SOC2の評価基準と開示基準について
SOC2は、システムのセキュリティなどに関する内部統制の整備および運用状況を評価した報告書ですが、そもそも「何を基準に内部統制が整備・運用されていると判断するのか?」という疑問を持たれる方も多いかと思います。
この評価の基準となるのが、AICPA(米国公認会計士協会)が定める「トラストサービス基準(Trust Services Criteria / TSP Section 100)」です。
この基準には以下の5つのカテゴリーが設定されています:
- セキュリティ※必須
- 可用性
- 処理のインテグリティ
- 機密保持
- プライバシー
SOC2の評価対象とするカテゴリーは、これらの中から選択しますが、セキュリティは全報告書において必須です。
セキュリティを対象とする場合には、「共通統制基準(Common Criteria:CC1~CC9)」を満たす内部統制が構築・運用されている必要があります。
ただし、このトラストサービス基準は非常に抽象的な表現が多く、実務上「具体的にどのような統制があれば十分なのか?」というイメージをつかむのは難しいのが現状です。
各基準にはAICPAから「着眼点(Points of Focus)」が公表されていますが、これもまた抽象的な記載が多く、また米国のガバナンス構造を前提とした内容になっているため、日本企業にとってはわかりにくい部分もあります。
そのため、SOC2の実務に知見のある監査法人や専門家に相談することを強くおすすめします。なお、JICPA(日本公認会計士協会)からは、日本語訳の参考資料も公表されていますので、こちらも参考になるでしょう。
SOC2レポートの開示基準について
SOC2レポートに記載する内容についても、AICPAが「DCセクション200(Description Criteria)」として開示基準を定めています。この基準に照らして、レポートには適切な記述が求められ、開示内容の適切性も監査法人の検証対象となります。
SOC2レポートをご覧になったことがある方はお分かりの通り、レポートの記述内容は多岐にわたり記述量は非常に多く、専門用語も多用されるため、一度読むだけでは理解が難しい内容です。当然のことながら、記述するのはさらに難易度が高く、SOC2の実務経験がない企業にとっては大きなハードルとなります。
したがって、この点においてもSOC2に精通した監査法人に相談しながら進めることが望ましいと言えるでしょう。