【IPO担当者向け】SOC報告書とは？クラウドサービス利用企業の内部統制

執筆者：茅原淳一（Junichi Kayahara）

監査法人から選ばれるために
上場準備前に確認したいチェックポイント6選

今すぐダウンロード

近年ではクラウドサービスを利用する会社が多くなっています。「Office 365」「Amazon Web Services (AWS)」「Google Workspace」などは利用している企業様も多いのではないでしょうか？SaaSという言葉が広がっているように、他にもクラウドサービスは多く存在しています。

IPOの準備を行うときに内部統制を整備することが求められますが、クラウドサービスを利用している場合、利用先のクラウドサービスプロバイダの受託業務に係る内部統制が整備されているかという点も考慮することが必要です。

クラウドサービスプロバイダの受託業務に係る内部統制が整備されているかを証明するものとして、SOC報告書というものが作成されています。

SOC報告書を理解する前に、内部統制について詳しく知りたい方はこちらの記事をご覧ください。
→ 内部統制とは？会社法・金融商品取引法での定義や方針を徹底解説！

本記事では、SOC報告書とは何か、その種類と目的、そして、SOC報告書を利用する上でのポイントについて詳しく解説を行っていきます。

SOC報告書とは

SOC報告書とは「System and Organization Controls」の略称で、ある特定の業務を受託会社が外部から受託する際に、受託会社において受託する業務について内部統制が有効に機能しているのかを検証し、その結果をまとめた報告書です。独立した第三者の立場として、公認会計士や監査法人が検証を行ないます。

一定の高い基準によって検証されるので、報告書はその高レベルな検証を乗り越えたことが保証されるという訳です。このSOC報告書を、業務を委託している会社は提供してもらうことができ，それをを活用されることで監査のタイミングで内部統制がしっかりと担保されていることを証明できる可能性があります。

それでは、SOC報告書が求められる目的はどのようなものなのでしょうか？

SOC報告書の目的

受託会社の業務や、受託会社が提供するクラウドサービスの内部統制の有効性を保証する目的で利用されるのがSOC報告書になります。

IPO準備段階の企業は、コストを抑えるという観点もあって、サーバーが不要なクラウドサービスを利用している企業も多くあります。自社の事業に注力するために、重要ではないツールや機能は外部に委託したり、クラウドサービスで代替したりすることもあるでしょう。

IPO準備段階の企業は、内部統制を整備することが求められます。そのため、自社が委託している受託会社においても、内部統制を構築し、しっかりと機能しているのかを評価することも必要です。しかし、受託会社は別の組織であるため、委託会社が本当に内部統制の構築しているのかをチェックすることは難しいことが多いです。自社の事業に集中するためにクラウドサービスを利用しているにも関わらず、受託会社のリスク管理に手間がかかるのは避けたいところです。

そこでSOC報告書を活用することで、受託会社の内部統制の有効性を保証することができます。

SOC報告書の種類

SOC報告書は保証する内容や利用用途によってSOC1、SOC2、SOC3の3種類に分けられています。

引用：デロイトトーマツグループ SOC報告書の種類

SOC1

SOC1は、委託会社の財務報告に係る受託会社の内部統制が保証されたものです。SOC1は財務報告に関するものであり、クラウドサービスの内部統制とは関係ありません。

記載される領域はセキュリティ・機密保持・可用性・プライバシー・処理のインテグリティのような、特定の領域には縛られません。

しかし以下の2つの観点においては、内部統制の記載範囲が限定されます。

・SOC1では財務報告が担保されているかが非常に重要なため、クラウドサービスプロバイダから提供されるサービスの品質はあまり重視されない
・SOC1では不正なデータが本番環境に反映されなければ問題ないため、データの閲覧権限については取り扱われない事が多い（入力・編集権限については取り扱いの対象となる）

