SOC2の対象となる業務

SOC2報告書は、クラウドサービス事業者が取得するものという印象を持たれがちです。しかし実際には、「サービス提供者としてサービス利用者に対して情報処理を行う立場のあらゆる事業者」が対象となり得ます。

つまり、クラウドインフラやSaaSを直接提供していなくても、SOC2の対象になるケースは多く存在します。たとえば、業務代行（BPO）を行う会社が、以下のような業務プロセスを請け負っている場合も、SOC2の保証対象となります。

顧客企業の経理処理（記帳代行、決算支援など）
カスタマーサポート（電話・チャットでの問い合わせ対応）
受注処理業務（注文受付、納品管理など）

このような人的オペレーション業務であっても、顧客情報を預かり、情報処理を伴う受託業務である限り、セキュリティや可用性などの信頼性確保が求められ、SOC2の保証対象となるのです。

（保証業務実務指針3702）

A1．本実務指針において、受託会社によって提供される業務の例は以下のとおりである。

クラウドコンピューティングの業務：自由に構成可能なコンピューティング資源（例えば、ネットワーク、サーバー、記憶装置、アプリケーション、サービス）の共有プールへのオン・デマンドのネットワーク・アクセスを提供すること。
セキュリティの管理：委託会社のネットワーク及びコンピューティング・システムへのアクセスの管理（システムへのアクセス権を付与し、システムへの侵入を阻止、発見及び極小化すること。）
顧客口座サービス：銀行や投資会社の顧客に代わり金融取引を処理すること（インターネットを通した顧客の証券取引の処理、顧客口座記録の維持、顧客への処理、取引報告の確認等の提供）。
カスタマー・サポート：委託会社の顧客にオンライン又は電話で販売後の支援及びサービス管理を提供すること（苦情に関する質問、調査、回答等）。
営業活動の自動化：営業組織を持っている委託会社のために、ビジネスの手続を自動化するためのソフトウェアを提供し維持すること（注文処理、情報共有、注文追跡、連絡先の管理、顧客管理、販売予測分析、従業員業務評価等）。
企業のＩＴ業務の外部委託サービス：委託会社のＩＴ業務を管理、運用し、維持すること（ＩＴデータ・センター、インフラ、アプリケーション・システム及びネットワーク、システム開発、セキュリティ、変更管理、ハードウェア、環境管理活動のようなＩＴ活動の支援等）。
フィンテック・サービス：ローン・プロセッシング、P2P レンディング、ペイメント・プロセッシング、クラウド・ファンディング、ビッグデータ分析やアセット・マネージメント等のＩＴを利用した取引処理に係る金融サービスの提供