クラウドサービス事業者などは、ISMSやプライバシーマークなどの認証を取得していることが多いと思います。これらの認証制度は、サービス事業者が一定レベルの内部統制が維持されていることが分かりますので、どのサービス事業者を選定するのが良いかなどの判断において、有益になると思います。それでは、SOC報告書とどこが違うのでしょうか?
ISMSなどの認証制度では、サービス事業者の業務に係る内部統制の具体的な状況はユーザー側では知ることができませんが、SOC報告書は、ユーザーに対して配布することを目的に報告書を作成していることから、その状況を知ることができます。また、その利用者は、ユーザー企業(委託会社と言う)とその企業の監査人(委託会社監査人と言う)などが想定されます。これは、例えば財務諸表監査目的で作成される報告書は、具体的に内部統制の整備・運用状況が記載されていないと、委託会社監査人等のユーザー側では情報不足で利用できないことなどが背景としてあります。
会計監査の実務では、クライアントが外部ベンダーサービスを利用している場合、財務諸表監査目的で発行されるSOC1報告書を利用していることが通例ですが、クライアントが新規に外部サービスを利用する際に、ベンダーがISMS認証を取得しているようなので、それをもって、監査で対応してくれませんか?と言われることがあります。しかし、ISMSなどの認証では、具体的な内部統制の状況が不明なので、財務諸表監査で必要な手続が実施できないため、「無理です」と回答せざるを得ません。
ユーザーがセキュリティに関して、そのサービス事業者の信頼性を確かめたいという時は、ユーザーのニーズに幅があると思われるため、単純に一つの境界として捉えている場合は、ISMSのような認証の方が良い場合がありますし、ユーザーが何らかの監査目的で使いたい(何らかの説明責任がある)場合は、SOC2が適しています。
その他、ISMSとSOC2の比較についてはいろいろな見解があります。例えば、「ISMSはベストプラクティスを目的として設計されていて良い」、「SOC2は特定期間の運用テストを行うのでより高いレベルの保証が得られる」、「ISMSはセキュリティに焦点を当てているが、SOC2はそれに加え、可用性、処理のインテグリティ、機密保持、プライバシーのオプションの追加規準があり、ユーザーニーズに合わせた柔軟性がある」などが挙げられます。よって、これらの内容を踏まえて、どちらが適切なのか判断することになります。ただし、北米系企業を中心に、SOC2報告書を要求してくるユーザーも多く見受けられますので、その場合は、ユーザーニーズに応じて、SOC2を取得することになるでしょう。