経理の知識

【図解】SOC報告書とは?目的やSOC1・2・3の違い

経理の知識
この記事は約6分で読めます。
Pocket

今回は【SOC報告書(SOCレポート)】について解説します。

本記事の内容
  • SOC報告書とは?
  • 活用する企業の具体例
  • SOC報告書の目的
  • SOC報告書のメリット・デメリット
  • SOC報告書の種類
    • SOC1・SOC2・SOC3
    • Type1・Type2
スポンサーリンク

SOC報告書とは?

SOC報告書とは「System and Organization Controls」の略です。

SOC報告書」「SOCレポート」等と呼ばれています。

SOC報告書は、受託会社が委託会社に提供する報告書で

企業がサービスを提供する際に

その業務に関わる内部統制の有効性を第三者機関が評価する報告書になります。

読み方としてはSOC(ソック)と読みます。

第三者機関とは?

ここでいう第三者機関とは独立受託会社監査人を指します。

独立受託会社監査人は「監査法人」「公認会計士」です。

SOC報告書を活用する企業の具体例

SOC報告書を活用する企業は

クラウドサービスを提供する企業です。

クラウドサービスとは?

クラウドサービスとは

インターネット経由で様々な機能を提供するサービスです。

クラウドサービスの具体例

  • Gmailなどのフリーメール
  • X(旧Twitter)などのSNSツール
  • AWSなどのデータ管理サービス
  • freee・マネーフォワードなどのクラウド会計ソフト

最近では様々なかたちでクラウドサービスの普及が増えてきております。

SOC報告書の目的

クラウドサービスはインターネット経由でサービスを提供するものです。

そのため利用する側は情報セキュリティなどのリスクも存在します。

利用者が安心して利用するための

信頼性を示すのがSOC報告書です。

SOC報告書は、情報管理の上でサービスの信頼性を示すもの

例えば、企業がクラウドの会計ソフトを導入する際に

「セキュリティ上安全なのか?」の懸念点が出てきます。

その際にクラウド会計を提供している会社から

「SOC報告書」を提出されたら、ある程度サービスの安全性があると言えます。

SOC報告書のメリット

  • 情報管理などの安全性・信頼性を利用者に示すことができる。

利用者に情報管理などの安全性・信頼性を示すことができることが大きなメリットになります。

大企業や上場企業が利用者の場合、サービス導入の際に

「セキュリティ対策など内部統制上のリスクがないか?」について慎重にチェックされます。

SOC報告書を提出することで安全性を示すことができ、顧客獲得に繋がる可能性が広がります。

安全性・信頼性を示すことで、顧客獲得にも繋がります。

SOC報告書のデメリット

  • 相応の時間とコストがかかる

SOC報告書を入手するには

監査法人などの第三者機関に依頼する必要があります。

監査を受けるには相応の時間とコストがかかるのがデメリットです。

コストとしては会社の規模にもよりますが

数百万~数千万円かかる場合もあります。

SOC報告書の仕組み

SOC報告書の仕組みを図解で表すと下記のようになります。

受託会社は監査法人などの第三者機関にSOC報告書の作成依頼し、受領します。

委託会社は受託会社からSOC報告書を受け取り、委託会社の監査法人に提出します。

SOC報告書の種類(SOC1・SOC2・SOC3による違い)

SOC報告書は下記のような3種類があります。

  • SOC1
    →財務報告に係る内部統制
  • SOC2
    →情報セキュリティに係る内部統制
  • SOC3
    →内容はSOC2と同じ。ただしSOC2よりも簡易的な報告書

保証する内容や利用用途によって分類されます。

SOC1とは?

SOC1は

受託会社が委託されている業務の中で財務報告に係る内部統制を対象とした報告書になります。

またSOC1報告書の利用者は

受託会社の経営者・委託会社とその会計監査人に限定されています。

SOC2とは?

SOC2は

受託会社が委託されている業務の中で情報セキュリティに係る内部統制を対象とした報告書になります。

具体的には下記の5つを対象範囲としております。

  1. セキュリティ
  2. 可用性
  3. 処理のインテグリティ
  4. 機密保持
  5. プライバシー

セキュリティ

不正アクセスや情報漏洩を防止するためのセキュリティ対策がされていること

可用性

システム障害などにより停止を起こすことなく、システムが継続して稼働できていること

処理のインテグリティ

システム処理について完全・正当・正確・適時に実施され、データの改ざん防止対策がされていること

機密保持

機密情報について合意した通りに保護されていること

プライバシー

個人情報について適切に収集、利用、保持、開示及び廃棄されていること

またSOC2報告書の利用者は

受託会社・委託会社に加えて契約検討中で受託業務の内容を知りたい企業も含まれます。

契約検討中のクラウドサービスがある場合、運営会社からSOC2報告書を提供してもらうことができます。

SOC3とは?

SOC3は

SOC2と同様な内容であり、上記5つの項目に係る内部統制を対象とした報告書になります。

ただし、

概要のみ記載されていることなどの違いあり、

SOC2と比較して簡易的な報告書になります。

利用者は限定しておらず、不特定の一般ユーザーからも取得できます。

SOC報告書の種類(Type1・Type2による違い)

SOC1・SOC2報告書ではさらに下記2つの分類があります。

  • Type1
    →ある一時点の内部統制の有効性を評価する
  • Type2
    一定期間(6か月以上)の運用状況を評価する

Type1・Type2は時間軸による違いになります。

Type1はある一時点による存在の確認による評価に対して

Type2は一定の期間による運用の評価になり

Type2の方が信頼性が高いものとなります。

ただし、Type2の報告書取得には一定に期間が必要になるため

取得には時間がかかるというデメリットがあります。

  • Type2の方が信頼性が高い。
  • ただしType2は取得に時間がかかる。

まずはType1を取得し、その後Type2の取得を進めるという流れもあります。

まとめ

今回は【SOC報告書(SOCレポート)】について解説しました。

要点をまとめると下記になります。

  • SOC報告書は、受託会社が委託会社に提供する報告書で企業がサービスを提供する際にその業務に関わる内部統制の有効性を第三者機関が評価する報告書である。
  • SOC報告書は下記のような種類がある。
    • SOC1
      →財務報告に係る内部統制
    • SOC2
      →情報セキュリティに係る内部統制
    • SOC3
      →内容はSOC2と同じ。ただしSOC2よりも簡易的な報告書
SOC報告書
タイトルとURLをコピーしました