SOC1・SOC2・SOC3の違いとは？

「SOC1とSOC2、SOC3って何が違うんですか？」

クラウドサービスやSaaSを提供している企業の担当者であれば、一度は受けたことがあるのではないでしょうか。

特に近年は、取引先からSOC”2″レポートの取得状況を確認されたり、取引先にSOC2レポートを依頼した際にSOC”1″レポートの提出で代替できないか質問されたり、各レポートの違いを理解する重要性が増しています。

本記事では、SOC1・SOC2・SOC3の目的と、どのような場面で求められるのかをわかりやすく解説します。

---

SOCレポートとは

SOCレポートとは、サービス提供企業の内部統制の整備/運用状況を、会社以外の独立した第三者（監査人）が評価した報告書です。

何に関する内部統制が主題であるかは異なるものの、サービスを利用する企業が「このサービスは信頼できるか？」を判断するために利用する点で共通しています。

---

SOC1・SOC2・SOC3の違い

SOC1・SOC2・SOC3の最も大きな違いは、何に関係する内部統制が対象かという点です。

SOC1とは

財務報告に関係する内部統制を対象としたレポートです。

会計処理や財務報告に影響を与える業務・システムについて、企業が定めた統制目的を達成するための内部統制が適切に整備・運用されているかを評価します。

SOC2とは

情報セキュリティに関連する内部統制を対象としたレポートです。

SaaSやクラウドサービスなど、顧客データを取り扱うサービス提供企業を対象として、Trustサービス規準に基づく内部統制を評価します。

SOC3とは

SOC2レポートを一般公開向けに簡略化したレポートです。

基本的にSOC2レポートを取得した企業が、不特定の読者に限定的な情報を公開するために作成されます。

---

なぜSOC2が重要なのか

以下の理由から、SOCレポートの中でも特にSOC2の重要性が高まっています。

• AWS/Google CloudをはじめとしたIaaSの普及
• データ管理や共有における外部サービス利用の増加
• 企業が求めるセキュリティ水準の高度化

こうした背景から、企業は情報セキュリティに関するチェックリストへの回答といった自己申告のみではなく、統制が適切に運用されているかについて第三者による検証を受けることが求められています。

SOC2は、こうした第三者による検証を担う代表的な枠組みです。

---

どれを取得すべきか

どのSOCレポートを取得すべきかを選ぶ基準はシンプルです。

SOC1を取得すべきケース

財務報告に関連する業務、サービスを提供している場合

SOC2を取得すべきケース

SaaSやクラウドサービスなど、顧客の情報処理や業務に関与するサービスで

• 販路拡大（エンタープライズ顧客の獲得）を進めたい
• 情報セキュリティチェックシート対応の負担を減らしたい
• セキュリティ体制を対外的に示したい

といった目的がある場合

SOC3

SOC2取得後に、対外的な信頼性を一般公開したい場合に作成を検討

以上の観点を元に考えると、SOC2レポートだけで十分な場合があれば、全てのレポートを取得する必要がある場合もあることをお分かりいただけると思います。

---

SOC1・SOC2・SOC3の比較表

以下は、SOC1・SOC2・SOC3の違いを一覧で整理した比較表です。

分類 （米国公認会計士協会）	主題	基準：米国公認会計士協会	基準：日本公認会計士協会	基準：国際監査・保証基準審議会
SOC1	財務報告に係る内部統制	SSAE18（AT-CSection 105・205・320）	保証実 3402	ISAE3402
SOC2	Trust サービス規準に係る内部統制	SSAE18（AT-CSection 105・205）	保証実 3702	ISAE3000
SOC3	同上	同上	同上	同上

---

まとめ

SOC1・SOC2・SOC3は、対象や用途が異なりますが、企業の判断軸はシンプルです。

財務報告に関係する業務であればSOC1、それ以外で顧客の情報処理や業務に関与するサービスであればSOC2を検討します。SOC3はSOC2を前提としたレポートであり、まずはSOC2を取得してから検討するのが一般的です。

まずは自社のサービスが「どの領域の統制を求められているのか」を整理し、適切なSOCレポートの取得を検討することが重要です。