SOC2取得までの一般的なスケジュール
― 準備 → Type1 → Type2のステップで計画的に進める ―
SOC2保証報告書の取得は、一般的に以下の3ステップで進行します:
- SOC2準備期間
- Type1報告書の取得
- Type2報告書の取得
① SOC2準備期間(内部統制の整備フェーズ)
この期間は、SOC2検証に耐えうる内部統制の仕組みを構築・改善するための準備フェーズです。一般的には、監査法人による Readiness Check(いわゆる Fit & Gap 分析) を実施し、現状の統制と求められる統制のレベルとの間にあるギャップを特定したうえで、必要な改善対応を行います。
この改善作業に要する期間は、
- 識別された改善事項の量や複雑さ
- 改善対応のスピード感(社内で改善に割けるコストや人員等のリソース状況)
によって異なりますが、少なくとも2〜3カ月程度は見込んでおくべきでしょう。
また、このタイミングで統制記述書(レポート)のドラフトを作成しておくことで、Type1またはType2へのスムーズな移行が可能になります。
② Type1報告書の取得(統制整備状況の時点評価)
Type1報告書は、ある「特定の時点」において、内部統制が適切に整備されているかどうかを評価するレポートです。このレポートを発行するには、事前にSOC2の準備フェーズが完了していることが前提となります。準備が完了した日をType1報告書の「基準日」として設定し、その基準日前後に、約1カ月程度の検証期間が設けられます。したがって、基準日からおおよそ1カ月後にType1報告書が発行されるスケジュール感となります。
Type2報告書の取得(運用状況の期間評価)
Type2報告書は、一定の対象期間(例:3カ月)にわたって、内部統制が適切に整備され、かつ有効に運用されていたかを評価するレポートです。
対象期間が終了した後に、監査人による検証作業(通常1カ月程度)が行われるため、Type2の期初から報告書の発行までには、概ね4カ月程度を要することになります。
スケジュール例(3カ月間の対象期間を前提)
たとえば、2025年8月にSOC2準備を開始し、Type2の評価対象期間を3カ月とした場合、スケジュールは次のようになります:
- ① SOC2準備期間:2025年8月〜10月
- ② Type1報告書受領:2025年11月(基準日:2025年10月末)
- ③ Type2報告書受領:2026年2月(対象期間:2025年11月〜2026年1月
なお、Type2の対象期間(3カ月/6カ月/1年など)によって全体スケジュールは大きく変わるため、対象期間の設定については監査法人との早期の合意形成が不可欠です。
SOC2ー取得までのスケジュール
