SOC1、2、3、それぞれの違い
SOC1というのは、もともと財務諸表監査の延長として取り入れられた制度です。たとえば、「会計監査をするにあたって、情報システムの内部統制の監査もしましょう」といった場合に、「その情報システムのところは委託しているので自社ではわかりません」と監査クライアントに言われ、「では、そのアウトソース先に直接監査に行かせてください」などということになってしまったらどうなるのか?
受託しているIT企業としては、お客さんの数だけ監査人がバラバラについているので、何社も何社も監査に来られると監査対応が大変になります。そこで、SOC1という報告書を取って、それをお客さんに渡す。お客さんは報告書を自分の監査人に渡す。このように、企業が監査を受ける負荷を減らしたいというところから入っている制度がSOCなのです。
もともと「財務諸表監査で使う」というところから入ってきているという背景があるということで、委託するサービス内容も財務諸表関連のシステムについてのみなのでしょうか?
長谷「必ずしも販売、会計等のシステムが載っているわけではなくて、財務諸表に関係しないシステムが載っていたとしても何か保証は得られないかという要望がありました。財務報告だけですと、いわゆるIT全般統制といって、J-SOXで見ているところが中心になるのですが、それだけではなくて、セキュリティや、機密保持、アベイラビリティといった部分に重点を置いた保証の報告書として生まれたのがSOC2という制度です」。
はい、ここでSOC2が出てきました。財務諸表に直接関連しない、セキュリティや機密保持、アベイラビリティに重点を置いた保証がSOC2です。具体的に考えてみましょう。たとえば、個人情報が漏れたとします。この「漏れた」という事実だけでは財務諸表上の数字は、その時点では影響は受けません。漏洩後、損害賠償請求を受けて、そこで引当金を積むなり、損害賠償金を払うなりといったことが起きた後で、はじめて財務諸表に影響が起きるわけです。そうなると、プライバシーやセキュリティの問題は、喫緊には財務報告目的とは直接的には関係しないが、看過できないところもある、という位置付けになります。こうしたプライバシーや、機密情報の漏洩などに関して何かの保証報告書がほしいといったケースのために、財務報告目的以外のことについて、お墨付きを与えるのがSOC2なのであります。
では、SOC2とSOC3の違いはどこにあるのでしょうか?
長谷「SOC2は、ある程度閉じられたところでしか閲覧しないものです。SOC3は、ホームページ等に掲載できる。つまり『マル適マークをホームページに載せていいですよ』というようなものです。報告書としては、非常に短く、あっさりとしているのですが、『それを万人に見せることができる』というのがSOC3です」。
