アドバイザリー

クラウドサービスの利用とSOC報告書(前編)

2013.05.29
岡村 和彦
堀口 和巳
新日本有限責任監査法人
ITリスクアドバイザリー部 シニアマネージャー
公認会計士、公認情報システム監査人(CISA)
財務諸表監査の主査等を通じて種々の業種に関与した後、ITを利用した内部統制の評価の専門部署へ異動。製造業、建設業、その他サービス業のIT統制の評価に従事してきた他、製薬業やメガバンク等に対し、US SOX、J-SOX対応としてIT統制の構築・評価や監査対応等の支援を提供。また、金融機関向けシステムの開発・運用業務、投資運用業等の委託業務に係る保証業務(米国基準(SSAE16)、監査・保証実務委員会実務指針第86号)にも関与。日本公認会計士協会 IT教育専門委員会専門委員。


クラウドコンピューティングに関するサービスについては、多くの企業において利用の機会が増えています。クラウドサービスプロバイダが受託業務に係る内部統制の保証報告書(SOC報告書:Reporting on Controls at a Service Organization)を作成し、サービス利用企業に提供する動きが活発になってきました。ここ数年でSOC報告書を提供するクラウドサービスプロバイダの数や対象サービスの種類も増え、利用企業にとってはプロバイダが提供するサービスの管理状況の透明性が増していると言えるでしょう。

当コラムでは、SOC報告書の種類や用途のほか、クラウドサービスの利用企業がSOC報告書を利用する上で留意すべき点について、2回にわたり解説していきます。

1.SOC報告書とは

SOC報告書は、ある特定の業務を企業(受託会社)が外部者から受託、提供する場合に、当該業務に係る受託会社における内部統制の有効性について、監査法人や公認会計士が独立した第三者の立場から客観的に検証した結果を記載したものです。報告書では、一定の基準やガイダンスに基づく合理的な保証(絶対的ではないものの、相当程度に高いレベルでの意見)が表明されます。また、報告書は業務を委託する企業(委託会社)等に配布することが可能となっています。
SOC報告書は、米国公認会計士協会(AICPA)において、SOC1、SOC2、SOC3の三つに分類されました。SOC報告書の体系が整備される前は、旧SAS70(SOC1に相当)とTrustサービス(SOC3に相当)が存在しました。しかし、SAS70報告書が本来の利用目的である財務報告の信頼性とは関係ない用途で利用されるケースが見られたことから、このような整理が行われています。
国際監査・保証基準審議会(IAASB:国際会計士連盟(IFAC)に設置の基準設定主体)や日本公認会計士協会でも、この分類のいずれかに相当する基準が公表されています。以下の表は、SOC報告書に関連する基準等を取りまとめたものです。

AICPAのカテゴリと関連する基準等・利用目的・報告書の配布可能先
AICPAのカテゴリ 基準等 利用目的 報告書の配布可能先
SOC1 日本基準:86号※1(旧18号)
米国基準:SSAE16※2(旧SAS70)
国際基準:ISAE3402※3
財務諸表に係る重要な虚偽表示リスクの評価に利用 特定の利用者
  • 受託会社
  • (SOC1)委託会社及びその監査人
  • (SOC2)委託会社その他、受託業務の内容や適用される規準等を理解する企業、団体等
SOC2 米国基準:AT101※4/SOC2 ※5 下記いずれかに関する内部統制の状況の理解
  • セキュリティ
  • 可用性
  • 処理のインテグリティ
  • 機密保持
  • プライバシー
SOC3 日本基準:IT2号※6
米国基準:AT101※4SOC3※7
不特定の利用者
(SOC3シールもしくはTrustシールを受託会社のウェブサイトで掲示およびAICPAウェブサーバで報告書を公開)
  • ※1日本公認会計士協会:監査・保証実務委員会実務指針第86号「受託業務に係る内部統制の保証報告書」
  • ※2AICPA:Statement on Standards for Attestation Engagements No. 16 “Reporting on Controls at a Service Organization”
  • ※3IAASB:International Standard on Assurance Engagements 3402 “Assurance Reports on Controls at a Service Organization”
  • ※4AICPA:AT Section 101 “Attest Engagements”
  • ※5AICPA:Audit and Accounting Guide “Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy (SOC 2).”
  • ※6日本公認会計士協会:IT委員会報告第2号「Trustサービスに係る実務指針(中間報告)」
  • ※7AICPA:Technical Practice Aids “Trust Service Principles, Criteria and Illustration for Security, Availability, Processing Integrity, Confidentiality, and Privacy”

2.クラウドサービスとSOC報告書

これまでは、クラウドサービスの利用企業における財務諸表監査や内部統制報告制度の経営者評価での利用を前提としたもの、すなわちSOC1報告書が主流でした。
しかし、最近ではクラウドサービスプロバイダにおけるSOC2報告書の提供に向けた取り組みが増えています。SOC2報告書の目的であるセキュリティ、可用性、機密保持などといったシステム管理における重要な領域を対象に外部監査人の保証を得ることにより、クラウドサービスプロバイダが提供するサービスの品質をより的確に利用企業へ伝えようとするものであり、好ましい動きと言えます。今後は、SOC1とSOC2の両方の報告書をクラウドサービスの利用企業に対し提供していくことも考えられます。また、SOC2報告書の提供により、クラウドサービスプロバイダとしては、SOC2への対応を生かしつつもより広く利害関係者に対し自社のサービス品質をアピールできるよう、報告書の利用制限のないSOC3報告書の提供を検討していく可能性もあります。

次回は、クラウドサービスプロバイダのSOC報告書が提供された時に、サービス利用企業が報告書の内容を理解する上で留意すべき点について解説します。

【関連リンク】






情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?