SOC2報告書におけるカテゴリの傾向
CBIZの’’2024 SOC BENCHMARK REPORT Preparing for the Challenges of 2025’’によると、各カテゴリーの採用割合は、以下の通りである。
【カテゴリ別採用状況(2024年版)】
| カテゴリ | 採用割合 |
|---|---|
| セキュリティ(Security) | 100% |
| 可用性(Availability) | 75.30% |
| 機密保持(Confidentiality) | 64.40% |
| 処理のインテグリティ(Processing Integrity) | 13.70% |
| プライバシー(Privacy) | 6.80% |
■ プライバシーの採用が進まない理由
「プライバシー」の採用率は依然として低く、6.8%にとどまりました。その背景としては、以下のような要因が挙げられます:
- 必要な基準数が多く、実装負荷が高い
- 比較的取り組みやすい「機密保持」で代替されやすい
- 実際のサービス提供内容と親和性が低いケースもある
■ 「機密保持(Confidentiality)」が大幅増加
注目すべきは、「機密保持」の採用が2023年の34%から2024年には64.4%へと大きく伸長した点です。この背景には以下のような要因があります:
- 要件(コントロール)が比較的少なく、取り組みやすい
- 「プライバシー」よりも対応のハードルが低い
- 機密データ保護への関心の高まり
このように、比較的導入しやすく、かつ対外的な信頼性も高められることから、機密保持カテゴリの採用が進んでいると考えられます。
■ SOC 2+ の採用が拡大傾向に
また、SOC 2と他のセキュリティ基準(例:HIPAAやISO)を一つの報告書で統合的にカバーする「SOC 2+」形式の報告書も確認されました。全体の約9.6%(7件)がSOC 2+として発行されています。
この「一対多(One-to-Many)」のテストアプローチは、複数のセキュリティ要件に対応する企業にとって効率的であり、今後も普及が進むことが期待されます。
ただし注意点として、一部のセキュリティ基準(特に独自性の強いもの)は、他基準との統合報告を認めていない場合があるため、事前に監査人と相談することが推奨されます。
■ まとめ:選択と戦略が問われるカテゴリ設定
SOC 2の取得においては、ただ単に多くのカテゴリを選択すればよいというわけではなく、実際のサービス提供内容、顧客ニーズに応じた選択が求められます。
(出典:2024 SOC BENCHMARK REPORT Preparing for the Challenges of 2025 CBIZ)
