【SOC2導入事例】クライアントインタビュー 株式会社RevComm様
高まるセキュリティ要件に応えるためのSOC2取得 ー 事業成長と現実的な統制をどう両立したのか
近年、金融領域を中心に、クラウドサービスに対するセキュリティ要求はますます高度化しています。そうした中で、第三者保証としてのSOC2の重要性が高まり、取得を求められるケースも増えています。
今回お話を伺った株式会社RevComm様も、当初は優先度の観点からSOC2取得を見送っていたものの、事業成長とともに顧客からの要請が増加し、改めて取得に踏み切りました。
本記事では、SOC2取得を検討するに至った背景や意思決定のプロセスについて、率直にお話を伺いました。
Q1. まずは「MiiTel」のサービス概要を教えてください。
株式会社RevComm(以下、RevComm):
当社は、コミュニケーション課題の解決を目的とした音声解析AI「MiiTel」を提供しています。
本サービスは、電話・Web会議・対面会話によるお客様とのコミュニケーションを記録し、AIが解析することにより、膨大な音声データをビッグデータとして資産化し、企業の戦略的意思決定をサポートします。
単なるツール提供にとどまらず、お客様の事業成長を支える基盤として、安心して利用いただけるサービスであることを重視しています。
Q2. SOC2取得に至った背景を教えてください。
RevComm:
SOC2の取得については、2023年秋頃に一度検討したことがあります。その時点では優先度の観点から保留という判断になりました。
その後、セールス活動を進める中で、お客様からSOC2の取得を要件として求められるケースが徐々に増えてきました。金融庁が公表している「金融分野におけるサイバーセキュリティに関するガイドライン」において「管理にあたっては、第三者保証による報告書(SOC2など)や契約書等を活用することが考えられる」といった記載があることも要件化の背景にあると考えられます。
そうした変化を受け、改めてSOC2取得の必要性を認識するようになりました。
Q3. 取得に向けて工夫した点、特に大変だった点はどこでしたか?
RevComm:
SOC2対応を進めるうえで工夫した点は、まず簡易的なFit&GAPを行い、早い段階で実現可能性を確認できたことです。過度に工数をかけることなく現状を整理することで、何が足りていて、何が不足しているのかを把握できました。
その後、簡易Fit&GAPの実施結果および関係者へのアンケート結果をもとに経営会議で報告を行いました。SOC2取得に対する関係者間のコンセンサスを早期に形成することができた点は、プロジェクト推進上、有効だったと感じています。
SOC2対応で大変だった点は、実運用を考慮しながら、求められる要件にどうバランスを取って適合させていくかという点です。形式的に整えるだけではなく、日々の業務として回る形に落とし込むことの難しさを感じました。
また、他の施策や日々のオペレーションを並行して進めながらSOC2対応を行うのは想像以上に負荷が高く、結果として工数の確保が十分ではなかったと振り返っています。本来であれば、他施策を減らすなど、より明確にリソース配分を行うべきだったと感じています。
体制面では、Corporate ITが全体の取りまとめ役を担っていましたが、プロダクト側の統制については実態把握が十分とは言えない部分がありました。バックオフィス領域とプロダクト領域を分け、それぞれに取りまとめ役をアサインした方が、よりスムーズに進められるのではないかと考えています。
加えて、「SOC2を取得する」という目的の周知が十分でなかった点も課題でした。統制強化や定義されたプロセスに沿った運用について、現場に理解してもらい、実際の運用につなげていくためには、組織全体でSOC2取得に対するコンセンサスや認識の浸透を、もう一段進める必要があったと感じています。
Q4. SOC2取得後に感じた変化や効果はありますか?
RevComm:
SOC2を取得してからまだ日が浅いものの、早速、営業面での効果を感じています。海外からも「ISMS以外に何か取得していますか?」と問い合わせを受けました。SOC2を取得していることを伝えられるようになった点は、大きな変化だと感じています。
SOC2取得の過程を通じてガバナンスの強度を高めることができた点も、大きな効果の一つだと感じています。例えば、サービスの新しい更新をリリースする際、これまでは明確な承認プロセスがなく、口頭での承認のみで進める場合がありましたが、承認内容を記録として残す運用に見直しました。これにより、意思決定の経緯や責任の所在が明確になりました。さらに、各チームの職責についても、これまでは暗黙知となっていた部分を整理し、明文化を進めました。その結果、新しいメンバーが加わった際のオンボーディングがスムーズになり、組織としての安定性や再現性が高まったと感じています。
Q5. 今回の取得において、令和監査法人の支援はいかがでしたか?
