SOCのTypeと種類
冨樫氏: SOCには、SOC1、SOC2、SOC3の3種類があり、それぞれType1とType2の報告書があります。Type1報告書は、システム記述書に記載された「内部統制のデザイン」に関する報告書です。つまり、内部統制のための組織体制や業務の実施方法などのデザインが書かれ、一定の基準をクリアしていないと、報告書は受領できません。
他方、Type2報告書では、デザインのみにとどまらず、運用状況も見ます。内部統制のデザイン及び運用状況に関する報告書ということです。
また、Type1では、基準日時点での評価を行いますが、Type2では、対象期間を通じての評価を行います。評価期間は、1年間が一般的ですが、内部統制についてきちんと決まった期間にわたり実施されていたかについて、もれなく書き、そこを監査します。まず特定の一時点でのType1を実施し、その後、特定の期間でのType2を実施、あとはType2を毎年更新していく形が一般的です。
次にSOC1、SOC2、SOC3といわれる、保証報告書の分類です。SOC1は、対象リスクは委託会社の財務諸表が誤るリスク、利用者は委託会社および委託会社監査人、利用目的は委託会社の財務諸表監査および内部統制監査となります。
SOC2、SOC3の対象リスクは財務諸表以外となります。セキュリティ、可用性、処理のインテクリティ、機密保持、プライバシーが阻害されるリスクの中から1つ以上を選択し、スポットを当てます。利用目的は委託している会社のコンプライアンス、またはオペレーションに関連する内部統制の報告となります。
SOC1との大きな違いは利用者です。SOC2は、限定された特定のユーザー企業として、既存顧客以外に見込み顧客も対象としており、ユーザーが、どのクラウドを使おうかと検討する場合においても有効活用できます。
SOC3は一般ユーザー向けとして、ホームページなどにおいて表示することができます。保証報告書の枚数は数枚程度となり、記述自体はとても簡略化された内容になりますが、ユーザーが、どのクラウドを使おうかと検討する場合においても有効活用できます。
