SOC2レポートの構成を理解する
SOC2レポートは分量が多く、すべてを精読するには現実的に負担が大きい資料です。また、「重要な箇所を優先的に確認したいが、どこを見れば必要な情報が書いてあるのか分からない」と感じる方も多いと思います。
本記事では、SOC2レポートの全体像について、Section単位(日本語では部単位)での構成に着目して整理します。
(各部の詳細や記述規準(DC200)の観点については、別の記事で扱います。)
SOC2レポートの基本構成
SOC2レポートは、一般的に以下の構成で作成されます。ここではType2レポートを想定してご説明します。
- 第1部:独立受託会社監査人の保証報告書
- 第2部:受託会社確認書
- 第3部:システムに関する記述書
- 第4部:受託会社の内部統制の記述、並びに独立受託会社監査人による評価手続及びその結果
- 第5部:会社からのその他の情報提供
各部の概要は以下のとおりです。
| Section(部) | 主な内容 |
|---|---|
| 第1部 | 独立受託会社監査人による保証報告書 |
| 第2部 | 経営者による確認書 |
| 第3部 | システムに関する記述書 |
| 第4部 | 内部統制の評価手続及び評価結果 |
| 第5部 | その他の補足情報 |
第1部 独立受託会社監査人の保証報告書
第1部には、独立受託会社監査人による保証報告書が記載されます。「独立受託会社監査人」という表現はあまり耳なじみがないかもしれませんが、検証を実施した監査法人を指します。
本部には、SOC2レポート全体に対する検証結果が記載されているため、まず最初に確認しましょう。監査法人は、膨大なリソースを投入して各種テストや関係者へのヒアリング等を通じて検証作業を行いますが、その結果として外部に示される結論は、この保証報告書に集約されています。(なお、詳細な検証内容は第4部に記載されます)
具体的な記載内容としては、検証の前提や範囲、並びにその結果が記載されています。その中でも最も重要なのが、監査人の結論である「意見(Opinion)」です。
- 無限定適正意見(特段の問題がない場合)
- 除外事項付意見(特定の事項について例外がある場合)
- 不適正意見(記述書が適切に表示されていない/統制が基準を満たしていない場合)
- 意見差控え(十分な証拠が得られない場合)
実務上は無限定適正意見を目にすることがほとんどですが、それ以外の意見に該当する場合には、記載内容を慎重に確認する必要があります。
あわせて、当該意見がどの範囲を対象としているかも確認しておきましょう。対象となるTrustサービス規準のカテゴリー(セキュリティ、機密保持、可用性等)や対象期間については、自社の利用目的と照らして確認しておくとよいでしょう。
統制の詳細や個別のテスト結果については、第3部/第4部に記載されます。
第2部 受託会社確認書
第2部は、受託会社の経営者による表明です。
システムに関する記述書が適切に表示されていること、内部統制が適切に設計されていること、またType2の場合には一定期間にわたり有効に運用されていることについて、経営者の責任において記載しています。
記載内容は定型的であり各社で大きく変わるものではないため、他のセクションに比べると、確認の優先度は下がります。
第3部 受託会社のシステムに関する記述書
第3部には、受託会社が提供するサービス及び関連するシステムの内容が記載されます。本部は、SOC2レポートの中で最も分量が多く、受託会社が自ら作成するレポートの本体にあたる部分です。
本記述書は、AICPA(米国公認会計士協会)が公表する「DCセクション200 SOC2®報告書における受託会社のシステムに係る記述書に関する記述規準(原題‐DC Section 200 Description Criteria for a Description of a Service Organization’s System in a SOC 2® Report)」に沿って記述する必要があり、サービスの内容や内部統制の全体像が体系的に記載されています。
会社ごとに段落構成や記載の順序が異なることはありますが、当該記述規準に沿って記述される点は共通しています。