RevComm:
令和監査法人さんを選んだ理由は、当社のビジネス内容を丁寧に理解したうえで、状況に応じた提案をいただけた点にありました。SOC2対応は画一的に進められるものではないと考えていたため、弊社の実態に合わせ、過度な負荷をかけずに進められたことは非常に良かったと感じています。進め方もツールベースではなくヒアリングベースだったため、意図を一つひとつ確認しながら、現実的な対応を取ることができました。
特に良かった点の一つが、事前準備シートの存在です。確認ポイント等があらかじめ整理されていたことで、社内としても心構えを持って準備を進めることができました。
また、提案書が非常に分かりやすく、経営会議での意思決定に大きく貢献したと感じています。SOC2で求められる内容や進め方、ロードマップが整理されており、セキュリティに詳しくないボードメンバーにも理解しやすい内容でした。その結果、「ここで進めれば安心できそうだ」と判断することができました。
Q6. 今後のセキュリティ体制についての展望を教えてください。
RevComm:
今後については、SOC2 Type 2のレポートを定期的に発行していくことで、「できているつもり」をなくし、継続的な統制強化につなげていきたいと考えています。形式的に整っているかどうかではなく、日々の運用の中で統制の品質にムラが出ないよう、全体の底上げを行っていくことが重要だと感じています。
また、SOC2に関する保証レポートの取得および継続的な発行に向けたロードマップも、あらためて見直していきたいと考えています。必要以上に負荷をかけずに無理なく運用しながら、エビデンス収集の効率を高める体制を整えお客様と自社ビジネスの双方に貢献していきたいと考えています。そのためには、セキュリティや統制を支える社内体制そのものを強化していくことも重要だと感じています。
セキュリティについては、「すべてを厳しくすれば働きにくくなり、働きやすさを優先すればセキュリティが弱くなる」という側面があり、そのバランスが非常に重要だと考えています。バランスを見極めながら、現実的に機能する対策を一つひとつ積み重ねていきたいと考えています。
これまでも、従業員が10人程度の段階でISMSを取得するなど、早い段階からセキュリティへの投資を行ってきました。当時は「なぜこんなに早く取得するのか」と言われることもありましたが、委託先審査を早期から実施することで、不要なリスクや情報漏洩を防ぐことにつながってきたと感じています。今後も同様に、先回りした取り組みを継続していきたいと考えています。
編集後記(令和監査法人より)
当初は優先度の観点からSOC2取得を見送られていた株式会社RevComm様が、事業成長や顧客要請の変化を受けて、改めて取得に踏み切られたプロセスは、多くの企業様にとって示唆に富むものでした。
特に印象的だったのは、「形式的に整えること」ではなく、「実際の業務として無理なく運用できるか」という視点を重視されていた点です。SOC2対応においては、統制の厳格さと現場の実効性のバランスが重要ですが、その難しさに真摯に向き合いながら、最適解を模索されている姿勢が非常に印象的でした。
また、取得を通じてガバナンスの強度が高まり、組織としての再現性や透明性が向上している点からも、SOC2を単なるお墨付きの取得にとどめず、「事業基盤の強化」として捉えられていることが伝わってきました。
令和監査法人としても、今後のType2対応や継続的な統制運用の高度化に向けて、引き続き現場に寄り添いながらご支援してまいります。
インタビュー日:2026年1月14日
取材先:株式会社RevComm
平村 健勝様(執行役員 CTO)
野嶋 康様(Corporate IT Manager)
聞き手:令和監査法人・株式会社メネサイド
及川 翔太(令和監査法人 代表社員/株式会社メネサイド 代表取締役)
松田 尚樹(株式会社メネサイド 取締役)