SOC1は監査時にまず監査法人から提出を求められます。ここで、報告書の利用者は受託会社の経営者と委託会社、その会計監査人に限定されます。クラウドサービス契約前にクラウドサービスプロバイダにSOC1報告書を希望しても提供されることはありません。

SOC2

SOC2は、財務報告に関連しない領域を含む、受託業務における受託会社のセキュリティ・機密保持・可用性・プライバシー・処理のインテグリティに係る内部統制の有効性が保証されています。この5つの観点をSOCの5原則と表現することもあります。

近年ではセキュリティ面でのインシデントのリスクの高まりから、財務報告に関わらず、企業を運営する上で重要な上記5項目も担保することが求められています。セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーの5原則それぞれに対する基準の内容が設定されており、原則ごとに見ればSOC1よりも詳細に内部統制の記載が行われています。

しかし、5原則のうち1つ以上を対象にした報告書であり、クラウドサービスにおいて重要な点を必ずしもすべて網羅できている訳ではありません。例えば、5原則の1つである機密保持に関連する内部統制の状況は開示されない、というようなものです。

報告書の利用者としては、SOC1とは異なり受託会社・委託会社だけでなく受託業務の内容を知りたい企業なども想定されています。したがって契約を検討しているクラウドサービスプロバイダにSOC2報告書を希望することでSOC2報告書を提供してもらうことができます。

DXが進み、クラウドサービスの導入が進んできている現代だからこそ、財務監査に留まったSOC1よりも、クラウドサービスに関わる重要なそれ以外の観点も含めたSOC2の方が、現代の状況に合っていると考えられます。

SOC3

SOC3は内容的にはSOC2報告書と同じものが記載されていますが、SOC2報告書とは異なり、概要のみ記載されています。報告書の利用者は限定されていませんが、SOC2報告書を作成しているクラウドサービスプロバイダでもSOC3報告書は作成していない場合があります。

クラウドサービスプロバイダがSOC2と一緒に取得し、他の基準・規格への対応状況と合わせて、自社サイト上で公開するような形で利用されています。

SOC1・SOC2・SOC3の違い

まず大きな違いは「対象となるリスク」です。SOC1は、信頼を担保する対象は「財務諸表」になります。SOC1報告書にはセキュリティ、可用性、処理のインテグリティ、機密保持など特定のカテゴリーに限定されない幅広い範囲の内部統制が記載されている一方で、SOC2・SOC3においては「財務諸表」以外が対象です。上に上げた5原則が報告書の対象になります。

また、「利用目的」も異なります。SOC1においては「委託会社の財務諸表監査および内部統制監査」が目的となるのに対し、SOC2・SOC3においては「委託している会社のオペレーションやコンプライアンスに関連する内部統制」です。

特に大きな違いは報告書の「利用者」です。SOC1は「委託会社及び委託会社監査人」を対象とし、SOC2は「限定された特定の利用企業」を対象としています。限定されたという意味で、SOC2では既存顧客だけではなくて見込み顧客も対象です。クラウドサービスを導入しようか検討しているタイミングでも活用されます。SOC3については自社サイト上で公開して「一般の利用企業」も確認できるようになっています。

SOC報告書が求められている背景

SOC報告書の発端はアメリカ

SOC報告書は元々アメリカで生まれたものになります。

アメリカでは業務を外部に委託するということがずいぶん前から頻繁に行われており、受託会社の管理は自社の義務であると認識されていました。そのため、受託会社のモニタリングが委託会社と受託会社の間で行われていました。しかし、事業が拡大し委託会社が増えることで、受託会社としては個別対応することが難しくなります。そのため、より効率的に受託業務を行う目的で、自社の内部統制の有効性を担保する報告書を作成が作成されるようになりました。

この流れの中で、2001年にニューヨーク証券取引所に上場しているアメリカのエネルギー取引企業エンロンが発端となりました。アーサーアンダーセンという監査法人を巻き込んで不正な会計処理を行っていたという、通称エンロン・ワールドコム事件が発生し、エンロンの法人そのものが破綻し、監査法人であるアーサーアンダーセンも解散することなりました。エンロンの社員だけではなく、エンロンの株式も活用していたことから、経済的に大きな影響を及ぼしてしまったのです。

