タグ: SOC2

投稿日:

評価規準-Trust サービス規準

 保証業務全般に言えることですが、特定の内部統制を評価するには、一定の物差しが必要となり、その評価の物差しとして、SOC2及びSOC3報告書では、Trustサービス規準が利用されています。このTrustサービス規準は、セキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーのカテゴリーから構成されていますが、すべてのカテゴリーに基づいて評価する必要はなく、受託会社が、ユーザー側のニーズなどを踏まえて、どのカテゴリーが適切か選択することになります。なお、セキュリティの規準は、共通規準となっており、必ず選択されるカテゴリーとなります。

Trustサービス規準

Trust Service Criteria

 補足ですが、ユーザーのいろいろなニーズに対応するため、Trustサービス規準に、他の規制や業界団体で利用されている規準などを加えて一緒に評価することも可能です。この種のレポートは米国ではSOC2+と呼ばれています。

 また、SOC2報告書では、報告書に含まれる記述書の記載方法について定めた、記述規準というものが別途あります。この規準で報告書に記載される内容について一定の方針が定められているため、受託会社がどのような内容を記載すれば良いのか手助けになりますし、受託会社監査人が、適切に記述書が表示されているか判断する際に役立ちます。

 Trustサービス規準と記述規準については、原文は英語になりますが、その日本語訳が日本公認会計士協会(JICPA)から公表されています。Trustサービス規準はこちら※。記述規準はこちら※。

※Trustサービス規準および記述規準については、2022年にガイダンスの一部(Trustサービス規準の着眼点および記述規準の実施ガイダンス)が更新されています。なお、規準そのものは修正されていません。JICPAの日本語訳は、当該更新について対応していません。

各略称の個別名称はこちら
投稿日:

相補的な内部統制

 SOC報告書を利用する側で、留意しなければならない事項の一つとして、相補的な内部統制があります。相補的な内部統制は、日本公認会計士協会の実務指針では「受託業務をデザインする段階で、委託会社において整備されることを受託会社が想定する内部統制であり、受託会社のシステムに関する記述書において統制目的の達成に必要な内部統制として識別され、記載されるもの」と定義されていますが、この記述がSOC報告書に記載されている場合(第3部に記載される。)、報告書の利用者は目を通しておく必要があります。

 受託会社であるベンダーは、ユーザー側で行うアクションが正当であることを前提に、業務を行います。例えば、クラウドサービスにアクセスする人は、ユーザー側で適切に承認された人に限定されていなければなりません。このアクセス権の管理は、ユーザー側で行う内部統制であるため、「そのような統制は、相補的な内部統制として、ユーザー責任になりますよ」といった注意喚起の情報と言えるでしょう。

 よって、この相補的な内部統制の記載がある場合は、報告書の利用者側で、必要に応じて、その内部統制が有効に機能しているか確かめておく必要があります。

ユーザー側の相補的な内部統制

complementaty

 上記では、ユーザー側の相補的な内部統制を説明しましたが、これ以外に再受託会社の相補的な内部統制もあります。再受託会社とは、SOC報告書を提供するサービス事業者(受託会社)が、一部のシステムについて外部のサービスを使っている場合、その外部サービスを提供する事業者になります。

 再受託会社の内部統制は、サービス事業者(受託会社)の管理下にないことがあるため、SOC報告書にその記載がある場合、その内部統制は報告書の評価対象範囲となりますという注意喚起になります。

 例えば、サービス事業者が外部のデータセンターを利用している場合、そのデータセンター側で行われる内部統制については、再受託会社の内部統制として評価対象外となり、データセンター側で行わることが想定される内部統制が、記述書に記載されます。この再受託会社の相補的な内部統制がユーザー側で重要であると判断される場合は、当該再受託会社(データセンター)側でもSOC報告書を提供してもらうなどの対応が求められます。サービス事業者側でも、その点を考慮して、従来からSOC報告書を提供しているデータセンターを最初から利用するなどの対応を行うことが適切と思われます。

各略称の個別名称はこちら
投稿日:

SOC報告書の記載内容

 SOC報告書は、ユーザーに利用してもらうことを前提に構成されていますが、どこにどのような情報が載っているのかユーザーは基礎知識として、知っていた方が良いでしょう。そこで、以下に、SOC報告書にどのような内容が記載されているのか解説します。なお、ここでは、SOC1及びSOC2を対象にして説明しています。

