リスクアドバイザリー

受託業務のセキュリティ等に係る内部統制の保証報告書(SOC2 / SOC2+)

常に変化する市場や厳しい競争環境のなか、多くの企業は自らの経営資源をより効率的に活用するため、業務の外部委託を進めてきました。こうした動きは、企業(委託会社)に一定の成果をもたらしてきましたが、同時に、外部委託先の管理という課題を、より深刻化させることになりました。一方、業務を受託する側(受託会社)は、外部委託に関連する法規制、ガイドラインの整備などを背景に、委託会社のより厳しい目にさらされ、対応の負荷が高まっています。

こうした状況下、受託業務に係る内部統制の保証報告書は、委託会社と受託会社の双方のニーズに対応するものとして、多くの企業に利用されています。

  • 保証報告書を利用するメリット

(下の図をクリックすると拡大します)

保証報告書を利用するメリット

SOC2およびSOC2+

SOC2は「Trustサービスの原則と規準」(AICPA)(※1)に基づいて提供されます。また、SOC2+は「Trustサービスの原則と規準」に加え、任意の評価規準を追加  することが出来ます。例えば、米国の医療保険の相互運用性と責任に関する法令「HIPAA」、NIST(※2)が発行する連邦政府情報システムにおける推奨セキュリティ管理策「NIST SP 800-53」、日本の個人情報保護委員会が公表している「特定個人情報の適正な取扱いに関するガイドライン」、FISC(※3)の「金融機関等コンピュータシステムの安全対策基準」を追加するなど、報告書の利用者のニーズに合わせたカスタマイズが可能です。SOC2およびSOC2+は幅広いリスクに対応します。

  • 利用イメージ

(下の図をクリックすると拡大します)

利用イメージ

  • (※1) AICPA:米国公認会計士協会
  • (※2) NIST:米国国立標準技術研究所
  • (※3) FISC:金融情報システムセンター

Trustサービスの原則と規準

SOC2は、選択する1つまたは複数のTrustサービスの原則と規準に基づいて評価、提供されます。

Trustサービスの原則と規準 概要
セキュリティ システムは未承認のアクセス、利用又は変更に対して保護されている
可用性 システムは、コミット又は合意したとおりに、操作でき、かつ、利用できる
処理のインテグリティ システム処理は完全、正当、正確、適時かつ権限付与されている
機密保持 機密として設定された情報が、コミット又は合意したとおりに、保護されている
プライバシー パーソナル・インフォメーションは、企業のプライバシー通知におけるコミットメント及び「Trustサービスの原則と規準」の「プライバシーに関する原則と規準」に定められた規準を充足して、収集、利用、保護、開示及び廃棄される

SOC2保証報告書の構成(※4)

報告書は「受託会社監査人の意見」、「受託会社の経営者の確認書」、「システムの記述」、「監査人が実施した運用評価手続とその結果」(※5)の4つのパートで構成されます。「システムの記述」のパートには受託会社がデザイン(整備)し、運用する内部統制の仕組みが詳細に記述されます。

  • (※4) 報告書の構成はSOC2+保証報告書の場合も同様です。
  • (※5) デザインの評価と運用状況の評価を実施するType2報告書の場合。デザインの評価のみを行うType1報告書には、このパートはありません。

SOC2/SOC2+保証報告書発行までのロードマップ(例)

(下の図をクリックすると拡大します)

SOC2/SOC2+保証報告書発行までのロードマップ(例)

受託業務のセキュリティ等に係る内部統制の保証報告書(SOC2 / SOC2+)
受託業務のセキュリティ等に係る内部統制の保証報告書(SOC2 / SOC2+)