取得編
- SOC2取得支援事業者の選定のポイント
-
SOC 2を含む内部統制の検証は、結論が「問題なし」なのか、「一部問題あり」なのか、あるいは「全体として問題あり」なのか、その判断基準が検証する人によって異なる場合があります。これは、内部統制そのものが一律の正解を持たず、各企業の状況に応じて整備や運用の有効性を監査人が判断する特性によるものです。
このような特性から、たとえ評判の良いコンサルティングファームと契約し、指示通りに改善を進めたとしても、それが監査人の考える「十分」に達しないケースや、逆に「過度(不要)」な対応にコストを費やしてしまう可能性があります。
そのため、SOC 2レポートを効率的に発行したいと考える場合には、監査人の検証方針を十分に理解している支援業者を選ぶことが重要です。 - VantaやDRATA対応は可能?その場合の報酬は?
-
可能です。具体的には、以下のご支援を提供しております。
・VantaやDRATAなどのコンプライアンスツール導入のご支援
・コンプライアンスツールを活用した検証およびSOC 2レポートの発行 (*1)(*1) VantaやDrataをご利用の場合、通常の報酬から一定の割引を適用しております。お見積りについては、ぜひお気軽にお問い合わせください。
- SOC2取得までの費用は?
-
以下に記載の報酬は、弊社における目安となる金額です。
ISMSなどの取得状況や、VantaやDrataなどのコンプライアンスツールの導入状況、適用するトラスト基準(セキュリティ以外に追加する項目の種別・個数)、およびシステムに係る内部統制の整備水準などにより、報酬が変動する場合がございます。【報酬目安】
準備支援>>>300万
Type1>>>200万
Type2 >>>500万 - 取得までに要する期間
-
SOC 2のプロセスは、一般的に以下の流れで進行します。
①SOC 2準備
この期間は、システムに係る内部統制を一定の水準まで底上げするフェーズです。改善に要するコストやリソースに応じて改善に要する期間が異なりますが、通常、少なくとも2~3カ月を見込む必要があります。
②Type 1
SOC 2準備が完了していることを前提に、Type 1の評価に進みます。監査法人による検証期間として少なくとも1カ月程度の期間が必要です。
③Type 2
Type 2の対象期間は、短くても6カ月間が必要であり、その後、監査法人による検証期間としてさらに3カ月程度要します。そのため、Type 2対象期間の期初からSOC 2保証報告書の発行までには、最短でも9カ月程度見込む必要があります。(対象期間が1年の場合は、最低でも1年3カ月程度かかります。)(例)例えば、SOC 2準備を2024年11月にスタートし、Type 2の保証期間を初回は6カ月とした場合、SOC 2報告書の受領日は以下のようなスケジュールとなります。
・SOC 2準備期間: 2024年11月~2025年1月
・Type 1の報告書受領: 2025年2月(基準日: 2025年1月末)
・Type 2の報告書受領: 2025年10月(対象期間: 2025年1月~2025年7月)このように、SOC 2報告書の取得には十分な時間を見込む必要があります。
- 日本でもSOC2の普及率は拡大する?
-
国内のクラウドサービス事業者は、ISMSやPマークなどの「認証系」資格の取得率が高い一方で、欧米系のクラウド事業者はほとんどの事業者がSOC2レポートを取得しています。 (出所:PwCあらた有限責任監査法人、クラウド・リスク・マネジメント、P129)
外資系企業がユーザーとなる場合、本国ではSOC 2の取得がスタンダードであるため、日系企業にもSOC 2の取得を求められるケースが一般的です。
また、国内企業においても、上場企業や金融機関を中心にSOC 2の取得を強く求める動きが進んでいます。こうした背景から、今後、SOC 2を取得する事業者が増加していくことが予想されます。 - いきなりTYPE2から入るのは危険?
-
SOC2準備コンサルティングやType1から始めることを強くお勧めします。SOC2レポートでは、対象期間内におけるシステムの内部統制についての検証結果が詳しく開示されます。内部統制が十分に整備されていない状態でいきなりType2に突入すると、仮に自社で構築している内部統制は有効に運用されていたとしても、整備の時点で最低限必要な統制が整っていない旨が記載された報告書(除外事項付意見や否定的意見の報告書)になってしまいます。これでは、検証費用や時間・人的コストがかかった上に、むしろサービスの普及を妨げる結果となることが想定されます。
また、SOC2レポートの結果として、上記のように「内部統制が適切に整備されていなかった」旨の意見が表明される可能性が高くなったからといって、「問題ない」旨の意見を監査人からもらうために、都合よく検証対象期間を変更したり、問題が生じた範囲を検証範囲からはずしたりできない点については留意が必要です(保証業務実務指針 3702)。
したがって、検証期間に入る前に専門家の助言の元準備期間を十分に設け、システムに係る内部統制が適切に整備された状態になってからType1/2に入ることを強くお勧めします。 - Type2のレポートの対象期間を一年以内に設定できる?
-
保証業務実務指針には以下のように記載があることから、実務的にはType 2の対象期間を最短でも6カ月としている企業が多いようです。2期目以降は、通常通り1年を対象期間とするケースが一般的です。
(保証業務実務指針 3702 A29.)