第1部 受託会社監査人の保証報告書※1

 受託会社監査人の保証報告書は、監査法人等の意見などを記載したものです。一定のひな形が定められており、実務ではそれを修正するような形で報告書が作成されます。そのため、どの監査法人等が作成する報告書も一様に見えますが、ときに普通でない意見が付されている場合がありますので、要注意です。普通でないとは、限定意見や不適正意見などを指します。このような意見だった場合は要注意で、必ず限定や不適正等になった根拠やその内容が記載されていますので、その内容について十分に確かめることが必要になります。なお、実務では事前に保証報告書を取得する前に、適切な内部統制を整備・運用する準備を行うことが通例であるため、限定意見や不適正意見などになるケースはまれです。

第2部 受託会社確認書※1

 ユーザーへのサービス提供に関して、内部統制を整備し業務に適用し、有効に運用する責任は、あくまでも受託会社にあるため、その責任を果たしている旨を定型的なひな形を利用して、簡潔にまとめたものになります。必要な事項が記述書に記載されていること、リスクが識別され、リスクを低減する統制が整備されていること、整備された統制が有効に運用されていることについて、記載されます。

第3部 記述書※2

 受託会社が提供しているサービスで、SOC報告書の評価対象範囲となる受託業務の説明、受託会社の会社レベルの内部統制、評価対象範囲における受託業務に係る個別の内部統制になどついて、記述されます。ISMSなどの認証では得られない情報が記載されていますので、ユーザー側は、期待しているサービスレベルを達成しているのか、具体的に整備されている内部統制の記述を見て確認することができます。

第4部 運用評価手続とその結果※2

 第3部に記載された内部統制から、主要な内部統制について選定し、その運用評価手続を実施した結果について記載します(選定していない内部統制は整備状況だけ確かめられる。)。運用評価手続に際して、逸脱事項があれば、その内容も記載されます。この第4部は、特定時点の整備状況の評価を行うタイプ1の報告書には含まれません。
 運用評価対象とした手続実施に際して、発見された逸脱事項は必ず記載することになっていますが、逸脱事項が発見されても、他の内部統制が有効であった場合など、全体として内部統制が有効に機能していたと判断される場合は、特に第1部で表明される意見に影響を及ぼしません。

第5部 その他の情報提供

 第4部で逸脱事項が指摘された場合、その逸脱事項に対する受託会社側からの改善状況などの説明が記載されます。改善の状況が分かる前向きな情報として捉えると良いと思います。
 上記のほか、将来予定されるシステムの変更など、ユーザー側に有益と思われる情報が必要に応じて提供されますが、どちらも該当事項がない場合は、第5部全体が作成されないことになります。

※1 第1部と第2部の順番は、SOC1報告書の場合となります。SOC2報告書では、SOC2 Guide上で並びが逆になります。

 

※2 第4部には第3部に記載される内容と同じ情報が記載されるため、重複を避け第3部の記載を一部省略し、第4部のみに記載される場合があります。

各略称の個別名称はこちら
投稿日:

SOC報告書の構成とタイプ

 ここでは、SOC報告書の構成について解説します。なお、SOC3は特殊な報告書になるため解説を割愛します。

 SOC報告書には、ある一時点の整備状況だけ評価を行うタイプ1と呼ばれる報告書と特定の期間の整備・運用状況の評価を行うタイプ2の報告書に分かれます。SOC1及びSOC2のタイプ2の報告書は、図の通り5部構成になっています。なお、第5部の「その他の情報提供」がない場合は、作成されないため、4部構成になります。タイプ1の場合は、運用評価手続が行われないため、第4部は作成されません。

 第5部のその他の情報提供ですが、監査人の手続の中で逸脱が発見され、その対応状況等についての説明を行う場合や、新システムやシステム変更の将来計画、ユーザーが関心を持つ可能性がある後発事象(報告書の評価対象期間後に発生するもの)などがある場合、作成されます。

SOC報告書の構成

報告書の構成

 タイプ1とタイプ2は時点評価と期間評価の違いがあり、その利用目的も変わってきます。ユーザーが単純に整備状況の評価だけ確かめることを目的としている場合は、タイプ1で十分ですが、ユーザーが監査で手続の代替として利用したい場合は、通常、運用評価手続が含まれていることが必要なので、タイプ2の報告書を求めることになります。

