SOC2とは
SOC2レポートとは、アウトソーシング事業者(受託会社)が提供するシステムに係るセキュリティなどの内部統制状況について、 監査法人が評価する報告書のことです。
多くのサービスが自社サーバー・システムで運用するのではなく、運用・管理・コストを軽減できるクラウドを利用する時代になりました。 一方、クラウドの障害は自社でコントロールができないため、利用者に不利益を与える可能性があります。 利用者には手が届かないサービス業者の内部統制の整備・運用状況について監査法人が検証、報告書を発行することで、利用者はサービスの利用を検討する際の指標になります。
取得のメリット
独立した第三者(監査法人や監査事務所)が評価したレポートであり、国際的に効力のあるレポートであるため、
ユーザーに信頼感を与えることができ、営業のためのツールとして取得されるケースが多いです。
-
顧客・取引先への客観的信頼性の評価
公共性の高いサービスや顧客情報を大量に取り扱う企業をはじめ、顧客や取引先などに提供サービスの信頼性を客観的に証明し、ISMSやPマークよりも一歩進んだ評価を取得したい。
-
グローバル展開など営業強化ツール
営業活動における強力なツールとなるとともに、提供サービスのグローバル展開や外資系企業への営業において必須の評価となっております。 ※欧米のSOC2取得状況はこちら
-
セキュリティチェック回答免除
上場企業や金融機関などのユーザーからは、セキュリティチェックシートへの回答を求められるケースがほとんどです。これらのチェックシートには膨大な質問項目が含まれることが多く、対応には多大な労力がかかります。しかし、SOC2を取得している場合、大量の質問への回答が免除されるケースも多く見られます。
-
カスタマー対応費用削減
SOC2レポートには、システムのセキュリティなどに関する内部統制や、それに対する監査人の検証結果が記載されています。そのため、ユーザーからの問い合わせに対して、SOC 2レポートを提供するだけで解決するケースが多く、カスタマーサポートにかかる事務コストを大幅に削減することが可能です。
取得までの費用と期間
①SOC2準備期間 → ②SOC2 Type1 → ③SOC2 Type2という流れで進行するのが一般的です。
SOC2準備期間は、システム統制の構築を一定の水準にまで持っていくフェーズであり、少なくとも2~3カ月は見込む必要があります。
SOC2 Type1の段階では、①のSOC2準備が完了していることが前提ですが、少なくとも1カ月程度の期間が必要です。
SOC2 Type2では、期初からSOC2保証報告書の発行までには、最低でも9カ月を要します。
-
SOC2 準備期間
SOC2を取得するために必要な内部統制レベルと現状におけるギャップを抽出し、一定水準まで持っていくフェーズとなります。
» 準備期間を費やさない場合の取得リスクはこちら準備期間
約2~3ヵ月
費用約300万円
-
SOC2 Type1
ある特定の日におけるシステムに係る内部統制が適切に整備されているかについて評価を受けたレポートです。
» Type1とType2の違いはこちら取得までに要する期間
約1~2ヵ月
費用約200万円
-
SOC2 Type2
一定の期間にわたって、システムに係る内部統制が有効に機能しているかについて評価を受けたレポートです。
» Type1とType2の違いはこちら取得までに要する期間
約1年3ヵ月
費用約500万円
※ISMSなどの取得状況、VantaやDRATA等のコンプライアンスツールの導入状況、適用するトラスト基準としてセキュリティー以外に追加する項目の種別と個数、システムに係る内部統制の整備水準等に応じ、報酬は前後します。お見積りはお問い合わせまで。
SOC2準備やSOC2 Type1から始めることを強くお勧めいたします。
SOC2に関することは
下記よりお気軽にご相談ください
- ご相談無料
-
03-4400-0928電話受付|9:00-17:00(土日・祝日除く)
SOC2取得支援
メネサイドの強み
公認会計士によるご支援
-
SOC2取得支援から発行まで
ワンストップサービス
SOC2の発行は監査法人の独占業務です。 そのため、一般的なコンサルティング事業者の場合、SOC2取得に向けた支援は可能ですが、取得・発行するには、別途監査法人を選定する必要があります。この際、監査法人を探す手間が発生したり、発行プロセスの中で内部統制の確認や新たな指摘が入ることがあり、2度手間になるケースがあります。
