SOC3報告書/WebTrust報告書

SOC3報告書

SOC3報告書は、米国公認会計士協会（AICPA）のトラストサービス規準(Trust Service Criteria)に従って、監査人が受託会社の内部統制を評価し、意見を表明した報告書です。

この報告書は、SOC1やSOC2と異なり、受託会社のホームページ等により、広く公開することが可能な報告書となります。そのため、受託会社の内部統制の記述は概括的なものとなり、詳細な内部統制の記述及び監査人の評価手続や結果は記載されません。

SOC3報告書は、クラウドサービス事業者がSOC2とともに取得し、他の基準・規格への対応状況と合わせてホームページ上で公開するケースが多くみられます。

WebTrust報告書

WebTrust報告書とは、「認証局のためのWebTrustの規準」に従って、評価手続を実施した結果が記載される報告書です。

認証局のホームページにより、インターネットを通じて広く公開することが可能な点や受託会社の内部統制の記述は概括的なものとなる点など、形式としてはSOC3報告書と同様となります。

WebTrustに関する規準は米国公認会計士協会（AICPA）とカナダ勅許職業会計士協会（CPA Canada）によって開発されましたが、AICPAは上記SOC3のフレームワークを定めた際に関与しなくなり、現在はCPA Canadaが「認証局のためのWebTrustの規準」について改定を行っています。

また、WebTrust報告書は、概括的な報告書とともにWebTrustシールが発行されホームページに表示することができます。シールの発行はCPA Canadaによって管理されています。

WebTrust報告書を取得した認証局は、各種ウェブブラウザの「信頼されたルート証明機関」に登録することができます。