 タイプ1を発行する場合として、例えば、受託会社がタイプ2の準備をしている段階で、早期にSOC報告書を取得したことを公表したい場合や、前年の評価において、逸脱事項があったが、報告書の発行日までにその逸脱事項の改善が間に合わず、レポートの記載を含めることができなかったときに、改善対応が終了した時点で、一旦外部評価を受けたい時などに利用することが考えられます。

各略称の個別名称はこちら
投稿日:

ISMAPとの違い

 2020年から運用開始となったISMAP(政府情報システムのためのセキュリティ評価制度)という制度があります。これも監査法人が行うIT関連の業務であり、監査法人は、監査機関として、クラウドサービス事業者の内部統制について評価を行います。ただし、ISMAPの枠組みでは、「監査」と表現されていますが、日本公認会計士協会の取り扱いとしては、「その他の調査報告業務」に該当するものと考えられるとされています。
 つまり、公認会計士の業務において、監査は会計監査のように各種の監査基準や実務指針等に基づいて行われる特定の業務のみを指しているため、ISMAPを同等の業務として取り扱うことができないので、留意が必要です。また、SOC報告書は会計監査と同じレベルの保証業務となり、同様にISMAPと異なる性質の業務となります。

 ISMAPとSOC報告書や会計監査との具体的な違いを言うと、SOC報告書や会計監査では、監査人が行った手続結果に基づいて意見が表明されますが、ISMAPの報告書においては、監査人の意見が表明されない点があります。これは、ISMAPが政府向けの特定の利用者に向けての限定した報告になり、利用者側で、その報告結果に基づいて、適切なクラウドサービス事業者であるか判断することになっていますが、SOC報告書や会計監査は、複数の利用者を想定して専門家の意見を付して報告を行うため、その想定利用者と監査人の責任の範囲に大きな違いがあることによります。

SOC業務とISMAPの業務実施手順の違い

ISMAP vs SOC

 余談ですが、ISMAPクラウドサービスリストへの登録をもって、財務諸表監査への証跡とならないかという質問されることがあります。これについては、ユーザーの立場として、一定レベルの内部統制が維持されているという心証は得られますが、財務諸表監査において、評価手続の代替となるものではありません。
 これは、ISMAPの報告書は、政府向けに利用者が限定されたもので、他のユーザーへ提供されることはありませんので、クラウドサービス事業者の具体的な内部統制の状況や、監査人が実施した手続の内容などを、ISMSなどの認証と同様に確かめることができないためになります。

各略称の個別名称はこちら
投稿日:

認証制度との違い

 クラウドサービス事業者などは、ISMSやプライバシーマークなどの認証を取得していることが多いと思います。これらの認証制度は、サービス事業者が一定レベルの内部統制が維持されていることが分かりますので、どのサービス事業者を選定するのが良いかなどの判断において、有益になると思います。それでは、SOC報告書とどこが違うのでしょうか?

 ISMSなどの認証制度では、サービス事業者の業務に係る内部統制の具体的な状況はユーザー側では知ることができませんが、SOC報告書は、ユーザーに対して配布することを目的に報告書を作成していることから、その状況を知ることができます。また、その利用者は、ユーザー企業(委託会社と言う)とその企業の監査人(委託会社監査人と言う)などが想定されます。これは、例えば財務諸表監査目的で作成される報告書は、具体的に内部統制の整備・運用状況が記載されていないと、委託会社監査人等のユーザー側では情報不足で利用できないことなどが背景としてあります。

 会計監査の実務では、クライアントが外部ベンダーサービスを利用している場合、財務諸表監査目的で発行されるSOC1報告書を利用していることが通例ですが、クライアントが新規に外部サービスを利用する際に、ベンダーがISMS認証を取得しているようなので、それをもって、監査で対応してくれませんか?と言われることがあります。しかし、ISMSなどの認証では、具体的な内部統制の状況が不明なので、財務諸表監査で必要な手続が実施できないため、「無理です」と回答せざるを得ません。

 ユーザーがセキュリティに関して、そのサービス事業者の信頼性を確かめたいという時は、ユーザーのニーズに幅があると思われるため、単純に一つの境界として捉えている場合は、ISMSのような認証の方が良い場合がありますし、ユーザーが何らかの監査目的で使いたい(何らかの説明責任がある)場合は、SOC2が適しています。