なお、第3部の具体的な読み方や確認ポイントについては、別記事で詳しく解説します。
| 項目 | 説明 |
|---|---|
| 提供される業務の種類 | 会社によって提供される業務の内容が記載されます。 |
| 主要なサービスコミットメント及びシステム要求事項 | 委託会社の顧客等に対して約束されたコミットメントと、それを達成するために必要なシステムの要求事項が記載されます。 |
| 業務提供に利用されるシステムの構成要素 | SaaS事業者が業務を遂行するために必要なインフラストラクチャー、ソフトウェア、人員、手続き、データについて記載されます。 |
| 識別されたインシデントの内容 | 関連するインシデントについて記載されます。 |
| 統制環境、リスク評価、情報と伝達、監視活動及びITへの対応 | 統制環境、リスク評価、情報と伝達、監視活動及びITへの対応に関する内容が記載されます。 |
| システムに関する内部統制 | SaaS事業者のサービスコミットメント及びシステム要求事項が満たされることについて、合理的な保証を提供するためにデザインされた関連する内部統制が記載されます。 |
| 相補的な委託者の内部統制 | SaaS事業者での内部統制は、ユーザー側が適切なアクションを取ることを前提にしており、そのユーザーサイドで対処すべき事項を記載します。 |
| 相補的な再受託会社の内部統制 | SaaS事業者での内部統制は、委託先側が適切なアクションを取ることを前提にしており、その委託先側で対処すべき事項を記載します。 |
第4部 内部統制の記述及び監査人による評価結果
第4部には、受託会社の内部統制に対して監査法人が実施した評価手続及びその結果が記載されます。本部は、SOC2レポートにおける検証結果の詳細が記載される部分であり、内部統制の運用状況を把握するうえで、意見に次いで重要な箇所です。
以下のような構成で記載されます。
- 個別の統制記述
- 各統制に対して実施した評価手続
- 各統制に対して実施した評価の結果
内部統制が統制記述に記載の通り運用されていない場合には、評価の結果、逸脱があった旨の記載がされます。逸脱が存在しても、必ずしも第一部に記載される意見に影響するとは限りませんが、どの統制において運用上の不備があるかを把握するといいでしょう。
第5部 会社からのその他の情報提供
第5部には、受託会社による補足的な情報が記載されます。一般的には、監査法人による検証の対象外となる情報が含まれます。
実務上よく見られる記載としては、第4部において逸脱が認識された場合の、当該事項に対する経営者の対応方針や補足説明が挙げられます。また、後発事象に関する重要な情報が記載される場合もあります。
第5部は任意記載ではあるものの、監査対象外の情報として受託会社の見解や対応方針、重要な後発事象が示される場合があるため、記載がある場合にはその内容を確認しておく必要があります。
| 項目 | 説明 |
|---|---|
| 独立監査人の意見 | 独立監査人が実施した手続の結果についてサマリーが記載されます。 (例:適正意見、限定付適正意見など) |
| 経営者の意見表明 | 経営者の意見表明として「受託会社確認書」が作成され、対象事項や統制責任についてなどの前提事項が記載されます。 |
| システムに関する記述 | システム構成要素(例:インフラ、人員、データなど)や関連する内部統制に関する要旨が記載されます。 |
| 独立監査人の運用評価手続及び評価結果 | 独立監査人が実施した監査手続、及び結果の概要(サンプル件数や発見事項を含む)が記載されます。 |
| その他の情報 | SOC2対象期間後の後発事象や、発見事項に対する企業の対応等が記載されます。 |
まとめ
SOC2レポートは分量が多く、初めて見るとハードルの高さを感じやすい資料ですが、全体の構成を理解することでどこを確認すべきかが整理しやすくなります。
特に、SOC2レポートの「第1部〜第5部」がそれぞれどのような役割を持っているかを把握しておくことで、確認したい情報に効率的にアクセスできるようになります。
本記事が、SOC2レポートに対する心理的なハードルを少しでも下げる一助になれば幸いです。