クラウドサービスの利用にSOC報告書が必要とされる理由

SOC報告書の種類や用途のほか、クラウドサービスの利用企業がSOC報告書を利用する上で留意すべき点について、解説します。

多くの企業において、クラウドコンピューティングに関するサービスを利用する機会が増えています。クラウドサービスプロバイダが受託業務に係る内部統制の保証報告書（SOC報告書）を作成し、サービス利用企業に提供する動きが活発になってきました。ここ数年でSOC報告書を提供するクラウドサービスプロバイダの数や対象サービスの種類も増え、利用企業にとってはプロバイダが提供するサービスの管理状況の透明性が増していると言えるでしょう。

ここでは、SOC報告書の種類や用途のほか、クラウドサービスの利用企業がSOC報告書を利用する上で留意すべき点について、解説します。

1．SOC報告書とは

SOC報告書は、ある特定の業務を企業（受託会社）が外部者から受託、提供する場合に、当該業務に係る受託会社における内部統制の有効性について、監査法人や公認会計士が独立した第三者の立場から客観的に検証した結果を記載したものです。報告書では、一定の基準やガイダンスに基づく合理的な保証（絶対的ではないものの、相当程度に高いレベルでの意見）が表明されます。また、報告書は業務を委託する企業（委託会社）などに配布することが可能です。

米国公認会計士協会（AICPA）は、SOC報告書をSOC1、SOC2、SOC3の三つに分類しました。SOC報告書の体系が整備される前は、SOC1報告書が本来の利用目的である財務報告の信頼性とは関係ない用途で利用されるケースが見られたことから、このような整理が行われています。
国際監査・保証基準審議会（IAASB：国際会計士連盟〈IFAC〉に設置の基準設定主体）や日本公認会計士協会でも、この分類のいずれかに相当する基準が公表されています。以下の表は、SOC報告書に関連する基準などを取りまとめたものです。

2．クラウドサービスとSOC報告書

これまでは、クラウドサービスの利用企業での財務諸表監査や内部統制報告制度の経営者評価での利用を前提としたもの、すなわちSOC1報告書が主流でした。

しかし、最近ではSOC2報告書の提供に向けたクラウドサービスプロバイダの取り組みが増えています。セキュリティ、可用性、機密保持などのシステム管理における重要な領域を対象に外部監査人の保証を得ることにより、クラウドサービスプロバイダが提供するサービスの品質をより的確に利用企業へ伝えようとするものであり、SOC1とSOC2の両方の報告書を提供するクラウドサービスも増えています。

3．SOC報告書を利用する上での留意点

SOC報告書には、提供されているサービスに関する内部統制の情報がすべて記載されるわけではありません。したがって、SOC報告書を利用する際には、報告書に記載されている内容を理解し、自社にとって重要なサービスに関する記載の網羅性を確認することが重要です。具体的には以下のような点です。

（1）SOC1とSOC2の報告書の特徴

SOC1報告書は、財務報告の信頼性の観点に基づいて重要な内部統制が選択され、これら内部統制のデザインの適切性および運用状況の有効性が検証されます。一方、SOC2報告書はセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーのうち一つ以上を対象に、受託会社の内部統制があらかじめ定められた基準を満たすかどうかの検証が行われます。このような報告書の作成目的や基準の違いから、記載される内部統制の範囲には以下のような特徴があります。