 その他、ISMSとSOC2の比較についてはいろいろな見解があります。例えば、「ISMSはベストプラクティスを目的として設計されていて良い」、「SOC2は特定期間の運用テストを行うのでより高いレベルの保証が得られる」、「ISMSはセキュリティに焦点を当てているが、SOC2はそれに加え、可用性、処理のインテグリティ、機密保持、プライバシーのオプションの追加規準があり、ユーザーニーズに合わせた柔軟性がある」などが挙げられます。よって、これらの内容を踏まえて、どちらが適切なのか判断することになります。ただし、北米系企業を中心に、SOC2報告書を要求してくるユーザーも多く見受けられますので、その場合は、ユーザーニーズに応じて、SOC2を取得することになるでしょう。

各略称の個別名称はこちら
投稿日:

日本基準の変遷

 日本基準については、実務指針の管理番号が度々変更され、混乱している人もいるかもしれませんので、解説しておきたいと思います。

 日本においても米国の制度にならって、受託業務の内部統制等に関わる報告書は3つに分類され、実務指針の番号を取って、過去にSOC1に相当するレポートとして18号及び86号報告書、SOC2に相当するレポートとしてIT7号報告書、SOC3に相当するレポートとしてIT2号報告書がありました。「86号」「IT7号」「IT2号」と2桁以内の数値のためか、比較的覚えやすかったと思います。

日本基準の変遷

history

 しかし、実務指針の改訂及び実務指針の管理番号体系の整理に伴い、現状では、保証実3402、保証実3702に変更され、3分類を示す略称はありません。旧IT2号については、SysTrustとWebTrustの業務についての実務指針でしたが、SysTrustは実質としてTrustサービス規準で行うSOC3と同等の業務であるため、保証実3850(3702)に取り込むこととし、WebTrustは、旧IT2号の廃止に伴い、国際基準のISAE3000で対応しています。これについては、米国制度での取り扱いに歩調を合わせたものになっています。

 SOC1に相当する保証実3402は、国際基準と同じ番号を付しているため、ある意味混乱しなくて良いのですが、SOC2に相当するレポートは、過去IT7号として徐々に知名度を上げてきた(と思われる)ところ、その後3850(経過的に3852が存在)、3702に変更されたため、覚えにくい番号になってしまったように思います。

 これに対して、米国では、日本と同じように関連する基準名や番号の変更もありましたが、一貫としてSOC1・SOC2・SOC3の分類でブランドを築きあげてきたと思います。その結果、日本の実務でも、受託業務の内部統制に関わる報告書は、一般的名称としてSOC報告書と呼ばれることが多いと思います。

各略称の個別名称はこちら
投稿日:

SOC報告書の種類

SOC報告書は3分類

 SOC報告書には、いくつかの種類があります。保証対象や報告先によって分類が行われていますが、この分類は、米国公認会計士協会(AICPA)で定めたカテゴリー区分、SOC1、SOC2、SOC3が広く定着しています。また、米国外でも類似の制度があり、日本でも、同種の報告書が存在しています。しかし、この制度は、米国から発展した経緯もあり、SOCという略称の知名度が高いため、日本でもSOC1、SOC2、SOC3に相当する報告書として、SOCの略称が一般的に使われています。なお、SOC1、SOC2、SOC3という呼称は、米国で登録商標になっているため、厳密にいえば、米国基準に基づいて発行された報告書を指すことになります。ただし、日本基準及び国際基準とも同等の保証業務になるため、その保証レベルに差異がある訳ではありません。

対象となる内部統制

 表のとおり、SOC1は財務報告に関連する内部統制を対象としており、財務諸表監査のために利用されることを前提とした報告書になります。SOC2及びSOC3は、財務報告に関連しない領域を含む内部統制を対象としていますが、このことは、財務報告に関連する内部統制も含まれることを意味しているため、SOC2の場合、財務諸表監査でも利用できる場合があります。ただし、報告書に必要とする情報が網羅的に含まれているかどうかなど、利用できるか否かの整理が必要になります。

SOC2とSOC3の違い

 SOC2及びSOC3の保証対象はセキュリティ等5つのカテゴリーとなりますが、SOC2は想定利用者が限定されているのに対して、SOC3は不特定多数が利用できることを想定したレポートになります。また、SOC3はWebサイト上でレポートが公開されることが想定されます。
 SOC2は、何らかの監査で利用されることを想定しているほか、規制当局などへの報告用としても利用されることが想定されています。そのため、SOC1と同様に具体的な内部統制の状況や受託会社監査人の実施した手続の内容等が記載されますが、SOC3は広く一般ユーザー向けとして、理解しやすい概要情報として報告書は構成されます。実務では、SOC2報告書を作成しているサービス事業者が、それに加えてSOC3報告書を作成していることが通例です。ただし、SOC2報告書を取得していれば、その実績をもって、十分ユーザー側のニーズが満たされることも想定されるため、SOC3の報告書を発行しているケースは多くないと言えます。なお、SOC3は広告宣伝目的としては有効かと思われます。

適用基準とは?

