SOCレポートとは？
SOCレポートの基本と種類、その目的について分かりやすく解説

SOC（Service Organization Control）レポートとは、クラウドサービス事業者などのサービス提供会社について内部統制の有効性を第三者（公認会計士など）が監査・証明した報告書です。本記事ではSOCレポートについて、その種類や目的について分かりやすく解説します。

目次

• SOCレポートとは
  
• SOCレポート 1 について
  
• SOCレポート 2 について
  
• SOCレポート 3 について

SOCレポートとは

クラウドサービスやITアウトソーシングサービスの内部統制について、第三者監査機関が発行する監査報告書です。財務や内部統制、セキュリティなどの観点から作成されており、

• SOCレポート 1
• SOCレポート 2
• SOCレポート 3

の３種類存在します。以下に、各レポートの特徴について記載していきます。

SOCレポート 1 について

• 特徴：サービス提供事業者が財務報告などに関連する内部統制を、適切に設計・運用しているかを第三者が評価した報告書。
• 基準：AICPA（米国公認会計士協会）が策定した「SSAE 18」が基準。
• 使用例：顧客企業や財務監査人が、委託先としてのサービス提供事業者に関連するリスクを評価・管理するために利用する、など。

SOC 1レポートは2種のタイプに分けられます。

• SOC 1 Type I：ある時点における統制の設計状況を評価
• SOC 1 Type II：一定期間にわたる統制の設計と運用状況を評価（通常6か月〜1年）

SOCレポート 2 について

• 特徴：サービス提供事業者のセキュリティや可用性、機密性などに関する内部統制の有効性を、第三者機関が評価・報告する文書。基本的に非公開とされることが多く、開示には秘密保持契約（NDA）が必要となる場合が一般的。

• 基準：AICPA（米国公認会計士協会）が定める「Trust Services Criteria（TSC）」に基づいて評価される。
• TSCの５つのカテゴリ

  • セキュリティ（Security）

  • 可用性（Availability）

  • 処理の完全性（Processing Integrity）

  • 機密性（Confidentiality）

  • プライバシー（Privacy）

• 使用例：企業がクラウドサービスを導入する際に、顧客情報の保護状況やシステム障害への対応体制が十分かどうかを確認する目的で利用される、など。

SOC 2レポートについても２種のタイプがあります。

• SOC 2 Type I：一時点での「統制設計」の適切性を評価
• SOC 2 Type II：一定期間（通常6か月～1年）における「統制設計」と「運用」の有効性を評価 

SOCレポート 3 について

• 特徴：SOC 2の監査結果を一般向けに公開できる形式でまとめたもので、統制の詳細は省略され、全体的な評価の要約のみが記載されている。
• 基準：SOC 2と同様に、「Trust Services Criteria（TSC）」に基づいて評価される。
• 使用例：秘密保持契約が不要で提供でき、ウェブサイトなどで自由に公開・掲載が可能であり、営業資料としても利用できる。

各レポートの主な特徴や違いを整理すると、次の通りです。

SOCレポートはいずれもサービス提供事業者の信頼性や内部統制体制を確認する上で不可欠な資料です。サービス提供事業者を選定する際には、SOCレポートのような第三者評価の資料を事前に確認しておくことが重要です。

弊社へのお問い合わせは、下記の著者画像横のメールアイコンから