受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーに係る内部統制の保証業務(SOC2 / SOC2+)

> コンサルティング

企業は、クラウドサービスをはじめとする外部のリソースを積極的に活用しなければ、厳しい競争環境に生き残れません。また、外部にサービスを提供する企業は、自らのサービスの適切さや有効性を外部に対して示す必要があります。
こうした状況下、受託業務に係る内部統制の保証報告書のうちでも、特にセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーを扱うSOC2 / SOC2+報告書は、業務を委託する側と受託する側双方のニーズに対応するものとして、多くの企業に利用されています。

常に変化する市場や厳しい競争環境のなか、多くの企業は自らの経営資源をより効率的に活用するため、業務の外部委託を進めてきました。こうした動きは、企業(委託会社)に一定の成果をもたらしてきましたが、同時に、外部委託先の管理という課題を、より深刻化させることになりました。一方、業務を受託する側(受託会社)は、外部委託に関連する法規制、ガイドラインの整備などを背景に、委託会社のより厳しい目にさらされ、対応の負荷が高まっています。

こうした状況の下、受託業務に係る内部統制の保証報告書は、委託会社と受託会社の双方のニーズに対応するものとして、多くの企業に利用されています。EYは、受託会社の内部統制を評価し、上記の受託業務に係る内部統制の保証報告書を発行するサービスを提供しています。詳細は以下をご覧ください。

保証報告書を利用するメリット

SOC2およびSOC2+

SOC2は「Trustサービス規準」(AICPA)(※1)に基づいて提供されます。また、SOC2+は「Trustサービス規準」に加え、任意の評価規準を追加することができます。例えば、米国の医療保険の相互運用性と責任に関する法令「HIPAA」、日本の個人情報保護委員会が公表している「特定個人情報の適正な取扱いに関するガイドライン」、FISC(※2)の「金融機関等コンピュータシステムの安全対策基準」を追加するなど、報告書の利用者のニーズに合わせたカスタマイズが可能です。SOC2およびSOC2+は、幅広いリスクに対応しています。

利用イメージ

(※1) AICPA:米国公認会計士協会
(※2) FISC:金融情報システムセンター

SOC2は、選択するTrustサービスのカテゴリーに基づいて評価、提供されます。

Trustサービスの原則と規準

概要

セキュリティ システムは未承認のアクセス、利用又は変更に対して保護されている
可用性

システムは、コミット又は合意したとおりに、操作でき、かつ、利用できる

処理のインテグリティ システム処理は完全、正当、正確、適時かつ権限付与されている
機密保持 機密として設定された情報が、コミット又は合意したとおりに、保護されている
プライバシー パーソナル・インフォメーションは、企業のプライバシー通知におけるコミットメント及び「Trustサービスの原則と規準」の「プライバシーに関する原則と規準」に定められた規準を充足して、収集、利用、保護、開示及び廃棄される

SOC2保証報告書の構成(※3)

報告書は「受託会社の経営者の確認書」「受託会社監査人の意見」「システムの記述」「監査人が実施した運用評価手続きとその結果」(※4)の4つのパートで構成されます。「システムの記述」のパートには受託会社がデザイン(整備)し、運用する内部統制の仕組みが詳細に記述されます。

(※3) 報告書の構成はSOC2+保証報告書の場合も同様です。
(※4) デザインの評価と運用状況の評価を実施するType2報告書の場合。デザインの評価のみを行うType1報告書には、このパートはありません。

SOC2 / SOC2+保証報告書発行までのロードマップ(例)

関連動画

SOC 2のガイドラインは、2011年5月に米国公認会計士協会(AICPA)より公表されました。

当時、SOC 2ガイドを起草したクリス・ホルトマンが、米国の動向を交えながら紹介しています。

  • なぜ、新たな保証報告書が必要だったのか?
  • 今後、どのように「SOC 2」が利用されていくのか?
  • FISC安全対策基準との関係は?

関連資料を表示

お問い合わせ

より詳しい情報をご希望の方はご連絡ください。