SOC2報告書 ブックマークが追加されました
サービス
SOC2報告書
SOC2報告書は、アウトソーシング事業者(受託会社)が委託されている業務で、セキュリティ、可用性、処理のインテグリティー、機密保持、およびプライバシーに関連する内部統制を対象として保証を受けた報告書です。
SOC2報告書
SOC2報告書とは、米国公認会計士協会(AICPA)が定めたトラストサービス規準(Trust Service Criteria)に従って、受託会社(データセンター、クラウドサービス等のアウトソーシング事業者)が記述したセキュリティ、可用性、処理のインテグリティー、機密保持、およびプライバシーに関連する内部統制に対して、監査法人が手続きを実施した結果と意見を表明した報告書です。トラストサービス規準は、5つの対象範囲に区分されています。選択した対象範囲に応じて適用する規準が定められています。
「SOC2+」報告書
アウトソーシング事業者によっては、トラストサービス規準だけでは、顧客のニーズを十分に満たせない可能性があります。AICPAでは、SOC2報告書の範囲拡張を認めており、「SOC2+」報告書と位置付けています。
「SOC2+」報告書の導入は、アウトソーシング事業者とその利用者に以下のメリットがあります。
利用者のメリット
利用者はアウトソーシング事業が考慮すべき法令や規制が遵守されていることを確認できます。
アウトソーシング事業者のメリット
利用者のレビューや質問に対応するために費やす時間やリソースの削減が期待できます。 また、セキュリティに関する内部統制が整備され、運用されていることについて、利用者以外の利害関係者にも報告することができるようになります。さらにその他の規制や業界固有の枠組みで扱われている多くの詳細な要求事項についても「SOC2+」報告書に織り込むことで、各社個別の要求に対応を求められる可能性が低下します。