2020年9月3日
クラウドサービスの利用にSOC報告書が必要とされる理由

クラウドサービスの利用にSOC報告書が必要とされる理由

執筆者 遊馬 正美

EY ストラテジー・アンド・コンサルティング株式会社 テクノロジーリスク パートナー

アウトドア(ヨット、バイク、キャンプ)、インドア(グルメ、料理)なんでも。家族以外に猫2匹も。

投稿者
2020年9月3日

SOC報告書の種類や用途のほか、クラウドサービスの利用企業がSOC報告書を利用する上で留意すべき点について、解説します。

多くの企業において、クラウドコンピューティングに関するサービスを利用する機会が増えています。クラウドサービスプロバイダが受託業務に係る内部統制の保証報告書(SOC報告書)を作成し、サービス利用企業に提供する動きが活発になってきました。ここ数年でSOC報告書を提供するクラウドサービスプロバイダの数や対象サービスの種類も増え、利用企業にとってはプロバイダが提供するサービスの管理状況の透明性が増していると言えるでしょう。

ここでは、SOC報告書の種類や用途のほか、クラウドサービスの利用企業がSOC報告書を利用する上で留意すべき点について、解説します。

1.SOC報告書とは

SOC報告書は、ある特定の業務を企業(受託会社)が外部者から受託、提供する場合に、当該業務に係る受託会社における内部統制の有効性について、監査法人や公認会計士が独立した第三者の立場から客観的に検証した結果を記載したものです。報告書では、一定の基準やガイダンスに基づく合理的な保証(絶対的ではないものの、相当程度に高いレベルでの意見)が表明されます。また、報告書は業務を委託する企業(委託会社)などに配布することが可能です。

米国公認会計士協会(AICPA)は、SOC報告書をSOC1、SOC2、SOC3の三つに分類しました。SOC報告書の体系が整備される前は、SOC1報告書が本来の利用目的である財務報告の信頼性とは関係ない用途で利用されるケースが見られたことから、このような整理が行われています。
国際監査・保証基準審議会(IAASB:国際会計士連盟〈IFAC〉に設置の基準設定主体)や日本公認会計士協会でも、この分類のいずれかに相当する基準が公表されています。以下の表は、SOC報告書に関連する基準などを取りまとめたものです。

AICPA
※1のカテゴリ
基準 特徴
SOC1 日本 保証実3402 ※2
米国 AT-C320 ※3
国際 ISAE3402 ※4
財務諸表に係る重要な虚偽表示のリスクの評価に利用

報告書の種類

タイプ1
(時点評価)

タイプ2
(期間評価)

SOC2 日本 IT委員会実務指針第7号 ※5
米国 AT-C105, 205 ※6
国際 N/A

以下に関する内部統制への関心

セキュリティ
可用性
処理のインテグリティ
機密保持
プライバシー

不特定多数の利用者
Trustシール
SOC3 日本 IT2号 ※7 「Trustサービス」
米国 AT-C105, 205 ※6
国際 N/A

※1 米国公認会計士協会
※2 日本公認会計士協会「保証業務実務指針3402『受託業務に係る内部統制の保証報告書に関する実務指針』」
※3 米国公認会計士協会 “Attestation Standards (Clarified) 320 ”
※4 国際監査・保証基準審議会(IAASB)
International Standard on Assurance Engagements
“ISAE3402, Assurance Reports on Controls at a Service Organization”
※5 日本公認会計士協会「保証業務実務指針3852『受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の保証報告書に関する実務指針』」
※6 米国公認会計士協会 “Attestation Standards (Clarified) 105, 205”
※7 日本公認会計士協会 IT委員会報告第2号 「Trustサービスに係る実務指針(中間報告)」

2.クラウドサービスとSOC報告書

これまでは、クラウドサービスの利用企業での財務諸表監査や内部統制報告制度の経営者評価での利用を前提としたもの、すなわちSOC1報告書が主流でした。

しかし、最近ではSOC2報告書の提供に向けたクラウドサービスプロバイダの取り組みが増えています。セキュリティ、可用性、機密保持などのシステム管理における重要な領域を対象に外部監査人の保証を得ることにより、クラウドサービスプロバイダが提供するサービスの品質をより的確に利用企業へ伝えようとするものであり、SOC1とSOC2の両方の報告書を提供するクラウドサービスも増えています。

