SOC2とは？意味をわかりやすく簡単に解説

text: XEXEQ編集部

SOC2とは

SOC2は、アメリカの公認会計士協会(AICPA)が定めた、サービス組織の内部統制に関する保証報告書の一つです。クラウドサービスなどを提供するサービス組織が、セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーの5つの基準に基づいて、適切な内部統制を整備・運用していることを示すものです。

SOC2の目的は、サービス組織が顧客に提供するサービスに関連する内部統制が適切に整備・運用されていることを、独立した第三者による監査を通じて保証することにあります。これにより、サービス組織は顧客からの信頼を獲得し、ビジネスの拡大につなげることができるのです。

SOC2の監査は、サービス組織の内部統制が、AICPAが定めた5つの信頼サービス基準(TSC)に準拠しているかどうかを評価します。この5つの基準は、セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーで構成されており、サービス組織はこれらの基準に基づいて内部統制を整備・運用する必要があります。

SOC2の監査報告書には、サービス組織の内部統制の整備状況と運用状況が記載されます。整備状況は、内部統制が適切に設計されているかどうかを評価するもので、運用状況は、内部統制が実際に有効に機能しているかどうかを評価するものです。

SOC2の監査は、通常、Type 1とType 2の2種類があります。Type 1は特定の時点における内部統制の整備状況を評価するもので、Type 2は一定期間(通常は6ヶ月以上)における内部統制の整備状況と運用状況を評価するものです。サービス組織は、自社のビジネスニーズに応じて、適切な監査タイプを選択する必要があります。

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。