」
保証実 3702保証業務実務指針 3702「情報セキュリティ等に関する受託業務のTrust に係る内部統制の保証報告書に関する実務指針」
18号報告書(旧)監査基準委員会報告書第18号「委託業務に係る内部統制の有効性の評価」に基づく報告書
86号報告書(旧)監査・保証実務委員会実務指針 第 86 号「受託業務に係る内部統制の保証報告書」に基づく報告書
IT7号報告書(旧)IT委員会実務指針第7号「受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の保証報告書」に基づく報告書
IT2号報告書(旧)IT委員会実務指針第2号「Trustサービスに係る実務指針(中間報告)」に基づく報告書
Trustサービス規準The 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy
記述規準DC Section 200 — 2018 Description Criteria for a Description of a Service Organization’s System in a SOC 2® Report
ISMSInformation Security Management System(情報セキュリティマネジメントシステム)
ISMAPInformation system Security Management and Assessment Program(政府情報システムのためのセキュリティ評価制度)