A29.想定利用者にとって有益なものとするため、タイプ2の報告書は、通常、6か月以上の期間を対象とする。対象期間が6か月未満の場合、受託会社監査人は、受託会社監査人の保証報告書に対象期間が6か月より短い理由を記載することが適切と考えることがある。以下の場合には、報告書の対象期間が6か月未満になることがある。(1) 内部統制に対する報告書を発行する日と保証業務契約締結日が近いため、6か月間より短い期間を対象とした運用評価手続しか実施できない場合
(2) 受託会社が業務を行っていた期間(又は特定のシステム若しくはアプリケーションが運用されていた期間)が6か月より短い場合
(3) 内部統制に重要な変更が行われ、かつ、報告書の発行を6か月遅らせること、又は変更前と変更後の双方のシステムを対象とした報告書を発行することが実務的でない場合
レポート編
- 再受託会社の扱い_除外方式とは?
-
受託会社が受託業務の一部を再委託する場合における、受託会社の内部統制の保証報告書上での再受託会社の提供する業務の取扱いについて除外方式と一体方式という2種類の方法があります。 除外方式が採用されているケースが多く見受けられますので、ここでは除外方式についてご説明します。
除外方式では、SOC2報告書に再受託会社に再委託している業務の内容が記載されますが、再受託会社の内部統制は、SOC2報告書及び監査法人(監査事務所)の検証の範囲から除かれます。 ただし、SOC2報告書及び監査法人(監査事務所)の検証の範囲には、再受託会社の内部統制の有効性をモニタリングする受託会社の内部統制が含まれることには留意が必要です。(保証業務実務指針 3702) - 5カテゴリーのうち、選択するカテゴリーは会社が自由に選択できるのか?
-
セキュリティについては必須記載項目ですが、可用性、処理のインテグリティ、機密保持、およびプライバシーは任意記載項目です。 これらの任意項目については、会社の都合で選択することはできず、あくまでもユーザー視点で選択する必要があります。つまり、ユーザーにとって重要と考えられる項目を選択しなければなりません。
また、受託会社が選択したカテゴリーに関する規準は、SOC2レポート上にすべて含まれる必要があります。(出所:保証業務実務指針 3702)
これは、TSPセクション100「2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy」(AICPA「Trustサービス規準」)において、 各Trustサービスカテゴリーにおける規準が提示されているのだが、そこに記載の基準については全てSOC2レポートに記載する必要があり、勝手に除くことはできないということを意味しております。 - 5カテゴリーについて
-
セキュリティ(Security)
組織は、情報やそれを格納するシステムを保護するために、不正アクセスや情報漏洩を防ぐ適切なセキュリティ対策を実施する必要があります。 具体的には、認証・認可によるアクセス制御の実装、保存・転送するデータの暗号化、物理アクセスの制御、ネットワークセキュリティの実装などが求められます。可用性(Availability)
組織は、顧客に提供する製品・サービスが合意した通りに操作・使用できるよう、運用・モニタリングのための対策を実施する必要があります。 具体的には、システムの冗長性の確保、システムの監視とアラート、データバックアップの実施、災害復旧プランの策定・実施、サービスレベルアグリーメント(SLA)の設定などが求められます。処理のインテグリティ(Processing Integrity)
組織が行うシステム処理は、完全で正当、正確かつ適時に実施され、かつ承認されている必要があります。 そのために、データの検証や整合性チェック、データの改ざん防止対策、データの履歴とトレーサビリティの確保、データ処理の監視とエラーハンドリングなどを実装する必要があります。機密保持(Confidentiality)
組織は、営業秘密や知的財産などの情報を収集・生成から廃棄まで保護する必要があります。 そのために、適切なアクセス制御の実装、データの分類とラベリング、データ転送時の保護、安全なデータの破棄、データアクセスのモニタリングなどの対策を実施する必要があります。プライバシー(Privacy)
組織が扱う個人情報が、適切に収集、利用、保持、開示および廃棄される必要があります。 そのために、プライバシーポリシーの策定と公開、個人情報を収集する際の同意の取得、適切な範囲での情報の共有と第三者提供、権利に基づく削除要求への対応などの対策を実施し、個人情報の保護に努める必要があります。 - 相補的な内部統制
-
SOC2報告書を利用する際には、留意すべき事項の一つとして「相補的な内部統制」があります。 相補的な内部統制とは、日本公認会計士協会の実務指針において「受託業務をデザインする段階で、委託会社において整備されることを受託会社が想定する内部統制であり、 受託会社のシステムに関する記述書において、統制目的の達成に必要な内部統制として識別され、記載されるもの」と定義されています。
つまり、受託会社(ベンダー)は、委託会社(ユーザー)側が適切なアクションを取ることを前提に業務を行います。 例えば、クラウドサービスにアクセスする人が、ユーザー側で適切に承認された人に限定されている必要があります。 このアクセス権の管理はユーザー側で行う内部統制であり、そのような統制は「相補的な内部統制」としてSOCレポート上で示され、ユーザーの責任として注意喚起がなされます。
同様に、「再受託会社の相補的な内部統制」も存在します。再受託会社とは、SOC報告書を提供するサービス事業者(受託会社)が、一部のシステムについて外部のサービスを利用している場合、その外部サービスを提供する事業者です。 再受託会社の内部統制は、サービス事業者(受託会社)の管理下にないことがあるため、統制目的の達成に必要な内部統制については、注意喚起のためSOC2報告書上に記載されます。 実務上は、AWSが再受託会社として取り扱われることが多く、AWSにおける内部統制が再受託会社の相補的な内部統制として記載されているケースが多く見受けられます。