SOC2の専門集団 令和監査法人/株式会社メネサイド

受託会社確認書とは、以下の事項について受託会社自らが宣誓する書面です。
この文書の目的は、以下の責任が会社側にあることを明言することにあります：

• 内部統制の整備および運用に対する責任
• システム記述書（≒SOC2レポート）に記載されている内容が適正に表示されていることについての責任

なお、システムに関する記述書（Section 3）および受託会社確認書（Section 2）は、いずれも監査人ではなく会社側で作成する必要がある点に注意が必要ですが、これらの文書は、監査人に相談すれば参考様式（ひな形）を提供してもらえるケースが多く、過度に心配する必要はありません。

（TYPE1で宣誓する事項）

ア．受託会社のシステムに関する記述書が、適用される規準に基づいて、基準日現在にデザインされ業務に適用されている受託会社のシステムを全ての重要な点において適正に表示していること。

イ．受託会社のシステムに関する記述書に記載された適用される規準に基づいて受託会社がサービスコミットメント及びシステム要求事項を充足しているという合理的な保証を提供する受託会社の内部統制が、基準日現在に全ての重要な点において適切にデザインされていること。

（TYPE2で宣誓する事項）

ア．受託会社のシステムに関する記述書が、適用される規準に基づいて、特定期間にわたりデザインされ業務に適用されている受託会社のシステムを全ての重要な点において適正に表示していること。

イ．受託会社のシステムに関する記述書に記載された適用される規準に基づいて受託会社がサービスコミットメント及びシステム要求事項を充足しているという合理的な保証を提供する受託会社の内部統制が、特定期間にわたって全ての重要な点において適切にデザインされていること。

ウ．受託会社のシステムに関する記述書に記載された適用される規準に基づいて受託会社のサービスコミットメント及びシステム要求事項を充足するという合理的な保証を提供する受託会社の内部統制が、適用される規準を充足するよう、特定期間にわたって全ての重要な点において有効に運用されていること。

（受託会社確認書の記載例_TYPE2）

セキュリティ、可用性、処理のインテグリティ及び機密保持（注１）に関する受託会社確認書

受託会社名：○○○○株式会社

当社は、米国公認会計士協会のDCセクション200, 2018 “Description Criteria for a Description of a Service Organization’s System in a SOC 2® Report”に規定されている規準（以下「記述規準」という。）に基づいて、添付の記述書を作成しております。

この記述書は、米国公認会計士協会「受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の評価のためのTrustサービス規準」（Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy）のうち、セキュリティ、可用性、処理のインテグリティ及び機密保持の規準（注 １）（以下「適用される規準」という。）に基づいて、当社のサービスコミットメント及びシステム要求事項を充足するように意図された内部統制に関する情報を、××年×月×日から××年×月×日までの期間にわたって当社の［受託業務の種類又は名称］システムを使用する委託会社、予想される委託会社、委託会社の監査人及び委託会社又は受託会社に係る規制当局（以下「想定利用者」という。）に提供するために作成されています。

想定利用者は、委託会社自身が運用する内部統制に関する情報を含めたその他の情報とともに、記述書を検討するための十分な理解を有することが想定されています。

当社は下記のとおりであることを確認します。

記

１．××頁から××頁に添付されている記述書には、××年×月×日から××年×月×日まで
の期間にわたって、委託会社の［受託業務の種類又は名称］のシステムが記述規準に基づいて表示されています。

２．記述書に記載された内部統制は、その内部統制が××年×月×日から××年×月×日までの期間にわたって有効に運用されていれば、適用される規準に基づいて受託会社のサービスコミットメント及びシステム要求事項を充足するという合理的な保証を提供するように、××年×月×日から××年×月×日までの期間にわたって、適切にデザインされております。

３．記述書に記載された内部統制は、適用される規準に基づいて受託会社のサービスコミットメント及びシステム要求事項を充足するという合理的な保証を提供するように、××年×月×日から××年×月×日までの期間にわたって、有効に運用されております。

（注１）記載例はセキュリティ、可用性、処理のインテグリティ及び機密保持のカテゴリーを選択した文例であり、それ以外の場合は選択したカテゴリーのみ記載する。受託会社の要請により、主題情報を追加した場合、当該追加された主題情報についても該当事項を記載する。