そうなると当然、アメリカ企業の内部統制システムあるいはガバナンスシステムそのものに、制度上の問題があるのではないかとい う批判が起こります。

これをきっかけに内部統制の有効性の担保は第三者がすべきという流れになり、の後2003年に策定されたのが、サーベンス・オクスリー法（SOX法）です。

そして外部委託の際に受託会社の内部統制の有効性を担保するために、独立受託会社監査人によって受託会社の内部統制の有効性を担保するSOC報告書という制度が作られました。

日本ではJ-SOX制度をきっかけに普及

日本では2008年に上場企業にもJ-SOX（内部統制報告制度）が適用されました。その際に、主に金融機関でSOC報告書の取得が行われるようになりました。

そして近年では急速にクラウド化が進み、外部のクラウドサービスを利用する会社が増加してきたことからクラウドサービスプロバイダを中心にSOC報告書の取得が行われるようになりました。そのため、最近では上場企業においても受託会社にSOC報告書の提出を求めることが増えてきています。

昨今では情報セキュリティに対する意識が高まってきていることから、財務諸表監査に直接影響するSOC1だけでなく、SOC2の需要も高まっています。

SOC報告書を取得したサービスの選び方

SOC報告書を取得したサービスを選ぶ際は、SOC報告書ではどのような前提で何が保証されているのかということを理解することが必要です。

SOC報告書では財務報告もしくはセキュリティや機密保持等のその報告書で決められた項目に対する内部統制の有効性は保証されていますが、それ以外の部分は保証されていません。そのため外部委託しているサービスがSOC報告書を取得していても、SOC報告書があるから大丈夫と安易に考えてはいけません。

また、システム・サービスを選択する際には、将来の事業規模拡大を見据えた上で、その時の内部統制報告制度に耐えられるものを選択することが必要になります。そのための手段としてSOC報告書を取得しているクラウドサービスが有効であれば利用することを考えましょう。

SOC報告書を利用する上での2つのポイント

1. SOC1とSOC2の報告書の特徴を理解する

SOC報告書を利用する上でSOC1とSOC2の報告書の特徴を理解することがポイントです。

SOC1では財務報告の信頼性の観点に基づく重要な内部統制を対象としたもので、記載される内部統制は、セキュリティ、可用性、処理のインテグリティ、機密保持などの特定のカテゴリーに限定されていません。

一方で、SOC2はカテゴリーがセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーに限定されており、カテゴリーごとに見ればSOC1に記載されている内容よりも幅広く内部統制が記載されています。しかし、カテゴリーが限定されているために、クラウドサービスとして重要な要素のすべてが含まれていない可能性があるという特徴があります。

このような、記載されている内容の特徴を理解した上でSOC報告書を利用することがポイントになります。

2. 報告書の対象サービスの範囲を理解する

SOC報告書の対象サービスの範囲を理解することもポイントになります。

SOC報告書は、多くの利用者に共通して提供されるサービスの内部統制に関する有効性の情報を開示するために作成されます。そのため、利用企業がクラウドサービスプロバイダから提供されるすべてのサービスの情報を含むとは限りません。

また、IaaSサービスの場合は、リージョン（データの保存場所・地域）ごとにSOC報告書を取得しているという場合があります。自社が利用しているIaaSサービスがSOC報告書を取得していると思っていたら、実は自社のデータ保存先のリージョンが対象外であるという場合もあるため注意が必要になります。

まとめ

いかがだったでしょうか。

本記事ではSOC報告書の種類や目的とSOC報告書を利用する上でのポイントについて解説を行いました。

本記事が上場を目指しているスタートアップ・ベンチャー企業の経営者の方の参考になれば幸いです。

最後までお読みいただきありがとうございます。