SOC報告書とは
System and Organization Controls
米国公認会計士協会(AICPA)が定義した業務受託会社(Service Organization)における内部統制保証報告の枠組みです。SOC報告書の作成は、監査法人や公認会計士が第三者の立場から客観的に検証した結果を記載します。日本公認会計士協会でも、これに相当する基準が公表されています。AWSのようなクラウドサービスプロバイダが提供するサービスは、その運用方法やセキュリティなどの品質がわかりにくい為、このSOC報告書を利用して品質保証を表現する活動が活発になっています。
SOC報告書の種類にはSOC1、SOC2、SOC3の3種類があります。
- SOC1
財務諸表監査の観点から、情報システムの内部統制監査を実施したもの(IT全般統制、J-SOX) - SOC2
セキュリティや、機密保持、アベイラビリティといった部分に重点を実施したもの<br />
セキュリティ事故による損害賠償等の財務的リスクを検討する為のもの - SOC3
SOC2の内容に関して、一般的に公開できる内容規定したもの