日本基準については、実務指針の管理番号が度々変更され、混乱している人もいるかもしれませんので、解説しておきたいと思います。
日本においても米国の制度にならって、受託業務の内部統制等に関わる報告書は3つに分類され、実務指針の番号を取って、過去にSOC1に相当するレポートとして18号及び86号報告書、SOC2に相当するレポートとしてIT7号報告書、SOC3に相当するレポートとしてIT2号報告書がありました。「86号」「IT7号」「IT2号」と2桁以内の数値のためか、比較的覚えやすかったと思います。
日本基準の変遷
しかし、実務指針の改訂及び実務指針の管理番号体系の整理に伴い、現状では、保証実3402、保証実3702に変更され、3分類を示す略称はありません。旧IT2号については、SysTrustとWebTrustの業務についての実務指針でしたが、SysTrustは実質としてTrustサービス規準で行うSOC3と同等の業務であるため、保証実3850(3702)に取り込むこととし、WebTrustは、旧IT2号の廃止に伴い、国際基準のISAE3000で対応しています。これについては、米国制度での取り扱いに歩調を合わせたものになっています。
SOC1に相当する保証実3402は、国際基準と同じ番号を付しているため、ある意味混乱しなくて良いのですが、SOC2に相当するレポートは、過去IT7号として徐々に知名度を上げてきた(と思われる)ところ、その後3850(経過的に3852が存在)、3702に変更されたため、覚えにくい番号になってしまったように思います。
これに対して、米国では、日本と同じように関連する基準名や番号の変更もありましたが、一貫としてSOC1・SOC2・SOC3の分類でブランドを築きあげてきたと思います。その結果、日本の実務でも、受託業務の内部統制に関わる報告書は、一般的名称としてSOC報告書と呼ばれることが多いと思います。