3.SOC報告書を利用する上での留意点

SOC報告書には、提供されているサービスに関する内部統制の情報がすべて記載されるわけではありません。したがって、SOC報告書を利用する際には、報告書に記載されている内容を理解し、自社にとって重要なサービスに関する記載の網羅性を確認することが重要です。具体的には以下のような点です。

(1)SOC1とSOC2の報告書の特徴

SOC1報告書は、財務報告の信頼性の観点に基づいて重要な内部統制が選択され、これら内部統制のデザインの適切性および運用状況の有効性が検証されます。一方、SOC2報告書はセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーのうち一つ以上を対象に、受託会社の内部統制があらかじめ定められた基準を満たすかどうかの検証が行われます。このような報告書の作成目的や基準の違いから、記載される内部統制の範囲には以下のような特徴があります。

報告書の分類と内部統制の記載範囲の特徴
報告書 内部統制の記載範囲の特徴
SOC1

財務報告の信頼性の観点に基づく重要な内部統制が報告書の対象となるため、記載される内部統制は、セキュリティ、可用性、処理のインテグリティ、機密保持などの特定のカテゴリーに限定されない。
一方、例えば下記のような点で内部統制の記載範囲が限定的となる。

  • 可用性はクラウドサービスプロバイダが提供するサービスの品質として重要だが、SOC1報告書では財務報告数値の完全性が最終的に担保されていればよいため、可用性は重視されないことが多い。
  • 機密保持に関しては、SOC1の観点では不正なデータが本番システムに入力不可能であればよいため、データなどの入力権限については考慮される一方、参照権限については扱われないことが多い。
SOC2 ガイダンスにおいて5つのカテゴリー(セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシー)それぞれに対する基準の内容が特定されており、カテゴリーごとに見れば財務報告の信頼性に関する観点よりも幅広い範囲で内部統制の記載が行われる。
一方で、5つのカテゴリーのいずれか一つ、もしくは複数を対象にした報告書であるため、クラウドサービスとして重要な要素のすべてが含まれていない可能性がある。例えば、セキュリティのみを対象としたSOC2報告書では、クラウドサービスとして重要な他の要素である可用性や機密保持などに関連する内部統制の状況は開示されない。
(2)報告書の対象サービスの範囲

SOC報告書は、多くの利用者に共通して提供されるサービスの内部統制に関する有効性の情報を開示するために作成されることが多く、利用企業がクラウドサービスプロバイダから提供されるすべてのサービスの情報を含むとは限りません。例えば、下記(例1)のように、標準的なサービスとしてIaaSを提供しているクラウドサービスプロバイダのオプションサービスを、IaaSに加えて利用している場合、SOC報告書はそのオプションサービスをカバーしていないことがあり得ます。

また、下記(例2)のように、クラウドサービスプロバイダのIaaSまたはPaaS上で稼働するアプリケーションシステムを利用するSaaSサービスのような場合、SOC報告書の対象が、特定少数の利用企業に提供されているアプリケーションシステムをカバーしていないこともあり得ます。

クラウドサービスの利用企業は、下記(例1)や下記(例2)のような点に留意しながら、自社に提供されているサービスについて報告書に記載されているか、さらに自社が必要とする情報が報告書ではどの範囲で記載されているかを確認することが重要となります。もし自社にとって重要な範囲が含まれていなければ、追加の確認作業を検討することも必要です。

SOC報告書に含まれるサービス提供範囲の例

サマリー

SOC報告書は、用途に応じてSOC1、SOC2、SOC3に分類されます。
クラウドサービスの利用企業がSOC報告書を利用する際には、報告書の種類に応じた特徴および対象サービスの範囲に留意することが重要です。

この記事について

執筆者 遊馬 正美

EY ストラテジー・アンド・コンサルティング株式会社 テクノロジーリスク パートナー

アウトドア(ヨット、バイク、キャンプ)、インドア(グルメ、料理)なんでも。家族以外に猫2匹も。

投稿者
  • Facebook
  • LinkedIn
  • Twitter