SOC2レポート

SOC2レポートとは特定の業務を受託して他社（委託会社）へと提供する会社（受託会社）についての文書であり、セキュリティをはじめとする5つの分野に関連する受託会社の内部統制の状況について監査法人などが評価し、保証報告書としてまとめたもののことを言います。例えば受託会社がクラウドサービスの提供者（クラウドプロバイダ）、委託会社が当該クラウドサービスの利用者の場合、クラウドプロバイダはSOC2レポートを取得することで、顧客のデータを安全に管理するためのセキュリティ体制が整っていることを委託会社へ保証することができます。

SOC2では、「Trustサービス原則」と呼ばれる5つの原則が守られているかどうか、そしてそれぞれの原則に付随するさまざまな規準に準拠できているかどうかが評価されることになります。そもそもSOC2は「System and Organization Controls 2」の略称で、日本語での正式名称は「受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の保証報告書」です。ここで挙げられている「セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシー」の5つがTrustサービス原則で、SOC2レポートの取得を目指す企業は、これらの原則の中からセキュリティ（必須）を含む1つ以上を選ぶことになります。つまり、セキュリティのみで取得するか、セキュリティと可用性、セキュリティと可用性とプライバシー、などセキュリティとほかの原則1つ以上を選んで取得するということです。

Trustサービス原則を守る上で適用しなければならない規準は、「Trustサービス規準」と呼ばれています。これは、5原則すべてに共通する規準（共通規準）と、各原則（セキュリティを除く）ごとの追加規準で構成されるもので、セキュリティ原則については共通規準が完全な規準を構成することになるため、追加規準の適用は不要です。これらの詳細については、日本公認会計士協会（JICPA）の資料「Trust サービス原則、規準及びその例示」をご覧ください。

SOC2ではISMS認証のように独立した審査機関が存在するわけではなく、監査法人や公認会計士が独立した第三者として監査・検証を行います。以下が、おおまかなSOC2レポート取得の流れです。

①準備：現状の統制策の精査、SOC2要件との一致・不一致の確認、セキュリティポリシーやワークフローの見直し、改修

②予備監査（事前調査）：本監査前の最終確認、指摘事項の反映、改善

③本監査：監査法人による評価

SOC2についてさらに詳しくは、こちらの記事もご覧ください：

「SOC2レポートとは？概要や取得意義、ISO認証との違いなどについて解説」

またSOC2と比較されることもあるISMS認証やISMSクラウドセキュリティ認証、ISMAPについては、以下の記事をご覧ください：

「ISMSとは：なぜ必要？ISO 27001との違いや認証取得すべきケースについて解説」

「ISMSクラウドセキュリティ認証（ISO/IEC 27017）とは？制度概要や要求事項、取得のメリットなどについて解説」

「ISMAPとは？クラウドサービスリストへの登録方法やISMAP-LIUの概要と併せてわかりやすく解説！」