SOC2レポートの記載内容について
SOC2レポートは、一般的に以下の4つのセクションで構成されています:
- Section 1:監査人の意見
- Section 2:受託会社の確認書
- Section 3:システム記述書
- Section 4:監査人が実施した運用評価手続および当該手続の結果
これらの呼称(Section 1〜4)は、多くの監査人が用いる標準的な区分ですので、参考として記載します。
なお、Section 2(受託会社の確認書)およびSection 3(システム記述書)は、いずれも会社側で作成する必要がある文書です。
Section 3(システム記述書)およびSection 4(監査人の評価手続およびその結果)は、SOC2レポートの中でも最も重要な構成要素であるため、以下で詳しく解説します。
システム記述書(Section 3)について
システム記述書は、SOC2レポートを取得する会社自身が作成する文書であり、非常にボリュームのある重要なドキュメントです。
この記述書には、以下の情報が含まれます:
- 提供するサービスの種類
対象となるシステムが提供するサービスの概要 - 主要なサービスコミットメントおよびシステム要求事項
委託会社(サービス利用者)などに対して宣言されたサービス内容のうち、選択されたTrustサービスカテゴリー(例:セキュリティ)に関連するコミットメントと、それを達成するために設計された社内システムの要求事項 - 業務提供に利用されるシステムの構成要素
対象システムの構成要素であるインフラ、ソフトウェア、人員、手続き、データなど - 識別されたインシデントの内容
対象期間中に識別されたインシデントの概要(Type2で該当がある場合) - サービスの提供に関する内部統制
サービスコミットメントおよびシステム要求事項が満たされるよう、合理的な保証を提供するために設計された関連内部統制。 ※Trustサービス基準(TSC)との関連性が分かるように記載する - 相補的な委託者の内部統制
委託者側(サービス利用企業)が整備・運用すべき内部統制。 - 相補的な再受託会社の内部統制
再委託先企業が整備・運用すべき内部統制。
監査人が実施した運用評価手続および当該手続の結果(Section 4)について
監査人が実施した運用評価手続および当該手続の結果(Section 4)は、Type2レポートにのみ記載されます。
このセクションは、会社ではなく、監査人の実施基準(監査人向けの業務基準)に基づいて記載されるものであり、監査人が作成する箇所となります。
(抜粋:保証業務実務指針 3702)
52.タイプ2の報告書の場合、受託会社監査人の報告書には、意見の後に別の区分を設け、又は別紙として、実施した運用評価手続及び当該手続の結果を記載しなければならない。受託会社監査人は、運用評価手続の記述に、以下を明確に記載しなければならない。 (1) どの内部統制に運用評価手続を実施したか。 (2) 手続の実施対象が母集団の全項目か又は一部の抽出項目か。 (3) 運用評価手続の内容。運用評価手続の内容は、当該手続が想定利用者の目的に与える影響を想定利用者が判断できるように十分詳細なものでなければならない。 受託会社監査人は、逸脱を識別した場合には、逸脱が識別される結果となった運用評価手続の実施範囲(サンプリングを利用した場合にはサンプル数を含む。)及び発見された逸脱の数と内容を記載しなければならない。受託会社監査人は、実施した運用評価手続に基づき、適用される規準に基づいて受託会社のサービスコミットメント及びシステム要求事項を充足していたと結論付けた場合でも、逸脱について報告しなければならない。
(参考リンク)