Type1とType2どちらが必要
「Type1とType2、どちらを取得すべきか?」という質問に対して、結論から言えば最終的にはType2レポートです。
Type1レポートは「ある特定の時点における、システムのセキュリティ等に関する内部統制が適切に整備されているか」を評価した報告書です。
もし自社がサービスの利用者側で、サービス提供会社の内部統制の状況を確認したいと考えたときに、「3月31日時点では問題ありませんでした」といった一時点の保証だけでは、その後の期間も適切に運用されていたのかどうか、という不安が残ります。
従って、ユーザー企業の立場から求められるのは、一定期間を通じて、内部統制が適切に整備され、かつ有効に運用されていたかを評価したType2レポートです。
とはいえ、Type1レポートが無意味かというと、そうではありません。
たとえば「早期にSOC2報告書を取得し、内部統制の整備状況について、利用企業に対して迅速にアピールしたい」といったケースでは、まずType1レポートを取得する選択肢が有効です。
具体的なスケジュールでの比較:
たとえば、監査法人による Readiness check(fit and gap)を経て、「SOC2に対応できる内部統制の整備が完了した日」が3月31日だったとします。
- Type1レポートの場合:
3月31日を基準日として、その時点の整備状況について監査を実施。 検証に約1カ月かかると仮定すれば、4月末にはSOC2レポートが入手可能です。 - Type2レポートの場合:
対象期間を3カ月(例:4月1日〜6月30日)と設定した場合、 その運用状況に対する検証が必要となるため、検証に1カ月かかると仮定すれば、7月末にレポートが入手可能となります
このように、Type1の方が早く取得できるという利点があります。
Type1とType2のつなぎ方にも注意:
よくある質問として、「Type1レポートの基準日」と「Type2レポートの対象期間の設定」の関係があります。
これもユーザー側の視点に立てば、簡単に理解できます。
たとえば、Type1の基準日が3月31日で、Type2の対象期間を7月1日開始にしてしまうと、4月〜6月の3カ月間の内部統制はどうだったのか?という疑問が残ってしまいます。
このため、Type1の基準日の翌日(この場合は4月1日)をType2の開始日に設定するのが一般的です。