一方、弊社では提携している監査法人を通じて、初期段階から発行までをワンストップでサポートいたします。これにより、効率的かつスムーズなSOC2の取得が可能となります。 -
大手監査法人出身メンバー
高品質かつ手厚いサポート
大手監査法人で豊富な実績を積んだ会計士および情報セキュリティの専門家がメンバーとしてご支援するため、高品質な業務提供が可能です。 また、高い専門性を保ちながらも、効率的な運営体制により、他の監査法人と比較してご利用いただきやすい報酬水準でサービスを提供しております。なお、VantaやDRATAを活用したご支援も可能です。
-
英語ネイティブ会計士在籍
英語版SOC2発行対応
英語ネイティブの会計士が在籍しており、日本語だけでなく英語でのレポート発行も可能です。外国籍企業のお客様へのSOC2の配布を想定している場合など、英語版が必要なケースがございます。
公認会計士
及川 翔太
一橋大学商学部卒業後、PwCあらた有限責任監査法人シニアマネージャーを経て、
株式会社メネサイドを創業し、現在に至る。
PwCでは資産運用セクターに所属し、内外のアセットマネジメント会社に対する会計監査や海外金融規制のアドバイザリー、内部統制の構築支援及び内部監査支援のプロジェクトをリードした。 2018年から2020年にかけて、PwCボストンオフィスに出向し、米国資産運用業界に対する監査経験を持つ。 2023年1月に株式会社メネサイドを創業し、IPO支援(SOX支援、決算早期化、予実管理、全体課題管理、監査法人対応等)や、SOC業務を始め内部監査、監査役監査等のガバナンス構築支援を中心に業務提供を行っている。 また、財務DDや企業価値算定等の財務アドバイザリー業務も提供している。
SOC2に関することは
下記よりお気軽にご相談ください
- ご相談無料
-
03-4400-0928電話受付|9:00-17:00(土日・祝日除く)
レポートの評価項目
セキュリティ、可用性、処理のインテグリティー、機密保持、プライバシーの5つのカテゴリーの中から、ユーザー視点で関連性の高いカテゴリーを選択し、その内部統制について記載します。
セキュリティについては必須記載項目ですが、可用性、処理のインテグリティ、機密保持、およびプライバシーは任意記載項目です。
これらの任意項目については、会社の都合で選択することはできず、あくまでもユーザー視点で選択する必要があります。つまり、ユーザーにとって重要と考えられる項目を選択しなければなりません。
また、受託会社が選択したカテゴリーに関する規準は、SOC2レポート上にすべて含まれる必要があります。(出所:保証業務実務指針 3702)
これは、TSPセクション100「2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy」(AICPA「Trustサービス規準」)において、
各Trustサービスカテゴリーにおける規準が提示されているのだが、そこに記載の基準については全てSOC2レポートに記載する必要があり、勝手に除くことはできないということを意味しております。
-
セキュリティ システムは未承認のアクセス、利用又は変更に対して保護されているか - 組織は、情報やそれを格納するシステムを保護するために、不正アクセスや情報漏洩を防ぐ適切なセキュリティ対策を実施する必要があります。 具体的には、認証・認可によるアクセス制御の実装、保存・転送するデータの暗号化、物理アクセスの制御、ネットワークセキュリティの実装などが求められます。
-
可用性 システムは、要求事項を満たすように、操作でき、かつ、利用できるか - 組織は、顧客に提供する製品・サービスが合意した通りに操作・使用できるよう、運用・モニタリングのための対策を実施する必要があります。 具体的には、システムの冗長性の確保、システムの監視とアラート、データバックアップの実施、災害復旧プランの策定・実施、サービスレベルアグリーメント(SLA)の設定などが求められます。
-
処理のインテグリティ システム処理は完全、正当、正確、適時かつ承認されているか - 組織が行うシステム処理は、完全で正当、正確かつ適時に実施され、かつ承認されている必要があります。 そのために、データの検証や整合性チェック、データの改ざん防止対策、データの履歴とトレーサビリティの確保、データ処理の監視とエラーハンドリングなどを実装する必要があります。
