SOC取得支援・発行なら株式会社メネサイド

よくある質問

FAQ

取得編

VantaやDRATA対応は可能?その場合の報酬は?

可能です。具体的には、以下のご支援を提供しております。

・VantaやDRATAなどのコンプライアンスツール導入のご支援
・コンプライアンスツールを活用した検証およびSOC 2レポートの発行 (*1)

(*1) VantaやDrataをご利用の場合、通常の報酬から一定の割引を適用しております。お見積りについては、ぜひお気軽にお問い合わせください。

SOC2取得支援事業者の選定のポイント

SOC 2を含む内部統制の検証は、結論が「問題なし」なのか、「一部問題あり」なのか、あるいは「全体として問題あり」なのか、その判断基準が検証する人によって異なる場合があります。これは、内部統制そのものが一律の正解を持たず、各企業の状況に応じて整備や運用の有効性を監査人が判断する特性によるものです。
このような特性から、たとえ評判の良いコンサルティングファームと契約し、指示通りに改善を進めたとしても、それが監査人の考える「十分」に達しないケースや、逆に「過度(不要)」な対応にコストを費やしてしまう可能性があります。
そのため、SOC 2レポートを効率的に発行したいと考える場合には、監査人の検証方針を十分に理解している支援業者を選ぶことが重要です。

日本でもSOC2の普及率は拡大する?

国内のクラウドサービス事業者は、ISMSやPマークなどの「認証系」資格の取得率が高い一方で、欧米系のクラウド事業者はほとんどの事業者がSOC2レポートを取得しています。 (出所:PwCあらた有限責任監査法人、クラウド・リスク・マネジメント、P129)
外資系企業がユーザーとなる場合、本国ではSOC 2の取得がスタンダードであるため、日系企業にもSOC 2の取得を求められるケースが一般的です。
また、国内企業においても、上場企業や金融機関を中心にSOC 2の取得を強く求める動きが進んでいます。こうした背景から、今後、SOC 2を取得する事業者が増加していくことが予想されます。

いきなりTYPE2から入るのは危険?

SOC2準備コンサルティングやType1から始めることを強くお勧めします。SOC2レポートでは、対象期間内におけるシステムの内部統制についての検証結果が詳しく開示されます。内部統制が十分に整備されていない状態でいきなりType2に突入すると、仮に自社で構築している内部統制は有効に運用されていたとしても、整備の時点で最低限必要な統制が整っていない旨が記載された報告書(除外事項付意見や否定的意見の報告書)になってしまいます。これでは、検証費用や時間・人的コストがかかった上に、むしろサービスの普及を妨げる結果となることが想定されます。
また、SOC2レポートの結果として、上記のように「内部統制が適切に整備されていなかった」旨の意見が表明される可能性が高くなったからといって、「問題ない」旨の意見を監査人からもらうために、都合よく検証対象期間を変更したり、問題が生じた範囲を検証範囲からはずしたりできない点については留意が必要です(保証業務実務指針 3702)。
したがって、検証期間に入る前に専門家の助言の元準備期間を十分に設け、システムに係る内部統制が適切に整備された状態になってからType1/2に入ることを強くお勧めします。

SOC2取得までの費用は?

以下に記載の報酬は、弊社における目安となる金額です。
ISMSなどの取得状況や、VantaやDrataなどのコンプライアンスツールの導入状況、適用するトラスト基準(セキュリティ以外に追加する項目の種別・個数)、およびシステムに係る内部統制の整備水準などにより、報酬が変動する場合がございます。

【報酬目安】
準備支援>>>300万
Type1>>>200万
Type2 >>>500万

Type2のレポートの対象期間を一年以内に設定できる?

保証業務実務指針には以下のように記載があることから、実務的にはType 2の対象期間を最短でも6カ月としている企業が多いようです。2期目以降は、通常通り1年を対象期間とするケースが一般的です。

(保証業務実務指針 3702 A29.)
A29.想定利用者にとって有益なものとするため、タイプ2の報告書は、通常、6か月以上の期間を対象とする。対象期間が6か月未満の場合、受託会社監査人は、受託会社監査人の保証報告書に対象期間が6か月より短い理由を記載することが適切と考えることがある。以下の場合には、報告書の対象期間が6か月未満になることがある。

(1) 内部統制に対する報告書を発行する日と保証業務契約締結日が近いため、6か月間より短い期間を対象とした運用評価手続しか実施できない場合
(2) 受託会社が業務を行っていた期間(又は特定のシステム若しくはアプリケーションが運用されていた期間)が6か月より短い場合
(3) 内部統制に重要な変更が行われ、かつ、報告書の発行を6か月遅らせること、又は変更前と変更後の双方のシステムを対象とした報告書を発行することが実務的でない場合

取得までに要する期間

SOC 2のプロセスは、一般的に以下の流れで進行します。

SOC 2準備
この期間は、システムに係る内部統制を一定の水準まで底上げするフェーズです。改善に要するコストやリソースに応じて改善に要する期間が異なりますが、通常、少なくとも2~3カ月を見込む必要があります。
Type 1
SOC 2準備が完了していることを前提に、Type 1の評価に進みます。監査法人による検証期間として少なくとも1カ月程度の期間が必要です。
Type 2
Type 2の対象期間は、短くても6カ月間が必要であり、その後、監査法人による検証期間としてさらに3カ月程度要します。そのため、Type 2対象期間の期初からSOC 2保証報告書の発行までには、最短でも9カ月程度見込む必要があります。(対象期間が1年の場合は、最低でも1年3カ月程度かかります。)

    (例)例えば、SOC 2準備を2024年11月にスタートし、Type 2の保証期間を初回は6カ月とした場合、SOC 2報告書の受領日は以下のようなスケジュールとなります。

    SOC 2準備期間: 2024年11月~2025年1月
    Type 1の報告書受領: 2025年2月(基準日: 2025年1月末)
    Type 2の報告書受領: 2025年10月(対象期間: 2025年1月~2025年7月)

    このように、SOC 2報告書の取得には十分な時間を見込む必要があります。

    SOC2準備期間のスタート部分である
    2フェーズ無料でサポートしております

    SOC2準備期間一部を無料サービス中

    SOC2に関することは
    下記よりお気軽にご相談ください

    • ご相談無料
    • 03-4400-0928電話受付|9:00-17:00(土日・祝日除く)

    •  お問い合わせ

    SOC2準備期間は、10~12フェーズの検証工程を行います。メネサイドでは、そのスタート部分の2フェーズを無料でご対応させていただきます。