 上記の表にある適用基準とは、各報告書に関わる実務上の指針になります。日本基準・国際基準・米国基準の3種類がありますが、日本のSOC1、SOC2及びSOC3に相当する基準は個別指針であり、一般指針である保証実3000と一緒に適用されることになります。また、日本の基準は、国際基準と整合させて作成されているため、実態として保証実3402とISAE3402、保証実3000とISAE3000は大きな相違はありません。
 各実務指針では、実務において準拠すべきガイドラインが示されていますが、それだけでは判断に迷うことがあるため、各種Q&Aも発行されています。同様に、米国でも詳しいガイドラインとして、SOC1 GuideやSOC2 Guideが発行されています。米国の各ガイドラインはかなり詳細な記述がされており、日本の実務においても、参考にしている実態があります。

各略称の個別名称はこちら
投稿日:

SOC報告書とは?

 SOC報告書は、企業や個人等にサービスを提供している事業者の業務が、有効な内部統制のもと行われているかどうか、知ることができる報告書になります。例えば、ユーザーがあるクラウドサービスを利用したいと考えた時に、そのクラウドサービス事業者が、SOC2報告書を提供していれば、それを入手することで、具体的な内部統制の状況について、知ることができます。

 SOCは、System and Organization Controlsの略となります。過去は、ユーザーから業務を受託しサービスを提供する「受託会社」のことを示す、Service Organization Controlsの略としてSOCだったのですが、より広い概念が含まれる略語に変更されています。Systemの用語が含まれている通り、SOC報告書は、ITの要素が多く含まれることが多いです。そのため、公認会計士の業務として、違和感があるかも知れませんが、昨今の監査法人では、会計士以外のITスペシャリストが数多く所属するほか、ITスキルを保持する会計士も増えています。独立性の保持や品質管理機能を有する監査法人は、内部統制の評価を行う第三者機関として、最も適切な組織とも言えるでしょう。

 下図では、財務諸表監査で利用されるSOC1報告書の関係当事者について説明をしています。クラウドサービスなどを利用している会社(委託会社)の財務諸表監査において、そのサービス事業者(受託会社)が提供するシステムの評価が必要になることが良くあります。委託会社及びその監査人は、受託会社へシステム評価の協力を依頼して、直接サービス事業者へ監査に行くケースも考えられますが、委託会社と受託会社に資本関係がある場合などを除いて、通常は、難しいことが考えられます。そこで、受託会社の監査人(監査法人等)に、保証業務として、このSOC報告書を発行してもらえると、委託会社及びその監査人はその報告書を監査に利用することができます。

 クラウドサービスなどは、多くのユーザーが利用していると想定されますが、そのSOC報告書をユーザーが共通利用できるため、費用対効果の観点から有益となります。なお、SOC2報告書やSOC3報告書でも同様の関係図が描かれますが、対象となる内部統制や想定する報告書の利用者が異なってきますので別の解説(こちら)を参照してください。

SOC1報告書の関係図

Scheme

 このSOC報告書ですが、残念ですが、すべてのクラウドサービス事業者や受託業務を提供している事業者がSOC報告書を提供しているものではありません。理由としては、SOC報告書のユーザーニーズが多くない場合、費用対効果が見込まれないためと思われます。

 もともと、米国でスタートした制度であるため、米国では広く普及していますが、日本ではまだ認知度は高いとは言えません。会計士業界の中でも、制度の内容を熟知している人は多くありません。ですが、昨今では、オンプレミスの従来型のシステムから、クラウドサービスの利用へどんどん変化しており、企業は外部サービスの利用の機会が増加しています。よって、監査上のニーズも高まることが想定され、また、具体的な内部統制の状況を情報提供するSOC報告書は、ベンダー選定プロセスの判断要素としても、有益な情報源になるものと思います。

※SOCは、もともと当該制度の発祥の地である米国での呼称ですが、日本でもこの呼び名が定着している現状があるため、日本及び国際基準での同種の報告書制度も含めて、この呼称を用いて解説しています。

各略称の個別名称はこちら