-
機密保持 機密として設定された情報が、要求事項を満たすように、保護されているか - 組織は、営業秘密や知的財産などの情報を収集・生成から廃棄まで保護する必要があります。 そのために、適切なアクセス制御の実装、データの分類とラベリング、データ転送時の保護、安全なデータの破棄、データアクセスのモニタリングなどの対策を実施する必要があります。
-
プライバシー 個人情報は、要件を満たすように、収集、利用、保護、開示及び廃棄されているか - 組織が扱う個人情報が、適切に収集、利用、保持、開示および廃棄される必要があります。 そのために、プライバシーポリシーの策定と公開、個人情報を収集する際の同意の取得、適切な範囲での情報の共有と第三者提供、権利に基づく削除要求への対応などの対策を実施し、個人情報の保護に努める必要があります。
安全なクラウドサービスが選ばれる時代へ
増加するSOC2取得・発行
国内大手クラウド事業者におけるSOC2の取得率は30%ですが、年々その取得率は増加しており、
今後は欧米のように取得が必須になることが予想されます。
| SOC2 | ISO27001 | ISO27017 | |
|---|---|---|---|
| レポートor認証系 | レポート系 | 認証系 | 認証系 |
| 日本取得率※1 | 30% | 100% | 95% |
| 欧米取得率※1 | 95% | 70% | 65% |
(※1)国内のクラウド事業者10社、海外のクラウド事業者20社が対象(2021年9月時点)
日本企業の取得も増えております
→横スクロールで表全体をご覧いただけます。
| 会社名 | 対象システム | 業種 | Type1 or 2 | 5つの基準 |
|---|---|---|---|---|
| 株式会社インフォマート | BtoBプラットフォーム | BtoB(企業間電子商取引)プラットフォームの運営 | Type2 | セキュリティ |
| 株式会社SmartHR | SmartHR | クラウド人事労務 | Type2 | セキュリティ |
| 株式会社セゾンテクノロジー | HULFT Square | データプラットフォームビジネス | Type1 | セキュリティ |
| トッパン・フォームズ株式会社 | 6つのシステム(FastShot, FastNumber, FastEntry, WebBureau, AIRPOST, EngagePlus) | DPSやデジタルソリューション | Type2 | セキュリティ・可用性 |
| シンプレクス株式会社 | シンプレクス株式会社のソリューションに係るシステムインテグレーションサービス/運用保守サービス/共同利用型(ASP)サービス | コンサルティングサービス、システム開発、運用保守 | Type2 | セキュリティ |
| 株式会社ソラコム | IoTプラットフォーム「SORACOM」 | IoTプラットフォーム開発・提供 | Type1 | セキュリティ・機密保持 |
| Notta株式会社 | Notta | AI自動文字起こしツール | Type2 | 非公表 |
SOC2に関することは
下記よりお気軽にご相談ください
- ご相談無料
-
03-4400-0928電話受付|9:00-17:00(土日・祝日除く)
SOC2をもっとご理解していただくための
SOC2 コラム
SOC2に関する各種情報をご提供しております。
-
SOC2レポート –レポートの構成–
報告書の構成内容は以下の通りで、50~100ページ程度の報告 ...more
-
準備期間を費やさない場合の取得リスク
SOC2準備コンサルティングやType1から始めることを強く ...more
-
費用対効果分析(デモンストレーション)
前提:年間売上10億円、費用8億円、利益2億円の会社の場合 ...more
-
Type1とType2の違い
SOC2レポートには、監査法人(監査事務所)による評価をうけ ...more
-
SOC2取得までの費用及び期間
①SOC 2準備この期間は、システムに係る内部統制を一定の水 ...more
-
SOC1とSOC3との違いについて
分類 (米国公認会計士協会) 主題 基準:米国公認会計士協会 ...more
SOC2に関することは
下記よりお気軽にご相談ください
- ご相談無料
-
03-4400-0928電話受付|9:00-17:00(土日・祝日除く)